Sécurité: Intrusion dans les comptes Battle.net de Blizzard
Je suis étonné que cela ne soit pas arrivé plus tôt. Après d'innombrables sociétés, c'est au tour de Blizzard d'être la cible des hackeurs, lesquels ont pu s'introduire dans le réseau interne de Blizzard et accéder à certaines informations. Voici le message de Mike Morhaime, président de Blizzard, à ce sujet.
En résumé:
- Aucun élément ne permet de prouver que les données relatives aux cartes de crédits, adresses et noms réels ont été compromises.
- Certaines adresses e-mail d'utilisateurs du monde entier, hormis la Chine, ont été consultées. Pour les européens, seul l'adresse e-mail a donc été consultée.
- Pour les personnes qui jouent sur les serveurs situés en Amérique du Nord, des données supplémentaires ont été consultées: réponse à la question secrète, infos relatives aux Mobile Authenticators et aux Dial-in Authenticators. De plus, les mots de passe ont été volés. Ceux-ci sont néanmoins brouillés et doivent être décodés pour être utilisables.
- Si vous jouez sur les serveurs US, il est fortement recommandé de changer votre mot de passe.
- Le Mobile Authenticator sera prochainement mis à jour pour contrer le problème. Les Authenticators physiques ne sont pas compromis.
- L'intrusion a eu lieu le 4 août.
Message de Mike Morhaime
Chers joueurs et amis,
Même dans l’industrie du divertissement, chaque semaine ne rime pas nécessairement avec « amusement ». Cette semaine, notre équipe de sécurité a détecté une intrusion non autorisée et illégale dans le réseau interne de Blizzard. Nous avons très rapidement pris des mesures pour colmater cette brèche et nous avons fait appel aux autorités et à des experts en sécurité pour déterminer la cause de cette violation.
À l’heure actuelle, nous n’avons trouvé aucun élément prouvant que des informations financières tels que des numéros de carte de crédit, des adresses de facturation ou des noms de personnes ont été compromises. Nos recherches sont toujours en cours, mais jusqu’à présent, rien ne laisse à penser que de telles informations ont pu être touchées.
Certaines données ont été illégalement consultées, dont une liste d’adresses email reprenant des utilisateurs Battle.net de toutes les régions hormis la Chine. En ce qui concerne les personnes jouant sur des serveurs nord-américains (ce qui comprend généralement les joueurs d’Amérique du Nord, d’Amérique latine, d’Australie, de Nouvelle-Zélande et d’Asie du Sud-Est), la réponse à la question secrète de sécurité et des informations relatives aux Mobile Authenticators et aux Dial-in Authenticators ont été consultés. D’après les informations dont nous disposons à l’heure actuelle, ces données, à elles seules, ne suffisent PAS pour accéder à un compte Battle.net.
Nous savons également que les versions brouillées de manière cryptographique (et non les versions réelles) de mots de passe Battle.net de personnes jouant sur des serveurs nord-américains ont été volées. Nous utilisons le protocole Secure Remote Password (SRP) pour protéger ces mots de passe, ce qui rend extrêmement difficile l’extraction du mot de passe réel et qui implique que chaque mot de passe doit être décodé individuellement. Cependant, à titre préventif, nous recommandons aux personnes jouant sur des serveurs nord-américains de changer leur mot de passe. Veuillez cliquer sur ce lien pour changer votre mot de passe. Par ailleurs, si vous utilisez des mots de passe identiques ou ressemblants à d’autres fins, nous vous encourageons à les changer également.
Dans les prochains jours, nous utiliserons un procédé automatisé pour inviter les personnes jouant sur des serveurs nord-américains à changer leur question secrète et la réponse correspondante. En outre, nous inviterons les utilisateurs de Mobile Authenticator à mettre à jour le logiciel de leur Authenticator. Pour rappel, les emails vous demandant de donner votre mot de passe ou vos informations de connexion sont des emails de hameçonnage. Les emails provenant de Blizzard Entertainment ne vous demanderont jamais votre mot de passe. Nous déplorons profondément les désagréments que cette situation pourrait vous causer et nous comprenons que vous puissiez avoir des questions à nous poser. À cet égard, vous trouverez de plus amples informations ici.
Nous prenons la sécurité de vos informations personnelles très au sérieux et nous sommes profondément désolés de cette situation.
Cordialement,
Mike Morhaime
Même dans l’industrie du divertissement, chaque semaine ne rime pas nécessairement avec « amusement ». Cette semaine, notre équipe de sécurité a détecté une intrusion non autorisée et illégale dans le réseau interne de Blizzard. Nous avons très rapidement pris des mesures pour colmater cette brèche et nous avons fait appel aux autorités et à des experts en sécurité pour déterminer la cause de cette violation.
À l’heure actuelle, nous n’avons trouvé aucun élément prouvant que des informations financières tels que des numéros de carte de crédit, des adresses de facturation ou des noms de personnes ont été compromises. Nos recherches sont toujours en cours, mais jusqu’à présent, rien ne laisse à penser que de telles informations ont pu être touchées.
Certaines données ont été illégalement consultées, dont une liste d’adresses email reprenant des utilisateurs Battle.net de toutes les régions hormis la Chine. En ce qui concerne les personnes jouant sur des serveurs nord-américains (ce qui comprend généralement les joueurs d’Amérique du Nord, d’Amérique latine, d’Australie, de Nouvelle-Zélande et d’Asie du Sud-Est), la réponse à la question secrète de sécurité et des informations relatives aux Mobile Authenticators et aux Dial-in Authenticators ont été consultés. D’après les informations dont nous disposons à l’heure actuelle, ces données, à elles seules, ne suffisent PAS pour accéder à un compte Battle.net.
Nous savons également que les versions brouillées de manière cryptographique (et non les versions réelles) de mots de passe Battle.net de personnes jouant sur des serveurs nord-américains ont été volées. Nous utilisons le protocole Secure Remote Password (SRP) pour protéger ces mots de passe, ce qui rend extrêmement difficile l’extraction du mot de passe réel et qui implique que chaque mot de passe doit être décodé individuellement. Cependant, à titre préventif, nous recommandons aux personnes jouant sur des serveurs nord-américains de changer leur mot de passe. Veuillez cliquer sur ce lien pour changer votre mot de passe. Par ailleurs, si vous utilisez des mots de passe identiques ou ressemblants à d’autres fins, nous vous encourageons à les changer également.
Dans les prochains jours, nous utiliserons un procédé automatisé pour inviter les personnes jouant sur des serveurs nord-américains à changer leur question secrète et la réponse correspondante. En outre, nous inviterons les utilisateurs de Mobile Authenticator à mettre à jour le logiciel de leur Authenticator. Pour rappel, les emails vous demandant de donner votre mot de passe ou vos informations de connexion sont des emails de hameçonnage. Les emails provenant de Blizzard Entertainment ne vous demanderont jamais votre mot de passe. Nous déplorons profondément les désagréments que cette situation pourrait vous causer et nous comprenons que vous puissiez avoir des questions à nous poser. À cet égard, vous trouverez de plus amples informations ici.
Nous prenons la sécurité de vos informations personnelles très au sérieux et nous sommes profondément désolés de cette situation.
Cordialement,
Mike Morhaime
FAQ
Y a-t-il quelque chose que les joueurs puissent faire dans l’immédiat pour protéger leurs informations ?
Bien que rien ne prouve que des mots de passe ou d’autres données appartenant aux joueurs aient été détournés, nous encourageons les joueurs nord-américains à changer leurs mots de passe. Cliquez ici pour vous connecter et changer votre mot de passe.
Dans les prochains jours, nous mettrons en place un processus automatique pour que tous les utilisateurs changent leur question et réponse secrètes, à titre préventif. Nous inviterons également les utilisateurs de Mobile Authenticator à mettre à jour le logiciel de leur Authenticator.
En outre, bien que Blizzard n’ait aucune indication montrant que vos informations aient été transmises à d’autres parties tierces, ou que vos données aient été utilisées de manière abusive, nous encourageons tous les membres de notre communauté à surveiller de près tous leurs comptes en ligne.
Les joueurs devraient aussi se méfier des emails malveillants (hameçonnage). Malheureusement, comme les adresses email ont été touchées par l’intrusion, il est tout à fait possible que cela entraîne une importante campagne de hameçonnage ciblant nos utilisateurs. Consultez cette page pour obtenir des conseils afin de repérer et éviter ce genre d’emails malveillants.
Quelles données ont été touchées ?
Voici un résumé des données dont nous savons qu’elles ont été consultées illégalement :
Comptes basés en Amérique du Nord, y compris les joueurs d’Amérique latine, d’Australie, de Nouvelle-Zélande et d’Asie du Sud-Est
Comptes basés dans toutes les régions hormis la Chine, mais comprenant l’Europe et la Russie
Comptes basés en Chine
Quelles informations relatives aux Mobile Authenticators et aux Dial-in Authenticator ont été touchées ? Qu’en est-il du Verrou par téléphone ?
-En ce qui concerne les Dial-in Authenticators, des numéros de téléphones hachés (et non les vrais) ont été consultés. Ces données téléphoniques proviennent d’un nombre relativement réduit de joueurs ayant souscrit à ce système
-En ce qui concerne les Mobile Authenticators, des informations qui ont été dérobées pourraient potentiellement compromettre l’intégrité des Mobile Authenticators nord-américains. Nous n’avons aucune preuve que d’autres régions aient été touchées. Nous fournirons une mise à jour du logiciel aux utilisateurs dès que possible.
En outre, nous pensons que l’intégrité des Authenticators physiques reste intacte.
Les informations relatives aux Verrous par téléphone représentent un petit nombre de numéros de téléphone hachés (et non des numéros réels) appartenant à des joueurs taïwanais ayant souscrit à ce service et disposant d’un compte Battle.net nord-américain.
Les authenticators physiques ont-ils été compromis ?
Nous pensons que l’intégrité des Authenticators physiques reste intacte.
Comment est-ce arrivé ?
Comme pour toutes les entreprises faisant du commerce en ligne, il n’est pas rare d’être victime de parties tierces qui tentent d’accéder de manière illégitime à la structure opérationnelle de l’entreprise. Nous améliorons continuellement nos systèmes, chartes, protocoles et procédures de sécurité afin de protéger nos clients et nos jeux face aux menaces qui apparaissent de plus en plus fréquemment sur Internet.
Quand Blizzard a-t-il appris l’intrusion ?
Nous avons détecté l’intrusion dans notre réseau interne le 4 août 2012.
Pourquoi Blizzard fait-il cette annonce le 9 août ?
Depuis que nous avons découvert l’intrusion, nous avons travaillé jour et nuit afin de déterminer la nature de la violation et comprendre quelles données ont été consultées. Notre première priorité a été de rétablir la sécurité de notre réseau, ensuite nous avons simultanément mené notre enquête et informé nos joueurs à travers le monde. Nous avons voulu atteindre un équilibre entre la vitesse et la précision de notre réaction, et nous nous sommes efforcés de remplir ces deux besoins aussi importants l’un que l’autre.
Quelles mesures Blizzard a-t-il prises ?
Dès que nous avons remarqué la violation, nous avons fait aussi vite que possible pour rétablir la sécurité de notre réseau. Tout de suite après, nous avons informé les autorités de la situation et nous avons fait appel à des experts en sécurité afin de mener une enquête pour déterminer ce qui s’était passé. Nous avons également effectué des démarches pour avertir les joueurs, ce qui a été fait quelques jours à peine après que nous avons découvert l’intrusion.
Des informations d’ordre personnel ou financier ont-elles été consultées ?
À l’heure actuelle, rien ne prouve que des informations financières aient été consultées ou endommagées. Il n’y a pas non plus d’éléments prouvant que des informations personnelles telles que des noms réels ou des adresses de facturation aient été consultées.
Que pouvez-vous nous dire sur les mots de passes brouillés qui ont été consultés ?
La version brouillée de manière cryptographique de mots de passe appartenant à des joueurs nord-américains a été consultée, cette version étant protégée par un protocole SRP (Secure Remote Password). Cette information à elle seule ne fournit pas de mot de passe aux intrus, chaque mot de passe doit encore être déchiffré individuellement. Le niveau de protection supplémentaire fourni par le protocole SRP rend ce processus de déchiffrage très onéreux et difficile d’un point de vue informatique.
Pourquoi n’avoir pas immédiatement invalidé les questions et réponses secrètes qui étaient compromises ?
Ce fut une décision difficile, mais en fin de compte, nous pensons que maintenir les questions et réponses secrètes continue à fournir un niveau de sécurité contre les intrus qui n’ont pas accès aux données compromises. Dans l’entretemps, nous nous efforçons de mettre en place un mécanisme permettant aux joueurs de changer la question secrète sur leur compte. L’équipe de notre service d’assistance aura également recours à des mesures supplémentaires pour vérifier l’identité des joueurs, et ne plus se reposer uniquement sur la question et la réponse secrètes.
Pourquoi n’avoir pas immédiatement invalidé les Mobile Authenticators ?
Tout comme la décision que nous avons prise en ce qui concerne la question et la réponse secrètes, nous continuons à croire que maintenir les Mobile Authenticators fournit un niveau de sécurité contre les intrus qui n’ont pas accès aux données compromises. En fait, l’information liée au Mobile Authenticator en tant que telle ne permet pas d’accéder à un compte Battle.net, pour ce faire, le mot de passe est aussi nécessaire. Nous nous efforçons de déployer aussi vite que possible un nouveau logiciel pour le Mobile Authenticator et nous informerons les joueurs de le mettre à jour dès que ce logiciel sera disponible.
Allez-vous prendre des mesures supplémentaires suite à cet évènement ?
Nous nous efforçons continuellement d’améliorer nos systèmes, chartes, protocoles et procédures de sécurité afin de contribuer à protéger nos clients et nos jeux, et nous continuerons à surveiller la situation de très près.
Nos équipes travaillent aussi jour et nuit afin d’enquêter aux côtés des autorités et d’experts en sécurité et de comprendre précisément ce qui s’est passé. Une fois l’enquête clôturée, nous tirerons les leçons qui nous permettront de renforcer notre sécurité.
Bien que rien ne prouve que des mots de passe ou d’autres données appartenant aux joueurs aient été détournés, nous encourageons les joueurs nord-américains à changer leurs mots de passe. Cliquez ici pour vous connecter et changer votre mot de passe.
Dans les prochains jours, nous mettrons en place un processus automatique pour que tous les utilisateurs changent leur question et réponse secrètes, à titre préventif. Nous inviterons également les utilisateurs de Mobile Authenticator à mettre à jour le logiciel de leur Authenticator.
En outre, bien que Blizzard n’ait aucune indication montrant que vos informations aient été transmises à d’autres parties tierces, ou que vos données aient été utilisées de manière abusive, nous encourageons tous les membres de notre communauté à surveiller de près tous leurs comptes en ligne.
Les joueurs devraient aussi se méfier des emails malveillants (hameçonnage). Malheureusement, comme les adresses email ont été touchées par l’intrusion, il est tout à fait possible que cela entraîne une importante campagne de hameçonnage ciblant nos utilisateurs. Consultez cette page pour obtenir des conseils afin de repérer et éviter ce genre d’emails malveillants.
Quelles données ont été touchées ?
Voici un résumé des données dont nous savons qu’elles ont été consultées illégalement :
Comptes basés en Amérique du Nord, y compris les joueurs d’Amérique latine, d’Australie, de Nouvelle-Zélande et d’Asie du Sud-Est
- Adresses email
- Réponses aux questions secrètes de sécurité
- Version des mots de passe brouillée de manière cryptographique (et non la version réelle de ces mots de passe)
- Informations relatives aux Mobile Authenticators
- Informations relatives aux Dial-in Authenticators
- Informations liées aux Verrous par téléphone, un système de sécurité uniquement présent sur les comptes basés à Taïwan
Comptes basés dans toutes les régions hormis la Chine, mais comprenant l’Europe et la Russie
- Adresses email
Comptes basés en Chine
- Aucune donnée n’a été touchée
Quelles informations relatives aux Mobile Authenticators et aux Dial-in Authenticator ont été touchées ? Qu’en est-il du Verrou par téléphone ?
-En ce qui concerne les Dial-in Authenticators, des numéros de téléphones hachés (et non les vrais) ont été consultés. Ces données téléphoniques proviennent d’un nombre relativement réduit de joueurs ayant souscrit à ce système
-En ce qui concerne les Mobile Authenticators, des informations qui ont été dérobées pourraient potentiellement compromettre l’intégrité des Mobile Authenticators nord-américains. Nous n’avons aucune preuve que d’autres régions aient été touchées. Nous fournirons une mise à jour du logiciel aux utilisateurs dès que possible.
En outre, nous pensons que l’intégrité des Authenticators physiques reste intacte.
Les informations relatives aux Verrous par téléphone représentent un petit nombre de numéros de téléphone hachés (et non des numéros réels) appartenant à des joueurs taïwanais ayant souscrit à ce service et disposant d’un compte Battle.net nord-américain.
Les authenticators physiques ont-ils été compromis ?
Nous pensons que l’intégrité des Authenticators physiques reste intacte.
Comment est-ce arrivé ?
Comme pour toutes les entreprises faisant du commerce en ligne, il n’est pas rare d’être victime de parties tierces qui tentent d’accéder de manière illégitime à la structure opérationnelle de l’entreprise. Nous améliorons continuellement nos systèmes, chartes, protocoles et procédures de sécurité afin de protéger nos clients et nos jeux face aux menaces qui apparaissent de plus en plus fréquemment sur Internet.
Quand Blizzard a-t-il appris l’intrusion ?
Nous avons détecté l’intrusion dans notre réseau interne le 4 août 2012.
Pourquoi Blizzard fait-il cette annonce le 9 août ?
Depuis que nous avons découvert l’intrusion, nous avons travaillé jour et nuit afin de déterminer la nature de la violation et comprendre quelles données ont été consultées. Notre première priorité a été de rétablir la sécurité de notre réseau, ensuite nous avons simultanément mené notre enquête et informé nos joueurs à travers le monde. Nous avons voulu atteindre un équilibre entre la vitesse et la précision de notre réaction, et nous nous sommes efforcés de remplir ces deux besoins aussi importants l’un que l’autre.
Quelles mesures Blizzard a-t-il prises ?
Dès que nous avons remarqué la violation, nous avons fait aussi vite que possible pour rétablir la sécurité de notre réseau. Tout de suite après, nous avons informé les autorités de la situation et nous avons fait appel à des experts en sécurité afin de mener une enquête pour déterminer ce qui s’était passé. Nous avons également effectué des démarches pour avertir les joueurs, ce qui a été fait quelques jours à peine après que nous avons découvert l’intrusion.
Des informations d’ordre personnel ou financier ont-elles été consultées ?
À l’heure actuelle, rien ne prouve que des informations financières aient été consultées ou endommagées. Il n’y a pas non plus d’éléments prouvant que des informations personnelles telles que des noms réels ou des adresses de facturation aient été consultées.
Que pouvez-vous nous dire sur les mots de passes brouillés qui ont été consultés ?
La version brouillée de manière cryptographique de mots de passe appartenant à des joueurs nord-américains a été consultée, cette version étant protégée par un protocole SRP (Secure Remote Password). Cette information à elle seule ne fournit pas de mot de passe aux intrus, chaque mot de passe doit encore être déchiffré individuellement. Le niveau de protection supplémentaire fourni par le protocole SRP rend ce processus de déchiffrage très onéreux et difficile d’un point de vue informatique.
Pourquoi n’avoir pas immédiatement invalidé les questions et réponses secrètes qui étaient compromises ?
Ce fut une décision difficile, mais en fin de compte, nous pensons que maintenir les questions et réponses secrètes continue à fournir un niveau de sécurité contre les intrus qui n’ont pas accès aux données compromises. Dans l’entretemps, nous nous efforçons de mettre en place un mécanisme permettant aux joueurs de changer la question secrète sur leur compte. L’équipe de notre service d’assistance aura également recours à des mesures supplémentaires pour vérifier l’identité des joueurs, et ne plus se reposer uniquement sur la question et la réponse secrètes.
Pourquoi n’avoir pas immédiatement invalidé les Mobile Authenticators ?
Tout comme la décision que nous avons prise en ce qui concerne la question et la réponse secrètes, nous continuons à croire que maintenir les Mobile Authenticators fournit un niveau de sécurité contre les intrus qui n’ont pas accès aux données compromises. En fait, l’information liée au Mobile Authenticator en tant que telle ne permet pas d’accéder à un compte Battle.net, pour ce faire, le mot de passe est aussi nécessaire. Nous nous efforçons de déployer aussi vite que possible un nouveau logiciel pour le Mobile Authenticator et nous informerons les joueurs de le mettre à jour dès que ce logiciel sera disponible.
Allez-vous prendre des mesures supplémentaires suite à cet évènement ?
Nous nous efforçons continuellement d’améliorer nos systèmes, chartes, protocoles et procédures de sécurité afin de contribuer à protéger nos clients et nos jeux, et nous continuerons à surveiller la situation de très près.
Nos équipes travaillent aussi jour et nuit afin d’enquêter aux côtés des autorités et d’experts en sécurité et de comprendre précisément ce qui s’est passé. Une fois l’enquête clôturée, nous tirerons les leçons qui nous permettront de renforcer notre sécurité.
Discord