Good evening.
1. C'est une faille de yAronet.
2. Elle ne permet de récupérer aucun mot de passe, TI-FR n'est donc pas compromis.
3. Je certifie sur l'honneur n'avoir effectué aucune action qui ne soit pas strictement nécessaire à mon intervention dans Poster le plus tard possible.
4. Je certifie sur l'honneur n'avoir pris connaissance d'aucune information de nature privée.
5. Nous nous connaissons, il n'y a aucune inimitié de ma part et je peux le prouver au besoin. Plus de détails par mini-msg.
6. Si mon but était de porter atteinte à TI-FR ou de prendre connaissance d'informations privées j'aurais pu le faire il y a longtemps, je n'aurais pas attendu qu'il y ait un kick dans le forum Jeu, et surtout je ne me serais pas amusé à me trahir aussi naïvement alors que j'aurais pu exploiter ces informations en gardant profil bas.
Je suis abasourdi par la tournure qu'a pu prendre une simple blague, je récapitule donc la situation pour nos chers lecteurs :
1. squalyl poste dans un jeu du nom de Poster le plus tard possible, mais il n'est pas dans le fuseau horaire de Paris et conformément à la règle du jeu ses posts ne lui permettront donc pas de gagner.
2. vince le kicke.
3. Mécontentement général : il s'agit du forum Jeu, qui n'a historiquement jamais été modéré. Un certain nombre de personnes a déjà été dans le cas de squalyl, et elles ont d'ailleurs participé activement à la vie du topic bien qu'étant incapables de gagner. Le kick est donc qualifié d'abus des pouvoirs de modérateur de vince, même si Ximoon précise qu'il n'y a rien dans la charte qui l'interdise.
4. vince poste à nouveau dans le topic, en faisant fi des observations qui lui ont été faites sur cette violation de l'esprit du jeu et plus généralement de l'esprit de tout le forum Jeux.
5. Devant un comportement aussi choquant, et puisque Ximoon avait en somme décrété que la règle du jeu est qu'il n'y avait pas de règle du jeu et que c'est la loi du plus fort qui prévaut, Justicior dût se résoudre à traverser l'espace intergalactique pour faire le nécessaire pour que cette injustice soit réparée et que squalyl puisse à nouveau poster.
Voici donc les raisons de mon acte, qui n'a d'autre but que d'apporter une lueur d'espoir à toutes ces victimes du joug de la tyrannie et de l'abus de pouvoir, tous ces martyres qui rêvent d'un miracle pour retrouver la dignité et la justice. Ce soir, Justicior a exaucé un de ces rêves. Un petit pas pour la Justice, certes, mais un grand pas dans les coeurs des yAronautes.
Hélas, mille fois hélas ! Aveuglé par sa soif de justice, Justicior n'a pas imaginé l'espace d'un instant que cette histoire pourrait dépasser le cadre de Poster le plus tard possible. Justicior constate ici impuissant la fermeture du serveur de TI-FR, et s'excuse de toute la gêne occasionnée par cette mesure. Il vous enjoint, il vous supplie de remettre le site sur pied dès que possible, car son sens aigu de la Justice est torturé par la découverte du sort de ces innocents privés de leur serveur à cause d'une bête farce
Enfin je suis obligé de conclure sur une note de sécurité, parce que ce topic révèle une contradiction grave entre deux réalités :
1. yAronet n'est pas sécurisé.
2. La sécurité de yAronet a l'air d'être cruciale pour certaines personnes comme vince.
Je vais prouver ces affirmations, mais il faut que les choses soient claires : elles sont incompatibles. Si yAronet est juste vu comme un lieu d'échange sympa mais moins sécurisé qu'un mail, très bien. Moi ça ne me gênerait pas, et ça ne gêne pas les millions d'utilisateurs de forums PHP open-source mal codés. Mais si un risque de fuite d'un compte yAronet suffit à fermer un serveur comme celui de TI-FR qui héberge de nombreux sites, alors ça ne suffit plus : il faut que yAronet soit réellement pensé pour la sécurité. Je n'ai aucune envie de critiquer l'immense travail de yAro, bien au contraire : mon but est de montrer du doigt cette contradiction entre ce pour quoi a été construit yAronet et ce qu'en attendent les utilisateurs. Il faudra mener une réflexion pour accorder nos violons et peser d'un côté la quantité de travail pour obtenir un yAronet réellement sécurisé et de l'autre quelles conséquences négatives il y aurait à garder un yAronet non sécurisé. D'ici là, je recommande vivement aux yAronautes de considérer les mini-messages, mémos ou forums privés comme bien moins sécurisés qu'un mail -- même si en ce qui me concerne je le répète, je n'ai jamais exploité et je n'exploiterai jamais cette faille pour obtenir ces informations.
Or donc, pourquoi yAronet n'est-il pas sécurisé ? La sécurité par l'obscurité ne doit être qu'un complément à d'autres méthodes de vérification, or ici elle est utilisée pour limiter les dégâts du manque de vérification du code. La faille utilisée est de même type que d'autres failles reportées ou peut-être même exploitées précédemment. Il m'a fallu seulement 3 minutes entre le moment où j'ai commencé à chercher une faille et le moment où je l'ai effectivement trouvée. Puisqu'il y a un problème de gestion de ce type de faille ce ne serait pas responsable pour moi de publier simplement la faille pour qu'elle soit corrigée et oubliée : elle est sûrement présente depuis des années, donc quelques jours de plus ou de moins... Mon devoir est plutôt, une fois que la réflexion sur la sécurité de yAronet aura abouti et s'il en ressort que yAronet doit être mieux sécurisé, de vous aider à créer un processus assurant la sécurité du code.
Pour finir je ne pensais pas rester anonyme, mais comme pour la divulgation de la faille ce topic me fait changer d'avis : je suis terriblement curieux de voir s'il est possible de sortir de cette crise sans que Clark Kent ne sauve la vie de Superman.
Ah, et puis vince tu as kické squalyl de ce topic par inadvertance, je ne te ferais pas l'affront de le réinviter moi-même donc je te laisse le faire
TL;DR : Justicior est gentil ; vince est gentil ; Justicior s'excuse des conséquences imprévues de son opération et espère que TI-FR sera rouvert dès que possible ; pour votre sécurité considérez que tous les mini-messages que vous avez envoyé sur yAronet, même ceux qui ne sont plus sur le serveur ont pu être piratés car une faille est présente depuis des années ; nous vous souhaitons une agréable journée dans un monde où les innocents ne sont pas kickés des topics.