[Actu] Blizzard (partiellement) non responsable de défaut de sécurité

Répondre
Partager Rechercher
Perso je trouve louche qu'à chaque fois qu'un mec se fait hack c'est inévitablement un pro en informatique avec des mots de passes changés toutes les heures par un algorithme développé à la nasa et un réseau protégé par une douzaine de proxys.

Moi je me suis jamais fait hack et j'ai ni authenticator, ni antivirus, ni une utilisation safe du web, je change jamais mon mot de passe et mon adresse mail est utilisée par une centaine de sites web.
Citation :
Publié par Galirann
Je savais pas qu'il y avait une appli PC de l'authenticator. C'est pas une très bonne idée qu'a eu Blizz là (tout comme l'app mobile d'ailleurs).
Elle n'est pas officielle, Blizzard n'y est pour rien.
L'app mobile dépend de la sécurité d'Android et d'iOS, mais si ces deux systèmes sont compromis, nos comptes Bnet seront les derniers de nos soucis. La seule protection entièrement garantie - sauf contre le vol - reste l'Authenticator original.
Meme avec le physique c'est loin d'être infaillible, avec les bonnes infos (retrouvable dans une compte mail perso parex) tu peux retirer l'authenticator d'un compte bnet sans protection sms. Sinon il faut un accès au mobile de la personne d'un manière ou une autre.
Disons que ça ne compte plus dans les vulnérabilités informatiques. Si tu te fais voler une copie de ton passeport et que le voleur l'utilise pour récupérer ton compte Blizzard, ou si ta question secrète est connue par 95% de tes proches, on peut difficilement mettre Blizzard en cause.
Citation :
Publié par Tzioup
Disons que ça ne compte plus dans les vulnérabilités informatiques. Si tu te fais voler une copie de ton passeport et que le voleur l'utilise pour récupérer ton compte Blizzard, ou si ta question secrète est connue par 95% de tes proches, on peut difficilement mettre Blizzard en cause.
Si ça compte mais ça reste de la "mauvaise utilisation des outils informatiques" et les copies de documents officiels c'est pas ce qui manque dans les mailbox perso / pc de famille.

Typiquement faut pas aller pleurer de se faire hack son compte malgré un authenticator alors que vous venez d'acheter des po wow sur un site chinois chelou et qu'à côté de ça vous avez votre vie entière sur votre pc ou dans votre boite au lettre perso.

L'athenticator rajoute une couche de sécurité mais inutile si l'utilisateur fait nimp avec son pc/mobile/comptes internet/token ... Et penser que ses proches sont forcément innocents c'est la 1ère erreur.
Citation :
Publié par Tzioup
Absolument toutes les grosses vulnérabilités, les hacks, les pertes de données et autres incidents pouvant mettre en danger l'intégrité des données des clients forcent légalement l'entreprise à communiquer publiquement la faille. S'ils ne le font pas rapidement, c'est la catastrophe. Surtout pour une entreprise publique comme Blizzard.
Tous les gros accidents récents (Battlefield Heroes, EA, LoL, Gawker...) ont eu leur lot de communiqués de presse, d'articles de webzines netsec, de bulletins de sécurité, de recommandations de gestion des dégâts....
Croire que Blizzard, en tant qu'un des plus gros éditeur de jeux en lignes, puisse cacher au monde entier que ses serveurs soient compromis, au risque d'une ruine financière, c'est du conspirationnisme de bas étage. Il est bien plus simple de faire du damage control en admettant la faille et en gérant les conséquences qu'en essayant de la cacher en premier lieu. Toutes les grosses boîtes le savent très bien. Et si faille il y'avait, ce ne serait pas trois clampins sur deux forums qui auraient des soucis, ce serait des centaines de milliers de comptes Bnet. Et la, croyez-moi, il y'aurait des news.
Bizarrement, très rare sont les annonces de hack de database, publié directement (6 mois par exemple). Du coup, ça dépends uniquement de l'éditeur.
Tu sais, dans la vie, la triche c'est présent partout, c'est pas parce qu'il y des lois ou autre, que ça empêche les gens de faire autrement. Surtout quand ils est question de justement grosses entreprises.
Blizzard n'a strictement aucun intérêt à les publiés, car ça ferait bien trop de mauvaise pub.

Après, bien sur qu'il y a une majorité de cas de gens qui se font avoir avec des mails de fishing, par exemple. Mais ça n'exclus pas le fait que leur système est infaillible
Par ailleurs il y a eu des bonnes grosses vagues de hack sur la période après la sortie de D3, on se demande pourquoi.

Sinon, pour revenir au niveau de la sécurité, en reprenant mon exemple de hack de mon précédent post, j'ai reçu uniquement 3 sms de tentative de log sur mon compte, et ça à suffit pour que le hacker, me pique le compte.

Dernière modification par Darkhain ; 29/08/2013 à 19h10.
Citation :
Publié par Darkhain
Par ailleurs il y a eu des bonnes grosses vagues de hack sur la période après la sortie de D3, on se demande pourquoi.
Bah comme dit plus haut, pour moi, la solution la plus plausible reste le bug exploit, pour le lancement de diablo 3 par exemple, une faille interne qui a permit aux pirates de se connecter quelques secondes au dernier perso utilisé d'un compte qui n'était pas le leur, ce qui expliquerait pas mal de choses, notamment les modes opératoires toujours identiques, les trashloots volés mais pas les armures, la vague de hack qui se termine miraculeusement sur un patch, etc.

Dans ce cas, pour un bug dans un jeu/logiciel, il n'y a strictement aucune obligation légale d'informer la clientèle, tant que les informations personnelles n'ont pas été compromises, et que le contrat a été respecté.
Conspirationnisme, toujours. S'il y'avait des hacks à grande échelle de comptes Bnet, pouvant ainsi créer une suspicion de vulnérabilité des serveurs Blizzards ca se saurait. Quand seulement une infime poignée de joueurs sur des millions se font hacker, qu'est ce que vous croyez qui est crédible: la faute de la petite poignée de joueurs, ou la faute du système?

Si le système lui-même était compromis, ce ne serait pas trois mecs qui seraient atteints, ce serait des millions. Soyez logiques.
Faut arrêter la mauvaise fois, tous les forums du monde traitant de diablo 3 ont été envahi de plaintes concernant des hacks lors du lancement de diablo 3, même ici on a eu des sujets dédiés.

https://forums.jeuxonline.info/showthread.php?t=1180323 par exemple

Faut pas confondre une vague massive d'attaques (sans jamais qu'un malware associé n'ait été découvert) et une plainte pour compte hacké de temps en temps, chose beaucoup plus "normale", pour ça on est d'accord.

Edit pour dessous: Et non, le principe des vagues de hacks c'est justement le grand nombre de victimes en très peu de temps.
En gros quand le nombre explose tous les records habituels, genre pour mon lien, qui a référencé 50 hacks joliens en peu de temps, on ne peut pas dire que c'est un rythme de hack normal sur les forums d'une section jol, à moins d'être d'une terrible mauvaise foi. (Ou salarié Blizzard)

Dernière modification par Sangrifeld ; 29/08/2013 à 19h52.
Citation :
Publié par Sangrifeld
Faut arrêter la mauvaise fois, tous les forums du monde traitant de diablo 3 ont été envahi de plaintes concernant des hacks lors du lancement de diablo 3, même ici on a eu des sujets dédiés.

https://forums.jeuxonline.info/showthread.php?t=1180323 par exemple

Faut pas confondre une vague massive d'attaques (sans jamais qu'un malware associé n'ait été découvert) et une plainte pour compte hacké de temps en temps, chose beaucoup plus "normale", pour ça on est d'accord.
Authenticator: non non non non non non non

....

Forcément, avec 6 millions de comptes qui se créent du jour au lendemain, c'est évident qu'une poignée va se faire hack parce que leur système est compromis. J'ai oublié quel était le pourcentage de machines vérolées dans le monde, mais il est assez élevé...aucune raison que le jolien moyen soit immunisé. Un pc sur six n'a pas d'antivirus, 40% des foyers ont déjà été infectés.

Citation :
En gros quand le nombre explose tous les records habituels, genre pour mon lien, qui a référencé 50 hacks joliens en peu de temps, on ne peut pas dire que c'est un rythme de hack normal sur les forums d'une section jol, à moins d'être d'une terrible mauvaise foi. (Ou salarié Blizzard)
Euh, tu m'as lu? Diablo 3, c'est 3,5 millions de comptes créés le premier jour, 6,5 millions en une semaine, 10 millions en un mois. La "vague de hacks" n'est due qu'à la vague de comptes: si seulement 0,01% des utilisateurs ont une machine ou des identifiants compromis, c'est 35000 comptes hackés dès le premier jour et 70000 en une semaine. Et oui.

Dernière modification par Tzioup ; 29/08/2013 à 20h04.
Ce qui dit Tzioup est évident et pertinent, d'autant plus que s'il y avait réellement une vulnérabilité à ce moment là ce n'est pas quelques centaines voire quelques milliers de comptes qui tomberaient ce serait plusieurs centaines de milliers.
Citation :
Publié par Galirann
Ce qui dit Tzioup est évident et pertinent, d'autant plus que s'il y avait réellement une vulnérabilité à ce moment là ce n'est pas quelques centaines voire quelques milliers de comptes qui tomberaient ce serait plusieurs centaines de milliers.
La terre entière a rêvé alors.

http://www.cinemablend.com/games/Dia...ned-43412.html

Edit pour dessous: Un patch diablo 3 pour protéger les utilisateurs des troyens et des keylogers à la place des antivirus? Tu crois vraiment ce que tu dis?

Dernière modification par Sangrifeld ; 29/08/2013 à 21h10.
Euuh...non. Si les serveurs Battle.net était compromis, ce ne serait pas un patch client qui aurait résolu quoi que ce soit.
Ca prouve seulement deux choses:
-Soit le patch a protégé Diablo 3 contre les trojans/keyloggers qui le visaient spécifiquement (très probable).
-Et aussi, peut-être que les tentatives automatisées d'accès à un grand nombre de comptes depuis les mêmes machines ont été fortement limitées, ou d'autres mesures ont été prises contre des activités de connexion suspectes.

Si ce patch a résolu les problèmes de hack, c'est sûrement qu'en grande partie il faisait le boulot des antivirus ou pare-feu inexistants.
Citation :
Publié par Galirann
Ce qui dit Tzioup est évident et pertinent, d'autant plus que s'il y avait réellement une vulnérabilité à ce moment là ce n'est pas quelques centaines voire quelques milliers de comptes qui tomberaient ce serait plusieurs centaines de milliers.
non c'est absurde, parce que ceux qui ont exploité ça le font manuellement et vide les comptes 1 par 1, la faille leur permet de se connecter à notre place c'est tout et ça ne concernait que le perso ayant rejoint la partie multi joueur. La faille a quand même été comblée rapidement on ne peut pas le nier

pour faire 150k compte avec cette méthode il faut 100 personnes 18h par jour pendant 7 jours. Autant dire que c'est impossible.
Je crois que tu sous-estime la capacité qu'ont nos amis chinois à mobilier un nombre conséquent de leurs compatriotes pour faire le boulot.

Par ailleurs, rien ne prouve que tout est fait de manière manuelle, notamment sur la partie connexion au compte qui est potentiellement décorrelée de l'utilisation même du compte et du vidage des perso.
Message supprimé par son auteur.
Citation :
Publié par Darkhain

Après, bien sur qu'il y a une majorité de cas de gens qui se font avoir avec des mails de fishing, par exemple. Mais ça n'exclus pas le fait que leur système est infaillible
Bien sur que le systeme n'ets pas infaillible. Les chinois seraient juste cons de chercher à le pénétrer quand il n'y a qu'à se baisser pour ramasser les identifiants auprès des utilisateurs directement. Ce que tu veux pas comprendre c'est qu'attaquer les données des éditeurs, de leur part, ce serait juste débile, trop compliqué, trop cher.

Citation :
Par ailleurs il y a eu des bonnes grosses vagues de hack sur la période après la sortie de D3, on se demande pourquoi.
Pour que les sites tiers de vente d'or et d'objets se fournissent à la sortie du jeu ?

Citation :
En gros quand le nombre explose tous les records habituels, genre pour mon lien, qui a référencé 50 hacks joliens en peu de temps, on ne peut pas dire que c'est un rythme de hack normal
Pour un jeu qui a du dépasser les 100M de comptes en 8 ans ? 50 mecs ? Paye ta stat.
Allez, on va jouer le jeu.
50 mecs.

Sur JOL, la stat c'est ca: 3665 joliens y jouent, 11476 y ont joué.

Ce qui bien sur ne compte que les gens qui se sont donnés la peine de le signaler, il y en a donc d'aitres. On va faire un forfait a 15K, histoire de me simplifier le calcul. Woot. 0.3%

0.3%
Note, je sais pas si tu parles de WoW ou de D3, pour D3 ca fait 1.6% des joliens ayant déclaré y avoir joué.

Citation :
non c'est absurde, parce que ceux qui ont exploité ça le font manuellement et vide les comptes 1 par 1
La je crois qu'on a le facepalm du mois.

Dernière modification par Andromalius ; 29/08/2013 à 23h54.
Citation :
Publié par Eeky
On est d'accord - Cétait juste pour répondre au gus qui pense que ses "potes dev sont des ouf en sécurité juste parce que c'est des dev"
Je n'ai jamais dit ça là tu inventes.
Pour ma part je n'utilise pas Autenticator et je n'ai jamais eu de problème sur mon compte.

Pour le reste je constate qu' Andromalius (et d'autres) disaient que l'on inventait les intrusions d’où mes posts (pour la forme je ne dis pas) pour dire maintenant "bien sur que le système n'est pas infaillible".
Aucun systeme n'est infaillible. Ca ne veut pas dire pour autant que le systeme a été percé. En l'occurrence tous les claims de hack avec authenticateur ont été débunkés.

Le drame dans cette histoire c 'est qu'on essaye de vous faire prendre conscience des risques que vous faites courir a VOS comptes.
Citation :
Publié par wolfen_donkane

Oui enfin faut juste s'offrir une daube d'Iphone à 800 euros pour en profiter de ton surcoût de 0€. Moi sur mon téléphone fixe y'a pas moyens de mettre des applis ni d'ailleurs sur mon portable des années 90.
Tu as des smartphones à moins de 100euros, donc à part pour cracher sur Apple (je suppose que c'était le but premier de ton intervention), je vois pas trop l'intérêt de ton message. Et Blizzard vend gracieusement (ou pas, ils y trouvent leur compte aussi) des authentificator physiques à prix coûtant pour les gens comme toi qui n'ont pas de smartphone.
Citation :
Publié par Tzioup
Il n'y a absolument jamais eu aucun compte Blizzard avec Authenticator hacké. Jamais, nada, never. Ce n'est tout simplement jamais arrivé.
Si si n'exagérons rien, c'est arrivé, mais c'est très difficile. Il y a en gros 2 moyens :

1) Une attaque de type man in the middle (l'homme du milieu), à savoir un keylogger qui va balancer le code authenticator au chinois, lequel a moins de 30 secondes pour le récupérer et se connecter immédiatement avec. Pendant ce temps, le keylogger modifie le code envoyé au jeu, qui dit qu'il est mauvais.

2) Le pirate va photoshop une fausse pièce d'identité, mais cela nécessite de connaître le nom complet du gus qui a le compte, et de tomber sur un GM idiot (toujours possible).

Bref, ça peut arriver, c'est arrivé, mais c'est tellement rarissime que ce n'est même pas une goutte d'eau à ce niveau.
Répondre

Connectés sur ce fil

 
1 connecté (0 membre et 1 invité) Afficher la liste détaillée des connectés