|
|
|
Battle.net piraté, Blizzard invite à changer de mot de passe
Sujet ouvert par
Mindo
- Dernière réponse le 11 août 2012 à 11h49
 
Ce mot n'existe pas, authentificateur en anglais ce dit "authenticator" C'est moche mais c'est comme ça 
C'est une non surprise.
Blizzard devait bien passer à la casserole un jour ou l'autre. Heureusement pour eux et ses clients cela semble moins grave que chez Sony. 
Cela permet d'éviter qu'on utilise le mot de passe sur un autre site, mais ça n'empêche en rien de se connecter au compte Battle.net, et de changer des données du compte.
Concernant les mots de passe, blizzard limite ceux-ci à 12 caractères. Ce n'est pas si long que ça non plus.
Borny, le 10/08/2012 - 11:02 En fait, la limite se situe à 16 caractères (chiffre, lettre et ponctuation)
Borny, le 10/08/2012 - 11:02 Ca suffit largement s'il est bien fait, même si c'est un peu con. Petit souvenir de stage dans une boite de récupération de données (donc parfois avec pétage de mdp sur des archives) : 6 caractères -> 3 semaines, 7 caractères -> 3 mois. Bon courage pour péter un mdp à 12 caractères sur un truc qui s'authentifie en ligne. Et si leur algo est correct, ça mettrait encore plus de temps à décrypter hors ligne. 
J'ai l'impression que c'est à la mode en ce moment de pirater les serveurs de jeux en ligne. Il me semble que la plateforme en ligne de sony pour ses consoles a été piratée il n'y a pas si longtemps que ça et que, pour le coup, c'était un peu plus grave : données bancaires récupérées et tout le toutim...
neeko, le 10/08/2012 - 11:29 une question pour ceux qui s'y connaissent dans ce genre de domaine. Prenons un fichier rar (ou autre, simple exemple) qui comporte 7/8 caractères comme mot de passe. Y a t il une diminution sensible du temps de récupération du mdp via brutforce grace aux nouveaux pc par rapport au ancien ? [message édité par flob le 10/08/2012 à 11:40
]
Ils avaient quand même une sécu irréprochable jusque là, je vois pas trop le problème, c'était destiné à arriver pour une société si ancrée dans l'univers multimédia et internet.
Amicalement, le 10/08/2012 - 11:52 Si Black hat , le pognon Si grey hat , ouvrir les yeux aux joueurs peut etre ?
flob, le 10/08/2012 - 11:39 http://www.mandylion...nts/BFTCalc.xls Ceci est un document excel provenant du site http://www.mandylion...teForceCalc.htm . Je te certifie qu´il est clean. Les caracteres Russe sont maintenant integrés dans les dictionnaies de recherche et donnent quelques jours de plus. La puissance d´un ordinateur est le principal atout dans le temps d execution.
En gros un mot de passe de 7 caracteres met 6heures a etre trouvé (avec une majuscules et aucun nombres / metacharacter)
7 caracteres, une majuscule et 1 chiffre = 60 heures 7 caracteres, une majuscules, un chiffre et un metacharacter = 20 000 heures (et le temps diminue suivant le nombre de machines utilisé pour le faire, gardez a l esprit que le monde actuel est tourner vers les machines virtuels et les parc botnet) [message édité par kwxp le 10/08/2012 à 12:50
]
kholl, le 10/08/2012 - 11:56 
Erreur, la limite est à 16 caractères (mon mot de passe les atteint).
neeko, le 10/08/2012 - 11:29 Sûr que si c'est du bruteforce par le login en ligne, ça ne marchera jamais surtout que Blizzard bloquera sûrement le compte au bout de quelques tentatives de login échouées. Mais admettons qu'il n'y a pas le côté "en ligne" alors avec un CPU récent à six coeurs, 7 caractères c'est 1 heure et quelques de recherche et s'il y a une carte vidéo moderne, ça prendra moins de 5 minutes. Si on est bien équipé, on peut aussi passer par des rainbow tables et là même un mot de passe de 14 caractères ne tiendra que quelques minutes. 
plop42, le 10/08/2012 - 09:51 Il me semble que ce n'est pas la première fois que Blizzard est victime de piratage. J'avais prévenu une fois un ami qui avait un compte battle.net qu'il fallait qu'il change de mot de passe suite à une affaire similaire. Dans ce cas précis il me semble que les pirates ont eu accès aux mots de passe, mais que Blizzard avait rassuré ses utilisateurs en leur expliquant que ces derniers étaient protégés par hachage et salage bien qu'il était préférable de quand même les changer par mesure de précaution.
Si ma mémoire est bonne, il s'agit ici de la troisième attaque médiatisée qu'à subit l'entreprise ( malheureusement la plus aboutie ) depuis que celle ci a sorti son MMO.
Malgré cela, on peut remarquer qu'elle s'en tire bien mieux que les autres contrairement à l'exemple flagrant de Sony.
Centaurien, le 10/08/2012 - 10:51 Et comment faire alors pour se connecter à Battle.net avec les mots de passes cryptés ? J'imagine que le serveur Battle.net prend en entrée un mot de passe, le crypte en interne, puis le compare avec celui stocké en base de données. Il faudrait déjà que les hackers arrivent à shunter l'étape interne de cryptage pour pouvoir communiquer directement un mot de passe crypté au serveur, sinon le mot de passe crypté sera re-crypté et n'aura plus aucune signification. Tous les champs doivent être remplis. Tous les champs doivent être remplis. Tous les champs doivent être remplis. |
Sujets liés :
LES + RECHERCHÉS
A VOIR AUSSI
Télécharger
bittorrent emule island,
logiciel alcatel,
ssc service utility,
firefox,
skype,
linux,
emule island,
bittorrent,
Accès rapide :
Diagnostic |
eMule (et mods eMule) |
Photo numérique |
Outils Réseau |
Codecs et plugins |
Nettoyeurs |
Optimisation |
|
L'ambiance n'est pas à la fête chez Blizzard. La société américaine de développement et d'édition de jeux vidéo vient en effet de révéler, lors d'une mise à jour de sécurité, avoir été victime cette semaine d'une "intrusion non autorisée et illégale dans le réseau interne". Selon l'entreprise, quelques données ont été dérobées mais elles ne suffiraient pas pour accéder à un compte Battle.net.
Blizzard assure qu'en l'état actuel des choses, aucune information financière (numéro de carte de crédit, adresse de facturation, identité du client) n'a été récupérée par le ou les assaillants. "Nos recherches sont toujours en cours, mais jusqu'à présent, rien ne laisse à penser que de telles informations ont pu être touchées", explique son président, qui précise que les autorités ont été alertées .
En revanche, des données concernant la protection des comptes "ont été illégalement consultées". Ce sont essentiellement les joueurs présents sur les serveurs nord-américains (Amérique du Nord, Amérique Latine, Australie, Nouvelle-Zélande et Asie du Sud-Est) qui sont concernés, puisque des données relatives aux questions secrètes et à la double authentification (Authentificator) ont été obtenues.
"Nous savons également que les versions brouillées de manière cryptographique (et non les versions réelles) de mots de passe Battle.net de personnes jouant sur des serveurs nord-américains ont été volées. Nous utilisons le protocole SRP pour protéger ces mots de passe, ce qui rend extrêmement difficile l'extraction du mot de passe réel et qui implique que chaque mot de passe doit être décodé individuellement", poursuit-il.
En premier lieu et à titre "préventif", Blizzard recommande aux joueurs de modifier instamment leur mot de passe. Si les joueurs nord-américains sont principalement concernés, Blizzard rappelle qu'une liste d'adresses électroniques a aussi été consultée par les pirates et peut donc concerner des joueurs situés en Europe. Mieux vaut prévenir que guérir.
Dans un second temps, Blizzard va inviter les joueurs liés aux serveurs nord-américains à changer leur question secrète et la réponse correspondante. Enfin, des mises à jour seront envoyées aux utilisateurs de Mobile Authentificator. Quant aux mails dérobés, Blizzard rappelle sa politique : ses employés ne demanderont jamais de mot de passe par mail ni aucune autre information de connexion.
Une foire aux questions a été mise en ligne.
Lire la suite