Violation du logiciel libre, récupération de CMS non mis à jour, failles de sécurité… : le business imoral et illégal de John Simeonidis via nullfix.com

“Un logiciel libre est un logiciel dont l’utilisation, l’étude, la modification et la duplication par autrui en vue de sa diffusion sont permises, techniquement et légalement, ceci afin de garantir certaines libertés induites, dont le contrôle du programme par l’utilisateur et la possibilité de partage entre individus.” (Wikipedia).

De nombreux développeurs créent des logiciels libres, principalement par éthique, afin de permettre au plus grand nombre d’utiliser leur(s) outil(s).

Parmi-eux, Atmon3r, un français passionné de développement et d’objets connectés, présent depuis un petit paquet d’années, il s’est spécialisé sur le partage de fichier en pair-à-pair (P2P) en créant il y a près de dix ans un forum de téléchargement (fermé depuis), mais également un logiciel : bittytorrent.

Il a récemment contacté notre rédaction afin de nous signaler une histoire qui s’est déroulée la semaine dernière :

“J’ai commencé à plancher sur le projet Bittytorrent après avoir passé quelques années à dev’ pour la Btiteam (rebaptisé par la suite xbtit) : un script web de bittorrent.

J’ai voulu créer ce projet sur le même principe qu’xbtit mais avec les “nouvelles technologies” du moment (smarty, ezsql, bootstrap…), j’avais deposé le projet sur github fin 2013 il me semble.

J’avais mis un forum pour le support pendant plusieurs années, ça avait plutôt bien fonctionné ! Afin d’enrichir cela, j’avais créé une cinquantaine de plugins et une dizaine de thèmes. Par la suite après plusieurs années, vers 2018, j’ai été contraint d’abandonner ce projet par manque de temps.”

Licence GNU GPL 3 du script Bittytorrent d’Atmoner.

Tout se passe donc sans aucun problème, jusqu’à la semaine dernière :

“La semaine dernière, un utilisateur m’a contacté et m’a demandé du support pour bittytorrent.

Malheureusement, je n’ai pas forcément beaucoup de temps (multiples projets, boulots…) donc je lui ai dit que je ne pouvais pas beaucoup l’aider, et il me balance que mon script est vendu 60 dollards par un autre type.”

Capture d’écran d’échanges de mail avec l’utilisateur.

 

Capture d’écran de l’offre de vente sur le site “nullfix.com” (supprimée depuis).

Capture d’écran du site nullfix.com concernant la licence d'”OpenTracker”.

Très surpris, Atmon3r se permet donc de contacter le propriétaire de nullfix afin de lui demander des explications.

Mais, dans des échanges de mails consultés par la rédaction, John Simeonidis, propriétaire de Nullfix.com demande à Atmon3rs’il veut bien lui envoyer la version stable et mise à jour de Bittytorrentet “qu’il est prêt à le rémunérer en conséquence pour cela“.

Ce qui met dans une colère noire notre développeur :

“Pour preuve, John Simeonidis a utilisé une ancienne version de Bittytorrent, avec que je mette le programme de bugbounty en place !

Evidemment, ce programme avait fait ressortir plusieurs XSS que j’ai corrigé sur le Github Bittytorrent.

Manque de pot pour lui, il a utilisé une ancienne version avec les failles de sécurité toujours actives.”

En effet, comme le montre cette capture d’écran, un site géré par Simeonidis (absolument non sécurisé) utilisant le script “OpenTracker” publié sur nullfix.com est faillible aux failles XSS :

Capture d’écran d’un site utilisant le script “OpenTracker”.

Interrogé par notre rédaction sur de nombreux éléments d'”OpenTracker” (date de sortie, fonctionnement, mise à jour) mais également sur la suppresion soudaine de ce CMS sur son site internet nullfix.com, John Simeonidis nous a répondu “qu’il a trouvé les sources dans GitHub comme un projet abandonné, je l’ai pris et je l’ai développé, corrige les erreurs et testé dans un vps…L’ancien développeur m’a trouvé et m’a interdit de travailler avec lui et de le vendre, alors j’ai décidé de le retirer de mon site Web.”.

Reprendre des scripts ou CMS plus ou moins non maintenus, modifier les crédits/licences et
certaines informations, y laisser les failles de sécurité, renommer le logiciel en se faisant passer pour le développeur afin de les revendre tranquillement en espérant que ça passe, tel semble être le fonds de commerce immoral et illégal de John Simeonidis.

Enfin, d’après nos recherches, ses activités ne semblent être liées à aucune société légalement déclarée (en Grèce ou ailleurs), Nullfix possède pour seule “vitrine” une page Facebook ainsi qu’un compte Twitter.