S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Minecraft : les serveurs d'authentification victimes d'une faille de sécurité

La correction du dimanche matin

Certains utilisateurs de Minecraft rapportaient en fin de semaine dernière que leurs comptes avaient été utilisés frauduleusement. Après inspection de la part de Mojang, l'éditeur suédois du titre, ce sont les serveurs d'authentification qui étaient en cause. La solution a été trouvée hier et depuis plus aucun souci n'a été reporté.

 

Le principe de la faille exploitée était relativement simple puisqu'elle semblait passer outre l'authentification auprès des serveurs de Minecraft. En effet, après un examen approfondi et la mise en place « d'un pot de miel », il est apparu aux administrateurs des serveurs qu'il était possible de passer à travers, sans qu'une attaque à proprement parler ait lieu. Ils indiquent ainsi sur leur Reddit que la seule « explication possible est que quelqu'un a trouvé une faille dans les serveurs de connexion de Minecraft ».

 

Tous ceux qui avaient été migrés sur des comptes Mojang étaient ainsi vulnérables, le simple fait de se connecter avec votre adresse mail suffisait pour qu'un utilisateur malveillant puisse exploiter le compte et changer le mot de passe pour ouvrir une nouvelle session. Le tout a finalement été détaillé via ce Gist sur GitHub.

 

Markus Persson (aka Notch) s'est d'ailleurs fendu d'une série de tweets, alertant les utilisateurs  et précisant que les serveurs d'authentification avaient été stoppés le temps de régler le problème :

 

 

 

Un peu plus de deux heures plus tard, le service était de retour et la faille de sécurité était corrigée indique la société sur son blog. Aucune fuite de mot de passe ou d'informations personnelles n'est à déplorer. On notera que Persson en a profité pour préciser à ceux qui découvrent de telles failles d'éviter de le faire en pleine nuit, les week-ends :

 

Damien Labourot

Journaliste High-tech gravitant autour de la mobilité (smartphone, tablette, portable) et toujours prêt à de nouvelles expériences.

Google+

Publiée le 16/07/2012 à 10:30

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 11 commentaires

Avatar de yvan INpactien
yvan Le lundi 16 juillet 2012 à 10:38:58
Inscrit le mardi 21 janvier 03 - 8139 commentaires
Also, in the future, if hackers could please not find exploits in the middle of the night on weekends, that would be great, mk?


Avatar de zefling INpactien
zefling Le lundi 16 juillet 2012 à 11:07:01
Inscrit le mercredi 30 juin 04 - 12485 commentaires


Je pense la même chose de bot qui spam mon site quand je suis ne suis pas chez moi ou quand je dors.
Avatar de freedommaner INpactien
freedommaner Le lundi 16 juillet 2012 à 13:23:38
Inscrit le samedi 25 juin 11 - 169 commentaires

Also, in the future, if hackers could please not find exploits in the middle of the night on weekends, that would be great, mk?


Excellent
Avatar de geekounet85 INpactien
geekounet85 Le lundi 16 juillet 2012 à 14:34:00
Inscrit le mercredi 9 juin 04 - 8092 commentaires
On notera que Persson en a profité pour préciser à ceux qui découvrent de telles failles d'éviter de le faire en pleine nuit, les week-ends :

on notera quand même la réactivité, malgré l'heure!
Avatar de Winderly INpactien
Winderly Le lundi 16 juillet 2012 à 15:53:52
Inscrit le vendredi 19 mai 06 - 7554 commentaires
Also, in the future, if hackers could please not find exploits in the middle of the night on weekends, that would be great, mk?
— Markus Persson (@notch) Juillet 15, 2012

Quel sens de l'humour.
Avatar de Patch INpactien
Patch Le lundi 16 juillet 2012 à 19:21:49
Inscrit le vendredi 7 mai 04 - 27890 commentaires
Also, in the future, if hackers could please not find exploits in the middle of the night on weekends, that would be great, mk?
Avatar de moxepius INpactien
moxepius Le lundi 16 juillet 2012 à 21:31:07
Inscrit le mercredi 3 décembre 08 - 2323 commentaires
Et pendant ce temps là minetest n'a pas besoin de serveur d'authentification...
Avatar de Wapaca INpactien
Wapaca Le mardi 17 juillet 2012 à 07:39:06
Inscrit le mercredi 2 juin 10 - 129 commentaires
N'empêche cette réactivé prouve que notch ne s'est pas fourvoyé avec toute l'argent qu'il possède.
Avatar de Lyzz INpactienne
Lyzz Le mardi 17 juillet 2012 à 08:55:05
Inscrite le samedi 10 avril 10 - 357 commentaires
Et pendant ce temps là minetest n'a pas besoin de serveur d'authentification...
Et sur Minecraft tu peux désactiver la demande d'authentification sur ton serveur si tu le souhaite (pratique pour les serveurs en local) mais c'est fortement déconseillé pour éviter que n'importe qui puisse venir tout casser sur ton serveur sans authentification voir même en se faisant passer pour quelqu'un d'autre.

Edité par Lyzz le mardi 17 juillet 2012 à 08:55
Avatar de moxepius INpactien
moxepius Le mardi 17 juillet 2012 à 16:44:55
Inscrit le mercredi 3 décembre 08 - 2323 commentaires
Et sur Minecraft tu peux désactiver la demande d'authentification sur ton serveur si tu le souhaite (pratique pour les serveurs en local) mais c'est fortement déconseillé pour éviter que n'importe qui puisse venir tout casser sur ton serveur sans authentification voir même en se faisant passer pour quelqu'un d'autre.

Oui, mais rien a voir, sut mt on peut protéger son compte par un mot de passe sans serveur supplémentaire.
;