gamecenter, game center, gamecentercity, habbocity, habbo, city, hbc, hcity, actualité, news, gratuit, hotel, retro, mmorpg, vip, animateur, staff, casino, rares, virtuel, fansite, site de fans, officiel

Toute l'actualité d'HabboCity sur GameCenter

HabboCity est-il vraiment sécurisé ?

Mis en ligne dans HabboCity

Aujourd'hui, GameCenter te propose de découvrir si oui ou non, HabboCity est réellement sécurisé. Nous ne parlerons pas ici de la présence des modérateurs en jeu, ni même des mauvaises rencontres que l'on peut faire sur des jeux comme HabboCity ou Habbo tout court. Ici nous parlerons principalement de sécurité informatique. Mettez votre capuche, éteignez la lumière et entrons dans la vie d'un pirate ! 

 

Le développement sur HabboCity.

Le développement sur HabboCity on n'en sait que très peu. En effet, on sait que Anis et Kaana développent, mais on ne sait pas s'il y a d'autres personnes derrière. Il y a quelques mois, NotAName était développeur des bots sur HabboCity, complétant la liste à 3 développeurs officiels au sein du jeu. Depuis, il a quitté l'équipe de HabboCity pour des raisons de santé. Nous connaissons les choses qui sortent, que quand elles sont finies (par exemple le City Meet).

Pourtant des projets secrets sont bien en cours de développement. En ce qui concerne la sécurité sur HabboCity, Kint0x fait office de "Security Manager" si on en croit un de ses rôles sur CityCom. Mais gère-t-il vraiment la sécurité du site entièrement ? Peu probable. Son rôle est surtout de gérer les bots de sécurité au sein de CityCom. 

 

Piratons un compte !

 J'ai utilisé des connaissances basiques pour tester la sécurité d'HabboCity. Je n'ai pas utilisé de logiciel de fou, simplement quelque connaissance en développement.

Pour obtenir le résultat que je vais vous dévoiler, j'ai attaqué le compte de NotAName par une attaque par force brute. Une attaque par force brute, c'est une attaque toute bête, elle va tester un certain nombre de mots de passe sur votre compte, jusqu'à trouver le bon. Plus votre mot de passe est compliqué, plus il sera difficile de le trouver via cette attaque.

Cependant, il existe de base, des techniques au niveau du code pour freiner complètement une attaque comme celle-ci. Comme, limiter les requêtes. Je n'ai pas capturé mon attaque en vidéo, cependant, toutes mes requêtes sont passées. Donc l'attaque, si je l'aurais laissé faire, aurait très bien pu casser le mot de passe d'un compte. 

 

Illustration d'une attaque par force brute sur le code pin.

 

Illustration du code utilisé lors de l'attaque, ce code est basique.

 

Oui mais mon compte dispose d'un code pin ! 

Màj du 30/10/2020: Le "bug" a été corrigé suite à la publication de cet article, le code pin dispose maintenant de 5 essais, cette fois stocké du côté des serveurs de HabboCity.

Admettons que je dispose de votre mot de passe (azerty1234), mais que vous ayez activé la protection par code pin. Je n'ai que théoriquement 3 essais pour trouver votre code, donc il m'est totalement impossible de faire une attaque par force brute sur la fonctionnalité du pin.

Sauf que, je peux très facilement me mettre des essais infinis. En effet, la fonctionnalité "code pin" de HabboCity enregistre un cookie au sein de votre navigateur qui s'appelle "tentativePin". En supprimant ce cookie, je dispose d'à nouveau 3 essais.

Plus dangereux encore, il est possible d'augmenter la limite d'essais, rendant une attaque par force brute entièrement possible et rapide, car le code pin est forcément un nombre entre 0000 et 9999. Pour illustrer ce que je dis, voici une vidéo. 

 

Impossible de revenir en étant banni de HabboCity ! 

Là encore, il est possible de revenir en étant banni de HabboCity. Un véritable cauchemar pour la modération. Les bannissements se basent sur 3 valeurs, soit le compte, soit l'adresse IP, soit la session. En effet, si un modérateur vous dit "je vais te macban", sachez qu'il est IMPOSSIBLE pour un site internet d'enregistrer votre adresse MAC.

L'adresse MAC est une adresse unique qui identifie votre machine, mais cette adresse n'est disponible qu’en "local", c’est-à-dire, uniquement depuis votre PC. Internet dans sa globalité, ne peut donc pas récupérer une information qui est directement mise sur votre ordinateur et qui lui est propre. De plus, sachez qu'on peut très facilement modifier une adresse MAC.

Mais alors, que banni "macban"? Elle bannira simplement votre session, c'est une valeur informatique qui n'a aucun sens quand on la lit, par exemple "zheua7548510zefAZDE50507#". Mais ce n'est pas une valeur de confiance. L'adresse IP, est elle aussi une valeur non fiable.

En effet, avec un VPN ou proxy, nous pouvons très facilement la modifier et pour les plus radicaux, éteindre et rallumer sa box internet, suffira à vous attribuer une nouvelle adresse IP. Il existe aussi une technique, que je ne développerai pas ici, qui ne permet pas d'être banni.

Cette technique envoi toute la connexion internet de votre ordinateur, vers un réseau fantôme comme Tor, changeant votre adresse IP a chaque connexion vers un site internet. Sympa non ? 

 

Cet article ne révèle que mes propres constatations, je n'ai pas creusé plus en profondeur. J'aurais très bien plus parler qu'il est possible d'injecter des valeurs totalement bidons au sein d'HabboCity, faisant crash son utilisateur, voire des joueurs. 

C'est la fin de cet article, j'espère vous avoir appris quelques trucs. Tu peux partager ton avis dans la zone des commentaires.

 

Legendary, fondateur.

Commentaires

Vous devez être connecté pour poster un commentaire.
Skalooth,

Pas mal comme article!
Neya,

J'aime beaucoup ton article !
Navenka,

C'est super intéressant, merci pour cet article 😙

Voir aussi