Reprise du message précédent :

 
C'est faux et archi-faux de raconter des âneries pareilles.
Comme par hasard, beaucoup de gens piratés ont trouvé des malwares sur leur PC après hack, et beaucoup ont trouvé des keyloggers.
Le bruteforce est une solution, mais quand même.
 
(Pour la longueur de mon mot de passe, y'a 7958661109946400884391936 combinaisons possible ce qui à raison de 1000 essais de mot de passe par seconde - c'est très optimiste - représente quelques millions d'année de bruteforce).
 

 
Hum, peux-tu poster un screen de ton écran de gestion des utilisateurs sous Windows ?

Tiens, il me vient une question stupide : est-ce que wow autorise d'avoir le même nom pour son personnage que pour son compte ?
 
Et sinon un truc à ne pas faire non plus : s'incrire sur un forum / fan site avec le meme login / password que son compte wow.. c'est peut être plus facile à retenir, mais je doute que beaucoup de fan site aient une sécurité à toute épreuve.

 
Oui
 

 
En quoi ce n'est pas rentable?  
Dans le principe, ils peuvent tout rendre, c'est juste pour une raison à la c** de ne pas "fausser" l'économie du serveur qu'ils ne le font pas (ce qui est ridicule du fait qu'il n'y a pas de limite de ressources dans le jeu).

pour essayer de répondre un peu à tout le monde: oui en effet j'ai fait une erreur à propos de mon nom de compte. que voulez-vous que jvous dise? même si quelqu'un a mon nom de compte, il doit trouver mon MDP qui est maintenant sécuritaire contre la brute force ( 517358461827341264891 environ comme on l'a dit plus tôt) . et si je choppe un keylogger par malchance, il ne va pas seulement trouver mon mdp mais aussi mon nom de compte de compte!
ceux qui disent que j'ai besoin d'aller en désintox, eh bien c'est totallement faux. j'adore jouer à WoW, mais je fais autre chose en attendant! c'est tout simplement un peu long attendre des semaines pour jouer à son jeu favori. et maintenant, je pense que tout le monde a bien compris. merci.
 
Altherac, voila ton screen:
 

Il faut avoir un compte administrateur autre que le compte d'origine de Windows pour pouvoir créer un compte limité. Perso, j'ai fait un compte "Admin" pour ça.

Bonjour a tous,
 
Je ne joue plus vraiment a wow, mais ces histoires de comptes pirates me font tendre l'oreille. Dans l'interet du forum et du joueur, je me demandais s'il ne serait pas utile d'avoir un genre de formulaire qui aiderait a identifier les causes probables du piratage. Cela rendrait service d'une part a la communaute, qui essaie gentillement de poser toutes les questions habituelles dans un tel cas pour aider/informer le joueur, et d'autre part a tous les autres joueurs, qui identifieraient plus facilement aussi les failles.
 
Un tel formulaire pourrait avoir des questions comme:
- OS utilise, droits admin?
- AV, Firewall, frequence des majs, frequence des scans
- Navigateur utilise, Sites frequentes (allakhazam, gold, etc...)
- utilisation de serveurs prives/offline, meme nom de compte et password que les serveurs officiels?
- serveurs wow utilises
- quels add-ons utilisés dans wow, telechargé a partir de quel site?
- le nom du compte wow est aussi le nom de telle ou telle messagerie/forum/FAI/autre jeu en ligne/personnage wow (pareil pour le password   )
- si oui, est-ce que les passwords des messageries/forum/etc sont enregistres sur le HD
- famille, amis IRL, guilde ont acces au compte/partage de compte
- le jeu se deroule chez soi/parfois ailleurs
 
Comme ca les posteurs habituels du forum eviteraient de repeter sans cesse les memes questions. Peut-etre on aurait quelques surprises interessantes qui permettraient a terme de savoir pourquoi certains se font pirater et pas d'autres.
Enfin bon je reflechissais apres le message de jeffpower666, je sais pas vraiment sous quelle forme cela pourrait se faire (template dans le sujet unique pour le vol de compte ...?). Je ne pense pas que toutes ces informations aideront des joueurs sans scrupules a mieux pirater des comptes, mais peut-etre je me trompe (genre le nom de compte et le mdp sont ceux de hotmail...). On peut toujours penser a un formulaire anonyme.

en gros ça devrait être dans la FAQ si ça n'y ai pas déjà

Pour en revenir aux techniques de piratage, les attaques de type keylogger ne peuvent être faites en aveugle et obtenir des résultats probants. Pour pouvoir infecter un joueur de wow via keylogger il faut l'introduire dans des fichiers rattachés à wow (Sur les différents forums notamment, ou pire, sur les sites de gestion d'addons). Se faire infecter de cette manière relève d'un sérieux manque de prudence couplé à une franche naïveté.  
Un keylogger en aveugle (sur emule par exemple) vous donnera quelques centaines d'infections générant des rapports journaliers de plusieurs Mo de fichiers textes. Pour faire clair, disons que vous aurez l'équivalent de 2-3 bouquins de conneries inutiles par jour. Bonne chance pour y retrouver un mdp (s'il y en a un).
 
Pour le social engineering et l'infection de la base de donnée, je crois qu'il faut réfléchir un minimum. Vu la taille de la boite et de son ancienneté, je pense qu'on peut assimiler les serv de DB de bli à une vraie forteresse. Le seul moyen de l'infecter dès lors est de faire parti du staff bli. Et franchement, pirater des comptes pour piquer 100po et risquer de perdre son job, c'est pas très malin. Surtout si on peut générer en quelques clics items et po à volonté.  
 
Enfin, pour ce qui est des "âneries", je vous rend la parole messieurs. Si le Hijack et le sniffing sont extrèmement destructeurs dans les lans (en particulier les lans wifi), c'est une autre paire de manche sur le web. Cela implique un piratage de proxy primaires suffisament fort pour y avoir les droits roots (grossomodo) ce qui est déjà dans la limite du possible. Il faut ensuite, comme dans toute attaque à l'aveugle, avoir la chance de tomber sur une connexion à wow, et vue la quantité de trames qui y passent, faut avoir un sacré coup de bol. Enfin, il faut réussir  (dans le cas du sniffing) à casser le cryptage du mdp. Ben oui, contre toute attente, les mots de passe sont cryptés comme il se doit (go lancer ethereal si vous me croyez pas).
 
Je me repête donc, il y a deux moyens de se faire pirater son compte :  
1) Télécharger un keylogg en téléchargeant un fichier en rapport à wow (Normalement si vous avez un minimum de jugeotte et que vous passez par curse pour dl les addons y'aura pas de problème)
2) Se faire Bruteforce. Un mot de passe de 6 caractères, c'est 20millions de possibilités. Ca reste tout à fait bruteforcable en une nuit normalement.  
 
Cela dit, je parle surement à des personnes qui ont ouvert un hackerzvoice une fois dans leur vie, et qui sont donc logiquement devenus experts en piratage et sécurité informatique...

Oh bien ca !
Tu t'es un peu penché sur le cryptage du mdp ? vu que tu as le résultat crypté plus l'original ca doit aider (via john)
T'as testé pour voir si y avait une longueur max de prise en compte ?
T'as testé de reproduire la séquence d'envoi de mot de passe ? avec succés ? il y a pas de limite de temps entre 2 tentatives (ce serait un truc a 2 sous pour augmenter drastiquement la sécurité) ?
 
Sinon pour en revenir au keylog, car je pense qd même qu'une bonne majorité se font avoir par un keylog, ca peut se déclencher que sur certains parametres, genre execution de wow.exe, et de n'envoyer que les 500 caractères suite au lancement du processus... tu réduis ainsi énormément ton fichier texte de log

 
j'ai ri
Tu crois serieusement qu'ils vérifient leur db sur Curse?
 
Non la sécurité c'est wow ace épicétou.
 
D'autre part pour les paranos des virus sur Curse ca c'est déja vu et a grande échelle.

---------------

Ver erat aeternum, placidique tepentibus auris
Mulcebant Zephyri natossine semine flores.
 

 
Il y a aussi la bannière de pub vérolée sur un faille critique du navigateur, qui a eu pas mal de monde.
Parce que pas de chance, toutes les failles ne sont pas couvertes par un navigateur régulièrement à jour, notamment Internet Explorer (mais Firefox n'est pas à l'abri et il suffit d'une fois).
 

 
D'accord avec l'essentiel des points. Je me demande combien de caractères sont pris en compte.

 
Wow Ace, mais sans l'updater. Si le site est compromis et qu'il distribue une version vérolée de l'updater, c'est cuitas.

je rappelle juste que le brute force passera jamais sur les serv de bliz puisqu'a partir d'un momement le serv d'authen pose un delais entre chaque essai donc le brute force stop dream

 
Il est tester par de nombreuses personnes et tres fiable.
Tres peu de gens utilise l'updater y a aucun souci de ce côté là.
D'autant plus que c'est un coin relativement fermé et élitiste que le coin des dev de wow ace.

---------------

Ver erat aeternum, placidique tepentibus auris
Mulcebant Zephyri natossine semine flores.
 

Altherac, c'est vraiment saoulant le conseil que tu m'as donné... j'ai créé un compte limité et admin mais mon windows ne démarre pas avec les comptes supplémentaires... et le compte initial disparaît en plus lorsque qu'on en crée un. jai dû restaurer pour corriger le problème    bref, j'aurai essayé... merci quand même. si tu as une autre solution que créer un compte limité, dis moi le stp.  

 
Rassure moi tu parles de toi ?
 
Parce que t'as écrit une poignée de trucs faux en si peu de posts, on se demande si tu sais réellement comment les choses fonctionnent en fait.
 

 
Non
 

Non
 

Non
 

Non
 
Bon en bref, tu connais Ethereal de nom (tu feras gaffe c'est WireShark maintenant), t'as placé plusieurs fois "root", "proxy" et "sniffing", mais du coup, ça veut dire que t'as ouvert Hackerzvoice ?

 
C'est bizarre, j'ai fait ça sur plusieurs PC sous Windows, et je n'ai pas rencontré ce problème. Ceci dit, je n'ai pas de connaissances approfondies en administration Windows, malheureusement
A ma connaissance, c'est la solution la plus fiable parce qu'elle élimine une bonne partie du problème à la base. Si tu ne peux pas la mettre en oeuvre, il te reste firewall/antivirus, firefox + noscript  + adblock et un bon mot de passe Sans oublier le bon sens et les quelques précautions de base (pas installer n'importe quoi, pas ouvrir n'importe quoi, etc).

Précaution de base: ne pas fournir le nom de ton compte aux 250 visiteurs quotidiens du forum.

Ca va à quelle vitesse un programme de bruteforce ?

Parce que bon rien qu'un code de 8 caractères comprenant des chiffres des lettres et des caractères spéciaux, à 1000 tentatives par seconde, ça prendrait presque 40 000 ans pour tester toutes les possibilités, et à 10 caractères on monte direct à plus de 200 millions d'années

---------------
Yoda was a Goblin ?
 
On ne facture pas la topissitude. Ni la séductivité.
 

Ya surtout que les interfaces de blibli rallongent progressivement le temps de connections entre chaque essais au fur et a mesure que tu entres des fausses informations.
 
Enfin, c'était comme ça avec DII, pas envie de tester sur wow

 
En local c'est très très rapide.
 
En remote sur un serveur, d'autant plus si le serveur pratique une politique de delays allongés au retry (comme Blizzard), il te faut quelques milliers de proxys pour que ça tourne correctement, et encore, on atteint pas des vitesses pharaoniques.

oui mais certains bruteforce optimisés utilisent des dictionnaires de mots, et se contentent de les essayer.
parfois avec 2 chiffres à la fin.
C'est pour ça qu'on vous repete sans cesse qu'on mot de passe ne doit pas signifier quelque chose, sinon il sera plus facile à trouver.

Altherec, j'ai maintenant Firefox avec le bloqueur de popups activé, mais le Noscript que tu me parle il est ou? c'est de javascript que tu parles?  
 
à tous: je vous le répète encore, mon MDP est maintenant introuvable par bruteforce.
blizz ne m'a pas encore répondu...  

tu crois encore qu'on t'a piraté via bruteforce

alors essaye de trouver la façon que je me suis fait piraté outre un keylogger, car après 1 semaine de scan quotidien je n'ai rien trouvé (scan avec plusieurs logiciels différents).

je suis pas devant ton pc... par contre si tu crois que ca t'arriveras plus car la premiere fois c'etait par bruteforce tu risques un jour d'avoir une mauvaise surprise

Tu as utilisé ce password ailleurs ? (forum, messagerie instantannée, etc)
Tu avais ce password en clair dans un mail et tu utilises un webmail ? (Hotmail, Yahoo, GMail, etc)
Ton password était un mot du dictionnaire ?

> NoScript c'est une extension Firefox et j'ai mis le lien en page 2 de ce topic.

À Altherac: non, mon MDP est toujours spécifique à WoW donc je ne l'utilise pas ailleurs. non, le MDP n'était écrit nul part sur mes emails (j'utilise Hotmail) , seulement gravé dans ma tête. mon MDP n'était pas et ne sera jamais un mot du dictionnaire.
 
et merci pour les liens. j'ai maintenant tout ce que tu m'a proposé. j'espère que je suis assez protégé maintenant  

mon compte est revenu, seul mes lvl >= 49 ont survecu et sont à poils.
Mon main a gardé son stuff BG mais mon T4 et mes sac virés.
 
J'espere que tu recupereras tout

normalement, blizz va te redonner tes objets perdus dans les jours qui suivent... en tout cas j'espère! sinon ça serait trop con!    
 
moi, j'attend toujours la réponse de blizzard.

C'est bien >= 49 (supérieur ou égal quand on a la flemme de chercher le symbole exact), effectivement "c pas tout le monde qui s'y connait bien en maths"
 
e/ T'as édité une seconde avant mon post, j'aurais du quote  D:

j'avait bien compris le symbole mais c le contexte aux alentours que j'avais mal lu...    et si tu crois encore que je suis nul en maths, eh bien je n'ai pas envie d'aller acheter un scanneur seulement pour te montrer mes notes de maths  

 
Tes notes de calcul, tu n'as jamais fait de maths.

quand je dis mes notes de maths je parle de mes résultats en mathématiques. CdE, arrête d'attaquer tout le monde et arrête de polluer mon topic stp.

Ça y est! blizz a fini son enquête! je vais pouvoir recommencer à jouer maintenant    
mais d'abord, je dois vous dire que blizzard m'a indiqué la cause du piratage...keylogger    
maintenant, voici ce que j'ai de ma protection de mon PC:
 
-ZoneAlarm Internet security ( un tout en un )
-AVG anti-spyware
-Spybot-SD
-Avast anti-virus
-Mozilla Firefox avec Noscript et Ad-block
-HiJackThis ( scan les problèmes de PC )
 
bref, depuis que j'ai reçu cet email de blizzard me disant que j'ai été piraté avec un keylogger j'ai rajouté de la défense supplémentaire    
je n'ai pas encore ouvert WoW, car je doit fait un scan avec chaque logiciel de défense. ensuite, j'irai jouer.
 
merci à tous de m'avoir supporté.    
j'espère à tous que vous ne serez jamais piraté et pour ceux que ça arrive, j'espère que ça s'arrangera vite.
 
P.S: non je n'abandonne pas ce forum  si vous trouvez une faille dans la protection de mon PC, dites moi le svp.

Ok normalement tu devrais être largement à l'abris de toute tentative de corruption de compte...
 
Mais pour en être bien certain, tu peux m'envoyer en MP ton account et pass s'il te plait? je te dirai si ton compte est sûr à 100% maintenant.
 
 

---------------
Can't wait to kick some demon's ass
|>Oseriez-vous défier ma brute?<|

Noob: Ah bon? je doit vraiment faire ça? d'accord... nom de compte: abc123 MDP: 123abc  
 
   
 
j'ai déjà vu un noob donner ses information de compte de la sorte... un ancien ami...  

et il te cause plus depuis que tu lui a piqué son compte?  

 j'ai trouvé des spywares avec AVG!!!
 
- TrackingCookie.Adtech   (assez commun)
- Logger.Agent.azb (UN KEYLOGGER !!!!!!!!!    )
- Downloader.Tiny.agw
- Heuristic.Win32.AVKiller
 
je les ai tous supprimés... la honte, un keylogger...  une chance que je n'ai encore été sur WoW!

Pseudominateur, c'était sur maplestory (il y a bien longtemps!) et non, ce n'est pas à moi qu'il avait donné ses infos de compte.
 
 
à tous: je continue de faire des analyses de mon PC avec tout mes logiciels... j'espère que maintenant je n'ai plus de merdes sur mon ordi.