GRATUIT

Vos offres d'emploi informatique

Développeurs, chefs de projets, ingénieurs, informaticiens
Postez gratuitement vos offres d'emploi ici visibles par 4 000 000 de visiteurs uniques par mois

emploi.developpez.com

Le jeu vidéo en ligne World of Warcraft est la cible de pirates,
Ce jeu en ligne étant le plus populaire actuellement

Le , par raptor70, Expert éminent
Le jeu vidéo en ligne World of Warcraft est la cible de nombreux pirates. Ce jeu en ligne étant l'un des plus populaire actuellement

World of Warcraft, l'un des jeux en ligne les plus joué actuellement est actuellement la cible de hackers qui ont trouvé un moyen d'ouvrir des fenêtre pop-up contenant des logiciels malveillants.

Les techniciens du laboratoire F-Secure Security Lab ont posté sur leur blog les détails de la dernière escroquerie de ce genre sur le jeu MMORPG le plus populaire au monde. La popularité de World of Warcraft, 62% du marché des MMORPG, en fait l'un des plus séduisant pour les hackers. L'exemple ici est d'attirer les joueurs par la récupération de ressources virtuelles via un site web ressemblant très fortement au site officiel du jeu. Ainsi, les pauvres malheureux entrant leur mot de passe sur ce site "offre" tout loisirs aux hackers d'utiliser et de pirater ce compte.

Blog de F-Secure Security Lab

Le succès de World Of Warcraft en fait-il un objet des plus dangereux face aux pirates ?
Comment se prémunir des attaques des pirates de ce type selon vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Uther Uther - Expert éminent http://www.developpez.com
le 01/10/2009 à 8:53
En général c'est plutôt l'inverse, un bot a plutôt tendance à jouer moins bien qu'un vrai-joueur surtout dans un mmo-rpg, ou l'efficacité se joue bien plus sur la tactique que sur les réflexes et la précision. De toute façon les bot ne sont pas utilisés pour le combat joueur contre joueur.
Par contre, ils sont généralement utilisé pour faire des taches répétitives comme le farming(ramasser les ressources) ou tuer des monstres en boucle pour monter de niveau et ramasser des composants.

Les bots posent plusieurs problèmes:
- Ils ramassent tellement de ressource que le vrais joueurs peuvent avoir du mal a en trouver. C'est déjà rageant de se faire voler des ressource par un vrai joueur, mais quand il s'agit de bot
- Ils utilisent des client trafiqués ce qui leur permet de faire des chose normalement impossible. Il y a par exemples de bot capables de voler sans monture. Ou de se promener sans risque dans des zones ou les monstres sont bien plus fort qu'eux.

Cependant, le vrai problèmes des bots et des vols de comptes, c'est qu'ils servent à alimenter une économie parallèle qui fournit des services comme monter le niveau d'un personnage, fournir de l'or ou des objets rares,... contre de l'argent bien réel :
- Beaucoup de joueurs n'ont pas envie de jouer à un jeu ou un utilisateur qui a les moyen de payer davantage est avantagé par rapport a ceux qui ne paient que l'abonnement.
- Ça peut mettre à mal le système économique du jeu. Certains mmo on vu les prix s'envoler de manière a ce qu'un joueur honnête ne pouvait plus rien acheter. Heureusement ce n'est pas le cas de wow.
Avatar de Lucyberad Lucyberad - Membre du Club http://www.developpez.com
le 02/10/2009 à 0:00
Le problème du bot ce qui me hante dans mes volontées de Dev d'un MMO, c'est que l'économie sera mise à mal par un utilisateur de bot.
En plus d'encourager le marché parallèle totalement illégal (gold farming).
Je pense nottament au futur mais proche CitiesXL. Suffit qu'une ville triche pour proposer des prix défiant toute concurrence et tuant dans l'oeuf le marché (et imposant de la sorte un monopole du marché mondial)... Bref, la triche c'est mal et le pire, c'est que c'est très très difficile à contrer !
Je cherche la solution miracle... et je ne souhaite pas que cette solution soit un service de type OnLive (car plus de jeux amateurs de toute facon).
Avatar de ctxnop ctxnop - Membre expérimenté http://www.developpez.com
le 02/10/2009 à 11:13
Citation Envoyé par Lucyberad  Voir le message
Le problème du bot ce qui me hante dans mes volontées de Dev d'un MMO, c'est que l'économie sera mise à mal par un utilisateur de bot.
En plus d'encourager le marché parallèle totalement illégal (gold farming).
Je pense nottament au futur mais proche CitiesXL. Suffit qu'une ville triche pour proposer des prix défiant toute concurrence et tuant dans l'oeuf le marché (et imposant de la sorte un monopole du marché mondial)... Bref, la triche c'est mal et le pire, c'est que c'est très très difficile à contrer !
Je cherche la solution miracle... et je ne souhaite pas que cette solution soit un service de type OnLive (car plus de jeux amateurs de toute facon).

Solution miracle ? Il n'y en as pas.
Dans le cadre d'un MMO tu peux tracer tout ce qui se passe.
Numéro unique à toutes les ressources, quand et comment la ressource à été créée (loot ? craft ? ...), détruite (jetée ? vendue ? expirée ?, ...), ainsi que les mouvements de ressources (qui donne quoi à qui).
Ensuite tu peux établir un modèle statistique qui t'alertera en cas d'anomalie. Genre "Robert à gagné 18 636 pièces d'or en 1h alors que la moyenne des joueurs de son niveau est de 39 pièces".
Et via les traces tu peux vérifier s'il y a eu triche ou non. Ca n'empêchera pas les tricherie, mais ca te permettra de sauvegarder ton économie mondiale en coupant court aux anomalie et en ré-équilibrant l'économie automatiquement (régulation des prix, des loots, ....).
Bien sur, il y en aura toujours qui arriveront a tricher, mais ce sera vite visible et donc vite corrigible.
Avatar de ctxnop ctxnop - Membre expérimenté http://www.developpez.com
le 03/10/2009 à 9:43
Citation Envoyé par Uther  Voir le message
Il me semble que l'authenticator n'est supporté officiellement que sur Apple pour le moment, je n'étais même pas au courant que ça existait sur d'autre téléphones.
Ce n'est donc certainement pas fait par Blizzard.

Ah oui ?

EDIT :
D'ailleur au passage, j'aimerai bien savoir comment ca fonctionne réellement ce truc.
Je n'ai trouvé aucune indication qui disait si ca se connectait à Internet ou non (ou sur un autre réseau). La version porte-clef me fait dire que non, mais j'aimerai en être sur.
Et s'il se connecter pas, comment il fait pour se mettre d'accord avec le serveur sur le numéro généré ? S'il se mettent pas d'accord ca voudrait dire qu'on peu potentiellement entrer n'importe quel numéro, ou un numéro valide comme une clef CD. Auquel cas la protection est encore moindre qu'avec un mot de passe classique car il suffirait aux pirates de trouver un algo de génération de clef et le tour serait joué, il auraient accès à tous les comptes qui utilisent l'authentificator.
Je me doute bien qu'ils sont pas suffisamment stupide chez Blizzard pour faire ce genre de truc. Donc comment ca marche ? Quels sont les principes utilisés pour renforcer la sécurité ?
Avatar de millie millie - Rédacteur http://www.developpez.com
le 03/10/2009 à 10:11
Citation Envoyé par ctxnop  Voir le message
EDIT :
D'ailleur au passage, j'aimerai bien savoir comment ca fonctionne réellement ce truc.

C'est pas comme les cartes pour signature électronique (ou les dongles) ? (type luxtrust https://www.luxtrust.lu/ )

(donc basé sur des systèmes de signatures électroniques que l'on peut trouver dans n'importe quel bouquin de cryptographie)
Avatar de ctxnop ctxnop - Membre expérimenté http://www.developpez.com
le 03/10/2009 à 10:17
Citation Envoyé par millie  Voir le message
C'est pas comme les cartes pour signature électronique (ou les dongles) ? (type luxtrust https://www.luxtrust.lu/ )

Si si c'est ca, mais c'est n'explique pas comment ca fonctionne.
Ca génère une clef différentes toutes les 30 secondes. C'est tout ce qu'on sait.
Donc, comment le serveur détecte que la clef est valable ou non ?
Avatar de millie millie - Rédacteur http://www.developpez.com
le 03/10/2009 à 10:20
Citation Envoyé par ctxnop  Voir le message
Si si c'est ca, mais c'est n'explique pas comment ca fonctionne.
Ca génère une clef différentes toutes les 30 secondes. C'est tout ce qu'on sait.
Donc, comment le serveur détecte que la clef est valable ou non ?

Ok, alors c'est pas de la signature électronique.

C'est plus comme certains composants électronique qui génèrent des clefs pour se connecter à des services de Webbanking.

En général, c'est des algorithmes bourrins synchronisés avec les serveurs de la banque (j'imagine avec une même horloge). L'algorithme de la clef pouvant être unique à l'utilisateur (ou du moins, à une partie des utilisateurs). Chaque composant a un id particulier (donc un algorithme particulier) et est associé à ton compte bancaire, ce qui permet de ne pas utiliser un composant d'une autre personne.
Avatar de ctxnop ctxnop - Membre expérimenté http://www.developpez.com
le 03/10/2009 à 10:31
Citation Envoyé par millie  Voir le message
Ok, alors c'est pas de la signature électronique.

C'est plus comme certains composants électronique qui génèrent des clefs pour se connecter à des services de Webbanking.

En général, c'est des algorithmes bourrins synchronisés avec les serveurs de la banque (j'imagine avec une même horloge). L'algorithme de la clef pouvant être unique à l'utilisateur (ou du moins, à une partie des utilisateurs). Chaque composant a un id particulier (donc un algorithme particulier) et est associé à ton compte bancaire, ce qui permet de ne pas utiliser un composant d'une autre personne.

Si c'est synchroniser ca veux dire connexion au serveur pour la synchronisation, donc accès a Internet pour les téléphones mobiles. Je supposes que le format porte-clef est synchronisé en usine.
J'aimerai bien choper un émulateur d'iPhone/iPod (sous Windows ou Linux, mais pas Mac) pour tester leurs truc.
Avatar de millie millie - Rédacteur http://www.developpez.com
le 03/10/2009 à 10:41
Citation Envoyé par ctxnop  Voir le message
Si c'est synchroniser ca veux dire connexion au serveur pour la synchronisation, donc accès a Internet pour les téléphones mobiles.

En fait, c'est synchronisé physiquement une seule fois au moment où ils te le donnent.
Après, il y a une horloge dans le composant pour rester tout le temps "synchronisé" avec les algorithmes (mais plus besoin de connexion à la banque)

Imaginons que l'algorithme donne juste le nombre de minutes écoulées depuis la synchronisation avec la banque.
Si au bout d'un an, tu appuie sur le bouton, t'as ta clef (donc le nombre de minute écoulée). Quand tu essayes de te connecter avec ton compte, la banque sait que t'as une certaine clef, et qu'il y a un an, elle a été synchronisée avec l'algorithme "nombre de minutes écoulées". Donc sait le chiffre que ta clef va générer.
Avatar de ctxnop ctxnop - Membre expérimenté http://www.developpez.com
le 03/10/2009 à 11:27
Citation Envoyé par millie  Voir le message
En fait, c'est synchronisé physiquement une seule fois au moment où ils te le donnent.
Après, il y a une horloge dans le composant pour rester tout le temps "synchronisé" avec les algorithmes (mais plus besoin de connexion à la banque)

Imaginons que l'algorithme donne juste le nombre de minutes écoulées depuis la synchronisation avec la banque.
Si au bout d'un an, tu appuie sur le bouton, t'as ta clef (donc le nombre de minute écoulée). Quand tu essayes de te connecter avec ton compte, la banque sait que t'as une certaine clef, et qu'il y a un an, elle a été synchronisée avec l'algorithme "nombre de minutes écoulées". Donc sait le chiffre que ta clef va générer.

Oui oui, j'avais bien compris ca, c'est pour ca que j'ai parlé d'une synchro d'usine pour le format porte clef, mais pour le format téléphone mobile la synchro ne peux être faite d'usine.
Avatar de Uther Uther - Expert éminent http://www.developpez.com
le 03/10/2009 à 17:48
Citation Envoyé par ctxnop  Voir le message

Autant pour moi, a l'époque ou je m'était renseigné ce n'était encore dispo que sous Mac, mais, vu le prix de l'application on ne peux quand même pas crier au vol.
Sachant que c'est quand même du boulot(pour avoir travaillé la dedans) de porter et tester et distribuer une application sur un gros ensemble de téléphones portables.

Citation Envoyé par ctxnop  Voir le message
D'ailleurs au passage, j'aimerai bien savoir comment ca fonctionne réellement ce truc.
Je n'ai trouvé aucune indication qui disait si ca se connectait à Internet ou non (ou sur un autre réseau). La version porte-clef me fait dire que non, mais j'aimerai en être sur.

Non il n'y a en effet aucune connexion directe a l'internet pour le porte-clé. D'après un ami qui a acheté la version porte-clé, il y a un code identifiant sur celui ci que tu dois enregistrer sur le site web officiel de WoW avant de pouvoir l'utiliser.

Donc le fonctionnement me semble simple:
Le porte-clé est synchronisé sur la date des serveurs wow en usine.
Il doit en gros générer un mot de passe via un fonction de hashage du type md5(code_boitier + (timestamp % 30s)). Comme le serveur à la même date et que l'on lui a fourni le code du boitier il peut faire le même calcul.

Pour le téléphone je suppose en effet qu'il doit pouvoir se resynchroniser via une connexion internet à internet.
Offres d'emploi IT
Ingénieur études et développement Java JEE H/F
Conserto - Ile de France - Paris (75000)
Leader technique software télécom H/F
Atos - Provence Alpes Côte d'Azur - 206581
DBA Oracle / Administrateur Oracle H/F
EXPERIS IT - France - Monaco

Voir plus d'offres Voir la carte des offres IT
Responsable bénévole de la rubrique 2D - 3D - Jeux : LittleWhite -