Cyberattaques
#1
faites attention
j'ai été victime d'un pirate informatique,(sphishing)
j'ai réagi ,j'ai fait le nécessaire auprès de mon fournisseur internet
ma boite de contact mail a été vidée totalement, le phénomène n’est pas nouveau, les cyberattaques représentent un risque important pour les particuliers et les services publics, nous devons protéger les données à caractère personnel. Je veux savoir quelles sont les bonnes précautions?

salutations à tous
Répondre
#2
Salut,

bon, perso, un "phishing" je n'appelle pas ça un "piratage". C'est comme confondre "se faire bonimenter par un vendeur peu scrupuleux" et "être victime d'un vol avec violence et effraction". Je ne sais pas trop ce qu'il faut entendre par "Faire le nécessaire auprès du FAI" car le FAI ne fera rien. Au mieux, ca se reporte à SignalSpam. Mais je ne connais pas les règles des FAI en Chine (parce que oui, ton IP d'inscription & de poste est chinoise, donc, je te range au passage dans les tentatives de SPAM, et je ne serai pas étonné de te voir revenir avec un prochain message ventant un taux de crédit immobilier ou un truc du genre).

Mais je laisse le sujet ouvert, car il permet de lancer la question des "cyber attaques" (les vraies): vous avez pris ça en compte dans vos jeux? Jusqu'où?
Répondre
#3
qu est ce qui se passe si purger spammer, ca perd le fil entier de discussion ?

je ne répondrai pas correctementà ta question car pas de jeu en prod ni même bien avancé qu'en conception 16

cependant
- choisir un bon hébergeur
- respecter les bonnes pratiques du code (pas comme facebook et les pwd en clair, hein)
- ne jamais demander (et le faire savoir) le mot de passe d'un utilisateur dans un mail etc... La seule solution c'est la demande de réinitialisation voire la double vérification (mais le sms ca doit couter non ? pour un jeu de chez nous c est peut être un peu cher)


après mon interrogation en ce moment, c est le RGPD. Je suis en ce moment le mooc de la cnil, et, y a un paquet de truc quand même à mettre en place , à rédiger,etc.. et ca pose pas mal de questions même quand on croit être un "bon élève respectueux".
Et c est vrai aussi pour un jeu (bon pas forcément bcp d'infos mais il faut afficher / signaler / communiquer les choses)
[WIP]projet Rivages
[WIP]projet Arthur (comme si ça suffisait pas d'un...)
Répondre
#4
Ah, si tu peux nous sortir une synthèse des points importants pour respecter la RGPD dans les jeux web, ça serait top comme resource 2 Même si c'est sous la forme d'un index qui référence d'autres ressources pour différents points de la RGPD
Répondre
#5
D'ailleurs, si vous avez des questions au sujet du RGPD, je peux tenter de répondre. Ayant été DPO dans mon ancien job, j'avions pas mal potassé à ce sujet...
Enfin, si j'ai un peu de temps libre.
Répondre
#6
Je n'ai pas vraiment de question spécifique autre que:
- Que faire pour être compliant sur son jeu web?
- Que risque-t-on si on n'est pas compliant?

Je te suggère @Prélude d'ouvrir un topic dédié pour ça dans la section tuto/ressources du forum (de mémoire); comme @Ter Rowan est modo, il pourra éditer ce 1er message et comme tu l'as écris Prélude, tu pourras aussi l'éditer au fil des éventuelles questions (posées sur Discord pour ne pas trop pourrir le topic du forum?)
Répondre
#7
pour les risques je ne sais pas trop (coté jeu web)

mais pour les grands principes

1) être transparent ==> tu mets une page en lien disponible et visible (trouvable facilement) qui répond à toutes les questions auxquelles tu vas répondre ci dessous

2) combien de temps tu gardes les données (idem il doit y avoir une raison, garder des données concernant des joueurs qui ne jouent pas depuis x années est injustifiées)

à mon avis personnel dans un jeu gratuit, une alerte mail au bout de 6 mois, disant que dans 6 mois, conformément à ta gestion des données personnelles, tu vas supprimer le compte si le joueur ne joue plus, et paf, au bout de 12 (6+6) mois sans activité, tu supprimes tout ce qui concerne le compte

3) quelles données tu récupères et pour en faire quoi (tout ce que tu ne dis pas ne doit pas être fait) et lesquelles sont obligatoires

genre la cnil donne un exemple qui m a marqué mais qui est révélateur du sujet :
pour un site pro, tu offres la possibilité de poser des questions à l'entreprise. L 'intérêt pour le site pro c est de récupérer des contacts, ici intéressés puisqu'ils font la démarche

et bien : nom et prénom ne doivent pas être obligatoires (tu n'en n'a pas besoin pour répondre à la question)
le mail est obligatoire (tu en as besoin pour répondre)

idem, les abonnements newsletter ==> tu peux proposer des news letter bien sûr mais
 - cela ne doit pas être obligatoire pour l'utilisation du service / jeu / etc
 - par défaut ca ne doit pas être coché

autre exemple l'age (ca peut servir pour les jeux adultes, etc...)
==> ne demande pas la date de naissance (jj/mm/aaaa) mais l'année de naissance
bon évidemment le côté oui mais je suis du 31/12/2001 je suis pas encore majeur, peut poser problème je ne sais pas trop le gérer.
l'objectif de l'année plutot que de la date, c'est pour rendre le plus "anonyme" possible l'activité de l'être humain


4) qui a accès aux données (genre mon listing de joueurs je le file à facebook, a amazon, etc.. --> déjà faudrait qu'il y ait une raison pour le faire en point 3)

5) comment moi utilisateur je modifie, fait modifier / supprimer mes données
au delà de la conservation (point 2) tu dois permettre et expliciter comment demander ce point. Et tu as un mois max pour le faire

bon y a vraiment bcp bcp de choses. Le mooc est très complet et compréhensible. Par contre y a une telle masse d'informations que la difficulté est plus "tout savoir tout faire" que comprendre ce que dit la cnil
[WIP]projet Rivages
[WIP]projet Arthur (comme si ça suffisait pas d'un...)
Répondre
#8
Citation : bon évidemment le côté oui mais je suis du 31/12/2001 je suis pas encore majeur, peut poser problème je ne sais pas trop le gérer.
Majorité considérée à 19 ans? : ) Mais sinon, la solution IMO est d'avoir simplement une checkbox "Je certifie être majeur", puisque c'est ce dont le jeu a besoin (de ce que je comprends, c'est ce principe de démarche qu'il faut appliquer)

Okay, je tâcherai de m'y attarder un peu plus sur ECLERD (bon, franchement, je pense être quand même dans les clous de base, puisqu'à part un pseudo et un mdp, on n'a besoin de rien d'autre pour jouer et je n'ai pas de collecte de stats autres que celles du serveur [type nb de hits])

Merci du lien! : )
Répondre
#9
(04-23-2019, 02:15 PM)Xenos a écrit :
Citation : bon évidemment le côté oui mais je suis du 31/12/2001 je suis pas encore majeur, peut poser problème je ne sais pas trop le gérer.
Majorité considérée à 19 ans? : ) Mais sinon, la solution IMO est d'avoir simplement une checkbox "Je certifie être majeur", puisque c'est ce dont le jeu a besoin (de ce que je comprends, c'est ce principe de démarche qu'il faut appliquer)
c est là que ca dépend (du jeu ou autre chose)

imagine un jeu qui débloque des fonctionnalités en fonction de l'âge (toutes les catégories pegi)

imagine un joueur de 11 ans qui joue

au départ il a accès aux fonctionnalités de base
on va pas lui demander tous les x mois, de certifier qu'il a (ou pas) 12 ans, 14 16 18 ans
c est là que c est un peu compliqué

évidemment on peut dire il va dans son profil et il coche quand il change (toujours dans l'hypothèse d'honnêteté, dans tous les cas hypocrisie, même une date de naissance ca se gruge...)
mais faut qu'il y pense, faut qu'il sache que hey t as 14 ans tu peux aller dans le monde xxx pour tuer des gens (je dis au pif) avec du sang qui gicle (un peu, pas trop, après faut avoir 16) etc...

note y a pas de bonne solution.
Le pire c est que j appliquerais naturellement, sans contrainte, tous les grands principes s'il n'y a avait pas de loi. Et cette loi n'existe que parce que des ...... exploitent pour des raisons qui ne font pas partie de ma morale des données personnelles

d'un autre coté on devrait mettre dans la loi que les mots de passe ne devraient pas être stockés en clair (non je ne site pas de grande société qui oh mon dieu gère n'importe comment les données personnelles et les mots de passe 16 )
[WIP]projet Rivages
[WIP]projet Arthur (comme si ça suffisait pas d'un...)
Répondre
#10
Oui, dans un tel cas il devient donc "justifié" de demander la date de naissance plutôt que l'année (ou plutôt que juste "je suis majeur")

Le stockage des mots de passe en clair, c'est déjà dans la "loi" je crois: on est tenu par la CNIL et l'ANSII (et la RGPD) de mettre en oeuvre les mesures appropriées pour protéger les données personnelles des accès non-autorisés. Si le mot de passe est en clair et que cela permet à un pirate d'aller se connecter sur le jeu ou sur un autre site d'où il tirera les données personnelles, alors ça sera pour ta pomme de mauvais codeurs : )
Répondre




Utilisateur(s) parcourant ce sujet : 1 visiteur(s)