[Diablo III] Hack

[ese-aSH]

Ce n'est pas des rumeurs bordel, faut arrêter vos conneries, il a un authentificator sur smartphone, je le sais, et il a été hack, en quoi ce serait une rumeur ?

Parcequ'on ne 'hack' pas des problèmes mathématiques insolubles. Et parceque blizzard jouerai trop gros (pénalement cette fois) à mentir sur la sécurité de ses logiciels.

edit : http://fr.wikipedia.org/wiki/Rivest_Shamir_Adleman
rien de bien compliqué meme si les notations mathématiques font peur

[WeeSKee]

J'ai pas trouvé quel topic était le mieux pour poster ça alors je le mets ici
http://i.epvpimg.com/6sJ0d.png
Tout son stuff 270k DPS est à la vente.

OMG, j'ai toujours eu envie de voir ça en direct tellement je matte de stream SC2 / diablo 3

[Azerty]

J'ai pas trouvé quel topic était le mieux pour poster ça alors je le mets ici
http://i.epvpimg.com/6sJ0d.png
Tout son stuff 270k DPS est à la vente.

Ouch', le fail de compétition !

[Achille]

Ouch', le fail de compétition !

C'est qui ce monsieur ?

[Benounet]

Un PGM qui vit de donations de ses "followers".

[Kazeos]

C'est qui ce monsieur ?

Un joueur qui stream ses parties connu pour son down du boucher en 3 secondes (Inferno)

http://www.athenelive.com/

[Poon]

Et qui va probablement se faire piller grassement son compte...

[dingo47]

Un joueur qui stream ses parties connu pour son down du boucher en 3 secondes (Inferno)

http://www.athenelive.com/

ah ça me fait plaisir je l'ai regardé jouer en me disant fait chier je peux pas jouer et il a été déconnecté subitement sans pouvoir se reconnecter. Y'a une justice

[Maalak]

C'est qui ce monsieur ?

Sa vidéo du down du Boucher en 3 secondes :

Le "combat" commence environ à 40 secondes.

[pekpek]

Ce n'est pas des rumeurs bordel, faut arrêter vos conneries, il a un authentificator sur smartphone, je le sais, et il a été hack, en quoi ce serait une rumeur ?

Non mais ça s'enflammait avec cet article qui disait que Blizzard reconnait des hacks avec authentificator (qui a été posté au moins 3 fois dans cette sous-section). Et ça c'est une rumeur, non avérée, c'est une mauvaise interprétation qui a été amplifiée jusqu'à l'hystérie, ils n'ont jamais changé de discours là dessus : "y a eu des problèmes, c'était avant D3, c'est réglé, l'authentificator est la seule protection fiable".

Quand on entend parler de hack avec authentificator, la suspicion de mensonge/mauvaise configuration est forte, parce que la protection théorique offerte par ce mécanisme apparait super solide si l'utilisateur a bien pris soin de cocher la case demandant un nouveau code à chaque connexion (ce qui n'est pas le réglage par défaut, malheureusement).

Un hack d'un compte avec un authentificator nécessaire à chaque connexion, ça voudrait dire, au choix :
- que l'attaque a lieu pendant les quoi, 15 secondes de validité du code de l'authentificator (alors que les témoignages parlent de déco en pleine partie, ou de hack pendant une période offline du joueur)
- que les hackers ont, en plus d'une base de login/mdp, une base de numéros de série d'authentificator (le truc installé sur une machine distincte en plus) et ont réussi à faire du reverse engineering sur le mécanisme de création de codes
- qu'il est possible de se connecter avec un client modifié (alors que toute leur politique du tout online est basée sur l'anti-cheat, si c'est le cas y a des baffes qui se perdent) pour par exemple utiliser l'identifiant de session de son choix (mais alors pour les joueurs qui n'ont jamais joué en public, comment aurait-il été récupéré cet id ? Et pour les joueurs pillés pendant qu'ils étaient offline ?)
- une autre hypothèse les canards ?

Je ne travaille pas pour eux, y a beaucoup à leur reprocher sur la gestion de leur infrastructure (déco avec l'erreur 1 ce soir, inédit \o/), mais à propos de hacks avec authentificator c'est l'incrédulité qui domine.
Et si c'est malgré tout possible, j'ai besoin de savoir comment, pour ma culture générale.

[WeeSKee]

L'authenticator, et de manière générale un système OTP, c'est super fiable (rien n'est fiable à 100% en informatique). Même dans l'Education Nationale et dans l'Armée ils en utilisent.. le seul moyen serait de péter l’algorithme qui génère les codes. Et a mon avis, si une personne arrive à faire ça, il ne s'en servirait pas pour hacker des comptes D3

[Meuhoua]

Sinon, je me suis toujours pas fait hacké, et j'ai pas d'authentificator, est-ce normal Jamy ?

[PurpleSkunk]

Nan mais c'est clair, avec un authenticator (physique ou smartphone) DEMANDANT UN CODE À CHAQUE CONNEXION, c'est presque impossible de compromettre un compte Bnet.

Donc Ouro, ton pote, soit il avait un auth avec code 1 fois par semaine, soit il se fout de toi. "Point final"

[ese-aSH]

L'authenticator, et de manière générale un système OTP, c'est super fiable (rien n'est fiable à 100% en informatique). Même dans l'Education Nationale et dans l'Armée ils en utilisent.. le seul moyen serait de péter l’algorithme qui génère les codes. Et a mon avis, si une personne arrive à faire ça, il ne s'en servirait pas pour hacker des comptes D3

Dans ma boite on a des authentificators pour se connecter sur les machines. Le meme truc que l'authenticator physique de blizzard (et chez nous perdre la carte c'est facturé 9€, donc finalement a 6$ blizzard est pas si méchant). C'est externalisé chez nous -et je suis persuadé que chez blizzard aussi - pour des questions légales tout simplement, si ca chie on se retourne contre la boite qui les fournit.
Il y a 2 ans la société qui fournit les auths s'est faite hackée (ou plus précisement a identifiée une faille) --> tous les auths physiques remplacés. Le truc c'est effectivement que seul l'algo est important, ce qui rend la protection relativement simple (très localisé comme besoin) et safe dans le sens ou une faille / un hack est vite identifié.
Par contre si blizzard doit procéder à un changement de tous les auths physiques je sais pas comment ils vont procéder xD.

Au passage, j'aurais une confiance bien moindre avec les auths sur smartphone, je connais assez mal le coté technique mais a partir du moment ou l'info transiste sur une machine connectée il y a plus de risques.

[Vladtepes]

le seul moyen serait de péter l’algorithme qui génère les codes.

Ça ne suffirait même pas. En connaissant l'algo, la clé spécifique de blizzard et le code utilisé pour généré le timecode, il faudrait encore que tu connaisse la clé client (numéro de série inscrit sur le boitier).

Si jamais des comptes avec authenticator et l'option de mot de passe à chaque fois activé se sont fait hackés, c'est qu'il y a un problème après l’authentification

[WeeSKee]

Dans ma boite on a des authentificators pour se connecter sur les machines. Le meme truc que l'authenticator physique de blizzard (et chez nous perdre la carte c'est facturé 9€, donc finalement a 6$ blizzard est pas si méchant). C'est externalisé chez nous -et je suis persuadé que chez blizzard aussi - pour des questions légales tout simplement, si ca chie on se retourne contre la boite qui les fournit.
Il y a 2 ans la société qui fournit les auths s'est faite hackée (ou plus précisement a identifiée une faille) --> tous les auths physiques remplacés. Le truc c'est effectivement que seul l'algo est important, ce qui rend la protection relativement simple (très localisé comme besoin) et safe dans le sens ou une faille / un hack est vite identifié.
Par contre si blizzard doit procéder à un changement de tous les auths physiques je sais pas comment ils vont procéder xD.

Au passage, j'aurais une confiance bien moindre avec les auths sur smartphone, je connais assez mal le coté technique mais a partir du moment ou l'info transiste sur une machine connectée il y a plus de risques.

Oui et puis même, dans le cas ou tu te fais hacker en utilisant ce foutu authenticator, c'est la société qui fourni le service qui est en tord. Car c'est de son côté qu'il y a un problème.

D'ailleurs, pour Athene, avec un authenticator il n'aurait pas eu ce soucis. Même si son mdp était connu de 7k viewers

Ça ne suffirait même pas. En connaissant l'algo, la clé spécifique de blizzard et le code utilisé pour généré le timecode, il faudrait encore que tu connaisse la clé client (numéro de série inscrit sur le boitier).

Si jamais des comptes avec authenticator et l'option de mot de passe à chaque fois activé se sont fait hackés, c'est qu'il y a un problème après l’authentification

Oui en effet, donc la faute à blizzard. Sans authenticator, comment prouver qui a raison, qui a tort ?

[Kayato]

Au passage, j'aurais une confiance bien moindre avec les auths sur smartphone, je connais assez mal le coté technique mais a partir du moment ou l'info transiste sur une machine connectée il y a plus de risques.

J'ai peut-être mal compris ta dernière phrase, mais l'authentificator mobile fonctionne hors ligne, pas besoin d'être connecté.

[Captain_Cowkill]

Nan mais c'est clair, avec un authenticator (physique ou smartphone) DEMANDANT UN CODE À CHAQUE CONNEXION, c'est presque impossible de compromettre un compte Bnet.

Donc Ouro, ton pote, soit il avait un auth avec code 1 fois par semaine, soit il se fout de toi. "Point final"

Fais gaffe, tu vas te faire insulter

[ese-aSH]

J'ai peut-être mal compris ta dernière phrase, mais l'authentificator mobile fonctionne hors ligne, pas besoin d'être connecté.

oui bien sur, mais ca reste sur une machine potentiellement 'hackable'. Alors que l'auth physique va falloir hacker tes yeux et tes doigts

[WeeSKee]

oui bien sur, mais ca reste sur une machine potentiellement 'hackable'. Alors que l'auth physique va falloir hacker tes yeux et tes doigts

Oui enfin la probabilité qu'un mec hack ton compte, et qu'ensuite il hack ton téléphone, et qu'ensuite il tape l'authenticator avant toi (car je rappelle le code est valabe 30 secondes et qu'une fois), c'est quand même limité non ?

[ese-aSH]

Oui enfin la probabilité qu'un mec hack ton compte, et qu'ensuite il hack ton téléphone, et qu'ensuite il tape l'authenticator avant toi, c'est quand même limité non ?

Le compte il semblerait que ca fasse partie du domaine du possible (meme si je reste a 100% persuadé que c'est du fishing via des fansites pour l'essentiel, et que ca concerne donc quasi-uniquement des personnes utilisant le meme mdp à plusieurs endroits), par contre pas besoin de taper l'auth avant toi si le mec est capable de générer le code de son coté hein (soit il est capable de le générer tout le temps soit jamais, y a pas d'alternative ou il te hack en 30s sinon il repart de zéro)

[Vladtepes]

Mouais... enfin même si c'était techniquement faisable, ça serait s'emmerder vraiment pour pas grand chose. Il faudrait faire le lien vers le compte BNet et tout le tintouin et au final tu ne serais même pas sur que le jeu en vaille la chandelle.

Du point de vue des pilleurs de comptes, il vaux mieux lancer un keylogger et vider des centaines de comptes éventuels en boucle avec des bots.

[WeeSKee]

Le compte il semblerait que ca fasse partie du domaine du possible (meme si je reste a 100% persuadé que c'est du fishing via des fansites pour l'essentiel, et que ca concerne donc quasi-uniquement des personnes utilisant le meme mdp à plusieurs endroits), par contre pas besoin de taper l'auth avant toi si le mec est capable de générer le code de son coté hein (soit il est capable de le générer tout le temps soit jamais, y a pas d'alternative ou il te hack en 30s sinon il repart de zéro)

Dans ce cas ce serait un hack "ciblé" ce qui n'arrive jamais (pas assez rentable dans ce genre de situation).

Et comment le mec génère le code de son côté en ayant hacké ton téléphone ?

[PurpleSkunk]

Fais gaffe, tu vas te faire insulter

No problemo, j'ai l'habitude !

[WeeSKee]

No problemo, j'ai l'habitude !

Ouais pi une insulte 2.0, ça fait aussi mal qu'une agression à coup de cacahuètes.

[Jeremy]

Bah c'était obvious que ça venait d'eux. J'ai été hack la semaine derniere alors que je n'avais pas joué en parties publiques, j'avais fait (pour d'autres raisons que D III) une analyse antimalware, une analyse antivirus et un coup de ComboFix (aucun des trois n'avait trouvé quoi que ce soit).

Bon après j'avais pas d'authentificator....mais pour l'utilité que ça a :-D .

Questions cons : utilisais tu le même couple email-password sur d'autres sites ? La réponse à la question perso pour récupérer ton password chez blizzard est elle facilement récupérable par google / facebook ?

[Chartreuse]

Je me rends compte que c'est une connerie de cocher l'authentificator en 1 semaine ?
En fait je pensais que si un mec essayait de se connecter avec mon compte sur un autre ordi, ca lui demanderait quand même le code, et que le délai d'une semaine correspondait à un seul poste...Donc ce réglage ne sert strictement à rien, il faut impérativement le mettre à chaque connexion?

edit : bon je viens d'aller voir ça. Je me connecte de mon ordi du taff : hop il me demande le code de l'authentificator. Donc je pense que le réglage une semaine suffit car il correspond à la demande d'un code par poste/adresse IP ou que sais-je, right?

Nous venons de mettre à jour notre système d'authentification afin qu'il se souvienne, de manière intelligente, de vos lieux de connexion. Si vous vous connectez toujours du même endroit, le code d'authentification ne vous sera plus systématiquement demandé. Cette modification allègera le processus d'authentification dans les cas où nous sommes sûrs que la personne qui se connecte au compte est bien vous, tout en offrant le même niveau de sécurité qu'auparavant.

[WeeSKee]

Je me rends compte que c'est une connerie de cocher l'authentificator en 1 semaine ?
En fait je pensais que si un mec essayait de se connecter avec mon compte sur un autre ordi, ca lui demanderait quand même le code, et que le délai d'une semaine correspondait à un seul poste...Donc ce réglage ne sert strictement à rien, il faut impérativement le mettre à chaque connexion?

Oui c'est une connerie. Et c'est activé par défaut

edit : bon je viens d'aller voir ça. Je me connecte de mon ordi du taff : hop il me demande le code de l'authentificator. Donc je pense que le réglage une semaine suffit car il correspond à la demande d'un code par poste/adresse IP ou que sais-je, right?

En théorie tu as raison, mais j'ai lu à pas mal d'endroit que cette demande de code au changement de l'IP n'était pas systématique. Dans le doute, demande de code à chaque connexion au moins t'es tranquille

[PurpleSkunk]

Ouais pi une insulte 2.0, ça fait aussi mal qu'une agression à coup de cacahuètes.

Déconne pas les cacahuètes dans l'oeil ça fait mal.

[Nattefrost]

Questions cons : utilisais tu le même couple email-password sur d'autres sites ? La réponse à la question perso pour récupérer ton password chez blizzard est elle facilement récupérable par google / facebook ?

Les pass j'en avais deux-trois qui tournaient, il se peut que ça vienne de la. Par contre non pour la question secrète impossible à trouver.
Pour les pass je me suis mis à utiliser passwordsafe, c'est chiant m'enfin c'est plus sûr imo.