Fermeture de ti-fr. - Page 1

Bonsoir à tous, Vertyos m'a appris qu'un rigolo n'avait rien trouvé de plus amusant que de pirater mon compte yn et à priori tout ou partie des informations de mon serveur web.

Par conséquent, fin de l'hébergement ti-fr jusqu'à nouvel ordre.

Désolé pour ceux qui seraient pénalisés, dites vous que y'a un ptit con que ça fait marrer derrière son PC.

erf

rien d'important de perdu, j'espère...
(autre que ti-fr, j'entends)

Justicior (./38980) :

vince (./38961) :
fais nous signe quand tu reviens de corée, il faut être en france métropolitaine pour pouvoir jouer ici...

!kick squalyl
--- Kick : squalyl kické(e) par vince

I'm sorry vince, I'm afraid I can't let you do that...
!invite squalyl
--- Invite : non kické(e) ...
--- Invite : squalyl peut de nouveau poster
!kick vince
--- Kick : c malin de se kicker soi meme ... refusé !
--- Kick : vince kické(e) par Justicior

sois fier de toi ptit con

Erf²... j'espère aussi que ça n'a pas engendré trop de dégâts. Par contre, je n'ai pas compris si Justicior était le pirate ou si le post du ./38961 était le pirate. Enfin...

Le 38960 était bien de moi, maintenant, si je ne peux plus assurer la sécurité des sites que j'héberge, autant éteindre le serveur, ce que j'ai fait. On verra une fois l'affaire élucidée si ça vaut le coup de le rallumer ou pas.

tu as des backup?

Hmmm, du coup ça détruit aussi Ti-Gen qui était hébergé sur le même serveur.
Ça fait les deux grands sites français qui restaient détruits en un coup, ça fait mal.

Ce que je trouve bizarre, c'est que du temps de la guerre ti-fr/tigen, ti-fr avait eu à supporter des attaques mais sans problèmes... il s'est passé quoi, en fait ? Quelqu'un a chopé ton mot de passe yN (ou utilisé une faille de yN) et a eu accès à des informations relatives à l'accès à ti-fr ? T'as pas des logs de tentatives de connexion ou de sniff de port ?

J'ai des logs, qui ne disent rien, le serveur restera éteint tant uqe la lumière n'aura pas été faite, j'ai pas envie de compromettre les données qui s'y trouvent si qqn a trouvé une faille.

Nil (./9) :
Ce que je trouve bizarre, c'est que du temps de la guerre ti-fr/tigen, ti-fr avait eu à supporter des attaques mais sans problèmes...

Si tu veux insinuer que c'est Ti-Gen qui était derrière les attaques passées, cette accusation injuste est très mal placée.

En tout cas, en tant que membre de l'ancien Ti-Gen à l'époque, je peux te dire que je n'ai participé à aucune attaque contre Ti-Fr, et que ce genre d'actes illégaux ne me serait jamais venu à l'esprit!

C'est qui Justicior en fait ? Il a vraiment réussi à te bannir de plptp ou quoi ? Comment sais-tu que c'est le pirate ?

Non, je ne pense pas que c'était à ça qu'il faisait allusion.et je pense qu'il fait allusions aux différents DDOS mal anonymisés auxquels j'ai eu droit venant de "on sait qui", webmaster de la plus grosse "banque" de programmes ti...

Quoi qu'il en soit, si ça avait été le cas, j'aurais préféré, ça aurait rapide à diagnostiquer... :]

Kevin Kofler (./11) :

Nil (./9) :
Ce que je trouve bizarre, c'est que du temps de la guerre ti-fr/tigen, ti-fr avait eu à supporter des attaques mais sans problèmes...

Si tu veux insinuer que c'est Ti-Gen qui était derrière les attaques passées, cette accusation injuste est très mal placée.

Non, ce n'est pas ce que j'ai dit (et ce n'est pas non plus le lieu du débat). Je sais qu'il y a eu des comportements un peu limite à cette période, c'est un marqueur de temps comme un autre (même s'il est effectivement assez mal choisi, j'avoue).

edit : oui, je parlais effectivement de ces DDOS là

Kevin Kofler (./11) :
En tout cas, en tant que membre de l'ancien Ti-Gen à l'époque, je peux te dire que je n'ai participé à aucune attaque contre Ti-Fr, et que ce genre d'actes illégaux ne me serait jamais venu à l'esprit!

Autant tu as énormément de défauts, autant je te fais confiance à ce niveau là et je ne doute pas de ta rectitude .

Et Team-To-Team est sur yN ou ton serveur ?

le site T3 est hégerbé sur le serveur de yN : t3/

Arf, j'amierais être calé en admin/réseau pour pouvoir te proposer mon aide, j'espère que la lumière sera faite et bon courage...

BookeldOr (./17) :
Arf, j'amierais être calé en admin/réseau pour pouvoir te proposer mon aide

Je pourrais peut-être aider, même si mon expérience en termes d'administration de serveurs est presque nulle.

j'espère que la lumière sera faite et bon courage...

+1

Ne te laisse pas décourager par un petit con de pirate qui ne cherche qu'à démolir le travail d'autrui.

Good evening.

1. C'est une faille de yAronet.
2. Elle ne permet de récupérer aucun mot de passe, TI-FR n'est donc pas compromis.
3. Je certifie sur l'honneur n'avoir effectué aucune action qui ne soit pas strictement nécessaire à mon intervention dans Poster le plus tard possible.
4. Je certifie sur l'honneur n'avoir pris connaissance d'aucune information de nature privée.
5. Nous nous connaissons, il n'y a aucune inimitié de ma part et je peux le prouver au besoin. Plus de détails par mini-msg.
6. Si mon but était de porter atteinte à TI-FR ou de prendre connaissance d'informations privées j'aurais pu le faire il y a longtemps, je n'aurais pas attendu qu'il y ait un kick dans le forum Jeu, et surtout je ne me serais pas amusé à me trahir aussi naïvement alors que j'aurais pu exploiter ces informations en gardant profil bas.

Je suis abasourdi par la tournure qu'a pu prendre une simple blague, je récapitule donc la situation pour nos chers lecteurs :
1. squalyl poste dans un jeu du nom de Poster le plus tard possible, mais il n'est pas dans le fuseau horaire de Paris et conformément à la règle du jeu ses posts ne lui permettront donc pas de gagner.
2. vince le kicke.
3. Mécontentement général : il s'agit du forum Jeu, qui n'a historiquement jamais été modéré. Un certain nombre de personnes a déjà été dans le cas de squalyl, et elles ont d'ailleurs participé activement à la vie du topic bien qu'étant incapables de gagner. Le kick est donc qualifié d'abus des pouvoirs de modérateur de vince, même si Ximoon précise qu'il n'y a rien dans la charte qui l'interdise.
4. vince poste à nouveau dans le topic, en faisant fi des observations qui lui ont été faites sur cette violation de l'esprit du jeu et plus généralement de l'esprit de tout le forum Jeux.
5. Devant un comportement aussi choquant, et puisque Ximoon avait en somme décrété que la règle du jeu est qu'il n'y avait pas de règle du jeu et que c'est la loi du plus fort qui prévaut, Justicior dût se résoudre à traverser l'espace intergalactique pour faire le nécessaire pour que cette injustice soit réparée et que squalyl puisse à nouveau poster.

Voici donc les raisons de mon acte, qui n'a d'autre but que d'apporter une lueur d'espoir à toutes ces victimes du joug de la tyrannie et de l'abus de pouvoir, tous ces martyres qui rêvent d'un miracle pour retrouver la dignité et la justice. Ce soir, Justicior a exaucé un de ces rêves. Un petit pas pour la Justice, certes, mais un grand pas dans les coeurs des yAronautes.

Hélas, mille fois hélas ! Aveuglé par sa soif de justice, Justicior n'a pas imaginé l'espace d'un instant que cette histoire pourrait dépasser le cadre de Poster le plus tard possible. Justicior constate ici impuissant la fermeture du serveur de TI-FR, et s'excuse de toute la gêne occasionnée par cette mesure. Il vous enjoint, il vous supplie de remettre le site sur pied dès que possible, car son sens aigu de la Justice est torturé par la découverte du sort de ces innocents privés de leur serveur à cause d'une bête farce

---

Enfin je suis obligé de conclure sur une note de sécurité, parce que ce topic révèle une contradiction grave entre deux réalités :
1. yAronet n'est pas sécurisé.
2. La sécurité de yAronet a l'air d'être cruciale pour certaines personnes comme vince.

Je vais prouver ces affirmations, mais il faut que les choses soient claires : elles sont incompatibles. Si yAronet est juste vu comme un lieu d'échange sympa mais moins sécurisé qu'un mail, très bien. Moi ça ne me gênerait pas, et ça ne gêne pas les millions d'utilisateurs de forums PHP open-source mal codés. Mais si un risque de fuite d'un compte yAronet suffit à fermer un serveur comme celui de TI-FR qui héberge de nombreux sites, alors ça ne suffit plus : il faut que yAronet soit réellement pensé pour la sécurité. Je n'ai aucune envie de critiquer l'immense travail de yAro, bien au contraire : mon but est de montrer du doigt cette contradiction entre ce pour quoi a été construit yAronet et ce qu'en attendent les utilisateurs. Il faudra mener une réflexion pour accorder nos violons et peser d'un côté la quantité de travail pour obtenir un yAronet réellement sécurisé et de l'autre quelles conséquences négatives il y aurait à garder un yAronet non sécurisé. D'ici là, je recommande vivement aux yAronautes de considérer les mini-messages, mémos ou forums privés comme bien moins sécurisés qu'un mail -- même si en ce qui me concerne je le répète, je n'ai jamais exploité et je n'exploiterai jamais cette faille pour obtenir ces informations.

Or donc, pourquoi yAronet n'est-il pas sécurisé ? La sécurité par l'obscurité ne doit être qu'un complément à d'autres méthodes de vérification, or ici elle est utilisée pour limiter les dégâts du manque de vérification du code. La faille utilisée est de même type que d'autres failles reportées ou peut-être même exploitées précédemment. Il m'a fallu seulement 3 minutes entre le moment où j'ai commencé à chercher une faille et le moment où je l'ai effectivement trouvée. Puisqu'il y a un problème de gestion de ce type de faille ce ne serait pas responsable pour moi de publier simplement la faille pour qu'elle soit corrigée et oubliée : elle est sûrement présente depuis des années, donc quelques jours de plus ou de moins... Mon devoir est plutôt, une fois que la réflexion sur la sécurité de yAronet aura abouti et s'il en ressort que yAronet doit être mieux sécurisé, de vous aider à créer un processus assurant la sécurité du code.

Pour finir je ne pensais pas rester anonyme, mais comme pour la divulgation de la faille ce topic me fait changer d'avis : je suis terriblement curieux de voir s'il est possible de sortir de cette crise sans que Clark Kent ne sauve la vie de Superman.

---

Ah, et puis vince tu as kické squalyl de ce topic par inadvertance, je ne te ferais pas l'affront de le réinviter moi-même donc je te laisse le faire

---

TL;DR : Justicior est gentil ; vince est gentil ; Justicior s'excuse des conséquences imprévues de son opération et espère que TI-FR sera rouvert dès que possible ; pour votre sécurité considérez que tous les mini-messages que vous avez envoyé sur yAronet, même ceux qui ne sont plus sur le serveur ont pu être piratés car une faille est présente depuis des années ; nous vous souhaitons une agréable journée dans un monde où les innocents ne sont pas kickés des topics.

J'espere au moins que tu as explique la faille a yAro...

je sais pas si justicior restera anonyme très longtemps, déjà il fait partie des gens qui lisent plptp, ça limite pas mal, il sait écrire français sans fautes, ça limite encore plus. Il poste au milieu de la nuit, ça limite aussi beaucoup plus.
bref

Justicior (./19) :
Or donc, pourquoi yAronet n'est-il pas sécurisé ? La sécurité par l'obscurité ne doit être qu'un complément à d'autres méthodes de vérification, or ici elle est utilisée pour limiter les dégâts du manque de vérification du code. La faille utilisée est de même type que d'autres failles reportées ou peut-être même exploitées précédemment. Il m'a fallu seulement 3 minutes entre le moment où j'ai commencé à chercher une faille et le moment où je l'ai effectivement trouvée. Puisqu'il y a un problème de gestion de ce type de faille ce ne serait pas responsable pour moi de publier simplement la faille pour qu'elle soit corrigée et oubliée : elle est sûrement présente depuis des années, donc quelques jours de plus ou de moins... Mon devoir est plutôt, une fois que la réflexion sur la sécurité de yAronet aura abouti et s'il en ressort que yAronet doit être mieux sécurisé, de vous aider à créer un processus assurant la sécurité du code.

C'est completement demago ca... Sinon, pkoi tu as cherches des failles sur yN?
C'est pas plus marrant sur des sites ou c'est un vrai challenge (y'en a vraiment pas mal qui sont sous responsible disclosure en plus et ou tu seras remercie si tu trouves un truc interessant, et pas un vieux XSS comme tu peux trouver dans 80% des sites amateurs)

Mon but n'est pas d'être anonyme à terme, pour l'instant, mon but est de rétablir TI-FR au plus vite.

Démago ? Pourquoi ? Non, la simple vérité. Chercher des failles ne m'intéresse pas. Utiliser un site sécurisé, oui, surtout si une faille de sécurité arrive à faire paniquer vince à un tel point.

Il ne fallait pourtant pas beaucoup de jugeotte pour deviner que pirater le compte d'un modo en utilisant une faille de yN pour faire mumuse dans plptp (!) n'allait pas être bien pris. Comme je disais à Bob, le jeu n'en vallait vraiment pas la chandelle.

edit : juste pour la précision, l'affirmation "il s'agit du forum Jeu, qui n'a historiquement jamais été modéré" est fausse, évidemment)

Fab_ (./21) :

je sais pas si justicior restera anonyme très longtemps, déjà il fait partie des gens qui lisent plptp, ça limite pas mal, il sait écrire français sans fautes, ça limite encore plus. Il poste au milieu de la nuit, ça limite aussi beaucoup plus.
bref

Oué, c'est ce que je me suis dit, à commencer par "déjà, c'est pas very"

Erf, deja que c'est pas jouasse de fermer un site, mais alors quand c'est de facon urgente :/

En esperant que le probleme sera regle au plus vite :/

Enfin je suis obligé de conclure sur une note de sécurité, parce que ce topic révèle une contradiction grave entre deux réalités :
1. yAronet n'est pas sécurisé. 2. La sécurité de yAronet a l'air d'être cruciale pour certaines personnes comme vince.

Ce n'est pas la sécurité de yAronet qui est cruciale, mais le fait que si son mot de passe a été récupéré, c'est qu'il y a des chances que son ordi a été piraté...

Or donc, pourquoi yAronet n'est-il pas sécurisé ? La sécurité par l'obscurité ne doit être qu'un complément à d'autres méthodes de vérification, or ici elle est utilisée pour limiter les dégâts du manque de vérification du code. La faille utilisée est de même type que d'autres failles reportées ou peut-être même exploitées précédemment. Il m'a fallu seulement 3 minutes entre le moment où j'ai commencé à chercher une faille et le moment où je l'ai effectivement trouvée. Puisqu'il y a un problème de gestion de ce type de faille ce ne serait pas responsable pour moi de publier simplement la faille pour qu'elle soit corrigée et oubliée : elle est sûrement présente depuis des années, donc quelques jours de plus ou de moins... Mon devoir est plutôt, une fois que la réflexion sur la sécurité de yAronet aura abouti et s'il en ressort que yAronet doit être mieux sécurisé, de vous aider à créer un processus assurant la sécurité du code.

Au hasard peut-être que yAro a d'autres choses à faire dans la vie ?

Toute cette histoire pose quand même deux-trois problèmes. Du pavé ./19, je retiens deux choses :

- vince a osé kicker quelqu'un d'un jeu, c'est un drame, mettons-nous vite à chercher une faille pour faire régner la justice
- L'action de "rétablir la justice" a quand même impliqué la création d'un clone et le vol d'un compte (admin, qui plus est)... et puis rien ne prouve que tu n'as pas lu les messages privés de vince par exemple

Bref, même s'il aurait pu être intéressant de trouver et reporter une faille, la façon dont tu l'as utilisée me semble assez grave et élimine tout le coté positif. Globalement je trouve même ça plutôt inquiétant (outre le coté gamin qui m'agace comme d'habitude), et il va être difficile de ne pas prendre ça au sérieux. Pour répondre à ta question "est-ce qu'il est possible de sortir de cette crise sans que tu te démasques", connaissant vince j'aurais tendance à penser que non, mais en même temps il serait déplacé de te demander l'identité que tu as pris tellement de soin à cacher (pas besoin de faire un dessin pour connaître la suite des évènements...).

Je suppose que l'on trouvera, de toutes façons... ça prendra certainement du temps, mais si c'est la seule issue on a pas tellement le choix. Un dernier point : comme beaucoup j'ai ma petite liste de "suspects", et en regardant l'ensemble des pseudos j'ai peur d'être très déçu quand j'aurai la réponse :/

je ne sais pas si justimachin est au courant que son action est passible de répressions pénales et que "faire joujou" n'a pas sa place ici.

Quand on trouve une faille on avertit avant de l'exploiter, sinon c'est qu'on a des intentions de destruction, et c'est pas une certification sur l'honneur que je voulais pas faire mal qui y changera grand chose.

d'autre part je suis parfaitement au courant des règles de plptp, je cherchais juste à m'amuser un peu vu que je suis jamais connecté habituellement à 05:00+1, ma présence en corée n'est un secret pour personne vu mon blog.

Je ne suis pas sur d'avoir tout compris au problème.
Le problème de piratage est bien uniquement cà ?

Justicior (./38980) :

vince (./38961) :
fais nous signe quand tu reviens de corée, il faut être en france métropolitaine pour pouvoir jouer ici...

!kick squalyl
--- Kick : squalyl kické(e) par vince

I'm sorry vince, I'm afraid I can't let you do that...
!invite squalyl
--- Invite : non kické(e) ...
--- Invite : squalyl peut de nouveau poster
!kick vince
--- Kick : c malin de se kicker soi meme ... refusé !
--- Kick : vince kické(e) par Justicior

Si c'est uniquement cela je ne vois pas ce qui permet de dire que le mot de passe de vince a été volé. A moins qu'il y ait eu d'autre chose de faites?
Et puis en quoi est ce que ça concerne ti-fr? Il est bien hébergé sur un serveur différent de yaronet?