Affichage des messages de Sir Mad.1092 :
Clé API, Applications, et piratage de compte
in Problèmes de compte et assistance technique
Posted by: Sir Mad.1092
Je confirme: à moins qu’Anet ait laissé une faille de sécurité grosse comme le bras au niveau des permissions de la base de donnée (ce que je ne crois pas une seule seconde), ce piratage n’a rien à voir avec les clés API. Comme dit plus haut, les clés API donnent simplement un accès en lecture seule à certaines tables non essentielles comme l’inventaire de tes persos ou ta banque, mais en aucun cas aux informations de sécurité de ton compte (et permet encore moins de les modifier).
Par contre, en tant qu’ancien administrateur de serveur (pas de GW, cela va sans dire, mais je précise tout de même), ayant eu accès à un grand nombre de mots de passe, j’ai remarqué que l’immense majorité son du type:
- naruto92
- 0625369898
- aaaaaaa
Autrement dit, des mots de passes extrêmement faciles à craquer en utilisant un simple dico + brute force. La plupart des sites aujourd’hui forcent à utiliser des mdp un peu plus complexes, mais ça ne suffit toujours pas.
Par ailleurs, j’ai aussi remarqué qu’énormément de gens utilisent les même identifiants d’un site à l’autre, ce qui est à peu près le degré zéro de la sécurité, même si les mdp en question sont soit-disant cryptés en md5 cas 1) tu n’as pas moyen de vérifier s’ils le sont vraiment, 2) même s’ils le sont, il y a des dicos inversés pour les retrouver.
Tout ça pour dire… Ton GM, il n’aurait pas plutôt utilisé son mot de passe GW comme mdp pour un autre site? L’immense majorité des “piratages” de comptes viennent de là. Il ne faut pas fantasmer, personne n’ira jamais craquer un mdp vraiment sécurisé du type “cF56-FGHdf4782sd;glo/-” – il est bien plus simple de faire du social ingeneering ou de récupérer les mdp utilisés pour s’inscrire sur un autre site et voir si par hasard ce ne seraient pas les mêmes que ceux du jeu.