Bonjour à tous,
Aujourd’hui, je souhaite vous parler d’un petit défi que l’on s’était donné avec des amis : avoir enfin du café gratuitement. Bon, avant tout, pour éviter tout problème judiciaire potentiel, je tiens à préciser que cela a été effectué dans les règles de l’art et que tout café obtenu gratuitement a par la suite été remboursé [hum :-)].
Les machines à café en question ? Celles que vous trouvez un peu de partout, les nouvelles générations, avec un superbe écran tactile. Je ne veux pas de soucis avec l’entreprise donc il n’y aura pas de photo, mais disons que c’est une machine que vous avez déjà côtoyé, ça, j’en suis sûr :-)
Il s’avère qu’un jour, cette même machine tombe en panne… Nous remarquons, au travers du module d’erreur qu’elle tourne sur Windows (parfait ahah). Se lance alors un weekend effréné de tentatives d’intrusions … sans introduction physique dans le support (tout se déroule au travers de l’écran tactile de la machine). C’est notre jour de chance : à un moment, on peut accéder à un clic droit sur l’écran tactile et de fil en aiguille, nous voilà sur un terminal (vous savez, l’écran noir que les développeurs utilisent pour se déplacer dans l’ordinateur) avec un clavier virtuel pour taper des commandes. (3 heures se sont écoulées je dirais, mais toujours pas de café gratuit)
On commence à se balader pour comprendre comment la machine a été conçue, c’est ce que l’on appelle du retro-engineering, mais on commence à stresser … lire du code sur l’écran tactile d’une machine à café, c’est pas très discret … et même si c’est la nuit … on ne va pas tenter le diable ahah.
On décide de changer de stratégie : on contourne les protections et on envoie le code source de la machine sur un serveur local pour pouvoir lire sur nos ordis.
Le travail sérieux commence : on lit du code, on essaie de comprendre comment ces dizaines de milliers de lignes sont imbriquées, comment tout tourne. Mais là, je vous avoue que c’est du travail de cochon : rien n’est commenté, c’est vraiment mal fichu … ça nous prends donc un peu de temps. Ce n’est pas grave, on le veut vraiment notre café gratuit ahah :-)
1h après je dirais, nous commençons à avoir une idée de comment tout ça fonctionne. En effet, ces machines tactiles tournent sur des applications web lancées sur un Google Chrome où le clic droit a été désactivé.
Une fois ça compris, on remonte l’origine du code, où est-ce que les connections sont effectuées, où les prix sont-ils mis à jour ?
On cherche … on cherche, et au final on trouve une dizaine de codes cryptés en Base64 … C’est-à-dire pas cryptés du tout (une simple recherche google « Base64 to base10 » et vous avez un décryptage de votre mot de passe soi-disant super protégé.
Mais attendez, ça, ce n’est rien ! Le plus grave … c’est que l’on a trouvé, commenté dans le code source (je dis bien commenté) tous les mots de passe nécessaires à la prise de contrôle de la machine et ceux des serveurs contrôlant toutes les machines de la région entière. Allez, café gratos pour 100.000 personnes demain ahah (non je rigole, je ne veux pas finir en prison)
Bref, avec ces codes, on arrive à mettre la machine en mode test, donc à avoir du café gratuitement … YOUHOU. On arrive aussi à modifier les données envoyées à l’entreprise pour que tout soit cohérent -> s’il n’y a plus de café au bout d’un jour mais que la machine n’a pas collecté d’argent cela va paraître vraiment suspect. On peut ajouter des produits, modifier les prix, bref, on est administrateurs.
On a par ailleurs essayé d’aller plus loin : installation d’un backdoor (en gros un virus) pour avoir un contrôle direct sur la machine, sans avoir besoin qu’elle bug de nouveau pour avoir accès au Windows. Notre idée était aussi de pouvoir la débugger nous-même … en effet, les techniciens sont toujours trop longs quand la machine plante, maintenant, on est root (administrateur) dessus, donc à part pour les problèmes physiques, on gère.
On a donc réussi notre pari, super, cependant, nous restions curieux : qui est capable de faire de telles erreurs ?? On n’est pas allé vérifier sur les serveurs régionaux car ça relève du pénal en cas de soucis, mais je suis persuadé que nous aurions pu prendre le contrôle de toutes les machines de la région.
On se remet en mode fouine, et on cherche encore plus dans le code … Puis, Bingo !! Voici le nom du fameux développeur (une femme en l’occurence) … on la cherche sur internet et on se rend compte qu’elle bosse maintenant … au RSI !! Je ne sais pas vous, mais aux vues du code que j’ai vu et des erreurs commises, si j’étais vous, j’aurais très peur pour vos impôts ahahahah.
Cheers,
Guillaume de Rouville
(Accéder à la liste de tous mes articles)
Embaucher, virer, gérer les stocks et les clients, tout cela je l'ai vécu en gérant une entreprise d'un secteur traditionnel à 18 ans.
Cela m'a permis de confirmer l'objectif de ma prochaine décennie : créer une entreprise bénéficiant d'une croissance exponnentielle où 7% de croissance par semaine serait la norme.
Le monde des startups étant devenu tellement médiatique, il faut remettre à plat tous les postulats et utiliser les vrais outils des temps modernes, ceux dont personne ne parle.
Je souhaiterais partager avec vous sur Objectif Eco tout ce que j'ai appris jusqu'à ce jour et tout ce que je vais apprendre sur le magnifique chemin qu'est la confrontation d'une idée au marché.
Dans le même temps, la vie heureuse peut se résumer au travers des 3F, qui sont : freedom, family/friends and fitness.
Comprendre les implications de chacun des ces pans de notre vie est indispensable afin de vivre une vie bien vécue. J'ai toujours voulu les optimiser, et cette quête d'optimisation n'est pas prête de s'arrêter.
Cheers,
guillaume.derouville {} gmail.com
Avec des amis, on pirate une machine à café, et c’est mauvais signe pour la France (enfin vos impôts) !
Audience de l'article : 6409 lectures
Nombre de commentaires : 5 réactions
Derniers articles de Guillaume de Rouville
- Mise à jour de la formation Caméléon + une intelligence artificielle qui vaut le coup !
- Mon expérience avec les nootropics ... Ou comment une pilule peut augmenter votre productivité !
- On exploite une faille sur un site de paris en ligne ... :-)
- Les outils d'aide à la décision qui ont changé ma vie : adieu la procrastination !
- On challenge un business model par conviction grâce à de l'intelligence artificielle !
- Avec des amis, on pirate une machine à café, et c’est mauvais signe pour la France (enfin vos impôts) !
Poster un commentaire
5 commentaires
-
Lien vers le commentaire
mercredi, 17 octobre 2018 08:08
Posté par
Laurent Thomas
Effectivement très courant, y compris pour des systèmes essentiels.
Si vous en avez l'occasion, regardez le contenu réel de la formation en informatique pure dispensée dans les écoles d'ingénieur Française ainsi que la formation des enseignants.
Le pire est nos élus: la plus part pourraient être moqués par les guignols comme Chirac avec le mulot.
99% des élus, des journalistes, ... sont des litéraires pour qui tout objet technologiques est magique.
Même le "spécialiste" Mounir Mahjoubi a fait science politiques et n'a jamais exercé un métier scientifique ou "numérique" (sic). -
Lien vers le commentaire
mercredi, 17 octobre 2018 06:17
Posté par
alex6
Chacun ayant bosse avec des programmeurs sait que la realite, c'est que ca code a l'arrache dans 95% des cas... le peuple pense que tout est gere et sous controle avec des pros qui codent d'une maniere bien structure et propre, Agile methodologie et cie, tu parles!
Les prises de tete sur des projets avec les gars qui codent au dernier moment lors de la mise en route sur site et moi qui tente d'expliquer au client ce qui se passe...
Sueur garantie...! -
Lien vers le commentaire
mardi, 16 octobre 2018 18:34
Posté par
Guillaume Derouville
Ahahah :-)