La semaine dernière, nous évoquions des achats frauduleux via des comptes Nintendo avec un PayPal associé. Il y a quelques jours, les yeux se sont tournés vers le NNID (Nintendo Network ID) utilisé sur les Wii U et 3DS, et que l’on peut lier au compte Nintendo utilisé par la Switch.
Le fabricant est finalement sorti de sa torpeur pour annoncer que les comptes Nintendo Network ID ne permettent désormais plus de se connecter aux comptes Nintendo. « Nous contacterons bientôt les utilisateurs pour réinitialiser les mots de passe des identifiants Nintendo Network et des comptes Nintendo dont nous avons des raisons de croire qu'ils ont été consultés sans autorisation », ajoute le fabricant.
Il précise sur cette page qu’environ 160 000 comptes peuvent avoir eu une connexion détournée via le Nintendo Network ID. Des informations comme les nom, surnom, date de naissance, sexe, pays/région et email ont pu être accédé, mais pas les cartes bancaires. Néanmoins, il semble que les moyens de paiement liés (comme PayPal) auraient été utilisés pour des achats frauduleux.
Il ajoute : « Alors que nous continuons d'enquêter, nous souhaitons rassurer les utilisateurs sur le fait qu'il n'existe actuellement aucune preuve indiquant une violation des bases de données, serveurs ou services de Nintendo ».
Comme nous l’avions déjà recommandé, la société demande à ses clients d’activer l’authentification en deux étapes. Cela ne concerne d’ailleurs pas que Nintendo : n’hésitez pas à l’activer dès que possible.
Commentaires (17)
#1
Ca sent la base de données d’utilisateurs de NNID qui a fuité
#2
C’est un peu maigre comme information de leur part…
#3
Et du coup ils vont rembourser les victimes ?
#4
Ils le font deja
#5
Pour le moment toutes les personnes que j’ai vu remonter le problème sur Twitter ce sont fait envoyées bouler, comme quoi les dépenses étaient liées au compte Nintendo et qu’en gros il fallait mieux surveiller leurs enfants. ^^;
#6
Authentification en deux étapes uniquement basée sur Google (Authenticator). Donc c’est problématique car il faut avoir un appareil iOS ou Android (ou à défaut une VM, ce qui pose des soucis d’accessibilité).
#7
Non c’est du TOTP tout bête il y a plein d’applications compatibles sur tous les OS.
#8
comme les nom, surnom, date de naissance, sexe, pays/région et email ont pu être accédé
Un bon rappel de toujours mettre de fausses informations personnels et un email poubelle sur ce genre de service sur Internet
#9
#10
Merci du mot-clé, ça résout le problème de la plateforme. Pas de la dépendance à Google il me semble.
#11
#12
Pour le compte Nintendo ?
Je suis en train de tester WinAuth. Effectivement il n’y a pas de lien avec Google (à part l’implémentation de TOTP donc). Nickel.
#13
#14
+1 avec Guipom.
Tu n’as meme pas besoin de compte microsoft pour que ca marche et il ne sert que pour le backup/recovery.
J’utilise MS Authenticator des que je dois utiliser la double authentification. Il suffit de d’ajouter un compte (other account) et de scanner le QR code et ca marche.
#15
Mais non, TOTP n’a pas de lien avec Google !
https://openauthentication.org/
TOTP est un standard ouvert poussé par les membres de l’OATH. Il est basé sur HOTP (HMAC)…
#16
Moi ça me les brise menu cette généralisation de la double authentification, surtout quand elle est obligatoire, comme la loi l’impose maintenant pour se connecter à ses espaces bancaires (seulement se connecter, pas faire des opérations sensibles où là, il y en avait déjà une justifiée et elle y est toujours).
C’est contraignant quelle que soit la manière, et ce n’est pas homogène (merci les applications spécifiques à un service), et dans mon cas (plus de 20 ans d’utilisation d’Internet), la seule source possible de problème avec la simple authentification est le piratage d’un service que j’utilise (avec conséquences limitées à ce service-là).
Donc ça me donne franchement l’impression de me casser les pieds tous les jours à cause des boîtes qui ne font pas leur boulot et des débiles qui donnent leurs mots de passe à n’importe qui. Et après, on passera à la triple ? Quadruple ?
Bref, on va sans doute me dire que j’ai tort, mais ça me gonfle quand-même.
#17
Et j’ajoute qu’il serait temps que les boîtes qui se font pirater ne puissent plus se contentent d’un “désolé” et de passer pour un con pendant 1 semaine. Il faudrait des sanctions qui s’appliqueraient “automatiquement” dans ce genre de cas.
Parce que là, la plupart n’ont aucune incitation à se préoccuper de la sécurité, éventuellement elles ajoutent juste l’authentification à deux étapes, et en cas de piratage, stigmatisent leurs clients en leur disant qu’ils auraient du l’activer. C’est facile quand même, et elles oublient généralement que les données de connexion ne sont pas toujours les seules ni les plus importantes à être volées.