Retrospective des 6 ans passés à ConcreteWorld – épisode 3/3

Lecteurtrice, lectristeur,

Veuillez trouver ci-joint le dernier étron de rétrospective de mon incarnation professionnelle à ConcreteWorld.🌍. Promis, il n’y aura pas d’épisode 3,5/3. Mais celui-là est super long.

Nous terminons avec un feu d’artifice de victoires chamarrées, puisque je vais vous raconter les actions dont je suis le plus fier. Il se trouve que la plupart sont des découvertes de failles de sécurité dans des outils utilisés en interne. C’est amusant, je ne suis pas spécialement fier des tâches effectuées via des directives officielles, mais je le suis des tâches officieuses. Des psychologues du Travail sauront certainement l’expliquer. On s’en fout.

1. Un ATS troué de partout

ATS = Applicant Tracking System. Il s’agit d’un outil pour gérer les offres d’emploi, les personnes qui postulent, les CV, les refus/embauches, etc.

Ce bidule était sous forme d’un site web intégrable dans le site de l’Entreprise, grâce à une configuration DNS ad hoc (oui mon capitaine). Stagiaire SuperCSS et moi étions chargés d’adapter au mieux son design graphique pour que ça colle avec la charte et tout ça.

Comme d’habitude, ce mini-sous-projet « n’était pas censé prendre plus d’une journée ». Comme d’habitude, nous fûmes enlisés dans un gluant marasme de plusieurs semaines, principalement parce que la société fournisseuse était constituée d’un ramassis de tocard·e·s.

Juste pour la marrade, les personnes ayant créés cet outil étaient initialement bourrées à la bière, elles l’ont donc appelé « ATS-ale » (ale signifie « bière » en anglais).

Suite à ma rencontre avec l’outil Pochtronarr, (narrée quelques paragraphes plus loin), je me piquais d’effectuer des mini-audits de sécurité informatique, selon une motivation proportionnelle à la pourritude du machin audité. Ici, elle était grande. Et ça en valait la peine. En quelques heures, j’avais élaboré un joli scénario d’attaque.

J’ai appris le mot « ale » grâce à ce jeu.

Étape 1

Une personne quelconque (que nous appellerons Borgl) se rend sur ATS-ale et postule à une offre d’emploi. Borgl insère du code JavaScript dans l’un des champs du formulaire, car ceux-ci ne sont pas protégés contre les failles XSS.

Étape 2

Un personne en interne consulte l’offre d’emploi. Mettons que ce soit DRHette Bourgeoise-Rappeuse.

Le cookie d’authentification est très facilement trouvable, puisqu’il est dans un paramètre de l’url. Lorsque vous êtes sur ATS-ale, votre barre d’adresse affiche un texte de cette forme :

https://ats-ale.concreteworld.com?tok=zxgrlb123pouet

J’avais fait le test de copier cette adresse et de la coller dans un autre navigateur web. Je m’étais instantanément retrouvé connecté. Les serveurs de ATS-ale considèrent que quelqu’un qui connait le texte secret « zxgrlb123pouet » est forcémement moi, puisque ce texte a été communiqué à moi seul.

C’est normal, c’est comme ça que fonctionnent les cookies d’authentification. En revanche, lorsque c’est fait correctement, ces cookies sont en mode « HTTP-only », c’est à dire que le code JavaScript s’exécutant sur une page ne peut pas y accéder. Dans notre cas, le cookie est dans l’url, il est donc allègrement accessible, en plus de l’ếtre par une foule d’autres manières non souhaitables : screenshot, vidéo, historique de navigation, quelqu’un qui regarde votre écran…

Vous me voyez venir, la faille XSS fait exécuter le code JavaScript de l’étape 1, sur la page web ouverte par DRHette Bourgeoise-Rappeuse. Ce vilain code récupère le cookie et l’envoie à Borgl.

Étape 3

Borgl peut maintenant se connecter à ATS-ale en se faisant passer pour DRHette Bourgeoise-Rappeuse. C’est bien, mais insuffisant. Borgl ne pourra plus se reconnecter lorsque le cookie aura expiré.

Alors, Borgl change simplement le mot de passe du compte. La fonctionnalité est mal faite et ne nécessite pas de retaper l’ancien mot de passe. Borgl a maintenant un accès d’administration permanent à ATS-ale.

Étape 4

Cependant, ce n’est pas très discret car DRHette Bourgeoise-Rappeuse réalisera que son mot de passe ne fonctionne plus. Mais Borgl ayant maintenant les droits pour créer un nouvel utilisateur, Borgl en profite.

Avec un peu de chance, lorsque DRHette Bourgeoise-Rappeuse échouera à se connecter, elle ne fera pas le lien avec un possible incident de sécurité. C’est tout à fait plausible vu la quantité de bugs et de comportements bizarres de ATS-ale. Elle se contentera de rénitialiser son mot de passe et n’ira pas vérifier la liste des utilisateurs.

Et voilà, Borgl a un accès permanent et assez discret à ATS-ale, avec les droits d’administration ! Borgl peut :

• publier des offres d’emplois,
• consulter, refuser et accepter des candidatures,
• envoyer un message à DRHette Bourgeoise-Rappeuse pour l’inviter à prendre un verre parce que cette femme est magnifique,
• etc.

Bien joué Borgl !

C’est à la mode de fantasmer sur des femmes géantes. Voici donc une photo de DRHette Bourgeoise-Rappeuse.

Ah t’es sale, ATS-ale !

Je me suis fendu d’un joli mail à Collègue Yoga, le RSSI, pour lui faire part de mes découvertes. J’ai gagné des compliments et de la flatterie d’ego, mais aussi la tâche de suivi des corrections que devaient effectuer Pétaboulard Un-un-unlimited, la société éditrice de ATS-ale.

C’était insupportable. Un tocard m’appelait à répétition pour me demander d’où venait tel bug, si je pouvais tester telle correction, etc. Ledit tocard précisait systématiquement le nom de sa boîte claquée de la fesse. Il est long ce nom ! Quand j’entendais « Peta » dans mon téléphone, je savais que j’allais perdre les 5 prochaines secondes de ma vie à devoir entendre « boulard Un-un-unlimited ».

J’ai appris que Cheffette-DRHette Prout-prout s’était fait engueuler pour son choix d’outil pourri, qu’elle a effectué seule dans son coin, sans demander d’expertise technique et en payant d’avance. Ça m’a bien fait goleri.

Quelques années plus tard, alors que je glandais dans le burlingue open-space, je me mis à fouiner dans un sac plein de bazar qui trainait là depuis plusieurs jours. Je découvrai des mini-colis adressés à diverses entreprises clientes et fournisseuses. Noël étant passé depuis longtemps, j’ignorai ce que ces trucs fichaient encore là. C’était soit des retours, soit des colis non envoyés. De manière prévisible, je fouinai encore plus jusqu’à en dénicher un adressé à Pétaboulard-mon-cul.

Je l’ouvrai sans scrupules. Ces imbéciles ne méritaient aucun cadeau. J’y trouvai de délicieux chocolats que je partageai avec Stagiaire SuperCSS et quelques autres collègue·tte·s, en expliquant bien d’où ils venaient et pourquoi je les avais pris. Ça m’a fait plaisir.

Pour finir, je signalai à Colléguette Sérendipité la présence de sympathiques friandises dans un sac et que ce serait bien, soit de se renseigner pour savoir s’il faut les envoyer, soit d’en faire quelque chose. Ils furent progressivement jetés en pâture dans la salle de pause, ce qui me permit d’en re-profiter un peu. Une consécration heureuse pour ces chocolats.

2. Soirée CTF avec un bouquet de vulnérabilités internes

Lien rappelant ce qu’est un CTF.

La faille qui a tout commencé

Nos signatures de mails étaient gérées par un plug-in Outlook fourni par la société MarketoMail. Chaque personne définissait ses propres infos (nom, téléphone, titre de noblesse, …). Le template commun contenait du blabla marketinge, régulièrement mis à jour par Colléguette PositiveAttitude.

Un beau jour, les serveurs de MarketoMail déconnèrent. Ça arrive. Mais leur plug-in était tellement beurkesque que cette déconnade eut pour conséquence qu’il n’était plus du tout possible d’envoyer des mails, même sans signature. Cela éveilla mon radar à pourritude et me donna envie de mini-auditer.

Je récupérai la dll C# du plug-in et inspectai son code source grâce à dotPeek. Je n’avais pas spécialement l’intention de comprendre la déconnade en elle-même. Je comptais simplement explorer et découvrir ce qui était découvrable.

Au démarrage, le plug-in envoyait une requête, avec en paramètres mon adresse mail ainsi qu’un mot secret. Je la renvoyai via une simple commande curl et obtins des détails sur ma signature, dont une url super-secrète et unique, menant à l’interface de modification de mes infos. Jusqu’ici, rien de stupide. Mais dans le code source, le mot secret initial était défini en dur.

Je renvoyai une requête avec l’adresse mail d’un collègue et le même mot. Tagadzim ! Me voilàtai en possession de sa propre url super-secrète unique. Je n’osai tester avec d’autres clients de MarketoMail, mais à mon avis ça aurait fonctionné itou.

Je fis une petite démo de la faille à Collègue Yoga. Je changeai son titre de signature en « éleveur de kangourous ». Nous prévînmes MarketoMail, qui corrigea sa bêtise. Je gardai la dll du plugi-n sous le coude, même si elle ne permettait plus d’exploiter la faille.

Je pris le temps de chercher d’autres vulnérabilités dans d’autres outils. J’en trouvai suffisamment pour imaginer un joli scénario fictif d’intrusion qui allait donner lieu à un sympathique « hackerspace/CTF ».

Entre temps, une stagiaire générique envoya un mail de blabla d’adieu : « Wesh, c’était top-psartek de travailler avec vous tous, hashtag kiffancitude ! » . Je me permis un « répondre à tous » pour énoncer qu’elle était céans une personne fabuleuse et que bonne chance dans la suite de ses aventures magiques. D’autres collègues se moquèrent gentiment de ma flagornerie, c’est de bonne guerre.

Étape du mexicain secret

Quelques mois plus tard, je déclenchais une petite soirée hackerspace avec les collègue·tte·s que mon CTF intéressait. Le scénario est très alambiqué, car il sert surtout à présenter les failles. C’est long et vous risquez de ne rien comprendre. Tant pis, je vous raconte quand même !

L’énoncé initial était présenté sous forme de logs de conversations. La découverte de flags intermédiaires permettaient d’accéder aux logs suivants et ainsi de suite.

Ça commence avec une discussion entre une commanditrice d’intrusion appelée « Rosetta D. Wasp » et un mercenaire pseudonymé « IAmRokMetal ».

IAmRokMetal se fait embaucher par ConcreteWorld.🌍 pour voler des informations. Il repère une machine vulnérable, mais a besoin d’un assistant qui distraierait les employés pendant son attaque. Rosetta fait appel à « rectal_key_hic », un mystérieux mexicain dont personne ne connait le nom ni le visage. (L’histoire aurait fonctionnée avec un espagnol, mais un mexicain est plus rigolo).

rectal_key_hic parvient lui aussi à s’introduire dans ConcreteWorld.🌍. Les deux hackers doivent se parler entre eux pour coordonner leur attaque, mais rectal_key_hic veut conserver son anonymat. Avant de couper toute communication avec Rosetta, il lui a indiqué que c’est à IAmRokMetal de se débrouiller pour mettre en place un canal sécurisé, puis de se manifester avec le mot de code « carré ». C’est un mexicain fan de carrés.

IAmRokMetal découvre la faille du plug-in de signature de mail et modifie celle d’un clampin quelconque, en l’occurrence, moi-même. Il remplace mon numéro de téléphone par 09 16 25 36 49, c’est à dire des carrés. Il ajoute à la fin de mon nom des espaces et des « soft hyphens » (code HTML ­). Un comptage de ces caractères et une petite conversion en ASCII révélaient une url sur pastebin contenant un message secret.

Les personnes effectuant le CTF devait inspecter la dll trouée que je leur fournissais et débloquer des indices qui les menaient à mon mail de répondre-à-tous envoyé plusieurs mois auparavant. La signature contenait les modifications.

rectal_key_hic trouve ce message. Celui-ci indique qu’un papier est caché dans les toilettes, lui-même indiquant un chemin de répertoire dans l’espace de stockage partagé que tout le monde utilise.

La communication est maintenant initiée entre IAmRokMetal et rectal_key_hic. La suite des logs se trouvent dans de simple fichiers texte de ce répertoire.

Étape justifiant la nécessité d’un mexicain

Le premier fichier de log est en clair et en espagnol. Les deux hackers se mettent d’accord sur l’algorithme qui chiffrera la suite de leurs échanges. rectal_key_hic place la clé dans PasswordState, notre gestionnaire de mot de passe officiel.

IAmRokMetal récupère facilement cette clé, mais elle ne fonctionne pas. La discussion entre eux contenait des indices permettant aux personnes du CTF de découvrir un bug.

Et là, attention, lecteurtrice, je vais te révéler un réel bug du réel logiciel PasswordState (mais qui a peut-être été corrigé depuis le temps).

En général, les échanges d’informations entre une machine cliente et une machine serveuse utilisent un standard appelé JSON. Pour enregistrer un nouveau mot de passe, le client (votre navigateur web) enverrait un texte de ce genre :

{"website": "www.xhamster.com", "user": "gonadus", "password": "abc123"}

Le mot de passe est écrit en clair, mais c’est normal. C’est un gestionnaire de mot de passe, il doit pouvoir vous les ressortir tel quel. Avec le HTTPS et tout, c’est sécurisé.

En réalité, PasswordState utilise un format d’échange pas standard et mal fichu, comme ça :

website¿www.xhamster.com¿user¿gonadus¿password¿abc123

Vous la voyez venir la connerie ? J’ai testé l’enregistrement d’un mot de passe contenant un caractère « ¿ » (point d’interrogation à l’envers). Lorsque j’ai voulu le récupérer, le texte situé après ce point d’interrogation avait disparu ! J’avais perdu un morceau de mon mot de passe.

Or donc, rectal_key_hic avait créé le mot de passe "uno;dos!tres:cuatro¿cinco", mais seul le texte "uno;dos!tres:cuatro" avait été enregistré. C’est pour ça qu’il me fallait un mexicain/espagnol, car leur langue comporte des points d’interrogation à l’envers !

Au passage, on trouvera un commentaire amusant dans le code JavaScript de PasswordState :

// Can't put the normal split("¿") routine here 
// as it doesn't work.
var commandArgs = trigger.getAttribute('commandargument').split(
    String.fromCharCode(191)
);

Finalement, le mot de passe complet est retrouvé. La suite des échanges entre les deux hackers est maintenant chiffrée comme il se doit. Étape suivante !

Étape où le héros meurt à la fin

Dans les locaux de ConcreteWorld.🌍 se trouve un écran géant affichant un dashboard global, via l’application web RealityCheck. Rappelons que le sacerdoce de l’entreprise est de tracer et corriger les incidents qui surviennent dans la réalité.

De temps en temps, l’écran ou l’application plantait. Ça ne posait pas de problème, au redémarrage, la page de RealityCheck se rechargeait automatiquement et l’authentification se faisait à l’aide d’un mot de passe pré-enregistré dans le navigateur. C’est ce qui intéresse IAmRokMetal.

rectal_key_hic invite tous les gens de la boîte au resto, ce qui permet à IAmRokMetal d’agir sur l’écran géant sans se faire voir et de récupérer le mot de passe. IAmRokMetal peut alors se connecter à l’appli RealityCheck et voler beaucoup d’informations : documents internes, accès, autres mots de passe, etc.

La fin du scénario est une apothéose de rire. Voici le dernier log:

IAmRokMetal :
Et si on testait ces mots de passe un peu partout ?

rectal_key_hic :
Bonne idée.

IAmRokMetal :
Argh ! Argle !

rectal_key_hic :
Tout va bien ? Que vous arrive-t-il ?

IAmRokMetal :
Une personne s’est approchée de moi par derrière, elle est en train de m’étrangler !! Aaaarrgghh !

rectal_key_hic :
Mais défendez-vous, au lieu de perdre du temps à écrire « Argh » dans ce fichier et à le chiffrer !

IAmRokMetal :
Arghhh ! Arrggghh ! Au secours !

rectal_key_hic :
Dites-moi physiquement où vous êtes et je viens vous aider !

IAmRokMetal :
Argh ! Trop tard ! Adieuuuuuuu ! blaaaaaaaaaaarghh.

Rosetta D. wasps :
Merci pour votre travail. Mon ex-coéquipier IAmRokMetal vient de subir un regrettable incident. Je vais prendre les fichiers et les mots de passe. rectal_key_hic, je vous invite à quitter prestement la société ConcreteWorld.🌍 avant qu’un autre regrettable incident ne survienne.

Révélation finale

Le write-up (la solution du CTF) contenait une ultime blague :

• IAmRokMetal est une anagramme de MarketoMail,
• Rosetta D. Wasps est une anagramme de PasswordState,
• rectal_key_hic est une anagramme de RealityCheck.

Ha ha ha ! Lolilol !

Les collègue·tte·s ont globalement apprécié, même si je sentais une baisse de motivation vers la fin. C’était peut-être un peu long. (Comme cet article, mais je m’en fous c’est mon article).

Résultat d’une recherche avec les termes « Rock Metal Wasp »

3. Pochtronarr

Résumé des failles

Pochtronarr a été, durant plusieurs années, notre « outil de gestion des trucs ». Rappelez-vous, j’avais assisté à un événement corporate convivial organisé par Ploucocratt, la société éditrice. J’avais narré cet événement dans cet article et celui-là.

Je n’ai pas la prétention d’être un super-expert en cybersécurité et pentesting, mais cet outil comportait TOUS les types de failles de sécurité que je connais. Vous vous imaginez comme je me suis éclaté lors de mon mini-audit personnel.

En voici une liste rapide. Je ne vais pas détailler plus, il me faudrait 3 articles volumineux comme celui-ci.

• Faille XSS, soupçonnable rien qu’en regardant les urls dégueux d’une de leur vidéo promotionnelle.
• Directory Listing, sans même avoir besoin de se créer un compte.
• Injection SQL « by design ». Si vous voulez les corriger, vous devez recoder plus de la moitié de la partie front-end et une bonne partie du back-end.
• Broken Access Control, permettant à n’importe quel client de ConcreteWorld.🌍 de récupérer très simplement les informations de tous les autres clients.
• Mot de passe des utilisateurs chiffrés avec un espèce de double XOR à la con, que je n’ai pas entièrement compris, mais que j’ai cassé avec un oracle. J’ai changé mon mot de passe en « aaaaaaaaaaaaa », puis en « bbbbbbbbbbbbb » et ainsi de suite, jusqu’à avoir toutes les combinaisons de caractère et de positions.
• Exécution de code arbitraire par le serveur. La payload devait être écrite en SmallTalk. Ce n’est pas très pratique mais ça permet au moins de lancer des commandes shell.
• Ah non, je suis mauvaise langue, il n’y avait pas de Remote File Inclusion !

Il y en avait tellement que certaines failles étaient rendues inintéressantes par d’autres failles. Par exemple, le mot de passe du super-user de la base de données était stocké en clair dans une table quelconque. Mais de toutes façons, les injections SQL étaient effectuées par un user qui avait déjà accès à tout. Ça ne valait même pas la peine d’essayer de devenir super-user.

Je vais quand même vous détailler la plus belle faille. La toute première que j’ai découverte et testée. Elle est assez unique, je ne connais aucun autre outil doté d’un comportement aussi élaboré crétinairement parlant.

Comment j’ai trouvé la faille la plus chabraquée du monde

Je testai le formulaire de déclaration d’un « PRI » (point de réalité intrigatogène) avec un fichier joint. Je cliquai sur le bouton ‘Ajouter’ et sélectionnai un fichier quelconque, par exemple une image « arq.jpg ». Après quelques secondes d’attente, le champ texte correspondant (qui n’était pas directement éditable) se mit automatiquement à jour, avec la valeur:

C:\Program Files\Pochtronarr\uploads\arq.jpg

Je validai le formulaire. Le PRI s’enregistra correctement. Je vérifiai que toutes les informations avaient bien été gardées, y compris mon fichier, que je retéléchargeai. Test validé, je passai à autre chose.

Quelques jours plus tard, Colléguette Mousse, la dame de l’accueil, démissionnait pour une raison quelconque. Elle fut remplacée par Colléguette Sérendipité. Je ne suis plus très sûr de son titre, c’était peut-être « Intérimaire Sérendipité ». Ce n’est pas très important. Le fait est qu’elle avait des fesses magnifiques. Inévitablement, je me rendis dans les toilettes boîtales et me masturbai en pensant à elle.

Colléguette Sérendipité

Un quart d’heure plus tard, une pensée me vint à l’esprit. Le champ texte du formulaire de PRI indiquait bien l’emplacement du fichier joint, mais sur le serveur ! Que se passerait-il si je le changeais ?

Ce champ était verrouillé, mais un bout de JavaScript plus tard, il devenait éditable. Après quelques essais et une petite analyse de ce qu’il se passait sur le serveur, je pouvais décrire le processus (claquay au sol) d’attachement d’un fichier.

• Le fichier est envoyé au serveur lorsqu’on le sélectionne dans le formulaire.
• Il est enregistré dans l’espace temporaire C:\Program Files\Pochtronarr\uploads.
• Le serveur renvoie le chemin complet du fichier uploadé dans cet espace temporaire.
• Ce chemin complet est écrit dans un champ du formulaire, que l’on n’est pas censé changer.
• Lorsque le formulaire est validé, tous les champs sont envoyés au serveur.
• Le serveur prend le fichier à l’endroit indiqué par le champ et l’enregistre sous forme d’objet binaire dans la base de données.
• Lorsqu’on redemande le fichier, c’est l’objet en base de données qui est renvoyé.

Et donc, si j’écris un autre chemin dans le champ, je peux récupérer n’importe quel fichier du serveur. Ça s’appelle une vulnérabilité « Local File Inclusion ». Mais celle-ci est particulièrement dégueue, car elle permet en plus de pourrir la base avec des objets binaire énormes juste pour foutre le brin, (par exemple si j’indique C:\pagefile.sys).

En tout cas, je remercie Colléguette Sérendipité pour sa contribution au renforcement de la sécurité du système d’information de ConcreteWorld.🌍 !

Bien évidemment, j’ai organisé un autre hackerspace pour présenter ses failles, à la suite duquel il y eut des discussions entre chefs. L’outil Pochtronarr fut progressivement abandonné, mais j’en garderai un souvenir impérissable et très drôle.

arq.jpg

4. D’autres petites victoires en vrac

*)

Pour les hackerspaces, Apprenti SporExtrême avait installé la plate-forme CTFd. Elle est simple et considérée comme un standard « dans le milieu ». Mais elle ne gère pas les challenges avec des flags intermédiaires, alors j’ai développé une petite extension qui le fait. C’est du python, évidemment.

*)

J’ai aussi réalisé un gros challenge d’OSINT que Collègue Yoga avait beaucoup apprécié. Je le cite: « c’était un kiff ! ». Je ne vais pas décrire ce challenge ici, ce serait trop long. De plus, il était disséminé sur de nombreux sites (copainsdavant, webarchive, …), je ne suis pas sûr que tous les comptes et informations soient restées en place. Data rot…

*)

Un mini-outil de formatage de mail que j’ai dû coder en urgence. J’ai choisi la stack (un bien grand mot) « python-tkInter-pywin32 », ça a beaucoup plu. Les mails formatés étaient des analyses de fausses alertes d’incidents de réalité, qui constituent de simples hallucinations. J’aimais beaucoup l’expression associée : « cet incident n’est que dans notre crâne ». Alors j’ai décidé d’appeler ce mini-outil « Recartonne », qui est un anagramme de « Notre crâne ».

*)

Nous avions aussi besoin d’une application pour gérer les configurations de méta-nommage quantique. Par ailleurs, nous étions en cours d’installation de NextCloud, afin de nous doter d’une gestion de documents moins rustique qu’un énorme NAS où tout le monde fout son bronx dedans. J’ai codé une jolie extension pour piloter un outil de méta-nommage qui ne fonctionnait qu’avec des vieilles requêtes SOAP. Au final, nous avions des IHM sympas et qui s’intégraient bien dans NextCloud. J’étais heureux d’avoir réussi à faire communiquer deux trucs pas spécialement prévus pour et qui œuvraient dans deux domaines vraiment différents. Même si j’ai dû coder en PHP parce que NextCloud. Aux dernières nouvelles, cette application est toujours utilisée ! Youpi !

*)

Mes participations et contributions à la THCON, que j’ai déjà racontées, ainsi que le NorthSec, qui m’a téléporté dans un autre monde le temps d’un week-end même si j’ai pas bougé de chez moi.

Voilà comment on fait des requêtes soap.

5. Une phrase classe et distinguée

Comme dans plein d’autres boîtes, nous avions une offre de stock options. J’y ai souscrit pour la forme, avec une quantité de pognon raisonnable. Ces stocks options offraient la possibilité d’assister à une réunion des actionnaires tous les 6 mois, soit un droit de glandage officiel d’environ une heure. J’ai sauté sur l’occasion.

Durant l’une d’elles, arriva sur la table le sujet d’une subvention étatique pour innovance qui nous avait été récemment accordée. Le fonctionnement et le but de cette subvention mériteraient d’être détaillés, mais je vais vous les résumer en une phrase : pendant que je me masturbais dans les toilettes boîtales, j’étais en partie payé avec l’argent de vos impôts.

L’un des grands argentiers stock-optionniques posa cette magnifique question :

Où en est-on du décaissement de la subvention ?

Moi qui croyais que le mot ‘décaissement’ ne pouvait être utilisé que pour creuser des trous dans le sol (décaisser un terrain), quel ignorant fus-je ! Il est possible de l’employer pour des sommes d’argent récupérables progressivement.

Le grand argentier ayant posé cette question était rasé de près. Mais j’ai bien senti que spirituellement, il avait une petite moustache fine d’homme classe des années 30, un lorgnon, une canne avec un pommeau en diamant, et au moment où il a posé la question, il a spirituellement lissé cette moustache tout en dégustant spirituellement un verre de brandy spiritueux.

Ce sera tout pour cet article, ça suffit amplement et spirituellement !

Le mois prochain c’est Ludum Dare, et ensuite je vous raconte mon pot de départ. Ce sera moins long.

J’fais des trucs

J’l’avais pas encore dit sur ce blog, mais j’ai terminé une gif pour la roadmap de Squarity. Elle est pas encore sur le site, mais là voici. C’est celle qui correspond à la catégorie « IDE – Environnement de développement ».

Notez le jeu de mot « Cow Starica ».

Et sinon, comme chaque année depuis les deux années dernières, je contribue à créer un challenge de hacking pour la THCON. Ce sera un TUR-ROX, bien évidemment. Et cette année, j’ai choisi l’un de mes jeux préférés (même si j’ai jamais trop pris le temps d’y jouer) : DROD !!!

Je ne peux bien évidemment rien vous révéler. Juste un petit screenshot. Paf.

La jolie fille du mois, c’est Amanda Faye !

Voilà, ça fait deux articles de suite à l’arrache, mais c’est pas parce que je crée rien. C’est juste que je crée des trucs ailleurs que dans ce blog. J’espère que vous m’en voudrez pas trop.

Hoy hoy !!

Bug et propositions d’améliorations pour l’outil All-Seeing Eye

Coucou. Voici un deuxième article dans le même mois !

Comme promis, j’ai envoyé 20 euros à All-Seeing Eye, pour remercier Joonas Hirvonen d’avoir créé cet outil permettant de modifier le jeu Eye Of The Beholder. Je m’en suis servi pour créer un challenge de Hacking pour la THCON. Tout est expliqué dans ce précédent article.

Ce fameux Joonas Hirvonen m’a remercié par mail et m’a encouragé à transmettre mes signalements de bugs. Je vais lui envoyer un document récapitulant tout ça, j’en profite pour le copier-coller ici. Ça ne vous intéresse peut-être pas, mais moi ça me fait un article à peu de frais. (Quelle blague ! Tous mes articles sont à peu de frais !)

C’est en anglais, vive le rosbif !

---

These bugs and improvement proposals are sorted from most important to less important.

Technical context :

• the game « Eye of the Beholder 1 v1.9 – unofficial » ,
• taken from this site : https://www.oldgames.sk/en/game/eye-of-the-beholder/download/2021/ ,
• played in a DosBox on Windows.

Do what you want with these bugs, as I am not sure I will have the occasion to re-use ASE.

Modifying scripts provokes graphical bugs

Many wall images are scrambled when the game scripts are modified.

Here are steps to reproduce the bug.

1. Start a game, create a party, go to the first drainage grate.
2. Everything looks OK.

3. Launch ASE.exe and set the folder
4. Launch EOB1_Explorer.exe
5. Add an instruction anywhere in the code, for example : F8 "I add a new message here." 00 02 00
6. Press Ctrl-F9 to compile.
7. You get a message box telling « Range check error. »

8. Click the button « update INF ».
9. Close and restart EOB1_Explorer.exe
10. Add another instruction anywhere in the code.
11. Press Ctrl-F9 to compile.
12. This time you don’t get the error message.
13. Click once again the button « update INF ».
14. Start another game, re-create a party, go to the first drainage grate.
15. This time the image is buggy. I do not know from where it was taken. It looks like a part of an attacking leech.

Other bugs appear on many wall textures. Once it happened, there is no hope to come back to a correct display.

I guess it’s a problem with memory offsets in the game information. It is quite annoying, it cancels all the involvement I would put in the creation of a totally new Eye Of The Beholder game.

Object sub-position cannot be redefined

Information related to objects can be modified in the tab « F4:Items ». But their sub-positions cannot be modified.

As we all know, an object on a square in the map has 5 possible sub-positions : the four corners on the ground, and the alcove carved on a wall.

The function ADD_ITEM shows it. It has 3 parameters : OBJECT_INDEX, POS_X_Y, SUB_POS.

The initial data contained in the .PAK files undoubtedly contains these supositions. When I modify existing object coordinates, they land on different sub-positions, depending on their index.

If the initial sub-position of the object is in an alcove, and if the object coordinates is on a square that has no wall, we have flying objects !

These flying objects can not be taken. Too bad.

I would say the tab « F4:Items » should have a field « sub-position », that allows us to read and write sub-position of each object.

A weird thing in the game engine : there is only one sub-position to define an object in an alcove, not one per wall side.

If you put a square with an alcove wall on each side, and if you put an object sub-positioned in the alcove on this square, then the object is visible from the four sides ! Logically, when you take it, it goes away from the four sides. In my opinion, this weird behaviour should be documented somewhere.

Encounter scripts should be editable, if possible

I do not know if it is possible at all. Some encounters seem to execute the same kind of instructions as the ones in the script :

• speaking with Armun puts some objects in front of the party and sets a global flag,
• there are movements automatically done before and after speaking with the dwarven cleric, and the previous global flag is checked to initiate the conversation,
• speaking with Shindia spawns the monster « Shindia »,
• …

I guess the dialogue texts, reply choices, player characters joining the party, etc. are all stored somewhere in the game files. If we could modify all this, it would be really cool, and we could make a totally-totally new Eye Of The Beholder game.

Some event parameters are not parsed in the script

Here is the code we usually have with stairs and ladders :

IF         TRIGGER_FLAG = 1 (on_enter)
ELSE_GOTO  $0473

[...]

IF         3 = 0
ELSE_GOTO  $044C
TELEPORT   TYPE = $E8 (party), SOURCE = <00,00>, DEST = <18,24>

IF         3 = 1
ELSE_GOTO  $0459
TELEPORT   TYPE = $E8 (party), SOURCE = <00,00>, DEST = <17,23>

IF         3 = 2
ELSE_GOTO  $0466
TELEPORT   TYPE = $E8 (party), SOURCE = <00,00>, DEST = <18,22>

IF         3 = 3
ELSE_GOTO  $0473
TELEPORT   TYPE = $E8 (party), SOURCE = <00,00>, DEST = <19,23>

IF         TRIGGER_FLAG = 4 (on_put_item)
ELSE_GOTO  $04AE

IF         3 = 0
ELSE_GOTO  $0487
TELEPORT   TYPE = $F5 (item), SOURCE = <18,23>, DEST = <18,24>

IF         3 = 1
ELSE_GOTO  $0494
TELEPORT   TYPE = $F5 (item), SOURCE = <18,23>, DEST = <17,23>

IF         3 = 2
ELSE_GOTO  $04A1
TELEPORT   TYPE = $F5 (item), SOURCE = <18,23>, DEST = <18,22>

IF         3 = 3
ELSE_GOTO  $04AE
TELEPORT   TYPE = $F5 (item), SOURCE = <18,23>, DEST = <19,23>

END

The translated script shows comparrison between litteral numbers : « 3 = 0 », « 3 = 3 », … which looks really dumb.

This is of course not what the script does. These values corresponds to the direction from where the party comes, or the direction from where the object was thrown. It is used to reposition the party or the object from where it comes, because nothing is supposed to stay at the same square of a stair or ladder.

Some specific words should be used in the translated script to describe this process. For example, 3 = 0 should be replaced by FROM_DIRECTION = NORTH.

The direction identifiers are the usual ones : 0 = north, 1 = west, 2 = south, 3 = east.

Labels should be shown in the « Events » tab

The « F2:Events » tab shows the translated scripts, but the GOTO instructions have the litteral adresses.

The « F3:Scripts » tab shows GOTO instructions with labels, but the script is displayed with raw bytecode.

The text labels should also be displayed in the « F2:Events » tab, to have all the human-readable script in one tab.

It is quite painful to modify the scripts, I was always switching between the two tabs : write some code, check it is correct, and so on. A really nice feature would be a mode to display the two tabs side by side. The « F2:Events » would automatically updates while we type in the « F3:Scripts » tab. But maybe that’s too much to ask.

Texture atlas needed

I had to try different wall numbers in the map, then play the game to see the corresponding images, then repeat for the next level palette, etc.

Some identifiers are the same in many palettes, for example : with « brick » and « blue », the value 51 corresponds to a wall with writings on it.

Other identifiers exist only in one palette, or are different between palettes, for example : all the stone portal images.

That would really be helpful to have the complete list of wall images, with their identifier, for all the palettes. You don’t even have to integrate it in the existing software. Just toss an external document with the images and their identifiers, that would be perfect.

Command parameters should be documented

The tab « F5:Commands » lists all the existing commands, which is great, but not enough.

The parameters of each command should also be documented. Some commands, such as TELEPORT or ADD_MONSTER, have numerous, varied and complex parameters.

The documentation you linked to https://moddingwiki.shikadi.net/ is interesting, but really hard to read and to understand. I’m not sure it explains all the commands of Eye Of The Beholder.

Program crashes when writing coordinates with one digit

This one is simple to reproduce :

• Go to « F3:Script » tab, go to the « event trigger points » zone.
• Modify a coordinate of any event, write it with only one digit. For example, replace « 03 » by « 3 ».
• Press Ctrl-F9.
• You get an error message : « Access violation ».

Code size limit should be checked

When the script of a level is too big, it can lead to unexpected behaviours.

The last address value in « F2:Events » should be checked. If it is greater than $1AF0, there are risks to have unexpected behaviours. I’m not sure of the exact limit, it may be a rounded value, like $1B00.

This should be checked by EOB1_Explorer.exe, and a warning message should be displayed when updating/saving the INF file.

The unexpected behaviour seems quite random, and occur when the party arrives in the level having the INF too big.

Sometimes, it’s an immediate crash with a totally unrelated message :

Some other times, it’s a crash with a message « Far heap corrupt! » when you click on the button « CAMP » :

Race and class values are not completely documented

The file EOB1_Explorer_Notes.txt has an uncomplete list of race indexes. Here is the complete one :

• 00 = Human
• 01 = Elf
• 02 = Half-elf
• 03 = Dwarf
• 04 = Gnome
• 05 = Halfling

The Class identifiers are not correct and does not correspond to the HAS_CLASS function.

There are only 4 « base class »,

• 01 = Fighter
• 02 = Mage
• 04 = Cleric
• 08 = Thief

HAS_CLASS adds all the classes of your characters, by using the boolean « OR », and returns true if there is at least one set bit in common with the parameter given to the function.

Multi-class activates the corresponding bits of all the base classes.

For example, let’s say the party has a Fighter/Mage and 3 clerics (that’s a weird party).

HAS_CLASS(2) will return True. It evaluates to :

• has_class_param & (classes_chara_01 | classes_chara_02 | ... )
• 2 & ((fighter | mage) | cleric | cleric | cleric)
• 2 & (fighter | mage | cleric)
• 2 & (1 | 2 | 4)
• 2
• True

It is not possible to check if there is a ranger in the party. This class only lights the « fighter » bit.

It is also not possible to check if there is a paladin. This class lights the « fighter » and the « cleric » bits.

The way how the function HAS_CLASS works should be documented.

That’s all

Thank you once again for having created these tools. They are wonderful, even with those tiny bugs.

I used EOB_Explorer1 to create a hacking challenge that involves the game and your tools. This challenge was part of the CTF at the Toulouse Hacking Convention 2022. The people who tried it said it was really interesting (a few of them managed to solve it, though). I will submit it to root-me.org in the upcoming months and I will let you know about it, if root-me accepts it.

For the moment, I have not planned to create other challenges or other games with Eye Of The Beholder, so there may have no specific reason to fix these bugs. Anyway, I’m really happy to have « revived » this game in a quite uncommon way. It was an important part of my childhood, I took many years to finish it.

See you next time !

---

Voilà, c’était tout ce que j’avais à dire. Je l’envoie à mon nouvel ami Joonas ce soir. S’il me répond des trucs intéressants, je vous en ferais part.

Bien entendu, j’ai plusieurs autres idées de challenge « TUR-ROX », avec d’autres jeux. J’essayerais d’en concrétiser une ou deux pour la prochaine THCON.

Cet article est un rapport de bug.

Rapport de bug -> bug -> ladybug -> l’héroïne de dessin animé -> vêtements aux motifs de cette héroïne -> femme ronde !

Enjoy :

Pour le mois prochain, je me permettrais d’être moins blogalement productif. Je vous rassemblerai un package de commentaires de jeux du Ludum Dare, et ça devrait suffire.

D’ailleurs, faut que je vous annonce mon classement. Eh bien on fera tout ça en même temps.

THCON + Ludum Dare, ça a été un beau bazar ces dernières semaines. Peut-être que maintenant je vais avoir du temps pour faire la road-map de Squarity ?

On ne sait pas…

TUR-ROX-👁 Post-creationem-challengem

Heeey !

J’ai terminé la réalisation de mon challenge de hacking pour la THCON. Je l’ai soumis aux personnes qui organisent l’événement. Je ne sais pas encore s’il sera accepté. Dans tous les cas, je ne peux rien vous révéler avant la fin du Capture The Flag, qui aura lieu entre le 16 et le 17 avril.

Cependant, ça me démange de ne pas pouvoir vous parler de mon œuvre, alors je vais vous révéler son contexte et tout ce qui m’est passé dans la tête durant sa création. Ça ne devrait rien spoiler, je ne décris pas les énigmes en elle-même.

Le contexte

J’en ai déjà parlé un peu à la fin de cet article.

Il s’agit du jeu vidéo Eye Of The Beholder, dont j’ai modifié les plans des niveaux et les événements à l’aide de l’outil All-Seeing Eye et de son éditeur.

Pour résoudre le challenge, il faut jouer à la version modifiée tout en inspectant son contenu avec All-Seeing Eye. Il faut analyser les scripts et en déduire les actions à faire dans le jeu, pour obtenir le code secret permettant de valider le challenge. Je ne vous en dis pas plus.

Ce challenge, ainsi que les deux autres créés pour la précédente THCON, s’inscrivent dans un objectif plus global : l’instauration d’une nouvelle catégorie de challenge de hacking, que j’ai sybillinement baptisé « TUR-ROX ». Ça signifie « TURing-appROXi-complete video games ». C’est même pas un vrai sigle, c’est pas du tout les initiales des mots, mais j’m’en fous total, j’suis un ouf’ rebelle malade.

Principe des challenges de type TUR-ROX

Le principe consiste à trouver un jeu vidéo comportant un système de script intégré, à le modifier dans le but d’y implémenter un algorithme plus ou moins simple, et à faire en sorte que le flag ne puisse être découvert que lorsque cet algorithme est compris.

L’inspection et la modification du jeu peuvent être effectuées par un outil « officiel » (comme l’éditeur de ZZT), ou bien par un outil ne provenant pas des personnes ayant créé le jeu (comme All-Seeing Eye). Le système de script peut être plus ou moins élaboré. Au minimum, il doit pouvoir accéder à certains éléments du jeu. S’il comporte quelques structures algorithmiques de base, (if, while, …), c’est déjà bien.

En général, on fournira cet outil avec le challenge, afin de donner tous les moyens nécessaires à sa résolution. Mais on pourrait faire exception à cette règle.

Beaucoup de jeux actuels sont fortement moddables et scriptables. Les gens qui les développent ont réfléchi deux secondes et se sont dit qu’il serait bon de profiter des expériences du passé. Les scripts s’appuient maintenant sur des langages de programmations standards, multi-usages et documentés. Par exemple : Roblox utilise le Lua, Twine utilise du JavaScript, les gros moteurs de jeux comme Unity autorisent plusieurs langages (python, C#, …).

C’est la meilleure démarche possible, ça facilite les liens entre les personnes qui veulent créer des jeux vidéos et qui ne savent pas (encore) coder, et les personnes qui codent sans créer de jeux.

Mais ce n’est pas avec ça que je peux faire des chouettes challenges TUR-ROX. Du code à rétro-ingénierer dans un langage connu, c’est trop facile. Un foisonnement de documentation, d’outils d’analyse et de debugging sont à portée de clavier. Une solution serait de faire exprès d’écrire du code le plus incompréhensible possible, mais serait alors un challenge de type obfuscation, et non plus un TUR-ROX. Il existe déjà une foule de gens capable de créer des challenges d’obfuscation, et ce mieux que moi.

Un TUR-ROX est un mix entre un jeu vidéo et du code source à décortiquer, le système de script doit donc être spécifique au jeu. En revanche, il peut être obscur et mal documenté, ça fait partie du challenge de le comprendre avec les moyens disponibles. C’est pour ça que je préfère utiliser des jeux anciens ou exotiques. On est obligé de se plonger dans leur histoire, de retrouver comment pensaient les concepteurtrices de jeux à une époque où il y avait moins de standards.

Et cette année, j’ai choisi Eye Of The Beholder. Mais pourquoi donc ?

Attention : Turok ≠ TUR-ROX

Eye Of The Beholder, parce que nostalgie

Ce n’est pas la première fois que j’écris un article sur ce jeu. Il a marqué mon enfance. Je l’ai commencé alors que j’étais en sixième, en explorant un peu au hasard. Une solution a été publiée dans un magazine Tilt, j’ai demandé à mon frère de la photocopier. On a commencé à s’en servir avec mon autre frère, on est allé jusqu’au niveau 7. Ensuite, notre intérêt pour le jeu a diminué. De plus, ce niveau est graphiquement plus inquiétant que les précédents (très sombre, des symboles d’araignés omniprésents), et il commence par un difficile combat contre un groupe d’elfes noirs. J’ai douté de mes capacités à en venir à bout, j’ai laissé tomber.

Moustache ! moustache !

Je me suis fait engueuler par mon frère, qui m’a reproché que les photocopies avaient été faites pour rien puisque je n’étais même pas foutu de les utiliser entièrement.

Quelques années plus tard, j’ai recommencé le jeu seul. J’ai pris le temps d’élaborer une équipe bien équilibrée, couvrant le plus de classes possibles. J’ai tué tous ces tocards d’elfes noirs et je suis arrivé au niveau 10. Il comporte un générateur de Mantis Warrior. J’avais réussi à faire abstraction du générateur d’araignée géante présent au niveau 4, mais celui des Mantis m’a psychologiquement bloqué.

Ce que j’aime dans ce jeu, c’est le sentiment de « nettoyer » les souterrains. On explore partout, on tue tous les monstres qu’on rencontre et on prend tous les objets. À chaque fois qu’on finit un niveau, on peut se dire : « Voilà, il n’y a plus aucun danger. Je pourrais revenir me promener dans ce niveau sans aucune crainte ». Concrètement, on n’a pas besoin d’y revenir, mais j’aimais éprouver cette sécurité et cette impression de rendre le monde meilleur. Or, les générateurs de monstres enlèvent complètement ce sentiment.

Encore une ou deux années plus tard, je me dis que c’est quand même dommage d’être allé aussi loin dans le jeu sans le finir. Je détruis 4 Mantis Warrior à la suite dans le niveau 10. Je parviens à me faire une raison : les prochains seront générés dans longtemps, je peux toujours éprouver un sentiment de nettoyage même provisoire, et si il faut vraiment sécuriser entièrement les souterrains, eh bien les notables de la ville de WaterDeep n’auront qu’à envoyer des magiciens destructeurs de générateurs de monstres !

J’écume les derniers niveaux, je bute Xanathar à la bourrin (je possédais le « Wand of Silvias », mais je n’avais pas compris qu’on pouvait s’en servir pour le faire reculer jusque dans des pics où il se plante stupidement). Mon frère revient à la maison pour des vacances. Je lui annonce que j’ai terminé le jeu. Il est heureux pour moi, mais ne s’excuse pas de m’avoir engueulé des années auparavant. Il ne se souvenait certainement pas de ce passage de sa vie.

Maintenant que j’y pense, ce même frère m’avait soutenu lorsque je suis allé rapporter à la FNAC un jeu qui ne marchait pas. On a pu obtenir un avoir, ce qui n’était pas gagné d’avance, et je crois que je ne l’ai jamais remercié pour ça.

D’autres années plus tard, je commence un tout petit peu Eye Of The Beholder 2, mais je ne prends pas le temps de me lancer vraiment dedans. J’essayerais peut-être de le faire un jour, en live sur Twitch, avec vous.

Pour finir, j’ai négationné mes deux frères et je me sens mieux. Je ne détaille pas plus, je ne veux pas vous embêter avec des histoires idiotes.

Aujourd’hui, j’ai retrouvé la solution, sans faire de photocopies. Merci au site abandonware-magazine !

Eye Of The Beholder, parce que script

Je me souvenais d’énigmes et d’événements tellement étranges que ça laissait supposer la présence d’un système de script relativement générique. Quelques exemples :

• Vous avancez dans un couloir et automatiquement vous faites un demi-tour, sans être prévenu.
• Vous posez certains objets à certains endroits, ça déclenche l’apparition d’un monstre et/ou d’autres objets.
• Vous entrez dans une pièce, vous ramassez une potion, vous sortez, vous re-rentrez par une autre entrée, une deuxième potion est apparue, vous la ramassez, ainsi de suite jusqu’à 4 potions.
• Des rencontres avec des PNJ déclenchant des dialogues, des ajouts de nouveaux personnages, des attaques, etc.
• Des téléporteurs, des murs qui disparaissent quand on appuie sur un bouton, des plaques de pression qui déclenchent des ouvertures/fermetures de portes, etc etc.

J’ai cherché un éditeur de niveau et je suis très vite tombé sur « All-Seeing Eye », créé par Joonas Hirvonen (je sais pas qui c’est). Il permet de modifier beaucoup de choses, y compris les scripts.

Au bout de quelques soirées et quelques week-ends, j’avais assez bien appréhendé le « EOB-script » (appelons-le comme ça) et j’avais une idée assez précise des énigmes que je pouvais créer.

J’ai été impressionné. Ça date de 1991 et c’est une machine virtuelle fonctionnant avec du bytecode. Son langage, comme dirait les Inconnus, est « souple et solide à la fois ».

Voici les fonctionnalités de l’EOB-script qui m’ont beaucoup plues.

• 32 variables booléennes locales à chaque niveau + 32 variables booléennes globales.
• Opérations booléennes complexes à l’aide de la notation postfixe .
• Beaucoup de fonctions pour analyser l’état du jeu : présence de monstre à un endroit, type de mur d’une case spécifique, présence d’un type d’objet sur une case, position de l’équipe de personnages, classe et race des personnages, …
• Et aussi beaucoup de fonctions pour agir sur le jeu : créer/supprimer des objets/murs/monstres, lancer un sort, émettre un son, infliger des dégâts, …
• Branchement conditionnel (if – goto), mais aussi sous-fonctions grâce aux instructions gosub et return, dont j’ai grandement profité !
• Gestion d’événements couvrant un large spectre : on peut exécuter un script sur une récupération ou un dépôt d’objet, une arrivée ou une sortie sur une case, un clic dans la zone réactive d’un mur (manette, serrure, rune, …).
• Cohérence dans la gestion d’événements : une téléportation déclenchera le « on_enter » de la case d’arrivée, un lancer d’objet déclenchera le « on_put_item » de la case sur laquelle l’objet atterrit.
• Robustesse : sur un seul événement, il est possible de déplacer des dizaines d’objets, modifier des dizaines de murs, exécuter des dizaines d’instructions, écrire des dizaines de messages (même si seuls les trois derniers sont visibles), tout ça sans problème, sans plantage, sans ralentissement.

En revanche, All-Seeing Eye n’est pas toujours à la hauteur de la magnificence de l’EOB-script. En particulier, on ne peut pas changer les dialogues et les événements des rencontres avec les PNJ. Je ne sais pas si c’est dû à un simple manque de motivation ou à une impossibilité technique. Je ne sais pas si ces événements sont écrits en EOB-script ou codés en dur. Je ne sais pas non plus où ils sont stockées, (pas forcément dans les fichiers EOBDATA.PAK).

J’ai beaucoup de remarques et de propositions d’améliorations, ce qui nous amène au chapitre suivant.

Ils sont meugnons !

Review de All-Seeing Eye (Pour plus tard)

Je vais faire un petit don de 20 euros sur le Paypal de Zorbus.net. C’est amplement mérité. S’ils n’avaient pas créé All-Seeing Eye, je n’aurais jamais pu créer ce challenge de hacking dont je suis assez fier.

Comme j’ai bien utilisé et exploré leur outil pendant plusieurs semaines, et que j’ai un peu galéré à cause de certains bugs, j’ai souhaité rassembler mes remarques dans un même document, que je leur transmettrais.

Et comme j’aime bien rentabiliser les textes que j’écris, je mettrais ces remarques aussi dans ce blog. Mais pas tout de suite, ce sera l’objet du prochain-prochain article. Il sera en anglais, mais vous vous débrouillerez bien.

Je vous laisse avec des yeux tatoués sur des seins. Je trouve ça très rigolo.

THCON 2021 – ZZT Post Challengem

Le week-end du 12-13 juin a eu lieu le CTF (Capture The Flag) de la Toulouse Hacking Convention. J’y étais en tant que participant à essayer de résoudre les challenges, et en tant que contributeur qui en a créé. Normalement, on n’est pas censé faire les deux. Chut, faut pas le dire.

Ma participation

Tout se passait à distance, dans nos chez-nous respectifs. Niveau ambiance et mise en situation, on est loin du NorthSec (qui met tout de même la barre assez haute, ce que je vous avais narré l’année dernière).

Les challenges de la THCON sont simplement listés sur un site, créé avec l’outil générique CTFd. Je ne me suis donc pas trop senti transporté dans un autre monde, mais je me suis quand même beaucoup amusé.

J’ai réussi trois challenges, dans trois catégories différentes : programmation, app-script, cryptographie. C’est peu, mais ça me suffit amplement. Je suis un peu déçu d’avoir passé plusieurs heures sur un challenge d’intro tout simple (one-time pad). Il fallait faire des XOR, alors que je tentais des additions/soustractions dans tous les sens. Duboulet !!

Ou-exclusif, le shérif de l’espace. J’ai déjà fait cette blague y’a 10 ans. Je m’en lasse pas.

Ma contribution

Ayant un ancien Collègue dans l’orga de la THCON, j’en ai profité pour lui proposer un challenge de mon crû. Après de longs et passionnants échanges ainsi que moults tests, nous nous sommes mis d’accord pour le splitter en deux, du fait de son volume qui s’est révélé assez conséquent.

Je vous propose ici la version non-splittée, que je préfère. Faut s’accrocher pour le vaincre, mais vous n’avez pas les contraintes de temps de la THCON.

Il s’agit d’un unique fichier à télécharger : THCON21.ZZT.

Voici la description, comportant des indices pour vous aider à trouver quoi faire avec :

TUR-ROX

A journey in Turing-approxi-complete video games.

« ZZT » ? What is that strange file extension ? It may be something old. If it’s old, there is a MUSEUM about it. Whatever it is, I suppose it has nothing to do with Catherine ZETA-Jones.

Comme je suis gentil, je vous pré-mâche le début. Il s’agit d’une map du jeu vidéo « ZZT ». Pour l’installer, vous devez suivre cette doc (L’outil « KevEdit » n’est pas indispensable).

Si vous voulez juste y jouer pour voir un peu à quoi ça ressemble, il y a une version en ligne dans le « Museum Of ZZT » : https://museumofzzt.com/file/c/THCON21.ZIP
Rien à installer ni à copier. Vous cliquez sur le lien puis vous cliquez sur « Play online » dans le menu en haut.

Le but de ce jeu est de trouver un « flag », c’est à dire un code secret, ayant le format THCon21{-------------}. Les tirets correspondent à des caractères alphanumériques.

C’est du hacking. Ça veut dire que si vous vous contentez de jouer, vous ne trouverez pas grand-chose. Il faut décortiquer le jeu, chercher comment il fonctionne, le bidouiller, ajouter des éléments de débuggage, extraire des informations, le passer à la moulinette, etc.

Bon triturage de cerveau !

Quite unrelated pic, screenshot d’un outil bien utile pour les CTFs.

Des signes d’intérêt de la part des THConistes

J’ai eu quelques bons retours sur le Discord de la THCon, aussi bien pendant la compétition que après. Apparemment, le format est assez original. Quelques personnes ont rédigé des write-ups (ça veut dire « des solutions »), et y ont inséré un avis très positif.

Mon ego est fortement flatté de voir que des gens se sont interessés à ma création, au point de rédiger des textes à ce sujet. Je suis tout gargarisé !

Voici les liens vers lesdits write-ups. ATTENTION, Ne cliquez pas dessus si vous voulez trouver le flag par vous-même. Ce sont des énormes spoilers !!!

• https://manah.fr/posts/thcon21_writeups/
• https://qiita.com/mikecat_mixc/items/cfad22baf97d7f181689#tur-rox-z-1
• https://blog.cyxo.cf/thcon-2021-ctf-write-ups/

Vous vous en doutez, le véritable but de cette contribution n’était pas le challenge en lui-même, mais la petite publicité pour Squarity embarquée dedans. Vous la trouverez facilement. A-t-elle eu un impact ? Aucun nouvel adepte n’est venu se rallier au Discord de Squarity. C’est pas grave.

Des signes de non-intérêt de la part des ZZTistes

Les personnes qui continuent d’utiliser ZZT pour créer des jeux et autres œuvres se retrouvent dans le « Museum », ainsi que sur (encore) un serveur Discord. Vous vous en doutez, le véritable but était de faire découvrir Squarity à cette communauté. Les deux moteurs de jeux diffèrent sur beaucoup de points, mais ont un but commun : favoriser la création vidéoludique amatrice.

Mais vous ne pouvez pas débarquer en gueulant : « Regardez mon projeeeeeet ! Il est gèèèniaaaâââl ! Venez vous féoder à ma cause ! Travaillez pour moi et faites-moi de la pub en échange de ma reconnaissance faciale éternelle gratuite ! ».

Lorsqu’on veut rallier à soi-même les membres d’une communauté existante, il vaut mieux commencer par se rallier soi-même à cette communauté.

Alors je préparais le terrain. Je m’étais inscrit sur le Discord de ZZT il y a de ça plusieurs mois. Je me suis présenté, j’ai lu plein de messages sans trop intervenir. Par certains aspects, ce Discord est un « safe space ». Certaines personnes font part de leur problèmes personnels et sont inconditionnellement soutenues par d’autres personnes. C’est cohérent avec le fait que les premiers créateurtrices de jeux ZZT étaient des ados pas toujours bien dans leur peau. The « children of the glow ». Mais un safe space, ça ne s’approche pas comme ça.

Cherchez vous-même d’où vient l’expression « children of the glow »

Pendant que je créais le challenge, je parlais un peu à tous ces gens, leur disais que je trouvais ZZT cool et chouettement nostalgique, et que je me sentais bien à coder mon truc. Je mettais des petits smileys. Je testais un mini-jeu et donnais un mini-avis. Lorsque je leur parlais de ma future création, un début d’intérêt semblait se manifester. La mythique Anna Anthropy m’adressa même un ou deux messages.

Mon challenge contient des easter eggs qui durent paraître étrange aux THCONistes, et qui étaient spécialement destinés aux ZZTistes :

• Un personnage qui raconte une histoire bizarre et totalement azimutée, le genre de propos que pourrait sortir un ado réfugié dans son petit monde. Je vous laisse le lire par vous-même, il est facile à trouver, dans le premier board.

• Ce personnage dit aussi « Everything is familiar and everything is different ». Une phrase que l’on retrouve plusieurs fois dans le livre écrit par Anna Anthropy.

• Le board principal contient le texte « Lawless Invisible », une référence à Kudzu, un jeu connu par bien des ZZTistes. Dans ce jeu vous rencontrez (ou pas) des personnes désignées comme « Unlawful Invisible ». L’expression est restée.

• Le challenge contient un programme Puzzlescript permettant d’extraire un mini-jeu, dans lequel vous dirigez une tête blanche sur fond bleu, comme le « Char-1 » de ZZT, et vous devez récupérer des « Venus Symbol » rose.

Coïncidence ? Je crois pas…

À part le dernier, tous ces easter egg sont très accessibles. Il suffit de jouer au jeu. Même si vous ne résolvez pas le challenge et que vous ne comprenez rien à ce qu’il faut faire, vous tomberez dessus.

Deux jours après la THCON, je viens sur le Discord de ZZT et j’apporte mon petit jeu en cadeau. Une personne m’informe qu’un type est venu durant le week-end pour demander des indices sur le challenge. J’ai vu leur conversation, elle était tout à fait courtoise mais n’a duré que quelques messages.

Et c’est tout.

Alors voilà. Je ne m’attendais pas à un débarquement massif de ZZTistes sur mon Discord de Squarity, ni à ce que toutes ces personnes s’arrachent les cheveux sur le challenge pour tenter de le résoudre à tout prix, ni à ce que mon esprit créatif soit porté aux nues et que Tim Sweeney vienne en personne me remettre la Croix Nationale du Venus Symbol d’Honneur. Mais je m’attendais à avoir au moins une petite réaction de la part d’au moins une personne qui aurait testé le jeu juste 2 minutes.

Mon cadeau n’était pas suffisant. Tant pis. Je reviendrais plus tard si j’en ai d’autres. Pour l’instant, je laisse tomber la communauté ZZT et je me concentre sur Squarity. Il y a déjà quelques personnes qui me sont féodées (même si ça veut rien dire), je dois continuer de leur apporter régulièrement des nouveautés car je ne veux pas les décevoir.

Voilà un cadeau !

C’était quand même chouette de créer ce challenge

J’ai passé un certain temps à le réaliser, à galérer avec l’éditeur de niveau de ZZT et son ergonomie discutable des années 90, à dessiner les boards, à étudier le langage ZZT-OOP, à élaborer les énigmes, à écrire les scripts de chacun des petits objets programmables, à intégrer des gros tas de texte à l’aide de bouts de scripts python, etc.

Je me suis senti bien. Une fois de plus, ma nostalgie de création adolescente est revenue. Une nuit, il était 2 heures du matin, j’écrivais pour la 5ème fois la ligne de code « :lblMulti » , la musique de Worakls passait dans mon casque audio. C’est pas ce que j’écoute d’habitude, mais là ça collait avec ce retour en adolescence. J’étais bien. Libre. Je pouvais sentir les bulles de photons telluriques glisser le long de mes neurones.

Est-ce que c’est ma crise de la quarantaine ? Est-ce que ZZT est un retour aux sources pour moi ? Ce serait d’autant plus drôle que ce n’est pas une de mes sources. Je ne connaissais pas ZZT lorsque j’étais adolescent.

Je vais me remettre tranquillement à Squarity. Mais je proposerais également ce challenge au site root-me.org. Je ne sais pas du tout si ce sera accepté. Il y a des tas de raisons que ça ne le soit pas : la présence d’une pub pour un projet personnel, le fait que ce challenge ait déjà été utilisé, que des write-ups circulent, etc. On verra bien.

Si ça passe dans root-me, il est fort possible que je me lance dans un autre challenge du même type pour la prochaine THCON. Spoiler alert, ce sera peut-être avec cet outil.

Et puisqu’on parlait de Venus Symbol, voici Venus :

Rien de conséquent pour ce mois

Lecteurtrices, on va pas se mentir, je suis à l’arrache.

Je suis toujours sur mon gros projet http://squarity.fr . Je vais bientôt ajouter la possibilité de définir la taille de l’aire de jeu. Pour célébrer ça, je crée actuellement un petit jeu de démonstration sur un terrain honorablement grand.

Il s’agit d’un pseudo-jeu de stratégie en temps réel, où deux joueurtrices s’opposent. Il n’y a besoin que de deux boutons par personne. Ça s’appellera « Game of No-Life », en hommage au Game of Life de John Conway. Tout ce que je peux vous montrer pour le moment, c’est un screenshot.

Outre ce jeu, ma liste de tâches créatives comporte un certains nombres d’éléments aux deadlines proches et strictes :

• Participer au Ludum Dare, du 23 au 26 avril. C’est un très bon moyen de faire connaître Squarity et d’éprouver son utilisabilité.

• Créer un challenge pour la Toulouse Hacking Convention. Je profite d’avoir une connaissance dans l’équipe organisatrice pour proposer une contribution. La THCON a lieu au mois de juin, mais je dois m’y prendre suffisamment à l’avance pour réaliser le challenge.

• Imaginer un espèce de jeu à énigme genre Escape Room, pour des connaissances personnelles, à l’occasion d’un événement spécifique (intrinsèquement deadliné).

Donc pas d’article conséquent ce mois-ci, à part ce présent article pour dire que j’ai pas le temps de faire un article.

En contrepartie, vous avez la promesse d’une multitude de goodies à venir :

• Un jeu de stratégie, qui sera fini je-sais-pas-quand.
• Le jeu que j’aurais créé pour le Ludum Dare.
• Un éventuel article post-codem du Ludum Dare.
• Un challenge de hacking. La THCON accepte qu’on publie nos contributions une fois que l’événement est passé.
• Sans oublier le commentaire de NarK dans mon article précédent (encore merci à toi ! ), qui déclenchera un article supplémentaire concernant mon ancien projet avec les tinies.

Hey, j’me fous pas de vous, quand même.

Sur ce, voici la traditionnelle image de femme ronde. J’ai cherché quelque chose avec du rouge et du bleu, pour rappeler les petites unités-pixels du screenshot du Game of No-Life. J’ai trouvé ceci :

Notez les petites zones rouge et bleue, ce qui crée une image 3D à regarder avec les lunettes magiques idoines.

Il s’agit du top model Karola, que vous pouvez voir sur le site « Silicone Free ». Voici les images d’origine en 2D. Elle porte un mailot de bain violet, ce qui est tout à fait approprié, puisque le violet c’est du rouge et du bleu. Ha ha !

Justement, au sujet de Karola, (et de la ville de Reims)

Il y a quelques années de ça, j’avais orné un de mes articles par une image de cette belle dame.

Un type était venu me demander, dans les commentaires, si j’avais le droit de publier des photos d’elle. Je lui avais répondu courtoisement, mais il s’était assez vite énervé et je l’avais bloqué. Comme il n’était pas très malin, il avait indiqué une adresse mail non-bidon dans le champ du commentaire. Par de simples recherches, cette adresse m’avait permis de trouver son vrai nom, sa ville de résidence et quelques autres infos. Certaines laissaient à penser qu’il ne connaissait pas personnellement Karola, malgré ce qu’il prétendait. J’avais gardé les infos glanées, « au cas où ».

2 ans plus tard, suite à une publication d’une autre photo de Karola, il revenait à la charge. Nous nous sommes mutuellement insultés de manière tout à fait cordiale et conventionnelle. J’avais révélé son vrai nom dans un de mes commentaires, puis je me suis ravisé, car c’était trop méchant, voire illégal. J’ai laissé les insultes. Nous en sommes restés là.

Cette histoire toute moisie m’est revenue à l’esprit, et j’appréhendais (sans toutefois vraiment craindre) que l’image de cet article déclenche à nouveau un de ses caprices. Par curiosité et voyeurisme, je me suis dit que ce serait l’occasion de chercher à nouveau des infos sur lui. Peut-être qu’il avait dumpé quelques inepties de plus, ça et là sur internet.

Je retrouvais sa page Facebook, son profil Linkedin et d’autres petites crottes. Et là, en cinquième position des résultats de recherche : un avis de décès publié en ligne. Le type a crevé, il y a environ 3 ans.

Ça me fait un peu bizarre.

J’ai enlevé les blocages le concernant. Vous pouvez maintenant écrire des commentaires comportant les mots « karola » ou « karodiva », ainsi que des commentaires émanant de son adresse IP, bien que vous n’ayez pas besoin de ça.

Je ressens le besoin de lui rendre un tout petit dernier hommage, même si je ne le connaissais que très peu. Voici donc une dédicace posthume faite avec Paint, sur une carte postale de la ville de Reims. La ville où il est enterré, où il a vécu, et peut-être aussi où il est né.

Les fautes d’orthographe sont aussi un hommage.

Cet événement nous rappelle qu’il faut régulièrement remercier les femmes et les hommes en tout genre qui mettent des photos de leurs corps sur internet. Il nous rappelle aussi que l’internet tel que nous le connaissons actuellement, et qui permet (encore) de faire circuler ce genre d’images est quelque chose de précieux que nous devons préserver.

Encore merci, Karola, j’espère que vous allez bien.

NorthSec 2020

Avec des collègues de ConcreteWorld.🌍 (la boîte où je bosse), on a participé au CTF du NorthSec, c’est une compétition avec des truck à hacker.

Normalement, il a lieu sur place, au Québec, mais cette année, avec cette histoire de virus, ils l’ont fait en ligne. Je ne vais rien dire de plus à propos du Covid, car je souhaite garder ce blog le plus possible éloigné de l’actualité, pour qu’il reste une sorte de lieu magique dans l’espace éthéré.

Le NorthSec, c’était bien cool ! On a eu 31 points au total, ce qui nous a classé 39ème sur 79. Certes, je n’ai personnellement fait gagner que 2 points, mais mes collègues m’aiment bien quand même. (Je ne suis pas encore assez entrainé à ce genre de compétition).

Je me suis gardé quelques challenges offline sous le coude, que j’essayerais de réussir à tête reposé.

L’environnement et le contexte de présentation des challenges était vraiment bien chiadé. Je vous explique.

Ambiance années 90

Tout se passe dans une université fictive intitulé « Severity High School ».

Les challenges sont disponibles sur le forum de cette université, un par sujet de forum. Même si parfois, certains sujets racontent des trucs qui n’ont rien à voir.

Le style graphique du forum, avec sa magnifique texture de brique en fond, est d’une mocheté assumée.

Qui dit challenge de hacking dit site web avec des vulnérabilités à exploiter. En général, ces sites n’ont aucune mise en forme. C’est une convention, et même une fierté. On se concentre sur le fonctionnement interne du site et les failles qui s’y trouvent. Il faut éviter d’être pollué par le rendu visuel.

De toutes façons, les hackers savent rarement designer un site. C’est un autre métier. Allez sur root-me.org et essayez les challenges de type « Web-server » et « Web-client », vous verrez.

Pour le NorthSec, c’est un autre choix qui a été fait. Le design des sites et du forum a été travaillé. Travaillé pour être comme dans les années 90.

C’est pas les premiers à faire ça, mais c’est toujours amusant. On pourrait aussi y voir une critique du système éducatif et du secteur public en général, qui a la réputation d’avoir systématiquement 10 trains de retard concernant internet et l’informatique. Pour eux, des designs de ce genre, ça ne les choquerait pas.

Y’avait pas ça au NorthSec, mais vous voyez l’idée.

Ambiance dystopie

Les messages fictifs échangés sur le forum donnent l’impression que les élèves et les professeurs font tous n’importe quoi et passent leur temps à se pourrir entre eux.

• des données comportementales sont stockées sur eux, ainsi que des données personnelles complètement WTF (proba d’échec, index social, score consommateur, couleur des yeux, ton de la voix, humidité, …)
• ces mêmes données révèlent que toute l’école est corrompue et que les notes sont proportionnelles aux donations effectuées par les parents,
• les élèves se volent leurs devoirs entre eux et modifient les notes (pas forcément les leurs) sur les serveurs,
• les professeurs développent eux-mêmes leurs applications de validation des examens, qui sont bien évidemment de véritables passoires,
• les élèves, quand ils ne sont pas occupés à tricher, passent leur temps à organiser des « parties » et à se préparer pour « le prom » (le bal de fin d’année).

Ça donne une impression de micro-société totalement dystopique, c’est très étrange et très amusant.

Il y a deux ans, j’étais allé au CTF de la Toulouse Hacking Convention. Le contexte donne forcément l’impression d’être dans un autre monde durant une nuit : plein de geeks dans une pièce en train d’essayer de hacker des trucs. Mais les challenges y étaient présentés de manière brute, sans cohérence entre eux.

L’ambiance et la contextualisation des challenges du NorthSec (même si on n’est pas physiquement sur place) m’a transporté dans un autre monde pendant tout un week-end, et ça fait du bien. Et le fait que c’était un monde dystopique était encore plus rigolo.

C’est à ça que servent les vacances, les voyages, les festivals, jouer dans une pièce de théâtre, etc. : jouer à être quelqu’un d’autre durant une parenthèse de temps plus ou moins longue.

J’espère avoir l’occasion de participer à d’autres trucs comme ça. À la prochaine !

Je vous laisse avec Busty Dusty, une nana des années 90.

Encore des petites icônes en pixel art

Et hop, c’est cadeau.

J’ai refait un jeu de piste pour amuser mes collègues de ConcreteWorld.🌏. Pour être précis, c’est un challenge de hacking. Un peu comme ce qu’on trouve sur le site root-me.org.

Je n’ai pas voulu vous montrer mon précédent challenge, car il est pourrissable et je préfère ne pas l’ouvrir au grand public.

Je ne peux pas non plus vous décrire le challenge que je viens de créer, car il révèle quelques vulnérabilités d’outils utilisés en interne dans la boîte. Rien de grave ni de tonitruant, mais je vais éviter de brailler ça sur tous les toits.

Pour vous consoler, je vous donne tous les petits icônes que j’ai dessinés pour les flags intermédiaires.

J’en ai profité pour ajouter la catégorie « dessins » dans ce blog. Va falloir que je reparcours tous mes articles pour les recatégoriser. Ça me rappellera quelques souvenirs. Chouette.

Ces icônes pixel-art ont été fait sous Paint.Net. Paint, ça permet de faire de la peinture. La peinture c’est bien :

Ah, et sinon, je me suis inscrit sur root-me. Mais pour l’instant je n’y ai pas fait grand-chose. Peut-être plus tard.

 

À la chopraine ! Comme on disait dans les années 90.