Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

World of Tanks : des serveurs vulnérables et des données personnelles volées

Et ça continue, encore et encore...

World of Tanks : des serveurs vulnérables et des données personnelles volées

Le 22 avril 2013 à 08h42

Les serveurs du jeu World of Tanks, regroupant plus de 45 millions d'utilisateurs ont été victime d'une attaque peu avant le week-end. L'éditeur, Wargaming, a confirmé l'incident, tout en précisant qu'aucune donnée bancaire n'a été touchée. 

World of Tanks

 

Après les déboires de The War Z, c'est au tour du célèbre World of Tanks d'avoir quelques soucis de sécurité. En effet, l'éditeur du jeu a confirmé qu'une brèche avait été découverte sur les serveurs de son titre phare. Les intrus ont pu faire main basse sur une quantité indéterminée de mots de passe et d'adresses e-mail, heureusement chiffrées. 

 

« Nous avons immédiatement lancé une enquête sur cet incident et nous pouvons vous assurer qu'aucune donnée bancaire n'a été touchée. Cependant, nous croyons que des hashs de mots de passe et d'adresses e-mail ont été compromis », affirme l'éditeur sur son site officiel.

 

Wargaming encourage dès à présent tous ses joueurs à réinitialiser leur mot de passe, qui devra désormais compter un minimum de huit caractères, dont au moins un chiffre et une lettre majuscule. L'éditeur offrira 300 pièces d'or aux utilisateurs se conformant à cette recommandation soit de quoi s'offrir une journée de compte premium sur le jeu, une bien maigre consolation. Enfin, si vous êtes touchés par cet événement, sachez qu'un excellent sujet sur notre forum donne quelques astuces pour choisir un mot de passe robuste.

Commentaires (38)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







corsebou a écrit :



C’est super facile a trouver puisque tu l’as publié…



<img data-src=" />



<img data-src=" />



<img data-src=" />





<img data-src=" /> je suis grilled!

<img data-src=" />


votre avatar







zogG a écrit :



C’est sûr, quand tu sais ce que tu cherches, c’est plus simple de trouver le mot de passe.<img data-src=" />



“oh j’ai un bon feeling là, ça doit être 4 mots du dictionnaire son passe”.









Qui ne fait pas une attaque par dictionnaire ou une rainbow table quand il tente de craquer un mot de passe?……. :p



D’ailleurs ça fait un moment que les gens se sont rendus compte de la technique de mettre des phrases pour mot de passe avec des espaces entre chaque mots…. Enfin je dis ça moi….. <img data-src=" />



Faut pas se dire que les pirates sont des crétins car ils arrivent très souvent à trouver ce qu’ils cherchent.. c’est qu’une question de temps.


votre avatar







XalG a écrit :



Moi je trouve ça bien comme méthode, ça pousse les gens à changer de mot de passe !





Je conteste pas la méthode que je trouve très intelligente. C’est juste qu’il n’est pas sur que leur sécurité va pour autant être optimisé.


votre avatar







Oulanos a écrit :



…..



Evidemment, mettre 4 mots du dictionnaire l’un après l’autre suffit à faire un mot de passe fort…





http://www.passwordmeter.com/



Donc tu vas mettre les 4 mots d’exemple : correct horse battery staple et tu trouves une complexité de 40%.







Il est bidon ce site (il tient compte de “bonne pratique” évalué au doigt mouillé et pas à partir du nombre de combinaison que devrait tester un casseur de mot de passe intelligent). Si on prends en compte 2000 mots dans le dictionnaire, cela revient en gros à un mot de passe de 11 bits ( 2048 possibilité). Ce qui est une hypothèse faible. Si tu prends 4 mots, tu arrives à 44 bits. Pour info, 44 bits, cela revient à un mots de passe complètement random de 8 caractères.



Ton approche en “leet” est une variante qui apporte très très peu d’entropie en plus.



https://tech.dropbox.com/2012/04/zxcvbn-realistic-password-strength-estimation/



Le checker lui-même :

https://dl.dropboxusercontent.com/u/209/zxcvbn/test/index.html



password: C0443cth0r\(3B@773ry\)t@pl3

entropy: 79.959 (il ne détecte pas le “leet”)

crack time (seconds): 58755982316804950000

crack time (display): centuries

score from 0 to 4: 4

calculation time (ms): 10



password: correcthorsebatterystaple

entropy: 45.212

crack time (seconds): 2037200406.475

crack time (display): 65 years

score from 0 to 4: 4

calculation time (ms): 2


votre avatar







John Shaft a écrit :



La bêta World of Warplanes est-elle touchée ?





Probablement oui vu que beaucoup de personnes utilisent un compte unifié pour les 2 et aussi parce que sur le site de World of Warplanes il y a la même news que sur celui de World of Tanks (sans les 300 gold mais en même temps c’est une beta)


votre avatar







cyrano2 a écrit :



Il est bidon ce site (il tient compte de “bonne pratique” évalué au doigt mouillé et pas à partir du nombre de combinaison que devrait tester un casseur de mot de passe intelligent). Si on prends en compte 2000 mots dans le dictionnaire, cela revient en gros à un mot de passe de 11 bits ( 2048 possibilité). Ce qui est une hypothèse faible. Si tu prends 4 mots, tu arrives à 44 bits. Pour info, 44 bits, cela revient à un mots de passe complètement random de 8 caractères.



Ton approche en “leet” est une variante qui apporte très très peu d’entropie en plus.



https://tech.dropbox.com/2012/04/zxcvbn-realistic-password-strength-estimation/



Le checker lui-même :

https://dl.dropboxusercontent.com/u/209/zxcvbn/test/index.html



password: C0443cth0r\(3B@773ry\)t@pl3

entropy: 79.959 (il ne détecte pas le “leet”)

crack time (seconds): 58755982316804950000

crack time (display): centuries

score from 0 to 4: 4

calculation time (ms): 10



password: correcthorsebatterystaple

entropy: 45.212

crack time (seconds): 2037200406.475

crack time (display): 65 years

score from 0 to 4: 4

calculation time (ms): 2









Avec des espaces entre les mots déjà tu gagnes en entropy (je vois que tu les a tous virés).



Je n’ai pas dit que c’était la meilleure solution, j’ai dit que c’était déjà mieux. D’ailleurs tu peux voir la différence entre les deux résultats que tu donnes.



Après là c’est du leet de base avec des mots de dictionnaires déjà existants.



Il y a d’autres formes de leet beaucoup plus complexes à appréhender, de plus la meilleure solution reste d’utiliser un générateur aléatoire.



Prochain défis : retenir par coeur un poême de verlaine et l’utiliser comme mot de passe…. 180 mots.. l’entropy ne doit pas être trop mal là dessus…. <img data-src=" />


votre avatar







Oulanos a écrit :



Avec des espaces entre les mots déjà tu gagnes en entropy (je vois que tu les a tous virés).



Je n’ai pas dit que c’était la meilleure solution, j’ai dit que c’était déjà mieux. D’ailleurs tu peux voir la différence entre les deux résultats que tu donnes.



Après là c’est du leet de base avec des mots de dictionnaires déjà existants.



Il y a d’autres formes de leet beaucoup plus complexes à appréhender, de plus la meilleure solution reste d’utiliser un générateur aléatoire.



Prochain défis : retenir par coeur un poême de verlaine et l’utiliser comme mot de passe…. 180 mots.. l’entropy ne doit pas être trop mal là dessus…. <img data-src=" />







Le plus difficile sera de trouver un site pour s’en servir <img data-src=" />



votre avatar

Ou alors taper n’importe quoi et demander des redefinition de mot de passe à chaque fois que les cookies sont expirés. <img data-src=" />



&gt;&gt;&gt;&gt;&gt;&gt; [_] <img data-src=" />

votre avatar







Oulanos a écrit :



Qui ne fait pas une attaque par dictionnaire ou une rainbow table quand il tente de craquer un mot de passe?……. :p







Quand on voit l’orthographe de certains, c’est pas une attaque par dictionnaire qui risque de trouver quelque chose <img data-src=" />


votre avatar







raoudoudou a écrit :



Quand on voit l’orthographe de certains, c’est pas une attaque par dictionnaire qui risque de trouver quelque chose <img data-src=" />





<img data-src=" /><img data-src=" />


votre avatar







meneldal a écrit :



Probablement oui vu que beaucoup de personnes utilisent un compte unifié pour les 2 et aussi parce que sur le site de World of Warplanes il y a la même news que sur celui de World of Tanks (sans les 300 gold mais en même temps c’est une beta)







En effet, il y a la news sur le site. <img data-src=" />



Hop, nouveau mot de passe d’environ 150 bits généré. Merci KeePass <img data-src=" />


votre avatar







Oulanos a écrit :



Avec des espaces entre les mots déjà tu gagnes en entropy (je vois que tu les a tous virés).



Je n’ai pas dit que c’était la meilleure solution, j’ai dit que c’était déjà mieux. D’ailleurs tu peux voir la différence entre les deux résultats que tu donnes.



Après là c’est du leet de base avec des mots de dictionnaires déjà existants.



Il y a d’autres formes de leet beaucoup plus complexes à appréhender, de plus la meilleure solution reste d’utiliser un générateur aléatoire.



Prochain défis : retenir par coeur un poême de verlaine et l’utiliser comme mot de passe…. 180 mots.. l’entropy ne doit pas être trop mal là dessus…. <img data-src=" />







La différence ne vient que parce que le testeur ne détecte pas le leet. Cela serait facile à faire. Si tu as 10 sortes de leet, cela fait augmenter l’entropie de seulement 4 bits.



Idem pour les espaces, j’imagine qu’il ne les détecte pas mieux, car beaucoup de système de mot de passe les interdise.


votre avatar

De toute façon, dans le cas présent la complexité des mdp n’était pas en cause, vu que c’est leurs serv et leur crypto qui a merder…



Mais bon pour un groupe de hacker qui veux vraiment rien n’est totalement infranchissable du moment que c’est relier au net (et encore même sans parfois il y a des surprises).



Avoir un mdp de 128 caractères comprenant des minuscules, des majuscules, des chiffres et des caractères spéciaux ne changerais strictement rien au pb…

votre avatar







animehq a écrit :



Avoir un mdp de 128 caractères comprenant des minuscules, des majuscules, des chiffres et des caractères spéciaux ne changerais strictement rien au pb…







si leur base de donné sont faite correctement, les mots de passe sont des hash. Les pirates déduisent les mots de passe par force brute. Cela devient impossible de le faire pour les mots de passe fort.


votre avatar







cyrano2 a écrit :



si leur base de donné sont faite correctement, les mots de passe sont des hash. Les pirates déduisent les mots de passe par force brute. Cela devient impossible de le faire pour les mots de passe fort.







La majorité des mots de passe employés sont faibles. (estimation au doigt mouillé <img data-src=" />)



J’ai testé avec une base de nos clients sur notre appli par curiosité

je vous rassure ils sont hashés dans la base :p

Cherche le hash sur google =&gt; trouvé dans une base de rainbow online.90% des mdp sont bidons..



On peut éventuellement mettre un salt mais dans ce cas il faudrait un salt TRES long . Un salt trop court ralentirait le bruteforce mais on pourrait encore lire le pass dans des rainbows :)



Et me parlez pas de contrôler la force des mdp dans le logiciel et de bloquer les mdp faibles, ca râlerait fort <img data-src=" />



L’implementation du système de MDP est un chose, mais il reste le PEBKAC


votre avatar







cyrano2 a écrit :



si leur base de donné sont faite correctement, les mots de passe sont des hash. Les pirates déduisent les mots de passe par force brute. Cela devient impossible de le faire pour les mots de passe fort.







Et ? Si dans la base de donnée tu as juste les hash il suffit de trouver un mot de passe qui donne le même hash et basta…


votre avatar

Ceci explique la promo des 300 pièces d’or en fin de semaine pour changer son MDP. <img data-src=" />

votre avatar

Très sympa conne méthodo pour les mots de passe!

votre avatar

Mot de passe modifié et 300 po dépensé dans ma conversion d’xp libre. Aucune importance pour mon mot de passe de toute façon je n’ai rien dépensé dans le jeu <img data-src=" />

Cela dit sa fait un peu genre “nos serveurs sont pas sécurisés mais prennez ces 300 po et ne vous plaignez pas”.

votre avatar







ExoDarkness a écrit :



Cela dit sa fait un peu genre “nos serveurs sont pas sécurisés mais prennez ces 300 po et ne vous plaignez pas”.







Moi je trouve ça bien comme méthode, ça pousse les gens à changer de mot de passe !



votre avatar

Les conseils du forum sont un peu tordu. Au lieu de se faire chi… avec un mot de passe incompréhensible, vous pouvez avoir le même genre de sécurité en collant 4 mots non basiques du dictionnaires. Il “suffit” que le site web autorise les mots de passe avec 20 caractères ou plus.



https://sslimgs.xkcd.com/comics/password_strength.png



https://xkcd.com/936/

votre avatar

La bêta World of Warplanes est-elle touchée ?

votre avatar
votre avatar



Et ça continue, encore et encore…



«C’est que le début d’accord, d’accord…»

«C’est toujours le même film qui passe»

<img data-src=" />

votre avatar

Et le pire, c’est qu’on ne peut pas simplement supprimer son compte !

votre avatar







cyrano2 a écrit :



Les conseils du forum sont un peu tordu. Au lieu de se faire chi… avec un mot de passe incompréhensible, vous pouvez avoir le même genre de sécurité en collant 4 mots non basiques du dictionnaires. Il “suffit” que le site web autorise les mots de passe avec 20 caractères ou plus.



https://sslimgs.xkcd.com/comics/password_strength.png



https://xkcd.com/936/







+1, pas la peine d’avoir des caractères bizarres pour avoir un mot de passe robuste.



Une autre méthode qui marche bien : prendre une phrase relativement longue (15 mots environ) et ne garder que les initiales de chaque mot pour constituer le mot de passe. On obtient donc un mot de passe d’une quinzaine de caractères, robuste aux attaques par dictionnaire, et très facile à mémoriser. Et même si quelqu’un regarde par dessus notre épaule pendant qu’on tape le mot de passe, bonne chance pour le mémoriser du premier coup sans connaitre la phrase !


votre avatar







cyrano2 a écrit :



Les conseils du forum sont un peu tordu. Au lieu de se faire chi… avec un mot de passe incompréhensible, vous pouvez avoir le même genre de sécurité en collant 4 mots non basiques du dictionnaires. Il “suffit” que le site web autorise les mots de passe avec 20 caractères ou plus.



https://sslimgs.xkcd.com/comics/password_strength.png



https://xkcd.com/936/





Ce n’est vrai qu’en brute force bête et méchant. Cette technique revient à écrire le moyen mnémotechnique à la place du mot de passe, et n’est “plus sécurisé” que par ce qu’elle est moins employée (donc moins souvent incluse dans les algos de prédiction de mot de passe).


votre avatar







cyrano2 a écrit :



Les conseils du forum sont un peu tordu. Au lieu de se faire chi… avec un mot de passe incompréhensible, vous pouvez avoir le même genre de sécurité en collant 4 mots non basiques du dictionnaires. Il “suffit” que le site web autorise les mots de passe avec 20 caractères ou plus.



https://sslimgs.xkcd.com/comics/password_strength.png



https://xkcd.com/936/







…..



Evidemment, mettre 4 mots du dictionnaire l’un après l’autre suffit à faire un mot de passe fort…





http://www.passwordmeter.com/



Donc tu vas mettre les 4 mots d’exemple : correct horse battery staple et tu trouves une complexité de 40%.



Une attaque par dictionnaire et c’est réglé. Autant prendre des mots qui n’existent pas à la limite ça sera plus utile si tu veux faire cette approche là. Il n’y a effectivement pas besoin d’avoir 10000 symboles et caractères pour que ce soit efficace mais pour moi de mettre 4 pauvre mots sortis d’un dictionnaire.. c’est moyen.



Tu prends le même mot de passe :



C0443ct h0r\(3 B@773ry \)t@pl3



Et là on rediscute de la facilité de trouver ton mot de passe….



Oui c’est plus difficile à se rappeler mais pas tellement une fois que tu as défini dans ta tête comment tu remplaces quelle lettre par quel chiffre / symbole..





Il est bien entendu que ce sont des mots qui existent et qu’en fait il suffit de faire un dictionnaire “leet” pour arriver à retrouver ça aussi. C’est pourquoi il faut faire des mots qui n’existent pas..





Après si vraiment on doit craquer ton mot de passe… c’est qu’à un moment on est arrivé dans la situation ou le gars a sans doute aussi ton mail.



Et si sur ton mail tu as un mot de passe faible et bien il a accès à ta boite mail et donc potentiellement à tout ce qu’il veut derrière.



C’est pas forcément non plus l’accès à un jeu comme World of Tank qui l’intéresse le gars, c’est juste que la plupart des gens vont mettre un mot de passe de 255 caractères pour le compte du jeu et 5 caractère pour le gmail qui va derrière…… utile quoi <img data-src=" />



edit : ortho


votre avatar







Oulanos a écrit :



Tu prends le même mot de passe :



C0443ct h0r\(3 B@773ry \)t@pl3



Et là on rediscute de la facilité de trouver ton mot de passe….





C’est super facile a trouver puisque tu l’as publié…



<img data-src=" />



<img data-src=" />



<img data-src=" />


votre avatar







Oulanos a écrit :



Une attaque par dictionnaire et c’est réglé. Autant prendre des mots qui n’existent pas à la limite ça sera plus utile si tu veux faire cette approche là. Il n’y a effectivement pas besoin d’avoir 10000 symboles et caractères pour que ce soit efficace mais pour moi de mettre 4 pauvre mots sortis d’un dictionnaire.. c’est moyen.







C’est sûr, quand tu sais ce que tu cherches, c’est plus simple de trouver le mot de passe.<img data-src=" />



“oh j’ai un bon feeling là, ça doit être 4 mots du dictionnaire son passe”.


votre avatar







raoudoudou a écrit :



Quand on voit l’orthographe de certains, c’est pas une attaque par dictionnaire qui risque de trouver quelque chose <img data-src=" />







Moi qui fait la guerre pour l’orthographe à mon boulot (même si je ne suis pas exempt de tout défaut), je n’ai pas pu m’empêcher de citer cette phrase haut et fort puis d’éclater de rire <img data-src=" />



Merci pour cette tranche de rigolade :)


votre avatar







animehq a écrit :



Et ? Si dans la base de donnée tu as juste les hash il suffit de trouver un mot de passe qui donne le même hash et basta…







Oui, c’est tellement simple.



MD5 = 128 bits = 2^128 possibilités = en moyenne 2^127 essais pour trouver un hash correspondant = 5000000000000000000000 années, à raison d’une vitesse de 1 milliard de hashes par seconde (ce qui est la vitesse d’une bonne carte graphique de nos jours).



Je t’épargne le calcul pour les SHA1 (160 bits) et SHA256 (224 bits minimum)…


votre avatar







animehq a écrit :



Et ? Si dans la base de donnée tu as juste les hash il suffit de trouver un mot de passe qui donne le même hash et basta…







<img data-src=" /> Le problème est connu depuis 20 ans et la solution aussi. Il suffit d’utiliser un salt. En gros, une valeur aléatoire associé au login.



Le hash contient ainsi le login+mdp+salt. Si le Salt est de 64 bits, c’est complexe. Si le nombre de bit dépasse 100, c’est juste impossible de retrouver le mot de passe.



y’a aussi la téchnique bourrine d’utiliser 1000 hash recursif pour ralentir la génération de clef, ou des algo fait exprès comme bcrypt (de mémoire).


votre avatar







Freud a écrit :



Oui, c’est tellement simple.



MD5 = 128 bits = 2^128 possibilités = en moyenne 2^127 essais pour trouver un hash correspondant = 5000000000000000000000 années, à raison d’une vitesse de 1 milliard de hashes par seconde (ce qui est la vitesse d’une bonne carte graphique de nos jours).



Je t’épargne le calcul pour les SHA1 (160 bits) et SHA256 (224 bits minimum)…







Oui mais ca c’est avec une carte graphique, maintenant si tu as un botnet derrière ou du matos un poil spécialisé (fpga / asic) ça va beaucoup plus vite.



Il n’y a qu’a voir avec le minage de bitcoin ou l’on est rendu avec un hash en SHA256…


votre avatar







Freud a écrit :



Oui, c’est tellement simple.



MD5 = 128 bits = 2^128 possibilités = en moyenne 2^127 essais pour trouver un hash correspondant = 5000000000000000000000 années, à raison d’une vitesse de 1 milliard de hashes par seconde (ce qui est la vitesse d’une bonne carte graphique de nos jours).



Je t’épargne le calcul pour les SHA1 (160 bits) et SHA256 (224 bits minimum)…







Oui mais non <img data-src=" /> Si tu parts du principe que la plus part des mots de passe on 10 caractères et moins, cela donne en gros, 6 bits d’entropie par caractères soit un mot de passe de 2^60, soit beaucoup moins que les 2^128 d’un hash md5. Si tu utilises les 1000 mots de passe les plus courant, tu dois casser 20% de la base…


votre avatar







cyrano2 a écrit :



<img data-src=" /> Le problème est connu depuis 20 ans et la solution aussi. Il suffit d’utiliser un salt. En gros, une valeur aléatoire associé au login.



Le hash contient ainsi le login+mdp+salt. Si le Salt est de 64 bits, c’est complexe. Si le nombre de bit dépasse 100, c’est juste impossible de retrouver le mot de passe.



y’a aussi la téchnique bourrine d’utiliser 1000 hash recursif pour ralentir la génération de clef, ou des algo fait exprès comme bcrypt (de mémoire).







Oui mais la c’est croire que les boites qui font des jeux miteux genre wot se font chier avec ce genre de choses…



Il n’y a qu’a voir flyff par ex, avec un salt unique fixé dans les sources et un vulgaire hash en md5 utilise…


votre avatar







animehq a écrit :



Oui mais ca c’est avec une carte graphique, maintenant si tu as un botnet derrière ou du matos un poil spécialisé (fpga / asic) ça va beaucoup plus vite.



Il n’y a qu’a voir avec le minage de bitcoin ou l’on est rendu avec un hash en SHA256…







Il ne faut pas tout confondre…




  1. Même avec toute la puissance de calcul du monde, il faudrait quelques centaines d’années pour générer 2^127 hashes MD5. On est TRÈS loin de pouvoir trouver en un temps correct une préimage sur un hash arbitraire.



  2. Le minage de bitcoin ne consiste pas à trouver un hash SHA256 spécifique, il consiste à trouver un hash SHA256 qui commence avec un certain nombre de 0. La difficulté actuelle fait qu’il faut calculer environ 2^55 hashes pour générer un bloc. Soit… 4722366482869645213696 fois moins que pour générer une préimage pour un hash MD5 arbitraire. Une fois de plus, on est TRÈS loin du compte.







    cyrano2 a écrit :



    Oui mais non <img data-src=" /> Si tu parts du principe que la plus part des mots de passe on 10 caractères et moins, cela donne en gros, 6 bits d’entropie par caractères soit un mot de passe de 2^60, soit beaucoup moins que les 2^128 d’un hash md5. Si tu utilises les 1000 mots de passe les plus courant, tu dois casser 20% de la base…







    Oui mais non <img data-src=" />

    Je répondais à une affirmation de animehq, qui pense que dans le cas où le mot de passe est trop long et trop compliqué pour être bruteforcé, il suffirait de trouver une autre préimage qui donne le même hash. Et je lui explique donc que non, ce n’est pas du tout le cas.


votre avatar







animehq a écrit :



Oui mais la c’est croire que les boites qui font des jeux miteux genre wot se font chier avec ce genre de choses…



Il n’y a qu’a voir flyff par ex, avec un salt unique fixé dans les sources et un vulgaire hash en md5 utilise…







Si ils se font voler leur base, il devrait être directement responsable de tout ce qui est fait avec les données volés. Un salt fixe est toujours mieux que pas de salt, mais bon…


World of Tanks : des serveurs vulnérables et des données personnelles volées

Fermer