Faille Nintendo : jusqu’à 160 000 comptes touchés, les NNID ne donnent plus accès aux comptes Nintendo
Le 27 avril 2020 à 09h28
2 min
Société numérique
Société
La semaine dernière, nous évoquions des achats frauduleux via des comptes Nintendo avec un PayPal associé. Il y a quelques jours, les yeux se sont tournés vers le NNID (Nintendo Network ID) utilisé sur les Wii U et 3DS, et que l’on peut lier au compte Nintendo utilisé par la Switch.
Le fabricant est finalement sorti de sa torpeur pour annoncer que les comptes Nintendo Network ID ne permettent désormais plus de se connecter aux comptes Nintendo. « Nous contacterons bientôt les utilisateurs pour réinitialiser les mots de passe des identifiants Nintendo Network et des comptes Nintendo dont nous avons des raisons de croire qu'ils ont été consultés sans autorisation », ajoute le fabricant.
Il précise sur cette page qu’environ 160 000 comptes peuvent avoir eu une connexion détournée via le Nintendo Network ID. Des informations comme les nom, surnom, date de naissance, sexe, pays/région et email ont pu être accédé, mais pas les cartes bancaires. Néanmoins, il semble que les moyens de paiement liés (comme PayPal) auraient été utilisés pour des achats frauduleux.
Il ajoute : « Alors que nous continuons d'enquêter, nous souhaitons rassurer les utilisateurs sur le fait qu'il n'existe actuellement aucune preuve indiquant une violation des bases de données, serveurs ou services de Nintendo ».
Comme nous l’avions déjà recommandé, la société demande à ses clients d’activer l’authentification en deux étapes. Cela ne concerne d’ailleurs pas que Nintendo : n’hésitez pas à l’activer dès que possible.
Le 27 avril 2020 à 09h28
Commentaires (17)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 28/04/2020 à 07h11
Mais non, TOTP n’a pas de lien avec Google !
https://openauthentication.org/
TOTP est un standard ouvert poussé par les membres de l’OATH. Il est basé sur HOTP (HMAC)…
Le 28/04/2020 à 10h36
Moi ça me les brise menu cette généralisation de la double authentification, surtout quand elle est obligatoire, comme la loi l’impose maintenant pour se connecter à ses espaces bancaires (seulement se connecter, pas faire des opérations sensibles où là, il y en avait déjà une justifiée et elle y est toujours).
C’est contraignant quelle que soit la manière, et ce n’est pas homogène (merci les applications spécifiques à un service), et dans mon cas (plus de 20 ans d’utilisation d’Internet), la seule source possible de problème avec la simple authentification est le piratage d’un service que j’utilise (avec conséquences limitées à ce service-là).
Donc ça me donne franchement l’impression de me casser les pieds tous les jours à cause des boîtes qui ne font pas leur boulot et des débiles qui donnent leurs mots de passe à n’importe qui. Et après, on passera à la triple ? Quadruple ?
Bref, on va sans doute me dire que j’ai tort, mais ça me gonfle quand-même.
Le 28/04/2020 à 10h49
Et j’ajoute qu’il serait temps que les boîtes qui se font pirater ne puissent plus se contentent d’un “désolé” et de passer pour un con pendant 1 semaine. Il faudrait des sanctions qui s’appliqueraient “automatiquement” dans ce genre de cas.
Parce que là, la plupart n’ont aucune incitation à se préoccuper de la sécurité, éventuellement elles ajoutent juste l’authentification à deux étapes, et en cas de piratage, stigmatisent leurs clients en leur disant qu’ils auraient du l’activer. C’est facile quand même, et elles oublient généralement que les données de connexion ne sont pas toujours les seules ni les plus importantes à être volées.
Le 27/04/2020 à 09h01
Ca sent la base de données d’utilisateurs de NNID qui a fuité
Le 27/04/2020 à 10h58
C’est un peu maigre comme information de leur part…
Le 27/04/2020 à 11h32
Et du coup ils vont rembourser les victimes ?
Le 27/04/2020 à 12h44
Ils le font deja
Le 27/04/2020 à 13h31
Pour le moment toutes les personnes que j’ai vu remonter le problème sur Twitter ce sont fait envoyées bouler, comme quoi les dépenses étaient liées au compte Nintendo et qu’en gros il fallait mieux surveiller leurs enfants. ^^;
Le 27/04/2020 à 14h22
Authentification en deux étapes uniquement basée sur Google (Authenticator). Donc c’est problématique car il faut avoir un appareil iOS ou Android (ou à défaut une VM, ce qui pose des soucis d’accessibilité).
Le 27/04/2020 à 14h40
Non c’est du TOTP tout bête il y a plein d’applications compatibles sur tous les OS.
Le 27/04/2020 à 15h18
comme les nom, surnom, date de naissance, sexe, pays/région et email ont pu être accédé
Un bon rappel de toujours mettre de fausses informations personnels et un email poubelle sur ce genre de service sur Internet " />
Le 27/04/2020 à 16h00
Le 27/04/2020 à 16h15
Merci du mot-clé, ça résout le problème de la plateforme. Pas de la dépendance à Google il me semble.
Le 27/04/2020 à 16h37
Le 27/04/2020 à 19h04
Pour le compte Nintendo ?
Je suis en train de tester WinAuth. Effectivement il n’y a pas de lien avec Google (à part l’implémentation de TOTP donc). Nickel.
Le 27/04/2020 à 20h48
Le 27/04/2020 à 21h43
+1 avec Guipom.
Tu n’as meme pas besoin de compte microsoft pour que ca marche et il ne sert que pour le backup/recovery.
J’utilise MS Authenticator des que je dois utiliser la double authentification. Il suffit de d’ajouter un compte (other account) et de scanner le QR code et ca marche.