On va encore m’accuser d’être un mauvais garçon et de m’acharner toujours sur le même sujet, mais je ne suis plus à ça près…
On m’avait informé il y a plus d’un an que CMC City Booster avait, dans sa liste de proxies livrée par défaut, un proxy qui permettait à ses auteurs de tracer l’activité du logiciel, et de prendre des actions spécifiques envers les utilisateurs qui en feraient un usage non désiré. J’avais contacté Hitsugaya à ce sujet, mais je n’avais pas obtenu de réponse sur ce point précis… Apparemment, le proxy espion avait disparu…
Suite au développement de la version 1.8 de CMC City Booster, j’ai voulu vérifier ce qu’il en était. Et j’ai eu quelques surprises, mais cette fois-ci dans le code même de l’application ! Bien entendu, LG et Hitsu ont pris soin d’obfuscer le code source pour le rendre difficilement exploitable, mais un code source reste un code source, même si les noms de variables sont modifiées…
Tout d’abord un point étrange, CMC teste la version actuelle avec la version que renvoie l’URL http://82.241.93.25:8080/WS/getVersionULM.php. Grosso-modo, lorsque la prochaine version sera disponible, les utilisateurs seront obligés de mettre à jour leur version, car la courante sera rendue inutilisable…
Beaucoup plus grave, le logiciel attaque aussi l’URL http://82.241.93.25:8080/WS/ULM.php, qui renvoie ceci :
http://createmycity.myminicity.com/ http://povtown.miniville.fr/
Bon pas besoin de vous faire un dessin, ce sont des villes qui seront visitées dans votre dos, afin de faire grimper leurs stats… Et ça continue. Chaque fois qu’un bon proxy est trouvé, il est publié sur l’URL de type http://82.241.93.25:8080/WS/postProxULM.php?key=xxx&p=10.10.10.10&ip=10.10.10.10 ! Ceci leur permet de se constituer automatiquement une liste de bon proxies…
Et si vous vous demander ce qu’est le site 82.241.93.25, il s’agit en fait de http://www.lightning-generator.org/, un site administré par notre bon vieux LG666. Et on retrouve le même site dans la liste des proxies :
82.241.93.25:80
En language courant, on appelle ça un troyan je crois ! Je ne répèterai jamais assez que la disponibilité du code source est essentielle afin de s’assurer de l’honnêteté des personnes qui le produisent… Si vous souhaitez utiliser CMC City Booster, c’est votre choix. Mais vous voilà au moins informés 
Si ce que tu dis est vrai, et je suis enclin à te croire, il suffit d’envoyer à http://82.241.93.25:8080/WS/postProxULM.php une ch’tite liste de mauvais proxies (et donc de leur pourrir leur liste) et je suis prêt à parier que cette “feature” disparaîtra très vite.
Franchement chapeau, moi je ne m’y connais pas beaucoup en informatique mais tu as quand même découvert une fraude très très bien caché, je trouve ça débile surtout que, en tant que ex-utilisateur ^^ du CMC City Booster les proxy ne rapportait que très peu de hit réel sur ma ville en tout cas, le meilleur moyen est encore d’utiliser les groupes de reboot pour faire monter sa ville rapidement.
Mais le plus impressionnant est quand même cette myminicity : http://tweak-city.myminicity.fr
. Qui dans la journée du 6 décembre à quand même réussi à se procurer plus de 2 millions de visites, la population et les revenus parlent d’eux mêmes ^^. Une idée du nombre impressionnant de visites ??? A par peut-être une faille provenant de Motion-Twin ??? Bonne soirée @+
Bonjour monsieur,
Je m’interesse depuis quelque temps a vos 2 logiciels. J’ai tester d’abord CMC, mais j’ai finalement adopter URLBooster, qui est selon moi le meilleur
Si j’ai bien compris, le script permet de hitter les villes de CMC en plus de la notre, donc 2 fois plus de connexions non ?
Salut John (tu peux m’appeler dot, “monsieur” ça me fait un peu bizarre
),
oui, cela génère forcément un trafic supplémentaire, donc les performances sont altérées…
++ dot
Droit de réponse de LG (j’ai viré les passages insultants, tu ne m’en voudras pas ?) :
- la vérification des updates ne bloque pas le programme, mais affiche juste un message indiquant qu’une nouvelle version est disponible.
- oui, le programme hit la ville de CMC (à votre insu), juste retour pour un programme ayant demandé tant de ressources à ces détracteurs.
- non, le programme ne vous vole pas votre liste de goods, cette option, bien que présente dans le code n’est activé que par un jeu de configuration (dans le fichier INI) que personne ne connait, et devait surtout servir à vérifier l’anonymité d’un proxy (le principe est simple : utiliser le proxy pour aller hitté un serveur, serveur qui vérifierait dans les headers la présence de l’ip de départ ou non). La liste de proxy est en effet stockée, et qualifiée (Transparent/Anonyme), puis rechargé (uniquement les anonymes) à chaque iteration par l’utilisateur ayant la même “VIPkey”.
Je n’ai pas rendu cette option disponible, je suis d’ailleurs le seul à l’utiliser, et elle n’est surtout pas donné à tout le monde, sinon le dit serveur s’écroulerait sous les requetes.
Et si vraiment, CMC CB serait un outil pour faire grimper nos villes, vu qu’il est MONDIALEMENT utilisé, que son utilisation dépasse grandement la petite utilisation de Miniville/Myminicity, je pense que nos villes seraient toutes en 1ere place des tops … est-ce le cas ? ….. non ….
Alors il est facile de montrer du doigt ce que vous ne maitrisez pas, mais même si vous aviez le code source, 95% d’entre vous n’auraient même pas compris ces astuces…
Mais le fond du message de dotpanic, n’est pas celui que l’on croit :
je rappelle
- que sous un prétexte bidon, dotpanic a décompilé CMC CB
- que de sa décompilation fortement erroné, il a sorti rapidement des conclusions pour en tirer parti contre CMC CB.
- qu’il est passible de sanctions de décompiler un programme copyrighté
Mais cette dernière remarque, est sans effet sur quelqu’un qui passe son temps à décompiler CMC CB pour y puiser les principes novateurs ….
Et ma réponse rapide :
> oui, le programme hit la ville de CMC (à votre insu)
Hou vilain ! Pas bien, pas bien… Je resterai donc sur ma position et ma qualification de “Troyan’…
> la vérification des updates ne bloque pas le programme, mais affiche juste un message indiquant qu’une nouvelle version est disponible
> non, le programme ne vous vole pas votre liste de goods, cette option, bien que présente dans le code n’est activé que par un jeu de configuration (dans le fichier INI)
OK, mal lu le code à la base, mea culpa. Je viens de rejeter un coup d’oeil, c’est effectivement le mode de fonctionnement. Par contre dans ce cas, pourquoi ne pas faire état de cette hidden feature dans la doc ?
> Et si vraiment, CMC CB serait un outil pour faire grimper nos villes, vu qu’il est MONDIALEMENT utilisé
Attention les chevilles… URLBooster étant utilisé en France, en Belgique et même pas nos amis québécois (et très certainement ailleurs aussi…), je peux aussi dire qu’il est MONDIALEMENT utilisé ? ^^
> qu’il est passible de sanctions de décompiler un programme copyrighté
Alors là, je n’aurai que 3 lettres : LOL !
Merci !
Ceux qui ont suivi l’histoire depuis le début ont dû bien rigoler
> qu’il est passible de sanctions de décompiler un programme copyrighté
>>Alors là, je n’aurai que 3 lettres : LOL !
Merci !
>>Ceux qui ont suivi l’histoire depuis le début ont dû bien rigoler
Oui, effectivement : LOL !
Trop facile de prendre un prog sans copyright, de mettre 3 lignes de modifs et de mettre un copyright à son nom. MDR.
>LG666 a écrit :
>Alors il est facile de montrer du doigt ce que vous ne maitrisez pas, mais même si vous aviez le code source, 95% d’entre vous n’auraient même pas compris ces astuces…
Ouf, je fais partie des 5% qui ont compris.
Là je pense que Mr LG666 prends un peu trop facilement les autres pour des c…
il est vrai mon nod32 prend souvent comme troyen
merci
Bonjour,
Est ce que URL Booster fonctionne aussi pour booster les blogs (skyrock) ?
Salut Yannick,
Aucune idée, mais tu peux tester et nous revenir ensuite…
++dot