Summoners War, un eldorado pour les « pirates »

Aujourd’hui, Summoners War est un jeu sur Smartphone qui est très connu des « amateurs » de jeu sur smartphone et tablette. Que ce soit Android ou iOS, vous pouvez y jouer et affronter des joueurs de l’autre plateforme.

Sur le fond et la forme, Summoners War est un jeu très bien conçu et qui de plus, est très suivi par les développeurs qui ajoutent du contenu chaque semaines. Les bugs y sont corrigé également chaque semaines.

Mais voilà, si vous êtes un Summoners, vous avez certainement dût vous rendre compte que niveau sécurité, il est assez facile de se connecter, de modifier ces infos et autre, sans qu’il n’y ai de réel contrôle de « qui se connecte« . Le risque principal, c’est que quelqu’un puisse se connecter à votre compte sans que vous ne vous en rendiez compte et vous « vol » votre compte. Et c’est ce qui c’est passé à de très nombreux joueurs de la communauté.

Dans un premier temps, sachez que pour vous faire pirater votre compte Summoners War, il n’est pas nécessaire d’avoir votre mots de passe, il suffit d’avoir votre identifiant, qui en générale est le même que votre nom de Summoners, donc très facilement trouvable. Pour la suite, le pirate n’aura qu’a utiliser les failles de sécurité de WithHIVE pour modifier votre mots de passe sans aucune vérification et le tour est joué, vous n’aurez plus de compte et c’est là que la galère commence.

En effet, une fois votre compte piraté, si vous avez la connexion via FB et G+, vous aurez encore un peu de temps pour jouer, mais de courte durée, le temps que le voleur ne supprime les liens FB et G+ du compte WithHIVE. Une fois cela fait, plus moyen de vous connecter. Mais la galère, cela va être avec le Customer Service de chez COM2US/WithHIVE. En effet, il existe une jolie plateforme vous permettant de signaler que vous avez été piraté. Magnifique, maintenant vous attendez la réponse en espérant que cela soit rapide. Alors vous prenez un café, puis un second, puis vous vous endormez sur le clavier. Au réveil … toujours pas de réponse. Alors vous ouvrez un second tickets, et là, toujours pas de réponse. Une semaine s’écoule, et vous obtenez une réponse, qui vous dit de vous référer à la réponse reçu par mail. Alors vous regardez votre mail, et là, on vous demande une liste énorme d’information sur votre compte. Voici la fameuse liste :

– Identifiant Hive : 

– Méthode de connection(Hive, Facebook, Google+) 

– Toutes les adresses de courriel 

– Date approximative de la création du compte : 

– Nom d\’invocateur avant le piratage : 

– Date de naissance avant le piratage : 

– Numéro de téléphone avant le piratage :

– Dernière date de connexion(la date où le compte est piraté) 

– Informations concernant le jeu : (niveau/monstres/crystaux/nombre d’amis etc.) : 

Une fois que vous avez transmis ces informations, vous vous dites « SUPER, ils bougent enfin !!! » … et bien non, vous allez encore attendre une semaine pour obtenir une seconde réponse qui est la suivante :

Nous te remercions pour tes renseignements.

Nous avons envoyé une requête aux développeurs pour qu\’ils puissent vérifier ces informations.

Ainsi, ils vont intervenir en moins de 48h.

Ils pourront te demander davantage d\’informations.

Nous t\’informerons sur l\’avancement de notre enquête.

Merci d\’avance de ta patience.

Et là, tu te dis encore une fois, que c’est génial, que dans 48H max tu vas pouvoir de nouveau jouer avec ton compte, que tu vas retrouver tes montres, que tu vas récupérer tes crystaux que tu as gagner … Dommage, car après 1 autres semaines d’attente, 5 relances de tickets, tu n’as toujours pas de réponse, et quand tu regardes dans le jeu, tu peux voir le « Russe » qui lui joue tranquillement avec ton compte.

Après vous avoir raconté ce récit, cette anecdote que bon nombre de Summoners vivent actuellement, et je ne le souhaite pas, certains risquent de vivre, il y a plusieurs question que je me pose, et que je pose à COM2US, au Customer Service ainsi qu’aux développeurs :

  • Est-il si difficile que ça de mettre en place une identification à double contrôle ? Genre Google Authentificator, Steam Guard ou autre.
  • Est-il si difficile que ça de mettre un lien dans le mail d’avertissement de changement de mail, pour annuler la procédure et faire un retour en arrière automatique ? Car oui, vous recevrez un mail vous annoncant que le pirate à changer votre mail … et votre mots de passe, mais si ce n’est pas vous … ben dommage car vous ne pourrez que créer un ticket au Customer Service
  • Est-il si difficile que ça de vérifier le piratage d’un compte ? Surtout quand le joueur vous transmet toutes les informations et les preuves du piratage.
  • Lors d’une inscription sur votre site, ou de la tentative de récupération de mots de passe ou encore d’une modification de l’adresse mail, vos serveurs refuse l’utilisation d’une adresse mail du domaine  MAIL.RU … comment est-il possible que des pirates changes les mails des comptes à plusieurs reprises avec des mails termiants par MAIL.RU alors que vos serveurs refusent l’envoi du mail de validation vers ces adresses ?

Lorsque vous réfléchissez un peu, il y a aussi une question à ce poser, le jeu étant Free To Play, c’est à dire que vous n’êtes pas obligé de payer pour jouer, est-ce que COM2US ne favoriserait pas les joueurs qui paient au détriment des autres ? Et est-ce que si le pirate paie une fois qu’il a volé le compte, il ne risque plus rien et que COM2US / WithHIVE ferment les yeux ?

Il est regrettable de découvrir qu’une société comme COM2US et WithHIVE soit aussi peut réactive fasse à ce fléau qu’est le vol de compte et surtout qu’elle ne sécurise pas davantage la connexion aux comptes. Surtout sachant que ce ne sont pas des cas isolé et qu’il y a eu une team complète, une grosse team, qui a été victime de vol de compte, et comme par hasard, le même jour et toujours avec des adresses en MAIL.RU … est-ce que COM2US et WithHIVE n’auraient pas un intérêt dans cette histoire ?