[Apprentiti]

Sinon, je viens apporter mon grain de sel mais je pense qu'il n'y a pas forcément de corrélation.

Personnellement j'ai été hacké début février
-sous shield
-sans donner mon mdp ou partage de compte
-sans aller sur des sites de pishing
-personne n'avait accès à mon mail

bref, voilà quoi.
Le support a répondu que j'avais été sur des sites de pishing et donner mes identifiants. Ce qui est faux, ils ont pas voulu donner de preuves.

Vers mi-février, certaines personnes hackées par des ips chinoises, le support leur a tout rendu rapidement.

Et maintenant vous.

Voilà, il n'y a pas forcément de lien. Le support vous répond avec des messages copié collé, et quand vous insistez, on vous ferme automatiquement votre ticket. Appeller équivaut à une anaphore de leur part du style :"je ne peux rien pour vous, je ne peux rien dire".

Donc, certains rendent, d'autres pas. C'est à se demander si c'est jouer au petit bonheur la chance avec eux.

Bon voilà c'est tout, je pense que tout cela n'est pas forcément lié.

[Bfx]

Quandtu entends que le mec peut rien pour toi alors que tu n'as rien fait t'as bien envie de lui crier des noms d'oiseaux

[Eifersucht]

Cas similaire pour moi, mais sur Goultard.
4 compte sur 8 dépouillés, compte "remis à zéro" ( a la connexion à la gestion de compte j'ai du changer de mdp et de question secrète ), le reste pas touchés du tout..

Et bien sur, comme le dis apprentisoigneur, les réponses du support ne sont que des copier/collé et ne répondent pas à mes question et mes craintes...

Bien sur :
Personne n'as accès aux compte
Le mail ( sur gmail ) n'a détecté aucune intrusion ( donc mon mail n'est pas " vérolé " )
Je ne suis pas allé sur des sites de phishing entrer mon numéro de CB pour m'abonner...

Bref vraiment du jour au lendemain.

[ShosuroPhil]

Citation :

Publié par sayako

non ça va uniquement dépendre du type de caractere qu'ankama utilise pour les mdp (s'il autorise uniquement les minuscules, ou maj+min ou ça + chiffre ou ajoute les caractéres hors ASCII etc...), le brute force testant toutes les possibilités (en général dans un ordre logique, donc en commençant par a et finissant par 99999999999999999999999999999999..... (je m'arrete la mais il est possible que ça soit plus long, bien que couteux en temps), mais il peut aussi commencer par le premier caractére de table ascii et proceder de meme, si ankama défini une taille mini et maxi il s'adaptera (enfin le mec qui le programme adaptera les zones de recherche)

en bref la seule chose qui te protege ça sera la longueur du mdp, les brute force commençant toujours pas les mdp les plus courts, et evitant de passer trop de temps à trouver

Heu... non. Quand on essaie de passer en brute force sur un mot de passe, surtout si on essaie de passer sur une liste de mots de passe, on va d'abord essayer les mots de passe "probable". Des trucs totalement évidents, comme des prénoms, des dates de naissance plausibles, des mélanges de prénoms et de chiffres, des mots avec des trucs super sophistiqués comme remplacer des i ou des l par des 1 et autres. des mots précédés, ou suivis, ou même, effort suprême, interrompus par des signes de ponctuation. C'est ça qui marche, tout simplement parce qu'une proportion énorme des utilisateurs choisissent des mots de passe qu'ils arrivent à retenir plutôt que des mots de passe aléatoires, même plus longs.

8 caractères pris au hasard dans la table ASCII (et pour un petit point technique, ASCII c'est 7 bits, soit un peu moins de 128 caractères à cause des caractères de contrôle - incluant bien entendu les 52 lettres minuscules et majuscules de l'alphabet latin et les 10 chiffres), c'est largement suffisant pour un bon degré de sécurité si on les prend réellement aléatoirement (ça représente 8x7=56 bits d'information: en les essayant un par un, il faudrait en essayer un peu plus de mille milliards pour avoir une chance sur 1000 de le trouver). Le problème c'est que les mots de passe choisis par utilisateurs, et retenus par les utilisateurs, n'ont jamais ce degré de fiabilité - essayez de tirer une suite de 16 chiffres réellement au hasard, et ensuite de la retenir.

[Jeysen]

Citation :

Publié par citrow

Ça me semble assez incroyable que le sujet dure depuis tant de pages, et que personne ne soit ici au courant que le brute force n'est pas possible sur dofus.

Bah oui bien sur.

Le brute force est possible sur facebook, twitter, instagram, league of legends, etc .. mais dofus possède une équipe de codeurs qui sont des génies au point d'avoir trouvé une parade

[Shuggananas]

Suffit de foutre un maximum de try de mot de passe par compte (pas par IP car contournable), et le bruteforce tu oublies.

Du genre 5 tries par minutes. Va brute force un mot de passe de 10 caractères avec ça.

[Jeysen]

Citation :

Publié par Shuggananas

Suffit de foutre un maximum de try de mot de passe par compte (pas par IP car contournable), et le bruteforce tu oublies.

Du genre 5 tries par minutes. Va brute force un mot de passe de 10 caractères avec ça.

Tu reparties la taches sur 3000 comptes par minute, et tu fais jouer les proba pour toi.

[sayako]

Citation :

Publié par ShosuroPhil

Heu... non. Quand on essaie de passer en brute force sur un mot de passe, surtout si on essaie de passer sur une liste de mots de passe, on va d'abord essayer les mots de passe "probable". Des trucs totalement évidents, comme des prénoms, des dates de naissance plausibles, des mélanges de prénoms et de chiffres, des mots avec des trucs super sophistiqués comme remplacer des i ou des l par des 1 et autres. des mots précédés, ou suivis, ou même, effort suprême, interrompus par des signes de ponctuation. C'est ça qui marche, tout simplement parce qu'une proportion énorme des utilisateurs choisissent des mots de passe qu'ils arrivent à retenir plutôt que des mots de passe aléatoires, même plus longs.

ça c'est pas du brute force, le brute force c'est la façon la plus simple de passer un code, mais c'est souvent la moins efficace, la technique que tu décrit c'est ce qu'on appelle une attaque par dictionnaire (tester des mots/prénom/dates), souvent bien plus efficace que le brute force


il existe plein de trucs bien plus efficaces pour retrouver un mdp, mais c'est de plus en plus complexe

[Apprentiti]

ce qui m'étonne le plus, c'est que certaines personnes peut-être "pistonnées" ont plus de protections que d'autres joueurs lambda.
En tout cas, on est pas tous sur le même pied d'égalité.

Certains comptes, quand ils se font hacker recoivent une protection supplémentaire: un message "votre compte a été banni provisoirement pour le protéger d'une attaque suspecte". ou un message du genre.

[Super-mario]

Citation :

Publié par apprentisoigneur

ce qui m'étonne le plus, c'est que certaines personnes peut-être "pistonnées" ont plus de protections que d'autres joueurs lambda.
En tout cas, on est pas tous sur le même pied d'égalité.

Certains comptes, quand ils se font hacker recoivent une protection supplémentaire: un message "votre compte a été banni provisoirement pour le protéger d'une attaque suspecte". ou un message du genre.

Le message, c'est un simple "Votre compte a été banni.", pas forcément rassurant. Et c'est un système automatique à ma connaissance.

(théorie du complot, tout ça...)

[Freudy]

Citation :

Publié par sayako

[...] le programmateur [...]

Programmeur*

Le programmateur c'est le truc sur ton micro-ondes.

[sayako]

au temps pour moi ^^

c'est aussi le mec qui décide du programme télé non ?

[ShosuroPhil]

Citation :

Publié par sayako

ça c'est pas du brute force, le brute force c'est la façon la plus simple de passer un code, mais c'est souvent la moins efficace, la technique que tu décrit c'est ce qu'on appelle une attaque par dictionnaire (tester des mots/prénom/dates), souvent bien plus efficace que le brute force

Si tu veux, mais dans la mesure où il n'y a aucune bonne raison de faire le "brute force" dans l'ordre lexicographique, je considère toujours que c'est du "brute force" - on se contente de choisir un ordre un peu malin de ce qu'on teste, mais on teste toujours des trucs jusqu'à trouver; ça n'exploite aucune particularité du cryptosystème, etc.

Mais j'avoue, la dernière fois que j'ai enseigné la crypto commence à dater

[cocothebo]

D'un coté entre ce qui est appelé pompeusement "attaque par dictionnaire" et un bruteforce, la seule différence repose sur...le dictionnaire (et sa taille comme quoi la taille), donc au final c'est la même chose.

Comme le dit ShosuroPhil c'est en fait juste une tentative d'optimisation de l'ordre de présentation des mdp rien de plus.

Et aussi, non les logiciels de bruteforce en mode bourrin ne suive pas l'ordre lexicographique loin de la pour des raisons d'optimisation de temps de calcul, ça permet de passer a plusieurs milliards de MD5 testés par seconde par exemple même si dans le cas d'un bruteforce à "distance" le temps limitant reste le temps de "connexion / refus".

De toute façon le bruteforce sur des login/mdp distant ça me parait douteux que ça marche vraiment, c'est quand même vraiment très très simple d’empêcher ça.

[LamasticotEnFeu]

Je vous donne la réponse du support :

Citation :

moi:
Bonjour,

ce matin en me connectant j'ai vu que mon personnage principale a été vidé uniquement de son équipements.

Je trouve ça vraiment bizarre car une vrai personne aurait pris les kamas, mes dofus, ou mes familiers.
Je me suis tourné vers l'hypothèse d'un vrai hack car ce genre de comportement ressemble plus à l'oeuvre d'un script.

Vu que je suis non responsable, j'aimerai beaucoup savoir si je pourrai récupéré mon équipement.

De plus ça fait 3 ans que je suis sur dofus et je n'ai jamais eu de problème avec la sécurité de mon compte.

cordialement,

Citation :

support:
Bonjour,

Afin de répondre efficacement à votre demande, je dois vérifier votre identité. Merci de me faire parvenir une copie de votre carte d'identité.

Merci de confirmer le nom du compte concerné (le nom du compte est l'identifiant, ce qui sert à vous connecter).

Si vous n'avez pas de carte d'identité, nous acceptons aussi les passeports et permis de conduire. Le livret de famille est accepté pour les mineurs de moins de 15 ans sans carte d'identité.

Pour joindre les fichiers à votre message, deux champs sont disponibles en bas du formulaire de réponse à ce ticket.
Cliquez sur "Parcourir" puis sélectionnez dans votre ordinateur le fichier à joindre à votre message.
Nous n’acceptons que les fichiers .jpg, .jpeg et .gif n’excédant pas 300 ko.

Si vous ne pouvez pas joindre de fichier numérique, envoyez une photocopie de votre pièce d’identité en précisant le numéro de ce ticket à l’adresse suivante :

ANKAMA – Service Support
BP 60403
59057 Roubaix cedex 1

Merci de nous fournir également une nouvelle adresse email valide, sécurisée et personnelle n'ayant jamais été utilisée pour un compte de nos jeux. Préférez très largement une adresse de votre fournisseur d'accès à internet.
Evitez les adresses email chez Yahoo car nous avons des problèmes de réception chez eux. En effet, les systèmes de filtrage chez Yahoo sont assez restrictifs et sont susceptibles de bloquer les emails en provenance d'Ankama.

Vous pouvez créer gratuitement une adresse email, par exemple sur http://www.laposte.net ou http://www.gmail.com.

Après vérification par notre service, nous donnerons suite à votre demande.

Cordialement,

la je donne tous ce qu'il demande.

et il me répond :

Citation :

support:
Bonjour,

Nous vous avons répondu directement sur le compte concerné.

Vous devriez recevoir cette réponse sur la nouvelle adresse email que vous nous avez transmise : toto@toto.toto

Je ferme donc ce ticket.

Cordialement,

la je regarde un autre post a été ouvert :

Citation :

support:

Bonjour,

Suite à votre demande, nous avons réinitialisé les accès de votre compte : toto

L'adresse email associée à ce compte est: titi@titi.titi

Votre nouveau mot de passe est: titi

Afin de renforcer la sécurité de votre compte, vous devez certifier votre compte en enregistrant une nouvelle question et réponse secrète, mais également un numéro de téléphone portable ou fixe.
Pour cela rendez-vous dans la gestion du compte ici :

https://account.ankama.com/fr/votre-.../certification

Avec votre nouvelle réponse secrète, vous pourrez par la suite générer comme bon vous semble un nouveau mot de passe depuis votre gestion de compte ici:

https://account.ankama.com/fr/votre-compte/profil, en cliquant sur « modifier » dans le bloc « Mon mot de passe ». il sera envoyé à l'adresse email associée à votre compte.

Votre nom de compte, votre mot de passe, votre réponse secrète et le numéro de téléphone associés à votre compte doivent rester secrets.

Ces modifications sont exceptionnelles. Ankama se réserve le droit de refuser des demandes abusives en ce qui concerne la modification des identifiants.

Vous devez assurer la sécurité de votre compte.

Cordialement,

conclusion : j'ai été pris pour un con

[scorpe]

Citation :

Publié par Dedrial

conclusion : j'ai été pris pour un con

En meme temps c'est juste impossible de prouver un hack et surtout que tel ou tel item ont été volé, fallait s'y attendre...

[Ghaz]

Citation :

Publié par scorpe

En meme temps c'est juste impossible de prouver un hack et surtout que tel ou tel item ont été volé, fallait s'y attendre...

Oui enfin y'a des logs de connexion quand même, c'est tout à fait possible de savoir que tel ou tel item à été voler, faut juste prendre le temps de les consulter.

[Fouduflan]

j'avais eu un soucis similaire il y quelques temps, résultat les objets perdu je les ai eu dans le cul tellement le support te prend pour un con quand tu te tape pas 50 réponse automatique avant d'avoir un vrai interlocuteur.
faut pas être trop optimiste sur la récupération de se qui a été perdu mais tu peux toujours tenter d'harceler le support, mais c'est rarement efficace

[Mosketere]

Citation :

Ces modifications sont exceptionnelles. Ankama se réserve le droit de refuser des demandes abusives en ce qui concerne la modification des identifiants.

Lol, sans déconner on peut appeler ça un support avec les espèce de copié/collé qu'ils vous envoient ?
Donc, si je résume bien, ils ne payent pas de modérateurs, du coup c'est le gros bazar (bot et autres abus) ET EN PLUS il y a juste 3 ou 4 péons dans ce qu'ils appellent le support qui envoient des copié/collé sans répondre à rien du tout.
Il n'y a pas de MJ, aucun event, personne pour s'occuper réellement de la communauté.
Si c'était un autre service ils seraient en faillite depuis longtemps.

[BillySnipes]

Citation :

Publié par Dedrial

conclusion : j'ai été pris pour un con

Je ne peux que te conseiller de demander si tes items te seront restitués en répondant directement à ce ticket.
Un ami a eu la même réponse automatique, il a demandé ce qu'il en serait de ses items, ils lui ont répondu qu'ils lui seraient restitués mais que dans un premier temps ils s'assuraient de la sécurisation du compte, et le mardi d'après ses items étaient en banque (même cas de figure que toi, et IP du vol en provenance de Chine).

Donc peut-être que tout n'est pas perdu pour toi

[Carotte§]

Citation :

Publié par Ghaz

Oui enfin y'a des logs de connexion quand même, c'est tout à fait possible de savoir que tel ou tel item à été voler, faut juste prendre le temps de les consulter.

Jusqu'à présent, par soucis de confidentialité tu n'es pas tenu au courant mais on t'assures que le méchant a eu les oreilles vigoureusement tiré. Aprés je suis de ton avis, ils savent trés bien ce qu'il te manque, seulement voila, ils ne veulent rien rendre sous couvert de bouleversement économique majeur. 50m c'est rien dans l'économie globale (chiffre prit au hasard) mais pour le joueur c'est souvent toute sa fortune. Mais ça les inquiéte pas. Mais quand il s'agit de dire au joueur que 50 dépouillements étranges ne sont rien par rapport au flux total de joueur, là ils sont bien réactifs.
Bon je m'arréte là, j'éspére que je suis mauvaise langue. Il n'y a pas de raison, le support a eu le temps d'évoluer en 2-3ans, j'ai eu de bon échos... Normalement j'ai ma réponse aujourd'hui.

[Bouhteille!]

Pour ma part j'ai eu un hack récemment, keylogger sur le pc de mon teammate et j'avais pas le shield, j'ai même pas cherché à comprendre j'suis pas allé voir sur le support.
Même si pour mon dernier ticket ils avaient été très réactif et compréhensifs je sais ce que personnellement j'aurais répondu et c'était une perte de temps.

Par contre moi ce n'était pas un bot: vidage du perso, de l'inventaire dinde, des ressources de valeur dans la banque, des hdv, oubli des métiers, bref tout.
Même si je pense que c'était un débutant parce qu'il est passé à côté de pas mal de choses notamment les parchos de sorts (J'avais même les points non distribué, donc libre service).

Par contre tu peux toujours essayer de demander pour ton stuff, ça dépend vraiment du mec sur qui tu tombes.

[saiboht]

Un de mes comptes (et un seul) a été vidé de ses équipements, kamas etc... Shield activé, mot de passe que j'étais le seul à avoir (et impossible à trouver : c'était un mot de passe généré par ankama, que j'avais légèrement modifié. Donc une suite de chiffres et lettres). Une IP frauduleuse californienne.

Bref, j'ai contacté le support : ils ont sécurisé mon compte, puis clonage + restitution de mes stuffs, le tout en une semaine. Je te conseil de ne pas lâcher l'affaire.

[Carotte§]

Y'a que moi que ça choque de voir que le Shield est en béta et que si tu refuses de te pourrir la vie (oui, pour peu que tu te déplaces, faut aller sur ton mail pour prendre un code. Ayant énormément de comptes, c'est juste chiant.), on te rends pas tes stuffs?

[aXion]

Citation :

Publié par citrow

Ça me semble assez incroyable que le sujet dure depuis tant de pages, et que personne ne soit ici au courant que le brute force n'est pas possible sur dofus.

Lors de l'intrusion, je crois que les hackers avaient récupéré les mots de passe hashés.

Dans ce cas, rien n'empêchait le brute force à priori.

Si des gens qui avaient échappé au pillage à l'époque ont toujours le même mdp aujourd'hui, ils ne sont pas protégés contre un brute force. À part Shield actif.