Je vais donner un complément d'information sur l'enquête qui a été menée.
La première chose que j'ai fait c'est bien évidement de vérifier l'IP du "tricheur/voleur/pirate". Une IP free mobile qui en l'état ne donne pas l'identité de celui qui la possède.
En fait, ce qui m'as mis sur une piste c'est l'utilisation d'une commande reservée aux GM pour lister les membres d'une guilde. La commande avais été lancée quelques minutes avant l'usurpation des comptes et concerne précisement la guilde des 2 comptes piratés.
J'avais du mal à croire à une simple coincidence, surtout qu'aucune autre guilde n'avais été scannée...
J'ai donc d'abord penser à un CSR avant de découvrir que c'était Glorf via son compte RF (ce que d'autres CSR avaient aussi découvert)
J'ai donc pris l'ensemble des logs d'acces à l'app_admin (une app webig reservée aux GM/SGM afin d'obtenir des informations pratiques sur les personnages) de manière a reproduire précisement l'historique.
Et l'ensemble des actions se concentrait essentiellement sur les personnages des comptes usurpés, principalement avant le vol.
J'ai dans un premier temps pu obtenir les faits suivant :
1 - Glorf a pu connaitre le compte associé aux personnages volés. Assez difficile autrement.
2 - Il a passer largement plus de temps sur l'app_admin à consulter les personnages volés que les autres personnages. (Ce qui peut s'expliquer par le grand nombre d'items vendus au black market et donc un plus grand interet pour Caellan / Diwlawen)
3 - Il a fais une rechercher sur les tickets de Caellan (du moins les ticket GM qui sont les tickets techniques sans aucune information personnelle). Mais aucune recherche sur les autres personnages. Aucune idée de la raison...
4 - Plusieurs fois déjà il avait préférer prouver une faille de sécurité en l'exploitant publiquement avant de nous en faire part. J'ai donc d'abord penser à la même façon de faire que précedement (surtout qu'il devais pertinement savoir que le contenu serait restauré)
Ayant le suspect idéal et ne pouvant prouver de manière absolue que les 2 IPs lui appartenaient j'ai donc chercher des preuves de sont innocence. Un fait qui prouverai qu'il n'as pas pu commetre le vol.
1 - J'ai émis l'hypothèse que les 2 IPs étaient géographiquement trop éloignés
Après prise de contact avec un responsable sécurité d'OVH, j'ai pu obtenir quelques tuyaux assez sympas. Bien qu'il soit impossible de connaitre le propriétaire d'une IP, OVH ont un système de géolocalisation IP pas mal. Et ils ont pu me confirmer que l'ip de Glorf et celle du Tricheur étaient proche géographiquement (de l'ordre d'un quartier de Paris)
=> Hypothèse refutée
2 - J'ai émis l'hypothèse que pendant le laps de temps du vol de compte, Glorf avais fais autre chose.
J'ai donc scanner les logs du webig, rocketchat, serveur de facturation, etc. mais rien du tout. Il y a un trou sans aucune activité...
=> Hypothèse refutée
3 - Un autre hypothèse était que la machine utilisé par le "tricheur" n'étais pas l'une de celles utilisées par Glorf.
Pour vérifier mon hypothèse j'ai utilisé les logs de l'app_support. Il faut savoir que chaque fois que l'on se connecte au jeu, un ensemble d'informations sur la machine (CPU,Mémoire, CG, IP Locale, Capacités Réseaux, etc...) sont envoyés au support. Ces informations à propos de la machine sont à peu prêt les mêmes que pour les rapports de plantage ou lorsque l'on envoi un ticket. Elle servent à identifier un problème plus facilement en fonction de la plateforme, version et configuration du PC (Bien que l'outil de base ne fonctionnant plus, personne ne consulte plus vraiment ces logs... mais ils sont là depuis 2008 !)
Et malheureusement, même cette hypothèse était fausse. La machine utilisée par le "voleur" était en tout point identique à l'une de celles utilisée avec l'IP de Glorf.
=> Hypothèse refutée
4 - J'ai émis enfin la dernière hypthèse selon laquelle un autre joueur avec une IP proche de celles du voleur avait la même config PC.
J'ai donc lancer une recherche sur l'ensemble des logs de 2016-2017 afin de trouver d'autres configurations équivalentes. La machine ayant une config musclée mais une carte graphique modeste (une machine de dev a priori donc), seuls 2 ips différentes ont correspondu. Et sur les 2 ips aucune n'était Française...
=> Hypothèse refutée
Au vu des nombreuses preuves il est clairement difficile de croire que Glorf ai pu avoir une telle malchance où toutes les preuves l'accablent et rien ne puisse l'innocenté.
Toutefois, nous parlons ici bien du compte Glorf et non de la personne physique. De fait, il est juste impossible de savoir qui à pu utiliser son compte. Si le compte a été à un moment partagé il est tout à fait possible que ce soit l'autre joueur qui ai commis les infractions avec une machine sur laquelle il avais déjà co le compte de Glorf...
Une certaine méfiance interne, des "j'ai entendu que..." et certains amalgames nous ont pousser à jouer la carte de la transparence. Mon post arrive un peu tard mais je n'ai pas pu le faire avant la priorité étant la sécurité des comptes et que pour le coup j'ai été pas mal occupé.
La première chose que j'ai fait c'est bien évidement de vérifier l'IP du "tricheur/voleur/pirate". Une IP free mobile qui en l'état ne donne pas l'identité de celui qui la possède.
En fait, ce qui m'as mis sur une piste c'est l'utilisation d'une commande reservée aux GM pour lister les membres d'une guilde. La commande avais été lancée quelques minutes avant l'usurpation des comptes et concerne précisement la guilde des 2 comptes piratés.
J'avais du mal à croire à une simple coincidence, surtout qu'aucune autre guilde n'avais été scannée...
J'ai donc d'abord penser à un CSR avant de découvrir que c'était Glorf via son compte RF (ce que d'autres CSR avaient aussi découvert)
J'ai donc pris l'ensemble des logs d'acces à l'app_admin (une app webig reservée aux GM/SGM afin d'obtenir des informations pratiques sur les personnages) de manière a reproduire précisement l'historique.
Et l'ensemble des actions se concentrait essentiellement sur les personnages des comptes usurpés, principalement avant le vol.
J'ai dans un premier temps pu obtenir les faits suivant :
1 - Glorf a pu connaitre le compte associé aux personnages volés. Assez difficile autrement.
2 - Il a passer largement plus de temps sur l'app_admin à consulter les personnages volés que les autres personnages. (Ce qui peut s'expliquer par le grand nombre d'items vendus au black market et donc un plus grand interet pour Caellan / Diwlawen)
3 - Il a fais une rechercher sur les tickets de Caellan (du moins les ticket GM qui sont les tickets techniques sans aucune information personnelle). Mais aucune recherche sur les autres personnages. Aucune idée de la raison...
4 - Plusieurs fois déjà il avait préférer prouver une faille de sécurité en l'exploitant publiquement avant de nous en faire part. J'ai donc d'abord penser à la même façon de faire que précedement (surtout qu'il devais pertinement savoir que le contenu serait restauré)
Ayant le suspect idéal et ne pouvant prouver de manière absolue que les 2 IPs lui appartenaient j'ai donc chercher des preuves de sont innocence. Un fait qui prouverai qu'il n'as pas pu commetre le vol.
1 - J'ai émis l'hypothèse que les 2 IPs étaient géographiquement trop éloignés
Après prise de contact avec un responsable sécurité d'OVH, j'ai pu obtenir quelques tuyaux assez sympas. Bien qu'il soit impossible de connaitre le propriétaire d'une IP, OVH ont un système de géolocalisation IP pas mal. Et ils ont pu me confirmer que l'ip de Glorf et celle du Tricheur étaient proche géographiquement (de l'ordre d'un quartier de Paris)
=> Hypothèse refutée
2 - J'ai émis l'hypothèse que pendant le laps de temps du vol de compte, Glorf avais fais autre chose.
J'ai donc scanner les logs du webig, rocketchat, serveur de facturation, etc. mais rien du tout. Il y a un trou sans aucune activité...
=> Hypothèse refutée
3 - Un autre hypothèse était que la machine utilisé par le "tricheur" n'étais pas l'une de celles utilisées par Glorf.
Pour vérifier mon hypothèse j'ai utilisé les logs de l'app_support. Il faut savoir que chaque fois que l'on se connecte au jeu, un ensemble d'informations sur la machine (CPU,Mémoire, CG, IP Locale, Capacités Réseaux, etc...) sont envoyés au support. Ces informations à propos de la machine sont à peu prêt les mêmes que pour les rapports de plantage ou lorsque l'on envoi un ticket. Elle servent à identifier un problème plus facilement en fonction de la plateforme, version et configuration du PC (Bien que l'outil de base ne fonctionnant plus, personne ne consulte plus vraiment ces logs... mais ils sont là depuis 2008 !)
Et malheureusement, même cette hypothèse était fausse. La machine utilisée par le "voleur" était en tout point identique à l'une de celles utilisée avec l'IP de Glorf.
=> Hypothèse refutée
4 - J'ai émis enfin la dernière hypthèse selon laquelle un autre joueur avec une IP proche de celles du voleur avait la même config PC.
J'ai donc lancer une recherche sur l'ensemble des logs de 2016-2017 afin de trouver d'autres configurations équivalentes. La machine ayant une config musclée mais une carte graphique modeste (une machine de dev a priori donc), seuls 2 ips différentes ont correspondu. Et sur les 2 ips aucune n'était Française...
=> Hypothèse refutée
Au vu des nombreuses preuves il est clairement difficile de croire que Glorf ai pu avoir une telle malchance où toutes les preuves l'accablent et rien ne puisse l'innocenté.
Toutefois, nous parlons ici bien du compte Glorf et non de la personne physique. De fait, il est juste impossible de savoir qui à pu utiliser son compte. Si le compte a été à un moment partagé il est tout à fait possible que ce soit l'autre joueur qui ai commis les infractions avec une machine sur laquelle il avais déjà co le compte de Glorf...
Une certaine méfiance interne, des "j'ai entendu que..." et certains amalgames nous ont pousser à jouer la carte de la transparence. Mon post arrive un peu tard mais je n'ai pas pu le faire avant la priorité étant la sécurité des comptes et que pour le coup j'ai été pas mal occupé.