Téléchargement automatique
Par David Monniaux le jeudi, mai 10 2012, 11:05 - Réseau - Lien permanent
Certains s'émeuvent qu'un juge de l'état de New-York considère que la simple visualisation, sans impression ni sauvegarde, d'images pédopornographiques ne soit pas un délit en l'état actuel de la loi. N'étant pas juriste et encore moins connaisseur de la loi de l'état de New-York, je contenterai de la question suivante, qui me semble de première importance.
En l'espèce, l'accusation était basée sur la présence d'images pédopornographiques dans le cache du navigateur du prévenu. Je ne suis pas un expert en navigateurs, mais il me semble techniquement possible de réaliser une page Web à l'allure tout à fait innocente, mais qui fait télécharger par le navigateur des images pédopornographiques sans que celles-ci ne soient affichées (par exemple par du Javascript, ou encore à l'aide d'affichages en 1×1 pixels). Il semble donc techniquement possible de faire une très mauvaise farce à un utilisateur : lui envoyer une page qui fera que son navigateur va ramener des images illicites (au besoin, ces images seront hébergées sur un serveur temporaire et accessible uniquement depuis le navigateur de la personne visée), puis rapporter son adresse IP aux autorités...
Mes lecteurs corrigeront au besoin mes doutes techniques.
Commentaires
Encore mieux que le javascript ou le 1x1 pixel : l'attribut display d'un bloc auquel on peut donner la valeur none.
Autre question, pour lutter contre des sites qui publient de la pornographie enfantine, les policiers sont bien obligés de visiter ces sites et donc seraient obligés de commettre un délit si la simple visualisation était condamnable.
Ça parait de toute façon étrange de faire condamner quelqu'un parce qu'il a tourné la tête du mauvais côté. Il faudrait au minimum prouver le caractère volontaire de l'acte incriminé.
Si vous voulez une réponse d'un expert judiciaire en informatique, qui se retrouve avec plein de cas lié à la (pédo)pornographie, et qui a un blog très compréhensible: http://zythom.blogspot.fr/2012/04/l...
C'est très simple.
1. Choisir une cible, comme par exemple, le nouveau site Internet d'une société scientifique. Avec un peu de chance, ce sera un CVS de type Joomla.
2. Essayer les deux ou trois trucs de base : passwords de base, injection SQL dans le formulaire d'administration. Ça peut marcher, encore mieux avec un brute-force.
3. Si (2) échoue, scruter trois ou quatre sources russes pour télécharger les failles de sécurité pouvant être utilisées pour injecter du code (exploits).
4. Si (3) échoue, changer de cible. Sinon, injecter du code (pornographique ou autre) devrait prendre une minute au maximum, une fois les instructions en main.
C'est arrivé à une société scientifique française il y a deux ou trois ans. Le contenu injecté contenait exclusivement des sites pornographiques.