Forom.com est un site consacré, comme son nom ne l’indique pas, aux séries télévisées. Il est notamment consulté pour ses sous-titres d’épisodes, qui possèdent l’avantage de sortir particulièrement rapidement tout en gardant une qualité remarquable.
Si vous ne l’avez pas déjà fait, je vous invite à y faire un tour. Mais attention : avant cela, il est de votre devoir de vous préparer psychologiquement à ce que vous allez affronter. Respirez un grand coup, et préparez-vous à accéder à un site qui mériterait 100 fois de figurer dans les manuels d’informatique, section « Tout ce qu’il ne faut PAS faire lorsqu’on conçoit / développe un site web ».
Il y a de quoi pleurer d’indignation, ou se pisser dessus de rire, au choix. Non seulement les pages principales sont entièrement en Flash sans aucune raison valable, avec tous les bien connus problèmes inutiles que cela crée (accessibilité, ergonomie, URLs inopérantes, impression papier, lourdeur, et j’en passe et des meilleures), mais en plus de cela le site est constitué d’un très curieux mélange de pages HTML et de Flash, ce qui rend l’aspect graphique du site complètement disparate et la navigation digne du parcours du combattant. Rajoutez à cela le fait que les pages HTML sont hideuses, que le site tente d’ouvrir une demi-douzaine de popups (ou presque) à chaque page, et que tout le site en général est une effigie de l’artisanat constellée d’erreurs de développeur débutant et vous obtenez de quoi faire vomir un ornythorinque affamé (c’est du vécu).
Mais bien évidemment, ce billet ne serait pas très utile si il ne se contentait que de pointer du doigt ce prétendu « site internet ». Je compte bien ouvrir la voie pour que toi, amateur de séries télévisées en quête de sous-titres, te soit épargné le passage tortueux mais jusqu’ici obligé accueil -> connexion -> rubriques -> catégorie alphabétique -> nom de la série -> séléction du sous-titre. En effet, Forom, dont les dirigeants n’ont visiblement rien compris à l’intérêt des liens hypertextes, possède un système destiné à empêcher toute personne de télécharger des sous-titres sans passer d’abord par la procédure susdite. En particulier, il empêche tout accès direct à la page listant les fameux fichiers.
Cette limitation est en passe d’être résolue, car votre serviteur a, en coopération avec votre second serviteur ApOpH!s, cassé ce système de protection. Les informations recueillies permettront, à terme, de développer des scripts permettant de « parser » (analyser) les pages contenant les sous-titres de manière à en extraire les informations utiles afin de les placer dans un flux RSS utilisable par un agrégateur - donnant ainsi à l’utilisateur un moyen pratique de suivre les sorties des nouveaux sous-titres.
Toute la protection est contenue dans un code de sécurité placé dans l’URL des pages contenant les documents du site (paramètre « c=… »). Evidemment, vous pourriez penser qu’il s’agit d’un code unique de session - lequel aurait été impossible à cracker - mais en réalité, ce n’est rien de cela. Grâce à Flare, un programme conçu pour décompiler un objet Flash SWF et en extraire le code source, j’ai pu isoler l’algorythme (quoique, je ne sais pas si on peut utiliser ce terme pour une telle… « chose ») utilisé pour générer ce code de sécurité. Il semblerait que les développeurs de Forom aient été assez naïfs (ou plus probablement, incompétents) pour croire qu’un objet Flash ne pouvait pas être décompilé, ce qui est bien évidemment complètement faux.
Voici l’algorythme en question. Je vais devoir, une fois de plus, vous demander de vous préparer psychologiquement à ce que vous allez lire (et de bien protéger votre clavier d’éventuels éclaboussures peu reluisantes). Si vous avez des notions de base en cryptologie, je vais devoir vous demander de rester calme et de ne pas céder à la panique. C’est parti.
- Le nom d’utilisateur est d’abord mis en majuscules.
- Pour chaque lettre du nom d’utilisateur : ajouter une lettre aléatoire de 97 à 122 + le code ASCII de la lettre du nom d’utilisateur
- Ajouter « z »
- Ajouter le code ASCII du premier caractère du mot de passe
- Pour chaque lettre du mot de passe (sauf la première) : ajouter une lettre aléatoire de 97 à 121 + le code ASCII du caractère du mot de passe
- Ajouter « z »
- Ajouter les 5 premiers chiffres de l’adresse ip du client en ordre inversé
- Ajouter un caractère aléatoire
Une fois ce code généré, vous pouvez accéder à n’importe quelle page de documents de Forom.com sans même vous « logger ».
Ah, j’en vois qui au fond de la salle qui n’ont pas encore terminé leur fou rire. Pour cette raison, un petit interlude :
Voilà. Maintenant que tout le monde s’est remis de cette découverte, je tiens à préciser que en dévoilant cette information je ne viole aucun droit d’auteur (pas directement, en tout cas), n’effectue aucune intrusion dans un système informatique et n’ai volé aucune donnée à qui que ce soit. Par ailleurs, je me conforte dans l’idée que cette nouvelle va, espérons le, inciter l’équipe de Forom de se remettre un peu en question et de recruter un vrai concepteur / développeur de sites Internet, pas un glandeur du dimanche. Par ailleurs, tout commentaire du style « oh c’est pas bien ce que tu fais » ou « t’as qu’à le faire toi même le site si t’es pas content » sera immédiatement supprimé pour cause d’inutilité flagrante.
EDIT : il semble que l’accès aux pages contenant les listes de sous-titres soit un poil plus compliqué que ce que je croyais au départ, car la page de sous-titres vérifie la validité d’un cookie de session que la page principale des sous-titres (celle contenant la liste des séries) a déposé. Si vous comptez développer un quelconque script, il vous faudra donc d’abord récupérer un cookie de session valide sur cette page avant de le renvoyer sur la page contenant la liste des fichiers de sous-titres. Vous l’aurez compris, ce système est tout aussi stupide et inutile que le reste.
Rédigé par e-t172 | 20 commentaires »