Une négligence caractérisée ?

Je vais vous compter une petite histoire tout ce qu’il y a de plus vrai, pour ceux qui me suivent sur Twitter, vous savez de quoi je parle :p

Je suis actuellement à Lille, en voyage pour le travail. Je suis dans un petit hôtel bien sympathique d’ailleurs (si on oublie le fait que la télé est tout aussi grande que le lit… /troll).

Bref, j’arrive donc dans l’hôtel, après un rapide échange avec la personne de l’accueil, elle me sort des codes pour le wi-fi. C’est assez habituel comme système dans un hôtel : vous avez un ensemble de bornes wi-fi, ces dernières sont reliées à un routeur qui ne vous laisse passer que si vous êtes identifiés (c’est un proxy, comme sur le réseau 3G lorsque vous avez une clé 3G par exemple).

Bref, j’ai mes codes, chouette !

Une fois arrivé, ordinateur démarré, je me connecte au point d’accès de l’hôtel sans soucis et je démarre une page Internet… c’est à ce moment là que, normalement, votre navigateur se fait renvoyer sur la page d’identification du proxy…et là, surprise. J’accède à Google. Je vérifie, non non, ce n’est pas en cache sur mon ordinateur, d’ailleurs, Gwibber (client twitter pour Linux) fonctionne très bien, ainsi que aMSN et Mumble. Je vérifie bien, non non, je n’ai pas entré les codes d’authentification liés à la chambre dans laquelle je suis.

Rien que ce point me pose problème : imaginez que je télécharge ou que je suis en pleine activité illégale, ou encore que je veuille e****der l’hôtel avec la loi en trouvant des sites pédo pornographiques ? Bien, ils n’ont aucun moyen de prouver que c’est moi, puisque je ne suis pas identifié. Au premier abord, ce n’est « pas grave », lorsque l’on y réfléchit un peu, ça l’est un peu plus. Imaginez que l’IP se fasse flasher par la HADOPI ?

Intrigué, je décide de regarde un peu la configuration en faisant 2-3 scans. Un sur les ports TCP, un autre sur les UDP et un scan pour savoir ce qui tourne derrière. Et la…

Sur le scan TCP :

PORT STATE SERVICE
23/tcp open telnet

 

Sur le scan UDP :

PORT STATE SERVICE
53/udp open domain
67/udp open|filtered dhcps
137/udp open|filtered netbios-ns
138/udp open|filtered netbios-dgm
161/udp open|filtered snmp
500/udp open|filtered isakmp
520/udp open|filtered route
1701/udp open|filtered L2TP

 

J’ai reproduit l’opération sur tout les point d’accès, c’est encore plus étonnant de constater que certains ports passent sur des points et sur d’autre non (d’ailleurs c’est un poil étrange, mais bref).

Donc, le Telnet est ouvert, chouette !

Quitte à voir si le réseau est sécurisé, autant aller jusqu’au bout, je lance un dernier Nmap (nmap -O, pour obtenir quelques infos sur la machine qui tourne derrière), la requête me sort :

Running: Netopia embedded
OS details: Netopia 3387WG-ENT broadband router

 

Direction google, pour chercher quelques informations sur le Netopia en question, comme par exemple, les identifiants de base du telnet. 2 minutes après, j’avais les identifiants, merci Google.

Convaincu que la boite qui sous traite ce réseau est quand même pas co*** à ce point, j’essaye un telnet sur mon point d’accès, rentre les identifiants d’usine, et la…. c’est le drame car en effet, cela fonctionne.

Je ne communiquerais ni le nom de la société de sous traitance (que j’ai obtenu), ni le nom de l’hôtel, ni … ni rien en fait.

Je suis allé prévenir la personne à l’accueil, elle n’a pas saisi, sur le coup, la gravité de la chose (en même temps, chacun à sa place, il fait très bien son travail, je fais très bien celui que son prestataire ne fait pas…). Après cinq bonnes minutes d’explications, la personne à compris les tenants et les aboutissants de la sécurité de son réseau et surtout, les risques que l’hôtel encoure s’il ne sécurise pas son accès. (Hadopi, Loppsi, téléchargement illégal, problèmes avec la justice …)

Ce qui me tue, dans cette histoire, c’est le prestataire. Comment ! Comment est il possible de se dire prestataire et de proposer… ça ? Je n’ai pas de compétences ultra fortes de la mort qui tue, il m’a fallu 5 minutes pour faire mes tests, imaginez si j’avais forcé un peu ? Imaginez si une personne mal intentionnée fait quelque chose ?

Note : la personne de l’accueil m’a remercié, c’est assez rare pour être souligné, d’habitude, « on » se fait taper dessus.

Une opportuniste chez les techos.

Bien, avant tout chose, si vous consultez ce blog régulièrement, vous pourriez être surpris de la suite. Je n’aime pas la violence, je n’aime pas m’en prendre à quelqu’un, qui plus est en public, mais mes limites sont dépassées. Je déteste profondément le mensonge, au-delà du fait qu’il ne serve aucun intérêt, il blesse (surtout lorsque l’on s’implique à 100% dans quelque chose). Ce billet n’est pas alimenté de rumeurs, mais de faits que j’ai pu moi-même constater.

L’opportuniste, je l’appellerais ainsi dans ce billet. C’est une jeune femme, relativement visible sur Internet. Cette jeune femme, en public, s’attribue des compétences et un titre proche de celui d’un Hacktiviste dans le meilleur des cas, d’un Hacker dans le pire des cas. Du chiffrement à la crypto en passant par le cassage de clé wifi, elle a manifestement tout fait, tout vu. Jusqu’à il y a quelques jours, je pensais que tout ceci était vrai : quel intérêt, surtout dans ce domaine, de prétendre savoir faire quelque chose dont on est incapable ?

Elle a participé à des mouvements impliquant des immigrés tunisiens en difficulté, oui, je parle bien de l’affaire Botzaris36 et, bien que personne ne puisse nier son implication et le fait qu’elle ait contribué à médiatiser l’affaire, on pourra lui reprocher ses techniques de communications qui, selon certains, en ont fait fuir plus d’un.

Dernier point avant de repartir sur le hacking. Notre opportuniste s’en est pris ou s’en prend encore à deux personnes, l’une que je connais assez pour savoir que c’est une bonne personne, l’autre que je ne connais énormément pas mais qui, au regard de ses implications dans divers projets, me laisse penser que c’est une bonne personne également. Ne connaissant pas les faits précis et n’ayant pas été témoin de l’histoire, je n’épiloguerais pas, ce n’est pas assez argumenté de faits.

Il faut que vous sachiez quelque chose. Le hacking, c’est comme les frites Mc Cain : c’est ceux qui en parlent le moins qui en font le plus. D’ailleurs, ce sont souvent les personnes les moins visibles sur la toile qui, dans « l’underground », en font le plus. Le Hacking est un domaine où tout se sait assez rapidement, les gens communiquent énormément, même si aux yeux du monde ils donnent l’impression de se taire. Sans m’autoproclamer Hacker (ce que je ne suis pas), en France, il existe une bonne communauté (que j’ai l’honneur d’apercevoir de temps à autres), ils se parlent, se connaissent IRL pour certains, réfléchissent ensemble et essayent d’avancer « dans le bon sens », même si cela peut parfois mettre leur vie en jeu.

Partant de ce principe, vous comprenez donc que hacker, ce n’est pas pour jouer. Ca n’est pas ce que l’on vous montre dans les films non plus, avec un petit génie de 14 ans qui infiltre le réseau du FBI en deux coups de cuillère à pot ou en deux clics. Ce n’est pas simple, parfois dangereux et surtout, il faut être sur ses gardes (sans tomber dans la paranoïa).

Bref, le masque tombe. L’opportuniste n’a pas les compétences qu’elle prétend avoir. Point d’expertise dans le chiffrement, la sécurité d’un réseau, Linux, le cryptage, le Wifi j’en passe et des meilleures. Non, la seule chose qu’elle ait, c’est une imagination débordante, elle s’imagine une vie de pirate informatique, traquée par de vils hackers sans foi ni loi.

Décryptage de mes conclusions :

Concernant la sécurité réseau : aucune base. Notre opportuniste expliquait sur certains réseaux sociaux qu’elle était relativement calée. Les preuves récoltées me montrent malheureusement que non, jusqu’au fondamentaux du protocole IP.

Concernant le fonctionnement du wifi et le cassage de clé: idem, aucune compétence spécifique ici. Le fonctionnement du wifi n’est pas connu, les systèmes de cassage de clé non plus.
Mention spéciale : même si quelqu’un sait casser des réseaux wifi, il ne s’en vante pas, encore moins sur la toile (pour rappel, c’est juste illégal et condamné).

Le chiffrement de données : même constat. Méconnaissance des logiciels déjà existants et qui permettent de chiffrer ses données ou ses communications (comme open PGP par exemple, qui fera l’objet d’un autre billet). Ces bases fondamentales n’étant pas connues, je vois difficilement comment le reste peut l’être.

La liste est relativement longue, je vous épargne l’ensemble des observations qui m’amènent à dire que : cette personne est une usurpatrice, une opportuniste qui n’est pas ce qu’elle prétend être. Ce qu’il y a de grave là-dedans, c’est que pendant qu’elle prétend faire ce qu’elle dit, d’autres personnes le font vraiment.

Que va-t-il arriver lorsque les masques tomberont complètement ? Le milieu du hacking en France prendra encore une claque (il est encore ultra marginal et n’a vraiment, vraiment, vraiment pas besoin de cela).

Pour moi, les jeux sont faits : cette personne est dangereuse. Dangereuse pour les vrais hackers qui se cassent la tête sur des opérations qui sont en train de mal tourner, dangereuse pour les personnes que ces hackers aident mais également dangereuse pour moi. A force de trop l’ouvrir, cette personne aura des problèmes. Pas avec les hackers, ils ont autre chose à faire croyez-moi. Non, les problèmes qu’elle aura, ce sera avec la justice.

Une autre crainte est que cette personne soit néfaste dans un petit parti : le Parti Pirate Français. Je n’ai pas observé ses actions au sein du PPFr, je ne me prononcerais donc pas dessus, mais si c’est après la gloire qu’elle court (comme dans le domaine du hack), alors fatalement, ça va poser problème.

Dernier point : le stalk. Là, vous êtes peut-être en train de vous demander ce que cela signifie…dans la vie réelle, ça serait un peu comme de la traque poussée à l’extrême. Exemple (ah hasard) : une amie part en vacances numérique (enfin, en fugue numérique, nous nous sommes un peu – beaucoup – inquiété je dois l’avouer), là où le stalking commence c’est lorsque la personne pousse ceci à l’extrême, je pense que l’on peut parler d’harcèlement ou à défaut de techniques assez singulières et originales qui mélangent insistance et brutalité verbale.

Bref, ce point en a fait tilter plus d’un, moi y compris (et c’est d’ailleurs de là que j’ai cherché à en apprendre plus) pour que j’arrive à une conclusion que je pense pouvoir confirmer maintenant : cette personne est une opportuniste, potentiellement dangereuse qui plus est.

Je ne tente pas de vous influencer, que cela soit clair. J’explique mon point de vue sur une personne que vous aurez reconnue, j’en suis certain. Preuve, s’il en faut encore, que c’est une opportuniste : son nom n’est pas mentionné… et pourtant.

NB : n’aies pas l’impression que je te l’ai faite à l’envers, cela n’est pas le cas (j’ai même l’impression que c’est plutôt l’inverse et que je me suis fait avoir l’espace d’un temps). Je t’invite à ne pas venir troller, je suis gentil mais j’ai mes limites.

#OpSyria : les preuves parlent d’elle même.

petit billet matinal après une nuit un peu courte, je reviendrais sur le sujet plus en détails plus tard. Le sujet : la censure massive du régime syrien démontrée.

Hier, Reflets mettait en ligne la saison 3 de l’#OpSyria (c’est le tag de l’opération Syrie sur Twitter).

Pour rappel, le peuple syrien se fait harceler, massacrer et même poursuivre bien plus loin que les limites du pays. Pour l’instant, il ne faut pas c compter sur les nations unies, puisque cette nuit, elles nous informaient que la Russie et la Chine ont utilisé leur droit de véto sur un projet de résolution qui condamnait fermement les actes perpétués par le gouvernement de Bachar Al Assad.

Revenons à l’#OpSyria, le net en Syrie est sous surveillance, une surveillance assez violente entrainant une répression qui l’est tout autant. Al Assad ne s’est pas fait chier, pour rester poli, c’est une masse assez impressionnante de sites qui sont filtrés…le truc qui fait encore plus tache dans cette affaire, c’est le « qui s’occupe de tout ceci ».

La réponse, c’est Bluecoat, une firme américaine. Elle dira qu’elle ne fait que son travail mais le fait est que Bluecoat, donc les U.S.A, aident à faire taire un peuple et à repérer les opposants au régime syrien. Littéralement, ils vendent de la mort.

La saison 3 de l’#OpSyria apporte les preuves indéniables d’une impressionnante partie du filtrage/flicage/blocage & Co qui arrive en Syrie. Reflets fera certainement un retour très rapide sur le sujet, le temps d’analyser quelques… 54 Go de logs (dans notre cas, des fichiers contenant plein de vilaines informations pas très jolies jolies).

Après m’être mangé un début de lecture (imaginez un fichier texte d’une centaine de mégas…un .txt, ça en fait des lignes), voici ce qui en ressort (la liste est bien sur light):

– Blocage des sites Pornos
– Blocage des sites de communication, des sites de messagerie instantanéeµ
– Blocage d’une masse hallucinante de forums sur des sujets divers et variés (rémunération en navigant, confidentialité des données, jeux …)
– …

Puis, on trouve aussi des petites lignes qui en disent beaucoup : la page d’accueil de « msn arabic », Facebook, Opera & Co (j’imagine pour éviter l’installation d’addons pour essayer de se planquer)…

Enfin bref, vous l’aurez compris, le peuple Syrien ne peut pas s’exprimer et n’est pas en mesure de savoir ce qu’il se passe ailleurs, l’ensemble des moyens permettant de faire sortir l’information sont fermés…et la répression continue pendant ce temps là.

A suivre… plus d’informations quand l’ensemble des données auront été exploitées…

ps : désolé pour les éventuelles fautes, le café en intra n’a pas encore fait effet.

Le jour ou j’ai voulu mourir.

L’article qui suit n’est pas de moi, mais de Stephan Urbach, un agent Telecomix. Il est en anglais et traduit dans la langue de Molière par Tris Acatrinei (que je remercie au passage, suivez la, vous ratez quelque chose sinon).

NB : le blog de Tris étant hors ligne, je vous livre une version « google cache ».


Je vais vous faire une confidence. Quelque chose de très personnel. J’ai voulu mourir.

J’avais tout planifié. J’avais organisé le comment. J’avais préparé mon matériel. J’avais écrit une liste permettant d’avoir accès à mes emails, mon serveur, mes sessions IRC et qui devait en être informé. J’étais dans une profonde dépression. Je ne voyais pas d’autre solution que d’en finir pour mettre fin à la souffrance que je pouvais ressentir.

La pression était trop forte pour moi. Depuis Janvier, je travaillais sur différents projets avec Telecomix et d’autres collectifs. Nous aidions les Egyptiens à rétablir leurs connexions Internet. Nous aidions les Syriens, les Libyens et beaucoup d’autres ne disposant pas de la liberté de parole dans leurs pays. Nous avons fait notre possible pour que leurs voix soient entendues malgré tout. Je me suis littéralement battu pour cela. Je me suis battu contre mon cycle de sommeil, mes habitudes alimentaires et mon besoin d’amusement. Il était devenu habituel que je reste éveillé plus de trente heures voire plus.

J’ai vu et écrit des choses que je ne considérais pas appartenir au champ des possibles. Ces derniers mois, j’ai aidé beaucoup de gens à être connecté à Internet, à libérer leurs paroles et à montrer au reste du monde ce qu’il en était vraiment. Certains se sont perdus en cours de route. Je ne les reverrais jamais et je ne sais pas s’ils ont tout simplement préféré prendre leurs distances, s’ils ont été arrêtés ou s’ils sont, tout simplement, morts. Je n’en ai pas le moindre putain d’idée et je ne le saurais jamais.

Chaque jour qui passe apporte son lot d’horreurs à travers le monde, relayé dans les médias, lot d’horreurs ne nous affectant pas directement. Les nouvelles ou l’absence de nouvelles de ces personnes avec lesquelles j’étais en contact , m’ont profondément affecté. Une pression pour aider ces personnes avait surgi, personnes qui combattent de manière tellement enragée pour leur liberté d’expression.

Plus nous aidions ces personnes,  plus je sentais que le niveau de responsabilité montait d’un cran.

Je ne pouvais plus dormir. Je buvais trop. J’ai fumé plus que de raison. Il n’y avait rien d’autres dans ma vie qu’aider d’autres gens. Mais j’ai fini par oublier ce qui était bon pour moi. Dormir, s’amuser, regarder des films, écouter de la musique. Passer du temps avec mes amis sans penser aux gens qui étaient sur le terrain et ce qu’il y avait à faire ensuite.

Un jour j’ai réalisé que j’étais perdu. Perdu dans une vie qui n’était plus la mienne. Perdu dans une vie où je ne m’occupais que des autres, qui me considéraient comme un héros. Personne ne voyait que j’étais juste un pauvre gosse qui voulait faire mumuse avec de la technologie et écrire des articles sur le futur de la communication.

Cette histoire s’arrête là : il fallait en finir. Je ne voyais pas comment faire autrement. Partir. Ne plus être un putain d’héros. J’avais prévu d’en finir le lendemain du Chaos Computer Camp. Tout était prêt. Mais c’est arrivé. Nous avons fermé le cluster d’hacktivistes dont je faisais partie. J’ai rencontré beaucoup de gens formidables « en vrai » sur place et beaucoup rencontrent le même problème. Mes amis étaient sur place et m’ont montré que la vie valait la peine d’être vécue.

Avec le reboot du cluster, je vais faire mon propre reboot. Je recommence à faire des projets pour moi. Je ne suis plus perdu. J’ai ma place sur la scène des hacktivistes et j’ai des amis partout à travers le monde. Je ne suis pas seul. De fait, ce que je considérais être un fardeau n’en est plus un. J’ai ouvert les yeux sur ce qui était important dans la vie : transmettre ce que l’on ressent. Et si le fait de transmettre ce que je ressens peut permettre à d’autres qui ressentent la même chose, de se sentir mieux, ça sera une bonne chose.

Il est temps de procéder au reboot.

Complément d’information sur une Interview

Hier, j’ai été contacté par un journaliste de RTS (http://www.rts.ch) afin de réaliser une « interview » téléphonique sur les Anonymous (interview entre guillemets, je ne remets pas en cause les capacités du journaliste de RTS (bien au contraire), simplement,  je n’aime pas énormément ce mot. J’ai l’impression de me la raconter un peu et, oui, je supporte pas ça).

Je viens d’avoir le lien pour télécharger l’interview, qui dure approximativement 5 minutes: http://download.rsr.ch/la-1ere/programmes/le-journal-du-matin/2011/le-journal-du-matin_20110817_standard_1er-developpement_eb1bdeb6-194f-4fc4-ba16-a18f5a76200e-128k.mp3

L’interview (au total) à duré environ 25 minutes, ce qui est trop long (normal) pour aborder un sujet d’actualité. RTS à donc choisi un ensemble de morceaux pour refaire quelque chose qui dure approximativement 5 minutes (ce qui ne me dérange absolument pas). De ce fait, des parties d’informations ne sont pas présentes et je profite de mon blog pour les ajouter (et contredire deux points, non liés au journaliste).

1er point (qui fait déjà débat) : le terme de hacker. L’interview me classe comme un hacker mais, pour replaçer les choses comme je pense qu’elles devraient l’être, je n’en suis pas réellement un, je m’explique : le simple fait d’utiliser un logiciel afin de réaliser du DDOS (je ne reviens pas sur l’aspect légal, ou non, de cette pratique) ne fait pas de moi un hacker, un kiddies tout au plus. Le hacking est un Art vaste (oui, un Art) et je n’en connais qu’une minuscule partie. Je préfère donc le terme d’hacktiviste (et encore) au terme de hacker. Les gus du Chaos Computer Club, oui, ce sont des hackers.

second point: les Anonymous sont présentés comme un groupe, une sorte d’entité dans laquelle tu peux rentrer, de laquelle tu peux faire partie…je ne suis pas totalement d’accord sur ce point. Pour vulgariser la chose : est Anonymous qui veut l’être. Il existe plusieurs représentation de l’idée Anon, sur le web et IRL (dans la vie réelle) mais, sur le web, il suffit d’une connexion à Internet, d’un logiciel et…roulez jeunesse! On ne peut pas dire « lui, il est chez les Anonymous » ou « lui il n’est pas chez les Anon », dans des échanges entre Mr Raphael Grand (le journaliste de RTS) et moi, c’est un point que j’avais précisé, pour des raisons de timming il n’est pas présent dans l’interview.

Ma philosophie: Anonymous est bulletproof. Anonymous est une idée, Anonymous est un idéal et les idées sont à l’épreuve des balles ;-). Chacun peut rejoindre ces idées, cet idéal, chaque personne est libre de s’identifier à ces idées, ou pas.

Les faits: oui, je vais être clair et jouer le carte de la transparence. Oui, j’ai été de ceux qui ont attaqués les sites du gouvernement tunisien, égyptien et libyen. Oui, j’ai été de ceux qui ont DDOS certains sites (et je sais que c’est illégal, ne me parlez pas de la loi, je sais précisément ce que je risque).

J’ai mes raisons : lorsque l’on coupe la parole à un peuple, lorsque l’on fait taire un massacre ou lorsque la Liberté d’expression disparait, si je peux faire quelque chose, je le fais, légal ou pas, je m’en contrefous. Je ne parle pas de légalité ici, je parle d’un peuple qui s’est fait massacrer et qui n’avait plus les moyens de s’exprimer (et si c’était à faire, je recommencerais). Je n’ai pas participé aux attaques d’#OpPayback avec Wikileaks, même si je suis d’accord avec le concept. Avouez que c’est étrange de couper les revenus de Wikileaks tout en laissant Kadhafi gérer ses comptes comme bon lui semble, n’est ce pas…

Dernier point: oui, je cautionne le fait que parfois, il faut franchir les barrières de la légalité, lorsque la situation l’impose. Est-ce légal de faire taire un peuple, un site d’information ou encore un blogueur parce que ce qu’il dit déplait à son gouvernement? Non. Pourtant, c’est ce qu’il s’est produit…alors, s’il faut, pour aider, faire quelque chose reconnu comme illégal, soit.

PS : mes paroles dans l’interview ne sont pas totalement justes et je donne l’impression que c’est Anonymous qui à sauvé la vie de personnes en Tunisie ou en Egypte, ce n’est pas le cas. « Nous » avons donné à ces peuples un moyen de s’exprimer lorsqu’ils n’en avaient plus, ni plus, ni moins (et les Telecomix ont fait bien plus, mais hélas, peu de gens parlent de de groupe alors que je pense qu’ils méritent notre plus grand respect).

Je pense avoir fait le tour de ce petit complément que je souhaitais ajouter /-).

PS (²) : petit message personnel. Je remercie Mr Raphaël Grand pour cette interview, son travail et son professionnalisme. Au global, mes propos ne sont pas déformés (ce qui m’a un peu fait peur, je dois l’avouer). Je regrette simplement le fait que le timming de l’interview simplifie les Anonymous à « un groupe » de hackers, l’ensemble – comme vous le savez 😉 – est plus complexe.

« For the Lulz », ou quand un sympathisant ump joue au fail.

Edit : à la demande de ma source, et pour éviter tout soucis possible, l’url du site dont il est question ici n’est pas présente (même si vous serez à même de la retrouver, si vous êtes motivés 😉 )

Petit article « lulz » et pas méchant, mais je ne pouvais pas garder cela pour moi, personnellement, j’ai rigolé (et j’ai un peu halluciné), à vous de voir 😀

Hier soir, une source que je garderais anonyme (on ne sait jamais, des fois qu’on lui cherche des ennuis après) m’a fait parvenir une adresse, d’un site de soutien à Nicolas Sarkozy
Jusque la rien d’anormal, petit passage sur le site : relativement basic , un peu mal foutu à mon gout, une gestion de la partie graphique qui laisse un peu sur la faim et je ne parle pas du contenu, n’adhérant pas à l’UMP, on s’en tape ici.

Après recherches, le site tourne sur une version de Joomla (et pas la dernière), une genre 1.5.5….
Si je précise la version du Joomla, c’est parce que sur cette version il existe une (WTF) énorme (et le mot est faible) faille de sécurité, genre celles qui vous permettent  de changer le mot de passe administrateur pour avoir accès à toute la console de gestion derrière, par exemple (je ne rentre pas dans le détail, cette nuit, la faille fonctionnait encore).

Pour les petits hackerz qui seraient tentés de jouer avec le site : mon contact m’a informé que l’info était déjà remontée, donc je serais vous, j’éviterais de tester (je dis ça, j’dis rien hein…).

Bon, donc, juste que la on a un site, (perso ou pro?) sympathisant  UMP, avec une grosse faille de sécurité.  Je suis allé à la pêche aux renseignements sur le site, et c’est la que j’ai un peu rigolé, je dois l’avouer.

Le site est géré par une société : ms-trading.net.

Je précise que je n’ai rien forcé pour obtenir les informations suivantes (on sait jamais) :

Cette société a crée d’autres sites :

– http://www.poztonic.com

– http://www.gpmotos74.com

http://www.motosud34.com

http://www.bobo-pizza.com

http://www.ledoucen-candon-huissiers.com/

– http://www.armatures-de-france.com

…et j’en passe, tous sous le même CMS (Joomla, je ne suis pas allé vérifier la version du CMS…mais fort à parier que c’est la même).

Ms-trading.net…recherches sur cette société:

au début, je pensais que Ms, c’était pour Multimédia services mais en fait non, le nom complet c’est: Multimédia Sandoz Trading S.A.S…quelques pages google après:

Sandoz : Michel Sandoz – sympathisant UMP, j’irais même jusqu’a dire sympathisant actif, vous verrez après, gérant de la société ms-trading.net, créateur du site en question (officiellement, c’est ms-trading.net qui a crée le site cependant, après quelques recherches, il n’y à qu’un seul contact, un portable, j’en déduis donc que Mr Sandoz est seul pour gérer l’activité)…ah oui j’oubliais, ex vice président de l’association des amis de Nicolas Sarkozy et directeur des réseaux sociaux de l’E.E.D.C.M (où Anh Dào Traxel exerce). Une personne manifestement bien impliquée dans la politique donc.

La suite des recherches me donne un profil Facebook, librement accessible (vive la confidentialité des données), des photos de cette personne lors de meetings que je présume UMP, dans des camions à distribuer des tracts, un grand nombre de photos prises avec Anh Dào Traxel, d’autres avec quelques personnalités connues (la tête de l’UMP, Besson, j’en passe). Bref, pas un simple sympathisant UMP quoi. Je continue, je tombe sur la page Facebook de soutien à Mr Sarkozy pour 2012 et, oh joie, le site en question est référencé dans les pages officielles de soutien (et tout ceci, juste en naviguant, qu’on ne m’accuse pas de je ne sais quoi)

Donc, maintenant, je résume : on à un site partisan de l’UMP, à première vue déclaré entant que page officielle de soutien et qui peut se faire éclater en 30 secondes. Le tout crée par une société « spécialisée » dans la création de sites (pour des prix qui me feront toujours halluciner, 2000-3000-5000€ H.T), plutôt sympa. Quand on sait que tout les autres sites de la société tournent sous le même CMS (et certainement la même version)…et bien, d’un coup, on se dit qu’on peut dormir tranquille niveau compétences ;-).

Il reste un point à éclaircir cependant : qui à payé pour le site? Les liens entre Mr Sandoz et le groupe UMP sont bien proches, trop pour que je n’imagine pas que le groupe UMP ou les jeunes Pop n’y soit pas impliqué…

Mr Sandoz, au cas ou vous passeriez ici, petit cadeau :

Ne confondez pas amateurisme et sécurité. Vous prétendez faire de l’amateurisme, avec une société qui est dédiée à la création de site web? Je ne comprend pas, vous dites donc que votre société fait dans l’amateurisme? C’est pas un peu se tirer une balle dans le pied de dire cela?

Si vous n’avez pas mis à jour le CMS que vous utilisez, je vous invite à le faire rapidement.
PS : JE suis un amateur, passé un certain stade (quand on réalise une prestation payante et hors taxes donc professionnelle) on ne peut plus se prétendre amateur…à bon entendeur.

Ah oui, au fait, faites attention quand vous parlez sur le net, je veux dire, ce que vous avez dit ne donne pas une image « pro » de vous et de votre activité.