Fonctionnalit�s de protection de compte : mise � jour

24 octobre 2019 Assistance technique

M�me si notre dernier blog remonte � quelque temps, nous avons continu� � travailler pour am�liorer la protection de compte. Aujourd'hui, nous avons lanc� les v�rifications par l'authentificateur pour le site internet, et nous continuons � travailler sur d'autres am�liorations de l'authentificateur.

Cependant, nos serveurs ont subi une attaque soutenue pendant plusieurs mois, et le temps n�cessaire pour la contrecarrer nous a contraints � repousser d'autres projets plus visibles.

Voici un r�sum� de la situation actuelle :

D�lai pour l'authentificateur

Depuis le dernier blog, vous avez �t� nombreux � nous dire que vous vouliez que la s�curit� de l'authentificateur soit renforc�e. L'introduction d'un d�lai pour les modifications de l'authentificateur est une demande qui est souvent revenue.

Un d�lai vous donnerait la chance de bloquer toute tentative de d�sactivation de votre authentificateur par une personne ayant acc�s � votre adresse �lectronique. Cependant, l'introduction d'un d�lai cr�erait �galement un certain nombre de probl�mes :

1. Cela vous demanderait de r�pondre aux alertes pendant la p�riode de d�lai.

2. Par d�finition, une alerte par courriel d�pend d'un courriel envoy� � votre compte de messagerie compromis. Bien �videmment, toute personne ayant le contr�le de votre compte de messagerie pourra ais�ment la supprimer.

3. Si votre alerte par courriel est supprim�e, vous risquez de manquer l'alerte si vous ne vous connectez pas pendant la p�riode de d�lai.

4. Autre probl�me : il est �galement possible que le courriel arrive dans vos dossiers Courrier ind�sirable ou Spam.

5. Si un pirate acc�de � votre compte et d�finit son propre d�lai pour l'authentificateur, cela vous emp�chera de vous connecter en jeu pendant encore plus longtemps.

Ainsi, pour �viter ces failles, nous adoptons une approche diff�rente pour am�liorer la s�curit� de l'authentificateur : les codes de secours.

Codes de secours

Nous comptons mettre en place un syst�me de codes de secours. Cela signifie que vous recevrez un code de secours lors de la configuration de l'authentificateur, code que vous devrez �crire et garder en lieu s�r. Il servira � d�sactiver votre authentificateur si vous ne pouvez plus y acc�der, et emp�chera l'utilisation des courriels compromis pour voler des comptes. Votre code de secours sera SEULEMENT utilis� sur notre site internet pour d�sactiver votre authentificateur. N'oubliez pas de garder votre code de secours en lieu s�r.

Nous avons choisi cette approche au lieu de celle du d�lai pour plusieurs raisons :

1. Vous n'aurez pas besoin d'intervenir pour emp�cher la d�sactivation de votre authentificateur.

2. Les pirates n'ayant pas vos codes de secours ne seront pas en mesure de d�sactiver votre authentificateur.

3. Si vous perdez l'acc�s � votre authentificateur, votre code de secours peut servir � le r�tablir.

4. M�me si quelqu'un parvient � acc�der � votre adresse �lectronique, votre compte RuneScape ne court aucun risque.

5. D'autres soci�t�s ont r�ussi � utiliser ce m�me syst�me, ce qui nous donne une vision plus claire de la bonne solution.

Afin de pr�parer l'impl�mentation des codes de secours, nous avons d�j� ajout� les v�rifications par l'authentificateur pour toutes les connexions au site internet.

Si vous perdez votre code de secours, vous pouvez en obtenir un nouveau lorsque vous vous connectez et que vous passez la v�rification par l'authentificateur.

Si l'id�e d'utiliser un code de secours ne vous enchante pas et que vous �tes certain que votre adresse �lectronique est s�curis�e, vous pouvez continuer � utiliser l'ancienne m�thode pour d�sactiver votre authentificateur par courriel, m�me si nous ne le recommandons pas.

Perte de votre code de secours et de votre authentificateur

Une fois la mise � jour impl�ment�e, si vous perdez votre authentificateur et votre code de secours, vous pourrez demander de l'aide aupr�s du service client�le, mais ce processus sera tr�s strict et n�cessitera des informations tr�s claires pour v�rifier que vous �tes bien le propri�taire du compte. Aucune demande ne sera trait�e pendant 72 heures minimum.

L'envoi d'une demande de d�sactivation de l'authentificateur au service client�le doit �tre un DERNIER RECOURS.

Vous ne pourrez pas d�pendre de ce service pour g�rer votre authentificateur. Cela signifie que vous ne pourrez pas acc�der � votre compte pendant 72 heures minimum, et la quantit� de preuves dont vous aurez besoin pour prouver que vous �tes le propri�taire du compte est TR�S �LEV�E.

Suite du d�veloppement

Voici nos priorit�s actuelles en mati�re de protection de compte :

Ajouter les codes de secours � l'authentificateur en 2020. Nous invitons tous les joueurs � mettre � jour leurs authentificateurs pour que ceux-ci prennent en charge les codes de secours d�s que la fonctionnalit� sera disponible.

Faciliter le passage de votre authentificateur vers un nouvel appareil si vous changez de t�l�phone.

Continuer le travail concernant la complexit� du mot de passe (lorsque nous serons satisfaits de la s�curit� des authentificateurs).

Nous modifierons peut-�tre ce programme si cela nous permet d'impl�menter les am�liorations de s�curit� plus rapidement.

Nous savons que la protection de compte peut �tre un sujet des plus complexes et que nos progr�s peuvent para�tre lents, mais nous esp�rons que ce blog vous donne une vision plus claire de la direction dans laquelle nous allons. Nous reviendrons bient�t avec une autre mise � jour technique.

Merci beaucoup.

L'�quipe du service client�le

Poursuivez la discussion sur Reddit, Discord ou sur nos forums.

Haut de la page