Résumé du Hacking de Pokémon Trash
News écrire par Néoxys le Webmaster de Pokémon Trash, Pokémon Arena n'est en rien responsable de ce qu'elle contient :
« A quand le retour du trash ? » ne cesse t-on de me demander ; « Bientôt » répond-je avec peu de conviction. Les cerisiers sont en fleurs, les filles se dénudent et les visites ne cessent de grimper, pourquoi ressortir les armes en cette période de prospérité ? Le trash n’est pourtant pas une discipline de racailles rageuses, c’est un art qui ne peut-être apprécié que par ceux qui aiment voir le sang couler, ceux pour qui le sadisme n’a comme limite que celles du diable. Si nous avions coupé avec nos racines, c’était par mollesse de voir ses gains augmenter, cette même mollesse qui sclérose aujourd’hui le reste du Pokeweb. La paix ne nous a donc que trop anémier et le devoir d’un homme étant de se battre, il était temps de redonner au trash ses lettres de noblesses.
Notre cible sera un site qui n’a cessé de s’illustrer par sa bêtise et son manque de transparence : un webmaster animé par le seul appât du gain, une entreprise qui détourne près de 3000 euro de bénéfice et une communauté de mouton qui aime à perdre son temps sur un ersatz de MMORPG. Comment mieux résumer Puissance Pokémon ? Subissant depuis ces derniers mois une vague de delete par l’incompétence de son webmaster, le site aura fini par chuter au tréfonds du Pokeweb. En plus d’un forum léthargique qui n’est plus qu’animé par une dizaine de personne, le site est passé en déca de la barre fatidique des 6000 visites avec des statistiques catastrophiques. Bien triste destin pour un site qui se prétend encore comme « le meilleur site Pokémon !!!§ ».
Croyant à notre culpabilité dans leur situation tragique, ils s’animent d’une rage et d’une jalousie sans borgne ; cette même jalousie qui les conduisit à la grave erreur que nous vous exposerons ici. Cessons donc cette introduction pompeuse, vous êtes maintenant convié à cette danse macabre, celle où toute la vérité sera faite sur les vices cachés de deux figures clefs de PP : Seb et Pika25.
Installez vous sagement et débutons notre enquête
I. Surprise
Il est 21 heures sonnante chez Aurelgadjo, la bouteille de Ice tea est presque vide et sa partie de CS se termine bientôt. Entre deux bruits de fusils, il perçoit l’abominable son que peut produire MSN à l’annonce d’une mauvaise nouvelle. C’est Nkekev, affolé.
(21:03) Nkekev : Aurel
(21:04) Nkekev : On a un gros souci. o_o
(21:04) Aurel' : raconte
(21:04) Aurel' : briévement
(21:04) Aurel' : en une ligne
(21:04) Nkekev : forum totalement effacé
(21:05) Aurel' : oh putain
(21:05) Aurel' : le forum
(21:05) Nkekev : gloups
(21:05) Nkekev : mon compte a été supprimé aussi
Le plan rouge est déclenché, Aurelgadjo décide de couper immédiatement le ftp : Nous sommes maintenant dans un bunker pressurisé, coupé du monde avec comme seul lumière celle des angoissantes ampoule orange tamisé. Nous décidons immédiatement de convoquer le « Buster Call », le nom que nous donnons à l’élite en matière de réflexion sur Pokémon Trash. Les 5 hommes les plus puissants du site, des génies qui du haut de leur clavier dominent des connaissances qui vous dépassent. « Qu’est t’il donc arrivé à Pokémon Trash », un ordre du jour clair.
(21:31) Aurel' :
194.**.**.** - - [14/May/2008:15:04:01 +0200] "GET /forum/delutil.php?id=1 HTTP/1.1" 302 -
194.**.**.** - - [14/May/2008:15:04:02 +0200] "GET /forum/delutil.php?id=4611 HTTP/1.1" 302 -
194.**.**.** - - [14/May/2008:15:06:39 +0200] "GET /forum/delutil.php?id=4611 HTTP/1.1" 302 -
194.**.**.** - - [14/May/2008:15:06:39 +0200] "GET /forum/delutil.php?id=1 HTTP/1.1" 302 -
(21:31) Aurel' : TERRORISTS WIN
Pour ceux qui ne comprendraient pas, Aurelgadjo possède des « logs », un fichier qui permet de savoir exactement ce qui se passe sur le serveur à la seconde près. Ici, c’est mon compte et celui de Nkekev qui est visé par un delete dont la vitesse étonne : s’agit il d’un script ?
(21:54) Aurel' : pourquoi aurait tu supprimé les forums ?
(21:55) Nkekev : j'ai rien fait O_O
(21:55) Aurel' : dis quelle ip tu as
(21:56) Nkekev : ***.***.***.***
(21:56) (8) Laurent : Tu as donc effacé un forum
(21:57) Nkekev : Son nom d'hôte associé : ***.***.***-**.rev.gaoland.net
(21:57) Aurel' : pourquoi as tu effacé des forums ?
(21:57) Nkekev : c'est pas moi je vous jure.
(21:57) Aurel' : Tu as executé un script ?
(21:57) Nkekev : non
(21:57) Nkekev : rien …
Rapidement la triste vérité nous apparaît, en plus d’avoir perdu 10 jours de données, le nom de Nkekev apparaît clairement comme celui ayant supprimé la totalité des données du forum. La rumeurs fusent : « C’est la vengeance du russe » « C’est les plus petit les plus vicelard » « tu vois qu’il t’a trahit ! » « Tu lui as payé SSBB en français et pas en jap donc il te fait la gueule ». Etait-ce donc notre kevin national qui se serait rebellé ? Tout le monde semble le croire, mais ses yeux teintés de larmes virtuelles me font penser le contraire. Je décide donc avec Aurelgadjo et lui-même de plonger dans le gouffre de près de 900 méga de logs à la recherche de la vérité.
II. Suspects
77.58.26.186 - - [14/May/2008:20:45:08 +0200] "GET /forum/admin/delforum.php?id=7 HTTP/1.1" 200 172
77.58.26.186 - - [14/May/2008:20:45:07 +0200] "GET /forum/admin/delforum.php?id=2 HTTP/1.1" 200 172
77.58.26.186 - - [14/May/2008:20:45:08 +0200] "GET /forum/admin/delforum.php?id=10 HTTP/1.1" 200 172
77.58.26.186 - - [14/May/2008:20:45:08 +0200] "GET /forum/admin/delforum.php?id=11 HTTP/1.1" 200 172
82.66.10.153 - - [14/May/2008:20:43:05 +0200] "GET /forum/delutil.php?id=1 HTTP/1.1" 302 -
82.66.10.153 - - [14/May/2008:20:43:05 +0200] "GET /forum/delutil.php?id=4611 HTTP/1.1" 302 –
Bingo, peu avant que Nkekev débute son œuvre destructrice, deux IP ont été identifiées comme la genèse du problème. Ces IP nous les connaissons, mais comme le souligne Aurelgadjo, « nous manquons de preuves »
(22:16) (8) Laurent : Seb (Le loup sur le forum) et Pika25
(22:16) (8) Laurent : Je pense que ce sont ces deux zigotos les coupables
(22:16) Aurel' : je sais pas
(22:16) Aurel' : on peut dire que now ça on s'en fout
(22:16) (8) Laurent : il faut trouver la faille
(22:16) Aurel' : oui
S’en suit une réflexion intense de plus d’une heure ...
(22:19) Aurel' : chier
(22:20) Aurel' : c pas une include
(22:20) Aurel' : il a trés bien joué
(22:20) Aurel' : je n'ai aucune idée de comment luter
(22:21) Aurel' : si c'est ce que je pense
(22:21) Aurel' : des iframes pour delete
(22:21) Aurel' : incluses dans un fichier externe
(22:21) Aurel' : des images par exemple
(22:22) Aurel' : bordellllllll
(22:22) Aurel' : je seche là
(22:22) Aurel' : je sais pas quoi faire
(22:22) Aurel' : c ouf
Une idée de génie nous traverse : Pourquoi ne pas nous laisser rehacker une seconde fois histoire de pouvoir clairement identifier la méthode utilisée ? Nous remettons donc le forum en route pendant que Aurelgadjo part se coucher (il a école demain le pauvre). Et le stratagème marche ! Le hacker mort à l’hameçon et recommence : Il est prit dans notre piège.
(19:49) Aurel' : YEAH
(19:49) Aurel' : TROUVE LA FAILLE
(19:49) Aurel' : YEAAAAAH
(19:49) Aurel' : TOUT SEXPLIQUE
(20:22) Aurel' : dis
(20:22) Aurel' : lors du second hacking
(20:22) Aurel' : te rappelle tu de qqchose de bizarre ?
(20:22) Aurel' : une bouleterie ?
(20:22) Aurel' : un post de merde ?
(20:22) Aurel' : un mp de merde ?
Tout semblait clair dès lors mais laissons l'explication à plus tard. Le « quand » et le « comment » étant résolus, il nous fallait maintenant le « qui », « où », « pourquoi ». Nous menons donc notre enquête pour trouver l’image et la vérité.
III. Amadouer
Sur mon MSN, une certaine « Pika25 » m’ajoute sur MSN, je lis déjà très bien dans son jeu : son but était de me fourvoyer, de m’amadouer afin d’obtenir informations et réactions. Entre temps ayant diffusé les premières rumeurs quand à sa culpabilité, peut-être espérait elle se blanchir.
Si j’ai une réputation de coureur de jupons, les gens ont peut-être trop tendance à me prendre pour un con. Tant mieux après tout, comme disait Nietzsche, « Tout esprit profond avance masqué. »
(21:14) pik25%%% cette n : Yoplè, je peux te causer 2 min?
(21:15) (8) Laurent : Deux minutes seulement
(21:15) pik25%%% cette n : Ok ! tu peux mexpliquer pourquoi ca se retourne contre moi votre hack ?
(21:16) (8) Laurent : et bien j'ai le malheur de t'annoncer que tu as été clairement identifié comme ayant hacké le forum
(21:16) (8) Laurent : mais je suis quelqu'un qui réfléchit
(21:16) (8) Laurent : alors expose moi ta défense
(21:17) pik25%%% cette n : Bah je ne vois pas ce que je fous dans les logs. je me suis inscrite le mardi soir sur ton forum PL mavait passé le lien ya 2-3 jours. je tai add pour te demander si ca tintéressait 2-3 créations ? jai vu un topic ou tu parlais que tavais besoin de gens qui dessinent
(21:17) pik25%%% cette n : alors me suis inscrite
(21:17) pik25%%% cette n : je me baladais le mercredi soir
(21:17) pik25%%% cette n : et puis plus que 4 forum
(21:17) pik25%%% cette n : mon IP est dans les logs mais en tant que visite?
(21:17) pik25%%% cette n : ou dautre?
(21:18) pik25%%% cette n :ca ma fait chier paske jétais en train de poster pour me présenter et tout
(21:18) pik25%%% cette n :pis le lendemain
(21:18) pik25%%% cette n :que vois je
(21:18) pik25%%% cette n :la grosse accusation
En voilà une maligne ! Il était maintenant clair que son excuse était fausse : comment une fille qui me vouait une haine viscerale pouvait-elle m’ajouter pour m’aider sur un site où elle est inscrite depuis seulement quelques jours ? Les délais ne collent pas et la mauvaise fois est dégoulinante, de quoi s’amuser en lui donnant de faux espoirs de victoire. Je décide donc de jouer le jeu :
(21:18) (8) Laurent : Tu es PEUT-ETRE innocente
(21:19) (8) Laurent : Mais tu as été clairement manipulé
(21:19) (8) Laurent : Je ne peux pas t'expliquer la faille, mais elle utilise les gens
(21:19) pik25%%% cette n : je voulais te faire part de mes découvertes a propos des failles jai recherché
(21:19) pik25%%% cette n : http://www.softbb.be/forum/index.php?page=forum&idf=5
(21:19) pik25%%% cette n : ton forum nest pas mis a jour
Et comme par hasard, la sainte ni touche qui ne connaît rien à l’informatique est capable de me pointer précisément les sources de la faille. Certaines personnes sont décidemment trop bêtes pour comprendre la différence de niveau qui sépare les hommes dotés d’intelligence de ceux qui en sont dénués. Pour ces gens, il reste une seule arme : l’animalité, amadouer le mâle que l’on pense crédule en levant la croupe. Et ça ne manque pas ici.
21:30) pik25%%% cette n : je te souhaite quand même de trouver la meileure des copines en attendant xXD
(21:30) pik25%%% cette n : moi me suis fait larg
(21:30) pik25%%% cette n : larg ka moitié en fait x'D
(21:46) (8) Laurent : Tu grandis, tu deviens ennuyante
(21:46) pik25%%% cette n : dis pas ca ! xXD
(21:46) (8) Laurent : bientôt les seuls convers que tu auras ça sera sexe et travail !
(21:47) pik25%%% cette n : EXPLDR ! sexe je suis pas du tout timide ca y va fort parfois 8-)
(21:47) pik25%%% cette n : mais travail... ouarf
(21:47) pik25%%% cette n : nan je vais essayer de garder mon ptit monde quand meme xXD
Bien sûr je feinte ne pas la connaître afin qu’elle puisse aligner mensonge sur mensonge entre deux répliques d’une orthographe calamiteuse ; on peut dire que ça n’a pas loupé. Il faut que vous sachiez que vous ne pouvez pas nous tromper, nous savons tous sur vous : vos hoobies, vos magouilles et même la couleurs de votre petite culotte ; rien ne nous échappe. A me prendre pour un blaireau on finit par subir le retour de bâton, ici il risque de marquer durablement sa jolie paire de fesses blanches.
IV. Coupables
Entre temps le forum a été patché et remis en ligne par Aurelgadjo qui fait remarquer que le hacker n’a pas récidivé. Après un débriefing avec l’équipe, Nkekev et Lowren se souviennent avoir reçu un étrange MP par un boulet peu avant celui ci. En recollant les morceaux du puzzle, nous identifions clairement ce qui semble être la source du hacking : une page « linkant » nos images du mini site SSBB …
… tout en étant totalement isolé sur un serveur free. On ne peut pas faire plus louche et ca ne manque pas. La technique est simple : Faire croire à un hotlink afin que le webmasters ouvrent la page et déclenche le piège. Et devinez ce que l’on retrouve en faisant une analyse du header ?
La page kirby.php aurait donc été modifiée le 16 mai à 22h06. Pourquoi l’avoir modifié peu de temps après le hacking, sinon afin d’effacer les preuves ? Tout colle !
Comme le résume si bien Aurelgadjo
« En fait on n’a pas été victime d'une insertion de liens forgés dans les balises [img] mais d'iframes dans une page distante, piégée. L'admin qui ouvre cette page ouvre les iframes sans le voir ni le savoir. Ces iframes envoient vers les pages de suppression de membres et de forum. Comme l'admin est authentifié sur le forum, les cookies font leur boulot et le forum croit que c'est un admin qui a demandé délibérément de supprimer ce qu'on lui demande de supprimer. CQDF ? »
(22:52) (8) Laurent : Si tu as les backup du forum hacké
(22:52) (8) Laurent : on peut lire le mp, n’est ce pas ?
(22:52) Aurel' : ah
(22:52) Aurel' : les anciens ?
(22:52) Aurel' : mmh
(22:52) Aurel' : J'AI
Et devinez ce qu’on a trouvé, posté par les membres peu avant le hacking …
Alors comme ça on minaude avec Nkekev ?
Oh oh ! Si on reverse les timestamps on se rend compte que les MP ont été successivement envoyé à 20h 27min 15s et 20h 54min 47s, peu de temps avant le hacking en somme. Comme dirait si bien Aurelgadjo « w000000000000t ». Le MP prouve que Pika25 n’était pas là par hasard, Seb et elle-même ont tous deux montré le hacking avec une stratégie simple : Il sympathise avec deux admins peu au fait avec l’informatique (Nkekev et Lowren) et se servent de leur crédulité pour leur faire ouvrir la page et effacer le forum. Pour cela, il fallait être la plus candide possible, envoyer un lien piège en prônant la bonne foi et espérer que l’on gobe qu’elle puisse être manipulée. Raté.
Conclusion
Vous le savez, quand je suis très heureux, je ne peux m’empêcher de rugir un « Owalida » démoniaque. Je n’ai cessé de jouir au fur et à mesure que les preuves s’accumulaient au tournant de cette longue et palpitante enquête. Après n’avoir que trop fait durer le suspens, il est temps de vous présenter les deux coupables :
- Pika25 aka 77.58.26.*** originaire de suisse
De l’administration de Pokégraph
- Seb33000 aka Le loup aka 82.66.10.***, originaire de bordeaux
De l’administration de Pokémon Trash (Seb a deux IP différentes)
Bien sûr certains seront déçus, d’autres seront pétris de mauvaise fois : Comment « Seb et Pika25, deux fleurons de PP peuvent ils avoir fait ça ? Après tout, ils sont trop occupés à reconstruire PP et Pika25 n’a pas de capacités en informatique ». L’espoir anime parfois l’homme au delà de toute rationalité. Seb détourne des milliers d’euros avec les allopass du PPBO et Pika25 s’amuse à joueur aux hackeuses dans votre dos, mais tout ça, vous le néantiserez. Les gens sont fourbes : plus ils paraissent doux, mieux ils vous égorgeront d’un geste habile dans le dos. Le mot « confiance » n’existe pas sur Internet, sachez le.
« Les femmes sont expertes à exagérer leurs faiblesses, elles sont même inventives en faiblesses dans le but de se faire passer tout entières pour des ornements fragiles que blesse un simple grain de poussière : leur existence doit faire sentir à l’homme sa grossièreté et la faire peser sur sa conscience. C’est ainsi qu’elles se défendent contre les forts et tout « droit du plus fort ».
Nietzsche – Le gai savoir
Aujourd’hui Pokémon Trash a perdu des dizaines de jours de données au dépit sa communauté. Jouer aux lamerz avec le bonheur de membres, n’est ce pas un acte d’une grande lâcheté ? J’aimerais pouvoir faire une conclusion plus violente et corrosive mais c’est la déception qui domine.
A tout ceux qui on espérait, j’ai le malheur de vous apprendre qu’ils vous ont menti.
En attendant nous prévenons le jeune homme qui réside dans une impasse de bien surveiller son courrier, un grand barbu lui apportera sûrement une bien jolie lettre :)
Réactions
Il va s'en dire que nous ne sommes pour rien dans ce nouveau hacking –contrairement à ce que argue certains dans les commentaires. Je trouve toutefois étrange que comme par magie, le site qui n'avait eu aucun problème ces derniers temps se retrouve une nouvelle fois supprimé après notre dossier. Qui a dit pseudo stratagème pour s'innocenter ?
« A quand le retour du trash ? » ne cesse t-on de me demander ; « Bientôt » répond-je avec peu de conviction. Les cerisiers sont en fleurs, les filles se dénudent et les visites ne cessent de grimper, pourquoi ressortir les armes en cette période de prospérité ? Le trash n’est pourtant pas une discipline de racailles rageuses, c’est un art qui ne peut-être apprécié que par ceux qui aiment voir le sang couler, ceux pour qui le sadisme n’a comme limite que celles du diable. Si nous avions coupé avec nos racines, c’était par mollesse de voir ses gains augmenter, cette même mollesse qui sclérose aujourd’hui le reste du Pokeweb. La paix ne nous a donc que trop anémier et le devoir d’un homme étant de se battre, il était temps de redonner au trash ses lettres de noblesses.
Notre cible sera un site qui n’a cessé de s’illustrer par sa bêtise et son manque de transparence : un webmaster animé par le seul appât du gain, une entreprise qui détourne près de 3000 euro de bénéfice et une communauté de mouton qui aime à perdre son temps sur un ersatz de MMORPG. Comment mieux résumer Puissance Pokémon ? Subissant depuis ces derniers mois une vague de delete par l’incompétence de son webmaster, le site aura fini par chuter au tréfonds du Pokeweb. En plus d’un forum léthargique qui n’est plus qu’animé par une dizaine de personne, le site est passé en déca de la barre fatidique des 6000 visites avec des statistiques catastrophiques. Bien triste destin pour un site qui se prétend encore comme « le meilleur site Pokémon !!!§ ».
Croyant à notre culpabilité dans leur situation tragique, ils s’animent d’une rage et d’une jalousie sans borgne ; cette même jalousie qui les conduisit à la grave erreur que nous vous exposerons ici. Cessons donc cette introduction pompeuse, vous êtes maintenant convié à cette danse macabre, celle où toute la vérité sera faite sur les vices cachés de deux figures clefs de PP : Seb et Pika25.
Installez vous sagement et débutons notre enquête
I. Surprise
Il est 21 heures sonnante chez Aurelgadjo, la bouteille de Ice tea est presque vide et sa partie de CS se termine bientôt. Entre deux bruits de fusils, il perçoit l’abominable son que peut produire MSN à l’annonce d’une mauvaise nouvelle. C’est Nkekev, affolé.
(21:03) Nkekev : Aurel
(21:04) Nkekev : On a un gros souci. o_o
(21:04) Aurel' : raconte
(21:04) Aurel' : briévement
(21:04) Aurel' : en une ligne
(21:04) Nkekev : forum totalement effacé
(21:05) Aurel' : oh putain
(21:05) Aurel' : le forum
(21:05) Nkekev : gloups
(21:05) Nkekev : mon compte a été supprimé aussi
Le plan rouge est déclenché, Aurelgadjo décide de couper immédiatement le ftp : Nous sommes maintenant dans un bunker pressurisé, coupé du monde avec comme seul lumière celle des angoissantes ampoule orange tamisé. Nous décidons immédiatement de convoquer le « Buster Call », le nom que nous donnons à l’élite en matière de réflexion sur Pokémon Trash. Les 5 hommes les plus puissants du site, des génies qui du haut de leur clavier dominent des connaissances qui vous dépassent. « Qu’est t’il donc arrivé à Pokémon Trash », un ordre du jour clair.
(21:31) Aurel' :
194.**.**.** - - [14/May/2008:15:04:01 +0200] "GET /forum/delutil.php?id=1 HTTP/1.1" 302 -
194.**.**.** - - [14/May/2008:15:04:02 +0200] "GET /forum/delutil.php?id=4611 HTTP/1.1" 302 -
194.**.**.** - - [14/May/2008:15:06:39 +0200] "GET /forum/delutil.php?id=4611 HTTP/1.1" 302 -
194.**.**.** - - [14/May/2008:15:06:39 +0200] "GET /forum/delutil.php?id=1 HTTP/1.1" 302 -
(21:31) Aurel' : TERRORISTS WIN
Pour ceux qui ne comprendraient pas, Aurelgadjo possède des « logs », un fichier qui permet de savoir exactement ce qui se passe sur le serveur à la seconde près. Ici, c’est mon compte et celui de Nkekev qui est visé par un delete dont la vitesse étonne : s’agit il d’un script ?
(21:54) Aurel' : pourquoi aurait tu supprimé les forums ?
(21:55) Nkekev : j'ai rien fait O_O
(21:55) Aurel' : dis quelle ip tu as
(21:56) Nkekev : ***.***.***.***
(21:56) (8) Laurent : Tu as donc effacé un forum
(21:57) Nkekev : Son nom d'hôte associé : ***.***.***-**.rev.gaoland.net
(21:57) Aurel' : pourquoi as tu effacé des forums ?
(21:57) Nkekev : c'est pas moi je vous jure.
(21:57) Aurel' : Tu as executé un script ?
(21:57) Nkekev : non
(21:57) Nkekev : rien …
Rapidement la triste vérité nous apparaît, en plus d’avoir perdu 10 jours de données, le nom de Nkekev apparaît clairement comme celui ayant supprimé la totalité des données du forum. La rumeurs fusent : « C’est la vengeance du russe » « C’est les plus petit les plus vicelard » « tu vois qu’il t’a trahit ! » « Tu lui as payé SSBB en français et pas en jap donc il te fait la gueule ». Etait-ce donc notre kevin national qui se serait rebellé ? Tout le monde semble le croire, mais ses yeux teintés de larmes virtuelles me font penser le contraire. Je décide donc avec Aurelgadjo et lui-même de plonger dans le gouffre de près de 900 méga de logs à la recherche de la vérité.
II. Suspects
77.58.26.186 - - [14/May/2008:20:45:08 +0200] "GET /forum/admin/delforum.php?id=7 HTTP/1.1" 200 172
77.58.26.186 - - [14/May/2008:20:45:07 +0200] "GET /forum/admin/delforum.php?id=2 HTTP/1.1" 200 172
77.58.26.186 - - [14/May/2008:20:45:08 +0200] "GET /forum/admin/delforum.php?id=10 HTTP/1.1" 200 172
77.58.26.186 - - [14/May/2008:20:45:08 +0200] "GET /forum/admin/delforum.php?id=11 HTTP/1.1" 200 172
82.66.10.153 - - [14/May/2008:20:43:05 +0200] "GET /forum/delutil.php?id=1 HTTP/1.1" 302 -
82.66.10.153 - - [14/May/2008:20:43:05 +0200] "GET /forum/delutil.php?id=4611 HTTP/1.1" 302 –
Bingo, peu avant que Nkekev débute son œuvre destructrice, deux IP ont été identifiées comme la genèse du problème. Ces IP nous les connaissons, mais comme le souligne Aurelgadjo, « nous manquons de preuves »
(22:16) (8) Laurent : Seb (Le loup sur le forum) et Pika25
(22:16) (8) Laurent : Je pense que ce sont ces deux zigotos les coupables
(22:16) Aurel' : je sais pas
(22:16) Aurel' : on peut dire que now ça on s'en fout
(22:16) (8) Laurent : il faut trouver la faille
(22:16) Aurel' : oui
S’en suit une réflexion intense de plus d’une heure ...
(22:19) Aurel' : chier
(22:20) Aurel' : c pas une include
(22:20) Aurel' : il a trés bien joué
(22:20) Aurel' : je n'ai aucune idée de comment luter
(22:21) Aurel' : si c'est ce que je pense
(22:21) Aurel' : des iframes pour delete
(22:21) Aurel' : incluses dans un fichier externe
(22:21) Aurel' : des images par exemple
(22:22) Aurel' : bordellllllll
(22:22) Aurel' : je seche là
(22:22) Aurel' : je sais pas quoi faire
(22:22) Aurel' : c ouf
Une idée de génie nous traverse : Pourquoi ne pas nous laisser rehacker une seconde fois histoire de pouvoir clairement identifier la méthode utilisée ? Nous remettons donc le forum en route pendant que Aurelgadjo part se coucher (il a école demain le pauvre). Et le stratagème marche ! Le hacker mort à l’hameçon et recommence : Il est prit dans notre piège.
(19:49) Aurel' : YEAH
(19:49) Aurel' : TROUVE LA FAILLE
(19:49) Aurel' : YEAAAAAH
(19:49) Aurel' : TOUT SEXPLIQUE
(20:22) Aurel' : dis
(20:22) Aurel' : lors du second hacking
(20:22) Aurel' : te rappelle tu de qqchose de bizarre ?
(20:22) Aurel' : une bouleterie ?
(20:22) Aurel' : un post de merde ?
(20:22) Aurel' : un mp de merde ?
Tout semblait clair dès lors mais laissons l'explication à plus tard. Le « quand » et le « comment » étant résolus, il nous fallait maintenant le « qui », « où », « pourquoi ». Nous menons donc notre enquête pour trouver l’image et la vérité.
III. Amadouer
Sur mon MSN, une certaine « Pika25 » m’ajoute sur MSN, je lis déjà très bien dans son jeu : son but était de me fourvoyer, de m’amadouer afin d’obtenir informations et réactions. Entre temps ayant diffusé les premières rumeurs quand à sa culpabilité, peut-être espérait elle se blanchir.
Si j’ai une réputation de coureur de jupons, les gens ont peut-être trop tendance à me prendre pour un con. Tant mieux après tout, comme disait Nietzsche, « Tout esprit profond avance masqué. »
(21:14) pik25%%% cette n : Yoplè, je peux te causer 2 min?
(21:15) (8) Laurent : Deux minutes seulement
(21:15) pik25%%% cette n : Ok ! tu peux mexpliquer pourquoi ca se retourne contre moi votre hack ?
(21:16) (8) Laurent : et bien j'ai le malheur de t'annoncer que tu as été clairement identifié comme ayant hacké le forum
(21:16) (8) Laurent : mais je suis quelqu'un qui réfléchit
(21:16) (8) Laurent : alors expose moi ta défense
(21:17) pik25%%% cette n : Bah je ne vois pas ce que je fous dans les logs. je me suis inscrite le mardi soir sur ton forum PL mavait passé le lien ya 2-3 jours. je tai add pour te demander si ca tintéressait 2-3 créations ? jai vu un topic ou tu parlais que tavais besoin de gens qui dessinent
(21:17) pik25%%% cette n : alors me suis inscrite
(21:17) pik25%%% cette n : je me baladais le mercredi soir
(21:17) pik25%%% cette n : et puis plus que 4 forum
(21:17) pik25%%% cette n : mon IP est dans les logs mais en tant que visite?
(21:17) pik25%%% cette n : ou dautre?
(21:18) pik25%%% cette n :ca ma fait chier paske jétais en train de poster pour me présenter et tout
(21:18) pik25%%% cette n :pis le lendemain
(21:18) pik25%%% cette n :que vois je
(21:18) pik25%%% cette n :la grosse accusation
En voilà une maligne ! Il était maintenant clair que son excuse était fausse : comment une fille qui me vouait une haine viscerale pouvait-elle m’ajouter pour m’aider sur un site où elle est inscrite depuis seulement quelques jours ? Les délais ne collent pas et la mauvaise fois est dégoulinante, de quoi s’amuser en lui donnant de faux espoirs de victoire. Je décide donc de jouer le jeu :
(21:18) (8) Laurent : Tu es PEUT-ETRE innocente
(21:19) (8) Laurent : Mais tu as été clairement manipulé
(21:19) (8) Laurent : Je ne peux pas t'expliquer la faille, mais elle utilise les gens
(21:19) pik25%%% cette n : je voulais te faire part de mes découvertes a propos des failles jai recherché
(21:19) pik25%%% cette n : http://www.softbb.be/forum/index.php?page=forum&idf=5
(21:19) pik25%%% cette n : ton forum nest pas mis a jour
Et comme par hasard, la sainte ni touche qui ne connaît rien à l’informatique est capable de me pointer précisément les sources de la faille. Certaines personnes sont décidemment trop bêtes pour comprendre la différence de niveau qui sépare les hommes dotés d’intelligence de ceux qui en sont dénués. Pour ces gens, il reste une seule arme : l’animalité, amadouer le mâle que l’on pense crédule en levant la croupe. Et ça ne manque pas ici.
21:30) pik25%%% cette n : je te souhaite quand même de trouver la meileure des copines en attendant xXD
(21:30) pik25%%% cette n : moi me suis fait larg
(21:30) pik25%%% cette n : larg ka moitié en fait x'D
(21:46) (8) Laurent : Tu grandis, tu deviens ennuyante
(21:46) pik25%%% cette n : dis pas ca ! xXD
(21:46) (8) Laurent : bientôt les seuls convers que tu auras ça sera sexe et travail !
(21:47) pik25%%% cette n : EXPLDR ! sexe je suis pas du tout timide ca y va fort parfois 8-)
(21:47) pik25%%% cette n : mais travail... ouarf
(21:47) pik25%%% cette n : nan je vais essayer de garder mon ptit monde quand meme xXD
Bien sûr je feinte ne pas la connaître afin qu’elle puisse aligner mensonge sur mensonge entre deux répliques d’une orthographe calamiteuse ; on peut dire que ça n’a pas loupé. Il faut que vous sachiez que vous ne pouvez pas nous tromper, nous savons tous sur vous : vos hoobies, vos magouilles et même la couleurs de votre petite culotte ; rien ne nous échappe. A me prendre pour un blaireau on finit par subir le retour de bâton, ici il risque de marquer durablement sa jolie paire de fesses blanches.
IV. Coupables
Entre temps le forum a été patché et remis en ligne par Aurelgadjo qui fait remarquer que le hacker n’a pas récidivé. Après un débriefing avec l’équipe, Nkekev et Lowren se souviennent avoir reçu un étrange MP par un boulet peu avant celui ci. En recollant les morceaux du puzzle, nous identifions clairement ce qui semble être la source du hacking : une page « linkant » nos images du mini site SSBB …
… tout en étant totalement isolé sur un serveur free. On ne peut pas faire plus louche et ca ne manque pas. La technique est simple : Faire croire à un hotlink afin que le webmasters ouvrent la page et déclenche le piège. Et devinez ce que l’on retrouve en faisant une analyse du header ?
La page kirby.php aurait donc été modifiée le 16 mai à 22h06. Pourquoi l’avoir modifié peu de temps après le hacking, sinon afin d’effacer les preuves ? Tout colle !
Comme le résume si bien Aurelgadjo
« En fait on n’a pas été victime d'une insertion de liens forgés dans les balises [img] mais d'iframes dans une page distante, piégée. L'admin qui ouvre cette page ouvre les iframes sans le voir ni le savoir. Ces iframes envoient vers les pages de suppression de membres et de forum. Comme l'admin est authentifié sur le forum, les cookies font leur boulot et le forum croit que c'est un admin qui a demandé délibérément de supprimer ce qu'on lui demande de supprimer. CQDF ? »
(22:52) (8) Laurent : Si tu as les backup du forum hacké
(22:52) (8) Laurent : on peut lire le mp, n’est ce pas ?
(22:52) Aurel' : ah
(22:52) Aurel' : les anciens ?
(22:52) Aurel' : mmh
(22:52) Aurel' : J'AI
Et devinez ce qu’on a trouvé, posté par les membres peu avant le hacking …
Alors comme ça on minaude avec Nkekev ?
Oh oh ! Si on reverse les timestamps on se rend compte que les MP ont été successivement envoyé à 20h 27min 15s et 20h 54min 47s, peu de temps avant le hacking en somme. Comme dirait si bien Aurelgadjo « w000000000000t ». Le MP prouve que Pika25 n’était pas là par hasard, Seb et elle-même ont tous deux montré le hacking avec une stratégie simple : Il sympathise avec deux admins peu au fait avec l’informatique (Nkekev et Lowren) et se servent de leur crédulité pour leur faire ouvrir la page et effacer le forum. Pour cela, il fallait être la plus candide possible, envoyer un lien piège en prônant la bonne foi et espérer que l’on gobe qu’elle puisse être manipulée. Raté.
Conclusion
Vous le savez, quand je suis très heureux, je ne peux m’empêcher de rugir un « Owalida » démoniaque. Je n’ai cessé de jouir au fur et à mesure que les preuves s’accumulaient au tournant de cette longue et palpitante enquête. Après n’avoir que trop fait durer le suspens, il est temps de vous présenter les deux coupables :
- Pika25 aka 77.58.26.*** originaire de suisse
De l’administration de Pokégraph
- Seb33000 aka Le loup aka 82.66.10.***, originaire de bordeaux
De l’administration de Pokémon Trash (Seb a deux IP différentes)
Bien sûr certains seront déçus, d’autres seront pétris de mauvaise fois : Comment « Seb et Pika25, deux fleurons de PP peuvent ils avoir fait ça ? Après tout, ils sont trop occupés à reconstruire PP et Pika25 n’a pas de capacités en informatique ». L’espoir anime parfois l’homme au delà de toute rationalité. Seb détourne des milliers d’euros avec les allopass du PPBO et Pika25 s’amuse à joueur aux hackeuses dans votre dos, mais tout ça, vous le néantiserez. Les gens sont fourbes : plus ils paraissent doux, mieux ils vous égorgeront d’un geste habile dans le dos. Le mot « confiance » n’existe pas sur Internet, sachez le.
« Les femmes sont expertes à exagérer leurs faiblesses, elles sont même inventives en faiblesses dans le but de se faire passer tout entières pour des ornements fragiles que blesse un simple grain de poussière : leur existence doit faire sentir à l’homme sa grossièreté et la faire peser sur sa conscience. C’est ainsi qu’elles se défendent contre les forts et tout « droit du plus fort ».
Nietzsche – Le gai savoir
Aujourd’hui Pokémon Trash a perdu des dizaines de jours de données au dépit sa communauté. Jouer aux lamerz avec le bonheur de membres, n’est ce pas un acte d’une grande lâcheté ? J’aimerais pouvoir faire une conclusion plus violente et corrosive mais c’est la déception qui domine.
A tout ceux qui on espérait, j’ai le malheur de vous apprendre qu’ils vous ont menti.
En attendant nous prévenons le jeune homme qui réside dans une impasse de bien surveiller son courrier, un grand barbu lui apportera sûrement une bien jolie lettre :)
Réactions
Il va s'en dire que nous ne sommes pour rien dans ce nouveau hacking –contrairement à ce que argue certains dans les commentaires. Je trouve toutefois étrange que comme par magie, le site qui n'avait eu aucun problème ces derniers temps se retrouve une nouvelle fois supprimé après notre dossier. Qui a dit pseudo stratagème pour s'innocenter ?
| Les commentaires de la news | ||
 | le 26/05/2008 à 11:16 par Waluigi | |
| Mdr PP se font passer pour des gros N00bs XD "Comme si cela ne suffisait pas, le nouveau serveur que nous avons commandé n'arrivera que la semaine prochaine. Nous avons donc décidé de quand même continuer l'actualité Pokémon sur le site en attendant le nouveau serveur." Franchement cela fait pitié XD | ||
 | le 26/05/2008 à 10:17 par Kratos | |
| Mdr ^^ | ||
 | le 24/05/2008 à 13:29 par Alexrider | |
PP = Puissance pokémon  | ||
| le 22/05/2008 à 14:39 par Kratos | |
| Mais en fait si on regarde bien PP font la guerre tout seul -_- Quelle bande de n00b ! | ||
| le 20/05/2008 à 12:44 par Kratos | |
| Enfin cela n'est que la gueguerre de PP envers PT je trouve cela totalement stupide mais bon on y peut rien... | ||
| le 19/05/2008 à 16:11 par Zishan_ | ||
| O_O. Quelle affaire de malade!  | ||
| le 19/05/2008 à 10:54 par Kratos | |
| Truc de malade quand même XD | ||
Vous devez être connecté pour pouvoir la commenter.
Les personnages, le thème et le logo "Pokémon"
ainsi que les marques dérivées sont la propriété de :
© The Pokémon Company, Nintendo, GameFreak, Creatures Inc.
Copyright Pokemon-Arena 2006 - 2010.
Toute reproduction totale ou partielle est interdite.
Webmaster : Kratos
Contact - Team - Livre d'Or