Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierKorben

Claude Opus a écrit seul l'exploit qui a éventré la billetterie de Live Nation

Par : Korben ✨
3 juillet 2026 à 10:51

Un chercheur en sécurité nommé Ian Carroll s'est amusé à lâcher Claude Opus sur la billetterie de Live Nation, afin d'y trouver des failles de sécurité, et l'IA lui a carrément écrit toute la chaîne d'exploitation sans aucune aide. Lui n'a eu qu'à le lancer...

Tout démarre avec une session de fuzzing sur l'API des terminaux, fgtapi.frontgatetickets.com. Carroll repère un truc... chaque endpoint qui contient le mot "device" réclame un paramètre deviceUID, et ce paramètre ne demande aucune authentification. Il colle un simple guillemet à la fin, la requête se met à ramer, et là, signe classique, le paramètre file direct dans une requête SQL sans le moindre échappement.

Une injection SQL bien à l'ancienne (si vous voulez voir à quoi ça ressemble, j'avais déjà décortiqué le principe il y a un bail).

Sauf qu'un WAF AWS est planté devant pour bloquer ce genre de payload. Et c'est là que Claude entre en scène. L'IA pige toute seule que le pare-feu n'inspecte que la couche extérieure de la requête, et qu'il suffit de planquer l'injection dans une sous-requête imbriquée pour passer sous le radar.

Ensuite elle se fabrique un oracle booléen aveugle qui fait que selon que la condition testée est vraie ou fausse, le serveur renvoie deux réponses différentes, "MC70-023" pour vrai, "Intellitix Upload" pour faux. Vous enchaînez ensuite les questions oui/non, et vous reconstituez la base entière, caractère par caractère.

Et la base, elle est bien garnie. Plus de 500 tables dans un ensemble baptisé fgs avec dedans les emails et mots de passe du personnel, ceux des clients, les tokens de reset, les tokens d'API et les jetons OAuth encore actifs. Avec ça, Carroll précise qu'il aurait pu émettre autant de billets gratuits qu'il voulait, pour n'importe quel événement.

Mais c'est une personne pleine de sagesse (et qui ne veut pas aller en prison) alors il ne l'a pas fait. Et surtout, il a tout remonté à Live Nation. Le lendemain où il les a contactés, la boîte confirmait le déploiement d'un correctif.

Ce qui est intéressant ici, c'est que le contournement du WAF par sous-requête, et la construction de l'oracle, tout ça a été proposé par Claude, et ne vient pas d'une demande du chercheur. On avait certes, déjà vu l'IA d'Anthropic dénicher des failles dans Firefox ou éplucher du code Apple II vieux de 40 ans mais là, c'est un sacré cran plus loin, je trouve.

Merci à Ian Carroll pour le writeup détaillé .

Source : CyberSecurityNews

Relay attack - Ils volent une voiture avec un babyphone

Par : Korben ✨
22 juin 2026 à 20:36

Vous vous souvenez du streamer Twitch qui s'était fait piquer sa caisse en plein live, à cause d'un boîtier bizarre posé contre sa porte d'entrée ?

Tout le monde a crié au fake évidemment, sauf que dans une certaine mesure, c'était vrai ! Et le voleur, c'était Mark Rober en personne, l'ex-ingénieur de la NASA devenu YouTubeur, qui a inventé toute cette mise en scène pour démontrer une bonne fois pour toutes comment on vole une voiture récente sans même toucher à la serrure.

La méthode s'appelle la relay attack, l'attaque par relais, et le principe est tellement simple que c'en est gênant. En effet, les voitures passent leur vie à chuchoter, quatre fois par seconde environ, des petits "hé psst, t'es là, ma clé ?". Et quand la clé est assez proche pour entendre ce murmure, elle hurle en retour le mot de passe secret qui déverrouille les portes et permet de démarrer le véhicule. Sauf que ce chuchotement, une équipe de voleurs peut le capter depuis votre voiture, l'amplifier, et le balancer jusqu'à votre clé restée sur le meuble de l'entrée ou dans la poche de votre veste. La clé croit alors que la voiture est juste là, elle répond, et hop, la caisse s'ouvre. Ça prend 30 secondes chrono, ça ne déclenche aucune alarme, et surtout y'a aucune effraction, ce qui arrange bien ces inutiles d'assureurs.

Alors pour bien comprendre comment tout ceci fonctionne, Rober a voulu s'équiper comme un vrai voleur. Direction le dark web, où un certain Dimitri (un russe... Bah quoi les clichés ?) lui a vendu un boîtier de vol clé en main pour 12 000 dollars en Bitcoin. L'appareil arrive, il le passe au CT Scan pour voir ce qu'il y a dedans sans le faire péter, et le verdict tombe : il s'est fait escroquer comme un débutant.

En fait, tous les composants hors de prix de ce machin pouvaient être remplacés par la même chose que ce qu'on trouve dans un babyphone vidéo de 2004.

Le babyphone de 2004 dont les entrailles remplacent un boitier dark web a 12 000 dollars.

La caméra du babyphone capte un signal, l'antenne le transmet à l'écran déporté et il suffit de couper deux fils au bon endroit pour transformer ça en relais radio . Son clone maison lui est donc revenu à quelques centaines de dollars de matos au lieu des douze mille que Dimitri a empochés. Et surtout il fonctionnait mieux que l'original. Breeeef...

Avant ce genre d'attaque, voler une bagnole demandait quand même un peu de doigté. Le slim jim, une tige métallique qu'on glissait dans la portière, a été tué dans les années 90 par les constructeurs qui ont blindé les mécanismes de serrure. Le démarrage en pontant les fils façon Mac Gyver est devenu inutile le jour où un calculateur ECU a pris le contrôle du moteur. Et plus récemment, vous avez peut-être entendu parler des Kia Boys , ces ados qui ont fait le tour de TikTok en démarrant des Kia et Hyundai d'avant 2022 avec un simple câble USB enfoncé dans le contact.

C'était couillon, mais ces modèles n'avaient pas d'antidémarrage électronique... une économie de bout de chandelle des constructeurs qui leur a quand même coûté 8,3 millions de véhicules à patcher en urgence. Comme quoi, la sécurité par l'obscurité, ça finit toujours par se payer un jour ou l'autre...

Et est-ce que vous saviez ce que deviennent ces voitures une fois envolées ??

Eh bien, même si l'essentiel des vols est l'œuvre d'abrutis d'ados qui font joyride pour Instagram , le reste est récupéré par une filière criminelle très organisée, démonté en pièces détachées dans un atelier en moins d'une heure ou encore expédié en conteneur à l'autre bout du monde.

Maintenant, pour bloquer les attaques relais et toutes ses déclinaisons, il suffit d'empêcher votre clé d'entendre ce "chuchotement" de la voiture. La première règle, qui est aussi la plus bête, est donc de ne JAMAIS poser vos clés près de la porte d'entrée... Éloignez-les au maximum, à l'autre bout de votre logement si vous le pouvez

Et la deuxième règle, c'est d'empêcher la clé de capter quoi que ce soit... Une boîte à biscuits en métal fait par exemple parfaitement l'affaire. Ou alors un bout de papier alu pour l'emballer...

Une simple boite a biscuits en métal suffit a rendre la clé sourde.

C'est ce qu'on appelle une cage de Faraday dans laquelle le signal radio préfère filer dans le métal conducteur plutôt que de traverser. Les pochettes anti-RFID vendues une dizaine d'euros font pareil et sont quand même plus classe, mais testez-les avant de leur faire réellement confiance.

Ah et sinon, sur certains modèles comme ma Ioniq 5 , vous pouvez aussi désactiver l'ouverture automatique "à distance via la clé et "sans les mains" et exiger une pression sur le bouton de la clé. C'est plus safe même si c'est moins fun ^^.

Un grand merci à Lilian pour le partage.

❌
❌