mercredi 17 novembre 2010

Dossier spécial : Le Hacking

C'est avec un immense plaisir que je vous présente un nouvel auteur de actu-dod, Royx, qui vous a réalisé un article très complet sur le haking de comptes Steam. Félicitations pour cet article franchement excellent qui devrait vite devenir une référence sur le sujet.
Ozcstrike
De l'anglais « to hack into » qui signifie « entrer par effraction ».
Le Larousse nous dit qu'il s'agit de toute personne qui, par jeu, goût du défi ou souci de notoriété, cherche à contourner les protections d'un logiciel, à s'introduire frauduleusement dans un système ou un réseau informatique. (Recommandation officielle : fouineur).
Détesté ou admiré, le hacker reste une énigme. Quel rapport avec DoD? Des exemples récents ont encore montré qu'il est possible d'extraire des informations confidentielles de sites Internet, ou encore de voler des comptes.
Tout le monde connaît l'histoire de l'agent de Steam qui vous ajoute en ami, et qui vous demande vos informations de compte en vous expliquant qu'il doit faire une mise à jour nécessaire sur votre compte dans le but de le sauver. Il s'agit en réalité de hackers, qui profitent ainsi de la faiblesse de certaines personnes ou de la naïveté de certains joueurs qui leur donnent tout ce dont ils ont besoin pour arriver à leurs fins.
Ou encore l'épisode du site de la team arsenik (DoD 1.3). Un hacker avait réussit à s'introduire sur le site arsenik. Suite à ça, il a volé des informations confidentielles, dans la partie privée du forum. Il a ensuite publié certaines de ces informations sur un site communautaire. Conséquences? Ces informations qui ont été dérobé étaient des messages entre les membres de la team, où les « grands arseniks » se moquaient de certains joueurs de la communauté, les ridiculisant, ou les insultant. Simple délire entre potes, comme s'en est défendu UnR, leader de la team, ou mentalités pourries sans fair-play? Ce n'est pas le débat ici. Il est donc devenu impératif de savoir sécuriser son compte, et de savoir protéger les informations que vous souhaitez garder confidentielles.

Que faire contre ce phénomène?

Les sites internet

Il est important de changer régulièrement tous les identifiants et mots de passe de vos forums et vos sites. Il n'est pas rare de voir certains joueurs hacker le forum de leur ancienne team, pour des divergences avec les membres en place.
Ne jamais donner de mots de passe concernant un site ou un forum, et limiter les droits des membres: ne laisser que le strict minimum de droits à chaque membre, afin qu'il puisse réaliser seulement les actions qu'il a besoin de réaliser.
Vérifier individuellement chaque nouvel inscrit. Il est fortement conseillé d'utiliser le système des validations de compte. Sans la validation du compte par un administrateur, il ne pourra pas avoir accès au forum. Les risques sont donc encore diminués.

Le compte steam

Quand vous engagez une conversation avec un ami sur Steam, la première chose qui apparaît est ce message: Ne divulguez jamais votre mot de passe à qui que ce soit.
Inutile de le rappeler? Non! Car bien souvent il peut s'agir de hackers qui agissent indirectement, passant par le compte de vos amis, et vous demandant de cliquer sur le site qu'ils vous donnent, et de remplir un questionnaire, ce que vous faîtes sans faire attention.
N'acceptez dans vos amis que les comptes vous semblant sérieux, et 1) bloquez puis 2) supprimez immédiatement le compte s'il vous semble plus que louche.
Comment ajouter un verrou de protection sur son compte Steam? Suivez les étapes indiquées ci-dessous:
  1. Lancez steam.
  2. Allez dans paramètres.
  3. Si dans l'onglet compte, il est écrit: adresse email de compte: -votre adresse- (vérifiée), vous n'avez rien à faire. Si en revanche il est écrit (non vérifiée), veuillez suivre les étapes ci-dessous.
  4. Cliquer sur « vérifier l'adresse e-mail ».
  5. Une fenêtre apparaît en vous décrivant la procédure et le but de la manipulation, mettez « suivant ».
  6. Un email de confirmation est envoyé sur l'adresse mail rattachée à votre compte. Cliquez dessus et une page Steam vous indiquera le succès de l'opération de vérification.
  7. Maintenant en cliquant sur paramètres, vous verrez le statut (vérifiée) sur votre compte Steam.
Quel intérêt? A chaque fois que quelqu'un tentera d'effectuer des changements sur votre compte (changement de mot de passe effectué généralement par les hackers pour voler et s'approprier le compte), il aura besoin de valider son action en cliquant sur un mail. Vous y compris. Mais pour prendre toute son importance, cette sécurité nécessite de votre part d'associer des mots de passe différents sur votre adresse mail et sur votre compte Steam.

La position de Steam concernant le hack

Il existe un contrat entre Steam et vous. Vous ne le savez peut-être pas, mais vous êtes soumis à des conditions d'utilisation. Vous savez... Ce texte qui prend une dizaine de pages, et où vous cliquez sur « j'accepte les conditions générales d'utilisation ».
Dès ce moment-là vous acceptez les conditions d'utilisation rédigées par Steam.

Pour rappel, voici ce que vous avez accepté, issu de « l'accord de souscription Steam »:
«
  1. ENREGISTREMENT ET ACTIVATION
[…]
Une fois la procédure d'inscription à Steam effectuée, vous créez un compte Steam (« le Compte »). Votre Compte peut également inclure les informations en matière de facturation que vous nous fournissez lors de l'achat de Souscriptions. Vous êtes entièrement responsable de l'ensemble des activités effectuées sur votre Compte et de la sécurité de votre système informatique. Vous n'êtes pas autorisé à révéler ou partager votre mot de passe, ni à permettre à des tiers d'utiliser votre mot de passe ou votre Compte. Vous acceptez d'être personnellement responsable de l'utilisation qui est faite de votre mot de passe et de votre Compte et de toutes les communications et activités sur Steam résultant de l'utilisation de votre nom d'utilisateur et de votre mot de passe. Vous n'êtes pas autorisé à vendre, à céder à des tiers le droit d'utilisation de votre Compte, ni à le transférer.
[...]
9. DÉCHARGES, LIMITATION DE RESPONSABILITÉ ABSENCE DE GARANTIES
A. DÉCHARGES
VOUS, L'UTILISATEUR, ASSUMEZ L'INTÉGRALITÉ DES RISQUES PROVENANT DE L'UTILISATION OU DU FONCTIONNEMENT DE STEAM, DU LOGICIEL ET DES ARTICLES. VALVE EXCLUT DE FAÇON EXPRESSE (i) TOUTE GARANTIE RELATIVE A STEAM, AU LOGICIEL, ET AUX ARTICLES ET (ii) TOUT DEVOIR DE DROIT COMMUN RELATIFS A STEAM, AU LOGICIEL, ET AUX ARTICLES, Y COMPRIS LES DEVOIRS RELATIFS À L'ABSENCE DE NEGLIGENCE ET AU NON RESPECT DES RÈGLES DE L'ART.

[…]
      1. ABSENCE DE GARANTIES
        VALVE NE GARANTIT PAS LE FONCTIONNEMENT DE ET L'ACCÈS CONTINU, LIBRE D'ERREURS, DE VIRUS OU DE DANGER À STEAM, AU LOGICIEL, À VOTRE COMPTE ET/OU À VOS SOUSCRIPTIONS.
[…]


Je m'engage à respecter les dispositions du présent Accord. Je reconnais et accepte également que le présent Accord (y compris les Conditions de Souscription, les Règles de Comportement sur Internet de Steam, les autres Règles d'Utilisation et la Charte de Protection de la Vie Privée) constitue l'exposé complet et exclusif de l'accord entre Valve et moi-même, et que le présent Accord remplace tout accord précédent ou existant, ou toute communication, aussi bien orale qu'écrite, entre Valve et moi-même. »
Fin de l'accord de souscription Steam.
Pour résumer: le hack de votre compte Steam sera donc de votre entière responsabilité, et aucun cas Steam n'est responsable de votre erreur.


Je me suis fait piraté le compte, que faire?
Voici la réponse donnée par Steam:
« Si votre compte s’est fait voler, nous devons tout d’abord déterminer la cause de ce vol pour pouvoir prendre la bonne action afin d’éviter que ça se reproduise dans le futur.
Les scénarios les plus fréquents sont :
  • Un programme qui capture les touches tapées sur votre clavier pour enregistrer le mot de passe Steam (Si vous avez récemment téléchargé un programme d’un site de jeu, un forum de discussion ou encore de mIRC, c’est probablement la cause du vol de votre compte)
  • Votre mot de passe et nom d’utilisateur ont été partagé à une autre personne (Si vous avez donner vos informations de compte à un autre personne, c’est probablement la cause du vol de votre compte).
  • Un autre utilisateur a deviné le mot de passe de votre compte Steam (Si vous n’avez pas ouvert de session récemment et trouver votre compte barré, c’est probablement ce qui s’est passé).
  • Le voleur vous a observé écrire votre mot de passe dans un café internet, un tournoi, lors d’une partie réseau ou encore peut-être votre session Steam n’a pas été correctement fermée et un autre utilisateur a utilisé vos information personnelles sur un ordinateur public ou partagé. (Les ordinateurs peuvent aussi être compromis par certains logiciels qui capturent les touches tapées sur le clavier, il est recommandé de ne pas ouvrir de session sur un ordinateur public si possible.)

Suivez les étapes suivantes pour ouvrir un billet avec le support Steam si vos informations de compte Steam ont été données à un autre utilisateur, un autre utilisateur a deviné votre mot de passe ou on vous a observé pendant que vous tapiez votre mot de passe.
Si c’est possible qu’un certain logiciel qui capture les touches tapées sur le clavier a été utilisé pour obtenir votre nom d’utilisateur et mot de passe, vous devriez télécharger les dernières mises à jour pour vos logiciels de sécurité comme un logiciel anti-virus ou encore un programme qui retire les logiciels espions et vérifier l’ensemble de votre ordinateur avant d’aller plus loin. Si un autre utilisateur vous espionne pendant que vous faites ces changements, il est très important qu’ils cessent de recevoir les nouvelles informations comme par exemple, le nouveau mot de passe que Steam pourrait vous envoyer.
Une fois que les logiciels malicieux auront été mis hors d’état de nuire, veuillez suivre les étapes suivantes pour ouvrir un billet de support Steam.

Ouvrir un nouveau billet au support Steam

Quand vous ouvrez un billet avec le support Steam, SVP fournissez nous les informations suivantes :
  1. Quel est votre nom d’utilisateur Steam?
  2. Quelle était la dernière adresse email que vous avez utilisée avec votre compte?
  3. Vérifiez vos preuves d’achat des jeux du compte :
    • Si vos jeux ont été acquis dans un magasin, merci d'inclure une photo numérique ou un scan de votre clef cd avec votre nom de compte Steam écrit sur la carte de référence rapide ou sur l'autocollant de la clef CD, sous le code, à l'encre permanente.
    • Si votre achat s’est fait par Steam, merci de nous fournir le type de carte utilisé (Visa, Mastercard, American Express), votre nom complet, la date d’expiration et aussi les quatre derniers chiffres de la carte de crédit utilisée lors de votre achat.
    • Si vous avez acheté vos jeux sur Steam via PayPal, merci de nous fournir les informations de paiement du propriétaire du compte PayPal (nom et adresse) ainsi que le PayerID PayPal
  4. Quand pensez vous que votre compte s’est fait voler?
  5. Comment pensez vous que votre compte s’est fait voler?

Si vous n’êtes pas en mesure de confirmer que vous êtes bien le propriétaire du compte par Internet, il est possible que vous ayez à nous envoyer physiquement la clef cd par la poste.
Note : Si votre compte volé se fait bannir par le système anti-triche de Valve, il nous sera alors impossible de rétablir un compte non banni.
Il est fortement recommandé de choisir un mot de passe compliqué et dur à deviner pour éviter que votre compte se fasse voler à nouveau. »

Les conseils donnés par Steam

Choisir un mot de passe sûr

Un mot de passe efficace est un point essentiel garantissant la sécurité de votre compte. Votre mot de passe doît suivre toutes les points listées ci-dessous :
  • Utilisez au moins 6 caractères,
  • Utilisez une combinaison de lettres majuscules ou minuscules,
  • Insérez au moins un chiffre dans votre mot de passe,
  • N'utilisez pas de nom, de mots pouvant être trouvés dans un dictionnaire ou une série de lettres contigües sur votre clavier ("azerty" ou "12345" ne sont pas des mots de passe sûrs).

Recommandations générales de sécurité

En plus d'avoir un mot de passe sécurisé, il est conseillé de maintenir la sécurité de votre système de cette façon :

Utilisez des mots de passe à usage unique

Assurez-vous que vous utilisez des mots de passe différents pour votre compte Steam, votre compte Support Steam et votre adresse e-mail de contact.
Si vous participez à un forum de jeu, assurez-vous que votre nom d'utilisateur et votre mot de passe sur ce forum soient différents des identifiants de votre compte Steam.

Scannez votre ordinateur

Vérifiez régulièrement à l'aide de votre anti-virus (à jour si possible) que votre ordinateur n'est pas infecté par des virus, spywares, key loggers ou autres programmes malicieux.

Evitez les ordinateurs non sécurisés

Evitez d'accéder à votre compte Steam depuis un cyber café ou un ordinateur partagé. Si vous devez utiliser un ordinateur non sécurisé de ce type, assurez-vous qu'il n'est pas infecté par des virus, trojans ou autres key loggers.

Choses à vérifier

Les personnes piratant des comptes ont quelques méthodes communes, la majorité des piratages ont lieu lorsque les utilisateurs partagent les informations de leur compte avec le pirate. Faites attention aux activités listées ci-dessous pour assurer la sécurité de votre compte :

Autres utilisateurs demandant les informations de connexion (login et mot de passe)

Les demandes de login et mot de passe de la part d'utilisateurs d'IRC ou d'autres logiciels de messagerie instantanée (le partage ou la vente de comptes Steam sont des violations de l' "Accord de souscription Steam", merci de ne pas partager votre identifiant et mot de passe).

Demandes de login et mot de passe de la part de personnes prétendant travailler pour le support technique de Steam (techniques d'hameçonnage)

Les e-mails non sollicités vous demandant votre login et mot de passe ainsi que des images de votre clé CD (le support technique Steam ne vous demandera jamais votre mot de passe et ne vous enverra pas de mail contenant d'importantes notifications - de plus, tout message provenant du support technique de Steam aura pour origine le nom de domaine support.steampowered.com).

Programmes malicieux en téléchargement

Les fichiers exécutables pour le téléchargement sur Internet (Il n'est pas rare de voir des fichiers exécutables (.EXE) proposés comme des "mods" contenant des codes malicieux développés pour voler les informations de connexion de comptes Steam).
Publié par Royx à 01:08
Libellés :

Aucun commentaire:

Enregistrer un commentaire

Inscription à : Publier les commentaires (Atom)