>> La recherche se fait sur tous les élements du jeu Minecraft <<
Aidez nous a financer le site: Joignez l'utile à l'agréable et profitez d'FR-Minecraft sans publicités en devenant VIP ! Ou ajoutez FR-Minecraft dans vos exceptions, nous n'abusons pas des pubs
Aidez nous a financer le site: Joignez l'utile à l'agréable et profitez d'FR-Minecraft sans publicités en devenant VIP ! Ou ajoutez FR-Minecraft dans vos exceptions, nous n'abusons pas des pubs
Attention au piratage de compte
Le 26/03/2012 à 18h01
Aidez nous a financer le site: Joignez l'utile à l'agréable et profitez d'FR-Minecraft sans publicités en devenant VIP ! Ou ajoutez FR-Minecraft dans vos exceptions, nous n'abusons pas des pubs
Suite à de nombreuses attaques et malheureusement plusieurs victimes parmi nos membres nous vous avions déjà avertis sur notre forum rubrique Annonce officielle des dangers de ces escros :
http://fr-minecraft.net/forum/topic-11793-tentative-de-hack-de-compte-sur-nos-serveurs.html
Aujourd'hui c'est EvilSteph, un des développeur de bukkit et depuis peu salarié de chez Mojang qui nous met en garde contre ces pratiques de plus en plus courantes :
http://forums.bukkit.org/threads/craftbukkit-1-2-3-r0-2-is-now-available.64659/page-3#post-1020993
Le principe de base est très souvent le même: vous faire croire qu'il est possible de devenir OP sur un serveur sans les droits. Ensuite les détails de l'attaque peu varié, voici quelques exemples :
Exemple 1:
Vous êtes un joueur, et vous voyez sur youtube une vidéo qui vous explique que c'est génial, tous les serveurs Minecraft peuvent être hacké et qu'il suffit de 2 clics pour devenir opérateur sans aucun droit ! Vous êtes super content, vous aller pouvoir cheater à fond, voir pire grieffer le serveur donc vous cliquez sur le lien proposé dans la vidéo.
Vous arrivez sur un site qui vous propose de donner l'adresse du serveur à attaquer, ainsi que votre login et mot de passe pour vous mettre OP, tout a l'air super simple, vous le faites.
Et voila, c'est fini, vous venez de vous faire hacker votre compte. Pourquoi ? Parce que le site en question n'a absolument pas pour but de vous mettre opérateur, mais de récuperer votre login/mot de passe que le site envoi automatiquement par email au hackeur.
Exemple 2:
Une variante existe et je vous met particulièrement en garde car une video youtube circule en citant le serveur fr-minecraft.net comme exemple, cette video est un fake, et le hackeur à deja fait beaucoup de victimes ! La variante vise à vous rassurer : le site du hackeur ne vous demande pas votre login et mot de passe, est-ce rassurant ? La réponse est, vous l'aurez compris, non ! Au fait dans le cas présent le hackeur vous demandera d'installer le navigateur firefox et un plugin permettant d'enregistrer vos cookies. Ce navigateur et ce plugin ne sont eux mêmes pas la source du danger. Ensuite il vous explique qu'il faut aller sur le site officiel minecraft.net et vous logguer avec votre login et mot de passe, jusque là rien de dangeureux, c'est le site officiel, n'est-ce pas ? Enfin il faut utiliser l'extension installé précedement pour envoyer au hackeur du "texte crypté" que vous croirez être un texte sans importance, mais qui n'est rien d'autre que votre login et mot de passe encodé. Le hackeur n'aura alors plus qu'a décoder votre login et mot de passe et vous aurez perdu votre compte prenium. Vous vous êtes fait hacké.
Et méfiez vous des commentaires élogieux sur youtube et les forums, ce sont les hackeurs eux même qui laissent ces commentaires et tous les messages d'avertissement sont systématiquement effacé par le hackeur.
Exemple 3:
Cette fois vous n'êtes pas un simple joueur, vous êtes administrateurs de votre serveur, donc vous n'avez aucunement besoin de ces sites de hack pour être opérateur... Mais les hackeurs ne vous oublient pas je vous rassure (ou pas). Cette fois la méthode est différente, le hackeur vous contacte pour vous prevenir qu'il existe une faille sur votre serveur Minecraft. Vous êtes effrayé, mais heureusement le hackeur se montre sympathique et vous explique comment "tester" votre serveur, il suffit d'aller sur son site, d'entrer l'adresse du serveur, votre login et pass (ou un truc du genre, cf exemple 2) et le site lancera un check de votre serveur pour vous verifier toutes les failles, et vous aider a les corriger.
Vous l'aurez compris, une fois de plus vous venez d'envoyer votre login et mot de passe à un hackeur, vous avez perdu votre compte minecraft, et pire que ça vous êtiez admin de votre serveur ? Et bien le hackeur le sera aussi dorenavent, vous avez perdu votre serveur ...
Exemple 4:
Toujours à destination des administrateurs, un mélange des techniques précedentes : Le hackeur explique à l'administrateur que son serveur a une faille et qu'il y a déjà eu des gens qui se sont connectés dessus et qui sont devenu op sans aucun droit. Le hackeur lui donnerai un lien pour que l'admin puisse tester la faille par lui même et voir comme il est simple de devenir op sans aucun droit: même chose que les exemples précedent, vous donnerez votre compte au hackeur, vous vous êtes fait avoir.
Pourquoi ?
Vous vous demandez très certainement pourquoi ces pirates veulents vous voler votre compte ? Principalement pour l'argent, ou pour nuire à autruit... Il existe par exemple des sites qui vous proposent d'acheter (ou de gagner) pour pas chère des comptes minecraft, comment ca marche ? Ils vendent des comptes piratés via les techniques que j'ai expliqué.
Il peuvent aussi se servir de ces comptes pour attaquer les serveurs via des attaques DOS, voir DDOS. fr-minecraft.net a subit ce genre d'attaque il y a moins d'une semaine, 113 comptes piratés se sont connecté simultannement et ont fait une attaque synchronisée de flood massif, heureusement 90% du flood a été bloqué par nos plugins de protection, et le serveur a tenu le coup, mais les joueurs ont été floodés un bon moment avant que j'intervienne.
Ce flood peut aussi etre de la pub, autre interet de ces attaques, et du coup ces attaques ont un autre but: récuperer des adresses de serveur, car a chaque fois que vous allez sur ces sites vous leur donner l'adresse d'un serveur, le site l'enregistre et l'utilisera pour l'attaquer.
EvilSteph nous explique que à chaque fois que l'équipe de bukkit recoit de la part d'un utilisateur une alerte pour faille dans le serveur, et un risque de pouvoir devenir op sans aucun droit, cela a toujours était prit au serieux, mais dans 100% des cas on en revient a la même conclusion: Il s'agissait de social hacking, ce n'est pas le serveur qui a une faille, mais l'administrateur. Il ne faut d'ailleur pas en avoir honte, car il ne faut pas voir les hackeur comme des genie de l'informatique capable de trouver des failles dans le système. Pourquoi ? Car la majorité des systèmes informatique sont relativement sur, et fait par des professionnels qui s'y connaissent dans leur domaine. Il est en revenche beaucoup plus facile d'attaquer les non professionels, à savoir les utilisateurs, les joueurs ou administrateurs amateurs qui sont des cibles faciles. N'oubliez pas que plus de la majorité des piratages ont comme origine une faille humaine, y compris dans le milieu professionel. Dans le milieu grand public, cette faille humaine (aussi appellé dans le milieu le bug entre la chaise et le clavier) doit representer plus de 95% des attaques.
A retenir:
- Ne jamais écouter ceux qui vous parlent de devenir operateur sur un serveur sans droit, que vous soyez administrateur ou simple joueur, c'est dans 100% des cas des tentatives de piratage de votre compte Minecraft.
- Ne donnez jamais à qui que ce soit votre login et mot de passe (en dehors du site officiel et du jeu lui même bien sur)
- Si vous êtes administrateur d'un serveur, n'ouvrez JAMAIS votre serveur minecraft au versions piratés, car vous n'aurez plus aucune protection. Pour vous en assurez:
- Ouvrez le fichier server.properties
- Assurez vous que l'option online-mode est égal à true
Cet article a été publié par Tronics, le 2012-03-26 18:01:07.
Source
Partager :
Commentaires de la news Minecraft
Attention au piratage de compte :
Attention au piratage de compte :
le 26/03/2012 à 22:33
ou les nouveaux trucs qui disent que le compte paypal ou bancaire est bloqué blablabla, jai failli me faire avoir pour le paypal, jusqu'à voir que le nom du site était pas en https!
Tronics (administrateur)
le 27/03/2012 à 01:46
Toutes les attaques de type phishing que vous décrivez sont effectivement du même type, a savoir s'attaquer a la faille humaine, beaucoup plus facile a exploiter que les failles logiciels
le 27/03/2012 à 02:14
Tu m'étonnes! Le pire, c'est qu'un hack comme ça m'est déjà arrivé, bon c'était sur dofus, j'étais jeune mais bon j'avais perdu la panop bouftou sur mon perso, à l'époque c'était super dur à choper!
Maintenant j'ai presque honte d'avoir ne serait ce que jouer à dofus^^
Maintenant j'ai presque honte d'avoir ne serait ce que jouer à dofus^^
le 27/03/2012 à 02:43
je dit dit juste un simple merci à tronics pour se rappel de mise en garde de ces piratages!
le 27/03/2012 à 04:48
Ce qui me désole le plus, c'est le nombre de personne qui tentent de cheater sur les serveurs en croyant pourvoir devenir OP ou Admin ou passer en créative...
Bref, ne donnez votre mot de passe à personne, et ça va de sois avec tout vos autres mot de passe.
Un autre truc un peu à la mode chez les hacker en herbe: le bruteforce sur minecraft.net. Ou via le client. Donc pensez à faire un mot de passe bien long comme le mien qui comptabilise pas moins de 20 caractères ;)
Bref, ne donnez votre mot de passe à personne, et ça va de sois avec tout vos autres mot de passe.
Un autre truc un peu à la mode chez les hacker en herbe: le bruteforce sur minecraft.net. Ou via le client. Donc pensez à faire un mot de passe bien long comme le mien qui comptabilise pas moins de 20 caractères ;)
le 27/03/2012 à 10:02
Oui galzra :)
Pour le burteforce...il me semble que le client officiel bloque au bout de plusieurs tentative non? (Oui, ca m'est deja arrivé --')
Ce qui me fait marrer c'est ceux qui disent sur le serveur : bah de toute facon dans une semaine y a plus de serveur etc. Une semaine plus tard on est toujours :) Merci Tronics
Pour le burteforce...il me semble que le client officiel bloque au bout de plusieurs tentative non? (Oui, ca m'est deja arrivé --')
Ce qui me fait marrer c'est ceux qui disent sur le serveur : bah de toute facon dans une semaine y a plus de serveur etc. Une semaine plus tard on est toujours :) Merci Tronics
le 27/03/2012 à 10:31
moi déjà les hackers auront du mal rien qu'à écrire mon nom^^ rien qu'à voir ceux qui me connaissent et qui écrivent glazra^^
Tronics (administrateur)
le 27/03/2012 à 16:19
Craterus: ca faut depuis l'ouverture ou presque que des gens nous attaquent et nous disent mort, pourtant on est toujours un des plus gros serveur (pour ne pas dire le plus gros) serveur francophone... Donc depuis le temps c'est devenu la routine, j'y fait meme plus attention ^^
le 03/04/2012 à 22:49
"- Si vous êtes administrateur d'un serveur, n'ouvrez JAMAIS votre serveur minecraft au versions piratés, car vous n'aurez plus aucune protection. Pour vous en assurez:
- Ouvrez le fichier server.properties
- Assurez vous que l'option online-mode est égal à true"
Pour sa suffit juste d'installer un plugin comme Xauth ou Rakamak ^^
- Ouvrez le fichier server.properties
- Assurez vous que l'option online-mode est égal à true"
Pour sa suffit juste d'installer un plugin comme Xauth ou Rakamak ^^
Vous devez être connecté pour laisser un commentaire.
Même combat que pour les mdp et login ne jamais donner ses coordonnées bancaires par internet si vous êtes contactés par qui que ce soit...