Ce que j'entends pas ce petit nom, c'est une pratique dont j'ai du mal à capter l'intérêt. Un truc qui donne ce genre de chose comme champ referrer :

http://kum-kum.com/the-christopher-parkening-guitar-method-i
volume-1-guitar-technique.html, http://sonig.xorg.pl/when-did
-b/kamsutra-poses-with-pict2.html, http://fashion.
coolerthanthou.net/2009/02/the-man-bra-its-not-just-girls-who
-needs-support-you-know-.html, http://fypoq.xorg.pl/dwaynes-
sy/activeaid/pictures-of-a-uncercumsi37.html, http://www.
horses.co.uk/redirect/equestriancupid/, http://allride.
skynetblogs.be/post/6734361/scraping-lowrider-truck,
http://osime.xorg.pl/blog-vlad/pictures-on-female-perio75.
html, http://www.itouchthemes.com/wallpaper/faces_2-
wallpapers.html, http://emixu.xorg.pl/maselino-m/naked-
chinese-movie.html, http://www.chauincontinencia.com.ar/
local-cgi/ToForo/index.cgi?reply=13032, http://www.
clubpenguincheatsbc.com/?p=3881, http://markfjohnson.net/
blog/2009/2/17/clear-out-the-noise-jesuit-style.html, 
http://orgmonkey.net/?p=495, http://kevinelliott.net/blogs/
kindlekevin/2009/02/24/kindle-2-unboxing/, http://sid.
rstack.org/blog/index.php/324-les-bras-m-en-tombent

Étrange n'est-ce pas ? Au début, j'ai penché pour un problème au niveau du parser, mais il s'avère que ça sort tel quel des logs de Apache :

194.8.75.XXX - - 17/Apr/2009:08:47:52 +0200 "GET /blog/
index.php/324-les-bras-m-en-tombent HTTP/1.1" 200 40727  
"http://kum-kum.com/the-christopher-parkening-guitar-method-i
volume-1-guitar-technique.html, http://sonig.xorg.pl/when-did
-b/kamsutra-poses-with-pict2.html, http://fashion.
coolerthanthou.net/2009/02/the-man-bra-its-not-just-girls-who
-needs-support-you-know-.html, http://fypoq.xorg.pl/dwaynes-
sy/activeaid/pictures-of-a-uncercumsi37.html, http://www.
horses.co.uk/redirect/equestriancupid/, http://allride.
skynetblogs.be/post/6734361/scraping-lowrider-truck,
http://osime.xorg.pl/blog-vlad/pictures-on-female-perio75.
html, http://www.itouchthemes.com/wallpaper/faces_2-
wallpapers.html, http://emixu.xorg.pl/maselino-m/naked-
chinese-movie.html, http://www.chauincontinencia.com.ar/
local-cgi/ToForo/index.cgi?reply=13032, http://www.
clubpenguincheatsbc.com/?p=3881, http://markfjohnson.net/
blog/2009/2/17/clear-out-the-noise-jesuit-style.html,
http://orgmonkey.net/?p=495, http://kevinelliott.net/blogs/
kindlekevin/2009/02/24/kindle-2-unboxing/, http://sid.
rstack.org/blog/index.php/324-les-bras-m-en-tombent"
"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; MyIE2;
Maxthon)"

Ça vient toujours de la même adresse IP, avec le même User Agent qui semble indiquer l'utilisation du navigateur MyIE2. La dernière URL de la liste est systématiquement celle sur laquelle se faire la requête chez moi. Les URLs listées n'ont pas, ou peu, de rapport entre elles et il ne semblent pas liées non plus. Certaines correspondent bien à ce qu'on attend d'un spam, avec du pr0n et de la vente de médocs, d'autres semblent un peu perdues au milieu de tout ça. Enfin, c'est un peu léger pour un DoS visant la taille des journaux...

Tout ça pour dire que comme je le disais plus haut, que ça me laisse plutôt perplexe. Je ne comprends pas en effet pas l'intérêt de la chose. Même le plus con des gestionnaires de log va au mieux pêter un lien bancal qui va envoyer votre navigateur en 404. À moins qu'il existe sur le marché un soft assez con pour traiter ce genre d'ignominie et en faire autant de liens clickables qu'elle contient d'URL, mais même avec mon peu de foi dans la nature humaine, j'ai du mal à y croire...

Mais je ne désespère pas de comprendre le fin mot de l'histoire. Qui sait, je pourrai peut-être en faire une conf à Black Hat...


Et comme vous avez eu la patience de me lire jusqu'au bout, vous noterez la sortie d'un challenge de reverse ingénieux à l'occasion du SSTIC 2009. Quelques lots à gagner parmi lesquels un Samsung NC10, un iPod Touch, un disque dur externe ou encore une brosse a dents d'occasion ayant frotté les gencives de l'auteur.

Bonne chance à tous !