Ubisoft vient d'annoncer que ses services en ligne viennent d'être la cible d'une attaque qui a compromis leur sécurité. Selon l'éditeur, des données telles que des noms d'utilisateurs, des adresses emails et des mots de passe chiffrés ont pu être dérobés.
Adam Pierce, premier suspect de cette attaque
Après les récentes attaques qui ont touché les serveurs de Wargaming, c'est au tour d'Ubisoft d'essuyer les assauts de pirates de tous bords. En effet, l'éditeur français vient d'annoncer que ses services en ligne ont été victimes d'une intrusion, provoquée par le vol du compte d'un employé de l'éditeur et que des données ont été volées.
La firme se veut rassurante, si une quantité non précisée de noms d'utilisateurs, d'adresse e-mail et de mots de passe chiffrés sont dans la nature, il semble qu'aucune information de paiement (numéros de comptes bancaires, de cartes de paiement, etc.) n'a été dérobée. Pour cause, ces dernières ne seraient pas stockées sur les serveurs d'Ubisoft. De même selon l'éditeur, aucune information personnelle comme des numéros de téléphone ou des adresses n'ont été compromises.
Ubisoft promet avoir pris « les mesures nécessaires », et « mener une solide investigation auprès des autorités compétentes, d'experts internes et externes en sécurité et rétablir la sécurité des systèmes touchés ». Par précaution la société recommande de changer le mot de passe de votre compte Uplay ainsi que sur tous les services web utilisant la même adresse email.
Un message a été envoyé à toutes les personnes concernées, dont voici une copie ci-dessous :
Commentaires (92)
#1
#2
La joie des comptes pour tout et n’importe quoi…
#3
#4
je suis bien content de ne pas avoir de compte Uplay
" />
#5
#6
En espérant que les MDP soient chiffrés et salés. Dans ce cas, je me demande ce que va faire les hacker avec ça.
" />
A moins qu’ils aient la clef de chiffrement
#7
J’ai reçu un mail aussi, mais je me souvenais pas avoir un compte uplay
" />
#8
uplaie est sorti tout récemment et il a déjà de grave problème de sécurité …., ça promet
" />
#9
ça arrive on peut pas leurs jeter une pierre l’important il l’ont fait c’est communiquer sur l’intrusion rapidement et redoubler les sécurités
#10
#11
Ah j’ai été touché, première fois que çà m’arrive
" />
#12
Bon bah on peut ajouter UPlay à la liste:
#13
#14
Mot de passe chiffré ? Pourquoi vouloir déchiffrer les mots de passes des utilisateurs =/
#15
#16
#17
#18
Changé aussi,
" />
Par contre, si vous cherchez à aller sur uplay.fr, le site est “bloqué”:
It is currently being parked by the owner
#19
#20
#21
#22
#23
Pas très intelligent d’envoyer un mail. Si la boite mail est piratée, le pirate est informé de l’existence d’un compte Ubisoft et peut le pirater à son tour.
#24
#25
#26
J’ai reçu le mail et quand j’ai vue l’adresse email
[email protected]
Je me suis dis que c’était une blague !!
#27
#28
#29
#30
#31
#32
#33
#34
#35
#36
#37
Je ne sais même pas pour quel jeu j’ai un compte Uplay …
#38
Inquiétant toutes ces attaques réussies quand même…. Autant un DDOS aucun soucis c’est ultra facile à faire, autant dumper une base de données à distance comme çà… c’est chaud…. et çà en dit long sur les capacités des hackers et/ou l’incapacité des grands groupes à sécuriser l’accès à leurs données !
çà m’étonnerait qu’une faille 0-day soit exploitée (Uplay c’est pas non plus une cible monstrueusement intéressante je pense), du coup je me demande quelle vulnérabilité est exploitée dans ce genre de cas ?
Si quelqu’un a des infos !
#39
Bon, j’ai changé mon mot de passe. Mais je pense que dans le futur je vais oublier d’avoir mis ce mot de passe et dans très longtemps je ferais probablement un “mot de passe oublié” et je remplacerai le nouveau mot de passe par l’ancien parce que j’aurai oublier avoir changer le mot de passe aujourd’hui.
#40
#41
Pourquoi faut activer les cookies tiers pour modifier son mot de passe ?
" />
Edit : bon quoi que je fasse, activés ou non, ça me dit que les cookies sont désactivés.
#42
C’est une intrusion de Snowden qui continue à vouloir sauver la planète en vérifiant si Ubi ne surveille pas les habitudes des joueurs suivant leur façon de jouer….
" />
#43
#44
#45
#46
Hello,
juste une précision, le souci ne provient de Uplay cette fois-ci, mais d’un autre endroit, c’est écrit dans la FAQ publiée par Ubisoft. Je cite :
Est-ce Uplay qui a été piraté ? Les serveurs Uplay ont-ils été piratés ?
Non. L’attaque ne provient d’aucun service Uplay. Elle visait seulement certains de nos services online.
#47
#48
#49
#50
#51
#52
#53
#54
#55
#56
#57
#58
#59
#60
Bah gg Ubi
" />
" />
Info immédiate des utilisateurs, mail clair sur la marche à suivre pour resécuriser son compte, information dans la mesure du possible, en bref com maitrisée, mesures adéquates, tout bien.
Reste à espérer que les contre mesures seront effectivement efficaces
#61
Euh je me méfie de leur mail, la page qui permet de changer le mot de passe affiche un “© 2011” c’est normal que ça soit pas à jour ?
#62
#63
#64
#65
sur uplay, j’ai posé laquestion comment changer l’email du compte… tant qu a changer le motdepasse autant changé l email aussi surtout si il a été récupéré par des hackers….
#66
A noter que de nombreux salariés d’Ubi (j’en connais quelques un qui resteront anonymes
" />) considèrent Uplay comme une bonne grosse bouse 
" />
#67
#68
#69
#70
#71
#72
est ce qu’on auras un jeux gratuit comme dédommagement en prenant l exemple de PSN?
" />
#73
#74
#75
#76
#77
qu’est ce qu’il faut pas lire comme conneries sur le salage et les rainbow tables…
si le salage est bien fait, il faut une rainbow table par compte qu’on veut pirater, pas très efficace d’où l’utilité d’un salage.
Pour résumé:
un bon stockage des mots de passe se fait comme suit:
bref seul le mdp est secret et doit le rester. Le reste c’est juste pour emmerder les hackeurs.
pour casser le mdp en brute force, on teste tous les mdp. Avec salage, soit on teste les mdp et on ajoute le sel, soit on teste directement les mdp salés. Sauf que les mdp salés le sont sur xxxx bits et donc si on teste les mdp salés, pas question de réduire la recherche à 8charactères alphanumériques on est obligé de se tapper les 2^(xxxxbits) possibilités. Et si on se limite à 8 char alphanum, on travaille par sel et donc c’est du brute force par mdp ce qui n’est pas du tout efficace. D’où l’énorme importance du salage, à condition qu’il soit bien fait; si il est trop petit l’espace de recherche est réduit d’autant, si il n’est pas unique alors son intérêt disparaît. Le fait qu’il soit en clair ne change rien.
Les rainbows tables ne sont qu’un compromis entre stockage et calcul dans la résolution par brute force. Si on calcule tout, pas besoin de stockage et si on stocke tout, pas besoin de calcul. Le problème c’est que les calculs sont lourds et les faire à l’avance en stockant mdp+hash est plus économique, problème on ne peut pas tout stocker car bcp trop volumineux. D’où rainbow table, qui sont un compromis.
Mais les rainbow tables ne tiennent pas compte du salage, donc une base de donnée avec salage rend inefficace ces tables.
Bref je ne comprends pas pourquoi les grosses boites ne mettent pas automatiquement en œuvre le salage + key steching (genre bcrypt) + mdp longs acceptant tous les caractères.
Surtout ces limites incompréhensible le longueur où le mdp est parfois tronqué à l’insu de l’utilisateur! Alors que la longueur de mdp est ce qui importe le plus dans sa robustesse.
#78
Nebulous cloud (c’est comme vouloir acheter un seau de vapeur, c’est nébuleusement inconsistant)
" /> 
" />
#79
#80
#81
J’ai eu le mail d’Ubisoft
" />
#82
Ce qui me sidère dans l’histoire, c’est qu’encore une fois les mails sont partis dans la nature.
Un jour peut-être, ils isoleront correctement leur bd et les mails ne seront pas récupérables en clair depuis un accès en ligne….
#83
Uplay, Uplay …. Ah oui, le truc qui sert à lancer FarCray 3 Blood Dragon ?
#84
#85
GG a Ubi pour avoir intégré un lien dans le mail..
" />
ça va faciliter encore plus le phising
#86
#87
#88
Et personne n’a su m’aider sur le forum officiel, quand j’ai trouvé un idiot d’administrateur à osé répondre : “ah oui, on savait ça”
#89
#90
Ah j’ai reçu un mail pour changer de mot de passe. Ca fait tellement longtemps que j’ai pas utilisé leur bousin que je suis pas sûr de pas avoir remis le même
" />
#91
#92
Quelqu’un sait comment supprimer son compte ubi? Quelle belle grosse M ce site…