Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Un enfant de cinq ans découvre une faille de sécurité dans la Xbox One

Remercié au même titre qu'un chercheur en sécurité

Un enfant de cinq ans découvre une faille de sécurité dans la Xbox One

Le 07 avril 2014 à 14h25

Microsoft a récemment récompensé un enfant de cinq ans pour avoir découvert un peu par hasard une faille de sécurité dans le système d’authentification de la Xbox One. Cette brèche, déjà corrigée, a permis au jeune découvreur de figurer en bonne et due forme dans les remerciements de la firme aux chercheurs en sécurité.

 

C’est une histoire peu commune mais qui s’est finalement bien terminée pour un enfant de cinq ans. Kristoffer, dont le père possède depuis peu une Xbox One, souhaitait jouer à la console de salon. Cette dernière était affiliée au compte Microsoft du père, Robert Davies, et donc protégée par un mot de passe. Il tente une première fois de deviner le mot de passe et échoue. La seconde fois cependant, il réussit à passer.

 

Aurait-il trouvé par chance, et en deux tentatives seulement, le mot de passe de son père, lui-même chercheur en sécurité ? Absolument pas : il a mis le doigt sur un problème. Lorsque la console lui a demandé une nouvelle fois d’entrer le mot de passe du compte, le jeune joueur a simplement entré… plusieurs espaces vides, en appuyant plusieurs fois sur le bouton « Espace ». La Xbox One a alors considéré qu’il s’agissait du vrai mot de passe.

 

La faille de sécurité, plus que manifeste, a été constatée par le père plus tard, qui en a réalisé une vidéo pour Microsoft. Lorsque l'éditeur a été averti du problème, le correctif a été développé assez rapidement et il est en fait déjà diffusé. Le père, racontant l’évènement à 10news.com, indique par ailleurs qu’il était particulièrement fier de son fils.

Kristoffer mentionné dans la liste des chercheurs remerciés en mars 

Le nom de « Kristoffer Wilhelm von Hassel » figure désormais en bonne et due forme dans la liste des personnes remerciées au mois de mars par Microsoft pour avoir fourni les détails d’une ou plusieurs vulnérabilités. Cette mention est d’autant plus amusante que le nom de l'enfant de cinq ans trône parmi ceux des chercheurs en sécurité informatique, qu’ils soient indépendants ou travaillant pour une entreprise.

 

Kristoffer a en outre été récompensé de ce signalement de faille, la déclaration ayant été faite en son propre nom par son père. L’enfant a donc reçu quatre jeux, un bon de 50 dollars ainsi qu’un abonnement d’un an au Xbox Live. Selon 10news, Kristoffer souhaite plus tard devenir un joueur, tandis que le père, étrangement, verrait plutôt son fils s’orienter vers la sécurité.

Commentaires (91)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
votre avatar







fraoch a écrit :



C’est elle qui a fait l’interface modern UI ? Ca explique bien des choses <img data-src=" />





<img data-src=" />



Non les couleurs, même nombreuses, sont trop bien assorties pour que ce soit elle <img data-src=" />


votre avatar







fraoch a écrit :



on rappelle que le mome a 5 ans …….

Et si c’etait si simple que cela, les adultes auraient aussi trouvé ce n’est pas le cas.

Et si c’est la cas :

soit ils gardaient le trucs pour eux a fins malhonnêtes, soit ils sont idiots



Et si c’est le papa qui a trouvé et qu’il donne la découverte a son fils, je vois pas ou les mal



On parle pas d’un remede contre le cancer quand meme, faut relativiser.







C’est surtout que toute la presse relaie ça comme si le bambin était un futur GeoHot en puissance. La faille a été découverte par hasard (je n’ai rien contre le hasard, de nombreuse découverte scientifiques y sont dues) et c’est visiblement tombé sur un enfant de 5 ans. C’est amusant, ça fait sourire, ça donne des sueurs froides (bravo la sécurité du truc), mais pas de quoi sortir des titres comme ceux là :







FunnyD a écrit :



La console de jeux Xbox One piratée par un enfant de 5 ans

A 5 ans, le petit génie qui fait trembler Microsoft









Et la différence, c’est que si c’est le père qui a trouvé, Microsoft dit merci (et envoie peut être les mêmes cadeaux) et ça s’arrête là, si c’est le bambin qui trouve, ben…ça fait un petit quart d’heure de gloire car c’est relayé par la presse mondiale.



Bref Korben a très bien résumé ce que je pense de l’affaire :)


votre avatar

Rien à foutre de qui a trouvé le bug… moi je veux le code source qui traite ce mot de passe <img data-src=" />





if hash(code) == hashed_code: 



 cp.open()


elsif code == “ “: 



 # flémingite, pas besoin de code pour tester. à virer en prod   


 cp.open()


else: 



# rien.    


# bon je vais me coucher
votre avatar

Me dite pas que c’est encore un “goto FAIL;” <img data-src=" />

votre avatar

Ce petit est déjà bien connu, il semblerait que ce soit lui qui ait fait tomber HBO avec la nouvelle saison de GOT et qui a DDOSé des sites pour demander une ransom en bitcoin, un vrai petit génie <img data-src=" />







<img data-src=" />

votre avatar

Honte intersidérale pour le développeur qui a laissé passer ça…



Mais la vrai question c’est …. comment c’est possible O_o ? A moins de le faire exprès, comment la chaîne composé de caractères “espace” peut être considéré comme égale au mot de passe ??



A moins que … les développeurs aient “oublié” ça dans le code mais franchement ça craint..

votre avatar







Charly32 a écrit :



C’est surtout que toute la presse relaie ça comme si le bambin était un futur GeoHot en puissance. La faille a été découverte par hasard (je n’ai rien contre le hasard, de nombreuse découverte scientifiques y sont dues) et c’est visiblement tombé sur un enfant de 5 ans. C’est amusant, ça fait sourire, ça donne des sueurs froides (bravo la sécurité du truc), mais pas de quoi sortir des titres comme ceux là :









Et la différence, c’est que si c’est le père qui a trouvé, Microsoft dit merci (et envoie peut être les mêmes cadeaux) et ça s’arrête là, si c’est le bambin qui trouve, ben…ça fait un petit quart d’heure de gloire car c’est relayé par la presse mondiale.



Bref Korben a très bien résumé ce que je pense de l’affaire :)







oui je suis d’accord, les titres sont un peux racoleurs, mais a part ca … Personne n’en fait un fromage. L’histoire fait sourire et ça s’arrête la. Voila, tant mieux pour le mome.


votre avatar







fraoch a écrit :



C’est elle qui a fait l’interface modern UI ? Ca explique bien des choses <img data-src=" />





Un pauvre utilisateur a du lui dire qu’il bossait dans la toiture, elle a tout fait à base de tuiles du coup.

Elle lui a marouflé le bureau il n’a rien compris le pauvre.


votre avatar







Eracius a écrit :



Honte intersidérale pour le développeur qui a laissé passer ça…



Mais la vrai question c’est …. comment c’est possible O_o ? A moins de le faire exprès, comment la chaîne composé de caractères “espace” peut être considéré comme égale au mot de passe ??



A moins que … les développeurs aient “oublié” ça dans le code mais franchement ça craint..







Je te raconte pas les tests de qualité aussi <img data-src=" />


votre avatar

Vu la méthode employée, un chaton aurait pu faire exactement la même chose <img data-src=" />

votre avatar







Eracius a écrit :



Honte intersidérale pour le développeur qui a laissé passer ça…



Mais la vrai question c’est …. comment c’est possible O_o ? A moins de le faire exprès, comment la chaîne composé de caractères “espace” peut être considéré comme égale au mot de passe ??



A moins que … les développeurs aient “oublié” ça dans le code mais franchement ça craint..





Un développeur stagiaire de 3ème qui a codé ça en espérant pouvoir regarder du pr0n à la maison quand la console sortira et que ses parents auront tout verrouillé.


votre avatar







TBirdTheYuri a écrit :



Vu la méthode employée, un chaton aurait pu faire exactement la même chose <img data-src=" />









Ouai! et en prime le chaton il l’aurait fait “avec classe” <img data-src=" />


votre avatar
votre avatar

Je ne comprends pas…

En dehors du traitement fairy tale de cette info par des media en manque de poésie (ce qui ne gâche rien, c’est sympa je ne le nie pas), c’est pas quand même un peu la méga loose de pouvoir bypasser un mdp… avec des espaces ? <img data-src=" /><img data-src=" />

Parce que bon, il a bon dos le gamin, mais il est surtout utilisé pour “adoucir” le fond du sujet, qui est quand même un abime de ridicule pour l’éditeur nan ? <img data-src=" />

votre avatar

La “faille” une aberration plutôt ! <img data-src=" />



Et certains se moquent encore de Sony qui sait pas faire’ une horloge qui passe l’année bissextile…. http://www.lesnumeriques.com/bug-mondial-ps3-termine-2010-est-bissextile-n12949….









TBirdTheYuri a écrit :



Vu la méthode employée, un chaton aurait pu faire exactement la même chose <img data-src=" />





+1


votre avatar







Reznor26 a écrit :



Tu veux vraiment un lien pour te prouver que ça existe ? <img data-src=" />







Nan ça n’existe pas, j’ai bien relue la bible et le monsieur il a un zizi et pas la dame.


votre avatar







ErGo_404 a écrit :



Un développeur stagiaire de 3ème qui a codé ça en espérant pouvoir regarder du pr0n à la maison quand la console sortira et que ses parents auront tout verrouillé.





Je suis pas sûr que ce soit une grosse difficulté d’accéder à du pr0n pour un développeur, même en 3ème.


votre avatar







Aekyros a écrit :



Non c’est un coup de génie ! ;)









:)



La meilleure de la journée !


votre avatar

Tout simplement un code implémenter en dev pour gagner du temps je pense (on a la même dans ma boite avec un mdp simple mais il change tout seul en fonction de la dev/preprod/prod).

Par contre ça me sidère qu’il n’y est pas de test unitaire sur une fonction aussi basique avant de passer en prod, c’est justement fait pour éviter ce genre d’erreur !

votre avatar

C’est à la mode ces temps si de faire le buzz avec son gamin: des adultes font le boulot, et en attribuent le succès à leur enfant…



[credits]Post rédigé par mon enfant de 10 mois[/credits]

votre avatar







darkbeast a écrit :



mouais c’est pas comme si les mots de passe locaux de seven se faisaient sauter en 5 minutes





Un peu tous les OS non ?


votre avatar

Tiens pour une fois, PCi / NxI arrive bon dernier sur une news, j’aurais presque préféré que vous vous absteniez sur celle là, je suis d’accord avec les autres, c’est du pseudo sensationnel buzz qui n’en est pas vraiment. c’est le père qui a trouvé la faille avec OU sans l’aide de son fils. Mais qui croirait que le gamin de 5ans a voulu hacké volontairement la console de Papa. C’est pas crédible 30secondes … Même en poisson d’avril c’est mauvais.

votre avatar

Tous le monde qualifie ce gars de “génie” ou chanceux et les devs de chez MS d’incapable.

Mais personne ne se demande pourquoi une faille aussi grosse est découverte par un gamin de 5 ans alors que des hackeurs chevronnés n’ont rien trouvé ?

votre avatar







Jed08 a écrit :



Tous le monde qualifie ce gars de “génie” ou chanceux et les devs de chez MS d’incapable.

Mais personne ne se demande pourquoi une faille aussi grosse est découverte par un gamin de 5 ans alors que des hackeurs chevronnés n’ont rien trouvé Dit ?







C’est pas pareil, dans le monde du hack console, il vaut mieux avoir une ou deux failles d’avances sous le coude. Exploit, hack, failoverflow, glitch, puces toussa … <img data-src=" />


votre avatar







-L3M- a écrit :



Tiens pour une fois, PCi / NxI arrive bon dernier sur une news, j’aurais presque préféré que vous vous absteniez sur celle là, je suis d’accord avec les autres, c’est du pseudo sensationnel buzz qui n’en est pas vraiment. c’est le père qui a trouvé la faille avec OU sans l’aide de son fils. Mais qui croirait que le gamin de 5ans a voulu hacké volontairement la console de Papa. C’est pas crédible 30secondes … Même en poisson d’avril c’est mauvais.







Et parce que cette faille est présentée avec humour il ne faut pas en parler ? Ce qui est intéressant ici c’est le fond : une faille à deux balles a été trouvée. Maintenant ca aurait du être une brève peut-être mais ca n’enlève rien au fond de la news.



Ca aurait été une news SONY y aurait eu une déferlante de commentaire sur le Playstation Network, des réflexions diverses et variés sur comment doit être testé et stocké un mot de passe, des réflexons style “OMG vu le bug, le reste doit pas être mieux” etc. <img data-src=" />


votre avatar







CryoGen a écrit :











Non non n’y voit aucun FanBoy - Isme çà aurait était Sony, Nintendo comme MS ( même Intellivision ) j’aurais dis la même chose au mot prés.



Je reste persuadé que des développeurs de Hack console avait déjà cette faille sous le coude, mais qu’ils n’ont rien dit, au cas où elle serait exploitable ailleurs.


votre avatar

Il y a une erreur dans l’article regardez à 1:07 c’est une XBOX 360 pas une XBOX One.

votre avatar







-L3M- a écrit :



Non non n’y voit aucun FanBoy - Isme çà aurait était Sony, Nintendo comme MS ( même Intellivision ) j’aurais dis la même chose au mot prés.



Je reste persuadé que des développeurs de Hack console avait déjà cette faille sous le coude, mais qu’ils n’ont rien dit, au cas où elle serait exploitable ailleurs.







Que d’autres aient vu la faille avant çà je ne dis pas non. Mais le commentaire que j’ai cité c’est qu’il fallait pas en parler parce que c’est présenté avec un gamin.


votre avatar







fraoch a écrit :



C’est elle qui a fait l’interface modern UI ? Ca explique bien des choses <img data-src=" />







Des grosses icônes pour ses gros doigts boudinés.


votre avatar







CryoGen a écrit :



Que d’autres aient vu la faille avant çà je ne dis pas non. Mais le commentaire que j’ai cité c’est qu’il fallait pas en parler parce que c’est présenté avec un gamin.







il faut en parler, mais ce qui me dérange c’est de présenter la news sous l’angle attendrissant du petit garçon pur et inoffensif qui a trouvé la faille et le défaut monstrueux de sécurité. Ca s’appelle une diversion. Tout les sites parlent du petit garçon et peu du sujet véritable. THE Epic FAILLE.


votre avatar







Jed08 a écrit :



Mais personne ne se demande pourquoi une faille aussi grosse est découverte par un gamin de 5 ans alors que des hackeurs chevronnés n’ont rien trouvé ?







Aucun challenge… et puis pour 50 $ et 4 jeux, il ne se déplace même pas. Un chaton aurait pu trouver cet oubli honteux. Les hackeurs ne font pas concurrences aux chatons.


votre avatar

Microsoft aurait pu utiliser une armée de singe pour tester ses interfaces

votre avatar







Charly32 a écrit :



C’est surtout que toute la presse relaie ça comme si le bambin était un futur GeoHot en puissance. La faille a été découverte par hasard (je n’ai rien contre le hasard, de nombreuse découverte scientifiques y sont dues) et c’est visiblement tombé sur un enfant de 5 ans. C’est amusant, ça fait sourire, ça donne des sueurs froides (bravo la sécurité du truc), mais pas de quoi sortir des titres comme ceux là :



Je suis désolé, mais pour un adulte, c’aurait été le piratage du siècle. Avec les kikitoudur du piratage de Microsoft en 2 touches en prime. <img data-src=" />

Et oui c’est un piratage. Avec maintien dans un système automatisé de traitement de données


votre avatar







Toorist a écrit :



Et comme par hasard le papa est chercheur en sécurité…. moi y croire moyen à cette histoire ! <img data-src=" />

Le papa à découvert un “mini-bug” (vu qu’a priori ca affecte que le contrôle parental) et à refilé ca au fiston pour que ca aille sur son futur cv :o







ouais… et forcément les médias se ruent dessus, du pain béni…


votre avatar







darkbeast a écrit :



là tu ne crack pas le mot de passe sous seven, tu change le mot de passe du compte local, sans connaitre l’ancien (il faut juste connaitre le login)





Si je me rappelle bien, c’est pareil sous linux du moment que tu as accès physiquement à la machine…



votre avatar







Faith a écrit :



Si je me rappelle bien, c’est pareil sous linux du moment que tu as accès physiquement à la machine…







A partir du moment que ta un acces physique, c’est plus ou moin mort.



OS X : Tu peut via le disque d’install faire saute le pass root, et apres creer un compte admin comme tu veut.



Linux : Avec un live CD, tu peut t’amuse sois a la bourin, en editant /etc/shadow, ou en chroot a recree un user/changer le pass root, ou si ta deja un user, te rajoute a la /etc/sudoers



Windows : Je me rapelle plus de la procedure manuel, mais il existe 15 000 000 de livecd pour le faire.



La seul solution (quoi que encore pas parfaite), c’est de chiffre le disque systeme, mais si l’attaquant a un acces physique a la machine en route, c’est mort (La cle est dans la ram)


votre avatar







desmopro a écrit :



A partir du moment que ta un acces physique, c’est plus ou moin mort.



OS X : Tu peut via le disque d’install faire saute le pass root, et apres creer un compte admin comme tu veut.



Linux : Avec un live CD, tu peut t’amuse sois a la bourin, en editant /etc/shadow, ou en chroot a recree un user/changer le pass root, ou si ta deja un user, te rajoute a la /etc/sudoers



Windows : Je me rapelle plus de la procedure manuel, mais il existe 15 000 000 de livecd pour le faire.



La seul solution (quoi que encore pas parfaite), c’est de chiffre le disque systeme, mais si l’attaquant a un acces physique a la machine en route, c’est mort (La cle est dans la ram)







Tu peu protéger “secureboot” pour empêcher les modifications, et en prime te passer du secureboot made in microsoft : suffit d’être ta propre autorité de certification. Pour ce faire rien de plus simple :

-Tu génère tes propres clés (via package GNU-EFI + efitools + sbsigntool)

-Tu signe tes binaires

-Tu installe tes propres clés

-Tu lock ton firmware



=&gt; si ton bootcd/liveCD n’est pas signé, ton disque d’install pas signé non plus, avec tes propres clés (pas celles de miscrosoft quoi) ça boot pas, donc a partir de là, hormis laisser un terminal root ou un compte avec droits administratifs ouverts, tu peu toujours te brosser Martine, et même sans ça tu prétend qu’il faut “juste” reset le bios ? Pas de soucis la parade existe aussi : la NVRAM des cartes mères stockant les informations ne se reset plus avec un reset bios une fois lockdown, et même avec un accès root, tu peut empêcher l’accès aux données nvram/fichiers modifiant une partition avec le bon flag EFI (efi protected partition)

T’as laissé le shell EFI installé et signé ? Pas de soucis, tu peu le protéger aussi …



http://www.rodsbooks.com/efi-bootloaders/secureboot.html je te laisse voir le tuto en détail mais grâce a ça tu peut te prémunir de tout se que tu décris, te passer de microsoft, et bénéficier de toutes les avancées de secureboot sans aucuns soucis tout en faisant booter uniquement se que tu veux sur ta machine. Elle est pas belle la vie ? (ok, c’est pas forcément a la portée de tout le monde mais bon, ça pas mon problème)



Edit : et en cadeau bonus, avec un module TPM et les disques qui vont bien, tu peut même stocker tout en mode encrypté donc même en extrayant le disque, tu peu encore une fois te brosser :/


votre avatar







KissFC a écrit :



Tu peu protéger “secureboot” pour empêcher les modifications, et en prime te passer du secureboot made in microsoft : suffit d’être ta propre autorité de certification. Pour ce faire rien de plus simple :

-Tu génère tes propres clés (via package GNU-EFI + efitools + sbsigntool)

-Tu signe tes binaires

-Tu installe tes propres clés

-Tu lock ton firmware



=&gt; si ton bootcd/liveCD n’est pas signé, ton disque d’install pas signé non plus, avec tes propres clés (pas celles de miscrosoft quoi) ça boot pas, donc a partir de là, hormis laisser un terminal root ou un compte avec droits administratifs ouverts, tu peu toujours te brosser Martine, et même sans ça tu prétend qu’il faut “juste” reset le bios ? Pas de soucis la parade existe aussi : la NVRAM des cartes mères stockant les informations ne se reset plus avec un reset bios une fois lockdown, et même avec un accès root, tu peut empêcher l’accès aux données nvram/fichiers modifiant une partition avec le bon flag EFI (efi protected partition)

T’as laissé le shell EFI installé et signé ? Pas de soucis, tu peu le protéger aussi …



http://www.rodsbooks.com/efi-bootloaders/secureboot.html je te laisse voir le tuto en détail mais grâce a ça tu peut te prémunir de tout se que tu décris, te passer de microsoft, et bénéficier de toutes les avancées de secureboot sans aucuns soucis tout en faisant booter uniquement se que tu veux sur ta machine. Elle est pas belle la vie ? (ok, c’est pas forcément a la portée de tout le monde mais bon, ça pas mon problème)



Edit : et en cadeau bonus, avec un module TPM et les disques qui vont bien, tu peut même stocker tout en mode encrypté donc même en extrayant le disque, tu peu encore une fois te brosser :/







Si ton but est d’empeche l’acces a cet machine exactement, oui, ou avec le disque chiffre (que ce sois via TPM ou autre).



Mais sinon, il suffit juste d’une machine non lock (eventuellement un portable/netbook et un boitier pour HDD USB), d’un tournevis et de 10 minutes pour accede au donne, et au choix soit les utilise depuis le laptop, sois faire saute l’identification et demarrer la machine protege.



De plus, je t’avourais que je me mefie de l’UEFI, les implementation faite dans une partie des CM sont assez terrible.



Une faille toute conne par exemple qui va affecte certaine carte ASUS, c’est la fonctionnalite FlashBack, qui va permettre de flashe n’importe quoi dans l’UEFI sans rien demande, suffit de mettre une cle USB prepare pour et d’appuye sur un bouton.


votre avatar







psn00ps a écrit :



Je suis désolé, mais pour un adulte, c’aurait été le piratage du siècle. Avec les kikitoudur du piratage de Microsoft en 2 touches en prime. <img data-src=" />

Et oui c’est un piratage. Avec maintien dans un système automatisé de traitement de données







Oui bien sur que c’est du piratage, mais c’est plutôt dû à MS qui a chié son truc qu’au talent de celui qui a découvert la faille.

Imaginons que la porte du coffre de la banque soit fermée de la manière suivante :





jeliel a écrit :



http://i.imgur.com/yqmp5KB.gif





Et que quelqu’un arrive à l’ouvrir…désolé, ce n’est pas et ce ne sera jamais le prince de l’effraction, c’est ce que je veux dire.


votre avatar



en appuyant plusieurs fois sur le bouton « Espace ». La Xbox One a alors considéré qu’il s’agissait du vrai mot de passe.







<img data-src=" />

Sérieusement !



Heureusement que m$ ne fait pas de systèmes d’exploitations, de serveurs, de contrôleurs de domaines,…

votre avatar







x689thanatos a écrit :



<img data-src=" />

Sérieusement !



Heureusement que m$ ne fait pas de systèmes d’exploitations, de serveurs, de contrôleurs de domaines,…





Personne n’a pensé à une(des) faille(s) volontaire(s) ?

Avec Kinect qui épie la voix et l’image, ça fait un sacré télécran <img data-src=" />


votre avatar

Comme quoi, y a pas besoin d’être une lumière pour passer pour un crack de hacker devant l’opinion publique tant que les médias sont là pour surjouer l’importance de l’évènement.



Sinon, je suis comme certains d’entre vous. Je trouve cette histoire trop irréaliste pour être vraie. les développeurs n’auraient pas pensé à une faille de sécurité uniquement en entrant des espaces…Vraiment… Et le hasard fait bien les chose puisque son père est justement lui-même chercheur en sécurité…

Franchement, ils auraient au moins pu le faire un peu plus en finesse. Mais il parait que plus c’est gros, et plus ça passe, alors pourvu que ça dure <img data-src=" />

votre avatar







mum1989 a écrit :



ça a sa place sur Pc inpact ?





Maintenant que ça s’appelle next inpact, oui<img data-src=" />


votre avatar

Petit malin ^^

Je suis néanmoins très curieux du POURQUOI d’un tel bug Oo



C’est assez surréaliste, c’est pas comme si la validation Xbox datait d’hier…Un oubli d’un programmeur pendant le dev ?



La seule raison pour un truc pareil d’exister serait que ça avait été mis là volontairement pendant le développement pour gagner du temps et qu’ils l’ont oublié ensuite ^^’

votre avatar

Gamin de 5 ans - 1 : Mircosoft - 0

votre avatar

<img data-src=" /> D’autres ont fait de meilleurs titres que vous ! comme :

La console de jeux Xbox One piratée par un enfant de 5 ans

A 5 ans, le petit génie qui fait trembler Microsoft



Bon, il n’a fait que des espaces <img data-src=" />

votre avatar

Franchement cette histoire est du story telling

on nous raconte une belle histoire

On attend toujours le foetus qui hackera la NSA

votre avatar

Mouais. Ou c’est le père chercheur en sécurité qui l’a trouvé et a voulu faire parler en mettant ça sur le dos de son fils.

Ou alors le fils jouait tout simplement comme tous les gamins de 5 ans à taper partout sur le clavier et hop coup de bol. S’il a compris tout seul que ça débloquait le truc et l’a refait pour enlever le contrôle parental de lui-même par contre je dis bravo.



M’enfin faire un roll face sur la barre espace pour désactiver le contrôle, j’appel pas vraiment ça un hack :

votre avatar

c’est chouette

et 4 jeux, un bon de 50\( et un an d’abonnement gratos (soit 50\))

ca nous porte l’ensemble a plus ou moins 350 $



pour bambin de 5 ans, c’est pas mal ^^



et pour son CV, plus tard il pourra ressortir le dossier <img data-src=" />

votre avatar







Soltek a écrit :



M’enfin faire un roll face sur la barre espèce pour désactiver le contrôle, j’appel pas vraiment ça un hack :\







Non c’est un coup de génie ! ;)


votre avatar

Les chercheurs en sécurité sont payés avec



quatre jeux, un bon de 50 dollars ainsi qu’un abonnement d’un an au Xbox Live





<img data-src=" />?

votre avatar

Et comme par hasard le papa est chercheur en sécurité…. moi y croire moyen à cette histoire ! <img data-src=" />

Le papa à découvert un “mini-bug” (vu qu’a priori ca affecte que le contrôle parental) et à refilé ca au fiston pour que ca aille sur son futur cv :o

votre avatar

C’est quoi cette histoire ? C’est quoi ce bug en carton ?

votre avatar

C’est Valérie Damidot qui avait raison quand on voit le niveau des devs de MS <img data-src=" />

votre avatar







Soltek a écrit :



Mouais. Ou c’est le père chercheur en sécurité qui l’a trouvé et a voulu faire parler en mettant ça sur le dos de son fils.

Ou alors le fils jouait tout simplement comme tous les gamins de 5 ans à taper partout sur le clavier et hop coup de bol. S’il a compris tout seul que ça débloquait le truc et l’a refait pour enlever le contrôle parental de lui-même par contre je dis bravo.



M’enfin faire un roll face sur la barre espèce pour désactiver le contrôle, j’appel pas vraiment ça un hack :\







on rappelle que le mome a 5 ans …….

Et si c’etait si simple que cela, les adultes auraient aussi trouvé ce n’est pas le cas.

Et si c’est la cas :

soit ils gardaient le trucs pour eux a fins malhonnêtes, soit ils sont idiots



Et si c’est le papa qui a trouvé et qu’il donne la découverte a son fils, je vois pas ou les mal



On parle pas d’un remede contre le cancer quand meme, faut relativiser.


votre avatar

C’est ce que je fais pour me logguer avec n’importe quel compte sur PCI, quelques espaces (je ne vous dirai pas le nombre exact) à la place du mot de passe.

votre avatar







ActionFighter a écrit :



C’est Valérie Damidot qui avait raison quand on voit le niveau des devs de MS <img data-src=" />







C’est elle qui a fait l’interface modern UI ? Ca explique bien des choses <img data-src=" />


votre avatar

En tout cas, j’aimerais bien connaitre la raison d’un tel oubli de securité

votre avatar

ca sent l’enfumage cette news

c’est comme celle de cette gamine qui remporte le prix intel pour une pile rechargeable faite en supraconducteur (alors que le pere est lui meme chercheur dans cette brancheur …50 000€ dans la poche Merci “Papa”)





http://www.ladepeche.fr/article/2013/05/23/1632902-18-ans-invente-batterie-smart…

votre avatar

Tout ceci est vrai. Je viens de l’essayer avec seven. Il fallait juste un peu plus d’espaces, mais ça cause aussi un buffer overflow. Pratique vu que j’avais oublié mon mot de passe.

votre avatar

pour un tel bug … 4 jeux et 50 $

je me serais tu !

votre avatar







Dr.Wily a écrit :



C’est quoi cette histoire ? C’est quoi ce bug en carton ?





Is this real life? <img data-src=" />


votre avatar







gokudomatic a écrit :



Tout ceci est vrai. Je viens de l’essayer avec seven. Il fallait juste un peu plus d’espaces, mais ça cause aussi un buffer overflow. Pratique vu que j’avais oublié mon mot de passe.







combien d’espaces ?


votre avatar

OMG ce genre de faille fonctionnait… y’a 15 ans de cela ! Tient je vais retester le truc de rentrer un mot de passe de plus de 256 caractères.

votre avatar

ça sent le beau code de debug laissé en plein milieu du code de prod :p

votre avatar







Tim-timmy a écrit :



ça sent le beau code de debug laissé en plein milieu du code de prod :p







j’ai pensé exactement la meme chose <img data-src=" />


votre avatar







bxav14 a écrit :



pour un tel bug … 4 jeux et 50 $

je me serais tu !







à 5 ans 4 jeux et 50 dollars t’es le maitre de la cour de récrée


votre avatar







darkbeast a écrit :



à 5 ans 4 jeux et 50 dollars t’es le maitre de la cour de récrée







déjà que pour 10 dollars Ashley te montre son zizi au toilettes des filles…


votre avatar







gokudomatic a écrit :



Tout ceci est vrai. Je viens de l’essayer avec seven. Il fallait juste un peu plus d’espaces, mais ça cause aussi un buffer overflow. Pratique vu que j’avais oublié mon mot de passe.







mouais c’est pas comme si les mots de passe locaux de seven se faisaient sauter en 5 minutes


votre avatar

La joie du petit Ouaaaaaaaa je peux enfin jouer à Call Of <img data-src=" />

votre avatar



bool function authentification ( mdp ){ 



if ( trim ( mdp ) == "" ) return false;   


...


}





Au cas où les dev nous lisent

votre avatar



le jeune joueur a simplement entré… plusieurs espaces vides…La Xbox One a alors considéré qu’il s’agissait du vrai mot de passe.

Je suis content de n’avoir ni XBox ni enfant, et je m’étonne que personne ait pensé à essayer cette méthode avant.

votre avatar







saf04 a écrit :



déjà que pour 10 dollars Ashley te montre son zizi au toilettes des filles…







une fille avec un zizi ? <img data-src=" />


votre avatar







darkbeast a écrit :



une fille avec un zizi ? <img data-src=" />





Tu veux vraiment un lien pour te prouver que ça existe ? <img data-src=" />


votre avatar

ça a sa place sur Pc inpact ?



au mieux ça devrait être une brève.

votre avatar

C’est quoi ces conneries.



Cette info a été verifié outre mesure. Quelqu’un avec une XBox NON a jour a t’il constaté a la faille ( a moins que la faille soit coté server avec un account microsoft donc a la battle.net ou steam. J’ai pas de XBox aucune idée donc ) ?



J’ai du mal a y croire, ça n’a aucun espèce de sens, que ça soit pour des tests developer ou autre, que des espaces valide une connexion. Je doute du sérieux de cette info et du fait de la reprendre.

votre avatar







ActionFighter a écrit :



C’est Valérie Damidot qui avait raison quand on voit le niveau des devs de MS <img data-src=" />







<img data-src=" />


votre avatar

Heu, ça fait quand même sacrément tiep cette faille! on est sûr que l’histoire à été entièrement relatée pacq là… <img data-src=" />

votre avatar







mum1989 a écrit :



ça a sa place sur Pc inpact ?

au mieux ça devrait être une brève.





Ça a peut-être pas sa place sur PC INpact, mais sur Next INpact si <img data-src=" />



<img data-src=" />


votre avatar







monpci a écrit :



Franchement cette histoire est du story telling

on nous raconte une belle histoire

On attend toujours le foetus qui hackera la NSA





<img data-src=" />


votre avatar







FunnyD a écrit :



<img data-src=" /> D’autres ont fait de meilleurs titres que vous ! comme :

La console de jeux Xbox One piratée par un enfant de 5 ans

A 5 ans, le petit génie qui fait trembler Microsoft



Bon, il n’a fait que des espaces <img data-src=" />







Je l’avais vu aujourd’hui, du grand journalisme !!


votre avatar







Jed08 a écrit :



Tous le monde qualifie ce gars de “génie” ou chanceux et les devs de chez MS d’incapable.

Mais personne ne se demande pourquoi une faille aussi grosse est découverte par un gamin de 5 ans alors que des hackeurs chevronnés n’ont rien trouvé ?





Ou alors ils l’avaient trouvé mais n’avaient rien dis car ça permettrait de faire plus de choses ;-)


votre avatar



le père, étrangement, verrait plutôt son fils s’orienter vers la sécurité.





Il va au devant de graves désillusions, s’il pense que taper des espaces montre qu’il a des prédispositions en sécurité <img data-src=" />

votre avatar







darkbeast a écrit :



mouais c’est pas comme si les mots de passe locaux de seven se faisaient sauter en 5 minutes







Testé et approuvé <img data-src=" />


votre avatar







razcrambl3r a écrit :



Testé et approuvé <img data-src=" />







C’est vrai? “1234” ça craque plus vite sous win7 que sous Ubuntu. <img data-src=" /><img data-src=" />


votre avatar







Eracius a écrit :



Honte intersidérale pour le développeur qui a laissé passer ça…



Mais la vrai question c’est …. comment c’est possible O_o ? A moins de le faire exprès, comment la chaîne composé de caractères “espace” peut être considéré comme égale au mot de passe ??



A moins que … les développeurs aient “oublié” ça dans le code mais franchement ça craint..





Ce n’est pas sa faute au développeur : dans l’environnement de développement, le module lié au contrôle de mot de passe n’est pas disponible. Il ne l’est que sur les environnements d’homologation et de production. Question de budget ! <img data-src=" />



Toute ressemblance avec des vrais projets n’est que pure coïncidence. Ce n’est pas possible ce genre de raisonnement dans la vie réelle —&gt;[]


votre avatar







after_burner a écrit :



C’est vrai? “1234” ça craque plus vite sous win7 que sous Ubuntu. <img data-src=" /><img data-src=" />







Non pas “1234”, juste un petit copier/coller d’un petit fichier avec l’invite de commande <img data-src=" />


votre avatar







after_burner a écrit :



C’est vrai? “1234” ça craque plus vite sous win7 que sous Ubuntu. <img data-src=" /><img data-src=" />







là tu ne crack pas le mot de passe sous seven, tu change le mot de passe du compte local, sans connaitre l’ancien (il faut juste connaitre le login)



cadeau :youtube.com YouTube


votre avatar

Ça me rappellehttp://imgur.com/bI4Z9?tags en pire <img data-src=" />

votre avatar

Wargame<img data-src=" />

Un enfant de cinq ans découvre une faille de sécurité dans la Xbox One

  • Kristoffer mentionné dans la liste des chercheurs remerciés en mars 

Fermer