À 10 ans, une jeune fille découvre une vulnérabilité et hacke des jeux pour mobile

Info insolite : sous son pseudonyme de hacker CyFi, une fillette de 10 ans a découvert une faille « 0-day » (jamais exploitée auparavant) qui toucherait pas mal de jeux sur mobile aussi bien iOS qu’Android et qui pourrait même présenter des dangers plus grave pour les données du téléphone. La classe !

Info insolite : sous son pseudonyme de hacker CyFi, une fillette de 10 ans a découvert une faille « 0-day » (jamais exploitée auparavant) qui toucherait pas mal de jeux sur mobile aussi bien iOS qu’Android et qui pourrait même présenter des dangers plus grave pour les données du téléphone. La classe !

Credit: Seth Rosenblatt/CNET

Originaire de Californie, la jeune fille qui a choisi comme pseudonyme de hackeuse « CyFi », a réussi en manipulant l’horloge interne du système de son Smartphone et en contournant les systèmes de sécurité liés à cette pratique à tirer parti d’une vulnérabilité à ce jour inconnue sur certains jeux pour mobile.

Elle a présenté ses trouvailles au tout premier DefCon (conférence de hacking underground) pour enfants. Dans sa présentation intitulée « les Apps, des voyageurs du temps et de l’espace (et ce que j’ai appris sur les failles « zero-day » et leur divulgation responsable) », CyFi a expliqué devant plus de 100 personnes qu’elle avait été capable de contourner les systèmes de sécurité appliqués par les programmeurs  et à hacker les applications en jouant sur l’horloge interne de l’appareil.

La faille

A la base, ce hack est l’un des plus classique. Imaginez par exemple un programme avec une période d’essai limitée à 30 jours, après ces 30 jours quand la version d’essai s’arrête, pourquoi ne pas reculer l’horloge interne de la machine pour faire croire au programme qu’il reste encore du temps ?

C’est bien joli mais ça fait longtemps que des systèmes de sécurité ont été mis en place pour empêcher cette manipulation. Notamment sur les smartphones qui sont régulièrement connectés sur Internet, le système interne des application va de temps en temps vérifier en ligne que la date interne correspond à celle du serveur.

C’est là que CyFi, qui jouait un jeu du type Farmville et qui voulait faire pousser ses légumes virtuels à vitesse grand V ne s’est pas laissée décourager. Après de multiples expérimentations de changement d’horloge de son smartphone, elle a réussit en combinant différentes techniques à contourner les systèmes de sécurité mis en place et à effectivement mettre une pâtée à ses concurrents fermiers. Les astuces utilisées vont de la restriction de l’accès Internet de son appareil au moment des contrôles de sécurité à l’augmentation graduelle du temps d système au lieu de tout d’un coup pour ne pas alerter le système de sécurité.

Elle n’a pas donné les noms précis des applications qu’elle a réussit à hacker grâce à cette technique mais a signalé la faille aux développeurs pour qu’ils la corrigent. C’est donc grâce à cette trouvaille qu’elle a remporté le concours en empochant une récompense de 100 dollars… ce qui est assez radin, d’autant plus que d’autres programmes potentiellement plus importants que des jeux utilisent les mêmes systèmes de sécurité et pourraient être hackés de la même manière. Bravo et respect en tout cas à cette jeune hackeuse déjà célèbre ! 🙂


24 commentaires

  1. ouais facile en fait…….. :-s huuumm, huummm…

    Grand Respect pour cette jeune fille ! 🙂
    Et j’espère sincèrement qu’elle récoltera autre chose que ces 100 dollars… car elle a va faire économiser des centaines de milliers de dollars aux développeurs de jeux…

  2. Pingback: Une fillette de 10 ans trouve une faille sous iOs et Android !

  3. Moi ce qui me fait halluciner c’est l’hypocrisie de ce concours : un concours récompensant les meilleurs enfants hackers… C’est pas considéré comme un délit le piratage ? Pourquoi pas un concours pour les enfants du meilleur « braqueurs de banques » alors ?

  4. @Jeux de fille : pour votre information, les hackers travaillent pour beaucoup dans un cadre on ne peut plus légal à la sécurité informatique. Les récompenser (de manière bien faible ici vu les économies qu’elle va générer) peut les inciter à s’orienter vers des tâches légales, bien que cette approche soit sans doute bien naïve. Après tout, nosu formons aussi des soldats, vous ne les considérez pas tous comme des assassins en puissance ?

    Il me semble d’ailleurs qu’on parle normalement de Cracker plus que de Hacker pour des gens comme ceux qui composent Anonymous, mais le terme Hacker semble avoir pris le dessus….

  5. Pingback: Ma revue du Web du jour ! (09/08/2011) | Geek & Cochonneries

  6. On peut pas avoir plus de détail ? Car bon changer l’heure, je le faisait sur mon tamagotchi pour qu’il ai 99 ans en 1 heure passé sur les chiotte quand j’avais moins de 10 ans, je suis passé à coté de 100$ 😉

    C’est tout de même un truc très connu sur ce type de jeu sur l’iPhone ou autre. Ceci étant elle a du aller encore plus loin, sinon elle n’aurait pas gagné le prix !

Commenter

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Presse-Citron 2005 - 2018 | A propos | Contact | Site hébergé par Cognix Systems | Informations sur les cookies