Le PUR fail : Ze blaireau takedown #agenceh #eurorscg #hadopi
Il y a quelques heures, la Quadrature du Net lançait l’excellentissime paspeurdhadopi.fr. Hier, sur les coups de 16h, un floodeur commence à inonder l’application web d’insultes à mon encontre et de quelques autres. Mais visiblement, à moi, il m’en veut vachement. Le flood continue encore aujourd’hui… 24h non stop, on est carrément dans l’atteinte au STAD. Ce sont plusieurs centaines de messages d’insultes qui sont frénétiquement postés par notre barbouze en herbe depuis hier, ce avec des tentatives d’automatisation… et bien permettez moi de trouver ça plutôt drôle, vous allez voir, ce bust est un cas d’école.
Dans le cadre de ma participation active à la campagne de comm’ (on adore la comm’ sur reflets.info) sur la Promotion des Usages Responsables des Internets, je vous propose de vous asseoir bien confortablement et de sortir le Popcorn… ça risque de chicotte.
Les PUR vannes
Le PUR noob
L’anonymat sur le Net est quelque chose de complexe, je vous avais expliqué ici, puis encore ici (ne pas lire ce billet serait une erreur pour notre petit plaisantin car il risquerait de ne pas comprendre que je m’en garde encore sous le pied à son encontre), qu’il ne suffit pas de se planquer derrière un proxy, ni même Tor pour s’assurer d’être anonyme… Malheureusement, notre PUR noob du mois n’avait pas du me lire puisqu’il a oublié de protéger son contexte. What a fail ! Attention mon jeune ami, dans quelques lignes tu vas être ridicule.
Voici les faits loggués :
- Hier, vers 12h une personne arrive sur le site paspeurd’hadopi.fr en tapant dans Google »http://label-pur.fr », rien de curieux jusque là, sauf … sauf son user-agent, une métadonnée qui usuellement ne raconte pas grand chose. Mais là manque de bol ce User agent accolé à cet OS est tout simplement unique : Macos10.7 + Firefox 4.0.1 :
194.3.206.38 – - [08/Jun/2011:12:46:15 +0200] « GET / HTTP/1.1″ 302 5 « http://label-pur.fr/ » « Mozilla/5.0 (Macintosh; Intel Mac OS X 10.7; rv:2.0.1) Gecko/20100101 Firefox/4.0.1″
- Toujours hier, vers 16h le torrent d’insultes nominatives à mon encontre débute, notre bonhomme se cache derrière un proxy, mais comme notre courageux marketeux a oublié de sécuriser son contexte… devinez quoi : Même OS et UA d’une autre planète. Voici l’IP (un proxy) qui lance le flood :
64.20.45.178 – - [08/Jun/2011:16:43:47 +0200] « GET /new/ HTTP/1.1″ 200 2492 « - » « Mozilla/5.0 (Macintosh; Intel Mac OS X 10.7; rv:2.0.1) Gecko/20100101 Firefox/4.0.1″
- Aujourd’hui, 16h30, le flood continue et je poste ce billet.
Le PUR range
On revient donc sur le log de la première visite pour en extraire l’adresse IP qui nous intéresse (c’est assez facile à faire matcher) et on s’aperçoit également dans les logs, cette fois de reflets.info, que nous avons à faire à un grand fan de nos articles. L’IP en question est : 194.3.206.38
Tien c’est quoi ce range ?
inetnum: 194.3.206.0 - 194.3.206.255 netname: FR-EURORSCG
Il semblerait, sauf erreur du RIPE, que cette adresse IP appartienne à EURO RSCG, la méga géniale géante agence de comm’ qui claque… intéressant. Mais Label PUR, EuroRSCG, insultes… quel rapport ?
Et bien le rapport, on le trouve dans la première visite, plus exactement dans son origine, la requête Google : »http://label-pur.fr ». Nous avons là un visiteur, qui depuis une IP d’EURO RSCG fait des recherches pour savoir qui cause de Label Pur dans les Internets. Première petite vérification :
- Qui a réalisé la campagne de communication HADOPI ?… AGENCE H.
- Et c’est qui AGENCE H ? Une agence du groupe Havas localisée au 11 quai Léon Blum, 92150 à Suresnes.
- Et qu’est ce qu’on trouve également dans le même bâtiment d’AGENCE H… EURO RSCG.
Partant du principe qu’AGENCE H partage le même bâtiment qu’EURO RSCG il n’est donc pas exclu qu’ils partagent également le même range d’IP publiques… vous sentez venir le fail là ? Ça ne vous pique pas un peu derrière les yeux ?
Vous allez voir, sur Google Map c’est on ne peut plus clair :
Voici EURO RSCG
Voici AGENCE H
Ma PUR hypothèse
J’ai un peu de mal à croire que le pourrissage de l’application de la Quadrature du Net soit une commande de l’HADOPI à EURO RSCG ou à AGENCE H. Si tel était le cas, il s’agirait d’une campagne orchestrée de dénigrement et cette petite erreur risquerait bien de signer encore un tragique épisode de l’interminable bataille HADOPI… mais voilà, je n’y crois pas un instant. Le collège de l’HADOPI est peuplé de juristes très compétents qui ne s’adonneraient pas à une telle pratique. Les ayants droit peut être ? … ah oui tien, cette hypothèse tient la route, vu qu’ils sont les commanditaires de TMG qui rappelons le est quand même la seule connexion coupée par l’HADOPI à ce jour.
Ou avons nous tout simplement affaire à un marketeux frustré de s’être fait un peu chahuter dans ce billet.
Cher Agence de comm’ attention, ne venez pas me raconter de bêtises, le Apache de reflets.info est gavé de traces de l’adresse IP 194.3.206.38…
La PUR galère
On a bien rigolé, passons maintenant aux trucs un peu moins drôles
HADOPI nous rappelle fort justement qu’on est responsable de ce qui se passe sur sa connexion. Ce qui me permet, avec l’ensemble des preuves numériques collectées de porter une plainte contre X dans le cadre d’injures portant atteinte à mon honneur et à ma dignité. Le X remontant une IP d’EURO RSCG, vous vous doutez bien qu’on risque de retrouver un peu de flamby sur les murs de tout le bâtiment du 11 quai Leon Blum.
Là où c’est encore moins drôle, c’est que le flood est dans notre droit assimilé à une atteinte au STAD (Système de Traitement Automatisé de Données). Ainsi la Quadrature du Net pourrait elle aussi de porter plainte au … pénal. Et sur le papier, c’est 3 ans et 45 000 euros d’amende….
La PUR comm’
Franchement, vous croyez qu’HADOPI avait besoin de ce genre de coup de communication ? Au fait, vous touchez votre bille niveau comm’ de crise chez Agence H ?
You don’t fuck with the Internetz…
Billets en relation :
1094 
852 
15 
S'abonner
Si vous avez apprécié cet article, abonnez vous gratuitement pour ne plus rien manquer.
Tu n’as rien compris, c’est une opération de PURification des Internets. C’est tout…
ah, tiens…
A la lecture de « dans quelques lignes tu vas être ridicule » je pensais que tu avais contribué à cet article ^^
Bises
L.
On est de sales communistes, on met tout en commun, surtout quand les expressions sont bonnes. Je l’ai moi même nationalisée, elle appartenait à un terroriste célèbre, un certain Guillermito.
Ah! Lui! j’ai cotisé pour lui offrir un nouvel antivirus à l’époque.
Bon,à part ça, dès que j’ai fini ma thèse je t’envoie une copie, c’est copyleft si jamais tu penses qu’il y a une ligne intéressante dedans, Kamarade. A ce sujet, je te conseille d’installer un plugin wordpress qui gère le microformat COinS comme celui-ci : http://wordpress.org/extend/plugins/scholarpress-coins/ ça donnera envie aux thésards audacieux qui utilisent zotero de te citer précisément en un clic
ça sent un peu la merde comme nom d’opération !!!
Un peu plus ou un peu moins de mauvaise comm’, ca peut leur changer quoi ?!
En tout cas, chapeau pour la découverte !
Epic Fail ! J’aime, j’adore !
Ca mérite bien un petit RT ça
Epic win.
J’adore
.
Encore un bel exemple d’enquête Web, et des traces que l’on laisse en surfant !
Donc dépôt de plainte réel?
Vous allez porter plainte ?
Ce serait marrant…
L’user-agent est tout à fait correct :
https://developer.mozilla.org/en/gecko_user_agent_string_reference
Gecko/20100101 n’est pas la date du build :
Gecko/yyyymmdd indicates that the browser is based on Gecko. yyyymmdd is always « 20100101″ in release builds and does not represent the actual build date of the browser. (The recommended way of sniffing for a particular release of Gecko or Firefox is the version number.) For development (prerelease) builds, the build id presently indicates the build date of the browser, but this will very likely be removed in future
Je pense qu’il était moins question de la validité du user-agent que du fait que son caractère unique / peu commun a permis de suivre le type en question, malgré les « précautions » qu’il a manifestement tenté de prendre pour dissimuler son identité.
Ce n’est pas ce que semble dire le billet : « Même OS mais surtout ce Firefox avec une date de build d’une autre planète »
Comme dit dans un commentaire plus bas. J’ai plus de 900 lignes dans mes logs avec cet user-agent.
C’est un peu abusé lorsque l’on lit un peu plus haut « L’anonymat sur le Net est quelque chose de complexe »
Je suis d’accord. En fait le seul lien entre le visiteur cherchant label-pur.fr et le floodeur est son user-agent, qui est firefox derniere version + mac os derniere version. De la a affirmer que c’est la meme personne…
Mac OS future version, qui devrait sortir dans plusieurs semaines. De quoi réduire grandement la possibilitée d’user-agent « grand public »
Plutôt que de chercher le user-agent dans les headers y’aurait pas un cookie de session?
Haha, bien joué ! Ca me rappelle étrangement le commentaire de Sarko adressé à La Quadrature du Net durant l’eG8, à propos des bornes wi-fi qui étaient « mises à l’épreuve ». Je ne m’attendais pas à un retour de manivelle aussi mesquin que celui-ci.
Sinon, z’avez pas envie de faire une petite révolution pacifiste contre ces guignols ?
jajajaja excellent
Merci pour ce PUR moment de rigolade
Haha alors la chapeau !
Quelle PUR découverte ! Si tout cela s’avère vrai, le seul mot qui me viens à l’esprit c’est bel et bien « owned ».
On leur a longtemps répété qu’une adresse IP ne permettait pas d’identifier un utilisateur sur le réseau, alors p’têt qu’ils se sont crus protégés ?
Mauvais un jour, mauvais toujours…. dommage qu’on paye pour une telle PURe connerie.
rhô ils ont fait le ménage :/ juste par curiosité j’en aurais bien lu quelques-unes
GG sur ce coup-là en espérant qu’il y ait des suites ?
Tu peux en retrouver l’intégralité sur
http://membres.multimania.fr/troubles/insultes.htm
et
http://www.domisse.fr/fun/management/pipotron.html
C’est grosso modo 99% des messages à la con qu’il a laissé.
Bravo !
Tout simplement excellent (la forme et le fond)
J’ai pas compris un truc. Il a posté ses messages insultants caché derrière un proxy, mais c’est son user-agent (wtf 10.7 et la date ?!?) qui a permis de retrouver la trace de ses logs sur reflet.info? J’ai bon?
En tout cas, ça devait lui tenir à coeur s’il a fait le voyage depuis le futur juste pour ça…
comment se fait-il qu’il soit sur un mac avec OSX 10.7 qui vient juste d’etre présenté et pas encore sorti??????????? ca ca me tracasse
Lion est disponible pour les développeurs (compte payant sur le site d’Apple) ou sur réseau torrent par exemple
ouh ouh réseau torrent ça serait chaud pour TMG .. heu Hadopi .. ah non je veux dire agence H.
Allez, au hasard, un développeur d’applications pour iOS…
J’ai dit « au hasard », hein.
Voilà ce qui arrive quand on s’attaque aux Interwebs sans n’y rien connaître: on se fait poutrer.
PS :
Sur l’une de mes machines :
# cat access.log | grep « Mozilla/5.0 (Macintosh; Intel Mac OS X 10.7; rv:2.0.1) Gecko/20100101 Firefox/4.0.1″ | wc -l
915
Rien de spécial donc. Je ne comprend pas la corrélation entre cet user-agent tout à faire normal et l’IP derrière le flood ?
Rhaaa, mais c’est quoi ces « cat file | grep » ?? Apprenez à grepper proprement, les gens !
ça ne répond pas à mon interrogation
(FTFY : grep « Mozilla/5.0 (Macintosh; Intel Mac OS X 10.7; rv:2.0.1) Gecko/20100101 Firefox/4.0.1″ other_vhosts_access.log |wc -l)
Et grep -c,
c’est pour les chiens ?
Salut !
Et egrep aussi ?
@elskwi « Direct invocation as either egrep or fgrep is deprecated »
Et bien moi sur 4 machines j’en ai qu’un seul d’osx 10.7 et il se trouve que LQDN aussi …
Peut être un hasard.
Dans tout les cas il s’agit bien d’un User-Agent valide pour un Firefox 4 à jour sur OSX Lion.
En attendant il serait bien de modifier l’article en précisant que cette présomption a été faite de manière totalement heuristique et d’enlever « Firefox avec une date de build d’une autre planète » pour éviter la désinformation.
« Eviter la désinformation » ???
Tu te fous de qui ? Tu imagine bien qu’à ce stade, il y aura une enquête judiciaire diligentée par des experts.
Oui tu as très bien lu.
Les informations de ce billet ne sont pas honnêtes. J’admets que le fait que la deuxième entrés dans les logs soit une IP qui appartient potentiellement à AGENCE H est troublant. Cependant, ce justifier en donnant de faux arguments techniques qui s’avèrent erronés, oui, j’appelle ça de la désinformation/propagande. Il suffit de lire les commentaires de ce billet pour voir que les gens gobent directe ce qu’on leur montre sous le nez.
J’ai pourtant plus haut justifié avec un une documentation à l’appuie que l’UA présent dans les logs n’a rien d’exotique, pourtant les 2 phrases qui mettent en cause l’UA sur le build FF n’ont toujours pas été corrigées.
Corrigé pour l’UA, tu as raion, il faut qu’on s’en garde pour la seconde couche…
Bien, c’est juste ce que je voulais que tu corriges. Au moins maintenant c’est clair et ça n’avance plus des arguments techniques que des personnes « non techniques » peuvent prendre pour sûr
Dis donc, je commence à te trouver particulièrement lourd, désagréable et de mauvaise foi. Pour la dernière fois, je te répète que c’est le seul osx10.7 que mon apache ait vu jusque là… et paspeurdhadopi.fr aussi … tu cherches quoi exactement ? Tu bosses pour Agence H ? Tu vas nous expliquer que c’était un flood de test ?
Hm non perso, je bosse justement dans l’opensource et avec Mozilla. Ton article est maintenant corrigé, je n’ai plus à redire.
PS :
http://www.ape-project.org:80 XXX.XXX.XXX.XXX – - [09/Jun/2011:23:47:57 +0200] « GET / HTTP/1.1″ 200 5383 « http://reflets.info/le-pur-fail-agenceh-hadopi-eurorscg/ » « Mozilla/5.0 (Macintosh; Intel Mac OS X 10.7; rv:2.0.1) Gecko/20100101 Firefox/4.0.1 lulz »
Well played :p
@para LOL
UUOC spotted !
J’admets o//
« Ainsi la Quadrature du Net pourrait elle *avoir aussi le droit de porter plainte au … pénal. »
Va y avoir des petits nouveaux au Pôle emploi…
Faites valoir vos droits en justice, les moyens de propagande utilisés pour défendre ce complot de pourriture sont primitif, nauséabonde, dégradant et inhumain.
Même si le user-agent en question est très rare(voire unique) je doute fortement qu’un quelconque juge statue de la culpabilité d’une personne morale car le user-agent match… Autant dire que pour une eventuelle plainte, c’est comme si vous n’aviez rien du tout.
Bonjour,
Les FAI semblent être tenus à diverses obligations d’après la LCEN (type l’article L 34-1). Confirmer ou infirmer la responsabilité de la société « présumée coupable » devrait être facile.
Sauf que le plaisantin est surement passé par un proxy ou Tor pour ses insultes.
On a vu des investigations judiciaires bien plus complexes que cela aboutir. http://blog.crimenumerique.fr/
C’était une IP de test sans doute…
Mieux : des insultes de test.
C’est marrant ton article, le monde est vraiment petit…
Figurez-vous que je suis entré en contact avec EURO-RSCG il y a maintenant 3 semaines pour réfléchir et développer un logo pour mon label éthique, associatif, participatif pour et par les musiciens. En effet, je croyais qu’en ayant un ami là-bas, ce serait plus simple d’entrer en contact avec eux.
Et bien, je n’ai plus aucunes nouvelles, peut-être suis-je parano, mais en comprenant les concepts de PUR je m’interroge de plus en plus…encore plus lorsque je découvre ton article. de toute façon je ne suis pas dupe, je peux toujours courir pour obtenir la vérité
Le problème est qu’un tel concept réutilisé pour PUR par le gouvernement ne fonctionne pas. Dans l’art pour faire fonctionner un concept (comme celui de label éthique par exemple), il faut le réseau, les musiciens, les idées originales, de l’intégrité et… de l’authenticité…et surtout c’est un concept qui ne fonctionne pas dans une économie avec les producteurs et les intermédiaires, autant dire qu’ils sont mal barrés.
Pour finir je fais appel aux bonnes volontés, qui voudraient bien me donner un coup de main pour terminer le site et la plateforme de téléchargement libres (sous Joomla of course
), je rencontre quelques petites difficultés car je fais tout tout seul. En commençant ce projet, je ne me rendais pas compte à quoi je m’attaquais…
Patience et restons tous solidaires, c’est ainsi que nous allons finir par obtenir une culture libre pour tous directement des artistes aux internautes !
Je peux éventuellement te donner un coup de main.
Salut Robin, c’est sympa !
envoie moi un mail de contact à
antanof at singularity.fr
je t’en dirais un peu plus
bluetouff, je pense que tu va voir une tonne de connexion avec cet user agent arriver, exprès pour montrer le caractère non unique de celui ci. (que tu as bien sur changé dans ton article pour éviter cela, non ?)
BRRRRRR ca fait peur !
Une petite rafle sur le serveur de paspeurdhadopi.fr , et tous ceux qui n’ont pas peur d’hadopi et qui sont des noobs (ou qui n’ont pas peur de votre serveur) sont tracés … ARG …
Tous les sites web sur lesquels tu vas conservent des logs (si je me rappelle bien, c’est même obligé dans certains cas).
Actuellement, les logs conservés sont ceux de django et de nginx, rien de transcendant (on ne peut même pas relier une ip à une déclaration précise, sauf à la voir apparaître plein de fois…).
Je vois pas vraiment le problème là-dedans, c’est de la régulation tout ce qu’il y a de plus classique.
Je sais pas si ce commentaire est sérieux mais en tout cas il a pas l’air très bien informé.
c’est surement la loi Hadopi ou une autre du même genre qui oblige à garder ces logs ..
non, ce n’est pas la loi Hadopi. Mais c’est une loi Sarkozy aussi.
MacOS X 10.7, soit il l’a piraté (mouahaha), soit c’est un dev (surement mauvais pour le coup)
LULZ ! « Jusqu’à 45 000 € ». Ca ferait du bien à la Quadrature ça. Sans compter l’image de Super Hadopi bien écorchée. Siouplé, le pénal. Je participe si y a besoin d’avancer des frais.
Les 45k€ sont le montant d’une amende, qui irait donc à l’État.
Ce que La Quadrature pourrait toucher ne portant plainte… Tout au plus une compensation des pertes subies suite à l’attaque (surcoût sur l’hébergement, etc). Bref, des domages et intérêts, très faibles en l’occurence.
Une PURe rigolade en tout cas…
Je doute aussi que la Hadopi y soit pour grand chose… On les avait pourtant prévenus chez Agence H lors de la conférence de presse de lundi… Le responsable d’Agence H m’a traité de fou, j’ose à peine imaginer sa tête aujourd’hui.
C’est affolant de voir à quel point ce qui est censé être l’une des plus grandes agences de comm’ de Paris ne comprend strictement rien à internet, au point de faire des erreurs de noob de cette dimension…
Les détournements graphiques vont se multiplier, cette campagne sera le plus gros FAIL de l’histoire de la comm’ institutionnelle. On peut faire beaucoup mieux que Nestlé/Greenpeace sur ce coup, et devenir la référence enseignée dans les grandes écoles.
Pire, c’est pour ainsi dire acquis, dans la mesure ou j’enseigne au CELSA et à Science Po… #yeswecan
En honneur à LulzSec, je propose de monter LulzComm, le département communication /-)
Je suis partante. Mais il y a bien mieux que Nestlé/Greenpeace maintenant, depuis l’opération KitKat killer montée par Greenpeace, idem avec le détournement de Think Blue de volkswagen détournée etc
Il suffit qu’un mec chez RSCG est pété un câble… on va pas forcément mettre tout le groupe RSCG dans le même bateau, non.
Et ils avaient pété un cable quand ils ont accepté Ben Ali comme client ?
Non c’est certain ils sont connus pour être de grands humanistes surtout dans la com politique pour divers dirigeants africains
Et pour détendre l’atmosphère je propose une petite phrase qui défini bien ce qui est en train de se passer :
On va PURger le monde artistique !
Ca me semble bien mince, comme preuve devant un tribunal, cette histoire d’user-agent exotique.
Vous auriez peut-être dû attendre un peu avant de ferrer, afin d’avoir un peu plus de « biscuits », comme on dit…
Il ne faut pas parler aux c**** : ça les instruit !
[Audiard ??]
Mais c’est très joli, et bien expliqué
Pwned.
Voilà un mec qui va mouiller ce soir. Il risque tout simplement de perdre son boulot car:
- ça donne une image pourrie de son employeur (qui est une boite de com’ en plus, dommage)
- ça prouve qu’il a rien d’autre à foutre de ses journées quand il est au taf.
Il fera moins le malin Lundi matin quand il sera convoqué par son boss.
mais lundi c’est férié!
Dis-moi comment tu greppes…
grep « Mozilla/5.0 (Macintosh; Intel Mac OS X 10.7; rv:2.0.1) Gecko/20100101 Firefox/4.0.1″ access.log
tout simplement
tu connais le sens de « RTFM » ?
bon, tu nous a dit que tu a 915 lignes qui contiennent cette chaine de caracteres dans tes logs, mais est-ce que tu a verifie si des fois elles viendraient pas toutes de la meme adresse ?
RTFM ? C’est une nouvelle radio ?
915 lignes, 7 IP différentes
Depuis les 4 derniers jours.
Tu n’as pas répondu à la bonne personne
Les autres ip seraient pas dedans par hazard ?
62.160.251.0/24
62.160.252.0/24
194.3.124.0/24
194.3.125.0/24
194.3.205.0/24
194.3.206.0/24
194.3.207.0/24
194.5.150.0/24
194.5.151.0/24
194.5.166.0/24
194.5.167.0/24
195.25.79.0/24
195.25.80.0/24
Tout ca appartient à EURO-RSCG dixit les organismes de registry mondiaux auquel il ne faut pas mentir…
Heu non aucun rapport. Tout simplement des gens qui hit via OSX 10.7 sur l’une de mes machines.
Mais. Mais. Cet UA est tout sauf exotique…
Fais gaffe Bluetouff. Ils vont faire des attaques par déni de service… Façon Anonymous… La riposte va être sanglante !
La riposte « graduée » va être sanglante ! cqfd
je vois pas ce vous avez tous avec ce user agent… c’est un indice qui à permis de correler l’ip du flooder entre le site de bluetouff, jaipaspeurdhadopi, l’ip du proxy, et enfin les infos du RIPE.
Non?
On va savoir le nom de qui pratique la chose Buddy plugs, le nom des petits jeunes dans la com Hadopi inspiré des pratiques du publicitaire.
http://www.shopmania.com/adult/p-buddy-boy-dual-inflatable-butt-plugs-14194769
http://www.google.fr/search?q=194.3.206.38
AWESOME !
Bravo mec
Très bien joué…dans BF:BC2 ça s’appellerait un « EPIC FAIL »
Pourquoi ne pas mettre un javascript postant l’ip du posteur vu que le javascript est obligatoire pour mettre le +1/-1 du vote…fini le proxy !? Même si beaucoup de gens mettent l’extension NoScript de firefox…dans l’empressement les mecs autorisent généralement le site et non script par script.
http://javascript.internet.com/user-details/ip-address.html
Voici les contributions apportées par 194.3.206.38 à l’encyclopédie en ligne Wikipédia: http://fr.wikipedia.org/wiki/Sp%C3%A9cial:Contributions/194.3.206.38
Six modifications pour le baltringue, le film de Vincent Lagaff.. Ahaha !
et une contribution pour la page de David Hasselhoff !!! ><°
Je propose un truc fun : tu lances un appel au don et cette cagnotte servira à payer un avocat pour gérer la plainte contre X et ses conséquences quand le coupable sera trouvé
cool, PCinpact continue et trouve d’autres éléments rigolos (qui seront plus convaincants pour ceux qui ont pas compris le user-agent plus ou moins incroyabeul)
http://www.pcinpact.com/actu/news/64035-agence-h-hadopi-194320638-flood.htm
Peu tu m’expliquer ce qu’il y a de si incroyable dans cet User-Agent ?
non, justement. d’où le « plus ou moins ».
Hm même avec la nuance, je vois toujours pas
Vu que Bluetouff précise bien qu’il en a en réserve et surtout qu’il a des infos via la non sécurisation de contexte, je pense que même si le User Agent est valide et répandu, il doit avoir d’autres preuves…
Et des constats d’huissier pour porter plainte…
« on est carrément dans l’atteinte au STAD. (…) ce bust est un cas d’école. »
J’ai pas bien compris : les élèves ont pris le bus pour se rendre au stade ?
Je ne sais pas si cela a été dit, mais la page concernant J.S. est en fait un historique de création de page wikipedia.
Une recherche ciblée « 194.3.206.38 site:voila.fr » montre différentes pages modifiés depuis l’adresse IP :
- tentative de création J.S.
- modification de la page Max B.
- modification de la page Bruno Coquatrix (je met le nom en entier, je ne pense pas qu’il soit réél)
- et surtout : modification de la page Euro RSCG
L’analyse des modifications peut être interessante
Modifications datées de 2008 9h53 et 9h58, ça date un peu quand même
Bruno Coqutrix était le fondateur de l’Olympia, nom réel donc
Autant pour moi, je ne connaissais pas et pas eu le temps de chercher hier soir.
En tout cas, c’est un premier exemple intéressant « d’Usage Responsable ». On va tous aller pirater des artistes et faire du DDOS, et on dira ensuite « Bein on a fait comme l’agence de pub d’HADOPI, on a fait un usage responsable d’Internet en enfreignant les lois » ^^
Par contre, je ne serais pas vraiment étonné que cela fasse parti du « plan com’ » de H, simple évolution de ces plans com’ qui consiste à poster des avis dithyrambiques sur les forums conso.
Salux !
Je suis le créateur de pourquoijepirate.fr et j’ai été victime de la même attaque semble-t-il, durant la même période. Je suis prêt à vous fournir tous les logs & relevés nécessaires pour arriver à coincer ces guignols. S’il s’avère que vous avez raison sur l’origine de l’attaque, ma boîte est prête à engager des poursuites judiciaires, puisque c’est sur nos serveurs qu’est hébergé le site.
Vous avez mon mail, je suis à votre entière disposition.
Cordialement,
Emmanuel Bourgerie
Hello manudwarf peut extraire de tes logs l’ip qui nous intéresse et mettre ça précieusement au chaud ?
Pour ceux qui sont étonné du User-Agent : OS-X 10.7 = Lion = dispo à partir de juillet.
L’utilisateur à donc beaucoup de chance de pouvoir travailler sur un produit non officiellement dispo, non ?
Ah ben ça démontre bien que:
- Le User Agent en question est peu courant,
- Le respect des droits d’auteur, y’en a qui s’en foutent (ce qui ne serait pas grave si leur boulot n’était pas d’expliquer aux autres que c’est important),
- Y’a vraiment un gros PEBCAK là derrière, pour aller flooder avec un contexte aussi rare, alors que ça prend 30 secondes d’installer « User Agent Switcher ».
Les agences de pubs étant de grosses consommatrice de machines Apple (graphiste = photoshop = apple ^^) je pense qu’ils doivent un contrat privilégié avec Apple qui doit leur permettre de profiter en avant-première d’OS.
Epic Win
GG mec
Wikipedia suite. J’ai regardé l’historique d’édition de 194.3.206.0 à .127 (avec le favlet increment ça va plus vite).
Premier constat ça date plutôt de 2005-2007 en majorité; les éditions récentes sont plus rares.
Pour l’IP en question dans l’article, marrant que cette IP ait voulu supprimer une référence à not’ président non ? Cf. https://secure.wikimedia.org/wikipedia/fr/w/index.php?title=Euro_RSCG&action=historysubmit&diff=31147110&oldid=31089367
Bon vu le turn-over, il a pu y avoir 10 stagiaires différents entre temps ou 3 salariés, allez savoir. Mais la boîte est la même (EuroRSCG et Agence Havas/H c’est pareil si j’ai bien compris ?)
Pour le reste des IP:
)
.1 Jena-Luc Germond cuisinier
.10 un peu de culture puis dernier edit pour essayer d’ajouter la date de naissance du batteur Bastien Constant du groupe Post Offense (?)
.16 culture et milliardaire tunisien https://secure.wikimedia.org/wikipedia/fr/w/index.php?title=Slim_Chiboub&diff=prev&oldid=15275193
.35 ajoute site officiel de Umbro
notre fameux .38 David Hasselhoff et Bruno Coquatrix (du factuel), Euro RSCG (à propos de Sarkozy et des boss de l’agence), Langrune-sur-Mer (Alain Cayzac ex-pdt du PSG y a une maison familiale, formidable non ?), Pierre-Guillaume de Roux directeur/éditeur Table Ronde/Julliard/Rocher/Laffont du lourd (prétexte de l’édition de WP: petit-fils de Max Brusset), multiples éditions sur le film Le Baltringue (à creuser: semble réduire l’échec du film à la seule 1ère journée)
.55 5 éditions de « The Hours Entertainment », maison de disque distribuée par Universal Music (à creuser
.101 (proche des edits de .38, édition )
.102 UNEF, adhésion Turquie à l’UE, Luc Chatel, S. Huyghe (député UMP ET Cre à la CNIL, chef de l’opposition à Lille face à M. Aubry, vice-pdt de la commission des Lois à l’AN), un autre député UMP ex-dr de comm°, un groupe espagnol chez EMI, une discussion de bonne tenue sur les articles d’Entreprises et WP
.104 du foot (défense de Zizou après son coup de tête), JM Demange, Licence de logiciel (édition bénigne), C. Dupuy maire de Suresnes depuis 30 ans (MEF) et député UMP 93-97, un débat pour les 40 ans de Dauphine *organisé par Euro RSCG Worldwide Events* (re-édité après suppression)
.108 Accès à Internet à très haut débit (ajout Dartybox, du factuel), Alain Cayzac (PSG), Chris Isaak (Warner)
.110 Affaire du Rainbow Warrior (ajout 4ème nom)
.112 aviateurs célèbres, Air France, 4 lignes sur le site web du nageur Alain Bernard, vite supprimées
.113 long: IHECS, alcool, Euro RSCG (dirigeant, factuel), Jean-Luc Mano (l’historique de cet article semble intéressant niveau medias et politique), Séguéla (pour placer un lien de pronostics (?)), Groupe Carrefour et son équipe dirigeante
.115 rugbymen, pub de 8 lignes pour Airness par Havas Sports, MDia, un navigateur parrain de Filières du Talent DCNS (ex-DCN constructeur du porte-avion actuel entre autres)
.118 à relire
.120 UIMM vs L. Parisot (pro UIMM apparemment mais peut-être purement factuel)
.127 boulet (« Demander un article/Astronomie » défacé pour une déclaration d’amour. Trop lolxpdrmdr)
Qui se tape .128 à .255 ?
Re,
l’adresse est https://secure.wikimedia.org/wikipedia/fr/wiki/Sp%C3%A9cial:Contributions/194.3.206.128 et le favlet est ici : https://www.squarefree.com/bookmarklets/misc.html
J’ai lu vite fait; qu’on me pardonne les quelques erreurs et sûrement de nombreuses approximations.
Les questions que je me pose : pourquoi n’y a-t-il plus beaucoup d’éditions WP depuis à peu près 2008-2009 ? WP les traque, ils utilisent des comptes et plus des IP ou postent depuis chez eux, ils sont passés à d’autres activités, ils sous-traitent cette activité ?
Ou ils ont découvert les joies du proxy, tout simplement
Shit yeah.
Ca c’est du bon gros lulz doublé d’un niveau d’incompétence olympique
Qui a posté ça http://pastebin.com/7XqZkkqz ?
User-agent différent.
C4est moi et visiblement c’était avant sa mise à jour du weekend dernier ou tout simplement une autre personne de l’agence
Je suis pas super convaincu par tes déductions Bluetouff.
Est ce que tu peux confirmer que ce user-agent n’est associé qu’à 2 adresses IPs (Agence H et le proxy) dans tes logs?
non le osx 10.7 est associé à toute une foultitude de proxy, un peu comme si en 48h toute la planete avait installé une béta developpeurs ou une version piratée de lion… en tout cas le floodeur est bien sur osx10.7
Que les proxy utilisent un UA de Lion c’est un fait. Mais cela ne veux pas dire que c’est associé à l’IP de l’agence.
Par ailleurs il n’y a pas besoins de pirater OSX, la version preview est en libre téléchargement sur le site d’Apple.
Tu as visiblement un gros problème de lecture… relis ce que j’ai écrit : « un peu comme si en 48h toute la planete avait installé une béta developpeurs »
… et je commence à te trouver ultra gonflant
A bon, la version preview de OS X LiOn est en libre téléchargement sur le site d’Apple ??? ce serait sympa de partager le lien du site d’Apple parce qu’à ma connaissance il faut au moins être développeur (99$/an)
Oui, j’entendais pas « libre » ; légalement.
Wouhou mais c’est génial !
Ça veut dire que tu es connu par l’une des plus grosses (plus pour longtemps) agences de comm’ de la capitale 
Tu as donc un potentiel pouvoir à faire bouger les choses 
Gloire à Bluetouff \o/ (nan j’déconne, faut pas trop en faire non plus :p)
Intéressant, mais conclure que l’Agence H est impliquée parce qu’elle a « le même user agent que le flooder » est au mieux chanceux, et au pire de la pure diffamation.
Message posté avec l’user agent « Mozilla/5.0 (Macintosh; Intel Mac OS X 10.7; rv:2.0.1) Gecko/20100101 Firefox/4.0.1″ et une IP anglaise.
Et je ne suis pas le flooder.
Ah ben c’était toi le second osx10.7 de mes logs
Fais péter les logs qu’on tire çà au clair :p
Bonjour,
Je suis un peu dubitatf face au seul argument du user-agent car ce concept ne m’est pas très familier.
Donc avant de dire autre chose je vais me renseigner sur cela. Cependant je serais curieux de savoir ce que tu gardes sous le bras.
Si tu arrives a démontrer tes allégations sache que je militerais pour que l’on érige un statute à ta gloire 2 Allée de Longchamp a Surenes .
j’ai envie de dire : lol.
Il semble que les locaux seront vacants d’ici peu. Pas mal de ménage à déjà été fait au niveau indexation dans google (pages supprimés/profils effacées…) mais le cache est la pour nous sauver (une fois de plus)
C’est marrant tout ces gens sur MAC et prêt à payer pour être Beta testeurs…
Surement des graphistes !
> http://korben.info/secrets-de-graphistes.html
« C’est marrant tout ces gens sur MAC et prêt à payer »
Un PUR pléonasme.
J’ai trouvé un truc ce matin concernant la version 10.7 (un commentaire que j’ai fait sur PCI), mais je préfère vous en mettre un extrait ici direct)
http://www.macgeneration.com/news/voir/203732/java-une-mise-a-jour-pour-lion-mai … : java présente une version Mac OSX à 10.7
La mise à jour de java était disponible hier, annoncée à 16h33 sur PCImais ça devait être en ligne sur le site Oracle quelques heures avant, non?
Et comme ça parle de nombreuses failles critiques, go maj pour tout le monde
J’ai pas analysé dans le détail pour voir si Gecko se basait sur les informations système fournies par java pour générer le user-agent
J’ai trouvé un truc ce matin concernant la version 10.7 (un commentaire que j’ai fait sur PCI), mais je préfère vous en mettre une copie ici direct)
http://www.macgeneration.com/news/voir/203732/java-une-mise-a-jour-pour-lion-mai … : java présente une version Mac OSX à 10.7
La maj était annoncée à 16h33 sur PCI, , mais ça devait être en ligne sur le site Oracle quelques heures avant, non?
Et comme ça parle de nombreuses failles critiques, go maj pour tout le monde, et ce user-agent commence à être utilisé partout dans le monde.
J’ai pas analysé dans le détail pour voir si Gecko se basait sur les informations système fournies par java pour générer le user-agent
Quelques précisions juridiques sur ce que je viens de lire :
- Je doute que ce flood soit considéré comme une atteinte à un STAD. Une centaine de méchants message n’ont jamais foutu en l’air un service ;
- La diffamation et l’injure, c’est du pénal. Et au pénal, la preuve n’a pas besoin d’être obtenue loyalement pour être produite ;
- L’atteinte au STAD constituée en retour par vous même peut être considérée comme de la légitime défense. Ça se plaide au moins.
Utiliser une beta de Mac OS Lion, c’est illégal, non ?
ouch! il va prendre cher le stagiaire!!! j’aime!
Lo,
Si le gentil malain de RCSG est passé par un proxy, je rappelle que les entreprises qui mettent à disposition ce type de service se doivent d’en garder des connexions pendant un an…
Sur réquisition judiciaire, donc suite à une plainte, la société est obligée de fournir les traces demandées !
Article 6 de la LCEN :
« FAI et hébergeurs « détiennent et conservent les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires ».
LCEN: « Les personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit, sont soumises au respect des dispositions applicables aux opérateurs de communications électroniques en vertu du présent titre ».
Nous avons lu avec attention votre article et nous tenons à vous faire part de notre réaction. Nous condamnons bien sûr fermement l’action qui a été menée contre le site paspeurdhadopi.fr. Elle ne concerne en aucun cas une mission confiée par l’Hadopi à l’agence H. Elle ne répond pas non plus à une initiative de notre agence. Nous menons actuellement une enquête interne pour en déterminer les causes. Nous vous tiendrons informés au plus tôt.
Bonjour, ne sachant pas ce qu’est une adresse IP, l’équipe de de Reflets ne peut identifier ce message comme étant authentique. MErci de nous écrire sur nos adresses mail : redaction@reflets.info pourrait faire l’affaire.
Cordialement,
L’équipe (we ./Rebuild.sh for the Lulz, oeuf course)
D’autant que si ça se trouve, ce post a été envoyé avec un proxy !
Moi jveux que ça porte plainte!
Très bonne enquête, et encore merci pour l’info
Ne pas porter plainte serait criminel.
Je vous conseille de le faire le plus tôt possible afin de demander des mesures conservatoires et une perquisition dans les locaux de cette société pour pouvoir récupérer les éléments de preuve à leur encontre.
Ça leur apprendra à jouer aux malappris.
Merci Reflet,
You saved my day !!!!
J’ai découvert cet article via un site ludique qui le référençait. J’ai prit un plaisir f-a-b-u-l-e-u-x à le lire. Admin réseaux, j’ai adoré ce petit jeu de cache-cache de paquets tcp/ip. Vraiment divertissant. Beau travail de pistage. Pour ma part … « Pas peur non plus d’Hadopi » … A oui, c’est vrai, je suis en Belgique… on n’en a rien à caler ici
Encore merci pour ce billet très divertissant.
Joli ! Et l’info est reprise dans le Canard Enchainé de ce matin, en page 3.
Voilà pourquoi il faut se protéger des infos transmises et exécutées par le navigateur :
- referer
- cookies tiers
- cookies flashs infinis
- tous les scripts traceurs
Toutes ces données sont INUTILES à l’utilisateur, elles ne font que dévoiler un peu plus son identité en permettant le croisement de données comme vous venez de faire. Chez Google ils en savent sans doute encore plus, pas officiellement mais rien n’empêche un technicien à croiser des données, ils ont tellement de données.
Quelques extensions indispensables dans ce monde où chaque webmaster se prend pour un détective grâce à un fichier de log :
- RefControl
- BetterPrivacy
- Cookie Monster
- Ghostery
- NoScript
Bonne continuation
Ghostery a été racheté par une boîte de com’ non?
Il n’y a pas conflit d’intérêt potentiellement préjudiciable aux internautes là-dedans?
J’espère bien que la plainte va être déposée, dans l’autre sens ils ne se généraient pas !
Bonjour quelques années après ce lien fait remonter l’article en 2 positions lorsqu’on tape mon nom. Auriez vous l’obligeance de supprimer votre commentaire. En vous remerciant. J.