Les forums d'Ecrans

Annonce

Pour participer aux forums d'Ecrans.fr, il faut d'abord s'inscrire. Pour vous inscrire, cliquez ici.
Si vous possédez déjà un compte, cliquez ici.

#1 27-06-2011 12:41:10

Ecrans.fr
Administrateur
Inscription : 25-06-2007
Messages : 1 000

Piratage : au tour d'Electronic Arts

Piratage : au tour d'Electronic Arts

Le forum du jeu Neverwinter Nights, sur un des serveurs de BioWare, vient à sont tour de se faire pirater.

Lire l'article

Hors ligne

#2 27-06-2011 12:58:10

wlof
Habitué
Inscription : 19-03-2008
Messages : 353

Re : Piratage : au tour d'Electronic Arts

Elle s'était perdue dans votre backoffice cette news nan ? Parce que ça date d'une bonne dizaine de jours, autant dire une éternité vu la vitesse à laquelle ça défile ces derniers temps.

Hors ligne

#3 27-06-2011 13:00:29

Seventeen
Habitué
Inscription : 09-06-2010
Messages : 539

Re : Piratage : au tour d'Electronic Arts

Je resterai toujours pantois à l'annonce de fuite de mots de passe.
A se demander à quoi servent toutes les fonctions qui permettent de crypter des données...

Hors ligne

#4 27-06-2011 13:07:56

wlof
Habitué
Inscription : 19-03-2008
Messages : 353

Re : Piratage : au tour d'Electronic Arts

Seventeen a écrit :

Je resterai toujours pantois à l'annonce de fuite de mots de passe.
A se demander à quoi servent toutes les fonctions qui permettent de crypter des données...

J'imagine que ça coûte plus cher de payer des gens assez compétents pour appliquer l'état de l'art en matière de cryptographie et de protection des données, que de se faire hacker et de publier un communiqué comme quoi on a été victime d'une attaque "hautement sophistiquée", et compter sur le fait que demain ce sera au tour d'un autre, et dans 2 mois tout le monde aura oublié.

Hors ligne

#5 27-06-2011 13:20:48

nikopik
Nouveau membre
Inscription : 20-06-2011
Messages : 2

Re : Piratage : au tour d'Electronic Arts

Attention à vos données personnelles dans les prochains mois.

90% des entreprises américaines ont déclaré avoir été victime de piratage durant les 12 derniers mois, c'est plutôt énorme (Source : http://www.nikopik.com/2011/06/90-des-e … s-de.html).

Sachant que les pirates ont déclaré la guerre aux grandes entreprises, aux banques et aux gouvernements, ça risque de chauffer encore plus très prochainement :-S

Hors ligne

#6 27-06-2011 13:46:18

Seventeen
Habitué
Inscription : 09-06-2010
Messages : 539

Re : Piratage : au tour d'Electronic Arts

Enfin compétent, là c'est juste des gens qui ne soient pas des stagiaires (et encore). Cela dit c'est des américains, ceci explique peut être cela. A devoir payer 20000$, on passe plus de temps à bosser à MacDo qu'en cours...

Pour les données, moi ça sera Google qui devra se faire pirater pour les miennes. Me tarde de voir ce que ça peut donner...

Hors ligne

#7 27-06-2011 17:17:12

Yean3d
Habitué
Inscription : 10-12-2009
Messages : 232

Re : Piratage : au tour d'Electronic Arts

Seventeen a écrit :

Je resterai toujours pantois à l'annonce de fuite de mots de passe.
A se demander à quoi servent toutes les fonctions qui permettent de crypter des données...

Pareil... je n'arrive pas à comprendre comment les mots de passes peuvent se retrouver stockés en clair, alors qu'il est tellement trivial pour un ingénieur de les crypter (en MD5 par exemple). On parle de la structure multijoueur d'Electronic Arts là, pas du site de la boucherie Sanzot. Qui développe ces sites ?

Hors ligne

#8 28-06-2011 08:59:12

Seventeen
Habitué
Inscription : 09-06-2010
Messages : 539

Re : Piratage : au tour d'Electronic Arts

Visiblement des manchots.

Hors ligne

#9 28-06-2011 11:23:34

xpi
Habitué
Inscription : 03-06-2009
Messages : 520

Re : Piratage : au tour d'Electronic Arts

Le md5 c'est un peu dépassé comme cryptage fiable hein... Ces mots de passe étaient certainement cryptés et justement sur une forme peu fiable type sha1 ou md5.

Pour peu, certains pass dévoilés pourraient même être des collisions de pass plus compliqués...

Hors ligne

#10 29-06-2011 09:39:04

ZouZi
Nouveau membre
Inscription : 29-06-2011
Messages : 1

Re : Piratage : au tour d'Electronic Arts

Le md5 n'est pas un cryptage mais du hachage ce qui est complètement différent.

Hors ligne

#11 29-06-2011 10:13:11

Seventeen
Habitué
Inscription : 09-06-2010
Messages : 539

Re : Piratage : au tour d'Electronic Arts

Et ça n'est pas exactement dépassé non plus. C'est pas parce qu'on a miraculeusement trouvé des collisions que ça rend le système complètement caduque. Plus important ça ne rend pas réversible le machin pour autant.

Et xpi moi quand on me dit : mot de passe en clair, je suis peut être débile, mais je comprends : pas crypté ni hashé. Donc ni md5 ni sha1. Et ça doit se confirmer vu qu'ils ont filé la liste ni une ni deux. Je veux bien qu'ils soient forts mais bon je ne vois pas trop comment ils auraient pu décoder toute une liste de mdp comme ça à la volée...

Hors ligne

#12 29-06-2011 10:45:31

xpi
Habitué
Inscription : 03-06-2009
Messages : 520

Re : Piratage : au tour d'Electronic Arts

Moi je n'ai pas la main sur leurs systèmes donc je m'aventurerai pas à affirmer quoi que ce soit quant au format de stockage des mots de passe mais concernant le md5 il ne s'agit pas de quelques collisions miraculeuses... En clair ou en md5 c'est pas franchement différent à ce niveau d'accès au système.
Il existe un grand nombre de bases de reverse md5, le champ sortant en char 32 ou 40 fixe respectivement pour md5 et sha1 la requête s'optimise bien et c'est loin d'être un challenge à craquer... Suffit de voir la tronche des pass pour comprendre que les chances qu'ils soient le fruit d'un reverse md5 sur une base light sont assez énormes...

Bref, quand on parle de sécurité propre on évite de md5 et on pense plus à du sha256 ou une combinaison de plusieurs procédés.

Pour conclure :

Ecrans a écrit :

Les pirates ont dérobé de nombreuses données personnelles : noms d’utilisateurs, mots de passe cryptés associés,...

Seventeen a écrit :

moi quand on me dit : mot de passe en clair, je suis peut être débile, mais je comprends : pas crypté ni hashé.

Moi quand je lis "mots de passe cryptés", je suis peut être débile mais je comprends que ces mots de passe étaient cryptés...
><

Dernière modification par xpi (29-06-2011 10:48:11)

Hors ligne

#13 29-06-2011 11:03:31

Seventeen
Habitué
Inscription : 09-06-2010
Messages : 539

Re : Piratage : au tour d'Electronic Arts

Ecrans a écrit :

Cependant, les hackers ont eu accès à « un nombre limités » de mots de passe non cryptés

On a bien lu le même article, mais je l'ai lu en entier wink

Pour le reste, il y a une différence fondamentale entre un mot de passe crypté (même mal) et un qui ne l'est pas. Au moins il y a une tentative. Parce que si tu vas par là, tu peux bien imaginer que techniquement aucun système n'est inviolable, la question est de savoir jusqu'à quel point tu le protège. Quand tu extrait une base de donnée et que des pékins peuvent la lire, c'est quand même abusé... Après je t'accorde que les types qui font ça sont des pros mais bon dans la mesure où un système est suffisamment protégé ça demande des compétences un peu plus olé olé (casser un serveur c'est pas pareil que décrypter des données...)

Hors ligne

#14 29-06-2011 11:16:31

xpi
Habitué
Inscription : 03-06-2009
Messages : 520

Re : Piratage : au tour d'Electronic Arts

EA aurait donc deux bases utilisateurs, une base restreinte non cryptée et une massive cryptée ? Bon sang mais c'est bien sur, tellement logique que j'aurai du y penser plus tôt !
Ou les hackers se sont positionnés de manière à intercepter les flux là où ils sont en clair d'où le nombre limité puisque dépendant des accès live ? Manœuvre réplicable sur un maximum de systèmes pour peu qu'on ait un minimum la main dessus. Je rappelle qu'on parle ici d'attaque sophistiquée pas de 3 script kiddies qui font mumuse avec des trojans..

Je vois pas par quel miracle on peut déduire qu'ils sont stockés en clair partant de là..

Après non il n'est pas question d'inviolabilité mais de méthodes reconnues unanimement comme périmées par les spécialistes.
"J'ai mis un cadenas en plastique, c'est mieux que rien, l'intention est là j'ai rien à me reprocher."

Et je parle pas de décrypter mais de reverse le hash c'est tout à fait différent et c'est juste une sorte de brute force à l'envers..

Dernière modification par xpi (29-06-2011 11:18:21)

Hors ligne

#15 29-06-2011 11:37:41

Seventeen
Habitué
Inscription : 09-06-2010
Messages : 539

Re : Piratage : au tour d'Electronic Arts

Je voulais pas lancer un débat, simplement sur toutes les données qui ont été piratées que ça soit sur EA ou ailleurs, il y a clairement eu des gros problèmes de sécurisation, et pour ce qui étaient de Sony il était dit que certaines données étaient en clair dans les bases de données. Preuve en est le bordel que ça a généré.

Sur ce point de toute façon, je pense que nos avis se rejoignent pour dire que clairement la manière dont les données sont sécurisées est totalement scandaleuse.

Hors ligne

#16 29-06-2011 11:38:06

wlof
Habitué
Inscription : 19-03-2008
Messages : 353

Re : Piratage : au tour d'Electronic Arts

Ca ne sert pas à grand chose de spéculer, mais ce n'est pas bien difficile d'imaginer des scénarios qui expliquent (pas qui justifient, hein) qu'il y ait plusieurs bases d'utilisateurs avec des niveaux de sécurité variables. Surtout dans le cas d'une grosse boîte comme EA et de serveurs "legacy" pour un jeu datant de presque 10 ans.

Hors ligne

#17 29-06-2011 13:03:11

xpi
Habitué
Inscription : 03-06-2009
Messages : 520

Re : Piratage : au tour d'Electronic Arts

Oui c'est vrai que l'intérêt de polémiquer là dessus n'est pas très évident big_smile
Mais c'est juste que je trouve que "roh les nases suffisait de coller un md5" c'est un peu limite, bon ok je caricature mais c'est comme ça que je le vois.. De par leur exposition sur la scène mondiale ils risquent des attaques bien plus complexes que le péquin moyen, ont certainement un service de sécurité info relativement compétent monitorant les liaisons et les machines mais effectivement aucune sécurité n'est inviolable.
Encore une fois ce ne sont que de simples suppositions mais je doute que le système soit aussi ouvert que certains semblent le croire et pour les pass en clair je penche quand même nettement plus en faveur de l'interception de flux que de la lecture de db en clair...
Après c'est vrai qu'ils ont aussi des jeux pas tout récents mais c'est vrai aussi que pour le coup sha1 et md5 ont respectivement 15 et 20 ans, c'est pas tout récent non plus..

Chez nous on a eu les scandales des données en clair autour d'Hadopi, ça c'était factuel et c'est probablement en partie ce genre de révélation qui amène à prendre la moindre cible d'une attaque pour une passoire.. je trouve ça un peu léger smile
Les problèmes de sécurisations chez EA ou ailleurs sont présents, "gros" c'est à voir au cas par cas je pense..

Hors ligne

Pied de page des forums