Guild Wars 2

Bonjours, ce message s’adresse autant aux devs qu’à la communauté de joueur.

Mon chef de guilde, qui utilisait une application GW2 en ayant lié son compte avec une clé API, fournie par GW2, à eu la désagréable surprise de voir son compte piraté ce matin, avec le mot de passe modifié. Il à heureusement put récupérer son compte et le sécuriser à nouveau. Cependant des milliers de comptes aurait déjà été piraté de cette manière, après qu’une faille dans la sécurité ai été remarqué par les concepteurs de ces applications.

Utilisant également une application avec clé API, j’ai aussitôt supprimé tout lien entre mon compte et l’application en question.

Donc merci aux devs d’Anet de travailler sur cette faille de sécurité, et, joueurs, faites attentions.

Bonjour,

La clé API ne permet pas de modifié quoi que ce soit d’un compte, elle ne permet que de lire les informations qui ne sont pas essentielle, comme le mot de passe etc.

Si la personne a été piraté, c’est par un autre moyen.
Soit la personnes utilise le même email et mot de passe sur le site et là, que le site soit piraté pour récupérer cela, pourquoi pas et encore a voir.

Pour éviter tout risque, il reste aussi la possibilité de mettre en place la double vérification mise en place par Arena qui obligera a donner un code reçu par SMS si la connexion se fait depuis une autre IP que celle validé.
Ce qui empêche complètement une connexion frauduleuse.

Rappel sinon, ne jamais utiliser le même email et/ou mot de passe sur un site en rapport avec le jeu, un forum etc… c’est donner son compte sur un plateau d’argent.

Sinon dernière chose, pour ce genre de message, si vous pensez qu’il y a vraiment un souci de sécurité sur les serveur Arena, il faut que vous lanciez un ticket auprès de service client (lien dans ma signature) afin d’en informer au plus vite les équipe technique et ne pas dévoilé la méthode publiquement (ca va de soit)

Ici, cela informera les joueurs qui passe mais ce n’est pas le canal le plus adapté pour les équipes en charge de la sécurité.

Je confirme cependant que le mot de passe du compte à été modifié suite à l’utilisation d’un site tier utilisant les clé API (et sans avoir besoin de mot de passe quelconque) et que le-dit site est déjà connu puisque plus de 9000 comptes ont subit ce genre de problème.

Maintenant comme la communication d’Anet est plutôt désastreuse, je ne suis pas particulièrement surpris de voir une réponse (que je considère non-officiel au passage vu l’absence de papillonole “Arena”) de type “le problème ne viens pas de nous”, “contactez le support” (qui de toute façon ne fera pas grand chose que répéter “le problème ne viens pas de nous”), mais le fait de ne pas vouloir prévenir publiquement les joueurs d’une faille de sécurité dans ce système est un comble…

Bonjour,

En même temps, il est normal que tu ne vois pas d’icône Arena associé a mon pseudo vu que je ne travaille pas du tout pour Arena, je ne suis qu’un joueur, tout comme toi, qui ne te donnais qu’une réponse franche et objective face a tout ceci.

Je n’ai que cherché toutes les options possibles quand a d’autres possibilité de hack. après comme les hack sont toujours possibles sans que nous ne sachions comment, je t’ai conseillé ou a ceux piraté de contacter le support car il existe un mail directe spéciale pour les signalements de ce genre de chose pour que les équipes d’Arena soit en premier lieu informé du problème (puisse qu’il semble réelle selon ce que tu écris) et qu’ils puissent l’étudier et le corriger et/ou redonner leurs comptes aux personnes victimes.

Je rappelerai juste que ce forum même officielle est avant tout une plateforme pour l’entraide entre joueurs avec certes des officielles et des annonces mais les choses aussi spécifiques que cela, doivent pour être efficace passé directement auprès du support.

Et après cela en tant que simple joueur, ton message pour prévenir est une bonne chose, tu as bien fais aussi. Si j’ai eu l’air de douté de toi, ce n’est pas le cas, c’est qu’il y a alors un gros problème a corriger car les API ne sont pas censé donné un droit d’écriture sur les serveurs, ce ne sont que des fichiers textes en lectures seuls et cela voudrait dire que l’API diffuse les mots de passe ou d’autres informations.

Du coup voilà pourquoi il est urgent si le problème est avéré de contacter le support pour une analyse approfondit.

Ps : et ce que je disais en dernier message c’est que si vous trouvez une faille, il ne faut pas l’annoncer ici, les détails techniques sont a donner uniquement auprès d’Arena.

Voilà

Je confirme: à moins qu’Anet ait laissé une faille de sécurité grosse comme le bras au niveau des permissions de la base de donnée (ce que je ne crois pas une seule seconde), ce piratage n’a rien à voir avec les clés API. Comme dit plus haut, les clés API donnent simplement un accès en lecture seule à certaines tables non essentielles comme l’inventaire de tes persos ou ta banque, mais en aucun cas aux informations de sécurité de ton compte (et permet encore moins de les modifier).

Par contre, en tant qu’ancien administrateur de serveur (pas de GW, cela va sans dire, mais je précise tout de même), ayant eu accès à un grand nombre de mots de passe, j’ai remarqué que l’immense majorité son du type:

- naruto92
- 0625369898
- aaaaaaa

Autrement dit, des mots de passes extrêmement faciles à craquer en utilisant un simple dico + brute force. La plupart des sites aujourd’hui forcent à utiliser des mdp un peu plus complexes, mais ça ne suffit toujours pas.

Par ailleurs, j’ai aussi remarqué qu’énormément de gens utilisent les même identifiants d’un site à l’autre, ce qui est à peu près le degré zéro de la sécurité, même si les mdp en question sont soit-disant cryptés en md5 cas 1) tu n’as pas moyen de vérifier s’ils le sont vraiment, 2) même s’ils le sont, il y a des dicos inversés pour les retrouver.

Tout ça pour dire… Ton GM, il n’aurait pas plutôt utilisé son mot de passe GW comme mdp pour un autre site? L’immense majorité des “piratages” de comptes viennent de là. Il ne faut pas fantasmer, personne n’ira jamais craquer un mdp vraiment sécurisé du type “cF56-FGHdf4782sd;glo/-” – il est bien plus simple de faire du social ingeneering ou de récupérer les mdp utilisés pour s’inscrire sur un autre site et voir si par hasard ce ne seraient pas les mêmes que ceux du jeu.