Epic Games : les données de 800 000 comptes en fuite après le piratage de plusieurs forums

Epic Games : les données de 800 000 comptes en fuite après le piratage de plusieurs forums

Unreal Fail

Avatar de l'auteur
Kevin Hottot

Publié dans

Internet

24/08/2016 3 minutes
41

Epic Games : les données de 800 000 comptes en fuite après le piratage de plusieurs forums

Epic Games a annoncé cette nuit avoir fait l'objet d'attaques sur plusieurs de ses forums de discussion. Les données personnelles d'environ 800 000 utilisateurs auraient ainsi été dérobées, dont des mots de passe, salés et hachés.

du coup "Prudence si vous êtes inscrit sur un forum officiel d'Epic Games, dont ceux de l'Unreal Engine et d'Unreal Tournament. L'éditeur vient en effet d'annoncer que ces deux forums ont été « compromis », les assaillants étant repartis avec l'ensemble de la base de données vBulletin des deux sites. Par ailleurs, d'autres forums maison ont été visités, laissant fuiter des mots de passe.

Plusieurs forums concernés par des fuites

Selon l'éditeur, il n'y a aucune raison de s'inquiéter, puisque les bases des forums Unreal Engine et Unreal Tournament ne contiennent aucun mot de passe « sous aucune forme, ni salage, ni hachage, ni donnée en clair ». Par contre, les messages, y compris privés, échangés par les utilisateurs, ainsi que leurs adresses e-mail et diverses informations personnelles entrées dans leur profil sont entre les mains des pirates. Epic Games estime que les utilisateurs de ces forums n'ont pas besoin de changer leur mot de passe.

Simultanément, Epic Games explique que d'autres forums maison, autour d'Infinity Blade, UDK, d'anciens jeux Unreal Tournament et les archives du forum Gears of War ont également été compromises, laissant fuiter cette fois-ci adresses e-mail et mots de passe. Ces derniers sont heureusement salés et hachés, limitant ainsi les risques. L'éditeur recommande toutefois aux personnes ayant été actives sur ces sites après juillet 2015 de changer leur mot de passe par précaution, sur ces sites et sur tous ceux utilisant le même combo mot de passe / adresse e-mail. 

Seuls sites épargnés : les forums de Paragon, Fortnite, Shadow Complex et SpyJinx. Au total, les fuites couvrent plus de 800 000 comptes sur ces forums, dont rien qu'un demi-million pour le seul forum Unreal Engine.

Quelques règles de prudence

Pour l'heure, Epic Games a fermé les principaux forums concernés pour cause de maintenance et ceux-ci affichent un certificat HTTPS invalide. Il n'est pas possible pour l'instant de procéder à un changement de mot de passe sur ces sites, la patience est donc de mise. 

En attendant, l'utilisation d'un mot de passe fort reste préconisée, idéalement associée avec celle d'un gestionnaire de mot de passe, tel que KeePass, recommandé par la CNIL et certifié en 2011 par l'ANSSI. Il est également important de choisir un mot de passe différent pour chaque service, évitant ainsi que des pirates obtiennent l'accès à plusieurs de vos comptes en ne compromettant qu'une seule plateforme.

Écrit par Kevin Hottot

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Plusieurs forums concernés par des fuites

Quelques règles de prudence

Commentaires (41)


“idéalement associée avec celle d’un gestionnaire de mot de passe, tel que KeePass”



En quoi ça augmente la sécurité ?


tu roules ta tête sur le clavier, tu confies le résultat à Keepass et c’est lui qui se souvient, toi tu t’en fous, t’as un mdp fort avec X caractères qui ne se suivent pas, n’ont aucun rapport avec toi etc.


Ça force à utiliser un mot de passe fort par service: pas d’attaque par bruteforce ou rainbow table et dans le pire des cas, un seul service impacté.


C’est un bon moyen d’éviter la réutilisation et de se “souvenir” de tous ses mots de passe


Ca déplace le problème, mais te rends responsable de ton propre niveau de sécurité.





Keepass (+ les plugin qui vont bien navigateur) te permets de générer des mots de passe forts, et surtout différent pour chaque compte. Le plugin permet de reporter le mot qui va bien durant la navigation.

Là ca augmente de beaucoup la sécurité générale (un mot de passe par compte + mots forts, du type spfu468qzbt416a….).

Par contre, ca introduit un risque par l’utilisation d’une database locale sur ton pc.

Cette base est cryptée, et peut se débloquer par plusieurs méthodes (mot de passe master, token sur une clé usb).



Mais c’est à toi de gérer ça (ou tout simplement d’arriver à ne pas de faire pirater ton propre pc).

En tout cas, le piratage d’un des sites internet ne compromet aucun de tes autres comptes, car tous les mots de passe sont différents.





Ok c’est “juste” ça. Je me demandais s’il y avait un lien technique entre l’utilisation de ce gestionnaire et la sécurité directement.


Marrant de voir cet article. Troy Hunt (celui qui a pondu “Have I Been Pwned”) a écrit ce matin un post à propos des leaks de forums vBulletin. Epic Games n’est pas le seul. <img data-src=" />



Si vous avez un site web utilisant un CMS ou un logiciel tel que vBulletin/phpbb/drupal … -&gt; mettez à jour régulièrement. <img data-src=" />


voir tu laisses keepass générer le mot de passe aléatoire ce qui économise ta tête et le clavier :p








Gemini_Power a écrit :



Ca déplace le problème, mais te rends responsable de ton propre niveau de sécurité.






Keepass (+ les plugin qui vont bien navigateur) te permets de générer des mots de passe forts, et surtout différent pour chaque compte. Le plugin permet de reporter le mot qui va bien durant la navigation.      

Là ca augmente de beaucoup la sécurité générale (un mot de passe par compte + mots forts, du type spfu468qzbt416a....).

Par contre, ca introduit un risque par l'utilisation d'une database locale sur ton pc.

Cette base est cryptée, et peut se débloquer par plusieurs méthodes (mot de passe master, token sur une clé usb).






Mais c'est à toi de gérer ça (ou tout simplement d'arriver à ne pas de faire pirater ton propre pc).      

En tout cas, le piratage d'un des sites internet ne compromet aucun de tes autres comptes, car tous les mots de passe sont différents.





chiffrée.



Merci pour la news, celà me confirme que je dois continuer à utiliser les Bitcoins (pas de numéro de CB ou autres qui se baladent dans la nature) pour acheter 95% de mes jeux vidéos (même Steam les acceptent)… et que je dois continuer à utiliser Spamgourmet, l’excellent service d’emails jetables…

https://en.wikipedia.org/wiki/Spamgourmet

+Keepass bien sur…


Dans le même style (un poil plus grave, mais pas forcément piratage) :

Le constructeur français de sous-marins DCNS victime d’une fuite massive de données



<img data-src=" />


Moi, tant que ça n’impacte pas les forums et les comptes en rapport avec Jazz Jackrabbit, je ne me sens pas concerné par les fuites d’Epic.


La version de KeePass certifiée par l’ANSSI est la 2.10, ça date de mars 2010, pas tout récent…



De plus je ne vois aucune version mobile, et la version desktop qui a une belle dépendance .NET, ce qui limite son usage. Perso je préfère utiliser Encryptr (qui n’est pas certifiée, mais à l’avantage d’être multi plateforme).


Il y a des apps mobile qui peuvent ouvrir une base Keepass <img data-src=" />


Pas fan de ce genre de coffre fort à password.

si ton ordi est mort, tu n’as plus de mot de passe

si une copie est envoyée sur leur serveur, il peut être piraté aussi.

si tu te connectes depuis un autre poste tu n’as plus tes mots de passe.



je préfère un algorithme mental pour générer un mot de passe en fonction du nom site ou service



&nbsp;j’en invente un pour l’exemple:

&nbsp;

exemple gmail (5 lettres, commence par la 7eme lettre de l’alphabet, deux premières lettre gm=, deux dernières il):

IL5gm7!



facebook :

OK8fa6!



nextinpact :

CT10ne14!



Au final tu n’as qu’à te rappeler de l’algorithme et tu peux retrouver tous tes mots de passe qui sont tous différents sur tous les sites



tu peux faire un algorithme simple pour les sites de news et autres

compte non sensible, et un plus complexe pour les sites très sensibles :

messagerie principale, paypal, amazon, steam….



&nbsp;et voilà!

&nbsp;

&nbsp;

&nbsp;


Mais ce sont des applis tierces ? Ou développées par la même équipes que Keepass ? Le site officiel n’en parle pas (j’ai vu ailleurs qu’il y avait aussi KeepassX).

edit : merci message suivant <img data-src=" />


Un brin HS, j’utilise KeepassX qui me convient parfaitement. La DB se trouve dans un répertoire qui se synchronise avec mon NAS, comme ca à chaque update, tous mes devices y ont accès sans passer par un système de cloud propriétaire.


Ainsi quand il y a un piratage sur une base de données non chiffrée, on trouve ton mot de passe, on en déduit ton algo, et on trouve tous tes autres mots de passe <img data-src=" />


Roulez la tête sur le clavier??? Le mot de passe doit pas être si dur à trouver en brute force ^^.


mo mo mo monster kill ! :P


Oui par contre ce sont des apps tierces effectivement.








CryoGen a écrit :



Oui par contre ce sont des apps tierces effectivement.







Effectivement, pour Android je conseille KeePassDroid&nbsp;sous licence GPL, l’apps peut lire les kdb et kdbx ! :)&nbsp;









Stnkz a écrit :



Effectivement, pour Android je conseille KeePassDroid&nbsp;sous licence GPL, l’apps peut lire les kdb et kdbx ! :)&nbsp;





Et sur Linux ? Et si le mdp m’est demandé à travers un soft ou un jeu et non un site www ça marche ?



Et sinon, concernant les softs pour gérer les mots de passe, il y a “toujours” password safe fait par l’un des + grands spécialiste en sécurité informatique



https://en.wikipedia.org/wiki/Bruce_Schneier

https://pwsafe.org/








Cashiderme a écrit :



Et sur Linux ? Et si le mdp m’est demandé à travers un soft ou un jeu et non un site www ça marche ?







Tu peux faire copier le mdp par Keepass dans le presse papier (il l’efface au bout d’une dizaine de seconde).









ricozed a écrit :



Pas fan de ce genre de coffre fort à password.

si ton ordi est mort, tu n’as plus de mot de passe

si une copie est envoyée sur leur serveur, il peut être piraté aussi.

si tu te connectes depuis un autre poste tu n’as plus tes mots de passe.



je préfère un algorithme mental pour générer un mot de passe en fonction du nom site ou service



&nbsp;j’en invente un pour l’exemple:

&nbsp;

exemple gmail (5 lettres, commence par la 7eme lettre de l’alphabet, deux premières lettre gm=, deux dernières il):

IL5gm7!



facebook :

OK8fa6!



nextinpact :

CT10ne14!



Au final tu n’as qu’à te rappeler de l’algorithme et tu peux retrouver tous tes mots de passe qui sont tous différents sur tous les sites



tu peux faire un algorithme simple pour les sites de news et autres

compte non sensible, et un plus complexe pour les sites très sensibles :

messagerie principale, paypal, amazon, steam….



&nbsp;et voilà!



&nbsp;

De un tes mots de passe sont courts les miens sont entre 16 et 256 (selon la limite du site web).

De deux j’ai une copie sur trois clés usbs, mon tel et mon PC portable c’est pas suffisant ?

De trois le keepass est protégé par un mot de passe complexe qui n’est stocké nul part + token physique

De quatre oui j’ai juste besoin de le copier sur une autre machine genre… supra dur quoi…



L’algo mental veut dire que tu limites forcément la taille du mot de passe et le nombre de caractères utilisé (pas d’unicode :p)



Et maintenant tu as même des helpers qui te permettent de changer tous tes mots de passe compatibles tous les X mois.









Cashiderme a écrit :



Et sur Linux ? Et si le mdp m’est demandé à travers un soft ou un jeu et non un site www ça marche ?







Sur debian tu as le package “keepassx”, pour les autre distro, je ne sais pas, au pire tu peux le compiler.

Personnellement, je n’utilise jamais de plugin pour le navigateur, je ne veux pas qu’un plugin puisse avoir un accès en read à la DB autre que KeepassX. Donc je C/C.&nbsp;



Il me semblait qu’il fallait aussi un username pour se connecter a un service.. Y a que sur btc que tu utilises une clé privée pour unique identifiant (cote sécu on a vu mieux).



vBulletin pas à jour, encore une fois. Faut dire si tu bidouille une peu c’est chiant de devoir tour refaire a chaque maj <img data-src=" />








CryoGen a écrit :



Tu peux faire copier le mdp par Keepass dans le presse papier (il l’efface au bout d’une dizaine de seconde).









Stnkz a écrit :



Sur debian tu as le package “keepassx”, pour les autre distro, je ne sais pas, au pire tu peux le compiler.

Personnellement, je n’utilise jamais de plugin pour le navigateur, je ne veux pas qu’un plugin puisse avoir un accès en read à la DB autre que KeepassX. Donc je C/C.&nbsp;





Merci pour les précisions, je suis sur Debian j’essayerais. Dernière question, le partage de la bdd de mots de passe se fait comment sur differents systèmes ?



Fonctionnera pas sur le site de la sécu (entre autres) :




  • pas de caractères spéciaux

  • pas de lettres

  • un certain nombre de caractères

  • etc…



    Mais l’idée est là : un technique personnelle pour ne jamais avoir le même, mais pour le trouver facilement (y compris par un indésirable :/ )








Cashiderme a écrit :



Merci pour les précisions, je suis sur Debian j’essayerais. Dernière question, le partage de la bdd de mots de passe se fait comment sur differents systèmes ?







Il n’existe pas de solution native dans KeepassX, par contre tu peux passer par le protocole de ton choix (rsync, sftp, etc). Personnellement, avec un NAS Synology tu as des outils déjà intégrés pour la synchro, donc je ne me suis pas trop cassé la tête.

Veille à toujours faire transiter la db sur du SSL, surtout si tu comptes synchroniser en dehors de ton réseau local.&nbsp;









Stnkz a écrit :



Il n’existe pas de solution native dans KeepassX, par contre tu peux passer par le protocole de ton choix (rsync, sftp, etc). Personnellement, avec un NAS Synology tu as des outils déjà intégrés pour la synchro, donc je ne me suis pas trop cassé la tête.

Veille à toujours faire transiter la db sur du SSL, surtout si tu comptes synchroniser en dehors de ton réseau local.&nbsp;





Je vois. Ça va rester sur le réseau local. Faudrait une solution qui met à jour toutes les bases locales avec les dernières entrées sur une base quelconque. Je verrais ça. Merci&nbsp;<img data-src=" />



Comme dit, pour certains sites qui imposent un format de mot de passe quelconque, ça ruine ton schema.

Et par ailleurs, les mots de passes que tu as donné en exemple sont trop cours pour les deux premiers. Je t’invite à regarder cette vidéo et à prendre peur sur le niveau d’attaque actuellement possible :&nbsphttps://www.youtube.com/watch?v=7U-RbOKanYs


En général si une base de forum se fait pirater, ce n’est pas juste la table des mots de passe… Tu récupères les users aussi, voire les e-mails (qui sont souvent utilisés en tant qu’username d’ailleurs). Et en plus ces deux champs ne sont pas chiffrés.








XMalek a écrit :



L’algo mental veut dire que tu limites forcément la taille du mot de passe et le nombre de caractères utilisé (pas d’unicode :p)





Non pas forcément. J’utilise ce principe avec un algo qui me garantit 12 digit mini quelque soit le site, il suffit simplement de tenir compte de cette contrainte quand on établie son algo.









bubka a écrit :



Non pas forcément. J’utilise ce principe avec un algo qui me garantit 12 digit mini quelque soit le site, il suffit simplement de tenir compte de cette contrainte quand on établie son algo.





La génération automatique de 1password/keepass/whatever me permet facilement d’avoir un mdp de taille quelconque, avec des charactère spéciaux, et des chiffres, et maj/min bien sûr. Franchement, dur à battre. Certe tout est centralisé. Mais une attaque réussie sur le vault stocké sur mon ordi reste a priori aussi probable qu’un de tes mdp soit stocké en clair, et l’algo déduit.



Soyons honnêtes. Ils se foutent de mes mots de passes en particulier. Ce qui intéresse les hackers c’est d’avoir des milliers de mdp. Du coup, l’utilisation d’un gestionnaire (tant qu’il ne stocke pas les mdp sur les serveurs du dit gestionnaire) me semble une des solutions les plus fiables.



perso, je change aussi l’email en foutant un alias au cul quand je peux ([email protected] par exemple)

l’alias email est ignoré automatiquement par les boites de mail, donc pour gmail, ça reviens a taper [email protected], mais pour le service ou tu t’est inscrit, les deux sont différents…


Mais les hackers sont aussi au courant de l’existence de cette astuce, tout comme de celle concernant la position /l’absence/présence de point (.) dans une adresse Gmail. De plus, énormément de sites ne prennent pas les “+” dans les mails. <img data-src=" />


Et conclusion, le hacker, il en a rien à foutre de se casser le cul à déduire un algorithme. Il a déjà un container entier de mdp (quand ces derniers sont en clair — ce qui est le vrai problème), il ira plus vite fait de s’attaquer à un autre site plutôt que décoder l’algo de madame Michu.


Si tu arrives à t’y retrouver avec tous tes MDP, que ton “algo” est “fiable” (fonctionne pour tous les sites avec leurs règles parfois à la con -coucou MGEN qui n’autorise que des chiffres et des minuscules et 14 caractères max -, très difficilement devinable même si tu es ciblé spécialement, et qu’aucun motif ne peut être trouvé sur tes mots de passe si plusieurs sites tombent), alors … pourquoi pas ?



En ce qui me concerne, je suis récemment passé à un gestionnaire de MdP (Keepass) pour plusieurs raisons :

* Je réutilisais certains de mes MdP (<img data-src=" />) -&gt; J’ai réussi à retrouver près de 110 comptes sur différents sites, créer un MdP unique pour chacun d’entre eux ne me semblait pas être humainement possible à retenir. Je l’ai fait pour les plus sensibles, mais selon LeakedSource, mon couple mail/mdp se retrouve dans 8 leaks différents … Et trouver un “algo” compatible avec tous les sites est quasi mission impossible. Sachant que j’ai parfois plusieurs comptes sur le même site, que ce site peut se retrouver hacké -&gt; faut changer le MdP … <img data-src=" />

* Bien sécurisé, un vault peut être diffusé sur internet, à n’importe qui. Tant que personne n’a les clefs, qui doivent donc être robustes, ton vault est théoriquement inviolable. (Après, il n’est pas impossible que des failles soient découvertes et permettent l’accès à un vault pas “mis à jour” … <img data-src=" />). Après, je synchronise mon fichier sur DropBox, 2FA tout de même, et je leur fait confiance point de vue sécurité.

* Cela me permet de me souvenir où j’ai créé un compte, quel est mon login et mon MdP sur un site que je n’ai pas fréquenté depuis des lustres, sans avoir à devoir rechercher au fin fond de mes mails le login que j’avais utilisé trouze ans auparavant.

* Connaissant les règles de création de MdP d’un site, cela me permet d’avoir une entropie maximale.

* Je trouve un copier/coller plus rapide qu’un calcul mental, et je suis une feignasse. <img data-src=" />



Après, les mots de passe sont “entre” deux parties : toi, et le site web. Ne pas réutiliser un MdP devient une nécessité en partie parce que les sites derrière font du mauvais boulot : MdP en clair, juste cryptés, MD5 ou SHA1 (même salés) … On peut taper sur les sites comme OpenClassroom qui conseillent un bête sha1 dans leur tuto pour sécuriser les MDP, et qui forment de mauvais devs d’entrée de jeu ? <img data-src=" />