L'Authenticator de Blizzard visé par une plainte aux États-Unis

L’Authenticator de Blizzard visé par une plainte aux États-Unis

Termicator

Avatar de l'auteur
Xavier Berne

Publié dans

Droit

12/11/2012 3 minutes
60

L'Authenticator de Blizzard visé par une plainte aux États-Unis

Un recours en action collective a été déposé la semaine dernière devant une cour de l’État de Californie, à l’encontre de l’éditeur de jeux vidéo Blizzard. Comme l’indique Courthouse News, ces poursuites ont été engagées sous la houlette de Benjamin Bell, pour « fraude, enrichissement sans cause, négligence, violation de contrat ». 

Authenticator Blizzard

 

En cause dans ce litige : l'Authenticator de Battle.net, ce service qui permet en théorie aux joueurs d’obtenir une protection contre d’éventuels piratages de leurs comptes. Dans certains cas, Blizzard l’impose même à ses joueurs, par exemple pour l’utilisation de l’Hôtel des ventes de Diablo III.

 

L’Authenticator peut prendre deux formes : un générateur de code physique ou une application mobile. Dans le premier cas, il faut débourser 9,99 € (frais de port inclus) auprès de Blizzard, alors que dans le second cas, elle est gratuite et disponible sur une majorité de terminaux (Android, BlackBerry OS, iOS, WP7).

Authenticator en tort

Dans cette plainte (PDF), Bell et Spellman affirment que l’Authenticator n’a pas rempli sa mission. Les plaignants n’hésitent pas à mettre en avant des exemples, dont le dernier date de cet été. Ils rappellent en effet que suite à une intrusion dans ses services informatiques, des informations des comptes Battle.net ont été volées, comme nous l’expliquions dans nos colonnes. À l’époque, l’éditeur se voulait rassurant : selon lui, les données ne permettaient pas aux comptes d’être directement compromis.

 

En filigrane, cette action vise à dénoncer les pratiques de l’éditeur de jeux vidéo : d’un côté il ponctionne un maximum sur ses joueurs (sur le plan financier, en ce que l’Authenticator lui rapporte de l’argent ; mais aussi en ce qu’il obtient par la même occasion de nombreuses données personnelles sur les joueurs lorsque ces derniers s’inscrivent), tandis que de l’autre côté, il ne met pas en place des mesures suffisantes pour protéger leurs comptes et les informations qui y sont rattachées. L'attitude de Blizzard est également pointée du doigt, en ce que l'éditeur n'aurait pas suffisamment averti les victimes de ces attaques informatiques.

 

Dans leur plainte, les plaignants réclament notamment une réparation de leur préjudice, une indemnisation pour le coût occasionné par l’Authenticator, ainsi qu’une injonction visant à ce que Blizzard prenne des mesures de sécurité supplémentaires. 

 

« Ces accusations n’ont aucun fondement et correspondent à des informations manifestement fausses », a fait valoir de son côté l’éditeur de jeux à IGN. « Nous allons nous défendre vigoureusement à travers des moyens légaux appropriés », a également ajouté Blizzard, qui n'a pas hésité à préciser que l'Authenticator était un outil optionnel.

Écrit par Xavier Berne

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Authenticator en tort

Fermer

Commentaires (60)


Orphis
Le 12/11/2012 à 17h 00

Blizzard ne fait absolument pas d’argent sur les authenticator. Ils pourraient les vendre à perte ou les donner gratuitement aussi, ça reviendrait au même : ils font des économies car cela réduit le nombre de comptes piratables.



Si un compte est piraté, une fois, deux fois, trois fois, ça va couter en salaire 30 minutes * 3 à un GM (et probablement d’autres personnes qui travaillent avec) pour rétablir les objets.



Donc Blizzard a tout intérêt à ne pas faire d’argent dessus, et ils l’ont compris depuis longtemps.


Konrad
Le 12/11/2012 à 17h 00



Termicator





Authenticator en tort



Un humour en berne aujourd’hui ? <img data-src=" />


patos Abonné
Le 12/11/2012 à 17h 06







Orphis a écrit :



Blizzard ne fait absolument pas d’argent sur les authenticator. Ils pourraient les vendre à perte ou les donner gratuitement aussi, ça reviendrait au même : ils font des économies car cela réduit le nombre de comptes piratables.



Si un compte est piraté, une fois, deux fois, trois fois, ça va couter en salaire 30 minutes * 3 à un GM (et probablement d’autres personnes qui travaillent avec) pour rétablir les objets.



Donc Blizzard a tout intérêt à ne pas faire d’argent dessus, et ils l’ont compris depuis longtemps.





Ils vendent un outil de sécurité. Les comptes sont quand même piraté. Blizzard a un manquement. C’est tout.

Rien à foutre que ça leur coute cher, pas cher, etc…ils ne fournissent pas quelquechose de fiable.



Et l’authenticator n’empêche pas d’être piraté… C’est juste un peu plus compliqué.



Minikea
Le 12/11/2012 à 17h 09

Optionnel sauf en cas d’achat/vente sur l’HDV

Optionnel mais vivement conseillé par tous les modérateurs sur le Forum, dans le jeu, à la connexion, sur le site….

Optionnel mais la première chose qu’on te demandera en cas de “hack” c’est si tu utilisait l’authenticator, et dans le cas contraire, tu peux crever la bouche ouverte.



Optionnel, donc.


GuiJo
Le 12/11/2012 à 17h 10

En meme temps, combien de gens ne respectent pas les regles basiques de sécurité et viennent se plaindre après…


FelX Abonné
Le 12/11/2012 à 17h 10







Konrad a écrit :



Un humour en berne aujourd’hui ? <img data-src=" />







Ils ont passé la journée a briquer la B4 ;p



kizdolf
Le 12/11/2012 à 17h 30







GuiJo a écrit :



En meme temps, combien de gens ne respectent pas les regles basiques de sécurité et viennent se plaindre après…







Tellement vraie.



nom de compte: [email protected]

mdp: prenom[datedenaissance] ou azerty123



Mdp commun a tout les comptes/forums/achats/pr0ns



Bref. Me suis fait hacké une fois. Réglé en 30 min. Installation d’un authenticator: 0 problèmes en 3 ans.





patos a écrit :



Ils vendent un outil de sécurité. Les comptes sont quand même piraté. Blizzard a un manquement. C’est tout.

Rien à foutre que ça leur coute cher, pas cher, etc…ils ne fournissent pas quelquechose de fiable.



Et l’authenticator n’empêche pas d’être piraté… C’est juste un peu plus compliqué.







Toute entreprise peut se faire pirater (sony/microsoft/google/apple/ministère de la défense/nasa/cequetuveuxici)



AirTé
Le 12/11/2012 à 18h 01

Jamais eu de hack malgré six années de WoW et un Authenticator.

Aucun partage de connexion, aucune utilisation sur un autre ordinateur, aucune utilisation sur un autre réseau que le mien (et en ethernet), même mes proches ne connaissent pas mes codes d’accès, mot de passe fort, etc…



Tous ceux qui avaient été hack lorsque je jouais à WoW avaient tous fait au moins une erreur (partage de connexion, utilisation d’un réseau douteux/inconnu, etc…).



D’ailleurs, jamais été hack nulle part (le PSN ça compte ? ^^). Je ne crois pas à la chance pour ce genre de chose.


XMalek
Le 12/11/2012 à 18h 38







AirTé a écrit :



D’ailleurs, jamais été hack nulle part (le PSN ça compte ? ^^). Je ne crois pas à la chance pour ce genre de chose.







Faudrait que je retrouve l’article mais une analyse des comptes “hackés” de diablo 3 montrait qu’énormément des utilisateurs avait eu un compte hacké avant (genre Rift qui avait eu un hack de masse) et que les gens utilisaient les mêmes mots de passe.



WereWindle
Le 12/11/2012 à 18h 41







XMalek a écrit :



Faudrait que je retrouve l’article mais une analyse des comptes “hackés” de diablo 3 montrait qu’énormément des utilisateurs avait eu un compte hacké avant (genre Rift qui avait eu un hack de masse)





“mouahaha le vilain hackeur ne pensera jamais que j’aie pu utiliser encore une fois le même e-mail/mot de passe !” <img data-src=" />

<img data-src=" />



dam1605 Abonné
Le 12/11/2012 à 19h 39







kizdolf a écrit :



Toute entreprise peut se faire piratée (sony/microsoft/google/apple/ministère de la défense/nasa/cequetuveuxici)







Et alors ? Ca n’excuse rien. S’ils sont responsables, ça reste leur problème de faire en sorte que ça n’arrive pas. Surtout que hormis le mot de passe utilisateur, on sait faire des trucs “inviolables” selon les connaissances actuelles pour les accès à une base de donnée.



La plainte n’est pas en France, mais en France, par exemple, il y’a une peine si je me souviens bien concernant le manquement à la sécurisation des données fournies (par contre, jamais entendu parler d’une quelconque plainte à ce sujet).



Quand on voit que des systèmes de nombreuses boîtes se font piratées (et encore, on ne doit entendre parler que de la partie immergée de l’iceberg) (et re-piratées pour certaines), on est quand même en droit de demander de la sécurité et en dernier recours de faire appel à la justice pour que ce soit le cas.




patos Abonné
Le 12/11/2012 à 19h 41







kizdolf a écrit :



Toute entreprise peut se faire pirater (sony/microsoft/google/apple/ministère de la défense/nasa/cequetuveuxici)





Tu remarqueras que ce n’est pas le piratage qui est attaqué, mais l’inefficacité d’un outil de sécurité vendu comme sécurisé et sécurisateur, ce qui est manifestement faux.



Et je sais ce qu’il en est: j’ai un authenticator sur un compte Wow qui n’a pas servi depuis 3 ans, et l’année dernière, mon compte a été piraté.



Khisanth
Le 12/11/2012 à 19h 43







geekounet85 a écrit :



Optionnel sauf en cas d’achat/vente sur l’HDV

Optionnel mais vivement conseillé par tous les modérateurs sur le Forum, dans le jeu, à la connexion, sur le site….

Optionnel mais la première chose qu’on te demandera en cas de “hack” c’est si tu utilisait l’authenticator, et dans le cas contraire, tu peux crever la bouche ouverte.



Optionnel, donc.







j’ai une amie qui s’est fait hackée 2x (hack de messagerie MSN la deuxième fois donc bon…) A chaque fois, un simple coût de fil et tout est rentré dans l’ordre et elle n’avait pas d’authenticator à l’époque, donc avant de cracher sur Blizzard, test…



Et oui, c’est optionnel mais vivement conseillé, comme la ceinture de sécurité quand tu es en voiture..

Après, un truc semi-obligatoire qui te coûte 0 c’est pas la mort non plus hein.

Pour la version en dure, elle coûte le prix qui est facturé à Blizzard.



S’ils demandent si tu en as un en cas de hack c’est pour leurs stats. S’il y a une faille quelque part il est important pour eux de le savoir, non ?







Faudrait que je retrouve l’article mais une analyse des comptes “hackés” de diablo 3 montrait qu’énormément des utilisateurs avait eu un compte hacké avant (genre Rift qui avait eu un hack de masse) et que les gens utilisaient les mêmes mots de passe.





En fait, les hacks ne concernaient que les comptes US dont certains avaient un semi-authenticator : a l’utilisateur de composer un n° de tél pour obtenir un compte. Blizzard a toujours clairement dit que c’était mieux que rien, mais en aucun cas que c’était aussi efficace que le “vrai”. D’ailleurs si le vrai venait à être compromis, c’est toute la chaine de sécurité des transactions sécurisées (notamment bancaires) qui seraient menacées. Et à ce moment là, je pense qu’un compte wow hacké sera le cadet des soucis de pas mal de monde.



Lister2k5
Le 12/11/2012 à 19h 44







Orphis a écrit :



Blizzard ne fait absolument pas d’argent sur les authenticator. Ils pourraient les vendre à perte ou les donner gratuitement aussi, ça reviendrait au même : ils font des économies car cela réduit le nombre de comptes piratables.



Si un compte est piraté, une fois, deux fois, trois fois, ça va couter en salaire 30 minutes * 3 à un GM (et probablement d’autres personnes qui travaillent avec) pour rétablir les objets.



Donc Blizzard a tout intérêt à ne pas faire d’argent dessus, et ils l’ont compris depuis longtemps.







Comparé à SW sorti il y a un petit moment, et qui a eu une durée de vie plutôt courte.

Et coûtait 15.99€, pour un jeu à durée déterminé.



Je pense quand même que Blizzard fait de la marge sur leurs authentificator.

Si il voulait stop le hack, il pourrai, comme la vente de po, mais bon, c’est comme ça.

L’hotel des ventre marché noir profite qu’à ceux qui peuvent se payer 4 compte et les bot qui vont avec.



Nasmadoi
Le 12/11/2012 à 19h 59

Et moi qui croyais que le but du marché noir était de détruire de grosse quantité d’or est ainsi limité l’inflation in game.


Guiguiolive
Le 12/11/2012 à 20h 05

L’authenticator de Blizzard n’est absolument pas un anti-hack a toute epreuve, et n’a jamais été vendu comme tel.

Comme tous les systemes d’authentification en deux temps, il ne protege que de la compromission du mot de passe.



Mais il reste vulnerable a toutes les autres attaques: compromission de la machine hote, man in the middle, piratage du serveur d’authentification, etc…



Du coup, ca sera facile pour n’importe quel avocat junior de demonter cette plainte…


methos1435
Le 12/11/2012 à 20h 37

Encore un motif à la con… Sont forts ces ricains <img data-src=" />


jedifox
Le 12/11/2012 à 21h 09







Khisanth a écrit :



Et oui, c’est optionnel mais vivement conseillé, comme la ceinture de sécurité quand tu es en voiture..







Je ne sais sur quel territoire tu vis mais en France, le port de la ceinture de sécurité est obligatoire.



Kikilancelot
Le 12/11/2012 à 21h 16

Je n’ai jamais utilisé d’autentificateur et je n’est jamais été hack.

C’est fait pour les mec qui mettent azerty en passe. Pour les passe plus compliqué (et qui change pour chaque truc) c’est plus la peine l’auth.


Groumfy
Le 12/11/2012 à 21h 53

solution de sécurité sur l’ordinateur &gt; authenticator.



Un keylogger ça ne sert pas que pour les jeux Blizzard …


Selph
Le 12/11/2012 à 22h 13

L’authentificator est un service gratuit. Le support en pastoc en revanche vendu par Blizzard, permettant de palier au fait que VOUS n’avez pas de smartphone, est payant.


zefling Abonné
Le 12/11/2012 à 22h 23



Authenticator était un outil optionnel.





<img data-src=" /> Je veux pas dire, mais il m’a été imposé… Sans smartphone je ne pouvais plus jouer au jeu, parce que j’allai pas foutre 10 € de plus dans un truc juste pour me connecter un jeu qui m’a déjà couté la peau des fesses. (j’ai l’édition collector.)


Dez
Le 12/11/2012 à 22h 44

Tu as une version Open Source qui fonctionne sur Windows.

Ce n’est pas pas supporté par Blizzard, effectivement, mais ça marche depuis plusieurs années et c’est safe.



Après, sûr que le mettre sur le même host casse un peu l’intérêt de la chose, mais c’est mieux que rien.



Sinon oui, l’authenticator ne protège pas contre toutes les attaques, et je doute fortement que la base du système en lui même ait une faille. Comme dit plus haut, y’a plus intéressant à faire si on arrive à faire des choses comme ça que de piquer des comptes bnet.


jamesdu75
Le 12/11/2012 à 22h 45







GuiJo a écrit :



En meme temps, combien de gens ne respectent pas les regles basiques de sécurité et viennent se plaindre après…









J’ai été hacké sur D3 pendant l’été. Mon mot de passe fait 12 caractères avec majuscule, chiffres et caractères spéciaux. Je suis assez calé en informatique pour savoir que pics_nude_angelina_jolie.exe ben c’est pas du p0rn.

Le mec de la hotline Blibli me certifiait que mon PC était vérolé. Par aquis de conscience j’ai formaté le PC et scanner le 2eme HDD avec une distrib antivirus.



Et deux semaine plus tard j’apprend que le hack n’était pas sur le jeux lui même mais sur le site internet qui utilise la même BDD que Battle.net



SFX-ZeuS
Le 12/11/2012 à 22h 59

Ahah un article qui m’a mis le sourire aux levres, blizzard y’a vraiment un problème avec leur sécu mais bon ils se retranchent derrière les machines infestés etc…



Perso je ne me suis pas fait hack mais j’ai reçu un mail de blizzard une fois me disant qu’il y’avait une activité suspecte sur mon compte. J’ai donc changé de mot de passe malgré que ce soit déjà un mot de passe fort et uniquement dédié a blizzard… Peux de temps après j’apprend qu’il y’avait une vague de compte hacké..

Coïncidence ?



J’ai steam depuis toujours et je n’ai jamais eu de problème… Et ce n’est pas autant prise de tête que blizzard, des que je vais en lan faut que je me ballade avec mon code de D3 pour jouer sinon c’est mort (j’utilise pas leur authenticator ça me fait chier)



Et puis sans déconner un site qui te demande un réponse à une question pour changer ton pass… Punaise ça existe encore.


Ralph-
Le 12/11/2012 à 23h 20







jamesdu75 a écrit :







Et deux semaine plus tard j’apprend que le hack n’était pas sur le jeux lui même mais sur le site internet qui utilise la même BDD que Battle.net









Ouais bien sur, Battle.net partage ses bases de mot de passe qui sont passé par des fonction de hachage et du padding avec d’autres sites…



Ouais bien sur, un Token OTP vendu en 2008 dans les 70/100€ (alors que Blizzard le vendait 15€) dans le commerce se fait avoir sans que la machine sur lequel il fait transiter son code soit vérolée, bah oui pas besoin de faire du Man In the Middle (le trojan est aussi la pour faire planter l’exécutable WoW/D3/SC2 pour éviter de cramer le code)…



Ouais bien sur, les mecs vont gagner leur procès y’a aucun soucis…





Ou pas !



Loeff
Le 13/11/2012 à 07h 28

Mouais, je ne sais pas s’il existe vraiment des personnes n’ayant pas un appareil tournant sous Androïd, BBOS, iOS ou WP7… mais bref, bon courage à eux, même si je doute qu’ils aient vraiment du concret pour défendre leur cause.


Orshak
Le 13/11/2012 à 07h 45

Moi ce que j’aime c’est le nombre de boulets qui viennent défendre une boîte pour sa “sécurité” en prétendant que “sélafôtdéméssantsusers” alors que…. :





  • on a un identifiant qui est FORCEMMENT une adresse mail (quand on sait que la plupart des gens n’en ont qu’une) ce qui est un manquement de base aux règles de sécurité. Pire que ça, pendant longtemps c’était facile de la connaître par leur système de RealID (c’est pas comme si on avait passé les 20 dernières années à différencier les login/pseudos et à essayer au max de ne pas utiliser des adresses mails pour ça hein ? non non, les boîtes de jv de merde ont raison de revenir 1520 ans en arrière sur la sécurité, c’est super bien :/)



  • les mdp ne SONT PAS case sensitive contrairement à ce qu’ils prétendent



  • ils sont blindés de failles de partout, ne les colmatent pas, en prétendnant toujours que “sépaleurfôt”, c’est toujours la faute de X ou Y ou de machin qui a été compromis, quand la moitié du temps c’est visiblement un problème de leurs serveurs ou de leurs BDD qui ont fuité….



  • je ne parle pas des questions de “sécurité” et de leur capacité à être personnalisées/autres tellement c’est pathétique (ce qui accessoirement fait que la réponse se trouve généralement en 5 mins top chrono sur n’importe quelle page Facebook… que tu trouves aussi vite, merci l’utilisation du mail en login)



    Franchement, l’authenticator est une vaste blague, ils feraient déjà mieux d’imposer les (très simples) règles de base de sécurité et à les rappeller, et à régler les problèmes de LEUR côté avant de faire chier le reste des gens.





    Avec un peu de chance ils seront condamnés cette fois-ci (ah et faut pas rêver, Blizzard se fait du pognon sur l’authenticator, le jour où Blizzard, SURTOUT depuis la prise de pouvoir d’Activision, fera quoi que ce soit “gratuitement”, il gèlera en Enfer…. <img data-src=" />).


Edtech Abonné
Le 13/11/2012 à 08h 12

Il y a encore des gens assez bêtes pour mettre comme réponse à une question secrète quelque chose qui correspond à la question ?



Quand il demande “Nom de jeune fille de la mère”, énormément de monde trouvera la réponse si je mets la vraie ! Il faut mettre une réponse sans rapport et donc introuvable ! C’est toujours ce que je fais !



Sinon, en 8 ans de WoW (ainsi que Starcraft et D3), jamais piraté. J’ai un authentificator depuis sa sortie en 2008 que j’ai mis en “permanent” et non en “une fois par semaine”. J’ai un mot de passe uniquement lié à ce compte de plus de 12 caractères (chiffres, lettres et caractères spéciaux) et ne joue que depuis des postes sûr. Et je ne prête pas mon smartphone (j’ai basculé dans ce mode, plus pratique) ! Car après c’est facile d’aller lire les codes de récupération…


megadub
Le 13/11/2012 à 08h 22

Ben le principal problème selon moi c’est surtout que c’est pas fourni gratuitement <img data-src=" />



Ou alors faut un smartphone <img data-src=" />


Groumfy
Le 13/11/2012 à 08h 31







megadub a écrit :



Ben le principal problème selon moi c’est surtout que c’est pas fourni gratuitement <img data-src=" />



Ou alors faut un smartphone <img data-src=" />







Arrêtez de vous plaindre sur le caractère payant, c’est juste une option de Blizzard :



Sécurisez vos mots de passe et sécurisez votre PC. Et faites attention aux supposés mails de Blizzard.



nikon56
Le 13/11/2012 à 08h 41







Khisanth a écrit :



j’ai une amie qui s’est fait hackée 2x (hack de messagerie MSN la deuxième fois donc bon…) A chaque fois, un simple coût de fil et tout est rentré dans l’ordre et elle n’avait pas d’authenticator à l’époque, donc avant de cracher sur Blizzard, test…



Et oui, c’est optionnel mais vivement conseillé, comme la ceinture de sécurité quand tu es en voiture..

Après, un truc semi-obligatoire qui te coûte 0 c’est pas la mort non plus hein.

Pour la version en dure, elle coûte le prix qui est facturé à Blizzard.



S’ils demandent si tu en as un en cas de hack c’est pour leurs stats. S’il y a une faille quelque part il est important pour eux de le savoir, non ?









En fait, les hacks ne concernaient que les comptes US dont certains avaient un semi-authenticator : a l’utilisateur de composer un n° de tél pour obtenir un compte. Blizzard a toujours clairement dit que c’était mieux que rien, mais en aucun cas que c’était aussi efficace que le “vrai”. D’ailleurs si le vrai venait à être compromis, c’est toute la chaine de sécurité des transactions sécurisées (notamment bancaires) qui seraient menacées. Et à ce moment là, je pense qu’un compte wow hacké sera le cadet des soucis de pas mal de monde.





les hacks ne concernaient pas que les US, je connais au moins deux suisses et un francais qui ont été hackés.



et non, pour Diablo 3, on ne peut pas considérer qu’il est optionnel.



la boite / pub sur le site met en avant comme argument commercial l’HVAR, or il est obligatoir d’avoir l’authentificator pour profiter de cette fonctionnalité.

donc il est obligatoire



Ordo
Le 13/11/2012 à 09h 06







Groumfy a écrit :



Arrêtez de vous plaindre sur le caractère payant, c’est juste une option de Blizzard :



Sécurisez vos mots de passe et sécurisez votre PC. Et faites attention aux supposés mails de Blizzard.



Pour utiliser certaines fonctions, ce n’est pas une option, c’est obligatoire.



Groumfy
Le 13/11/2012 à 09h 08







Ordo a écrit :



Pour utiliser certaines fonctions, ce n’est pas une option, c’est obligatoire.







J’ai joué à WoW et Diablo 3. Je n’en ai jamais eu besoin.



moi1392
Le 13/11/2012 à 09h 49



L’authentificator est un service gratuit. Le support en pastoc en revanche vendu par Blizzard, permettant de palier au fait que VOUS n’avez pas de smartphone, est payant.





Donc l’autentificator est un service gratuit pour ceux qui ont payé un smartphone…


lordnapalm
Le 13/11/2012 à 10h 06

Sans même parler des pc vérolés ou des mots de passe bidons, j’aimerais connaitre le nombre d’utilisateurs “hackés” ayant un authenticator qui ont activé la fonction “code à chaque connexion” (parce que l’on est pas obligé, et de base c’est réglé à un code tous les X jours… Donc pas vraiment utile).


lordnapalm
Le 13/11/2012 à 10h 08







nikon56 a écrit :



et non, pour Diablo 3, on ne peut pas considérer qu’il est optionnel.



la boite / pub sur le site met en avant comme argument commercial l’HVAR, or il est obligatoir d’avoir l’authentificator pour profiter de cette fonctionnalité.

donc il est obligatoire







Et l’HVAR est elle obligatoire? <img data-src=" />



Kikilancelot
Le 13/11/2012 à 11h 13







Loeff a écrit :



Mouais, je ne sais pas s’il existe vraiment des personnes n’ayant pas un appareil tournant sous Androïd, BBOS, iOS ou WP7… mais bref, bon courage à eux, même si je doute qu’ils aient vraiment du concret pour défendre leur cause.





Moi, et pas mal de mes amis. Pas de smartphone. J’en ai pas besoin remarque. Donc du coup, je ne payerais pas 10 € pour un truc qui est fait pour protéger mon compte, mais qui aux final ne sert pas a grand chose (vu les hack même avec un auth)…



nikon56
Le 13/11/2012 à 11h 21







lordnapalm a écrit :



Et l’HVAR est elle obligatoire? <img data-src=" />





c’est pas la question.



l’hvar est une des composantes du jeux, donc tout utilisateur doit pouvoir en profiter pleinement a partir du moment ou il a acheté le jeu.



donc l’auhentificateur est obligatoir, car sans lui, pas de HVAR (le HVAR, comme le PVP, est un des arguments marketing du jeux a sa sortie, donc des composantes essentielles pouvant avoir motivé l’achat).



hors nul part sur la boite il est inscrit que l’authentificateur est obligatoire pour profiter de certaines fonctionnalité



Minikea
Le 13/11/2012 à 11h 25







Orshak a écrit :



Moi ce que j’aime c’est le nombre de boulets qui viennent défendre une boîte pour sa “sécurité” en prétendant que “sélafôtdéméssantsusers” alors que…. :





  • on a un identifiant qui est FORCEMMENT une adresse mail (quand on sait que la plupart des gens n’en ont qu’une) ce qui est un manquement de base aux règles de sécurité. Pire que ça, pendant longtemps c’était facile de la connaître par leur système de RealID (c’est pas comme si on avait passé les 20 dernières années à différencier les login/pseudos et à essayer au max de ne pas utiliser des adresses mails pour ça hein ? non non, les boîtes de jv de merde ont raison de revenir 1520 ans en arrière sur la sécurité, c’est super bien :/)



  • les mdp ne SONT PAS case sensitive contrairement à ce qu’ils prétendent



  • ils sont blindés de failles de partout, ne les colmatent pas, en prétendnant toujours que “sépaleurfôt”, c’est toujours la faute de X ou Y ou de machin qui a été compromis, quand la moitié du temps c’est visiblement un problème de leurs serveurs ou de leurs BDD qui ont fuité….



  • je ne parle pas des questions de “sécurité” et de leur capacité à être personnalisées/autres tellement c’est pathétique (ce qui accessoirement fait que la réponse se trouve généralement en 5 mins top chrono sur n’importe quelle page Facebook… que tu trouves aussi vite, merci l’utilisation du mail en login)



    Franchement, l’authenticator est une vaste blague, ils feraient déjà mieux d’imposer les (très simples) règles de base de sécurité et à les rappeller, et à régler les problèmes de LEUR côté avant de faire chier le reste des gens.





    Avec un peu de chance ils seront condamnés cette fois-ci (ah et faut pas rêver, Blizzard se fait du pognon sur l’authenticator, le jour où Blizzard, SURTOUT depuis la prise de pouvoir d’Activision, fera quoi que ce soit “gratuitement”, il gèlera en Enfer…. <img data-src=" />).





    merci de confirmer qu’en fait le problème vient des utilisateurs!

    Facebook est un FAIL en soit

    même adresse mail pour Facebook et le jeu, deuxième FAIL.

    le case sensitive est pas un problème quand tu utilises des chiffres et des symboles. c’est mieux, mais c’est pas LA feature qui tue.

    après pour les adresses mail au lieu de pseudo: effectivement c’est merdique, pour les fuites, tu n’a que du vent pour déclarer ça.



    donc les problèmes sont très souvent côté utilisateur, même si Blizzard a fait quelques boulettes, il a aussi fait en sorte de renforcer cette sécurité côté utilisateur.



    et pourtant je suis un hater de D3, qu’on se trompe pas. le jeu en lui même est pas mal, mais le mode arma est juste frustrant et pas fun, et l’HDV une arnaque sans nom. et l’authenticator une plaie imposée, même si “optionnelle”



    j’ai passé 60 heures dessus histoire de dire que quand même j’aime bien le jeu, mais quand j’ai compris les rouages derrière, et subi plusieurs MAJ forcées qui modifient le gameplay en le rendant plus frustrant, moins fun, et surtout très chiant, au bout d’un moment, quand tu comprend que tu ne t’amuse plus, tu changes de jeu. le “serious gaming” et surtout le “farming” est juste une vaste blague. je joue pour m’amuser, pas pour impressionner des boutonneux avec mon stuff.



Pochi
Le 13/11/2012 à 12h 04







geekounet85 a écrit :



Optionnel sauf en cas d’achat/vente sur l’HDV

Optionnel mais vivement conseillé par tous les modérateurs sur le Forum, dans le jeu, à la connexion, sur le site….

Optionnel mais la première chose qu’on te demandera en cas de “hack” c’est si tu utilisait l’authenticator, et dans le cas contraire, tu peux crever la bouche ouverte.



Optionnel, donc.







Juste faux. Mon beauf c’est fait hacker son compte. Il n’a pas d’authenticator. Un coup de fil et 12 journée plus tard il récupère son compte.



Quand on ne sait pas, on se tait.



Ralph-
Le 13/11/2012 à 12h 07







Orshak a écrit :



Moi ce que j’aime c’est le nombre de boulets qui viennent défendre une

boîte pour sa “sécurité” en prétendant que “sélafôtdéméssantsusers” alors que…. :





Quel bon ramassis de conneries..







Orshak a écrit :





  • on a un identifiant qui est FORCEMMENT une adresse mail (quand on sait que la plupart des gens n’en ont qu’une) ce qui est un manquement de base aux règles de sécurité. Pire que ça, pendant longtemps c’était facile de la connaître par leur système de RealID (c’est pas comme si on avait passé les 20 dernières années à différencier les login/pseudos et à essayer au max de ne pas utiliser des adresses mails pour ça hein ? non non, les boîtes de jv de merde ont raison de revenir 1520 ans en arrière sur la sécurité, c’est super bien :/)





    Que l’identifiant soit une adresse mail ca change oui ? Rien, parce que dans ton cas où personne n’en a qu’une t’en fait pas qu’elle se fait déjà spammer de merde dessus sans que Blizzard n’y soit pour quelque chose. Et il faut bien un identifiant pour un compte, que ca soit un pseudo, une adresse mail, ton numéro de Sécu et j’en passe, ça ne change en rien la méthodologie d”authentification.







    Orshak a écrit :



  • les mdp ne SONT PAS case sensitive contrairement à ce qu’ils prétendent





    Les mots de passe sont bien Case Sensitive, encore un fail.







    Orshak a écrit :



  • ils sont blindés de failles de partout, ne les colmatent pas, en prétendnant toujours que “sépaleurfôt”, c’est toujours la faute de X ou Y ou de machin qui a été compromis, quand la moitié du temps c’est visiblement un problème de leurs serveurs ou de leurs BDD qui ont fuité….





    blindé de failles partout ? T’as quelque chose de concret pour étayer la m*e que tu déballes ou c’est juste parce que tu t’es fait hacker 5 fois de suite avec “teen_cam_pOrn.exe” ? Ils ont en effet subit une attaque qui a fonctionné en 2010 avec l’authenticator, mais la méthode utilisée dépasse de très loin les techniques pourries de deface d’un pauvre site php codé en 2 heures. En gros injection SQL pour veroler des sites de pub orientées WoW (faille mySQL), installation du trojan via IE (faille IE) et ensuite technique du Man in the middle en faisant planter le client du jeu pour éviter la consommation du code par le serveur de Blizzard (le DEP n’a pas jouer son rôle). Ensuite il y a une partie de la BDD qui s’est fait sortir, ouais OK, la c’est chiant mais si les informations sont toutes chiffrées (certaines en réversibles (genre avec AES), d’autres non (fonctions de hachage)), c’est quoi le problème ? Bon, il est clair que du 100% chiffré, c’est pas courant (problème de performance).







    Orshak a écrit :



  • je ne parle pas des questions de “sécurité” et de leur capacité à être personnalisées/autres tellement c’est pathétique (ce qui accessoirement fait que la réponse se trouve généralement en 5 mins top chrono sur n’importe quelle page Facebook… que tu trouves aussi vite, merci l’utilisation du mail en login)





    Donc c’est de la faute de Blizzard si on met n’importe quoi sur Facebook, autant leur choix pourrait être plus variés (ça c’est en effet de leur ressort) mais qu’après le péquin de base mettre tout et n’importe quoi accessible publiquement, no comment.







    Orshak a écrit :



    Franchement, l’authenticator est une vaste blague, ils feraient déjà mieux d’imposer les (très simples) règles de base de sécurité et à les rappeller, et à régler les problèmes de LEUR côté avant de faire chier le reste des gens.







    1. je t’invite a te renseigner sur le prix d’un Token OPT venu dans le commerce, quand il a été lancé à moins de 15€ en 2008, j’en vendais quasiment les mêmes à d’autres clients pour 10 fois plus cher.







      Orshak a écrit :



      Avec un peu de chance ils seront condamnés cette fois-ci (ah et faut pas rêver, Blizzard se fait du pognon sur l’authenticator, le jour où Blizzard, SURTOUT depuis la prise de pouvoir d’Activision, fera quoi que ce soit “gratuitement”, il gèlera en Enfer…. <img data-src=" />).







      Je ne bosse pas chez Blizzard, j’ai pas d’action chez eux, mais lire un tel truc venant d’un mec qui ne doit rien n’y connait en schéma d’authentification, etc. etc. juste pour vomir sur une boite, c’est juste pathétique.




Pochi
Le 13/11/2012 à 12h 13







Edtech a écrit :



Il y a encore des gens assez bêtes pour mettre comme réponse à une question secrète quelque chose qui correspond à la question ?







100% des non informaticiens. Et probablement un gros 80% des informaticiens. <img data-src=" />



Pochi
Le 13/11/2012 à 12h 18







geekounet85 a écrit :



le mode arma est juste frustrant et pas fun,







Trop dur ? Trop facile ? Trop pareil que les autres modes ?







geekounet85 a écrit :



et l’HDV une arnaque sans nom







<img data-src=" />

HDV € ou PO ? En quoi c’est une “arnaque” ?



Tornado_OLO
Le 13/11/2012 à 12h 19







Groumfy a écrit :



solution de sécurité sur l’ordinateur &gt; authenticator.



Un keylogger ça ne sert pas que pour les jeux Blizzard …





Les keylogers, c’est uniquement dans les films et sur des ordinateurs sans antivirus/pas mis à jour depuis la guerre de 14.



Le vrai danger vient du social engenering ou encore du fait d’avoir le même mot de passe/login sur d’autre site qui eux sont vraiment susceptibles de se faire pirater.

Je me rappelle au boulot avoir subit des attaques “classiques” (type bruteforce ssh) d’un site web communautaire d’un jeu vidéo.



Pour l’authentificator, j’en parle pas, je ne l’ai jamais utilisé car je n’ai pas de smartphone (et c’est pas pour autant que je me suis fait pirater mon compte bnet).



AirTé
Le 13/11/2012 à 12h 26

Tous ceux que je connais qui respectent les règles de sécurité n’ont jamais été hack (que ce soit un jeu Blizzard ou autre chose).

Ça contraste avec bcp de commentaires mais ça n’a rien de formel, c’est juste un exemple.



Il est toujours intéressant de se renseigner sur le comportement des personnes hackées au niveau de leur gestion de la sécurité. On s’aperçoit de suite qu’il y a tout un tas d’actions qui sont autant de failles de sécurité et qui permettent à un hacker de hack (enfin faut le dire vite) des jeux/sites sécurisés. Même s’il n’y a aucun rapport direct.

La première faille est l’utilisateur, vraiment.


megadub
Le 13/11/2012 à 12h 27







Groumfy a écrit :



Arrêtez de vous plaindre sur le caractère payant, c’est juste une option de Blizzard :



Sécurisez vos mots de passe et sécurisez votre PC. Et faites attention aux supposés mails de Blizzard.







C’est une sécurité imposée dans l’HDV <img data-src=" />



AirTé
Le 13/11/2012 à 12h 28







Tornado_OLO a écrit :



Les keylogers, c’est uniquement dans les films et sur des ordinateurs sans antivirus/pas mis à jour depuis la guerre de 14.





<img data-src=" /> Parti comme ça…



megadub
Le 13/11/2012 à 12h 30







Tornado_OLO a écrit :



et c’est pas pour autant que je me suis fait pirater mon compte bnet







Et c’est pas parce que ça ne t’est pas arrivé que ça ne peut arriver qu’aux abrutis qui font n’importe quoi <img data-src=" />



AirTé
Le 13/11/2012 à 12h 30







megadub a écrit :



C’est une sécurité imposée dans l’HDV <img data-src=" />





HDV Or, oui.

Mais jouer avec son vrai argent, ça ne “mérite” pas ce petit outil (gratuit ou payant) en sus pour augmenter la sécurité de son compte ?



10€ je trouve que ça s’amortit plutôt vite et que ça ne grève pas un budget, même très limité (à 60€ le jeu…). C’est juste mon point de vue.



nikon56
Le 13/11/2012 à 13h 55







Ralph- a écrit :



Les mots de passe sont bien Case Sensitive, encore un fail.





faux



les mots de passe sont case sensitive sur le site, pas dans le jeu.



fait le test, essaye de te logger sur le site en mettant une majuscule a la place d’une minuscule (ou inversement), ca ne fonctionne pas.



fait la meme chose en te loggant sur le jeu =&gt; dans tous les cas tu te loggue



testé y’a pas 20 minutes



Lion-Soul
Le 13/11/2012 à 14h 29

ça pendait au nez de blizzard



Si ils n’avez pas lance le HV argent réel les gens en auraient déjà plus rien a foutre


lordnapalm
Le 13/11/2012 à 14h 55

Pour les questions secrètes, évidemment, il ne faut pas mettre une info qui est dispo sur votre facebook (genre votre école..), ou quelque chose de trop évident qui sera trouvable en quelques clicks. Rien ne vous empêche de choisir une réponse farfelue connue de vous seul car ça reste plus pratique que d’appeler la hotline en cas de blocage (blocage qui peut arriver simplement en jouant sur un autre ordinateur).



Un authenticator n’est pas inviolable, (rien ne l’est) mais je serais quand même curieux de connaitre les vrais conditions de ces hacks.









nikon56 a écrit :



(le HVAR, comme le PVP, est un des arguments marketing du jeux a sa sortie, donc des composantes essentielles pouvant avoir motivé l’achat).





Je ne crois pas qu’il y ait eu d’opération marketing sur le PVP







nikon56 a écrit :



hors nul part sur la boite il est inscrit que l’authentificateur est obligatoire pour profiter de certaines fonctionnalité





Ils pourraient effectivement le mettre. A ce sujet, sans cibler blizzard en particulier, as tu essayé des jeux avec la config strictement minimale? C’est souvent injouable, pourtant c’est conforme à la boite (et le jeu se lance, mais coté jouabilité…)



Groumfy
Le 13/11/2012 à 15h 19







megadub a écrit :



C’est une sécurité imposée dans l’HDV <img data-src=" />







En argent réel pour acheter des gadgets virtuels, donc à ne pas utiliser.



Groumfy
Le 13/11/2012 à 15h 22







Tornado_OLO a écrit :



Les keylogers, c’est uniquement dans les films et sur des ordinateurs sans antivirus/pas mis à jour depuis la guerre de 14.



Le vrai danger vient du social engenering ou encore du fait d’avoir le même mot de passe/login sur d’autre site qui eux sont vraiment susceptibles de se faire pirater.

Je me rappelle au boulot avoir subit des attaques “classiques” (type bruteforce ssh) d’un site web communautaire d’un jeu vidéo.



Pour l’authentificator, j’en parle pas, je ne l’ai jamais utilisé car je n’ai pas de smartphone (et c’est pas pour autant que je me suis fait pirater mon compte bnet).







J’ai eu des connaissances WoW à qui s’est arrivé (en 20082009). Le scan du PC après coup avait montré la présence d’un keylogger.





C’est aussi aux gens de faire attention à leurs mots de passes et à leur ordinateur.





Il faut avoir une protection proportionnelle à la valeur à protéger.



megadub
Le 13/11/2012 à 15h 52







AirTé a écrit :



10€ je trouve que ça s’amortit plutôt vite et que ça ne grève pas un budget, même très limité (à 60€ le jeu…). C’est juste mon point de vue.







le jeu est suffisamment cher pour ne pas avoir encore à sortir 10€



megadub
Le 13/11/2012 à 15h 53







Groumfy a écrit :



En argent réel pour acheter des gadgets virtuels, donc à ne pas utiliser.







Peu importe, c’est une fonctionnalité du jeu… puis bon… le jeu aussi il est virtuel, et tu l’achétes bien avec de l’argent réel <img data-src=" />



l’HV en € c’est ni plus ni moins que des DLC



Orshak
Le 13/11/2012 à 19h 37







Ralph- a écrit :



Quel bon ramassis de conneries..





Que l’identifiant soit une adresse mail ca change oui ? Rien, parce que dans ton cas où personne n’en a qu’une t’en fait pas qu’elle se fait déjà spammer de merde dessus sans que Blizzard n’y soit pour quelque chose. Et il faut bien un identifiant pour un compte, que ca soit un pseudo, une adresse mail, ton numéro de Sécu et j’en passe, ça ne change en rien la méthodologie d”authentification.





Les mots de passe sont bien Case Sensitive, encore un fail.





blindé de failles partout ? T’as quelque chose de concret pour étayer la m*e que tu déballes ou c’est juste parce que tu t’es fait hacker 5 fois de suite avec “teen_cam_pOrn.exe” ? Ils ont en effet subit une attaque qui a fonctionné en 2010 avec l’authenticator, mais la méthode utilisée dépasse de très loin les techniques pourries de deface d’un pauvre site php codé en 2 heures. En gros injection SQL pour veroler des sites de pub orientées WoW (faille mySQL), installation du trojan via IE (faille IE) et ensuite technique du Man in the middle en faisant planter le client du jeu pour éviter la consommation du code par le serveur de Blizzard (le DEP n’a pas jouer son rôle). Ensuite il y a une partie de la BDD qui s’est fait sortir, ouais OK, la c’est chiant mais si les informations sont toutes chiffrées (certaines en réversibles (genre avec AES), d’autres non (fonctions de hachage)), c’est quoi le problème ? Bon, il est clair que du 100% chiffré, c’est pas courant (problème de performance).





Donc c’est de la faute de Blizzard si on met n’importe quoi sur Facebook, autant leur choix pourrait être plus variés (ça c’est en effet de leur ressort) mais qu’après le péquin de base mettre tout et n’importe quoi accessible publiquement, no comment.







  1. je t’invite a te renseigner sur le prix d’un Token OPT venu dans le commerce, quand il a été lancé à moins de 15€ en 2008, j’en vendais quasiment les mêmes à d’autres clients pour 10 fois plus cher.







    Je ne bosse pas chez Blizzard, j’ai pas d’action chez eux, mais lire un tel truc venant d’un mec qui ne doit rien n’y connait en schéma d’authentification, etc. etc. juste pour vomir sur une boite, c’est juste pathétique.









    Ralph- a écrit :



    Quel bon ramassis de conneries..





    Que l’identifiant soit une adresse mail ca change oui ? Rien, parce que dans ton cas où personne n’en a qu’une t’en fait pas qu’elle se fait déjà spammer de merde dessus sans que Blizzard n’y soit pour quelque chose. Et il faut bien un identifiant pour un compte, que ca soit un pseudo, une adresse mail, ton numéro de Sécu et j’en passe, ça ne change en rien la méthodologie d”authentification.





    Les mots de passe sont bien Case Sensitive, encore un fail.





    blindé de failles partout ? T’as quelque chose de concret pour étayer la m    *e que tu déballes ou c’est juste parce que tu t’es fait hacker 5 fois de suite avec “teen_cam_pOrn.exe” ? Ils ont en effet subit une attaque qui a fonctionné en 2010 avec l’authenticator, mais la méthode utilisée dépasse de très loin les techniques pourries de deface d’un pauvre site php codé en 2 heures. En gros injection SQL pour veroler des sites de pub orientées WoW (faille mySQL), installation du trojan via IE (faille IE) et ensuite technique du Man in the middle en faisant planter le client du jeu pour éviter la consommation du code par le serveur de Blizzard (le DEP n’a pas jouer son rôle). Ensuite il y a une partie de la BDD qui s’est fait sortir, ouais OK, la c’est chiant mais si les informations sont toutes chiffrées (certaines en réversibles (genre avec AES), d’autres non (fonctions de hachage)), c’est quoi le problème ? Bon, il est clair que du 100% chiffré, c’est pas courant (problème de performance).





    Donc c’est de la faute de Blizzard si on met n’importe quoi sur Facebook, autant leur choix pourrait être plus variés (ça c’est en effet de leur ressort) mais qu’après le péquin de base mettre tout et n’importe quoi accessible publiquement, no comment.





  2. je t’invite a te renseigner sur le prix d’un Token OPT venu dans le commerce, quand il a été lancé à moins de 15€ en 2008, j’en vendais quasiment les mêmes à d’autres clients pour 10 fois plus cher.







    Je ne bosse pas chez Blizzard, j’ai pas d’action chez eux, mais lire un tel truc venant d’un mec qui ne doit rien n’y connait en schéma d’authentification, etc. etc. juste pour vomir sur une boite, c’est juste pathétique.









    heuu entre trouver un login inventé et juste te taper les listes d’adresses mail qui tournent partout dans le monde (et que les spammers achètent) y a un monde…

    Utiliser un mail comme login c’est déjà un problème.

    Spécialement quand ces mails se baladent un peu partout, merci Blizzard (c’est simple, fait le test, crée une adresse mail bidon où tu veux, ne l’utilise pour rien, poste la NULLE part, laisse la trainer 6 mois, vois combien de spam, spéciallement de spam dédiés Blizzard tu reçois…. crée un compte bnet et un compte trial WoW avec sans rien poster nulle part, tu recevras de la pub, du spam et des scams de gold sellers and co liés à ton compte Blizzard dans les 34 mois qui suivent…. J’ai fait le test 3 fois, sur 3 fournisseurs de mail différents (Gmail, hotmail et yahoo! pour être précis) et à chaque fois c’est pareil.



    Et je peux te garantir que ces adresses n’ont trainées nulle part ailleurs donc le problème vient :




  • de Blizzard qui laisse trainer ses listes de login partout

  • de Blizzard qui utilise des mails comme login



    C’EST un problème même si tu prétends le contraire. De même sans vouloir être désagréable, il est peut être temps d’imposer des mdp de plus de 68 caractères, mais plutôt genre 1520, en expliquant comment en faire des biens, et en empêchant tout ce qui est :

  • suite logique de nombres basiques (genre tous les 12345…, 121212121, 111111 et autres)

  • suite de lettres basiques des claviers (azerty/qwerty/qwertz etc).



    Ensuite, non, sauf si ça a changé depuis 1 an les pass ne SONT pas case sensivtive, je l’ai testé sur 4 comptes bnet différents à l’époque quand on m’en a parlé, et c’est un mythe qu’ils sont case sensitive.



Ralph-
Le 14/11/2012 à 09h 06







Orshak a écrit :



heuu entre trouver un login inventé et juste te taper les listes d’adresses mail qui tournent partout dans le monde (et que les spammers achètent) y a un monde…

Utiliser un mail comme login c’est déjà un problème.

Spécialement quand ces mails se baladent un peu partout, merci Blizzard (c’est simple, fait le test, crée une adresse mail bidon où tu veux, ne l’utilise pour rien, poste la NULLE part, laisse la trainer 6 mois, vois combien de spam, spéciallement de spam dédiés Blizzard tu reçois…. crée un compte bnet et un compte trial WoW avec sans rien poster nulle part, tu recevras de la pub, du spam et des scams de gold sellers and co liés à ton compte Blizzard dans les 34 mois qui suivent…. J’ai fait le test 3 fois, sur 3 fournisseurs de mail différents (Gmail, hotmail et yahoo! pour être précis) et à chaque fois c’est pareil.



Et je peux te garantir que ces adresses n’ont trainées nulle part ailleurs donc le problème vient :




  • de Blizzard qui laisse trainer ses listes de login partout

  • de Blizzard qui utilise des mails comme login



    C’EST un problème même si tu prétends le contraire. De même sans vouloir être désagréable, il est peut être temps d’imposer des mdp de plus de 68 caractères, mais plutôt genre 1520, en expliquant comment en faire des biens, et en empêchant tout ce qui est :

  • suite logique de nombres basiques (genre tous les 12345…, 121212121, 111111 et autres)

  • suite de lettres basiques des claviers (azerty/qwerty/qwertz etc).



    Ensuite, non, sauf si ça a changé depuis 1 an les pass ne SONT pas case sensivtive, je l’ai testé sur 4 comptes bnet différents à l’époque quand on m’en a parlé, et c’est un mythe qu’ils sont case sensitive.







    Mon compte BNet est sur un adresse Gmail et je ne reçois JAMAIS de Spam de goldseller depuis que c’est devenu obligatoire (et je vérifiais le dossier spam il fut un temps en espérant décrocher des clefs Beta pour Cata et MoP), parce contre mon navigateur n’accepte pas les cookies implicitement, je te laisse deviner la suite…



    Pour ce qui est des mots de passe, est-ce un vrai problème ? bien sur il serait intéressant qu’ils interdisent les passes triviaux en effet, mais la longueur devient une faiblesse quand:

    _ la fonction de hachage est triviale et non composée (genre un pauvre MD5)

    _ un salting constant

    ce qui donne la possibilité de faire des Rainbow Table, mais elles ne sont utilisables que si on a accès à la base car Blizzard n’autorise pas un nombre élevé de tentatives d’authentification pour un compte donné sans le bloquer.



    Tout repose sur comment est pris au sérieux la problématique de sécurité dans les boites. Dès que tu commences a utiliser une composition propre de fonction genre Whirlpool avec du saltage dynamique à usage unique, ce n’est pas attaquable dans un temps humainement compatible. Et quand bien même les adresses mail sont en clair, le risque est de se faire spammer par un trojan de base inconnue qui répéterai l’attaque Man-in-the-middle d’y il a quelques années pour des personnes qui n’ont pas activer les nouvelles options de sécurité du compte.



    J’espère que les blaireaux qui attaquent Blizzard vont être déboutés, car si y’a bien une boite qui a fait un effort à ce niveau c’est bien eux : ils ont proposé un Token OPT à 10 fois cher que les prix publiques du moment, ont mis en place le check géographique d’IP, ont développé et donné gratuitement une application pour sécuriser son compte, proposer des alertes SMS. Et pour finir pour les avares, le Bnet Authenticator marche parfaitement avec l’émulateur Android issu du SDK de Google.



AirTé
Le 14/11/2012 à 10h 12







Orshak a écrit :



Spécialement quand ces mails se baladent un peu partout, merci Blizzard (c’est simple, fait le test, crée une adresse mail bidon où tu veux, ne l’utilise pour rien, poste la NULLE part, laisse la trainer 6 mois, vois combien de spam, spéciallement de spam dédiés Blizzard tu reçois…. crée un compte bnet et un compte trial WoW avec sans rien poster nulle part, tu recevras de la pub, du spam et des scams de gold sellers and co liés à ton compte Blizzard dans les 34 mois qui suivent…. J’ai fait le test 3 fois, sur 3 fournisseurs de mail différents (Gmail, hotmail et yahoo! pour être précis) et à chaque fois c’est pareil.



Et je peux te garantir que ces adresses n’ont trainées nulle part ailleurs donc le problème vient :




  • de Blizzard qui laisse trainer ses listes de login partout

  • de Blizzard qui utilise des mails comme login



    Mon adresse Battle.net est unique, elle ne sert qu’à ça et n’a jamais été utilisée pour autre chose et je n’ai jamais reçu le moindre spam ou autre connerie. Les seuls (rares) emails sont ceux de Blizzard.

    Il faut dire que je n’utilise pas de web mail style gmail ou autre, j’ai mon domaine avec sa gestion des emails perso.

    J’arrive à avoir du spam sur une de mes adresses gmail qui n’a jamais servie. Pareil pour mon ancien opérateur.



    Pour moi, Battle.net n’y est pour rien.



    Ton “expérimentation” ne vaut rien dans mon cas. Prends un domaine et une boîte email et retente ta chance. Le résultat sera certainement comme le mien.