Artisan Numérique http://artisan.karma-lab.net/node/1206/atom/feed 2008-10-31T12:47:29+01:00 Web 2.0 de Q.I. http://artisan.karma-lab.net/node/1206 2007-09-10T00:45:52+02:00 2008-10-31T12:47:29+01:00 Ulhume Dans l'après-midi, je lisais sur un blog un billet d'alerte concernant le service Quechup.com. L'avertissement est clair, toute personne s'inscrivant sur ce site expose ses amis à une grêle de SPAMS... et sur le coup je me suis dit, whaow !! Mega malware exploitant méga faille !! Arriver à pirater le carnet d'adresse d'un simple navigateur, je veux comprendre comment fonctionne un tel exploit !

Alors ni une, ni deux, je fonce sur le site en question, armé de mon seul courage et d'un efficace outil de traçage. A la grâce de dieux !

]]> Dans l'après-midi, je lisais sur un blog un billet d'alerte concernant le service Quechup.com. L'avertissement est clair, toute personne s'inscrivant sur ce site expose ses amis à une grêle de SPAMS... et sur le coup je me suis dit, whaow !! Mega malware exploitant méga faille !! Arriver à pirater le carnet d'adresse d'un simple navigateur, je veux comprendre comment fonctionne un tel exploit !

Alors ni une, ni deux, je fonce sur le site en question, armé de mon seul courage et d'un efficace outil de traçage. A la grâce de dieux !

Arrivée sur la page d'accueil... sans encombre. J'ai pourtant l'oeil rivé sur les traces mais rien ne se passe, pas une seule URL louche, pas un encodage de travers, rien. Bon, le billet indiquait bien qu'il fallait créer un compte pour se prendre la pastille. Alors allons-y pour une inscription. J'en profite d'ailleurs pour vous signaler le génial site jetable.org. Sa seule utilité est de vous permettre de créer une adresse email à usage unique, pile-poil ce qu'il me faut.

Armé de mon email bidon je m'enregistre. Je fournis à l'indiscret formulaire toutes les informations que le monde de Barbapapa m'inspire et je finis par enfin pouvoir valider, ce que je fais. Pendant que le site mouline mon inscription, je me désintéresse quelques secondes de firefox pour scruter les logs... J'attends fébrile l'attaque magique...

Ben non... rien, rien de rien, de rien du tout... rien de plus qu'un fagot insipide et sans odeur d'URLS totalement licites. Déçu, je retourne à firefox pour voir s'il y avait encore une étape à réaliser pour déclencher la mise à sac de mon carnet d'adresse. Et là, j'explose littéralement de rire en lisant ceci :

Voilà donc à quoi se résume tout le génie de ce virus, demander poliment et en toute simplicité à l'utilisateur d'importer son carnet d'adresse dans la base de données du site. Et aussi énorme cela puisse paraître, il se trouve des naïfs pour le faire... C'est vrai quoi ! Viadéo le fait bien lui... Oui mais Viadéo a un minimum de notoriété, quelques années d'existence, une réputation à tenir ce qui n'est pas le cas du premier SauceTomate.Com venu. Et en plus Viadéo, lui, ne pousse pas le vice jusqu'à vous demander votre identifiant et mot de passes GMail. Nan Nan... Vous ne rêvez pas, vous avez bien lu. Mais regardez par vous-même :

Moralité ? Ce qui est fabuleux avec le WEB 2.0, c'est que chacun est tellement habitué à ventiler sa vie privée à droite à gauche, CoComment pour ses conversations, Ziki pour sa présence sur le net, Flicker pour ses photos de mariage, qu'il ne s'offusque même pas d'une telle procédure... Mais l'inconscient va tout de même avoir le cran de pousser des cries d'orfraie lorsque les données qu'il a lui-même fournies se retournent contre lui...

En tout cas moi j'attends avec impatience le jour où quelqu'un aura l'idée de faire un gestionnaire de mot de passe WEB 2.0, tout en Ajax Wink ]]>