Article écrit par Marc, le 24 août 2005
Le Hack : on ne joue plus !
Lorsque Blizzard lançait Diablo2, il lançait plus qu’une mode, en vulgarisant les jeux multijoueurs se doutait-il que son produit phare allait
entraîner la création d’une telle économie parallèle et les travers qui la ponctuent ?
Selon le sondage ahurissant réalisé par JudgeHype, dire que le hack est une pratique courante tient de l’euphémisme, beaucoup y ont été confrontés
et beaucoup le seront encore, si certains piratages de compte relèvent plus de l’astuce que d’un véritable hack, une nouvelle forme beaucoup plus
agressive a vu le jour.
Je ne vous dirai pas « attention à ceci » et faire une nouvelle prose sur le piratage de vos comptes mais bien vous dévoiler le comment et le
pourquoi de cette activité, qui est derrière tout cela voire les traits de génie de certains, les pirates ne sont pas en effet ceux que l’on
pense et les ramifications de ces pratiques dépassent allègrement nos petits jeux sympas.
On se lance ? Allez c’est parti.
Généralités
Nous avons tous été les spectateurs de certaines tentatives plus ou moins maladroites, s’il est devenu impossible de « wisper » son mot de passe,
d’autres techniques ont vu le jour mais d’une manière plus générale une règle incontournable saute aux yeux : dans TOUS les cas de piratage qu’il
m’a été donné de constater, la victime a toujours TELECHARGE quelque chose mais voilà, ce téléchargement n’a pas toujours été volontaire...
Une affaire d’argent
Le leitmotiv du hacker n’est plus de soustraire vos objets pour son usage propre mais bien d’en tirer profit, il est loin le temps où certains
joueurs en pirataient d’autres, il s’agit ici d’un piratage massif et organisé, ce commerce d’objets vous l’avez déjà rencontré sur des sites
dits pudiquement « marchands » ou sur Ebay ou via des petites annonces.
Certains sites ont une couverture planétaire en terme de commerce d’objets et selon l’aveu même de ces singuliers commerçants le nombre de
transactions n’a pas décru ces derniers temps : de plus en plus de gens emploient le commerce via le Web pour leurs achats, individuellement
ce ne sont pas de grosses sommes mais certaines organisations avouent plus de 250 000 transactions à ce jour, si nous avançons le chiffre très
pudique de 100 euros de moyenne la multiplication a de quoi faire réfléchir : cela n’a plus rien à voir avec le petit « bidouilleur » qui pique
l’armure de son copain ou le gamin qui vend son annihilus contre un bisou « appuyé » à la copine Claudine ou trois chocolats raflés au copain
Lucien.
Comment ça marche ?
Certains « branchés » ont employé des programmes de piratage, que ce soit un innocent « maphack » ou un « dupeXP » voire carrément un « tradehack »
ils ont TOUS prouvé une chose : ils sont convaincus de tout le bien-fondé du download de programmes dits « sensibles » et enrichissent ainsi leurs
avoirs avec des pratiques très lourdement sanctionnées par Blizzard, ces hackers « du Dimanche » trouvent leurs programmes dans des forums dédiés
ou non et ne sont pas bien dangereux, avant toute chose ils essaieront de vous faire télécharger quelque chose voire de vous amener à visiter une
page Web d’apparence bien anodine... Ils sont sans le savoir les premiers maillons d’une chaîne peu commune de vol manifeste, la suite nous la
connaissons : suppression du compte et rejet de la clé CD. Derrière tout cela se trouvent des gens beaucoup plus talentueux : les vrais hackers
(ceux qui ne jouent donc pas) et qui pirateront finalement ceux qui vous ont piraté, c’est simple, une mise à jour « fournie » de leurs
programmes de hacks eux même piratés et voilà l’arroseur arrosé, bien entendu ces comptes ne contiennent pas de la « petite bière » et sont
dotés d’objets rares et particulièrement recherchés. Ces items vous les retrouverez sur les sites marchands « aux mains propres », plus fort
encore le vol des clés CD seront utilisées sur d’autres royaumes où elles fonctionnent encore, il m’a même été donné de voir des clés CD à
vendre... c’est dire l’ampleur du marché ! Bien entendu un hacker se vantera de tout... sauf de s’être fait lui-même pirater ! C’est donc la loi
du silence...
Une protection inexistante parce que ciblée
Dans les points qui suivent je ne manquerai pas de vous rappeler les modes de contamination (on est là pour cela aussi) mais il serait faux
de croire que vos programmes de sécurité sont sensibles aux infections contenues dans ces programmes de piratage, en Janvier j’avais téléchargé
un « maphack » de +/- dix sources différentes, il m’aura fallu attendre quatre mois ( !!!) pour que mon antivirus les reconnaisse tous, les
éditeurs de produits de sécurité informatique ne passent pas leurs journées à dueller sur LOD de manière effrénée ce qui sous entend que les
contaminations sont très variées (nous le verrons ensuite) mais aussi particulièrement ciblées ce qui rend ces techniques de piratage très
difficiles à combattre, qui plus est Diablo2 est un programme très ancien et ses failles sont donc bien connues des programmeurs, enfin la
diffusion très importante du langage employé par le jeu et la vulgarisation à outrance de ce langage font qu’il existe une multitude ahurissante
de hacks en tout genre, il faut comprendre que le pire est à venir et la maîtrise technique et l’astuce de ces gens sont tout bonnement
incroyables.
Contamination
Passage obligé de votre « hack » le fait de vous faire télécharger quelque chose, cela peu se faire en forum grâce à des robots qui postent
des messages du genre « free maphack 6.2a visit (une adresse Web) » voire créer un jeu portant le nom « Maphack here » enfin d’une manière
plus générale c’est un travail de publicité vous incitant à visiter ses pages : le repérage.
Contamination par visite de page
Votre navigateur possède lui aussi ses failles, bien que la majorité des programme antivirus vous protègent des scripts malveillants, la
plupart emploient une contamination multiple (souvent deux) d’un script « vieux comme le monde » qui sera bloqué par votre programme de
protection et un autre... qui ne le sera pas, vous aurez ainsi un faux sentiment de sécurité à la visite de ces pages en gardant toujours
à l’esprit que le Web master a votre adresse IP ce qui est déjà en soi un fameux renseignement. A ce niveau si vous n’avez pas d’antivirus
installé ou si vous avez oublié de laisser votre résident en fonction votre ordinateur est infecté pour la plupart via un logger (voir plus
loin) d’une manière générale ces sites seront faits pour attirer votre attention sur telle ou telle « fonction miraculeuse » et en vous
incitant au téléchargement gratuit (bien entendu) du programme qui va tout changer dans l’approche de votre jeu – ce n’est pas de la pub
mensongère car vos persos vont se retrouver à poil et effectivement cela va radicalement changer votre manière de jouer-.
Parade ?
Sauf erreur de ma part, la grosse majorité des pages Web sont visitées à l’aide de l’explorateur standard de Windows qui – vous m’excusez –
est une vraie truffe question sécurité, vous pouvez bénéficier d’un gain net en terme de sécurité en employant d’autres navigateurs beaucoup
moins connus et beaucoup plus sympas (Mozilla, MyIe2, etc..).
Contamination par téléchargement
C’est dans ce cas de figure que nous dénombrons la grosse majorité des piratages, il y a trois grands axes dans le piratage : le programme
dédié, les trojans et le cauchemar du logger. Dans les loggers nous dénombrons des loggers dédiés et des loggers généralistes. Les généralistes
sont épouvantables et les dédiés sont... encore pire. « Rien de neuf » me direz-vous... et pourtant...
Programme dédié
Lors de l’emploi de ce programme miraculeux que vous avez téléchargé un résident se met en place, il a pour but de lever à votre insu les
protections de votre ordinateur : alors que vous croyez que votre antivirus est résident et votre firewall fonctionnel il n’en est rien,
ce type d’infection est extrêmement rare mais est appelée (je pense) à se diffuser nous expliquerons cela vers la fin de ce dossier.
Le trojan
Il permet au hacker au prendre le contrôle de votre machine à distance et de récolter par exemple les informations qu’il jugera bon de
consulter, ils sont arrêtés par la plupart des programmes antivirus, quoique... le contrôle du hacker sur votre personnage est total,
l’exemple le plus connu est la possibilité de déshabiller votre personnage dans la partie, les exemples ne manquent pas, ne nous attardons
pas là-dessus sinon peut-être que certains trojans ne savent pas faire l’objet d’une désinfection : reformatage obligé.
Les Keyloggers
Plus connus sous le nom de « spywares » ce sont des logiciels espions, ils ne sont PAS détectés par votre antivirus parce que ce n’est
pas d’infection qu’il s’agit, dans ce cas de figure le petit programme enregistre tout ce que vous frappez sur le clavier pour le communiquer
à qui de droit, minuscule, rapide et surtout... indétectable ! Ces petits programmes ne sont pas tous arrêtés par la majorité des produits
actuels sauf dans leurs définitions les plus récentes, votre firewall ne vous protégera pas non plus, ces keyloggers ne sont pas en soi
une nouvelle chose, mais il serait faux de croire que seuls les caractères ASCII sont envoyés, les loggers modernes enregistrent bien
entendu ce que vous frappez mais effectuent aussi des captures d’écran, renseignent exactement des pages que vous avez visitées, ils ont
étonnement bien évolué.
Le Keylogger dédié
Encore méconnu de la plupart des joueurs ces enregistreurs de frappe sont écrits pour D2 (ou pour un autre jeu dit « ciblé » cela peut
être Guild Wars, etc...), sauf erreur de ma part, c’est une joueuse Montoise qui avait la première décelé l’existence de ces programmes «
purement D2 », cela m’a fait sourire quand j’en discutais avec elle, la malheureuse passait pour un vraie mythomane, mais, lorsque preuves
à l’appui nous en avons recensés près de 20, cela a fait rire beaucoup moins, sur mes huit camarades il s’est avéré que six étaient
contaminés, toutes les contaminations avaient été faites via un programme de piratage carte posté dans un forum très surveillé que je
leur avais moi-même renseigné paradoxalement parce que je n’avais jamais constaté quoique ce soit sur ce qui y était disponible et c’est
là que se situe le coup de génie : ces Keyloggers dédiés sont encore beaucoup plus sournois que les autres, le fait qu’ils soient « ciblés »
les rend en plus extrêmement efficaces car ils savent quoi et où chercher, ces informations relevées il les enverront via voie Email avec
la bénédiction de vos systèmes de sécurité, le plus abouti qui m’ait été donné de voir se nommait « fanthom » et effectuait un recensement
de vos items via un codage bien particulier, il relevait ensuite tous les comptes vous appartenant avec leurs mots de passe respectifs en
y joignant une liste de tous vos items... il a été rencontré dans un robot de drop (Bot) et le langage employé pour le codage des items
correspondait en grandes lignes à celui de ce même robot : imparable !
Une contamination planifiée
Alors que je ne comprenais pas pourquoi ces comptes – pourtant très bien fournis – n’avaient pas été piratés je devais me rendre à
l’évidence : pas assez de cibles, en effet le hacker compte sur la diffusion massive entre joueurs du programme de piratage (de toute
nature) le fait que l’utilisateur ne souffre pas de piratage tend à donner une garantie de fiabilité et le joueur honnête infecte ainsi
les membres de sa team, plus le hacker attend, plus grand sera son bénéfice et le piratage peut ainsi concerner des dizaines de comptes
: le grand nettoyage.
La méthode du fantôme ou « team Hacking »
Dans des grandes « vagues » de piratage, je me suis très souvent rendu compte que les piratages étaient faits par « vagues » et souvent
cette façon de faire est crapuleusement bien orchestrée, une nouvelle fois il s’agit de contamination par un joueur diffusant autour de
lui le programme miracle, le hacker aura soin de ne pas toucher aux comptes de celui par qui la contamination a été rendue possible de
telle sorte que les victimes voient dans celui qui leur a fourni le programme infecté un responsable « logique » tout désigné !
Contamination par Office
Tout le monde emploie « office », lors de la fourniture d’un programme de piratage le mode d’emploi fourni est écrit en format *Word,
tout utilisateur connaît la possibilités de créer des macro-commandes pour Word ou Excel (tableau soi-disant de calculs de stats ou
autres camouflant derrière des avantages discutables une contamination qui – elle - ne l’est pas) le plus grave est que ces « macros »
peuvent être écrites sans grande connaissance particulière.
Contamination par Explorer
Beaucoup plus répandue qu’on ne pourrait le croire, c’est votre navigateur Internet qui peut servir de vecteur d’infection : c’est
imparable, en plus l’abondance d’hébergements gratuits permet une mise à jour presque immédiate du site dit « polluant » et donc une
infection qui l’est tout autant : les professionnels eux-mêmes sont étonnés « Ces attaques n'ont rien de nouveau, mais ce qui frappe
aujourd'hui c'est leur ampleur et leur sophistication » (Thala Sébastien de chez Mac Affee) ou encore ce témoignage de Shlomo Touboul
(finjan software) « Les auteurs de Scob ont ainsi piraté de nombreux sites web très en vue afin de les piéger. Leurs visiteurs, s'ils
utilisaient IE, étaient alors infectés dès leur arrivée sur le site. « Scob nous a surpris par sa complexité : c'est la première fois
qu'une telle attaque exploite à la fois du VBScript, du JavaScript et ActiveX » et de conclure « (...) Les objectifs des pirates sont
financiers. Et la complexité des attaques montre que leurs commanditaires ont les moyens de s'offrir des programmeurs compétents ».
Vous n’êtes vraiment pas à l’abri !
Piratage sans contamination
Cela existe et c’est bête comme tout, il s’agit de comptes vides qui vous sont donnés avec des mules « fixées » le petit malin attendra
que vous remplissiez les mules pour ensuite reprendre le contrôle de son compte. C’est tout bête et pourtant ça marche.
Le futur ?
Une chose est sûre, les astuces déployées par ces hackers vont crescendo ainsi si l’attaque d’un ordinateur s’avère de plus en plus
difficile, la tendance est à pirater carrément le serveur, il serait (notez le conditionnel) possible de dérouter votre connexion
vers un « faux » Battle. Net dont la cible serait un faux serveur sur lequel vous déposeriez... vous-même vos coordonnées avant d’être
orienté sur le vrai serveur de Blizzard et ce de manière tout à fait transparente, je vous avoue rester prudent et éviter donc des
annonces qui ne seraient pas fondées, mais certains faits de piratage assez troublants m’ont été rapportés sur USWest... Et oui ces
victimes ont avoué cette fois encore avoir téléchargé « quelque chose ».
Protections
Mille fois vous avez lu la nécessité d’employer des programmes de protection tels un antivirus ou un firewall, ne vous fiez pas aux
protections de votre Windows elles ne suffisent pas même si je suis le premier à féliciter le SP2 de Windows XP, ces intentions de
Microsoft sont louables mais bien insuffisantes de même « la plus grande marque » de protection antivirus (vous voyez de qui je parle)
est très largement dépassée par l’ampleur du problème, en effet bon nombre de spécialistes pénètrent votre PC avec une autorité
« zéro » soit le plus haut degré opérationnel (!) mais je respecterai l’intégrité de JudgeHype en ne donnant aucun lien à
connotation commerciale, enfin n’oubliez pas d’employer un « pest patrol » qui se chargera comme il pourra de vous protéger
des enregistreurs de frappe ...connus.
Et quand il est trop tard ?
Nous dirons qu’il vous reste pudiquement trois solutions : la boîte de Kleenex mais cela ne vous aidera pas beaucoup, si vous
remarquez néanmoins que vous avez été infecté par quelque chose mais que vous ne savez pas par quoi (genre fenêtre noire qui
s’ouvre et se ferme subitement sur votre bureau) ne redémarrez surtout pas votre PC tout de suite, vérifiez bien que vos systèmes
de sécurité soient fonctionnels en demandant une analyse anti-virus, téléchargez tout de suite un antispyware et faites un nouveau
scan, enfin si tous vos systèmes antivirus et autres n’ont malgré tout rien trouvé, cela ne veut pas dire que vous baignez dans une
sécurité totale, loin de là, recréez un compte « nouvel utilisateur » (si vous employez Xp) en lui conférant l’autorité la plus
faible, AVANT le redémarrage, réinitialisez intégralement votre firewall, interdisez la réception et l’envoi de mails, ne permettez
QUE la connexion de Diablo2, lancez D2, accédez à Battle.net, si votre firewall ouvre une fenêtre vous renseignant que tel ou tel
programme essaie de se connecter à Internet... vous êtes mal mais vos comptes sont encore intacts, le temps de faire le nettoyage je
vous conseille d’accéder à vos comptes au départ d’un autre PC (celui d’un ami par exemple) et de changer les mots de passe
temporairement le temps que vous désinfectiez votre ordinateur de manière approfondie.
Si vous ne faites pas cela, je vous avais parlé d’une troisième solution après le piratage... vous aurez le plaisir de créer un jeu
« bring freee plzzzz » euh ... condoléances pour votre enigma !
Vous face au hacker : le bon sens élémentaire
Si en jouant, vous recevez un message « Many thx for your mules dude... another account succesfull hacked mwahahaha ». Qu’allez-vous
faire ? Bien entendu vous allez vous précipiter sur vos mules pour voir si tout cela est bien exact, puis revenir sur votre compte
principal pour constater que c’était une intox... Pas tout a fait ! En règle générale vous êtes victime d’un hack mais qui ne vient pas
de D2 (oui parce que vous aussi vous employez un P2P en laissant béant votre port 4662 [oui moi aussi j’emploie Emule] ou laissez
votre MSN branché mmm ?) Extrêmement répandu ce type de hack dépend de votre réaction : si vous restez sur votre compte, rien ne
sait se passer mais si par contre vous accédez à vos mules et revenez ensuite sur votre compte principal le hacker aura ainsi les
références de vos comptes et leurs mots de passe respectif alors si vous êtes confrontés à ce type de hacker, coupez votre connexion,
relancez D2 mais cette fois sans brancher quoique ce soit d’autre et changez moi ce port 4662 archi connu de Emule DIABLE !
Conclusions
Votre protection la plus efficace reste votre bon sens, d’une manière plus générale si vous avez toujours joué sans MapHack pourquoi
donc subitement y passer ? De même que si vous êtes utilisateur d’une version ancienne de ces programmes discutables à quoi bon
télécharger une version ultra récente ? Parce que vous pensez que Blizzard ne vous détectera pas ? Vous serez bien le seul à le croire
restez sérieux et ne croyez pas que vous avez affaire à des imbéciles.
Enfin méfiez-vous de tout message vous renvoyant à un lien Web, gardez toujours à l’esprit que même dans un forum honnête n’importe
qui peut vous renvoyer à la consultation – et donc par là même au téléchargement – de données corrompues. Enfin si malgré tout vous
tentez l’aventure, ayez l’élémentaire bon sens de n’y impliquer que vous, si un ami vous demande où vous avez trouvé telle ou telle
application « sensible » soyez un vrai ami en lui répondant que le lien est mort - et s’il insiste - que le programme ne fonctionnera
pas sur son PC car il emploie un algorithme de cryptage pentatonique basé sur la disruption de la cartographie logarithmique de l’IDF
NetAdvance (cela ne veut strictement rien dire mais cela aura le mérite de le faire renoncer (^^). S’il insiste encore tradez l’objet
du délit contre une nuit torride avec sa sœur (lol) A votre tour d’être malin !
Remerciements
- Merci à Judgehype pour son souci réel de l’intégrité de nos petits persos.
- Merci Josh pour tes tuyaux relatifs à la détection avancée des loggers, Frédo pour tes conseils sur les Polymorphes et Rohan pour avoir sacrifié tes nuits à traquer ensemble mes petites bébêtes plutôt qu’à œuvrer avec ta voluptueuse fiancée (mais tu as meilleure mine eh oui ça épuise) Anne-Marie pour ton excellent café et tes délicieuses Pizzas (faudra qu’on se marie nous deux) et Matt pour ta carte des States et le monarch 4 ists, les WT49 et le CTA que tu as oublié de me réclamer (lol).
- Marc[gp] (sur USWest).
Au fait vous voulez le link pour le dernier maphack 6.6a bien clean ? Alors
cliquez ici.