Malheureusement, le https ne peut pas tout securiser ! En amont, le login et le mot de passe sont saisis au niveau du logiciel, avant tout transfert en SSL, est-il donc possible de detourner le logiciel pour effectuer du brute force (technique qui permet de casser votre mot de passe) ? La reponse est oui, en utilisant des techniques d'injection de donnees au niveau de l'application d'Everest poker. Bien entendu, ce n'est pas a la portee de tout le monde de realiser ce type de programme pour pirater les comptes everest, mais il serait assez simple pour n'importe quel bon developpeur de developper cette application et la mettre en libre telechargement a tout le monde.
Quelles seraient les consequences ?
Ca irait du compte restreint, a la perte/vol de compte (et tout son argent), il faut envisager 3 cas de figures :
1. Vous avez un mot de passe fort et presque impossible a casser, mais etant donne que la tentative de piratage aura eveille les soupcons chez everest poker, vous allez vous retrouver avec votre compte restreint, oblige de renvoyer des papiers confidentiels et de fortes probabilites de voir votre compte et votre argent "immobilise" indefiniment par Everest poker et ask-ibs.
2. Le pirate trouve votre mot de passe et s'introduit sur votre compte, tente de transferer l'argent, mais everest poker bloque le compte en mode restreint (puisque c'est souvent le cas pour les transferts), comme dans le cas numero 1, vous avez de fortes probabilites de ne jamais revoir votre argent.
3. Enfin dans le pire des cas, le pirate arrive a transferer l'argent et profiter de votre compte pour faire ce qu'il veut.
Le probleme est qu'il n'y a pas besoin d'attendre que quelqu'un utilise ce type de logiciel pour vous causer des problemes : j'ai recu le temoignage d'une personne qui avait perdu son mot de passe, et qui a pu essaye plusieurs dizaines de mots de passe sans problemes (everest poker semble ne pas avoir de systeme anti brute force adapte...), et lorsqu'il a retrouve son mot de passe, son compte a ete restreint pour activite suspecte 2 jours apres... Compte qu'il a perdu puisqu'il n'a jamais pu fournir une copie de sa carte bancaire qui avait expiree depuis. En gros, cela voudrait dire que n'importe qui pourrait bloquer votre compte a votre insu... A mediter !
Aucun commentaire:
Enregistrer un commentaire