Profitez de l'offre Black Friday d'Hostinger : www.hostinger.fr/underscore Et avec le code promo "UNDERSCORE", vous avez 10 % de réduction sur les plans de 12 mois et plus !
Franchement super vidéo, vous avez géré ! le curseur de la technicité du discours est très bien positionné, elle reste intéressante sans être trop simple, bravo.
La réponse "Oui, mais ici, on est dans un environnement sécurisé, on s'en balance de rajouter des sécurités", c'est une réponse que j'ai souvent eu y compris de part des informaticien censé s'y connaitre. J'ai même vu mieux encore "Oui mais si quelqu'un faisait ça, il risquerait gros" (Ce qui n'est même pas vraiment vrai, disons que l'entreprise risque sans doute plus, surtout si c'est un pirate bien caché basé en Russie...) notamment quand je leur dis, je pense que je pourrais arriver à faire quelques chose.
@@terreausore2435 Les fondations ne sont pas en sable. Refondre tout c'est se tromper car il est impossible de penser à toutes les attaques possibles. Les attaquant sont par définition opportunistes et ils trouveront toujours une failles. La bonne solution, c'est le solution Musk: l'itération. Il y a une faille là, on trouve une solution, une autre là, on patch... à un moment donné il faut revoir certaines choses. Mais c'est possible que si c'est modulaire. Or internet est hyper modulaire et donc hyper sécuritaire. Tor, c'est internet et c'est le summum de la sécurité.
Alors il y a quand même quelques failles dans cette explication. 1- OBS Websocket est une fonction inactive par défaut. Il faut que l'utilisateur l'active manuellement préalablement. 2- généralement on active le mot de passe qu'il faut échanger chiffré en sha256 durant le handshake 3- Les fonctions via OBS WS sont strictement limitées à des fonctions interne à OBS et aux plugins qui veulent en intégrer volontairement. Donc pas possible de sortir du soft même après intrusion. Par exemple la fonction de contrôle UPNP à toujours été refusée d'implémentation par sécurité en anticipation de ce attaques. Donc oui il y avait une faille XESS, mais depuis la création du plugin il y a de la prévention sur le sujet et des limitations. Et c'est encore plus le cas depuis que c'est devenu une feature officielle l'année dernière (OBS 28) Sans parler du fait que la plupart des logiciels qui exploitent OBS WS forcent l'utilisation du mot de passe.
Ben non vu que le onload ne charge pas en externe. Et je pense pas que tu puisse mettre en pseudo twitch "". Tu as la limite de taille de caractère déjà et y'a des caractère que tu peux pas mettre @@Salamafetz
La question de la limite de taille du pseudo (25 cars) et/ou du message posté sur le chat de twitch (420 cars?) aurait mérité d'être évoquée, parce qu'un script complexe en 420 c'est chaud en JS, alors en 25 cars j'en parle même pas. Il aurait dû s'arrêter au chargement d'une image porno, ça restait crédible et suffisamment grave pour le streamer
Je précise pour certains que le contrôle d'OBS via le websocket est uniquement possible que si le serveur serveur websocket est activé et sans mot de passe
Évidemment, mais il faut savoir que par défaut, le websocket n'est pas sécurisé, et AUCUN message d'alerte sur OBS ne t'avertis que ton WS est mal sécurisé, donc pour un streamer "lambda", bah le WS utilisé est mal sécurisé et donc, t'as un full access à OBS...
Il n'y a pas besoin de fin de vidéo. Chez Underscore_ la majeure partie du contenu réside dans le click bait, le putaclic et le divertissement en inventant des fausses histoires qui font passer les mecs qui expliquent n'imp dans les vidéos en "génie hackeurman trololxd".
@@Litheas Alors, je connais BenjaminCode depuis quelques temps, et je peux te confirmer que cette faille a bien existé et ce, bien avant la vidéo chez Underscore_, la démo, elle a bel et bien existé en live, il a fait pop un gros chat au milieu de la scene principale, tout en expliquant sur le chat comment il avait fait. Il n'y a donc aucun putaclic, c'est une vérité, l'injection XSS c'est un truc vraiment connu depuis des lustres, je dirais donc pas que le "hacker" en question a réussi un exploit irréel, il a juste exploité une faille qui existe lorsqu'on fait des appels non sécurisés... Cette faille a également existé sur des forums codés avec PHPBB à une époque, un innerHTML se baladait quelque part dans un bout de code, il te suffisait d'injecter ce que tu voulais et tu pouvais dès lors dialoguer avec le serveur web qui hébergeait la solution... A condition évidemment que le mot de passe root n'avais pas été changé...
Comment pirater un streamer grâce à son chat ? Etape 1 : Habituer le chat de la victime a ne manger que de la viande de boeuf cuite venant du boucher à l'heure du stream. Etape 2 : Arreter de donner à manger au chat Etape 3 : Attendre que le chat foute le dawa pendant le live du streamer parce que c'etait l'heure de bouffer !!!
C'est un peu comme lorsque tu fais une base de données en SQL, si tu laisses l'utilisateur interagir avec, il faut faire attention à la façon dont on fait cette requête. Donc jamais (dans python and sqlite3) faire un format string sinon tu injectes du code comme tu veux.
00:02 Prenez le contrôle du logiciel de streaming d'un streamer via un seul message dans le chat. 01:55 Affichage du nom du dernier abonné sur un panneau LED dans un décor 3D 03:49 La vidéo traite d'une faille XSS qui permet d'injecter du JavaScript dans le site Web de quelqu'un d'autre. 05:35 Le langage de balisage HTML permet l'intégration de balises de script capables d'exécuter du JavaScript. 07:20 Streamer peut être piraté en affichant du contenu inapproprié dans son flux. 09:10 La désactivation de la sécurité dans le chat permet de pirater le site Web d'un streamer. 10:54 La vidéo explique comment contourner les mesures de sécurité dans Chrome et accéder à la machine d'un streamer. 12:35 En ne disant pas bonjour à Obs, je me suis fait avoir et j'ai désormais la possibilité de communiquer avec Obs à partir d'un message de chat Twitch. 14:11 Utiliser des boutons pour envoyer des messages dans le chat et automatiser les changements de scène dans OBS. 15:50 Paramètres de streaming et vulnérabilités de sécurité du réseau local 17:37 L’élévation des privilèges dans un réseau local est un enjeu majeur en cybersécurité.
Merci, grâce à vous je viens de détecter une faille xss dans mon code sur une app d'overlay twitch pour obs... j'avais test les balises scripts mais pas le onload... je viens d'afficher une grosse paire de b.... dans mon obs juste en testant, le onload ne s'est pas exécuté mais bon... ça reste problématique
Lancer un live à sa place oh mon dieu haha, ca me rappelle le mmorpg new world où un mec avait trouvé qu'il pouvait faire du code via le chat du jeu...
Fin octobre 2021, 2 youtuber découvre que le chat de New world permet "d'utiliser" du HTML et que celui-ci l'exécute au lieu de le traiter comme du texte. Comble de la connerie des devs... le code s'exécute côté client et non coté serveur. Au début c'était gentillet les joueurs linkait des images de saucisses (image dans la base du jeu) mais assez rapidement des petits malins ont balancé du code que le jeu n'arrivait pas à exécuter... résultat tu passais ta souris sur l'image et hop ton jeu crashait. Abusé en war par certaines compagnies adepte de l'exploit (ex : stack de tempete de givre, le bug de heal infini dans les aoe heal, invulnérabilitée ). Ce problème de gestion de l'autorité client / serveur a permis notamment l'exploit d'invulnérabilité, le serveur attendant une réponse du client il "suffisait" de rendre le client non réactif . @@louisant1817
@@louisant1817 Alors, pour faire vraiment très simple parceque je veux pas dire de connerie, a l'ouverture du mmorpg "new world", il était possible de faire un injection xss (comme dans la vidéo) et donc d'envoyer tout et n'importe quoi dans le chat (et des mecs spammait des images)
LOL le recyclage de la vidéo de Benjamin code ! Micode, tu perds ta fraîcheur. Et t’as pas les reins pour jouer les Steve Jobs. Hardisk était bourrin, mais il était sincère. La gentillesse de Benjamin rayonne et éclaire le monde. Faut que tu trouves ta voie, mon grand. C’est ça qu’on veut : de la sincérité, de la fraîcheur… la candeur des joies de Mathieu, avec les accents aigus de sa voix lorsqu’il est étonné. Tu deviens sérieux, professionnel… de mon temps, on disait « commercial » 😢 Sinon, on retourne regarder la télé 😂🎉
Mec c'est seulement une rediffusion d'un vieux live twitch, c'est du contenu facile à partager ici, de l'argent facile des sponsors et de youtube, ... et presque pas de travail de sa part. Et tout le monde ne regarde pas le top 15 des youtubeurs tech de francophone, donc non pour moi c'est nouveau, car je n'ai pas que ça à faire de mon temps que de regarder 2h du live de micode (d'ailleurs c'est clairement un format TV que d'avoir des horaires, donc twitch et la TV c'est pareil) et les live des autres + toutes les vidéos + X. Je ne pense pas être la voix de la minorité quand je dis que j'ai un temps limité et autre chose à faire que de consacrer mon temps libre a quelques youtubeurs tech, donc il prend mon vu, mon like et ceux de 100 000 autres personnes comme moi... c'est presque gratuit et facile et même les grognons donnent des vues et le miracle c'est que c'est google et les sponsors qui paient pour nous.
Il n’empêche que le code initial c'était récupérer l'username, en sachant que sur twitch seul les alphanumériques ne peuvent être utilisé. Ça rend tout le POC caduc.
J'ai pas écouté le reste de la vidéo parce que je comprenais pas pourquoi ils parlaient pas du postulat de base : xss avec un pseudo twitch. Mais non, rien du tout
@Davyjones68200 Tu n'a pas perdu grand chose, la partie qui était intéressante sur l'exploitation de la communication entre le navigateur et OBS n'a pas vraiment été détaillé. (Ils ont passé plus de temps sur l'exploitation de la XSS)
Underscore_ c'est 30% de technique et 70% de "divertissement" pour le dire poliment. Je sais pas comment c'est sur les live mais sur la chaine youtube les vidéo son ultra survendu au détriment de la vérité, surtout les vidéo "sécurité". On a eu plusieurs fois des gens qui extermine la mafia avec un live ticktock ou ou une récupération de donné osef sur des disque d'occasion présenté comme le one piece. Perso je trouve sa divertissant comme une série policière "scientifique" avec les zoom X50 dans le reflet des lunette. Et y a des exception ultra intéressante avec les programmeur vlc ou les militants de framasost.
Bonjour, petite question : Il est précisé au début dans le twitt du début de vidéo que le hacker doit s'abonner avec un username contenant une balise si j'ai bien compris pour exploiter la faille XSS. Mais dans le reste de la vidéo, je ne crois pas que cela soit utilisé, sinon, comment accompagner la balise d'une image .png ou .jpeg par exemple si l'on souhaite afficher une image sachant qu'un pseudo ne peut contenir que du texte ? Si ce n'est pas avec un abonnement et un pseudo comprenant des balises, comment le hacker de la vidéo a procédé pour que exploiter .innerHTML ? Et si ça l'est ,comment a-t-il inséré une image ? Merci pour votre réponse
il a pas envoyé une image il a envoyé un code Javascript dans la balise innerHTML qui charge une image (qui pourait faire bcp plus). en gros, le speudo du mec c'est un script
@micode l’histoire est ding mais la miniature est l’intitulé de la cest du génie ton génie banalise son génie alors le mec c’est vraiment un génie . La Prouesse technique est la mais l’histoire est mal raconté. Comme français d’ailleurs
Loin de moi l'envie de dénigrer l'achievement de l'invité, mais pour le coup c'est pas du génie ^^ Les failles XSS c'est hyper connu et l'utilisation de onload est la première méthode que tu apprends. Donc en soit il a juste eu à minima un bon cours sur la cybersécu et les failles web les plus répandu. Ceci étant dis, gg à lui !
mec y a un truc que je comprend pas, a quel moment tu peux mettre onload="func()" comme username sur twitch... ou bien il utilise le parametre message ?
Tu ne peux pas et de toute façon c'est pas exploitable parce que Twitch (et tout le monde sauf eux apparemment) connaissent la différence entre innerText et innerHTML
C'est le cas pour des adresses distantes, mais localhost est traité différemment pour faciliter la vie des dévs, du coup pas de sécurité cors sur localhost Sinon ça serait trop chiant pour faire ton serveur local il te faudrait un certificat https validé, les bons headers, etc...
J'aimerai tellement que cette dernière phrase soit prise en compte par les acteurs de la tech française qui se cachent bien trop souvent avec un : "oui mais les conditions pour accéder à la machine sont trop complexes" tout ça pour laisser la porte grande ouverte avec des produits ULTRA obsolètes...
C'est beaucoup de blabla pour rien au final la faille n'a jamais existé, néanmoins c'est exactement le genre de scénario que je dois imaginer tous les jours sur mes programmes de bug bounty, et la faille XSS est présente dans au moins 80% des cibles, parfois trés dur à trouver avec une payload bien précise, mais parfois très facile à repéré, et les possibilités sont infime, le sujet n'est pas abordés, mais si la scène de benjamin été heberger sur un serveur on aurait trés bien pu fetch des fichiers ou des clés avec une simple requete FILE:///
Bonjour, j'ignorais qu'il était possible de se faire pirater par son chat, je comprends mieux maintenant son regard absorbé lorsqu'il me regardait jouer à STRAY 😮
J'ai du mal a comprendre, Benjamin a seulement fait un outil qui affiche le pseudo des gars du tchat, y'avait pas d'input, du comment il aurait pu faire tout ça ? S'il avait mis un truc pr envoyer un message j'aurais compris mais c'est pas ça là ... Ou alors j'ai mal compris ?
créer un compte et s'abonner est bien plus chiant qu'un message mais faisable, par contre c'est vrai que son histoire d'outils par dessus fait vraiment penser à quelquechose de plus simple
@@oznoone6892 oui mais non, ça récupérait le pseudo automatiquement, donc tu peux pas rentrer ce que tu veux, ou alors faudrait créer un compte avec un pseudo particulier, mais en plus ça marcherait même pas y'a pas de caractère alphanumériques niveau des pseudos du cp je vois pas comment c'est faisable là. La manière dont il a fait sa démonstration il pouvait mettre ce qu'il voulait en input, comme ci benjamin laissait les gens envoyaient ce qu'ils voulaient comme message.
@@oznoone6892 edit j'ai regardé la vidéo de Benjamin sur le sujet, en effet en l'état il aurait pu rien faire, il aurait pu faire qqch si et seulement si Benjamin avait fait une feature de message, ce qu'il comptait faire mais qu'il n'a finalement pas fait. Mais c'est pas expliqué dans l'underscore. Du coup il a pas vraiment réussi mais bon x)
Comment "ne pas" pirater un streamer grâce à son chat. Belle démonstration, mais on parle d'un pseudo twitch, pas d'un message, donc aucun risque pour Benjamin. Dommage, il passe pour un amateur dans la vidéo alors que son bout de code, oui pas le plus sécurisé, n'est pas vulnérable dans ce contexte.
Je parcourais les commentaires en cherchant si quelqu'un avait relevé que c'était le pseudo et pas un message qui s'affichait, du coup, merci ! Et c'est dommage, toute cette vidéo pour démontrer du coup quelque chose de complètement à côté de la problématique... A moins... à moins qu'au moment de sub, le message de sub soit aussi affiché... et là, ça a rapporté des sous au streameur de laisser le whitehat faire sa démo
N'empêche que ne pas nettoyer ses inputs c'est une très mauvaise pratique, donc je pense que l'invité a eu raison de le mentionner (même si il a clairement voulu faire le malin sur twitter le bougue ahah) Et puis m'est d'avis qu'il est surement pas impossible de forger un faux paquet qui serait envoyé à l'OBS du streamer ... Bref, nettoyez vos inputs :D
ya un problème dans les explications non ? Il sort une XSS, qui est une faille localisé navigateur et la en l'occurence il s'en sert pour une communication Websocket, ce qui reste coté navigateur en utilisant les commandes qu'OBS permet d'utiliser, et d'un coup ça part sur des explications comme quoi il aurait pu avoir accès à tous les services non sécurisés du réseau local, faut m'expliquer comment avec une XSS classique il peut avoir un accès à la machine ou aux services du réseau, à aucun moment il parle d'une RCE, on est sur une XSS, donc soit j'ai pas tout suivi soit c'est bullshit. Et pour l'élévation de privilège c'est justement le principe de tomber sur des accès restreints et de trouver des méthodes pour élever ces privilèges... Le mec il dit "si t'as un mdp, un token etc.. tu peux pas faire l'élévation de privilège alors que c'est justement pour ça que l'élévation de privilège existe, pour contourner les restrictions en place. N'importe quoi est raconté dans cette vidéo non ? Ou alors je suis mal réveillé
Bonne vidéo comme toujours :) ! Tu nous régale. Le poto est trop fort, mais après il a pas dit bonjour.Il a pas dit bonjour Sur ce, je vous réfère à la chanson de Vlad - Bonjour
Y'a quand même des gros problèmes dans cette """faille""". Bon déjà faut désactiver la sécurité OBS, c'est du niveau "il se passe quoi si on essaie de véroler un PC après avoir désactivé son antivirus" mais passons. Il faut avoir retiré le MDP sur le serveur WS... Ouai bon là c'est même plus chercher la merde on est au delà la. Non on ne peux pas escape OBS avec ça, c'est strictement limité aux fonctions internes du logiciel. Non c'est pas applicable, un pseudo (peu importe le site pour le coup) ne peux pas contenir les charactères spéciaux requis pour effectuer cette attaque... . Et c'est sans parler du fait (et c'est une BASE) que vous ne connaissez pas la différence entre innerHTML et innerText, """l'attaque""" ne fonctionne que si le pseudo est affiché via innerHTML, hors PERSONNE ne mets d'input user dans innerHTML C'est dommage, ça aurait pu être sympa
Apparemment Underscore_ est passé d'une chaîne de vulgarisation à une page de geeks invétérés pour les geeks de la mort. Perso, je comprends plus rien depuis plusieurs vidéos et à vrai dire, je me fous un peu des sujets désormais.
Moi au contraire je trouve que c'est moins poussé qu'avant, les intervenants sont moins pertinents je trouve. T'as l'impression que c'est plus compliqué car ils vulgarisent moins bien alors qu'en fait c'est pas ouf ce qu'ils montrent, ils font genre 💀avant c'était l'inverse et c'était beaucoup plus intéressant
@@iansmirna5183 C'est pas de l'entre soi, ça s'appelle une niche même si c'est devenu une grosse niche. Vraiment si tu ne piges rien, c'est peut-être juste pas fait pour toi, tu prendras plus de plaisir sur les emissions généralistes, c'est pas ça qui manque, et dis toi que les plus geeks d'entre nous trouvent déjà underscore trop généraliste. ps: Je suis pas dev non plus, mais le html c'est juste de la culture générale, connaître l'anglais par exemple est bien plus difficile.
@@Arkounay Je pense que c'est plutôt lié à la qualité des intervenants. Celles que j'ai appréciées récemment : Asahi OS, la machine de radiothérapie, Colin/Elder Scrolls, Jean-Baptiste Kempf
une chance que le haker a prévenu benjamin parceque dautre ne l,aurais pas fais et faire baucoup de dégats tant vie privé que monétaire (Ex vider les comptes banquaire)
Que je comprenne bien, cela veut dire que Benjamin aurait un firewall qui autorise l'entrée d'un utilisateur dans son réseau local sans qu'il en soit averti ?
Ce mec sait pas parler, entre les expressions de wesh et les fautes de grammaire et de syntaxe. Apparemment d'après les comms, il sait pas coder non plus, dommage pour un développeur.
Tout support est piratable, avec plus ou moins de temps a disposition et des sécurité en place. Le cloudba bien été piraté plusieurs fois. Et d'autres industries plus ou moins bien sécurisé. Il y a aussi des portes d'accès dans beaucoup d'appareils connecté maintenant, ou il y a que tres peut de sécurité 😂.
Profitez de l'offre Black Friday d'Hostinger : www.hostinger.fr/underscore
Et avec le code promo "UNDERSCORE", vous avez 10 % de réduction sur les plans de 12 mois et plus !
J'ai cru que mon chat pouvait pirater un streamer...
Miaou 😸 je te hack 😂😂😂
Et moi qu’il allait faire de la chirurgie esthétique
😂😂😂
C'est le cas, il a demandé des croquettes en rançon...
Après le phishing, le catfishing.
Groupe Bilderberg ? Aha…
Les chats seront maîtres du Monde demain.
À demain du coup.
Dommage qu’on ne voit pas la démonstration à la fin du hack en live !
ben il a tout expliqué la ...
Franchement super vidéo, vous avez géré ! le curseur de la technicité du discours est très bien positionné, elle reste intéressante sans être trop simple, bravo.
Super intéressant de voir toute l'enquête pour arriver à valider une faille comme ça, merci !
La réponse "Oui, mais ici, on est dans un environnement sécurisé, on s'en balance de rajouter des sécurités", c'est une réponse que j'ai souvent eu y compris de part des informaticien censé s'y connaitre. J'ai même vu mieux encore "Oui mais si quelqu'un faisait ça, il risquerait gros" (Ce qui n'est même pas vraiment vrai, disons que l'entreprise risque sans doute plus, surtout si c'est un pirate bien caché basé en Russie...) notamment quand je leur dis, je pense que je pourrais arriver à faire quelques chose.
Carrément ☣️
Il faudrais tout refaire pour que l’informatique soit sécurisé
@@idaillplay2327 Non, je ne suis pas partisan de ce genre de théorie car cela se sécurise.
@@terreausore2435 Les fondations ne sont pas en sable. Refondre tout c'est se tromper car il est impossible de penser à toutes les attaques possibles. Les attaquant sont par définition opportunistes et ils trouveront toujours une failles. La bonne solution, c'est le solution Musk: l'itération. Il y a une faille là, on trouve une solution, une autre là, on patch... à un moment donné il faut revoir certaines choses. Mais c'est possible que si c'est modulaire. Or internet est hyper modulaire et donc hyper sécuritaire. Tor, c'est internet et c'est le summum de la sécurité.
@@idaillplay2327et ce serait qd mm pas secu lol
Alors il y a quand même quelques failles dans cette explication.
1- OBS Websocket est une fonction inactive par défaut. Il faut que l'utilisateur l'active manuellement préalablement.
2- généralement on active le mot de passe qu'il faut échanger chiffré en sha256 durant le handshake
3- Les fonctions via OBS WS sont strictement limitées à des fonctions interne à OBS et aux plugins qui veulent en intégrer volontairement. Donc pas possible de sortir du soft même après intrusion. Par exemple la fonction de contrôle UPNP à toujours été refusée d'implémentation par sécurité en anticipation de ce attaques.
Donc oui il y avait une faille XESS, mais depuis la création du plugin il y a de la prévention sur le sujet et des limitations. Et c'est encore plus le cas depuis que c'est devenu une feature officielle l'année dernière (OBS 28)
Sans parler du fait que la plupart des logiciels qui exploitent OBS WS forcent l'utilisation du mot de passe.
Surtout que ça interagit pas avec le chat mais avec le pseudo du dernier follow, impossible de mettre un pseudo qui a tout le script aussi
@@Clad3815 tu mets juste un script de redirection ou de chargement de fichier externe.
Puis, après, tu mets tout le code.
Ben non vu que le onload ne charge pas en externe. Et je pense pas que tu puisse mettre en pseudo twitch "". Tu as la limite de taille de caractère déjà et y'a des caractère que tu peux pas mettre
@@Salamafetz
Je viens de regarder car j'avais un doute : par défaut, les sources web peuvent accéder en lecture (seulement) aux informations d'état d'OBS.
La question de la limite de taille du pseudo (25 cars) et/ou du message posté sur le chat de twitch (420 cars?) aurait mérité d'être évoquée, parce qu'un script complexe en 420 c'est chaud en JS, alors en 25 cars j'en parle même pas. Il aurait dû s'arrêter au chargement d'une image porno, ça restait crédible et suffisamment grave pour le streamer
Je précise pour certains que le contrôle d'OBS via le websocket est uniquement possible que si le serveur serveur websocket est activé et sans mot de passe
Évidemment, mais il faut savoir que par défaut, le websocket n'est pas sécurisé, et AUCUN message d'alerte sur OBS ne t'avertis que ton WS est mal sécurisé, donc pour un streamer "lambda", bah le WS utilisé est mal sécurisé et donc, t'as un full access à OBS...
Où est la fin de la vidéo ?
On n'a pas le fin mot de l'histoire ?
???
Il n'y a pas besoin de fin de vidéo. Chez Underscore_ la majeure partie du contenu réside dans le click bait, le putaclic et le divertissement en inventant des fausses histoires qui font passer les mecs qui expliquent n'imp dans les vidéos en "génie hackeurman trololxd".
@@Litheas Alors, je connais BenjaminCode depuis quelques temps, et je peux te confirmer que cette faille a bien existé et ce, bien avant la vidéo chez Underscore_, la démo, elle a bel et bien existé en live, il a fait pop un gros chat au milieu de la scene principale, tout en expliquant sur le chat comment il avait fait.
Il n'y a donc aucun putaclic, c'est une vérité, l'injection XSS c'est un truc vraiment connu depuis des lustres, je dirais donc pas que le "hacker" en question a réussi un exploit irréel, il a juste exploité une faille qui existe lorsqu'on fait des appels non sécurisés...
Cette faille a également existé sur des forums codés avec PHPBB à une époque, un innerHTML se baladait quelque part dans un bout de code, il te suffisait d'injecter ce que tu voulais et tu pouvais dès lors dialoguer avec le serveur web qui hébergeait la solution...
A condition évidemment que le mot de passe root n'avais pas été changé...
@@Litheasen attendant je pense qu’il s’y connaît mieux en informatique que toi a faire le kiddie sur youtube
Comment pirater un streamer grâce à son chat ?
Etape 1 : Habituer le chat de la victime a ne manger que de la viande de boeuf cuite venant du boucher à l'heure du stream.
Etape 2 : Arreter de donner à manger au chat
Etape 3 : Attendre que le chat foute le dawa pendant le live du streamer parce que c'etait l'heure de bouffer !!!
En voyant le titre, je me doutais bien que Benjamin Code serait présent sur la vidéo ! J'avais déjà vu cette histoire quelque part
C'est un peu comme lorsque tu fais une base de données en SQL, si tu laisses l'utilisateur interagir avec, il faut faire attention à la façon dont on fait cette requête. Donc jamais (dans python and sqlite3) faire un format string sinon tu injectes du code comme tu veux.
ce moment ou tu te rend compte que tu aurai aussi pu avoir la même faille sur ton stream a une fonction prêt xD
Quelle surprise de croiser Altis ici ^^
« Il a pas dit bonjour du coup il s’est fait niquer sa mère »
00:02 Prenez le contrôle du logiciel de streaming d'un streamer via un seul message dans le chat.
01:55 Affichage du nom du dernier abonné sur un panneau LED dans un décor 3D
03:49 La vidéo traite d'une faille XSS qui permet d'injecter du JavaScript dans le site Web de quelqu'un d'autre.
05:35 Le langage de balisage HTML permet l'intégration de balises de script capables d'exécuter du JavaScript.
07:20 Streamer peut être piraté en affichant du contenu inapproprié dans son flux.
09:10 La désactivation de la sécurité dans le chat permet de pirater le site Web d'un streamer.
10:54 La vidéo explique comment contourner les mesures de sécurité dans Chrome et accéder à la machine d'un streamer.
12:35 En ne disant pas bonjour à Obs, je me suis fait avoir et j'ai désormais la possibilité de communiquer avec Obs à partir d'un message de chat Twitch.
14:11 Utiliser des boutons pour envoyer des messages dans le chat et automatiser les changements de scène dans OBS.
15:50 Paramètres de streaming et vulnérabilités de sécurité du réseau local
17:37 L’élévation des privilèges dans un réseau local est un enjeu majeur en cybersécurité.
Ton commentaire est très utile et pourrait même servir de chapitrage à la vidéo
le goat
ChatGPT prends tout son sens avec ce genre de com 😊
Merci, grâce à vous je viens de détecter une faille xss dans mon code sur une app d'overlay twitch pour obs... j'avais test les balises scripts mais pas le onload... je viens d'afficher une grosse paire de b.... dans mon obs juste en testant, le onload ne s'est pas exécuté mais bon... ça reste problématique
Comme quoi la veille technologique c'est pas de la connerie :')
benjamin, code, une faille xss dans son stream, c'est suspicieusement proche tout ça
@@korok2619 pire... je stream pas, je code pour des potes, donc encore faut-il qu'ils mettent à jour leurs overlay...
Unload la grosse paire du coup.
Avec le onload tu peut charger un script "Remote JavaScript Console" et prendre le control a distance de la console javascript ciblé.
Allez-y les devs, prenez tout ce que vous offre Google, ils sont tellement bienveillants.
La démo est sympa par contre il affiche un username, pas un message du chat… Ça m'étonnerait que twitch accepte des chevrons dans les pseudos
mon chat n'a pas reussi a prendre le controle du stream 🐈
Twitch ne limite pas la longueur des pseudo ?
Lancer un live à sa place oh mon dieu haha, ca me rappelle le mmorpg new world où un mec avait trouvé qu'il pouvait faire du code via le chat du jeu...
c'est quoi cet histoire
@@louisant1817 +/- la même chose que dans la vidéo en gros
Tu pouvais executer du code dans le chat du jeu
@@louisant1817 Recherche "new world saucisse" (sérieux, les gens spammaient des saucisses)
Fin octobre 2021, 2 youtuber découvre que le chat de New world permet "d'utiliser" du HTML et que celui-ci l'exécute au lieu de le traiter comme du texte. Comble de la connerie des devs... le code s'exécute côté client et non coté serveur. Au début c'était gentillet les joueurs linkait des images de saucisses (image dans la base du jeu) mais assez rapidement des petits malins ont balancé du code que le jeu n'arrivait pas à exécuter... résultat tu passais ta souris sur l'image et hop ton jeu crashait. Abusé en war par certaines compagnies adepte de l'exploit (ex : stack de tempete de givre, le bug de heal infini dans les aoe heal, invulnérabilitée ). Ce problème de gestion de l'autorité client / serveur a permis notamment l'exploit d'invulnérabilité, le serveur attendant une réponse du client il "suffisait" de rendre le client non réactif . @@louisant1817
@@louisant1817 Alors, pour faire vraiment très simple parceque je veux pas dire de connerie, a l'ouverture du mmorpg "new world", il était possible de faire un injection xss (comme dans la vidéo) et donc d'envoyer tout et n'importe quoi dans le chat (et des mecs spammait des images)
LOL le recyclage de la vidéo de Benjamin code !
Micode, tu perds ta fraîcheur. Et t’as pas les reins pour jouer les Steve Jobs.
Hardisk était bourrin, mais il était sincère.
La gentillesse de Benjamin rayonne et éclaire le monde.
Faut que tu trouves ta voie, mon grand. C’est ça qu’on veut : de la sincérité, de la fraîcheur… la candeur des joies de Mathieu, avec les accents aigus de sa voix lorsqu’il est étonné.
Tu deviens sérieux, professionnel… de mon temps, on disait « commercial » 😢
Sinon, on retourne regarder la télé 😂🎉
Mec c'est seulement une rediffusion d'un vieux live twitch, c'est du contenu facile à partager ici, de l'argent facile des sponsors et de youtube, ... et presque pas de travail de sa part.
Et tout le monde ne regarde pas le top 15 des youtubeurs tech de francophone, donc non pour moi c'est nouveau, car je n'ai pas que ça à faire de mon temps que de regarder 2h du live de micode (d'ailleurs c'est clairement un format TV que d'avoir des horaires, donc twitch et la TV c'est pareil) et les live des autres + toutes les vidéos + X.
Je ne pense pas être la voix de la minorité quand je dis que j'ai un temps limité et autre chose à faire que de consacrer mon temps libre a quelques youtubeurs tech, donc il prend mon vu, mon like et ceux de 100 000 autres personnes comme moi... c'est presque gratuit et facile et même les grognons donnent des vues et le miracle c'est que c'est google et les sponsors qui paient pour nous.
@@gauvaindf Effectivement, on a le public qu’on mérite. Merci d’avoir répondu.
Il n’empêche que le code initial c'était récupérer l'username, en sachant que sur twitch seul les alphanumériques ne peuvent être utilisé.
Ça rend tout le POC caduc.
Mais totalement. C'est même abordé dans le thread Twitter affiché dans la vidéo mais ils n'en parlent pas du tout.
@@Ilshidur a enfin un commentaire qui remonte le probleme non resolu de l'histoire ... xD
J'ai pas écouté le reste de la vidéo parce que je comprenais pas pourquoi ils parlaient pas du postulat de base : xss avec un pseudo twitch.
Mais non, rien du tout
@Davyjones68200 Tu n'a pas perdu grand chose, la partie qui était intéressante sur l'exploitation de la communication entre le navigateur et OBS n'a pas vraiment été détaillé. (Ils ont passé plus de temps sur l'exploitation de la XSS)
Underscore_ c'est 30% de technique et 70% de "divertissement" pour le dire poliment.
Je sais pas comment c'est sur les live mais sur la chaine youtube les vidéo son ultra survendu au détriment de la vérité, surtout les vidéo "sécurité". On a eu plusieurs fois des gens qui extermine la mafia avec un live ticktock ou ou une récupération de donné osef sur des disque d'occasion présenté comme le one piece.
Perso je trouve sa divertissant comme une série policière "scientifique" avec les zoom X50 dans le reflet des lunette. Et y a des exception ultra intéressante avec les programmeur vlc ou les militants de framasost.
Bonjour, petite question : Il est précisé au début dans le twitt du début de vidéo que le hacker doit s'abonner avec un username contenant une balise si j'ai bien compris pour exploiter la faille XSS. Mais dans le reste de la vidéo, je ne crois pas que cela soit utilisé, sinon, comment accompagner la balise d'une image .png ou .jpeg par exemple si l'on souhaite afficher une image sachant qu'un pseudo ne peut contenir que du texte ?
Si ce n'est pas avec un abonnement et un pseudo comprenant des balises, comment le hacker de la vidéo a procédé pour que exploiter .innerHTML ?
Et si ça l'est ,comment a-t-il inséré une image ?
Merci pour votre réponse
il a pas envoyé une image il a envoyé un code Javascript dans la balise innerHTML qui charge une image (qui pourait faire bcp plus). en gros, le speudo du mec c'est un script
au lieu du onload= avec une image valide, utilise onerror= avec un src=x ;)
Ca revient au même, juste que t'as pas besoin d'image pour le onerror x)
@micode l’histoire est ding mais la miniature est l’intitulé de la cest du génie ton génie banalise son génie alors le mec c’est vraiment un génie . La
Prouesse technique est la mais l’histoire est mal raconté. Comme français d’ailleurs
Loin de moi l'envie de dénigrer l'achievement de l'invité, mais pour le coup c'est pas du génie ^^
Les failles XSS c'est hyper connu et l'utilisation de onload est la première méthode que tu apprends.
Donc en soit il a juste eu à minima un bon cours sur la cybersécu et les failles web les plus répandu.
Ceci étant dis, gg à lui !
mec y a un truc que je comprend pas, a quel moment tu peux mettre onload="func()" comme username sur twitch... ou bien il utilise le parametre message ?
Tu ne peux pas et de toute façon c'est pas exploitable parce que Twitch (et tout le monde sauf eux apparemment) connaissent la différence entre innerText et innerHTML
@@quelqunderandom6143surtout la différence entre un pseudo et un message dans le chat... ;)
Incroyable!
ouuuuaaaaaais neolectron lets fuckinggg gooooo
Haha bien joué ! 👏👏
Pourquoi ta pas assayer la faille revershelle en mettant un lien sur l'image suite a la faille XSS
merci a mon professeur de m'avoir fait découvrir cette chaine youtube
@clementhuain
Bravo Benjamin 👏
Ha c'était juste un xss, je m'attendais a des dingueries 😂
Le mécanisme de CORS bloque sans doute l'appel aux autres serveurs qui tournent sur localhost puisqu'ils sont sur d'autres ports non ?
Non
C'est le cas pour des adresses distantes, mais localhost est traité différemment pour faciliter la vie des dévs, du coup pas de sécurité cors sur localhost
Sinon ça serait trop chiant pour faire ton serveur local il te faudrait un certificat https validé, les bons headers, etc...
@@OlivierCombefaux lol.. tu dois toi même de configurer les protections en localhost
J'aimerai tellement que cette dernière phrase soit prise en compte par les acteurs de la tech française qui se cachent bien trop souvent avec un : "oui mais les conditions pour accéder à la machine sont trop complexes" tout ça pour laisser la porte grande ouverte avec des produits ULTRA obsolètes...
C'est beaucoup de blabla pour rien au final la faille n'a jamais existé, néanmoins c'est exactement le genre de scénario que je dois imaginer tous les jours sur mes programmes de bug bounty, et la faille XSS est présente dans au moins 80% des cibles, parfois trés dur à trouver avec une payload bien précise, mais parfois très facile à repéré, et les possibilités sont infime, le sujet n'est pas abordés, mais si la scène de benjamin été heberger sur un serveur on aurait trés bien pu fetch des fichiers ou des clés avec une simple requete FILE:///
Améliore ton orthographe frérot ! ( y’a des gens pour ça)
@@mallemixe1190 inutile comme réponse
@@henricousin4129comme ton commentaire d'abruti ça tombe bien hein
Très intéressant 😄
Pour une fois que le placement de produit n’est pas une arnaque qui consiste a dépouiller monsieur moyen (trade republic)
En terme d'éducation financière trade republic je suis pas contre, mais dans le fond ca reste catastrophique oui.
Incroyable !!! Vraiment très intéressant !
Benjamin Code, le développeur frontend qui ne connaît pas la diff entre innerHtml et innerText 🥵
Mais oui, sans vouloir être méchant c'est vraiment la base pourtant... La vidéo a aucun intérêt du coup
Bonjour, j'ignorais qu'il était possible de se faire pirater par son chat, je comprends mieux maintenant son regard absorbé lorsqu'il me regardait jouer à STRAY 😮
Les chats n'existent plus depuis longtemps, piratés par les 🐀
J'ai du mal a comprendre, Benjamin a seulement fait un outil qui affiche le pseudo des gars du tchat, y'avait pas d'input, du comment il aurait pu faire tout ça ? S'il avait mis un truc pr envoyer un message j'aurais compris mais c'est pas ça là ... Ou alors j'ai mal compris ?
L'input est justement le pseudo de la personne
créer un compte et s'abonner est bien plus chiant qu'un message mais faisable, par contre c'est vrai que son histoire d'outils par dessus fait vraiment penser à quelquechose de plus simple
@@oznoone6892 oui mais non, ça récupérait le pseudo automatiquement, donc tu peux pas rentrer ce que tu veux, ou alors faudrait créer un compte avec un pseudo particulier, mais en plus ça marcherait même pas y'a pas de caractère alphanumériques niveau des pseudos du cp je vois pas comment c'est faisable là. La manière dont il a fait sa démonstration il pouvait mettre ce qu'il voulait en input, comme ci benjamin laissait les gens envoyaient ce qu'ils voulaient comme message.
@@oznoone6892 edit j'ai regardé la vidéo de Benjamin sur le sujet, en effet en l'état il aurait pu rien faire, il aurait pu faire qqch si et seulement si Benjamin avait fait une feature de message, ce qu'il comptait faire mais qu'il n'a finalement pas fait. Mais c'est pas expliqué dans l'underscore. Du coup il a pas vraiment réussi mais bon x)
C’est génial 😂
Comment "ne pas" pirater un streamer grâce à son chat.
Belle démonstration, mais on parle d'un pseudo twitch, pas d'un message, donc aucun risque pour Benjamin.
Dommage, il passe pour un amateur dans la vidéo alors que son bout de code, oui pas le plus sécurisé, n'est pas vulnérable dans ce contexte.
Je parcourais les commentaires en cherchant si quelqu'un avait relevé que c'était le pseudo et pas un message qui s'affichait, du coup, merci !
Et c'est dommage, toute cette vidéo pour démontrer du coup quelque chose de complètement à côté de la problématique...
A moins... à moins qu'au moment de sub, le message de sub soit aussi affiché... et là, ça a rapporté des sous au streameur de laisser le whitehat faire sa démo
N'empêche que ne pas nettoyer ses inputs c'est une très mauvaise pratique, donc je pense que l'invité a eu raison de le mentionner (même si il a clairement voulu faire le malin sur twitter le bougue ahah)
Et puis m'est d'avis qu'il est surement pas impossible de forger un faux paquet qui serait envoyé à l'OBS du streamer ...
Bref, nettoyez vos inputs :D
C'est très spécifique, on peut pas faire ça à tout les streameurs
le syndrom de stockholme
@organefreerid2379 Pas sur que tu saches ce que c'est 😂
@@parsek8862 mdrr, t'es le capitaine de la team 1er degré pour savoir ou connaitre ?!
@@organefreerid2379comment t'as tp le "e" 😮 😂
@@organefreerid2379 mais wtf 😂😂😂😂 Utiliser une expression a tort c'est pas du second degré hein 😂
Bizarre qu'il l'a pas entendu venir.
a tout les streamer qui on codé un panneau led ! Kappa
Ça se voit Benjamin il a le seum
lol non ça va pourquoi ? 😂
très intéressent👏
C'est la version geek-twitch de "J'te marrave à la récré! - Ah ouais?! Que d'la gueule!; L'autre sors un bâton de son sac carambar"
Je suis le douanier du code, j’ai une exigence inouïe….
Redescend un peu frère 😂
surtout que c un mec de front end code 😂
Et que son poc est pété
Très interessant par contre le nombre de "du coup" dans l'audio est assez impressionnant 🤣
Je serait curieux de connaitre le nombre 😅
Ce qui arrive quand on n'applique pas le NTUI : Never Trust User Input ;-)
la vidéo est pas applicable anyways
Je m'attendais à ce que le hackeur ait utilisé un mini robot accroché à un vrai chat pour hacker le streamer ... Déception ... (joke)
On en parle du fait que Benjamin s'est fait hacker par Pedro Pascal ?
"Bien intentionné" alors qu'il lui a demandé une bonne rançon
Une faille XSS c'est vraiment la base, c'est la honte pour un dev web de se faire encore avoir en 2023
Tout est parti d'un gus qui fait le malin avec un arrière plan...
c’est Manu de la chaîne manus_js ?
Très intéressant
Grace à son chat? Il faut être fort pour dresser un chat ! Un chien encore, je veux bien, mais un chat ! C'est chaud.
Miaouu
ya un problème dans les explications non ? Il sort une XSS, qui est une faille localisé navigateur et la en l'occurence il s'en sert pour une communication Websocket, ce qui reste coté navigateur en utilisant les commandes qu'OBS permet d'utiliser, et d'un coup ça part sur des explications comme quoi il aurait pu avoir accès à tous les services non sécurisés du réseau local, faut m'expliquer comment avec une XSS classique il peut avoir un accès à la machine ou aux services du réseau, à aucun moment il parle d'une RCE, on est sur une XSS, donc soit j'ai pas tout suivi soit c'est bullshit.
Et pour l'élévation de privilège c'est justement le principe de tomber sur des accès restreints et de trouver des méthodes pour élever ces privilèges... Le mec il dit "si t'as un mdp, un token etc.. tu peux pas faire l'élévation de privilège alors que c'est justement pour ça que l'élévation de privilège existe, pour contourner les restrictions en place. N'importe quoi est raconté dans cette vidéo non ? Ou alors je suis mal réveillé
Bonne vidéo comme toujours :) ! Tu nous régale. Le poto est trop fort, mais après il a pas dit bonjour.Il a pas dit bonjour
Sur ce, je vous réfère à la chanson de Vlad - Bonjour
😼 Mon chat n'a pas compris
Les gars j’ai découvert une grosse faille d’une enorme entreprise il y a un site pour se faire rémunérer ? Ou je dois les appeler ?
taurais pu meme essayer douvrir un cmd et passer en administrator et cacher ce reverse shell dans un autre process.
Y'a quand même des gros problèmes dans cette """faille""".
Bon déjà faut désactiver la sécurité OBS, c'est du niveau "il se passe quoi si on essaie de véroler un PC après avoir désactivé son antivirus" mais passons.
Il faut avoir retiré le MDP sur le serveur WS... Ouai bon là c'est même plus chercher la merde on est au delà la.
Non on ne peux pas escape OBS avec ça, c'est strictement limité aux fonctions internes du logiciel.
Non c'est pas applicable, un pseudo (peu importe le site pour le coup) ne peux pas contenir les charactères spéciaux requis pour effectuer cette attaque... . Et c'est sans parler du fait (et c'est une BASE) que vous ne connaissez pas la différence entre innerHTML et innerText, """l'attaque""" ne fonctionne que si le pseudo est affiché via innerHTML, hors PERSONNE ne mets d'input user dans innerHTML
C'est dommage, ça aurait pu être sympa
Hardisk à disparu ? Qu'est ce qu'il se passe ?
Apparemment Underscore_ est passé d'une chaîne de vulgarisation à une page de geeks invétérés pour les geeks de la mort. Perso, je comprends plus rien depuis plusieurs vidéos et à vrai dire, je me fous un peu des sujets désormais.
Évidemment que c'est une emission par et pour les geeks, on est pas chez lestream ou 01net tv...
@@Gnanmankoudji ah oui c'est évident, miam miam l'entre soi.
Y a 531K abonnés, j'imagine qu'il y a un demi million de devs en France.
Moi au contraire je trouve que c'est moins poussé qu'avant, les intervenants sont moins pertinents je trouve. T'as l'impression que c'est plus compliqué car ils vulgarisent moins bien alors qu'en fait c'est pas ouf ce qu'ils montrent, ils font genre 💀avant c'était l'inverse et c'était beaucoup plus intéressant
@@iansmirna5183 C'est pas de l'entre soi, ça s'appelle une niche même si c'est devenu une grosse niche. Vraiment si tu ne piges rien, c'est peut-être juste pas fait pour toi, tu prendras plus de plaisir sur les emissions généralistes, c'est pas ça qui manque, et dis toi que les plus geeks d'entre nous trouvent déjà underscore trop généraliste.
ps: Je suis pas dev non plus, mais le html c'est juste de la culture générale, connaître l'anglais par exemple est bien plus difficile.
@@Arkounay Je pense que c'est plutôt lié à la qualité des intervenants.
Celles que j'ai appréciées récemment : Asahi OS, la machine de radiothérapie, Colin/Elder Scrolls, Jean-Baptiste Kempf
Si on a pas de chat, ca marche avec un chien ?
Et du coup le résultat sur le live ??
Il l'a cherché aussi... Est-ce qu'il y a beaucoup de gens qui vont inclure du texte dans leur stream de la même manière que lui ? Je doute.
Bah c'est commun
C'est assez répandu comme pratique
à 1:13 tu fouilles dans ton nez ? (mon meilleur commentaire depuis des années) Sinon le contenu de ta chaine est très souvent super sympa !
4:33 : wtf j'ai lu certains de ces tweets sans savoir qu'il était un membre d'Underscore_ :o
"Comment pirater un streamer grâce à son chat" Ca marche aussi avec les chiens ?
Y’a eu la même faille sur minecraft
J'ai rien compris. Moi qui d'habitude comprend un peu en ne sachant rien du HTML, là vraiment j'ai rien pigé
Mélangé avec l'IA, tu remplace le vrai Streamer sans que personne s'en rende compte et y faire dire n'importe quoi lol. C'est un peu dangereux.
t'es un peu trop dans le futur mais terrifiant
Du coup on a besoin que son chat coopère en échange de croquette.
Chat m'étonne même pas d'eux
Me surprendront toujours ces félins ! 🐈
Tous les logiciels de streaming ont une faille de sécurité..
une chance que le haker a prévenu benjamin parceque dautre ne l,aurais pas fais et faire baucoup de dégats tant vie privé que monétaire (Ex vider les comptes banquaire)
Que je comprenne bien, cela veut dire que Benjamin aurait un firewall qui autorise l'entrée d'un utilisateur dans son réseau local sans qu'il en soit averti ?
benjamin est l exemple typique du dev front. Inquiet de rien et même quant on lui dis qu'il a un problème il fais comme si il n'existais pas
Passionnant ^^
j'ai rien compris
En français ça donne quoi ?😢😢
mais donc vu qu'il affiche seulement les noms, c'était inexploitable non..
Oh oui ce mec!!!
Les "que y'avait" me font saigner les oreilles
Ce mec sait pas parler, entre les expressions de wesh et les fautes de grammaire et de syntaxe. Apparemment d'après les comms, il sait pas coder non plus, dommage pour un développeur.
Que ce soit injecter du html ou du js, ça s'appelle toujours une XSS
Comment ça mon reuf
Globalement les auto boot et les on load c’est l’enfer de la sécurité…
un bête patch serait de dire que les pseudo sont de max X caractère non ? :)
ou de ban certain caractere genre < > " "
tant qu'il a pas la possibilité de transformer le lien de DON en SON propre lien de don c'est pas intéressant
Passionnant
Et si le streameur a un chien?
Pokimane en miniature je suis pas sur .... ( Elle vaut plus que ça .. )
Non. Elle vaut rien
Tu verras que dans quelques jours la miniature sera changée, j'ai remarqué qu'ils faisaient ça pour toutes leurs vidéos...
@@mathieul4303 mon pauvre Loulou
@@dart_ oui ca change h24 mais c'est tout un game les minia :p
oui fallait mettre Amouranth
Tout support est piratable, avec plus ou moins de temps a disposition et des sécurité en place. Le cloudba bien été piraté plusieurs fois. Et d'autres industries plus ou moins bien sécurisé. Il y a aussi des portes d'accès dans beaucoup d'appareils connecté maintenant, ou il y a que tres peut de sécurité 😂.
Comment pirater un streamer grâce à son chat ?
Avec une souris? =)