Pourquoi Banque Populaire est la première banque des entreprises ?
Je me posais des questions sur le partage de la valeur pour mes salariés.
Elodie, ma conseillère Banque Populaire, m'a proposé une solution d'épargne salariale sur mesure,
rapide à mettre en place et que je peux piloter en ligne.
C'était simple et surtout ça a fait des heureux.
Accompagner nos clients sur tous les territoires avec des solutions adaptées à leurs besoins,
c'est ça, être la première banque des entreprises, Banque Populaire, la réussite est en voulue.
Étude Quantar PMEP, mid-2023, Quatorze Banques Populaires, première banque des PM.
Et nous avons autour de la table, Colin.
Salut.
Et bienvenue.
Merci.
Bienvenue, j'espère que tu as été bien reçu tout à l'heure.
Extremement bien reçu, tu es arrivé tout juste à temps pour l'émission, c'est parfait.
Est-ce que tu as déjà fait du live ou pas du tout ?
Alors j'ai fait des quelques conférences parce que les conférences ne seraient pas de contenu
plutôt de l'ordre de privé pour des clients.
Ok.
On va donner un petit exemple.
C'était des conférences du genre « Comment on fait pour piquer un million d'euros en piratant des vieux auto-cônes d'entreprise ? »
Vous voyez où est-ce qu'on dirige l'argent, qu'elle donne le circuit de blanchiment.
Et à la fin, il faut le rendre après la démon.
Donc voilà, c'était des contextes qui sont très spéciaux du Zemmombagam.
Donc c'est voilà, c'est pas forcément le même public.
Mais après, j'en ai fait un peu plus public.
La finique sur les technologies de Internet m'avait déjà contactée parce qu'on avait créé le point 42 pour les noms de domaine.
Il y a quelques années, bien avant qu'il y ait les nouveaux TLD.
Et on s'est fait cracher dessus par les instances, par l'Aikan, etc.
Parce que ça prenait.
Et si j'ai fait un peu de public, mais dans les comptes pour les familles de faire le public, je peux me faire cracher dessus.
Parler autant de temps, instances.
Bah ce sera différent.
Ouais, ça sera pas mieux se passer, je crois.
Non, non, ce sera différent.
Donc vous l'avez deviné évidemment.
Notre invité à un background plutôt cyber.
Et aujourd'hui, on va parler de plein de trucs passionnants à propos.
Justement, c'est marrant parce qu'on est un peu dans le thème.
Je sais pas si t'as entendu la partie 2 sur la chronique CSGO.
Ouais, CSGO, c'était assez rigolo.
On en parlait d'autres choses.
J'imagine que tu connaissais un peu tous ces, enfin, les coulisses de la triche.
Oui, oui.
Je me suis demandé pourquoi c'est encore aussi joué.
Parce que vraiment, tous les outils sont fournis pour que ça fasse comme ça.
Après, je racontais, on va parler un moment dans ce que j'ai fait pour les
gens qui sont en train de se faire parler.
Donc, on va parler de la partie 2 sur la chronique CSGO.
Et puis, on va parler de la partie 3 sur la chronique CSGO.
Et puis, on va parler de la partie 4 sur la chronique CSGO.
Et puis, on va parler de la partie 3 sur la chronique CSGO.
Et puis, on va parler de la partie 4 sur la chronique CSGO.
Et puis, on va parler de la partie 5 sur la chronique CSGO.
Et puis, on va parler de la partie 6 sur la chronique CSGO.
Et puis, on va parler de la partie 6 sur la chronique CSGO.
Et puis, on va parler de la partie 6 sur la chronique CSGO.
Et puis, on va parler de la partie 6 sur la chronique CSGO.


Et puis, on va parler de la partie 6 sur la chronique CSGO.
Et puis, on va parler de la partie 6 sur la chronique CSGO.
Et puis, on va parler de la partie 6 sur la chronique CSGO.
Et puis, on va parler de la partie 6 sur la chronique CSGO.


Et puis, on va parler de la partie 6 sur la chronique CSGO.
Et puis, on va parler de la partie 6 sur la chronique CSGO.





Et puis, on va parler de la partie 6 sur la chronique CSGO.
Et puis, on va parler de la partie 6 sur la chronique CSGO.
Et puis, on va parler de la partie 6 sur la chronique CSGO.
Et puis, on va parler de la partie 6 sur la chronique CSGO.




Et puis, on va parler de la partie 6 sur la chronique CSGO.
Et puis, on va parler de la partie 6 sur la chronique CSGO.
Et puis, on va parler de la partie 6 sur la chronique CSGO.
Donc, je détruit des softwares, mais dans le but de proposer des designs,
ou plutôt que de patcher, le problème n'existe pas, jusque dans le design.
Alors, je vais complètement simplifier l'idée en disant que, par exemple,
en tout cas, dans la question, comment on a fait pour qu'il n'y ait pas d'accident de vélo sur l'autoroute ?
On a interdit le vélo.
Non, mais surtout mieux que ça, parce qu'ils peuvent quand même y aller.
C'est surtout qu'ils n'ont aucun intérêt à aller sur l'autoroute, à part quelquefou.
Et tout comme les voitures n'ont pas d'intérêt à aller sur les pistes cyclables.
C'est-à-dire qu'il existe des designs simples qui ne passent pas par le compromis,
ou en fait, où la chose ne va pas arriver à part s'il y a un fou du chaos,
ça, c'est réglé par le chaos engineering et d'autres concepts de résidence,
mais où le problème n'a pas lieu de se passer, parce qu'il n'apporte rien à celui-ci.
Et ma spécialité, c'est de découvrir ces designs-là,
et donc de créer de la sécurité par design avec zéro contre mesure.
La chose a été exposée, elle est exposée comme ça, oui, mais en fait,
ça, ça ne lui servira à rien, parce que c'est comme ça,
où tous les éléments, c'est du zéro trust aussi,
il y a beaucoup de zéro trust, c'est des choses comme ça.
Et là, je suis encore content, je commence à avoir peur des IA.
Et alors, trouver ces designs-là, enfin, il n'y a pas de data set.
C'est comment on en fait ça, ça prend vraiment des éclairs d'utilité, etc.
Et ce que j'ai remarqué beaucoup, c'est que ce que ça prend,
c'est d'être tellement expert sur un design ou sur un domaine,
ça devient extrêmement complexe, pas parce qu'il y a du legacy, etc.
Mais parce que c'est comme ça qu'on fait, et la prochaine étape,
t'as, mais en fait, il y a beaucoup plus simple.
Une fois qu'on a tout vu, c'est Apple faisait la pub en disant
la simplicité comme ultime sophistication, et c'est vraiment ça.
J'ai déjà été face à des problématiques DevOps, on nous dit,
oui, mais non, mais là, il s'est un serveur d'image,
il faut que ça redimensionne, il faut que ça sache ça, il y a mis des mille trucs et tout.
Et après, on dit, ouais, mais le cache HTTP,
enfin, si tu rajoutes le cache HTTP, la nature d'HTTP lui-même,
tu te retrouves à faire, il n'y a rien à faire.
Il n'y a juste rien à faire pour couvrir l'ensemble des problématiques
avec un coup de modérisoir, plein de choses comme ça.
Donc ça tape aussi dans les coups.
Et donc moi, je revois ces designs en proposant des trucs
où le problème n'existe pas, tu ne peux même pas arriver à réfléchir
à comment le problème se prédenter, parce qu'il n'a plus de sens.
Il est devenu théoriquement impossible à le payer pour...
Impossible, parce qu'en fait, pourquoi tu le ferais ?
Parce que ça, il t'apporte plus rien, vraiment.
Et donc ça, c'est ce que tu es censé faire.
Voilà, mais ça, c'est ce que je facturais assez cher.
Dans des contextes plus...
L'ego pour les gens qui en avaient besoin,
donc là où la raison d'état, là où la raison féro...
Là où... Là où...
Là où nécessité fait loi, dans des endroits où on dit ça.
Et ça, je ne dirais pas plus.
Une fois que tu as fait ses missions là-dessus...
Voilà, une fois que j'ai fait mes missions là et que j'ai été nourri,
est-ce qu'il s'est passé ?
Alors si on peut parler du jeu, du jeu en question,
alors sais-tu il est le der Scornery ?
Attends, non.
Je vais justement introduire.
Non, non, mais je sais que tout le monde n'est pas forcément...
n'est pas forcément des gamers férus dans notre audience.
Et donc justement, on va vous expliquer un petit peu de quoi il en retourne.
Comme je vous le disais aujourd'hui,
donc on reçoit Colin Brigato.
Et on peut dire que à toi tout seul, entre guillemets,
si on devait résumer l'histoire,
tu aurais pu faire capoter l'un des deals les plus importants du jeu vidéo.
Mais je pense que je l'ai fait et que si ce n'est pas arrivé,
c'est parce qu'il y a un mec, un tueur qui s'est retrouvé face à moi,
qui était le... on en parlera, le RSSI de Zenimax avant le Rochac,
qui est devenu dans l'équipe des RSSI de Microsoft.
Et vous verrez qu'il a réussi à gérer l'ingérable.
Et vraiment.
Et vous allez voir comment il a du coup peut-être sauvé une catastrophe que tu as déclenché.
Je voulais vous le disais, un deal énorme dans le monde du jeu vidéo,
qui porte sur le jeu The Elder Scrolls Online.
Alors, si tu devais expliquer ce jeu à quelqu'un qui ne joue pas.
Qui ne joue pas.
Je vais lui demander s'il a joué à Skyrim,
évidemment que tout le monde connaît la licence,
sinon s'il a un peu plus vieux, qu'il a joué à Morrowind ou Oblivion.
Normalement, si on prend ces quatre jeux-là,
il y en a forcément un qui a joué, qui avait un ami,
il faut compter là-dessus.
Sinon, c'est de l'héroïque fantasy en open world
et c'était les premières grosses licences à faire ça,
avec la capacité de rajouter des modes,
des modes et qu'on mettra à contribuer la communauté,
si tenter que ça fait plus de 11, 12 ans que Skyrim existe,
le même moteur et que les gens continuent de l'améliorer et de jouer avec.
Donc autour de ce jeu,
c'est produit une histoire complètement dingue,
digne d'un documentaire Netflix,
qui commence en réalité en 2019.
Oui.
Donc en 2019, tu te retrouves à bidouiller ce jeu, The Elder Scrolls Online.
Et alors, toi, qu'est-ce qu'il t'intéresse à l'origine ?
Est-ce que tu étais ton même joueur ?
Je bidouillais pas le jeu.
J'avais les tausses, je jouais, j'adore la licence.
Donc ça, c'est la version MMO, elle s'est plantée en 2014.
On est 5 ans plus tard, elle s'est entièrement refaite
et est en train de devenir une licence triple A.
Il a commencé à avoir un monde dessus,
de WoW, de Galet WoW, classique toute,
c'est en train de descendre.
Le montant, c'est vraiment pas le moment.
Et au même moment, on commence à entendre Microsoft,
qui veut racheter la boîte,
donc Zany Max et Bethesda,
la boîte qui s'occupe de jeu.
Moi, je suis un joueur, j'adore le jeu.
Et je suis vraiment un gros joueur.
Je me mets à faire quasiment que ça,
parce que ça me plaît, que ça y a du contenu.
Et j'ai dépensé 15 000 euros dans la boutique.
Je vais pas le racheter.
Je suis un vrai bon client, j'étais il y a un temps.
Donc tout se passait là,
je me faisais réculement accusé de triche,
parce que l'heure me tout plaît, comme on dit aux gens.
Mais ils savaient que c'était pas.
Alors que quand je cheat, je suis hyper mauvais.
Vraiment, je n'arrive pas à cheater, c'est terrible.
Donc je ne le fais pas.
Et un moment, je découvre que,
tiens, quand je laisse un pied sur la souris
pour faire une attaque dite longue,
si jamais je rapuis sur la souris juste après,
et que j'envoie mon sort,
le sort part deux fois, alors que je l'ai payé qu'une fois.
S'il y avait un état spécial,
où il était meilleur,
où il bénéficie d'un bonus,
il le bénéficie deux fois.
Et j'arrive à reproduire le truc exactement comme ça.
Et là, je me dis que c'est intéressant,
parce que quand on met une attaque, c'est un impute.
Ça dit, tu as attaqué,
ou tu as utilisé tes l'habilitie,
le temps de cast, tout ça, c'est client,
le temps d'attente.
Mais là, je me dis,
en fait, non, le fait de cliquer longtemps,
le serveur doit être informé de quand tu cliques longtemps.
Donc là, on est en train de toucher
à quelque chose qui n'est pas juste un impute,
mais qui est le temps dont l'impute est conservé
par le serveur,
ce qui est du synchronisme,
ce qui n'est jamais le cas d'habitude.
Alors, ça doit expliquer
à quelqu'un qui n'est pas formé,
on va dire, en sécu.
C'est-à-dire que t'es dans un scénario
où c'est pas simplement le client
qui doit envoyer quelque chose au serveur.
Oui, c'est le serveur
qui doit contrôler
que le client est constamment,
constamment, constamment en train de le faire.
Et alors, qu'est-ce qui est ça change, du coup ?
Qu'est-ce que ça change ?
Mais ça change que s'il le fait d'une certaine manière,
d'une certaine manière,
à peine trop court,
ou à peine trop près,
ou en ayant ré-envoyé un impute
avant que la fin soit reçue,
ça fait péter un câble au serveur.
J'ai tout de suite vu, je dis,
ça c'est le serveur,
et donc il envoie la prochaine action
deux fois.
Déjà, ça c'était énorme,
parce que ça voulait dire
qu'on y avait un gros avantage,
on pouvait faire des burst,
dans ce coup, beaucoup de dégâts.
Donc c'est un bug.
Voilà, c'est un bug.
Et donc, je leur envoie un ticket,
je commence à leur en parler,
je dis voilà,
mais je pense qu'il se passe ça,
c'est intéressant,
bon, c'est pas très grave.
Sauf que,
j'ai pas de nouvelles,
et un petit peu après,
il y a quelque chose
de très très impressionnant dans ce jeu,
quand on attaque,
on gagne des scores
qui permettent à la fin de faire
un gros ultime.
Une fois, une fois, c'est tout.
Et ben le truc,
c'est que avec ça,
je pouvais faire un ultime
deux fois.
Mais ça a été plus différent que ça.
Quand ils ont voulu
changer un ultime très spécifique,
dont la consommation
n'était pas en une fois,
mais en plusieurs fois,
des accous, de puissance,
moi j'ai réussi
à gagner ce mode deux fois,
donc après,
si je ne touchais plus rien,
sans rien faire,
je perdais de cet ultime.
Quand c'est passé en dessous de zéro,
c'est revenu à 500.
Côté serveurs, c'est-à-dire que
si je ne faisais rien,
si j'acceptais de ne pas tout consommer,
j'étais constamment remis à fond.
Et je pouvais, c'était GodMod.
Donc, voilà, si on doit le dire
en quelques mots simples,
j'ai trouvé un GodMod.
T'as trouvé un mode ultime.
Un mode mode qui consiste
juste à appuyer longtemps sur la souris,
à recliquer et appuyer sur un autre bouton.
Et c'est perdu pour l'ensemble de la partie.
Ah oui, c'est hyper visible,
parce que personne ne peut faire ça,
tu peux faire tomber plat 18 météorites
au lieu d'une,
enfin, c'est rapidement un enfer.
Donc je leur dis,
j'ai découvert que par de multiples
usageages de ce petit bug,
en fait, je peux vraiment...
Détruire le jeu.
Ouais, détruire le jeu et tout ça.
Et j'ai pas eu de réponse.
Et t'étais le seul à ce moment-là
à l'utiliser.
Ah oui, parce qu'en fait,
ça rappelait un bug
qui avait eu lieu des années avant
qui avait fait scandale
où les gens étaient partis,
parce que la triche, la triche,
et là ils avaient décidé
de tout mettre côté serveur.
Et c'était hyper bien fédéré
que tout, tout est côté serveur.
Donc du coup,
tous les flots qu'on peut trouver,
ils sont côté serveur.
C'est ça qui est bien.
Et donc, pour expliquer,
pourquoi c'est pas juste
un autre bug dans un jeu vidéo
comme ça arrive régulièrement.
Là, on est dans un scénario
où donc, il y a un jeu qui est énorme,
quand même.
Il est beaucoup joué.
Ah oui, surtout à ce moment-là.
Il est sur le point d'être vendu.
Vendu exactement.
Et là, toi,
tu découvres un bug gravissime
qui pourrit le jeu
et donc, il peut avoir un impact énorme.
On n'en est pas encore là,
on n'en est pas encore là,
dans la montée, parce que ça peut détruire le jeu,
mais pour l'instant, personne le sait.
J'ai juste envoyé un ticket,
j'ai respecté les règles.
Au même moment,
il se passe que les gens étaient,
pendant le rachat,
vraiment pas contents du service client.
Ils se passaient les choses horribles,
des gens étaient bannis pour rien,
très maltraités, pas suivis.
Mais ça, c'était à part.
Bref, moi, je trouve que personne me répond.
Ça commence à m'énerver.
Donc, je commence à faire une visation publique
de mon bug.
Donc, je commence à arriver
dans des terrains PVP
avec une centaine de personnes
et à faire des pluies de météorites.
Évidemment, les Twitchers regardent ça.
Enregistre, ça commence à se savoir.
Immédiatement, je suis ban.
Et je suis ban parce que
je vais utiliser un Speed Hack.
Je fais une procédure d'appel.
J'aurais dit, écoutez,
je n'ai pas utilisé de Speed Hack.
J'ai essayé de vous dire le truc, etc.
Ce n'est pas gentil.
Et il le patch.
Le bug.
Oui, après m'avoir banni,
ils m'ont même pas repéré
l'extension précommande.
Ils me...
Et donc là, j'ai fait...
Ah !
Et je me suis dit,
je vais joindre un autre jeu.
C'est-à-dire que c'est le même jeu.
Sauf que maintenant qu'ils l'ont patché
et que je sais que c'est dans cette version,
moi, je vais aller voir le code qui a changé.
Donc je vais aller voir comment ça se concis.
C'est le client qui se comporte.
À quel niveau ?
Je viens d'avoir l'information
de quelque chose à changer
et résout cet exploit
d'un buffer underflow
dans le serveur.
Donc je vais comprendre
beaucoup plus de choses avec ça.
Maintenant, on va passer à...
Je déduire ce qui se passe
de leur côté.
Il s'est passé...
Il s'est passé un an et demi.
Au bout d'un an et demi,
j'avais fait mes réconnces.
J'avais des levels un petit peu partout.
J'avais dû racheter des clés.
Les gens n'en étaient plus par les de moi.
Et un jour,
donc là, on était vraiment
au bord du rachat.
Je vais sur le forum
et il y a le service client
et je vois un truc terrible.
Ça me sert sûrement de prétexte.
Mais vraiment, ça m'a fait mal.
Et sur un type qui avait...
qui était handicapé,
qui avait vraiment plus que le jeu, etc.
qui avait rien fait
et qui avait subi une ban...
une ban wave
parce qu'il était vraiment
au mauvais endroit au mauvais moment.
Et franchement, je le crois.
Au pire, tant pis.
Donc je commence à créer des niveaux 1
qui s'appelle...
qui s'appelle
le Customer Support, etc.
Et j'arrive en plein milieu des villes.
Donc dans des zones où on ne peut pas
faire de dégâts,
je vole, évidemment.
Et je commence à lancer
des sortes boss
partout, partout,
surtout les gens qui meurent en ville
dans un endroit où on ne peut pas mourir, etc.
Et tout le monde le voit.
J'ai fait un truc mais...
Alors, il y a des guildes de RP
qui ont donné des noms à ça
comme si j'étais un des dieux du l'or, etc.
C'était assez fabuleux.
Il y a énormément de vidéos qui traînent.
Mais du coup, t'étais capable de faire ça
parce que t'avais trouvé d'autres bugs.
Ah, parce qu'il s'est passé un an et demi entre temps ?
Vous avez tout le pieds de...
Il s'est passé un an et demi entre temps ?
Ce que j'ai découvert après,
ce que j'ai découvert,
j'ai découvert, j'en parle.
Ils ont dit...
Alors, il y a eu déjà des incidents comme ça,
notamment dans WoW,
plutôt en 2011, etc.
Et ça a fait grand...
Ça avait beaucoup parlé de lui,
notamment dans le poste, et tout.
Mais c'était quoi ?
C'était des affaires de 5 minutes
où ils étaient arrêtés par les GM.
Ils ne pouvaient pas m'arrêter.
Je faisais ce que je veux.
Quand j'en ai eu marre au bout de 2 jours,
j'ai arrêté.
J'ai laissé volontairement des vidéos passées
où on voyait mon petit outil
qui se moquait...
qui se moquait 2,
les gens qui disent non,
mais il a juste une meilleure chaise de gaming.
C'était vraiment sympa,
les gens qui voulaient prendre des photos.
Et oui.
C'est juste que je voudrais réexpliquer,
parce qu'on a les très très vides dessus,
qu'est-ce qui a fait que tu as pu faire tout ça ?
À l'origine, c'est quoi le point de départ ?
À l'origine, j'ai découvert un bug
qui me permettait de commencer à analyser
où est-ce que le serveur pouvait avoir des ratés.
J'avais une action qui était capable de lancer
deux fois quelque chose,
et donc de générer ces underflow.
Parce qu'en gros, pour que vous compreniez,
quand on fait ce genre de trucs,
ça va dire de la recherche sur des très gros binaires,
parce que voilà,
un client de jeux vidéo, c'est un horreur.
C'est quelle taille, à peu près ?
Alors celui-là, il fait 300 méga.
Et le truc, c'est que,
plutôt que de tout obfuscé,
il n'y a aucune info de debug.
C'est impossible.
Donc vraiment, moi, j'ai eu de la chance.
J'ai eu deux chances.
Un, j'ai réussi à pirater leur accès
au build de debug et de prévues
qui donnaient à la presse et compagnie.
Donc, je vais pouvoir me venir dessus.
Donc, j'avais parfois un petit peu plus d'indication.
Et surtout, je pouvais voir les différences de comportement
quand elles ne changeaient pas au niveau client.
Qu'est-ce qu'elles pouvaient changer au niveau serveur ?
Donc, c'était vraiment de la déduction et de laisser.
Au bout d'un moment,
je me suis aperçu que les erreurs qui faisaient
étaient toujours les mêmes.
Ils ont des très belles sécurité, par exemple, au niveau...
Il faut voir comment ils fonctionnent.
Quand je dis qu'il n'y a pas d'anti-cheat,
par exemple, la première découverte, c'était ça.
Quand les gens vendent des speedhacks et que tu l'utilises,
les gens se font tous bannes parce que tu te prends un rollback
et immédiatement, t'es bannes.
Comment ils savent ça ?
Parce que c'est juste la vitesse,
il y a plein de velocités à gérer.
En fait, tout bêtement, le serveur se dit,
ok, il a peut-être lagué,
j'ai peut-être reçu une position
qui est un petit peu plus tard,
mais ça ne va pas avec la velocité que je lui connais.
Il connaît des terrains plats, mais il les connaît.
Donc, ce qu'il a fait, plutôt que d'envoyer un anti-cheat,
quand il se passe ça, il le renvoie là où il était
et il dit aux clients,
tu peux m'envoyer la liste complète de tes 20 dernières positions
que je regarde ?
Le client l'envoie parce qu'il faut être capable d'avoir menti
et recalculer toutes les positions comme ça.
Le client l'envoie et le serveur dit,
ah oui, c'est n'importe quoi, et t'es bannes.
Enfin, il n'y a pas d'anti-cheat,
il y a vraiment juste ce que le client conserve
comme ces dernières informations
qui permet à n'importe quel instant
de retracer des choses comme ça.
Par exemple, on ne peut pas trouver quelqu'un qui est invisible
parce que le serveur n'envoie juste plus sa position.
Si tu fais une Rdf qui le touche,
le serveur sait où il est, donc oui, ça va le faire apparaître.
Mais c'est des toutes petites techniques
qui fait que ça paraissait absolument incapable.
Donc, ils se sont permis des choses comme
le fait de...
Il y a un truc très important qui permet de se téléporter un petit peu en avant.

Mais quand on l'améliore, il permet de se téléporter en avant
et de créer un bouclier.
Et de créer un bouclier.
Ça, c'est un truc qui a été ajouté après.
Quand on ajoute le code et crée un bouclier
à quelque chose qui joue normalement sur la simulation,
c'est-à-dire que là, t'as le droit de te taper sans que le client déconne.
Donc, il faut que tu aies une autorisation.
Donc, ça, c'est une fenêtre où finalement, tu peux te taper
où tu veux, c'est très dur de faire les calculs.
Il va y avoir beaucoup de sécurité sur les nombres des paquets,
comme ça, etc. de la signature, mais ça, c'est facile à contrefaire.
Et surtout, si t'en est arrivé là, le « et bouclier »
déjà, il n'y avait pas « et bouclier », c'est un « i-d »
et puis tu mets ce que tu veux.
Donc, tu pouvais me taper n'importe où sur la map, sur l'environnement
et tu es n'importe quoi, sous n'importe quel prétexte.
Et ça n'apparaissait même pas comme étant moi une propre action
parce que c'est des compétences qui sont attribuées forcément à un boss
ou à autre chose.
J'ai des records de solo, de vous.
Et c'était strictement invisible.
Et du coup, dans l'histoire,
je sais de garder tout le monde avec nous,
on a aussi des gens qui ne sont pas forcément dans les proches.
Si tu peux te résumer ça, j'ai trouvé le moyen de faire n'importe quoi
en fait, de prendre n'importe quel comportement en jeu
grâce à ce petit truc-là, et de faire faire n'importe qui
et n'importe quel comportement, comme si c'était moi qui scriptait le niveau serveur.
Et du coup, dans l'historique de toi, tes recherches, de ta timeline,
une fois que tu as découvert ce bug qui va t'aider à dissequer,
à investiguer dans le jeu pour découvrir exactement comment il fonctionne,
ensuite, il faut comprendre que c'est un travail de fourmis.
C'est-à-dire qu'on pourrait croire qu'on comprend comment fonctionne un jeu,
à partir d'un bug, trouver d'autres bugs, etc.
C'est juste de lire du code. Mais non, c'est pas ça.
On parle au serveur, on n'a aucun code, il n'y a aucun leak.
Si on prend le cas des emulateurs, par exemple,
il y a du code, comme les emulateurs ou etc.
C'était toujours du code qui a été leak pour avoir assez d'informations,
pour pouvoir le faire ça. Et le truc, c'est que j'ai fini par avoir assez d'informations,
j'enregistrais les paquets et j'émulais pas, je les rejouais pour pouvoir déduire tout ce qu'ils faisaient.
Donc là, je commençais carrément à avoir du protocole.
J'ai commencé à les nommer. Et après avoir du protocole, je dis,
« Maintenant, je peux faire un programme qui joue avec ce protocole.
Et c'est devenu un petit émulateur. »
Et pourquoi ça a été très important ? Parce que quand je leur ai donné,
de la manière que je pensais qu'il fallait patcher cette...
Oui, quand je leur ai donné. Je vois que les historiques, on s'est contactés, etc.
Je peux peut-être passer par là avant.
Juste pour qu'on ait des échelles de temps,
t'as passé combien de temps à faire ça ?
Là, on est un an et demi depuis que je me suis fait ban.
T'as passé un an et demi ?
Ça fait un an et demi que je me suis fait ban.
GAS, qu'ils ont appelé la guerre en Irak au vulcale garde, à un endroit comme ça,
puisque j'envoyais des missiles partout.
Et à ce moment-là, j'arrête parce que je m'embête,
qu'il n'y a pas de réponse, mais que c'était plus marrant.
Et un jour, j'ai un email.
Donc là, on est vraiment un an et demi.
On est un an et demi plein.
Mais à combien de temps t'estimes...
Enfin, le temps que t'as passé à décrypter tout ça...
Un an et demi, non stop, je jouais la nuit.
Un an et demi, non stop, ok.
Un an et demi, non stop, quasi, je jouais la nuit.
Je faisais que ça, que ça, des tests.
J'étais obligé d'apprendre plus des notions que je n'avais pas sur la 3D,
sur certaines choses, pour pouvoir essayer de comprendre
qu'est-ce qui était vraiment calculable serveur,
comment les dommages de chute ne pouvaient être côté client, etc.
Et j'ai découvert des choses...
Ah oui, alors là, j'ai découvert des choses fabuleuses qui le rendaient très très peur,
parce que donc outre les manières de pas utiliser un antichit,
j'ai découvert, vous avez vu ces jeux maintenant qu'on a,
où tu peux changer de niveau en passant à travers un portail sans qu'il y ait de chargement.
Mais c'est eux qui l'ont inventé.
Alors c'est eux qui l'ont inventé.
Ça stream, c'est capable, à un moment, de prendre ta position,
de changer une valeur et de commencer à streamer les assets de l'autre jeu.
Il n'y avait que des brevets comme ça,
l'interpolation est fabuleuse, c'est-à-dire que dans ce jeu,
même avec un énorme ping, vous n'avez jamais plus de 300 ms.
Vous voyez votre présent et 300 ms dans l'arrière de l'autre,
et l'autre voit son présent et 300 ms dans l'arrière de ça,
quel que soit, même avec des énormes ping.
Ils ont géré, ils ont des aires de gorilles d'interpolation qui sont magnifiques.
Et toi tu t'es plongé là-dedans, justement, pendant toutes ces mois.
Et donc, ce n'est pas simplement trouver des failles,
tu n'as pas le choix que de comprendre tout.
Ah, j'ai réversé en général le jeu d'abord le client, finalement.
Le client, c'est-à-dire que moi, j'étais capable,
mieux qu'un mot, s'il fallait, de refaire un client
qui, sans avoir d'interface graphique, est capable d'aller beauté,
d'aller faire des trucs, ou d'importe quoi,
ou de dire, oui, t'inquiète, j'ai appuyé sur SquareFone,
oui, mais je suis là-bas, t'en fais pas, je connais le paquet à aller.
Et puis au pire, si tu ne me crois pas, je sais te forcer à le faire.
Donc vraiment, avec un truc limite en ligne de commande,
j'aurais pu manipuler ce que des gens voient comme un personnage.
En fait, si on veut résumer, t'étais un peu devenu le néo.
Ah, c'est exactement ça.
Du jeu, quoi.
Exactement ça.
Tu contrôlais la map, il.
La map, il.
Voilà.
C'est ça.
Et à partir de ça, c'est comme ça que t'as pu développer des capacités
à plein endroit du jeu, développer tes propres outils.
Et pour eux, ils ont dû halluciner.
Ah, ben ils m'ont contacté plus tard,
mais ils m'ont dit que tes outils de debug, ils sont mieux que les nôtres.
Ils ont des buils de debug, etc.
J'avais des choses folles, j'étais capable.
J'avais construit des manières, j'avais vu en de patch en patch comment ils réagissaient.
Donc j'étais capable de trouver dans le binaire des différences
qui font que j'avais même pas à changer le code quand il y avait un patch.
Parce que c'était évident.
T'avais dit hot-reel-ding.
Oui, mais complètement.
Alors par contre, ce que j'ai vécu, je dis, sur un an et demi,
je pense que j'ai passé une demi-année à voir le jeu cracher quand même.
C'est un truc.
Et surtout, à essayer de pas se faire choper.
J'ai acheté beaucoup de clés.
Oui, j'ai bâti.
J'ai acheté beaucoup de clés, parce que à chaque fois qu'il y avait des 3 trucs qui repéraient,
je me faisais bâne, je me faisais bâne, je me faisais bâne.
J'ai eu une petite dépense en clés.
Donc si on prend la boutique, c'est le nombre de fois où j'étais les clés.
Plus les... C'était quand même...
C'était un beau client.
En vrai, ils devraient te les rembourser juste parce que t'as mis la lumière sur énormément de failles.
Oui, ils ont essayé, on va en parler.
Mais c'est plus compliqué que ça, parce que là, ça fait un an et demi que je m'amuse,
mais beaucoup plus qu'avec le jeu.
Et à ce moment-là, on peut faire des choses folles.
Qu'est-ce qu'il va se voir ? Qu'est-ce qu'il se voit pas ?
Quand ils sont contents, ils ont fait 15 minutes les PGM à des records.
Moi, j'arrive, il y a marqué 30 secondes, personne comment.
Le système qui vérifie que c'est valide dit que c'est valide.
Donc les gens ne pourront plus jamais faire le record et avoir leur stuff.
Bon, je me suis beaucoup amusé.
Salut !
Si vous appréciez Endorscorp, vous pouvez nous aider de ouf !
En mettant 5 étoiles sur Apple Podcast,
en mettant une idée d'invité que vous aimeriez qu'on reçoive,
ça permet de faire remonter Endorscorp.
Voilà.
Telle une fusée.
Ça permet de faire remonter Endorscorp.
Voilà.
Telle une fusée.
Et donc, suite à cet épisode complètement fou,
donc, t'as retourné une map, etc.
La guerre en direct, comme il dit.
C'est ça.
Et au bout de deux jours, je fais silence radio,
et au bout de deux jours, j'ai un email,
avec en cesser tous les emails de tout et compte que j'ai pu avoir
dans le registrement,
et un mail qui ne connaît pas, qui est vraiment un OL Perso,
donc du RSSI de Zenimax, donc cette boîte-là,
et qui dit bonjour !
Nous aimerions discuter avec vous de vos comptes
sur Eldar Scrolls.
Merci de me dire quand est-ce qu'on peut se contacter.
J'ai été voir le mec sur LinkedIn, etc.
Je voyais certains personnages, c'est vraiment un mec
qui a l'art de sauver des boîtes,
de ce genre de câlar à te gérer.
Managing trust, c'est vraiment de la confiance.
Et je lui dis, oui, si on peut faire ça au calme,
dans la bienveillance,
il me dit, il n'y aura pas de problème,
est-ce que tu as besoin d'un traducteur ?
Je lui dis non.
Et donc on prévoit une conférence Microsoft Teams avec eux,
ça se passe, bonjour, tout ça.
Ils sont stressés, ils sont...
Il n'y a pas plus que ce que je viens de te donner.
Bonjour, on aimerait vous parler de ça,
comme limite quand on t'a pas taport pour te parler de Jésus.
Et les Jorgies, ils sont normales.
Il y en a deux qui se taisent,
il y a deux personnes importantes,
ce Théry, le RSSI,
et c'est rigolo,
parce que j'avais parlé du problème de services clients,
c'est quelque chose qui jouait beaucoup sur le rachat,
le fait que les gens se sentaient malheureusement,
et que surtout j'avais parlé en plein pendant le dernier event,
du fait que je faisais ça pour ça.
Le mec est amené,
et ça se passe très bien avec Théry White,
avec le RSSI, très diplomate,
et à peine on parle,
et ça, le directeur du support client peut être incapable,
et comment ça me menace,
il dit « you did damage to the servers, ils me menacent »
et il me dit « tu sais, on peut aller jusqu'à la demande d'extradition, etc. »
Quoi ?
Et je lui dis, et là, il faut réagir.
J'ai l'habitude de ça à cause d'autres contextes que j'ai eus,
et je lui ai dit,
« bah ce serait quand même dommage qu'on parle de demande d'extradition,
parce que moi j'ai vu les agglombrations,
mais j'ai surtout vu ces paquets là.
Alors ces paquets, c'est très très intelligent,
parce que ça vous permet de autre pas de chez le client
tout le jeu à la connexion.
Donc vous n'avez même pas attendu de faire une mise à jour,
pour régler un problème côté serveur et agir immédiatement.
C'est du génie.
Par contre, moi demain je fais un botnet avec,
avec tous vos joueurs.
Et je lui dis, et je lui dis,
quand on rajoute en plus à ça,
qu'il y a deux trois algos, deux trois trucs là,
qui ont été clairement piqués,
à du code chinois, etc.
De là, à commencer à faire courir des rumeurs comme quoi,
ce serait à des seins de pouvoir fournir un botnet.
Je sais que chez vous,
même si ça n'est pas vrai,
ça peut être un bon con.
Où est-ce qu'on va ?
L'appel s'est arrêté là-dessus, il a calmé,
et le directeur de ce service client a changé.
Ah !
Voilà !
Wouah !
Oh le NB !
On l'a jamais revu.
Ils m'ont mis les prochaines conférences téléphoniques.
Alors il y a eu pas mal d'écris que j'en voyais,
mais il y a beaucoup de choses où ça dit,
où ça veut rester que dans le dit.
Donc les deux personnes qui, je sais pas pourquoi ils étaient là,
qui sont avec à chaque conférence,
qui gèrent de la cyber sécurité et de la menace.
La menace, c'est de la menace.
C'est marrant parce qu'il y en a un des deux,
c'était un des fondateurs de Maxis et de Sims.
C'était assez rigolo.
Mais bon, très, très, vraiment ta situour.
Et le gros problème qu'ils avaient,
c'est qu'ils me disent,
tu veux quoi ?
Tu fais quoi là ?
Qu'est-ce qu'on fait quoi ?
Je me l'amuse.
Et ils disent, tu t'avais, tu veux bien ne plus faire ça ?
T'as quand même investi deux ans dans ces recherches-là.
Je lui ai dit, je veux bien ne plus faire ça,
mais je dis, mais par contre, en fait,
votre gros problème, ça, il faut vraiment le patcher.
Ils m'ont dit, ah oui, parce que leur dit, explique,
quel est le point principal, le pivot du truc,
parce que sur les flots qu'ils ont niveau serveur.
Et ils me disent, on va revenir vers toi.
Ils reviennent vers moi.
Et ils me disent, écoute, on a étudié ça.
C'est très impressionnant, je sais pas comment t'as vu ça.
Ils me disent, mais là, on peut pas patcher.
Enfin, c'est pas patchable.
Pour moi, c'est dur à exploiter, etc.
Je lui dis non, c'est pas dur à exploiter,
quand t'as compris le truc.
Si quelqu'un n'a rien à d'autre à faire comme moi,
il peut finir par le faire.
Votre problème, c'est qu'il y en a un qui le découvre,
il y en a un qui le vende ou n'importe quoi.
Moi, je peux vous offrir aussi,
parce que j'ai les codes sources de toutes les autres haques
qui traînent à moitié, des trucs de russes, etc.
qui font vraiment...
Mais surtout là, je peux vous expliquer à quel point
je peux refaire une map en cours de jeu,
je peux lancer des scripts, des événements,
pourquoi je suis plus fort que vos GMS.
Je pense que vous pouvez le patcher.
Ils me disent, non, tu connais pas le code serveur.
Et je lui ai dit, avec votre autorisation,
parce que c'est quand tu es tous,
parce que c'est le seul moyen,
je vais commencer un émulateur,
parce que c'est le seul moyen qui va reproduire le bug,
parce que j'ai même du mal à savoir
comment produire un tel bug, ça va être intéressant.
Et ils me disent, bon, maintenant que je le passe pas, etc.
Et donc je produis un émulateur.
Donc ils t'autorisent ?
Non, non, non, non.
Ils m'ont laissé faire, ils n'ont pas dit non.
Mais voilà, il fait partie des choses non-écrites.
Mais en vrai, ils devraient t'embaucher à cette seconde-là, non ?
Alors non.
Non, non, ils vont pas m'embaucher à cette seconde-là.
On va en parler après parce que...
Ok, donc je leur donne, je leur envoie des paints
avec des reconstructions de tous leurs protocoles et tout,
et je leur dis, le problème, il est là.
Et donc je me retrouve avec un émulateur et ça,
et là, ils commencent à dire, tu veux quoi ?
Tu veux récupérer ton compte, ton argent de la boutique et tout.
Je dis, oh, bah non, mais moi maintenant,
laissez-moi faire ça dans mon coin sur les serveurs de test.
Je m'amuse bien.
Et ils me disent, oui, mais si tu fais n'importe quoi,
on ne dit rien, c'est le serveur de test, on dirait que c'est normal.
On va faire ça.
Et ils avaient déjà complètement réussi à étouffer l'affaire
qui est des vidéos qui sortaient en soi avec des menaces,
soit, et c'est impressionnant, l'effet se traisant n'a pas marché.
Et en soi en faisant des menaces, soit en proposant à tous les gens
qui ne voulaient pas, qui cherchaient des accès au build de prévue
ou de presse ou de prochaines extensions,
tu dis rien, tu as le droit à ça.
Tu as le droit à ça avec des NDA énormes.
Parce que c'est vrai qu'on n'en a pas parlé,
mais suite au boucan que t'as fait,
et à toutes les vidéos qui ont fait un buzz de fou,
j'imagine que normalement la presse aurait dû en s'en cacher.
Non, ils ont demandé spécifiquement à la presse
de rien faire avec des...
Il y a une vidéo qui traîne,
ou Manfred, un mec va présenter un 0 day
sur Zeldas Scrolls Online,
il allait le présenter
et d'un seul coup il s'arrête, il va dire, je suis désolé,
je le ferais pas, je suis invendu.
Les mecs avaient pris peur et venaient de lui acheter son silence.
Ah mais donc il y a vraiment un game de...
Exactement, ils s'en dit non,
il ira pas au bout, il connaît, etc.
Mais quel genre ça peut donner, on parlait de boutiques,
on parlait encore d'un underflow
qui permettait d'avoir des millions d'argent,
un classique, un truc qui était là depuis trop longtemps,
c'est regrettable que ce mec ait trouvé un truc aussi énorme
et pas été au bout, parce qu'il aurait pu aboutir
à même chose comme moi, mais ça a marre leur.
Il est très content comme ça.
Il ne fait son bise que comme ça,
qu'en vendant, et qu'en menaçant de faire ça,
et en vendant.
Mais au moins on connaît ses intentions, le mec va trouver des failles
et va menacer pour soutirer de l'argent
en essayant de ne pas être trop...
C'est pas excessif vendu.
Mais au moins il n'a pas vendu le cheat à d'autres,
il se couvre.
Et moi ils me disent, mais tu veux quoi ?
Je lui dis, je lui dis,
on peut travailler ensemble et tout,
ils n'ont jamais voulu que je parle au Day,
ils n'ont jamais, parce qu'ils se sont dit,
non, ce qu'il y a, il y a forcément du leak,
on ne va pas en plus le laisser parler à quelqu'un,
il faut qu'on trouve qui est la top et tout.
Je leur ai dit, bah écoutez, faites-moi un petit contrat,
un petit truc, il y a deux, trois trucs qui sont passés par mail
sur ce qu'ils pouvaient me donner pour que je fasse plus de tests.
Et le plus important pour eux, c'est la boutique.
Si les gens peuvent avoir
des choses que la boutique, ça c'était terrible.
Je leur ai démontré que non,
c'était vraiment safe,
et que ça ne changeait pas en général,
quand les serveurs déconnent le premier truc qui marche, c'est la boutique.
C'est le plus important. Mais là c'est pareil,
tout avait été mis sur la boutique.
Et j'ai commencé,
donc on avait toute une liste de tout ce qu'elle est pas
sur la manière d'anti-fond de la crypto,
sur comment on récupère les clés, tout ce qu'elle est pas
aux clients, et là j'ai commencé
à leur dire, à les féliciter
sur l'anti-cheat qui n'existe pas,
sur les effets que ça faisait, ils m'ont dit,
on est quand même très très fiers des algorithmes d'interpolation
et après ils en réfléchissent, on fait,
ah merde, ils ont dit,
ils viennent me voir en seum, ils me disent,
comment tu connais ça ?
C'est ce qu'on vend,
donc
c'est ça, c'est techno là.
C'est vraiment le coeur de leur métier.
C'est des techno d'optimisation,
on va sortir des graphiques,
on va avoir 0 défaut,
on va pouvoir faire des trucs changements,
et surtout il y a le prochain jeu qui sort,
qui va nous permettre de payer avec ces techno là,
parce que ça c'était un poc,
il n'y a même pas de brevet
directement dessus, parce qu'il faut pas que ça sache,
tu vois, qu'on met en main cette capacité-là.
Et le truc, sauf que le truc,
moi c'est que je lui ai dit oui, mais le problème
c'est que pour comprendre dans mon émulateur,
elle est là, la techno,
pour pas avoir toutes les unités qui réfléchissent
pour que le serveur ait moi à calculer,
pour que tout ce que vous avez mis en place,
que je trouve magnifique, je m'en suis servi,
je l'ai mis dans l'émulateur,
et ils ont dit, cet émulateur il peut pas sortir,
et je leur ai dit, il n'y a aucun code
propriétaire et vous n'avez pas des
privés.
Et je leur dis, on fait un délai,
ils ont répondu, on a vu avec le jeuridique,
on s'est trop ricé.
Quoi qu'on dise,
on a l'impression que tu seras
faire ça, t'as l'air d'avoir
aucune intention méchante, mais comme t'as aucune intention
on peut te offrir aucune garantie.
Donc officiellement,
on se reparlera éventuellement,
de se faire tes conneries sur le pts,
sur les serveurs de test,
et jouer avec ton émulateur,
tant que ça ne sort pas.
T'es en train de faire couler la boîte, en tout cas.
Et là, il se dit, il faut que jusqu'au
Rocha.
Et là, je dis,
il faut que ça s'arrête, et ce mec
était vraiment sympa, il veut que ça marche.
Je ne sais pas si ça a un actement
qui, mais j'ai fait une bêtise.
Je ne sais pas comment,
j'ai confondu les serveurs de test
avec les serveurs live et fait une démo
dingue ici, mais en plein live, et je leur ai donné
tout de suite, je suis désolé, j'ai fait une connerie.
Ça leur a donné le droit officiellement,
vous voyez, il me bat de mon arbre, il dit
de tout valer, il dit on ne travaillera plus ensemble, etc.
J'ai reçu un mail à côté qui dit
merci, parce que là ils sont en train de m'intégrer
à Microsoft, mais on
pourra plus travailler ensemble, quoi.
J'ai envoyé un petit email à Noël quand même
pour savoir comment ça se portait, parce qu'on se parlait bien,
par exemple, en fond, il y avait le Covid, etc.
Comment ils travaillaient, quand ils tombent,
enfin voilà, ils...
Ça a été 15 ans.
Pour que ça s'aise,
cette situation où
ils ont fouté un peu tous les deux
dans le dain d'un an.
Mais moi je voulais que ça s'arrête, mais en fait...
Il a fait un bouquet final.
Sur les serveurs publics.
Oui, sur les serveurs publics, magnifique, et encore une fois,

Et je leur ai tout donné pour qu'il n'y a pas pris mon plus jamais parlé,
parce que j'ai eu deux retours, on fera un retour
pour voir plus tard, ils m'ont jamais fait, à part les
trucs un peu plus en privé.
J'ai perdu mon droit quand même,
ils avaient essayé de me filer des droits aux alphas familiales,
des prochains jeux à sortir, etc.
Des grosses puissances, notamment pour que je travaille
sur la sécurité officiellement, on est mort.
C'est foutu.
Mais j'ai aucun problème avec Microsoft.
Et tu ne regrettes pas du coup ?
Non, parce que maintenant
ce qui s'est passé, c'est que j'ai pu
je sors là, à la fin de l'émission
de ma maximum, j'ai terminé
l'audit de code de l'émulateur.
L'émulateur qui s'est produite tout le patch
d'avant, lire les assets,
permettre de faire plein de choses,
de contrôler ce qui se passe à l'écran.
Même s'il n'y a pas les scripts serveurs pour reproduire toute l'expérience de jeu,
les dataminers vont adorer ça
parce qu'ils peuvent spawner n'importe quelle unité,
d'un truc qui n'est pas encore arrivé,
se faire des vidéos, des trucs comme ça.
Ils vont pouvoir faire absolument tout ce qu'ils veulent.
Il y a des vidéos de présentation assez sympathiques
où je me moquer des dataminers en montrant vraiment,
en spawnant tout, en courant sur des choses faules.
Je me moquer vraiment de tout le monde.
Et maintenant que le code a été audité de l'émulateur,
Microsoft a acheté GitHub.
Et donc évidemment, l'émulateur va être sur GitHub.
Quel trollère.
Voilà.
Auquel je ne participe plus, c'est l'état de mes recherches,
c'est des millions, des millions, des millions de lignes de code.
Ça contient évidemment beaucoup d'aspects clients
que les gens pourraient utiliser pour hacker,
mais il y a 0, 0 code propriétaire dedans.
Et donc tu as appris quand même...
C'est vraiment de ce que je connais,
une première qu'on soit arrivée à une émulation complète.
Là-dessus, mais oui, ça a été 3 ans,
non stop.
Et évidemment, pour vous expliquer,
nous on a eu accès
au repo pour pouvoir regarder.
Et également
aux emails, etc.
Donc voilà, c'est aussi pour ça,
avant d'avoir cette discussion-là,
c'est normal pour nous
de pouvoir voir toute
cette aventure.
Je comprends que vous avez voulu conclure un petit peu,
parce que...
Et effectivement, on peut vous garantir
que tout a été vérifié.
Et c'est vrai que c'est assez fascinant
de voir à quel point
c'était cordial, en fait, aussi, les discussions.
Mais il est très, très bon.
Il est dit, je ne peux pas...
ce gars, il veut peut-être vraiment rien.
Il est dangereux, c'est le Joker. Il n'a pas de plan.
Il s'amuse.
Il n'a pas de plan.
Il s'amuse et je sentais que ça le stressait beaucoup.
Il m'avait parlé de problèmes de famille.
Il y avait une vie, ce type.
Il est dans son comté,
il est procuré, il est chérif.
Tu vois, c'est un mec pompier.
C'est un mec adorable, avec sa petite tête.
Je lui ai dit non, non, pas lui.
En plus, il a déjà viré un mec pour moi.
J'ai envie que ça se passe bien pour lui.
Et dans le pire des cas, qu'est-ce qu'il aurait pu arriver ?
Il m'en fait des menaces.
Moi, je n'irai pas sur le son américain, c'est sûr.
Ah oui ?
Non, non, mais ils m'ont dit que ce que j'avais fait là-bas
pouvait courir, qu'ils n'iraient pas chercher.
Il n'y avait pas de... Là, la demande d'extradition,
j'ai eu une réaction, etc.
Mais surtout, ils vont bien voir le code,
que si je suis capable de le faire, je suis capable de le faire plus loin.
Après, j'ai eu d'autres contacts
avec Microsoft, avec d'autres agents.
D'ailleurs, ils vont sortir une nouvelle extension
aux élèves en Scores Online, et on essaie de me contacter
pour essayer de faire passer mon histoire, pour essayer d'en faire de la pub.
Mais je n'aurais pas pu dire tout ce que j'avais à dire, etc.
Et ça se faisait au P.
Et c'est là que je me suis dit, ah !
Ça veut dire que j'ai le droit d'en parler maintenant.
Du coup, j'allais dire...
Est-ce que tu prends des risques, y en a un,
de raconter l'histoire ?
Oui, le statut de cette conversation, ça se passe quand on dit ça.
Je fais que ça. La réponse que j'ai vu quand tu peux parler
de...
Je me demande d'extradition, etc.
J'ai eu bien pire quand je vendais des technologies
d'autres gens qui étaient censés être des gentils.
Et où on a déjà eu des réactions, on m'a dit
tiens, tu nous donnes pas cher,
on va dire que tu vendes ta technologie à Daesh.
Et moi, j'ai dit, moi, j'ai mieux que Daesh. J'ai GitHub,
et j'ai balancé toutes les clés de cryptage maîtresse,
toutes les résidences françaises
pour les badges.
Première salle, directement sur GitHub,
c'est toujours accessible. Si vous connaissez le Proxmark,
on va réfléler. Tout ça, c'est basé sur mon travail.
Vraiment, vous pouvez ouvrir vraiment
n'importe quel port de résidence comme ça.
Et on va se calmer.
Et ça, c'est arrêté là. Il faut vraiment avoir ces réflexes
là parce que je passe mon temps à recevoir
des lettres d'avocats, des choses comme ça.
Même quand on fait un bel embargo,
en fait,
quand c'était vraiment... Quand ils ont pas de programme,
ça se passe pas bien,
Bethesda avait un programme, mais c'était complètement
hors scope au milieu d'un rachat, etc.
Et surtout, moi, je voulais pas
d'argent pour ça, ça m'intéresse pas.
Je considère vraiment
ce truc-là comme de l'esclavage,
vraiment, par rapport au boulot qui est fourni.
Peut-être que ça a un peu plus de 100 web, etc.
Mais les connaissances qu'il faut pour défer un jeu
en C++, à les loins qui peuvent aller
extrêmement loin, jusqu'à le noyau,
pour voir ce que tu vas être capable de faire.
Il faut connaître la troie-lit, il faut avoir vraiment...
Imaginez le serveur à partir de rien.
Il faut vraiment être capable
de se dire, tiens, qu'est-ce qui m'a répondu,
qu'est-ce qui l'a cru qu'il avait compris,
comme quelqu'un en tant mal, en fait.
Et ça, je sais pas,
je sais même pas expliquer comment on fait ça.
Moi, je pense que c'est un des trucs les plus facidants
dans cette histoire, c'est que
avec ce que tu sais faire,
tu pourrais totalement
passer, prendre des contrats normaux
et être
extrêmement bien payé, en fait.
Oui, j'ai dit un...
Et je suis extrêmement bien payé pour ce que...
pour les accords que je fais, etc.
Mais il y a le problème aussi, c'est que quand...
Mais tu décides de passer 3 ans juste pour le kiff.
C'était le...
Je vais jouer à ce jeu,
il m'en prie, il m'en prie,
je vais jouer à ce jeu,
et j'ai continué de jouer à ce jeu,
et ma version était encore meilleure.
C'est incroyable.
Je trouve qu'il y a un côté magnifique.
Du coup, j'ai quand même pu jouer
sur les serveurs de prévue avant tout le monde,
au nouveau contenu et tout, il n'y a aucun souci.
Mais je vois que des fois, quand
tu vois un mec passer, car rien à voir,
les développeurs, ils sont là, parce qu'on les voit
sur les serveurs de prévue, les serveurs de test interne,
ils vont passer, ils me reconnaissent.
C'est vrai ?
Il y a Néo qui passe dans la matrice.
Je peux faire plus de choses que parce qu'ils
n'ont pas ces outils-là.
Oui, ce qui est vachement bien, c'est que
j'ai réussi à découvrir dans un début,
les fonctions qui manquaient,
qui étaient en rapport avec tous leurs outils de debug.
Du coup, j'ai pu me dire, ok, donc on peut faire ça,
ça, ça, ça t'a gros client.
Ça, c'est du séchar, donc toi, il y a voir la librairie.
Et ensuite, je me suis dit, oh mais ça ne fait que ça,
ce qu'ils font. Mais c'est nul, ok, ils peuvent repindre
du terrain en live, ils peuvent faire ça, mais moi,
je peux le faire depuis longtemps.
Il faut faire ça, moi, je peux dans le coup
objeter tous les joueurs à vivre dans une autre zone.
Je pouvais faire des trucs magnifiques.
Je me suis dit, vous savez pourquoi je me suis arrêté, c'est parce que
je suis un peu un gamin.
D'accord, j'étais le genre
de gamin qui dessine
sur le cahier de ses potes pendant qu'ils ont le dos de tourner,
et ils dépénissent franchement, vraiment. Et je me suis dit,
c'est des américains,
très prus, etc.
Si je peux transformer la map tout de suite
en...
En ce qui est que j'ai en. Et là, je me suis dit,
non,
c'est que là, je fais autre chose.
Je fais autre chose. Et donc, je leur ai dit,
ce jour-là que j'ai renvoyé, je pense que j'en ai fini
avec l'ersquose online.
Vous avez terminé le jeu.
Je leur ai dit, c'était mon dernier email, je pense qu'on a
fini avec l'ersquose online. Merci.
C'est-à-dire que tu ne joues plus du coup? Non, je n'y joues plus.
Non, parce que ça me fait mal aussi, parce que j'avais
quand même jeté joueurs, j'avais une guille,
je jouais vraiment bien, parce que vous inquiétez pas
que dès qu'il faut cheater, je suis nu en cheat.
Je ne profite pas de replorer le truc.
Toute la mécanique qui est différente, qui n'est pas prévue par le jeu
alors qu'il y a énormément de synergies,
c'était beaucoup plus jouissif comme ça.
Tu trouves des failles avec les... Voilà. L'exploitation
de la faille, elle n'est pas si rigolote.
Ah si, ce qui est très rigolo, c'est de voir du point de vue
des gens, ce qu'ils ont pensé, l'humour qu'ils avaient,
comment ils le prenaient, les gens qui disaient, c'est très grave,
d'autres gens qui disaient, vous voyez, on dit
qu'il n'y a pas de ha, qu'il n'y a pas de cheat, mais si
lui, il a pu faire ça, qu'est-ce que les gens peuvent faire
de manière plus discrète. Tous les onces
sont mis à poser énormément, vraiment les bonnes questions
en moment du rachat.
Et ils sont très forts, ils n'ont jamais
mis dans un patch note, ils n'avaient pas mis
que j'avais des apache, etc. Ils n'avaient jamais
reconnu le problème dans un patch note. Et quand
je leur ai dit, j'en ai fini avec...
The last cross online, le dernier
hommage que j'ai eu, il y avait une toute petite vignes
qui dit, vous ne devriez désormais plus pouvoir
utiliser des compétences
qui... Des compétences anormales.
Voilà. Et avec un petit sourire.
C'est un patch note.
Avec mon petit sourire. Et là, j'ai su qu'on passait
au supérieur, que donc je pouvais maintenir
l'émulateur pour la version d'avant.
Et quand en plus on m'a dit, tiens
tu ne veux pas en parler, j'ai dit oui pas avec vous.
Du coup, je me suis dit, ok, là on est
plutôt tranquille, mais si je dois
bosser avec ces gens-là,
ce sera clairement à distance, pas sur ces seuls-là.
Je sais qu'il y a d'autres choses au courant
quand je les ai menacées pour le botannet
et de choses gravissimes, parce qu'il fallait
calmer le jeu. Il fallait que...
Ils ont demandé maintenant, est-ce qu'ils veulent faire,
comme ils connaissent ça, ils l'ont enlevé tout de suite
du jeu, mais moi j'ai des écrits qui disaient
« Ah c'est bien, vous l'avez enlevé, y'a plus le nombre
pas carré, son nombre pas carré, enfin j'ai tout. » Et je suis...
Quand j'ai acquis le fait de pouvoir obtenir
les nouveaux builds, je suis surtout
acquis le fait d'être capable
d'obtenir tous les anciens.
Donc tous ceux qui avaient peut-être un oubli, peut-être
un début, qui ne marchaient pas comme avant.
Donc tu as une trace de toutes les stories.
Je ne sais pas qui, mais je peux reconnaître un patch
et une manière et tout. Je pouvais vraiment tout reconnaître.
Et tu parlais de cette histoire de rachat justement.

C'est ça aussi qui explique le niveau de tension
que j'imagine dans la discussion. C'est que
c'est pas simplement pourrir le jeu de ta boîte,
c'est potentiellement faire tomber à ce moment-là
une proposition de rachat à plusieurs milliards.
Oui, à plusieurs milliards, oui. Microsoft
a acheté ces boîtes-là. J'en avais même pas fait...
J'en avais même pas fait plus attention que ça.
Parce que pour moi...
Oui, parce qu'en plus pour moi, c'était...
J'en avais entendu parler, c'était pas une grosse boîte,
des animaux qui se disaient « OK, ça faisait...
une belle licence ». Mais il n'y avait pas tant à gagner.
C'est quand j'ai découvert les technologies à l'intérieur
qui n'étaient pas montrées.
Déjà, il y avait quelque chose qui mettaient la puce au l'oreille.
Et d'ailleurs, ce que l'on en a, c'était des méga-serveurs.
Il n'y a pas plein de petits serveurs où il faut être,
il faut se déplacer pour pouvoir voir les potes ou quoi.
Il y a sur chaque continent un méga-serveur.
Quel est la technologie qui leur permet d'accueillir tout le monde,
tout le monde au même endroit, sur des ordres différents, etc.
Donc ça m'avait mis la puce au l'oreille
sur le fait qu'il y avait des choses qui étaient quand même très spécifiques,
ils avaient tenu à faire ça.
Ça ne marchait pas au début, ça a été un des gros problèmes.
Et ça a fini par marcher.
C'est une démonstration technique sur énormément de points, ce jeu.
M. Ropin, j'ai l'impression que c'est une histoire d'amour,
entre toi et un hacker génial et des développeurs géniaux.
Depuis un moment où je sais qu'il y a des développeurs
qui ont été très tristes avant le droit de me parler.
Mais c'est normal.
Ce mec, le RSSI, a managé le fait que bon,
on a un mec, il n'a aucune intention, on ne peut pas l'empêcher,
on ne peut rien faire.
Qu'est-ce qu'on est en plein rachat ?
Qu'est-ce qu'on va faire pour limiter la casse ?
On ne peut pas essayer de limiter la casse,
on ne peut pas essayer d'être survigilant.
Mais c'est quand même dit, amuse-toi bien parce que tout le monde te regarde.
Si tu veux t'amuser, profites-en parce que tout le monde te regarde chez nous.
Parce que plus tu t'es fait un nom là-bas.
Mais il fallait être créatif.
Je faisais des choses vraiment créatives
qui me permettaient d'abuser le plus possible
ou de créer des mécaniques de glitch
un peu comme quand on fait des speedruns
avec une nouvelle commo qui utilisait cette mécanique.
Créer temporairement un mur sur le live
qui fait que les gens vont être téléportés dans une autre zone
alors qu'ils ne l'ont pas demandé.
Des petites vannes, des petites farces.
Je m'amusais bien, je m'amusais vraiment bien.
Et à chaque fois que je rejouais au nouveau contenu,
sur les ailleurs de prévus, je trichais pas.
Et du coup, est-ce que tu veux jouer au prochain ?
Aussi ce qui n'est pas online, oui en espérant
qu'il y ait tout ce qu'on attend de lui.
Ok, ça t'a pas coupé l'envie de jouer à la série ?
Non, ça m'a pas coupé l'envie.
En fait, le problème c'est les gens en ligne.
Toute la difficulté entre le client et le serveur etc.
Alors je suis arrivé sur Final Fantasy XIV,
je regardais, ah tout le monde l'a déjà réussi à en générer.
C'est nul.
Mais j'ai dit, comment ça va ?
Je vais faire mieux que eux.
Ils ont reversé d'ingénierés de certaines manières
et certaines structures où on envoie les limitations.
Déjà éthiques d'une certaine manière.
Mais du côté squarénique, c'est très éthique.
C'est-à-dire, ils pourraient détecter certains changements etc.
Ils disent, on le fera pas, ils le font vraiment pas.
Donc si tu veux te faire bannir, faut dire,
tiens j'utilise des add-ons, des choses comme ça.
Mais ils savent aussi à quel point les gens sont clignes avec ça.
Gérer l'intention versus la détection.
Oui et surtout à quel point devant ça,
il y a des sortes de parties tools qui pourraient être acceptables.
Mais si ils commencent à faire ça, ils vont devoir dire qu'est-ce qu'il a accepté,
qu'est-ce qu'il n'est pas... Ils ne veulent pas faire ça.
Donc ils remontent les cas,
tiens les streamers, on voit bien qu'ils disent un add-on,
qu'ils leur disent que le boss va faire avant etc.
On commence à arriver au moment où ça commence à connaître bien le protocole,
de manière bien, et là je commence à voir les manques.
Et donc tu vas peut-être tienteler.
Oui, là j'ai de trois idées.
Bon du coup le travail est prémaché.
Quand tu as un atelier dans seul coup dans les films,
tu as quelqu'un, le masque de V tout le temps,
il prend la communication.
Je pense qu'on va pouvoir arriver à lancer un script
avec une vidéo avec le X-Files,
à tout le monde de connecter et lui imposer ce qui va se passer etc.
Déjà par exemple, par exemple, c'est de la phase créative.
On n'est pas au niveau de ce que j'ai fait etc.
Mais il y a des trucs à faire.
Voilà, ça m'amuse encore.
Mais là je veux jouer au jeu aussi, je l'aime bien.
Il faut essayer de ne pas se faire ban.
On va essayer de pas se faire ban.
En tout cas franchement c'était un honneur de ta voir.
Merci.
D'avoir toute cette histoire dont on aurait pu livrer le scénario à Netflix.
J'en suis persuadé franchement.
Il vous manque énormément de boue sur des petites choses qui se sont passées etc.
que je ne veux pas avec lesquelles on a le temps qu'on a.
Quand je l'ai raconté entièrement à mon meilleur ami de Hazed
et où je me suis aperçu de ce qu'il y avait vu du vivre le RSSI,
je me suis dit, mais là Netflix ils vont l'apprendre.
Je me suis dit, c'est sûr.
Déjà ça a été très long à raconter.
Tout ces petits détails.
Mais je pense que c'est le ciel et les vendables.
Si ils nous écoutent.
Si ils nous écoutent.
Il n'y a pas de code propriétaire.
C'est clean.
C'est clean.
Et je vous remercie également de nous avoir suivis.
Il y avait certaines parties qui pouvaient être un petit peu plus complexes.
Mais n'hésitez pas à vous pencher sur tous ces sujets.
C'est passionnant.
Vous apprendrez énormément de choses.
Je sais que beaucoup de gens débute dans le monde de la cyber via le cheat.
C'est pas le même monde que le web.
Je vois beaucoup de cheats qui traînent.
Il y a beaucoup de C-sharp, etc.
Ça joue beaucoup avec la mémoire.
Il y a un truc qui est en train de se perdre là-dedans.
C'est la capacité à vraiment aller reverse-engineérer les fonctions du jeu.
Il y a des choses qui se font vraiment plus avec le code original du jeu.
Quand c'est code 1, c'est plus-plus.
Si vous allez taper du c++, ça apporte plein de choses.
Parce qu'on peut vraiment s'y intégrer.
Et surtout, c'est vraiment comme ça qu'on se retrouve à recoder sans code propriétaire.
Des fonctions complètes et à voir comment ça va se passer en face.
À pouvoir loguer des choses qu'on pensait pas.
Et surtout quand on fait ça, c'est comme ça qu'on peut faire du replay.
Il n'y a pas besoin d'animulateurs si vous pouvez prendre tout le trafic et le replayer sur un quelque chose.
Et là, c'est là que vous pouvez tout manipuler pour tout tester.
Et j'ai vu très peu de gens faire ça.
Ils font des paquettes, des trucs qui récupèrent les paquets, mais jamais ils se disent,
« Hé, j'enregistre, je replay. »
Et on triture, on fait faire n'importe quoi au jeu, orline, tout le monde est tranquille.
Je pense que t'es la personne que je connais et qu'elle est le plus loin dans le game du Retro Engineering.
Ever.
Ça fait partie de mes défauts.
Je vis dans l'excès, c'est-à-dire que moi, je prends deux trucs.
Si je vais pas au bout, après, je vais pas bien.
Et par contre, une fois que je suis au bout, vous me reparlez dans deux ans,
déjà il y a fait le moment de me mettre, dans deux ans, je vais dire, « Ah oui, c'est vrai, j'ai fait ça, je m'en fous maintenant. »
C'est déjà passé à autre chose, oui.
Et c'est pour ça que j'avais besoin d'en parler aussi.
Pour aller passer, j'ai rééliminer.
Pour qu'il me trace.
Ouais, en fait, une fois que le truc, j'en ai fait le tour, quand je leur ai dit,
« J'en ai fini avec L'Orscola, merci. »
Je l'ai fini avant eux.
Ouais, c'est ça.
En tout cas, j'espère que ça vous aura donné envie de pousser ces sujets-là
et de potentiellement vous former également.
Bonne chance à vous.
Et puis, je vous souhaite une très bonne soirée.
C'était une émission assez longue.
Et c'était la dernière de Tiffany.
Donc je veux un tonnerre d'orvoire et de bisous.
Vous avez manqué tous.
Et de courage à envoyer à Tiffany pour son aventure de survie.
Oui, mais ils en poule mes pieds.
J'espère que tu vas revenir en un morceau.
Et voilà, c'est la dernière de cette saison.
Mais on va évidemment te revoir, n'est-ce pas ?
Oui, c'est quand la reprise du coup ?
Oui, attention, c'est pas la dernière émission de cette saison.
C'est la dernière de Tiffany.
Et donc on peut peut-être avoir de tes nouvelles sur Twitter,
savoir si tu es encore en vie.
Ouais, j'enverrai des petits trucs sur Instagram.
À l'issue de cette aventure.
Merci énormément, évidemment, à Mathieu,
qui nous a préparé aussi une belle chronique tout à l'heure.
Et à toi, Colin, d'être...
Merci d'avoir reçu.
C'était très plaisant.
Eh ben, tant mieux.
Ça fait très plaisir.
Le chat vous envoie à tous des coeurs.
Et je vous souhaite une très, très bonne soirée.
A dans deux semaines pour la prochaine émission de NERSCO.
Avec Shopify, obtenez tous les bons outils pour vendre.
Des outils de design pour développer votre marque.
Des outils de marketing pour susciter l'intérêt de plus de clients.
Et des outils de vente pour élargir votre champ d'action.
En ligne, sur Mediasocio, en personne, et bien plus encore.
De la petite entreprise multinationale,
les outils de Shopify supportent votre croissance.
Vous pouvez ainsi vous concentrer sur ce que vous faites le mieux.
Inscrivez-vous à une période d'essai un euro par mois
sur Shopify.fr, slash audio.
Rendez-vous sur Shopify.fr.
Pour faire passer votre marque au niveau supérieur dès aujourd'hui.