Article rédigé par Bee-noit 

C’est il y a quelques jours que j’ai découvert une faille de sécurité et personne ne l’avait remarqué, sauf les personnes malveillantes… et pour cause ! Cela fait quelques mois maintenant, une nouvelle application Habbo sur iPad et iPhone a fait son apparition sur les mobiles et tablettes. Semaine après semaines, ces applications sont améliorées, des fonctions sont ajoutées, dont une qui est assez récente : la possibilité d’échanger des mobis.Retournons un peu plus en arrière… Il y a plus de deux ans de cela, un nouveau système de sécurité assez simple mais très pratique s’installait sur tous les hôtels : les questions de sécurité. MTC vous avait présenté ce système dans un article rédigé par samyland. Ce système bloquait tout échange de mobi, changements d’emails, de mots de passe, etc si vous ne donniez pas les réponses aux questions établies par le propriétaire du compte.

Revenons au présent, et voyons pourquoi j’ai mélangé ces 2 sujets… Vous l’aurez peut-être remarqué, lorsque vous vous connectez sur Habbo via l’application, les questions de sécurité ne vous sont pas posées, entraînant ainsi l’insécurité totale du compte ! En effet, si quelqu’un parvient à trouver votre email et votre mot de passe, cette personne aura simplement à se connecter via son iPad ou Iphone et pourra voler la totalité de vos mobis et prendre le contrôle de votre compte !Sulake semble ne pas avoir remarqué cette faille de sécurité qui est assez conséquente et mérite d’être corrigée au plus vite. Nous vous montrons en images la démonstration : 

• Etape n°1 : J’ai activé le système de protection et je me connecte sur mon Iphone en 3G

Comme vous le savez, le système de protection des comptes fonctionne en fonction de l’IP de l’utilisateur. Si l’IP de l’utilisateur est différent de celle de l’IP utilisée pour configurer le système de protection, cette dernière s’active automatiquement en cas d’intrusion.

Après connexion, je me rend compte qu’aucun message n’apparaît pour me signaler que mon compte est bloqué. Pourtant, j’utilise la 3G de mon téléphone. Mon adresse IP doit être différent de celui de ma connexion internet à domicile. 

• Etape n°2 : Simulation d’un échange entre le « compte hacké » et le « hackeur »

Samyland et moi avons testé pour savoir si le système de protection des comptes est activé. Nous avons effectué l’échange (1 canard contre 3 pièces de bronze). Voici le résultat : 

Surprise, surprise l’échange s’est effectué avec succès. Nous en concluons que le système de protection des comptes présente une faille de sécurité importante. 

•  Etape n°3, je me reconnecte sur la version WEB d’Habbo

Aucun message n’apparaît sur la page d’accueil. Pourtant, le système de protection du compte a été activé. Cela prouve que je ne peux pas savoir quelqu’un s’est véritablement connecté sur Habbo par l’intermédiaire de son iPad ou son iPhone.

Quelques conseils de sécurité

En attendant, nous vous conseillons de changer votre mot de passe SI celui actuel est par exemple le prénom de votre chien ou chat, votre prénom ou votre code postal  car ce ne sont pas des mots de passe sécurisés ! Un mot de passe sécurisé commence lorsqu’il y a minimum
8 caractères comprenant chiffres, lettres et même symboles !

De plus, pour les utilisateurs de Windows, munissez d’un bon antivirus. N’allez pas sur des liens douteux, des sites de phishings et n’acceptez pas de fichier suspect. Un keylogger peut très bien s’y trouver afin de subtiliser vos informations personnelles. 

Soyez donc très prudents ! En espérant que Sulake règle vite ce problème.

Mange Ton Article !