Blog du service client�le - Protection de compte

25 juin 2019 Aide

Voici le deuxi�me blog d'une s�rie de quatre du service client�le de Jagex. Dans notre premier blog, nous avons expliqu� en d�tail nos plans afin d'am�liorer nos syst�mes. Ce blog s'int�resse � la protection de compte, et nous allons notamment parler des sujets suivants :

Nos projets actuels :

Renforcement des mots de passe

Pr�vention contre l'utilisation de mots de passe ayant fuit�

Nos projets � venir :

Notifications et validations par courrier �lectronique lors de changements effectu�s sur le compte

V�rifications par l'Authentificateur sur le site internet

Possible impl�mentation d'un d�lai pour l'Authentificateur

Nos futurs projets :

Syst�mes de s�curit� de compte suppl�mentaires

Augmentation de la s�curit� concernant le recouvrement de compte

M�me si Jagex n'a jamais �t� victime de fuites de donn�es, la s�curit� des comptes est un v�ritable d�fi pour toute entreprise pr�sente sur internet. Le nombre massif de sites internet contenant les donn�es personnelles des utilisateurs et la fr�quence � laquelle des individus tentent d'acc�der � ces donn�es rendent ces fuites encore plus courantes.

Ce n'est donc pas surprenant que l'am�lioration de la s�curit� des comptes pr�sente quelques d�fis majeurs. Mais nous nous engageons � les relever, m�me si nous devons rester r�alistes. Ces changements prendront du temps.

Voici une description d�taill�e des divers d�fis auxquels nous devons faire face en mati�re de s�curit� de compte et la mani�re dont nous allons les surmonter.

Meilleurs mots de passe

Notre priorit� est de rendre les mots de passe plus forts, et nous travaillons d�j� � cela.

Nous mettons � jour nos syst�mes afin de vous permettre de d�finir des mots de passe plus complexes, et nous ajoutons �galement des guides afin de vous aider � cr�er ce genre de mot de passe. Nous cherchons �galement un moyen de prendre en charge les gestionnaires de mots de passe.

Nous travaillons actuellement avec un fournisseur tiers afin d'impl�menter un syst�me qui parcourt internet � la recherche de donn�es concernant la fuite de mots de passe. Gr�ce � cela, nous serons en mesure de vous pr�venir si vous utilisez un mot de passe potentiellement dangereux, et m�me vous emp�cher d'utiliser un mot de passe non s�curis�.

Nous avons vraiment besoin de votre aide pour cela, car ces nouveaux syst�mes ne vous b�n�ficieront que si vous choisissez de les utiliser. En g�n�ral, en mati�re de s�curit� de mot de passe, l'essentiel est de se souvenir des r�gles suivantes :

N'utilisez pas le m�me mot de passe pour votre compte RuneScape/Old School RuneScape et votre adresse �lectronique ;

Si vous �tes inquiet pour la s�curit� de votre compte, d�finissez un nouveau mot de passe imm�diatement ;

Utilisez un mot de passe diff�rent pour chaque service que vous utilisez en ligne.

Notifications et s�curisation par courrier �lectronique

Une fois la s�curit� des mots de passe am�lior�e, nous concentrerons nos efforts sur la notification par courrier �lectronique.

L'une des mani�res les plus rapides de confirmer que vous �tes bien le propri�taire du compte est d'utiliser l'adresse �lectronique que vous avez enregistr�e. C'est une m�thode de s�curit� tr�s courante que vous avez sans doute d�j� vue sur d'autres sites.

Nous allons commencer � vous envoyer des notifications par courrier �lectronique si nous observons des changements suspects apport�s � votre compte, et dans certains cas, nous demanderons l'autorisation de connexion depuis votre adresse �lectronique.

Cependant, cette m�thode comporte un risque : nous ne savons pas si votre adresse �lectronique personnelle est s�curis�e. Et si vos informations de connexion pour votre adresse �lectronique sont les m�mes que pour votre compte RuneScape/Old School RuneScape, vous rendez l'acc�s � vos donn�es personnelles deux fois plus facile pour une tierce personne.

Fondamentalement, plus votre adresse �lectronique est s�curis�e, plus votre compte RuneScape le sera aussi. Si votre fournisseur de messagerie propose des fonctionnalit�s de s�curit� en plus comme l'authentification � deux facteurs, assurez-vous de vous en servir (voici les liens pour Google, Yahoo et Outlook).

Ces probl�mes signifient qu'� terme, nous souhaitons nous d�tacher des v�rifications par courrier �lectronique pour nous orienter vers une authentification � deux facteurs am�lior�e.

Authentificateurs � deux facteurs

L'une des choses les plus s�curis�es que vous poss�dez est sans doute votre t�l�phone portable. Certains d'entre eux ont des fonctionnalit�s biom�triques int�gr�es, la plupart ont des fonctionnalit�s de s�curit� suppl�mentaires pour les mots de passe et g�n�ralement, leurs propri�taires font tr�s attention � eux.

Nous souhaitons donc utiliser la s�curit� de votre t�l�phone pour prot�ger votre compte RuneScape/Old School RuneScape en utilisant des applications d'authentification � deux facteurs (2FA).

Notez bien que nous proposons d�j� l'authentification � deux facteurs et cette fonctionnalit� est actuellement utilis�e par environ 50 % des joueurs. Si vous ne l'avez pas d�j� fait, param�trez l'Authentificateur d�s que possible ! Notre but est de faire en sorte que tous les joueurs utilisent un authentificateur � la fois pour s'identifier en jeu et sur le site internet.

L'une des fonctionnalit�s que vous nous demandez souvent est l'ajout de d�lais pour l'Authentificateur. Il y a plusieurs mani�res de proc�der, comme retarder la demande de changement ou encore limiter temporairement les �changes. Nous n'avons pas encore pris de d�cision, mais nous sommes conscients qu'il y a un fort risque que certains joueurs ne puissent plus acc�der � leur compte ou subissent des restrictions car ils ont perdu leur t�l�phone dans ce laps de temps.

Nous devons �galement prendre en compte les utilisateurs qui doivent changer leur authentificateur car ils ne peuvent plus acc�der � leur t�l�phone. Ces demandes de changement arrivent bien plus souvent que ce dont notre �quipe pourrait se charger chaque jour si nous avions � v�rifier chaque demande individuellement.

Par cons�quent, notre option pr�f�r�e reste l'ajout des syst�mes de s�curit� de compte suppl�mentaires.

S�curit� additionnelle et vols de comptes

Nous �tudions diff�rentes options de v�rification suppl�mentaires qui appliquent la m�me technologie utilis�e pour s'attaquer aux fraudes de paiement. Ce syst�me nous permettra de traiter les nouvelles menaces en temps r�el, cr�er diff�rents mod�les de s�curit� pour les diff�rents �tats des comptes RuneScape (par exemple, compte actif ou inactif, adresse �lectronique non enregistr�e, Authentificateur actif, etc.), et r�pondre assez rapidement pour �viter les blocages que pourrait provoquer un d�lai d'authentificateur.

Nous pensons que cette m�thode de protection de compte fond�e sur les donn�es est notre meilleure chance de mettre fin au vol de comptes. Elle peut fonctionner pour tous les comptes et pour tous les joueurs. Cependant :

Si pour une quelconque raison, vous ne pouvez pas utiliser un authentificateur � deux facteurs, cette m�thode sera votre recours pour prot�ger votre compte. Par cons�quent, les v�rifications prendront quelques secondes � chaque connexion. Vous pourrez donc subir un l�ger d�lai.

Ce syst�me analysera des millions de connexions par jour, et il serait pr�somptueux de notre part d'affirmer qu'il ne se trompera jamais. Trouver le bon �quilibre entre rapidit� et s�curit� (en d'autres termes, laisser les bons utilisateurs se connecter et bloquer les utilisateurs ill�gitimes, tout cela sans cr�er trop de d�lais) repr�sente tout un processus, et il est peu probable que nous y arrivions d�s le premier essai. Nous effectuerons des tests approfondis afin de perfectionner notre syst�me avant de l'impl�menter, mais nous vous demandons de faire preuve de patience. Nous �tudions des solutions afin que vous puissiez nous contacter pour r�soudre la situation le plus rapidement possible si vous �tes bloqu� � tort.

Si tout se passe comme pr�vu, vous ne vous en rendrez m�me pas compte et n'aurez pas � vous inqui�ter, sauf si vous essayez de voler le compte d'un autre utilisateur, bien s�r. Pour cette raison, nous ne vous tiendrons pas r�guli�rement au courant de nos avanc�es.

La cr�ation et configuration va prendre du temps. C'est une priorit� essentielle pour Jagex, ce syst�me sera donc pr�t le plus t�t possible. Son d�ploiement est actuellement estim� pendant la premi�re moiti� de 2020. Malgr� les d�fis, nous pensons que les b�n�fices valent la peine de surmonter les probl�mes.

Abus de recouvrement

L'un des plus gros d�fis auxquels nous faisons face lorsque nous v�rifions des tentatives de recouvrement de compte est d'identifier si la requ�te a �t� soumise par le propri�taire du compte authentique.

L'ann�e derni�re, seulement 38 % des demandes de recouvrement �taient authentiques et provenaient de l'actuel propri�taire du compte. 38 % �taient des tentatives malveillantes de piratage (le pourcentage �quivalent est une co�ncidence) et 24 % �taient des conflits dus au partage ou � la vente de compte.

Notre objectif pour l'ann�e prochaine est de stopper les pirates avant m�me qu'ils ne puissent infiltrer un compte, mais dans tous les cas nous avons besoin d'am�liorer le processus de recouvrement de compte. Cela permettra d'emp�cher celui-ci d'�tre une voie viable pour les pirates. Cela signifie que les informations demand�es lors de proc�dures d'appel pourront devenir plus strictes. Trouver le bon �quilibre entre s�curit� et permettre rapidement aux joueurs d'acc�der au jeu � nouveau pourra prendre du temps. Pour l'instant, tout n'est pas comme nous le souhaitons, nous allons donc continuer � travailler sur cela.

Nous esp�rons que vous avez trouv� ce deuxi�me blog int�ressant, et comme toujours, nous lirons attentivement vos retours et commentaires. Nous avons h�te de discuter avec vous et d'obtenir vos avis (vraiment !). N'h�sitez pas � partager vos commentaires sur Reddit, Discord ou nos forums anglophones.

Haut de la page