Archives mensuelles : mai 2011

Eric Woerth fustige le Net… Sans le connaître ?

Mouhahahahaha cet Homme n’aurait pas un rôle en politique il pourrait facilement se reconvertir dans le comique… Problème, il paraît que le monsieur a eu un vrai rôle, un truc qui est censé être un peu important : ancien ministre (et actuel député)… Sans plus attendre, la vidéo humour glanée sur Numerama :

Avant d’entrer dans le détail des propos il est important de savoir de quoi l’on parle ici : d’Internet. Il s’agit d’un outil, neutre par nature (n’en déplaise à certains), qui se fait le relais de la liberté d’expression des citoyens et, par voie de conséquence, des médias traditionnels (entre autres entreprises qui ont investi la toile). Ce système n’existe que par la somme des individus qui le composent, qui l’enrichissent et qui l’alimentent de quelque façon que ce soit. Eric Woerth ne s’attaque donc pas à un réseau de machines mais à un réseau d’êtres humains qui s’expriment… La base de la démocratie donc.

« Ils sont très très nombreux, c’est très compliqué […] c’est assez compliqué de se défendre quand on vous attaque »

Monsieur Woerth, votre position, par essence, vous met en avant d’un point de vue médiatique. Elle vous a fait connaitre et donné un rôle au sein de la démocratie française. Vous êtes amené à prendre des décisions et des positions pour l’ensemble des citoyens français. Forcément ces positions seront sujettes à critique et à débat. Mais sont-ce là de mauvaises choses ? Ne s’agit-il pas là plutôt de la base d’un échange, si vous jouiez le rôle, à même de faire avancer votre réflexion en y adjoignant les échos citoyens suscités ?

« Y’a tous les fous-furieux, y’a un nombre de détraqués colossal »

Attention, je vais reprendre l’expression de l’ami Kitetoa sur reflets : go-go-gadgeto-stigmatisation ! A nouveau il est bon de se souvenir qu’Internet est une somme d’individus désireux de faire avancer la plus importante création collective jamais inventée. En admettant que vos prises de position n’intéressent pas à l’étranger (ce que je pense être le cas mais peu importe) vous venez de stigmatiser 44.625.300 internautes pour quelques cas isolés qui existent, il ne faut pas se voiler la face, mais sont très loin d’être représentatifs de près de 70% de la population française… Ou alors il faut renommer le pays des droits de l’Homme en pays des pédonazis ?

« Votre voisin peut écrire des trucs absolument odieux sur vous »

Et cela va intéresser qui ? Si l’on devait schématiser je dirai à peu près les mêmes personnes que celles que ledit voisin (déménagez c’est plus sûr, votre voisin a l’air d’être un con) aurait pu réunir autour d’un apéro dénigrement (vachement plus tendance que les apéros facebook !). A ceci près que vous êtes une personne publique. Donc des écervelés vont trouver judicieux de colporter des rumeurs à votre propos… N’est-il pas alors plus intéressant de s’énerver contre la presse people plutôt que contre votre voisin qui n’a pas inventé le principe des rumeurs et essaye juste de se donner une existence à travers un skyblog moche ? Et au delà de cela, n’existe-t-il pas, dans le droit français, un truc appelé diffamation qui prévoit justement ce cas de figure ?

« En même temps y’a des sites sérieux d’information, mais ils vont très très vite »

Deux positions extrèmement personnelles alors que vous essayez de vous poser sur un débat de fond ? Il me semble qu’en argumentaire – et d’ailleurs on vous sent encore plus mal à l’aise sur ce propos que sur les précédents – cela reflète d’un manque cruel de matière non ? Les sites sérieux sont-ils ceux qui ont votre bénédiction ? Quels sont les critères objectifs pour recevoir le « label site sérieux Eric Woerth » ? Et ils vont très très vite. En admettant que l’on parle de site de presse (les fameux sites sérieux je suppose) ils fonctionnent en quasi-temps-réel, afin qu’une information, une fois vérifiée, soit livrée au public qui lui-même pourra se livrer au difficile exercice d’analyser l’information et de se forger une opinion… Merde le peuple a donc le droit de s’exprimer ET de s’informer ?

« Il n’y a pas de droit de réponse »

Si… Une entreprise de presse, sur papier, à la télévision, ou sur le Net est tenue de respecter le droit de réponse… C’est rassurant de voir que vous maîtrisez votre sujet ! Quant aux blogs personnels, la plupart ouvrent leurs commentaires, pour les autres un bête formulaire de contact, un mail à l’hébergeur, … bref contactez le monsieur qui écrit des choses méchantes et voyez avec lui… dialoguez ?

« Y’a pas de droit à l’oubli »

Non en effet. C’est triste, c’est même regrettable, mais cela ne fonctionne pas comme cela. Le droit à l’oubli est une vaste fumisterie marketing qui ne repose sur rien. Des années après, à moins que vous n’ayez fait brûler tout le stock, un article publié dans quelque canard que ce soit y restera imprimé… Sur Internet c’est exactement le même principe, à part que vous pouvez vous-même vous défendre. Nul doute que votre réaction aura un intérêt tout particulier si affaire il devait y avoir…

« La présomption d’innocence c’est aussi le droit à l’oubli »

Chronologiquement faux mais on voit où vous voulez en venir : dans ce cas merci de travailler sur les fichiers de police emplis d’erreurs et qui se fichent bien de la date de prescription. Merci aussi d’éduquer les gens afin qu’ils ne s’arrêtent pas à un article expliquant que monsieur X a été suspecté d’un fait mais qu’ils aillent chercher jusqu’à l’article qui donnera le résultat de l’affaire en question une fois jugée… Voyez que là encore Internet n’est pas en cause, mais en effet c’est plus simple de taper sur 70% de la population que de se remettre en question.

« Non j’ai pas d’idée particulière »

Continuez ainsi ! Le mieux est probablement que vous vous renseigniez avant de proposer quoi que ce soit. Petite suggestion, essayez d’aller sur Internet, sortez de vos lectures habituelles, explorez un peu le 8ème continent et enrichissez vous. Vous constaterez bien vite que les pédonazis sont finalement plutôt rares et que l’intérêt de la chose est bien loin des ragots de votre voisin…

« Le eg8 a parlé de régulation, je sais bien que c’est terrible de parler de régulation dans ce monde là »

En effet c’est terrible de chercher à brider un outil qui peut offrir le meilleur pour peu qu’on le traite intelligemment et que l’on ne légifère que sur des sujets que l’on connait. C’est con, mais il me semblait que c’était la première des prudences…

« Il faut au fond que les règles qui s’appliquent aux autres s’appliquent aussi »

Sans revenir sur la structure de votre phrase (ça commence à sentir le stress) je dirai une seule chose : +1. Le jour où vous envisagerez de réguler la liberté d’expression dans les cafés on pourra reparler de la réguler sur Internet. D’ici là merci d’appliquer les règles et de respecter les droits qui sont reconnus hors Internet !

« Ce n’est qu’un média »

Moui donc en fait vous n’avez jamais été sur Internet ? Internet est un outil, un medium, un réseau… Internet est plein de choses, mais surement pas un média. Un média par définition est unidirectionnel, il délivre de l’information à des utilisateurs passifs. Internet est basé sur l’échange ! Mais c’est vrai que vous n’avez plus l’habitude d’écouter le peuple alors l’entendre comme cela d’un coup, ça peut surprendre, on en oublierai presque que la plèbe est capable de réflexion et ce même en dehors des périodes électorales…

« C’est très important de ne pas oublier les hommes et les femmes que l’on est derrière tout cela »

Donc, après une stigmatisation sur toute la ligne de 70% des français vous nous demandez en fait : « faites ce que je dis pas ce que je fais » – Pour quelqu’un censé nous représenter je trouve que la pratique manque d’humanisme ou de déontologie…

Le point sur Piratons la démocratie

Il y a quelques jours, alors que je discutais avec un ami Russe qui parle parfaitement l’anglais et l’allemand et qui n’a que de vagues notions de français il m’a dit regretter ne pas pouvoir lire Piratons la démocratie alors que ce livre aurait un intérêt certain en Russie (les élections étant des opérations de communication et les médias muselés).

Depuis j’en ai discuté avec d’autres personnes, à travers le monde, et si j’avais jusque là espéré que la traduction se fasse naturellement j’ai décidé de donner un petit coup de pouce à ce processus en sortant Piratons la démocratie en français et en anglais.

Ainsi le livre existera, dès sa sortie, en deux langues mondialement parlées et lues au lieu d’une seule, favorisant (vu que sous licence libre le permettant) la traduction et le partage des idées au delà de la barrière de la langue.

Le texte est lui presque fini et je vais profiter de ce long week-end pour y apporter la touche finale et lancer la traduction. A cet effet j’hésite encore entre crowdin et pirate pad… Je verrai le moment venu lequel des deux est l’outil le plus adapté mais je travaillerai de façon collaborative et en sollicitant l’aide de tous pour traduire en anglais.

Je me pose la question du titre en anglais. Dois-je le traduire, si oui en quoi, ou le laisser tel quel ?

Geoffrey Dorne qui réalise les premières et quatrièmes de couverture s’est mis au travail ce week-end et a publié sur Twitter un aperçu de ce que sera la couverture de Piratons la démocratie et même si je lui ai fait quelques remarques je suis très content de cet aperçu qui me conforte dans l’idée que Geoffrey est la bonne personne pour illustrer ce projet !

Enfin j’ai proposé à Serge Soudoplatoff, qui parmi les premiers avait compris l’importance de l’Internet dans notre société et qui mieux que quiconque sait faire passer ce message, de préfacer Piratons la démocratie – ce qu’il a accepté.

Au vu du timing je pense que le livre sortira à l’heure, dans les premiers jours de Juillet et j’organiserai un petit apéro ouvert à tous sur les quais de Seine ou sur le pont des arts pour célébrer cela. Je communiquerai une date dès que je serai sur de celle de sortie du livre.

C’est donc beaucoup de travail qui m’attend encore pour quelques semaines mais un beau projet qui commence à poindre le bout de son nez et forcément un énorme contentement pour moi. Je ne saurai jamais assez remercier tout ceux qui m’aident que ce soit par des idées, suggestions, remarques ou financièrement… Merci !

Pour Pascal Nègre je suis un vulgaire voleur

Vous n’êtes pas sans savoir qu’en ce moment se tient l’eG8, grand messe de l’Internet civilisé et que l’on peut résumer (à quelques exceptions près, mais elles sont bien rares) à une sauterie pour entreprenautes contents de défendre leur business (qu’il soit moral ou pas) devant un parterre d’autres entreprenautes, de quelques journalistes et d’une poignée de vrais internautes – le tout organisé par une boite de comm et sponsorisé à outrance par les boites les moins regardantes sur l’éthique…

Dans la mesure où ce machin est un coup dans l’eau de plus je ne suis même pas sûr de vouloir lui consacrer un article digne de ce nom, mon avis sur le sujet est déjà relativement clair en introduction. Je n’ai pas été invité (je ne suis pas encore à la tête d’une boite du CAC40 ou du Fortune500 et même pas dans le classement Forbes; aucune chance !) et je n’ai pas fait la démarche de demander une accréditation pour y aller : si j’avais reçu une invitation je l’aurai probablement déclinée.

Mais forcément il y a quelques personnes que je connais et qui sont présentes sur place (la fameuse poignée de vrais internaute environ) et une anecdote m’a donné envie de sacrifier 15mn de mon temps pour aborder le sujet.

Hier soir je devais prendre un verre avec des amis (Fabrice Epelboin, Khelil Ben Osman et Karim Guellaty) et puis voyant que Guillaume Champeau était des invités de la sauterie pour entreprenautes je lui ai proposé de nous rejoindre. Il était alors en pleine conversation post-dialogue-de-sourd avec Pascal Nègre que j’ai suggéré à Guillaume d’inviter à nous rejoindre aussi pour un verre.

Il a décliné l’invitation ayant autre chose à faire (ce que je peux aisément concevoir vu l’emploi du temps du monsieur) et s’est empressé de rajouter à l’attention de Guillaume « faites attention, comptez bien vos doigts après lui avoir serré la main ». Passons sur le caractère très drôle de cette remarque, c’est déjà la deuxième fois qu’il me fait le coup – la première fois étant quand je l’ai rencontré dans son bureau, qui fait à peu près la taille de mon appartement, et à l’attention de Zazie qui passait par là.

Alors une bonne fois pour toutes monsieur Pascal Nègre, je ne vole rien, je copie ! Et très franchement si quelqu’un prend aux artistes, de nous deux, il me semble que vous avez une longueur d’avance considérable !

De l’ensemble des chansons que je peux avoir sur mes différents supports, il y a peut-être une dizaine de chanson, allez visons large une vingtaine, qui sont à votre catalogue de machines à copyright. Un groupe que j’ai été voir en concert 3 fois et qui a fait l’erreur de signer un album chez vous (le moins bon de leur discographie soit dit en passant) et quelques chansons éparses pour lesquelles je suis prêt à vous signer un chèque (quitte à faire dans le oldies) soit 0.99 x 20 = 19.80€

Mais vous, quand rembourserez vous les artistes que vous exploitez ou la liberté d’expression des français que vous vous acharnez à détruire en pratiquant du lobbyisme accru sur des politiciens qui comprennent Internet comme je sais faire du point de croix ? Ce chèque là je veux bien le voir, là vous pourrez me dire que je suis un voleur si je vous cause un préjudice supérieur avec mes 20€ de musique Universal, que je n’aurai de toutes façons pas achetée, et qui ont fait gagner 6 places de concert (240€) à un groupe !

Identic par La Poste certification d’identité…

Ceci est le premier de deux billets sur le nouveau concept de la poste, lancé en partenariat avec la société myID.is et qui vise à certifier des identités sur le Net. Je commence donc logiquement par la fin et vous présente une trouvaille faite en écrivant un papier sur le principe du service…

L’ensemble des contrôles sur les champs de formulaires sont effectués côté client, en javascript. Par conséquent il suffit de désactiver le javascript ou d’intercepter les requêtes pour contourner les protections mises en place par le site. Ainsi vous pouvez tout à fait vous inscrire si vous n’êtes pas dans le 91 (zone d’expérimentation choisie pour le moment) ou utiliser un mot de passe vide, ou un nom comportant des signes interdits, … C’est formidable tout passe !

Petit exemple en image avec une inscription depuis le code postal 94500 refusé initialement, puis qui passe comme… une lettre à la poste ?

Je tente avec le CP 94500 - refusé

J'utilise donc un CP du 91, au hasard 91500

A l'étape suivante je cherche ce 91500 dans le code source

Pour le remplacer par 94500, donc hors 91

Etape validée, la page suivante affiche maintenant 94500...

J’ai pris l’exemple du code postal ici, mais il semble que tout se base sur le même principe… Mots de passe y compris !

Je vais donc commander une e-Carte Bleue pour effectuer des tests (hors de question que je mette mon vrai code là dedans).

Courant de la semaine prochaine je reviens sur le principe en lui-même d’Identic – en attendant je vous conseille la lecture des commentaires (ceux de Charles et de Fabrice sont particulièrement intéressants) du billet de l’ami @Korben sur le sujet : Identic – Vers une véritable certification de l’identité numérique ?

Je me suis fait pirater – lol !

A force de déceler des failles à droite à gauche (je n’en poste que très peu ici finalement par rapport à tout ce que je peux détecter…) ça devait arriver : I got hacked !

Je vais donc en profiter pour vous expliquer comment l’attaquant, @BoiteAWeb, s’y est pris, comment j’ai réagi et corrigé.

Version courte, @BoiteAWeb a utilisé un CSRF présent dans l’extension lightbox2 pour WordPress et injecté un XSS persistant qui mettait en place une iframe de hadopi.fr sur mon blog. Ce site ayant un script empêchant la mise en iframe, toute personne visitant mon blog était automatiquement redirigée vers hadopi.fr – Bien joué l’artiste, j’ai beaucoup ri !

Me supposant connecté à l’administration de mon blog il m’a invité, via Twitter à visiter son site. Sur celui-ci était présent le code suivant :

Pour les plus néophytes d’entre vous, le code créé un formulaire qui va se soumettre tout seul et répondre à la page de configuration de l’extension pour y changer la valeur lightbox_2_theme par la valeur « ><iframe src=http://hadopi.fr height=1500 width=1900></iframe><a a= »

Ceci ayant pour effet de stocker cette valeur comme thème à utiliser dans les options de l’extension on se retrouvait avec le code source suivant (j’ai ajouté des retours à la ligne pour la lisibilité) pour tous les utilisateurs visitant mon blog :

Résultat : une belle iframe Hadopi et une redirection vers le site en question… Oups !

Passé un gros fou-rire j’ai demandé à @BoiteAWeb dans quoi il avait injecté son XSS persistant et vu qu’il n’était plus devant son ordi ai du investiguer moi-même. Ayant constaté qu’il s’agissait d’une redirection javascript je l’ai désactivé et ai regardé la source de mon blog. En cherchant « hadopi.fr » dans le source j’ai rapidement constaté que cela venait de l’extension lightbox2 que j’ai désactivé le temps de la patcher.

Je me suis ensuite penché sur les infos stockées en base de données pour trouver que c’était la variable lightbox_2_theme qui avait été modifiée.

Dans le source de l’extension (qui n’est plus maintenue) j’ai vite compris le problème : il n’y a aucune protection anti-CSRF sur l’administration et la variable de thème est affichée sans aucune vérification ou assainissement.

J’ai donc rajouté les deux comme ceci :

Dans le fichier lightbox2.php, chercher la ligne suivante :

document.write(‘<link rel=\ »stylesheet\ » href=\ » ».$lightbox_style. »lightbox.css\ » type=\ »text/css\ » media=\ »screen\ » />’);

Et remplacer par :

document.write(‘<link rel=\ »stylesheet\ » href=\ » ».esc_html($lightbox_style). »lightbox.css\ » type=\ »text/css\ » media=\ »screen\ » />’);

Dans le fichier options.php, chercher la ligne suivante :

if (‘process’ == $_POST[‘stage’]){

Et remplacer par :

if (‘process’ == $_POST[‘stage’] && preg_match(‘`^[a-z ]+$`i’, $_POST[‘lightbox_2_theme’]) && is_dir(get_option(‘lightbox_2_theme_path’).’/’. $_POST[‘lightbox_2_theme’])) {

Pour être un peu plus complet on peut aussi changer la valeur de $_POST[‘stage’] par une valeur personnelle et faire de même dans le formulaire. Ainsi pour forger une requête il faudra que l’attaquant connaisse la valeur que vous aurez choisi… Ou essaye par bruteforce par exemple.

Une fois toutes les modifications apportées j’ai réactivé l’extension et remis le thème à White, ce qui a eu pour effet d’enlever le XSS persistant.

Grâce à @BoiteAWeb j’ai maintenant un site un peu plus sécurisé (il va falloir que j’audite le reste des extensions que j’utilise du coup !) et cela a surtout évité qu’une personne moins bien intentionnée s’en prenne à cette vulnérabilité et s’en serve pour commettre des actes de terrorisme numérique !

Je lui dédie donc cet article, un grand merci et, dès qu’il sera publié, je lui enverrai Piratons la démocratie !