Guide anti-hack

Article écrit par Marc, le 24 août 2005

Le Hack : on ne joue plus !

Lorsque Blizzard lançait Diablo2, il lançait plus qu’une mode, en vulgarisant les jeux multijoueurs se doutait-il que son produit phare allait entraîner la création d’une telle économie parallèle et les travers qui la ponctuent ?

Selon le sondage ahurissant réalisé par JudgeHype, dire que le hack est une pratique courante tient de l’euphémisme, beaucoup y ont été confrontés et beaucoup le seront encore, si certains piratages de compte relèvent plus de l’astuce que d’un véritable hack, une nouvelle forme beaucoup plus agressive a vu le jour.

Je ne vous dirai pas « attention à ceci » et faire une nouvelle prose sur le piratage de vos comptes mais bien vous dévoiler le comment et le pourquoi de cette activité, qui est derrière tout cela voire les traits de génie de certains, les pirates ne sont pas en effet ceux que l’on pense et les ramifications de ces pratiques dépassent allègrement nos petits jeux sympas.

On se lance ? Allez c’est parti.


Généralités

Nous avons tous été les spectateurs de certaines tentatives plus ou moins maladroites, s’il est devenu impossible de « wisper » son mot de passe, d’autres techniques ont vu le jour mais d’une manière plus générale une règle incontournable saute aux yeux : dans TOUS les cas de piratage qu’il m’a été donné de constater, la victime a toujours TELECHARGE quelque chose mais voilà, ce téléchargement n’a pas toujours été volontaire...


Une affaire d’argent

Le leitmotiv du hacker n’est plus de soustraire vos objets pour son usage propre mais bien d’en tirer profit, il est loin le temps où certains joueurs en pirataient d’autres, il s’agit ici d’un piratage massif et organisé, ce commerce d’objets vous l’avez déjà rencontré sur des sites dits pudiquement « marchands » ou sur Ebay ou via des petites annonces.

Certains sites ont une couverture planétaire en terme de commerce d’objets et selon l’aveu même de ces singuliers commerçants le nombre de transactions n’a pas décru ces derniers temps : de plus en plus de gens emploient le commerce via le Web pour leurs achats, individuellement ce ne sont pas de grosses sommes mais certaines organisations avouent plus de 250 000 transactions à ce jour, si nous avançons le chiffre très pudique de 100 euros de moyenne la multiplication a de quoi faire réfléchir : cela n’a plus rien à voir avec le petit « bidouilleur » qui pique l’armure de son copain ou le gamin qui vend son annihilus contre un bisou « appuyé » à la copine Claudine ou trois chocolats raflés au copain Lucien.



Comment ça marche ?

Certains « branchés » ont employé des programmes de piratage, que ce soit un innocent « maphack » ou un « dupeXP » voire carrément un « tradehack » ils ont TOUS prouvé une chose : ils sont convaincus de tout le bien-fondé du download de programmes dits « sensibles » et enrichissent ainsi leurs avoirs avec des pratiques très lourdement sanctionnées par Blizzard, ces hackers « du Dimanche » trouvent leurs programmes dans des forums dédiés ou non et ne sont pas bien dangereux, avant toute chose ils essaieront de vous faire télécharger quelque chose voire de vous amener à visiter une page Web d’apparence bien anodine... Ils sont sans le savoir les premiers maillons d’une chaîne peu commune de vol manifeste, la suite nous la connaissons : suppression du compte et rejet de la clé CD. Derrière tout cela se trouvent des gens beaucoup plus talentueux : les vrais hackers (ceux qui ne jouent donc pas) et qui pirateront finalement ceux qui vous ont piraté, c’est simple, une mise à jour « fournie » de leurs programmes de hacks eux même piratés et voilà l’arroseur arrosé, bien entendu ces comptes ne contiennent pas de la « petite bière » et sont dotés d’objets rares et particulièrement recherchés. Ces items vous les retrouverez sur les sites marchands « aux mains propres », plus fort encore le vol des clés CD seront utilisées sur d’autres royaumes où elles fonctionnent encore, il m’a même été donné de voir des clés CD à vendre... c’est dire l’ampleur du marché ! Bien entendu un hacker se vantera de tout... sauf de s’être fait lui-même pirater ! C’est donc la loi du silence...


Une protection inexistante parce que ciblée

Dans les points qui suivent je ne manquerai pas de vous rappeler les modes de contamination (on est là pour cela aussi) mais il serait faux de croire que vos programmes de sécurité sont sensibles aux infections contenues dans ces programmes de piratage, en Janvier j’avais téléchargé un « maphack » de +/- dix sources différentes, il m’aura fallu attendre quatre mois ( !!!) pour que mon antivirus les reconnaisse tous, les éditeurs de produits de sécurité informatique ne passent pas leurs journées à dueller sur LOD de manière effrénée ce qui sous entend que les contaminations sont très variées (nous le verrons ensuite) mais aussi particulièrement ciblées ce qui rend ces techniques de piratage très difficiles à combattre, qui plus est Diablo2 est un programme très ancien et ses failles sont donc bien connues des programmeurs, enfin la diffusion très importante du langage employé par le jeu et la vulgarisation à outrance de ce langage font qu’il existe une multitude ahurissante de hacks en tout genre, il faut comprendre que le pire est à venir et la maîtrise technique et l’astuce de ces gens sont tout bonnement incroyables.


Contamination

Passage obligé de votre « hack » le fait de vous faire télécharger quelque chose, cela peu se faire en forum grâce à des robots qui postent des messages du genre « free maphack 6.2a visit (une adresse Web) » voire créer un jeu portant le nom « Maphack here » enfin d’une manière plus générale c’est un travail de publicité vous incitant à visiter ses pages : le repérage.



Contamination par visite de page

Votre navigateur possède lui aussi ses failles, bien que la majorité des programme antivirus vous protègent des scripts malveillants, la plupart emploient une contamination multiple (souvent deux) d’un script « vieux comme le monde » qui sera bloqué par votre programme de protection et un autre... qui ne le sera pas, vous aurez ainsi un faux sentiment de sécurité à la visite de ces pages en gardant toujours à l’esprit que le Web master a votre adresse IP ce qui est déjà en soi un fameux renseignement. A ce niveau si vous n’avez pas d’antivirus installé ou si vous avez oublié de laisser votre résident en fonction votre ordinateur est infecté pour la plupart via un logger (voir plus loin) d’une manière générale ces sites seront faits pour attirer votre attention sur telle ou telle « fonction miraculeuse » et en vous incitant au téléchargement gratuit (bien entendu) du programme qui va tout changer dans l’approche de votre jeu – ce n’est pas de la pub mensongère car vos persos vont se retrouver à poil et effectivement cela va radicalement changer votre manière de jouer-.



Parade ?

Sauf erreur de ma part, la grosse majorité des pages Web sont visitées à l’aide de l’explorateur standard de Windows qui – vous m’excusez – est une vraie truffe question sécurité, vous pouvez bénéficier d’un gain net en terme de sécurité en employant d’autres navigateurs beaucoup moins connus et beaucoup plus sympas (Mozilla, MyIe2, etc..).


Contamination par téléchargement

C’est dans ce cas de figure que nous dénombrons la grosse majorité des piratages, il y a trois grands axes dans le piratage : le programme dédié, les trojans et le cauchemar du logger. Dans les loggers nous dénombrons des loggers dédiés et des loggers généralistes. Les généralistes sont épouvantables et les dédiés sont... encore pire. « Rien de neuf » me direz-vous... et pourtant...


Programme dédié

Lors de l’emploi de ce programme miraculeux que vous avez téléchargé un résident se met en place, il a pour but de lever à votre insu les protections de votre ordinateur : alors que vous croyez que votre antivirus est résident et votre firewall fonctionnel il n’en est rien, ce type d’infection est extrêmement rare mais est appelée (je pense) à se diffuser nous expliquerons cela vers la fin de ce dossier.


Le trojan

Il permet au hacker au prendre le contrôle de votre machine à distance et de récolter par exemple les informations qu’il jugera bon de consulter, ils sont arrêtés par la plupart des programmes antivirus, quoique... le contrôle du hacker sur votre personnage est total, l’exemple le plus connu est la possibilité de déshabiller votre personnage dans la partie, les exemples ne manquent pas, ne nous attardons pas là-dessus sinon peut-être que certains trojans ne savent pas faire l’objet d’une désinfection : reformatage obligé.


Les Keyloggers

Plus connus sous le nom de « spywares » ce sont des logiciels espions, ils ne sont PAS détectés par votre antivirus parce que ce n’est pas d’infection qu’il s’agit, dans ce cas de figure le petit programme enregistre tout ce que vous frappez sur le clavier pour le communiquer à qui de droit, minuscule, rapide et surtout... indétectable ! Ces petits programmes ne sont pas tous arrêtés par la majorité des produits actuels sauf dans leurs définitions les plus récentes, votre firewall ne vous protégera pas non plus, ces keyloggers ne sont pas en soi une nouvelle chose, mais il serait faux de croire que seuls les caractères ASCII sont envoyés, les loggers modernes enregistrent bien entendu ce que vous frappez mais effectuent aussi des captures d’écran, renseignent exactement des pages que vous avez visitées, ils ont étonnement bien évolué.


Le Keylogger dédié

Encore méconnu de la plupart des joueurs ces enregistreurs de frappe sont écrits pour D2 (ou pour un autre jeu dit « ciblé » cela peut être Guild Wars, etc...), sauf erreur de ma part, c’est une joueuse Montoise qui avait la première décelé l’existence de ces programmes « purement D2 », cela m’a fait sourire quand j’en discutais avec elle, la malheureuse passait pour un vraie mythomane, mais, lorsque preuves à l’appui nous en avons recensés près de 20, cela a fait rire beaucoup moins, sur mes huit camarades il s’est avéré que six étaient contaminés, toutes les contaminations avaient été faites via un programme de piratage carte posté dans un forum très surveillé que je leur avais moi-même renseigné paradoxalement parce que je n’avais jamais constaté quoique ce soit sur ce qui y était disponible et c’est là que se situe le coup de génie : ces Keyloggers dédiés sont encore beaucoup plus sournois que les autres, le fait qu’ils soient « ciblés » les rend en plus extrêmement efficaces car ils savent quoi et où chercher, ces informations relevées il les enverront via voie Email avec la bénédiction de vos systèmes de sécurité, le plus abouti qui m’ait été donné de voir se nommait « fanthom » et effectuait un recensement de vos items via un codage bien particulier, il relevait ensuite tous les comptes vous appartenant avec leurs mots de passe respectifs en y joignant une liste de tous vos items... il a été rencontré dans un robot de drop (Bot) et le langage employé pour le codage des items correspondait en grandes lignes à celui de ce même robot : imparable !



Une contamination planifiée


Alors que je ne comprenais pas pourquoi ces comptes – pourtant très bien fournis – n’avaient pas été piratés je devais me rendre à l’évidence : pas assez de cibles, en effet le hacker compte sur la diffusion massive entre joueurs du programme de piratage (de toute nature) le fait que l’utilisateur ne souffre pas de piratage tend à donner une garantie de fiabilité et le joueur honnête infecte ainsi les membres de sa team, plus le hacker attend, plus grand sera son bénéfice et le piratage peut ainsi concerner des dizaines de comptes : le grand nettoyage.


La méthode du fantôme ou « team Hacking »

Dans des grandes « vagues » de piratage, je me suis très souvent rendu compte que les piratages étaient faits par « vagues » et souvent cette façon de faire est crapuleusement bien orchestrée, une nouvelle fois il s’agit de contamination par un joueur diffusant autour de lui le programme miracle, le hacker aura soin de ne pas toucher aux comptes de celui par qui la contamination a été rendue possible de telle sorte que les victimes voient dans celui qui leur a fourni le programme infecté un responsable « logique » tout désigné !


Contamination par Office

Tout le monde emploie « office », lors de la fourniture d’un programme de piratage le mode d’emploi fourni est écrit en format *Word, tout utilisateur connaît la possibilités de créer des macro-commandes pour Word ou Excel (tableau soi-disant de calculs de stats ou autres camouflant derrière des avantages discutables une contamination qui – elle - ne l’est pas) le plus grave est que ces « macros » peuvent être écrites sans grande connaissance particulière.


Contamination par Explorer

Beaucoup plus répandue qu’on ne pourrait le croire, c’est votre navigateur Internet qui peut servir de vecteur d’infection : c’est imparable, en plus l’abondance d’hébergements gratuits permet une mise à jour presque immédiate du site dit « polluant » et donc une infection qui l’est tout autant : les professionnels eux-mêmes sont étonnés « Ces attaques n'ont rien de nouveau, mais ce qui frappe aujourd'hui c'est leur ampleur et leur sophistication » (Thala Sébastien de chez Mac Affee) ou encore ce témoignage de Shlomo Touboul (finjan software) « Les auteurs de Scob ont ainsi piraté de nombreux sites web très en vue afin de les piéger. Leurs visiteurs, s'ils utilisaient IE, étaient alors infectés dès leur arrivée sur le site. « Scob nous a surpris par sa complexité : c'est la première fois qu'une telle attaque exploite à la fois du VBScript, du JavaScript et ActiveX » et de conclure « (...) Les objectifs des pirates sont financiers. Et la complexité des attaques montre que leurs commanditaires ont les moyens de s'offrir des programmeurs compétents ».

Vous n’êtes vraiment pas à l’abri !


Piratage sans contamination

Cela existe et c’est bête comme tout, il s’agit de comptes vides qui vous sont donnés avec des mules « fixées » le petit malin attendra que vous remplissiez les mules pour ensuite reprendre le contrôle de son compte. C’est tout bête et pourtant ça marche.


Le futur ?

Une chose est sûre, les astuces déployées par ces hackers vont crescendo ainsi si l’attaque d’un ordinateur s’avère de plus en plus difficile, la tendance est à pirater carrément le serveur, il serait (notez le conditionnel) possible de dérouter votre connexion vers un « faux » Battle. Net dont la cible serait un faux serveur sur lequel vous déposeriez... vous-même vos coordonnées avant d’être orienté sur le vrai serveur de Blizzard et ce de manière tout à fait transparente, je vous avoue rester prudent et éviter donc des annonces qui ne seraient pas fondées, mais certains faits de piratage assez troublants m’ont été rapportés sur USWest... Et oui ces victimes ont avoué cette fois encore avoir téléchargé « quelque chose ».


Protections

Mille fois vous avez lu la nécessité d’employer des programmes de protection tels un antivirus ou un firewall, ne vous fiez pas aux protections de votre Windows elles ne suffisent pas même si je suis le premier à féliciter le SP2 de Windows XP, ces intentions de Microsoft sont louables mais bien insuffisantes de même « la plus grande marque » de protection antivirus (vous voyez de qui je parle) est très largement dépassée par l’ampleur du problème, en effet bon nombre de spécialistes pénètrent votre PC avec une autorité « zéro » soit le plus haut degré opérationnel (!) mais je respecterai l’intégrité de JudgeHype en ne donnant aucun lien à connotation commerciale, enfin n’oubliez pas d’employer un « pest patrol » qui se chargera comme il pourra de vous protéger des enregistreurs de frappe ...connus.


Et quand il est trop tard ?

Nous dirons qu’il vous reste pudiquement trois solutions : la boîte de Kleenex mais cela ne vous aidera pas beaucoup, si vous remarquez néanmoins que vous avez été infecté par quelque chose mais que vous ne savez pas par quoi (genre fenêtre noire qui s’ouvre et se ferme subitement sur votre bureau) ne redémarrez surtout pas votre PC tout de suite, vérifiez bien que vos systèmes de sécurité soient fonctionnels en demandant une analyse anti-virus, téléchargez tout de suite un antispyware et faites un nouveau scan, enfin si tous vos systèmes antivirus et autres n’ont malgré tout rien trouvé, cela ne veut pas dire que vous baignez dans une sécurité totale, loin de là, recréez un compte « nouvel utilisateur » (si vous employez Xp) en lui conférant l’autorité la plus faible, AVANT le redémarrage, réinitialisez intégralement votre firewall, interdisez la réception et l’envoi de mails, ne permettez QUE la connexion de Diablo2, lancez D2, accédez à Battle.net, si votre firewall ouvre une fenêtre vous renseignant que tel ou tel programme essaie de se connecter à Internet... vous êtes mal mais vos comptes sont encore intacts, le temps de faire le nettoyage je vous conseille d’accéder à vos comptes au départ d’un autre PC (celui d’un ami par exemple) et de changer les mots de passe temporairement le temps que vous désinfectiez votre ordinateur de manière approfondie.

Si vous ne faites pas cela, je vous avais parlé d’une troisième solution après le piratage... vous aurez le plaisir de créer un jeu « bring freee plzzzz » euh ... condoléances pour votre enigma !


Vous face au hacker : le bon sens élémentaire

Si en jouant, vous recevez un message « Many thx for your mules dude... another account succesfull hacked mwahahaha ». Qu’allez-vous faire ? Bien entendu vous allez vous précipiter sur vos mules pour voir si tout cela est bien exact, puis revenir sur votre compte principal pour constater que c’était une intox... Pas tout a fait ! En règle générale vous êtes victime d’un hack mais qui ne vient pas de D2 (oui parce que vous aussi vous employez un P2P en laissant béant votre port 4662 [oui moi aussi j’emploie Emule] ou laissez votre MSN branché mmm ?) Extrêmement répandu ce type de hack dépend de votre réaction : si vous restez sur votre compte, rien ne sait se passer mais si par contre vous accédez à vos mules et revenez ensuite sur votre compte principal le hacker aura ainsi les références de vos comptes et leurs mots de passe respectif alors si vous êtes confrontés à ce type de hacker, coupez votre connexion, relancez D2 mais cette fois sans brancher quoique ce soit d’autre et changez moi ce port 4662 archi connu de Emule DIABLE !


Conclusions

Votre protection la plus efficace reste votre bon sens, d’une manière plus générale si vous avez toujours joué sans MapHack pourquoi donc subitement y passer ? De même que si vous êtes utilisateur d’une version ancienne de ces programmes discutables à quoi bon télécharger une version ultra récente ? Parce que vous pensez que Blizzard ne vous détectera pas ? Vous serez bien le seul à le croire restez sérieux et ne croyez pas que vous avez affaire à des imbéciles.

Enfin méfiez-vous de tout message vous renvoyant à un lien Web, gardez toujours à l’esprit que même dans un forum honnête n’importe qui peut vous renvoyer à la consultation – et donc par là même au téléchargement – de données corrompues. Enfin si malgré tout vous tentez l’aventure, ayez l’élémentaire bon sens de n’y impliquer que vous, si un ami vous demande où vous avez trouvé telle ou telle application « sensible » soyez un vrai ami en lui répondant que le lien est mort - et s’il insiste - que le programme ne fonctionnera pas sur son PC car il emploie un algorithme de cryptage pentatonique basé sur la disruption de la cartographie logarithmique de l’IDF NetAdvance (cela ne veut strictement rien dire mais cela aura le mérite de le faire renoncer (^^). S’il insiste encore tradez l’objet du délit contre une nuit torride avec sa sœur (lol) A votre tour d’être malin !


Remerciements

• Merci à Judgehype pour son souci réel de l’intégrité de nos petits persos.
• Merci Josh pour tes tuyaux relatifs à la détection avancée des loggers, Frédo pour tes conseils sur les Polymorphes et Rohan pour avoir sacrifié tes nuits à traquer ensemble mes petites bébêtes plutôt qu’à œuvrer avec ta voluptueuse fiancée (mais tu as meilleure mine eh oui ça épuise) Anne-Marie pour ton excellent café et tes délicieuses Pizzas (faudra qu’on se marie nous deux) et Matt pour ta carte des States et le monarch 4 ists, les WT49 et le CTA que tu as oublié de me réclamer (lol).
• Marc[gp] (sur USWest).

Au fait vous voulez le link pour le dernier maphack 6.6a bien clean ? Alors cliquez ici.