Le hacker qui pouvait ruiner steam

Подписаться 63 тыс.

Просмотров 10 тыс.

50% 1

Ce hacker qui se fait appeler drbrix trouve un bug incroyable sur Steam. Cela lui permet de s'ajouter autant d'argent qu'il veut sur son compte steam en ne payant quasiment pas.
Il pouvait ainsi avoir tout ses jeux steam gratuitement. Heureusement, drbrix est un hacker éthique, et il a rapporté cette vulnérabilité dans le programme de bug bounty de Steam. Mais comment son bug fonctionne ? Je vous l'explique dans cette vidéo !
Lien vers le rapport original : hackerone.com/reports/1295844
Premier épisode de la série Bug Bounty Stories sur des histoires de bug incroyables trouvées par des hackers éthique dans le cadre de bug bounty
00:00 : C'est quoi Steam ?
00:25 : La trouvaille de drbrix
00:50 : Une première tentative de hack
01:36 : Les signatures et les hash
03:40 : Applications des fonctions de hachage
04:19 : La signature de Steam
05:00 : Trouver les paramètres qui influent sur le hash
05:40 : Le bypass
07:20 : Tentative d'exploit du bug
07:59 : L'impact et la prime d'un tel bug
08:37 : Outro

Наука

Опубликовано:

25 июн 2024

Ссылка:

Скачать:

Готовим ссылку...

Добавить в:

Мой плейлист

Посмотреть позже

Комментарии : 59

@Xueli_Wardevil 3 месяца назад

C'est quand même une récompense tres tres basse pour un bug absolument critique sur une plateforme enorme.

@themike2009 4 месяца назад

Avec ces petits montants de rémunération cela ne m'étonne pas qu'un white hat puisse facilement passer en grisé voir même du côté obscur de la force.... Cette société qui te soulève des milliards, avec un potentiel de perdre des millions sur certaines failles te donne enfin compte des cacahouètes à la fin et celà n'est pas très honnête non plus.... Chapeau gris les compagnies....

@julienferreira33 4 месяца назад

7500€ c’est vraiment peanuts sir des millions de jeux vendu, la prime aurait pu etre plus élevée parce que le prochain qui va profiter de ce genre de faille va bien se servir avant

@eternalblue_ 4 месяца назад

La différence fondamentale entre un white hat et ce que tu appelles un "black hat", réside dans leur motivation et leur approche vis-à-vis de la sécurité informatique. Ce n'est pas vraiment une question d'être white hat qui bascule black hat, la plupart des bonnes personnes le resteront peu importe les circonstances. Les white hat sont white hat, car ce sont des gens passionnés d'informatique, et pratiquent même s'ils ne gagne rien car ils ne sont pas là pour l'argent à la base. Si tu vois un white basculer black "parce que les entreprises ne payent pas assez", non ce n'est pas ça, c'est juste qu'il est déjà mauvais et avide d'argent de base, et trouve une excuse pour faire du mal. Personne ne l'a forcé à faire quoi que ce soit.

@n00bp0wa5 3 месяца назад

Je go m'abonner sans réfléchir. C'est rare les chaînes de ce genre intéressantes. Encore plus du côté fr !

@kevinpradeau7913 4 месяца назад

Toujours aussi clair et accessible tout en étant intéressant ! Merci.

@hackintux5813 3 месяца назад

Merci à toi ! ;)

@LinuxPlayer9 3 месяца назад

Très intéressant comme vidéo, et très bien présenté, je m'abonne et je vais partager la vidéo en te souhaitant plus de succès

@matthieubriand 3 месяца назад

Mon gars tu es captivant, merci !

@virgil54 4 месяца назад

Merci, dommage que tu fasses si peu de vidéos, car elles sont toutes très intéressantes.

@hackintux5813 4 месяца назад

Merci beaucoup pour ton commentaire ! Je vais essayer d'en faire plus souvent, en tout cas je vais en faire plus que l'année dernière c'est certain

@Schlaousilein67 4 месяца назад

Très intéressant !

@reylii4482 4 месяца назад

Très intéressant :)

@TheFrenchSalmon 4 месяца назад

2:54 sauf erreur de ma part, en MD5 si c'est possible. Ça s'appelle des collisions et c'est la raison pour laquelle on a arrêté de l'utilisé au profit de d'autres systèmes de hash.

@hackintux5813 3 месяца назад

Yes, c'est possible, et même facile à faire C'est même théoriquement possible avec toutes les fonctions de hachage J'ai fais une vidéo sur l'attaque des anniversaires, qui est plus un principe qu'une attaque, mais qui montre que finalement, trouver une collision sur un système de hachage, c'est moins compliqué qu'il n'y paraît

@Alexandre-qf1ho 4 месяца назад

Merci pour la vidéo ! Super intéressant ! Ça aurait été cool d'avoir une partie "comment steam aurait pu se protéger ?" J'imagine que là, ils ont changé leur façon de vérifier les paramètres

@plop31 4 месяца назад

ben la faille concerne en réalité 2 acteurs, steam qui envoi des paramètres en clair et smart2pay qui est un services de paiement tiers.

@plop31 4 месяца назад

comment ? ben je sais pas il y a plein de solution... du genre la première qui règle tout immédiatement sans se poser de question c'est de chiffrer les données du POST en utilisant comme clé un token API du service de paiement en question. car oui la faille est selon moins partagée entre steam et smaetr2pay. Je pense que c'est même ce service de paiement qui est responsable de la faille car c'est en générale le client qui DOIT se plier aux exigences stupide des prestataires de paiement (les données doivent être de tel forma en clair etc....) et comme cet intermédiaire rajoute son filtre, je suppose qu'il ne renvoi à steam qu'un "paiement OK" alors qu'il devrait plutôt envoyer un "paiement de X euros OK" et ensuite à steam de vérifier que le montant X payé correspond bien à Y qui était attendu . je ne peux pas tester j'ai un litige en cours avec mon dernier achat steam lol.

@hackintux5813 4 месяца назад

C'est vrai que j'aurais pu faire une partie sur comment ils ont corrigé ça. Au moment où le bug est sorti, ils l'ont corrigé vraiment très rapidement, je ne sais pas trop par quel moyen, mais sûrement en re-validant les montants payés de leur côté au lieu de regarder uniquement si la commande a été payée Aujourd'hui, de mémoire, il me semble que Steam ne passe plus par Smart2Pay (en tout cas côté front, ils passent peut-être par eux côté back)

@PascalDuc 4 месяца назад

Merci, belle explication de la Fonction de hachage, je vais proposer cette vidéo à mes élèves en informatique pour leur culture générale info :)

@vendettaQ_Q. 4 месяца назад

derien pascal

@MtTheToto 3 месяца назад

Y'a pourtant une erreur, une sortie peut provenir d'une infinité d'entrée, contrairement a ce qui est dit. Ce n'est pas très grave pour cette vidéo, mais pour des élèves, c'est mieux de rectifier.

@leboss6484 4 месяца назад

super video

@Sr.stronium_surge_le_meileur 4 месяца назад

Hackintux, le retour

@SomethingElse666 3 месяца назад

Hop un abonné en plus

@davidkitano5134 4 месяца назад

excellente vidéo... une petite remarque qui personnellement m'a fait tiquer à 3:35 propriété n°2: deux entréeS on met un S pareil deux sortieS .. ça ce trouve c'est pour ça qu'on t'a pas payé 7000€ (je suis méchant 😈😈), n'empêche l'entreprise elle a de la chance que tu ne cherches pas que le profit et que tu sois éthique

@Catif8 4 месяца назад

Il a raconté une histoire, c'est pas du tout lui qui a trouvé le bug. Pour un mec aussi condescendant, ta même pas compris la vidéo Petite faute sur ton message : ça ce trouve => ça se trouve ça se trouve, c'est pour ça que tu n'as pas compris la vidéo (je suis méchant 😈😈)

@ItakQ 4 месяца назад

fin de la vidéo, il parle de son expérience de bug bounty a lui ^^ @@Catif8

@davidkitano5134 4 месяца назад

@@Catif8 don't feed the troll qu'on dit 😘😘

@IALogoMaker 3 месяца назад

je viens de voir la vidéo c'etait tres clair mais j'avais une question,sachant que la fonction de hachage donne toujours la meme sortie si on a la meme entrée pourquoi ne pas acheter un jeu avec un amount de 1000 prendre la signature la copier et l'uitiliser pour baisser le prix de 2000 à 1000. Je me demande si cela etait aussi une possibilité

@hackintux5813 3 месяца назад

Ça aurait pu, mais le soucis c'est qu'en entrée de la signature il y a aussi l'ID de la transaction qu'on effectue : en achetant un autre jeu, on effectue une nouvelle transaction qui aura un id différent, donc la signature ne sera pas validé non plus

@-SiB- 3 месяца назад

Awesome

@MeteroricRiseSizok 4 месяца назад

Le hash fonctionne toujours comme une balance de poids binaire ? Il serait donc possible de faire péter un hash en trouvant le lien entre des hash qui ont ma même signature? J'imagine que ce n'est pas aussi facile...

@hackintux5813 4 месяца назад

Si tu trouves une entrée qui donne le même hash que celui de ton mot de passe, alors on considère que l'algorithme de hashage cryptographique n'est plus fiable (ça s'appelle une collision de hash) C'est le cas de plusieurs algorithmes, comme MD5 qui est utilisé dans cette vidéo pour les exemples Dans la pratique, les algorithmes sont étudiés pour que ça n'arrive pas (même si mathématiquement, c'est impossible qu'il n'y ait pas de collisions sur un algorithme de hashage puisque l'ensemble d'entrée possible est infini alors que l'ensemble de sortie possible est fini)

@MeteroricRiseSizok 4 месяца назад

Merci pour ta réponse, donc ce n'est qu'une question de moyen ici.

@pierrebreton1153 4 месяца назад

Peut tu faire une vidéo pour installer Mobile Verification Toolkit (MVT), sur android, stp, il y a pas de tuto en français

@enderstick_7611 4 месяца назад

J'ai capté mais c vrmnt un génie ce hacker

@Fljrjjgjfkk 3 месяца назад

c'est un genie

@Tigrou7777 4 месяца назад

Pour la propriété 2 ce n'est pas tout a fait correct : il y a un nombre fini de sorties (car leur taille est fixe) mais un nombre infini d'entrées (car taille variable) donc il y plus d'entrées que de sorties, et forcément plusieurs entrées doivent donner la même sortie (ce qu'on appelle une collision). Plus correct serait de dire que la probabilité d'avoir un tel cas est extrêmement faible (mais pas impossible). Aussi : le hack aurait probablement pu passer inaperçu pour un seul individu mais a grande echelle, quelqu'un aurait forcement remarqué quelque chose (si il manque des dizaines de milliers d'euros ca fini par se voir).

@hackintux5813 4 месяца назад

Yes, mais complexe à expliquer sans perdre l'attention des gens, mais comme je le disais en réponse d'un autre commentaire, effectivement c'est mathématiquement impossible que cette propriété soit valide. Mais on considère que tant qu'on ne trouve pas de collisions, l'algorithme reste cryptographiquement sûr. Pour le hack, je suis d'accord avec toi, c'est exploitable pour un hacker non éthique s'il n'est pas trop gourmand

@JosephMaarek 3 месяца назад

Pour être encore plus précis, ce n'est pas la probabilité d'avoir une collision qui est extrêmement faible. Ce qui est extrêmement faible c'est la probabilité d'avoir une collision avec des "entrées pertinentes". Si on prends l'exemple d'une signature de paramètre, ce qui va être extrêmement rare, c'est de pouvoir avoir des autres paramètres valides ayant la même signature. Mais reussir à trouvé une autre entrée avec la même signature c'est possible, mais ça ne servirait à rien.

@user-xs9nw7tn1f 4 месяца назад

c'est ou pour changer ?

@77zootv 3 месяца назад

faille critique = 7500$ MDRRR alors que valve/steam brasse le milliard a l'année. 100k aurait été plutot juste pour changer la vie du hacker et eviter de gros soucis a valve si il partagais l'info

@martinpecheur-xh1qp 4 месяца назад

Excellent !! Enfin slmt 7500 $ pr une faille de cette importance ?!! Steam fait des millions chaque année. 'tain les chiens ces méga corpo ka mm. La prochaine fois le gars y réfléchira à 2x fois avant de révéler la faille.

@plop31 4 месяца назад

lol steam c'est pas en millions que ça se compte c'est en MILLIARDS !!!!!!!!! alors oui et non c'est pas assez mais c'était quand même facilement détectable de leur côté si quelqu'un en avait abusé. il y a forcément des alertes sur les gros mouvements d'argent, ne serait que pour respecter la réglementation bancaire kyc/aml. et ne pas oublier que la faute est partagé entre Steam et l'intermédiaire de paiement smart2pay. les 2 sont en tord mais seulement steam a payé

@vostfrguys 3 месяца назад

Bah non c'est pas vrai, il est possible que deux chaines ai la même hash, par contre bon courage pour en trouver deux identique

@hackintux5813 3 месяца назад

Yes, mais compliqué à expliquer sans perdre tout le monde. Le plus simple que j'ai trouvé pour pas m'engager dans des discours trop longs, c'est de dire que ce n'est pas possible de trouver deux hash identiques. C'est pas exact mathématiquement parlant, mais cette propriété est vraie pour les fonctions de hashage cryptographique : tant qu'aucune collision n'a été trouvé, cela reste une fonction de hachage crypto. Le jour où une collision est trouvée pour un algo de hachage, cette propriété n'est plus valide, donc ce n'est plus une fonction de hachage crypto

@DamirMaatar 4 месяца назад

greenluna à l'ancienne, les emotions..

@WarmatiqueInfolli 3 месяца назад

2:43 c'est faux (et complètement stupide)

@hackintux5813 3 месяца назад

D'accord :)

@hackintux5813 3 месяца назад

Pour info : quand tu mets un commentaire aussi agressif, justifie un peu. Je vais le faire pour toi, histoire que les gens comprennent : c'est mathématiquement faux car il y a un nombre d'entrée infini, et un nombre de sortie fini. Donc effectivement, il y a forcément des entrées différentes qui donneront des sorties identiques. C'est ce qu'on appelle une collision. Maintenant, ici comme tu peux le voir, on ne parle pas de mathématiques, mais de propriété qui fait qu'on peut considérer une fonction de hachage comme une fonction de hachage cryptographique. Et le fait de me pas avoir de collisions connues en fait parti. Je ne sais pas si c'est complètement stupide mais une bonne partie de la cryptographie moderne est basé sur ça.

@WarmatiqueInfolli 3 месяца назад

@@hackintux5813 N'y vois pas d'agressivité ni d'animosité, juste de l'objectivité et de la sincérité. Si ta vidéo était inintéressante je n'aurai pas pris la peine de la commenter.