• Welcome to CreativeCrafts.fr: Le Forum. Please login.
 

[ATTENTION DANGER] Hack de comptes Minecraft

Started by ZORK, Le Friday 30 March 2012, 07:02:40.

Previous topic - Next topic

ZORK

Attention en ce moment une vague de hack de comptes minecraft sévi, lisez bien la suite de message:

Aujourd'hui c'est EvilSteph, un des développeur de bukkit et depuis peu salarié de chez Mojang qui nous met en garde contre ces pratiques de plus en plus courantes :
http://forums.bukkit.org/threads/craftbukkit-1-2-3-r0-2-is-now-available.64659/page-3#post-1020993


Le principe de base est très souvent le même: vous faire croire qu'il est possible de devenir OP sur un serveur sans les droits. Ensuite les détails de l'attaque peu varié, voici quelques exemples :

Exemple 1:
Vous êtes un joueur, et vous voyez sur youtube une vidéo qui vous explique que c'est génial, tous les serveurs Minecraft peuvent être hacké et qu'il suffit de 2 clics pour devenir opérateur sans aucun droit ! Vous êtes super content, vous aller pouvoir cheater à fond, voir pire grieffer le serveur donc vous cliquez sur le lien proposé dans la vidéo.

Vous arrivez sur un site qui vous propose de donner l'adresse du serveur à attaquer, ainsi que votre login et mot de passe pour vous mettre OP, tout a l'air super simple, vous le faites.

Et voila, c'est fini, vous venez de vous faire hacker votre compte. Pourquoi ? Parce que le site en question n'a absolument pas pour but de vous mettre opérateur, mais de récuperer votre login/mot de passe que le site envoi automatiquement par email au hackeur.

Exemple 2:
Une variante existe et je vous met particulièrement en garde car une video youtube circule en citant le serveur fr-minecraft.net comme exemple, cette video est un fake, et le hackeur à deja fait beaucoup de victimes ! La variante vise à vous rassurer : le site du hackeur ne vous demande pas votre login et mot de passe, est-ce rassurant ? La réponse est, vous l'aurez compris, non ! Au fait dans le cas présent le hackeur vous demandera d'installer le navigateur firefox et un plugin permettant d'enregistrer vos cookies. Ce navigateur et ce plugin ne sont eux mêmes pas la source du danger. Ensuite il vous explique qu'il faut aller sur le site officiel minecraft.net et vous logguer avec votre login et mot de passe, jusque là rien de dangeureux, c'est le site officiel, n'est-ce pas ? Enfin il faut utiliser l'extension installé précedement pour envoyer au hackeur du "texte crypté" que vous croirez être un texte sans importance, mais qui n'est rien d'autre que votre login et mot de passe encodé. Le hackeur n'aura alors plus qu'a décoder votre login et mot de passe et vous aurez perdu votre compte prenium. Vous vous êtes fait hacké.
Et méfiez vous des commentaires élogieux sur youtube et les forums, ce sont les hackeurs eux même qui laissent ces commentaires et tous les messages d'avertissement sont systématiquement effacé par le hackeur.

Exemple 3:

Cette fois vous n'êtes pas un simple joueur, vous êtes administrateurs de votre serveur, donc vous n'avez aucunement besoin de ces sites de hack pour être opérateur... Mais les hackeurs ne vous oublient pas je vous rassure (ou pas). Cette fois la méthode est différente, le hackeur vous contacte pour vous prevenir qu'il existe une faille sur votre serveur Minecraft. Vous êtes effrayé, mais heureusement le hackeur se montre sympathique et vous explique comment "tester" votre serveur, il suffit d'aller sur son site, d'entrer l'adresse du serveur, votre login et pass (ou un truc du genre, cf exemple 2) et le site lancera un check de votre serveur pour vous verifier toutes les failles, et vous aider a les corriger.
Vous l'aurez compris, une fois de plus vous venez d'envoyer votre login et mot de passe à un hackeur, vous avez perdu votre compte minecraft, et pire que ça vous êtiez admin de votre serveur ? Et bien le hackeur le sera aussi dorenavent, vous avez perdu votre serveur ...

Exemple 4:
Toujours à destination des administrateurs, un mélange des techniques précedentes : Le hackeur explique à l'administrateur que son serveur a une faille et qu'il y a déjà eu des gens qui se sont connectés dessus et qui sont devenu op sans aucun droit. Le hackeur lui donnerai un lien pour que l'admin puisse tester la faille par lui même et voir comme il est simple de devenir op sans aucun droit: même chose que les exemples précedent, vous donnerez votre compte au hackeur, vous vous êtes fait avoir.


Pourquoi ?
Vous vous demandez très certainement pourquoi ces pirates veulents vous voler votre compte ? Principalement pour l'argent, ou pour nuire à autruit... Il existe par exemple des sites qui vous proposent d'acheter (ou de gagner) pour pas chère des comptes minecraft, comment ca marche ? Ils vendent des comptes piratés via les techniques que j'ai expliqué.
Il peuvent aussi se servir de ces comptes pour attaquer les serveurs via des attaques DOS, voir DDOS. fr-minecraft.net a subit ce genre d'attaque il y a moins d'une semaine, 113 comptes piratés se sont connecté simultannement et ont fait une attaque synchronisée de flood massif, heureusement 90% du flood a été bloqué par nos plugins de protection, et le serveur a tenu le coup, mais les joueurs ont été floodés un bon moment avant que j'intervienne.
Ce flood peut aussi etre de la pub, autre interet de ces attaques, et du coup ces attaques ont un autre but: récuperer des adresses de serveur, car a chaque fois que vous allez sur ces sites vous leur donner l'adresse d'un serveur, le site l'enregistre et l'utilisera pour l'attaquer.

EvilSteph nous explique que à chaque fois que l'équipe de bukkit recoit de la part d'un utilisateur une alerte pour faille dans le serveur, et un risque de pouvoir devenir op sans aucun droit, cela a toujours était prit au serieux, mais dans 100% des cas on en revient a la même conclusion: Il s'agissait de social hacking, ce n'est pas le serveur qui a une faille, mais l'administrateur. Il ne faut d'ailleur pas en avoir honte, car il ne faut pas voir les hackeur comme des genie de l'informatique capable de trouver des failles dans le système. Pourquoi ? Car la majorité des systèmes informatique sont relativement sur, et fait par des professionnels qui s'y connaissent dans leur domaine. Il est en revenche beaucoup plus facile d'attaquer les non professionels, à savoir les utilisateurs, les joueurs ou administrateurs amateurs qui sont des cibles faciles. N'oubliez pas que plus de la majorité des piratages ont comme origine une faille humaine, y compris dans le milieu professionel. Dans le milieu grand public, cette faille humaine (aussi appellé dans le milieu le bug entre la chaise et le clavier) doit representer plus de 95% des attaques.

A retenir:
- Ne jamais écouter ceux qui vous parlent de devenir operateur sur un serveur sans droit, que vous soyez administrateur ou simple joueur, c'est dans 100% des cas des tentatives de piratage de votre compte Minecraft.

- Ne donnez jamais à qui que ce soit votre login et mot de passe (en dehors du site officiel et du jeu lui même bien sur)
- Si vous êtes administrateur d'un serveur, n'ouvrez JAMAIS votre serveur minecraft au versions piratés, car vous n'aurez plus aucune protection. Pour vous en assurez:
  - Ouvrez le fichier server.properties
  - Assurez vous que l'option online-mode est égal à true

Sources
Quote from: bigbabbo on Le Thursday 24 May 2012, 17:40:28.
... je m`y connais en informatique, j´aime le poulet roti mais je déteste tout genre de sport.

viveleltsi

Merci, c'était bien à savoir (beau copier coller, des trucs dans le textes parle comme si on était fr.minecraftmachin.com) Mais au moins je suis au courant, Laza le sera aussi et... heu, les bots seront au courant ! =D

Ansuz


Lazarock

Merci de l'info ! Bon, j'vais faire mon aigri en disant que tout ce qui nous est proposé comme moyen "Facile, gratuit et rapide" sur le net, quelque soit le but, c'est de la connerie qui ne peut que nous causer du tord.

Ne cherchez pas toujours la facilité, c'est souvent le meilleur moyen de se faire avoir en toute beauté.
Restez dans les clous de la légalité, ne tentez jamais de hacker/cracker quelque chose de "communautaire" (Oh, des jeux gratuits sur steam/origin chouette ! / Oh, j'vais devenir le maitre de Dofus/WoW/Aion chouette !/ De l'argent/extension de pénis[Oui, votre pénis est communautaire :D] gratuit chouette !), c'est le meilleur moyen de se faire avoir.

Naru13

"Insensés que nous sommes, nous voulons tout conquérir, comme si nous avions le temps de tout posséder !"Frederic II

---------------------------------------------------