[Diablo III] Hack

[Poon]

Oui mais si les serveurs étaient fermés 10 jours, ce serait un peu un impact financier énorme pour Blizzard, remboursement, non ventes ...

Dix jours ça semble colossal comme durée, c'était juste un exemple mais je n'ai pas de notion de maintenance en entretien de serveur informatique. Après s'il faut tout vérifier, ça doit prendre certainement plus d'une journée . Pour l'impact financier, on peut penser que le gros des ventes s'est déjà fait : toutes les personnes qui l'attendaient se sont déjà procurés leur boîte, les hypers aussi...

Le remboursement n'est pas possible me semble-t-il sans passer par la case légale (cf. conditions de vente à peine abusives qu'on a approuvées en lançant le jeu pour la première fois).

Le fin mot de l'histoire on ne le connaîtra peut-être par des joueurs, s'ils parviennent à reproduire le hack. Blizzard ne crachera jamais le morceau, ce serait un aveu de faiblesse terrible. Je me souviens d'un article dans Canard PC au moment du piratage du Playstation store, le rédacteur écrivait très justement que lorsque Sony s'est fait hacker les autres acteurs du marché ( battle.net était cité dans le tas avec le Xbox live) avaient sans doute poussé un soupir de soulagement sur le mode 'ouf, pour cette fois ce n'est pas nous...'

[Muad'dib]

Bonsoir,

Comme beaucoup je me suis fait hack mon perso il y a une semaine. Clairement c'est inadmissible.. mais ça ne m'a pas découragé et j'ai refarmé rapidement de quoi me stuffer à l'hv.

Depuis j'ai bien avancé, je me connecte ce soir et... Je me suis re-fait hacker...

J'en ai marre. J'abandonne et je reprendrais quand les problèmes de hacking seront réglés..

[pekpek]

Mais je ne crois pas que Blizzard va avouer que son système "full-online" possède une faille. Surtout pour ce jeu.

C'est pas franchement dans les bonnes pratiques, de faire l'autruche et de patcher en douce.

Mais en même temps les bonnes pratiques ils s'en foutent pas mal (Les majuscules des mdp sont ignorées et il n'y a pas de bannissement temporaire au bout de X mdp incorrects. Même si l'approche brute force est pas franchement compatible avec l'échelon industriel des hacks, ça ne fait pas sérieux).
Et puis "le système est compromis, on coupe le service pendant une semaine le temps de repenser notre gestion des sessions", pour responsable que ce soit, c'est difficilement envisageable.

C'est surtout qu'une grosse feature du jeu le RMAH, tant qu'il y a des "compromissions" avec comptes possedant identificators, il est pas question que ca voit le jour.

Tiens, d'ailleurs, le RMAH permettra de vendre de l'or ?
Ça déséquilibrerait l'AH en po, mais ça tuerait dans l’œuf tout intérêt des gold farmers pour ce jeu, entre les contraintes imposées comme la limite de cash, les frais de transactions, et l'inévitable chute des cours que ça entrainerait (dans les messages de spam du chat général, on voit le million de po à plus de 20€, la blague...)

[vive la cliff]

Ça déséquilibrerait l'AH en po, mais ça tuerait dans l’œuf tout intérêt des gold farmers pour ce jeu, entre les contraintes imposées comme la limite de cash, les frais de transactions, et l'inévitable chute des cours que ça entrainerait dans les messages de spam du chat général, on voit le million de po à plus de 20€, la blague...)

En même temps et vu le nombre de compte hackés, je ne suis pas certain que les po proviennent essentiellement des farmers.

[pekpek]

C'est les boites de gold farming qui se sont mis à dévaliser les joueurs parce que c'est plus rentable.

[Benounet]

Bonsoir,

Comme beaucoup je me suis fait hack mon perso il y a une semaine. Clairement c'est inadmissible.. mais ça ne m'a pas découragé et j'ai refarmé rapidement de quoi me stuffer à l'hv.

Depuis j'ai bien avancé, je me connecte ce soir et... Je me suis re-fait hacker...

J'en ai marre. J'abandonne et je reprendrais quand les problèmes de hacking seront réglés..

T'avais change ton MDP suite au hack? (j'imagine que oui)
L'email aka login?
Authentifacteur?
D'autres jeux sur bnet?

Je sais pas si le RMHA vendra de l'or, j'ai pas souvenir de lire un truc dans ce sens.

[Chiff]

T'avais change ton MDP suite au hack? (j'imagine que oui)
L'email aka login?
Authentifacteur?
D'autres jeux sur bnet?

Je sais pas si le RMHA vendra de l'or, j'ai pas souvenir de lire un truc dans ce sens.

Quand vous regardez dans l'HV y'a un onglet OR qui est grisé donc on peut supposer qu'il ne le sera pas avec le RMHA.

[g00d69]

Moi je pense que c'est a partir de Wow que les hackers récupèrent les login et mots de passe , et comme c'est les mêmes, facile quoi...

[DarkSkull]

Moi le truc qui me choque quand même de la part de Blizzard,c'est de dire: vous n'avez qu'a avoir un authentificator si vous voulez pas vous faire hacker votre compte....

Ok on peut obtenir un authentificator via un logiciel windows ,mentionné par un canard quelques pages avant,mais qui est non officiel .

Mais pour en obtenir un approuvé par Blizzard on doit raquer 10 euros de plus pour la version physique ou posséder un smartphone...

Si c'est si efficace,pourquoi ne pas l'intégrer de base dans les versions boites ,et développer un programme pour les gens l'ayant acheté en numérique disponible en téléchargement gratuit sur le site de Blizzard?

[Ptit gras]

Moi je pense que c'est a partir de Wow que les hackers récupèrent les login et mots de passe , et comme c'est les mêmes, facile quoi...

J'ai deux potes qui se sont fait hacker et aucun d'entre eux n'a joué à WoW. Par contre ils jouaient à SC2.
C'est donc peut être une faille bnet.

[Nattefrost]

Jamais joué ni a WoW ni a SC2. Seul jeu blizzard auquel j'ai joué c'était D II. Et j'ai été hacké.

[orelz]

Moi le truc qui me choque quand même de la part de Blizzard,c'est de dire: vous n'avez qu'a avoir un authentificator si vous voulez pas vous faire hacker votre compte....

Ok on peut obtenir un authentificator via un logiciel windows ,mentionné par un canard quelques pages avant,mais qui est non officiel .

Mais pour en obtenir un approuvé par Blizzard on doit raquer 10 euros de plus pour la version physique ou posséder un smartphone...

Si c'est si efficace,pourquoi ne pas l'intégrer de base dans les versions boites ,et développer un programme pour les gens l'ayant acheté en numérique disponible en téléchargement gratuit sur le site de Blizzard?

Pourquoi ce n'est pas de base ? Et bien car ce n'est pas gratuit et cela a un coup.

J'ai deux potes qui se sont fait hacker et aucun d'entre eux n'a joué à WoW. Par contre ils jouaient à SC2.
C'est donc peut être une faille bnet.

Y a pas de faille bnet sinon ça se saurait. T'es sûr que tes potes ne mettent pas leur MDP n'importe où genre sur des forums ? Ce n'est pas contre eux, mais je crois qu'il faut arrêter de baliser, dans ce genre de problème la plus part du temps le problème est entre la chaise et le clavier et pas ailleurs.

[mithrandir3]

Pourquoi ce n'est pas de base ? Et bien car ce n'est pas gratuit et cela a un coup.

C'est de la faute de blizzard si la sécurité de leur système est insuffisante de base. Pas des joueurs. Tu dirait quoi si après t'être fait pirater ta carte bleue, Visa t'expliquait que c'était de ta faute, et que tu aurais du prendre l'option extra sécurité, sinon tant pis pour toi.

Et on ne peut pas dire que leur infrastructure est exempte de défauts, loin de là, alors de là à ce qu'ils aient des failles, pourquoi pas. Ils ne seraient pas les premiers.

[Louck]

Si c'est si efficace,pourquoi ne pas l'intégrer de base dans les versions boites ,et développer un programme pour les gens l'ayant acheté en numérique disponible en téléchargement gratuit sur le site de Blizzard?

Ils ne peuvent pas faire une version "numérique" de l'authentificator: S'il doit être sur un support physique, non périphérique à l'ordinateur ou à un réseau, c'est pour le protéger des logiciels malveillants (virus, trojans, malwares...).

Et pour produire ce support physique, il y a un coût.


D'un autre côté, vu que la sécurité informatique est quelque chose de très important aujourd'hui (en partie avec l'ingénierie sociale), ils essayent d'en tirer un bénéfice. Mais ils restent sympa: la version smartphone semble gratuite.

[mithrandir3]

Il faudra qu'on m'explique pourquoi l'authentificator est indispensable sur Battle.net, et que ma banque / mon opérateur téléphonique / la SNCF / la FNAC / Apple / Amazon / etc... etc... me permettent de me logguer sans problème sur mon compte / d'acheter des trucs, et qu'il ne me semble pas qu'il y ait des problèmes de hacks.

[Louck]

Lorsque tu te connectes à un service (battle.net, sncf, amazon...), deux étapes doivent se réaliser:

- L'identification: Consiste à identifier quelque chose ou quelqu'un. Pour Diablo 3, ton compte est identifié par ton adresse mail.
- L'authentification: Est la procédure qui consiste à vérifier l'identité de ton compte. Dans ce cas, pour prouver ton identité, c'est connaitre ton mot de passe.

Le mot de passe est un moyen d'authentification simple à mettre en place et pratique à utiliser (surtout sur Internet). Cependant, peu de personnes sont conscientes des dangers de l'Internet et beaucoup ne savent pas se protéger de ces derniers: phishing, l'ingénierie sociale, malwares...
Et ces dangers sont en constante évolution.


Pour aider l'utilisateur à mieux se protéger de ces dangers, Blizzard propose comme solution l'"Authenticator". C'est un autre moyen pour t'authentifier sur ton compte, pour prouver que tu es bien l'auteur de ton compte (en possédant l'authenticator qui est lié à ton compte).

La SNCF peut proposer ce genre de solution. La FNAC aussi, Apple aussi. Néanmoins, un compte SNCF ne contient que des informations personnelles (et des points fidélités ?), et ne représente qu'une faible valeur financière. La SNCF ne va pas chercher à sécuriser encore plus sa page de connexion: cela a un coût et ils ont des informations plus importantes à protéger.

A côté, un compte Blizzard est lié à des jeux (un jeu tout neuf = 60 euros) et à des abonnements WoW. Un compte a plus de valeur qu'une autre. Donc il est plus logique de vouloir protéger un peu plus ce genre de compte, qu'un compte sur un forum.


Blizzard ne force pas les joueurs à posséder un Authenticator. Le joueur peut très bien se connecter avec seulement son adresse email et son mot de passe.
L'Authentificator permet de mieux protéger son compte (vraiment) et n'est pas obligatoire.

Maintenant, avec les problèmes récents de piratage, Blizzard conseille fortement de posséder un Authenticator.
Par contre, tant que nous ne connaissons pas les détails de ce piratage (si c'est une fuite d'informations, si c'est un exploit du jeu, ect...), il peut servir à rien.

[mamou]

Ca m'enerve un peu de voir tous ces gens qui disent : mais comment est-ce possible de hacker l'authenticator?

Mais qui vous dit que ces hackers ont seulement besoin de le faire? Vous pensez que personne chez blizzard pourrait accéder à votre compte s'il le voulait?

Personnellement, j'ai été hacké récemment, ok je n'avais pas authenticator (j'imaginais même pas qu'il était nécessaire d'avoir un truc pareil pour un jeu vidéo...) je n'en n'ai pas non plus pour mes comptes de poker online (je suis joueur professionnel).

Vous pensez pas que ces hackers seraient allé chercher les vrai $ plutôt que les gold virtuels sur diablo 3?

[Tatsu-Kan]

Vous pensez pas que ces hackers seraient allé chercher les vrai $ plutôt que les gold virtuels sur diablo 3?

Euh, toi t'a pas tout compris.
Les golds en question, ils les vendent derrière...
Et contre de l'argent en $,€ peut importe...

[mamou]

"Certains hackers arriveraient à "maquiller" une session, c-a-d qu'ils n'ont pas besoin du login/mdp, ils utilisent un programme et une faille spécifique, et en envoyant des paquets aux serveurs blibli, ils jouent sur ton compte sans nécessiter d'identifiants"

Bien sûr c'est à prendre avec des pincettes...

@Tatsu
Je crois que c'est toi qui à pas compris,
C'est bien connu, c'est tellement plus rentable de hacker des comptes diablo que des comptes de poker :D
je dis juste que si je m'étais fait hacké avec keylogger/trojan, mes comptes de poker ne seraient pas resté indemne.

[Prayel]

Un truc bizzare dans cette histoires de compte D3 hackés, c'est le fait que les comptes wow ne soient pas dévalisés.
Je me trompes peut-etre mais c'est bien le même couple identifiant/mot de passe pour D3 et wow non ?
Pourquoi les hackeurs ne prennent pas les po des comptes wow au passage, ça ne les interessent pas ? Ca se vends aussi pourtant...
On peux penser qu'en fait les hacks se font indépendamment des logins/mdp sinon on entendrais parler de comptes Bnet dépouillés alors que là c'est juste des personnages D3.
Des infos à ce sujet ?

[WeeSKee]

C'est bien connu, c'est tellement plus rentable de hacker des comptes diablo que des comptes de poker :D
je dis juste que si je m'étais fait hacké avec keylogger/trojan, mes comptes de poker ne seraient pas resté indemne.

Il peut faire quoi un mec qui se connecte sur ton compte de poker ? Transférer des sous sur un compte bancaire ? Dans ce cas il est grillé
Dans le cas des hacks D3, tu prends tout sur plusieurs comptes, tu le transfère de perso en perso, et à la sortie de l'HV en argent réel, légalement, tu revends les golds contre des $. C'est plus safe non ?

Sinon, petite mise au point d'un bleu concernant l'authenticator

[orelz]

C'est de la faute de blizzard si la sécurité de leur système est insuffisante de base. Pas des joueurs. Tu dirait quoi si après t'être fait pirater ta carte bleue, Visa t'expliquait que c'était de ta faute, et que tu aurais du prendre l'option extra sécurité, sinon tant pis pour toi.

Et on ne peut pas dire que leur infrastructure est exempte de défauts, loin de là, alors de là à ce qu'ils aient des failles, pourquoi pas. Ils ne seraient pas les premiers.

Hum... travaillant dans le domaine des paiements sécurisés je te confirme bien que dans la plus part des cas (pour ne pas dire 99.9%) le problème se situe entre la chaise et le clavier et pas ailleurs. Et l'acquéreur, ici VISA dans ton exemple, t'expliquera très clairement que c'est de ta responsabilité de conserver ton code à l’abri des regards et de ne pas acheter sur n'importe quel site (ckecker que la plateforme de paiements est bien PCI compliant par exemple et que c'est bien du 3DS) et ils checkeront ton contrat pour voir si tu as le droit à un remboursement dans le cas où c'est pris dans les clauses.
Ne le prend pas mal mais c'est humain comme erreur de mettre son mdp partout. J'en ai fais les frais étant plus jeune et aussi avec un compte Battle.net, juste qu'après je ne criais pas partout que c'était de la faute de Blizzard si j'ai été assez crédule/crétin pour mettre mon mdp ailleurs.

J'espère que si tu pommes les clés de ta voiture et te la fait voler tu ne porteras pas plainte contre le constructeur pour négligence de sa part...

"C'est de la faute de blizzard si la sécurité de leur système est insuffisante de base." Joli concept, mais pas dans notre monde.

Tu ne peux pas les blâmer si tu as personnellement communiqué ton mdp à un tiers même sans le vouloir. Maintenant oui pour éviter ce genre de problème il y a des systèmes de token (authenticator) qui sont proposés en plus, cela te permets d'effectuer une authentification forte afin d'esquiver au maximum une erreur humaine.
Si faille il y a ils communiqueraient sûrement dessus, et cela ne concernerait pas que des cas isolés (bien qu'on peut trouver nombreux mais pas tant que cela vu le nombre de millions de joueurs, le topic aurait bien plus que 6 pages dans ce cas).

[WeeSKee]

Encore une intervention d'un bleu

Merci de votre compréhension.
Non, aucun compte Diablo III possédant un Authenticator n'a été piraté. Tous les joueurs se plaignant sur ce forum d'avoir été piraté malgré la présence d'un Authenticator avaient ajouté l'Authenticator après le piratage, ou "curieusement" ne publiait pas le message avec le bon compte.

Ouro, t'avais bien un authenticator ?

[Jeremy]

Il faudra qu'on m'explique pourquoi l'authentificator est indispensable sur Battle.net, et que ma banque / mon opérateur téléphonique / la SNCF / la FNAC / Apple / Amazon / etc... etc... me permettent de me logguer sans problème sur mon compte / d'acheter des trucs, et qu'il ne me semble pas qu'il y ait des problèmes de hacks.

Les banques utilisent rarement un couple login / pass que tu choisis => donc chopper ton login / pass habituel ne peut pas servir pour cela.
Pour tous les autres (et même pour la banque au final), si tu achètes avec un compte volé, il faut bien faire livrer quelque part, contrairement à un jeu où c'est juste du gold qui va sur un compte qui n'a surement pas des infos réelles et sera revendu à travers d'autres sites.

[Phenixy]

A vous lire j'ai changé mon mdp et activé l'Authenticator.

Mon coffre et ma fiche d'inventaire d'avance vous remercient!

[Captain_Cowkill]

Encore une intervention d'un bleu
Ouro, t'avais bien un authenticator ?

Ah ah, j'adore le ton du message

[ese-aSH]

J'en ai marre. J'abandonne et je reprendrais quand les problèmes de hacking seront réglés..

Ton mdp, tu l'utilisais sur d'autres sites ?
J'attends que quelqu'un dise qu'il s'est fait hacker avec un mot de passe jamais utilisé ailleurs, et sans lien direct ou indirect avec l'identifiant.

C'est surement pas la faute a blizzard si t'as craché ton mot de passe sur un autre site (et que ce site au choix : s'est fait hacker / était tenu par des hacker).

---------- Post added at 12h09 ---------- Previous post was at 12h07 ----------

Les banques utilisent rarement un couple login / pass que tu choisis => donc chopper ton login / pass habituel ne peut pas servir pour cela.
Pour tous les autres (et même pour la banque au final), si tu achètes avec un compte volé, il faut bien faire livrer quelque part, contrairement à un jeu où c'est juste du gold qui va sur un compte qui n'a surement pas des infos réelles et sera revendu à travers d'autres sites.

Et les banques proposent TOUTES le service authenticator, sauf qu'il n'est jamais obligatoire. (pour l'instant, ca va se généraliser dans les années à venir).

[Bartinoob]

On a droit à deux restaurations après hack pour l'instant, c'est ça ?

Si oui, n'ayant ni smartphone ni envie de payer un bidule en plus, je vais tenter le coup avec un mot de passe spécifique à battlenet et si ça tourne mal je prendrai le truc sur code.google

[madjpm]

Perso j'ai généré un mdp automatiquement avec une commande (qui contient tout types de caractère) + la clef OTP de blizzard + antivirus payant à jour + firewall et routeur 1/n de ma box et évidement j'ai jamais répondu au moindre mail de blizzard que je reçois me disant de me logger pour une raison X ou Y.

Avec ça je suis régulièrement avec des inconnus en ligne, j'ai posté mon battletag dans des endroits douteux et avec plusieurs millions de po en arma j'ai jamais eu de hack à ce jour...

Étonnant aussi que des perso level 30 avec quelque centaine de millier de po se fassent hack. Si vraiment une faille existait chez blizzard pourquoi ne choisiraient ils pas les comptes les plus juteux comme le miens ?

[ese-aSH]

Étonnant aussi que des perso level 30 avec quelque centaine de millier de po se fassent hack. Si vraiment une faille existait chez blizzard pourquoi ne choisiraient ils pas les comptes les plus juteux comme le miens ?

Strictement rien ne prouve qu'une faille existe, au contraire un raisonnement par l'absurde basique (que tu as en gros fait dans ton post) tend à prouver qu'une telle faille n'existe pas.