Des pirates de Netophonix

Commençons par relater la petite mésaventure qu’il est arrivé dernièrement à Seb Luca. Alors qu’un ordinateur qu’il aidait à dépanner était contrôlé à distance par un informaticien de sa connaissance à l’aide du logiciel Time Viewer et que son navigateur web était ouvert sur Netophonix et Gmail, il constate qu’une opération étrange se déroule sous yeux. Une personne tierce semblait en train de copier des identifiants liés à Time Viewer. L’informaticien qu’il avait simultanément au téléphone lui affirme qu’il n’est pas à l’origine de cette manoeuvre et lui conseille de quitter immédiatement Time Viewer par le biais du gestionnaire de tâches de Windows. Reconstitution de la discussion téléphonique, de mémoire par Seb Luca.

SEB : Ben … Kess tu fais ? C’est quoi ce fichier que tu copies, là ?
INF : Hein ? Mais je suis pas sur le PC de […], là !
SEB : Ben … Regarde, y’a la souris qui bouge, elle a fait coulisser un fichier sur le bureau …
INF : Merde … Faits CTRL+ALT+DEL et ferme vite TimeViewer avec le gestionnaire des tâches !
SEB : Ben … Ok … Voilà, mais qué passa ?
INF : A quoi t’es connecté à quoi, là ? Gmail et Netophonix ?
SEB : Bah oui.
INF : T’es sur le chat de Gmail ?
SEB : Non
INF : Et Netophonix, c’est quoi ?
SEB : Un forum.
INF : Ha … T’as quelqu’un qui t’en veut, là-dessus ?
SEB : Ben … Ca se pourrait, pourquoi ?
INF : Je pense que c’est un type du forum qui est passé par TimeViewer pour contrôler le PC de […]. Il a copié les infos* de TimeViewer et il a collé un fichier.
SEB : Tu déconnes ? Comment ils pourraient faire ça ?
INF : Les admins peuvent, vu que quand tu te connectes à un forum ça crée un genre de lien direct entre ton PC et le forum, tu leur as donné une autorisation à la connexion, tu me suis ?
SEB : Oui mais bon, c’est glauque …
INF : T’as un problème avec un admin ?
SEB : J’sais pas … C’est possible … Et dis-moi, les modos aussi pourraient faire ça ?
INF : Oui, mais faut que la personne s’y connaisse un peu, évidemment. Moi, tu sais, je vais plus sur les forums à moins de connaître personnellement les admins. Sinon, tu risques de te rammasser plein de merdes !
SEB : Ben purée …

Avant de se pencher sur l’intérêt d’une telle manoeuvre, étudions la faisabilité d’une telle attaque. Depuis sa récente mise à jour, Netophonix utilise le moteur de forums phpBB dans sa version 3. Parce que nous avons certains besoins spécifiques, plusieurs ajouts ont été faits à ce code sous licence GNU GPL 2.0. Ces ajouts sont liés en grande partie aux bonnets d’âne, à la liste des sagas mp3, au NetoWiki et à la gestion de certains outils de modération (cartons, gestion des bannières défilantes, balises spéciales). L’ensemble de ce code étant en PHP, il est exécuté par le serveur qui héberge le forum et seul le code HTML vous est renvoyé. Il ne peut en aucun cas constituer un vecteur d’attaque en direction de vos machines.
Au delà de ça, le forum utilise trois scripts javascript pour son fonctionnement. Le premier est créé par les développeurs de phpBB et par celui de la base du thème que nous utilisons (Maël Soucaze comme indiqué en pied de page). Le second a été développé par Signez afin d’afficher le système de bannières défilantes et il se base sur le troisième script que constitue la bibliothèque javascript jQuery. Des trois, il s’agit du seul code obfusqué (le code a été réduit afin d’alléger le poids du fichier à charger et n’est donc pas aisément lisible). Cependant, cette bibliothèque est largement utilisée à travers le web pour son aisance à modifier dynamiquement le code d’une page HTML. La source de jQuery est publiée sous licence MIT ou GNU GPL 2.0. De fait, tout le monde pour y accéder. Bien que le style AJAX le permette, les fonctions utilisées par Netophonix ne communiquent pas avec notre serveur. Pour simplifier, vous téléchargez les sources javascript et votre navigateur se charge alors d’exécuter les différentes opérations cosmétiques ou pratiques qui ont été prévues (insertion du BBcode et défilement des bannières de la NetoPub). L’ensemble des sources étant lisibles, vous pourrez constater que tant que vous n’aurez pas appuyé sur le bouton répondre, vous n’envoyez et ne recevez aucune information.
Le forum utilise également quelques cookies PHP pour assurer une navigation confortable en son sein. Il lie également vers de nombreuses images, un certain nombre étant hébergé sur le serveur du site et la grande majorité étant hébergé ailleurs sur le web. En effet, les membres ont la possibilité d’afficher des avatars et des images dans leurs messages et signatures par le biais de la balise BBcode [img].
Javascript, cookies et images peuvent parfois être détournés de leurs usages pour récupérer frauduleusement des informations à votre sujet (javascript) ou pour vous faire télécharger des applications ou fichiers malicieux. Si pour le javascript, il est possible d’accéder au code afin de vérifier ce qu’il contient, cela est un peu plus compliqué avec les images et cookies. Pour ce qui est de ces derniers, l’équipe du forum ne peut pas se porter garante des actions de ses membres. Par contre, elle peut vous assurer que toutes les actions nécessaires à votre sécurité ont été et seront mises en place si jamais une menace était détecté. Pour cela, il suffit de la contacter. Pour ses propres fichiers, l’équipe peut vous affirmer sur l’honneur si nécessaire qu’il n’y a rien à craindre. Evidemment, nous ne pouvons pas non plus être sûrs à 100% que nous n’avons pas oublié de boucher une faille risquant à terme de compromettre vos machins. Nous faisons néanmoins le nécessaire pour que cela ne soit pas le cas.
Et le « genre de lien direct entre ton PC et le forum » avec autorisation, ça n’existe avec aucune des technologies utilisée sur Netophonix. A vrai dire, avec un navigateur moderne, il vous est possible de refuser les cookies, le javascript, l’affichage des images, le flash, la création de base de données locales et même les feuilles de style. Alors si vous continuez d’avoir peur d’une chimère, activez les bonnes solutions.

Bien, maintenant que nous avons balayé la possibilité d’une attaque en provenance du forum, intéressons nous rapidement à ce que conserve le forum de vous et l’intérêt que l’équipe de modération aurait eu à vouloir accomplir une telle action.
Comme seules informations personnelles, le forum n’utilise et n’archive que votre adresse mail et votre adresse IP à l’inscription puis à chaque message. Au delà du fait que cette adresse IP pourrait être éventuellement demandé par la loi, cela permet également d’avoir des outils de modération et administration plus efficaces. Seules ces deux informations sont nécessaires. Je suppose que vous savez tous comment créer une adresse mail poubelle et avec les débats actuels qui ont lui autour des lois telles qu’Hadopi, vous savez tous qu’une adresse IP n’est que peu de choses pour identifier une personne. Donc ce que vous risquez tout au plus si l’accès à la base de données est défaillant, c’est du spam et la perte de votre accès au forum par l’intermédiaire d’un changement de mot de passe (conservé crypté). Et si l’intrus est véritablement vilain, peut être qu’il utilisera l’IP pour tenter une attaque sur celle-ci. Je ne vais pas vous faire un cours de réseaux et télécommunications mais franchement, il y a plus simple et largement plus efficace.
Bon, imaginons maintenant que l’équipe du forum vous en veuille. Nous sommes là aux aguets depuis des jours et des jours pour vérifier que vous êtes enfin connecté et comme franchement, nous sommes des vilains pas beaux, nous avons listé soigneusement toutes vos adresses IP. Prêts à l’attaque, il faut encore que nous trouvions un moyen de vous attaquer. Parce que oui, sans faiblesse dans la protection que vous confère vos pare-feux, anti-virus, logiciels à jour et votre attitude responsable, il faut qu’on arrive tout de même à rentrer. C’est bien beau de connaître deux informations sur vous (votre IP et le fait que vous soyez connecté) mais il faut pouvoir en faire quelque chose. Et dans le cas de Seb, savoir qu’il utilise Time Viewer au même moment. Au delà de ça, il nous faudrait une motivation et une récompense largement satisfaisante pour passer à l’acte. Si nous sommes suffisamment déterminés pour vos pourrir la vie, c’est bien qu’on a une raison « valable« .
Que pourrait-on avoir comme bonne justification pour vous pourrir la vie. Si vous nous intéressez pour autre chose que votre saga mp3 et que votre comportement sur un des espaces que nous modérons, c’est sans doute parce que nous éprouvons pour vous de la sympathie. Et cela peut aller de la franche amitié au simple intérêt de politesse en passant par la simple cordialité courante. Sinon — et je me permets d’affirmer cela parce que je commence désormais à bien connaître mes autres collègues modérateurs — nous n’avons que faire de vos babillages. Vous ne nous aimez pas? C’est très bien pour vous, nous n’en avons cure. Mais imaginons que nous ayons véritablement passé ce stade d’ignorance et que nous voulions réellement vous nuire, qu’aurions-nous à y gagner? Passer pour des guignols avec une ruse aussi évidente et puérile? Réussir à vous faire chier trois jours au lieu de vous faire changer d’avis? C’est vrai que c’est drôlement malin comme attitude dites donc… Vous enquiquiner simplement pour nous faire passer encore plus par des imbéciles, c’est pas vraiment le comportement le plus intelligent qui soit et ce n’est pas spécialement notre façon de faire. Regardez moi par exemple, depuis tout à l’heure, je vous ponds un abominable pavé sur un blog que vous ne lirez certainement pas ou alors à peine. J’irai peut être même dire deux âneries sur #netophonix. Brrrr… Ca fait peur n’est-ce pas?
Sur Netophonix, tout ce que vous risquez, c’est de vous prendre un avertissement puis un carton jaune ou rouge si vous ne suivez pas nos conseils et avertissements. C’est tout ce dont nous sommes capables comme réactions violentes.

Ainsi donc, en montrant à Seb Luca que Netophonix n’a pas été volontairement le vecteur de son problème (et encore moins par le biais qu’il a pu évoquer, à savoir une connexion fantôme) et que ce n’est certainement pas par la décision de son équipe, je « diffame » et « déforme [les] propos » en expliquant tout ça. Il est aussi vrai que c’est moi qui ai déployé les outils du FUD en intitulant le sujet « Neto « KGB » Phonix », en commençant par expliquer que loin de moi était « l’envie de relancer la tension Netophonix-OdioArt » mais qu’il fallait bien sur OdioArt et il est vrai que j’ai oublié de vérifier tout ce que j’ai pu raconter sans me soucier du fait que bien souvent, ça n’avait absolument aucun rapport. C’est vrai qu’être « convaincu qu'[on] dit vrai parce qu'[on] n’a aucune raison de mentir », ça empêche de dire des bêtises… C’est aussi vrai que parce que je suis « un jeune de 23 ans », je ne peux pas du tout trouver quand on dit une bêtise plus grosse que soi. Alors oui, je peux parfois paraître méprisant et je ne m’en cache pas mais comme je vous l’avais déjà dit au sujet de ma vilénie, si votre avis m’intéresse, ça serait quand même bien qu’il soit fondé et argumenté. La modération de Netophonix a peut être eu des problèmes avec Seb Luca mais j’ai vraiment autre chose à faire de le dénigrer pour le plaisir. Alors que lui montrer qu’il se plante comme un bleu sur un sujet qui m’intéresse, c’était peut être ça ma seule idée. Je me suis peut être mal exprimé en effet mais franchement, Seb Luca avait peut être bien d’autres façons bien meilleures d’expliquer qu’il y a parfois des risques sur internet. Et peut être que sans bêtises, ça aurait été mieux… Et c’est tout.

Ah oui. Une dernière chose pour terminer ce billet. Si jamais vous grincez trop des dents « devant [mon] habituel mépris envers qui ne se fixe pas les même délires élitistes que [moi], envers [ma] mauvaise foi et [mon] antipathie agaçante », je vous propose deux choix. Soit vous me laissez « croupir dans [ma] tour dorée imaginaire, grand bien [m’en] fasse ». Soit vous lisez un peu ce blog et vous faîtes un commentaire intelligent pour une discussion intelligente. Merci.

10 réactions dans “Des pirates de Netophonix

  1. /me loves the KMP ^^
    Comment peut-on sincèrement gober un discours moche et déconstruit que celui de cet informaticien. Personnellement, moi qui n'y connait rien en piratage, j'ai tout de suite senti la farce.
    Je crois sincèrement que le jour où je replongerais vraiment la tête dans le Neto, je risque de dire des trucs qui feront pas plaisir. Dieu que je suis reconnaissant au destin de m'avoir évité la naissance d'OdioArt 😀
    Merci encore Kak pour tes chroniques toujours aussi bien fichues !

  2. Oh quelle horreur ! J'ai bouffé un cookie, on peut me tracer à distance !! O-o
    Mais le pire, c'est qu'il avait dépassé sa date de péremption… Blurp !

    Non, sans rire. Ce qui est aberrant, c'est le manque de réflexion de certaines personnes dans cette histoire. Qu'on ne comprenne pas les notions des langages du web, c'est une chose (et c'est compréhensible). Mais comme tu l'as souligné, quelle personne au sein de l'équipe du Néto se dénigrerait à de telles bassesses. Et dans quel intérêt ? Et puisque cette personne travaille, elle s'est trouvé une machine à remonter le temps pour en obtenir (du temps) ?

    Mais bon, je ne suis pas étonné par ce genre de comportement. Soit ça devient de la paranoïa, soit c'est comme le coup de gueule de juillet dernier : On débite des conneries juste pour foutre la merde.

    Oo Je suis outré par ma grossièreté….

  3. J'ignore pourquoi Seb raconte ça mais ce que je sais, c'est que Netophonix et donc qu'un de ses membres ou à fortiori un de ses modérateurs ou administrateurs ne peuvent pas être derrière ce qui lui est arrivé. Et si c'est effectivement le cas, cela ne s'est pas fait par l'intermédiaire du forum.

    Au delà cette espèce de théorie du complot ou je ne sais quoi derrière, c'est tout de même un beau ramassis de bêtises qui fait peur. Et ça, ce n'est pas particulièrement acceptable. Ce n'est pas une idée, c'est une notion technique. On a donc une notion de vrai/faux qui s'y applique. Et là, c'est très faux ce que Seb a raconté.

    Voilà. Juste deux points qui s'appliquent à tout ça. Les idées sur le Netophonix ou moi, ce n'est pas plus important que ça au final. Après tout, le forum devrait avoir « honte » de laisser une telle chose arriver parce qu'il était jusqu'à il y a peu « très professionnel et un bon garant de confidentialité ». Quant à moi, j'ai déjà effectué les principales citations dans le billet. Etant donné notre peu de valeur, on pourra donc passer sur de telles choses.

  4. Je n'avais même pas vu que Seb a ouvert un sujet sur le Néto. Très maladroit de sa part. Il aurait du contacter l'administration du site avant de lancer au public un tel sujet. Quant on a des doutes et non des certitudes avec preuves à l'appui, on questionne les responsables du site. C'est logique… non ?

    Je ne comprends pas cette méthode… Sauf si c'est pour remettre en question la confiance de certaines personnes…

  5. Peur, incertitude et doute.
    En python, il y a une sorte d'axiome qui dit « Si je vois un animal qui vole comme un canard, cancane comme un canard, et nage comme un canard, alors j'appelle cet oiseau un canard ». Là, si ce n'est pas du FUD, ça en a tous les attributs en tous cas.

  6. Oui, c'est petit de reprendre tous les défauts qu'il m'a lancé à la figure pour lui retourner. Je le reconnais. Mais il a choisi de clôturer le topic. Ceci est ma façon de répondre. Je fais quoi? Je le laisse dire des bêtises sans bouger? C'est pas beaucoup mieux quand même…

  7. Oulà, j'ai (quasiment) rien compris à la partie technique… mais même sans ça le discours de l'ami informaticien de Seb Luca est obviously du grand n'importe quoi, un vilain délire paranoïaque d'autant plus étrange qu'il viendrait d'un "informaticien".

    Et tout ceci serait gentiment drôle si toute cette histoire n'avait pas fait du remue-ménage sur Netophonix (où je vais aller de ce pas pour vérifier ma dernière supputation…)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *