Avec ces petits montants de rémunération cela ne m'étonne pas qu'un white hat puisse facilement passer en grisé voir même du côté obscur de la force.... Cette société qui te soulève des milliards, avec un potentiel de perdre des millions sur certaines failles te donne enfin compte des cacahouètes à la fin et celà n'est pas très honnête non plus.... Chapeau gris les compagnies....
7500€ c’est vraiment peanuts sir des millions de jeux vendu, la prime aurait pu etre plus élevée parce que le prochain qui va profiter de ce genre de faille va bien se servir avant
La différence fondamentale entre un white hat et ce que tu appelles un "black hat", réside dans leur motivation et leur approche vis-à-vis de la sécurité informatique. Ce n'est pas vraiment une question d'être white hat qui bascule black hat, la plupart des bonnes personnes le resteront peu importe les circonstances. Les white hat sont white hat, car ce sont des gens passionnés d'informatique, et pratiquent même s'ils ne gagne rien car ils ne sont pas là pour l'argent à la base. Si tu vois un white basculer black "parce que les entreprises ne payent pas assez", non ce n'est pas ça, c'est juste qu'il est déjà mauvais et avide d'argent de base, et trouve une excuse pour faire du mal. Personne ne l'a forcé à faire quoi que ce soit.
Merci pour la vidéo ! Super intéressant ! Ça aurait été cool d'avoir une partie "comment steam aurait pu se protéger ?" J'imagine que là, ils ont changé leur façon de vérifier les paramètres
comment ? ben je sais pas il y a plein de solution... du genre la première qui règle tout immédiatement sans se poser de question c'est de chiffrer les données du POST en utilisant comme clé un token API du service de paiement en question. car oui la faille est selon moins partagée entre steam et smaetr2pay. Je pense que c'est même ce service de paiement qui est responsable de la faille car c'est en générale le client qui DOIT se plier aux exigences stupide des prestataires de paiement (les données doivent être de tel forma en clair etc....) et comme cet intermédiaire rajoute son filtre, je suppose qu'il ne renvoi à steam qu'un "paiement OK" alors qu'il devrait plutôt envoyer un "paiement de X euros OK" et ensuite à steam de vérifier que le montant X payé correspond bien à Y qui était attendu . je ne peux pas tester j'ai un litige en cours avec mon dernier achat steam lol.
C'est vrai que j'aurais pu faire une partie sur comment ils ont corrigé ça. Au moment où le bug est sorti, ils l'ont corrigé vraiment très rapidement, je ne sais pas trop par quel moyen, mais sûrement en re-validant les montants payés de leur côté au lieu de regarder uniquement si la commande a été payée Aujourd'hui, de mémoire, il me semble que Steam ne passe plus par Smart2Pay (en tout cas côté front, ils passent peut-être par eux côté back)
2:54 sauf erreur de ma part, en MD5 si c'est possible. Ça s'appelle des collisions et c'est la raison pour laquelle on a arrêté de l'utilisé au profit de d'autres systèmes de hash.
Yes, c'est possible, et même facile à faire C'est même théoriquement possible avec toutes les fonctions de hachage J'ai fais une vidéo sur l'attaque des anniversaires, qui est plus un principe qu'une attaque, mais qui montre que finalement, trouver une collision sur un système de hachage, c'est moins compliqué qu'il n'y paraît
Y'a pourtant une erreur, une sortie peut provenir d'une infinité d'entrée, contrairement a ce qui est dit. Ce n'est pas très grave pour cette vidéo, mais pour des élèves, c'est mieux de rectifier.
excellente vidéo... une petite remarque qui personnellement m'a fait tiquer à 3:35 propriété n°2: deux entréeS on met un S pareil deux sortieS .. ça ce trouve c'est pour ça qu'on t'a pas payé 7000€ (je suis méchant 😈😈), n'empêche l'entreprise elle a de la chance que tu ne cherches pas que le profit et que tu sois éthique
Il a raconté une histoire, c'est pas du tout lui qui a trouvé le bug. Pour un mec aussi condescendant, ta même pas compris la vidéo Petite faute sur ton message : ça ce trouve => ça se trouve ça se trouve, c'est pour ça que tu n'as pas compris la vidéo (je suis méchant 😈😈)
je viens de voir la vidéo c'etait tres clair mais j'avais une question,sachant que la fonction de hachage donne toujours la meme sortie si on a la meme entrée pourquoi ne pas acheter un jeu avec un amount de 1000 prendre la signature la copier et l'uitiliser pour baisser le prix de 2000 à 1000. Je me demande si cela etait aussi une possibilité
Ça aurait pu, mais le soucis c'est qu'en entrée de la signature il y a aussi l'ID de la transaction qu'on effectue : en achetant un autre jeu, on effectue une nouvelle transaction qui aura un id différent, donc la signature ne sera pas validé non plus
Le hash fonctionne toujours comme une balance de poids binaire ? Il serait donc possible de faire péter un hash en trouvant le lien entre des hash qui ont ma même signature? J'imagine que ce n'est pas aussi facile...
Si tu trouves une entrée qui donne le même hash que celui de ton mot de passe, alors on considère que l'algorithme de hashage cryptographique n'est plus fiable (ça s'appelle une collision de hash) C'est le cas de plusieurs algorithmes, comme MD5 qui est utilisé dans cette vidéo pour les exemples Dans la pratique, les algorithmes sont étudiés pour que ça n'arrive pas (même si mathématiquement, c'est impossible qu'il n'y ait pas de collisions sur un algorithme de hashage puisque l'ensemble d'entrée possible est infini alors que l'ensemble de sortie possible est fini)
faille critique = 7500$ MDRRR alors que valve/steam brasse le milliard a l'année. 100k aurait été plutot juste pour changer la vie du hacker et eviter de gros soucis a valve si il partagais l'info
Pour la propriété 2 ce n'est pas tout a fait correct : il y a un nombre fini de sorties (car leur taille est fixe) mais un nombre infini d'entrées (car taille variable) donc il y plus d'entrées que de sorties, et forcément plusieurs entrées doivent donner la même sortie (ce qu'on appelle une collision). Plus correct serait de dire que la probabilité d'avoir un tel cas est extrêmement faible (mais pas impossible). Aussi : le hack aurait probablement pu passer inaperçu pour un seul individu mais a grande echelle, quelqu'un aurait forcement remarqué quelque chose (si il manque des dizaines de milliers d'euros ca fini par se voir).
Yes, mais complexe à expliquer sans perdre l'attention des gens, mais comme je le disais en réponse d'un autre commentaire, effectivement c'est mathématiquement impossible que cette propriété soit valide. Mais on considère que tant qu'on ne trouve pas de collisions, l'algorithme reste cryptographiquement sûr. Pour le hack, je suis d'accord avec toi, c'est exploitable pour un hacker non éthique s'il n'est pas trop gourmand
Pour être encore plus précis, ce n'est pas la probabilité d'avoir une collision qui est extrêmement faible. Ce qui est extrêmement faible c'est la probabilité d'avoir une collision avec des "entrées pertinentes". Si on prends l'exemple d'une signature de paramètre, ce qui va être extrêmement rare, c'est de pouvoir avoir des autres paramètres valides ayant la même signature. Mais reussir à trouvé une autre entrée avec la même signature c'est possible, mais ça ne servirait à rien.
Excellent !! Enfin slmt 7500 $ pr une faille de cette importance ?!! Steam fait des millions chaque année. 'tain les chiens ces méga corpo ka mm. La prochaine fois le gars y réfléchira à 2x fois avant de révéler la faille.
lol steam c'est pas en millions que ça se compte c'est en MILLIARDS !!!!!!!!! alors oui et non c'est pas assez mais c'était quand même facilement détectable de leur côté si quelqu'un en avait abusé. il y a forcément des alertes sur les gros mouvements d'argent, ne serait que pour respecter la réglementation bancaire kyc/aml. et ne pas oublier que la faute est partagé entre Steam et l'intermédiaire de paiement smart2pay. les 2 sont en tord mais seulement steam a payé
Pour info : quand tu mets un commentaire aussi agressif, justifie un peu. Je vais le faire pour toi, histoire que les gens comprennent : c'est mathématiquement faux car il y a un nombre d'entrée infini, et un nombre de sortie fini. Donc effectivement, il y a forcément des entrées différentes qui donneront des sorties identiques. C'est ce qu'on appelle une collision. Maintenant, ici comme tu peux le voir, on ne parle pas de mathématiques, mais de propriété qui fait qu'on peut considérer une fonction de hachage comme une fonction de hachage cryptographique. Et le fait de me pas avoir de collisions connues en fait parti. Je ne sais pas si c'est complètement stupide mais une bonne partie de la cryptographie moderne est basé sur ça.
@@hackintux5813 N'y vois pas d'agressivité ni d'animosité, juste de l'objectivité et de la sincérité. Si ta vidéo était inintéressante je n'aurai pas pris la peine de la commenter.
Yes, mais compliqué à expliquer sans perdre tout le monde. Le plus simple que j'ai trouvé pour pas m'engager dans des discours trop longs, c'est de dire que ce n'est pas possible de trouver deux hash identiques. C'est pas exact mathématiquement parlant, mais cette propriété est vraie pour les fonctions de hashage cryptographique : tant qu'aucune collision n'a été trouvé, cela reste une fonction de hachage crypto. Le jour où une collision est trouvée pour un algo de hachage, cette propriété n'est plus valide, donc ce n'est plus une fonction de hachage crypto
C'est quand même une récompense tres tres basse pour un bug absolument critique sur une plateforme enorme.
Je go m'abonner sans réfléchir. C'est rare les chaînes de ce genre intéressantes. Encore plus du côté fr !
Avec ces petits montants de rémunération cela ne m'étonne pas qu'un white hat puisse facilement passer en grisé voir même du côté obscur de la force.... Cette société qui te soulève des milliards, avec un potentiel de perdre des millions sur certaines failles te donne enfin compte des cacahouètes à la fin et celà n'est pas très honnête non plus.... Chapeau gris les compagnies....
7500€ c’est vraiment peanuts sir des millions de jeux vendu, la prime aurait pu etre plus élevée parce que le prochain qui va profiter de ce genre de faille va bien se servir avant
La différence fondamentale entre un white hat et ce que tu appelles un "black hat", réside dans leur motivation et leur approche vis-à-vis de la sécurité informatique.
Ce n'est pas vraiment une question d'être white hat qui bascule black hat, la plupart des bonnes personnes le resteront peu importe les circonstances.
Les white hat sont white hat, car ce sont des gens passionnés d'informatique, et pratiquent même s'ils ne gagne rien car ils ne sont pas là pour l'argent à la base.
Si tu vois un white basculer black "parce que les entreprises ne payent pas assez", non ce n'est pas ça, c'est juste qu'il est déjà mauvais et avide d'argent de base, et trouve une excuse pour faire du mal. Personne ne l'a forcé à faire quoi que ce soit.
Toujours aussi clair et accessible tout en étant intéressant ! Merci.
Merci à toi ! ;)
Merci pour la vidéo ! Super intéressant !
Ça aurait été cool d'avoir une partie "comment steam aurait pu se protéger ?"
J'imagine que là, ils ont changé leur façon de vérifier les paramètres
ben la faille concerne en réalité 2 acteurs, steam qui envoi des paramètres en clair et smart2pay qui est un services de paiement tiers.
comment ? ben je sais pas il y a plein de solution... du genre la première qui règle tout immédiatement sans se poser de question c'est de chiffrer les données du POST en utilisant comme clé un token API du service de paiement en question. car oui la faille est selon moins partagée entre steam et smaetr2pay.
Je pense que c'est même ce service de paiement qui est responsable de la faille car c'est en générale le client qui DOIT se plier aux exigences stupide des prestataires de paiement (les données doivent être de tel forma en clair etc....) et comme cet intermédiaire rajoute son filtre, je suppose qu'il ne renvoi à steam qu'un "paiement OK" alors qu'il devrait plutôt envoyer un "paiement de X euros OK" et ensuite à steam de vérifier que le montant X payé correspond bien à Y qui était attendu .
je ne peux pas tester j'ai un litige en cours avec mon dernier achat steam lol.
C'est vrai que j'aurais pu faire une partie sur comment ils ont corrigé ça. Au moment où le bug est sorti, ils l'ont corrigé vraiment très rapidement, je ne sais pas trop par quel moyen, mais sûrement en re-validant les montants payés de leur côté au lieu de regarder uniquement si la commande a été payée
Aujourd'hui, de mémoire, il me semble que Steam ne passe plus par Smart2Pay (en tout cas côté front, ils passent peut-être par eux côté back)
Merci, dommage que tu fasses si peu de vidéos, car elles sont toutes très intéressantes.
Merci beaucoup pour ton commentaire !
Je vais essayer d'en faire plus souvent, en tout cas je vais en faire plus que l'année dernière c'est certain
2:54 sauf erreur de ma part, en MD5 si c'est possible. Ça s'appelle des collisions et c'est la raison pour laquelle on a arrêté de l'utilisé au profit de d'autres systèmes de hash.
Yes, c'est possible, et même facile à faire
C'est même théoriquement possible avec toutes les fonctions de hachage
J'ai fais une vidéo sur l'attaque des anniversaires, qui est plus un principe qu'une attaque, mais qui montre que finalement, trouver une collision sur un système de hachage, c'est moins compliqué qu'il n'y paraît
Très intéressant comme vidéo, et très bien présenté, je m'abonne et je vais partager la vidéo en te souhaitant plus de succès
Merci, belle explication de la Fonction de hachage, je vais proposer cette vidéo à mes élèves en informatique pour leur culture générale info :)
derien pascal
Y'a pourtant une erreur, une sortie peut provenir d'une infinité d'entrée, contrairement a ce qui est dit.
Ce n'est pas très grave pour cette vidéo, mais pour des élèves, c'est mieux de rectifier.
Mon gars tu es captivant, merci !
excellente vidéo... une petite remarque qui personnellement m'a fait tiquer à 3:35 propriété n°2: deux entréeS on met un S pareil deux sortieS .. ça ce trouve c'est pour ça qu'on t'a pas payé 7000€ (je suis méchant 😈😈), n'empêche l'entreprise elle a de la chance que tu ne cherches pas que le profit et que tu sois éthique
Il a raconté une histoire, c'est pas du tout lui qui a trouvé le bug.
Pour un mec aussi condescendant, ta même pas compris la vidéo
Petite faute sur ton message :
ça ce trouve => ça se trouve
ça se trouve, c'est pour ça que tu n'as pas compris la vidéo (je suis méchant 😈😈)
fin de la vidéo, il parle de son expérience de bug bounty a lui ^^ @@Catif8
@@Catif8 don't feed the troll qu'on dit 😘😘
je viens de voir la vidéo c'etait tres clair mais j'avais une question,sachant que la fonction de hachage donne toujours la meme sortie si on a la meme entrée pourquoi ne pas acheter un jeu avec un amount de 1000 prendre la signature la copier et l'uitiliser pour baisser le prix de 2000 à 1000. Je me demande si cela etait aussi une possibilité
Ça aurait pu, mais le soucis c'est qu'en entrée de la signature il y a aussi l'ID de la transaction qu'on effectue : en achetant un autre jeu, on effectue une nouvelle transaction qui aura un id différent, donc la signature ne sera pas validé non plus
Hackintux, le retour
Le hash fonctionne toujours comme une balance de poids binaire ?
Il serait donc possible de faire péter un hash en trouvant le lien entre des hash qui ont ma même signature?
J'imagine que ce n'est pas aussi facile...
Si tu trouves une entrée qui donne le même hash que celui de ton mot de passe, alors on considère que l'algorithme de hashage cryptographique n'est plus fiable (ça s'appelle une collision de hash)
C'est le cas de plusieurs algorithmes, comme MD5 qui est utilisé dans cette vidéo pour les exemples
Dans la pratique, les algorithmes sont étudiés pour que ça n'arrive pas (même si mathématiquement, c'est impossible qu'il n'y ait pas de collisions sur un algorithme de hashage puisque l'ensemble d'entrée possible est infini alors que l'ensemble de sortie possible est fini)
Merci pour ta réponse, donc ce n'est qu'une question de moyen ici.
Très intéressant :)
Très intéressant !
Peut tu faire une vidéo pour installer Mobile Verification Toolkit (MVT), sur android, stp, il y a pas de tuto en français
Excellent !
faille critique = 7500$ MDRRR alors que valve/steam brasse le milliard a l'année. 100k aurait été plutot juste pour changer la vie du hacker et eviter de gros soucis a valve si il partagais l'info
c'est ou pour changer ?
Hop un abonné en plus
J'ai capté mais c vrmnt un génie ce hacker
super video
Pour la propriété 2 ce n'est pas tout a fait correct : il y a un nombre fini de sorties (car leur taille est fixe) mais un nombre infini d'entrées (car taille variable) donc il y plus d'entrées que de sorties, et forcément plusieurs entrées doivent donner la même sortie (ce qu'on appelle une collision). Plus correct serait de dire que la probabilité d'avoir un tel cas est extrêmement faible (mais pas impossible). Aussi : le hack aurait probablement pu passer inaperçu pour un seul individu mais a grande echelle, quelqu'un aurait forcement remarqué quelque chose (si il manque des dizaines de milliers d'euros ca fini par se voir).
Yes, mais complexe à expliquer sans perdre l'attention des gens, mais comme je le disais en réponse d'un autre commentaire, effectivement c'est mathématiquement impossible que cette propriété soit valide. Mais on considère que tant qu'on ne trouve pas de collisions, l'algorithme reste cryptographiquement sûr.
Pour le hack, je suis d'accord avec toi, c'est exploitable pour un hacker non éthique s'il n'est pas trop gourmand
Pour être encore plus précis, ce n'est pas la probabilité d'avoir une collision qui est extrêmement faible.
Ce qui est extrêmement faible c'est la probabilité d'avoir une collision avec des "entrées pertinentes".
Si on prends l'exemple d'une signature de paramètre, ce qui va être extrêmement rare, c'est de pouvoir avoir des autres paramètres valides ayant la même signature. Mais reussir à trouvé une autre entrée avec la même signature c'est possible, mais ça ne servirait à rien.
Excellent !! Enfin slmt 7500 $ pr une faille de cette importance ?!! Steam fait des millions chaque année. 'tain les chiens ces méga corpo ka mm. La prochaine fois le gars y réfléchira à 2x fois avant de révéler la faille.
lol steam c'est pas en millions que ça se compte c'est en MILLIARDS !!!!!!!!! alors oui et non c'est pas assez mais c'était quand même facilement détectable de leur côté si quelqu'un en avait abusé. il y a forcément des alertes sur les gros mouvements d'argent, ne serait que pour respecter la réglementation bancaire kyc/aml. et ne pas oublier que la faute est partagé entre Steam et l'intermédiaire de paiement smart2pay. les 2 sont en tord mais seulement steam a payé
Awesome
2:43 c'est faux (et complètement stupide)
D'accord :)
Pour info : quand tu mets un commentaire aussi agressif, justifie un peu.
Je vais le faire pour toi, histoire que les gens comprennent : c'est mathématiquement faux car il y a un nombre d'entrée infini, et un nombre de sortie fini. Donc effectivement, il y a forcément des entrées différentes qui donneront des sorties identiques. C'est ce qu'on appelle une collision.
Maintenant, ici comme tu peux le voir, on ne parle pas de mathématiques, mais de propriété qui fait qu'on peut considérer une fonction de hachage comme une fonction de hachage cryptographique. Et le fait de me pas avoir de collisions connues en fait parti.
Je ne sais pas si c'est complètement stupide mais une bonne partie de la cryptographie moderne est basé sur ça.
@@hackintux5813 N'y vois pas d'agressivité ni d'animosité, juste de l'objectivité et de la sincérité. Si ta vidéo était inintéressante je n'aurai pas pris la peine de la commenter.
c'est un genie
Bah non c'est pas vrai, il est possible que deux chaines ai la même hash, par contre bon courage pour en trouver deux identique
Yes, mais compliqué à expliquer sans perdre tout le monde. Le plus simple que j'ai trouvé pour pas m'engager dans des discours trop longs, c'est de dire que ce n'est pas possible de trouver deux hash identiques.
C'est pas exact mathématiquement parlant, mais cette propriété est vraie pour les fonctions de hashage cryptographique : tant qu'aucune collision n'a été trouvé, cela reste une fonction de hachage crypto. Le jour où une collision est trouvée pour un algo de hachage, cette propriété n'est plus valide, donc ce n'est plus une fonction de hachage crypto
greenluna à l'ancienne, les emotions..
"hash" se dit "condensat" en français :)
🤓☝
Exact ou "empreinte" ... mais tu connais beaucoup de pros qui utilisent le terme francophone ?
A l'ANSSI oui x) @@PascalDuc
à mon taf c'est drôle parceque les jeunes anglicisent tout et les vieux françaicisent tout xD @@PascalDuc
Super intéressant le contenu, si tu avais un onlyfans j'aurais hésité à y souscrire!