PDA

Voir la version complète : [Diablo III] Hack



Page : [1] 2

Rikimaru
30/05/2012, 16h28
Plop à tous j'ouvre ce topic pour vous faire partager cette vidéo (non c'est pas un fake) d'un hack en plein partie.


http://www.youtube.com/watch?v=8iQoOMJ9n8k&feature=related

WeeSKee
30/05/2012, 16h29
Oui ça fait 1 semaine que les gens se font hacker. Là il est pris en flag' mais ils opèrent tous de la même manière.

D'ailleurs, en parlant de hack, vous avez tous fais péter vos authenticator ? :trollface:

PsykoShima
30/05/2012, 16h33
Tant qu'on est là, j'ai pas croisé de hack encore mais est-ce que vous connaissez leur manière d'opérer, si c'est par phishing pour par des techniques plus évoluées ?

Jeremy
30/05/2012, 16h38
Tant qu'on est là, j'ai pas croisé de hack encore mais est-ce que vous connaissez leur manière d'opérer, si c'est par phishing pour par des techniques plus évoluées ?
Phishing + le fait que plein de gens utilisent les mêmes couples de login / pass pour tout (avec toutes les bdd libres d'accés depuis l'an dernier ça doit être monstrueux) + la connerie de question perso pour récupérer son compte dont l'info peut souvent se chopper par facebook.

WeeSKee
30/05/2012, 16h40
Tant qu'on est là, j'ai pas croisé de hack encore mais est-ce que vous connaissez leur manière d'opérer, si c'est par phishing pour par des techniques plus évoluées ?

En fait personne ne sait. Pour blizzard, c'est les joueurs qui ne sécurisent pas assez leurs comptes. Pour les joueurs, c'est des failles du côté de chez blizzard.

Ceci étant, si tu as un problème tu as le droit à 2 restaures en tout et pour tout.

Sinon j'ai vu un poste sur le forum off, même si c'est un fake, c'est tout à fait possible. Un mec à créé un fansite de diablo3, et il a réussi à récupérer des comptes de joueurs. Pourquoi ? Parce que les gens utilisent le même login / mdp sur le fansite... il y en a une très faible minorité, mais sur un nombre de joueurs comme il y a sur D3, ça fait suffisamment de joueur pour créer un mini tsunami.

Zerger
30/05/2012, 17h37
C'est un complot de BLizzard pour acheter 2 fois plus sur l'HV :trollface:

Anon26492
30/05/2012, 17h54
Quelqu'un a vérifié que c'était pas un fake ?

Tilt
30/05/2012, 20h12
Je pense que ce n'est pas un fake.
Moi j'ai fait pété l'authenticator :)

Nattefrost
30/05/2012, 20h16
Pas d'auth de mon coté, et de toutes manières ça ne sert pas à grand chose puisque des gens avec Auth ont été hack sans recevoir d'alerte.

PurpleSkunk
30/05/2012, 20h23
Pas d'auth de mon coté, et de toutes manières ça ne sert pas à grand chose puisque des gens avec Auth ont été hack sans recevoir d'alerte.

Pas sûr, ça il se dit un peu partout que c'est du flan (en gros des mecs qui disent qu'ils ont l'authenticator pour pas passer pour des blaireaux).

Benounet
30/05/2012, 20h24
Ca marche comment d'ailleurs un auth?
C'est lie au .exe non? Ou ca envoie une requete serveur et tout? Si c'est le cas 1 ca sert clairement a rien.
Non non y'a Sellig de CPC qui s'est fait hack tres tot et qui avait un auth.

Nattefrost
30/05/2012, 20h26
Ha ça...je ne sais pas. Ce que je sais c'est que j'ai été hack la semaine dernière, et je n'ai pas d'auth. Bizzarrement ils n'ont pas touché mes persos Hc donc m'en fous, ne jouant qu'en Hc. Evidemment j'ai changé tout ce qui était modifiable vis-à-vis de mon compte.

Tilt
30/05/2012, 20h29
Bien sûr Blizzard est tellement nul qu'il faut des auth qui servent à rien (je dis ça pour benounet)

jaragorn_99
30/05/2012, 20h31
Ya pas 36 milles solutions, il y a juste quelques principes de bases.
Avast, tu bannira de ton PC (en gratuit, entre avira et MSE, il y a le choix).
Malwarebytes, tu installera (ou spybot).
Hijackthis tu lancera, histoire de voir si tu n'as pas quelques merdes qui trainent.
Un authentificator, tu achetera (ou la version appli au choix).
Les sites de porn, tu évitera.

Voilà, c'est pas compliqué.

Eprefall
30/05/2012, 20h32
Dans le doute je vous conseille de mettre votre authenticator en demande à chaque connexion. C'est chiant mais au moins si vous vous faites hacker c'est que ça vient pas de chez vous.

sissi
30/05/2012, 20h34
Ya pas 36 milles solutions, il y a juste quelques principes de bases.
Avast, tu bannira de ton PC (en gratuit, entre avira et MSE, il y a le choix).
Malwarebytes, tu installera (ou spybot).
Hijackthis tu lancera, histoire de voir si tu n'as pas quelques merdes qui trainent.
Un authentificator, tu achetera (ou la version appli au choix).
Les sites de porn, tu évitera.

Voilà, c'est pas compliqué.

Désolé, mais je suis pas encore prêt à lâcher ça pour un jeu vidéo, aussi bon soit il. :cigare:

Addaio
30/05/2012, 20h34
Pourquoi les sites porn ???

pekpek
30/05/2012, 20h37
Désolé, mais je suis pas encore prêt à lâcher ça pour un jeu vidéo, aussi bon soit il. :cigare:

Les sites de porn qui font courir des risques, c'est surtout une idée reçue qui se révèle fausse en pratique. Tout site est attaquable.
Le site de je ne sais plus quelle ONG (Amnesty International ?) diffusait un trojan récemment par exemple.

Addaio
30/05/2012, 20h41
Les sites de porn qui font courir des risques, c'est surtout une idée reçue qui se révèle fausse en pratique. Tout site est attaquable.
Le site de je ne sais plus quelle ONG (Amnesty International ?) diffusait un trojan récemment par exemple.

Je crois que c'était le site du Vatican ... ^_^

ese-aSH
30/05/2012, 20h42
Ca marche comment d'ailleurs un auth?
C'est lie au .exe non? Ou ca envoie une requete serveur et tout? Si c'est le cas 1 ca sert clairement a rien.
Non non y'a Sellig de CPC qui s'est fait hack tres tot et qui avait un auth.

Un serveur externe, probablement meme pas de chez blizzard (t'as des boites spécialisées la dedans), sur lequel un algo prend en parametre ta 'clé' (que tu ne connais pas mais qui est liée d'une manière ou d'une autre a ton compte) et va générer une 'clé'. Cette clé change toutes les x secondes (l'algo en génère une nouvelle), d'ou le fait que tu n'ai pas a entrer le meme chiffre a chaque fois.

jaragorn_99
30/05/2012, 20h44
Pourquoi les sites porn ???
:trollface:
Joke (ou pas dailleurs).
Pour ma part, la seule fois ou j'ai chopé une merde (ça remonte a War3) c'était via un site de crack pour jouer à Warcraft 3 en nocd, l'.exe etait vérolé.

deathdigger
30/05/2012, 20h44
Ca marche comment d'ailleurs un auth?
C'est lie au .exe non? Ou ca envoie une requete serveur et tout? Si c'est le cas 1 ca sert clairement a rien.
Non non y'a Sellig de CPC qui s'est fait hack tres tot et qui avait un auth.

T'as un boitier (ou une appli sur Android/Iphone) qui génere un code tous les x temps selon son numéro de série.
Tu rattaches le numéro de série à ton compte sur le site internet, comme ça à chaque fois que tu veux jouer/te connecter sur le site (tu peux régler pour que ce soit sur une nouvelle détection de hard), il te demande le mot de passe en cours de l'authentificator.
C'est gratuit sur portable, sinon ça coute 10€ sur amazon.

Addaio
30/05/2012, 20h51
T'as un boitier (ou une appli sur Android/Iphone) qui génere un code tous les x temps selon son numéro de série.
Tu rattaches le numéro de série à ton compte sur le site internet, comme ça à chaque fois que tu veux jouer/te connecter sur le site (tu peux régler pour que ce soit sur une nouvelle détection de hard), il te demande le mot de passe en cours de l'authentificator.
C'est gratuit sur portable, sinon ça coute 10€ sur amazon.

Un nouveau code (8 chiffres) ttes les trente secondes ...

PurpleSkunk
30/05/2012, 20h54
Les sites de porn, tu évitera.

Mode privacy sur le navigateur FTW! :trollface:

Benounet
30/05/2012, 20h57
Hm, merci pour les reponses.

Serra
30/05/2012, 20h59
:trollface:
Joke (ou pas dailleurs).
Pour ma part, la seule fois ou j'ai chopé une merde (ça remonte a War3) c'était via un site de crack pour jouer à Warcraft 3 en nocd, l'.exe etait vérolé.

Oula, War 3... Pr0n... Tu as des "pratiques" plus qu'étranges !!! :o

deathdigger
30/05/2012, 21h25
Petit copié-collé d'un post officiel :


Nous souhaitons prendre un moment pour évoquer les récents messages qui suggèrent que la sécurité de Battle.net® et Diablo® III pourrait avoir été compromise. Les choses se passent toujours ainsi : à la sortie d’un nouveau jeu, comme une extension de World of Warcraft®, le nombre de requêtes que nous recevons suite au piratage de comptes augmente, et c’est une fois de plus ce qui se passe avec Diablo III. Nous savons à quel point il est frustrant d’être victime d’un vol de compte. Comme toujours, nous ne ménageons pas nos efforts pour aider les joueurs à assurer la sécurité de leur compte Battle.net et nous apprécions lorsque les joueurs prennent eux aussi les mesures appropriées pour se protéger. Vous pouvez en savoir plus sur les moyens de renforcer la sécurité liée à votre compte, ainsi que sur les mesures internes et externes que nous avons mises en place pour nous aider à atteindre un niveau de sécurité maximal, sur notre site Internet dédié à la sécurité des comptes : www.battle.net/security .

Nous tenons également à rappeler que le Battle.net Authenticator et le Battle.net Mobile Authenticator (une application gratuite pour iPhone et appareils fonctionnant sous Android) continuent à être les moyens les plus efficaces pour se protéger contre le piratage de son compte et nous encourageons tous les joueurs à les utiliser. De plus, nous avons récemment ajouté un nouveau service pour Battle.net intitulé Alertes SMS, qui vous permet d’utiliser tout téléphone mobile capable de recevoir du texte pour débloquer un compte Battle.net verrouillé, récupérer le nom de votre compte, valider une mise à jour de mot de passe ou supprimer un Authenticator perdu. Si vous le désirez, vous pouvez également régler le système des Alertes SMS de Battle.net afin de recevoir un message dès qu’une activité inhabituelle est détectée sur votre compte, afin de vous tenir informé des modifications importantes (et potentiellement non désirées).

Pour plus d’informations sur l’Authenticator, consultez la page http://eu.battle.net/support/fr/article/battle-net-authenticator-faq

Pour plus d’informations sur le Battle.net Mobile Authenticator, consultez la page http://eu.battle.net/support/fr/article/battle-net-mobile-authenticator-faq

Pour plus d’informations sur les Alertes SMS de Battle.net, consultez la page http://eu.battle.net/support/fr/article/battlenet-sms-protect

Nous avons également intégré d’autres mesures à Battle.net pour favoriser la protection des joueurs. Ponctuellement, lorsque Battle.net détecte une connexion surprenante qui diffère de votre activité habituelle, comme une tentative de connexion en provenance d’un lieu différent, il vous sera demandé de fournir une information supplémentaire (comme la réponse à une de vos questions de sécurité) et/ou de réinitialiser votre mot de passe à partir du site Internet de Battle.net. Les joueurs de World of Warcraft connaissent peut-être déjà cette méthode de sécurité et les joueurs de Diablo III vont commencer à la rencontrer à leur tour.

Comme toujours, si vous pensez être victime d’un piratage de votre compte, consultez la section « À l’aide ! On a piraté mon compte ! » à l’adresse http://eu.battle.net/fr/security/help pour obtenir de l’aide.


Juste au cas où :trollface:

WeeSKee
30/05/2012, 21h27
Tout d'abord, il n'y a eu aucune personne qui a affirmé avoir été hacké avec l'authenticator. Juste des mecs qui disent ça comme ça pour pas passer pour des blaireaux en se rendant compte que les mdp en carton, ben c'est en carton.
Ensuite si vraiment ils avaient l'authenticator, alors il était réglé sur demande de code 1 fois / semaine et non à chaque connexion.

De plus, l'authenticator est le seul moyen d'être clean vis à vis de blizzard. Si vous avez l'authenticator, même si votre PC est infesté (keylogger), personne ne vous piratera (ou alors il doit le faire dans les 30 secondes après que vous ayez tapé sur votre clavier....).

Donc même si c'est chiant, c'est le seul moyen d'être tranquille. Si avec ça on vous pirate, ce sera de la faute de blizzard. Faille quelque part ou algo de l'authenticator craqué.

deathdigger
30/05/2012, 21h30
Euh si, y'en a eu sur le forum b.net des mecs hackés même avec l'authenticator.
Et très honnêtement, vu la quantité de comptes qui se sont fait péter, je pense qu'il y'a une faille quelque part.

Meuhoua
30/05/2012, 21h31
Reste que l'authentificator ne fonctionne pas par mail... donc payant si on a pas de smartphone.

Perso, je compte pas payer un truc en plus à cause d'une faille de sécurité dans leur jeu.

WeeSKee
30/05/2012, 21h32
Euh si, y'en a eu sur le forum b.net des mecs hackés même avec l'authenticator.
Et très honnêtement, vu la quantité de comptes qui se sont fait péter, je pense qu'il y'a une faille quelque part.

Ouais y'en a qui disent je sais. Je suis persuadé que c'est soit des mensonges, soit réglé sur 1 fois /semaine. Enfin bon, activez vos authenticator si vous pouvez, s'tout.

Par contre, blizzard pourrez se sortir les doigts pour proposer peut-être une petite appli windows qui va bien, pour ceux qui n'ont pas de smartphone et pas envie de payer un authenticator (ce qui est tout à fait normal)


Euh si, y'en a eu sur le forum b.net des mecs hackés même avec l'authenticator.
Et très honnêtement, vu la quantité de comptes qui se sont fait péter, je pense qu'il y'a une faille quelque part.

Il y'en a beaucoup oui, mais c'est proportionnel au nombre de joueurs aussi.

PurpleSkunk
30/05/2012, 21h34
Ouais y'en a qui disent je sais. Je suis persuadé que c'est soit des mensonges, soit réglé sur 1 fois /semaine. Enfin bon, activez vos authenticator si vous pouvez, s'tout.

Voilà, cf. mon post y'a plus d'une heure :


Pas sûr, ça il se dit un peu partout que c'est du flan (en gros des mecs qui disent qu'ils ont l'authenticator pour pas passer pour des blaireaux).

RedCap
30/05/2012, 21h37
Reste que l'authentificator ne fonctionne pas par mail... donc payant si on a pas de smartphone.

Perso, je compte pas payer un truc en plus à cause d'une faille de sécurité dans leur jeu.

Je suis d'accord, je comprends pas comment Blizzard peut être aussi cupide, le moindre petit truc qui devrait être par principe gratos (la protection d'un compte) est payant, et cher, surtout que dans le cas présent on parle pas d'un compte pour un jeu indé bradé à 5€ mais d'un jeu à 60 euroboules, le prix le plus cher sur pc (hors jeu avec dlc abusif).

frapadingo
30/05/2012, 21h44
Du moment que vous vous faites pas slash !

Damaius
30/05/2012, 23h16
Ya pas 36 milles solutions, il y a juste quelques principes de bases.
Avast, tu bannira de ton PC (en gratuit, entre avira et MSE, il y a le choix).
Malwarebytes, tu installera (ou spybot).
Hijackthis tu lancera, histoire de voir si tu n'as pas quelques merdes qui trainent.
Un authentificator, tu achetera (ou la version appli au choix).
Les sites de porn, tu évitera.

Voilà, c'est pas compliqué.

Pourquoi avast c'est pourri?

Chiff
31/05/2012, 09h08
Pourquoi avast c'est pourri?

il est toujours dans les choux. Il vaut mieux préférer Avira Antivir en gratuit ou Microsoft Security Essentials. Perso je préfère Antivir parce que MSE (quand je l'utilisais du moins) se mettait à jour avec Windows Update donc tu pouvais oublier de mettre sa base à jour.

sissi
31/05/2012, 09h20
Faut virer le popup d'antivir, il débarquait en plein tf2 ou autre multi, c'était assez énervant à subir.

WeeSKee
31/05/2012, 09h23
Moi j'utilise MSE et il me va bien (super discret, il se fait oublier). Mais bon je ne peux dire si il est efficace, il ne m'a jamais rien détecté.

Mais j'ai quand même un énorme doute sur le fait que ce soit un virus la cause de tous ces hacks. Je penche plus pour une faille de sécu du côté de blibli + certains utilisateurs avec des mdp réutilisés et trop faibles

Anonyme240623
31/05/2012, 12h57
Bon... Hacké également. Ils ont pas touché aux perso ni au coffre... Mais on pris les 300k de thune que j'avais...

Ca me fait chier d'ouvrir un ticket... :(

Jvais ajouter cette merde d'authenticator (appli) à la con.

C'est où pour changer de mot de passe ? j'ai pas trouvé sur le site de blizzard...

Nattefrost
31/05/2012, 13h41
Sur le site battlenet perso ça a fonctionné.

Anonyme240623
31/05/2012, 13h59
bon ben j'ai changé adresse de contact / mdp + authenticator.

Et je refarmerais rapidement les 300k :)

Tilt
31/05/2012, 14h01
Je voudrais savoir où l'on peut mettre à jour ses questions de sécurité ?
Car j'ai fouillé dans mon compte battle.net et je n'ai pas trouvé....

WeeSKee
31/05/2012, 14h01
bon ben j'ai changé adresse de contact / mdp + authenticator.

Et je refarmerais rapidement les 300k :)

Pense à régler l'authenticator sur chaque connexion. Et note bien quelque part le num de série et le code de restauration.. on sait jamais ;)

300k ça ira vite, dans la soirée c'est torché ^^

Sinon y'a un petit topic qui s'est mis en place, questionnaire pour les hackés (http://eu.battle.net/d3/fr/forum/topic/4507540908)

Benounet
31/05/2012, 18h54
A propos, merci a Prayel:

http://www.cinemablend.com/games/blizzard-admits-accounts-with-authenticators-have-been-hacked-42909.html

WeeSKee
31/05/2012, 19h12
A propos, merci a Prayel:

http://www.cinemablend.com/games/blizzard-admits-accounts-with-authenticators-have-been-hacked-42909.html

Bon ben là, on ne peut plus rien faire pour eux. C'est des blaireaux

Nattefrost
31/05/2012, 19h31
Bah c'était obvious que ça venait d'eux. J'ai été hack la semaine derniere alors que je n'avais pas joué en parties publiques, j'avais fait (pour d'autres raisons que D III) une analyse antimalware, une analyse antivirus et un coup de ComboFix (aucun des trois n'avait trouvé quoi que ce soit).

Bon après j'avais pas d'authentificator....mais pour l'utilité que ça a :-D .

Louck
31/05/2012, 19h33
Ca fait quoi exactement l'authentificator ?

WeeSKee
31/05/2012, 19h34
Bah c'était obvious que ça venait d'eux. J'ai été hack la semaine derniere alors que je n'avais pas joué en parties publiques, j'avais fait (pour d'autres raisons que D III) une analyse antimalware, une analyse antivirus et un coup de ComboFix (aucun des trois n'avait trouvé quoi que ce soit).

Bon après j'avais pas d'authentificator....mais pour l'utilité que ça a :-D .

L'utilité, c'est pas de pas être hacké une fois de plus. C'est d'être totalement clean vis à vis de blizzard ;)

Nasma
31/05/2012, 19h36
Je voudrais savoir où l'on peut mettre à jour ses questions de sécurité ?
Car j'ai fouillé dans mon compte battle.net et je n'ai pas trouvé....

Il faut le supprimer et le re ajouter si tu veux avoir la demande a chaque conection.

pekpek
31/05/2012, 19h47
A propos, merci a Prayel:

http://www.cinemablend.com/games/blizzard-admits-accounts-with-authenticators-have-been-hacked-42909.html

Le mec ne sait pas lire.

L'inévitable clarification :
http://us.battle.net/d3/en/forum/topic/5149542352?page=5#99


Qu'on les croit ou pas, je vois pas Blizzard changer de ton tant qu'on aura pas vu circuler un rip de BDD ou une vidéo montrant l'exploit en œuvre.

Captain_Cowkill
31/05/2012, 20h31
A propos, merci a Prayel:

http://www.cinemablend.com/games/blizzard-admits-accounts-with-authenticators-have-been-hacked-42909.html

Je dois être un peu con, mais je ne trouve nulle part la source et la citation disant clairement que Blibli a eu des comptes avec authentificateur hackés.
Enfin bref, encore des rumeurs.

Benounet
31/05/2012, 20h47
Bah le mec en bleu dit qu'il a epluche les MSI (ou je ne sais) des comptes WoW hackes avec authentificateurs et qu'ils avaient un nombre de malware et de backdoor program hallucinants.


I've personally examined the MSInfo files of nearly all of the handful of WoW players who have actually been compromised through an authenticator

Du moins l'article se base la dessus.

Ouro
31/05/2012, 20h51
Je dois être un peu con, mais je ne trouve nulle part la source et la citation disant clairement que Blibli a eu des comptes avec authentificateur hackés.
Enfin bref, encore des rumeurs.

J'ai rien contre toi, mais tu deviens vraiment casse burne à gueuler partout que c'est juste des rumeurs, des personnes ce sont fait hacker alors qu'ils sont clean, authentificator compris, un de mes amis a retrouver son main + banque vide, c'est un fait, point final !

Captain_Cowkill
31/05/2012, 21h17
J'ai rien contre toi, mais tu deviens vraiment casse burne à gueuler partout que c'est juste des rumeurs, des personnes ce sont fait hacker alors qu'ils sont clean, authentificator compris, un de mes amis a retrouver son main + banque vide, c'est un fait, point final !
Pardon ? Je suis casse-burne de prendre une rumeur pour une rumeur ? Il n'est dit nulle part que quelqu'un a déjà été piraté malgré un authentificateur.
Blizzard a démenti, j'ai une pote qui bosse au service client Blizzard qui m'affirme que TOUS les "piratés" (et c'est bien tous sans exception) n'avaient pas d'authentificateur.
C'est bien beau d'affirmer que "si si, j'ai un authentificateur" pour ne pas passer pour un con, mais il faut arrêter de se voiler la face.
Et Blizzard est OBLIGE par loi de dire si ses services ont été piratés (y compris l'authentificateur).
Donc non, ce n'est pas un fait, et pas de point final.

Et la prochaine fois, tu garderas tes généralités pour toi.

Nattefrost
31/05/2012, 21h21
C'est bien beau d'affirmer que "si si, j'ai un authentificateur" pour ne pas passer pour un con, mais il faut arrêter de se voiler la face.
Et Blizzard est OBLIGE par loi de dire si ses services ont été piratés (y compris l'authentificateur).


Obligé par la loi? C'est pas une généralité ça? On n'est obligé de rien.
Après ton pote peut affirmer ce qu'il veut, moi aussi mes potes disent des trucs, c'est pas pour autant que j'en parle sur CanardPC.

Blizzard dit bien ce qu'il veut, tout comme les gens hackés disent bien ce qu'ils veulent. Authentificator ou non. J'avoue ne pas en avoir mais mon PC était clean --> explication ? BDD récupérée? Laquelle? Hackée quand ?

Aolti
31/05/2012, 22h01
J'ai pas trouvé quel topic était le mieux pour poster ça alors je le mets ici :ninja:
http://i.epvpimg.com/6sJ0d.png
Tout son stuff 270k DPS est à la vente.

ese-aSH
31/05/2012, 22h04
Obligé par la loi? C'est pas une généralité ça? On n'est obligé de rien.
Après ton pote peut affirmer ce qu'il veut, moi aussi mes potes disent des trucs, c'est pas pour autant que j'en parle sur CanardPC.

Blizzard dit bien ce qu'il veut, tout comme les gens hackés disent bien ce qu'ils veulent. Authentificator ou non. J'avoue ne pas en avoir mais mon PC était clean --> explication ? BDD récupérée? Laquelle? Hackée quand ?
Nan mais y a une seule info utile : ton mdp bnet sur quels autres sites tu t'en est servi ?
L'histoire du keylogguer c'est nimp, et si c'était la base blizzard qui s'était faite hacké y aurait pas 1% de hack mais 100% (ou alors ils sont malins et attendent le RMAH xD)

Captain_Cowkill
31/05/2012, 22h14
Oui

J'ai failli bien prendre ton message :emo:

ese-aSH
31/05/2012, 22h15
J'ai failli bien prendre ton message :emo:
:rolleyes:

Ouro
31/05/2012, 22h15
Ce n'est pas des rumeurs bordel, faut arrêter vos conneries, il a un authentificator sur smartphone, je le sais, et il a été hack, en quoi ce serait une rumeur ?

ese-aSH
31/05/2012, 22h16
Ce n'est pas des rumeurs bordel, faut arrêter vos conneries, il a un authentificator sur smartphone, je le sais, et il a été hack, en quoi ce serait une rumeur ?

Parcequ'on ne 'hack' pas des problèmes mathématiques insolubles. Et parceque blizzard jouerai trop gros (pénalement cette fois) à mentir sur la sécurité de ses logiciels.

edit : http://fr.wikipedia.org/wiki/Rivest_Shamir_Adleman
rien de bien compliqué meme si les notations mathématiques font peur

WeeSKee
31/05/2012, 22h20
J'ai pas trouvé quel topic était le mieux pour poster ça alors je le mets ici :ninja:
http://i.epvpimg.com/6sJ0d.png
Tout son stuff 270k DPS est à la vente.

OMG, j'ai toujours eu envie de voir ça en direct tellement je matte de stream SC2 / diablo 3 :'(

Azerty
31/05/2012, 22h27
J'ai pas trouvé quel topic était le mieux pour poster ça alors je le mets ici :ninja:
http://i.epvpimg.com/6sJ0d.png
Tout son stuff 270k DPS est à la vente.

Ouch', le fail de compétition !

Achille
31/05/2012, 23h58
Ouch', le fail de compétition !

C'est qui ce monsieur ?

Benounet
01/06/2012, 00h18
Un PGM qui vit de donations de ses "followers".

Kazeos
01/06/2012, 00h19
C'est qui ce monsieur ?

Un joueur qui stream ses parties connu pour son down du boucher en 3 secondes (Inferno)

http://www.athenelive.com/

Poon
01/06/2012, 00h29
Et qui va probablement se faire piller grassement son compte...

dingo47
01/06/2012, 00h43
Un joueur qui stream ses parties connu pour son down du boucher en 3 secondes (Inferno)

http://www.athenelive.com/

ah ça me fait plaisir je l'ai regardé jouer en me disant fait chier je peux pas jouer et il a été déconnecté subitement sans pouvoir se reconnecter. Y'a une justice

Maalak
01/06/2012, 01h23
C'est qui ce monsieur ?

Sa vidéo du down du Boucher en 3 secondes :
0Wndp-x3n4A
Le "combat" commence environ à 40 secondes.

pekpek
01/06/2012, 01h49
Ce n'est pas des rumeurs bordel, faut arrêter vos conneries, il a un authentificator sur smartphone, je le sais, et il a été hack, en quoi ce serait une rumeur ?

Non mais ça s'enflammait avec cet article qui disait que Blizzard reconnait des hacks avec authentificator (qui a été posté au moins 3 fois dans cette sous-section). Et ça c'est une rumeur, non avérée, c'est une mauvaise interprétation qui a été amplifiée jusqu'à l'hystérie, ils n'ont jamais changé de discours là dessus : "y a eu des problèmes, c'était avant D3, c'est réglé, l'authentificator est la seule protection fiable".

Quand on entend parler de hack avec authentificator, la suspicion de mensonge/mauvaise configuration est forte, parce que la protection théorique offerte par ce mécanisme apparait super solide si l'utilisateur a bien pris soin de cocher la case demandant un nouveau code à chaque connexion (ce qui n'est pas le réglage par défaut, malheureusement).

Un hack d'un compte avec un authentificator nécessaire à chaque connexion, ça voudrait dire, au choix :
- que l'attaque a lieu pendant les quoi, 15 secondes de validité du code de l'authentificator (alors que les témoignages parlent de déco en pleine partie, ou de hack pendant une période offline du joueur)
- que les hackers ont, en plus d'une base de login/mdp, une base de numéros de série d'authentificator (le truc installé sur une machine distincte en plus) et ont réussi à faire du reverse engineering sur le mécanisme de création de codes
- qu'il est possible de se connecter avec un client modifié (alors que toute leur politique du tout online est basée sur l'anti-cheat, si c'est le cas y a des baffes qui se perdent) pour par exemple utiliser l'identifiant de session de son choix (mais alors pour les joueurs qui n'ont jamais joué en public, comment aurait-il été récupéré cet id ? Et pour les joueurs pillés pendant qu'ils étaient offline ?)
- une autre hypothèse les canards ?

Je ne travaille pas pour eux, y a beaucoup à leur reprocher sur la gestion de leur infrastructure (déco avec l'erreur 1 ce soir, inédit \o/), mais à propos de hacks avec authentificator c'est l'incrédulité qui domine.
Et si c'est malgré tout possible, j'ai besoin de savoir comment, pour ma culture générale.

WeeSKee
01/06/2012, 09h29
L'authenticator, et de manière générale un système OTP, c'est super fiable (rien n'est fiable à 100% en informatique). Même dans l'Education Nationale et dans l'Armée ils en utilisent.. le seul moyen serait de péter l’algorithme qui génère les codes. Et a mon avis, si une personne arrive à faire ça, il ne s'en servirait pas pour hacker des comptes D3

Meuhoua
01/06/2012, 09h40
Sinon, je me suis toujours pas fait hacké, et j'ai pas d'authentificator, est-ce normal Jamy ?

http://c-est-pas-sorcier.france3.fr/IMG/cache-414x310/arton175-414x310.jpg

^_^

PurpleSkunk
01/06/2012, 09h42
Nan mais c'est clair, avec un authenticator (physique ou smartphone) DEMANDANT UN CODE À CHAQUE CONNEXION, c'est presque impossible de compromettre un compte Bnet.

Donc Ouro, ton pote, soit il avait un auth avec code 1 fois par semaine, soit il se fout de toi. "Point final"

ese-aSH
01/06/2012, 09h47
L'authenticator, et de manière générale un système OTP, c'est super fiable (rien n'est fiable à 100% en informatique). Même dans l'Education Nationale et dans l'Armée ils en utilisent.. le seul moyen serait de péter l’algorithme qui génère les codes. Et a mon avis, si une personne arrive à faire ça, il ne s'en servirait pas pour hacker des comptes D3

Dans ma boite on a des authentificators pour se connecter sur les machines. Le meme truc que l'authenticator physique de blizzard (et chez nous perdre la carte c'est facturé 9€, donc finalement a 6$ blizzard est pas si méchant). C'est externalisé chez nous -et je suis persuadé que chez blizzard aussi - pour des questions légales tout simplement, si ca chie on se retourne contre la boite qui les fournit.
Il y a 2 ans la société qui fournit les auths s'est faite hackée (ou plus précisement a identifiée une faille) --> tous les auths physiques remplacés. Le truc c'est effectivement que seul l'algo est important, ce qui rend la protection relativement simple (très localisé comme besoin) et safe dans le sens ou une faille / un hack est vite identifié.
Par contre si blizzard doit procéder à un changement de tous les auths physiques je sais pas comment ils vont procéder xD.

Au passage, j'aurais une confiance bien moindre avec les auths sur smartphone, je connais assez mal le coté technique mais a partir du moment ou l'info transiste sur une machine connectée il y a plus de risques.

Vladtepes
01/06/2012, 09h51
le seul moyen serait de péter l’algorithme qui génère les codes.
Ça ne suffirait même pas. En connaissant l'algo, la clé spécifique de blizzard et le code utilisé pour généré le timecode, il faudrait encore que tu connaisse la clé client (numéro de série inscrit sur le boitier).

Si jamais des comptes avec authenticator et l'option de mot de passe à chaque fois activé se sont fait hackés, c'est qu'il y a un problème après l’authentification

WeeSKee
01/06/2012, 09h53
Dans ma boite on a des authentificators pour se connecter sur les machines. Le meme truc que l'authenticator physique de blizzard (et chez nous perdre la carte c'est facturé 9€, donc finalement a 6$ blizzard est pas si méchant). C'est externalisé chez nous -et je suis persuadé que chez blizzard aussi - pour des questions légales tout simplement, si ca chie on se retourne contre la boite qui les fournit.
Il y a 2 ans la société qui fournit les auths s'est faite hackée (ou plus précisement a identifiée une faille) --> tous les auths physiques remplacés. Le truc c'est effectivement que seul l'algo est important, ce qui rend la protection relativement simple (très localisé comme besoin) et safe dans le sens ou une faille / un hack est vite identifié.
Par contre si blizzard doit procéder à un changement de tous les auths physiques je sais pas comment ils vont procéder xD.

Au passage, j'aurais une confiance bien moindre avec les auths sur smartphone, je connais assez mal le coté technique mais a partir du moment ou l'info transiste sur une machine connectée il y a plus de risques.

Oui et puis même, dans le cas ou tu te fais hacker en utilisant ce foutu authenticator, c'est la société qui fourni le service qui est en tord. Car c'est de son côté qu'il y a un problème.

D'ailleurs, pour Athene, avec un authenticator il n'aurait pas eu ce soucis. Même si son mdp était connu de 7k viewers ;)


Ça ne suffirait même pas. En connaissant l'algo, la clé spécifique de blizzard et le code utilisé pour généré le timecode, il faudrait encore que tu connaisse la clé client (numéro de série inscrit sur le boitier).

Si jamais des comptes avec authenticator et l'option de mot de passe à chaque fois activé se sont fait hackés, c'est qu'il y a un problème après l’authentification

Oui en effet, donc la faute à blizzard. Sans authenticator, comment prouver qui a raison, qui a tort ?

Kayato
01/06/2012, 09h54
Au passage, j'aurais une confiance bien moindre avec les auths sur smartphone, je connais assez mal le coté technique mais a partir du moment ou l'info transiste sur une machine connectée il y a plus de risques.
J'ai peut-être mal compris ta dernière phrase, mais l'authentificator mobile fonctionne hors ligne, pas besoin d'être connecté.

Captain_Cowkill
01/06/2012, 09h54
Nan mais c'est clair, avec un authenticator (physique ou smartphone) DEMANDANT UN CODE À CHAQUE CONNEXION, c'est presque impossible de compromettre un compte Bnet.

Donc Ouro, ton pote, soit il avait un auth avec code 1 fois par semaine, soit il se fout de toi. "Point final"

Fais gaffe, tu vas te faire insulter ^_^

ese-aSH
01/06/2012, 10h08
J'ai peut-être mal compris ta dernière phrase, mais l'authentificator mobile fonctionne hors ligne, pas besoin d'être connecté.

oui bien sur, mais ca reste sur une machine potentiellement 'hackable'. Alors que l'auth physique va falloir hacker tes yeux et tes doigts ;)

WeeSKee
01/06/2012, 10h10
oui bien sur, mais ca reste sur une machine potentiellement 'hackable'. Alors que l'auth physique va falloir hacker tes yeux et tes doigts ;)

Oui enfin la probabilité qu'un mec hack ton compte, et qu'ensuite il hack ton téléphone, et qu'ensuite il tape l'authenticator avant toi (car je rappelle le code est valabe 30 secondes et qu'une fois), c'est quand même limité non ?

ese-aSH
01/06/2012, 10h12
Oui enfin la probabilité qu'un mec hack ton compte, et qu'ensuite il hack ton téléphone, et qu'ensuite il tape l'authenticator avant toi, c'est quand même limité non ?

Le compte il semblerait que ca fasse partie du domaine du possible (meme si je reste a 100% persuadé que c'est du fishing via des fansites pour l'essentiel, et que ca concerne donc quasi-uniquement des personnes utilisant le meme mdp à plusieurs endroits), par contre pas besoin de taper l'auth avant toi si le mec est capable de générer le code de son coté hein ;) (soit il est capable de le générer tout le temps soit jamais, y a pas d'alternative ou il te hack en 30s sinon il repart de zéro)

Vladtepes
01/06/2012, 10h13
Mouais... enfin même si c'était techniquement faisable, ça serait s'emmerder vraiment pour pas grand chose. Il faudrait faire le lien vers le compte BNet et tout le tintouin et au final tu ne serais même pas sur que le jeu en vaille la chandelle.

Du point de vue des pilleurs de comptes, il vaux mieux lancer un keylogger et vider des centaines de comptes éventuels en boucle avec des bots.

WeeSKee
01/06/2012, 10h16
Le compte il semblerait que ca fasse partie du domaine du possible (meme si je reste a 100% persuadé que c'est du fishing via des fansites pour l'essentiel, et que ca concerne donc quasi-uniquement des personnes utilisant le meme mdp à plusieurs endroits), par contre pas besoin de taper l'auth avant toi si le mec est capable de générer le code de son coté hein ;) (soit il est capable de le générer tout le temps soit jamais, y a pas d'alternative ou il te hack en 30s sinon il repart de zéro)

Dans ce cas ce serait un hack "ciblé" ce qui n'arrive jamais (pas assez rentable dans ce genre de situation).

Et comment le mec génère le code de son côté en ayant hacké ton téléphone ?

PurpleSkunk
01/06/2012, 10h36
Fais gaffe, tu vas te faire insulter ^_^

No problemo, j'ai l'habitude ! ^_^

WeeSKee
01/06/2012, 10h38
No problemo, j'ai l'habitude ! ^_^

Ouais pi une insulte 2.0, ça fait aussi mal qu'une agression à coup de cacahuètes.

Jeremy
01/06/2012, 10h51
Bah c'était obvious que ça venait d'eux. J'ai été hack la semaine derniere alors que je n'avais pas joué en parties publiques, j'avais fait (pour d'autres raisons que D III) une analyse antimalware, une analyse antivirus et un coup de ComboFix (aucun des trois n'avait trouvé quoi que ce soit).

Bon après j'avais pas d'authentificator....mais pour l'utilité que ça a :-D .

Questions cons : utilisais tu le même couple email-password sur d'autres sites ? La réponse à la question perso pour récupérer ton password chez blizzard est elle facilement récupérable par google / facebook ?

Chartreuse
01/06/2012, 10h52
Je me rends compte que c'est une connerie de cocher l'authentificator en 1 semaine ?
En fait je pensais que si un mec essayait de se connecter avec mon compte sur un autre ordi, ca lui demanderait quand même le code, et que le délai d'une semaine correspondait à un seul poste...Donc ce réglage ne sert strictement à rien, il faut impérativement le mettre à chaque connexion?

edit : bon je viens d'aller voir ça. Je me connecte de mon ordi du taff : hop il me demande le code de l'authentificator. Donc je pense que le réglage une semaine suffit car il correspond à la demande d'un code par poste/adresse IP ou que sais-je, right?


Nous venons de mettre à jour notre système d'authentification afin qu'il se souvienne, de manière intelligente, de vos lieux de connexion. Si vous vous connectez toujours du même endroit, le code d'authentification ne vous sera plus systématiquement demandé. Cette modification allègera le processus d'authentification dans les cas où nous sommes sûrs que la personne qui se connecte au compte est bien vous, tout en offrant le même niveau de sécurité qu'auparavant.

WeeSKee
01/06/2012, 10h55
Je me rends compte que c'est une connerie de cocher l'authentificator en 1 semaine ?
En fait je pensais que si un mec essayait de se connecter avec mon compte sur un autre ordi, ca lui demanderait quand même le code, et que le délai d'une semaine correspondait à un seul poste...Donc ce réglage ne sert strictement à rien, il faut impérativement le mettre à chaque connexion?

Oui c'est une connerie. Et c'est activé par défaut :|



edit : bon je viens d'aller voir ça. Je me connecte de mon ordi du taff : hop il me demande le code de l'authentificator. Donc je pense que le réglage une semaine suffit car il correspond à la demande d'un code par poste/adresse IP ou que sais-je, right?

En théorie tu as raison, mais j'ai lu à pas mal d'endroit que cette demande de code au changement de l'IP n'était pas systématique. Dans le doute, demande de code à chaque connexion au moins t'es tranquille :)

PurpleSkunk
01/06/2012, 11h13
Ouais pi une insulte 2.0, ça fait aussi mal qu'une agression à coup de cacahuètes.

Déconne pas les cacahuètes dans l'oeil ça fait mal. :emo:

Nattefrost
01/06/2012, 12h51
Questions cons : utilisais tu le même couple email-password sur d'autres sites ? La réponse à la question perso pour récupérer ton password chez blizzard est elle facilement récupérable par google / facebook ?

Les pass j'en avais deux-trois qui tournaient, il se peut que ça vienne de la. Par contre non pour la question secrète impossible à trouver.
Pour les pass je me suis mis à utiliser passwordsafe, c'est chiant m'enfin c'est plus sûr imo.

orelz
01/06/2012, 16h48
Les pass j'en avais deux-trois qui tournaient, il se peut que ça vienne de la. Par contre non pour la question secrète impossible à trouver.
Pour les pass je me suis mis à utiliser passwordsafe, c'est chiant m'enfin c'est plus sûr imo.
Passwordsafe est très bien, perso j'ai favorisé KeePassX pour sa portabilité multiplateforme. Au début je trouvais cela chiant mais après maintenant quelques années dessus je trouve cela bien plus secure et maintenant j'aurai du mal à m'en passer. Bref, une bonne solution ces petits gestionnaires de password pour mieux gérer ses mdp de façon secure.

lolofora
01/06/2012, 16h58
Si vous ne voulez pas acheter l'Authentificator physique ou si vous n'avez pas de smartphone pour avoir l'application mobile, il existe une application Windows open-source qui fonctionne comme l'Authentificator : winauth
http://code.google.com/p/winauth/

Bien-sur c'est moins sécurisant que les méthodes officielles de Blizzard, mais c'est mieux que rien.



(http://code.google.com/p/winauth/)

Benounet
01/06/2012, 17h20
Oui mais comment on relie ca a un compte officiel exactement? Merci d'avance.

Tilt
01/06/2012, 17h21
Je me rends compte que c'est une connerie de cocher l'authentificator en 1 semaine ?
En fait je pensais que si un mec essayait de se connecter avec mon compte sur un autre ordi, ca lui demanderait quand même le code, et que le délai d'une semaine correspondait à un seul poste...Donc ce réglage ne sert strictement à rien, il faut impérativement le mettre à chaque connexion?

edit : bon je viens d'aller voir ça. Je me connecte de mon ordi du taff : hop il me demande le code de l'authentificator. Donc je pense que le réglage une semaine suffit car il correspond à la demande d'un code par poste/adresse IP ou que sais-je, right?

Je suis du même avis que toi, une fois par semaine ça suffit vu qu'il le demande systématiquement si l'ordi n'est pas connu.

lolofora
01/06/2012, 18h14
Oui mais comment on relie ca a un compte officiel exactement? Merci d'avance.

C'est simple, il suffit de suivre les instructions.
Tout d'abord il faut créer une clef (crypté et enregistré sur ton disque à l'endroit ou tu veux, bien-sur il faut prendre un password différent de ton compte battle.net et complexe )
Ensuite il génère à partir de cette clef, une clef battle.net et un login qui change toutes les 30 sec.
Tu dois entrer ces informations sur le site battle.net dans la gestion de sécurité > authentification mobile.

Tu te connectes à D3, tu entres ton email + mot passe, il te demandera ensuite ton numéro authentification à chaque connexion ou chaque semaine selon l'option que tu as choisis.

Tu récupère ce numéro à partir de l'application sur le bouton noire sur l'image qui représente une clef Authentificator blizzard.

Je viens de tester ça marche et je compte continuer ainsi, si je rencontre un problème, je viendrais pleurer ici.

Benounet
01/06/2012, 18h19
Ok je te laisse faire le pionnier quelques jours en attente de retours :P

Bartinoob
01/06/2012, 18h25
L'authenticator n'existe que en physique ou en version appli smartphone ? Aucun équivalent logiciel pour windows (ou via SMS, j'ai vu qu'il y avait un service de ce genre, ça sert à quelque chose ?)

Edit : Bah, pas officiel donc j'ai comme un doute sur le fonctionnement du truc ^^'

Nattefrost
01/06/2012, 18h28
Ben et le lien au dessus? Certes c'est pas officiel mais j'envisage de le prendre si y a de bons retours.

lolofora
01/06/2012, 20h27
ça à l'air sérieux, c'est google code et il y a le code source et + de 10000 utilisateurs l'ont téléchargés

Je suis donc pas un pionnier, j'ai cherché des retours sur le net avant d'essayer

alx
01/06/2012, 22h03
Je suis du même avis que toi, une fois par semaine ça suffit vu qu'il le demande systématiquement si l'ordi n'est pas connu.

Sur le même ordi (et donc la même IP), en rebootant pour changer d'OS il m'a redemandé le code.


(ou via SMS, j'ai vu qu'il y avait un service de ce genre, ça sert à quelque chose ?)

L'alerte SMS c'est différent, c'est pour te prévenir des modifications sur ton compte (quand j'ai ajouté l'authenticator par exemple, j'ai reçu un SMS d'alerte).

Lovepotage
01/06/2012, 23h04
Ah ben me v'la avec un moine a poil et sans le sous :(

Tilt
01/06/2012, 23h44
Ah ben me v'la avec un moine a poil et sans le sous :(

Récupère ton compte et fait péter l'authenticator

ese-aSH
01/06/2012, 23h56
Ah ben me v'la avec un moine a poil et sans le sous :(

Tu utilisais ton mdp bnet sur un autre site ? et si oui lequel ? (ca peut aider des canards en danger !!)

Lovepotage
02/06/2012, 01h06
C'était un vieux mot de passe que j'utilisais partout avant. Je viens de le changer + authentificator + demande de recup de mes objets.
Ils m'ont laissé une ceinture et une bague les cons!

OrkSovaj
02/06/2012, 02h34
J'utilise python-bna (https://github.com/Adys/python-bna) comme Authenticator et c'est supayr ;)

Kenji-32
02/06/2012, 20h02
" bobo " dans ma liste est apparu, ma sorcière à poil... Elle était lv14... 25k de po... Les hackers sont en manque de cible en ce moment? :tired:

Anonyme32145
03/06/2012, 00h49
Ah ben me v'la avec un moine a poil et sans le sous :(

oh un Brinkignol touché :'(

touriste
03/06/2012, 01h06
Perso j'utilise Winauth depuis 2 jours. Ça a l'air sympa. Si c'est un keylogger qui hack, ça vous en protège aussi vu que le code de l'authenticator change toutes les 10 secondes environ. Winauth a également une option auto-copier du code, ca évite donc de le taper a la manau et de se le faire chopper. Par contre, si le hacker peut chopper des fichiers, winauth stocke votre license dans application data.

Apres je n'ai pas essayé mais winauth propose différente configuration : réservé à cet ordi, réservé à ce compte Windows etc...

Bref, j'aime bien.

nb: Lisez bien la doc, il faut déclarer winauth comme un pass mobile.

Fernando
03/06/2012, 11h12
Bon j'ai eu un peu de chance, je jouais et j'ai eu un message comme quoi j'ai été déco car on s'est connecté par un autre ordinateur, hop un tour sur bnet changement mot de passe, retour reconnexion j'ai retrouvé mon moine avec le contenu de mon coffre dans l'inventaire, il n'avait eu le temps de rien faire et j'ai gagné un nouvel ami lvl 1 chasseur de démon.

Pour moi la cause c'est comme lovepotage, un vieux mot de passe que j'avais pas jugé bon de modifier et qui a pu être récupéré ailleurs.
J'pensais que ça craignais rien car sans faire de gros efforts j'avais jamais été inquiété sous wow alors que je connaissais plein de gens qui avaient eu des soucis.
Avec le temps on a tendances à utiliser des mots de passe similaires ou peu differents un peu partout...

Donc la meilleure sécurité c'est de jouer 24h/24h

Nattefrost
03/06/2012, 12h54
Ou d'avoir un password pour chaque site :p

Maalak
03/06/2012, 13h14
Question à ceux qui se sont fait hacker : est-ce que le nom du perso est le même que celui du compte bnet ?

Amoilesmobs
03/06/2012, 13h24
:O
http://tof.canardpc.com/view/720899cb-79af-4ad9-9b86-f5b44866dd1a.jpg

Kenji-32
03/06/2012, 13h34
De l'epic fail qui traine depuis quelques jours sur le net. Je serai bien curieux de savoir ce que va faire Blizzard à leur sujet...

@Maalak: Non, j'ai eu le droit à du " bobo " de nom " juio " ( ou quelque chose comme ça, mais c'était bien différent ).

Maalak
03/06/2012, 13h44
Ah non, je ne parlais pas du nom du pirate, mais du vôtre.
Mais de toute façon, tu m'as bien répondu quelque part vu ce que tu as dit. :)

Tant pis, ça aura été une piste.
Pour ma part, je touche du bois. Qui sait, le fait que le fofo officiel lui-même ne reconnaisse même pas un seul perso pour que je puisse y poster me sauvera-t-il ? :p

Roland de Flore Lauphine
03/06/2012, 14h10
Question idiote d'un ignare en sécurité informatique, on nous demande d'avoir des pass complexes mais pourquoi laisse t'on aux gens qui se log une infinité d'essais?

Kenji-32
03/06/2012, 14h12
Ha non, autant pour moi, oui donc les noms sont bien différents! :). Du coup j'ai mis un authen' mobile... ils ne pourront plus rien me dire. Par contre le hacker est toujours dans ma liste d'amis, il devrait disparaître incessamment sous peu d'après le bleu qui m'a répondu, même si selon eux " le piratage via la liste d'amis est impossible ".

@Roland de Flore Lauphine: essayer les mots de passes en brute force ça se fait de moins en moins, du coup y a pas vraiment d'intérêt à laisser un nombre limité de tentative de connexion à mon avis.

XWolverine
03/06/2012, 14h21
Le brut force sur une connexion à distance (surtout lente comme celle de Blizzard :p) c'est inutile, pour être efficace, il faut pouvoir essayer plusieurs centaines de milliers de pass à la seconde (grand minimum), donc pas possible sur un serveur distant.

Roland de Flore Lauphine
03/06/2012, 14h27
Ok, si je comprend bien :

Si j'ai un mdp unique pour chaque site ou jeu, que celui ci n'est stocké nulle part, n'est il pas superflu que ce mdp soit excessivement complexe ? même dans le cas d'un keylogger, le mdp sera capturé qu'il soit compliqué ou pas.

XWolverine
03/06/2012, 14h36
Que ton pass soit capturable ou pas en brute force, habitue toi à le faire long, compliqué (sans signification apparente) et différent de tes autres pass.
Et puis tu n'es pas à l'abri qu'un hacker récupère tout ou partie d'une base de données et lance du brute force dessus, là, ça va plus vite en local.

Benounet
03/06/2012, 14h38
Oui.
M'enfin le keylogger ca m'semble un peu etre une chimere a partir du moment ou tu telecharges pas d'exe a partir de site relatif a D3.

Ouro
03/06/2012, 16h16
Coffre et soso lvl 60 vide , je suis joie :lol: ! Bon bah je prend mon ticket.

Anonyme32145
03/06/2012, 16h54
Coffre et soso lvl 60 vide , je suis joie :lol: ! Bon bah je prend mon ticket.

Tu avais un Authentificator ?

Ouro
03/06/2012, 16h57
Tu avais un Authentificator ?

Depuis Starcraft 2, oui !

XWolverine
03/06/2012, 17h20
Bordel, c'est inquiétant, donc ça pue bien l'exploit et les dévs de Blizzard qui malgré de nombreuses maintenances n'arrivent pas à le patcher :fear:

Algent
03/06/2012, 17h24
Depuis Starcraft 2, oui !

En mode permanent ou en mode 1x par semaine ?

Ouro
03/06/2012, 17h28
En mode permanent ou en mode 1x par semaine ?

Chaque connexion.

nemra
03/06/2012, 18h07
Depuis Starcraft 2, oui !


Je m'interroge sur le système: comment est lié l'Authentificator au compte?

Amoilesmobs
03/06/2012, 18h14
Encore des suppositions : il y aurait une faille en public game, entre autre.
Je cite : "Sur une partie publique, il y a un numéro de session de la partie en cours qui est attribué à tous les participants.
Le but du hacker est de se connecter à des sessions publiques et de récupérer les ID. Par la suite quand t'es plus co, il recréait la partie mais en usurpant ton identité au travers de la session.
Résultat il a accès à ton perso et du coup à tout le reste (banque, stuff, po ...).
Il suffit qu'il co un perso à lui et hop il transfère tout."

Pas besoin de mdp ou authentifier quoi que ce soit. C'est une faute/faille de sécurité chez Blizz. On peut rien faire, à part éviter les parties publiques, l'hotel des ventes aussi tant qu'on y est, le chat general pour ce que ça vaut ... C'est faisable.
En attendant du mieux.

Dans le doute, si vous vous faites voler, vous êtes bon pour changer tous les mdp de l'ordi !

XWolverine
03/06/2012, 18h28
N° de session non crypté dans les trames réseau ?
C'est gros, mais ça ressemble bien à ce qui se passe, la piste keylogger ou faute de l'utilisateur est de moins en moins probable.
Ce que je ne capte pas bien, c'est pourquoi Blizzard, forcément sur les dents vu que ça dure depuis plus d'une semaine, n'arrive pas à empêcher l'exploit. Vu que les hackers se connectent (automatiquement ?) sur le compte, ce qui déconnecte le vrai utilisateur quand il est connecté, déjà, empêcher ça permettrait d'éviter le truc, quitte à ce qu'on reste connectés H24.
Après, certains clament ne jamais avoir lancé de parties publiques, donc ce n'est peut-être pas ça.

g00d69
03/06/2012, 18h30
Je me suis pas encore fait hacker, je touche du bois.. mais ça fout les boules ....j'ai rechangé mon mdp au cas ou...et depuis la sortie j'ai encore jamais fait une seule partie publique, est ce que les gens qui se sont fait hacker ont un compte Wow actif ?

Maalak
03/06/2012, 18h39
Pas de hack non plus pour le moment, mais je n'ai également pas encore fait de partie publique (et par sécurité, j'ai décoché l'option permettant à des personnes de se connecter à ma partie).
Quant à mon compte WoW, il est actuellement inactif.

eboshi
03/06/2012, 18h41
Si ça peut vous rassurer (haha) je me suis fait hack et je n'ai jamais fait de partie publique. Il n'y a donc pas que par la que ça viens ...

Amoilesmobs
03/06/2012, 19h02
Parties publiques entre autreS. Avec le s c'est mieux.
Avec des gros soupçons sur l'HV, auxquels on rajoute les gens qui ne font pas attention, ne tiennent pas à jour leur sécurité ou qui cliquent sur un lien dans le chat général. Un même mdp pour le jeu et un compte forum quelconque sur Diablo 3, c'est la grande classe. ;)
Enfin bon, ça fait pas mal de possibilités. La "forteresse" Blizz a l'air d'avoir été prise d'assaut autant par leurs incompétences que par le relâchement coupable de certains joueurs. Et par des hordes de pirates assoiffés d'or, alléchés par la perspective d'argent réel ça va sans dire ... Un cocktail plutôt explosif.
C'est la merde quoi ! :lol:

sissi
03/06/2012, 19h12
C'est la merde quand en plus, des joueurs veulent dénoncer les suspects de hack sur le fofo Battlenet, ils se heurtent à un mur avec pour seule réponse "achetez un authenticator (ils vont se faire des couilles en or avec le physique) et demandez un rollback". Un hacker a été signalé ce matin dans un thread, 5 heures après, le type sévissait toujours (le fameux bobo si je me souviens). Des gars affirmaient avoir ce même pseudo dans la FL. Aucune réactivité de Blizzard, rien que dalle.

XWolverine
03/06/2012, 19h14
M'étonnerais que rajouter des gens fragilise ton compte. Apparemment, les mecs n'ont pas besoin de ça puisqu'ils se connectent à ton insu à ton compte et rajoute leur ami eux-même (pour lui refiler ton matos).

Louck
03/06/2012, 19h15
C'est gros, mais ça ressemble bien à ce qui se passe, la piste keylogger ou faute de l'utilisateur est de moins en moins probable.

Comment pouvons nous penser à un keylogger, sachant que:
- Cela touche un TRES grand nombre de joueurs.
- Que peu (voir aucun) de ces comptes ont vu leurs informations/mdp changés (= pas de vol de comptes).


C'est bel et bien un problème interne au jeu de Blizzard. Si on ne compte pas ceux qui ont un mot de passe "azerty" ou qui l'impriment sur leurs écrans lors d'un streaming.

XWolverine
03/06/2012, 19h18
C'est pas nous qui y pensons, c'est Blizzard dans ses réponses aux personnes hackées. Et c'est clair que si on pouvait avoir un doute au début, vu les témoignages de plus en plus nombreux et de plus en plus similaires, c'est improbable que ça puisse venir de là.

Poon
03/06/2012, 19h22
En attendant, l'authentificator physique est en rupture de stock à peu près partout.

Les cyniques diront que ce hack est une bénédiction pour la vente de ce produit :).

sissi
03/06/2012, 19h24
Le site Battlenet est down. :tired:

Amoilesmobs
03/06/2012, 19h24
Mon mot de passe c'est "Diablo3" ! B)

Louck
03/06/2012, 19h32
C'est pas nous qui y pensons, c'est Blizzard dans ses réponses aux personnes hackées. Et c'est clair que si on pouvait avoir un doute au début, vu les témoignages de plus en plus nombreux et de plus en plus similaires, c'est improbable que ça puisse venir de là.

D'un côté, certains joueurs peuvent se faire pirater de cette façon. Ce qui est vrai.
Mais je ne crois pas que Blizzard va avouer que son système "full-online" possède une faille. Surtout pour ce jeu.

mithrandir3
03/06/2012, 19h53
D'un côté, certains joueurs peuvent se faire pirater de cette façon. Ce qui est vrai.
Mais je ne crois pas que Blizzard va avouer que son système "full-online" possède une faille. Surtout pour ce jeu.
En même temps, vu le nombre de failles (errorxxx) déjà prouvées avec leur système, ça n'en ferait qu'une de plus :rolleyes:

Benounet
03/06/2012, 20h06
C'est surtout qu'une grosse feature du jeu le RMAH, tant qu'il y a des "compromissions" avec comptes possedant identificators, il est pas question que ca voit le jour.
Sur la plateforme anglaise de la hotline, la 2eme question apres "parlez vous anglais" c'est "Is your call regarding a compromised diablo 3 account?" d'apres certains sur le forum, c'est dire si ca fuse.

Topic interessant d'un gars qui essaie de voir de quoi ca peut venir:
http://eu.battle.net/d3/en/forum/topic/4551467155
Y'en a quand meme un paquet sans authentificateurs, mais apres c'est aussi probablement une question de proportion.

Algent
03/06/2012, 21h05
Le truc étonnant c'est surtout que si il y a une faille comme ça qui a été trouvé si vite par les revendeurs de gold alors on aurait du voir tomber des proof of concept depuis.
les Erreurs 37 font que pas mal de gens avaient leur pass dans le press papier aussi :"

Poon
03/06/2012, 21h17
Si des personnes informées, utilisant un mot de passe safe, unique au compte battle.net et munies d'un authentificator physique se font hacker, il y a forcément une faille chez Blizzard du côté logiciel...ce que la société se refuse totalement a admettre ( et ne ne le fera pas, quoiqu'il advienne).

Je remarque quand même que c'est toujours toujours le dernier personnage joué qui se fait hacker. Étrange, ça semble confirmer la piste du numéro de session intercepté.

Et surtout, comment est-il possible d'avoir une faille de sécurité pareille pour un titre de cette ampleur ?

XWolverine
03/06/2012, 21h24
Et surtout pas corrigée au bout de 10 jours. La faille doit être au cœur de leur système et comme il est hors de question de couper les serveurs le temps de corriger, pognon oblige ...

vive la cliff
03/06/2012, 21h32
Pour l'instant le pognon ne rentre pas, et l'HVAR est sans cesse reporté.

Poon
03/06/2012, 21h34
Ils ont tout de même dégager un certain profit avec la vente des quelques 7 millions d'exemplaires (chiffres officieux), de quoi voir venir.

L'HV en € est là pour pérenniser le modèle en le rendant rentable sur le long terme, ce qui fait qu'ils ne le lanceront pas avant d'être surs de leur coup.

Je pense qu'ils pourraient tout à fait couper les serveurs un certain temps mais en communiquant abondamment au préalable puis en offrant une compensation in game aux joueurs. Tout le monde ralerait à bloc mas ça passerait mieux.

Car actuellement on se croirait face à un retard SNCF : ça sent la couille mais aucune infos ne filtre, du coup les usagers s'énervent, etc...

XWolverine
03/06/2012, 21h36
Oui mais si les serveurs étaient fermés 10 jours, ce serait un peu un impact financier énorme pour Blizzard, remboursement, non ventes ...
j'espère qu'on apprendra le fin mot de l'histoire, mais je sens l'énorme scandale, là dessous.

vive la cliff
03/06/2012, 21h43
Ouai mais là tu penses court terme, hors la logique de blibli est de faire rentrer le pognon sur le long terme. Un arrêt des serveurs pourrait être tolérée par la communauté si blizzard communique la dessus, en admettant que les problèmes viennent bien de blizzard. Reporter l'AR sans arrêt (maintenant c'est mi-Juin) ne doit pas les arranger. Quand au pognon sur les ventes, étant donné que les entreprises paient à 3 mois, je suis pas certain que blibli ait encore touché le pactole.

Poon
03/06/2012, 21h47
Oui mais si les serveurs étaient fermés 10 jours, ce serait un peu un impact financier énorme pour Blizzard, remboursement, non ventes ...

Dix jours ça semble colossal comme durée, c'était juste un exemple mais je n'ai pas de notion de maintenance en entretien de serveur informatique. Après s'il faut tout vérifier, ça doit prendre certainement plus d'une journée ;). Pour l'impact financier, on peut penser que le gros des ventes s'est déjà fait : toutes les personnes qui l'attendaient se sont déjà procurés leur boîte, les hypers aussi...

Le remboursement n'est pas possible me semble-t-il sans passer par la case légale (cf. conditions de vente à peine abusives qu'on a approuvées en lançant le jeu pour la première fois).

Le fin mot de l'histoire on ne le connaîtra peut-être par des joueurs, s'ils parviennent à reproduire le hack. Blizzard ne crachera jamais le morceau, ce serait un aveu de faiblesse terrible. Je me souviens d'un article dans Canard PC au moment du piratage du Playstation store, le rédacteur écrivait très justement que lorsque Sony s'est fait hacker les autres acteurs du marché ( battle.net était cité dans le tas avec le Xbox live) avaient sans doute poussé un soupir de soulagement sur le mode 'ouf, pour cette fois ce n'est pas nous...'

Muad'dib
03/06/2012, 21h52
Bonsoir,

Comme beaucoup je me suis fait hack mon perso il y a une semaine. Clairement c'est inadmissible.. mais ça ne m'a pas découragé et j'ai refarmé rapidement de quoi me stuffer à l'hv.

Depuis j'ai bien avancé, je me connecte ce soir et... Je me suis re-fait hacker... :|

J'en ai marre. J'abandonne et je reprendrais quand les problèmes de hacking seront réglés.. :|

pekpek
03/06/2012, 21h55
Mais je ne crois pas que Blizzard va avouer que son système "full-online" possède une faille. Surtout pour ce jeu.

C'est pas franchement dans les bonnes pratiques, de faire l'autruche et de patcher en douce.

Mais en même temps les bonnes pratiques ils s'en foutent pas mal (Les majuscules des mdp sont ignorées et il n'y a pas de bannissement temporaire au bout de X mdp incorrects. Même si l'approche brute force est pas franchement compatible avec l'échelon industriel des hacks, ça ne fait pas sérieux).
Et puis "le système est compromis, on coupe le service pendant une semaine le temps de repenser notre gestion des sessions", pour responsable que ce soit, c'est difficilement envisageable.


C'est surtout qu'une grosse feature du jeu le RMAH, tant qu'il y a des "compromissions" avec comptes possedant identificators, il est pas question que ca voit le jour.

Tiens, d'ailleurs, le RMAH permettra de vendre de l'or ?
Ça déséquilibrerait l'AH en po, mais ça tuerait dans l’œuf tout intérêt des gold farmers pour ce jeu, entre les contraintes imposées comme la limite de cash, les frais de transactions, et l'inévitable chute des cours que ça entrainerait (dans les messages de spam du chat général, on voit le million de po à plus de 20€, la blague...)

vive la cliff
03/06/2012, 22h01
Ça déséquilibrerait l'AH en po, mais ça tuerait dans l’œuf tout intérêt des gold farmers pour ce jeu, entre les contraintes imposées comme la limite de cash, les frais de transactions, et l'inévitable chute des cours que ça entrainerait dans les messages de spam du chat général, on voit le million de po à plus de 20€, la blague...)
En même temps et vu le nombre de compte hackés, je ne suis pas certain que les po proviennent essentiellement des farmers.

pekpek
03/06/2012, 22h06
C'est les boites de gold farming qui se sont mis à dévaliser les joueurs parce que c'est plus rentable.

Benounet
03/06/2012, 22h10
Bonsoir,

Comme beaucoup je me suis fait hack mon perso il y a une semaine. Clairement c'est inadmissible.. mais ça ne m'a pas découragé et j'ai refarmé rapidement de quoi me stuffer à l'hv.

Depuis j'ai bien avancé, je me connecte ce soir et... Je me suis re-fait hacker... :|

J'en ai marre. J'abandonne et je reprendrais quand les problèmes de hacking seront réglés.. :|

T'avais change ton MDP suite au hack? (j'imagine que oui)
L'email aka login?
Authentifacteur?
D'autres jeux sur bnet?

Je sais pas si le RMHA vendra de l'or, j'ai pas souvenir de lire un truc dans ce sens.

Chiff
03/06/2012, 23h12
T'avais change ton MDP suite au hack? (j'imagine que oui)
L'email aka login?
Authentifacteur?
D'autres jeux sur bnet?

Je sais pas si le RMHA vendra de l'or, j'ai pas souvenir de lire un truc dans ce sens.

Quand vous regardez dans l'HV y'a un onglet OR qui est grisé donc on peut supposer qu'il ne le sera pas avec le RMHA.

g00d69
03/06/2012, 23h22
Moi je pense que c'est a partir de Wow que les hackers récupèrent les login et mots de passe , et comme c'est les mêmes, facile quoi...

DarkSkull
03/06/2012, 23h39
Moi le truc qui me choque quand même de la part de Blizzard,c'est de dire: vous n'avez qu'a avoir un authentificator si vous voulez pas vous faire hacker votre compte....

Ok on peut obtenir un authentificator via un logiciel windows ,mentionné par un canard quelques pages avant,mais qui est non officiel .

Mais pour en obtenir un approuvé par Blizzard on doit raquer 10 euros de plus pour la version physique ou posséder un smartphone...

Si c'est si efficace,pourquoi ne pas l'intégrer de base dans les versions boites ,et développer un programme pour les gens l'ayant acheté en numérique disponible en téléchargement gratuit sur le site de Blizzard?

Ptit gras
03/06/2012, 23h48
Moi je pense que c'est a partir de Wow que les hackers récupèrent les login et mots de passe , et comme c'est les mêmes, facile quoi...

J'ai deux potes qui se sont fait hacker et aucun d'entre eux n'a joué à WoW. Par contre ils jouaient à SC2.
C'est donc peut être une faille bnet.

Nattefrost
03/06/2012, 23h54
Jamais joué ni a WoW ni a SC2. Seul jeu blizzard auquel j'ai joué c'était D II. Et j'ai été hacké.

orelz
03/06/2012, 23h57
Moi le truc qui me choque quand même de la part de Blizzard,c'est de dire: vous n'avez qu'a avoir un authentificator si vous voulez pas vous faire hacker votre compte....

Ok on peut obtenir un authentificator via un logiciel windows ,mentionné par un canard quelques pages avant,mais qui est non officiel .

Mais pour en obtenir un approuvé par Blizzard on doit raquer 10 euros de plus pour la version physique ou posséder un smartphone...

Si c'est si efficace,pourquoi ne pas l'intégrer de base dans les versions boites ,et développer un programme pour les gens l'ayant acheté en numérique disponible en téléchargement gratuit sur le site de Blizzard?

Pourquoi ce n'est pas de base ? Et bien car ce n'est pas gratuit et cela a un coup.


J'ai deux potes qui se sont fait hacker et aucun d'entre eux n'a joué à WoW. Par contre ils jouaient à SC2.
C'est donc peut être une faille bnet.

Y a pas de faille bnet sinon ça se saurait. T'es sûr que tes potes ne mettent pas leur MDP n'importe où genre sur des forums ? Ce n'est pas contre eux, mais je crois qu'il faut arrêter de baliser, dans ce genre de problème la plus part du temps le problème est entre la chaise et le clavier et pas ailleurs. ;)

mithrandir3
04/06/2012, 00h38
Pourquoi ce n'est pas de base ? Et bien car ce n'est pas gratuit et cela a un coup.
C'est de la faute de blizzard si la sécurité de leur système est insuffisante de base. Pas des joueurs. Tu dirait quoi si après t'être fait pirater ta carte bleue, Visa t'expliquait que c'était de ta faute, et que tu aurais du prendre l'option extra sécurité, sinon tant pis pour toi.

Et on ne peut pas dire que leur infrastructure est exempte de défauts, loin de là, alors de là à ce qu'ils aient des failles, pourquoi pas. Ils ne seraient pas les premiers.

Louck
04/06/2012, 00h39
Si c'est si efficace,pourquoi ne pas l'intégrer de base dans les versions boites ,et développer un programme pour les gens l'ayant acheté en numérique disponible en téléchargement gratuit sur le site de Blizzard?

Ils ne peuvent pas faire une version "numérique" de l'authentificator: S'il doit être sur un support physique, non périphérique à l'ordinateur ou à un réseau, c'est pour le protéger des logiciels malveillants (virus, trojans, malwares...).

Et pour produire ce support physique, il y a un coût.


D'un autre côté, vu que la sécurité informatique est quelque chose de très important aujourd'hui (en partie avec l'ingénierie sociale), ils essayent d'en tirer un bénéfice. Mais ils restent sympa: la version smartphone semble gratuite.

mithrandir3
04/06/2012, 00h45
Il faudra qu'on m'explique pourquoi l'authentificator est indispensable sur Battle.net, et que ma banque / mon opérateur téléphonique / la SNCF / la FNAC / Apple / Amazon / etc... etc... me permettent de me logguer sans problème sur mon compte / d'acheter des trucs, et qu'il ne me semble pas qu'il y ait des problèmes de hacks.

Louck
04/06/2012, 01h36
Lorsque tu te connectes à un service (battle.net, sncf, amazon...), deux étapes doivent se réaliser:

- L'identification: Consiste à identifier quelque chose ou quelqu'un. Pour Diablo 3, ton compte est identifié par ton adresse mail.
- L'authentification: Est la procédure qui consiste à vérifier l'identité de ton compte. Dans ce cas, pour prouver ton identité, c'est connaitre ton mot de passe.

Le mot de passe est un moyen d'authentification simple à mettre en place et pratique à utiliser (surtout sur Internet). Cependant, peu de personnes sont conscientes des dangers de l'Internet et beaucoup ne savent pas se protéger de ces derniers: phishing, l'ingénierie sociale, malwares...
Et ces dangers sont en constante évolution.


Pour aider l'utilisateur à mieux se protéger de ces dangers, Blizzard propose comme solution l'"Authenticator". C'est un autre moyen pour t'authentifier sur ton compte, pour prouver que tu es bien l'auteur de ton compte (en possédant l'authenticator qui est lié à ton compte).

La SNCF peut proposer ce genre de solution. La FNAC aussi, Apple aussi. Néanmoins, un compte SNCF ne contient que des informations personnelles (et des points fidélités ?), et ne représente qu'une faible valeur financière. La SNCF ne va pas chercher à sécuriser encore plus sa page de connexion: cela a un coût et ils ont des informations plus importantes à protéger.

A côté, un compte Blizzard est lié à des jeux (un jeu tout neuf = 60 euros) et à des abonnements WoW. Un compte a plus de valeur qu'une autre. Donc il est plus logique de vouloir protéger un peu plus ce genre de compte, qu'un compte sur un forum.


Blizzard ne force pas les joueurs à posséder un Authenticator. Le joueur peut très bien se connecter avec seulement son adresse email et son mot de passe.
L'Authentificator permet de mieux protéger son compte (vraiment) et n'est pas obligatoire.

Maintenant, avec les problèmes récents de piratage, Blizzard conseille fortement de posséder un Authenticator.
Par contre, tant que nous ne connaissons pas les détails de ce piratage (si c'est une fuite d'informations, si c'est un exploit du jeu, ect...), il peut servir à rien.

mamou
04/06/2012, 02h42
Ca m'enerve un peu de voir tous ces gens qui disent : mais comment est-ce possible de hacker l'authenticator?

Mais qui vous dit que ces hackers ont seulement besoin de le faire? Vous pensez que personne chez blizzard pourrait accéder à votre compte s'il le voulait?

Personnellement, j'ai été hacké récemment, ok je n'avais pas authenticator (j'imaginais même pas qu'il était nécessaire d'avoir un truc pareil pour un jeu vidéo...) je n'en n'ai pas non plus pour mes comptes de poker online (je suis joueur professionnel).

Vous pensez pas que ces hackers seraient allé chercher les vrai $ plutôt que les gold virtuels sur diablo 3?

Tatsu-Kan
04/06/2012, 02h50
Vous pensez pas que ces hackers seraient allé chercher les vrai $ plutôt que les gold virtuels sur diablo 3?

Euh, toi t'a pas tout compris.
Les golds en question, ils les vendent derrière...
Et contre de l'argent en $,€ peut importe...

mamou
04/06/2012, 03h30
"Certains hackers arriveraient à "maquiller" une session, c-a-d qu'ils n'ont pas besoin du login/mdp, ils utilisent un programme et une faille spécifique, et en envoyant des paquets aux serveurs blibli, ils jouent sur ton compte sans nécessiter d'identifiants"

Bien sûr c'est à prendre avec des pincettes...

@Tatsu
Je crois que c'est toi qui à pas compris,
C'est bien connu, c'est tellement plus rentable de hacker des comptes diablo que des comptes de poker :D
je dis juste que si je m'étais fait hacké avec keylogger/trojan, mes comptes de poker ne seraient pas resté indemne.

Prayel
04/06/2012, 07h58
Un truc bizzare dans cette histoires de compte D3 hackés, c'est le fait que les comptes wow ne soient pas dévalisés.
Je me trompes peut-etre mais c'est bien le même couple identifiant/mot de passe pour D3 et wow non ?
Pourquoi les hackeurs ne prennent pas les po des comptes wow au passage, ça ne les interessent pas ? Ca se vends aussi pourtant...
On peux penser qu'en fait les hacks se font indépendamment des logins/mdp sinon on entendrais parler de comptes Bnet dépouillés alors que là c'est juste des personnages D3.
Des infos à ce sujet ?

WeeSKee
04/06/2012, 09h16
C'est bien connu, c'est tellement plus rentable de hacker des comptes diablo que des comptes de poker :D
je dis juste que si je m'étais fait hacké avec keylogger/trojan, mes comptes de poker ne seraient pas resté indemne.

Il peut faire quoi un mec qui se connecte sur ton compte de poker ? Transférer des sous sur un compte bancaire ? Dans ce cas il est grillé
Dans le cas des hacks D3, tu prends tout sur plusieurs comptes, tu le transfère de perso en perso, et à la sortie de l'HV en argent réel, légalement, tu revends les golds contre des $. C'est plus safe non ?

Sinon, petite mise au point d'un bleu concernant l'authenticator (http://eu.battle.net/d3/fr/forum/topic/4552396708?page=5#83)

orelz
04/06/2012, 10h39
C'est de la faute de blizzard si la sécurité de leur système est insuffisante de base. Pas des joueurs. Tu dirait quoi si après t'être fait pirater ta carte bleue, Visa t'expliquait que c'était de ta faute, et que tu aurais du prendre l'option extra sécurité, sinon tant pis pour toi.

Et on ne peut pas dire que leur infrastructure est exempte de défauts, loin de là, alors de là à ce qu'ils aient des failles, pourquoi pas. Ils ne seraient pas les premiers.
:huh:
Hum... travaillant dans le domaine des paiements sécurisés je te confirme bien que dans la plus part des cas (pour ne pas dire 99.9%) le problème se situe entre la chaise et le clavier et pas ailleurs. Et l'acquéreur, ici VISA dans ton exemple, t'expliquera très clairement que c'est de ta responsabilité de conserver ton code à l’abri des regards et de ne pas acheter sur n'importe quel site (ckecker que la plateforme de paiements est bien PCI compliant par exemple et que c'est bien du 3DS) et ils checkeront ton contrat pour voir si tu as le droit à un remboursement dans le cas où c'est pris dans les clauses.
Ne le prend pas mal mais c'est humain comme erreur de mettre son mdp partout. J'en ai fais les frais étant plus jeune et aussi avec un compte Battle.net, juste qu'après je ne criais pas partout que c'était de la faute de Blizzard si j'ai été assez crédule/crétin pour mettre mon mdp ailleurs.

J'espère que si tu pommes les clés de ta voiture et te la fait voler tu ne porteras pas plainte contre le constructeur pour négligence de sa part... :wacko:

"C'est de la faute de blizzard si la sécurité de leur système est insuffisante de base." Joli concept, mais pas dans notre monde.

Tu ne peux pas les blâmer si tu as personnellement communiqué ton mdp à un tiers même sans le vouloir. Maintenant oui pour éviter ce genre de problème il y a des systèmes de token (authenticator) qui sont proposés en plus, cela te permets d'effectuer une authentification forte afin d'esquiver au maximum une erreur humaine.
Si faille il y a ils communiqueraient sûrement dessus, et cela ne concernerait pas que des cas isolés (bien qu'on peut trouver nombreux mais pas tant que cela vu le nombre de millions de joueurs, le topic aurait bien plus que 6 pages dans ce cas).

WeeSKee
04/06/2012, 11h35
Encore une intervention d'un bleu


Merci de votre compréhension.
Non, aucun compte Diablo III possédant un Authenticator n'a été piraté. Tous les joueurs se plaignant sur ce forum d'avoir été piraté malgré la présence d'un Authenticator avaient ajouté l'Authenticator après le piratage, ou "curieusement" ne publiait pas le message avec le bon compte.

Ouro, t'avais bien un authenticator ?

Jeremy
04/06/2012, 11h54
Il faudra qu'on m'explique pourquoi l'authentificator est indispensable sur Battle.net, et que ma banque / mon opérateur téléphonique / la SNCF / la FNAC / Apple / Amazon / etc... etc... me permettent de me logguer sans problème sur mon compte / d'acheter des trucs, et qu'il ne me semble pas qu'il y ait des problèmes de hacks.
Les banques utilisent rarement un couple login / pass que tu choisis => donc chopper ton login / pass habituel ne peut pas servir pour cela.
Pour tous les autres (et même pour la banque au final), si tu achètes avec un compte volé, il faut bien faire livrer quelque part, contrairement à un jeu où c'est juste du gold qui va sur un compte qui n'a surement pas des infos réelles et sera revendu à travers d'autres sites.

Phenixy
04/06/2012, 12h02
A vous lire j'ai changé mon mdp et activé l'Authenticator. :)

Mon coffre et ma fiche d'inventaire d'avance vous remercient!

Captain_Cowkill
04/06/2012, 12h03
Encore une intervention d'un bleu
Ouro, t'avais bien un authenticator ?

Ah ah, j'adore le ton du message ^_^

ese-aSH
04/06/2012, 12h09
J'en ai marre. J'abandonne et je reprendrais quand les problèmes de hacking seront réglés.. :|
Ton mdp, tu l'utilisais sur d'autres sites ?
J'attends que quelqu'un dise qu'il s'est fait hacker avec un mot de passe jamais utilisé ailleurs, et sans lien direct ou indirect avec l'identifiant.

C'est surement pas la faute a blizzard si t'as craché ton mot de passe sur un autre site (et que ce site au choix : s'est fait hacker / était tenu par des hacker).

---------- Post added at 12h09 ---------- Previous post was at 12h07 ----------


Les banques utilisent rarement un couple login / pass que tu choisis => donc chopper ton login / pass habituel ne peut pas servir pour cela.
Pour tous les autres (et même pour la banque au final), si tu achètes avec un compte volé, il faut bien faire livrer quelque part, contrairement à un jeu où c'est juste du gold qui va sur un compte qui n'a surement pas des infos réelles et sera revendu à travers d'autres sites.
Et les banques proposent TOUTES le service authenticator, sauf qu'il n'est jamais obligatoire. (pour l'instant, ca va se généraliser dans les années à venir).

Bartinoob
04/06/2012, 12h11
On a droit à deux restaurations après hack pour l'instant, c'est ça ?

Si oui, n'ayant ni smartphone ni envie de payer un bidule en plus, je vais tenter le coup avec un mot de passe spécifique à battlenet et si ça tourne mal je prendrai le truc sur code.google :tired:

madjpm
04/06/2012, 12h14
Perso j'ai généré un mdp automatiquement avec une commande (qui contient tout types de caractère) + la clef OTP de blizzard + antivirus payant à jour + firewall et routeur 1/n de ma box et évidement j'ai jamais répondu au moindre mail de blizzard que je reçois me disant de me logger pour une raison X ou Y.

Avec ça je suis régulièrement avec des inconnus en ligne, j'ai posté mon battletag dans des endroits douteux et avec plusieurs millions de po en arma j'ai jamais eu de hack à ce jour...

Étonnant aussi que des perso level 30 avec quelque centaine de millier de po se fassent hack. Si vraiment une faille existait chez blizzard pourquoi ne choisiraient ils pas les comptes les plus juteux comme le miens ?

ese-aSH
04/06/2012, 12h22
Étonnant aussi que des perso level 30 avec quelque centaine de millier de po se fassent hack. Si vraiment une faille existait chez blizzard pourquoi ne choisiraient ils pas les comptes les plus juteux comme le miens ?
:) Strictement rien ne prouve qu'une faille existe, au contraire un raisonnement par l'absurde basique (que tu as en gros fait dans ton post) tend à prouver qu'une telle faille n'existe pas.

WeeSKee
04/06/2012, 12h29
Ah ah, j'adore le ton du message ^_^

Si Ouro a un authenticator, il va pouvoir prouver que les bleus sont des menteurs.

Tiax
04/06/2012, 12h53
Fun fact : Saviez-vous qu'aucun des jeux Blizzard ne gère les majuscules pour les mdp des utilisateurs?

En gros, avoir un password genre "sUnshIne" est parfaitement inutile puisque "sunshine" ou "SUNSHINE" seront tous valides.

Super Cookies
04/06/2012, 12h55
Est ce que ça veut dire qu'on peut remplace la "," par "?"?

Captain_Cowkill
04/06/2012, 12h57
Si Ouro a un authenticator, il va pouvoir prouver que les bleus sont des menteurs.

Ou t'insulter. Au choix.

PurpleSkunk
04/06/2012, 13h01
Si Ouro a un authenticator, il va pouvoir prouver que les bleus sont des menteurs.

La grosse classe. :trollface:


Ou t'insulter. Au choix.

Déjà fait. B)

WeeSKee
04/06/2012, 13h03
Ou t'insulter. Au choix.

Et je l'ai pas traité de menteur encore :trollface:

Chiff
04/06/2012, 14h25
Est ce que ça veut dire qu'on peut remplace la "," par "?"?

Non c'est valable pour les lettres mais pas pour les caractères spéciaux

Syfare
04/06/2012, 14h27
C est marrant comment internet, juste avec 2 - 3 suppositions, arrive à faire naître des situations comme celle ci.
Il a du avoir un troll au début qui a dit avoir un authentificateur, et d'autre se sont jeté dans la brèche ensuite pour paraître "moins bête" de s'être fait hack.

Ouro
04/06/2012, 15h12
Encore une intervention d'un bleu



Ouro, t'avais bien un authenticator ?

Sur mon android depuis plusieurs mois.

Choup'
04/06/2012, 15h36
[QUOTE=ese-aSH;5516955]
J'attends que quelqu'un dise qu'il s'est fait hacker avec un mot de passe jamais utilisé ailleurs, et sans lien direct ou indirect avec l'identifiant.
[COLOR=Silver]

Me voilà pour combler tes attentes.
Vu mon niveau je n'ai perdu "que" 180 000 po et pas mes objets. Mais ça ne me rassure guère.

Tiax
04/06/2012, 15h37
Non mais de toute façon si le coup du spoofing de session est avéré, on peut foutre tous les authenticators du monde que ça ne changera rien.

WeeSKee
04/06/2012, 15h56
Il n'y a pas non plus d'usurpation de session. Tous les comptes compromis analysés ont montré l'utilisation du nom de compte et du mot de passe pour être connecté par les voleurs et rien ne laisse penser que l'utilisation de partie publique ou de l'hôtel des vente puisse être exploité.

Je pense qu'on peut leur faire confiance, s'ils se mettent à mentir officiellement, c'est pas bon du tout :rolleyes:

madjpm
04/06/2012, 16h03
C'est surtout qu'une faille ça serait quand même visible relativement facilement pour eux, je pense qu'en cas de compromission avérée du serveur le patch viendrait dans les heures qui suivraient.

Meuhoua
04/06/2012, 16h05
C'est surtout qu'une faille ça serait quand même visible relativement facilement pour eux, je pense qu'en cas de compromission avérée du serveur le patch viendrait dans les heures qui suivraient.

Genre sous la forme de tout un dimanche aprem HS à une semaine de la sortie du jeu ?

^_^

Molina
04/06/2012, 16h09
En fait, personne ne sait quel est le problème, ni où se situe le problème. Donc, il n'y a pas matière à accuser Blizzard, ni même les victimes.

Honnêtement, les bras m'en tombent quand je vois certains insulter allègrement les "victimes" parce qu'elles n'ont même pas acheté un machin à 10 euros (en plus du jeu, qui n'est pas à abo...) tout en les traitant d'idiots, pendant que d'autres fustigent Blizzard de la famine du Darfour, et le tout, sans aucunes preuves.

Pour le coup, le coté fanboy/haterboy de blizz, devient risible.

sissi
04/06/2012, 16h11
Ça vous ne semble pas gros comme connerie d'être déco en pleine partie par un hacker qui se co' d'on ne sait ? Je sais pas moi, avec steam, si je le lance sur une autre bécane, il va couiner et refuser direct. Pourquoi, il n'y a rien de similaire sur battlenet ?

ese-aSH
04/06/2012, 16h29
Me voilà pour combler tes attentes.
Vu mon niveau je n'ai perdu "que" 180 000 po et pas mes objets. Mais ça ne me rassure guère.

Cool :) nan mais ca m'intéresse parceque j'ai pas prévu d'investir dans un auth, et que donc je veux chercher a comprendre comment l'éviter.

mot de passe réservé a bnet, jamais utilisé ailleurs (ni donné à 'ma copine mais je lui fais confiance a elle'), et sans lien avec l'identifiant donc ?
Quel age ton mot de passe ? d'autres jeux blizzard ? Parties publiques ? AH ?

eboshi
04/06/2012, 16h43
Cool :) nan mais ca m'intéresse parceque j'ai pas prévu d'investir dans un auth, et que donc je veux chercher a comprendre comment l'éviter.

mot de passe réservé a bnet, jamais utilisé ailleurs (ni donné à 'ma copine mais je lui fais confiance a elle'), et sans lien avec l'identifiant donc ?
Quel age ton mot de passe ? d'autres jeux blizzard ? Parties publiques ? AH ?

Pour ma part , Mot de passe crée pour D3, asser compliqué, jamais révéler ni noter ou que se soit, sans lien avec l'identifiant, jamais jouer a wow et j'utilise un pc dédié aux jeux qui ne vas jamais sur le net ou messagerie, rien n'est installer de "social" dessus, gros antivirus/firewall/antimalware payant installer dessus. (rien a signaler aux multiple scan).

Pas d'auth au moment du hack.

edit: Jamais fait de partie publique, je vend pas mal de truc sur l'hotel des vente.

J'ai un pc dédié au surf et messagerie ect qui est isolé de mon réseau.


Je pensais avoir minimiser tout risque ainsi mais ça na pas suffit.

Super Cookies
04/06/2012, 16h57
Comment tu isoles un pc qui passe par le même routeur que tes autres pc?

eboshi
04/06/2012, 17h05
Via une option de mon routeur qui est "senser" me permettre d’empêcher un poste de travail d’être vu/voir les autres postes de travail du réseau domestique. honnêtement j'ai aucune idée de l’efficacité du truc c'ete a signaler.

madjpm
04/06/2012, 17h17
De toute façon si vraiment tu as généré un mot de passe aléatoire pour d3 et qui tu l'as utilisé sur un pc parfaitement à jour niveau OS et antivirus c'est en effet assez étrange...

Il reste plus que le coup du scam mais je pense pas que tu ouvre ce genre de mail :)

Super Cookies
04/06/2012, 17h46
Si tu génère un mdp même aléatoire mais de seulement 8 caractères, ça doit pas bien être difficileà cracker le code non?
En quelques jours, il doit y passer, si il n'y passe pas, ils arrêtent et passe à un autre compte.

eboshi
04/06/2012, 17h49
De toute façon si vraiment tu as généré un mot de passe aléatoire pour d3 et qui tu l'as utilisé sur un pc parfaitement à jour niveau OS et antivirus c'est en effet assez étrange...


Oui, je pensai asser naïvement que si y en avais bien un qui ne se ferait pas avoir c'est bien moi, vu le soins maniaque que j'attache a garder mes machines a jour et propre.



Il reste plus que le coup du scam mais je pense pas que tu ouvre ce genre de mail :)

Si c'ete le cas je ne serais pas la :p

fougny
04/06/2012, 17h54
Si tu génère un mdp même aléatoire mais de seulement 8 caractères, ça doit pas bien être difficileà cracker le code non?
En quelques jours, il doit y passer, si il n'y passe pas, ils arrêtent et passe à un autre compte.

Je veux bien croire beaucoup de chose, mais pas au crackage par brute force.
LA faille chez blizzard est quand même plus probable si des gens avec authenticator, et/ou; avec des mots de passes bien foutus, se sont fait hack

earnil
04/06/2012, 17h54
Quelques jours pour un seul compte, c'est pas très rentables pour le hackeur. Personne ne va s’embêter à "brutforcer" un mot de passe, il existe des techniques bien plus rapides et efficaces, comme propager un keylogger.

Super Cookies
04/06/2012, 17h56
Moui enfin à priori, on peut faire autant de mdp faux, il n'y a pas de blocage si? Tu fais tourner plusieurs par ordi, ça doit venir assez vite.

sissi
04/06/2012, 17h58
Et Arp Poisoning/spoofing ? C'est une voie possible ?

Tiax
04/06/2012, 19h39
Je veux bien croire beaucoup de chose, mais pas au crackage par brute force.
LA faille chez blizzard est quand même plus probable si des gens avec authenticator, et/ou; avec des mots de passes bien foutus, se sont fait hack

Y'a pas besoin de faire directement du brute-force, en dico ça va nettement plus vite et comme Blizzard n'est pas foutu de différencier une majuscule d'une minuscule ça doit être encore plus facile.

Benounet
04/06/2012, 19h41
Si y'a des gens capables de comprendre les rapports d'antivirus, les logs d'hijackthis d'un mec qui s'est fait hack sont trouvables ici:
http://eu.battle.net/d3/en/forum/topic/4552507464

Si ca peut aider a trouver d'ou ca vient.


Pour ceux pour qui ca traine le restore c'est because


For those of you asking about our current response time: Our CS teams are experiencing a high volume of incoming help requests right now which is causing inflated wait times. We will do our best to get anyone affected by an account compromise back in the game as soon as we possibly can

XWolverine
04/06/2012, 19h47
Je répète ce que je pense du brute force sur le sujet, impossible, car les tentatives doivent se faire sur un serveur distant, or pour brute forcer un mot de passe, il faut faire plusieurs 100aines de milliers de tentatives par seconde, possible en direct, impossible en envoi vers un serveur qui va mettre quelques ms au mieux pour répondre, ce qui est trop (et l'authentification Battle.net à l'air beaucoup plus long que ça).
Le seul moyen de brut forcer, c'est d'avoir chopé tout ou partie de la base de données et de l'attaquer en local (en cassage de clé aussi, peut-être).
Donc j'y crois pas.
Une partie des témoignages à l'air un peu mytho, mais y'a un malaise, dans cette histoire, j'ai tendance à croire les mots de passe fort et uniques d'une partie des hackés et ce truc de se faire déco parce que le même compte se connecte, ça pue. Donc je penche bien pour une faille, un exploit, où les hackers n'ont pas besoin du mot de passe. Ce qui inquiètes le plus, c'est l'incapacité de Blizzard à endiguer le truc et là encore, peut-être qu'une partie du buzz autour des hacks de compte est gonflé, mais pareil, j'ai tendance à y croire, il y a trop de sources concordantes, pas de pattern communs dans les témoignages, ...

Algent
04/06/2012, 20h54
Ça vous ne semble pas gros comme connerie d'être déco en pleine partie par un hacker qui se co' d'on ne sait ? Je sais pas moi, avec steam, si je le lance sur une autre bécane, il va couiner et refuser direct. Pourquoi, il n'y a rien de similaire sur battlenet ?

Bah justement pour wow et sc2 quand je me loggait a l'iut ça me laisse même pas me connecter et ça bloquait immédiatement le compte avec envoi d'un mail de déblocage.
Ça te faisait le coup 2-3x puis ensuite l'ip était "connue" et t'avait la paix.

J'ai absolument aucune idée de pourquoi ça marche plus pareil sur D3 :huh:

Eld
04/06/2012, 21h24
Pareil, j'ai voulu commencer à jouer chez un pote et la sécurité s'est déclenché 3 fois de suite, au point que j'ai du ouvrir un ticket. Donc perso je penche pour une faille de leur côté.
(PS: je n'ai pas été hacké moi même)

scriba
04/06/2012, 23h42
Si y'a des gens capables de comprendre les rapports d'antivirus, les logs d'hijackthis d'un mec qui s'est fait hack sont trouvables ici:
http://eu.battle.net/d3/en/forum/topic/4552507464

Si ca peut aider a trouver d'ou ca vient.


Bah, déjà le gars il utilise IE6 ! Dans le genre pas à jour ça se pose là. :)

chtitelarve
05/06/2012, 02h08
J'ai arrêté d'avoir confiance en Blizzard quand j'ai appris il y a quelques jours que mon mot de passe avec minuscules et majuscules était parfaitement inutile puisque la casse n'est pas gérée... Bravo les gars ! Et à côté on nous demande un "authenticator" ? Attendez, sérieusement...

La plupart des gens qui traînent ici sont tout sauf des tocards qui sautent à pieds joints dans le premier phishing venu, ou installent une tripotée de saloperies propices à véroler leur PC. Hein, je pense qu'il y a une petite différence avec la génération d'avant. Non, mais en dépit de ça, ceux qui ont le malheur de dire qu'ils ont vu leur perso principal se faire vider les poches, se voient nier leur statut de victime du genre "bien fait pour vos gueules" et Blizzard n'a rien à se reprocher... J'hésite entre tristesse et consternation. Combien de personnes ayant signalé ce problème ont eu d'autres soucis du même type avec Steam ou n'importe quel autre jeu récemment ? En fait, combien n'avaient jamais eu un problème de hack dans un jeu (excluons le cheat sur le multijoueur type BF3 and co) ou s'était fait véroler leur PC avant ce problème dans D3 ?

Vu le nombre de retours importants sur le problème, j'estime qu'il n'est plus vraiment possible de faire comme si de rien n'était. Il y a un dklsjflk de problème et Blizzard la joue comme s'il n'y en avait pas, ou laisse entendre que ce sont évidemment les utilisateurs, ces pauvres inconscients, qui sont incapables de sécuriser leur machine... Qu'est-ce qu'on rigolerait si Blizzard devenait une sorte de Hadopi ++ et pouvait distribuer de la coupure de connexion internet à chaque malheureux qui se fait hacker son compte parce qu'il n'avait "pas assez sécurisé son PC"...

Tiax
05/06/2012, 03h27
Voilà, si tous les joueurs qui se sont fait tipiak étaient des gros noobs de la sécurité informatique pas foutus de sécuriser correctement leurs comptes, je pense qu'on aurait entendu parler d'autres problèmes que ceux directement liés à Diablo III.

Là, c'est vraiment spécifique à ce jeu, y'a une pétée de personnes qui se sont faites hacker la gueule (Bibi compris) alors qu'elles n'avaient jamais eu de problème jusqu'alors, donc hein, le coup de Blizzard qui n'a rien à se reprocher, à d'autres. :tired:

Roland de Flore Lauphine
05/06/2012, 08h30
Les victimes de hack seront toujours présumées idiotes et ce en raison d'un snobisme persistant dans la communauté des joueurs, celui qui consiste à se prendre pour un expert en informatique et à l'afficher ostensiblement en sautant sur le premier hacké venu. Le test est facile, allez sur un forum quelconque de jeux pas offline, dites que vous avez été hacké et une tétrachiée de guignols suffisants vous répondra "ololilol le problème est entre la chaise et le clavier, on me la fait pas à moi".

Moralité, les hackés sont moqués par la communauté elle même, Blizzard ne fait que surfer la dessus pour noyer le poisson en lousdé.

deathdigger
05/06/2012, 08h50
Le fait que les hacks sont beaucoup plus présents sur ce jeu que sur d'autres est surtout lié à l'appât du gain avec l'HV en argent réel. Ce qui met le doute sur une possible faille de sécurité, ce sont les mecs hackés alors qu'ils ont un authenticator.

WeeSKee
05/06/2012, 08h56
J'attends de me faire hacker, là je pourrai dire que c'est une faille blibli (mdp unique à +12 caractères alphanumérique et spéciaux + alerte sms + authenticator + PC à jour et antivirus). Pour l'instant, c'est 50/50.

Super Cookies
05/06/2012, 09h18
D'un autre côté, jai pas d'authenticator, pas d'alerte sms, un mot de passe (avec caractères alphanumérique et spéciaux certes), et un antivirus gratuit avec lequel je n'ai certainement jamais fait de scan complet de mon pc. Et je n'ai toujours pas été hacké, ceci dit, mon perso est lvl 25 avec 4k de po donc ya pas grand chose à voler.

Je ne sais pas comment sont stockés les mdp (cryptage ou non) mais il pourrait être possible que les pirates se soient procurés une liste des identifiants + mdp.

Captain Igloo
05/06/2012, 10h03
J'ai arrêté d'avoir confiance en Blizzard quand j'ai appris il y a quelques jours que mon mot de passe avec minuscules et majuscules était parfaitement inutile puisque la casse n'est pas gérée... Bravo les gars ! Et à côté on nous demande un "authenticator" ? Attendez, sérieusement...


J'avoue que ça m'a aussi fait halluciner. Ils ont déjà expliqué pourquoi ? Parce que bon, y a juste 99% des sites web qui gèrent un login / mdp qui prennent en compte les majuscules, alors pourquoi pas eux ? Pour éviter que Kevin se rappelle plus quelles lettres étaient en majuscules dans sont mot de passe ultra secure "ToTo123" ?

Un autre truc qui me chiffonne de l'autre sens, c'est qu'on n'entend guère les hackers se vanter des failles qu'ils ont trouvé. Je ne suis pas du tout l'actualité des hackers, mais quand iOS se fait jailbreak je vois des news un peu partout, ou quand y a moyen via Flash 10.5.2169 & IE 7.8.623 sur Windows XP 32 bits version sud-coréenne de peut-être accéder aux cookies, ben on est au courant tout se suite. Vu le foin que ces hacks font, je ne doute pas que des hackers / experts en sécurité se sont penchés sur le truc, et s'ils trouvent nulle doute que ça contribuera à leur ego, donc pas de raison qu'ils le tiennent pour eux.

Et je vous rejoins aussi sur le bruteforce à distance plus qu'improbable vu le temps que met le serveur à répondre (et si une base de données des mots de passe à été copiée, alors suffirait que Blizzard communique dessus pour que les gens changent leur mot de passe pour rendre la manoeuvre caduque). En plus j'ai pas eu l'occasion de tester, mais visiblement la sécurité élémentaire lorsqu'on se connecte sur des IP différentes semble aussi en place. Autant de choses qui me font d'ailleurs me demander en quoi l'Authentificator est nécessaire d'ailleurs ?

Bref, je suis partagé.

Super Cookies
05/06/2012, 10h12
Bien sur que si ils vont le garder pour eux. Puisqu'ils ont volé des du stuff et PO. Ce n'est pas comme pour les failles dans IE ou flashplayer ou là, il y a des récompenses à la clé.

rakagoule
05/06/2012, 10h46
Ce matin, au reveil, vers 6h10, j'ai eu une idée de génie.
Non, ca ne concerne pas la sécurité des comptes, malheureusement.
Par contre je me suis dit : "Mais, mais, pourquoi nos golds ne serait pas liés a notre compte ?"
Ca limiterais quand même pas mal le bordayl non ?
C'est sur vous allez me dire que se sont les items qui vont etre revendu a l'HV qui rapporte du pognon, et je vous dirais que vous avez raison ! Mais bon, ca limiterais un peu !
Qu'en pensez vous ? Puis je devenir riche et déposer un brevet ?

Psk
05/06/2012, 10h49
Si tes golds sont liés au compte, comment tu fais pour acheter sans passer par l'AH ? Via les forums ou le général ingame les gens se vendent des objets, les golds ne peuvent donc pas être lié au compte sinon Blizzard nous obligerait donc à passer par l'AH ce qui serait assez abusé.

rakagoule
05/06/2012, 10h56
Si tes golds sont liés au compte, comment tu fais pour acheter sans passer par l'AH ? Via les forums ou le général ingame les gens se vendent des objets, les golds ne peuvent donc pas être lié au compte sinon Blizzard nous obligerait donc à passer par l'AH ce qui serait assez abusé.

Ca y est mon reve s'écroule. Tu as entièrement raison.
Epic fail.

deathdigger
05/06/2012, 11h19
Bien sur que si ils vont le garder pour eux. Puisqu'ils ont volé des du stuff et PO. Ce n'est pas comme pour les failles dans IE ou flashplayer ou là, il y a des récompenses à la clé.

Yep, faut pas confondre le hacking classique avec celui qui sévit de plus en plus et qui a pour but de se faire du pognon (Russie et Chine en tête).

sissi
05/06/2012, 11h21
Diablo 3 Session Spoofing Is Real; Do Not Join Public Games

http://www.cinemablend.com/games/Diablo-3-Session-Spoofing-Real-Do-Join-Public-Games-43162.html

WeeSKee
05/06/2012, 11h27
Diablo 3 Session Spoofing Is Real; Do Not Join Public Games

http://www.cinemablend.com/games/Diablo-3-Session-Spoofing-Real-Do-Join-Public-Games-43162.html

Super intéressant, mais y'a des gens qui se sont fait hacker sans jamais join une partie public, ni même croisé une autre personne. Après, il y a peut-être plusieurs types de hack en même temps...

Maalak
05/06/2012, 11h38
Donc, en gros, si on désactive la possibilité d'être rejoint par des inconnus dans notre partie (ce que j'ai coché dès le depart) et que l'on se limite à des parties avec des personnes de confiance ayant également désactivé cette fonction, il ne devrait pas y avoir de risques.

Naiaphykit
05/06/2012, 11h52
Les victimes de hack seront toujours présumées idiotes et ce en raison d'un snobisme persistant dans la communauté des joueurs, celui qui consiste à se prendre pour un expert en informatique et à l'afficher ostensiblement en sautant sur le premier hacké venu. Le test est facile, allez sur un forum quelconque de jeux pas offline, dites que vous avez été hacké et une tétrachiée de guignols suffisants vous répondra "ololilol le problème est entre la chaise et le clavier, on me la fait pas à moi".



Allez, un exemple : moi même.
Entre 12 ans d'expérience de jeux en ligne ( exemples les plus longs : dofus, WOW, et actuellement je suis sur diablo 3 )
Antivirus existant : Mon PC, jusqu'à il y a 2 mois, n'était pas protégé par autre chose que windows defender, que j'avais même viré pendant un temps pour jouer à BG2 en multi.
Actuellement j'ai Avaast, que j'ai débloqué depuis un bout de temps pour faire un réseau local avec ma PS3 ( mon seul moyen de mettre mes films sur ma télé )
3 jeux sur lesquels le "hack" a été continu et plutôt important.

Nombre de "hacks" de compte ? 0.
Quelle est ma principale sécurité ? Mettre un mot de passe original à chaque fois, et mettre une question secrète à laquelle on ne peut répondre sauf en me connaissant personnellement depuis plus de 10 ans. Et en plus je file mes pass à quelques potes de confiance :o

Et pour info, j'ai toujours eu des comptes "rentables" à hack.

Donc oui, je me pose sincèrement des questions sur le fait que les hacks ne soient jamais de la faute des hackés ( à les entendre ).
Par exemple, si je me fais choper mon compte, je sais que ça aura un rapport avec le fait que je n'ai pas d'antivirus activé en permanence, et je prendrai les dispositions nécessaires.

Et pour info, une société est OBLIGEE par la loi de dire quand elle a une faille de sécurité. C'est ce que Sony a fait avec le réseau PS3 par exemple.

Captain_Cowkill
05/06/2012, 11h58
C'est tellement plus simple de faire croire à la théorie de la conspiration et de rejeter toute la faute sur les méchants développeurs.

Cult
05/06/2012, 12h21
Déja comme sur wow, bon nombre d'utilisateurs utilise le même login/mdp sur un forum (guilde ou autre) et le même sur b.net le forum contient une faille, hop hop hop les comptes b.net sont ensuite piraté.
Un grand classique.
A la sortie de SC2 il y avait eu du piratage massif sur les comptes WoW possédant SC2, on avait aussi crié à une faille.

WeeSKee
05/06/2012, 12h29
Hehe je suis bien d'accord avec vous.

Mais alors, que s'est-il passé avec Ouro et son authenticator ? Hum hum

chtitelarve
05/06/2012, 12h31
Et c'était une théorie de la conspiration les vols de données chez Sony ?
Tout ce qu'on peut vous souhaiter, c'est que vous soyez confrontés au même problème, histoire que vous ravaliez votre condescendance.

Une société obligée de révéler une faille de sécurité ? Pour une société basée à l'étranger, pour un problème qui jusqu'à présent ne relève pas du vol de données à caractère personnel (mais de données de jeu et donc aucune atteinte aux personnes), j'aimerais bien qu'on me démontre quelle législation/réglementation obligerait un développeur à signaler ça...

Relisons le CLUF ensemble, je ne l'ai pas sous la main pour le moment mais je suis sûr que Blizzard a prévu un truc pour se couvrir de ce point de vue là. Soyons honnête: ce problème ne fait "que" ruiner l'"expérience de jeu" en annihilant le temps passer à amasser du matos, on est loin d'un vol de données de carte bancaires ou de coordonnées nominatives par exemple. N'empêche que le problème existe, et que nier la responsabilité du développeur à ce stade compte tenu du nombre important de victimes me paraît intenable.

EDIT: l'article le plus mesuré (http://www.decryptedtech.com/index.php?option=com_k2&view=item&id=834:blizzard-still-clinging-to-the-its-the-users-fault-argument-appears-uninterested-in-finding-the-real-issue&Itemid=139) que j'ai pu lire jusqu'à présent.

eboshi
05/06/2012, 12h41
C'est tellement plus simple de faire croire à la théorie de la conspiration et de rejeter toute la faute sur les méchants développeurs.

Et c'est tellement plus simple de s'auto-rassurer en rejetant toute la faute sur les joueurs, tant que c'est l'interface chaises clavier qui bug ton propre compte n'a rien a craindre n'est ce pas ? :rolleyes:


Plus sérieusement , je ne doute pas que beaucoup de hack de compte viennent d'une erreur du joueur, mais , et je prendrais mon cas (lui je le connais bien au moins:p) quid quand ça arrive alors que tu prend un grand nombres de mesure pour justement éviter le problème ?

Molina
05/06/2012, 13h05
J'écrirais ce que j'ai écris à GMB sur un autre topic : Même si c'est le joueur le problème...
Au vue du nombre de con, ben chai pas, on change la manière d'utiliser le produit. Parfois, je ne sais pas comment vous raisonner. On ne change pas la nature des gens pour un produit, mais c'est au produit de changer de nature pour correspondre aux personnes humaine qui l'utilisent. Et enfin, on communique la dessus, comme le fait la RATP sur les vol d'iphone à la sauvette (alors qu'en de base...Ce n'est pas du tout leur problème).

Tylers
05/06/2012, 13h21
y a aussi pas mal de chances que les gens qui se sont fait hackes avaient/ont un compte avec meme login/mdp dans une des très grosses bases de données qui se sont fait hackes l année passée.

Nyuu
05/06/2012, 13h22
Ce qui me fait bien rire, c'est que ça fait déjà longtemps qu'on est au courant de ce bug de session id, et y'a encore des boulets pour venir se la raconter "wesh mon mot de passe fait 160 caractères je suis protégé !".

Je sais pas si vous êtes au courant, mais à la sortie de Diablo 2, il suffisait d'ouvrir une fenêtre de trade pour risquer la perte de son compte. Et on est à nouveau en plein dedans dans D3.

WeeSKee
05/06/2012, 13h24
Ce qui me fait bien rire, c'est que ça fait déjà longtemps qu'on est au courant de ce bug de session id, et y'a encore des boulets pour venir se la raconter "wesh mon mot de passe fait 160 caractères je suis protégé !".

Je sais pas si vous êtes au courant, mais à la sortie de Diablo 2, il suffisait d'ouvrir une fenêtre de trade pour risquer la perte de son compte. Et on est à nouveau en plein dedans dans D3.

Qu'on est courant ? Qui blizzard ? Donc depuis D2 ils ont toujours pas réussi à le patcher ? Et ils ressortent un système identique avec le même bug tout en sachant qu'il existe ?

Nyuu
05/06/2012, 13h25
Non c'était au tout début, quand battle.net était le plus grand nid à hack de l'histoire du jeu vidéo.

Y'avait du dupe, du vol d'items via simple ouverture d'une fenêtre de trade, du maphack, un hack pour ramasser les objets à plusieurs centaines de mètres de distance, un colorhack...

rakagoule
05/06/2012, 13h28
Non c'était au tout début, quand battle.net était le plus grand nid à hack de l'histoire du jeu vidéo.

Y'avait du dupe, du vol d'items via simple ouverture d'une fenêtre de trade, du maphack, un hack pour ramasser les objets à plusieurs centaines de mètres de distance, un colorhack...

Y'avais aussi, les anorhack, les polhack et la barbhack... :D

Molina
05/06/2012, 13h29
A l'époque j'avais pas tous ces problèmes, j'étais même pas au courant.

A pardon, je jouais en solo en offline :trollface:

Super Cookies
05/06/2012, 13h30
Les catharhack aussi.

WeeSKee
05/06/2012, 13h30
A pardon, je jouais en solo en offline :trollface:

C'est trop has been ça ^_^

Chiff
05/06/2012, 13h39
J'écrirais ce que j'ai écris à GMB sur un autre topic : Même si c'est le joueur le problème...
Au vue du nombre de con, ben chai pas, on change la manière d'utiliser le produit. Parfois, je ne sais pas comment vous raisonner. On ne change pas la nature des gens pour un produit, mais c'est au produit de changer de nature pour correspondre aux personnes humaine qui l'utilisent. Et enfin, on communique la dessus, comme le fait la RATP sur les vol d'iphone à la sauvette (alors qu'en de base...Ce n'est pas du tout leur problème).

Un premier pas serait de ne pas obliger les utilisateurs à avoir un identifiant battle.net qui soit un email ça changerait déjà BEAUCOUP de choses. Les emails ça traine partout. Comme tu le dis même si c'est le joueur le problème ça n'empêche pas Blizzard de faire quelque chose (autre que 'achetez notre authenticator'). Parce qu'à ce rythme-là même si le RMAH sort un jour je vois pas qui irait dessus si les hacks ne diminuent pas.

ese-aSH
05/06/2012, 13h41
Tout ce qu'on peut vous souhaiter, c'est que vous soyez confrontés au même problème, histoire que vous ravaliez votre condescendance.
On lit rarement des trucs aussi crétins sur ce forum ^^


Un premier pas serait de ne pas obliger les utilisateurs à avoir un identifiant battle.net qui soit un email ça changerait déjà BEAUCOUP de choses. Les emails ça traine partout. Comme tu le dis même si c'est le joueur le problème ça n'empêche pas Blizzard de faire quelque chose (autre que 'achetez notre authenticator'). Parce qu'à ce rythme-là même si le RMAH sort un jour je vois pas qui irait dessus si les hacks ne diminuent pas.
Wé. D'ailleurs jpense que je vais aller me créer un compte mail spécial bnet de ce pas, avec mot de passe spécial bnet.. au moins si je me fais hacker on saura que c'est la faute a google qui balance ses credentials gmail \o/

chtitelarve
05/06/2012, 14h29
On lit rarement des trucs aussi crétins sur ce forum ^^


Ouais, hein ? Pas plus crétin que l'attitude qui consiste à donner le bon Dieu sans confession à Blizzard et à villipender des joueurs qui, jusqu'à preuve du contraire, ne sont pas moins cons que ceux qui les conspuent, jusqu'à ce que ces derniers soient victimes du même problème.

PurpleSkunk
05/06/2012, 15h00
Ah oui au fait : j'ai fait le test avec un pote hier après-midi, on a décortiqué les paquets qui transitent entre deux machines pendant une partie multi et :

1°/ y'a pas de "session-ID-mon-cul-sur-la-commode-mes-couilles-sur-le-billaud"
2°/ de toute façon y'a rien en clair

Donc le coup de la faille session ID attaque man-in-the-middle, d'après moi et mon pote et notre toute petite petite expérience, c'est du flan.


Alors je dis pas qu'il n'y a pas de faille (même si je suis persuadé qu'effectivement il n'y en a pas), mais que c'est pas ça et qu'il faut arrêter un peu avec les rumeurs perraves. À côté de ça, effectivement :

1°/ Blizzard peut mentir (même si ça risque de se retourner contre eux)
2°/ je pense que beaucoup de joueurs mentent très très fort et n'auront rien à Noël.

Tiax
05/06/2012, 15h23
Ok, donc plus qu'à attendre Noël pour être finalement fixés sur cette histoire. :p

PurpleSkunk
05/06/2012, 15h26
Kilécon. ^_^

Jeremy
05/06/2012, 15h39
Ah oui au fait : j'ai fait le test avec un pote hier après-midi, on a décortiqué les paquets qui transitent entre deux machines pendant une partie multi et :

1°/ y'a pas de "session-ID-mon-cul-sur-la-commode-mes-couilles-sur-le-billaud"
2°/ de toute façon y'a rien en clair
Vous avez testé tout ce qui est trade et fenêtre d'inspection de l'autre perso ?