| 20-07-2010 15:15:40 | #1 | |
| Fantome | Pour reprendre au propre une discussion qui a évolué sur un autre post : comment gèreriez vous une usurpation d'identité dans la matrice ? Je vois trois cas : Premier cas, je veux me connecter sur un node avec le compte d'un utilisateur spécifique (par exemple, je veux me connecter avec le login de M. Untel sur le node et avoir donc accès à son espace personnel sur le node). Je gèrerais ça comme un hacking classique, le compte hacké étant le compte de l'utilisateur en question. Faut-il augmenter le nombre de succès nécessaire pour bénéficier du compte précisemment souhaiter (Ex : je ne veux pas un compte utilisateur lambda, je veux me logger avec le compte utilisateur de M. Untel). Deuxième cas, je veux aller sur la partie publique d'un node, mais je veux que ce node me prenne pour un autre utilisateur qu'il connaît. (Par exemple, je vais sur un site marchand, mais je veux que le node me reconnaisse pour M. Untel, fidèle client, et donc m'affiche la liste de mes dernières commandes, me propose de modifier mon adresse de livraison...) Troisième cas, je veux me faire passer pour le personnae de M. Untel sur un node de rencontre, et que les autres personnae croient avoir à faire à M. Untel. | |
| 20-07-2010 22:19:40 | #2 | |
| Slevin | Je dirais, te prends pas la tete, hack le serveur, pirate les bases de données avec ses informations de compte et après, je dirais que c'est un teste de falsification pour que ton passer pour la personne (le changement de persona quoi) et après c'est bon. C'est un peu comme volé une carte d'identité ou le SIN ou la carte d'accès de quelqu'un, une fois que tu l'as, tu l'exploites ... normalement ... Enfin bref (avec la matrice j'ai compris qu'en fait, faut pas se prendre trop la tête, tout se gère finalement assez facilement, un peu de bon sens logique et c'est bon...) | |
| 21-07-2010 08:03:28 | #3 | |
| Fantome | Slevin : Le but est bien de faire une opération plus "light" que de hacker le serveur. Chaque MJ a sa façon de gérer la matrice, mais à ma table, hacker un serveur, c'est souvent risqué. | |
| 21-07-2010 08:21:21 | #4 | |
| Slevin | Ouais mais il faut bien tu récupères tes données quelques part non? Les données qui te permettront de te faire passer par quelqu'un d'autre ... Si le hacking d'un serveur est trop compliqué ... utilisez une autre méthode d'infiltration ... | |
| 21-07-2010 09:29:54 | #5 | |
| okhin | Social Engineering. Con + Psychologie, un peu de DataSearch pour récupéréere les données du mec et établir un profile psy, et hop, tu devient son meilleur pote en 48h. De là, tu récupères ses logins et mot de passe, ce qui te permettra de te connecter en tant que lui. Le deuxième cas est complexe, vu que les sites publiques t'identifie grâce à ta persona (et donc ton SIN).. Il te faut donc une SIN particulière pour ça. Super relou à faire. Troisième cas, le plus simple c'est de voler le compte de M. Untel si il en a un,ou alors de créer ce compte avec les données récupérées au cas un. Le clonage de persona n'est pas faisable en fait, il faut voler le comlink de l'utilisateur. Globalement, les protocoles matriciels ont été conçus pour limiter l'usurpation d'identité grâce au personna. C'est devenu super dur de se faire passer pour quelqu'un d'autre. Okhin | |
| 21-07-2010 11:00:46 | #6 | |
| Valérian | Selon moi, ton deuxième cas correspond à ton troisième, mais l'exemple que tu en donnes correspond en fait au premier cas : Sur un site commercial, tu peux surfer pour voir ce qu'il y a d'intéressant, mais toute transaction commerciale nécessite d'avoir un compte utilisateur propre (ce qui est le cas avec les sites commerciaux en ligne existant à l'heure actuelle). D'un point de vu matricielle, une persona est une interface pour l'utilisateur et un acessID et une icône pour les autres acteurs de la matrice. En théorie, une falsification d'accessID et un copier-coller de l'icône d'une persona devrait te permettre de te faire passer pour lui sur un site ne nécessitant pas d'identification par compte utilisateur. Il y a juste un truc pas très clair dans les règles c'est que si on fait cela, on peut avoir 2 utilisateurs en même temps dans la matrice avec le même accessID et comme c'est la clé de transmission/réception de données, ca fout le bince dans le routage de données... | |
| 21-07-2010 11:11:48 | #7 | |
| okhin | Il n'est pas possible d'avoir deux fois le même AccessID sur le même node. À aucun moment. Et la persona est beaucoup plus que simplement la traduction login/AccessID. Ce n'ets pas pour rien si on ne peut faire tourner qu'un seul porgramme persona sur un node, c'est plus un OS/navigateur extrêmement avancé. Tu peux toujours aller sur amazon si tu veux, sans login le site retiens déjà les pages du site que tu as visité auparavant (et, si tu ne vires pas tes cookies, ça peut être il y a plus de dix jours) et te propose des raticles en fonction. D'autre part, se connecter sur la boutique ne nécessite aps de compte utilisateur sur le node (personnellement, je n'ai pas d'accès au node amazon, bien que j'ai un compte chez eux (ou pas)). Ces informations de connexion sont stockées dans ta persona, accessible par, par exemple, des sites partenaires (qui te proposeront donc des ristournes sur le téléchargement du simsens inspiré par la fiction narrative que tu vient d'acheter), des corporations qui s'assurent que tout va bien, ou des rencarts possibles (tiens, ce mec doit être quelqu'un de bien, il lit et a apprécié Twilight, je peux le voir sur sa liste de lecture avec une note de 4/5). Bref, ça c'est la partie publique/visiteur. La zone loguée, va plsu correspodnre aux employés, qui doivent maintenir le catalogue ou le code, ajouter des promotions, contacter les parteniares pour leur fournir des API de gestion de fidélité, et l'envoi des mailings aux clients fidèle. Après, on a la zone sécurité qui va servir essentiellement à mainenir le système, mettre lmes CI et défendre le node, puis la zone root qui permet de jouer à Dieu dans la matrice. Okhin | |
| 21-07-2010 11:38:19 | #8 | |
| Valérian | Je suis d'accord pour le même accessID 2 fois dans le même node, mais le soucis c'est 2 types ayant le même accessID de manière générale, ce qui peut être un cas relativement fréquent si tu repères l'ID d'un rigger et que tu falsifies la tienne pour qu'elle corresponde à la sienne. Un drone dans le coin qui émet des données vers cette accessID va recevoir 2 réponses de routage différentes. Pour ce qui est du site commercial, ils peuvent se contenter de t'identifier avec ton accessID propre à ta persona, mais les infos de pages consultées et truc dans le genre, c'est eux qui le garde sur leur noeud vu qu'ils ne peuvent pas écrire ces infos dans ton persona à toi, sauf si tu configures ta persona pour justement transmettre tes "goûts" à leur site commercial en vu de recevoir des pubs ciblées (mais là c'est toi qui l'a choisi). | |
| 21-07-2010 11:53:05 | #9 | |
| okhin | Dans le cadre de l'internet actuel, je dirait ok, pas de problème. Le soucie est que à SR4 la matrice a été mise en place par et pour les corpos, restreignant les droits des utilisateurs et autre. Ton profil en ligne et stocké et archivé dans le nuage, ton programme personna ne fait que regrouper ces informations. Tu n'as pas le contrôle sur ce que stocke ta personna, elle le stocke et l'enregistre aux diuverses bases de données en associant ta SIN, ta géolocalisation, tes cookies et autres en une énorme base de donnée. Tu ne stocke rien sur ton comlink, ce n'est pas un système de stockage, c'est une interface limitée te permettant d'accéder à du contenu en ligne. Si tu est en mode Public, tu va te connecter automatiquement à tous els sites publcis du coin, qui t'identifierons et te proposeront pubs personnalisé, promotions, psychotrope légère pour augmenter ta productivité et diverses quantité de spam autres. SI tu es en mode passif, tu est en option opt-in, donc le site va te demander si tu l'autorises à accéder à ta persona. SI tu l'autorises, il va mettre ton profil à jour, accéder à toutes les données stockées par at persona, checker les updates de ton PAN (Vous avez acheté les nouvelles Urban Street Refuelled par Zoé, pointure 36 couleur purple/radiocative green, désirez-vous le survêtement assorti talle 38? Nous pouvons le livrer à votree domicile du 1265 37° Avenue, mais cette livraison sra surfacturée en raison du statu de sécurité C donné par la Lone Star à votre résidence), et tu ne pourra rien y faire vu que rien n'est stocké sur ton link (ce qui fait que les technomanciens ont aussi ce problème, vu qu'on ne stocke rien dans leur cerveau). Tu peux juste décider si oui ou non tu acceptes que tel site t'envoie son SPAM. Tu ne peux pas décider de ne pas mettre à jour ton profile, les corporations se sont assurées que ce ne soit pas possible. Pour l'AccessID, tu ne peux pas recevoir de donnée du drône si son rigger le manipule déjà à distance, à moins de se mettre en milieu de chaîne type man in the middle (en gros, interception de signal snas fil et imitation d'ordre). Okhin | |
| 21-07-2010 15:41:59 | #10 | |
| Fantome | Okhin, je n'ai pas exactement la même vision que toi, quand tu dis que "Tu n'as pas le contrôle sur ce que stocke ta personna, elle le stocke et l'enregistre aux diuverses bases de données en associant ta SIN, ta géolocalisation, tes cookies et autres en une énorme base de donnée." Je ne suis pas d'accord sur deux points : a) Certaines méga-corporations aimeraient sans doute mettre sur le marché des OS sur lequel l'utilisateur n'a aucun contrôle et diffusant un maximum de donnée commerciale. Néanmoins, cette envie est à mon sens limité par deux éléments : 1) La concurrence étant ce qu'elle est, il suffit qu'une petite corporation se dise : "je vais faire un OS qui respecte la vie privée des utilisateurs". Comme ça interressera pas mal de monde, elle aura beaucoup de clients. Et du coup, les méga-corporation vont se dire : "Je ne peux pas laisser ce marché m'échapper", les méga-corporation sortiront à leur tour un OS qui respecte la vie privée des clients. 2)Certes, la méga-corporation pourrait se dire plutôt : "je vais couler cette petite corpo qui me ruine mon buiseness"... Mais Shadowrun est aussi un monde où les ombres sont une part très active. Forcemment, si ce n'est pas une corporation légale, ce sera des hackers qui mettront au point leur OS garantissant la vie privée. En conclusion : D'une manière générale, le besoin existe. Et Shadowrun n'est pas une dictature militaire, donc le besoin a été remplie. Il existe des OS respectant la vie privée, permettant de filtrer les informations transmises entre le personna et le node. Donc, dans la matrice, un utilisateura tout à fait la possibilité de refuser de donner accès à certaines de ces informations quand il va sur un node. Après, le node pourra tout ausis bien le jeter s'il ne le fait pas. Je pense que dans un magasin de vente en ligne, un 'client' qui refuse de donner accès à ses coordonnées bancaires n'ira pas bien loin. Mais il a la possibilité de le faire. b) Les méga-corporations se livrent une concurrence acharnée. Cela les amènent obligatoirement à ne pas partager leurs données commerciales, et donc à ne pas partager les données de leurs clients avec leurs concurrents. Concrètement, si un client va sur un site de vente en ligne, tout ce qu'il fera sera enregistré par le node en question. Mais les informations ne seront pas pour autant partagé sur la matrice entière. Prenons l'exemple de tes chaussures Zoe. La marque Zoe a également une ligne de vêtement. Si tu achètes des chaussures Zoe, tu auras sans doute de la pub pour les vêtements assortis de la marque Zoe. mais certainement pas de la pub pour les vêtements assortis d'une marque concurrente. Zoe ne va pas donner ses informations commerciales a des concurrents pour leur offrir une chance de lui piquer un client ! En conclusion, les données sont archivées sur une base de donnée qui n'est pas partagée par le monde entier, mais seulement par un nombre limité de nodes "amis". Il n'y a pas une "méga base de donnée" dans le "nuage" qui rassemble toutes les informations sur la personna, mais des centaines , des milliers, de bases de données qui gardent jalousement leur bout d'information confidentielle sur la personna en question. | |
| 21-07-2010 17:36:10 | #11 | |
| okhin | Ok, on est parti. A1) Il suffit de racheter la boîte, de l'attaquer sous une tempête de brevet, de sortir une nouvelle fonctionnalité innovante pour couler la boîte et la laisser à des parts de marchés risibles. Microsoft ou Apple ne se sont aps mis à ouvrir leur OS parceque Google ou Linux commençait à percer, bien au contraire. APple a vendu le Copier/COller comme une innovation sur son iPhone 3GS (sorti en 2005 ou 2007 je crois). Les utilisateurs de bases (soit 99% de la population conenctée à la Matrice) utilsie ce qu'on lui dit d'utiliser. A2) Ouaip, il y a des OS libres ou piraté (plutôt piratés d'ailleurs), mais ils ne touchent qu'une part trés réduite d'utilisateur, principalement des hackers ou autres qui connaissent l'impact de la mtarice et qui veulenet essayer de le maœtriser un minimum. La difficulté est d'avoir quelque chose de compatible avec la structure matricielle en place qui est trés certainement régie par la CC et donc, de fait, blindées de systèmes obscurs et propriétaires, rendant toute interconnexion extrêmement délicate. Alors oui, les produits existent, masi ils sont bugués, aps au point et, surtout, ils ne te permettent pas de consulter en ligne l'état de ta vache virtuelle élevée sur Farm 4.0, et ça, pour 99% des utilisateurs c'ets la mort. je ne parle pas de tout ceux qui doivent interagir avec des nodes corporatistes pour des choses aussi simple que travailler ou faire ses courses. B) Certes, elles se livrent une concurrence acharnée, mais comme la guerre a un coût et que c'ets mauvais pour les affaires, elles sont obligées de s'entendre sur certains points, notamment les protocoles d'échanegs matriciels et autre. Alors certes, Zoé n'as pas intérêt à ce que les mecs qui achètent leur pompes aillent acheter leur costard chez Channel. Par contre, Zoé aimeraist-bien que les acheteurs de la Aztech Air Max achètent son survèt'. Et donc, Zoé n'as pas le choix, si elle veut accéder à cette base, elle doit payer. Soit en nuyens, soit en données (ce qui reveint au même). Sans oublier que, le SIN, et donc le Persona, est un moyen de paiement universel. il va donc enregistrer toutes tes transactions. Même si ce ne sera pas forcément enregsitré dasn uen base commune, elles sont stcokés hors de ton link, facilement accessible pour qu'on te fasses des pubs personnalisées dans le métro. Donc, toyutes les données ne sont pas accessibles par tous, mais une partie non négligeable l'est. En plus, ça permet à tes amis de savoir tes goûts musicaux et donc d'acheter le même. Sans oublier que les corporatiosn n'ont pas vraiement de scrupules. Spyware et autres Psyware (psychotrope invasifs) sont monnaie courantes dans les campagnes publicaitaires de masse. Donc, même si la base n'est pas partégée, le fait d'être en ligne connecte l'utilisateur à plusieurs de ces bases, connexions qui peuvent être espionnées par un spyware installé suite à un spam. J'ajouterai que la plupart des gens veulent ces fonctionnalités (regarde FaceBook) et que ça leur va bien. Le 1% de la population mondiale (et encore) connectée qui veut passez outre, utilsie effectivement du métariel débridé, dépucés, hacké et discret. maisils n'ont aps accès aux fonctionnalités sociales de la Matrice. Si tu veux te faire passer pour un pékin quelconque (pas un en particulier), tu te rpends une fakeSIn, un linka ssocié et tu le mets en Actif. Si tu veux te faire passer pour un utilisateur particulier, il te faut chopper des donénes le concernant, donc hacker con scompte en particulier (soit par Social Engineering, soit en chopant un compte sécurité ou admin sur un link qui héberge les déonnées utilisateurs que tu veux faker). mais c'ets extrêmement couteux et compelxe, il vaut mieux acheter des données partielles (typiquement, de snuméros de comptes et de moyens de paiements) en masse sur des serveurs de warez. Il y a des milliards de bases de données contenant des informations sociale et des habitudes de consommation. Ça s'appelle le programme Persona. Effectivement tout n'est pas centralisé sur un seul node, mais éclaté en plusieurs que l'utilsiateur partage avec tout ceux qui sont à portée de lui. Et il est difficile d'échapper à ce système si tu veux pouvoir l'exploiter un minimum. Enfin, l'absence d'information est une information. Un mec qui n'as pas de profil public est suspect par nature (si il se cache c'est qu'il a quelque chose à cacher). Okhin | |
| 21-07-2010 20:57:30 | #12 | |
| Valérian | Avec cette discussion on n'est plus dans le domaine des règles mais dans celui du background qui est plus vaste et encore plus sujet à interprétation. Ce que tu dis Okhin est intéressant, mais fortement influencé par la manière dont fonctionne l'informatique à l'heure actuelle (voir vers quoi elle tend d'ici peu de temps), ce qui se sent dans ta vision du tout dématérialisé dans le "cloud". Or les règles datent de 2-3 ans soit une éternité au niveau informatique d'où un coté "old school" avec une structure de noeuds physiques abritant des données stockées à un endroit précis. Ca a un coté has been mais les règles matricielles sont construites dessus donc forcément ca colle pas tout à fait à ta vision. Mais finalement, Comme tu le dis souvent, l'informatique de 2070 ne ressemblera surement pas à l'informatique d'il y a 2 ans, mais rien n'indique qu'elle doit pour autant ressembler à celle de dans 2 ans (par exemple, tu extrapoles sur le rôle dirigiste des corpos mais les 2 crashs matriciels ne pourraient pas avoir changer la donne... du coup difficile de tirer des plans sur la comète  ). Personnellement, pour ne pas me perdre en conjoncture, je me raccroche à ce qui a le plus de chance d'être commun aux joueurs, à savoir les règles. | |
| 21-07-2010 21:40:29 | #13 | |
| okhin | Ben, en fait, la reconstruction après le second crash est l'œuvre des corpos seules, c'est diut pusieurs fois et à plusieurs endroits. Et je ne penses pas qu'elles fassent du service public. Et le PITo de LA (dans Capitale des Ombres, et c'est le Persona 2.0) correspond justement à ce que je poste en fait. Quand au règle, même si elles datent de 2-3 ans, il n'est quasiment jamais fait mention de 1 nœud = 1 machine. Ce sont des entités logique et ça a toujours été comme ça (même en SR3 déjà, même si les structures étaient plsu complexes). Et justement, le persona n'est, pour ainsi dire, jamais détaillé dans les règles. On sait juste que c'est ce qui représente l'utilisateur partout dans la matrice, et que la RA (donc, ce à quoi est connecté le Personna en permanence) est omniprésente, voire saturée de spam et que ton frigo te mijotes tes petits plats quand tu rentres chez toi. J'essaye de la garder le plus simple possible de mon côté (avec souvent des nœuds qui ressemblent à des blobs, masi qui permettent de gérer quasiment toute la structur du'ne succursale ou d'un projet). J'ai une vision de la matrice très dématérialisée, notamment à cause du matériel sur-redondant, des multiples interconnexion, et du besoin de lisser les données sur l'ensemble de la matrice pour des performances optimales. A noter aussi que l'infrastructure change (on parles là de routage par des sattelite), la matrice est un bain moussant, chauqe bulle (node) renfermant ses informations mais étant au contact de centaines d'autre pour former une mousse compacte, dense et qu possède une forme. Okhin | |