Microsoft a récemment récompensé un enfant de cinq ans pour avoir découvert un peu par hasard une faille de sécurité dans le système d’authentification de la Xbox One. Cette brèche, déjà corrigée, a permis au jeune découvreur de figurer en bonne et due forme dans les remerciements de la firme aux chercheurs en sécurité.
C’est une histoire peu commune mais qui s’est finalement bien terminée pour un enfant de cinq ans. Kristoffer, dont le père possède depuis peu une Xbox One, souhaitait jouer à la console de salon. Cette dernière était affiliée au compte Microsoft du père, Robert Davies, et donc protégée par un mot de passe. Il tente une première fois de deviner le mot de passe et échoue. La seconde fois cependant, il réussit à passer.
Aurait-il trouvé par chance, et en deux tentatives seulement, le mot de passe de son père, lui-même chercheur en sécurité ? Absolument pas : il a mis le doigt sur un problème. Lorsque la console lui a demandé une nouvelle fois d’entrer le mot de passe du compte, le jeune joueur a simplement entré… plusieurs espaces vides, en appuyant plusieurs fois sur le bouton « Espace ». La Xbox One a alors considéré qu’il s’agissait du vrai mot de passe.
La faille de sécurité, plus que manifeste, a été constatée par le père plus tard, qui en a réalisé une vidéo pour Microsoft. Lorsque l'éditeur a été averti du problème, le correctif a été développé assez rapidement et il est en fait déjà diffusé. Le père, racontant l’évènement à 10news.com, indique par ailleurs qu’il était particulièrement fier de son fils.
Kristoffer mentionné dans la liste des chercheurs remerciés en mars
Le nom de « Kristoffer Wilhelm von Hassel » figure désormais en bonne et due forme dans la liste des personnes remerciées au mois de mars par Microsoft pour avoir fourni les détails d’une ou plusieurs vulnérabilités. Cette mention est d’autant plus amusante que le nom de l'enfant de cinq ans trône parmi ceux des chercheurs en sécurité informatique, qu’ils soient indépendants ou travaillant pour une entreprise.
Kristoffer a en outre été récompensé de ce signalement de faille, la déclaration ayant été faite en son propre nom par son père. L’enfant a donc reçu quatre jeux, un bon de 50 dollars ainsi qu’un abonnement d’un an au Xbox Live. Selon 10news, Kristoffer souhaite plus tard devenir un joueur, tandis que le père, étrangement, verrait plutôt son fils s’orienter vers la sécurité.
Commentaires (91)
#1
Petit malin ^^
Je suis néanmoins très curieux du POURQUOI d’un tel bug Oo
C’est assez surréaliste, c’est pas comme si la validation Xbox datait d’hier…Un oubli d’un programmeur pendant le dev ?
La seule raison pour un truc pareil d’exister serait que ça avait été mis là volontairement pendant le développement pour gagner du temps et qu’ils l’ont oublié ensuite ^^’
#2
Gamin de 5 ans - 1 : Mircosoft - 0
#3
La console de jeux Xbox One piratée par un enfant de 5 ans
A 5 ans, le petit génie qui fait trembler Microsoft
Bon, il n’a fait que des espaces
#4
Franchement cette histoire est du story telling
on nous raconte une belle histoire
On attend toujours le foetus qui hackera la NSA
#5
Mouais. Ou c’est le père chercheur en sécurité qui l’a trouvé et a voulu faire parler en mettant ça sur le dos de son fils.
Ou alors le fils jouait tout simplement comme tous les gamins de 5 ans à taper partout sur le clavier et hop coup de bol. S’il a compris tout seul que ça débloquait le truc et l’a refait pour enlever le contrôle parental de lui-même par contre je dis bravo.
M’enfin faire un roll face sur la barre espace pour désactiver le contrôle, j’appel pas vraiment ça un hack :
#6
c’est chouette
" />
et 4 jeux, un bon de 50\( et un an d’abonnement gratos (soit 50\))
ca nous porte l’ensemble a plus ou moins 350 $
pour bambin de 5 ans, c’est pas mal ^^
et pour son CV, plus tard il pourra ressortir le dossier
#7
#8
Les chercheurs en sécurité sont payés avec
" />?
quatre jeux, un bon de 50 dollars ainsi qu’un abonnement d’un an au Xbox Live
#9
Et comme par hasard le papa est chercheur en sécurité…. moi y croire moyen à cette histoire !
" />
Le papa à découvert un “mini-bug” (vu qu’a priori ca affecte que le contrôle parental) et à refilé ca au fiston pour que ca aille sur son futur cv :o
#10
C’est quoi cette histoire ? C’est quoi ce bug en carton ?
#11
C’est Valérie Damidot qui avait raison quand on voit le niveau des devs de MS
" />
#12
#13
C’est ce que je fais pour me logguer avec n’importe quel compte sur PCI, quelques espaces (je ne vous dirai pas le nombre exact) à la place du mot de passe.
#14
#15
En tout cas, j’aimerais bien connaitre la raison d’un tel oubli de securité
#16
http://i.imgur.com/yqmp5KB.gif
#17
#18
#19
Rien à foutre de qui a trouvé le bug… moi je veux le code source qui traite ce mot de passe
" />
if hash(code) == hashed_code:
elsif code == “ “:
else:
#20
Me dite pas que c’est encore un “goto FAIL;”
" />
#21
Ce petit est déjà bien connu, il semblerait que ce soit lui qui ait fait tomber HBO avec la nouvelle saison de GOT et qui a DDOSé des sites pour demander une ransom en bitcoin, un vrai petit génie
" />
" />
#22
Honte intersidérale pour le développeur qui a laissé passer ça…
Mais la vrai question c’est …. comment c’est possible O_o ? A moins de le faire exprès, comment la chaîne composé de caractères “espace” peut être considéré comme égale au mot de passe ??
A moins que … les développeurs aient “oublié” ça dans le code mais franchement ça craint..
#23
#24
#25
#26
Vu la méthode employée, un chaton aurait pu faire exactement la même chose
" />
#27
#28
#29
http://i.imgur.com/yqmp5KB.gif
hehehe
#30
Je ne comprends pas…
" />
" />
" />
En dehors du traitement fairy tale de cette info par des media en manque de poésie (ce qui ne gâche rien, c’est sympa je ne le nie pas), c’est pas quand même un peu la méga loose de pouvoir bypasser un mdp… avec des espaces ?
Parce que bon, il a bon dos le gamin, mais il est surtout utilisé pour “adoucir” le fond du sujet, qui est quand même un abime de ridicule pour l’éditeur nan ?
#31
La “faille” une aberration plutôt !
" />
Et certains se moquent encore de Sony qui sait pas faire’ une horloge qui passe l’année bissextile…. http://www.lesnumeriques.com/bug-mondial-ps3-termine-2010-est-bissextile-n12949….
#32
ca sent l’enfumage cette news
c’est comme celle de cette gamine qui remporte le prix intel pour une pile rechargeable faite en supraconducteur (alors que le pere est lui meme chercheur dans cette brancheur …50 000€ dans la poche Merci “Papa”)
http://www.ladepeche.fr/article/2013/05/23/1632902-18-ans-invente-batterie-smart…
#33
Tout ceci est vrai. Je viens de l’essayer avec seven. Il fallait juste un peu plus d’espaces, mais ça cause aussi un buffer overflow. Pratique vu que j’avais oublié mon mot de passe.
#34
pour un tel bug … 4 jeux et 50 $
je me serais tu !
#35
#36
#37
OMG ce genre de faille fonctionnait… y’a 15 ans de cela ! Tient je vais retester le truc de rentrer un mot de passe de plus de 256 caractères.
#38
ça sent le beau code de debug laissé en plein milieu du code de prod :p
#39
#40
#41
#42
#43
La joie du petit Ouaaaaaaaa je peux enfin jouer à Call Of
" />
#44
bool function authentification ( mdp ){
}
Au cas où les dev nous lisent
#45
le jeune joueur a simplement entré… plusieurs espaces vides…La Xbox One a alors considéré qu’il s’agissait du vrai mot de passe.
Je suis content de n’avoir ni XBox ni enfant, et je m’étonne que personne ait pensé à essayer cette méthode avant.
#46
#47
#48
#49
#50
#51
Tout simplement un code implémenter en dev pour gagner du temps je pense (on a la même dans ma boite avec un mdp simple mais il change tout seul en fonction de la dev/preprod/prod).
Par contre ça me sidère qu’il n’y est pas de test unitaire sur une fonction aussi basique avant de passer en prod, c’est justement fait pour éviter ce genre d’erreur !
#52
C’est à la mode ces temps si de faire le buzz avec son gamin: des adultes font le boulot, et en attribuent le succès à leur enfant…
[credits]Post rédigé par mon enfant de 10 mois[/credits]
#53
#54
Tiens pour une fois, PCi / NxI arrive bon dernier sur une news, j’aurais presque préféré que vous vous absteniez sur celle là, je suis d’accord avec les autres, c’est du pseudo sensationnel buzz qui n’en est pas vraiment. c’est le père qui a trouvé la faille avec OU sans l’aide de son fils. Mais qui croirait que le gamin de 5ans a voulu hacké volontairement la console de Papa. C’est pas crédible 30secondes … Même en poisson d’avril c’est mauvais.
#55
Tous le monde qualifie ce gars de “génie” ou chanceux et les devs de chez MS d’incapable.
Mais personne ne se demande pourquoi une faille aussi grosse est découverte par un gamin de 5 ans alors que des hackeurs chevronnés n’ont rien trouvé ?
#56
#57
#58
#59
Il y a une erreur dans l’article regardez à 1:07 c’est une XBOX 360 pas une XBOX One.
#60
#61
#62
#63
#64
ça a sa place sur Pc inpact ?
au mieux ça devrait être une brève.
#65
C’est quoi ces conneries.
Cette info a été verifié outre mesure. Quelqu’un avec une XBox NON a jour a t’il constaté a la faille ( a moins que la faille soit coté server avec un account microsoft donc a la battle.net ou steam. J’ai pas de XBox aucune idée donc ) ?
J’ai du mal a y croire, ça n’a aucun espèce de sens, que ça soit pour des tests developer ou autre, que des espaces valide une connexion. Je doute du sérieux de cette info et du fait de la reprendre.
#66
#67
Heu, ça fait quand même sacrément tiep cette faille! on est sûr que l’histoire à été entièrement relatée pacq là…
" />
#68
#69
#70
#71
#72
le père, étrangement, verrait plutôt son fils s’orienter vers la sécurité.
Il va au devant de graves désillusions, s’il pense que taper des espaces montre qu’il a des prédispositions en sécurité
#73
#74
#75
#76
#77
#78
Ça me rappellehttp://imgur.com/bI4Z9?tags en pire
" />
#79
Wargame
" />
#80
Microsoft aurait pu utiliser une armée de singe pour tester ses interfaces
#81
#82
#83
#84
#85
#86
#87
#88
en appuyant plusieurs fois sur le bouton « Espace ». La Xbox One a alors considéré qu’il s’agissait du vrai mot de passe.
Sérieusement !
Heureusement que m$ ne fait pas de systèmes d’exploitations, de serveurs, de contrôleurs de domaines,…
#89
#90
Comme quoi, y a pas besoin d’être une lumière pour passer pour un crack de hacker devant l’opinion publique tant que les médias sont là pour surjouer l’importance de l’évènement.
" />
Sinon, je suis comme certains d’entre vous. Je trouve cette histoire trop irréaliste pour être vraie. les développeurs n’auraient pas pensé à une faille de sécurité uniquement en entrant des espaces…Vraiment… Et le hasard fait bien les chose puisque son père est justement lui-même chercheur en sécurité…
Franchement, ils auraient au moins pu le faire un peu plus en finesse. Mais il parait que plus c’est gros, et plus ça passe, alors pourvu que ça dure
#91