[Kitetoa, les pizzaïolos du Ouèb

Et maintenant? Quelques leçons avons nous tirées de cette histoire...

nav bar recap admins
Récapitulatif des papiers
sur le monde étrange
des administrateurs réseau
et systèmes
Récapitulatif de nos
copies d'écran
sur ce même monde étrange
Cette page n'est plus mise à jour
depuis août 2001
Taijiquan style Haking (dot com)
Sasak style Haking (dot com)
Le Match Kitetoa versus
Ugly Discoursmarketing
It's a funky job.
But Kitetoa's digital clone
does it...
Do you know info-hack
Kung-Fu?
La hotte du Kitetopapanoël
Ze Mega Kite-Teuf!
La fête de l'été de Kitetoa...
Les sites les plus nazes
de l'été 2000
La Loi de 78 impose
aux entreprises de protéger
les bases de données qu'elles
constituent
...

1000 euros d'amende avec sursis. Le prix de la liberté de parole. Car si l'amende est assortie du sursis, il est évident qu'à la moindre plainte d'une entreprise pour le même type de chose, nous devrons payer cette somme. 1000 euros, pour un site Web perso du fin fond du Net, sans aucune rentrée financière (pas de pub, rien à vendre, pas de pops-ups, rien, nada, niente...), c'est de l'argent. Sans compter l'éventuelle condamnation suivante. D'ailleurs, les policiers de la BEFTI qui nous on entendu ont été clairs: "cette fois ça s'est bien passé parce que des collègues nous ont dit du bien de vous, mais il va falloir se calmer. La prochaine fois, on va faire une perquisition chez vous et vous confisquer votre matériel". On tremble... Le tribunal en nous condamnant avec du sursis ne fait rien d'autre que d'abonder dans ce sens en plaçant une épée de Damoclès au dessus de la tête du Webmaster.

Alors, que faire? Plusieurs options se présentent...

1) Arrêter d'écrire sur ces sujets.

2) Continuer à rechercher ce genre de failles et d'infractions à la loi de 1978 mais le faire différemment:

    - en prenant toutes les précautions nécessaires pour ne pas être repérable
 (faites nous confiance, c'est possible) et dire "on nous a envoyé cette copie
 d'écran, nous en tirons la conclusion suivante, le site est mal paramétré".
    - ne publier nos informations que pour un groupe de personnes que nous
 sélectionnerions avec soin. 

3) Céder le site à qui veut bien le reprendre dans l'esprit de ce qui a été fait jusqu'ici.

4) Fermer le site.

5) Tirer profit des failles que nous trouvons pour modifier la page d'accueil des sites en écrivant: "bande de cons, vous êtes nuls en informatique, voici le lien qui mène vers les données personnelles stockées sur ce serveur".

Pour l'instant, nous n'avons pas encore pris de décision ferme, même si la troisième ou la quatrième solution nous semblent les plus appropriées.

Quelles leçons tirer de tout cela?

1) Les collègues patrons d'entreprises présentes sur Internet vont pouvoir remercier Fabien Ouaki.
Pour plusieurs raisons. La première est que, vu le verdict, les autres sociétés qui voudraient se risquer à nous faire un procès savent qu'elles seraient probablement déboutées...
Ensuite, les sociétés vont pouvoir continuer à installer des serveurs poreux. Sans que personne ne dise rien. Mais ce qu'elles ne savent pas (on ne peut pas être manager dans une boite et passer autant de temps que nous dans les sous-sols d'Internet) c'est que le fait de ne rien dire ne les protège pas d'un piratage. Un vrai cette fois. Celui qui ne se voit pas. Pas de modification des données, rien, même pas un graffiti sur la page d'accueil. Et rien dans les logs... En revanche, tout leur réseau interne devient un gruyère. De la compta aux services commerciaux en passant par les comptes en banques des pauvres clients trop confiants. Car les vrais pirates ne se font pas arrêter. Ils sont là. Chez vous, tranquilles, silencieux. Ils attendent. Il y a ceux qui sont entrés dans tel ou tel intranet de telle ou telle multinationale, ceux qui ont eu accès à une machine hébergeant tout ce qu'il faut pour envoyer des messages Swift (je suis sûr que certains de nos lecteurs savent ce que cela implique). Mais si personne ne dit aux administrateurs de ces machines qu'elles sont pleines de trous, ils ne les patcheront jamais...

2) Cette condamnation et autres sursis (perquisition de police évoquée plus haut) sont un coup de hache (cf. la page "funky stuff" de ce dossier)dans une certaine forme de journalisme et dans la liberté de prise de parole responsable. En effet, de même qu'il devient extrêmement dangereux pour une journaliste d'évoquer des documents relatifs à une affaire en cours, sous peine de se voir condamner pour recel de violation du secret de l'instruction, il est désormais impossible de dire qu'une entreprise contrevient à la Loi de 78, quand bien même, il ne serait pas fait usage de moyens frauduleux pour obtenir les informations le prouvant. Il semble évident que plus personne ne voudra suivre les méthodes que nous avions employé jusqu'ici. C'est à dire, ne pas cacher l'identité du responsable du serveur (nous n'avons pas monté un site fantôme sur un quelconque hébergeur gratuit qui ne demande pas l'identité du créateur) et ne pas utiliser de moyens pour dissimuler nos surfs sur les sites que nous dénoncions. Le message de la Cour et de la BEFTI est plutôt: si vous prenez la parole pour dire des choses comme ça, camouflez-vous. Vive l'obscurité...

3) Depuis le 13 février, il est désormais possible de se retrouver devant un tribunal pour piratage informatique grâce à un navigateur Netscape. Attention hein, pas n'importe quel piratage. Non, un vrai de vrai. Un accès ET un maintient frauduleux dans un système de traitement automatisé de données. La communauté des experts en sécurité informatique et une bonne partie des internautes avisés se tord de rire depuis cette date. En effet, s'il est sans doute possible de passer un buffer overflow via une url dans un navigateur Netscape et de changer une page d'accueil comme ça (faudrait quand même être le plus mauvais des script kiddies), tout le monde comprend que cliquer sur un lien html sur un site n'a rien d'un piratage informatique. Décortiquons un peu pour rire encore un coup:

- accès frauduleux à www.tati.fr
en fait il s'agit de cela: taper http://www.tati.fr/base/bd.mdb | Exactement comme on aurait pu taper http://www.tati.fr/catalogue/robes_de_mariees.html. C'est du port 80, via un navigateur. Dans les logs, on apparaît comme un user "anonymous". Le serveur n'est absolument pas forcé à servir ce fichier, il le fait de bon coeur. Aucun piratage donc.

- maintien frauduleux.
Là, on touche au sublime. Kitetoa.com se serait "maintenu" dans le serveur. Et avec quel cheval de Troie, quelle backdoor de eleet hax0r ? Je vous le demande... Avec un bête navigateur!
Enorme...
Car, et nous l'avons expliqué au cours de l'audience, il y a un petit souci technique... A la grande époque du Minitel, une connexion avec un serveur était permanente. Elle durait depuis le moment où l'on accédait au serveur jusqu'au moment où on le quittait pour un autre. Depuis Internet, c'est un rien différent. La connexion ne dure que le temps de la demande (GET) d'une page html (ou un autre type de document). Ensuite, le document est "livré" par le serveur et puis, pffffuit... la connexion est rompue jusqu'à la prochaine demande de document. Alors comment peut-on se "maintenir" frauduleusement sur un site Web? Simplement en y introduisant un cheval de Troie afin de pouvoir y faire ce que l'on veut et même revenir dans les répertoires "cachés" d'un site comme chez Tati lorsque tout a été réparé par l'administrateur (le croit-il tout au moins). Or, bien évidement, nous n'avons jamais fait cela puisque nous n'avons jamais obtenu les droits d'un administrateur (écriture) sur le site (là, on aurait pu parler d'accès frauduleux).

Bilan des courses, le fait de cliquer sur une option du navigateur (ou d'une autre application ayant quelques fonctionnalités Internet -- attention, toutes les application Microsoft sont compatibles Internet) dans la barre du menu d'un programme peut vous envoyer au pénal...

Mais on oublie le meilleur...

Voyez-vous, si nous n'avions pas prévenu les spécialistes Internet d'Ogilvy du défaut sur le serveur de leur client Tati, notre ami à tous, le moteur de recherche Google, aurait sans aucun doute indexé cette base. Et là, merveille de la technologie moderne et du piratage qui ne dit pas son nom, il aurait suffit de faire www.google.com, de taper quelques mots clefs comme "Tati", "Jean", "Dupont", pour faire apparaître un lien direct vers la base de données des clients de Tati...

Un truc de ce genre:

http://www.google.com/search?q=cache:zR7oAgtijpUC:interface-net.com/master_files/ACCESS/CO_OA/FRUITFUL.MDB+card+credit+filetype:mdb&hl=en

En effet, Google indexe AUSSI (sans le dire) les fichiers se terminant par .mdb, c'est à dire, les bases de données Access (Microsoft) non protégées en lecture. Exactement le cas de figure Tati...

Et en plus, comme Google est vraiment votre ami, il propose la plupart du temps de voir le contenu du fichier au format html. Meme pas besoin d'Access...

Retour au sommaire de ce dossier

Kitetoa

Liens de navigation

Naviguer, lire....

Page d'accueil

Nouveautés

Le Sommaire
de
Kitetoa

(orientation...)

Communiquer...

Le Forum
Kitetoa-blah-blah

Nous écrire

Les mailing-lists

Les stats du serveur

Qui sommes-nous?

Les rubriques!

Les livres publiés par Kitetoa

Les interviews

Kit'Investisseurs

Fonds d'écran et autres trucs

Les rubriques!
(suite)

KitEcout'

KessTaVu?-KiteToile

Voyages

la malle de Kitetoa
(vieilleries du site)

Les dossiers

Le monde fou des Admins

Tati versus Kitetoa

Tegam versus Guillermito

Malade mental...

Qui est Jean-Paul Ney,
condamné pour
menaces de mort
réitérées contre Kitetoa?

Le texte de la condamnation
de Jean-Paul Ney
(résumé html)
(complet pdf)

Malade mental, bis repetita

Jean-Paul Ney condamné
pour diffamation
à l'encontre du webmaster
de Kitetoa.com

Condamnation de Jean-Paul Ney
pour diffamation (pdf)

D'autres choses...

Aporismes.com

Statisticator

L'association Kite-Aide

Rechercher...

Rechercher
sur le site

et sur le Net...

Jean-Paul Ney

Jean-Paul Ney