[Arialia]

Arf ce que je ne comprends pas c'est pourquoi il n'y a pas une sécurité en parallèle sur l'adresse IP ... si la connexion sur le jeu est différente de celle de l'authenticator ou de celle courante ça devrait demander confirmation sur le téléphone.

[Jey-nee]

Citation :

Publié par FreeeD

Dans tous les cas y'a une grosse faille au niveau de l'authenticator

(svp un offi qui me mp)

Plutôt que d'attendre que quelqu'un te MP, contacte directement Xyale ou Kylls. Ou en fait n'importe qui du staff Ankama qui te semble suffisamment sérieux pour remonter ça à qui de droit.


Sinon, pour Dark' c'est justement ce que disait je-sais-plus-qui un peu plus haut. Une adresse mail peut être "sécurisée" en ne l'utilisant que pour des jeux par exemple. Tu peux très bien avoir 4-5 adresses mail pour différents services (par exemple avoir une adresse Jey-Nee(at)gmail.com pour les documents administratifs, ça fait pas très sérieux. Avoir une adresse Nom-Prénom@gmail.com sur un forum public, c'est relativement dangereux).
Du coup ça devient impossible de récupérer ton adresse mail de jeu. Vu que y a qu'Ankama qui la connaît.

[FreeeD]

Citation :

Publié par Jey-nee

Plutôt que d'attendre que quelqu'un te MP, contacte directement Xyale ou Kylls. Ou en fait n'importe qui du staff Ankama qui te semble suffisamment sérieux pour remonter ça à qui de droit.

edit : finalement j'ai mp lichen sur ankabox

[Skwi]

"Bonne nouvelle", il y a bien eu intrusion sur le compte durant ce lapse de temps de 30 secondes et il a pu récupérer son stuff!

Si on perd le "duel" de connexion avec l'intru il n'y a aujourd'hui en effet aucun moyen de contrer ça.
Comme proposé, un bouton sur l'application pour déconnecter le compte pourrait être bien pratique!

Je lui ai demandé d'écrire un p'tit message ici pour apporter des précisions (s'il en a).

Edit: Apparemment il n'y a pas eu de précisions
Mais sinon comme ça a été dit plusieurs fois, ici et ailleurs, désactivez les liens cliquables...

[Arialia]

Citation :

Publié par Skwi

"Bonne nouvelle", il y a bien eu intrusion sur le compte durant ce lapse de temps de 30 secondes et il a pu récupérer son stuff!

Si on perd le "duel" de connexion avec l'intru il n'y a aujourd'hui en effet aucun moyen de contrer ça.
Comme proposé, un bouton sur l'application pour déconnecter le compte pourrait être bien pratique!

Je lui ai demandé d'écrire un p'tit message ici pour apporter des précisions (s'il en a).

Edit: Apparemment il n'y a pas eu de précisions
Mais sinon comme ça a été dit plusieurs fois, ici et ailleurs, désactivez les liens cliquables...

Oui un bouton mais aussi test de l'ip quand même, et peut-être blocage du compte en cas de tentatives échouées , vu que ça implique un programme qui essaye de se connecter régulièrement en boucle , au bout de 10 tentatives échouées => alerte intrusion sur le téléphone et chez ankama .... et blocage du compte ....

[Skwi]

Si ton tel est en 3G et le pc sur ta connexion normale, il n'y aura pas la même plage/IP.
Mais oui, une sécurité si il y a du spam de connexion sur un compte peut être bien : 10 échecs de connexion en boucle, envoi d'un mail pour déverrouiller le compte.

[Arialia]

Ben perso a part en vacances je privilégie le wifi et en vacances partage de connexion 3g/4g donc de toutes manières les deux sont sur le même réseau ...

[Kylls]

Bonjour,

Pour les victimes de vol, êtes-vous des utilisateurs de TeamSpeak ?

[feuby]

C'est bizarre que l'authenticator et le shield soient pas utilisables simultanéments. Ou du moins qu'on puisse pas faire une sécurité "ordinateur" en plus de faire une sécurité "tel portable".

[Arialia]

Citation :

Publié par feuby

C'est bizarre que l'authenticator et le shield soient pas utilisables simultanéments. Ou du moins qu'on puisse pas faire une sécurité "ordinateur" en plus de faire une sécurité "tel portable".

c'est vrai que les deux actifs seraient bien

[Carapuce]

Citation :

Publié par Kylls

Bonjour,

Pour les victimes de vol, êtes-vous des utilisateurs de TeamSpeak ?

J'entendais parler de teamspeak sur plusieurs canaux de discussions hier sans y prêter attention, ils ont été victimes d'une faille de sécurité ?

Go Discord les gens pour des serveurs vocaux de qualité et gratuits

[Ebrithil]

Citation :

Publié par Kylls

Bonjour,

Pour les victimes de vol, êtes-vous des utilisateurs de TeamSpeak ?

C'est effectivement le cas oui.

[Shizu']

Mais logiquement, même si on se fait avoir via teamspeak, on devrait pas se faire vider si on a l'authenticator, la est le soucis

[Dark']

Citation :

Publié par Carapuce

J'entendais parler de teamspeak sur plusieurs canaux de discussions hier sans y prêter attention, ils ont été victimes d'une faille de sécurité ?

Go Discord les gens pour des serveurs vocaux de qualité et gratuits

Toute une alliance s'est faites hack sur oto mustan. Il semblerait que l'admin voire des randoms puissent forcer le telechargement de keylogger (sans que tu sois notifié évidemment). Pour ça que j'en avais parlé auparavant.

Ps: je parle évidemment de ts, je ne connais pas discord.

[Carapuce]

https://discordapp.com/

[Spinzaku]

Imaginons également un autre cas de figure totalement différent et assez tiré par les cheveux : Si jamais une personne arrive à avoir mon identifiant Apple (ou autre) par exemple en ayant une ancienne tablette ou smartphone à moi et que, si je suis très très bête car je n'ai rien formaté..., il puisse ddl l'application. Là il y a une possibilité totale de vol (et pas que de Dofus du coup) ou alors lorsque l'application est installée elle se fait réinitialiser automatiquement ?

Je sais que c'est assez difficile à imaginer mais je suis sûr que certaines personnes revendent leurs appareils sans les formater !

[Arialia]

Citation :

Publié par Spinzaku

Imaginons également un autre cas de figure totalement différent et assez tiré par les cheveux : Si jamais une personne arrive à avoir mon identifiant Apple (ou autre) par exemple en ayant une ancienne tablette ou smartphone à moi et que, si je suis très très bête car je n'ai rien formaté..., il puisse ddl l'application. Là il y a une possibilité totale de vol (et pas que de Dofus du coup) ou alors lorsque l'application est installée elle se fait réinitialiser automatiquement ?

Je sais que c'est assez difficile à imaginer mais je suis sûr que certaines personnes revendent leurs appareils sans les formater !

Aucun souci , vu que logiquement tu auras installé l'application sur un nouveau appareil et utilisé le code de restauration qui invalideras automatiquement l'ancienne .... d'ailleurs attention contrairement à celui de blizzard , le code de restauration tu ne l'as qu'à l'installation ou restauration : à noter impérativement ... et à ne pas perdre.

[Skwi]

Citation :

Publié par Kylls

Bonjour,

Pour les victimes de vol, êtes-vous des utilisateurs de TeamSpeak ?

Non, mon ami n'utilise ni TS ni skype. Il a du se faire voler ses identifiants d'une autre façon.

[HuPi]

Citation :

Publié par Kylls

Bonjour,

Pour les victimes de vol, êtes-vous des utilisateurs de TeamSpeak ?

Quand bien même les joueurs auraient été victime d'un hack par TS. Comment expliquez vous que l'authentificator ait sauté ? Parce que même avec le PC, il est impossible de désactiver/activer ou désinstaller l'authentificator.

[Nadcap]

Bonjour à tous,

Je suis moi aussi utilisateur de l'authenticator. Je n'ai à ce jour rencontré aucun problème de sécurité avec l'authenticator mais selon moi un autre gros problème existe aussi, je m'explique :

Déjà, à la tentative de connexion, en cas de mot de passe erroné le message classique pour prévenir que les identifiants sont faux apparait. Seulement, si les logs sont corrects, on obtient non plus le message de refus de connexion pour identifiants erronés mais à la place un message indiquant que l'authenticator protège le compte. L'accès est bien bloqué néanmoins on sait que les identifiants sont corrects. Comme dans le cas de notre ami, quelqu'un peut surveiller la connexion du personnage et tenter de s'y connecter en même temps pour espérer être celui qui sera connecté au bout des 30 secondes. Partant de là, il devient difficile pour le vrai propriétaire de changer ses logs et déconnecter le hackeur en même temps.

En gros on peut forcer la connexion à un compte avec plusieurs mots de passe jusqu'à trouver le mot de passe correct. Si le pop-up "mdp incorrect" apparaît on sait qu'on s'est trompé, si c'est le pop-up qui parle de la protection de l'authenticator, on sait qu'on a le bon mdp. Ensuite on attend que le vrai propriétaire désactive le shield et s'y connecte pour se lancer dans un duel de connexion avec lui.

De plus, à la différence du shield, il ne reste là aucune trace de l'IP dans l'historique des connexions dans la gestion de compte donc et on ne sait pas que quelqu'un connaît peut-être nos identifiants.

Je pense qu'une notification en cas de tentative de connexion pourrait être envoyée sur le smartphone du propriétaire en cas de tentative de connexion réussie MAIS bloquée par l'authenticator. Et puis surtout la priorité est selon moi que cette indication grossière sur la conformité des logs soit évitée. J'ai aussi eu une autre idée mais qui a déjà été abordée : j'adhère complètement à l'idée du bouton de déconnexion. De plus, je me suis dit qu'un code de confirmation simple généré par l'application pourrait être demandé pour réellement authentifier la connexion.

[Shizu']

Le coup du type qui tente de se logs dans les 30 secondes est clairement un soucis (surtout que suffit qu'il t'ajoute en ami, attende ta connexion et tente de te co, logiquement, il reste encore des secondes, après si t'es pas chanceux, ta box reboot à ce moment et rip, mais bon, la, faut vraiment pas avoir de chances :d) mais c'est un soucis "connu" dans le sens ou on sait que le compte est open 30 secondes, c'est mal foutu, mais on le sait

Par contre, j'ai plus de mal avec le coup de l'authenticator qui se fait désactiver comme ça...ça devrait pas être possible, même avec un keylogger, t'es le seul à avoir ton code de restauration et à avoir accès à ton telephone/tablette, j'arrive vraiment pas à comprendre, ça serait cool qu'on ai des infos venant d'offi' (j'ai le droit de rêver ? )

[falcon]

Citation :

Publié par Kouin-

...tu t'inscris pas sur X sites bizarres et le mot de passe de la messagerie pareil tu l'dis à personne logiquement, suffit là encore de pas ouvrir n'importe quel mail, avoir un filtre, un anti-virus performant...Pourquoi ça n'arrive pas à tout le monde d'être pillé ? Parce qu'on est pas tous des imbéciles.

Je cherchais le lien histoire de te démontrer le contraire (merci Carotte !) cela date de 2 ans, et j'ai été hack sans avoir commis la moindre imprudence comme quoi aucun système n'est infaillible quoique tu en dises ^^

Citation :

Envoyé par Sylfaen
Vols d’objets et de kamas dans des coffres de maisons entre le 11/04 et le 15/04
Des négligences vis-à-vis de la sécurisation d’un compte ont permis à des voleurs identifiés en Chine de s’introduire sur le compte d’un membre de notre équipe communautaire et d’en prendre contrôle du jeudi 11 avril au dimanche 15 avril, moment où le compte a été bloqué par le support.

Le compte a été utilisé par ses voleurs pour accéder à des maisons de joueurs et y récupérer tout ou partie des kamas qui y étaient stockés, ainsi que certains équipements

[Skwi]

moi j'ai en tête le poilu y'a peut-être 10ans, palejaune. qui a l'époque "hackait" réellement en exploitant des failles. (ou alors c'est une légende?)

[Kouin-]

Citation :

Publié par falcon

Je cherchais le lien histoire de te démontrer le contraire (merci Carotte !) cela date de 2 ans, et j'ai été hack sans avoir commis la moindre imprudence comme quoi aucun système n'est infaillible quoique tu en dises ^^

Ouais enfin là rien à voir, on parle de coffres de maisons, pas de comptes de joueurs. T'es mignon mais l'accès est totalement différent. Dans ce cas, pour peu qu'une maison ne soit pas sécurisée avec "l'accès interdit aux non-membres de la guilde" etc, il suffit d'un bot qui tape toutes les combinaisons et hop, au bout d'un moment ta maison il te la pille, ça n'a rien à voir avec un "hack".


Tu comprends rien à c'que j'raconte en fait @falcon (mais à la limite en suivant les différents sujets sur JOL on s'aperçoit que tu lis avec des œillères donc ça me surprend pas), j'te dis que j'ai bien saisi que là ça venait d'un compte modérateur etc etc, je sais bien ce qu'il s'est passé des amis on eu leurs maisons pillées mais le fait de visiter une maison ce n'est pas du hack, le fait de chopper l'accès d'un compte modérateur oui. Le fait de faire un bot pour forcer les codes des maisons/coffres c'est pas du hack, c'est du vol. Tu comprends ou toujours pas ? De plus c'est pas grace à un compte modérateur que tu trouveras le mot de passe d'un mec connecté sur la map, alors ton "tout devient possible" me fait bien marrer.

[falcon]

Citation :

Publié par Kouin-

Ouais enfin là rien à voir, on parle de coffres de maisons, pas de comptes de joueurs. T'es mignon mais l'accès est totalement différent. Dans ce cas, pour peu qu'une maison ne soit pas sécurisée avec "l'accès interdit aux non-membres de la guilde" etc, il suffit d'un bot qui tape toutes les combinaisons et hop, au bout d'un moment ta maison il te la pille, ça n'a rien à voir avec un "hack".

Les maisons visitées étaient avec acces interdit ^^ c'était bien un hack de compte admin... et a partir de là tout devient possible même si tu as une défense en béton et un antivirus a 100€ par mois
https://forums.jeuxonline.info/showthread.php?t=1217607

Citation :

Publié par Ragnatox

En effet il s'agit de vol. Cependant non seulement c'est horriblement récurrent, mais de plus cela peut arriver à n'importe qui.

Que ce sois des amis soucieux et mature, mon meneur casual, voir même uniquement un seul personnage parmi les 8 comptes de divers joueurs pourtant parano sur leur sécurité, le vol est tellement présent ici et la. Personne n'est à l'abri, ou plutôt ne peut se protéger efficacement.

Le pire c'est le service de restitution / d'informations qui s’appelle le Support, qui souvent ne peut même pas informer car eux-même ne peuvent pas expliquer pourquoi.

L'argument des "c'est la faute a [jeune de 15 ans] qui a pas fait ce qu'il fallait" est devenu obsolète depuis longtemps réveillez-vous.