Vous avez surement déjà joué à un jeu flash en ligne où le tableau des scores semblait être bidonné. Avec des scores souvent irréalisables. Une question vous traverse l’esprit, mais comment ont-ils fait pour tricher ? Car forcement triche il y a eu. Vous cherchez 30 secondes et puis vous laissez tomber, car vous avez mieux à faire …
Je m’étais posé la question également, sans vraiment chercher et aujourd’hui j’ai eu la révélation en jouant à Boost.
Avec l’extension Firefox HttpFox j’ai vu que lors de l’envoi du score, le jeu se contente de faire une requête POST sur une page php avec comme variables le pseudo et le score.
Pour modifier son score, il suffirait de modifier la variable score avant l’envoi. Problème, HttpFox ne permet pas de faire cela (ou je n’ai pas trouvé) mais Tamper Data, une autre extension Firefox en est capable.
Identification de la page
Pour l’exemple, je vais utiliser le jeu Boost. Rendez-vous sur la page du jeu et suivez ces quelques étapes :
- Lancez une partie et attendez de perdre. Le jeu va vous proposer de soumettre votre score.
- Rentrez votre pseudo MAIS ne cliquez pas sur « Submit’. Il faut lancer avant Tamper Data (Menu Outils -> Altérer données).Une fenêtre va s’afficher avec toutes les requêtes que votre navigateur est en train d’effectuer.
- Retournez dans le jeu et appuyez sur « submit ».
- Toutes les pages, que le jeu appelle, vont s’afficher dans la fenêtre de Tamper Data. Il faut ici repérer celle qui va servir pour envoyer votre score. En général, le jeu va faire une requête POST. Donc, cherchez en priorité ce type.
Dans ma liste je n’ai qu’une page en POST, c’est celle-ci : http://hiscore.arcadebomb.com/boost_submit.php
- Je la sélectionne pour voir le détail de la requête. Je regarde le contenu de la variable POSTDATA et je peux voir qu’elle contient mon score (s=334) et mon pseudo (n=toto).
La page boost_submit.php est donc la bonne ! Maintenant, on va passer à la deuxième phase.
Changement du score
- Effectuez les étapes 1 et 2 de la partie « Identification de la page ».
- Dans la fenêtre Tamper Data, cliquez sur le menu « Démarrer altération »
- Retournez dans le jeu et appuyez sur « submit ».
- Une boîte de dialogue va s’ouvrir vous demandant si vous voulez altérer la requête. Il faut cliquer sur « Altérer » seulement pour la page que vous avez identifiée précédemment ici c’est http://hiscore.arcadebomb.com/boost_submit.php. S’il s’agit d’une autre page, cliquez sur « Envoyer »
- Une nouvelle fenêtre s’ouvre avec les détails de la requête, mais cette fois-ci, on peut changer les valeurs. Repérez la variable POSTDATA. Vous devriez avoir la valeur de votre score. Changez là par ce que vous voulez ! 🙂
- Cliquez sur OK. Si on vous demande de changer la Content-Lenght, acceptez.
- S’il reste des requêtes à traiter, Tamper Data va vous demander pour chaque requête si vous voulez l’altérer. Décochez la case « Continuer l’altération » et cliquez sur « Envoyez »
Et voilà ! Vous venez de modifier le score d’un jeu en ligne !
Alors bien sûr cette méthode ne marche pas pour tous les jeux. Pour éviter la triche, l’envoi de formulaire est généralement crypté. Mais pas tout le temps 🙂
A n’utiliser of course, qu’à des fins pédagogiques !