Pourquoi Banque Populaire est la première banque des entreprises ?
Je me posais des questions sur le partage de la valeur pour mes salariés.
Elodie, ma conseillère Banque Populaire, m'a proposé une solution d'épargne salariale sur mesure,
rapide à mettre en place et que je peux piloter en ligne.
C'était simple et surtout ça a fait des heureux.
Accompagner nos clients sur tous les territoires avec des solutions adaptées à leurs besoins,
c'est ça, être la première banque des entreprises, Banque Populaire, la réussite est en voulue.
Étude Quantar PMEP et Mid-2023, 14 Banques Populaires, 1ère Banque des PM.
Mathieu, tu as enquité et tu t'es infiltré dans un réseau d'arnaque au fast-food,
McDo Burger King et même au Tacos.
Ouais et j'ai même pu m'entrenir avec l'un d'entre eux qui m'a expliqué comment il a pu commander
197 Tacos gratuitement en une seule commande.
Et il avait quel âge ?
Eh bien ça, tu vas l'apprendre dans quelques minutes.
Qui n'a jamais rêvé d'un petit...
Ah je te fais un physique.
Qui n'a jamais rêvé de manger un petit McDo gratuit, c'est un truc qui revient un petit peu.
Ça fait partie des enseignes que tout le monde connaît.
Et on s'est forcément dit un jour si seulement je pouvais manger gratuitement au McDo.
Je sais qu'il était sorti un article il y a quelques temps dans Weiss où c'était à Berlin
où des gens avaient réussi à manger gratuitement grâce à une faille sur les enquêtes de satisfaction
qui a au dos des tickets.
Oui des tickets.
Ou tu pouvais générer automatiquement des bons pour choper autant de bouffe que tu voulais.
Voilà exactement.
Et donc en fait un peu tous les 3, 4, 5 ans ça revient ce truc.
Il y a des strates.
Il y a des strates des jeunes ou des moins jeunes qui veulent absolument ne pas payer leur fast food.
Mais attend mais le principe de bouffes illimité, il est séduisant.
Tu te dis c'est bon j'ai mon diplôme de hacking.
Premier tâche effectué.
Pirate se faire une yes card, une carte illimité pour McDo.
Moi je prends.
Et je me rappelle qu'on avait eu une discussion avec Hardy,
où on parlait d'un influenceur dont j'oublie elle non,
qui avait Uber Illimité en partenariat avec un Marc.
Ah oui oui, il avait pas à quitter.
Mais je sais qu'il existe plein de Hacker Uber Eats etc.
Mais bon bref, maintenant que je suis dans le milieu.
Mais du coup en fait tout de suite ça suscite chez les gens en mode bouffes illimité.
Comment t'as fait ?
Mais comment ?
Parce que ça doit faire vachement attention,
ce qui est pas de faille ou de trucs comme ça.
Surtout c'est des grands groupes dont on va parler.
Tu l'as dit McDo, Burger King, Autapods.
Mais comme tu l'as dit,
systématiquement il doit être attaqué.
Exacto.
Et il y en a qui arrivent.
Il y en a qui arrivent et en plus dans notre cas précis,
ça allait un petit peu trop loin.
Tout commence sur un forum et un serveur Discord
sur lequel le trafic prospère.
Donc là on voit des gens qui mangent quasiment gratuitement
et qui s'en vantent sur Discord.
Et j'ai pu m'entretenir avec 3 d'entre eux
qui sont à la tête du trafic.
Bricky qui a 17 ans,
Petit Canard, 19 ans en 2e année de médecine,
évidemment à chaque fois c'est d'épseudo.
Et le dernier, il a accepté de témoigner
et donc je laisse se présenter et nous expliquer
comment il s'est retrouvé dans ce trafic.
Alors je me présente, sur Internet j'ai pris nombre de pseudo
comme Hubert, Jean-Paul, des trucs comme ça.
Et ce que je fais dans la vie,
actuellement je suis en étude avec un cursus basique.
Donc je suis en 3e, j'ai 14 ans.
J'ai découvert ce milieu vers mes 11 ans,
donc c'est assez tôt.
Vers mes 11 ans, je m'intéressais déjà au compte gratuit, etc.
J'étais déjà sur des générateurs,
des sites gratuits sur Internet
qui donnent des comptes gratuitement,
donc des comptes sur des plateformes.
Donc moi j'étais déjà sur ça pour récupérer
des comptes Minecraft, des trucs comme ça.
Et ensuite je me suis dit,
mais comment est-ce qu'ils font pour hacker des comptes comme ça ?
Comment est-ce que c'est si facile ?
Parce que pour en donner gratuitement, c'est que ça doit être facile.
Donc je me suis intéressée,
je me suis plongée dans les forums, dans le ClearWeb.
Je ne vais pas en citer, mais c'est facilement trouvable.
Donc là-bas, il y a des gens qui t'expliquent comment faire,
il y a des tutoriels,
il y a des configs, il y a des combo-listes,
il y a des proxy, donc il y a littéralement tout ce que tu veux pour bien commencer.
Je choisis des pseudos sur Internet comme ça,
c'est souvent des prénoms ultra connus,
ultra répandus dans la France.
Ce qui fait que si tu te prénommes hubère
et que par exemple, la mec t'en veux sur Internet,
il ne dirait pas que tu es sur Internet hubère,
parce que s'il va se chercher hubère,
il va tomber sur plein de profils,
plein d'experts et tout ça.
Donc souvent je prends des pseudos comme ça,
François, Hubère, Jean-Paul, Yves, etc.
des trucs comme ça.
Ce qui fait que moi derrière,
même si ça ne représente pas une énorme étape de la sécurité sur Internet,
ça représente une petite partie quand même.
Donc comme ça,
tu n'as pas un pseudo qui est très reconnaissable,
je ne sais pas, je vais sur Internet, je tape ton pseudo
et je trouve ta chaîne YouTube par exemple.
Il a seulement 14 ans,
il est en troisième et durant tout le temps
où j'ai discuté avec lui, qui a duré un peu longtemps,
il s'est successivement appelé comme il a dit,
Hubère, Jean-Paul et enfin François,
son profil changé régulièrement
et prenait des prénoms tout à fait classiques.
Alors en fait, toute cette arnaque,
se base sur le vol de compte
et particulièrement des comptes,
Macdo et Burger King, pardon,
ils nous expliquent comment ça fonctionne rapidement.
Et sur Macdo du coup, il y a un système de fidélité avec les points,
ce qui fait qu'à chaque fois qu'une personne va commander chez Macdo,
derrière elle va recevoir des points.
Donc qu'est-ce qu'elle va faire avec ces points-là ?
Elle pourra manger gratuitement,
donc c'est un système de fidélité pour fidéliser les clients, etc.
Moi derrière, les comptes, comment ça marche,
c'est que bon c'est du vol, je vais voler ces comptes-là
et je vais utiliser les points pour moi,
ou les revendre.
Donc ça permet d'utiliser les points.
On ne vole pas l'argent des gens,
dans une certaine manière, ok ?
Mais on ne va pas par exemple utiliser leur carte bancaire, ou quoi ?
Donc ils volent des comptes Macdo
et en utilisant les points de fidélité du compte volé,
ils peuvent se commander un menu quasiment gratuitement.
En fait, avec 4 ou 5 euros, ils peuvent prétendre un gros menu
avec des serres qui coûtent normalement 10 ou 15 euros.
Alors comment ils font pour récupérer les comptes ?
La première solution, c'est qu'ils en achètent tout simplement
directement des comptes Macdo qui ont fuité avec le mail et le mot de passe,
mais en fait ça coûte un peu cher.
Selon l'un d'entre eux avec qui j'ai discuté, d'ailleurs,
il y a entre 5000 et 20 000 comptes Macdo qui fuite par moi.
D'accord.
Bon, c'est d'après lui, mais ça m'a paru énorme.
Deuxième solution, et ça ils me l'ont pas mal détaillé,
ils utilisent des combo-listes.
Donc en fait, c'est des ensembles de mail mot de passe
qui ont fuité sur le net.
Et soit ils les achètent, soit il est dump,
c'est-à-dire qu'il profite d'une faille SQL
pour se constituer sa propre base de données de mail password.
Et en fait, ils récupèrent toutes ces bases de données gigantesques
de mot de passe et de mail qui ont fuité.
Et ils font une petite, attendez,
une moulinette, une cofigue au pot de boulette,
en gros, c'est des logiciels qui sont normalement utilisés
en pentest, pour essayer en fait,
en dédose tous les couples mail mot de passe
sur les sites de Macdo et Burger King.
Et en fait, sur la masse, forcément,
il y en a qui ressortent parce que tu utilises les mêmes mot de passe,
le même mail, etc.
Il y en a qui fonctionnent.
Et en fait, même si la base de données de mot de passe
est publique, par exemple, que tu ne l'as pas acheté,
c'est très rare que d'autres hackers
pensaient à se dire, on va essayer sur Macdo, Burger King.
Donc en fait, ils se spécialisent dans ça,
ils récupèrent plein de mot de passe et de base de données,
ils se constituent un portefeuille de compte
Macdo et Burger King volés.
C'est hyper intéressant, parce qu'effectivement,
le game, donc des combo listes,
donc ces fameux listes de mot de passe, etc.
ça traîne beaucoup.
Il y en a que tu peux les acheter,
même pour avoir des infos les plus fraîches possibles,
comme ils disent.
Donc peut-être que c'est un leak qui a eu lieu
il y a à peine un mois.
Et donc là, tu vas l'acheter pour avoir les données
les plus à jour possibles.
Mais c'est vrai que souvent, la cible, c'est des sites
que tu peux monétiser de manière évidente.
Donc c'est des comptes bancaires, soit des comptes Steam
ou des comptes Hubbers, des choses comme ça.
Ça, c'est ce qui va être le plus visé.
Donc c'est intéressant de voir que personne n'a pensé
aussi de Macdo, je ne sais pas, personne se dit
qu'il y a une rentabilité à essayer de se faire
des comptes Macdo.
Complètement.
Mais en fait, il y en a une.
Et il y a un élément qui est très important
pour lequel ça marche,
c'est qu'il n'y a pas de double authentification
sur Macdo.
Et donc du coup, ça marche.
Ça va lui changer ça.
Ça va peut-être, Gauvier,
déjà changer ici.
De leur côté, ils se protègent un petit peu
pour éviter de se faire flag.
Ils utilisent plein de techniques
un peu classiques de proxies résidentielles,
de remodes des stops.
Et donc en fait, ils font tout, des proxies listes également.
Ils font tout pour que leur propre IP
ne soit jamais utilisé quand ils font tourner
des combo listes de test.
J'allais réagir justement,
parce que j'ai vu dans le chat des gens
à raison mentionné que c'est pas certain
qu'il ait conscience des problèmes
qui peuvent s'attirer.
Je trouvais ça intéressant, justement,
ça fera sur le fait que...
sur sa morale, entre guillemets,
comment il y a toujours ce truc
dans la petite cybercriminalité,
où tu trouves ta ligne rouge, entre guillemets,
et bon là, lui apparemment est ok
avec le fait de récupérer des points de fidélité
parce que c'est pas du vrai argent, etc.
En termes de psychologie de la cybercriminalité,
c'est hyper intéressant.
Ils m'ont tous, en fait,
je leur ai posé la question évidemment au 3.
Est-ce que vous avez conscience de faire quelque chose d'illégal
et est-ce que vous avez peur et tout,

Pardon.
Et on y reviendra juste après,
mais globalement, ils se réfugient tous derrière,
c'est pas du vrai argent.
C'est des points de fidélité, donc
d'un point de vue éthique,
parfois ils utilisent le mot éthique,
c'est ok pour eux.
Et c'est des multinationales, donc
ça c'est pas très grave,
les utilisateurs c'est des points de fidélité,
parfois ils savent même pas qu'ils ont des points de fidélité
sur leur compte,
et il y en a même un qui m'a décrit son fonctionnement,
son fonctionnement, il checkait les comptes,
et si par exemple, il avait plein de points
et qu'il les utilisait jamais,
ça ne le dérangeait pas de piquer ses points,
mais si c'était un compte où
il repérait que les points étaient souvent utilisés,
et que
bref, je ne sais pas comment il m'a expliqué ça,
non mais celui-là je vais lui laisser ses points,
il a l'air concerné par le sujet,
ça c'est ce qu'après, forcément il y a un biais,
il m'a parlé à moi.
Il avait un code de déontologie,
de la profession de voleur de McDo.
Ils ont forcément un code de déontologie,
mais ils le mettent là où ils veulent,
on peut le prétendimer.
Alors ça c'est acceptable,
et je te dis que c'est pas acceptable
pour m'acheter une compétition.
Parfois ça peut se passer dans l'autre sens,
parfois tu fais,
et après tu te dis,
ok alors, ça va parce que,
c'était McDonald's,
ils sont extrêmement méchants.
Exactement, et ça je l'ai entendu plusieurs fois.
En tout cas ils font tout pour essayer
de ne pas exposer leur propre IP,
et pour éviter
tous les problèmes.
Très bien, mais à quoi ça sert tout ça,
vous allez me dire, à part manger
souvent beaucoup trop gras, au McDo ou au Burger King,
comme je le disais, ils n'ont pas du tout gardé
cette technique pour leur consommation personnelle.
Ils ont créé un véritable business
avec des supports de communication,
où tu peux acheter
des points de fidélité,
remettre peut-être la slide d'avant,
ils font de la revente
de points,
ils les vendent, ils se font
de l'argent derrière,
mais j'ai jamais dit que c'était pas chaud,
et c'est complètement illégal.
Mais moi j'avais pas compris ça.
J'avais compris au fur et à mesure.
Au début je pensais que c'était juste
pour se livrer des...
Pour manger quoi.
Au début ils le découvrent en cashier,
après ils vont chercher leur propre bouffe,
et à un moment où ils traînent
sur des formes de hacking, ils voient des gens
se faire de l'argent, ils se disent, moi aussi j'ai envie de me faire de l'argent.
Et donc moi ce qui m'a étonné
c'est qu'il y a même une fois question
sur comment bien utiliser les points,
et un discord
où tu peux acheter directement
des points de fidélité, et c'est sur ce discord
que je me suis retrouvé.
Le problème en faisant ça
je le disais c'est que le compte
sur lequel il y a les points de fidélité
ne t'appartient pas.
Et donc imaginons que j'achète
des points sur ce discord,
c'est une chose que je n'ai pas fait.
Oui, le journalisme
à ses limites.
Imaginons, j'achète des points, je me retrouve
avec un compte de quelqu'un qui s'appelle
Émilie. C'est compliqué
au comptoir du McDo quand t'arrives.
J'avoue.
Mais il se qui vérifie ça.
Et ben Hubert,
ou Jean-Paul, comme il s'appelle,
ça lui est arrivé la première fois qu'il a mis
avec ses questions cette fraude, et il nous raconte
comment il a réagi, puis la mésaventure
qu'a vécu un de ses propres clients
à qui il a vendu des points de fidélité
et on regarde.
C'est pas bien.
C'est pas bien.

C'était quelqu'un qui voulait
pécho quelqu'un,
qui voulait pécho une autre personne.
Un client de coup.
Il avait pas beaucoup d'argent.
Donc elle est venue nous acheter un point de McDo
et grâce à ça,
il avait réussi à l'inviter au McDo.
Avec le lien, moi.
Il y a eu un petit souci, parce que pendant le McDo,
il avait demandé
à cette personne-là justement, qui avait invité,
si c'était à lui le compte,
et il a paniqué. Il savait pas quoi dire,
il était avec sa compagne, il savait pas quoi dire.
Du coup, à ce moment-là, tout avait été raté,
il a dit, mais le compte, il est pas avoué,
ils ont été dégagés du magasin, etc.
Le date, on a mal.
T'achète des points de fidélité, tu te fais flag au McDo,
et tu dois partir.
Ah non, c'est un enfer.
Le date à McDo, ça commence mal.
Oui, alors tu t'as dit ça,
je lui ai pas dit genre...
Mais ça vient de là, on est dans un cas,
où il a un câlin pour acheter un McDo,
pour aller faire son date.
Donc il y a eu une envie, quand même,
de garder la face.
Là, tu te fais têche du McDo,
parce que tu n'as pas les points et tout.
T'imagines, t'es la personne qui accompagne.
C'est terrible.
Comme tu le disais, je leur ai demandé,
à chacun d'entre eux, s'ils avaient conscience,
que c'était parfaitement illégal,
et aussi s'ils avaient peur de se faire choper par la police.
Alors ils ont tout à fait confiance,
conscience, pardon, que c'est illégal.
Mais ce cas-là, je vous l'ai dit,
les points de fidélité, c'est pas du vrai argent.
Concernant la police,
personne n'en a vraiment peur,
parce qu'ils se disent,
ils vont pas venir fouiller un trafic de points de fidélité,
et ils ont autre chose à faire.
Et c'est marrant, parce que je leur parlais
indépendamment, alors je savais qu'ils se connaissaient virtuellement,
mais ils m'ont tous répondu ça.
Les mêmes choses, oui.
Ils m'ont tous répondu à mes choses.
Mais la réalité, c'est que...
il y a un business dessus,
et tu peux avoir des problèmes,
et j'ai eu des nouvelles de certaines personnes,
parce que cette histoire n'est pas finie.
Tu vas nous dire.
En fait,
là où je pense qu'ils sont un peu naïfs,
c'est que, ok,
à mon avis, si c'était de l'usage personnel
qui continuait et qui se visitait,
ça peut faire une certaine somme,
mais ça m'étonnerait
qu'il se passe énormément de choses.
Là, c'est un cas où
c'est...
je ne sais pas si on appelle ça du recel,
ou en tout cas,
la petite ligne juridique change.
À mon avis, ça doit pas être les mêmes peines
encourues.
Je ne l'ai pas du tout, mais tu te posais de la question
combien ça leur apporte.
Je lui ai posé la question.
Salut, si vous appréciez Endorscore, vous pouvez nous aider
de ouf en mettant 5 étoiles sur Apple Podcast,
en mettant une idée d'invité que vous aimeriez qu'on reçoive.
Ça permet de faire remonter Endorscore.
Telle une fusée.
Alors,
par mois, je ne peux pas te donner un chiffre par semaine.
C'était plutôt irrégulier,
les ventes. Par ça, ça ne marchait bien, pas ça.
Par semaine, j'arrivais à récoter un total
de 600 à 700 euros, grâce au compte.
Or, utilisation personnelle.
Macdo, c'était la grosse partie de ces ventes.
Comme je l'ai dit, c'est un vaste fou
de mondialement connu et le premier.
Donc, pour Macdo,
j'ai réussi à avoir environ
500 à 600 par semaine. KFC et Burger King,
c'était secondaire.
Donc, 600 à 700 par semaine pour l'ensemble des enseignes.
Ça fait environ 2500 euros par mois
s'ils t'arrivent à écouler
tous les semaines.
Ils me disaient qu'il y a des semaines,
au bout de... Ils mettaient en ligne le dimanche.
Le mercredi, ils n'avaient plus aucun code.
Ils marchaient par semaine.
C'est pour ça qu'ils y sont chiffres d'affaires par semaine.
Il faut qu'ils arrivent à avoir des comptes
avec des points de fidélité dessus.
Il y a un truc qui bloque.
Parfois, dès le mercredi, il y avait une telle demande.
Il me disait qu'un jour, il a dû me dire qu'il n'y avait plus de stock.
Il y a un jour, il me disait...
D'ailleurs, dans le Discord,
tu avais des messages.
J'ai pas fait de me capturer le écran.
Mais restock.
Dès qu'il y a restock, tout le monde allait
de choper des points de fidélité.
Entre vendeurs,
il pourrait y avoir des deals,
il y en a qui ont trop de demandes.
Tu peux faire de la revente
de factures.
Ça fait souvent qu'ils s'associent.
Ils font une seule Marketplace.
Ils mettent toute la base de données.
Globalement, c'était comme si c'était organisé.
Où est-ce que j'en étais ?
Oui, petit Canard,
qui a une autre source, m'a dit que de son côté,
il avait fait 1 500 euros en 6 mois.
Ce qui est ok, mais...
Ça dépend de tant qu'il y a pas.
Pour beaucoup d'efforts.
Mais par contre, avec l'ensemble de ces autres Arnaques,
parce que c'est quelqu'un qui a joué sur plusieurs tableaux,
il était au zan entour de 3000 euros par mois.
Il commence à faire beaucoup.
J'ai l'impression de serner un profil
qui est...
qui est très répondu, en fait,
à savoir un profil de jeune
qui commence à s'intéresser à la cyber,
qui probablement,
plus tard, en fait, va rentrer
dans le droit chemin.
Parce que voilà, on s'en sait, dans la communauté,
il y en a plein qui ont fait des bêtises quand ils étaient jeunes, etc.
Clairement,
c'est assez fréquent.
Et c'est parfois une porte d'entrée au final
pour aller ensuite faire un job
qui est à la société.
Mais en tout cas, en termes de patteinte,
c'est intéressant de voir qu'il y a cet Arnaque-là,
mais en fait, probablement que le reste de la semaine,
c'est aussi des gens qui vont faire du carding
ou d'autres types de...
de petites criminalités
en voie de la revente
de conspotifiles et des trucs comme ça.
Et effectivement,
à la fin, ça doit faire un salaire.
La réalité, et je pense que
c'est ça qui fait que ça ne dure pas
toujours très longtemps, c'est que
le risque versus que tu peux gagner
combiné au fait que
le marché de la cyber sécurité
est ultra tendu, fait que
souvent, ils ont
beaucoup plus de
de profil à serre dans le prochement.
Ils ont beaucoup plus de raison d'aller
devenir consultant en cyber sécurité.
Et souvent, ils sont assez jeunes, mais j'ai stondé un peu leur niveau informatique.
Et il n'est pas nul, honnêtement.
Il n'est pas des gros craques
encore, mais ils sont jeunes.
Et en fait, ils ont quand même des bases
en cyber sécurité ou en développement,
ça dépend des gens.
Mais même s'ils ont automatisé
tout ce process, c'est quand même qu'ils ont des compétences.
Après, ils utilisent quand même des outils
qui sont disponibles pour tout le monde
sur le net. Et voilà. Et d'ailleurs,
ce qui est intéressant, c'est que pour les 3,
le schéma est un peu quasiment le même.
C'est qu'ils commencent par traîner sur les forums de hacking,
parce que ça les intéresse. Ils découvrent une arnaque
en tant que simple acheteur.
Ensuite, ils la rachètent, ils rachètent
la méthode, où ils s'approprient la méthode, où ils rachètent
le logiciel qui permet de mettre
en oeuvre cette arnaque. Ils montent une infra
pour mettre en oeuvre
l'arnaque. Ils font de la pub
sur leur réseau, sur des forums de hacking.
Et derrière, ils en grangent des profits. Et à chaque fois,
c'est un petit peu le même schéma
que j'ai constaté, en tout cas,
sur les gens avec qui je disais discuter.
Et parfois, malheureusement, ils quittent un petit peu
cette petite délinquance.
J'appelle le restat parce qu'on n'est pas
sur des gros crimes non plus. Pour en faire ailleurs
un peu dans le cybercrime. Et j'y reviens tout à l'heure.
Ou alors, il y en a qui vont complètement quitter ça
et rentrer dans le droit chouin.
On arrive
à notre fameuse histoire de tacos.
C'est vrai qu'on n'a pas parlé de macdo mais pas d'otacos.
On n'a pas parlé encore d'otacos. En vrai,
elle est un petit peu drôle.
Surtout que, au final,
ça se finit bien. On arrive à notre fameuse histoire
de tacos. Huber et ses amis ont réussi
à commander gratuitement
chez l'enseigne Otacos
comment ils ont fait.
En fait, ils ont réussi à récupérer
l'API et les points de terminaison
des bornes Otacos.
Et le born est important.
En gros, ça veut dire
comment fonctionne une borne Otacos. Ils ont compris
comment fonctionner une borne Otacos. Le truc tactile
là, ça ne tient en voie la commande. Le truc tactile quand t'es dans le magasin.
Discut avec un serveur quelque part. Exactement.
Donc, ils étaient capables
de passer une commande comme sur une borne
mais depuis chez eux.
Ah. Intéressant. Déjà,
intéressant. Pour l'instant, tu peux pas faire grand chose
mais intéressant. Alors pourquoi de s'éconnecter
d'internet déjà ? Première question.
Bon, d'accord.
Très bien. C'est
les systèmes de franchises. Ouais, je sais pas.
Sauf qu'ils ont aussi remarqué.
Et peut-être que vous l'avez remarqué
d'ailleurs, aussi, que quand tu finalises
une commande dans un fast-food
elle est envoyée en cuisine
avant même la fin du processus
de paiement. D'accord.
Ah. Et on va remarquer.
En tout cas, moi, parfois,
elle apparaît, tu sais, t'as pas encore terminé
qu'elle apparaît déjà quelque part sur un écran
dans l'accueil. Et en fait,
c'est pour gagner du temps en cuisine.
Tu sais que
il a finalisé sa commande, il va pas changer. Il est en train
de payer, tu peux commencer à faire le burger.
Et donc, pour bypass
le paiement, ils ont remarqué
qu'il suffisait d'envoyer
un request time-out au bon moment.
Et en fait,
tu n'avais pas à payer.
Sauf que la commande était partie.
C'était une faille, clairement.
Mais en gros,
il m'a pas dit tous les détails.
Mais globalement, il est arrivé
à un moment se déconnecter.
Il n'avait pas à payer, du coup, le processus
de paiement a été annulé. Sauf que la commande était
quand même bien envoyé en cuisine.
Et le haute-acôse, pour lui, c'était marqué payer. Il n'y avait pas de check.
Alors, tu sais, j'ai bien compris.
Donc, ça tire partie du fait
que quand t'envoies des requêtes à un serveur,
tu peux avoir
un... tu peux, j'imagine, te débrouiller
pour faire une requête infinie.
Je sais pas comment ça...
En fait, j'ai du mal à comprendre comment ça fonctionne.
Il m'a pas exact...
Ouais, il n'a pas donné tout son secret.
Il n'a pas donné tout son secret.
Mais il m'a parlé d'un request time-out.
Un peu le seul truc qui m'a dit...
Pour moi, c'est ce qu'un serveur peut faire.
Tu vas mettre toi en tant que client qui envoie l'archète.
Et je pense que c'est très spécifique au bornes.
Parce que, quand t'es pas dans les bornes,
t'as pas ce système de la commande
et finalisé avant le paiement.
Ok, je crois que j'ai une théorie, mais c'est peut-être pas ça du tout.
Si ça se trouve, en fait, la borne
et le serveur, c'est pas simplement qu'ils ont des ping-pong de requêtes,
mais c'est qu'ils créent un tunnel de discussion, c'est possible.
Peut-être dans un socket, comme on dit.
C'est simplement des échanges de part et d'autre.
Et peut-être qu'en gros,
il attend d'avoir la confirmation de la commande
et il coupe cette connexion.
Et puis, il y a ce moment-là.
Je crois que c'est un peu ça.
Et du coup, ça bypass l'étape du paiement.
Je crois que c'est un peu ça.
Après, moi, ce que je trouve...
Le principe est génial.
Ce que je trouve quand même super étrange, c'est que c'est marqué payé
alors que la validation de cette transaction n'a pas été faite.
Je pense que c'est pas marqué payé, mais c'est marqué commande.
C'est marqué. La commande est en cours.
Donc, je pense qu'il n'y avait pas de...
On a vérifié qu'il avait payé.
C'est possible qu'en gros, ça se passe à une étape du paiement,
parce que les paiements se passent...
Enfin, c'est un peu un bordel.
Et entre le moment où t'as validé le fait que c'est bon,
t'as mis ta carte, t'as mis le bon code PIN, par exemple,
et le moment où l'établissement final te renvoie l'information
que c'est bon, il y a l'argent tu peux payer.
Si ça se trouve, ça veut dire que c'est une faille, clairement.
C'est-à-dire qu'ils n'attendaient pas vraiment d'avoir cette confirmation finale
où il y a de l'argent prélevé.
C'est clairement une faille.
Quelqu'un résume dans le chat, ils ont profité du fait que le workflow est juste moisie.
C'est exactement ça.
Et ce qui est marrant, d'ailleurs, c'est qu'un ticket sort dans la borne
du restaurant concerné.
Le ticket sort vraiment.
Si t'es à côté du Mcdonald, tu peux récupérer le ticket,
sinon il tombe par terre, on t'en oublie.
Et sur Mathieu, oui, avec ça, il a pris combien de tacos ?
Alors ?
En fait, ce que moi je me dis, j'ai ça, je pense que sur une année,
c'est à dire, à garder le truc en sous-marin que personne a au courant, tu vois.
T'as moyen un GRIP pendant bien, bien longtemps quand même.
C'est pas exactement ce qu'il a fait, mais je te laisse l'écouter.
Alors moi, je l'en ai profité pendant une belle période.
Je suis allée tous les jours.
Tous les jours.
Donc je commandais pour vin, je commandais pour tout le monde.
Il y avait ma mère, il y avait les copines à ma mère, il y avait le thym, tout le monde.
Il y avait mes amis aussi.
Tous les jours, on allait chez Otacos.
Tous les soirs, au même point que le mec du Otacos, le gérant, le manager,
c'est devenu notre ami.
Donc c'est devenu un ami à la famille.
Après, je suis venu avec mon ami.
On était combien ?
4 ou 5, je crois.
On avait pris pour environ 1000 balles de Otacos.
Il y avait des bouteilles d'eau à plein.
Ils avaient plus de bouteilles d'eau, ils avaient plus de viande,
ils avaient plus de sauce, ils avaient plus rien, tout le monde là.
Après notre commande, ils avaient presque plus rien.
Il a dû fermer.
Otacos s'est après notre commande.
On a été distribué au genre.
On s'est fait passer pour une association.
Pour les SDF, etc.
Et on est parti les distribuer, on est parti en donner à des gens
qui en avaient dans le besoin.
On est parti dans les cités.
Pour nous, les cités, c'est dans une ville,
dans notre ville, c'est des cités,
mais c'est des endroits où il y a des gens dans le besoin.
On est parti là-bas, les a distribué.
Otacos est en halal.
On a pu les distribuer à tout le monde.
Il y a tout le monde qui a pu en avoir.
Il n'y a pas eu de préférence.
Tout le monde était content.
Il l'a commandé.
Je pense que c'était pas méchant, Françin.
Tu as discuté avec lui.
Oui, bien sûr.
Mais Frérot, c'est tellement limite.
Ah oui, c'est limite.
C'est pas limite.
Non mais, au moins...
Je trouverais que ça craignait bien qu'au moins il soit lucide.
Le coup, on s'est...
On s'est fait s'éprepondre.
On a donné nos otacos à la 3SDF.
Frère, ça marche pas.
Il a commandé très exactement 187 tacos en une commande.
Du coup, le jour où ils ont dû fermer, c'est ça ?
Non, pas forcément.
Après, tu n'as plus rien à faire des tacos.
C'était ce jour-là.
Je lui ai demandé comment ils peuvent prendre la commande.
Quand tu fais passer pour une assaut, il y a des gens qui font ça.
Donc ça va passent.
Ils sont potes avec le géant.
Mais au tacos, c'est une franchise.
Après, je vais demander, est-ce que vous lui avez dit au géant ?
Oui, non.
Le géant n'est toujours pas con.
Alors, il se trouve que peu de temps après cette commande de 1000 balles,
la faille a été patchée.
Donc c'est possible que c'est quand même allumé des petits voyants quelque part.
Parce qu'un trou de 1000 balles dans ta trésorerie, ça se voit.
20 balles, ça se voit pas forcément.
10 balles, ça se voit pas forcément.
Mais 1000 balles, ça se voit.
Ils se connaissaient personnellement.
Ils ont fini parce qu'on a...
Voilà.
Et d'ailleurs, je suis pas sûr qu'ils les vendus, ça, ce service.
Mais en tout cas, ils l'ont fait de leur côté.
Ils ont même développé un site web avec une interface
pour automatiser le fait de profiter de cette faille.
Ah oui.
Et donc du coup, là, on a une vidéo...
C'est compliqué.
On a une vidéo où ils sélectionnent le hotacos sur lequel il va commander.
Et après, ils sélectionnent.
Bon, là, ça prend un petit peu de temps.
Ce qu'il faut, c'est que, en général, quand tu vois des trucs comme ça,
c'est des annecs, genre, à mille de retets.
Il y a plein de trucs de ce genre-là.
Ah non, mais là, ça fonctionne.
Oui, mais je sais.
Ce type de site web, genre lampe de poche,
ou alors, c'est ton téléphone qui prend de l'énergie avec le soleil.
C'est dans cette catégorie pour moi, c'est t'arrives dessus.
Ta cause gratuite, livrée chez toi.
Ça fonctionne plus.
Là, ça fonctionne plus, plus que ça a été patché.
Alors, heureusement, Tiffany,
tout ce que je vous raconte ce soir ne fonctionne plus.
Ah non, mais pas sinon.
Mais j'ai eu accès à ce site à un moment.
Enfin, en tout cas, je l'ai vu vivant.
Et en fait, c'est une faillie sur...
Je crois qu'il y avait un truc avec Android aussi.
T'as besoin d'un Android à côté pour faire fonctionner le truc.
Parce que le mystère, c'est le talent nécessaire
pour développer ce truc.
Objetivement, je voyais dans le chat des gens qui disaient que c'était des scripts,
des scripts, des trucs comme ça.
Non, là, objectifment, c'est un développeur web
qui a monté toute une place.
Complètement.
Qui a réussi à s'interfacer avec la paix de ta cause,
à la reverse ingénieur complètement pour comprendre comment elle marche,
à faire un truc pas trop dégueu avec une appli mobile.
Genre...
En fait, il y a quelqu'un qui trouve la faille,
après, il se constitue une petite équipe,
et justement, il y avait un développeur dans la team
qui a fait ça.
Et en fait, il se structure.
Mais c'est intéressant de voir qu'en fait, dans ces milieux-là,
c'est beaucoup plus structuré que ce qu'on se trouve.
Mais oui, mais ça me sidère le niveau de maturité du projet.
Exactement.
Qui est en gros une vampirisation d'une faille de haute-acose
dans une web app en PWA disponible.
Non mais c'est...
C'est fou.
Je travaillais six mois sur ce sens à t'enquête.
Donc...
C'est complètement...
Et d'ailleurs, en fait, c'est un système de...
Ce système de born existe un peu partout dans la restauration.
Et donc forcément, ce truc qui utilise ailleurs,
il avait découvert que la faille était aussi dans un restaurant de poutine, par exemple.
Depuis, tout a été patch, mais...
Un restaurant de frites.
De poutine.
De... oui.
Ah !
Oui, c'est ça.
Oui, c'est ça. Ok, d'accord.
Québécois.
Québécois.
Alors, j'arrive à la fin parce que c'est très long,
et je m'excuse, par contre,
de prendre notre invité qui, je lui avais dit 20h.
Ah, on a dit.
Ça va être compliqué.
Aujourd'hui, qu'en est-il ?
Donc, ce que j'ai dit, plus aucune faille,
dont je vous ai parlé aujourd'hui,
et actif, que ça soit chez McDo Burger King,
au tacos, plus aucune faille inéactive.
En fait, McDo a fini par réagir.
Typiquement, je reviens sur l'exemple de McDo.
En mettant en place des capchats,
en mettant en place un Claude Flair.
Bref, ils ont, en fait,
c'est un jeu du chat et de la souris.
Ils mettent des bâtons dans les roues des fraudeurs.
Et en fait, à un moment pour les fraudeurs,
surtout quand tu as lancé un business,
le business n'est plus rentable.
Tu perds de l'argent à vouloir,
à tout le but,
à lutter contre tous les dispositifs qu'ils ont mis en place.
Et McDo a fini par se réveiller.
Mais en fait, il y a toujours un laps de temps
où ça fonctionne, parfois, pendant plusieurs mois.
Ouais, voir plusieurs mois.
Le discord dans lequel j'étais n'existe plus.
Et d'ailleurs, petit anecdote,
mon compte Discord s'est pris un avertissement.
D'accord.
Parce qu'en fait, quand Discord...
Quand Discord...
Il y a des...
Ça, qui m'était dit, négale,
sur Discord, tu fais partie de ce Discord.
Tu me prends un avertissement.
Je sais pas ce que ça vaut,
mais j'ai eu un petit message de Discord bien sympathique.
C'est vrai que je ne l'avais pas dit.
C'est doux.
Et en fait, c'est marrant,
c'est que, alors que j'étais encore en contact
avec nos trois protagonistes dans cette histoire,
il y a eu un petit drama entre eux.
Et en fait, ils s'étaient en train de saouter
sur le Discord de l'un et de l'autre,
parce que l'un l'accusait l'autre d'avoir coursuité,
donc profité de son business.
Et donc, en fait, c'est un milieu
où vraiment un peu s'empitier,
s'empitier et de drama queen,
où en fait, on n'hésite pas à dox
son ami d'hier, en gros.
Ok, donc...
Et donc, il y a eu des...
Alors honnêtement, moi, j'étais au milieu de tout ça,
il y a eu des histoires.
Donc ça veut dire que, en gros...
Je ne le conseille pas.
Il s'amuse à trouver des infos personnels
et à les révéler en public.
Par exemple, alors pas forcément...
Alors là, c'est pas forcément ce qui a été fait,
mais je sais, il y a eu des histoires comme ça.
Et ça discrédite complètement
l'activité de...
Parce qu'en fait,
ils ne sont pas forcément motivés que par l'argent.
Il y a aussi un petit côté pouvoir et digression.
Et par exemple...
C'est le plaisir de la transgression.
Par exemple, Hubert,
à 14 ans,
je ne suis pas sûr que l'argent le motive beaucoup.
Il n'a pas besoin d'argent.
Il est dans une famille encore.
Il est en troisième.
Et en fait, c'est les skills,
c'est montrer que tu as de la puissance,
du pouvoir, etc.
Qui est intéressant.
Non, c'est passionnant.
Franchement, je conclue.
Petit canard, dont on parlait au début,
aujourd'hui, des ennuis avec la justice.
Donc ça, c'est un petit peu...
Je vais calmer tout le monde.
En fait, pour des faits plus graves,
de carding, notamment.
J'ai eu cette info.
Il allait un peu trop loin.
Et donc forcément,
à un moment, ça tombe...
Ça finit par tomber.
Ça finit par tomber.
Bricky, je n'ai plus de nouvelles.
Il a disparu des radars depuis que le discord est tombé.
Quand à Hubert,
tout comme les autres,
il a arrêté ses activités de fraud au fast-food,
ça n'existe plus
au fraud au point de fidélité.
Et il m'a dit,
comme tu l'as dit à un moment,
comme tu l'as supposé,
vouloir devenir pentester, plus tard,
pour pouvoir faire tout ce qu'il aime,
en étant bien payé et légalement.
Ah, c'est ça que tu vas entendre.
Non, ça va comprendre.
Parce que j'ai un peu...
J'ai un peu remis en question
ces justifications morales
autour de l'activité.
La réalité, c'est que tu le vois.
C'est des petits malins.
Évidemment.
C'est des petits malins
qui demandent juste d'avoir un problème suffisant
pour s'échauffer, pour s'amuser.
Et ils vont le trouver dans des jobs,
comme tu le disais, pentester.
Donc, en s'adresser au défi, c'est évident.
De toute façon, tout ça fait sérieux.
Je leur remercie d'avoir accepté
de tout témoigner, parce que ce n'est pas du tout évident.
Je parle d'exercice simple.
Voilà, il a répondu à mes questions.
Il était ok pour être interviewé.
Donc, merci à lui.
Bien évidemment, tout ça a été fini.
On n'aurait pas pris ce risque.
Mais voilà, merci à lui.
J'espère que cette petite enquête vous a plu.
Ça vous a donné faim.
Non, moi, ça va.
Si, moi, je regarde les cacahuètes, je me suis dit...
Tu sais qu'il y a un jingle qui arrive
dans 30 secondes là,
tu vas pouvoir prendre un petit timing.
Non, mais j'ai vu que ça avait vachement intéressé le chat
et qu'il va aider le fait qu'il faut qu'il trouve un travail plus...
Évidemment.
Et c'était marrant, les profils,
tu vois, il y en a un qui était en médecine.
Mais est-ce que là, je me suis demandé...
Je me suis posé si...
Parce que les étudiants en galère, ça existe.
Peut-être.
Est-ce que tu penses que...
Je ne sais pas.
Ça peut jouer.
Ça peut jouer.
Ça peut jouer.
C'est comme quand tu...
C'est un peu le même genre de tentation qu'acheter un compte Netflix
ou des choses comme ça.
La réalité, c'est que tu vas gagner 5€ par mois, 10€ par mois.
Donc oui, à mon avis, la cible, c'est
de l'étudiant qui fait son optimisation mensuelle.
Donc voilà, c'est décidé.
Et c'est souvent d'ailleurs comme ça qu'il commence.
C'est en découvrant les comptes Spotify,
les comptes Netflix qui sont disponibles.
Tu te rends compte qu'en fait, t'en as plein disponible et tout.
Et en fait, c'est par là que tu...
Enfin en tout cas, Hubert, c'était ça.
Oui.
Il s'est trouvé sur des forums de hacking
et il a vu tous ses comptes, il fait.
C'est quoi ce bordel ?
C'est ça.
Et c'est une des raisons qui explique
qu'on trouve ça intéressant d'en parler.
Parce qu'on peut se dire, ok, c'est un peu anodin.
Enfin voilà, ils font de la revente de comptes.
Ils gagnent des 20-30€ par-dessus par là.
Qu'est-ce qu'on s'en fiche ?
La réalité, c'est que c'est un bon premier pied dans la porte
et que là, ils parlaient d'avoir des forums,
donc sur le ClareWeb, donc sur l'Internet accessible.
Mais en fait, c'est des...
T'as comme des systèmes de communauté qui se touchent.
Et en fait, oui, t'as la communauté des...
Des combo-listes, des gens qui s'amusent à faire du petit trafic, de log.
Et en fait, elle est pas très loin d'une autre communauté
qui va être la communauté carding,
mais qui elle va pas être très loin.
Et en fait, facilement, tu peux te transvaser comme ça.
C'est pas très loin.
Et...
Il ne s'était pas fait.
Exactement.
Et prendre goût justement, à être plus en plus loin.
Et donc voilà, faites attention à ce que vous faites.
Non, et puis je trouve ça intéressant de voir comment ça se construit,
comment ça évolue, comment il trouve des failles,
comment il est...
Voilà, comment tout cette construction sociale,
autour de Barnaque et de Freud,
et en même temps, de certaines compétences techniques se construit.
Je vois que ça, ce qu'il nous dit, arrêter avec cette idée de mec
qui finit dans la texte, c'est juste des voleurs.
Et quand tu fais un bis sur Discord,
tu es loin de la cyber sécurité.
Attention, je ne veux pas dire que
ils vont tous effectivement finir dans la cyber sécurité.
J'ai dit l'inverse en termes de causalité,
c'est que, parmi les gens qui sont dans l'écosystème de la cyber sécurité,
tu vas trouver pas mal de gens qui ont déjà fait des bêtises.
Oui, en fait, c'est plus en France.
En fait, ce n'est pas vrai.
Non, non, clairement.
Et encore une fois, je ne l'ai peut-être pas dit assez,
mais c'est absolument illégal, ne faites pas ça.
Oui, non, mais...
En fait, moi, je retire que c'est beaucoup plus de problèmes.
T'as des gens qui vont te tirer dans les pattes gratuitement,
juste parce que tu es impliqué dans cette histoire,
tu ne vas pas gagner beaucoup d'argent.
Oui, en proche, moi, il y a...
Non, il y a très peu de points positifs à cette histoire.
C'est juste intéressant de l'étudier pour nous.
Intérement.
Mais non.
Trop cool.
Merci, Mathieu, pour...
De rien.
C'est vrai que tu nous...
Tu nous...
Tu l'as précisé un moment, mais ça fait longtemps.
Ça fait plusieurs mois que t'es en discussion, et que c'est...
Ouais, ouais.
Et donc...
Tu l'as vécu comment d'être dans ces discours,
d'être dans cet environnement ?
Euh...
C'est un peu particulier.
Parce que...
C'est un peu particulier.
Il y a un moment, tu as l'impression d'être pote avec eux, quand même.
Oui.
Parce que tu discutes...
Quand la discussion dure sur plusieurs semaines, voire moi...
Oui.
En fait, c'est quelqu'un que tu connais bien, tu vois.
Donc, ouais, c'est particulier.
De garder la bonne distance, ouais.
Et en termes d'ambiance ou de tout comme ça, c'est...
C'est étonnant.
Enfin, il parle...
Ça parle quand même assez vite.
Faut gagner un tout petit peu leur confiance.
Mais voilà.
Je vais pas...
Je vais pas balancer leur identité.
Mais...
Non, évidemment, ils savent que le but, c'est d'étupier le sujet.
Et il y a un peu ce qu'il fait que, sur ce genre de forum,
ça va faire des fautes à chaque mot.
Et voilà, globalement, c'est pas la...
Tu vas pas y trouver la finesse, hein, Cardé?
Bah, pas tant.
Non, t'as pas eu ce sentiment-là.
Non.
Bah, typiquement, le jeune de 14 ans, il est assez...
Enfin, il est vraiment assez mature.
Ouais, bah il est pas un chasse-voi dans la vidéo.
Et peut-être du coup un peu trop.
Oui, c'est clair.
Mais non.
Après, les deux autres, ça a toujours été que par texte.
Donc, je les ai jamais eu en appel.
Parfois aussi, j'ai perdu leur contact.
Il y a des trucs où parfois, je perds leur contact
et pour les retrouver, c'est compliqué.
Non, mais vraiment.
Les problèmes.
J'ai eu des problèmes.
J'ai une proposition de sujet pour une prochaine chronique
si tu as réussi.
Ça reste dans cet écosystème.
Ah, parce que là, du coup, je suis...
Si ça t'a plu, tu peux continuer.
Et c'est le refund.
Donc, simplement, quoi, t'as déjà commencé?
Quoi?
Possible.
C'est ça que t'as déjà commencé à regarder.
Des contacts.
Non, parce qu'en fait, une fois que t'es dans un milieu,
tous les piquits se collent.
Évidemment.
Premier degré, si tu arrives à voir des...
Pareil, des contacts.
Parce que ça, qui est sympa, c'est d'avoir des vraies personnes, tu vois.
Effectivement, au milieu de cet écosystème-là.
Et donc, le refund, je ne sais pas si tu connais, mais tu connais.
C'est le...
Ah, bah toi, qui travaille chez Amazon,
j'avais le content.
Oui, j'avoue ça.
Moi, j'ai oublié.
J'ai oublié que tu bosse chez Amazon
qui sont les premières cibles de cette technique
qui consiste à optimiser les remboursements
et les retours d'articles
et de détruire les systèmes pour se faire de l'argent, en gros.

Voilà, je sens...
Et UberUce également, il y a eu plein.
Et d'ailleurs, il y en a un où...
parfois, ils abandonnent un business
parce qu'ils en trouvent beaucoup plus créatifs.
Je m'arrêterai sur ce design.
Ok.
Les services de l'entreprise en France
font confiance à Indeed pour leur recrutement.
Et ce n'est pas tout.
Les offres sponsorisées
reçoivent jusqu'à 3,2 fois plus de clics
boostant ainsi vos chances de succès.
Commencez dès maintenant avec un crédit de 100 euros
pour sponsoriser votre annonce.
Rendez-vous sur go.indeed.com
slash podcastfr
et transformez votre processus de recrutement.
Offre limité.
Ne manquez pas cette opportunité.