Steam Guard vos jeux en sécurité

[Nonok]

Gabe Newel, un habitué de la sécurité informatique et accessoirement directeur de Valve est content. Pourquoi ? Parce que grâce à Steam Guard, la nouvelle protection de Steam, il sait qu'on ne lui volera pas le code source d'Half-Life 3.
Il faut dire que sur le papier, Steam Guard promet beaucoup. Le possesseur légitime d'un compte Steam doit désormais valider manuellement chaque machine qui souhaite s'y connecter. Ce qui signifie qu'il sera désormais impossible à un pirate ayant le mot de passe d'un compte de s'y connecter si son ordinateur n'a pas été ajouté au préalable à la liste des machines autorisées.
Cette protection supplémentaire peut être installée en suivant le guide de Steam. À noter qu'il vous faudra, si ce n'est pas déjà le cas, une adresse mail vérifiée par Steam. Ensuite, vous devrez relancer Steam trois fois enroulé dans du jambon en chantant Ave Maria pour activer Steam Guard. Ou bien simplement relancer Steam trois fois.
Si vous vous sentez l'âme d'un pirate, le grand Gabe a décidé de vous laisser libre accès à son compte Steam en donnant ses informations de login. Comme vous êtes curieux, je ne vais pas vous les donner mais en revanche, je vais vous montrer ce qu'il se passe si vous essayez de vous connecter à son compte :


Voir la news (1 image, 0 vidéo )

[Zak Blayde]

Culotté le Newel !

[Belhoriann]

C'est un peu un effet direct de leur demande d'informations sur notre matos. C'est bien.

[Louck]

Je me demande vraiment comment marche leur truc.
Surtout si on doit changer d'OS ou de matériel, sur notre PC.

[Pipeman - le vrai]

Euh "ajouter manuellement" ça veut dire quoi ? Pour ajouter un ordinateur il faut d'abord se connecter non ? S'il est impossible de se connecter sans avoir AU PREALABLE ajouté sa bécane sur une liste, on fait comment la première fois pour la première machine ? Et sinon tu connais celle de la poule qui a pondu l'oeuf qui a donné la poule ?

[Narushima]

J'imagine que cette protection va tomber dans à peu près 3, 2, 1...

[Nono]

Je me demande vraiment comment marche leur truc.
Surtout si on doit changer d'OS ou de matériel, sur notre PC.

Si tu changes de matos, tu dois pouvoir réauthentifier ta machine par mail. De la même façon que tu peux en ajouter d'autres.

Une ID de processeur pour valider des données ? Ca ne vous rappelle pas Microsoft et son Palladium ?

[XWolverine]

Bah, c'est mieux que rien, après, faut voir, mais si les gens sont déjà assez cons pour donner leur mot de passe sur le chat à un faux admin kevin, il est toujours possible que certains se fassent aussi choper leur compte mail (même login et même mot de passe).
A voir si c'est souple pour le utilisateurs normaux (genre est-ce qu'on peut faire une partie vite fait chez un pote ou dans la famille sans galérer à déclarer la machine pendant 3 plombes).

[deeeg]

Ça me plait moyennement ce truc, si on ne peux plus se connecter depuis chez de la famille ou des amis (où par exemple on peux installer un jeu pour les vacances ou le week-end) sans rendre des comptes, ça craint...

Est ce que ça va arreter de me couper mon compte quand je lance deux jeux en même temps sur les deux machines de ma maison (ou quand mon gamin lance Plant vs Zombies sur le second pc qui est à 1 mètre du mien alors que je joue à autre chose)?? Parceque ce serait un petit progrès dans leur interface de chiottes ...

Je me demande comment ça va se passer quand on voudra authentifier plusieurs comptes sur une même machine aussi...

[DarzgL]

Ça me plait moyennement ce truc, si on ne peux plus se connecter depuis chez de la famille ou des amis (où par exemple on peux installer un jeu pour les vacances ou le week-end) sans rendre des comptes, ça craint...

Est ce que ça va arreter de me couper mon compte quand je lance deux jeux en même temps sur les deux machines de ma maison (ou quand mon gamin lance Plant vs Zombies sur le second pc qui est à 1 mètre du mien alors que je joue à autre chose)?? Parceque ce serait un petit progrès dans leur interface de chiottes ...

Je me demande comment ça va se passer quand on voudra authentifier plusieurs comptes sur une même machine aussi...

Hé, relax, c'est facultatif.

[M0zArT]

Donc le mieux c'est de hacker et le compte Steam, et l'adresse e-mail.

Hé, relax, c'est facultatif.

Pour l'instant.

[Narushima]

[...]après, faut voir, mais si les gens sont déjà assez cons pour donner leur mot de passe sur le chat à un faux admin kevin[...]

Hum hum.
Et donc en fait, ça fait que déplacer le problème. Plutôt que de s'emmerder à hacker un compte Steam, le malotru s'emparera du compte mail associé.

[K2R2]

Hum, moi le seul intérêt que je trouve à Steam, c'est de pouvoir migrer de machine en machine avec ses jeux, sans se trimballer trois kilos de boites de DVD. Donc bon, lier un compte steam à une machine me paraît pour le moins discutable, voire carrément sans intérêt, mais tant que ça reste optionnel je m'en tape.

[Cley Faye]

Est ce que ça va arreter de me couper mon compte quand je lance deux jeux en même temps sur les deux machines de ma maison (ou quand mon gamin lance Plant vs Zombies sur le second pc qui est à 1 mètre du mien alors que je joue à autre chose)?? Parceque ce serait un petit progrès dans leur interface de chiottes ...

C'est pas forcément "idéal", mais passer l'un des deux PC en mode hors-ligne dans Steam suffit pour ça.

Hum, moi le seul intérêt que je trouve à Steam, c'est de pouvoir migrer de machine en machine avec ses jeux, sans se trimballer trois kilos de boites de DVD. Donc bon, lier un compte steam à une machine me paraît pour le moins discutable, voire carrément sans intérêt, mais tant que ça reste optionnel je m'en tape.

J'aime beaucoup Steam pour ça aussi, mais il faut voir, si ça permet d'enregistrer plusieurs machines simultanément, pourquoi pas...

Enfin globalement c'est encore un système de protection qui ne protègera pas les boulets (qui diffusent leurs login, ou qui se font phisher 15 fois par jour, Steam et mail inclus), et qui n'apportera pas grand chose aux gens super prudents, avec un compte mail différent par service, et autant de mots de passe...
Un truc pour les gens intermédiaires quoi. Tant que ça reste optionnel et pas trop intrusif, ça suffira pour endormir la méfiance que je trouve légitime sur le coup, malgré que j'aime bien Steam.

[Louck]

Si tu changes de matos, tu dois pouvoir réauthentifier ta machine par mail. De la même façon que tu peux en ajouter d'autre.

Ah ouai.
Cette protection permet juste au hacker de ne pas avoir accès directement au compte.

Donc tout passe par le compte mail au final.
Il faut protéger son compte mail

Ça me plait moyennement ce truc, si on ne peux plus se connecter depuis chez de la famille ou des amis (où par exemple on peux installer un jeu pour les vacances ou le week-end) sans rendre des comptes, ça craint...

Si je ne me trompe pas, afin de "valider" l'accès à un compte Steam sur un poste et d'y installer un jeu, il fallait être connecté sur Internet. Après tu pouvais te mettre hors-ligne quand tu veux.

Avec cette protection, l'étape supplémentaire est de passer par sa boite mail. Une seule fois.
Cela n'a pas l'air si chiant comme système.

[Say hello]

M'enfin c'est l'attitude générale de tout le temps geindre:

"Ouiin on peut me piquer mon compte parce que j'ai mis mes login sur un site stiimkommunity.com.tk.free.fr"

Maintenant ça sera:

"Ouiin j'ai à cliquer une fois par machine dans un lien sur mon compte mail pour qu'on doive me piquer mon compte mail afin de voler mon compte steam".


Alors qu'avec une protection pareil et même pas plus handicapante, celui qui s'en sert n'a plus rien du tout à craindre d'un site de phishing de compte steam.

Quand vous vous inscrivez sur un forum vous avez bien à activer le compte par un mail, bah là c'est pareil, mais une fois par machine, et me faite pas croire que vous changez de pc tout les mois.

J'imagine que cette protection va tomber dans à peu près 3, 2, 1...

Nan faut bien lire l'article c'est mieux pour commenter. (ou ta phrase est mal tournée )
C'est pas un DRM anti-piratage de jeu qui sera cracké 1 semaine avant la sortie par un groupe ouzbek.
C'est un verroux d'autorisation d'accès par machine sur un nombre illimité de machine pour empêcher le vol de compte.
En simplification extrême ça fonctionne un peu comme le filtrage MAC d'un routeur sauf que là tu n'as absolument aucune chance d'usurper (bon mathématiquement y'en a une infime, mais en pratique 0) une identité de machine.

Donc si tu arrive à (faire) pirater la base de données du serveur de validation concerné chez steam tu m'appelles.



Edit:

Un nombre indéfini de machine:

When Steam Guard is enabled on your account, anyone attempting to login to your Steam account from an unrecognized computer must provide additional authorization. A special access code will be sent to your contact email address, and this code must be entered into Steam before your login is complete.

No, there's no limit. Steam Guard is aimed to protect the value that is yours, not limit your access to your stuff. As always, you can access your Steam account and library from as many machines as you'd like.

C'est juste l'ultime protection contre le phishing. (à moins d'avoir un compte mail avec le même ID et mot de passe mais là faut un 3e niveau de sécurité, directement implanté dans l'utilisateur cette fois)

[Narushima]

Nan faut bien lire l'article c'est mieux pour commenter. (ou ta phrase est mal tournée )
C'est pas un DRM anti-piratage de jeu qui sera cracké 1 semaine avant la sortie par un groupe ouzbek.
C'est un verroux d'autorisation d'accès par machine sur un nombre illimité de machine pour empêcher le vol de compte.
En simplification extrême ça fonctionne un peu comme le filtrage MAC d'un routeur sauf que là tu n'as absolument aucune chance d'usurper (bon mathématiquement y'en a une infime, mais en pratique 0) une identité de machine.

Donc si tu arrive à (faire) pirater la base de données du serveur de validation concerné chez steam tu m'appelles.

Merci de me prendre pour un con, c'est toujours agréable.
Je voulais dire par là qu'elle sera contournée aisément par des gens pleins de ressources et qu'il faudra pas deux jours pour qu'un idiot se fasse piéger malgré tout.

[flochy]

Ben en même temps tu disais que "la protection" allait "tomber".
On parle en fait de Kevin qui vont se faire piéger. Comme partout.

Je trouve ça pas mal. Et je pars modifier mon mot de passe mail parce qu'il devient vraiment l'élément critique dans tout ça.

[Say hello]

Merci de me prendre pour un con, c'est toujours agréable.
Je voulais dire par là qu'elle sera contournée aisément par des gens pleins de ressources et qu'il faudra pas deux jours pour qu'un idiot se fasse piéger malgré tout.

'Service ma'mzelle!

Mais t'as qu'à faire attention à ce que tu écris, parce que même en le faisant exprès j'aurais pas su être aussi ambigu.

Et oui y'aura toujours un débile pour mettre le même identifiant au 2 comptes ou se faire phisher son compte mail via steam ou mettre "123456" comme mot de passe, mais à ce niveau c'est plus une 3e couche de sécurité qu'il faut, ça s'appelle l'euthanasie.

[gros_bidule]

Nan mais il voulait écrire "le compte mail de Gabe va tomber dans 3 2 1"... nan ?
Bon j'm'en fiche. Peace and love les canards, nous sommes des joueurs pacifiques et non violents, non conditionnés par ces jeux ultra-violents. Nous sommes paix et amour.

Entre pirater un compte Steam et pirater un compte mail, y'a pas moyen, on a (maintenant encore) plus de raisons de s'attaquer au mail
J'aimerais vraiment que le compte mail de Gabe tombe. Non pas que je n'apprécie pas son initiative, bien au contraire, mais c'est juste que lorsque l'on met en place une solution de sécurité, on évite de cracher un gros glaviot à la tête des petits crackers, on évite de les provoquer en présentant son système comme inviolable au point de mettre ses cou... bijoux de famille en jeu.
On va rigoler, mais rigoler....

[edit] En même temps j'imagine mal Gabe prendre un tel risque : risque de passer pour une andouille en se faisant finalement pirater "son" compte. Je dis "son" car ça doit évidemment être un compte factice, de toute façon inviolable car sans login ni mot de passe valide, rien, nada, on ne peut rien en faire.
Gnahahaha !

[Say hello]

Faudrait déjà mettre la main sur l'identifiant du compte mail, parce que si tu as le compte steam, tu peux trouver le mail qu'en t'y connectant, mais là tu peux pas, faut passer par la boite mail.
Ça m'étonnerait qu'il utilise son mail public pour son compte steam.

Franchement en partant de là, je vois pas comment tu peux pirater un compte mail si tu sais même pas du quel il s'agit.

[gros_bidule]

T'inquiètes, il y a bien des gens qui doivent savoir.
La plus grande faille de sécurité c'est l'humain.

[Dark Fread]

J'aime assez l'attitude "faites-moi mal" de Gabe, il a l'air vachement confiant dans ce système dis donc

[El_Mariachi²]

Il me semble que cette protection ne fonctionne qu'avec les cpu modèle sandy bridge. Mais c'est une bonne idée je trouve

[gros_bidule]

Le coup des proco Intel & leur feature, c'est une protection supplémentaire prévue pour bientôt.

In addition to email-based authentication, Steam Guard will soon offer other forms of secondary authentication, such as Intel® Identity Protection Technology, a hardware-based security feature available with the new 2nd Generation Intel® Core™ and Core™ vPro® processors. With IPT, secondary authentication is effortless, as it is provided by the chipset itself.

[Nono]

Ca y est ! je crois faire le lien avec une news Canard PC qui parlait justement d'IPT. J'aime pas ces cochonneries. C'est désactivable dans le BIOS ou pas (comme pour l'ID de certains vieux processeurs Intel) ?

[Anonyme866]

Donc tout passe par le compte mail au final.
Il faut protéger son compte mail
/.../
Avec cette protection, l'étape supplémentaire est de passer par sa boite mail. Une seule fois.
Cela n'a pas l'air si chiant comme système.

En gros, vu tout ce qui passe par mail (banque, PayPal, eCommerce, administration dont les impôts, taf'...), il y a surtout intérêt à multiplier les compte mails, et de les spécialiser/dédier, pour éviter de mettre tous ses œufs dans le même panier.

.

[Nonok]

Ca y est ! je crois faire le lien avec une news Canard PC qui parlait justement d'IPT. J'aime pas ces cochonneries. C'est désactivable dans le BIOS ou pas (comme pour l'ID de certains vieux processeurs Intel) ?

Nos processeurs intel actuels n'ont pas cette feature.
Ce sera désactivable dans le BIOS des futures CM probablement. J'imagine que ces processeurs seront sur des socket déjà existant donc qu'en les mettant dans nos CM actuelles, ce sera désactivé de base de toute façon. Pour le moment Steam n'a pas vocation à le mettre d'office vu que ça nécessite une adresse vérifiée et que pour beaucoup ce n'est pas le cas.

Intel® IPT enabled PCs will be announced uniformly by OEM manufacturers starting March 11th, 2011. Bookmark this page and check back often, as we continue to update this list for you.

http://ipt.intel.com/Protected-PCs.aspx

[Starvey]

En gros, il suffit de pirater le compte mail de Newel.

[CPC Père Blastor]

Ce sera désactivable dans le BIOS des futures CM probablement. J'imagine que ces processeurs seront sur des socket déjà existant donc qu'en les mettant dans nos CM actuelles, ce sera désactivé de base de toute façon.

Il faut quand même souligner que la reconnaissance matériel est un sujet un peu obscur, on est pas sur le registre de la "transparence" de marché.

ça me rappelle une petite histoire vielle de plus de 15 ans d'un mec qui causait aux serveurs avec un piano 8 bit ^^

Bref je préférerais souligner le "probablement" de ta phrase, ça ne me choquerait pas qu'il soit activé en réglage constructeur vu l'évolution actuelle d'internet et de son écosystème.

MMmmenfin restera toujours le pinard.

EDIT :

http://www.linuxfordevices.com/c/a/N...ements/?kc=rss

bref