« Can You Find It ? » : cassez le code, répondez aux questions, le GCHQ recrute

Toutes les réponses déjà sur Twitter

Avatar de l'auteur
Sébastien Gavois

Publié dans

Logiciel

13/09/2013 3 minutes
50

Le « Government Communications Headquarters », alias GCHQ, l'agence anglaise du renseignement, vient de lancer un concours destiné aux hackeurs en herbe ainsi qu'aux plus aguerris : « Can You Find it ? ». Pour ceux qui arrivent à résoudre les énigmes, il y a peut-être des cadeaux ainsi qu'une embauche à la clé.

Can You Find It

Le flegme britannique : un concours hacking en pleine affaire Prism, lancé le 11/09

Toujours au cœur de l'actualité, l'affaire Prism connait régulièrement de nouveaux rebondissements. De l'écoute des télécommunications à la surveillance massive d'internet, nous sommes récemment passés au contournement des systèmes de chiffrement des données... ou au passage en force si cela n'est pas possible. 

 

C'est donc dans un climat de tensions importantes que le service du renseignement électronique du gouvernement britannique a décidé de se lancer dans un concours de... décryptage. Pour cela, un site internet a été mis en place : « Can You Find It ? ». Notez qu'il s'agit de la suite d'un autre concours organisé fin 2011 : « Can you Crack It ? ». Selon les services de renseignement britannique, ce dernier avait d'ailleurs connu un certain succès avec 95 millions de pages vues pour 3,2 millions de visiteurs uniques.

Un code constitué avec ses meilleurs mathématiciens... 

On y retrouve plusieurs blocs de lettres et cinq questions. Il faudra évidemment résoudre l'énigme afin d'accéder aux épreuves suivantes. Le GCHQ précise que les codes ont été créés par une équipe constituée des meilleurs mathématiciens de ses services et qu'ils ont décidé de placer la barre très haut. Reste à voir si les participants seront du même avis... mais il semblerait bien que non.

 

Can you Find it ? Ye too easyCan you Find it ? Ye too easy

... les réponses déjà sur Twitter

En effet, les bonnes réponses semblent déjà toutes disponibles sur internet, alors que le concours n'est ouvert que depuis quelques heures. @Topman52001 par exemple les a mises en ligne sur son compte Twitter. Pour les connaitre, il suffit de suivre ce lien.

 

Bien évidemment, derrière ce concours qui sera ouvert pendant six semaines, il s'agit également de tenter de dénicher les talents de demain. Ainsi, les plus curieux, inventifs et créatifs (ou simplement ceux qui savent chercher sur Google ?) pourront être recrutés par le service, même s'ils ne disposent pas des diplômes en relation avec ce poste. Bien évidemment, il faudra dans ce cas être résident du Royaume-Uni et âgé de plus de 18 ans.

 

Pour participer, c'est par ici que ça se passe.

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Le flegme britannique : un concours hacking en pleine affaire Prism, lancé le 11/09

Un code constitué avec ses meilleurs mathématiciens... 

... les réponses déjà sur Twitter

Commentaires (50)




Le GCHQ précise que les codes ont été créés par une équipe constituée des meilleurs mathématiciens de ses services et qu’ils ont décidé de placer la barre très haut.





En effet, les bonnes réponses semblent déjà toutes disponibles sur internet, alors que le concours n’est ouvert que depuis quelques heures.



“Can You Find Epic Fail?”


Pas forcément plus compliqué que les concours PCI <img data-src=" />


Ils font un tirage au sort après pour départager ? <img data-src=" />








maestro321 a écrit :



“Can You Find Epic Fail?”





Les Epic Fail, ce sont ceux qui ont trouvé et qui ont donné les réponses. <img data-src=" />



Tu n’est pas obligé d’aller voir les réponses non plus si tu veux chercher par toi même… :)


<img data-src=" /> c’est grâce a twiter que Sébastien a pu nous faire un screen shot avec des bonnes réponses <img data-src=" />


Yeah…

Pas besoin de se faire chier à chercher les gens qui peuvent passer outre nos protections, il suffit de leur jeter un os et ils viennent tout seuls se signaler…



“Comment obtient-on l’arme d’un ecclésiaste ? On lui demande.”








psn00ps a écrit :



Les Epic Fail, ce sont ceux qui ont trouvé et qui ont donné les réponses. <img data-src=" />







M’est avis que ceux qui ont donné les réponses ne sont pas britannique, ils y avaient rien a gagner.



Fallait offrir 1 000 000 £, avec tirage au sort. Là, personne ne fait fuiter les bonnes réponses normalement <img data-src=" />








Stargateur a écrit :



<img data-src=" /> c’est grâce a twiter que Sébastien a pu nous faire un screen shot avec des bonnes réponses <img data-src=" />







Ouep, mais sans les spoiler pour ceux qui veulent s’amuser <img data-src=" />



Plus que les bonnes réponses, ce qui serait intéressant, c’est l’explication et la méthodologie employée.



Bon, ça tient pas sur twitter par contre :)




Pour ceux qui arrivent à résoudre les énigmes, il y a peut-être des cadeaux ainsi qu’une embauche à la clé.

Si on gagne un officier haut-gradé de l’armée de l’air + un scientifique de haut rang qui débarque chez toi pour te téléporter sur un vaisseau spatial, prêt à partir pour une planète où se trouve une porte des étoiles à neuf chevrons… C’est non, j’ai vu la fin à la télé, on fini dans un frigo pour une période indéterminée. <img data-src=" />








cid_Dileezer_geek a écrit :



Si on gagne un officier haut-gradé de l’armée de l’air + un scientifique de haut rang qui débarque chez toi pour te téléporter sur un vaisseau spatial, prêt à partir pour une planète où se trouve une porte des étoiles à neuf chevrons… C’est non, j’ai vu la fin à la télé, on finit dans un frigo pour une période indéterminée. <img data-src=" />





Bien vu ! <img data-src=" />

<img data-src=" />









psn00ps a écrit :



Les Epic Fail, ce sont ceux qui ont trouvé et qui ont donné les réponses. <img data-src=" />





C’est bien pour ça qu’il est plus simple d’organiser un banal tirage au sort des bonnes réponses à partir de questions bidons.




M’étonnerais pas qu’ils aient hacké le site plutôt que le code. Ou par brute force. J’ai zieuté, ça m’a l’air faisable.


“Le résultat on s’en fout, l’important c’est le raisonnement” (Le péril jeune, 1994)



http://www.r00t.cz/Misc/CanYouFindIt


@Anozer : Je me suis demandé aussi… Quand la porte du coffre est trop imposante, on perse le mur…


C’est innocent de décoder pour ces “organismes” ? On ne dirait pas selon Matt Damon dans Will Hunting :http://www.youtube.com/watch?v=hP7rECT9N0U


Par contre, “Surname” ça veut dire nom de famille, Gavois Sébastien.








cid_Dileezer_geek a écrit :



Si on gagne un officier haut-gradé de l’armée de l’air + un scientifique de haut rang qui débarque chez toi pour te téléporter sur un vaisseau spatial, prêt à partir pour une planète où se trouve une porte des étoiles à neuf chevrons… C’est non, j’ai vu la fin à la télé, on fini dans un frigo pour une période indéterminée. <img data-src=" />





Quitte à choisir entre un frigo et vivre dans ce monde qui s’enfonce dans la bêtise (guerre/violence/insécurité/impots…) je choisi le frigo.

Mais bon, j’ai pas le cerveau pour <img data-src=" />









piwi82 a écrit :



“Le résultat on s’en fout, l’important c’est le raisonnement” (Le péril jeune, 1994)



http://www.r00t.cz/Misc/CanYouFindIt





ça vaudrait le coup de l’ajouter dans le corps de la news



Je verrai bien que les réponses sur internet (qui sont explications) ne soit pas les bonnes mais “un pot de miel”…pour éliminer les petits malins qui ne veulent que pomper les réponses








vince120 a écrit :



ça vaudrait le coup de l’ajouter dans le corps de la news





La source est fiable?

Le raisonnement est fiable?









Drepanocytose a écrit :



“Comment obtient-on l’arme d’un ecclésiaste ? On lui demande.”









<img data-src=" /> Je l’ai regardé hier soir ! (Equilibrium pour ceux qui se demandent)









lorksoft a écrit :



Je verrai bien que les réponses sur internet (qui sont explications) ne soit pas les bonnes mais “un pot de miel”…pour éliminer les petits malins qui ne veulent que pomper les réponses





Oups, pas d’edit possible …. Grrrrr …..

donc a priori certains ont mis les explications ….. j’ai pas vérifier … mais du coup mon raisonnement ne tient pas ….

je prends la porte et je me cache !

—&gt;[]



LOL, tout le monde crois que ce sont les bonnes réponses.

En fait c’est une fausse piste. Le système accepte les 5 réponses, mais la vérité est ailleurs. <img data-src=" />








maestro321 a écrit :



La source est fiable?

Le raisonnement est fiable?





J’ai regardé la majorité des étapes (pas eu le courage de jouer avec leur clé privé ^^) et ça fonctionne donc je suppose que oui.



Mais clairement, c’était assez simple (même si encore trop pour moi, mais je suis très mauvais en énigmes ^^), c’est un peu du troll que de dire que leurs meilleurs mathématiciens était sur le coup, y a quasi rien niveau cryptage.



Juste un XOR à la con comme on en trouve dans tous les cryptages du pauvre et qui se casse super facilement, le reste demande juste un peu de temps pour tester quelques trucs, ou plus simplement de demander à Google car le GCHQ ne semble pas savoir que Google fouillent pernamence toutes les pages du web… Alors qu’ils ont basés leurs étapes sur des pages “cachés” (mais pas cachés des crawlers donc).









Pc_user a écrit :



Ils font un tirage au sort après pour départager ? <img data-src=" />







Non, il y a la traditionnelle question subsidiaire :



Combien de fois vos conversations ont été interceptées par la NSA lors de 24 dernières heures




  • La NSA, c’est quoi ?

  • 100000

  • Elles l’ont toutes été



D) La réponse D








Bball a écrit :



Quitte à choisir entre un frigo et vivre dans ce monde qui s’enfonce dans la bêtise (guerre/violence/insécurité/impots…) je choisi le frigo.

Mais bon, j’ai pas le cerveau pour <img data-src=" />





J’ai pas les neurones non plus, mais si ils débarquent chez moi je signe tout de suite, même si c’est uniquement pour faire la popote.

On gravira les échelons ensuite, l’environnement fournissant une bonne émulation à mon avis.



Et puis pour le frigo, ça me changera pas trop du placard sans clim où je suis actuellement. <img data-src=" />









Drepanocytose a écrit :



Yeah…

Pas besoin de se faire chier à chercher les gens qui peuvent passer outre nos protections, il suffit de leur jeter un os et ils viennent tout seuls se signaler…



“Comment obtient-on l’arme d’un ecclésiaste ? On lui demande.”





Equilibrium

grilled









Anozer a écrit :



M’étonnerais pas qu’ils aient hacké le site plutôt que le code. Ou par brute force. J’ai zieuté, ça m’a l’air faisable.





Tu peux m’expliquer comment en deux mots ?



Ou alors comment ils ont “h4cké le site” aussi, ça m’intéresse.









Bicounet a écrit :



Tu peux m’expliquer comment en deux mots ?



Ou alors comment ils ont “h4cké le site” aussi, ça m’intéresse.





Tu envoies en POST un paramètre answer en Json du genre :

answer

Object { answerNum=“answer-1”, answer=“testderéponse”}



sur cette url :https://canyoufindit.co.uk/service/JsonGCHQCyberJobs2013Service.svc/checkAnswer



Et ensuite en fonction de la réponse en bruteforce tu peux essayer de trouver…

En théorie, ça devrais être ça, mais le serveur à peut-être des protections pour limiter le nombre de requêtes d’un même client.



Si y’a un script sur la page qui t’indique si tu ‘as donné les bonnes réponses ou non, je suppose que ça ne doit pas être bien dur de trouver les requêtes qui vont bien pour lui faire cracher le morceau… si le site a été mal conçu.








Bicounet a écrit :



Tu peux m’expliquer comment en deux mots ?



Ou alors comment ils ont “h4cké le site” aussi, ça m’intéresse.









C’est exactement ce qu’a dit maestro321. Pour ça que la force brute me parait la plus cohérente, étant donné que ce sont des mots du dico.



Si tu as chrome, fait “affichage / option pour les développeurs / outils de développement”

Puis regarde l’onglet “network” lorsque tu remplie un champ et appuie sur la flèche.



Tu as tout ce qu’il te faut pour faire un script automatique et tester.



Au vu des prix, je suis tente de mettre les reponses juste pour le concours<img data-src=" /> Et apres c’est comme un tirage au sort classique.

Le probleme c’est que dans le reglement il y a le fait qu’ils contactent les gagnants pour l’offre d’emploi et possibilite de prendre des photos des vainqueurs, si gros coup de bol je gagne un Nexus, ca va peut etre pas le faire…<img data-src=" />



Des expats au UK ont tente leur chance?








Anozer a écrit :



C’est exactement ce qu’a dit maestro321. Pour ça que la force brute me parait la plus cohérente, étant donné que ce sont des mots du dico.



Si tu as chrome, fait “affichage / option pour les développeurs / outils de développement”

Puis regarde l’onglet “network” lorsque tu remplie un champ et appuie sur la flèche.



Tu as tout ce qu’il te faut pour faire un script automatique et tester.





Ou alors en decodant “normalement”

Spoiler pour ceux qui veulent savoir comment trouver les reponses: Ici









frscot a écrit :



Ou alors en decodant “normalement”

Spoiler pour ceux qui veulent savoir comment trouver les reponses: Ici





Ça c’est dans un deuxième temps, une fois que tu as trouvé les réponses il est bien plus facile de trouver la marche à suivre pour crypter/décrypter. <img data-src=" />



C’est quoi les réponses????


Sa y est, c’est fait. Mais si il y a un traqueur dans la rapidité (ceux qui ont triché) je suis hors concours.


Menfin, quelque part, il n’y a même pas besoin de chercher les réponses pour participer au tirage au sort, le site est tellement bien fait que le formulaire pour donner ses coordonnées après avoir trouvé les réponses est inclus dans la page et caché.



Site codé par des experts en sécurité ?



<img data-src=" />


En espérant que cela ne soit pas un pot de miel <img data-src=" /> (Honey Pot)


“Terms and Conditions



…. If you enter one of our competitions, we will assume that you have read these rules and that you agree to them.





2 To enter a competition you must be: (a) UK resident; and (b) 18 years old or over at the time of entry.”



Du coup pour les FRA ou n’importe qui d’autre qu’un anglais ya aucun intérêt à participer ?








cid_Dileezer_geek a écrit :



Si on gagne un officier haut-gradé de l’armée de l’air + un scientifique de haut rang qui débarque chez toi pour te téléporter sur un vaisseau spatial, prêt à partir pour une planète où se trouve une porte des étoiles à neuf chevrons… C’est non, j’ai vu la fin à la télé, on fini dans un frigo pour une période indéterminée. <img data-src=" />





MEGA HS :

Cette fin me satisfait, si nouvelle saison ou film il y a, je n’en attends qu’une chose : L’annonce que le Destinée a été englouti par un Quasar suite à un BSOD de l’ordinateur de bord.



Plus Belle La Vie… In space. <img data-src=" />



Voir une série comme Stargate se faire Seppuku avec un tel étron… <img data-src=" />



PS: Je parle pas de la dernière bagnole d’Audi. <img data-src=" /> (Ils fument quoi au département marketing ?)









TriEdge a écrit :



Du coup pour les FRA ou n’importe qui d’autre qu’un anglais ya aucun intérêt à participer ?



Plus depuis que les réponses ont été données, à part le challenge.



Mais il pourrait y avoir plus à trouver.









chevket a écrit :



Menfin, quelque part, il n’y a même pas besoin de chercher les réponses pour participer au tirage au sort, le site est tellement bien fait que le formulaire pour donner ses coordonnées après avoir trouvé les réponses est inclus dans la page et caché.



Site codé par des experts en sécurité ?

<img data-src=" />

<img data-src=" />





Après inspection rapide, rien de choquant, les réponses sont envoyées conjointement aux coordonnées, il y a donc vérification coté serveur de l’intégrité des données, RAS.



Ce qu’ils ne disent pas c’est qu’il y a deux codes secrets.



Le facile, qu’on trouve en utilisant des logiciels grand public



Et il y a l’autre code <img data-src=" />


Si il est possible de valider sans connaitre la solution il est probable que que le type qui fait ca intéresse aussi les Britanniques <img data-src=" />








von-block a écrit :



Ce qu’ils ne disent pas c’est qu’il y a deux codes secrets.



Le facile, qu’on trouve en utilisant des logiciels grand public



Et il y a l’autre code <img data-src=" />





Mine de rien c’est plutot cohérent, d’un coté on attire tout les hackeur de bas étages et de l’autre on place un code caché donnant accès au job.



Selon une analyse de fréquence, le Q est un espace et les autres caractères apparaissent dans une quantité attendue.



Disposez les caractères dans une matrice de 13 colonnes x 11 lignes (oubliez les groupes de 5), remplacez la lettre Q par un espace et effectuez la lecture de haut en bas, colonne par colonne pour obtenir le message.



La raison pour utiliser un tableau de 13 x 11 est qu’il y a 28 groupes de 5 caractères (28 x 5 = 140) et un dernier groupe de 3 caractères donc un total de 143 caractères. Les facteurs de 143 sont 13 et 11, donc 13 colonnes et 11 lignes.



Pour la question 1, vous lirez ce texte : A computer would deserve to be called intelligent if it could deceive a human into believing that it was human



Réponse : (Alan) Turing



Toutes les réponses :





  1. Turing

  2. bletchley

  3. enigma2013

  4. colossus

  5. SECURED