Aucune image   Guild Wars 2 Standard Edition
Téléchargement

Fiche détaillée

Message important concernant la sécurité

Ecrit par Bayaba36, le 21-09-2012

Chacun le sait, posséder un mot de passe unique (et non plus seulement complexe), pour chaque compte existant, est la meilleure solution pour ne pas se le faire voler. Les tentatives de vol de compte deviennent de plus en plus fréquentes et il devient urgent de mettre en garde les utilisateurs, en leur expliquant précisément comment se protéger, et les différentes manières qu'ils ont pour le faire. C'est ce que fait Mike O' Brien dans cet article du site officiel.

Outre toutes les explications et les conseils donnés, nous apprenons que des mesures vont être prises dans les prochaines semaines pour sécuriser le plus possible les comptes des joueurs de Guild Wars 2. Voici un petit rappel des mesures déjà en place, suivi de celles que nous devrions bientôt voir arriver :

  • l'authentification par e-mail, qui est déjà en place. Lors de votre première connexion à Guild Wars 2, un e-mail vous est envoyé pour valider le lieu de votre connexion. À chaque fois qu'une connexion à votre compte Guild Wars 2 se fera via un autre lieu, un mail vous sera alors automatiquement envoyé pour que vous confirmiez bien être dans ce lieu. En cas de tentative de vol de compte, vous serez donc averti par mail que vous vous connectez à partir d'un lieu différent (alors que ce n'est visiblement pas le cas), et c'est alors à vous de réagir le plus rapidement possible pour changer votre mot de passe Guild Wars 2 et ainsi empêcher le vol de compte.
  • l'authentification à deux facteurs, qui sera mise en place dès que possible. Il s'agit d'une méthode de connexion où à chacune d'elle, vous devrez annoncer que c'est bel et bien vous qui vous connectez. ArenaNet avait songé a utilisé cette méthode en incluant un code SMS à rentrer à l'écran de connexion, mais a abandonné le projet pour se tourner vers une seconde méthode : Google Authentificator. Nous n'en savons pas encore assez pour vous dire comment cela fonctionnera dans Guild Wars 2, mais un prochain article nous en fera très certainement part.
  • la liste noire de mots de passe, qui sera mise en place dès que possible. Même si un mot de passe complexe n'est plus une protection totale face à une tentative de vol, l'utilisation d'un mot de passe dit "simple" n'en offre pas moins une facilité plus accrue de vol de compte. Pour cela, ArenaNet a établi une liste de plus de 20 millions (chiffre en croissance constante) de mots de passe "simples" qui ne pourront pas être utilisés par les joueurs. Avec cela, il nous est demandé de modifier notre mot de passe Guild Wars 2. Nos mots de passe actuels seront ajoutés à la liste noire, ne pouvant plus être utilisés par la suite. Cette demande nous sera refaite à plusieurs reprises dans les prochaines semaines.
Ce ne sont que quelques bribes de ce qui est donné dans cet article, et il est hautement recommandé de le lire en entier pour s'informer du mieux que possible sur les possibilités de protection face aux tentatives de vol de compte, et comment ArenaNet compte réagir face à cela. Retrouvez donc l'article complet à cette adresse, ou directement à la suite de cette news.

Citation

J’aimerais prendre un moment pour vous parler de la sécurité des comptes : comment vous pouvez sécuriser votre compte et ce que nous faisons pour vous y aider.

Si vous ne devez retenir qu’une seule chose de cet article, que cela soit la suivante : dans l’environnement actuel, vous devez utiliser un mot de passe unique pour chaque compte important.

Si vous utilisez actuellement un mot de passe pour Guild Wars 2 qui est déjà utilisé ailleurs, remplacez-le par un autre, nouveau et unique.

Comment les pirates volent les comptes

La plupart des conseils de sécurité de ces dernières années insistaient sur le choix d’un mot de passe fort. Vous avez pu être amenés à penser que la principale méthode d’attaque des pirates était de viser les comptes avec des mots de passe faibles, peut-être en passant en revue l’intégralité des mots dans le dictionnaire. C’est en fait rarement le cas.

La situation réelle est la suivante : les pirates accèdent aux comptes de jeu parce qu’ils connaissent déjà l’identifiant de compte et le mot de passe. Et ils disposent de ces informations parce qu’ils les ont volées (via des brèches de sécurité ou des logiciels espions) auprès d’un autre jeu ou site où la personne utilisait un identifiant et un mot de passe identiques.

Ainsi, si ce que vous avez retenu des conseils de sécurité précédents était de choisir un mot de passe compliqué unique, de le mémoriser puis de l’utiliser ensuite n’importe où, vous êtes très mal équipé pour la situation actuelle. De nos jours, vous devez utiliser un mot de passe unique pour sécuriser chaque compte.

Ici à ArenaNet, nous avons la capacité d’observer les tentatives de piratage en direct, ce qui est un spectacle fascinant. Ainsi, nous voyons les pirates utiliser des dizaines de milliers d’adresses IP distinctes pour passer en revue des millions d’identifiants et de mots de passe, la plupart d’entre eux n’existant même pas dans notre base de données, à la recherche de résultats positifs. Au lieu d’essayer de deviner les mots de passe par la force brute, les pirates tentent une combinaison identifiant/mot de passe spécifique à chaque fois. Par exemple, le nom de compte “marc.utilisateur@exemple.com” avec le mot de passe “alligator101″. S’ils ne parviennent pas à se connecter, ils essaient avec une variante comme “alligator100″ ou “alligator102″, avant de passer rapidement à la ligne suivante sur leur liste. Il est très intéressant de constater que les mots de passe sujets à ces tentatives de piratage répondent en général aux critères de sécurité dits forts. Pour chaque compte associé à un mot de passe du style “twilight” (exemple réel, ಠ_ಠ), il y en a des dizaines avec des mots de passe très forts. Les utilisateurs dans leur ensemble savent clairement comment choisir de bons mots de passe. La raison pour laquelle il y a encore des piratages est qu’ils utilisent les mêmes mots de passe sur plusieurs sites.

L’environnement de sécurité a évolué. Nous n’avons pas observé de pirates testant de vastes listes d’identifiants et de mots de passe volés quand nous avons lancé le premier Guild Wars. Mais ces dernières années, une quantité réellement incroyable d’éditeurs de jeux et de sites Internet ont été victimes d’intrusions dans leurs bases de données de comptes [ndlr : cf liens en bout d'article]. Ces brèches de sécurité, 77 millions de comptes ici, 25 millions ici, d’autres millions , peuvent sembler abstraites ou trop grandes pour être réelles, mais c’est tout le contraire. Les informations obtenues dans ces bases de données ont une grande valeur pour les pirates qui peuvent les utiliser pour attaquer chaque nouveau jeu qui sort.

Ainsi, s’il a jamais été utile de mémoriser un seul mot de passe fort et de l’utiliser pour plusieurs comptes, ce n’est définitivement plus le cas de nos jours. Maintenant, il est d’une importance vitale d’avoir un mot de passe unique pour chaque compte auquel vous tenez et que vous comptez garder.

Authentification par e-mail

Nous avons mis en place une procédure, l’authentification par e-mail, qui a pour fonction de sécuriser votre compte même si un pirate obtient votre identifiant et votre mot de passe.

Je vais vous expliquer comment ça marche. Quand vous vous connectez pour la première fois, nous vous demandons de valider votre adresse e-mail. Ensuite, à chaque fois que vous vous connectez à partir d’un autre endroit, nous vous envoyons un e-mail pour valider ou non la tentative de connexion.

Donc si vous recevez un e-mail inattendu vous demandant de valider une connexion d’un endroit d’où vous n’êtes pas en train de jouer, cela signifie qu’un pirate connaît déjà votre identifiant et votre mot de passe ! La seule chose qui l’empêche de se connecter à votre place est le système d’authentification par e-mail ! Changez immédiatement votre mot de passe.

Malheureusement, même avec cette procédure, il y a toujours des comptes qui se font pirater. Voici pourquoi : tout d’abord, environ un tiers des joueurs n’a pas encore vérifié son adresse e-mail. Nous ne pouvons pas demander d’authentification par e-mail aux joueurs qui n’ont pas vérifié leur adresse e-mail. Deuxièmement, dans de nombreux cas, les pirates ont également accès à l’e-mail du joueur et peuvent donc répondre au message d’authentification et ainsi valider eux-mêmes leur tentative de connexion. Ceci arrive tout particulièrement aux joueurs qui utilisent le même mot de passe pour leur compte e-mail, pour leur compte Guild Wars 2 et d’autres comptes.

Pour rester protégés, assurez-vous de vérifier votre adresse e-mail et de ne pas utiliser le même mot de passe pour votre e-mail et votre compte de jeu.

Authentification à deux facteurs

En plus de l’authentification par e-mail, vous pouvez sécuriser encore plus votre compte en activant l’authentification à deux facteurs sur votre compte e-mail, ce qui est une excellente idée dans tous les cas. Ce type d’authentification par e-mail protège votre compte d’une façon très similaire aux implémentations habituelles de l’authentification à deux facteurs dans les jeux : le jeu demande la vérification de chaque tentative de connexion depuis un nouvel endroit d’une façon qui vous oblige à faire une authentification à deux facteurs pour la valider.

Nous savons que les joueurs veulent également une implémentation native de l’authentification à deux facteurs et nous sommes d’accord. C’est un domaine où, en tant qu’entreprise commerciale, nous nous devons d’agir rapidement et c’est notre intention. Nous avions notre propre système d’authentification à deux facteurs via téléphone portable en cours de test, mais nous avons décidé de l’abandonner en faveur de l’intégration de Guild Wars 2 avec le Google Authenticator, qui dispose déjà de versions robustes sur la plupart des plateformes portables. Nous espérons que tout sera prêt dans les deux prochaines semaines.

L’authentification à deux facteurs est un excellent outil pour permettre aux joueurs conscients des enjeux de la sécurité de protéger leurs comptes. Mais nous savons également qu’il faudra du temps pour qu’une portion non négligeable de nos joueurs adopte l’authentification à deux facteurs et, entretemps, d’autres continueront de se faire usurper leurs comptes de jeu parce qu’ils utilisent des identifiants et des mots de passe déjà connus des pirates. Il nous fallait donc mettre en place rapidement une solution qui protège tout le monde, et pas seulement les joueurs les plus conscients des risques. C’est pourquoi nous avons mis en place la procédure suivante : la liste noire de mots de passe.

Liste noire de mots de passe

Comme nous pouvons observer les pirates constamment en train d’essayer de se connecter à des comptes qui n’existent même pas encore, en attendant que des joueurs les créent, nous voulons bien évidemment nous assurer que les nouveaux joueurs ne se mettent pas à utiliser les mots de passe attendus par les pirates. Pour ce faire, nous avons établi une liste noire de tous les mots de passe proposés par les pirates, actuellement près de 20 millions d’éléments, un chiffre en croissance constante, et nous empêchons les nouveaux joueurs de choisir l’un de ceux-ci. (La liste noire ne contient que les mots de passe, pas les identifiants.)

Ce système a notablement réduit la capacité des pirates à voler de nouveaux comptes, car ceux-ci ne correspondent plus aux combinaisons utilisées dans leurs tentatives. Le taux de piratage de compte était d’environ 1.5 % pour ceux créés avant la mise en place de la liste noire. Il est désormais près aux alentours de 0,1 % pour ceux créés depuis.

Comme cette procédure a été très efficace, nous voulons qu’elle commence également à protéger les comptes existants. Mais il est difficile pour nous de savoir si les mots de passe des comptes existants sont connus des pirates : comment distinguer une tentative de connexion par le joueur correct et une tentative par un pirate ? Nous avons donc opté pour l’approche la plus sûre et allons demander à tous les joueurs existants de changer leur mot de passe et mettre tous les anciens mots de passe sur notre liste noire.

Nous avons donc la requête suivante à faire : à tous les joueurs existants, veuillez changer votre mot de passe. Une fois le changement effectué, le système ne vous laissera pas choisir votre ancien mot de passe ou tout autre qui a déjà été utilisé avec un compte, existant ou non. Ainsi, vous pourrez être certain que votre nouveau mot de passe pour Guild Wars 2 est réellement unique. (Cependant, il ne le restera que si vous ne l’utilisez pas pour d’autres jeux ou sites Internet, alors ne le faites pas !)

Dans les semaines à venir, nous allons insister sur ce message afin que nos joueurs changent leur mot de passe, jusqu’à finalement exiger un changement obligatoire de mot de passe pour les joueurs qui ne l’auront pas encore fait volontairement.

D’ailleurs, si vous avez du mal à penser à un nouveau mot de passe unique, maintenant que des millions de mots de passe ont été mis en liste noire, nous vous conseillons d’en construire un à partir de quatre mots aléatoires, comme expliqué dans cette bande dessinée en ligne. Utilisez un mot de passe du style “correct cheval pile agrafe”. Comme le montre le calcul, même si tout le monde sélectionnait leurs mots parmi les 2 000 les plus courants, cela ferait tout de même 16 milliards de milliards de mots de passe possibles. Nous vous proposerons d’ailleurs bientôt un générateur de mots de passe aléatoire inspiré de ce principe.

Piratage de base de données

Certains joueurs ont émis la théorie que des comptes avaient été piratés à cause d’une intrusion préalable dans la base de données de Guild Wars. Nous avons des portails très stricts pour empêcher les attaques réseau d’atteindre nos bases de données client et notre équipe de surveillance est constamment à la recherche de signes d’intrusion. Nous pouvons dire avec confiance qu’il n’y a pas eu de pénétration de nos bases de données.

Nous prenons la sécurité très au sérieux. Vous pouvez le voir avec cet article. Et parmi toutes les choses que nous protégeons à ArenaNet, les plus importantes et les plus protégées sont les informations de nos clients.

Des entreprises comme Blizzard et Valve ont à priori un engagement similaire en matière de sécurité, mais cela ne les a pas empêchées de voir leurs bases de données piratées. Est-ce qu’un jour nos défenses succomberont à une attaque similaire ?

Si cela devait survenir, nous serions francs avec vous et nous prendrions immédiatement des mesures pour que cela ne mène pas à un piratage systématique de comptes. Voilà d’ailleurs un autre point à considérer. Comme nous demandons à tous nos joueurs de Guild Wars 2 d’utiliser un mot de passe unique pour le jeu, il n’y a rien qu’un pirate pourrait utiliser de Guild Wars 2 pour attaquer d’autres jeux ou sites. L’utilisation de mots de passe uniques a donc un double avantage. En règle générale, vous engager à utiliser un mot de passe unique pour chaque compte important est le meilleur moyen de vous protéger, non seulement contre un piratage aujourd’hui, mais contre une éventuelle usurpation due à une brèche de sécurité dans toute entreprise avec laquelle vous serez amené à être en relation dans le futur.

Sécurité des transactions commerciales

Nous avons observé quelques rares cas où les pirates ont acheté des gemmes avec un compte après l’avoir piraté. Ce type d’attaque est peu courant, car nous avons des restrictions en jeu qui empêchent le transfert de valeurs hors d’un compte dans un cas comme celui-ci.

Cependant, nous avons mis en place de nouvelles restrictions pour empêcher les pirates d’utiliser les informations de cartes bancaires associées aux comptes usurpés et nous donnons également à nos joueurs la possibilité de supprimer du compte les cartes bancaires enregistrées.

Bien évidemment, si un joueur découvre qu’un pirate a effectué des dépenses non autorisées sur sa carte bancaire, il peut contacter le service d’assistance pour obtenir le remboursement de ces frais indus.
Meilleures pratiques

Cet article s’est concentré sur les pirates qui utilisent des informations volées pour accéder à de nouveaux comptes, car c’est ce que nous constatons le plus souvent. Mais plus nous prendrons de mesures pour résoudre ce problème, plus les pirates se tourneront vers d’autres techniques. Il est donc d’autant plus important que tout le monde reste vigilant envers toutes les atteintes à la sécurité des comptes.
  • Hameçonnage (“Phishing”) : si un e-mail vous renvoie vers un site qui vous demande de taper votre mot de passe, surtout ne le faites pas. Il peut s’agir d’un faux site. Accédez au site réel de gestion de votre compte en naviguant jusqu’à “account.guildwars2.com” ou en utilisant un marque-page personnel.
  • Ingénierie sociale : si quelqu’un prétend travailler pour ArenaNet ou NCsoft et vous demande votre mot de passe, ne le lui donnez pas. Notre équipe d’assistance ne vous demandera jamais votre mot de passe.
  • Chevaux de Troie et logiciels espions : ne téléchargez pas ou n’exécutez pas de programmes et n’ouvrez pas de pièces jointes à un e-mail à moins d’être sûr à 100 % de leur provenance. Les logiciels malveillants peuvent installer un enregistreur de frappe pour observer vos mots de passe et les transmettre.
  • Sécurité d’e-mails : assurez la sécurité de l’adresse e-mail associée à votre compte Guild Wars 2 de la même façon que vous assurez la sécurité de ce dernier. Utilisez un mot de passe fort et unique que vous n’avez jamais utilisé auparavant.
La racine du problème

Pourquoi est-ce que les pirates travaillent si dur à voler des comptes ? Parce que cela leur rapporte de l’argent.

Des entreprises veulent vous vendre de l’or contre de l’argent. Pour y parvenir, elles doivent obtenir l’or et assurer leur promotion. Elles récupèrent l’or en pillant les comptes piratés et en utilisant ces derniers pour gérer des robots. Elles font également leur promotion en utilisant les comptes piratés pour spammer les canaux de discussion.

Si personne n’achetait d’or auprès de ces entreprises, il n’y aurait pas d’incitation financière à voler des comptes. Nous ne constaterions quasiment pas de piratage ou de pillage de compte, de gestion organisée de robots ou de spams.

Nous avions pensé à tout ça pour le premier Guild Wars et posté un peu naïvement des annonces pour demander aux joueurs de ne pas apporter leur soutien à ces entreprises de revente de monnaies virtuelles. Mais nous savions que ce combat était voué à l’échec. Personne ne peut empêcher les gens d’acheter quelque chose qu’ils veulent acheter.

C’est pour cela qu’avec Guild Wars 2, nous avons légalisé la vente d’or, mais de façon à mettre ce pouvoir entre les mains des joueurs, pas des entreprises de revente. Les joueurs qui veulent acheter de l’or peuvent maintenant le faire dans le jeu, dans un marché ouvert à tous, pour échanger de l’or contre des gemmes, que le joueur acheteur peut ensuite utiliser pour toutes les microtransactions de son choix, sans pouvoir être reconverti en devises réelles. Tant que les joueurs achètent leur or de cette façon, il n’y a plus de flux d’argent vers les entreprises de revente et celles-ci n’ont donc plus d’incitation financière à pirater des comptes.

Ainsi, les bases de notre système de protection sont intégrées en profondeur dans la conception de Guild Wars 2 et nous nous en servons pour faire de Guild Wars 2 un environnement plus sécurisé que la plupart des MMO traditionnels.

Mais rien n’est jamais tout blanc ou tout noir. Indépendamment du pourcentage d’incitation financière que nous détruisons, le fait reste que Guild Wars 2 est un jeu très populaire et que ceux-ci attirent les pirates. C’est pourquoi la sécurité est au premier rang de tout ce que nous faisons. Nous introduisons des fonctionnalités nouvelles, comme l’authentification par e-mail, l’authentification à deux facteurs et la liste noire de mots de passe pour préserver la sécurité des comptes. Nous entretenons un dialogue ouvert avec les joueurs sur les menaces réelles de façon à ce qu’ils sachent comment s’en protéger. Et nous avons une équipe de GM en alerte constante pour apporter son assistance aux joueurs victimes de piratage.

La sécurité réside dans les détails, je vous remercie donc d’avoir lu cet article jusqu’au bout. Veuillez changer votre mot de passe et utiliser les autres conseils prodigués pour protéger votre compte. De notre côté, nous continuerons à nous concentrer sur la sécurité des comptes et à travailler constamment pour protéger nos clients.

- Mike O’Brien

Les liens suivants sont donnés à titre d'exemple par ArenaNet concernant les piratages de données :

http://latimesblogs....k-bethesda.html
http://securitywatch...-in-data-breach
http://uk.ign.com/ar...emasters-hacked
http://www.tentonham...database-breach
http://forums.epicga...eek-s-data-loss
http://www.rockpaper...17/sega-hacked/
http://www.1up.com/n...database-hacked
http://arstechnica.c...sonal-info-may-be-stolen/
http://antivirus.abo...-ad-on-woes.htm
http://amd-icbm.com/...again-breached/
http://gadgetwise.bl...-you-should-do/
http://arstechnica.c...-dumped-online/
http://www.zdnet.com...ds-leaked/12358
http://www.computerw...password_re_use
http://spectrum.ieee...ing-and-nividia
http://www.securityw...-good-companies
http://www.computerw...kedIn_passwords

19 commentaires

© 2008 ArenaNet, Inc. Tous droits réservés. NCsoft, le logo NC, ArenaNet, Guild Wars,
Guild Wars Factions, Factions et tous les logos et croquis associés à NCsoft et ArenaNet
sont des marques commerciales ou déposées de NCsoft Corporation.
Copyright © NCsoft Corporation. Toutes les autres marques commerciales ou déposées sont
la propriété de leurs détenteurs respectifs.

Design: Flymag, Template: Cypher, Code: JB
© 2007-2009 - Univers Virtuels