Imaginez un monde ou vous pourriez contrôler les votes et où vous pourriez littéralement élire {le candidat|la meilleure réponse|le meilleur projet} que vous voulez… Ce n’est (malheureusement) pas encore possible dans le domaine politique, mais sur Internet, c’est très souvent à la portée du premier « petit malin » venu.
Comment effectue-t-on des contrôles lors des sondages/votes sur Internet ?
C’est simple : si la même IP a soumis déjà une fois, on ne prend plus en compte ses soumissions ultérieures.
Bien sûr, on peut faire comme Freeglobes et ajouter des contrôles inutiles de type « cookie », mais pour bypasser ce genre de contrôles, il suffit de désactiver les cookies avec la barre d’outil Web Developper ou de les effacer. Ce n’est donc pas l’objet de cet article.
Certains petits malins se sont amusés à utiliser des proxies pour voter plusieurs fois. Un proxy, c’est grosso modo un ordinateur intermédiaire qui renvoie une IP différente de votre vraie IP au serveur.
Les proxies de très bonne qualité, les proxies « Elite » permettent de ne renvoyer aucune information, juste l’IP du proxy. C’est le top du top, mais ça coûte un peu cher généralement (30$/mois les 10 IP chez ypp).
Les petits malins ayant besoin de centaines de votes et étant très souvent sur la paille, ils ont donc commencé à utiliser des proxies gratuit, mais de faible qualité. Et le problème avec les proxies de faible qualité, c’est qu’ils renvoient au serveur une information vous permettant de vous identifier.
Il s’agit généralement de l’une des trois variables : CLIENT-IP, X-FORWARDED-FOR et VIA (mais pas que).
Concrètement, si on se place du point de vue du serveur, on va recevoir une requête de ce type :
Dans le cas d’un proxy « Elite » :
Bonjour, je suis 189.189.189.189 (ip du proxy) et je voudrais accomplir une action.
Dans le cas d’un proxy de basse qualité :
Bonjour, je suis 189.189.189.189 (ip du proxy) et je voudrais accomplir une action, mais en fait c'est pas vraiment moi qui veux effectuer l'action, mais plutôt l'ordinateur 82.239.226.78 (ndlr : vous) hein, voilà c'est dit.
Hé oui, le proxy pourri renvoie votre adresse IP réelle à côté de la sienne, sûrement pour se protéger si d’aventure un petit malin était trop cavalier.
Si vous voulez approfondir le sujet, courez voir l’excellent article « les proxies gratuits, c’est trop cher » chez Un Peu de SEO avec lequel vous comprendrez l’essentiel de la notion de proxies sur le web.
Donc les scripts de vote se sont adaptés et ont dit « on ne va plus seulement s’intéresser à l’IP apparente, mais on va plutôt regarder essayer de remonter l’IP « réelle » du petit malin ». Et du coup, dès qu’ils trouvent une variable CLIENT-IP, une variable X-FORWARDED-FOR ou une variable VIA, ils prennent en compte cette IP finale comme IP votante.
Comme ça, même si j’utilise 200 proxies gratuits, tant que ces derniers laissent apparaître ma réelle IP comme IP finale et commanditaire de la requête, on m’identifie et un seul vote est comptabilisé, malgré les 200 proxies intermédiaires.
IPFlood ou la prise du dragon
Dans un plus pur esprit black hat, permettez-moi de vous présenter IPFlood.
En gros, IPFlood va faire un truc tordu, mais alors vraiment tordu.
Pour faire simple et rapide, il va générer à la volée une fausse commande CLIENT-IP, X-FORWARDED-FOR ou VIA avec une IP finale « bidon » lorsque vous consultez un site internet, vous faisant passer VOUS pour un proxy.
En gros, si votre IP réelle est 82.239.226.78, les requêtes que Firefox va envoyer seront du type :
Bonjour, je suis 82.239.226.78 et je voudrais accomplir une action, mais en fait c'est pas vraiment moi qui veux effectuer l'action, mais plutôt l'ordinateur 256.986.985.119 (ndlr : une IP completement fake) hein, voilà c'est dit.
Réponse du serveur dans 75% des cas ?
Ok mon good buddy, merci de m'avoir transmis l'IP du petit malin, pour l'instant il n'a jamais voté chez moi donc je comptabilise son vote, mais bon, je l'enregistre au cas où...
Et c’est comme ça à chaque requête, pour vous la faire simple :
Requête 1 : Bonjour, je suis 82.239.226.78 et je voudrais… , mais en fait … mais plutôt l’ordinateur 256.986.985.119…
Réponse 1 : ok, je comptabilise un vote pour 256.986.985.119
Requête 2 : Bonjour, je suis 82.239.226.78 et je voudrais… , mais en fait … mais plutôt l’ordinateur 135.111.222.644…
Réponse 2 : ok, je comptabilise un vote pour 135.111.222.644
Requête 3 : Bonjour, je suis 82.239.226.78 et je voudrais… , mais en fait … mais plutôt l’ordinateur 99.098.643.298…
Réponse 3 : ok, je comptabilise un vote pour 99.098.643.298
Et ainsi de suite…
Votre pouvoir de vote est ainsi illimité.
Ce que ça change pour vous dans votre navigation ? Absolument rien, tout est transparent pour vous…
Je ne peux pas en dire plus, mais de très, très (très) gros sites possèdent cette faille béante. Du coup, je peux littéralement choisir qui va être l’heureux élu et va monter sur le podium des 3 ressources les plus populaires. Et généralement, l’heureux élu, c’est moi. Mais maintenant, c’est aussi vous 
Petite dédicace à Yakamo et son negative analytics : le trick fausse toutes les stats getclicky. Un simple F5 et on a un nouveau visiteur en ligne… Je n’ai pas encore vérifié pour google analytics, je vous laisserai le soin de vous en occuper 
Gros merci à Vince qui m’a communiqué l’existence de ce magnifique plugin il y a 1 an
Lien : le plugin IPFlood
{ 21 comments }
Très bon cette astuce. Moi aussi je prend si quelqu’un test pour le scrap mais il ne faut pas rêver …
PS : Pour curl il suffit de rajouter les headers qui vont bien
cdillat@seo´s last [type] ..Twitter pratique le cloacking ? – SEO
Ahaha j’avoue c’est tordu, tellement tordu que c’est facile de se faire gauler (enfin si tu tombe sur un mec aussi tordu que toi)
Je sais pas encore à quoi je peux m’en servir mais c’est un truc trés malin.
Je suppose que ça marche pas sur AdWords pour du NSEO lol
Merci en tout cas
S’il ne prend pas souvent en compte la première IP c’est effectivement fourbe. J’adore.
Vorbis@référenceur lille´s last [type] ..Bonjour
Tu peux aussi utiliser une faille CSRF qui est souvent présente dans les systèmes de vote.
En gros, sur un site à fort trafic, tu place une image avec comme « src » la requête de vote ( presque toujours un simple GET sans token ).
Chaque nouveau visiteur du site contenant la balise image devient un votant
Excellent, bien vu! il s’en passe des choses dans les HEADERS, on doit pouvoir faire des trucs sympas avec Curl
aymerictwit@script php seo´s last [type] ..Récupérer le nombre de tweets/like/buzz des pages d’un site
@Anthony http://www.deliciouscadaver.com/comment-forcer-vos-visiteurs-a-voter-pour-vous.html
ho yes je l’avais pas vus celui là !
Excellent plugin
Je l’utilise et franchement c’est un pied total
D’ailleurs merci Kévin de m’en avoir parlé devant un bon petit plats de sushis
Zikaba@Grenoble´s last [type] ..Sortir à Grenoble
parfois les systèmes de vote passent la note du vote (ou d’autres données intéressantes) en claire qu’il est possible de facilement modifier aussi (curl, tamper data….)
Testé et approuvé.
T’es vraiment qu’une canaille
Très intéressant comme astuce, au début je pensais que tu allais nous parler d’une iframe cachée pour avoir des votes de ses visiteurs, mais non ! Et je ne m’attendais pas à ça
Merci
Je viens de tester sur un site et certains sont déjà intraitables avec les proxy. S’il existe un proxy alors le vote est purement et simplement annulé.
A garder de coté, merci pour nous avoir livré une autre super astuce
Vincent@Jambonbuzz´s last [type] ..Obtenir des backlinks facilement
Ouh alors ça c’est très tordu mais bougrement intelligent !
Effectivement çà ne passe pas à tous les coups,mais il y en a (enfin au moins un :p).
Seo Sex and Sun@Seo sex and sun´s last [type] ..La technique du spam comment Pigeon Referer
Arf, trop con, je m’étais amusé a faker l’UA pour Hector sous chrome, mais je n’ai pas pensé aux fakes IPS, c’est pas con
Jérémy@la faucheuse´s last [type] ..La Faucheuse
Superbe, je ne l’utilisais pas pour cela…
Je sens que je vais le ressortir et le faire chauffer un peu.
Merci
Gwaradenn@Seolitiquement incorrect´s last [type] ..Panda, attention à Google Panda… et rien !
Bon chez moi le REMOTE_ADDR ne change pas à chaque refresh… du coup par exemple voter plusieurs fois sur un simple annuaire comme elannuaire ne passe pas
Emile@Location en Corse´s last [type] ..T3 – Route Iles Sanguinaire
Le même truc pour Chrome c’est possible??
Cerbere@TasteMySeoJuice´s last [type] ..Les jeux flash sur internet ?
Le site d’IPFuck est down ou c’est une idée ?
Est-ce que je rêve ou cet article parlait à l’origine de IPFuck ? IPFuck aurait-il été transformé en IPFlood ?
Julien@conseils marketing´s last [type] ..Taux de rebond : une perte de temps ?
Bonne astuce ! D’ailleurs en parlant de proxy, j’ai récemment acheté Scrapebox et trouver des proxy Elite gratuit c’est vraiment pas facile. Tu ne connais pas une astuce ? Le mieux c’est de payer pour des proxys ?
Le jour ou j’ai un concours à gagner, je testerais le script :p
Si vous avez trouvé ce blog via une liste de blogs dofollow, ne perdez pas votre temps, je refuse systématiquement tous les commentaires sauf ceux en valent réellement la peine ;)
Comments on this entry are closed.