[Lethal-le-zouave]

Bonjour à tous,

Vous connaissez bien sur le fameux système ankama shield qui protège vos comptes des oppresseurs c'est également ce que je pensais et malheureusement j'ai constaté son inefficacité à mes dépends.

J'annonce donc : hack massif de tous les objets de valeurs en ma possession.

Voici donc mon histoire :
0H30 stupeur et effroi mon perso est tout nu !

En me connectant sur "mon compte" puis "sécurité" j'ai pu vois les différentes connexions à mon compte et là les ennuis commencent :
En effet : 23H : une personne étant hébergé chez free (pas moi donc) se connecte à deux reprises sur mon compte en mode restreint pc : inconnu
Puis une demi-heure plus tard cette même personne (hébergée chez free et même adresse IP) se connecte sur mon compte mais cette fois-ci "pc : Guillaume-pc le mien donc) et pourtant à cette heure-là, mon pc était bien installé sur mes genoux à ronronner.

Mais j'ai trouvé là où résidait l'astuce : Le principe d'ankama shield c'est d'autoriser un pc à pouvoir se connecter à un compte si il possède sur son disque dur un certain fichier (je l'ai trouvé, il n'est vraiment pas bien caché) pour hacker votre compte, il suffit donc à la personne malveillante de copier ce fichier sur son ordinateur et ainsi dofus le reconnaitra comme le votre.

En gros en plus d'utiliser un keylogger, il faut juste copier un petit fichier texte, quelle sécurité accrue par rapport à avant oh mon Dieu un fichier à copier, c'est vrai qu'une fois qu'on à introduit un keylogger, comment faire celà ><

Bref, je post celà ici afin de vous informer, vous mes chères collègues dofusiens que j'apprécie (sauf deux trois anges qui ne font que de m'emmerder) que une fois de plus ankama se fiche de nous(je n'aime pas cette tournure mais les grossièretées sont interdites). Pour trouver les fichiers en question cela ne m'as pris qu'à peine une heure

Bon, sur ce, dormez bien sur vos deux oreilles ankama shield veille sur vous (ou pas)

[Sericker]

Hello, en effet ça doit être pas facile en encaisser.. Ce qui m'intrigue quand même c'est que pour pouvoir accéder à ton compte, tu parles d'un fichier qu'il doit installer et qui est sur ton PC... si cette personne a pu se le procurer, il y a de fortes chances donc que ton PC ai était victime d'intrusion ? Et donc tout celà en dépend de l'Ankama Shield... Ce n'est qu'une supposition ^^

[Mokuna]

Ouais enfin tu t'en prends à Ankama alors que t'as téléchargé un keylogger.

[Pretty']

J'ai eu le même problème il y a quelques mois. Etant parti en vacance quelques jours, j'ai eu la mauvaise surprise de voir à mon retour tous mes personnages vidés. D'après Ankama Shield, les connections ont eu lieux depuis mon propre ordinateur (même IP, même nom de PC), ordinateur qui été resté dans ma maison, vide et fermée à clefs.

[Lethal-le-zouave]

Certes, j'ai téléchargé un keylogger, ne revenons pas là dessus c'est de ma faute MAIS, oui il y à bien un mais, en toute logique même avec un keylogger la personne ne pouvais pas avoir accès à mon compte, la faille d'ankama shield est bien réelle, je ne viens pas ici pour me plaindre mais pour dénoncer cette faille et vous prévenir de l'incapacité d'ankama shield à protéger votre compte même si ankama nous affirme le contraire.

[Sericker]

Bha non elle ne vient pas d'Ankama si elle vient de toi... avec un Key, on peut avoir ton NDC, MDP et surtout ton adresse mail et ton mot de passe pour justement " avoir ce fichier sur son PC " ... J'ai le regret de te dire que tes objets sont perdus

[Herumor]

Les Keyloggers récupèrent désormais le fichier AnkamaCertificates et l'envoient automatiquement par e-mail, ce dernier programmé dans le keylogger lui même.
Du coup ça contourne le Shield ! Il n'est utile que dans les cas de phishing, c'est déjà ça...

Sinon j'te conseille de faire un gros scan sur ton ordi, voire même réinstaller ton OS car si ton AV n'a pas détecté de Virus, c'est qu'il doit être FUD (indétectable) et donc tu vas avoir du mal à le localiser...

Bonne chance pour un futur restuff si tu as ça dans tes projets,

Heru'.

[Matuaf.]

Citation :

Publié par Sericker

Bha non elle ne vient pas d'Ankama si elle vient de toi... avec un Key, on peut avoir ton NDC, MDP et surtout ton adresse mail et ton mot de passe pour justement " avoir ce fichier sur son PC " ... J'ai le regret de te dire que tes objets sont perdus

Justement, l'Ankama Shield est censé intervenir dans ce cas précis.

Je me suis fait volé mes Informations privées MAIS mon Compte n'est censé être déverrouillé qu'à partir de mon Ordinateur, je parle de quelque chose de physique là, pas d'un logiciel ou je ne sais quoi d'autre d'immatériel apparemment mal planqué dans le DD.

Donc oui, l'Ankama Shield est défaillant, ou plutôt, ne protège pas comme il le prétend.

[Sericker]

Citation :

Publié par Herumor

Les Keyloggers récupèrent désormais le fichier AnkamaCertificates et l'envoient automatiquement par e-mail, ce dernier programmé dans le keylogger lui même.
Du coup ça contourne le Shield ! Il n'est utile que dans les cas de phishing, c'est déjà ça...

Sinon j'te conseille de faire un gros scan sur ton ordi, voire même réinstaller ton OS car si ton AV n'a pas détecté de Virus, c'est qu'il doit être FUD (indétectable) et donc tu vas avoir du mal à le localiser...

Bonne chance pour un futur restuff si tu as ça dans tes projets,

Heru'.

Je pense que tu as ta réponse ici ^^

[Lethal-le-zouave]

Merci Herumor, en effet mon antivirus n'as rien détecté (j'en ai essayé 3 au total : avast/avira/kapersky)

pour l'instant je vais entrer mes mots de passe dofus à l'aide du clavier visuel, plus que ça à faire pour éviter les keyloggers ><

[Mylène la Baleine]

T'as traîné où aussi pour choper des Key ? Faut faire gaffe

[Uneurone-Nak]

Citation :

Publié par Lethal-le-zouave

pour l'instant je vais entrer mes mots de passe dofus à l'aide du clavier visuel, plus que ça à faire pour éviter les keyloggers ><

Tu te prends la tête pour rien avec le clavier visuel, les keyloggers peuvent tout aussi bien repérer ce qui est tapé avec.

Sinon bah désolé, et bonne chance pour la suite !

[Sericker]

Il a voulu télécharger un logiciel qui génère des kamas ahah !

[Lethal-le-zouave]

En fait après réflexion je pense que c'est vers 18Hxx je cherchais une retransmission d'un combat goultar, un mec m'as mp un lien, je l'ai suivi.
Manque de bol au même moment, je chargeais un jeu flash sur mon navigateur et le faux lien de vidéo m'as demandé de mettre à jour adobe flash player, je pensais que ça venais du jeu flash ><
une belle erreur de débutant mais là n'est pas la question, certes je me suis fait avoir Mais ankama shield n'as pas fait son boulot, en tout cas son boulot annoncé.

[Mokuna]

L'ankama shield est là pour prévenir les "petits vols" ,le phishing,ou les abus de confiance(qu'on appelle trop souvent hack pour rien)

Il est là pour empêcher qu'on puisse te voler en ayant accès à ton compte,après si ton PC est infecté tu veux qu'ils le protègent comment?

Au pire on peut envisager une reconnaissance par adresse MAC,il suffirait d'un keylogger pour récupérer cette adresse et d'un logiciel pour fausser ton adresse MAC(ça doit se trouver)

Les seuls systèmes qui protégeraient à 99,9999999....% ton compte sont ceux du type mis en place par blizzard pour wow, un objet générateur de code aléatoire que tu utilises juste avant de te connecter,ça coûte des millions à mettre en place...

Bref c'est pas techniquement envisageable de protéger ton compte si on a accès aux données de ton PC,que tu le veuilles ou pas,et je doute qu'ankama ait des sommes folles à dépenser pour des gens imprudents

[Sericker]

Citation :

Les seuls systèmes qui protégeraient à 99,9999999....% ton compte sont ceux du type mis en place par blizzard pour wow, un objet générateur de code aléatoire que tu utilises juste avant de te connecter,ça coûte des millions à mettre en place...

Des millions ? Un simple codage suffit d'après mes sources xD ( Si je dis n'importe quoi, qu'on me le prouve ahah ! )

[Herumor]

Ah oui, un applet java, faut faire gaffe... Ce n'était pas directement un exécutable (.exe) mais en fait tu l'as autorisé à se lancer via l'applet java pseudo mise à jours.
Imo faut lancer Ccleaner déjà et aller dans Outils<démarrage, afin de voir quels logiciels se lancent au démarrage Windows, le Keylogger devrait s'y retrouver.
Et regarder quels processus douteux sont en fonctionnement sur ta machine.

Perso si j'étais toi j'prendrais pas de risques, je réinstallerais Windows.

[Mokuna]

Citation :

Des millions ? Un simple codage suffit d'après mes sources xD

Faut déjà faire le logiciel,c'est pas gratuit,ensuite le système de blizzard utilise un support externe



Donc ça demande des ingénieurs pour le créer,une chaîne de production,des programmeurs (et ils bossent pas gratuitement ces gens là) pour un truc que finalement peu de gens achèteraient puisqu'il aurait une utilité plus que limitée.

[Serise]

Dis au joueur moyen qu'avec ça il ne sera jamais hack et que s'il s'abo xx mois (mettre ici une longue, très longue période) d'un coup, il aura une super réduction !
Et je t'assure que ça partira comme des petits pains.
Tout simplement parce que la peur du hack est omniprésente chez l'adolescent moyen dont Dofus est le refuge.

[Sericker]

Ca l'est aussi chez les adultes je te rassure..

[Lethal-le-zouave]

Pour en revenir à ton système de protection par adresse MAC, c'est ce à quoi j'avais également pensé , mais pour cela il faudrait qu'ankama stocke des données en plus sur un serveur à eux et ça coûte des sous. Sans doute pour celà qu'ils n'ont pas utiliser ce système.

Et ce n'est pas la peine de m'assimiler à un quelconque ahuri sous prétexte que je me suis fait pirater. Je le répète une dernière fois, le soucis ici c'est bien la protection inefficace d'ankama shield. On nous promettais de sécuriser nos comptes contre les voleurs, il y ont accès tout aussi simplement. Pour eux ça n'est qu'un détail insignifiant.

[Mokuna]

Perso j'ai aucune crainte de me faire hack,je sais ce que je télécharge,et la seule fois où j'ai eu des soucis c'est avec la faille des serveurs d'ankama,tout m'a été rendu,et pourtant mon compte serait loin d'être le moins intéressant à vider (appel au amateurs )

[Serise]

Citation :

Publié par Lethal-le-zouave

Et ce n'est pas la peine de m'assimiler à un quelconque ahuri sous prétexte que je me suis fait pirater. Je le répète une dernière fois, le soucis ici c'est bien la protection inefficace d'ankama shield. On nous promettais de sécuriser nos comptes contre les voleurs, il y ont accès tout aussi simplement. Pour eux ça n'est qu'un détail insignifiant.

Si tu écris ça à cause de mon commentaire, il n'était aucunement question de t'assimiler à un quelconque ahuri.
Je répondais juste au "personne ne l'achèterait" qui se situe un peu plus haut ; parce que au contraire je pense que ça aurait du succès.

[Sericker]

Ils promettent la sécurité, oui, mais gaffe quand même... Télécharger un key fait justement partie des choses qui ne peuvent pas être sécurisés, tu en es la preuve vivante ce soir.

[drallieivEHD]

Citation :

Publié par Mokuna

Les seuls systèmes qui protégeraient à 99,9999999....% ton compte sont ceux du type mis en place par blizzard pour wow, un objet générateur de code aléatoire que tu utilises juste avant de te connecter,ça coûte des millions à mettre en place...

Le système de wow est un système similaire à ce que j'utilise pour me connecter à distance sur mon réseau professionnel, à savoir RSA Secure ID

Mais à partir du moment ou on peux avoir la main sur l'Authenticateur (l'objet en question) il est tout à fait possible de cloner son contenu (au code pin près).

Ca ne protège pas plus que le shield. A partir du moment ou on à la main sur la machine on peux tout à fait se faire passer pour quelqu'un d'autre.

C'est un peu se dire comme noter le code de sa carte bancaire sur un post-it dans son portefeuille. Tant que vous êtes le seul à pouvoir le consulter, il n'y as que peu de risque. Mais si quelqu'un regarde dedans ou vous vole le portefeuille c'est jackpot.

Les Shield protège par contre très bien contre les attaques de type Phishing et le Social Engineering, qui consiste simplement à demander à la personne de donner de son plein gré ses identifiants en évitant toutes les restrictions matérielles ou logicielles.