Guild Wars 2

Bonjour,

ce matin, en me connectant au forum, j’ai eu la surprise de constater que le site ne m’a pas demandé de renseigner le code fourni par mon mobile.

Est-ce une fonctionnalité qui consiste à se rappeler que je me suis déjà connecté avec ce PC auparavant ou bien s’agit-il d’un problème ?

Si il s’agit d’une fonctionnalité, j’aimerais avoir une option permettant d’indiquer si oui ou non je veux me souvenir de ce PC.

J’ai fait le test de me déconnecter pour me reconnecter, je n’ai pas eu non plus à renseigner mon code.

Je parcourais les forums anglais, lorsque j’ai vu ce sujet, avec la réponse d’un community manager : https://forum-en.gw2archive.eu/forum/support/account/Authenticator-bug-Merged

En essence : la mise à jour de cette nuit a vu l’ajout de la fonction se rappeler de l’endroit à l’authentification en deux étapes.

Si vous avez déjà autorisé un endroit via l’authentification par email, dans ce cas l’authentification à deux étapes est désactivée sur cet endroit pour respecter les réglages de l’authentification par email.

Donc si on se connecte depuis un endroit autorisé par email, il n’y a pas de double vérification par l’authentification à deux facteurs.

Cependant si vous vous connectez à partir d’un endroit non autorisé préalablement il vous sera demandé un code via l’authentification à deux étapes.

Pour le moment, aucune n’interface n’existe afin de gérer les endroits autorisés. Nous vous recommandons donc la plus grande prudence lorsque vous autorisez de manière permanente des connexions à partir d’un endroit donné.

Je n’ai fait que résumer et traduire le post, je vous conseille donc d’aller le lire dans la langue de Shakespeare, ou d’attendre une traduction officielle.

Bonjour,

il faut aussi ajouter que l’authentification à deux étapes ne m’a pas été demandée lors de ma connexion au client du jeu, ainsi que sur le portail Guild Wars 2.

Quelque chose a-t-il été changé à propos de l’authentification à deux étapes ?

Je viens moi aussi de m’apercevoir de ce problème mais je n’ai pas vu de news a ce sujet.

Bonjour,

Pareillement, je m’étonne ce matin de ne pas avoir la demande d’authentification par mon mobile alors que l’option est toujours active. Il serait judicieux que ce genre de soucis évite de se perpétuer (cf Halloween) car on n’utilise pas l’authentificateur juste pour qu’il fasse joli, mais bien pour une question de sécurité. Si celle-ci devient défaillante de manière chronique, on peut dire qu’elle n’en devient qu’obsolète. :-/

+1 meme remarque :S

Ca me “rassure” de ne pas être le seul, mais d’un autre côté ça me fait flipper de voir qu’une telle mesure de sécurité est tombée, même si elle était en bêta, sans prévenir.

Arf, je me doutais bien d’un truc dans le genre.

Du coup, c’est très dommage, car autant l’autorisation par email … quand on s’est fait piquer son email, on s’en fout un peu, autant l’authentification en deux étapes est un must qui protège même lorsqu’on s’est fait piquer son email.

Il faut vite qu’il y a une option permettant de gérer les endroits autorisés, mais surtout une option permettant de différencier “validation email/validation deux étapes”.

Merci Silver pour ta réponse, ça explique bien des choses oui, mais si un CM français voulait bien nous confirmer tout ça avec la langue de chez nous, ça serait très bien. Tout le monde n’est pas versé dans la langue Shakespearienne. ^^

Silver a bien résumé le truc, on en apprend pas plus en anglais à part le fait qu’il s’excuse du manque de clarté sur cet ajout lors de la maintenance.

Il explique également (et c’est déjà très important) que le code est bien demandé pour les lieux qui ne sont pas marqués comme “connus”.

Ce que j’aime bien, c’est un peu au dessus, y’a un modo qui dit “oui on est au courant, on est en train de le réparer” et un tout petit peu après, le CM qui dit “tout est normal, c’est juste un oubli de com”

Et comment fait on pour retirer une adresse IP autorisée ?

Comme je l’ai indiqué lors de ma traduction, il n’existe à l’heure actuelle aucune interface de gestion des adresses/endroits autorisés ou interdits.

Je pense cependant que cela sera mis en place dans un futur proche.

C’est également pour cette raison que le CM rappelle à juste titre qu’il faut faire très attention lors de l’ajout d’un endroit autorisé.

Mais bon … pour ma part, je préfère rentrer mon en deux étapes à chaque fois afin, donc j’aimerais que l’option arrive rapidement.

Bonjour,

Depuis la Mise a Jour du client (aujourd’hui le 06/11/2012) le système de vérification (en 2 étapes) de sécuriser de mon compte Guild Wars 2 ne fonctionne plus.

Que faire ?

Alors apparemment une réponse apporté indique que si tu as auparavant mis ton adresse IP dans la liste des adresses IP authorisée, elle ne sera plus demandée à être authentifiée via le mobile.

Sauf que depuis que j’ai changé mon MDP aujourd’hui, l’authentificateur mobile ne fonctionne plus, alors que je me connecte sur des adresses IP “inconnues”

Fait un ticket à l’assistance si tu es dans mon cas sinon c’est normal

J’ai déjà abordé le sujet ici : https://forum-fr.gw2archive.eu/forum/support/account/Authentificateur-d-sactiv/first il y a la réponse

Bonjour,
Même soucis pour ma part.
Et j’ai bien lu la réponse concernant les adresse IP.
Mais il y a un truc qui me chiffone, a part si vous payez cher pour en avoir une fixe, les adresse IP internet en france sont dynamiques.
Et ca fait des semaines que je n’ai plus de mail pour connexion avec nouvelles IP.
Du coup je comprend pas bien le système d’autorisation par IP.
Serait-ce le lieu qui est enregistré ? ce qui veux dire que c’est très facilement piratable.
(avec en prime un essai chez un ami (donc pas chez moi, mais non loin) et aucune demande de validation… )

Et pour revenir au sujet principal, même en le déliant (l’authentificateur) aucun code demandé… :/
Sécurité zéro un peu.

@Aldenya : Pour les adresses IP fixe ou dynamique, tout dépend de ton fournisseur. Chez free par exemple c’est du fixe logiquement

Par contre je te confirme Aldenya, même en déliant, plus de vérification….

Oui tout dépend du FAI, le mien c’est du dyn’ du coup…

J’ai récupéré la possibilité d’entrer mon numéro de Google Authentificator…

En purgeant mes cookies et données de navigation de Google Chrome….

Ca craint, car on peut se faire hack sa boite mail et ca peut etre active dessus. Moi perso je prefere l’authentificator en permanence.(je me suis fait hack deha une fois)

Bah je viens de refaire le test, çà ne vient pas de ma purge. En fait, au même moment j’ai changé d’IP.

Par contre en effet, du coup, j’ai trouvé la source du problème (enfin pour moi).

Lorsque je clique sur déconnexion, la déconnexion ne se fait pas “proprement”, c’est à dire que quand on va dans : Gestion de mon compte —> Sécurité, l’adresse IP reste comme “valide”, donc du coup, pas d’authentification demandée.

Et je n’arrive pas à clore cette connexion manuellement

J’allais te dire “ça vient pas de là”, car j’ai fait le test suite à ton message et ça ne marchait pas et ça m’aurait franchement étonné que ça soit côté client que c’était géré.

Normalement, tu ne peux déconnecter que tes connexions “non actives”, si tu n’as pas “Déconnexion”, c’est qu’il s’agit de ta session active (donc en purgeant tes cookies du forum, ça devrait te le proposer).

Bah justement, lorsque je clique sur le bouton de déconnexion via l’interface “sécurité”, voici le message d’erreur :

Page not found

Host
account.guildwars2.com
URL
/account/security/disconnect
JsSrv3/6253001.16889 Instance/15.373875458

J’ai actuellement, 8 connexions “actives” + celle vraiment active où je n’ai pas ce bouton de déconnexion

J’ai le même message d’erreur et je n’ai “que” 7 connexions dont 6 où je peux faire “Déconnexion”.

J’ai des connexions qui datent de 7 à 14 minutes avec une à 40 jours …

Bref, c’est pas encore totalement au point mais une chose est sûre : je veux pouvoir m’authentifier en deux étapes systématiquement !

La validation par IP est “bien” mais “pas top” dans la mesure où une IP ça se spoof et surtout, elle peut être partagée.

Je veux avoir la liberté de gérer ma sécurité au mieux et pour moi, le mieux est de devoir entrer systématiquement le code de validation.

Bah le problème, c’est qu’avec cette fameuse mise à jour où les IP déjà validés ne nécessitent plus d’authentification à double étapes, et bien je pense que les fameuses connexions qui sont actuellement dans la liste de Sécurité sont considérées comme “valide”, donc pas d’authentification. D’où ce problème…

Je sais bien, c’est pourquoi je demande qu’ils mettent en place au plus vite une possibilité de gérer les IP valides en dissociant la validation par email de la validation par code.

Perso, ça me gonflerait que ça soit géré avec la même option, car je veux pouvoir valider ma connexion avec le code, sans avoir à me taper la vérification par email à chaque fois.

Par contre, je veux bien qu’ils laissent les deux sécurité en place, ainsi quelqu’un de mal intentionné devrait non seulement avoir accès à l’email mais en plus avoir le bon code.

Pour ceux qui ne parlent pas anglais, Stephane Lo Presti a posté un message traduisant le message original : https://forum-fr.gw2archive.eu/forum/info/news/Fonctionalit-en-b-ta-syst-me-de-v-rification-en-2-tapes/first#post86631

Bonjour,

Il est en est de même pour moi, si j’ai choisi l’identification en deux étapes, ce n’est pas pour que peu de temps après il nous soit imposé que la double authentification ne soit pas utilisée si mon IP est enregistrée.
Même si ce n’est que provisoire votre mode de fonctionnement ouvre une nouvelle faille à des personnes peu scrupuleuses.

Un client mécontent de votre initiative.

Meme chose chez moi et je prefererais l’authetificateur actif en permanence…

Idem, surtout qu’il est facile de se cacher derrière une IP fictive. Donc si la personne arrive a hacker la BD avec les IP préenregistrer, il n’a plus qu’à se faire passer pour une de ces IP et hop, le voilà connecté sans avoir besoin de Google Ath. sur mon portable…. :/

Sur un autre forum, certains ont une réaction face à l’annonce officielle du style “ahh la com s’améliore chez ANet, enfin de la transparence, etc.”

Voici ma réponse :

C’est ni propre, ni sérieux, ni cool, c’est une superbe régression au niveau de la sécurité : si quelqu’un a votre login/mdp, il peut “facilement” usurper votre IP (imaginons qu’il ai récupéré vos identifiants au moyen d’un cheval de troie ou qu’il partage la même IP que vous naturellement, université, grand réseau d’immeuble, etc.).

La bonne pratique aurait été :
annoncer qu’ils allaient mettre en place une option commune pour validation email/authentificator
comme il n’existe pas à l’heure actuelle de paramétrage nous permettant de gérer nos préférences (wtf ?), ils auraient dû réinitialiser les préférences de tout le monde, laissant le soin aux gens de décider de ce qu’ils souhaitaient faire lors de leur prochaine connexion
Alors, peut être que le mécanisme nous protège bien face aux IP inconnues, mais si une IP “valide” est corrompue, on l’a dans l’os, alors qu’avec l’authentificator, même si un méchant avait nos identifiants, ils ne pouvait toujours pas avoir accès à notre compte.

A l’heure actuelle, je me sens “à poil” au niveau de la sécurité de mon compte et je tiendrais ANet pour responsable si je me faisais hacker mon compte pendant le laps de temps où ma double authentification ne “marche pas”.

(@Grom: je ne sais pas si c’était nécessaire d’ouvrir un nouveau sujet pour en parler, tu risques de te faire fermer ou fusionner ton sujet)

Bon je risque de jeter un pavé dans la mare, mais mon but n’est absolument pas de lancer une polémique sur la sécurité du jeu et les efforts (ou non selon certains) déployés par ArenaNet afin de nous permettre de jouer dans les meilleures conditions.

Sans vouloir vous offenser, vous pensez que si un pirate a obtenu l’accès aux BDD des IPs et donc peut être les clés à l’origine de la génération du code de vérification en deux étapes, il va sérieusement prendre le temps de maquiller son IP plutôt que de générer en moins de temps qu’il n’en faut pour le dire le code en question ?

Cela reste mon humble opinion, mais pour mettre en place un tel système d’authentification, il faut être sûr de son infrastructure et de sa sécurité, comme pour toute application où l’on stocke des clés de cryptage ou des mots de passe.

Je m’avance certainement en disant cela, mais une partie non négligeable des piratages de comptes qui ont pu avoir lieu jusqu’ici tiennent généralement de la négligence ou de l’ignorance de certains concepts de sécurité sur internet, et non de la faute d’ArenaNet.

Certes il y a des risques et je ne les minimise pas. Mais selon moi ArenaNet n’a pas commis de faute grave en ‘désactivant’ l’authentification en deux étapes pour les IPs validées. Souvenez-vous que c’est vous et vous seuls qui avez autorisé ces IPs et les avez désignées comme sûres. Et c’est sur ce point qu’ArenaNet a toujours été très clair : Soyez très prudents quand vous autorisez une connexion depuis une adresse IP.

Hello à tous,

J’utilise la protection depuis maintenant 2 semaines, et j’en suis super content très rapide a utiliser et surtout facile à activer.

Mais voilà actuellement je n’ai plus la possibilité de rentrer mon mot de passe fournis par mon gsm quand je me connecte…

j’ai regarder dans mon compte j’ai refais l’activation sur gw2 et toujours rien…

je suis le seul a avoir ce problème…?

Même chose pour moi que se sois sur le site ou sur le lanceur du jeu

Je vous conseille de jeter un oeil sur ces deux sujets :

https://forum-fr.gw2archive.eu/forum/support/account/Authentificateur-d-sactiv-Fusionn

ainsi que : https://forum-fr.gw2archive.eu/forum/info/news/Fonctionalit-en-b-ta-syst-me-de-v-rification-en-2-tapes/

@Silver : tu as en partie raison, mais le problème vient du faux sentiment de sécurité que la “validation par IP” apporte.

Un mec qui pirate les bases de données d’ANet, il fera tourner un casseur de mot de passe et pourra spoofer les IP, il pourrait même avoir accès aux clés authenticator, on est d’accord.

La sécurité par IP permet de bloquer une tentative depuis une IP “non connue”, on est également d’accord.

Le problème, si on est un peu parano, c’est que si on a accepté une IP comme étant une IP “connue” ne veut pas dire “une IP totalement sécurisée où il n’y aura jamais rien de mal”.

Ainsi, si un joueur se fait infecter par un programme malveillant, l’auteur du programme aura son IP et ses identifiants : game over.

Tandis que si on dit “ok, ne me pose pas la question de l’IP, mais demande moi quand même le code authenticator à chaque fois”, un mec qui a les identifiants et l’IP ne pourra toujours pas se connecter.

En allant plus loin, la seule possibilité pour le vilain d’avoir tout de même accès au jeu, c’est de ralentir la demande de connexion une fois le code entré par le joueur afin de se connecter avant lui, mais là, ça commence à être vraiment beaucoup.

Le problème, si on est un peu parano, c’est que si on a accepté une IP comme étant une IP “connue” ne veut pas dire “une IP totalement sécurisée où il n’y aura jamais rien de mal”.

Et bien justement là est tout le problème. Selon le système d’authentification par email, si tu désignes une IP comme “connue” tu estimes donc qu’il ne peut pas y avoir de tentatives de connexion illégitimes depuis cette IP, et que tu est maître de la sécurité en ce qui la concerne.

Peut être qu’ArenaNet n’a pas assez communiqué sur ce point, ou peut être qu’ils nous ont considérés comme assez intelligents pour comprendre cela par nous même.

Si tu estimes qu’il est possible que le PC ou le réseau derrière cette adresse IP puisse être hacké, il ne fallait pas désigner l’adresse comme “connue”, mais simplement autoriser la connexion à chaque fois que tu voulais jouer.

Ainsi, si un joueur se fait infecter par un programme malveillant, l’auteur du programme aura son IP et ses identifiants : game over.

Oui mais dans ce cas, ce n’est pas le système d’authentification qui est en faute, mais bien l’utilisateur qui n’a pas assez protégé son ordinateur. Et quel que soit le système d’authentification, ce problème existe, même avec l’authentification en deux étapes, j’aimerais d’ailleurs rappeler à ce titre que nos Smartphones ne sont pas immunisés aux tentatives de piratage, loin de là.

Oui enfin là tu idéalises beaucoup. La faille est toujours possible, même chez quelqu’un qui fait attention et pour la plupart des joueurs : “IP connue = chez eux”, que ça soit sécurisé ou non.

Il faut faire avec, on ne peut pas changer les gens.

Le fait est que l’authentification en deux étapes est le “dernier rempart” en cas de compromission et le choix d’ANet d’avoir élargit l’option d’email à celle de l’authentificator est une erreur du point de vue sécurité.

Je suis d’accord que les smartphones peuvent être vulnérables, mais le mec qui se fait pirater son ordinateur ET son smartphone … c’est vraiment pas de bol

Bref, on s’éloigne un peu du sujet, toujours est il que je souhaiterais vivement qu’il y ai rapidement une option pour gérer ce que la mémorisation de l’IP concerne ainsi qu’une option pour pouvoir gérer les IP connues.