7500€ c’est vraiment peanuts sir des millions de jeux vendu, la prime aurait pu etre plus élevée parce que le prochain qui va profiter de ce genre de faille va bien se servir avant

La différence fondamentale entre un white hat et ce que tu appelles un "black hat", réside dans leur motivation et leur approche vis-à-vis de la sécurité informatique. Ce n'est pas vraiment une question d'être white hat qui bascule black hat, la plupart des bonnes personnes le resteront peu importe les circonstances. Les white hat sont white hat, car ce sont des gens passionnés d'informatique, et pratiquent même s'ils ne gagne rien car ils ne sont pas là pour l'argent à la base. Si tu vois un white basculer black "parce que les entreprises ne payent pas assez", non ce n'est pas ça, c'est juste qu'il est déjà mauvais et avide d'argent de base, et trouve une excuse pour faire du mal. Personne ne l'a forcé à faire quoi que ce soit.

Merci à toi ! ;)

Merci beaucoup pour ton commentaire ! Je vais essayer d'en faire plus souvent, en tout cas je vais en faire plus que l'année dernière c'est certain

ben la faille concerne en réalité 2 acteurs, steam qui envoi des paramètres en clair et smart2pay qui est un services de paiement tiers.

comment ? ben je sais pas il y a plein de solution... du genre la première qui règle tout immédiatement sans se poser de question c'est de chiffrer les données du POST en utilisant comme clé un token API du service de paiement en question. car oui la faille est selon moins partagée entre steam et smaetr2pay. Je pense que c'est même ce service de paiement qui est responsable de la faille car c'est en générale le client qui DOIT se plier aux exigences stupide des prestataires de paiement (les données doivent être de tel forma en clair etc....) et comme cet intermédiaire rajoute son filtre, je suppose qu'il ne renvoi à steam qu'un "paiement OK" alors qu'il devrait plutôt envoyer un "paiement de X euros OK" et ensuite à steam de vérifier que le montant X payé correspond bien à Y qui était attendu . je ne peux pas tester j'ai un litige en cours avec mon dernier achat steam lol.

C'est vrai que j'aurais pu faire une partie sur comment ils ont corrigé ça. Au moment où le bug est sorti, ils l'ont corrigé vraiment très rapidement, je ne sais pas trop par quel moyen, mais sûrement en re-validant les montants payés de leur côté au lieu de regarder uniquement si la commande a été payée Aujourd'hui, de mémoire, il me semble que Steam ne passe plus par Smart2Pay (en tout cas côté front, ils passent peut-être par eux côté back)

Yes, c'est possible, et même facile à faire C'est même théoriquement possible avec toutes les fonctions de hachage J'ai fais une vidéo sur l'attaque des anniversaires, qui est plus un principe qu'une attaque, mais qui montre que finalement, trouver une collision sur un système de hachage, c'est moins compliqué qu'il n'y paraît

derien pascal

Y'a pourtant une erreur, une sortie peut provenir d'une infinité d'entrée, contrairement a ce qui est dit. Ce n'est pas très grave pour cette vidéo, mais pour des élèves, c'est mieux de rectifier.

Il a raconté une histoire, c'est pas du tout lui qui a trouvé le bug. Pour un mec aussi condescendant, ta même pas compris la vidéo Petite faute sur ton message : ça ce trouve => ça se trouve ça se trouve, c'est pour ça que tu n'as pas compris la vidéo (je suis méchant 😈😈)

fin de la vidéo, il parle de son expérience de bug bounty a lui ^^ @@Catif8

@@Catif8 don't feed the troll qu'on dit 😘😘

Ça aurait pu, mais le soucis c'est qu'en entrée de la signature il y a aussi l'ID de la transaction qu'on effectue : en achetant un autre jeu, on effectue une nouvelle transaction qui aura un id différent, donc la signature ne sera pas validé non plus

Si tu trouves une entrée qui donne le même hash que celui de ton mot de passe, alors on considère que l'algorithme de hashage cryptographique n'est plus fiable (ça s'appelle une collision de hash) C'est le cas de plusieurs algorithmes, comme MD5 qui est utilisé dans cette vidéo pour les exemples Dans la pratique, les algorithmes sont étudiés pour que ça n'arrive pas (même si mathématiquement, c'est impossible qu'il n'y ait pas de collisions sur un algorithme de hashage puisque l'ensemble d'entrée possible est infini alors que l'ensemble de sortie possible est fini)

Merci pour ta réponse, donc ce n'est qu'une question de moyen ici.

Yes, mais complexe à expliquer sans perdre l'attention des gens, mais comme je le disais en réponse d'un autre commentaire, effectivement c'est mathématiquement impossible que cette propriété soit valide. Mais on considère que tant qu'on ne trouve pas de collisions, l'algorithme reste cryptographiquement sûr. Pour le hack, je suis d'accord avec toi, c'est exploitable pour un hacker non éthique s'il n'est pas trop gourmand

Pour être encore plus précis, ce n'est pas la probabilité d'avoir une collision qui est extrêmement faible. Ce qui est extrêmement faible c'est la probabilité d'avoir une collision avec des "entrées pertinentes". Si on prends l'exemple d'une signature de paramètre, ce qui va être extrêmement rare, c'est de pouvoir avoir des autres paramètres valides ayant la même signature. Mais reussir à trouvé une autre entrée avec la même signature c'est possible, mais ça ne servirait à rien.

lol steam c'est pas en millions que ça se compte c'est en MILLIARDS !!!!!!!!! alors oui et non c'est pas assez mais c'était quand même facilement détectable de leur côté si quelqu'un en avait abusé. il y a forcément des alertes sur les gros mouvements d'argent, ne serait que pour respecter la réglementation bancaire kyc/aml. et ne pas oublier que la faute est partagé entre Steam et l'intermédiaire de paiement smart2pay. les 2 sont en tord mais seulement steam a payé

Yes, mais compliqué à expliquer sans perdre tout le monde. Le plus simple que j'ai trouvé pour pas m'engager dans des discours trop longs, c'est de dire que ce n'est pas possible de trouver deux hash identiques. C'est pas exact mathématiquement parlant, mais cette propriété est vraie pour les fonctions de hashage cryptographique : tant qu'aucune collision n'a été trouvé, cela reste une fonction de hachage crypto. Le jour où une collision est trouvée pour un algo de hachage, cette propriété n'est plus valide, donc ce n'est plus une fonction de hachage crypto

D'accord :)

Pour info : quand tu mets un commentaire aussi agressif, justifie un peu. Je vais le faire pour toi, histoire que les gens comprennent : c'est mathématiquement faux car il y a un nombre d'entrée infini, et un nombre de sortie fini. Donc effectivement, il y a forcément des entrées différentes qui donneront des sorties identiques. C'est ce qu'on appelle une collision. Maintenant, ici comme tu peux le voir, on ne parle pas de mathématiques, mais de propriété qui fait qu'on peut considérer une fonction de hachage comme une fonction de hachage cryptographique. Et le fait de me pas avoir de collisions connues en fait parti. Je ne sais pas si c'est complètement stupide mais une bonne partie de la cryptographie moderne est basé sur ça.

@@hackintux5813 N'y vois pas d'agressivité ni d'animosité, juste de l'objectivité et de la sincérité. Si ta vidéo était inintéressante je n'aurai pas pris la peine de la commenter.

🤓☝

Exact ou "empreinte" ... mais tu connais beaucoup de pros qui utilisent le terme francophone ?

A l'ANSSI oui x) @@PascalDuc

à mon taf c'est drôle parceque les jeunes anglicisent tout et les vieux françaicisent tout xD @@PascalDuc