Journal d'investigation en ligne et d'information‑hacking
par bluetouff

Référenceur Pro enlarge aussi ta socialitude

Nous vous parlions ce matin d'une base de données de spam à l'air suite à une malencontreuse omission, dans un fichier .htaccess doublée d'une demande à nos yeux non fondée de retrait de contenu. Particularité de notre spammeur, il vend des amis sur Facebook à des particuliers ou à des entreprises en mal de notoriété. Nous n'allons pas aborder ici le thème de la légalité des emails non sollicités, vu que l'on peut déjà trouver sur le net pléthore de documentation éclairée sur le sujet.

Nous vous parlions ce matin d'une base de données de spam à l'air suite à une malencontreuse omission, dans un fichier .htaccess doublée d'une demande à nos yeux non fondée de retrait de contenu. Particularité de notre spammeur, il vend des amis sur Facebook à des particuliers ou à des entreprises en mal de notoriété. Nous n'allons pas aborder ici le thème de la légalité des emails non sollicités, vu que l'on peut déjà trouver sur le net pléthore de documentation éclairée sur le sujet. On s'accordera simplement tous à dire que c'est particulièrement lourd, et surtout très crétin quand on est pas foutu de faire le minimum syndical pour protéger les données personnelles des victimes de ces spams. En revanche, nous pouvons nous interroger sur la légalité de l'utilisation de botnets de faux utilisateurs destinés à enlarger votre socialitude à vous, moyennant finance, bien entendu.

Les bons comptes font les faux amis

S'il est difficile de se faire une idée de ce que peut rapporter ce business d'un genre relativement nouveau (je dis bien relatif, car la vente de backlinks, n'a, elle, rien de nouvelle), on constate sans grand mal que l'utilisation de techniques que l'on qualifie dans le jargon des monsieurs de "black SMO" (SMO pour Social Media Optimisation, ou l'art d'optimiser son aura sur les réseaux sociaux en utilisant des techniques franchement limites). Des sociétés ont développé une artillerie capable de créer de faux comptes sur les réseaux sociaux les plus populaires. Ce sont ces faux comptes qui sont dans la plupart des cas proposés à la vente, ce juste pour faire grossir un chiffre sensé donner une indication sur votre crédibilité et votre popularité. Nul doute que certains acteurs politiques en mal de reconnaissance ont recours à ces sociétés. Vous l'aurez donc compris, ce nouveau marché répond avant tout à un besoin de satisfaction d'égo.

Ainsi le site Référenceur Pro vous propose par exemple (ce sont ses meilleures ventes) :

  • 5000 followers Twitter pour 79 €
  • 5000 Fans Facebook pour 119 €

Référenceur Pro assure que ces followers sont réels, mais ils sont "pour la plupart inactifs"... et là, leur origine pourrait être intéressante à remonter.

En période de campagne électorale, on comprendra aussi qu'un petit budget de 899 € vous permettra d'afficher fièrement 100 000 followers en carton sur votre page Twitter... mais qui ira vérifier ça ?

Légal ou pas légal ?

  •  La traite des bots est elle légale ?
  • A t-on le droit de vendre des abonnés (réels ou fictifs) à des particuliers, des entreprises, ou des politiques ?

En l'absence de jurisprudence (à notre connaissance), il est difficile de se prononcer. Mais il y a peut être quelques pistes intéressantes à creuser :

Dans le cadre de la vente d'utilisateurs fictifs (des bots), si ces derniers sont créés en masse pour suivre une personne, ils ont un impact sur les algorithmes des réseaux sociaux ciblés, et on peut considérer qu'ils altèrent le fonctionnement normal des dits réseaux. Ainsi, si Twitter ou Facebook le décident, il peuvent très bien porter légitimement plainte contre les sociétés qui les vendent... et leurs clients qui en bénéficient !

Dans le cadre de la vente d'utilisateurs fictifs ou pas à des entreprises ou à des personnalités politiques à la veille d'un scrutin électoral, un juge pourrait très bien estimer qu'il s'agit d'une manipulation parfaitement illégitime destinée à tromper un prospect ou un électeur sur sa popularité... et là encore ce n'est pas ce qu'il existe de plus éthique. Mais bon pas vu pas pris !

Commerçants du dimanche

Kitetoa vous en parlerait bien mieux que moi, mais quand je le lisais déjà en 1999/2000, on se doutait bien que l'arrivée des premiers commerçants sur Internet ne se ferait pas sans un peu de casse et c'est un euphémisme. Une bonne décennie plus tard, rien n'a changé : fuite de données personnelles et trous de sécurité béants sont toujours le lot quotidien de nombreux cyber-commerçants. Si les paiements sont dans le "meilleur" des cas assurés par des scripts bancaires à la sécurité testée correctement, les frontaux qui affichent les pages des boutiques en ligne offrent régulièrement un festival de mauvaises pratiques, des pratiques qui peuvent s'avérer dangereuses pour la sécurité des données personnelles de leurs clients.

C'est donc, comme vous l'aurez deviné, aussi le cas de notre vendeur d'amis en carton.

Comme d'habitude, on commence par jeter un coup d'oeil ici.

Tiens c'est pas super conventionnel de coller un wp-includes dans un robots.txt...

 

Ah... oui, le grand classique... la confusion entre un robots.txt et un .htaccess...

Alors que je récapitule pour ceux qui ont du mal à suivre :

Sinon, ça donne vite ce genre de trucs :

Ajoutons à ça que le Wordpress n'est évidemment pas à jour :

Ce qui laisse quand même quelques courants d'air, pas qu'un seul :

http://www.exploit-db.com/exploits/18417/

On découvre ensuite dans le code source des pages de la "boutique" du thème graphique ainsi que le nom du module Wordpress utilisé, à savoir Woocommerce

Le thème, un thème payant que vous trouverez ici, est semble t-il tellement adapté au e-commerce que les fields d'input escape moyennement... et paff le XSS.

Si l'on considère maintenant que certaines entreprises utilisent ces services pour s'acheter une notoriété, il faut bien que ces dernières soient conscientes qu'elles jouent un jeu particulièrement dangereux, elles risquent tout simplement, en utilisant ces méthodes, outre le fait de confier leurs données personnelles à des charlots, de perdre purement et simplement leur compte sur des réseaux sociaux majeurs, utiles à leur business.

Ajoutons à ça que ce genre de supercherie est facilement détectable et que c'est le meilleur moyen de nuire à son image si la dite entreprise est prise la main dans le pot de confiture.

Vous voilà prévenus.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée