Guild Wars 2

Bonjour,

Ma suggestion est simple, supprimer l’enregistrement de plage d’adressage IP entière dans celles autorisées.

Dans le cas de l’usurpation d’IP (il suffit de connaître l’adresse email) le travail leur est tout mâché ou presque à cause des plages entières qui sont validées.

Je m’explique, lors de l’acceptation d’une nvl adresse IP il peut y avoir la mémorisation d’une plage d’adressage d’y style :
XXX.000.000.000 à XXX.255.255.255.
Ce qui permet aux hackeurs de n’avoir à trouver que le premier nombre.

Regardez dans “Compte”/“Sécurité” et vous comprendrez.

Certains joueurs se posent la question “ils ont fait comment pour trouver mon MDP ?”, ne cherchez plus, ils n’en ont pas besoin.

—

À LIRE :
Éclaircissement de : Haaz

Éclaircissement de : Mork

Tu es sure que c’est bien toute la plage qui est enregistré ou alors plutôt que la plage est juste marqué a titre indicatif?

Bonjour Shuzuru,

Je confirme que c’est une plage entière qui est enregistrée.

Bonjour,

Je n’ai pas tout compris, surtout l’usurpation IP et la dernière remarque sur les mots de passe. Vous parlez du cas où le serveur web se ferait attaquer ?

Dans le cas contraire, il faut bien connaître le mot de passe du compte, et son adresse électronique associée pour accéder à la plage d’adresses IP, non ? Et dans ce cas, tous nos personnages sont déjà tous nus, avant que la connaissance de l’adresse IP de la box ne serve à quelque chose…

Donc ce qui vous préoccupe, c’est plutôt qu’un pirate puisse plus facilement cibler votre PC, s’il vous a pris en grippe, c’est ça ? Je veux dire, dans le cas où l’adresse électronique du compte ne permet pas de remonter directement à votre box…

Bonsoir Haaz,

Je m’interroges, faut-il avoir le MDP si un hackeur trouve l’@mail et l’IP pour avoir accès au jeu ?

Je ne sais pas, je n’en suis pas

Excluons une faille de sécurité au niveau du serveur et du protocole HTTPS.

Hackeur débutant :
Il doit récupérer ton adresse mail ailleurs par prospection (et cela suppose entre autres que le nom d’usage (haaz, dom, etc) soit utilisé ailleurs sur internet, pour pouvoir l’associer à une adresse mail). Encore faut-il que cette adresse soit bien celle qui a été déclarée comme adresse mail du compte (on peut en changer). En admettant que ce soit le cas (et le pirate n’en sait rien), casser le mot de passe peut prendre entre quelques heures et quelques siècles. Une fois que le compte est piraté, alors oui, le pirate a bien accès à l’adresse IP de ton concentrateur (et localise ta ville), mais il a également surtout accès à tout ton compte de jeu…

Autrement dit, si le pirate connait ton @mail de compte, il n’a pas besoin de connaître ton adresse IP pour commencer à tester le mot de passe. C’est juste pour cela que je ne comprenais pas la mise en relation IP – mot de passe.

Bonsoir Haaz,

Merci pour tes éclaircissements.

Haaznahnuff.1907:

Excluons une faille de sécurité au niveau du serveur et du protocole HTTPS.

Hackeur débutant :
Il doit récupérer ton adresse mail ailleurs par prospection

Bon.

Premier message privé ILOVEYOU il y a deux jours avec un “Dear hero” générique.

Deuxième message privé ILOVEYOU (émis par un autre compte) à l’instant :
“Ch?ris h?ro <- Chéris héro ??
Comment allez vous
BonVWXYZ”

Les cinq caractères VWXYZ sont ceux qui apparaissent dans cet ordre dans mon email de compte. Mon mot de passe fait maintenant plus de 15 caractères divers, mais la tension monte quand même…

Domely.7405:

Certains joueurs se posent la question “ils ont fait comment pour trouver mon MDP ?”, ne cherchez plus, ils n’en ont pas besoin. —

L’usurpation d’adresse IP ne permet pas à un hacker de se passer de ton mot de passe. Il faut aussi qu’il le crack ou qu’il récupère par l’un des moyens suivants: soit avec un mouchard sur ton PC (“cheval de Troie” est le mot à la mode en ce moment), soit en piratant le serveur (ce qui n’est pas à la portée du premier venu), soit avec la technique dite “du troisième homme” qui consiste à se positionner entre le serveur et le client – et à compter sur le fait que l’utilisateur ne vérifiera pas qu’il n’est plus connecté à une adresse commençant par" https" (afin de te faire contourner toi-même le protocole de sécurité ssl qui n’a pas encore été cracké – à ma connaissance).

L’enregistrement de ton adresse IP (ou d’une plage, bien qu’à mon avis la plage est indiquée ici qu’à titre … indicatif) est une sécurité supplémentaire. Ça ne “shunt” pas le mot de passe, même si sur ton ordi tu as coché la case “se souvenir de mon mot de passe”.

Haaznahnuff.1907:

Comment allez vous
BonVWXYZ"

Les cinq caractères VWXYZ sont ceux qui apparaissent dans cet ordre dans mon email de compte. Mon mot de passe fait maintenant plus de 15 caractères divers, mais la tension monte quand même…

Pour ma part il était écrit
Comment allez vous
Bonmarch? Gw2 pos [etc]

Et “Bonmarché”* fait partie de l’annonce mal traduite par leur système (ce n’est ni mon adresse email et encore moins mon mot de passe): “Cheapest Gw2 gold”
Si tu regardes le premier email reçu par le compte “dfag fdsg.2735” et celui-ci reçu par le compte “tbbhcw.7395”, tu verras que c’est les deux mêmes. Le second à juste été approximativement traduit en français par une routine qui se débrouille pour faire pire que google translate (c’est dire!).

Une fois un compte créé sur ce forum par un bot, il lui suffit de parcourir les sujets pour récupérer les noms d’utilisateur et leur envoyer son mp à noix. Nul besoin de pirater ton compte pour t’envoyer un de ces messages.
C’est comme si tu t’amusais à spammer les gens toi-même, sauf que là c’est un automate qui le fait.

* A cause de leur système bancal de traduction qui n’utilise pas les bons jeux de caractères (comme souvent avec le spam, le jeu de caractère utilisé par leur programme de spam utilise un jeu américain n’incluant pas les accents) le “é” est traduit par “?”, le “è” par “a”, etc. Ce genre “d’erreur” est typique des spams.

moi aussi c’est bonmarch

Et en plus maintenant, ils disent vendre des légendaires avec une liste précise.
Si même sur le forum ils nous pollu, cà devient lourd.

Mork.9532:

Domely.7405:

Certains joueurs se posent la question “ils ont fait comment pour trouver mon MDP ?”, ne cherchez plus, ils n’en ont pas besoin. —

L’usurpation d’adresse IP ne permet pas à un hacker de se passer de ton mot de passe. Il faut aussi qu’il le crack …/….

Bonjour Mork,

Merci pour ton complément d’information.

Sauvé alors !?

Puisque nous sommes dans les suggestions, certains forums utilisent la règle suivante pour éviter certains bots :

• n’autoriser les messages privés qu’au bout de quelques messages postés dans le forum.

Et en mesure supplémentaire, je propose, même si c’est plus lourd pour les modérateurs :

• soumettre le premier message d’un compte dans le forum à l’approbation d’un modérateur, sous 24H (avec encouragement aux nouveaux inscrits d’aller poster dans une section aide aux joueurs pour demander un renseignement quelconque).

Mais comment faire pour les inscrits non francophones ?

Ben les inscrits non francophones iront poster dans le forum dédié à leur langue
EN/FR/DE/ES

Je pense que mettre en place un code de sécurité visuel pour l’inscription au forum est une première base pour éviter les bots, même si ça fait pas tout.
Maintenant, cela fait trop longtemps que je me suis inscrit, donc je ne me souviens plus si ce système est déjà en place ou non…

Je crois que ça ne sert à rien. Si je ne me trompe pas on ne peut pas avoir accès au forum en écriture sans avoir un compte GW2, bref sans avoir acheter le jeu.

Si je me rappelle bien lors de l’inscription au forum il demande la clé de GW2.

Donc les bots sur forum sont des comptes qui ont payé le jeu, et à mon avis ont été inscrits par des humains à l’origine…

Ah, ben dans ce cas…
De toutes façon, je crois que les mieux placés pour savoir quoi faire, ce sont les développeurs de ce site. Ils ont surement dans leur équipe des gens bien plus calés en sécurité que nous…
Continuons de reporter diligemment les spam reçus, ils s’occuperont du reste.
https://forum-fr.gw2archive.eu/forum/support/account/Report-les-gold-resseller

“Écoutez, laissez les développeurs faire leur travail, dès qu’ils auront de plus amples informations croyez bien que vous en serez les premiers informés.”