Affaire Seiya / Piratage

[quote=\"Akryus\"]Bonjour, je suis Akryus (je suis pas dans l\'uni 28) et je viens de découvrir ce qui c\'était passé grace à votre pétition. Premièrement, je veux que vous sachiez que je suis désolé de ce qui est arrivé à St Seya et je n\'aimerais pas que ça arrive à d\'autres personnes.

Bon, je n\'ai pas eu le temps de tout lire mais j\'aimerais surtout savoir si vous avez avertis les administrateurs d\'Ogame des failles XSS qui sont présentes dans le jeu (image d\'alliance par ex) en leur montrant par des exemples concrets prouvant que c\'est possible (si on leur dit : il y a une faille, ils n\'y croiront pas)

Au debut je ne croyais pas trop à cet faille, mais j\'ai personnelement essayé et je pense à présent que des milliers de joueurs qui ont desactivé la protection IP courent un gros risque en ce moment. De plus, cette faille ne serait vraiment pas compliqué à corriger : il suffirait de faire passer l\'id de session à travers un cookie.

Je confirme ce que dit Jo De La Guibolle et il n\'y a aucune complexité dans Ogame. Il suffit de quelques requètes SQL pour creer n\'importe quel compte, avec n\'importe quel niveau, n\'importe quels batiments. Alors qu\'il ne viennent pas nous dire que c\'est \"compliqué\" !

De plus, je ne pense pas qu\'ils ont contacté des \"experts\" de la sécurité, une faille comme celle la est tellement grossière...[/quote]


je ne pense pas qu\'il est utilisé cette faile ^^

je pense plutôt que le hacker a scané le site a la recherche de compte msn et St Seiya en avait mais je peut me trompé

de plus ce n\'est pas la faille Xss prk la faille Xss est une faille de récupération des mot de pass qui ne marche que par IE a part si il existe des variable que je ne connait pas

voila juste pour vous dire que y'as de la réaction sur le forum officiel les joueur se mobilise voir hof univers 12 entre autre et sinon ben bonne chance a la petition

juste pour info, j'attend depuis 16h de savoir ce qui est arrivé a Elric18, je me demandais meme si c etait bien suite a un RC réglo ??
Si c est pas indiscret...

c réglo

oki je préfere

sinon y a aussi les trucs comme ça :
http://board.ogame.fr/thread.php?threadid=230581

la non plus bien sûr le back up c inutile on va dire...

Akryus / mb: j'attends la reponse d'NRJ avec impatience, le coup du cookie c'est plutot critique.

""Je tiens à rappeler que le compte ne sera pas piraté si la case "desactiver la protection ip" est decoché"""

je compren pas si on decoche "Désactiver la vérification d'IP" on peux pas ce fair haker ou lamé ????

alors il ce pas quoi maintenent avec st seiya ??

sur mon furum il son un peu septik de tout ces problem sur les bots et tou ca j esaile de les convaincre mais bon ,moi j ai enlever mon compt comendan. c est normal que l on doi payé quand on signe la petition ?? ou c es une erreur de ma par??

merci

zeratul univer 7 -de 1500 eme

non non on ne paye pas
Simplement après avoir signé, l'hébergeur propose de soutenir le site ipetition. Mais c'est pas obligé !!

Le coup des bots c'est pas vraiment le plus grave. Je ne vois pas trop d'ailleurs comment ils peuvent éviter ça

Le IPCheck je ne vois pas qui a intérêt à le désactiver. Mais c'est quand il est désactivé (=case cochée) que l'on peut se connecter avec juste le numéro de session, récupéré d'une façon ou d'une autre.



Je pense que dans le texte, on devrait mettre autre chose que le message de skexces, mais concocter notre propre texte! Qui est partant pour ça ?
Il faudrait peut-être expliquer simplement comment enlever la pub d'ogame. (renvoyer les adresses sur localhost en modifiant le fichier hosts, très simple à faire)
Sinon ils auront leurs affichages quand même, comme on le disait. Bien que, je pense, le compte commandant leur rapporte plus. (sinon ils ne l'auraient pas mis, surtout que ceux qui le payent sont a priori ce qui jouent le plus et donc afficheraient le plus de pubs !)

Pour enlever la pub, tu peux aussi utiliser FireFox/AdBlock, c'est d'une efficacité redoutable.

Sinon, j'ai vu les multiples bans sur le forum OGame, et ca me parait un peu excessif. Si on a meme plus le droit de discuter, c'est pas la peine. Pour info, faire un script qui forge des centaines d'e-mails par minute et qui les balance dans chaques boites mail des opérateurs, c'est fait en 2mins et même l'anti-spam gmail n'y pourra rien . Alors faudrait pas que ca dégènère trop...

St Seiya, tu peux te targuer d'avoir initié une petite 'ReVolt' .

zeratul a écrit:je compren pas si on decoche "Désactiver la vérification d'IP" on peux pas ce fair haker ou lamé ????

et bien finalement, suite à une insomnie hier soir, j'ai le plaisir/malheur de vous annoncer que selon moi, oui et très facilement... dans 30 min NRJ sera au courant de ce que j'ai trouvé (ok, c'est un petit peu "tordu", mais ces gens là ont l'esprit encore plus tordu que moi...)

Zarowi a écrit:Le coup des bots c'est pas vraiment le plus grave. Je ne vois pas trop d'ailleurs comment ils peuvent éviter ça

Ce serait évitable, mais ça demanderait un peu plus de travail. Mais surtout, ce n'est pas à eux de faire ça, mais au joueur à avoir la présence d'esprit de ne pas utiliser ce genre de programme (interdits selon le règlement)... il faut quand même leur fournir le login... alors pourquoi le garderait-il secret ?

Centaure a écrit:Sinon, j'ai vu les multiples bans sur le forum OGame, et ca me parait un peu excessif.

Tu viens de comprendre pourquoi je ne posterai jamais rien sur leur forum, et oui pourquoi je squatte ici ^^

Centaure a écrit:Pour info, faire un script qui forge des centaines d'e-mails par minute et qui les balance dans chaques boites mail des opérateurs

Pourquoi pas plutôt récupérer les sessions id et changer le mail de contact des gens par l'e-mail d'un modo... ça génère aussi l'envoi de mails... ^^ (mais c'est pas légal...)

Centaure a écrit:Pour enlever la pub, tu peux aussi utiliser FireFox/AdBlock, c'est d'une efficacité redoutable.

J'aime bien tes paroles ^^

voila enfaite je vous previen juste que il faudrai prevenir les joueur de ogame que si ils signent la petition ils vons rien payer, par ce que en fait il parle pas tous allmend ou anglai ,je sais plus en quel langue c est marké, et quand on veux signé il y a comme un truk de payement. donc voila il faudrai fair une petit traduction ou utiliser un truk francai ca serai cool pour voter (moi je peux pas lol je parle aleman et anglais mais le probleme c est que pour l ecrire j ai du male meme le francais je pense que vous avez remarké^^)

voila o cas ou dans mon furum on est 32 enfin dans l ally on est 32 mais il y a une bonne participation o furum

http://ogame-terrorblade.bbconcept.net/
merci deposter un petit commentair la bas sur la petition

univer 7 zeratul un ami qui vous veu du bien

TRADUCTION DE LA PAGE QUI VIEN APRES AVOIR MARQUE VOTRE NOM ET ADRESSE IMAIL



a lire ne dessou de mon post merci il a tradui beaucou mieu que moi arf

traduction by zeratul ( mauvais en anglais mauvais en francais)


voila j ai ecris ca sur mon furum la traduction laisse a desiré mais bon , o moin il comprendron qu il ne faud rien payer

si qq un a envie de refair la traduction et la faire tourné sur les furum ca serai bien



zeratul

Si je puis me permettre... voici une version un peu "corrigée" ^^

Marci d'avoir signé la pétition. Votre signature a bien été enregistrée.

Aidez Support iPetitions !

iPetitions est le principal fournisseur d'outils gratuits pour les gens engagés dans une cause [activiste ayant grâce aux médias, désormais une conotation péjorative ^^]. Nous promouvons la démocratie sur internet. Votre don, aussi petit soit-il, nous est très util.

S'il vous plait Choisissez ci-dessous la valeur du don :
...

Votre don sera effectué par Paypal, un système sûr et garanti. Votre donation permet à iPetitions d'héberger d'autres pétitions comme celle que vous venez de signer. Nous sommes non partisans et apolitiques.

ouf merci je vais enlever la mien lol
j ai la i changer dans mon furum aussi ^^ et en plus je me suis atribué les merite ^^ non je plaisante j ai ecrit fais par zeratul et corrigé par mb

Voici la réponse de NRJ :

C'est entre autres [edit akryus : ça signifie qu'il y a d'autres failles connus] pour cela que nous deconseillons absolument de
desactiver la vérification IP dans les règles du jeu.

Meme les utilisateurs AOL ne sont pas obligés, il suffit d'utiliser
Internet Explorer ou Firefox avec AOL et ca marche, le seul problème
vient du gadget qu'AOL appelle navigateur.

Le problème, c'est que les joueurs pensent que la vérification d'adresse
IP est quelque chose qui pourrait les faire bloquer, alors ils la
désactive...

NRJ

Il explique donc que le meilleur moyen de se protéger est d'activer la protection IP (je suis 100% d'accord) mais il n'en a pas dit plus... Il ne dit pas si le problème sera corrigé un jour par les developpeurs de Ogame. Je pense que je vais m'interresser de plus pret à "ogame" pour y trouver d'autres failles et peut etre faire réagir les admins.

Après réflection, je me rend compte que les devloppeurs ogame savaient que l'ID de session pourrait etre "volé" facilement et ils ont donc installé la protection IP. Cependant, elle ne corrige pas le fond du problème et doit etre desactivé pour certaines personnes.

Akryus a écrit:Il explique donc que le meilleur moyen de se protéger est d'activer la protection IP

On verra ce qu'il répondra à mon mail, car selon moi, on peut vraissemblablement contourner la sécurité du check-ip ...

et j'ai toujours pas de nouvelles...

peut tu m'expliquer par mp comment tu peux eviter le IP Check ?

je ne vois vraiment pas là ^^

ps : biensur on peut contourner si on est sur une connection partagé mais bon c'est un cas rare

Si c'est ca le seul probleme, Gameforge doit virer sa checkbox et obliger le check de l'IP. Ceux qui ne peuvent pas se connecter chercheront une solution (comme changer de navigateur) mais au moins, au bout de plusieurs mois de jeu, ils ne se feront pas hacker betement parce qu'ils l'ont désactivé tout au début (et ne s'en souviennent probablement plus).

Quand j'ai débuté Ogame, je croyais que c'était à cause de ça qu'on se fesait bloquer alors...

Him je vais pas voir pendant quelques jours ce topic et on parle technique sans moi

1°)Je crois que je vais remettre mon check Ip Pero je l'ai désactiver car il m'ennuyait vu que j'avais beaucoup de blèmes de connection/déconnection avec ma box.

2°) Akryus j'adore ton premier messages de présentation sa explique bien les possibilités de piratage (sauf pour le hashage mdr sa fait longtemps que sa marche plus sauf si tu veux y rester 10ans... ).

3°) J'ai lu ce que vous avez dit sur les id de sessions (on en avait parler ac mb en pv). Il faut que l'ordinateur soit corrompus non? Pour récupérer l'id non?

4°) Attaque in the middle est possible chez ceux qui sont en réseau mais sa m'étonnerai que sa se fase dans des entreprises (en générale il on un administrateur réseau qui fait un minimun son boulot :p).
Pour l'attaque de l'homme du milieu il fautque le pc qui est entre les deux soit dans le réseau ou pas forcement? ( je crosi aps non?)

Facon peu importe les possiblités faut que le pc soit corrompus?


Le checkIp n'évite en aucune cas le piratage! Il fait juste en sorte que l'ip de l'utilisateur qui utile la session ne change pas pendant que celle ci est ouvert...
Je ne pense pas qu'il vérifie si les masques A (ex : 62.194.... ou 92.194... soir différents (je sais plus si les deux premiers chiffres s'apelle le MasqueA sa fait longtemps que j'ai plus lu le tuto ).

PS : comme les autres l'ont dis si bien je ne suis aps un Crasheur :p (ni même développeur) Juste un pauvre lycéen.

Grace à mb(merci ^^) , il m'a demontré qu'il est possible de pirater le compte malgré l'ip check. je suis actuellement en train de voir concretement la marche à suivre pour savoir si c'est possible (je suis actuelement confronté à un problème de taille).

Sinon il est enfantin de recuperer l'id de session et pas besoin de corrompre quoi que ce soit. Le tout est de savoir ce qu'on va faire avec cet ID et c'est là que j'en suis (grace à mb)

pour le moment je n'ai pas trouvé de moyen direct de pirater un compte. mais j'y suis presque ^^ (je donnerai les details à NRJ si il me les demandent, mais CERTAINEMENT pas en publique)

ps: moi aussi je suis un lycéen et pour te répondre, il vérifie toute l'ip (pourquoi il ne vérifierait que le debut ?)

Adelie a écrit:Pour l'attaque de l'homme du milieu il fautque le pc qui est entre les deux soit dans le réseau ou pas forcement? ( je crosi aps non?)

... si tu es sur un réseau wireless, il suffit d'avoir un programme comme ethereal en mode promiscuité pour sniffer tous les paquets qui passent sur le réseau (rien à faire pour empêcher cela... ^^)

Adelie a écrit:J'ai lu ce que vous avez dit sur les id de sessions (on en avait parler ac mb en pv). Il faut que l'ordinateur soit corrompus non? Pour récupérer l'id non?

Justement pas... c'est ça le drame...

Bon, très mauvaise nouvelle !

J'ai developpé sur l'idée de mb et j'en ai conclu par un moyen permettant de pirater n'importe quel compte. Que la protection Ip soit activé ou pas, il est dans TOUS les cas possible de prendre le controle d'un compte. Il est donc possible que St Seiya se soit fait pirater son compte de cette manière.

ps: je ne donnerai cette methode ni en publique, ni par mp...

défi lancé par NRJ : pirater le compte d'un op