Bonsoir mes Canards,

Voilà, l'heure est grave (tseum tseum tseuuuummmmmm :O).

J'ai eu la surprise, hier, lors d'une connexion sur Starcraft 2, de découvrir que quelqu'un était très gentillement en train de profiter de mon compte Battle.net en ayant été jusqu'à créditer mon ancien compte WoW pour jouer sur ce dernier.

La bonne technique de Blizzard à été de directement bloquer mon compte lorsqu'il m'a vu arrivé sur Starcraft 2 (le message disait que mon compte était compromis) et de m'obliger à changer mon mot de passe, pour récupérer mon compte. Ce que j'ai bien sur fais. J'ai même été jusqu'à mettre leurs sécurité Authenticator pour avoir à me taper un code différent à chaque connexion... Bref.

Là ou ça couille c'est que le pseudo de B.net est mon pseudo de partout sur les trucs important... Pourtant, deux majuscule et 3 chiffres je pensais que ça suffirait. Apparament non. J'ai eu le bon reflex de modifier mon mot de passe Gmail (sachant que les comptes B.net sont sur une adresse e-mail... C'est pas le plus intelligent...) par sécurité.

Et cet après midi, sur Gmail justement, j'ai eu droit à un message comme quoi quelqu'un de chine se serait log sur mon Gmail :


Unknown China (111.174.17.236) Sep 12 (1 day ago)

Ma question est la suivante : Je peux faire quoi maintenant ?
J'ai changé tout mes mots de passe avec l'ordinateur du bureau (car je suis au taff là).
J'ai bien entendu changer mes logs Steam, il me reste encore un paquet de mot de passe à modifier + ceux que j'ai déjà oublié sur tel ou tel site...

Et surtout : je sais pas DU TOUT d'où ça proviens.

Je n'avais plus internet depuis 5 jours, hier matin je le récupère, je fais un SC2 (donc une seule connexion sur Battle.net) et je déco. 3h après il était déjà sur mon compte.

Une analyse Avast minutieuse n'a rien détecter.... Je flippe d'avoir encore des attaques à ce niveau là... Et j'aime pas ça...

Que me conseillez-vous ?

Salut,

>>> sur ton ordi personnel, at home :
- es-ce que tu testes / installes pas mal de logiciels en tout genre ?
- es-tu seul à utiliser ton ordi ?
- du p2p ? (légal ou illégal on s'en fiche, mais partage de fichiers ?)
- adepte du megaupload, megavideo, 01net et autres sites de téléchargement ?
Tu as peut être chopé une saleté, cochonceté que l'ami Avast n'a pas reconnu (les AV sont tout sauf efficaces à 100%, malheureusement).

>>> mêmes questions sur ton ordi au taf, avec en bonus :
- serais-tu, comme beaucoup, sous la gouverne d'un admin réseau en carton (nul) et/ou glandeur (c'est toi qui sécurise ton poste) et/ou pas sympa (il regarde tes mails et ton surf) ?

Dans le doute, et dans la mesure où l'on ne peut jamais être sûr qu'un PC infecté a été totalement désinfecté, la chose à faire -en plus de ce que tu as déjà fait (et tu as bien raison d'avoir réagit aussi vite)- serait de repartir de zéro :
- sauvegarde au cas où (le minimum, et sûr)
- formates tout
- galette Windows puis réinstall
- sauvegarde et stockage de ton install sur un support qui ne sera utilisé que pour une éventuelle restauration, et pas autre chose (y'a rien de pire que de réaliser que sa sauvegarde est vérolée).

Donc modif des mots de passes et nouvelle install, tu devrais être débarrassé du gros des soucis (mdp trouvé par un tiers, virus, keyloggers).

Et surtout, si tu te connectes à ta boite mail ou Steam (ou pire, ta banque) depuis ton taff : arrêtes ça tout de suite malheureux :)

xkcd a pensé à toi, hier :)
http://xkcd.com/792/

xkcd a pensé à toi, hier :)
http://xkcd.com/792/
:bave:

M'est arrivé pareil.
Conection sur mon compte gmail depuis la chine puis tentative de réactiver mon compte wow, mais blibli l'a bloqué.
Je sais pas du tout comment ils ont fait.

J'ai changé pass gmail et battlenet et j'ai formaté car j'ai reçu mon ssd vendredi dernier.
Bon ben plus qu'à attendre.
Mais j'aimerais bien savoir comment ils ont fait les nouaches !!

Vos mots de passe faisaient quelle longueur ?

[...]
Mais j'aimerais bien savoir comment ils ont fait les nouaches !!

Ils sont très nombreux, chaque ressortissant Chinois tente une à deux combinaisons par seconde pendant une minute et ensemble ils trouvent un mot de passe Steam plus vite qu'un ordinateur quantique de 50 qbits. C'est vrai.

Vos mots de passe faisaient quelle longueur ?

Moi c'était "toto" je croyais que c'était vachement dur à trouver pourtant !


Voilà mon hacker:

Inconnu Chine (123.165.112.39) 28 août


Sachant que j'ai mis plusieurs jour à m'en apercevoir !!

Pour l'instant il m'est rien arrivé.

Mais vu que blizzard a détecté quelquechose d'anormal sur le compte battlenet, je suppose que c'était du bruteforce !! Car sinon comment auraient ils pu s'en appercevoir ?

Vos mots de passe faisaient quelle longueur ?
C'est pas un problème de longueur c'est surtout le problème d'utiliser le même mdp sur TOUS ses comptes ;)

ça va c'est pas mon cas j'ai au moins 20 mots de passe différents voir plus

un mot : keylogger.
une solution : arrêter le pr0n sur internet.

Bha heu moi je dl que du porn sans keylogger :)

---------- Post ajouté à 00h36 ----------

Par contre j'avais testé des vpn gratuits, c'est ptet là que j'en ai choppé un.

Bha heu moi je dl que du porn sans keylogger :)[COLOR="Silver"]L'inverse est très courant aussi.

Dans un mot de passe les caractére majuscule et minuscule et les chiffres sont maintenant assez facile a trouvé

C'est que 62 possibilité par caractère que comporte un mot de passe et les gmail et consort on rarement des sécurité anti-brute force qui bloque âpres x tentative raté de connexion a un pseudo sans compté que pas mal de grosse faille existe (d'ailleurs google vient de viré un de ses employé pour utilisation frauduleuse de donnée mais ce n'est peut étres pas le seul)

quand au keylogger c'est possible aussi. reste a savoir ou tu la chopé et si c'est le cas réinstalle ta machine dare dare

PS: même mon mot de passe de 12 caractères que j'avais sur un forum n'a pas tenu a une époque depuis j'en ai un de 25 sur le même forum.

Dans un mot de passe les caractére majuscule et minuscule et les chiffres sont maintenant assez facile a trouvé

C'est que 62 possibilité par caractère que comporte un mot de passe et les gmail et consort on rarement des sécurité anti-brute force qui bloque âpres x tentative raté de connexion a un pseudo sans compté que pas mal de grosse faille existe (d'ailleurs google vient de viré un de ses employé pour utilisation frauduleuse de donnée mais ce n'est peut étres pas le seul)

quand au keylogger c'est possible aussi. reste a savoir ou tu la chopé et si c'est le cas réinstalle ta machine dare dare

PS: même mon mot de passe de 12 caractères que j'avais sur un forum n'a pas tenu a une époque depuis j'en ai un de 25 sur le même forum.

Je ne suis pas vraiment d'accord sur le fait que 12 caractères ne sont pas suffisant pour un mot de passe WEB.

En brute force pure, 12 caractères lettres/chiffre majuscule minuscule c'est déjà pas mal. ça fait 3226266762397899821056 combinaisons possibles ( et encore, là je suppose que le hacker SAIT que le mot de passe fait exactement 12 lettres ou chiffres mais supposons.).

Statistiquement, en brute force il suffit de faire la moitié des combinaisons pour tomber sur la bonne : soit : 1613133381198949910528 combinaisons à effectuer.
En supposant une tentative toute les 1 ms ( je doute que l'on puisse réellement avoir cette rapidité pour un formulaire online, mais supposons) on obtient un temps de hack pour le mot de passe de 1613133381198949910,528 secondes en moyenne soit .. 51152123959,885 ans. Même en supposant un botnet de 1000000 de zombie attaquant ce mot de passe il tiendra statistiquement encore 5000 ans...

Le gros problème pour les mots de passe c'est toutes les autres possibilités : Keylogger et malware en tout genre, Dico, social engineering, faille dans le système de login et si l'on a accès à une empreinte du mdp : brute force et rainbow table.
Le problème en soit n'est pas de faire un mot de passe contenant des lettres et chiffres et symboles alnum dans tous les sens. Le problème c'est surtout de mettre un mot de passe pas devinable, et à l'heure de facebook, twitter et myspace, on ne peut pas dire que ce soit d'une simplicité à toute épreuve.
Autant il y a quelques années, le nom de son bateau, l'emplacement de ses dernières vacances pouvait faire l'affaire, autant maintenant...

J'ai d'ailleurs de plus en plus de mal avec tout ces sites qui demandent des mots de passes de 7+ caractères contenant lettres, chiffres, symboles, majuscule, minuscules. Pourquoi ? Car au lieu de faire comprendre aux utilisateurs que le mot de passe azertyuiop ou qsdf n'est pas un bon choix, on lui fait croire que t0t0 ou m@ison sera plus efficace.
On se retrouve alors avec : d'une, les dico des hacker qui se mettent à jour, et ce genre de variation ne rajoute pas tant de difficulté.
et deux, des utilisateurs qui utilisent un mot de passe sécurisé top moumoute... utilisé sur tous les sites qu'ils utilisent ( compte bancaire, compte paypal, compte site marchand, compte apple, compte youp**n...).

Bref j’arrête là, mais comme dans bcp de choses, le mieux est parfois l'ennemi du bien.

N'empêche qu'encore une fois les ninjas passent par des comptes msn/live/hotmail et gmail ...

Ouaip, 12 caractères, c'est pas crackable en brut force par du matériel conventionnel.
la solution est dans le mot de passe bien gaulé et long (indevinable car ne voulant rien dire sauf pour nous) et une méthode de déclinaison pour le faire varier sur chaque site/PC/appli (non, rajouter 1 puis 2 puis 3 ..., ce n'est pas une bonne méthode de déclinaison :p).
Donc, un seul super mot de passe à peaufiner et une logique de déclinaison permettant de se rappeler des mots de passe dérivés.
Évidemment, faut renouveler le mot de passe blindé régulièrement, voir la logique de déclinaison.

Pour WoW/Bnet, j'ai toujours utilisé un pass propre à ce jeu. Sur les jeux gratos, j'utilise un pass pourri relativement devinable mais c'est pas grave.

Sur mes mails, j'utilise des pass différents en fonction de l'importance de la boite mail.

Après, reste les failles de logiciels style Thunderbird ...

Ne pas utiliser Gmail (enfin ils ont pu combler leur backdoor depuis fevrier) ou éviter d'utiliser le même passe pour BNET et un webmail, c'était le cas ?

Ha quand je pense qu'en me connectant sur Facebook et Battle.net au Japon, ils m'ont tout les deux bien fait chier à me dire à quel point j'avais été compromis... Du coup, il m'a forcé à changer le mot de passe Battle.net et faute de pouvoir mettre des caractères trop étranges dedans, j'ai été obligé de mettre un mot de passe identique à un compte Gmail...

Heureusement, il semblerait que ça serve vraiment, ces petites fonctionnalités de détection de la provenance suspecte de l'activité.

Moi maintenant j'ai deux mots de passe bien balaises je leur souhaite bonne chance pour recommencer.

Moi maintenant j'ai deux mots de passe bien balaises je leur souhaite bonne chance pour recommencer.

Petit joueur.
J'ai plus d'une dizaine de base de mot de passe différent. Avec des dizaines de suppléments pour obtenir mes pass.

Mon pass hotmail fait 17 caractères.
Celui de mon compte steam fait plus de 18 caractères :p

Ah et petit précison, je n'enregistre aucun pass dans mon navigateur, sauf pour les sites de merde qui ont une base de pass commune différente des sites différents.

Puis pour ma banque, même avec mon pass, on peut pas faire grand chose. Pour avoir accès aux virements et paiements, il faut aussi ma petite carte de bataille navale magique et mon téléphone portable pour le SMS de validation. (Genre, ma banque est ultra parano). A ce sujet, ils avaient même appelé à la maison pour vérifier/valider des paiements fait aux USA quand mon père y était en voyage d'affaire...

Petit joueur.
J'ai plus d'une dizaine de base de mot de passe différent. Avec des dizaines de suppléments pour obtenir mes pass.

Mon pass hotmail fait 17 caractères.
Celui de mon compte steam fait plus de 18 caractères :p

Ah et petit précison, je n'enregistre aucun pass dans mon navigateur, sauf pour les sites de merde qui ont une base de pass commune différente des sites différents.

Puis pour ma banque, même avec mon pass, on peut pas faire grand chose. Pour avoir accès aux virements et paiements, il faut aussi ma petite carte de bataille navale magique et mon téléphone portable pour le SMS de validation. (Genre, ma banque est ultra parano). A ce sujet, ils avaient même appelé à la maison pour vérifier/valider des paiements fait aux USA quand mon père y était en voyage d'affaire...
Le mot de passe mns en béton sa sert la preuve j'ai entendu parler d'une noob qui a hacker un compte messenger dans mon collège:o:O.

MNS?

Maître-Nageur Sauveteur ?

:tired:

MNS?

Maître-Nageur Sauveteur ?

:tired:

Maître Nain Sauveteur :reflet d'acide:.

MNS?
:tired:
Maison normale sombre
Maison normale saine
Maître nunuche suicidaire
STOP TROLL§§§§§§§:tired:

Tiens, tant qu'on parle de hack.


Souvent, quand on parle de choix de mot de pass, on parle de longueur, et numero, de pas mettre sa date de naissance etc...


Quels sont les réels arguments de ce genre de choix? La facilité pour un logiciel de trouver le mot de passe?


Si on a un mot de passe qui est un mot tout simple. "Caravane" par exemple.
C'est plus facilement crackable de Xr1hyrpk98 ?

ou bien c'est juste qu'il est peut etre deduit plus facilement? Si je suis un gitant par exemple...

C'est plus facilement trouvable pour deux raisons :
- dans les attaques par dictionnaire (liste qui regroupent des millions de "mots"), il est fort probable que tous les noms communs s'y trouvent déjà
- dans les attaques par force brute, il sera plus long de trouver un mot utilisant des caractères étendus que des caractères simples. Car trouver une simple lettre, c'est une chance sur 26, mais trouver un caractère étendu, c'est plus dans le domaine d'un chance sur 128 (voire bien plus).

Le seul problème, c'est que les caractères étendus ne sont pas pris par tous les sites. Ou parfois, c'est incohérent. J'avais mis une étoile, "*", dans mon mot de passe Bioware Social Club, ça passait très bien dans Dragon Age, quand j'installe Mass Effect 2, pour une raison qui m'échappe, il n'en voulait pas. Et il me semble bien que Battle.net ne les prends pas non plus, ces foutues étoiles.
Donc ils sont bien gentils à nous dire qu'il faut des mots de passe compliqués, mais c'est pas terrible s'ils ne prennent pas déjà au moins tous les caractères accessibles sur le clavier.

Par contre, si le password n'a pas été retrouvé par l'une de ces 2 attaques (ce qui peut arriver), la complexité de votre password ne changera rien.
Du coup, lorsque vous vous êtes déjà fait "volé" votre password, vous n'êtes pas à l'abri que cela arrive de nouveau quelque soit votre nouveau password, sauf si vous avez identifié comment le hacker a procédé.

edit: oui bon, pas très rassurant comme post :ninja:

Pas rassurant, mais plein de bon sens, il vaut mieux en effet toujours prévenir sur la possibilité d'être infecté par un keylogger, ces petites saloperies étant particulièrement discrètes et silencieuses. ;)

Le seul problème, c'est que les caractères étendus ne sont pas pris par tous les sites. Ou parfois, c'est incohérent. J'avais mis une étoile, "*", dans mon mot de passe Bioware Social Club, ça passait très bien dans Dragon Age, quand j'installe Mass Effect 2, pour une raison qui m'échappe, il n'en voulait pas. Et il me semble bien que Battle.net ne les prends pas non plus, ces foutues étoiles.
Donc ils sont bien gentils à nous dire qu'il faut des mots de passe compliqués, mais c'est pas terrible s'ils ne prennent pas déjà au moins tous les caractères accessibles sur le clavier.

Tape copaindobelix pour remplacer chaque *, ton mot de passe sera bien protégé !