L'API de Jeuxvideo.com, utilisée à l'origine par les applications mobiles de Jeuxvideo.com, permet de développer plus facilement des applications, sites web, et autres scripts en rapport avec Jeuxvideo.com.

L'API est hébergée sur le sous-domaine "api", et est actuellement à sa quatrième version (v4). Les anciennes versions sont toujours exploitables avec les tokens qui leurs sont propres, mais certains endpoints retournent des erreurs HTTP 403, visiblement retournées directement par le serveur HTTP de JV (HAProxy).

API v4

Utilisation

L'API v4 utilise une sécurité, l'en-tête HTTP Jvc-Authorization , sa valeur dépend d'une clé fixe partner_key, d'une signature et de la date .

Le header de vos requêtes devra toujours être de la forme:

"Jvc-Authorization " : "header"
"User-Agent" : "JeuxVideo-Android/267"
"Content-Type" : "application/json"

Où header est égal à une chaîne de caractères de cette forme: "PartnerKey=partner_key, Signature=signature, Timestamp=date".

Voici un script python qui construit "header"

import hmac
import hashlib
import datetime

apiVersion = 4
partnerKey = '550c04bf5cb2b'
hmacSecret = 'd84e9e5f191ea4ffc39c22d11c77dd6c'

def createJvcAuthorizationHeader(method, path):
    # Étape 1 : Calcul de la date et de l'heure actuelles au format ISO
    date = datetime.datetime.utcnow().isoformat()
    
    # Étape 2 : Construction de la chaîne signatureStr
    signatureStr = f"{partnerKey}\n{date}\n{method}\napi.jeuxvideo.com\n/v{apiVersion}/{path}\n"
    
    # Étape 3 et 4 : Calcul de la signature HMAC SHA-256
    secret = bytes.fromhex(hmacSecret)
    signature = hmac.new(secret, signatureStr.encode('utf-8'), hashlib.sha256).hexdigest()
    
    # Étape 5 et 6 : Retour d'une chaîne formatée comme en-tête d'autorisation
    return f"PartnerKey={partnerKey}, Signature={signature}, Timestamp={date}"

method = 'GET'
apiPath = 'api/endpoint'
authorizationHeader = createJvcAuthorizationHeader(method, apiPath)
print(authorizationHeader)

Connexion

Comme pour l'ancienne API, le cookie coniunctio est toujours le cookie de session utilisateur. Il doit être récupéré avec l'appel au point d'entrée login (voir tableau POST) puis il doit être envoyé dans une en-tête HTTP "Cookie": "coniunctio" pour chaque appel.

API endpoints

URL de base de l'API: https://api.jeuxvideo.com/v4/

• URL: URL de l'endpoint
• PARAMS: Variable entre accolades à remplacer dans l'URL, suivi de son type str ou int.
  • contents/{contentID}/comments doit être appelé comme suivant contents/someID1234/comments
• QUERY: Par exemple pour les deux query page int, perPage int, l'URL devra être: api.jeuxvideo.com/v4/contents/1234ID/comments?page=1&perPage=30
• BODY: Corps de la requête au format JSON

Le fichier JSON avec les ids pour les params et les query strings chronicles modes genres events machine categories (obtenu via la requête GET config) https://pastebin.com/L1DXfP0C

"content": "commentaire"

"type": 1 ou -1

"games": [{
    "id": 1,
    "machine": 100
]}

"content": "Super jeu !",
"mark": 4,

"onProfile": true

"email": "email",
"alias": "pseudo",
"password": "motdepasse",
"optin": false

"alias": "pseudo",
"password": "nouveau",

"session": "",

"captcha": {
    "imageKey": "",
    "imageName": "",
    "imageValues": [
        "val1",
        "val2" ]}

"reason": 1,
"message": "Raison",
"captcha": {
    "session": "clé"
    "clé_captcha": "Valeur"
    "valeur_captcha": "Valeur"
}

"reason": 1, 
"message": "Raison",
"captcha": {
    "session": "clé"
    "clé_captcha": ""
    "valeur_captcha": ""
}

"id": 123,
"hash": "hash",
"alias": "pseudo",
"password": "mdp"

"signature": "signature",
"signed_data": "signed_data"

Rétro-ingénierie de l'API et de l'application JVC

Pour connaître les endpoints de l'API, il faut décompiler l'appli JVC.

1. Décompresser l'APK de l'application avec 7zip/Winrar/etc.
2. Utiliser un décompilateur Dex vers Java, comme Jadx .

JvApiService

Une fois le code Java disponible, on peut ouvrir l'interface com.jeuxvideo.api.web.JvApiService, qui contient tous les endpoints. L'appli utilise le bibliothèque Retrofit 2.x pour gérer l'API, on peut facilement parcourir la documentation de cette bibliothèque pour découvrir ce qu'il faut faire comme requête aux différentes URL de l'API.

Exemple de code dans l'interface JvApiService

    @POST("contents/{contentID}/comments")
    Call<UserComment> addComment(@Path("contentID") String str, @Body UserComment.Body body);

    @POST("contents/{contentID}/comments/{commentID}/vote")
    Call<UserComment> addCommentVote(@Path("contentID") String str, @Path("commentID") String str2, @Body UserComment.Vote vote);

ApiLogin

La classe com.jeuxvideo.utils.ApiLogin (nom de la classe donné arbitrairement car perdu lors de la compilation), permet de déduire qu'il faut mettre dans le header de la requête à l'API Jvc-Authorization : header ainsi que l'algorithme permettant de trouver ce qu'il faut mettre à la place de header. (Voir code ci-dessous)

    public static String f(String str, String str2, String str3, String str4, String str5) {
        StringBuilder sb2 = new StringBuilder();
        sb2.append("550c04bf5cb2b\n");
        sb2.append(str);
        sb2.append("\n");
        sb2.append(str2);
        sb2.append("\n");
        sb2.append(str3);
        sb2.append("\n");
        sb2.append(str4);
        sb2.append("\n");
        if (str5 == null) {
            str5 = "";
        }
        sb2.append(str5);
        String b10 = j5.f.b("d84e9e5f191ea4ffc39c22d11c77dd6c", sb2.toString());
        return "PartnerKey=550c04bf5cb2b, Signature=" + b10 + ", Timestamp=" + str;
    }

Ressources

• APK décompilable avec jadx : https://mega.nz/file/wZlUQBQZ#cezg4WRhOBJY4KUXKBRzWSFiPZW9IDx1DROapR_lK2Y
• Classe PHP exploitant l'API : https://pastebin.com/LWNDQDKy (Cette classe est incomplète et sera possiblement rendue obsolète dans le temps).

Ancienne API

Le contenu qui va suivre concerne l'ancienne API qui n'existe plus.

Identification

L'API utilise le nom de domaine ws.jeuxvideo.com. Pour y accéder, il faut utiliser un des identifiants ci-dessous (authentification HTTP basique).

Tous ces identifiants fonctionnement actuellement, et je n'ai pas repéré de page semblant afficher un comportement différent selon.

L'API est accessible en HTTP et en HTTPS, préférez la version HTTPS !

Utilisation

Connexion

Pour vous connecter, utilisez la page mon_compte/connexion.php.

Voici les paramètres à envoyer (GET ou POST) :

Vous renconterez potentiellement une erreur vous demandant de remplir un captcha, avec un lien vers l'image, et une balise params_form, qu'il faudra ajouter aux paramètres de la première requête, ainsi que le paramètre code avec la valeur du captcha.

Important : n'ouvrez pas le lien du captcha dans votre navigateur si vous êtes connecté à votre compte JVC ; un captcha différent est renvoyé selon la présence du cookie wenvjgol (qui ne doit PAS être présent pour afficher un captcha de l'API, sinon vous aurez systématiquement une erreur de captcha invalide).

En réponse, vous recevez plusieurs informations présentes dans la CDV, mais surtout le cookie wenvjgol, que vous devrez utiliser pour poster sur les forums et utiliser les messages privés.

Pour information, wenvjgol signifie logjvnew à l'envers, et c'est le cookie de session de JVC dont le nom a subi plusieurs transformations au fil des années.

Pour le renvoi de mot de passe, utilisez cette URL (en remplaçant Cisla par le pseudo ou bien l'adresse e-mail) :

https://ws.jeuxvideo.com/cgi-bin/passperdu_ws.cgi?email_pseudo=Cisla

Jeux, astuces, news...

Forums

Pour les forums, les URL sont les mêmes que pour JVC, à part que :

• Le .htm est transformé en .xml
• Le www.jeuxvideo.com est remplacé par un ws.jeuxvideo.com
• La chaîne de caractères à la fin de l'URL (comme blabla-15-18-ans ou nom-du-topic) est remplacée par un 0 (sauf pour la recherche).

Par exemple :
http://www.jeuxvideo.com/forums/0-50-0-1-0-1-0-blabla-15-18-ans.htm
Devient :
https://ws.jeuxvideo.com/forums/0-50-0-1-0-1-0-0.xml

Exemples d'URL :

Pour envoyer un message ou créer un topic : aux données de formulaires qui vous sont communiquées dans la balise params_form, vous devez ajouter le paramètre yournewmessage qui contient le message et newsujet qui contient le titre du topic (si vous créez un nouveau topic). Vous devez ensuite attendre une seconde avant d'envoyer les données POST à la page forums.cgi. En cas de captcha à gérer, vous devez répéter l'opération à partir des informations qu'on vous envoie en réponse, avec la solution du captcha en paramètre code.

Vous devez être connecté (envoyer le cookie coniunctio) pour récupérer et envoyer un formulaire.

Le même formulaire peut aussi bien être envoyé au forums.cgi de ws.jeuxvideo.com qu'à celui de www.jeuxvideo.com, ce qui vous permet de choisir entre apparaître « via mobile » ou non. Les données POST à envoyer sont donc les mêmes sur toutes les versions de JVC.

Messages privés

L'id de l'utilisateur mentionnée ci-dessous correspond à la partie du cookie coniunctio qui se trouve avant le premier "$".

Une fois connecté, vous devez envoyer le cookie coniunctio à chaque requête.

Reverse-engineering

Décompilation

Cette section concerne la décompilation de l'application Android de JVC sous Linux.

Pour décompiler l'application JVC, commencez par récupérer le fichier APK ici (version 2.5). Ensuite, décompressez-le avec 7-Zip :

$ 7z x com.jeuxvideo-2.5.apk

Puis, transformez le .dex en .jar à l'aide de l'utilitaire dex2jar :

$ dex2jar classes.dex

Ensuite, vous pouvez ouvrir le .jar dans jd-gui, qui s'occupera de décompiler les fichiers :

$ jd-gui classes-dex2jar.jar

Déobfuscation

En parcourant le code source, vous verrez des choses de ce genre à la place des chaînes de caractères :

this.g.getString(2131230723)

Cela correspond à des chaînes de caractères stockées dans un fichier séparé, resources.arsc. Pour en extraire le contenu, nous allons utiliser l'utilitaire apktool :

$ apktool d com.jeuxvideo-2.5.apk strings

Ensuite, vous pourrez trouver dans le fichier strings/res/values/strings.xml la liste des chaînes de caractères associées à leurs variables, et dans strings/res/values/public.xml, la liste des variables associées aux nombres (en hexadécimal) comme 2131230723 que vous voyez dans le code décompilé. Ce n'est pas très pratique mais je n'ai pas trouvé d'outil qui modifie directement le code décompilé pour y intégrer les valeurs du resources.arsc (mais je n'ai pas beaucoup cherché non plus).

Ce n'est pas tout. À partir de la version 2.0.3 de l'application JVC, et pour toutes les version de l'application JVC MP, vous pourrez également voir dans le fichier strings.xml des variables telles que :

<string name="md5_a">290B2FB20CFD682C120BBBFFFE5928D9</string>

Ces chaînes de caractères (des URL et quelques salts) sont obfusquées. Après avoir lu un peu de code, j'ai trouvé comment les restituer. Voici un bout de Python qui montre comment faire :

from Crypto.Cipher import AES
from passlib.utils.pbkdf2 import pbkdf2

cle = 'package android.content'
cle = AES.new(pbkdf2(cle, cle, 10, 128/8, 'hmac-sha1'))

string = '290B2FB20CFD682C120BBBFFFE5928D9'
string = cle.decrypt(string.decode('hex'))
print repr(string[:-ord(string[-1])])

Modifiez la clé selon l'application que vous décompilez:

• Pour l'application Jeuxvideo.com (version >= 2.0.3), c'est package com.jeuxvideo.activity
• Pour l'application Jeuxvideo.com (version >= 2.5), c'est package android.content
• Pour l'application Jeuxvideo.com MP (version >= 1.0), c'est package com.jeuxvideomp.activity

L'application pour tablettes n'est pas concernée par ce mécanisme d'obfuscation.

Liens externes

• API sur Wikipédia
• Lien du topic sur JVC pour poser vos questions
• L'application Android
• L'application Android des MP
• L'application iPhone
• L'application iPhone des MP

• L'APK de l'application Android :
  • Version 1.5.4
  • Version 2.0.1
  • Version 2.0.4
  • Version 2.0.5
  • Version 2.1.1
  • Version 2.2
  • Version 2.3
  • Version 2.5

• L'APK de l'application Android des MP :
  • Version 1.0

• L'APK de l'application Android tablette :
  • Version 1.0.4

Références

Fonctionnement technique de Jeuxvideo.com

A.jeuxvideo.com • Badges de JVC • Bugs actuels • Citation • Coniunctio • Documentation de l'API Jeuxvideo.com • Erreur 404 • Erreur 410 • Erreur 429 • Erreur 500 • Fonctionnement technique de Jeuxvideo.com • GLaDOS • Karma • Lier des comptes • Liste des mots censurés • Niveaux • PEMTHack • Suppression • Tehlogin • Webedia • Wenvjgol

★ Meilleurs articles — Fonctionnement technique de Jeuxvideo.com • Niveaux

× Articles manquants ou incomplets — GLaDOS • Karma • Liaison des comptes JVC

 Page au hasard dans cette catégorie | Liste de tous les articles manquants | Liste de tous les articles incomplets | Toutes les catégories | Accès Modèle