Catégorie : Moi

Des pirates de Netophonix

Как мёртвый пингвин10 Comments

Commençons par relater la petite mésaventure qu’il est arrivé dernièrement à Seb Luca. Alors qu’un ordinateur qu’il aidait à dépanner était contrôlé à distance par un informaticien de sa connaissance à l’aide du logiciel Time Viewer et que son navigateur web était ouvert sur Netophonix et Gmail, il constate qu’une opération étrange se déroule sous yeux. Une personne tierce semblait en train de copier des identifiants liés à Time Viewer. L’informaticien qu’il avait simultanément au téléphone lui affirme qu’il n’est pas à l’origine de cette manoeuvre et lui conseille de quitter immédiatement Time Viewer par le biais du gestionnaire de tâches de Windows. Reconstitution de la discussion téléphonique, de mémoire par Seb Luca.

SEB : Ben … Kess tu fais ? C’est quoi ce fichier que tu copies, là ?
INF : Hein ? Mais je suis pas sur le PC de […], là !
SEB : Ben … Regarde, y’a la souris qui bouge, elle a fait coulisser un fichier sur le bureau …
INF : Merde … Faits CTRL+ALT+DEL et ferme vite TimeViewer avec le gestionnaire des tâches !
SEB : Ben … Ok … Voilà, mais qué passa ?
INF : A quoi t’es connecté à quoi, là ? Gmail et Netophonix ?
SEB : Bah oui.
INF : T’es sur le chat de Gmail ?
SEB : Non
INF : Et Netophonix, c’est quoi ?
SEB : Un forum.
INF : Ha … T’as quelqu’un qui t’en veut, là-dessus ?
SEB : Ben … Ca se pourrait, pourquoi ?
INF : Je pense que c’est un type du forum qui est passé par TimeViewer pour contrôler le PC de […]. Il a copié les infos* de TimeViewer et il a collé un fichier.
SEB : Tu déconnes ? Comment ils pourraient faire ça ?
INF : Les admins peuvent, vu que quand tu te connectes à un forum ça crée un genre de lien direct entre ton PC et le forum, tu leur as donné une autorisation à la connexion, tu me suis ?
SEB : Oui mais bon, c’est glauque …
INF : T’as un problème avec un admin ?
SEB : J’sais pas … C’est possible … Et dis-moi, les modos aussi pourraient faire ça ?
INF : Oui, mais faut que la personne s’y connaisse un peu, évidemment. Moi, tu sais, je vais plus sur les forums à moins de connaître personnellement les admins. Sinon, tu risques de te rammasser plein de merdes !
SEB : Ben purée …

Avant de se pencher sur l’intérêt d’une telle manoeuvre, étudions la faisabilité d’une telle attaque. Depuis sa récente mise à jour, Netophonix utilise le moteur de forums phpBB dans sa version 3. Parce que nous avons certains besoins spécifiques, plusieurs ajouts ont été faits à ce code sous licence GNU GPL 2.0. Ces ajouts sont liés en grande partie aux bonnets d’âne, à la liste des sagas mp3, au NetoWiki et à la gestion de certains outils de modération (cartons, gestion des bannières défilantes, balises spéciales). L’ensemble de ce code étant en PHP, il est exécuté par le serveur qui héberge le forum et seul le code HTML vous est renvoyé. Il ne peut en aucun cas constituer un vecteur d’attaque en direction de vos machines.
Au delà de ça, le forum utilise trois scripts javascript pour son fonctionnement. Le premier est créé par les développeurs de phpBB et par celui de la base du thème que nous utilisons (Maël Soucaze comme indiqué en pied de page). Le second a été développé par Signez afin d’afficher le système de bannières défilantes et il se base sur le troisième script que constitue la bibliothèque javascript jQuery. Des trois, il s’agit du seul code obfusqué (le code a été réduit afin d’alléger le poids du fichier à charger et n’est donc pas aisément lisible). Cependant, cette bibliothèque est largement utilisée à travers le web pour son aisance à modifier dynamiquement le code d’une page HTML. La source de jQuery est publiée sous licence MIT ou GNU GPL 2.0. De fait, tout le monde pour y accéder. Bien que le style AJAX le permette, les fonctions utilisées par Netophonix ne communiquent pas avec notre serveur. Pour simplifier, vous téléchargez les sources javascript et votre navigateur se charge alors d’exécuter les différentes opérations cosmétiques ou pratiques qui ont été prévues (insertion du BBcode et défilement des bannières de la NetoPub). L’ensemble des sources étant lisibles, vous pourrez constater que tant que vous n’aurez pas appuyé sur le bouton répondre, vous n’envoyez et ne recevez aucune information.
Le forum utilise également quelques cookies PHP pour assurer une navigation confortable en son sein. Il lie également vers de nombreuses images, un certain nombre étant hébergé sur le serveur du site et la grande majorité étant hébergé ailleurs sur le web. En effet, les membres ont la possibilité d’afficher des avatars et des images dans leurs messages et signatures par le biais de la balise BBcode [img].
Javascript, cookies et images peuvent parfois être détournés de leurs usages pour récupérer frauduleusement des informations à votre sujet (javascript) ou pour vous faire télécharger des applications ou fichiers malicieux. Si pour le javascript, il est possible d’accéder au code afin de vérifier ce qu’il contient, cela est un peu plus compliqué avec les images et cookies. Pour ce qui est de ces derniers, l’équipe du forum ne peut pas se porter garante des actions de ses membres. Par contre, elle peut vous assurer que toutes les actions nécessaires à votre sécurité ont été et seront mises en place si jamais une menace était détecté. Pour cela, il suffit de la contacter. Pour ses propres fichiers, l’équipe peut vous affirmer sur l’honneur si nécessaire qu’il n’y a rien à craindre. Evidemment, nous ne pouvons pas non plus être sûrs à 100% que nous n’avons pas oublié de boucher une faille risquant à terme de compromettre vos machins. Nous faisons néanmoins le nécessaire pour que cela ne soit pas le cas.
Et le « genre de lien direct entre ton PC et le forum » avec autorisation, ça n’existe avec aucune des technologies utilisée sur Netophonix. A vrai dire, avec un navigateur moderne, il vous est possible de refuser les cookies, le javascript, l’affichage des images, le flash, la création de base de données locales et même les feuilles de style. Alors si vous continuez d’avoir peur d’une chimère, activez les bonnes solutions.

Bien, maintenant que nous avons balayé la possibilité d’une attaque en provenance du forum, intéressons nous rapidement à ce que conserve le forum de vous et l’intérêt que l’équipe de modération aurait eu à vouloir accomplir une telle action.
Comme seules informations personnelles, le forum n’utilise et n’archive que votre adresse mail et votre adresse IP à l’inscription puis à chaque message. Au delà du fait que cette adresse IP pourrait être éventuellement demandé par la loi, cela permet également d’avoir des outils de modération et administration plus efficaces. Seules ces deux informations sont nécessaires. Je suppose que vous savez tous comment créer une adresse mail poubelle et avec les débats actuels qui ont lui autour des lois telles qu’Hadopi, vous savez tous qu’une adresse IP n’est que peu de choses pour identifier une personne. Donc ce que vous risquez tout au plus si l’accès à la base de données est défaillant, c’est du spam et la perte de votre accès au forum par l’intermédiaire d’un changement de mot de passe (conservé crypté). Et si l’intrus est véritablement vilain, peut être qu’il utilisera l’IP pour tenter une attaque sur celle-ci. Je ne vais pas vous faire un cours de réseaux et télécommunications mais franchement, il y a plus simple et largement plus efficace.
Bon, imaginons maintenant que l’équipe du forum vous en veuille. Nous sommes là aux aguets depuis des jours et des jours pour vérifier que vous êtes enfin connecté et comme franchement, nous sommes des vilains pas beaux, nous avons listé soigneusement toutes vos adresses IP. Prêts à l’attaque, il faut encore que nous trouvions un moyen de vous attaquer. Parce que oui, sans faiblesse dans la protection que vous confère vos pare-feux, anti-virus, logiciels à jour et votre attitude responsable, il faut qu’on arrive tout de même à rentrer. C’est bien beau de connaître deux informations sur vous (votre IP et le fait que vous soyez connecté) mais il faut pouvoir en faire quelque chose. Et dans le cas de Seb, savoir qu’il utilise Time Viewer au même moment. Au delà de ça, il nous faudrait une motivation et une récompense largement satisfaisante pour passer à l’acte. Si nous sommes suffisamment déterminés pour vos pourrir la vie, c’est bien qu’on a une raison « valable« .
Que pourrait-on avoir comme bonne justification pour vous pourrir la vie. Si vous nous intéressez pour autre chose que votre saga mp3 et que votre comportement sur un des espaces que nous modérons, c’est sans doute parce que nous éprouvons pour vous de la sympathie. Et cela peut aller de la franche amitié au simple intérêt de politesse en passant par la simple cordialité courante. Sinon — et je me permets d’affirmer cela parce que je commence désormais à bien connaître mes autres collègues modérateurs — nous n’avons que faire de vos babillages. Vous ne nous aimez pas? C’est très bien pour vous, nous n’en avons cure. Mais imaginons que nous ayons véritablement passé ce stade d’ignorance et que nous voulions réellement vous nuire, qu’aurions-nous à y gagner? Passer pour des guignols avec une ruse aussi évidente et puérile? Réussir à vous faire chier trois jours au lieu de vous faire changer d’avis? C’est vrai que c’est drôlement malin comme attitude dites donc… Vous enquiquiner simplement pour nous faire passer encore plus par des imbéciles, c’est pas vraiment le comportement le plus intelligent qui soit et ce n’est pas spécialement notre façon de faire. Regardez moi par exemple, depuis tout à l’heure, je vous ponds un abominable pavé sur un blog que vous ne lirez certainement pas ou alors à peine. J’irai peut être même dire deux âneries sur #netophonix. Brrrr… Ca fait peur n’est-ce pas?
Sur Netophonix, tout ce que vous risquez, c’est de vous prendre un avertissement puis un carton jaune ou rouge si vous ne suivez pas nos conseils et avertissements. C’est tout ce dont nous sommes capables comme réactions violentes.

Ainsi donc, en montrant à Seb Luca que Netophonix n’a pas été volontairement le vecteur de son problème (et encore moins par le biais qu’il a pu évoquer, à savoir une connexion fantôme) et que ce n’est certainement pas par la décision de son équipe, je « diffame » et « déforme [les] propos » en expliquant tout ça. Il est aussi vrai que c’est moi qui ai déployé les outils du FUD en intitulant le sujet « Neto « KGB » Phonix », en commençant par expliquer que loin de moi était « l’envie de relancer la tension Netophonix-OdioArt » mais qu’il fallait bien sur OdioArt et il est vrai que j’ai oublié de vérifier tout ce que j’ai pu raconter sans me soucier du fait que bien souvent, ça n’avait absolument aucun rapport. C’est vrai qu’être « convaincu qu'[on] dit vrai parce qu'[on] n’a aucune raison de mentir », ça empêche de dire des bêtises… C’est aussi vrai que parce que je suis « un jeune de 23 ans », je ne peux pas du tout trouver quand on dit une bêtise plus grosse que soi. Alors oui, je peux parfois paraître méprisant et je ne m’en cache pas mais comme je vous l’avais déjà dit au sujet de ma vilénie, si votre avis m’intéresse, ça serait quand même bien qu’il soit fondé et argumenté. La modération de Netophonix a peut être eu des problèmes avec Seb Luca mais j’ai vraiment autre chose à faire de le dénigrer pour le plaisir. Alors que lui montrer qu’il se plante comme un bleu sur un sujet qui m’intéresse, c’était peut être ça ma seule idée. Je me suis peut être mal exprimé en effet mais franchement, Seb Luca avait peut être bien d’autres façons bien meilleures d’expliquer qu’il y a parfois des risques sur internet. Et peut être que sans bêtises, ça aurait été mieux… Et c’est tout.

Ah oui. Une dernière chose pour terminer ce billet. Si jamais vous grincez trop des dents « devant [mon] habituel mépris envers qui ne se fixe pas les même délires élitistes que [moi], envers [ma] mauvaise foi et [mon] antipathie agaçante », je vous propose deux choix. Soit vous me laissez « croupir dans [ma] tour dorée imaginaire, grand bien [m’en] fasse ». Soit vous lisez un peu ce blog et vous faîtes un commentaire intelligent pour une discussion intelligente. Merci.

De la raison pour laquelle je ne participerai pas sur OdioArt.

Как мёртвый пингвин4 Comments

Voilà maintenant quasiment deux mois que le forum OdioArt a ouvert ses portes, prenant la relève du forum Audacity dont je vous avais parlé lors de ma drôle d’éviction. Comme l’on m’avait que j’étais tout de même le bienvenu en ces nouveaux lieux, je me suis inscrit et j’ai suivi ce qu’il s’y passait comme j’espérais le faire sur le premier forum. D’ailleurs, je dois vous avouer que c’est bien parce que j’ai eu un parcours bien chaotique sur ces deux forums qu’aujourd’hui, j’écris ce billet. Sur tout autre forum, je serai simplement parti comme le font de nombreux internautes sur tous les forums de la toile. Et puisque l’équipe prône la grande liberté d’expression de son forum, je profite de l’occasion pour écrire ce que j’ai envie de dire.

Et je ne me présente qu’aujourd’hui — malgré les nombreuses demandes qui m’ont été faites par messages privés — pour dire pourquoi je ne participerai pas. Je le conçois, cela est tout de même original. Mais voilà, j’avais besoin de savoir sur quel terrain je m’aventurais avant de songer à participer, parce que je ne peux le faire que si je me sens réellement à l’aise. Et mes aises, je ne les ai toujours pas trouvées sur OdioArt. Laissez moi vous expliquer pourquoi.
J’ai deux énormes problèmes avec ce nouveau forum. Le premier, c’est le flood. J’ai été un gros floodeur il y a quelques années de ça lorsque je me suis inscrit sur le forum d’Adoprixtroxis, premier forum auquel je participais. Je suis passé de 0 à plus de 100 messages par jour en moins de deux semaines. Ce qui ne doit pas me mettre très loin des statistiques de certains membres. Depuis, j’ai changé et je préfère largement parler lorsque j’ai effectivement quelque chose à dire. Je ne pense pas non plus qu’il me serait impossible de reflooder si je le voulais mais pour parler sans réfléchir, j’ai déjà #netophonix et mes discussions privées, ce qui me suffit amplement aujourd’hui. Ainsi donc, en lecture seule comme je l’ai fait depuis mon inscription, je suis obligé de subir la dilution presque totale dans le flood de la quasi-totalité des messages du forum. A part être complètement sidéré parfois, lire OdioArt ne m’apporte rien et je ne pense pas que cela changerait en participant. Mais j’y reviendrai. Une autre chose me chagrine à propos du flood, c’est qu’il semblerait que la majorité des membres actifs (et peut être encore l’équipe du forum mais je suis moins certain aujourd’hui) considère le flood comme un élément essentiel à la bonne ambiance sur un forum. Et là… Non, clairement non. Je ne dis pas que le flood ne peut pas aider à la mise en place d’une bonne ambiance mais son absence ne peut pas non plus empêcher que des relations cordiales se nouent entre les membres. Voilà donc deux raisons qui expliquent pourquoi je ne me sens pas particulièrement en phase avec OdioArt.
Mon second gros problème avec ce nouveau lieu de discussion est que je n’ai pas la moindre idée de quoi il parle. Je sais bien que ce n’est pas au bout de deux mois que l’on aura un topic génial par section mais je n’ai pas l’impression qu’il y existe une grande ligne directrice. Je me souviens que les membres du forum Audacity voulaient se démarquer de Netophonix en créant un forum semblable mais avec une bonne ambiance en son sein et… Et c’est un peu tout en fait. Parce que c’est sans doute une chose que j’apprécie sur Netophonix, c’est que l’on y parle de toutes les sagas mp3, des techniques du sons, de deux trois à côtés nécessaires à la diffusion des sagas (site web, informatique, problèmes légaux, etc.) et peut être de deux ou trois autres à côtés. Pour moi, c’est ce peut être qui a toute son importance. On peut en parler (et on en parler, cherchez en discussion diverses, il y a des sujets en tous genres) mais ce n’est pas le coeur du forum. Alors que sur OdioArt, on veut parler de tout mais absolument de tout. Bon, une limite semble tout de même se fixer autour de la création. Sauf que ça fait un bon mois environ que je vois surtout de l’animation autour de la section du flood. Des forums généralistes, j’en ai croisé une bonne pelleté depuis que je suis sur le web mais aucun d’entre eux n’a réussi à m’y faire participer. J’appréciais l’idée d’évoquer la sagasphère sur OdioArt, je n’ai pas l’impression que l’on en parle en fait, du coup, je n’ai aucune motivation pour poster.

Tout cela concernait le fond mais j’ai aussi des soucis avec la forme ou la façon dont le forum est géré.
Je n’ai à priori aucun commentaire à faire sur la finesse du règlement d’OdioArt, après tout, il contient déjà l’essentiel même si cela est exprimé de façon condensée. Par contre, il me semble avoir lu que le flood ne serait toléré que dans la section appropriée. Dans les faits, je constate simplement qu’il est généralisé et que malgré deux petites protestations des modérateurs vers la fin du mois de juillet, rien n’a été fait pour essayer de contrôler ça. D’ailleurs, l’équipe du site de se prive pas de participer à cette dilution des sujets. En soit, ça ne me gêne pas spécialement mais du coup, je perds confiance dans la capacité de gestion de l’équipe (et c’est ici que l’on me reparlera sans doute de la bonne ambiance, ce à quoi je répondrai alors que j’en ai déjà parlé plus haut). D’ailleurs, ce n’est pas la seule des contradictions que j’ai pu constater dans le comportement des modérateurs et administrateurs. Il est par exemple prévu par le règlement d’une interdiction de « l’insertion d’éléments possédant des droits d’auteurs ». Au delà de la bêtise légale de cette phrase (en droit français, toute création originale est protégée par le droit d’auteur), j’ai simplement eu l’occasion de réaliser qu’aucun contrôle n’était fait à ce sujet. Je ne dis pas qu’il ne peut pas y avoir une certaine tolérance — j’en fait régulièrement preuve en tant que modérateur ou administrateur — mais j’ai parfois du mal à comprendre qu’on puisse accepter qu’une chanson sous copyright puisse être proposée comme ça au téléchargement. Bien sûr, ce n’est pas non plus sous le couvert d’une incitation au piratage, entendons-nous bien, mais il y a clairement là une contradiction profonde. Et je ne vous parle pas de la demande de s’exprimer dans un français correct… Les catastrophes orthographiques et syntaxiques sont légions et il m’est difficile de ressortir de ma lecture sans le moindre dommage oculaire. Je dis difficile mais je pense que cela est plutôt impossible.
D’ailleurs, au niveau de la perte de confiance, je crois que je ne pourrais jamais faire pleinement confiance à une équipe qui intègre des personnes dont je connais les nombreux problèmes avec la modération d’un autre forum. Essayer de prouver une mauvaise ambiance en la créant, contourner des bannissements non pas pour la lecture mais pour du spamming, être incapable à plusieurs reprises d’accepter sereinement une décision de modération… Difficile pour moi d’accepter d’être encadré par des gens capables de tels grands écarts. L’erreur peut effectivement arriver mais je pense qu’il est trop tôt pour que je puisse faire de nouveaux confiances aux concernés qui, heureusement, ne représentent tout de même pas l’intégralité de l’équipe. Mais ce n’en était pas loin.

Et d’un point de vue purement personnel, j’ai encore un autre problème avec les membres les plus actifs de ce forum. Il semblerait qu’ils en viennent à ressentir — non pas une haine ce serait sans doute trop fort — mais au moins une rancoeur tenace envers Netophonix, une partie tout de même non négligeable de ses membres actifs ou anciens ainsi qu’envers de nombreuses décisions de modération. Et bien que j’aille sur OdioArt en tant que simple lecteur et auditeur, il n’en empêche pas moins que je reste toujours modérateur sur Netophonix et que je participe à de nombreux autres projets. Je ne souhaite, ni ne peux m’enlever cette image de moi. L’image de moi qui m’a été proposée sur le forum Audacity puis la vision de Netophonix qui m’est offerte sur OdioArt me sidèrent complètement. Et je doute que dans une telle ambiance, ma participation à ce forum puisse être bénéfique à quiconque. Ce n’est pas une ambiance dans laquelle je me sens à l’aise et je n’ai pas l’impression que cela changera dans les mois à venir. Cela ne m’indispose pas plus que ça, j’ai déjà essayé de comprendre, ça n’a pas marché. Aujourd’hui, je choisis de ne pas m’impliquer et même si je continuerai à ne pas comprendre, ça ne sera pas grave.

Finalement, entre course au post-count, orthographe désastreuse, objectif parfaitement flou du forum, absence d’originalité dans les projets annoncés (hormis le webzine, chaque projet à son pendant sur Netophonix, seule leurs apparitions dans les discussions sont avancées dans le temps) et sentiment de rejet font que je n’ai pas la moindre envie de participer et que je ne suis pas certain de le faire dans un avenir proche.
Attention cependant, je ne critique par l’intérêt du forum pour les membres actuels. Ils semblaient ne pas se sentir à l’aise sur Netophonix, c’est donc tout bon pour eux que d’avoir leur espace de discussion tranquille. Et si je ne participerai pas, je continuerai tout de même à lire les messages qui y seront postés. Je le ferai sans doute au lance pierre mais je continuerai tout de même. Pourquoi? Parce que j’ai envie de suivre ce qui se dit sur #netophonix, OdioArt étant pour les membres les plus réguliers un sujet permanent d’ébahissement, et parce que je souhaite tout simplement voir si la situation va évoluer. Après tout, deux mois reste tout de même court pour se faire un avis définitif sur la question. Je serai tout simplement moins motivé pour cliquer sur les bons boutons.

De la bonne humeur.

Как мёртвый пингвин6 Comments

Je voulais écrire un billet sur Netophonix et ses problèmes supposés ou réels, je voulais terminer un billet qui parlait du « C’était mieux avant. », je voulais parler des sagas ratées qui ne le sont pas vraiment mais presque, je voulais changer la sagasphère par mes écrits… Finalement, je ne l’ai pas fait et je ne vais pas le faire tout de suite. Les brouillons des deux premiers ont rejoint les méandres de l’oubli de la suppression arbitraire, le troisième est repoussé à dans longtemps et j’ai décidé de changer de méthode pour révéler la vérité absolue à tout la sagasphère. Ouaip, tremblez vous tous autant que vous êtes, je suis de bonne humeur et c’est tant pis pour vous!

Après ce week-end super agréable à Québec (regardez chez moi vous allez comprendre pourquoi) et une chouette nouvelle du côté des zamis, je me suis rendu compte d’un truc important: il était temps de retrouver le sourire en ligne. Après tout, j’ai des projets qui me tiennent à coeur en pagaille, je vais avoir la chance d’interviewer deux filles déjantées sur SynopsLive samedi prochain, j’ai des amis agréables dans la sagasphère, des zamis que j’adore, une demoiselle bien à moi que je pourris de pavés à votre place, une vie tranquille mais avec des bidules sympas dedans, des sagas mp3 qui poutrent dans les oreilles, de la bonne musique pour passer le temps, de bons bouquins à découvrir… Et encore, je pense que j’en oublie. Alors aux chiottes les Spikly et leurs délires, les forums avec leurs drôles d’avis sur moi, les empêcheurs de tourner en rond sur Netophonix et tous les autres rabat-joie! Je ne vois pas pourquoi je ne pourrais pas profiter de ma bonne humeur actuelle.

Du coup, voilà une petite liste de mes projets à venir: me secouer pour MagP3 (et dieu sait si le webzine en a besoin), me coller une bonne grosse baffe pour rédiger le document que je dois à Asmoth pour la mise à jour de MacP3, continuer d’être de bonne humeur, parler de mon voyage à Québec, rédiger mon billet sur les licences libres parce que ça fait longtemps qu’il aurait dû être ici, me faire plaisir des oreilles, être de bonne humeur avec les gens que j’apprécie, finir mon stage correctement et dans les temps, me faire plaisir des oreilles et rentrer en France reprendre le bout de vie que j’y ai laissé. Ca fait beaucoup mais j’ai trop traîné pour des âneries ces derniers temps, j’ai du retard à rattraper mais je devrais y arriver.

Je suis de bonne humeur et c’est tant pis pour vous! Niark! o/