C'est quand même une récompense tres tres basse pour un bug absolument critique sur une plateforme enorme.
@themike20096 ай бұрын
Avec ces petits montants de rémunération cela ne m'étonne pas qu'un white hat puisse facilement passer en grisé voir même du côté obscur de la force.... Cette société qui te soulève des milliards, avec un potentiel de perdre des millions sur certaines failles te donne enfin compte des cacahouètes à la fin et celà n'est pas très honnête non plus.... Chapeau gris les compagnies....
@julienferreira336 ай бұрын
7500€ c’est vraiment peanuts sir des millions de jeux vendu, la prime aurait pu etre plus élevée parce que le prochain qui va profiter de ce genre de faille va bien se servir avant
@eternalblue_6 ай бұрын
La différence fondamentale entre un white hat et ce que tu appelles un "black hat", réside dans leur motivation et leur approche vis-à-vis de la sécurité informatique. Ce n'est pas vraiment une question d'être white hat qui bascule black hat, la plupart des bonnes personnes le resteront peu importe les circonstances. Les white hat sont white hat, car ce sont des gens passionnés d'informatique, et pratiquent même s'ils ne gagne rien car ils ne sont pas là pour l'argent à la base. Si tu vois un white basculer black "parce que les entreprises ne payent pas assez", non ce n'est pas ça, c'est juste qu'il est déjà mauvais et avide d'argent de base, et trouve une excuse pour faire du mal. Personne ne l'a forcé à faire quoi que ce soit.
@n00bp0wa56 ай бұрын
Je go m'abonner sans réfléchir. C'est rare les chaînes de ce genre intéressantes. Encore plus du côté fr !
@kevinpradeau79136 ай бұрын
Toujours aussi clair et accessible tout en étant intéressant ! Merci.
@hackintux58136 ай бұрын
Merci à toi ! ;)
@virgil546 ай бұрын
Merci, dommage que tu fasses si peu de vidéos, car elles sont toutes très intéressantes.
@hackintux58136 ай бұрын
Merci beaucoup pour ton commentaire ! Je vais essayer d'en faire plus souvent, en tout cas je vais en faire plus que l'année dernière c'est certain
@Alexandre-qf1ho6 ай бұрын
Merci pour la vidéo ! Super intéressant ! Ça aurait été cool d'avoir une partie "comment steam aurait pu se protéger ?" J'imagine que là, ils ont changé leur façon de vérifier les paramètres
@plop316 ай бұрын
ben la faille concerne en réalité 2 acteurs, steam qui envoi des paramètres en clair et smart2pay qui est un services de paiement tiers.
@plop316 ай бұрын
comment ? ben je sais pas il y a plein de solution... du genre la première qui règle tout immédiatement sans se poser de question c'est de chiffrer les données du POST en utilisant comme clé un token API du service de paiement en question. car oui la faille est selon moins partagée entre steam et smaetr2pay. Je pense que c'est même ce service de paiement qui est responsable de la faille car c'est en générale le client qui DOIT se plier aux exigences stupide des prestataires de paiement (les données doivent être de tel forma en clair etc....) et comme cet intermédiaire rajoute son filtre, je suppose qu'il ne renvoi à steam qu'un "paiement OK" alors qu'il devrait plutôt envoyer un "paiement de X euros OK" et ensuite à steam de vérifier que le montant X payé correspond bien à Y qui était attendu . je ne peux pas tester j'ai un litige en cours avec mon dernier achat steam lol.
@hackintux58136 ай бұрын
C'est vrai que j'aurais pu faire une partie sur comment ils ont corrigé ça. Au moment où le bug est sorti, ils l'ont corrigé vraiment très rapidement, je ne sais pas trop par quel moyen, mais sûrement en re-validant les montants payés de leur côté au lieu de regarder uniquement si la commande a été payée Aujourd'hui, de mémoire, il me semble que Steam ne passe plus par Smart2Pay (en tout cas côté front, ils passent peut-être par eux côté back)
@TheFrenchSalmon6 ай бұрын
2:54 sauf erreur de ma part, en MD5 si c'est possible. Ça s'appelle des collisions et c'est la raison pour laquelle on a arrêté de l'utilisé au profit de d'autres systèmes de hash.
@hackintux58136 ай бұрын
Yes, c'est possible, et même facile à faire C'est même théoriquement possible avec toutes les fonctions de hachage J'ai fais une vidéo sur l'attaque des anniversaires, qui est plus un principe qu'une attaque, mais qui montre que finalement, trouver une collision sur un système de hachage, c'est moins compliqué qu'il n'y paraît
@PascalDuc6 ай бұрын
Merci, belle explication de la Fonction de hachage, je vais proposer cette vidéo à mes élèves en informatique pour leur culture générale info :)
@vendettaQ_Q.6 ай бұрын
derien pascal
@MtTheToto6 ай бұрын
Y'a pourtant une erreur, une sortie peut provenir d'une infinité d'entrée, contrairement a ce qui est dit. Ce n'est pas très grave pour cette vidéo, mais pour des élèves, c'est mieux de rectifier.
@LinuxPlayer96 ай бұрын
Très intéressant comme vidéo, et très bien présenté, je m'abonne et je vais partager la vidéo en te souhaitant plus de succès
@matthieubriand6 ай бұрын
Mon gars tu es captivant, merci !
@zw32452 ай бұрын
Excellent !
@davidkitano51346 ай бұрын
excellente vidéo... une petite remarque qui personnellement m'a fait tiquer à 3:35 propriété n°2: deux entréeS on met un S pareil deux sortieS .. ça ce trouve c'est pour ça qu'on t'a pas payé 7000€ (je suis méchant 😈😈), n'empêche l'entreprise elle a de la chance que tu ne cherches pas que le profit et que tu sois éthique
@Catif86 ай бұрын
Il a raconté une histoire, c'est pas du tout lui qui a trouvé le bug. Pour un mec aussi condescendant, ta même pas compris la vidéo Petite faute sur ton message : ça ce trouve => ça se trouve ça se trouve, c'est pour ça que tu n'as pas compris la vidéo (je suis méchant 😈😈)
@ItakQ6 ай бұрын
fin de la vidéo, il parle de son expérience de bug bounty a lui ^^ @@Catif8
@davidkitano51346 ай бұрын
@@Catif8 don't feed the troll qu'on dit 😘😘
@Schlaousilein676 ай бұрын
Très intéressant !
@Sr.stronium_surge_le_meileur6 ай бұрын
Hackintux, le retour
@cyb3rsoldi3r6 ай бұрын
Très intéressant :)
@IALogoMaker6 ай бұрын
je viens de voir la vidéo c'etait tres clair mais j'avais une question,sachant que la fonction de hachage donne toujours la meme sortie si on a la meme entrée pourquoi ne pas acheter un jeu avec un amount de 1000 prendre la signature la copier et l'uitiliser pour baisser le prix de 2000 à 1000. Je me demande si cela etait aussi une possibilité
@hackintux58136 ай бұрын
Ça aurait pu, mais le soucis c'est qu'en entrée de la signature il y a aussi l'ID de la transaction qu'on effectue : en achetant un autre jeu, on effectue une nouvelle transaction qui aura un id différent, donc la signature ne sera pas validé non plus
@pierrebreton11536 ай бұрын
Peut tu faire une vidéo pour installer Mobile Verification Toolkit (MVT), sur android, stp, il y a pas de tuto en français
@MeteroricRiseSizok6 ай бұрын
Le hash fonctionne toujours comme une balance de poids binaire ? Il serait donc possible de faire péter un hash en trouvant le lien entre des hash qui ont ma même signature? J'imagine que ce n'est pas aussi facile...
@hackintux58136 ай бұрын
Si tu trouves une entrée qui donne le même hash que celui de ton mot de passe, alors on considère que l'algorithme de hashage cryptographique n'est plus fiable (ça s'appelle une collision de hash) C'est le cas de plusieurs algorithmes, comme MD5 qui est utilisé dans cette vidéo pour les exemples Dans la pratique, les algorithmes sont étudiés pour que ça n'arrive pas (même si mathématiquement, c'est impossible qu'il n'y ait pas de collisions sur un algorithme de hashage puisque l'ensemble d'entrée possible est infini alors que l'ensemble de sortie possible est fini)
@MeteroricRiseSizok6 ай бұрын
Merci pour ta réponse, donc ce n'est qu'une question de moyen ici.
@77zootv6 ай бұрын
faille critique = 7500$ MDRRR alors que valve/steam brasse le milliard a l'année. 100k aurait été plutot juste pour changer la vie du hacker et eviter de gros soucis a valve si il partagais l'info
@SomethingElse6666 ай бұрын
Hop un abonné en plus
@-SiB-6 ай бұрын
Awesome
@Tigrou77776 ай бұрын
Pour la propriété 2 ce n'est pas tout a fait correct : il y a un nombre fini de sorties (car leur taille est fixe) mais un nombre infini d'entrées (car taille variable) donc il y plus d'entrées que de sorties, et forcément plusieurs entrées doivent donner la même sortie (ce qu'on appelle une collision). Plus correct serait de dire que la probabilité d'avoir un tel cas est extrêmement faible (mais pas impossible). Aussi : le hack aurait probablement pu passer inaperçu pour un seul individu mais a grande echelle, quelqu'un aurait forcement remarqué quelque chose (si il manque des dizaines de milliers d'euros ca fini par se voir).
@hackintux58136 ай бұрын
Yes, mais complexe à expliquer sans perdre l'attention des gens, mais comme je le disais en réponse d'un autre commentaire, effectivement c'est mathématiquement impossible que cette propriété soit valide. Mais on considère que tant qu'on ne trouve pas de collisions, l'algorithme reste cryptographiquement sûr. Pour le hack, je suis d'accord avec toi, c'est exploitable pour un hacker non éthique s'il n'est pas trop gourmand
@JosephMaarek6 ай бұрын
Pour être encore plus précis, ce n'est pas la probabilité d'avoir une collision qui est extrêmement faible. Ce qui est extrêmement faible c'est la probabilité d'avoir une collision avec des "entrées pertinentes". Si on prends l'exemple d'une signature de paramètre, ce qui va être extrêmement rare, c'est de pouvoir avoir des autres paramètres valides ayant la même signature. Mais reussir à trouvé une autre entrée avec la même signature c'est possible, mais ça ne servirait à rien.
@leboss64846 ай бұрын
super video
@martinpecheur-xh1qp6 ай бұрын
Excellent !! Enfin slmt 7500 $ pr une faille de cette importance ?!! Steam fait des millions chaque année. 'tain les chiens ces méga corpo ka mm. La prochaine fois le gars y réfléchira à 2x fois avant de révéler la faille.
@plop316 ай бұрын
lol steam c'est pas en millions que ça se compte c'est en MILLIARDS !!!!!!!!! alors oui et non c'est pas assez mais c'était quand même facilement détectable de leur côté si quelqu'un en avait abusé. il y a forcément des alertes sur les gros mouvements d'argent, ne serait que pour respecter la réglementation bancaire kyc/aml. et ne pas oublier que la faute est partagé entre Steam et l'intermédiaire de paiement smart2pay. les 2 sont en tord mais seulement steam a payé
@enderstick_76116 ай бұрын
J'ai capté mais c vrmnt un génie ce hacker
@user-xs9nw7tn1f6 ай бұрын
c'est ou pour changer ?
@Fljrjjgjfkk6 ай бұрын
c'est un genie
@vostfrguys6 ай бұрын
Bah non c'est pas vrai, il est possible que deux chaines ai la même hash, par contre bon courage pour en trouver deux identique
@hackintux58136 ай бұрын
Yes, mais compliqué à expliquer sans perdre tout le monde. Le plus simple que j'ai trouvé pour pas m'engager dans des discours trop longs, c'est de dire que ce n'est pas possible de trouver deux hash identiques. C'est pas exact mathématiquement parlant, mais cette propriété est vraie pour les fonctions de hashage cryptographique : tant qu'aucune collision n'a été trouvé, cela reste une fonction de hachage crypto. Le jour où une collision est trouvée pour un algo de hachage, cette propriété n'est plus valide, donc ce n'est plus une fonction de hachage crypto
@DamirMaatar6 ай бұрын
greenluna à l'ancienne, les emotions..
@WarmatiqueInfolli6 ай бұрын
2:43 c'est faux (et complètement stupide)
@hackintux58136 ай бұрын
D'accord :)
@hackintux58136 ай бұрын
Pour info : quand tu mets un commentaire aussi agressif, justifie un peu. Je vais le faire pour toi, histoire que les gens comprennent : c'est mathématiquement faux car il y a un nombre d'entrée infini, et un nombre de sortie fini. Donc effectivement, il y a forcément des entrées différentes qui donneront des sorties identiques. C'est ce qu'on appelle une collision. Maintenant, ici comme tu peux le voir, on ne parle pas de mathématiques, mais de propriété qui fait qu'on peut considérer une fonction de hachage comme une fonction de hachage cryptographique. Et le fait de me pas avoir de collisions connues en fait parti. Je ne sais pas si c'est complètement stupide mais une bonne partie de la cryptographie moderne est basé sur ça.
@WarmatiqueInfolli6 ай бұрын
@@hackintux5813 N'y vois pas d'agressivité ni d'animosité, juste de l'objectivité et de la sincérité. Si ta vidéo était inintéressante je n'aurai pas pris la peine de la commenter.
@terror4036 ай бұрын
"hash" se dit "condensat" en français :)
@honkhonkv22366 ай бұрын
🤓☝
@PascalDuc6 ай бұрын
Exact ou "empreinte" ... mais tu connais beaucoup de pros qui utilisent le terme francophone ?
@terror4036 ай бұрын
A l'ANSSI oui x) @@PascalDuc
@terror4036 ай бұрын
à mon taf c'est drôle parceque les jeunes anglicisent tout et les vieux françaicisent tout xD @@PascalDuc
@thomasblade47886 ай бұрын
Super intéressant le contenu, si tu avais un onlyfans j'aurais hésité à y souscrire!