PDF Article
Web 2.0 de Q.I.
Le 10 septembre 2007, à 0:45 par Ulhume...

Dans l'après-midi, je lisais sur un blog un billet d'alerte concernant le service Quechup.com. L'avertissement est clair, toute personne s'inscrivant sur ce site expose ses amis à une grêle de SPAMS... et sur le coup je me suis dit, whaow !! Mega malware exploitant méga faille !! Arriver à pirater le carnet d'adresse d'un simple navigateur, je veux comprendre comment fonctionne un tel exploit !

Alors ni une, ni deux, je fonce sur le site en question, armé de mon seul courage et d'un efficace outil de traçage. A la grâce de dieux !

Arrivée sur la page d'accueil... sans encombre. J'ai pourtant l'oeil rivé sur les traces mais rien ne se passe, pas une seule URL louche, pas un encodage de travers, rien. Bon, le billet indiquait bien qu'il fallait créer un compte pour se prendre la pastille. Alors allons-y pour une inscription. J'en profite d'ailleurs pour vous signaler le génial site jetable.org. Sa seule utilité est de vous permettre de créer une adresse email à usage unique, pile-poil ce qu'il me faut.

Armé de mon email bidon je m'enregistre. Je fournis à l'indiscret formulaire toutes les informations que le monde de Barbapapa m'inspire et je finis par enfin pouvoir valider, ce que je fais. Pendant que le site mouline mon inscription, je me désintéresse quelques secondes de firefox pour scruter les logs... J'attends fébrile l'attaque magique...

Ben non... rien, rien de rien, de rien du tout... rien de plus qu'un fagot insipide et sans odeur d'URLS totalement licites. Déçu, je retourne à firefox pour voir s'il y avait encore une étape à réaliser pour déclencher la mise à sac de mon carnet d'adresse. Et là, j'explose littéralement de rire en lisant ceci :

Voilà donc à quoi se résume tout le génie de ce virus, demander poliment et en toute simplicité à l'utilisateur d'importer son carnet d'adresse dans la base de données du site. Et aussi énorme cela puisse paraître, il se trouve des naïfs pour le faire... C'est vrai quoi ! Viadéo le fait bien lui... Oui mais Viadéo a un minimum de notoriété, quelques années d'existence, une réputation à tenir ce qui n'est pas le cas du premier SauceTomate.Com venu. Et en plus Viadéo, lui, ne pousse pas le vice jusqu'à vous demander votre identifiant et mot de passes GMail. Nan Nan... Vous ne rêvez pas, vous avez bien lu. Mais regardez par vous-même :

Moralité ? Ce qui est fabuleux avec le WEB 2.0, c'est que chacun est tellement habitué à ventiler sa vie privée à droite à gauche, CoComment pour ses conversations, Ziki pour sa présence sur le net, Flicker pour ses photos de mariage, qu'il ne s'offusque même pas d'une telle procédure... Mais l'inconscient va tout de même avoir le cran de pousser des cries d'orfraie lorsque les données qu'il a lui-même fournies se retournent contre lui...

En tout cas moi j'attends avec impatience le jour où quelqu'un aura l'idée de faire un gestionnaire de mot de passe WEB 2.0, tout en Ajax Wink

Commentaires

freeflyer, le 10 September, 2007 - 07:33

En même temps j'attends le mec qui va gueuler parce que son carnet d'adresse a été piraté..
Mais j'ai quand même un doute sur la légalité du truc, il me semble que certains sites qui demandent ce genre d'information construisent le mail de "spam" comme un mail venant de l'utilisateur qui a souscrit au site avec un titre du style 'j'ai trouvé un truc génial'..

Sinon, dans le même style y'a www.yopmail.com pour les mails jetables..

stagueve , le 11 September, 2007 - 16:37

J'ai moi même reçu la fameuse invit mais étais prévenu, ouf!

Ok pour le naif qui fournirait spontanement son carnet d'adresse en arrivant de lui même sur Quechup.

Le problème est que la majorité des internautes que je connais et qui se sont fait avoir ont reçu l'invit directement via mail sous la forme d'une invitation proposée par un ou des amis ou connaissances, c'est la que le SPAM se fait vicieux et difficile à détecter...

Ulhume, le 11 September, 2007 - 16:52

Ben je veux pas mettre de l'huile sur le feu, mais si un pote me dit de me jeter dans la garonne, je vais juste réflechir un peu avant, non ? Là c'est la même idée, j'ai beau avoir une belle invitation d'un très bon ami, je regarde un peu avant ce qu'est le site, s'il est connu...

Et puis même si s'est un super bon ami, je me doute que filer son carnet d'adresse, ou mieux, SON LOGIN/PWD gmail est tout de même une idée étrange, non .

Spami , le 14 September, 2007 - 20:40

C'est une bonne idée le gestionnaire de mot de passe en ajax Smiling

Ulhume, le 15 September, 2007 - 06:43

Oui hein Wink Je suis sur que ça marcherait du tonnerre Smiling J'ai presque envie de le faire pour me marrer.

Poster un nouveau commentaire

Le contenu de ce champ est gardé secret et ne sera pas montré publiquement.
  • Allowed HTML tags: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • To highlight piece of code, just surround them with <code type="language"> Your code &tl;/code>>. Language can be java,c++,bash,etc... Everything Geshi support.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Textual smileys will be replaced with graphical ones.
  • Les adresses de pages web et de messagerie électronique sont transformées en liens automatiquement.

Plus d'informations sur les options de formatage

Rechercher
Connexion utilisateur
S'abonner...
Les derniers bavardages...
  • malic: Coucou... s/jour dans tout/jour sans tout ...
  • Ulhume: @L@u Il est capricieux si le serveur n'est p ...
  • L@u: Mouais ! Sur Windows XP, le client WebDav ...
  • Osku: Done : http://www.sakeco.net/blog/pre2ol pou ...
  • Ulhume: @Dab Ah la joie du débuggage matinal d'un co ...
Autres Lieux