[Diablo III] Hack

[Algent]

Ça vous ne semble pas gros comme connerie d'être déco en pleine partie par un hacker qui se co' d'on ne sait ? Je sais pas moi, avec steam, si je le lance sur une autre bécane, il va couiner et refuser direct. Pourquoi, il n'y a rien de similaire sur battlenet ?

Bah justement pour wow et sc2 quand je me loggait a l'iut ça me laisse même pas me connecter et ça bloquait immédiatement le compte avec envoi d'un mail de déblocage.
Ça te faisait le coup 2-3x puis ensuite l'ip était "connue" et t'avait la paix.

J'ai absolument aucune idée de pourquoi ça marche plus pareil sur D3

[Eld]

Pareil, j'ai voulu commencer à jouer chez un pote et la sécurité s'est déclenché 3 fois de suite, au point que j'ai du ouvrir un ticket. Donc perso je penche pour une faille de leur côté.
(PS: je n'ai pas été hacké moi même)

[scriba]

Si y'a des gens capables de comprendre les rapports d'antivirus, les logs d'hijackthis d'un mec qui s'est fait hack sont trouvables ici:
http://eu.battle.net/d3/en/forum/topic/4552507464

Si ca peut aider a trouver d'ou ca vient.

Bah, déjà le gars il utilise IE6 ! Dans le genre pas à jour ça se pose là.

[chtitelarve]

J'ai arrêté d'avoir confiance en Blizzard quand j'ai appris il y a quelques jours que mon mot de passe avec minuscules et majuscules était parfaitement inutile puisque la casse n'est pas gérée... Bravo les gars ! Et à côté on nous demande un "authenticator" ? Attendez, sérieusement...

La plupart des gens qui traînent ici sont tout sauf des tocards qui sautent à pieds joints dans le premier phishing venu, ou installent une tripotée de saloperies propices à véroler leur PC. Hein, je pense qu'il y a une petite différence avec la génération d'avant. Non, mais en dépit de ça, ceux qui ont le malheur de dire qu'ils ont vu leur perso principal se faire vider les poches, se voient nier leur statut de victime du genre "bien fait pour vos gueules" et Blizzard n'a rien à se reprocher... J'hésite entre tristesse et consternation. Combien de personnes ayant signalé ce problème ont eu d'autres soucis du même type avec Steam ou n'importe quel autre jeu récemment ? En fait, combien n'avaient jamais eu un problème de hack dans un jeu (excluons le cheat sur le multijoueur type BF3 and co) ou s'était fait véroler leur PC avant ce problème dans D3 ?

Vu le nombre de retours importants sur le problème, j'estime qu'il n'est plus vraiment possible de faire comme si de rien n'était. Il y a un dklsjflk de problème et Blizzard la joue comme s'il n'y en avait pas, ou laisse entendre que ce sont évidemment les utilisateurs, ces pauvres inconscients, qui sont incapables de sécuriser leur machine... Qu'est-ce qu'on rigolerait si Blizzard devenait une sorte de Hadopi ++ et pouvait distribuer de la coupure de connexion internet à chaque malheureux qui se fait hacker son compte parce qu'il n'avait "pas assez sécurisé son PC"...

[Tiax]

Voilà, si tous les joueurs qui se sont fait tipiak étaient des gros noobs de la sécurité informatique pas foutus de sécuriser correctement leurs comptes, je pense qu'on aurait entendu parler d'autres problèmes que ceux directement liés à Diablo III.

Là, c'est vraiment spécifique à ce jeu, y'a une pétée de personnes qui se sont faites hacker la gueule (Bibi compris) alors qu'elles n'avaient jamais eu de problème jusqu'alors, donc hein, le coup de Blizzard qui n'a rien à se reprocher, à d'autres.

[Roland de Flore Lauphine]

Les victimes de hack seront toujours présumées idiotes et ce en raison d'un snobisme persistant dans la communauté des joueurs, celui qui consiste à se prendre pour un expert en informatique et à l'afficher ostensiblement en sautant sur le premier hacké venu. Le test est facile, allez sur un forum quelconque de jeux pas offline, dites que vous avez été hacké et une tétrachiée de guignols suffisants vous répondra "ololilol le problème est entre la chaise et le clavier, on me la fait pas à moi".

Moralité, les hackés sont moqués par la communauté elle même, Blizzard ne fait que surfer la dessus pour noyer le poisson en lousdé.

[deathdigger]

Le fait que les hacks sont beaucoup plus présents sur ce jeu que sur d'autres est surtout lié à l'appât du gain avec l'HV en argent réel. Ce qui met le doute sur une possible faille de sécurité, ce sont les mecs hackés alors qu'ils ont un authenticator.

[WeeSKee]

J'attends de me faire hacker, là je pourrai dire que c'est une faille blibli (mdp unique à +12 caractères alphanumérique et spéciaux + alerte sms + authenticator + PC à jour et antivirus). Pour l'instant, c'est 50/50.

[Super Cookies]

D'un autre côté, jai pas d'authenticator, pas d'alerte sms, un mot de passe (avec caractères alphanumérique et spéciaux certes), et un antivirus gratuit avec lequel je n'ai certainement jamais fait de scan complet de mon pc. Et je n'ai toujours pas été hacké, ceci dit, mon perso est lvl 25 avec 4k de po donc ya pas grand chose à voler.

Je ne sais pas comment sont stockés les mdp (cryptage ou non) mais il pourrait être possible que les pirates se soient procurés une liste des identifiants + mdp.

[Captain Igloo]

J'ai arrêté d'avoir confiance en Blizzard quand j'ai appris il y a quelques jours que mon mot de passe avec minuscules et majuscules était parfaitement inutile puisque la casse n'est pas gérée... Bravo les gars ! Et à côté on nous demande un "authenticator" ? Attendez, sérieusement...

J'avoue que ça m'a aussi fait halluciner. Ils ont déjà expliqué pourquoi ? Parce que bon, y a juste 99% des sites web qui gèrent un login / mdp qui prennent en compte les majuscules, alors pourquoi pas eux ? Pour éviter que Kevin se rappelle plus quelles lettres étaient en majuscules dans sont mot de passe ultra secure "ToTo123" ?

Un autre truc qui me chiffonne de l'autre sens, c'est qu'on n'entend guère les hackers se vanter des failles qu'ils ont trouvé. Je ne suis pas du tout l'actualité des hackers, mais quand iOS se fait jailbreak je vois des news un peu partout, ou quand y a moyen via Flash 10.5.2169 & IE 7.8.623 sur Windows XP 32 bits version sud-coréenne de peut-être accéder aux cookies, ben on est au courant tout se suite. Vu le foin que ces hacks font, je ne doute pas que des hackers / experts en sécurité se sont penchés sur le truc, et s'ils trouvent nulle doute que ça contribuera à leur ego, donc pas de raison qu'ils le tiennent pour eux.

Et je vous rejoins aussi sur le bruteforce à distance plus qu'improbable vu le temps que met le serveur à répondre (et si une base de données des mots de passe à été copiée, alors suffirait que Blizzard communique dessus pour que les gens changent leur mot de passe pour rendre la manoeuvre caduque). En plus j'ai pas eu l'occasion de tester, mais visiblement la sécurité élémentaire lorsqu'on se connecte sur des IP différentes semble aussi en place. Autant de choses qui me font d'ailleurs me demander en quoi l'Authentificator est nécessaire d'ailleurs ?

Bref, je suis partagé.

[Super Cookies]

Bien sur que si ils vont le garder pour eux. Puisqu'ils ont volé des du stuff et PO. Ce n'est pas comme pour les failles dans IE ou flashplayer ou là, il y a des récompenses à la clé.

[rakagoule]

Ce matin, au reveil, vers 6h10, j'ai eu une idée de génie.
Non, ca ne concerne pas la sécurité des comptes, malheureusement.
Par contre je me suis dit : "Mais, mais, pourquoi nos golds ne serait pas liés a notre compte ?"
Ca limiterais quand même pas mal le bordayl non ?
C'est sur vous allez me dire que se sont les items qui vont etre revendu a l'HV qui rapporte du pognon, et je vous dirais que vous avez raison ! Mais bon, ca limiterais un peu !
Qu'en pensez vous ? Puis je devenir riche et déposer un brevet ?

[Psk]

Si tes golds sont liés au compte, comment tu fais pour acheter sans passer par l'AH ? Via les forums ou le général ingame les gens se vendent des objets, les golds ne peuvent donc pas être lié au compte sinon Blizzard nous obligerait donc à passer par l'AH ce qui serait assez abusé.

[rakagoule]

Si tes golds sont liés au compte, comment tu fais pour acheter sans passer par l'AH ? Via les forums ou le général ingame les gens se vendent des objets, les golds ne peuvent donc pas être lié au compte sinon Blizzard nous obligerait donc à passer par l'AH ce qui serait assez abusé.

Ca y est mon reve s'écroule. Tu as entièrement raison.
Epic fail.

[deathdigger]

Bien sur que si ils vont le garder pour eux. Puisqu'ils ont volé des du stuff et PO. Ce n'est pas comme pour les failles dans IE ou flashplayer ou là, il y a des récompenses à la clé.

Yep, faut pas confondre le hacking classique avec celui qui sévit de plus en plus et qui a pour but de se faire du pognon (Russie et Chine en tête).

[sissi]

Diablo 3 Session Spoofing Is Real; Do Not Join Public Games

http://www.cinemablend.com/games/Dia...mes-43162.html

[WeeSKee]

Diablo 3 Session Spoofing Is Real; Do Not Join Public Games

http://www.cinemablend.com/games/Dia...mes-43162.html

Super intéressant, mais y'a des gens qui se sont fait hacker sans jamais join une partie public, ni même croisé une autre personne. Après, il y a peut-être plusieurs types de hack en même temps...

[Maalak]

Donc, en gros, si on désactive la possibilité d'être rejoint par des inconnus dans notre partie (ce que j'ai coché dès le depart) et que l'on se limite à des parties avec des personnes de confiance ayant également désactivé cette fonction, il ne devrait pas y avoir de risques.

[Naiaphykit]

Les victimes de hack seront toujours présumées idiotes et ce en raison d'un snobisme persistant dans la communauté des joueurs, celui qui consiste à se prendre pour un expert en informatique et à l'afficher ostensiblement en sautant sur le premier hacké venu. Le test est facile, allez sur un forum quelconque de jeux pas offline, dites que vous avez été hacké et une tétrachiée de guignols suffisants vous répondra "ololilol le problème est entre la chaise et le clavier, on me la fait pas à moi".

Allez, un exemple : moi même.
Entre 12 ans d'expérience de jeux en ligne ( exemples les plus longs : dofus, WOW, et actuellement je suis sur diablo 3 )
Antivirus existant : Mon PC, jusqu'à il y a 2 mois, n'était pas protégé par autre chose que windows defender, que j'avais même viré pendant un temps pour jouer à BG2 en multi.
Actuellement j'ai Avaast, que j'ai débloqué depuis un bout de temps pour faire un réseau local avec ma PS3 ( mon seul moyen de mettre mes films sur ma télé )
3 jeux sur lesquels le "hack" a été continu et plutôt important.

Nombre de "hacks" de compte ? 0.
Quelle est ma principale sécurité ? Mettre un mot de passe original à chaque fois, et mettre une question secrète à laquelle on ne peut répondre sauf en me connaissant personnellement depuis plus de 10 ans. Et en plus je file mes pass à quelques potes de confiance

Et pour info, j'ai toujours eu des comptes "rentables" à hack.

Donc oui, je me pose sincèrement des questions sur le fait que les hacks ne soient jamais de la faute des hackés ( à les entendre ).
Par exemple, si je me fais choper mon compte, je sais que ça aura un rapport avec le fait que je n'ai pas d'antivirus activé en permanence, et je prendrai les dispositions nécessaires.

Et pour info, une société est OBLIGEE par la loi de dire quand elle a une faille de sécurité. C'est ce que Sony a fait avec le réseau PS3 par exemple.

[Captain_Cowkill]

C'est tellement plus simple de faire croire à la théorie de la conspiration et de rejeter toute la faute sur les méchants développeurs.

[Cult]

Déja comme sur wow, bon nombre d'utilisateurs utilise le même login/mdp sur un forum (guilde ou autre) et le même sur b.net le forum contient une faille, hop hop hop les comptes b.net sont ensuite piraté.
Un grand classique.
A la sortie de SC2 il y avait eu du piratage massif sur les comptes WoW possédant SC2, on avait aussi crié à une faille.

[WeeSKee]

Hehe je suis bien d'accord avec vous.

Mais alors, que s'est-il passé avec Ouro et son authenticator ? Hum hum

[chtitelarve]

Et c'était une théorie de la conspiration les vols de données chez Sony ?
Tout ce qu'on peut vous souhaiter, c'est que vous soyez confrontés au même problème, histoire que vous ravaliez votre condescendance.

Une société obligée de révéler une faille de sécurité ? Pour une société basée à l'étranger, pour un problème qui jusqu'à présent ne relève pas du vol de données à caractère personnel (mais de données de jeu et donc aucune atteinte aux personnes), j'aimerais bien qu'on me démontre quelle législation/réglementation obligerait un développeur à signaler ça...

Relisons le CLUF ensemble, je ne l'ai pas sous la main pour le moment mais je suis sûr que Blizzard a prévu un truc pour se couvrir de ce point de vue là. Soyons honnête: ce problème ne fait "que" ruiner l'"expérience de jeu" en annihilant le temps passer à amasser du matos, on est loin d'un vol de données de carte bancaires ou de coordonnées nominatives par exemple. N'empêche que le problème existe, et que nier la responsabilité du développeur à ce stade compte tenu du nombre important de victimes me paraît intenable.

EDIT: l'article le plus mesuré que j'ai pu lire jusqu'à présent.

[eboshi]

C'est tellement plus simple de faire croire à la théorie de la conspiration et de rejeter toute la faute sur les méchants développeurs.

Et c'est tellement plus simple de s'auto-rassurer en rejetant toute la faute sur les joueurs, tant que c'est l'interface chaises clavier qui bug ton propre compte n'a rien a craindre n'est ce pas ?


Plus sérieusement , je ne doute pas que beaucoup de hack de compte viennent d'une erreur du joueur, mais , et je prendrais mon cas (lui je le connais bien au moins) quid quand ça arrive alors que tu prend un grand nombres de mesure pour justement éviter le problème ?

[Molina]

J'écrirais ce que j'ai écris à GMB sur un autre topic : Même si c'est le joueur le problème...
Au vue du nombre de con, ben chai pas, on change la manière d'utiliser le produit. Parfois, je ne sais pas comment vous raisonner. On ne change pas la nature des gens pour un produit, mais c'est au produit de changer de nature pour correspondre aux personnes humaine qui l'utilisent. Et enfin, on communique la dessus, comme le fait la RATP sur les vol d'iphone à la sauvette (alors qu'en de base...Ce n'est pas du tout leur problème).

[Tylers]

y a aussi pas mal de chances que les gens qui se sont fait hackes avaient/ont un compte avec meme login/mdp dans une des très grosses bases de données qui se sont fait hackes l année passée.

[Nyuu]

Ce qui me fait bien rire, c'est que ça fait déjà longtemps qu'on est au courant de ce bug de session id, et y'a encore des boulets pour venir se la raconter "wesh mon mot de passe fait 160 caractères je suis protégé !".

Je sais pas si vous êtes au courant, mais à la sortie de Diablo 2, il suffisait d'ouvrir une fenêtre de trade pour risquer la perte de son compte. Et on est à nouveau en plein dedans dans D3.

[WeeSKee]

Ce qui me fait bien rire, c'est que ça fait déjà longtemps qu'on est au courant de ce bug de session id, et y'a encore des boulets pour venir se la raconter "wesh mon mot de passe fait 160 caractères je suis protégé !".

Je sais pas si vous êtes au courant, mais à la sortie de Diablo 2, il suffisait d'ouvrir une fenêtre de trade pour risquer la perte de son compte. Et on est à nouveau en plein dedans dans D3.

Qu'on est courant ? Qui blizzard ? Donc depuis D2 ils ont toujours pas réussi à le patcher ? Et ils ressortent un système identique avec le même bug tout en sachant qu'il existe ?

[Nyuu]

Non c'était au tout début, quand battle.net était le plus grand nid à hack de l'histoire du jeu vidéo.

Y'avait du dupe, du vol d'items via simple ouverture d'une fenêtre de trade, du maphack, un hack pour ramasser les objets à plusieurs centaines de mètres de distance, un colorhack...

[rakagoule]

Non c'était au tout début, quand battle.net était le plus grand nid à hack de l'histoire du jeu vidéo.

Y'avait du dupe, du vol d'items via simple ouverture d'une fenêtre de trade, du maphack, un hack pour ramasser les objets à plusieurs centaines de mètres de distance, un colorhack...

Y'avais aussi, les anorhack, les polhack et la barbhack... :D