Nouveautés

Blog du service clientèle - Protection de compte

Voici le deuxième blog d'une série de quatre du service clientèle de Jagex. Dans notre premier blog, nous avons expliqué en détail nos plans afin d'améliorer nos systèmes. Ce blog s'intéresse à la protection de compte, et nous allons notamment parler des sujets suivants :

  • Nos projets actuels :
  • Renforcement des mots de passe
  • Prévention contre l'utilisation de mots de passe ayant fuité
  • Nos projets à venir :
  • Notifications et validations par courrier électronique lors de changements effectués sur le compte
  • Vérifications par l'Authentificateur sur le site internet
  • Possible implémentation d'un délai pour l'Authentificateur
  • Nos futurs projets :
  • Systèmes de sécurité de compte supplémentaires
  • Augmentation de la sécurité concernant le recouvrement de compte
  • Même si Jagex n'a jamais été victime de fuites de données, la sécurité des comptes est un véritable défi pour toute entreprise présente sur internet. Le nombre massif de sites internet contenant les données personnelles des utilisateurs et la fréquence à laquelle des individus tentent d'accéder à ces données rendent ces fuites encore plus courantes.

    Ce n'est donc pas surprenant que l'amélioration de la sécurité des comptes présente quelques défis majeurs. Mais nous nous engageons à les relever, même si nous devons rester réalistes. Ces changements prendront du temps.

    Voici une description détaillée des divers défis auxquels nous devons faire face en matière de sécurité de compte et la manière dont nous allons les surmonter.

    Meilleurs mots de passe

    Notre priorité est de rendre les mots de passe plus forts, et nous travaillons déjà à cela.

    Nous mettons à jour nos systèmes afin de vous permettre de définir des mots de passe plus complexes, et nous ajoutons également des guides afin de vous aider à créer ce genre de mot de passe. Nous cherchons également un moyen de prendre en charge les gestionnaires de mots de passe.

    Nous travaillons actuellement avec un fournisseur tiers afin d'implémenter un système qui parcourt internet à la recherche de données concernant la fuite de mots de passe. Grâce à cela, nous serons en mesure de vous prévenir si vous utilisez un mot de passe potentiellement dangereux, et même vous empêcher d'utiliser un mot de passe non sécurisé.

    Nous avons vraiment besoin de votre aide pour cela, car ces nouveaux systèmes ne vous bénéficieront que si vous choisissez de les utiliser. En général, en matière de sécurité de mot de passe, l'essentiel est de se souvenir des règles suivantes :

  • N'utilisez pas le même mot de passe pour votre compte RuneScape/Old School RuneScape et votre adresse électronique ;
  • Si vous êtes inquiet pour la sécurité de votre compte, définissez un nouveau mot de passe immédiatement ;
  • Utilisez un mot de passe différent pour chaque service que vous utilisez en ligne.
  • Notifications et sécurisation par courrier électronique

    Une fois la sécurité des mots de passe améliorée, nous concentrerons nos efforts sur la notification par courrier électronique.

    L'une des manières les plus rapides de confirmer que vous êtes bien le propriétaire du compte est d'utiliser l'adresse électronique que vous avez enregistrée. C'est une méthode de sécurité très courante que vous avez sans doute déjà vue sur d'autres sites.

    Nous allons commencer à vous envoyer des notifications par courrier électronique si nous observons des changements suspects apportés à votre compte, et dans certains cas, nous demanderons l'autorisation de connexion depuis votre adresse électronique.

    Cependant, cette méthode comporte un risque : nous ne savons pas si votre adresse électronique personnelle est sécurisée. Et si vos informations de connexion pour votre adresse électronique sont les mêmes que pour votre compte RuneScape/Old School RuneScape, vous rendez l'accès à vos données personnelles deux fois plus facile pour une tierce personne.

    Fondamentalement, plus votre adresse électronique est sécurisée, plus votre compte RuneScape le sera aussi. Si votre fournisseur de messagerie propose des fonctionnalités de sécurité en plus comme l'authentification à deux facteurs, assurez-vous de vous en servir (voici les liens pour Google, Yahoo et Outlook).

    Ces problèmes signifient qu'à terme, nous souhaitons nous détacher des vérifications par courrier électronique pour nous orienter vers une authentification à deux facteurs améliorée.

    Authentificateurs à deux facteurs

    L'une des choses les plus sécurisées que vous possédez est sans doute votre téléphone portable. Certains d'entre eux ont des fonctionnalités biométriques intégrées, la plupart ont des fonctionnalités de sécurité supplémentaires pour les mots de passe et généralement, leurs propriétaires font très attention à eux.

    Nous souhaitons donc utiliser la sécurité de votre téléphone pour protéger votre compte RuneScape/Old School RuneScape en utilisant des applications d'authentification à deux facteurs (2FA).

    Notez bien que nous proposons déjà l'authentification à deux facteurs et cette fonctionnalité est actuellement utilisée par environ 50 % des joueurs. Si vous ne l'avez pas déjà fait, paramétrez l'Authentificateur dès que possible ! Notre but est de faire en sorte que tous les joueurs utilisent un authentificateur à la fois pour s'identifier en jeu et sur le site internet.

    L'une des fonctionnalités que vous nous demandez souvent est l'ajout de délais pour l'Authentificateur. Il y a plusieurs manières de procéder, comme retarder la demande de changement ou encore limiter temporairement les échanges. Nous n'avons pas encore pris de décision, mais nous sommes conscients qu'il y a un fort risque que certains joueurs ne puissent plus accéder à leur compte ou subissent des restrictions car ils ont perdu leur téléphone dans ce laps de temps.

    Nous devons également prendre en compte les utilisateurs qui doivent changer leur authentificateur car ils ne peuvent plus accéder à leur téléphone. Ces demandes de changement arrivent bien plus souvent que ce dont notre équipe pourrait se charger chaque jour si nous avions à vérifier chaque demande individuellement.

    Par conséquent, notre option préférée reste l'ajout des systèmes de sécurité de compte supplémentaires.

    Sécurité additionnelle et vols de comptes

    Nous étudions différentes options de vérification supplémentaires qui appliquent la même technologie utilisée pour s'attaquer aux fraudes de paiement. Ce système nous permettra de traiter les nouvelles menaces en temps réel, créer différents modèles de sécurité pour les différents états des comptes RuneScape (par exemple, compte actif ou inactif, adresse électronique non enregistrée, Authentificateur actif, etc.), et répondre assez rapidement pour éviter les blocages que pourrait provoquer un délai d'authentificateur.

    Nous pensons que cette méthode de protection de compte fondée sur les données est notre meilleure chance de mettre fin au vol de comptes. Elle peut fonctionner pour tous les comptes et pour tous les joueurs. Cependant :

  • Si pour une quelconque raison, vous ne pouvez pas utiliser un authentificateur à deux facteurs, cette méthode sera votre recours pour protéger votre compte. Par conséquent, les vérifications prendront quelques secondes à chaque connexion. Vous pourrez donc subir un léger délai.
  • Ce système analysera des millions de connexions par jour, et il serait présomptueux de notre part d'affirmer qu'il ne se trompera jamais. Trouver le bon équilibre entre rapidité et sécurité (en d'autres termes, laisser les bons utilisateurs se connecter et bloquer les utilisateurs illégitimes, tout cela sans créer trop de délais) représente tout un processus, et il est peu probable que nous y arrivions dès le premier essai. Nous effectuerons des tests approfondis afin de perfectionner notre système avant de l'implémenter, mais nous vous demandons de faire preuve de patience. Nous étudions des solutions afin que vous puissiez nous contacter pour résoudre la situation le plus rapidement possible si vous êtes bloqué à tort.
  • Si tout se passe comme prévu, vous ne vous en rendrez même pas compte et n'aurez pas à vous inquiéter, sauf si vous essayez de voler le compte d'un autre utilisateur, bien sûr. Pour cette raison, nous ne vous tiendrons pas régulièrement au courant de nos avancées.
  • La création et configuration va prendre du temps. C'est une priorité essentielle pour Jagex, ce système sera donc prêt le plus tôt possible. Son déploiement est actuellement estimé pendant la première moitié de 2020. Malgré les défis, nous pensons que les bénéfices valent la peine de surmonter les problèmes.
  • Abus de recouvrement

    L'un des plus gros défis auxquels nous faisons face lorsque nous vérifions des tentatives de recouvrement de compte est d'identifier si la requête a été soumise par le propriétaire du compte authentique.

    L'année dernière, seulement 38 % des demandes de recouvrement étaient authentiques et provenaient de l'actuel propriétaire du compte. 38 % étaient des tentatives malveillantes de piratage (le pourcentage équivalent est une coïncidence) et 24 % étaient des conflits dus au partage ou à la vente de compte.

    Notre objectif pour l'année prochaine est de stopper les pirates avant même qu'ils ne puissent infiltrer un compte, mais dans tous les cas nous avons besoin d'améliorer le processus de recouvrement de compte. Cela permettra d'empêcher celui-ci d'être une voie viable pour les pirates. Cela signifie que les informations demandées lors de procédures d'appel pourront devenir plus strictes. Trouver le bon équilibre entre sécurité et permettre rapidement aux joueurs d'accéder au jeu à nouveau pourra prendre du temps. Pour l'instant, tout n'est pas comme nous le souhaitons, nous allons donc continuer à travailler sur cela.

    Nous espérons que vous avez trouvé ce deuxième blog intéressant, et comme toujours, nous lirons attentivement vos retours et commentaires. Nous avons hâte de discuter avec vous et d'obtenir vos avis (vraiment !). N'hésitez pas à partager vos commentaires sur Reddit, Discord ou nos forums anglophones.