Attestation de l'"expert" présenté par Tati pendant l'affaire Tati versus Kitetoa
| Récapitulatif
des papiers sur le monde étrange des administrateurs réseau et systèmes |
| Récapitulatif
de nos copies d'écran sur ce même monde étrange Cette page n'est plus mise à jour depuis août 2001 |
| Taijiquan style Haking (dot com) |
| Sasak style Haking (dot com) |
| Le Match Kitetoa versus Ugly Discoursmarketing |
| It's a funky job. But Kitetoa's digital clone does it... |
| Do you know info-hack Kung-Fu? |
| La hotte du Kitetopapanoël |
| Ze Mega
Kite-Teuf! La fête de l'été de Kitetoa... Les sites les plus nazes de l'été 2000 |
| La
Loi de 78 impose aux entreprises de protéger les bases de données qu'elles constituent... |
Je soussigné M. Francis, Sébastien M. (deuxième prénom usuel), né à Paris 14 ème le 16 octobre 1959, demeurant à Saint-Brieuc, 8, rue du Dr. Charcot, 22 000, profession : informaticien, gérant d'EURL, déclarant n'avoir aucun lien de parenté ou alliance avec aucune des parties et ne pas être sous leur dépendance économique, certifie l'exactitude des faits ci-après pour en avoir été le témoin direct:
"Je suis architecte de réseaux locaux et publics depuis 20 ans. J'ai collaboré à des créations de sites et j'installe courament des sites web et des systèmes intra-entreprises. Je suis responsable de la sécurité pour mes clients. Un programme informatique est sûr jusqu'à ce que des "hackers" finissent par trouver soit une faille, soit un accès de maintenance qui aurait dû rester secret.
Le site KITETOA est une association de hackers qui passent leur temps à chercher des failles sur les sites web. Ils se vantent de cet état de fait. Sur le site Tati, on pouvait à l'époque, comme sur quasiment tous les sites, forcer l'accès à des données non publiques, à condition de joindre l'usage d'un code et une procédure.
Après lecture de l'article, il me semble bien que la procédure est la suivante:
- Procédure KITETOA
1) Chercher et trouver un code de maintenance approprié sur le site TATI à
l'époque: quel serveur utilisé, quelle version.
2) Utiliser ce code et afficher le contenu interne du site.
3) Reconnaître et choisir un fichier Access (quelque chose .mdb)
4) Télécharger ce fichier: c'est en prendre une copie.
-- le reste s'effectue éventuellement hors connexion --
5) Ouvrir ce fichier avec le programme Access de Microsoft,
ce programme coûte plusieurs centaines d'Euros
le résultat: afficher ensuite sur l'écran de l'opérateur le tableaux montré
ensuite dans l'article
6) Enregistrer un cliché de l'écran, une image.
7) Faire un traitement (très imparfait) de Floutage (rendre floue l'image) avec
des commentaires
Ensuite intervient le journaliste de NewBiz, qui pouvait être n'importe qui.
1) Aller sur KITETOA
2) Visualiser la (les) page(s) constituant la démonstration de KITETOA
3) Telecharger l'image
4) Reproduire celle-ci dans le journal
La procédure utilisée par KITETOA n'est aucunement proposée ni suggérée sur le site tati.
Notez que le 1) de la procédure KITETOA demandais plusieurs heures, à condition d'être effectuée par un technicien réseaux.
Un utilisateur de bonne foi ne pouvait en aucun cas accéder aux informations privées. Il fallait d'abord utiliser des outils professionnel pour déterminer le logiciel utilisé sur le site tati (NETSCAPE SERVEUR), la version, puis rechercher les codes de maintenance possibles, puis les employer. Mais l'usage de ce ou ces codes n'amenai pas au tableau. Resterait à accomplir les phases 2 à 5. L'emploi de l'adjectif "simple" pour décrire la procédure me fait penser au "simple" rossignol sur une serrure. Encore faut-il l'avoir et savoir s'en servir.
Je délivre la présente attestation à Mme. Elisabeth Grabli, avocate, je suis informé du fait que celle-ci doit la produire en justice dans le procès qu'elle a engagé contre M. Champagne.
J'ai parfaitement connaissance de ce que toute déclaration mensongère de ma part m'engagerait à des sanctions pénales.
Fait à Paris le 18 janvier 2002
Note de Kitetoa:
Nous avons laissé les fautes d'ortograf. C'est un peu comme une marque de fabrique.
Par ailleurs, nous ne voulons pas entrer dans une longue polémique mais nous dirons tout de même que si Sébastien a travaillé sur des réseaux publics depuis 20 ans, il a commencé tôt, c'est à dire à 23 ans. S'il travaillait sur des réseaux publics de type Internet en 1982, c'était probablement avec les militaires américains. A l'époque il n'y avait que ça. Ah, si, un autre projet en France... Cyclade de mémoire...
Quant aux outils de professionnels et les heures pour trouver la version d'un serveur... Sébastien devrait aller faire un tour sur http://www.netcraft.com (http://uptime.netcraft.com/up/graph/). En quelques secondes voici ce qu'il trouvera pour Tati.fr (ou tout autre site bien entendu):
The site www.tati.fr is running Apache-AdvancedExtranetServer on Linux.
Deux minutes montre en main, avec des outils incroyables: un navigateur...
Une autre méthode pour connaître la version d'un serveur consiste à lire la page d'accueil du site, comme c'est le cas sur la page index du site de l'entreprise de Sébastien. Séb, regarde ta page!
()En images ici)
Désolé, c'était plus fort que nous. A stupide, stupide et demi...
Quant aux codes de maintenance, il n'existent pas. Il est possible de vérifier ce que nous avançons en prenant un navigateur Nestcape, en allant sur le site (a titre d'exemple bien entendu) http://www.lib.byu.edu/hbll/index.html et de vérifier ce qui se passe lorsque l'on va dans la barre de menus : Communicator--> Outils du Serveur --> Services de la Page... Vous obtiendrez l'une des versions de ce qui peut arriver. Tout dépend du serveur et de la manière dont il est installé. Mais en gros, soit on obtient un listing du serveur (Index of /), soit on obtient une page d'administration et la possibilité de mettre en route une applet java qui va charger tout le contenu du site (c'est le cas ici). Cela revient au même. L'applet va vous demander un login. Mais comme les programmeurs Netscape sont des rigolos, il n'est pas nédessaire d'en fournir un pour que l'ensemble du site se charge dans l'applet. Une fois le site chargé, le fait de cliquer sur un lien affiche le fichier dans le navigateur.
Ce qui nous fascinera toujours, c'est l'aplomb des informaticiens professionnels qui sont "responsable de la sécurité pour mes clients". Pauvres clients...
Comme disait l'avocat de Kitetoa.com au cours de l'audience, il y a des « sous-doués de l'informatique ». Le seul problème, c'est qu'ils ont pignon sur rue, et qu'ils affirment haut et fort qu'ils sont les meilleurs.