Nous avons un peu l’impression de tourner en boucle dés fois sur Reflets. Le plus éprouvant pour nous, c’est d’user de toute la pédagogie possible pour être assurés d’être compris quand nous publions un article comme celui-ci.

Nous avons donc pris la décision d’exposer clairement ce qui pourrait mener à une compromission par rebond du site des Sénateurs UMP qui a, comme d’habitude, eu l’idée de génie de confier la réalisation de son site web à une agence de communications aux compétences web pour le moins douteuses, ou plutôt, ne prenant en compte que la dimension cosmétique du projet et en délaissant de manière bien visible, les basiques, les bonnes pratiques en matière de sécurité…

Le site des sénateurs UMP est compromis

C’est théorique, à notre connaissance aucune intrusion n’a eu lieu, mais ce dernier doit être considéré comme compromis. Comme nous le présentions hier, les erreurs systématiques de configurations laissant aux quatre vents tout et n’importe quoi, une véritable griffe de fabrication dans les agences de communication que l’UMP sélectionne pour ses projets web, conduit par rebond à ce qui pourrait bien devenir une nouvelle fuite majeure, cette fois sur le site des sénateurs. Après notre premier article de mise en garde, c’est Kitetoa qui enfonçait le clou en visitant le site de l’agence Septiemesens.fr et démontrait que le mot de passe de leur basse de données SQL était disponible en clair dans un répertoire du site web, sans AUCUNE PROTECTION. Et après ? Et après c’est une histoire dramatiquement banale :

• une personne mal intentionnée récupère l’ensemble de la base de données puisque comme d’habitude, les clés sont sur le paillasson.
• dans cette basse de données, elle extrait les identifiants et les mots de passe des premiers utilisateurs, ceux qui ont des droits importants (administrateur du site, développeur, patron de l’agence…).
• il ne lui reste plus qu’à utiliser ces identifiants et mots de passe sur le site des Sénateurs UMP, site sur lequel, au moins un compte a été conservé par l’agence pour la maintenance du site, avec tous les droits qui vont bien.
• au mieux on se retrouve avec un lolcat sur la page d’accueil, au pire on se retrouve avec une belle fuite de données personnelles à l’image du fameux DoX UMP de 2011.

On prend les mêmes et on recommence

La compétence sur Internet ne se mesure pas au poids du papier des cartes de visites d’un commercial, ni même à la maquette graphique que l’on soumet à un prospect. Le développement web et l’administration sont deux métiers, deux vrais métiers, très différents du graphisme et du suivi marketing, quelque soit le mot hipster qu’on lui attribue (e-réputation, business intelligence ou autres conneries du même tonneaux).

Quand on demande à celui qui, globalement, ne sait fournir que le fichier Photoshop de la maquette graphique ou le suivi Google analytics d’un projet web, de piloter le projet, on s’expose, en toute logique à d’énormes risques. Et un site web qui se passe des compétences d’un développeur et/ou d’un administrateur compétent, le premier risque auquel il s’expose, c’est naturellement, celui de la sécurité, celui qui est bien visible, celui qui fait mal quand ça pète, celui qui fini par pisser du leak.

S’offrent alors à nos agences de comm’ deux solutions souvent pratiquées :

• la sous traitance
• le développement « en interne »

Si nous sommes dans un schéma où le client a choisi une agence de comm’ pour piloter le projet, dans un cas comme dans l’autre, ça ne peut pas fonctionner correctement.

• La sous-traitance : une agence de comm’ aura naturellement du mal à planifier autre chose dans la recette du site web que les aspects cosmétiques, pseudo fonctionnels (avec une vision souvent plus adaptée au print qu’à la réalité du web) ;
• Le développement en interne : une agence de communication n’a par définition pas de compétence pour recruter un bon développeur ou un bon administrateur système, nous avons déjà démontré à maintes reprises que le développement web était dans ces agences très rarement confié à des développeurs expérimentés. Non un web designer n’est pas un développeur parce qu’il a deux ou trois notions de PHP, qu’il maitrise Flash ou qu’il sait installer un Spip.

Partis politiques : payez vous un RSSI bordel !

Mais envisageons le cas que vous soyez terriblement attachés à aller acheter votre pain chez le boucher et à confier des projets web à des agences de communication qui vous facturent à prix d’or un travail ni fait ni à faire « mais au moins c’est joli ». Et bien dans ce cas, il est de votre responsabilité d’assurer la gestion de projet intégrale et d’avoir une personne réellement qualifiée en interne qui vérifie les basiques AVANT LA MISE EN PRODUCTION, et qui vérifie par extensions que les prestataires sont qualifiés et ne compromettront pas votre application en brisant la chaine de confiance par une bêtise aussi lourde que celle que nous venons d’évoquer.

Une organisation politique, par définition, manipule une quantité importante de données personnelles, et pourtant, en 2014, combien d’entre elles s’offrent les compétences d’un responsable de la sécurité des systèmes d’information (RSSI) ? Quel contrôle sur les données personnelles ou sur la compétence des prestataires font l’objet de procédures claires dans ces organisations ?

Il serait peut être temps de contraindre les organisations politiques à arrêter le massacre… on est en train de parler de faire n’importe quoi avec des données, souvent personnelles, à caractère nominatif, indiquant clairement les opinions politiques des victimes des fuites inhérentes à ce genre d’âneries. La CNIL ? On ose même plus en parler, ils ne servent à rien…  ce nouvel épisode relève peut être plus des compétences de l’ANSSI qui doit quand même avoir des choses plus sérieuses à traiter que la distributions de bons et de mauvais points à des agences de comm’…

Cher parlementaires… oui, vous pouvez continuer à voter des lois restreignant les libertés des internautes ou même de la presse sur Internet, oui vous pouvez continuer une chasse chimérique aux hackers chinois… ou vous pouvez prendre vos responsabilités et ouvrir les yeux sur des années de conneries répétées qui mènent systématiquement à la même chose.

Assez régulièrement, nous recevons, comme beaucoup d’entre vous, des spams de sociétés qui souhaitent nous vendre des fichiers d’adresses mails pour que nous spammions la planète.

Ce n’est pas la politique de la maison, ça ne nous intéresse pas, mais ce qui nous intéresse en revanche, ce sont les techniques permettant de constituer ces fichiers d’emails (et ils sont rarement légalement constitués), la manière dont ils sont protégés (on va y revenir), puis revendus. En clair : ce que l’on fait de vos données personnelles et combien vous coûtez aux yeux de ces personnes.

A cette dernière question, votre email est revendu pour 0,01 €. C’est à dire que pour cette somme, des entreprises s’approprient le droit de vous emmerder régulièrement, et des zozos du Net en tirent profit, de manière illégale, en vendant vos données personnelles à des casse bonbons interplanétaires.

SGCommunication est un cas d’école, de parfaits guignols, le « Numéro 1 de l’e-mailing de masse »

Pas foutus de formater un mail correctement :

Pas foutus de protéger leur fond de commerce : vos données personnelles sont en libre accès sur leur site qui revendique une « boutique »…

Ceci est un petit message de l’équipe de Reflets.info à SGCommunications… On va faire un deal : tu nous vire tout de suite de tes bases de données de spammeurs du dimanche, tous les mails @reflets.info, ou on commence à analyser tes fichiers illégalement constitués et on prévient les concernés que tu refourgues tout aussi illégalement leurs données personnelles.

Car oui… tu vas avoir du mal à nous faire gober que ce genre de mails est récolté sur optin :

C’est une science qui a de l’avenir mais qui n’en est pas à ses prémices : l’influence de masse, ou des masses, au choix. De nombreuses expériences ont été menées aux USA, plus particulièrement, depuis les années 50, et ce sujet nous intéresse fortement à Reflets.

Le principe de départ est assez simple : si une majorité est convaincue de quelque chose, l’effet de groupe devient un levier qui emporte l’adhésion du plus grand nombre. L’objectif des « influenceurs » est donc de parvenir à envoyer des messages particuliers à un certain nombre d’individus, et de faire que ces messages deviennent importants, au point de pouvoir déclencher, par exemple, des réflexes d’achats, des comportements particuliers, des réactions collectives à des événements, etc…

Bien entendu, personne ne pense être sous l’influence de ces systèmes de manipulation fabriqués dans des laboratoires aux budgets colossaux. Non, tout un chacun pense être à même de ne pas gober ce que l’on voudrait lui faire penser ou croire. Oui, mais…

Facebook, pris la main dans le sac

Le principe de pouvoir changer le comportement des individus, les influencer grâce aux outils technologiques numériques est étudié très sérieusement, et officiellement, depuis le milieu des années 90. Cette science a un nom, la captology : Computers As Persuasive Technologies = CAPT. L’université de Stanford accueille ce labo de « persuasion technologique  » dirigé par Dr. BJ Fogg, un psychologue très emballé par ses « découvertes ». Ces gens là déclarent quand même pouvoir amener la paix mondiale dans les 30 années à venir, ce n’est pas rien. Il y a fort à dire à propos de la captology, comme des techniques diverses et variées de campagnes d’influences, opérations psy et autres fabrications de rumeurs ou créations de buzz à grands coups de bots dont nous vous avons déjà parlé sur Reflets. Mais l’expérience que Facebook a mené sur plus de  680 000 de ses utilisateurs est une perle qu’il ne faut surtout pas rater.

Voici le principe (source, résultat de l’étude : Experimental evidence of massive-scale emotional contagion through social networks) :

In an experiment with people who use Facebook, we test whether emotional contagion occurs outside of in-person interaction between individuals by reducing the amount of emotional content in the News Feed. When positive expressions were reduced, people produced fewer positive posts and more negative posts; when negative expressions were re- duced, the opposite pattern occurred. These results indicate that emotions expressed by others on Facebook influence our own emotions, constituting experimental evidence for massive-scale contagion via social networks. This work also suggests that, in contrast to prevailing assumptions, in-person interaction and non- verbal cues are not strictly necessary for emotional contagion, and that the observation of others’ positive experiences constitutes a positive experience for people.

Dans une expérience avec des gens qui utilisent Facebook, nous avons testé le fait que la contagion émotionnelle se produit en dehors de l’interaction personnelle entre les individus, en réduisant la quantité de contenu émotionnel dans le flux de news. Lorsque des expressions positives ont été réduites, les gens produisent moins de messages positifs et plus de messages négatifs; lorsque les expressions négatives ont été réduites, c’est le modèle inverse qui s’opère. Ces résultats indiquent que les émotions exprimées par d’autres sur Facebook influencent nos propres émotions, constituant la preuve expérimentale d’une contagion à échelle massive via les réseaux sociaux. Ce travail suggère également que, contrairement aux hypothèses actuelles, les interactions en personne ou des indices non-verbaux ne sont pas strictement nécessaires à la contagion émotionnelle, et que l’observation des expériences positives des autres constitue une expérience positive pour les gens.

Le Wall Street Journal se fait écho de cette petite expérience facebookienne de 2012, avec quelques réactions légèrement indignées, comme celle du blog Animalnewyork.com : « Ce que beaucoup d’entre nous craignent est déjà une réalité: Facebook nous utilise comme des rats de laboratoire, et pas seulement pour comprendre à quelles pubs nous allons répondre favorablement, mais en fait, pour changer nos émotions »

L’équipe « scientifique » de traitement de données de Facebook semble bien s’amuser avec les données des utilisateurs, en calculant par exemple combien de gens se sont déplacés au Brésil pour la Coupe du monde, ou encore déterminer les meilleurs endroits aux Etats-Unis à visiter.

Le monde réel et celui fabriqué par les écrans

Ce qui peut être réfléchi aujourd’hui est une chose assez importante, que de nombreux lecteurs dénoncent, tout en donnant l’impression de ne pas toujours relier les éléments entre eux ou les tenants et aboutissants qu’elle contient : les outils technologiques en place sont puissants, anti-démocratiques, ils préfigurent des sociétés totalitaires, équivalentes à celles décrites dans le « meilleur des mondes » ou « 1984″, c’est vrai. Mais le DPI ne permet pas de s’emparer des données des internautes pour une future incarcération de ceux qui auraient écrit des bullshit. Le DPI est une arme informationnelle. Et l’information est le moyen de contrôler le réel. La perception du réel. Vos données, les outils que vous utilisez sur Internet, comme les programmes que vous regardez à la télé, sont des armes. C’est en sachant ce que vous lisez, regardez, aimez, échangez, que l’on peut déterminer comment l’on peut vous amener à penser plutôt dans un sens ou plutôt dans l’autre. Ce que l’étude Facebook a parfaitement démontré.

Maintenant, au moment où chacun regarde des millionnaires en short marquer des buts, il se passe des choses dont plus grand monde ne vous parle. Mais surtout, ce sont des choses qui vous intéressait, vous indignait, il y a peu, par exemple l’année dernière, ou il y a deux ans, en Syrie. Ces choses existent pourtant toujours. Celle-ci par exemple, en Irak :

Mais quelle importance aujourd’hui ? Une fois les écrans publicitaires vendus au Brésil, ceux des cyclistes du Tour de France, puis quelques promotions sur les maillots deux-pièces, s’il est décidé que vous devez vous y intéresser, vous vous y intéresserez. Et vous vous indignerez, n’est-ce pas ? Nous, de toute manière, on va en parler. Pour continuer de tenter de comprendre le réel.

En attendant : bonne Coupe du monde à tous ceux qui « kiffent le foot et les bières sur canapé », aiment chanter la Marseillaise quand ça gagne, et font des « like » sur Facebook, hein…

(MàJ du 01/07/2014 à 15h25 : les excuses de Facebook) :

On ne sait plus si l’on doit rire ou pleurer en lisant les récents articles de Bluetouff parus sur Reflets… En 2014, il y a encore des gens qui ignorent à quoi sert un fichier .htaccess. L’agenceseptiemesens.fr a beau avoir un sixième et même un septième sens, cela ne la protège pas contre l’ignorance. La preuve par 6 (images) :

Les bêtises de ce genre ne sont pas une spécialité de cette agence du septième sens. Chez Bygmalion cette fois :

Comme disait Bluetouff, un jour, tout ça finira mal.

Ceci dit, toute intrusion sur ces sites est punie sévèrement par la loi. Vous risqueriez plusieurs années de prison. Ne soyez pas idiots.

Souvenez vous, c’était en novembre 2011, tout l’UMP était vent debout suite au piratage d’une base de données des parlementaires du groupe UMP. Nous avions abordé le sujet ici, puis là et enfin nous avions expliqué dans le détail ce qui nous paraissait le plus choquant dans cette affaire de fuite de données personnelles touchant des personnalités publiques : c’est qu’un tel fichier ai pu être constitué. Les questions qu’on se posait alors étaient :

• Par qui ce fichier a été constitué ?
• Dans quel but ?

A ces deux questions, des pistes plus ou moins fantaisistes avaient été évoquées, dont celle d’un fichier constitué par les renseignements intérieurs. Nous avions vite balayé cette hypothèse car il nous semblait improbable que la DGSI constitue une base de données, au format SQL, accessible à tous vents. La thèse de l’exploitation d’une vulnérabilité dans une application destinée aux parlementaires de l’UMP, avancée par le député Tardy, nous avait alors semblé bien plus plausible. Un peu plus tard, le ou les auteurs présumés de l’intrusion (ou pas), confirmaient dans un communiqué sur Pastebin d’où émanait la fuite, pointant du doigt une société : Mes Conseils. Mais l’hébergeur, vers lequel tout le monde avait les yeux pointés est aujourd’hui fermé, ce qui est d’autant plus consternant qu’il n’est certainement pas le seul à être responsable de cette fuite de données, qui est tout autant imputable :

• A une mauvaise gestion de projet qui ne s’est probablement pas assurée du savoir faire des sous-traitants, ni même n’a observée les bonnes pratiques d’une recette sérieuse avant la mise en ligne de la production  ;
• A un mauvais développement ayant rendu possible une telle fuite (nous alertions déjà explicitement en 2011 que l’UMP avait pour coutume de faire développer ses applications par des agences de communications et non des entreprises spécialisées dans le développement d’applications web)

Un peu plus tard, en mars 2012, un autre incident de sécurité assez alarmant lui aussi, bien que prêtant moins à conséquences, enfonçait le clou sur le choix systématique de se tourner vers des agences de communication en lieu et place de professionnels du développement. C’est l’extranet des sénateurs UMP qui goutait à son tour et malgré lui aux joies de l’open data. Derrière cette jolie incongruité, c’est l’agence Artkom que l’on retrouvait. Les taquins noteront que l’agence ne semble pas avoir compris la leçon et continue à configurer ses machines avec les pieds.

Indécrottables…

Comme nous le découvrons une fois de plus en 2014, l’UMP n’a toujours pas compris que ce n’est pas chez le boucher qu’on achète son pain et s’obstine à s’adresser à des agences de communication. C’est donc trois ans plus tard, à la lumière des nouvelles informations sur les pratiques de l’UMP et de son prestataire Bygmalion que de nombreux confrères journalistes commencent à faire un lien entre la compromission de 2011 et les affaires de sur-facturation de l’UMP par l’agence de communication.

Pourquoi penser à Bygmalion ? Ok, c’est vrai, la sécurité, ce n’est pas leur point fort. Cependant, nous allons voir que leur prêter tous les maux de l’UMP n’est pas foncièrement des plus justes non plus.

Bygmalion ? Mauvaise pioche !

L’application à laquelle on a imputé la fuite se nommait Parlenet, et si on se réfère aux balises métas que l’on trouve encore dans le source HTML de la page conservée en mémoire par Webarchive, c’est la société Micro Age Services, aujourd’hui radiée, qui serait à l’origine de son développement. Voici le bout de code en question :

name="Keywords" content="Parlenet, Députés, Micro Age Services, Site pilote" />

Cette page encore présente sur Webarchive nous renseigne sur un autre point capital, cette application date d’au moins 2008 puisque la capture de Webarchive fait état de la page d’authentification de l’application Parlenet, alors hébergée dans un répertoire du site Mes-Conseils.fr datant du 11 novembre 2008.

On retrouve le tandem Micros Ages Services / Mes Conseils par exemple sur le site web du député UMP de l’Aveyron Alain Marc (amis geeks, soyez indulgents, le site n’est pas de toute première fraicheur… ni du meilleur goût).

Micro Age Services était alors dirigée par Michel Lancel qui n’a à notre connaissance pas de lien connu avec Bygmalion. Du côté de Mes Conseils, même constat, les deux co-gérants, messieurs Boutin et Kowalsky n’ont à notre connaissance pas de rapport avec Bygmalion.

Conclusion : l’incident de sécurité de 2011 ayant conduit à cette fuite d’informations (qui comprenait par exemple les numéros de téléphones portables des parlementaires), n’a pas grand chose à voir avec Bygmalion.

Quand on vous dit indécrottables….

Regardons un instant non plus l’extranet mais le site web des sénateurs UMP. Si on le compare à l’extranet, on voit que la peinture a changé, que la solution logicielle de gestion des contenus a changé… mais ce qui n’a pas changé c’est la configuration emmental du serveur web, ou dans notre cas, sur un mutualisé, l’apprentissage douloureux du fichier .htaccess pour les nuls :

Le site des sénateurs de l’UMP, hébergé (lui aussi) sur un mutualisé OVH est l’oeuvre de … l’agence de conseil en communication Septiemesens comme indiqué dans le pied de page du site web. Et ils font quoi Septiemesens ?

Agences de comm’, un cybercrimel vous parle

Mon nouveau statut de pas journaliste cybercriminel qui a osé se maintenir dans un espace public à très envie de tirer quelques oreilles quand il tombe sur ce genre de choses, même si ça ne prête pas (tout de suite) à conséquences… soyez bien conscients que ça fini toujours mal ce genre de choses, il suffirait par exemple que quelqu’un glisse un document confidentiel dans ce répertoire, ou que le webmaster ne fasse un backup de sa base SQL dans un sous répertoire…. ça se termine toujours comme ça.

Tant que l’UMP s’évertuera à s’adresser à des agences de communication et gèrera ses projets n’importe comment, ça se passera toujours comme ça.

EDIT : Et comme prévu, Kitetoa vous démontre pourquoi et comment ça finit mal, nous y reviendrons probablement demain…