Comme vous vous en souvenez peut-être, je vous ai déjà parlé de la sécurité de votre compte après le lancement de Guild Wars 2. À l’époque, je vous avais expliqué comment les pirates réussissaient à voler les mots de passe utilisés sur plusieurs sites. Je vous avais alors demandé d’utiliser un mot de passe unique pour votre compte Guild Wars 2 et d’inciter vos amis à faire de même.
Avec l’arrivée de Guild Wars 2: Heart of Thorns™, de plus en plus de joueurs rejoignent nos rangs et nous devons donc nous montrer particulièrement vigilants pour garantir la sécurité de chacun d’entre vous.
Aujourd’hui, je passerai en revue les différentes méthodes de sécurisation, vous parlerai d’un nouvel outil d’authentification et vous demanderai encore une fois de faire passer ces informations à vos amis.
L’importance de la sécurisation
Les comptes de jeu représentent une valeur marchande pour les pirates. En s’introduisant dans un compte, ils peuvent en transférer l’or, retirer les objets pour les vendre puis utiliser le compte piraté pour des programmes de bot ou de spam.
Comment les pirates volent-ils les comptes ? Ils commencent par acquérir des listes de millions de combinaisons possibles d’adresses e-mail et de mots de passe, la plupart récupérées grâce à des failles de sécurité sur de nombreux sites Web et plateformes de jeu ou à l’aide de programmes malveillants. À l’aide de ces listes, de nombreux ordinateurs et d’adresses Internet d’où effectuer leurs essais, ils réalisent des tentatives de connexion à la chaîne pour voir si l’on a déjà créé un compte Guild Wars 2 à l’aide de l’une des combinaisons d’adresse e-mail et de mot de passe indiquées sur la liste.
Cependant, trouver cette combinaison ne suffit pas. Quand le pirate essaie de se connecter, le système de Guild Wars 2 envoie un e-mail de confirmation au propriétaire du compte. Mais si le pirate peut obtenir le mot de passe d’un compte Guild Wars 2, il peut souvent aussi récupérer le mot de passe du compte de messagerie associé. Il peut alors se connecter au compte de messagerie et cliquer sur le lien de vérification envoyé par le système.
L’utilisation d’un mot de passe unique
La façon la plus simple de sécuriser votre compte Guild Wars 2 est de choisir un mot de passe unique, que vous n’avez jamais utilisé ailleurs. Une fois que vous avez choisi un mot de passe pour Guild Wars 2, il est important de ne pas vous en servir sur un autre site Web.
Au fil des ans, nous avons essayé de nous assurer que vous utilisiez tous un mot de passe unique pour Guild Wars 2 en faisant notre propre liste des millions de mots de passe connus par les pirates et en empêchant les nouveaux comptes de les utiliser. Ce système a fait ses preuves, puisque Guild Wars 2 a un taux très bas de piratage de compte depuis son implémentation.
Cependant, ce n’est pas une méthode infaillible. En effet, en vous obligeant à choisir un mot de passe unique pour Guild Wars 2, nombreux sont ceux qui finissent par l’oublier. Cette année encore, des centaines de milliers d’entre vous contacteront notre équipe d’assistance pour réinitialiser votre mot de passe. Nous savons que c’est frustrant d’avoir à nous contacter pour accéder à votre compte, et de notre côté, ce n’est pas chose facile non plus. Nous avons bien un système de récupération automatique de compte, mais il requiert certaines preuves difficiles à fournir pour les joueurs qui n’ont pas joué depuis longtemps. Cependant, ces preuves nous permettent d’empêcher les pirates de voler les comptes à l’aide du système de récupération automatique. Nous sommes donc arrivés à la conclusion qu’il fallait inventer un nouveau système de sécurisation.
L’introduction du SMS
Certains d’entre vous utilisent peut-être déjà l’authentification par SMS pour certains sites comme Google et Yahoo!.
Dans les semaines à venir, nous allons vous demander d’associer un numéro de téléphone à votre compte de jeu. Ne vous inquiétez pas, nous ne vous enverrons aucune publicité ; ce numéro sera utilisé uniquement pour protéger votre compte des pirates.
Une fois que vous avez associé un numéro de téléphone à votre compte, vous recevrez un SMS ou un appel sur votre ligne fixe dès que quelqu’un essaiera de se connecter à votre compte depuis un autre endroit. Et si vous oubliez votre mot de passe ou perdez l’accès à votre compte, vous pourrez nous demander d’envoyer un SMS sur votre téléphone ou d’appeler votre ligne fixe pour vous fournir un code de réinitialisation du mot de passe. Avec un seul système, nous pourrons améliorer de façon significative la sécurité et la récupération des comptes de jeu.
SMS ou authentificateurs
Certains d’entre vous ont déjà sécurisé leur compte avec un système d’authentification à double facteur traditionnel, qui connecte une application comme Google Authenticator à votre compte. Dans ce cas, vous pouvez continuer à utiliser ce système et nous ne vous demanderons pas votre numéro de téléphone.
Nous pensons que les SMS conviendront mieux que les authentificateurs à la plupart des gens. En termes de sécurité, les deux solutions se valent : nous vous envoyons une alerte lorsque vous vous connectez depuis un nouvel endroit, et vous répondez soit en saisissant le code reçu par SMS, soit celui reçu de la part de Google Authenticator. En revanche, pour récupérer un compte, rien ne vaut le système par SMS. Quand vous recommencez à jouer après une longue absence, vous avez plus de chances d’avoir encore le même numéro de téléphone que d’avoir encore Google Authenticator configuré pour votre compte.
Mais ce n’est pas la seule raison pour laquelle nous préférons les SMS. Quand un pirate s’empare d’un compte non sécurisé, il n’a aucun mal à ajouter un authentificateur pour le compte, mais le propriétaire a plus de mal à le récupérer. Nous devrons peut-être un jour restreindre la façon dont les authentificateurs sont ajoutés aux nouveaux comptes afin d’éviter les abus. Inversement, il est plus difficile pour un pirate de lier un numéro de téléphone au compte. Nous exigeons un véritable numéro de téléphone (fixe ou mobile), et pas celui d’un service comme Google Voice. Nous vérifions aussi le numéro. Les pirates n’ont pas un nombre illimité de téléphones à leur disposition.
Nous mettons en place le système d’authentification par SMS (qui d’après nous présente de nets avantages comparé aux authentificateurs), mais les deux systèmes sont efficaces pour la sécurité de votre compte. Choisissez celui avec lequel vous vous sentez le plus à l’aise.
Protection contre le piratage
Nous vous recommandons vivement d’utiliser l’un de ces systèmes pour protéger votre compte. Cependant, nous ne voulons pas forcer la main à nos joueurs Guild Wars 2 de longue date. Si vous possédez votre compte depuis longtemps et qu’il n’a jamais été piraté, c’est que la sécurité de votre compte a passé l’épreuve du temps.
Les nouveaux comptes sont ceux qui sont les plus vulnérables face aux pirates, notamment ceux créés par des joueurs qui ne connaissent pas les articles de blog comme celui-ci et qui n’ont jamais reçu de bons conseils en matière de sécurité. Nous sommes responsables de la sécurité de leur compte, qu’ils sachent se protéger ou non.
En tant que joueur victime de piratage, le pire est de perdre son or et ses objets. Et c’est principalement ce qui motive un pirate à agir. Si nous ne pouvons pas tout empêcher, nous pouvons au moins essayer d’empêcher ce vol.
Au cours des prochains mois, nous ajouterons une restriction visant les comptes récemment créés, afin d’empêcher que l’or et les objets soient expédiés hors du compte (et donc potentiellement volés) jusqu’à ce que le compte soit sécurisé avec un numéro de téléphone ou un authentificateur. Nous vous tiendrons au courant, mais rappelez-vous que cela ne concernera que les comptes créés après cette date.
Implémentation
Maintenant que nous avons parlé de l’importance de cette nouvelle option de sécurité par SMS, parlons de son déploiement.
Il se fera progressivement, à compter d’aujourd’hui. Cette nouvelle option sera proposée aujourd’hui à quelques comptes choisis au hasard. Nous la proposerons ensuite à d’autres comptes, par vagues, l’objectif étant de terminer son implémentation dans environ deux semaines. Quand l’option sera disponible, vous recevrez un message, après vous être connecté, vous demandant d’indiquer un numéro de téléphone pour votre compte.
Pour vous remercier de sécuriser vos comptes, nous offrirons un mini-dragon mystique à toute personne associant un numéro de téléphone ou un authentificateur à son compte. Si vous souhaitez obtenir le mini-dragon dès maintenant, vous pouvez évidemment choisir tout de suite une authentification à double facteur. Si vous préférez un système de sécurité basé sur un numéro de téléphone, il devrait être disponible pour votre compte dans moins de deux semaines.
Merci de votre attention. Vous êtes de toute évidence une personne qui prend la sécurité de son compte au sérieux, et vous êtes mieux informé que la plupart des joueurs. Alors faites passer ce message. Informez vos amis et les autres joueurs, et aidez les à protéger leurs comptes.
Mike O’Brien