C'était samedi dernier, ma femme traînait comme chaque weekend sur MSN, guettant chacun de ses contacts afin de discuter des choses en cours, etc... Et son petit frère vient lui parler, et le plus normalement du monde lui demande de mettre une annonce à sa place sur le site www.leboncoin.fr. Geekant à côté, ce fait m'a clairement intrigué, mais je l'ai laissée faire, tout en restant méfiant. Et je n'ai pas eu tort.
tu vas m aider juste 5min ...
Je sentais bien qu'elle galérait à suivre les indications de son frère, qui par ailleurs avait un langage bizarre. Petit extrait de la conversation:
mme_virtu: tu veu que jappel xxx: tu vas m aider juste 5min a remplir un formulair d'annonce sur un site d' annonce gratuite car il y a mon pc qui beugg sur le site et qui me soul et me donne la merde mme_virtu: ah et quest ce que je peu faire xxx: voila tu va sur le site www.leboncoin.fr et tu klic sur deposer une annonce et apres tu me di la suite cbon?? tu es sur le site ?? ?? mme_virtu: oui ji suis xxx: ok tu klic sur deposer une annonce mme_virtu: c fai xxx: ok Code postal: 50110 Département: Manche Région: Basse-Normandie voila tu remplir et tu me di la suite mme_virtu: OKI ENSUITE xxx: oui tu me di et je te donne mme_virtu: OK
Bref, il se montrait un poil trop insistant. Elle était là pour l'aider quoi, il aurait dû être plus reconnaissant le bougre. Je flairais le piège. Pour le coup, il lui demande par la suite de télécharger des images directement via des URLs, de les sauvegarder et de les ajouter à l'annonce. C'est là que ma femme a laché l'affaire, n'étant pas experte de la chose, elle me passe son laptop et me demande de le faire à sa place. Je le prends, termine la saisie de l'annonce, et note les informations intéressantes fournies par mon interlocuteur:
Je soumets, et là il me demande de la valider à sa place, en me collant directement le lien dans MSN. Encore une fois, très louche tout ça. Je lui fais croire que j'ai validé, et il me demande d'en poster une nouvelle. J'en profite pour faire les vérifications d'usage:
mme_virtu: ok, vous arrivez quand ici ? xxx: tu a remplir deja ?? mme_virtu: nan pas encore, je veux juste savoir quand est-ce que tu viens me voir lol xxx: demain soir ok tu remplir et tu me di ok on fini vite mme_virtu: ca peut pas attendre dimanche, ca me saoule ... xxx: ok tu sa quand?? tu veux quand alor ? mme_virtu: dimanche quand tu seras a la maison xxx: koi?? tu remplir la ??
Bon, comme prévu il a eu faux à la question piège (la date de son arrivée), à savoir qu'il devait venir le lendemain en début d'après-midi et non le soir. Pour le coup je l'ai fait un peu patienter, généralement cela a le don d'énerver l'interlocuteur (ce qui a été le cas ici). Pour terminer, je refuse tout simplement de poster une seconde annonce à sa place, et il se déconnecte aussitôt sans autre forme d'au-revoir, ce qui me confirme encore une fois que ce n'était pas mon beau-frère en face, mais bel et bien un pirate.
En parallèle de cette conversation, j'avais googlé rapidement quelques mots-clefs histoire de voir si c'était une arnaque connue, et quelle ne fut pas ma surprise de lire plein d'avis d'internautes qui se sont fait avoir par ce type de piège.
Oui, mais pourquoi ? Pourquoiiiiii ??
La première question qui m'est passée par l'esprit était celle du pourquoi: pourquoi demander à une tierce personne de poster une annonce sur le site www.leboncoin.fr alors qu'elle pourrait le faire elle-même. J'ai donc entrepris de faire quelques recherches dans ce sens.
Première partie de réponse, qui m'a semblé évidente: pour éviter d'être tracé. En effet, les annonces postées indirectement par les pirates sont très alléchantes, et peuvent attirer de potentielles victimes qui pourraient décider d'acheter un bien fictif et se feraient donc arnaquer de quelques milliers d'euros. En cas d'enquête, c'est l'adresse IP de la personne qui a posté l'annonce qui est suspecte. Ceci dit, les proxies anonymes et/ou ouverts existent, et permettent de passer outre. J'étais sceptique.
J'ai donc décidé de vérifier par moi-même si leboncoin interdisait l'envoi d'annonce de l'étranger:
Impossible donc de déposer une annonce si on ne provient pas d'une adresse IP française, et cela afin de limiter les fraudes je suppose. Pour un étranger, demander à un français de passer une annonce à sa place a donc deux avantages: pouvoir déposer et valider une annonce (lors de la discussion, mon interlocuteur m'a demandé de visiter un lien de validation d'annonce) tout en étant quasi pas traçable.
En recherchant sur Internet plus d'information sur ce type d'arnaque, je suis tombé sur deux URLs bien sympatiques:
Elles expliquent en partie les motivations de ces pirates, et notamment le fait que ceux-ci cherchent à déposer des annonces frauduleuses sur le site www.leboncoin.fr, mais tentent aussi de phisher le mot de passe MSN de la victime à l'aide de ce site même ! Je dois avouer que je n'avais pas directement pensé à cette solution...
1, 2, 3, 4, 5, 6 ... owné !
J'ai remarqué que le pirate m'a demandé de mettre le mot de passe 123456 comme mot de passe de l'annonce, alors je me suis dit qu'il devait être "fan" de ce type de mot de passe. Ni une ni deux, je me suis connecté sur le portail de Yahoo, et je me suis authentifié sur le compte qu'il m'avait fourni avec le même mot de passe, bingo !
J'ai pu retrouver l'email de demande d'activation de l'annonce envoyé par www.leboncoin.fr:
Bon, jusque là rien de super passionnant. J'ai juste réussi à compromettre le compte email du pirate. Cependant, Yahoo propose une fonctionnalité capitale: la possibilité de regarder qui s'est connecté sur le compte (via l'option "Infos Compte"), et affiche notamment les adresses IP. C'est comme cela que j'ai pu récupérer les différentes adresses IP du pirate qui a créé ce compte:
Une rapide géolocalisation de ces adresses IP montre qu'elles proviennent du Bénin (Cotonou et villes proches), ce qui est apparemment très courant dans ce type d'arnaque. Le compte a été visité le lendemain de la tentative que j'ai essuyé, mais sans nouvelles du site www.leboncoin.fr . Quant au numéro de téléphone donné par le pirate, celui-ci n'est pas attribué.
Le cheval de Troie belge de retour !
Je n'ai pas pu récupérer plus d'information que cela sur le pirate (pas comme didoune qui a pu discuter avec lui et mesurer sa ... enfin bref), mais on peut se rendre compte très rapidement que l'attaque est réalisée par des personnes sans aucune connaissance technique en informatique et encore moins en sécurité:
Le site www.leboncoin.fr fait tout son possible pour éradiquer ce type de comportement, qui s'est d'ailleurs propagé sur facebook et d'autres messageries instantanées, mais cela reste la bonne vieille technique du cheval de Troie belge: "Bon maintenant tu ouvres ton navigateur, et tu fais ce que je te dis ...". Ce type de fraude n'est pas neuf, car plusieurs attaques de ce genre ont été recensées à partir de 2010.
On ne le dira jamais assez, mais ne faites pas n'importe quoi avec votre compte facebook ou MSN, sans quoi vous mettez votre sécurité, vos données personnelles ainsi que celles de vos amis en danger.
Bon, c'est un fait, je n'ai pas pu échapper au dernier Harry Potter en 3D. J'ai patienté dans la file d'attente, j'ai réussi à trouver une place pour ma moitié et moi-même, mais avant de chausser mes lunettes je me préparais à twitter en cas de pub hadopi ou je ne sais quoi d'autre ...
Ah bah ouais mais non
C'était sans compter l'industrie du cinéma et ses ingénieux trésors déployés pour retarder (vainement) l'apparition sur les réseaux dits «pirates» de vidéos réalisées via des mobiles. En effet, j'ai eu la surprise de découvrir que les réseaux GSM étaient brouillés, tout comme la 3G. Impossible de se connecter au net pour twitter une dernière fois avant le début de la fin d'Harry Potter.
La séance débuta, et je me résolus à laisser ce tracas de côté et à suivre le film (ouais bon, je ne paye pas 8,50 euros juste pour me poser des questions sur le type de brouilleur utilisé). Une fois la séance bouclée et les lumières revenues, j'en profite pour localiser le bouzin. Je n'ai pas trop tardé à le trouver, des LED m'ont mis sur la voie, mais surtout la manière dont il a été installé, je vous laisse seuls juges:
J'ai encadré en rouge le dispositif de brouillage, qui est simplement accroché et branché sur une bête prise de courant avec un adaptateur. D'habitude dans cette salle je n'ai jamais eu de problème avec le réseau (la dernière fois j'avais failli dérailler car une pimbèche était scotchée à son blackberry et recevait des appels durant la scéance ...), mais cela m'a amené à me poser quelques questions, dont une notamment: «Est-ce que les salles de cinéma ont été sommées d'utiliser ce type de protection afin de protéger le droit d'auteur pour Harry Potter ?».
En effet, ce dispositif étant tout récent (bon ok, je n'ai pas été tout récemment dans cette salle, mais il y a de cela quelques semaines), on est en droit de se demander s'il n'a pas été installé juste pour cet évènement. Cela s'est déjà vu que des dispositifs particuliers aient été pris pour la sortie de films très attendus, et peut-être que celui-là en fait partie. Je fais d'ailleurs appel à vous, si jamais cette mésaventure vous est arrivée durant le visionnage de ce film (ce qui étayerait ma thèse, je l'avoue). N'hésitez pas à me twitter.
Smartphones trop smarts ?
C'est à se demander si les smartphones (et la miniaturisation qui va avec) ne sont pas en ce moment même en train de poser de sérieux problèmes à plein de gens. On a pu lire ça et là sur le net que les examens du bac et notamment certaines réponses ont circulé via facebook, qu'un smartphone a été utilisé pour prendre en photo un sujet de bac S, ou encore qu'il est question d'interdire les smartphones dans les salles d'examen. Au cinéma, le problème est abordé dans le sens contraire: on cherche à les rendre inopérant et à éviter toute fuite «rapide». Et c'est bien ça le problème que posent ces smartphones: l'instantanéité. Clic clac, une photo, un clic de bouton et c'est sur facebook, twitter ou google+. On filme 2 minutes de film, et on peut partager très rapidement sur youtube des extraits quasi en direct d'un film. L'instantanéité va tuer toutes les protections qui étaient jusque là mises en place.
La place des smartphones dans la société actuelle (qui a dit 2.0 ?) est remise en question, tout comme leur usage. Il ne faut pas oublier qu'ils restent l'outil préféré des geeks (comme moi), des jeunes nés avec Internet entre les doigts (comme eux), et les technophiles de tout poil (comme vous ?), et que sans eux on se sentirait bien seul. Enfin moi surtout, mais c'est une autre histoire.
La solution: l'adaptation
Tout comme les usages en terme de partage et de téléchargement ont évolué, les mécanismes de protection vont eux aussi devoir évoluer. L'arrivée de la 3D dans les salles de cinéma va poser de nouveaux soucis aux amateurs de film réalisés via smartphone: la qualité n'est pas au rendez-vous (ce qui amène à se poser la question de savoir si dans mon cas de figure la protection mise en place dans la salle de cinéma était réellement nécessaire), et est une première réponse de l'industrie du cinéma contre le piratage de films via le format DivX. Les salles d'examen vont opter pour une interdiction des smartphones (et des téléphones en général je suppose) afin d'éviter toute triche. Beaucoup de moyens en perspective, alors qu'il y a certainement beaucoup à tirer de ces smartphones.
Quid d'un QRCode dans un film qui mènerait à du contenu bonus, accessible en live (images, énigmes, etc ...) ? Bon j'avoue que pour le coup de la triche aux examens, je n'ai pas trouvé de contre-argument valable, mais je suis sûr qu'en cherchant bien ... Vous l'aurez compris, les smartphones sont de plus en plus présent, et il va falloir apprendre à faire avec. Si on ne peut pas les combattre, on peut tout de même les utiliser d'une manière détournée afin de réconcilier tout le monde. Du moins, il y a certainement quelques pistes à explorer ;)
Samedi se déroulait la neuvième édition de la Nuit du Hack, organisée par Sysdream et la communauté Hackerzvoice. Ce fut une nuit très enrichissante, pleine de rencontres et de pur fun, avec entre 700 et 800 visiteurs (je n'ai pas eu les chiffres officiels à ce jour).
Rude préparation
Cela fait plusieurs mois que l'on travaillait à l'organisation de cette Nuit du Hack 2011: organisation des talks, des workshops, du CTF (sic) et du wargame public. Toute la team hackerzvoice s'est mobilisée, chacun apportant sa brique à l'édifice qui s'agrandit chaque année. Nous avons opté pour un changement d'endroit, les péniches n'étant pas du tout adaptées à ce type d'évènement le choix du New York Hotel de Disneyland fut fait. Le New York Hotel de Disney possède une salle de 2000 mètres carrés, avec une régie, une scène, une sonorisation sur mesure ... Alors oui, quand on a annoncé que ça se passait à Disneyland, les critiques et commentaires ironiques ont fusés sur Twitter.
Du côté technique, le Capture The Flag de cette année a vu son architecture évoluer, peut-être un peu trop quand on voit comment on a missionné à le lancer. Franchement, pour y avoir passé des nuits dessus et avec pas mal de personnes impliquées, je suis sincèrement déçu que cela n'ait pas pu se dérouler dans les conditions voulues. On avait monté deux baies serveur et une palette de machines à la mode NdH2010, tout cablé et testé auparavant.
Rencontre avec les speakers, puis pseudo-dodo
Nous sommes arrivés au New York Hotel le vendredi soir, pour tout installer pour le lendemain. J'ai retrouvé Bruno Kerouanton au pub du NYH, accompagné de Nicolas Grégoire, Gary S. Miliefsky et Mario Heiderich. Ils sont venus nous donner du courage pour la préparation de la Nuit du Hack, et puis on en a profité pour boire un coup avec eux. J'ai retrouvé aussi Winn Schwartau, que j'ai rencontré l'année dernière à Las Vegas lors de la Defcon 18; ça faisait tout drôle de le revoir, avec sa moustache inchangée ;). J'ai passé un vendredi soir magique, j'ai même trouvé le temps de troller sur Hadopi avec Mario Heiderich o/ ! Petite retouche de mes slides pour la forme, avec Sorcier_FXK.
L'installation du matériel et le câblage se sont terminés tard dans la nuit (aux alentours de 3h du matin, le samedi). J'en ai profité pour rejoindre une chambre dans laquelle on a squatté avec Sorcier_FXK (kalkulators.org), Ezano et Franklin (le guru des conférences). Je n'ai dormi que 4h environ, mais ca m'a permis de récupérer un petit peu avant le grand jour.
Jour J, stress au max
Douche, petit-dej sur le pouce, et je débarque dans la salle où va se dérouler la Nuit du Hack 2011. Les régisseurs sont en place, on fait les derniers checks au niveau des écrans et du son, toujours les derniers détails qui posent problème. Je fais un test sur la scène, c'est vraiment impressionnant ... C'est vide mais j'essaie de m'imaginer ça rempli. Les gens commencent à arriver, et là problème: les applications de lecture des QRCodes des badges ne fonctionnent pas (à 30min de mon talk). Je règle le problème en urgence, et je saute sur scène. C'était plus dur que ce que je pensais en fait, de parler devant six ou sept cent personnes, avec un spot dans la tronche. J'ai chaud, je bafouille légèrement, mais j'arrive à gérer le temps et la démo en évitant de la louper. Plutôt cool donc :). Pour ceux que cela intéresse, les slides de mon talk sont disponibles ici.
Le reste de ma journée, je l'ai passée à discuter de temps en temps avec quelques intéressés d'Android, et puis avec le staff du CTF pour tout fignoler. On a essuyé pas mal de problèmes, enchaîné les pépins, et les esprits ont commencé à s'échauffer. Le retard s'accumulait, les problèmes aussi: à chaque problème que l'on pensait résolu s'en ajoutait un second... Aux alentours de 2h du matin, j'ai laissé les autres membres du staff gérer le truc, j'étais trop fatigué et énervé contre des personnes qui faisaient tout leur possible pour mettre ce CTF en route. Je me suis calmé de mon côté, en essayant de faire le vide, de trouver une solution "viable". De leur côté, le staff CTF a tenté de modifier le principe du challenge, mais cela a pris du temps et n'a pas été concluant. La dure décision d'arrêter les frais a été prise par le boss, et on a vu des équipes dégoutées, qui pour certaines étaient plus désolées pour nous et pour le temps que l'on avait passé dessus. Une grosse déception en somme, que j'ai essayé d'atténuer à grand renfort de bière.
En parallèle, le challenge public tournait plutôt bien, et les épreuves se faisaient valider au fur et à mesure que la soirée avançait. Au moins, tout n'aura pas été raté.
Impressions diverses et retours
Les retours que l'on m'a fait de l'évènement sont assez variés, mais dans l'ensemble plutôt bons. Tout le monde y va de son commentaire, de quelques idées qu'il a eu pour améliorer l'évènement, des regrets que cette édition soit plus "corporate" que celles des années précédentes ... Je peux tout à fait comprendre ces remarques et ces réactions. Disney a tout de même permis à l'équipe des organisateurs de se concentrer sur l'essentiel, sans avoir à gérer la logistique de la nourriture et de la boisson, en mettant à disposition de l'évènement une vraie régie son et vidéo, avec des systèmes qui fonctionnaient nickel et que l'on avait pas à gérer de notre côté. Du côté des visiteurs, l'endroit était tout de même hors-normes, avec une salle immense, un grand nombre de place (ah, ça fait toujours plus que sur la péniche) ainsi qu'un certain confort. Le fait de pouvoir louer une chambre pas loin, avec des tarifs préférentiels (mais chers, faut avouer), pouvait être un plus.
Ce que je retiens de cette édition, c'est que d'une part elle m'a franchement étonnée: un endroit de rêve pour des conférences, qui se prête tout à fait à la venue de speakers internationaux, et qui s'adapte aussi aux usages habituels de la Nuit du Hack (workshop, CTF, prises de courant, etc ...). Et d'autre part le nombre de personnes ayant répondu présent, les animateurs de workshop qui ont fait un boulot formidable, mais aussi les speakers qui ont été terribles (et qui, on le souhaite, reviendront nous voir l'année prochaine), etc... Si la Nuit du Hack devait se dérouler dans un seul endroit l'année prochaine, ce serait bien à nouveau dans l'hotel New York.
<center><embed type="application/x-shockwave-flash" src="https://picasaweb.google.com/s/c/bin/slideshow.swf" width="400" height="267" flashvars="host=picasaweb.google.com&hl=fr&feat=flashalbum&RGB=0x000000&feed=https%3A%2F%2Fpicasaweb.google.com%2Fdata%2Ffeed%2Fapi%2Fuser%2Fvirtualabs%2Falbumid%2F5620811613695329713%3Falt%3Drss%26kind%3Dphoto%26authkey%3DGv1sRgCIni3IHQoNvynwE%26hl%3Dfr" pluginspage="http://www.macromedia.com/go/getflashplayer"></embed></center>