Connexion
Abonnez-vous

Faille Nintendo : jusqu’à 160 000 comptes touchés, les NNID ne donnent plus accès aux comptes Nintendo

Faille Nintendo : jusqu’à 160 000 comptes touchés, les NNID ne donnent plus accès aux comptes Nintendo

Le 27 avril 2020 à 09h28

La semaine dernière, nous évoquions des achats frauduleux via des comptes Nintendo avec un PayPal associé. Il y a quelques jours, les yeux se sont tournés vers le NNID (Nintendo Network ID) utilisé sur les Wii U et 3DS, et que l’on peut lier au compte Nintendo utilisé par la Switch.

Le fabricant est finalement sorti de sa torpeur pour annoncer que les comptes Nintendo Network ID ne permettent désormais plus de se connecter aux comptes Nintendo. « Nous contacterons bientôt les utilisateurs pour réinitialiser les mots de passe des identifiants Nintendo Network et des comptes Nintendo dont nous avons des raisons de croire qu'ils ont été consultés sans autorisation », ajoute le fabricant.

Il précise sur cette page qu’environ 160 000 comptes peuvent avoir eu une connexion détournée via le Nintendo Network ID. Des informations comme les nom, surnom, date de naissance, sexe, pays/région et email ont pu être accédé, mais pas les cartes bancaires. Néanmoins, il semble que les moyens de paiement liés (comme PayPal) auraient été utilisés pour des achats frauduleux.

Il ajoute : « Alors que nous continuons d'enquêter, nous souhaitons rassurer les utilisateurs sur le fait qu'il n'existe actuellement aucune preuve indiquant une violation des bases de données, serveurs ou services de Nintendo ».

Comme nous l’avions déjà recommandé, la société demande à ses clients d’activer l’authentification en deux étapes. Cela ne concerne d’ailleurs pas que Nintendo : n’hésitez pas à l’activer dès que possible.

Le 27 avril 2020 à 09h28

Commentaires (17)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Mais non, TOTP n’a pas de lien avec Google !

https://openauthentication.org/



TOTP est un standard ouvert poussé par les membres de l’OATH. Il est basé sur HOTP (HMAC)…

votre avatar

Moi ça me les brise menu cette généralisation de la double authentification, surtout quand elle est obligatoire, comme la loi l’impose maintenant pour se connecter à ses espaces bancaires (seulement se connecter, pas faire des opérations sensibles où là, il y en avait déjà une justifiée et elle y est toujours).



C’est contraignant quelle que soit la manière, et ce n’est pas homogène (merci les applications spécifiques à un service), et dans mon cas (plus de 20 ans d’utilisation d’Internet), la seule source possible de problème avec la simple authentification est le piratage d’un service que j’utilise (avec conséquences limitées à ce service-là).



Donc ça me donne franchement l’impression de me casser les pieds tous les jours à cause des boîtes qui ne font pas leur boulot et des débiles qui donnent leurs mots de passe à n’importe qui. Et après, on passera à la triple ? Quadruple ?



Bref, on va sans doute me dire que j’ai tort, mais ça me gonfle quand-même.

votre avatar

Et j’ajoute qu’il serait temps que les boîtes qui se font pirater ne puissent plus se contentent d’un “désolé” et de passer pour un con pendant 1 semaine. Il faudrait des sanctions qui s’appliqueraient “automatiquement” dans ce genre de cas.



Parce que là, la plupart n’ont aucune incitation à se préoccuper de la sécurité, éventuellement elles ajoutent juste l’authentification à deux étapes, et en cas de piratage, stigmatisent leurs clients en leur disant qu’ils auraient du l’activer. C’est facile quand même, et elles oublient généralement que les données de connexion ne sont pas toujours les seules ni les plus importantes à être volées.

votre avatar

Ca sent la base de données d’utilisateurs de NNID qui a fuité

votre avatar

C’est un peu maigre comme information de leur part…

votre avatar

Et du coup ils vont rembourser les victimes ?

votre avatar

Ils le font deja

votre avatar

Pour le moment toutes les personnes que j’ai vu remonter le problème sur Twitter ce sont fait envoyées bouler, comme quoi les dépenses étaient liées au compte Nintendo et qu’en gros il fallait mieux surveiller leurs enfants. ^^;

votre avatar

Authentification en deux étapes uniquement basée sur Google (Authenticator). Donc c’est problématique car il faut avoir un appareil iOS ou Android (ou à défaut une VM, ce qui pose des soucis d’accessibilité).

votre avatar

Non c’est du TOTP tout bête il y a plein d’applications compatibles sur tous les OS.

votre avatar



comme les nom, surnom, date de naissance, sexe, pays/région et email ont pu être accédé





Un bon rappel de toujours mettre de fausses informations personnels et un email poubelle sur ce genre de service sur Internet <img data-src=" />

votre avatar







ProFesseur Onizuka a écrit :



Un bon rappel : poubelle sur ce genre de service sur Internet <img data-src=" />







  • 1000



    Une boite qui tente de te faire payer un service qui devrait être gratuit, ça doit finir à la poubelle. Surtout quand ce service deviens gratuit plusieurs mois après la sortie d’un matériel.


votre avatar

Merci du mot-clé, ça résout le problème de la plateforme. Pas de la dépendance à Google il me semble.

votre avatar







TroudhuK a écrit :



Merci du mot-clé, ça résout le problème de la plateforme. Pas de la dépendance à Google il me semble.





Hé pourtant, si ! Moi j’utilise par exemple Microsoft Authenticator qui marche tout aussi bien, voir même mieux pour certains usages.


votre avatar

Pour le compte Nintendo ?

Je suis en train de tester WinAuth. Effectivement il n’y a pas de lien avec Google (à part l’implémentation de TOTP donc). Nickel.

votre avatar







TroudhuK a écrit :



Pour le compte Nintendo ?

Je suis en train de tester WinAuth. Effectivement il n’y a pas de lien avec Google (à part l’implémentation de TOTP donc). Nickel.





oui, pour le compte Nintendo. Mais j’utilise aussi MS Authenticator pour mon compte Google, pour mon compte … Microsoft … <img data-src=" /> pour Facebook, mes jeux (steam, ubisoft …) et tout le toutim. Il est sympa je trouve.&nbsp;

En fait il y a le choix, beaucoup de services mettent en avant Google, mais les alternatives sont possibles, et heureusement !


votre avatar

+1 avec Guipom.

Tu n’as meme pas besoin de compte microsoft pour que ca marche et il ne sert que pour le backup/recovery.



J’utilise MS Authenticator des que je dois utiliser la double authentification. Il suffit de d’ajouter un compte (other account) et de scanner le QR code et ca marche.

Faille Nintendo : jusqu’à 160 000 comptes touchés, les NNID ne donnent plus accès aux comptes Nintendo

Fermer