L’univers des statistiques, ce grand n’importe quoi…

 

Les vacances d’Août 2018 auraient pu être paisibles si l’on avait pas eu cet évènement plutôt pathétique sur Twitter : une bonne grosse divulgation en masse des données personnelles, faite sans complexe par l’organisme nommé Disinfo.eu .

 

Source du problème : la diffusion sur l’espace public de données. Mais pas n’importe lesquelles. Et surtout : bien n’importe comment.

 

Quelles données ?

Des noms, des pseudos Twitter (pas toujours fantaisistes), recueillis à des fins de prétendues études. Ceci comprend également des informations de localisation, d’autres données plus futiles et surtout un étrange classement en catégories politiques qui en aura fait bondir plus d’un.

 

Quels problèmes ?

Vu la quantité, on va commencer avec le plus sérieux. La législation est très claire quand à l’utilisation de données personnelles, quelles que soient les objectifs des études les utilisant : ces données sont perso’ et n’ont pas par principe à se retrouver dans la nature. Les professionnels ont pour usage de se couvrir en anonymisant les sources utilisées dans les documents à usage public. Là Disinfo fait preuve d’un grand amateurisme et d’une naïveté qui laisse sans voix puisque tous les pseudonymes sont en clair dans les fichiers rendus publics. Leur argument est qu’un pseudo n’est pas un nom et qu’il suffit à rendre anonyme. Mon argument, que je peux leur démontrer sans problème, c’est qu’il suffit de 3 clics sur un de ces pseudo pour remonter souvent à un nom, voire une adresse postale et des tas d’informations annexes. Donc : non, un pseudo ne rend pas anonyme (et encore moins sur internet). C’est une appellation. Pas une anonymisation déclarée.

L’autre gros problème concerne ces attributions de penchant politique à chacun des 50.000+ candidats non volontaires de cette prétendue étude. Personnellement je pourrais m’en gausser (je vous le montre à la fin de l’article) mais je comprends que ça hérisse au plus haut point d’autres personnes, peu importe leur tendance politique puisque le fait ici revient à mettre en cause l’utilité d’un isoloir. Là, vous avez un listing qui prétend clairement savoir pour qui vous votez et le fait de manière totalement arbitraire.

Je rappelle que Twitter n’est pas un outils d’information mais un réseau communautaire. On y trouve donc des échanges et discussions, et très rarement de l’authentique information excepté pour les professionnels de la presse qui y partagent généreusement leurs articles. Personnellement d’ailleurs, quand j’ai besoin d’informations je ne vais pas sur Twitter mais dans mes RSS et autres outils de meta-recherche. Twitter me donne parfois vaguement une news, que mon libre arbitre me permet d’aller consulter ou pas à sa source pour en savoir plus. Considérer Twitter comme une source d’informations fiables est une ânerie, c’est un peu comme envoyer un institut de sondage écumer tous les bars de l’hexagone à une heure post-apéro avancée et tenter d’en tirer des théories et conclusions : ça pourra vaguement amuser et donner des idées de titres pour les click-whores ; ça n’en sera pas pour autant une étude crédible.

 

Pourquoi tant de « N » ?

Alors là mon cher Nicolas, désolé que tu sois en première ligne, mais la connerie t’incombe totalement : il faut être définitivement demeuré pour ne pas faire les 3 clics qui permettraient de remplacer les pseudos par des numéros dans ta colonne de fichier Excel ! Même ma mère sait le faire. Tu es celui qui a rendu public ces datas, tu portes donc la responsabilité de l’action, même s’il ne fait nul doute que les autres personnes t’accompagnant auront leur responsabilité dans les procès à venir. C’est une faute professionnelle grave et contrairement à ce que j’ai pu lire pas l’intention d’un Nico-le (au choix) /facho /écolo /russo / porte-manteau. Sur ça je ne te juge pas et n’ai aucune opinion. Je vois juste une personne qui a fait une très grosse connerie.

Je vais rajouter aussi que tes méthode de calculs et évaluations prêtent à sourire quand on les soumet à des professionnels avérés dans le domaine des études statistiques. Pour ma part, un simple collègue de Twitter non spécialiste mais pas trop débile en math’ à démonté ton étude en 5 twits très calmes et parfaitement compréhensibles. Je t’épargne donc les avis de spécialistes qui, à cet instant, sont encore en train de rigoler.

Et puis il faut savoir quand même que la science des statistiques est une des rares où l’interprétation de mêmes résultats peut être sévèrement différente selon qui les présente. C’est particulièrement valable (et utilisé) en politique, d’où cette attention particulière, indignation souvent, que l’étude incriminée soulève. Tu pourras le vérifier en visionnant une des nombreuses vidéos Youtube qui expliquent les problèmes liés entre interprétations et chiffres ; ce sont des vulgarisations très claires à comprendre, accessibles même à un abruti.

 

Conclusion

Donc non il n’y aura pas de tolérance pour cette faute impardonnable qui tombe sous le coup de la loi, des règlements RGPD récemment mis en place et met bien en avant le manque de sérieux de Disinfo.eu et associés. Les gens ne sont pas vos petits pions que vous pouvez manipuler et catégoriser à volonté selon des protocoles trop souvent arbitraires ou obscures. Leurs données, même si Laurent Chemla m’a bien remis en place, leur appartiennent un minimum, sinon on aurait pas un droit d’accès et rectification comme l’autorise la CNIL. Sinon on ne serait pas en démocratie non plus.

Plus personnellement, j’aimerai connaitre tes objectifs. Et surtout : qui sont les commanditaires. Parce que tu ne vas pas me faire croire qu’on file des milliers d’euros à une ONG qui ne solutionne rien des gros problèmes de la planète, ni faim ni pauvreté (et surtout pas sécurité et fake-infos), et remet des études dignes d’une soirée cannabis. Le barbouze protégé de l’Elysée je m’en tape sévère. Par contre qu’un président déclaré en vienne à mettre ses mains là dedans… désolé : comme tout le monde j’ai eu des cours d’histoire-géo et on sait comment ça se passe. Et ça ne passera pas.

Quand à la démonstration finale, apprends mon petit Nicolas qu’un demi siècle plus tard, je ne suis toujours pas inscrit sur la moindre liste électorale. Je respecte les choix des autres, j’ai des opinions, mais je ne suis pas de ces gens qui votent « contre » ; j’attends toujours quelqu’un qui me donne envie de voter « pour » et je pense que l’attente va être encore longue vu la quantité de malhonnêtes qui s’entretiennent mutuellement pour conserver leurs pouvoirs de décision dans ces milieux. CQFD.

 

 

PS : par pur dégout je ne mets aucune illustration dans cet article bien que ce soit mon métier.

 

La conquète du monde* par The Big Gameovski…

(enfin, du pays)

(la région plutôt)

(ville…)

(en tous cas ça fonctionnera au moins pour mon pallier d’immeuble !)

 

N’étant pas plus malin que la moyenne, j’ai jeté quelques idées pour les streams de la rentrée. Je rappelle que le projet est de proposer un mag’ ciblé midlife gamer où le propos n’est pas tant d’être technique mais plutôt synésthésique dans l’approche des sujets. Et plutôt que de le marquer en vrac à un endroit que je paumerai, j’ai trouvé pas inutile de vous le partager ici (au moins : je retrouverai !).

 

L’objectif premier c’est de pouvoir reprendre la cadence du stream quotidien de 19 heures. Ça devrait pouvoir se faire tranquille jusque décembre puisque les enregistrements sont faits par lots et, oh look : grandes vacances ! Là où c’est un poil plus délicat, ça concerne les machines à émuler, car j’ai quasiment fait tous les shmups d’arcade. Si vous arrivez à surpasser votre timidité, je serai heureux d’accueillir vos propres streams sur des plateformes un peu exotiques auxquelles je n’ai pas forcément accès.

L’autre objectif, qui démarre de zéro, c’est de commencer à nouer réellement des contacts avec certains studios & éditeurs de manière à pouvoir vous garantir au moins 1 stream nouveauté ou en dév’ chaque semaine. Ce n’est pas si simple et si tu me lis, toi qui va sortir ce jeu sur lequel tu as trimé, n’hésites pas à me contacter. TBG n’a pas de budget jeu vidéo et personnellement je suis comme tout le monde : je m’offre un jeu à 60€ tous les 6 mois en moyenne. Donc même un clé temporaire fait l’affaire puisque c’est d’un simple mode review, produit fini ou pas, que l’émission aborde ses sujets.

 

Echo

En objectif parallèle, il y aura aussi d’avantage de guests dans les streams. Des « voisins numériques », gamers ou pas, mais aussi du Super Player, ou encore des dév’ ou éditeurs venant partager un bout de leur passion. Là aussi, les prises de contacts sont ouvertes. Pour Septembre je vous promet un stream sur un outils pour fabriquer soi-même son shmup juste avec quelques notions de programmation par exemple.

Dernière partie, le côté magazine car des vidéos ne font pas tout et ça reste bien agréable de lire un dossier complet à son rythme plutôt qu’un stream qui sur la longueur endort un peu. Oui lors du sondage vous avez été une grosse majorité à mentionner qu’un stream review devrait de préférence se cantonner à une trentaine de minutes ou moins et je ne saurais vous contredire. Le soucis de la partie magazine c’est qu’il faut réellement fabriquer le contenu de manière propre  et que contrairement aux croyances ça bouffe beaucoup plus de temps qu’un stream enregistré en une prise live. Là aussi je fais un peu du pied sous la table aux âmes qui se sentiraient inspirées pour partager leurs articles. Concernant les sujets qui pourraient être intégrés reportez-vous à cet article.

 

https://youtu.be/RyWimcAH0KA

 

Voilà pour les grandes idées qui devraient faire votre The Big Gameovski de la rentrée. Une seule évolution restera hors actualité : le montage des émissions ; je n’ai ni les capacités ni le temps.

Les bons réflexes en cas de virus ou malwares…

Depuis les années 1980, explosion de l’informatique dite « personnelle », les virus aussi ont suivi cette croissance galopante, toujours plus nombreux, toujours plus vicieux. L’an 2000 a ouvert la caverne d’Ali Baba pour ces menaces avec l’avènement du tout connecté, multipliant de manière exponentielle les ports d’entrées sur nos machines. Autant dire que les Black Hats n’ont pas mis longtemps à comprendre pour s’engouffrer dans la brèche béante et exploiter le juteux nouveau filon. D’où la présence impérative sur une machine numérique connectée ou non de logiciels de sécurité, pour les plus connus : l’antivirus et le firewall.

 

DES VIRUS POUR QUOI FAIRE ?

La légende veut que les premiers virus soient des applications involontaires issues de la DemoScene (ces gens qui programmes des trucs de dingue en 64K par exemple). Tantôt par proof of concept pour démontrer la perméabilité des systèmes informatiques, et aussi plus souvent par prétention : je me souviens de ces disquettes Amiga rendues inutilisable ; leur boot sector ayant été ré-écrit par un programme pour y mettre l’intro d’un groupe Warez bien connu… il n’y avait pas réellement d’intention de mal mais au final les programmes stockés à l’origine sur les supports étaient pour la plupart rendu inutilisables, le boot servant souvent de protection software.

La majorité des con-cons à gros cerveau qui développent des virus depuis le font dans l’idée de challenge. Et puis pour faire chier un peu le monde aussi, histoire d’essayer de faire parler d’eux. Ça n’est qu’au milieu des années 2000 qu’ont commencé à réellement apparaitre les « menace intéressées ». L’idée n’étant plus de jouer avec des trous de sécurité mais bien d’exploiter l’utilisateur pour en tirer quelques bénéfices. Les informations bancaires sont devenues la première cible privilégiée. Puis les codes utilisateurs, logins et autres mots de passe. Puis finalement ce petit monde sentant le sébum a réalisé qu’il était pas mal aussi de mettre la main sur le contrôle de ces machines. Juste histoire de pouvoir en faire des outils pour… infecter d’autres machines par exemple.

Les derniers « génies » en date sont probablement ce qu’on peut considérer comme la lie des hackers : les diffuseurs de ransomwares. Les ransomwares sont juste des variante de virus dont l’objectif principal est de pénétrer un système pour en toute discrétion en encrypter le contenu à l’insu des utilisateurs. Une fois l’opération faite, ils se contentent d’afficher une fenêtre mettant à jour un chantage à la clé de décodage pour restituer le contenu ainsi crypté.

Il est donc loin le temps des petits virus con-cons qui inversaient simplement les directions du curseur souris en guise de blague. Aujourd’hui c’est plutôt un marché de fumiers bien lâches qui préfèrent du haut de leur inexistant courage s’en prendre à des particuliers plutôt que braquer des banques. En terme technique on appelle cela des Script Kiddies (ou des Sous Merdes, c’est selon). Il convient néanmoins d’être informé de tout celà ; d’où cet article.

 

LES PORTES D’ENTREE

Comme vous l’avez lu précédemment, plus une machine est connectable, plus elle est exposée. Aujourd’hui vous pouvez sombrer dans une tornade de paranoïa si l’on vous liste l’intégralité des endroits de votre machines susceptibles de servir de vecteurs d’infections.

En premier lieu, les supports de stockage sont tous de potentiels nids à virus. Raison pour laquelle les éditeurs logiciels aiment vous rappeler qu’il faut acheter des originaux depuis des source sûres. D’ailleurs aucun personnel d’éditeur n’a jamais développé de virus lui ; ce serait comme un éléphant qui tue un lion… oh wait ! ^^’

Ces dix dernières années ce sont surtout les clés USB, très baladeuses comme le veut leur principe, qui ont été visées. On ne saurait, si ce n’est déjà fait, que trop vous recommander d’interdire la lecture automatique sur ces périphériques. Le reste des menaces, grosse majorité, est depuis distribué via les réseaux, soit par des pages web mal intentionnées, soit des extensions de navigateurs nuisibles (spywares), soit encore le téléchargement par l’utilisateur de fichiers vérolés à son insu.

 

DES VERROUS POUR LES PORTES D’ENTREE

Je démarre sur la conclusion de ce paragraphes, puisque parmi les meilleures sécurités existantes du système il y en aura une toujours au dessus du reste : VOUS ! Et paradoxalement vous serez probablement aussi sa plus grosse faille.

Il ne tient qu’à vous de travailler sur un système sain en vous astreignant à une pratique rigoureuse dans la manipulation des liens et fichiers. Un lien à cliquer dont on ne voit pas clairement l’URL, à part pour des transactions hautement sécurisées, je ne vois pas trop à quoi ça sert alors en général quand je tombe dessus… je fais plutôt l’impasse. De la même manière que ce fichier joint dans un e-mail par un correspondant inconnu, ou étrangement pas à la même adresse e-mail que l’utilisateur que je connais déjà, devrait aussi vous mettre la puce à l’oreille. Et si vous êtes des téméraires (ou désargentés) qui naviguent dans les eaux pirates, remarquez qu’un bon vieux fichiers warez avec beaucoup de sources à bien plus de chances d’avoir des commentaires confirmant qu’il est « sain » par rapport à d’autres aux descriptifs élogieux et à la taille exagérément différente. VOUS êtes 80% des risques d’infection d’une machine ; si vous souhaitez bosser serein imposez vous donc un peu de rigueur.

Les authentiques verrous des systèmes numériques actuelles sont bien sûr les antivirus. Depuis qu’ils peuvent se connecter sur le web pour se mettre à jour, ils sont devenus extrêmement performants, alliant la puissance d’une base de données des menaces et des algorithmes modulables de reconnaissance, le tout en quasi temps réel. Mais comme tout le monde le sait : en informatique le 100% n’existe jamais. Il y aura donc toujours ces failles qu’on découvre un jour mais qui ont eu le temps de… c’est ce qu’on appelle les Zero Day et généralement les éditeurs de solutions de sécurité sont très rapides à fournir les patchs pour les corriger. Votre confiance donc en votre antivirus peut se faire à, comme pour le dicton informatique, presque 100%.

Un logiciel chargé de la surveillance des fichiers ne devenait plus suffisant avec l’avènement d’internet et toutes les parties système qui communiquent avec ce réseau. Ont donc été créés les firewalls, sorte d’aiguilleurs du ciel mais dans vos appareils, chargés d’analyser et gérer le trafic sortant et rentrant sur vos machines. Ces murs de feu sont généralement une méconnaissance du public et c’est bien regrettable. Apprendre à les gérer permet de mettre en place des principes de sécurisation « maison » et autant dire qu’un script de hack qui arrive sur un mappage de ports redistribués, lui même redistribué sur une autre table derrière n’insiste jamais trop longtemps à vous casser les cacahuètes en sondant votre matériel. Si l’on ajoute à cela des règles de comportement avec des endroits clairement interdits, d’autres pouvant être utilisés comme attrapes nigauds pour contre-sonder les sondeurs… il y a tout un éventail de possibilités pour une sécurisation personnalisable ; tout ce que déteste les NetBots.

Je vous invite donc à vous documenter sur ces fameux Firewalls ; le mal de tête causé par les termes barbares en vaudra la peine quand vous aurez pris conscience de la puissance de cette partie de votre réseau. Et si le mal persiste je vous recommande un petit Chablis de 5 ans d’age ouvert 20 minutes avant. 😉

 

CA Y EST : JE SUIS INFECTE !

Admettons. La marmotte, toussa… pshiiit : hop ! Avant de monter sur vos grands chevaux et sortir le masque à gaz, je vous ferais remarquer qu’il convient de vérifier juste un petit truc avant de passer en mode guerre totale : que ça ne soit pas une panne matérielle. Parce que moi les claviers sans fil (je ne citerais pas Logitech !) qui mangent des lettres, alors qu’ils ont juste des piles en fin de cycle, j’en ai connu. Des black screen of death avec même plus le bouton reset qui marche : j’en ai connu aussi (c’était en fait de la chauffe composant dans la machine, souvent des condensateurs prêts à passer en mode popcorn sur la carte mère ou graphique). Généralement on distingue les phénomènes de panne des virus par le simple caractère aléatoire de leur apparition.

Bon maintenant il est probable que votre navigateur ouvre 4 fenêtres pop-up à chaque clic. Que rien ne soit cliquable sur l’écran du bureau. Ou, jackpot ultime, qu’une fenêtre vous informe carrément de la mauvaise nouvelle. Étrangement, les premières minutes où VOUS comprenez que vous êtes réellement infecté sont les plus importantes. Et votre efficacité à réagir ne vaudra que dans le calme et la rigueur.

La première chose à ne PAS faire est d’éteindre la machine. Seul cas ou je saurais vous le recommander : dans le cadre d’une activité disque dur très importante alors que vous ne faites rien d’autres que contempler en larmoyant la fenêtre porteuse du mauvais message. Là, ça voudrait dire que vous avez un malware en train de crypter sous votre nez tout votre bouzin : ne cherchez pas, éteignez d’urgence. Sorti de ce cas précis, il n’y a aucune raison d’offrir à votre infection un moyen de s’ancrer plus profondément en lui offrant l’opportunité de redémarrer sur ses propres séquences détournées. C’est important.

La seconde chose qui elle sera A FAIRE est de vérifier que vous avez encore une connectivité internet et un navigateur utilisable. Car votre sauveur ne sera pas cet article. Ni le how-to-do trouvé sur le site d’un éditeur de sécurité. Mais plutôt ce Mr Quelconque qui, un jour, à partagé la même malheureuse expérience que vous vivez actuellement et est venu demander de l’aide sur cette page forum. Du fond du cœur, je ne saurais jamais assez remercier tous ces Mr Quelconques qui par leur malchance ont finalement sauvé des milliers d’autres utilisateurs.

S’il s’avère que vous n’avez plus d’accès internet disponible, il ne vous restera plus qu’a utiliser une autre machine, quitte à vous faire prêter un laptop par un ami, pour pouvoir envisager de dépanner le problème. Pas la peine d’imaginer que votre internet va remarcher si vous rebootez la machine : dans 99% des cas ça n’y changera rien. Ah, tant qu’à faire : taxez une clé USB si vous n’en avez pas, vous en aurez besoin pour transférer les éventuels programmes liés à la réparation.

 

SEEK ‘N DESTROY !

Vous l’avez compris, le web est votre ami et il offrira souvent ces judicieux conseils pour annihiler la menace qui vous taraude. Il conviendra de rechercher plusieurs témoignages pour pouvoir croiser les informations, solutions, et déterminer ce qui sera le plus simple à appliquer pour vous.

Pour faciliter votre réparation (et éviter une potentielle propagation) on recommande généralement de déconnecter tous les périphériques inutiles de la machine infectée. Une jungle de composants à tester moins dense, et c’est tout de suite beaucoup de temps gagné pour analyser et cibler.

Les méthodes pour remettre en ordre votre machines seront aussi variée que les menaces, inutile de s’attarder sur les détails. Simple remise en place système, scan des fichiers, restauration de sauvegardes, décryptage… peu importe la manière, il vous faudra les accessoires que je vous ai déja listé : une machine annexe, sa connexion internet et une clé USB ; le stric minimum.

Les réparations sont généralement à la portée du débutant, pour peu qu’il soit capable de suivre scrupuleusement un processus. Savoir utiliser un interpréteur de commandes texte est évidemment un plus mais généralement vous n’aurez qu’a recopier quelques bouts de batch. Avant de réutiliser votre machine réparée en mode travail, pensez toutefois à bien vérifier que votre antivirus est à jour et que le firewall est programmé comme vous le souhaitez ; ce serait dommage de subir un second assaut.

 

ACHETER TES PETS (HTTP)

Il n’y a pas que vos machines connectées qui sont des cibles potentielles de hack : les sites web que vous pouvez posséder sont exposés en première ligne ! Si à l’époque des pages HTML statiques il n’y avait pas grand chose à redouter, la donne est totalement différente aujourd’hui avec le web adaptif qui nous entoure.

Sur un site web, ces ne sont pas vos données qu’on cherche vraiment à détourner. Mais plutôt le site en lui même, par ses fonctions et les outils présents ou installables. Avec l’avènement des CMS comme WordPress, ce sont des ressources faiblardes pas vraiment impressionnantes qui une fois mutualisées peuvent servir à créer des outils d’une toute autre puissance. Les objectifs ? Monter des campagnes de spam massives sans se faire localiser. Organiser des DDOS et autres attaques de gros sites par l’effet de masse. Et infecter d’autres site bien entendu.

Notez que, quel que soit votre CMS, les attaques tourneront principalement autour de 3 objets. La connexion administrateur à votre espace web. L’utilisation de commandes distantes dans votre site web. Et finalement vos précieuses bases de données qui, en plus du contenu web public, renferment souvent des informations utilisateurs juteuses. Pour sécuriser cette dernière partie, il convient d’être relativement appliqué sur les mises à jour de vos outils web. Langage, base en elle même, outils annexes… tout doit être rapidement mis à niveau dés qu’une opportunité se présente. Concernant les commandes distantes, elles sont souvent centrées autour d’une poignée de fonctions dont vous devrez jauger la nécessité. Est-il bien utile d’avoir cette extension qui envoi vos nouvelles entrées blog automatiquement sur un post Facebook ? Pouvoir administrer le site depuis mon mobile est-il vraiment impératif ? Cet outils de statistique qui échange avec un autre site est-il vraiment vital ? Vous devrez prendre des décisions pour crédibiliser la sécurité de votre site en minimisant le nombre de manières d’y accéder car sorti du web apparent que vous connaissez, il y a plein d’autres façons de se connecter et interagir avec votre espace web.

Pour vous aider dans cette quête peu évidente pour le novice, il existe généralement des modules complémentaires à greffer sur votre CMS. Et là encore, on retrouve Firewall et Antivirus. Ce dernier sera généralement basic, se contentant de signaler et bloquer des manières d’attaquer connues (transversal directory, etc…) plus que des fichiers à proprement parler. Le firewall par contre va devenir votre outils sacré ! Car avant de réagir à une attaque, il vous conviendra de la comprendre et identifier son type.

 

THE ROOF, THE ROOF, THE ROOF IS ON FIRE…

Les attaques pour se connecter en administrateur à un site sont les plus courantes. Et pour cause : les espaces web étant relativement normés, c’est souvent aux même endroits et avec les mêmes noms de page qu’on retrouve la porte d’entrée qui demande Login & Password. Les hackers usent généralement de scripts tout faits qui se contentent d’essayer des suites courantes pour tenter la connexion. L’intrusion se renouvellera donc éternellement jusqu’à ce qu’elle soit bloquée ; on parle ici de Brute Force, on essaie et si ça marche pas on passe à l’essai suivant. Avant même de développer sur les parades, il convient de faire un petit arrêt sur vos mots utilisateur. Ayez conscience de l’importance d’un login qui ne soit pas connu et apparent sur votre site. Bannissez votre pseudo ou nom d’auteur par exemple de la même manière que vous allez supprimer Admin qui est internationalement utilisé. Vous observerez souvent que vos page « about » ou « auteur » ont préalablement été visitées pour tenter de récolter une piste sur vos noms de logins. Pour vos mots de passe, je vous laisse à vos propres responsabilités sachant que plus que jamais suites, passwords déjà utilisés ailleurs et mots de moins de 10 caractères sont à proscrire.

Une manière simple de vous éviter les maux de NetBots qui harcèlent votre page login consiste en son renommage ou son déplacement dans l’arborescence du site. Cela peut être fait manuellement si vous avez les compétence, ou avec un outils externe ou plugin. L’opération est aussi simple qu’efficace et vous évitera de nombreuses entrées parasites dans les logs de vos sites.

Autre schéma d’attaque bien connu : s’en prendre à une fonction de commande distante du site visé. Là, on entre dans du délicat car ces commandes peuvent aussi bien recevoir de requêtes du site lui même que d’un site extérieur agréé (mises à jour, plugins, etc.). A vous de trier le grain de l’ivraie dans les requêtes concernant ces fichiers. Si vous n’en avez carrément pas d’utilité, n’hésitez pas à carrément retirer ces pages de fonctions d’une potentielle visibilité en renommant leur extension par exemple. Notez au passage que ces pages fonction, normalement sécurisée, demandent login & password pour leur utilisation ; ce qui peut être encore une source de tentatives de Brute Force, CQFD.

Niveau base de donnée, vous n’avez normalement pas grand chose à craindre. Leur administration nécessite un utilisateur identifié et l’usage de clés avancées pour les gérer. Là aussi, il peut être envisager de forcer l’accès en multipliant les tentatives ou effectuant des requêtes qui peuvent déborder la base et offrir une page admin’ suite à erreur. De manière générale, CMS et plugins sont parfaitement au fait de ces méthodes et bloqueront sans problèmes les accès particulièrement louches.

 

 

Pour prendre un exemple concret de sécurisation, j’utiliserais un site sous WordPress, le CMS le plus répandu en ce moment. Si vous suivez mes recommandations, votre page de login ne doit plus se trouver dans …/wp-login.php mais ailleurs ou être présente sous un autre nom. Les fichiers de commande distante tels que le fameux xlmrpc.php doivent être renommés ou supprimés si vous n’en avez pas un besoin vital. Au pire, vous pouvez les laisser tel que et déclarer dans votre firewall web que cette URL est interdite et bloquer automatiquement toute requête tentée dessus (sauf pour vos outils autorisés que vous whitelisterez, tels que JetPack par exemple).

Pour réaliser ceci simplement, je vous recommande l’excellent et gratuit Wordfence qui réuni des fonctions firewall simples à comprendre et mettre en oeuvre, ainsi qu’un log pratique pour identifier les menaces récurrents. J’invite les débutants à perdre quotidiennement quelques minutes en la lecture de ces logs ; vous y apprendrez des tas de choses qu’aucun tutoriel ne pourrait vous expliquer aussi clairement. Par exemple, un moteur de recherche qui cherche à aller sur vos page d’administration ou utiliser des commandes distantes à touts les chances d’être une fausse URL utilisée pour vous leurrer. Une IP qui sonde régulièrement des pages sans vraiment donner l’impression de parcourir le site est probablement à surveiller. Etc.

Prenez votre temps et n’hésitez pas éplucher vos logs pendants quelques semaines ; vous allez vite assimiler à quoi vous avez à faire. Généralement ce sont des NetBots, scripts pas très sophistiqués utilisé par cette sous classe de bas de cerveau boutonneux qui se prennent pour des hackers. La nuisance n’est pas énorme mais l’utilisation potentielle d’une brêche est toujours à redouter. On reconnait du NetBot par ses requêtes, répétitives et similaires malgré les changement d’IP fréquents. Vous pourriez bloquer chacune de ces IP mais étant donné leur nombre, finirez par saturer votre firewall. D’où l’usage du ban’ temporaire qui permet de calmer le jeu tout en s’évitant d’avoir un listing d’URLs bloquées trop important.

Le schéma général du NetBot est relativement simple : utiliser une base de failles connues, repérer des sites usant du CMS à failles en question, tenter, changer d’IP, re-tenter, etc. En cas de succès, le Netbot renverra les utilisations viables au noeunoeud planqué derrière son écran ayant lancé le script. Ce dernier n’hesitera pas à changer tous les utilisateurs en cas de pass compromis, ou plus simplement à intégrer ses outils pour spammer et infecter d’autres sites depuis le votre en tout discrétion. Notez qu’il existe une catégorie d’hébergeurs particulièrement (volontairement ?) incompétents qui se sont fait une spécialité de laisser utiliser leurs IPs par des Khackers (hacker avec pas de cerveau et un peu de kack’ au cul ^^’). Vous les verrez apparaitre de manière redondante dans vos logs et dans un soucis de toujours éviter la surcharge du firewall, il vous sera sans doute plus simple de bannir tout un domaine. En exemple, ruvds.com, 5×00.com, mtw.ru & example.com sont de pathétiques nids à NetBots, des milliers de sites façades entretenus par des hébergeurs complices qui stockent des quantités affolantes de scripts nuisibles ; il n’y a aucun scrupule à avoir à blacklister carrément leur domaines complets. D’autres cas plus délicats demanderont à adapter l’échelle de blocage car vous ne pouvez pas bloquer tout le trafic du Cloud Amazon par exemple juste parce que quelques Khackers s’en servent pour masquer leur localisation. A ce niveau, le blocage de Ranges (fourchettes d’IPs) semble plus raisonnable pour par exemple neutraliser les NetBots récurrents hébergés chez nos amis incompétents de Online.

Il y a également des outils web qui sont détournés de leur fonction première, notamment ceux aptes à lister les informations techniques de votre hébergement (hébergement, type serveur, versions, …) ou évaluer la disponibilité en ligne de votre site. Si vous constatez qu’un de ces services rapplique un peu trop souvent à votre goût alors que vous ne vous en êtes pas servi, bloquez directement le domaine complet sans arrières pensées (rappelez vous juste de la débloquer le jour où vous en aurez l’usage).

 

CONCLUSION

Ces exemples concrets sont les plus courants ; il existe bien d’autres formes de hack web tant en manière de technique. Si vous prenez soin de neutraliser celles que je vous ai listé, ces autre deviendront évidentes au travers de la lecture de vos logs clarifiés. Dans tous les cas : restez patient, méthodique, et n’hésitez pas à tester différents blocages car ils sont tous reversibles (enfin… ne vous blacklistez pas votre propre IP quand même ! ^^’).

 

 

J’espère vous avoir été utile dans ce petit condensé de l’essentiel pour travailler l’esprit tranquille. Comme vous avez pu le voir, il n’est pas nécessaire d’être un gourou des machines et réseaux pour en avoir une utilisation saine et sécurisée. Tout n’est qu’affaire de bon sens car quoi qu’on en pense, la pire brèche qui restera toujours sur un système numérique demeurera… l’utilisateur.

 

Quand la France officialise la mafia numérique de l’image…

Kyesos Media

Scandalisé. Voilà ce que je suis. Si cela fait de décennies que nos collègues artistes musiciens tolèrent de se faire enfiler par ces escrocs déguisés en sociétés de gestion de droits qu’on leur impose, nous, créatif visuels, n’entendons pas trop nous faire enfiler la carotte imaginaire que ces purs arnaqueurs croient détenir. Mais d’abord les faits :

 

L’ARTICLE 10 QUARTER DE LA LOI CRÉATION

Globalement, c’est un article qui suppose mettre en place un système de rémunération que devront payer les moteurs de recherche X ou Y qui affichent du contenu visuel indexé. Cette taxe à peine déguisée est prétendue soutenir le monde de la création ; on verra qu’il n’en est rien très rapidement dans la suite de cet article.

De surcroit ce projet de loi se permet de mettre les contenus visuels sur le même pied, qu’ils proviennent de professionnels ou simples particuliers. Ainsi la Joconde générera la même ponction que la photo floue de votre pied sur la plage en été 2015… tant qu’a y être, je leur propose de taxer aussi le P.Q. car chaque tâche que chacun y dépose est parfaitement unique et donc une exceptionnelle création dans ce cas là, non ?

 

LE VIOL LEGAL DU DOMAINE PUBLIC

A ce sujet, je reviens lourdement sur ce mélange pros / particuliers. Le mélange torchons / serviettes est déjà surprenant et il génère un autre phénomène particulièrement pervers : s’il est compréhensible qu’une personne vivant de ses créations ait de l’attention pour la gestion de ses droits, je ne pense pas que, par exemple, l’essentiel des photos qu’on trouve sur un site comme Facebook & consorts relève de l’artistique (ou alors on a un gros problème de définition de l’art).

Madame Michu (toujours elle !) s’en fout des histoires de droits et argent quand elle poste ses photos de repas du dimanche avec les petits enfants. Jean Pierre Hipster, photographe amateur passionné, s’en cogne que ses photos ne soient pas vendable bien qu’appréciées par sa petite audience. Et à fortiori c’est comme ça pour une MAJORITÉ des gens qui postent leurs documents graphiques sur internet car ils ont une volonté : LES PARTAGER ! On ne les force pas ; ils n’ont pas de revolver sur la tempe, juste l’envie de ne pas garder égoïstement ce qui sans vraiment d’efforts fera plaisir à d’autres. Donc peut on m’expliquer pourquoi cette loi s’approprierait la gestion de tels documents ?

Ces milliards d’images, qu’il va bien falloir traiter, et qui ne concernent concrètement aucun marché, vont de surcroit obtenir un statu par défaut non désiré : « oeuvre orpheline ». Un mot larmoyant pour prétendre que si un visuel n’a pas d’utilité pro on ira pas trop chercher à savoir à qui il appartient et fera d’office partie du catalogue des images taxées alors qu’il existe un autre catalogue dans lequel elles seraient plus à leur place : le Domaine Public. Et là force est d’admettre que les sénateurs à l’origine de cette débilité de fonctionnaire digne de Brazil chient royalement sur le peuple !

Oui madame Michu, ces sociétés de droits « bien propres » en apparence vont générer du pognon à partir de n’importe lequel de vos visuels. Soit il intéressant, raté, génial ou tout simplement stupide. C’est un peu comme si je mettais un copyright sur n’importe laquelle des phrases que j’entends en terrasse ou au comptoir de bar pour plus tard dire qu’il faut me payer une tournée si on veut la ré-écouter : je génère du fric à partir de quelque chose que je n’ai pas fabriqué et qui ne m’appartient même pas. N’est-ce pas ce qu’on appelle des voleurs à la base ?

 

Kyesos Media

GANG BANG MAFIEUX SOUS BENEDICTION DE L’ETAT ?

A ce stade, on peut être curieux de savoir QUI va faire partie des sélectionnés pour s’engouffrer dans cet Eldorado de fumistes ? Apparemment, on peut d’ores et déjà anticiper que ce sont surtout ceux qui auront des amis bien placés au Ministère de la Culture qui se verront attribuer cette bien lucrative tâche. Mais très franchement, on aimerait plutôt avoir des noms. Ne serait-ce que pour mieux dépêtrer l’amalgames de copinages qui va faire obtenir ces rentes à ceux qu’on peut quand même qualifier clairement de fumiers.

Nos fumiers, cigare à la bouche et montre hors de prix planquée en poche, n’hésiteront sans doute pas à faire reluire quelques arguments pour justifier leur indécente rémunération de grattes papiers. Genre :

« Il faut du personnel et de l’équipement pour traiter une telle masse d’information »

Sûr Toto, ça n’a jamais été aussi génial de mélanger professionnels & particuliers pour inventer un marché dont une des parties n’a pas à être associée. C’est vrai que sans gargantuesque masse de données à traiter, ces gens auraient d’avantage de mal à justifier leurs indécents honoraires ! On est très impatients de voir les « frais de fonctionnement » qu’on imagine inédits pour la mise en place de cette magistrale foutaise…

« Oups, image orpheline ; on sait pas à qui reverser les sous… »

Et donc ils vont aller où ? Encore dans des pseudo frais de gestion pour garantir l’emploi de quelques fans d’enluminures qui auraient mieux fait de se reconvertir au siècle dernier ??? Là, la loi est très vague… elle sait qu’il va y avoir de l’argent en trop mais discuter clairement de son utilisation ou utopique répartition équitable (une chose encore jamais vue d’ailleurs dans le domaine de la perception de droits!) est un sujet qui n’est pas abordé. Comme pour la musique, on peut imaginer que les pointures de l’art graphique se verront nantir de bonus pendant que tout le reste de la masse créative de ce beau pays continuera d’essayer d’avoir un peu de place en survivant à coup de RSA. Et sans rétribution de ces organismes de gestion de droits qui au final n’aidera qu’une élite déjà bien pourvue.

« Oh, photo de la sculpture d’un grand artiste !… »

Là on va toucher le Top du syndrome Brazil. L’œuvre, c’est la sculpture. Le sujet de l’image donc. Cette image elle peut avoir été faite par un photographe amateur comme pro. Et cette sculpture finalement se trouve dans un endroit, qui aurait aussi son mot à dire question droits. Pour une seule image, on se retrouve donc avec 3 prétendants à la perception : le concepteur du sujet indéniablement à la source, le photographe et sa sensibilité à mettre en scène l’instant, et le lieu qui peut ne pas admettre la prise de photos comme systématiquement libre. Je vous laisse donc imaginer la taille du dossier & les frais pour un droit de perception qui atteindra sans doute les 0,0001 centimes d’euro… à se diviser par 3 donc ? ^^’

« Image du domaine public (modifiée ou pas) sur site tiers… »

Internet ce sont des collisions. De cultures, d’envies et bien entendu de créativité. Tout le monde se mélange sur ces gigantesques collages numériques qui constituent la toile. Que va-t-il advenir de ces images du Domaine Public ré-exploitées quand les bilans des robots-taxeurs paraitront ? Ce seront des œuvres orphelines encore qu’on va permettre de privatiser, quitte à les soustraire du Domaine Public auquel elles appartiennent légitimement ? C’est juste scandaleux et intolérable ; on voit bien là que ce projet devrait en fait s’appeler « comment j’entretiens le marché artificiel de mes potes gestionnaires de droits » si ses auteurs avaient la franchise de l’avouer…

 

Kyesos Media

LA LOI CREATION FONCTIONNE A L’ENVERS DU SOUHAIT DES ARTISTES

Comme je l’ai dit plus haut, internet est un outils génial pour les artistes. Certes, on entend d’avantage les gnouleuses (pas trop douées mais qui rattrapent généralement leur discrète incompétence avec un bon réseau de connaissances) dire qu’ils s’y font pirater leurs créations plutôt que ceux qui s’y sont fait connaitre grâce au support. Mais la situation réelle n’en demeure pas moins que c’est un outils particulièrement adapté aux créatifs, qui avec un peu de bon sens peuvent partager honnêtement sans pour autant se faire piller.

Il convient aussi de rappeler qu’il existe de nombreux moyens de ne PAS VOIR SES IMAGES INDEXÉES si tel est le souhait de l’auteur. Il y a d’abord le petit fichier Robot.txt en racine des sites web que savent interpréter les moteurs de recherche sérieux. Chacun peut y spécifier un comportement à adopter pour les crawlers (notamment, ne pas indexer certains types de fichiers comme les .JPG si utile ou une certaine nomenclature de noms) ou quelques zones de l’arborescence (galeries par exemple) à exclure de l’indexation.

Pour les plus paranos, il existe même des modules (autonomes ou pour WordPress & consorts) et autres scripts pour rendre n’importe quelle image inindexable (oups ! J’ai inventé un mot ! ^^’). En cas de doute, je vous invite à vérifier par vous même l’efficacité de ces mesures : en 2006 j’ai créé Le Shop sur mon site ; une petite zone vente pour mes images. Dans un soucis de contrôle et conservation des contenus à la source, j’ai pris soin d’installer un CMS dédié qui fait qu’a ce jour AUCUNE des images dans Le Shop n’a été captée par le moindre moteur de recherche. Elles ne sont pas incopiables ; c’est juste la fonction d’affichage des visuels qui propose un accès « escamoté » au fichier demandé ; tout simplement ! Donc les gens qui prétendent « si vous ne voulez pas que vos images se répandent sur internet : ne les y mettez pas » : passez votre chemin !

A quelques exceptions prés qu’on admettra que dans quasiment tous les cas de figure une image postée sur internet a vocation d’être partagée. Il n’y a rien à rajouter, sauf désormais nous expliquer pourquoi, selon une loi, cette image, sans vocation commerciale à la base dans la majorité des cas, serait à même de générer une taxe ? Pour créer de l’emploi dans le boites de gestion de droit (tant mieux pour certains, hum) ? Pour générer du bénéfice à partir de matière volée (car il n’y a aucun consentement tacite de chaque auteur) ? Pour se foutre de la gueule des 98% de créateurs déclarés qui eux ne toucheront rien de ce système supposé les supporter ???

En allant plus loin et sur les bases de notre passé, il faut également considérer que nous avons aussi des images libres. Libres tout de droit comme celles appartenant au Domaine Public. De ce principe, comment nos amis gestionnaires de droits vont ils s’y prendre pour différencier une image cédée au Domaine Public d’une autre totalement privée ? Ils vont louer les serveurs & gros algo’ de reconnaissance d’image de IBM pour entretenir leur bullshit (et donc y passer une part non négligeable du pognon généré) ??? En poussant la dérision plus loin, on peut également se demander de ce qu’il sera fait des fameux Mêmes de l’internet… une caisse à part pour sponsoriser 4Chan ? ô0

Et je le rappelle, il faudra surtout expliquer comment l’état autorise cette violation du domaine tant public que privé en spoliant les auteurs d’images de leur travaux sous couvert de faire fonctionner une machine à fric qui ne apporte, à quelques exceptions près, absolument rien…

 

26

CE QUE NOUS POUVONS FAIRE

C’est très simple : alerter nos députés et les mettre en garde contre ce système dont on a déjà pu apprécier les dégâts dans le domaine musical et insister pour qu’il ne passe pas. Mettre en avant les nombreux flous du projet, la risible concrète réalisation de certaines de ses parties et finalement le fait que nous ne sommes pas dupes : à part faire bosser la boite à machin ou son copain, la grande majorité des gens concernés par cette loi seront les citoyens qui se seront tout simplement fait voler une exploitation de leur création sans aucune rétribution finale.

Si malheureusement la naïveté humaine en vient à rendre cette loi applicable, il restera un autre moyen : créer un nouveau type de licence. J’ai pensé au [DOC], pour Direct Owner Copyright. Un petit logo à apposer sur vos visuels postés sur internet qui rendrait caduque cette loi, ou au moins inapplicable sur l’image concernée en déclarant officiellement que vous AUTORISEZ SON INDEXATION GRATUITE et que vous conservez l’intégralité de vos droits sur cette image que vous êtes capable de gérer tout seul ! Et c’est tout. Je suis en train de finaliser ce petit symbole et suis prêt à mettre en route la nouvelle licence sur un site officiel s’il faut en passer par là pour que les mafias (oui, ce sont des mafias : jamais claires quand on demande où l’argent va et pourquoi il y a tant de frais) de sociétés de gestion de droits cessent de s’approprier tout et n’importe quoi.

Il y a un moment où il faut dire stop, et c’est MAINTENANT !!!!!

 

LES PERLES DE L’ARTICLE 10 QUARTER :

 

. L’assignation par défaut de sociétés de gestion de droits de l’article L136-2 1 à vos images sans considération préalable de savoir si c’est de l’art ou du cochon… ça tient quand même pas mal du LOL !

. Supprimer toute publicité sur l’affichage de résultats concernant les images dans les moteurs de recherche rendrait complétement foireux l’argumentaire de l’article L136-4 1 !!!

. »Les organisations amenées à désigner les représentants membres de la commission, ainsi que le nombre de personnes que chacune est appelée à désigner, sont déterminés par arrêté du ministre chargé de la culture. » Là, on verra tout de suite qui est pote avec qui car j’ai sincèrement un doute quand à imaginer que ces lascars font ça « pour le bien de la création » au final… on mettra les sommes de gestion avec les sommes reversées en concurrence et les évidences apparaitront tout naturellement : créer des jobs et faire fructifier des boites à paperasse sans réel apport pour la culture de l’image. CQFD.

 

AGISSONS MAINTENANT !

 

liner

 

La prise d’otage selon Numericable

Tous les jours chacun est plus ou moins confronté a des techniques marketing pas toujours claires et qui parfois frisent l’illégalité. Les adeptes de nouvelles technologies et télécommunications savent de quoi je parle. Entre ces jeux dématerialisés qui ne fonctionnent plus passé une certaine date faute de services ou serveurs actifs et qu’on ne peut pas revendre s’il ne nous plaisent pas. Ces abonnements qu’on vous refourgue par pelletées pour tout et n’importe quoi et dont on arrange la désinscription pour la rendre la plus pénible possible… les fumiers marketeux ne tarissent pas d’idées nauséabondes pour faire tourner le tiroir caisse.

Aujourd’hui, j’ai experimenté la « liberté du client qui veut rester chez son fournisseur mais juste changer de forfait« . J’avais déjà vu à quel point on peut tomber sur des cons avec une amie, cliente de Orange, qui avait dû se désabonner pour se ré-abonner de manière à obtenir l’offre qui lui convenait. C’est vrai que depuis des lustres, la filiale de France Télécom n’est pas vraiment réputée pour son assistance de bas du cerveaux qui comme chez Free, se contente de suivre un Q/R dicté sur écran sans jamais activer le mode intelligence. Mon experience, elle, s’est passée chez Numericable.

C’est un fournisseur d’accès tout à fait correct. Les débits y sont particulièrement bon pour qui est urbain et se connecte en fibre. L’assistance est étonnement réactive et plutôt efficace, avec des gens qui ne bloquent pas simplement sur un Q/R/ à dicter et savent un minimum de quoi ils parlent. Juste que tout ça est un peu cher pour qui se fout des services rajoutés, notamment ces centaines de chaines pourries sur lesquelles on ne zappe jamais.

Malgré tout, cela reste un service vendeur : pour un abonné, les nouvelles offres moins chère sont totalement invisibles ; uniquement apparentes pour qui se présente en nouveau client. Pas trés fair-play ça. De surcroit, quand vous voulez changer en ligne votre offre, un principe similaire est appliqué. On vous liste en évidence tout ce qui vous coûtera plus cher chaque mois sans jamais causer de ce qui peut vous aider à gratter un peu en ces périodes de disette.

Pour ma part, j’avais flashé sur leur offre iStart a 25€, me permettant de réduire mon abonnement garnis d’inutiles chaine TV revenant actuellement à prés de 40€/mois. J’ai cherché sur leur site, vraiment, et pas faute d’être n00b : rien. J’ai donc appelé leur service commercial et là, n’ai pu que constater que quand vous souscrivez une offre chez ce gens, qui facturent si facilement la moindre modification soi dit en passant, et bien vous en avez pour l’année complète avant de pouvoir choisir de modifier votre abonnement. Nulle doute que si j’avais demandé un accès payant aux X chaines de l’ami Dorcel, là l’operatrice se serait fait un plaisir de me modifier illico la surfacturation avec activation immédiate.

C’est donc dans ce cadre précis que j’ai un gros doute : comment un opérateur peut-il vous imposer de ne pas descendre en options et en gamme dans un abonnement, alors qu’il le fait trés bien pour la montée ? Je crois qu’ici bas on piétine les limites de la légalité et que mon courrier à UFC / Que Choisir aura tôt fait de lever le lièvre de cette simple et stupide arnaque.

Pour ma part, je vais paisiblement attendre ce beau mois de Juillet, signe de la fin de mon engagement, qui verra probablement mon intérêt de fidèle client saliver vers d’autres opérateurs moins cons. A trop vouloir enfermer les clients chers amis abonneurs, vous leur montrez tout simplement avec d’avantage d’évidence la sortie salvatrice où clignotent toutes les offres de vos concurrents. CQFD.

Allez, comme dirait Giedré : « On fait des p’tits anus à Numericable et bonne nuit ». XB-P

liner