Problème de sécurité majeur
Bonjour, je tiens à vous expliquer un des problèmes majeurs à propos de la sécurité des utilisateurs Discord. Je vais parler de différents problèmes qui font beaucoup de mal à la sécurité des utilisateurs discord.
En premier lieu, je parlerai dès la sécurité des mots de passe/ adresse mail, ensuite de l’A2F, je donnerai une idée pour chacun des cas.
Pour commencer, je trouve que les utilisateurs n’ont aucune sécurité à propos de leur compte. Il suffit de faire du phishing en masse pour avoir les informations nécessaires pour se connecter à un compte et à partir de ce moment la propriétaire perd la possession du compte. Le hacker pourra modifier très facilement l’adresse mail grâce au mot de passe obtenue et ensuite changer le mot de passe grâce à son adresse mail qu’il aura inscrit sur le discord. Le gros problème dans ce système c'est qu'il ya absolument rien qui peut lui empêcher de changer l’adresse mail même pas une demande de confirmation par téléphone qui aura été mis lors de l'inscription du compte.
Ce que je peux proposer pour améliorer cette sécurité au sein de Discord c’est de demander une vérification par sms si on veut changer d’adresse mail ou une vérification par adresse mail si on veut changer de numéro inscrit. Je trouve personnellement que l’idée de faire faire une vérification doit être obligatoire pour être sûr que le propriétaire du compte affirme ce changement.
Et pour finir, la double authentification (A2F). La double authentification est très bien faite sur papier, l'idée est bonne mais trop facile à manipuler pour les personnes malveillantes. Pour continuer mon exemple de phishing, dès que le hacker arrivera à se connecter. Il sera juste à un jeu d’enfant pour voir les différentes clé de A2F en tout simplement taper le mot de passe qu’il aura obtenue, et de ensuite afficher la liste de toutes les clés. Et pour finir, de générer des nouvelles clés. Voila a ce moment là exact le compte ne sera plus à vous et Discord pourra rien y faire. (Discord ne sauvegarde pas les clés donc ils ne seront pas vous aidez à retrouver votre compte.
Pour ce cas, je peux proposer d' avoir une liste de clé qui restera juste entre vous et le client et d’autre clé entre discord (staff) et votre client pour aider certaines personnes qui seront fait hack et que le hacker est laisser un A2F avant de se faire kick du compte. Et dans un niveau de sécurisation des utilisateurs, si il y aurait un jour un leak des ces clé qu’elles soient automatiquement supprimés et généré à la gisse de l’utilisateur.
Touts ce que je vous explique c’est du vécu de ce que j’ai eu avec un compte pirater et qui pourra jamais être récupérer à cause du manque de sécurité de Discord.
Merci d’avoir lu,
-
Je suis clairement d’accord, que il est devenu trop simple pour un hacker de changer une adresse mail pour s'emparer du compte. En plus a quoi ça sert de mettre une A2F si c’est facilement contournable pour un hacker et pour le retourné contre le propriétaire.
3
Please sign in to leave a comment.
Comments
1 comment