Sécurité : l’après Snowden vu du smartphone d’un eurodéputé

Quand le scandale a été révélé, j’émettais déjà de sérieux doutes sur les postures indignées des politiques et sur notre capacité à réagir sérieusement. Aujourd’hui Médiapart révèle une affaire (accès payant) qui ne fait qu’apporter de l’eau à notre moulin. Des milliers de mails d’eurodéputés auraient été compromis, et Médiapart d’enfoncer le clou affirmant que bon nombre d’institutions restent des passoires.

Choix techniques ridicules (Microsoft Exchange), comportements irresponsables (on se connecte avec son smartphone au premier hospot public à la terrasse de café d’en face), manque cruel de sensibilisation la plus basique aux outils pourtant aujourd’hui indispensables (hein ? Quoi ? un VPN, c’est quoi ?)…

On peut blâmer les programmes de surveillance américains, mais qui faut-il blâmer quand on se rend compte que l’espionnage de nos institutions est à la portée de presque n’importe qui pour un budget d’une centaine d’euros ?

La démission résignée des utilisateurs

L’article de Mediapart nous apprends quelque chose que nous soupçonnions déjà : en plus d’utiliser Microsoft Exchange depuis une terrasse de café en wifi sur un smartphone, aucune authentification multi-facteurs n’est mise en place.

J’ai eu l’occasion de d’échanger avec des groupes politiques, français ou européens. Leur calcul est le suivant : comme leurs travaux étant destinés au public, ils estiment ne pas avoir à observer de mesures de sécurité particulières. Une marque de transparence ? De l’inconscience ? Je laisse à chacun se faire son opinion là dessus mais celà ne revient-il pas au fameux “je n’ai rien à cacher”.

Le mail est un outil d’importance vitale dans le quotidien d’une formation politique, c’est par exemple par là que circulent des propositions de loi à peine à l’état d’ébauche. Intercepter en amont ce qui va devenir une proposition de loi, c’est s’assurer d’un lobbying ultra efficace. Et à votre avis ? Que font les américains ?

Insecurity by Design

D’une manière générale, la confidentialité des communications, c’est l’un des grands échecs du 21e siècle. Pourquoi ? Parce que tout a été fait, à la base, pour l’annihiler : centralisation, absence de couche de chiffrement native dans l’immense majorité des protocole, contre-éducation n’ayant jamais incité à observer de bonnes pratiques… Le pire, c’est qu’on ne peut pas passer notre temps à blâmer uniquement les utilisateurs, les industriels ont une grande part de responsabilité, tout comme les responsables informatiques qui ont relégué les utilisateurs au rang de gamin qu’on ne prendra surtout pas le temps d’éduquer… un grand mal du 21e siècle.

Aujourd’hui un responsable informatique qui offre les clés d’une administration en signant des contrats à Microsoft pour plusieurs millions d’euros devrait être viré pour faute lourde… Comme ce’ scandaleux contrat de 19 millions d’euros lui aussi révélé par Médiapart à destination du ministère de la défense :

EPSON MFP image

 

Administrations, mais aussi fournisseurs d’accès Internet offrant des services “pros” aux entreprises.

Démission des politiques

La député Isabelle Attard dresse elle même un constat fort juste du rapport que peuvent avoir les dirigeants face aux problématiques liées à la confidentialité des échanges à l’ère du tout numérique :

 « il y a une totale méconnaissance de ces problématiques par les décideurs politiques »« Quand nous évoquons ces sujets, la plupart de nos collègues ne nous prennent pas au sérieux, ou n’en voient pas l’intérêt. On me dit “Isabelle, tu exagères…”, voire “Tu es parano”, même sur les bancs socialistes. Nous avons récemment essayé de recenser les élus qui se sentaient concernés, et nous n’avons trouvé que 10-12 députés, tous bords confondus. »

Démission des professionnels

Face aux murs, au lobbying de puissantes entreprises américaines, les professionnels de la sécurité ou du logiciels libres sont eux aussi tentés de démissionner de leur rôle pédagogique. Un premier ministre peut signer toutes les directives favorables à l’utilisation du logiciel libre dans les administrations qu’il voudra… si ces administrations continuent de signer tout et n’importe quoi avec des Microsoft, des Google, des Oracle…. il ne faut pas s’étonner de les voir mourir ou aller chercher des débouchés ailleurs.

Le message hilarant de l’interface de gestion des DNS chez #SFR Business Team

SFR SQLi
… Our website may be subject to SQLi

Il y a des trucs comme ça, quand on ne s’y attend pas, ça fait vraiment du bien.

Alors que j’étais en train de m’arracher les cheveux à comprendre comment changer un enregistrement A sur l’interface de gestion des DNS de SFR Business Team pour un ami (et donc à comprendre que je ne peux pas le faire moi même et qu’il faut en faire la demande pour la modique somme de 60€ HT)…

Je suis tombé alors sur l’un des messages les plus hilarants qu’il m’ait été donné de découvrir sur une interface clients. J’en ai conservé un screenshot que je partage ici avec vous (cliquez pour agrandir).

sfrbusinessteamfail

Pour les personnes qui n’ont pas compris la subtilité de ce message, SFR avertis gentiment l’utilisateur que le champs de commentaire est probablement vulnérable à des injections SQL. Donc, pour des raisons de sécurité, (comprenez la sécurité du site SFRBusinessTeam et de ses clients)… s’il vous venait à l’esprit de leur laisser un commentaire, ça serait bien d’éviter de mettre leur base de données à poil en utilisant les caractères et chaines de caractères mentionnés… Bref le genre de message que je n’avais encore jamais croisé jusque là.

sfr lulz

Chapeau la Business Team et merci pour le fou rire 😉

Update 1 : Le gag avait déjà été reporté en janvier dernier(!) par Sebsauvage <3.

Attention ce qui suit est un scoop 🙂

Update 2 : Bon alors pas de panique surtout, bientôt on pourra modifier nos DNS grâce à Office365 directement depuis un doc Word ou Excel !

Capture d’écran 2013-11-20 à 15.40.15

admin cat

Reflets.info est censuré par @Maroc_Telecom : #FreeAnouzla

Ali-AnouzlaC’est probablement suite à un article évoquant la censure des sites lakome.com et fr.lakome.com  que Reflets.info se voit censuré depuis cette nuit par le fournisseur d’accès national marocain, Maroc Telecom. Reflets entre ainsi au panthéon du terrorisme marocain pour son allégorie de l’iceberg, un article vous le noterez qui a tout ce qu’il faut comme critères objectifs pour être assimilé à une incitation au terrorisme, argument brandi par le pouvoir marocain pour priver illégalement de liberté le responsable de Lakome, Ali Anouzla, depuis maintenant plus d’un mois.

La stupidité de cette censure n’a d’égal que la peur d’un régime fébrile qui ne sait plus quoi faire pour étouffer la liberté de la presse, pour manipuler l’opinion publique et surtout, pour essayer de préserver ce qui lui reste de crédibilité.

En France nous pouvons regretter que nos politiques cautionnent par leur silence la vente de systèmes de surveillance de masse et de censure à un pouvoir marocain qui affirme jour après jour sa volonté de museler toute opposition en brandissant l’argument du terrorisme. En vendant un Eagle au Maroc, et pour une poignée de millions d’euros de quoi stocker l’ensemble des métadonnées des communications des marocains, la France par le biais des sociétés Amesys, ServiWare et Alten pour ne citer qu’elles, cautionne le muselage de la presse et du peuple marocain, tranchant ainsi fortement avec les atours de chantre des droits de l’Homme que notre république est sensée incarner.  Le silence des politiques à ce sujet est intolérable et sur Reflets.info comme ailleurs nous n’aurons de cesse de dénoncer les mensonges hypocrites de ces derniers quand ils affirment qu’il s’agit de matériel grand public et que ce dernier n’a à souffrir d’aucune autorisation à l’exportation.

xaqxa

La censure illégale de Lakome et celle totalement absurde de Reflets.info par Maroc Telecom ne sont qu’une illustration de plus d’un pouvoir fébrile qui n’a pour arme que de tenter de dissimuler l’information, comme on cacherait de la poussière sous un tapis. Personne n’a jamais arrêté l’océan avec ses mains. Face à Internet, dont il a visiblement une peur bleue, le pouvoir marocain aura beau s’équiper de tous les outils de censure que la France ou d’autres pays qui se font chantres des libertés voudront bien lui vendre, son illusion de pouvoir finira par s’écrouler. On ne nourrit pas un peuple qui a faim d’information et de liberté avec des matraques, soient elles numériques.

#PRISM : iTrust, ou le iBullshit souverain avec du iFud dedans

albundyLe site Toulouse7.com ayant décidé d’égarer mon commentaire en réaction à cet article, je me suis dit qu’au final, une réponse trouverait un peu plus d’écho sur ce blog pour sensibiliser les personnes qui pourraient se laisser berner. On se doutait bien que des petits malins allaient surfer sur la vague PRISM pour refourguer leurs “solutions” qui n’en sont pas. Je viens de tomber sur le parfait exemple d’article de page de pub totalement à côté de la problématique de fond pour mettre en avant une solution technique qui ne répond en rien à l’expression d’un besoin de confidentialité pourtant réel des entreprises comme des particuliers face à PRISM, Tempora, et tous les programmes de renseignement d’origine électromagnétique… qui se traduit, rappelons le, par ce qu’on appelle de l’interception massive sur les réseaux IP…

Par pitié, si vous êtes chef d’entreprise et que vous vous sentez concerné par la confidentialité de vos données professionnelles, ne vous laissez surtout pas endormir par ce genre de charlatan qui vous préconise une solution (la leur) alors qu’ils n’ont visiblement pas compris le problème. Nous le savons, le monde de la “sécurité” informatique raffole des peurs des uns et des autres. Un prospect qui a peur, c’est un client en puissance. Si en plus on joue sur sa fibre patriotique, c’est le jackpot.

Si vous vous souvenez par exemple du logiciel de “sécurisation” HADOPI qui n’a finalement jamais vu le jour et dont j’ai d’ailleurs largement parlé sur ce blog, vous vous souvenez peut être aussi des pseudo solutions à la con, comme les HADOPIPOWARES vendus par des sociétés comme Orange et beaucoup d’autres, ce alors qu’aucune spécification n’était rédigée. Un défilé de “solutions” toutes plus crétines les unes que les autres, quand elles n’étaient pas tout simplement vouées à créer plus d’insécurité que de sécurité. A n’en pas douter, et je m’y attendais, PRISM va provoquer le même phénomène, mais cette fois à l’échelle mondiale. Et ça c’est inquiétant.

i (won’t) Trust you

Notre premier winner s’appelle Jean-Nicolas Piotrowski, il dirige la société iTrust, dont je ne remets pas en cause la qualité des produits, je ne les connais pas, je ne les ai pas testé. En revanche je remets en cause ses propos sans queue ni tête pour vendre sa salade, et tout le iBullshit qu’il met autour pour nous enrober ça en se parant de sa blouse blanche.

Il commence d’ailleurs assez fort en mettant en branle son expertise en droit international, un terrain sur lequel peu d’experts en sécurité s’aventurent tant il est casse gueule :

L’espionnage par PRISM n’est pas légal et va à l’encontre à la fois de la règlementation US du tribunal fédéral relatif au renseignement étranger et de la règlementation européenne.

Ah bon ? PRISM ne serait donc pas “légal”… Please define “légal”… légal pour qui ? Légal pour quoi ? Le Patriot Act est illégal ? Un traité comme l’UKUSA est illégal ? J’entends déjà d’ici les britanniques ricaner… j’entends aussi tous les juristes se fendre la poire. Après ce bref interlude juridique, on rentre dans le FUD technique, un peu comme le coup du “connu inconnu” qui m’avait tant fait rigoler :

tel qu’il est techniquement décrit, il ne permet pas seulement de surveiller des individus (officiellement étrangers aux USA) mais permet aussi de perpétrer de l’espionnage économique (notamment à destination des entreprises utilisant les services tels que par exemple : Google, Microsoft, Apple.)

PRISM serait donc “techniquement décrit”, intéressant. Bon si vous avez des spécifications techniques sous le coude, elles m’intéressent, n’hésitez pas à me les transmettre par mail. Chez Reflets, nous avons assez candidement cherché dans les moult gigas de PDF et PowerPoint tout laids de la DISA, et on est loin, très loin, d’avoir un descriptif technique du gros zizi américain. La surveillance de masse, c’est un peu comme une boite de chocolats, on ne sait jamais sur quelle agence on va tomber.

Maintenant que le lecteur est persuadé que PRISM est illégal et qu’il est face à un “expert”, le voilà mûr pour se faire cueillir :

Alors que faire ? Il faut simplement appliquer ce que certaines instances européennes légitimes et certains experts préconisent

  • utiliser des logiciels et solutions professionnelles européennes (Préconisations faites par la CNIL, le rapport du sénateur Boeckel et l’agence européenne ENISA)
  • héberger des données d’entreprises dans des data centers sur sol européen,
  • choisir des prestataires informatiques privilégiant des solutions européennes dans leurs infrastructures et qui ne seront donc pas soumises au Patriot Act
  • choisir des prestataires de droits européens.

Si Jean-Nicolas Piotrowski avait la moindre idée de ce qu’est PRISM, il ne sortirait pas de telles énormités. Nous l’avons expliqué depuis le début, PRISM est un tout petit machin au sein d’un programme bien plus global… et un programme faisant l’objet d’accords internationaux… avec des pays européens, les britanniques en tête (avec TEMPORA), mais pas que. En outre les USA sont loin d’être les seuls à wiretaper les câbles sous marins ou le cul des iX. Britaniques et français (pour ne citer qu’eux) s’adonnent aussi très certainement à ce genre de pratiques. Prétendre que la problématique de l’interception de masse se limite à PRISM, c’est faire preuve d’un manque de discernement et d’information crasse sur le monde fou fou fou du renseignement d’origine électromagnétique. Je passe sur le clin d’œil au rapport Bockel (et non Boeckel) et le troll sur les routeurs chinois en vous invitant à lire ce billet de Stéphane Bortzmeyer pour vous laisser prendre la mesure de tout le FUD autour de ce sujet.

La conclusion de Jean-Nicolas Piotrowski, on s’y attendait un peu :

Les solutions existent, la preuve en est, j’en ai développé une non soumise au Patriot Act qui garantit une totale confidentialité des données. L’histoire de PRISM nous montre que ce n’est pas le cas pour les solutions américaines.

Wahou… un solution non soumise au Patriot Act ! c’est fort ça ! Nous voila rassurés ! Mais mesurons le degré de soumission au Patriot Act de manière un peu plus objective.

  • Le domaine iTrust.fr est déposé chez Gandi, jusque là tout est souverain
  • iTrust est hébergé sur l’AS39405, un AS souverain (Full Save Network)… jusque là tout va bien, mais attention, le peering est moins souverain (Level3, Cogent et Hurricane sont tout les trois soumis au Patriot Act).

On va dire que pour la tuyauterie, c’est à peu près bon, regardons les dessous. C’est tout de suite moins souverain…

fbscript

C’est d’ailleurs assez curieux pour une société de sécurité informatique d’avoir des trackers Facebook et une fan page sur ce réseau social soumis au Patriot Act et collaborant directement avec la NSA, mais pourquoi pas… C’est bien mignon de claironner qu’on a développé un logiciel non soumis au Patriot Act, ce qui est au passage une tautologie pour une entreprise française, mais si on veut se positionner commercialement de manière sérieuse dans les solutions “PRISMproof”, on commence par éviter les trackers Facebook sur son site professionnel.

PRISMproof ?

Avant que vous ne me posiez la question “alors comment on fait pour échapper à PRISM”, je vais tenter de vous faire une (trop) brève réponse, elle n’est pas parole d’évangile mais elle ne vise qu’à vous donner des pistes, en fonction de vos activités (car il serait idiot de penser que nous avons tous les mêmes besoins et les mêmes exigences en matière de confidentialité, ce en fonction de nos activités) :

  • Oui, on conserve ses données de préférence sur le territoire national et encore, tout dépend… Vous imaginez bien que nous n’irons par exemple pas héberger Reflets.info ni même ce blog chez Numergie (le cloud by Bull / Amesys), ou dans le cloud de Thales.
  • Oui on chiffre son trafic (et tout son trafic), oui on utilise un VPN, mais pas n’importe lequel, on choisi correctement son point d’entrée, son point de sortie (ce en fonction du contexte à protéger lors de vos activités en ligne). J’ai fais le choix de privilégier de l’ OpenVPN (L2TP, c’est la loose). Je privilégie également une PKIx509 en PFS (Perfect Forward Secrecy). Le PFS a une vertu : même si la clé master tombe dans les mains de la NSA, elle ne pourra pas déchiffrer tout le trafic, il lui faudra casser de la clé session par session… ce qu’elle ne manquera pas un jour de faire, sachez le !
  • Non, on utilise pas son VPN pour aller superpoker tout son carnet de contact chez Facebook !
  • On durci son navigateur, par exemple avec JonDoFox et en utilisant, au cul du VPN, un bridge TOR, et des proxys différents pour les autres applications (mail, chat etc… que l’on chiffre également… PGP, OTR tout ça …)
  • Pour une sécurité accrue, on recommandera l’utilisation de machines virtuelles, ce afin d’isoler les différents contextes liés à nos différentes activités (une vm sous GNU/Linux pour les mails, qui sort en Suisse, une vm pour bittorrent, qui sort en Suède, etc…)
  • Oui c’est plus lent, mais vous apprendrez plein de choses passionnantes et vous corrigerez vos comportements en ligne pour gagner en confidentialité et en sécurité.
  • Enfin, on gardera en tête qu’il n’y a pas de secret numérique éternel : toute donnée chiffrée sera déchiffrable un jour ou l’autre (les américains stockent le trafic chiffré, et c’est bien dans le but de le déchiffrer un jour ! Pensez donc à l’anonymiser)

D’une manière générale, ne croyez jamais un commerçant qui affirme vous rendre 100% anonyme sur le Net, c’est forcément un menteur. D’une manière générale ne croyez jamais une personne qui après 20 lignes pour vous expliquer PRISM conclura par “la preuve, j’ai moi même développé la solution qui garantie la confidentialité de vos données“, car ce dernier n’a non seulement rien prouvé, mais c’est très probablement un menteur. Et en matière de confidentialité, il y a certains pays ou ces menteurs peuvent finir avec des morts sur la conscience

Enfin, ne croyez jamais un expert en sécurité qui sort les mêmes âneries qu’un ministre qui dépend de Bercy.

Un pourcentage non négligeable de la confidentialité se passe entre la chaise et le clavier, non sur un disque dur.

L’Internet Iranien vu de l’intérieur

iran-flag-1A l’approche des élections iraniennes, Internet y est plus que jamais sous surveillance. Je suis donc parti visiter cet Internet tout pourri et j’y ai fait quelques trouvailles intéressantes (US). Je vais tenter de vous les expliquer ici, et avec un peu de chance, nous devrions nous offrir une bonne tranche de rigolade.

Internet est particulièrement filtré et surveillé en Iran, ça nous le savons. En revanche ce que nous savons un peu moins, c’est comment cette censure et cette surveillance sont opérées, et par qui. Quels sont les moyens mis en oeuvre, est-ce efficace etc … autant de questions qui titillent en ce moment pas mal ma curiosité. Du coup, je suis allé voir…

Voici ce qu’il se passe quand un internaute iranien tente d’accéder à Youtube, Facebook ou Twitter par exemple :

XS5.ar2313.v3.6.1.4866.110330.1248# ping facebook.com
PING facebook.com (10.10.34.34): 56 data bytes
^X
--- facebook.com ping statistics ---
8 packets transmitted, 0 packets received, 100% packet loss

La requête s’arrête directement sur une ip LAN : 10.10.34.34 et n’aboutit donc pas, Facebook y est censuré (un blocage sur le DNS, un ping sur l’ip de Facebook passe lui sans problème)

Quand on lance un traceroute ver le vrai Internet pas censuré depuis là bas toujours on obtient ceci :

nas

Tout passe par un un VPN en premier hop : vpn.naslco.net, une adresse tenue par ITC avec probablement un DNS menteur. Soyons donc un peu patients, mais ça risque d’être drôle… Je vous explique pourquoi :

Attention, c’est là que ça devient drôle. Ce matin je me rends compte que ce domaine n’est pas déposé… ce que je m’empresse de faire. Et devinez quoi ? http://vpn.naslco.net \o/

$ host 172.31.255.254
Host 254.255.31.172.in-addr.arpa. not found: 3(NXDOMAIN)

et hop :

$ host vpn.naslco.net
vpn.naslco.net is an alias for noway.toonux.com.
noway.toonux.com has address 88.190.52.71

Et voilà maintenant ce que ça donne depuis chez eux :

XS5.ar2313.v3.6.1.4866.110330.1248# ping vpn.naslco.net
PING vpn.naslco.net (172.31.255.254): 56 data bytes
64 bytes from 172.31.255.254: icmp_seq=0 ttl=64 time=2.6 ms
64 bytes from 172.31.255.254: icmp_seq=1 ttl=64 time=2.4 ms
64 bytes from 172.31.255.254: icmp_seq=2 ttl=64 time=2.4 ms
64 bytes from 172.31.255.254: icmp_seq=3 ttl=64 time=2.4 ms
64 bytes from 172.31.255.254: icmp_seq=4 ttl=64 time=2.4 ms

En revanche :

XS5.ar2313.v3.6.1.4866.110330.1248# ping naslco.net
PING naslco.net (88.190.52.71): 56 data bytes
64 bytes from 88.190.52.71: icmp_seq=0 ttl=39 time=149.5 ms
64 bytes from 88.190.52.71: icmp_seq=1 ttl=39 time=147.5 ms
64 bytes from 88.190.52.71: icmp_seq=2 ttl=39 time=147.2 ms
^X64 bytes from 88.190.52.71: icmp_seq=3 ttl=39 time=147.9 ms

Si vous m’avez suivi, il est fort probable que dans les heures à venir, on se paye une bonne tranche de rigolade 😉

naslco

T’as bien la trouille là ? Tu vas l’acheter ma suite Norton Antivirus 2014 Cafetière Edition ?

Da-pedo-nazi-mixerCette fois, c’est là fin ! Oui encore une fois ! La fin de la cyber paix, Internet est bientôt en guerre. Et ça va être une véritable boucherie, la cyber apocalypse. Rien n’y résistera, ni les centrales nucléaires, ni le respirateur artificiel de belle-maman, ni le pacemaker du chat, ni votre frigidaire, pas même votre cafetière ! La fin des internets tels que nous les avons connus jusque là. C’est Reuters qui le dit, c’est forcément du lourd, d’ailleurs si la presse reprend cette information, c’est que la menace est sérieuse et imminente non ?

Les spécialistes de la cybersécurité connaissent d’innombrables moyens par lesquels des hackers peuvent semer le chaos en piratant des infrastructures essentielles ou en infiltrant les systèmes informatiques d’entreprises pour dérober des données ou procéder à de l’espionnage industriel, mais c’est ce qu’ils ignorent encore qui les inquiète le plus.

Des spécialistes de la cybersécurité inquiets de ce qu’ils ignorent, des hackers qui sèment le chaos… on est tous foutus. Si même les experts de la cybersécurité ont peur, c’est qu’on est dans une sacrée merde, c’est moi, Reuters, qui vous le dit ma p’tite dame.

Cette gangrène, rien ne pourra l’arrêter, c’est même surement déjà trop tard :

Les experts s’interrogent en effet sur les bombes à retardement qui pourraient infecter-ou même avoir déjà contaminé- certains réseaux informatiques.

Même le boss de la NSA est d’accord, c’est dire !

Pour Keith Alexander, directeur de l’Agence de sécurité nationale américaine (NSA), il ne fait aucun doute que les cyberattaques vont gagner en ampleur.

Gagner en ampleur ?! Dis moi pas que c’est pas vrai ! C’est nouveau ça ! Avant les cyberattaques elles ne gagnaient pas en ampleur hein dis Reuters ! Il plaisante le monsieur de la NSA, c’est pas vrai hein dis ?! Merde, le Figaro aussi le dit !

“Les attaques à visée de perturbation ou de destruction dirigée contre (les Etats-Unis) vont empirer”, a-t-il déclaré lors du sommet sur la cybersécurité organisé par Reuters cette semaine. “Retenez bien ceci: cela va aller en s’aggravant.”

Merde, alors c’est vraiment du lourd, si même au Defcon ils en ont pas parlé et qu’ils en parlent chez de vrais spécialistes (à une sauterie organisée par Reuters), c’est que c’est la fin des Intertubes ! Et ça va “aller en s’aggravant !” retenez le bien ! C’est bon là ? C’est imprimé ?

Je sens que t’as pas encore assez la trouille pour sortir le chéquier. Je vais t’en remettre une petite couche. Savais-tu que l’ennemi est invisible, et qu’il est partout autour de toi ?… que tu es cerné !

“Le ‘connu inconnu’, c’est ce qui m’inquiète”, a dit la secrétaire à la Sécurité intérieure Janet Napolitano.

C’est vrai que quand on y pense bien… un truc qu’on connait mais qu’on connait pas, c’est flippant quand même… non ? Genre un jour t’es sur le canapé, dans ton salon, tranquille, tu mattes “Les chtis marseillais contre les robots mixeurs mutants venus de l’espace II” que tu viens de choper en VOD grâce à la PUR sélection que ton FAI te propose,  et là… sans prévenir, ta femme que tu connais depuis avant ton premier CDRom AOL, rentre de chez le coiffeur, teintée en blonde ! Le truc connu inconnu quoi, tout flippant. D’ailleurs elle t’explique bien le truc Janet :

“Par exemple, nous ne connaissons pas l’identité de l’ensemble de nos adversaires qui tentent de commettre des crimes ou d’agir sur les réseaux informatiques. Ce que nous connaissons, nous pouvons le gérer. C’est ça le ‘connu inconnu'”, a-t-elle expliqué.

Les agents du chaos, qu’on ne connais pas, en fait, on peut pas trop les gérer. Par contre les agents du chaos qu’on connait, ça on peut. Donc on a moyen la trouille de ceux qu’on peut gérer, mais ceux qu’on connait pas, comme les hackers chinois d’AQMI réfugiés politiques en Iran, ceux là, ils sont vraiment, vraiment flippants ! On ne sait pas trop s’ils existent, mais imagine un peu qu’ils existent, hein ?! Comment tu fais hein ?!  Dis !?

Mais il y a encore pire… et ouais ! Débranchez vite vos frigos et vos cafetières nous risquons une cyber apocalypse !

Une autre menace à prendre en compte est celle qui résulte de l’essor des appareils connectés, une évolution qui élargit le champ des cibles potentielles.

C’est clair que si en plus des hackers chinois d’AQMI réfugiés politiques en Iran, les frigos et les cafetières s’y mettent, personne n’y survivra.

“Très bientôt votre cafetière et votre réfrigérateur seront eux aussi des vecteurs d’attaques parce qu’ils seront raccordés à internet”, a prévenu Michael Daniel, coordinateur de la politique de cybersécurité à la Maison blanche.

D’ailleurs, moi aussi un jour, j’ai vu un nabaztag, c’était un vecteur d’attaque, je ne le savais pas au debut, je l’ai appris quand ma femme me l’a collé en travers de la tronche le jour où j’ai mis un cron pour lui demander de servir l’apéro à 19h30… on ne se méfie jamais assez des vecteurs d’attaque avec une gueule de lapin crétin…

Les pédonazis, ça au moins, c’est connu, mais les mixeurs pédonazis ?! Hein ?! Tu fais quoi contre les mixeurs pédonazis terroristes ? OpenOffice compile même pas dessus !

Après cette terrifiante lecture, en tant que citoyen, j’ai décidé de réagir en écrivant une question parlementaire pour mon député, à destination de Fleur Pellerin, de François Hollande, de la Navy , des hackers chinois et des forces inter-armées de l’Empire :

L’absence de régulation financière a provoqué des faillites. L’absence de régulation des chipsets électroménagers provoque chaque jour des victimes ! Combien faudra-t-il de  pizzas décongelées pour que les autorités réagissent ? Combien faudra-t-il de morts suite à DDoS sur des pacemakers ? Combien faudra-t-il d’adolescents brulés au 3e degré suite à une infection du chauffe-eau ? Combien faudra-t-il de fours micro-ondes explosant aux quatre coins du monde ? Combien faudra-t-il de créateurs ruinés par le pillage du minibar de leur limousine ? Il est temps, mes chers collègues, que l’on backport OpenOffice sur NespressOS pour réguler ce mode de communication moderne envahi par toutes les mafias du monde.

What else ?… Comment ça du FUD ?

Thx @eth0__ pour la tranche de rigolade du soir 😉

Affaire Tsarnaev : la surveillance de masse des citoyens américains révélée par un ex-agent du FBI

catchlonVoici une information qui risque d’avoir l’effet d’une petite bombe, aux USA, et probablement ailleurs. Sur Reflets comme sur ce blog, nous avons souvent pointé du doigt de “grandes démocraties” qui font un usage immodéré des technologies de surveillance de masse. D’une certaine manière, l’usage de ces technologies est un excellent baromètre des dérives de certains pays. Et en matière de dérive, les USA sont définitivement champions du monde.

Ca se passe mercredi dernier sur CNN, Erin Burnett reçoit Tim Clemente, un ancien agent du FBI pour aborder les méthodes d’investigations qui ont conduit à l’arrestation de Tamerlan Tsarnaev dans le cadre de l’enquête des services américains sur le récent attentat du marathon de Boston. Les autorités américaines s’intéressent alors aux conversations téléphoniques entre Katherine Russell, la veuve du suspect décédé, et Tamerlan Tsarnaev. Quand Erin Burnet demande à Tim Clemente si les enquêteurs seraient en mesure de mettre la main sur ces conversations, Tim Clemente est catégorique : oui, les autorités ont bien la possibilité d’accéder à ces conversations !

Tamerlan Tsarnaev faisait il l’objet d’une attention spécifique qui aurait conduit les autorités à le placer sur écoute ? Non ! L’explication de Tim Clemente est simple : TOUTES les conversations des citoyens américains sont enregistrées, archivées, et indexées dans une gigantesque base de données à laquelle les autorités peuvent accéder dans le cadre d’enquêtes sur des questions de sécurité nationale. Tim Clemente prévient cependant que ces conversations ne seront probablement présentées comme pièces à conviction devant le tribunal mais qu’elles permettront sans doute aux enquêteurs de comprendre tous les détails de l’affaire.

BURNETT: “So they can actually get that? People are saying, look, that is incredible.

CLEMENTE: “No, welcome to America. All of that stuff is being captured as we speak whether we know it or like it or not.”

Pas besoin de l’autorisation d’un juge, ces enregistrements sont systématiques, pour toutes les communications. Et il ne s’agit évidemment pas que des communications téléphoniques… nous parlons ici de toutes les communications électroniques des américains, de quoi faire froid dans le dos quand on se rend compte que même en France, les services de messagerie les plus utilisés sont… américains.

Reçu le lendemain par Carol Costello, toujours sur CNN, Tim Clemente enfonce le clou en confirmant ses dires : il n’y a aucune communication numérique sécurisée, tout est intercepté, email, chat, recherches…

Le Guardian rappelle que ce n’est pas la première fois que de fortes suspicions planent. En 2010, Mark Klein, un ancien ingénieur d’AT&T avait révélé au Washington Post comment AT&T avait mis en place un dispositif d’interceptions massives et globales, avec un accès complet aux interceptions donné à la NSA. Et les chiffres font mal au crâne :

Every day, collection systems at the National Security Agency intercept and store 1.7 billion e-mails, phone calls and other types of communications.

1,7 milliard de communications sont enregistrées quotidiennement. Techniquement le dispositif consiste en une installation spéciale, dans un bâtiment situé non loin du coeur des installations d’AT&T. La technologie, vous la connaissez évidemment tous si vous suivez Reflets ou ce blog, il s’agit bien de Deep Packet Inspection pour l’analyse de contenus, avec des sondes développées par Narus, un concurrent direct de nos amis de Qosmos.

Le Guardian nous rappelle également que William Binney, un ancien agent de la NSA avait démissionné de l’agence pour protester contre cette surveillance de masse. Car les abus sont visiblement légion. Le programme Total Information Awareness que le Pentagone avait tenté de mettre en place en 2002, suite aux attentats du 11 septembre, avait profondément choqué l’opinion. Ce dernier est finalement revenu par la petite porte.

Enfin si vous êtes utilisateurs de Blackberry, sachez que la NSA a clairement accès à l’ensemble de vos conversations qui sont systématiquement archivées. Il n’est pas non plus déraisonnable de penser que les iPhone d’Apple sont de véritables SpyPhones et que les services américains accèdent à de nombreuses données personnelles de ses utilisateurs… et oui, Android aussi.

Allons un peu plus loin maintenant. En France, le pays des droits de l’homme, ce genre d’interception systématique serait parfaitement illégal. Du moins ce qui est illégal c’est de le faire soi même. Mais dans quelle mesure les services français demandent à leurs homologues américains l’accès à des données personnelles de français… ont ils seulement besoin de les demander ou accèdent ils naturellement à ces données via un réseau de “coopération” mis en place conjointement par les services français et américains ?

Bienvenu dans le 21e siècle, le siècle qui relègue Orwell au rang de bisounours.

Thx @antoine_bdx pour l’info.

 

Comment des FAI américains injectent et remplacent des publicités dans les pages web contre la volonté des éditeurs des sites

net_neutrality_intro-via-journalduhackL’épisode SFR aura mis en évidence une pratique manifestement dangereuse de la part de certains fournisseurs d’accès. Il ne fallait pas sortir de l’EPITA pour se rendre compte que ce type de pratiques étaient une atteinte manifeste à la neutralité du Net. Pour vous en convaincre, nous allons voir ce qu’un fournisseurs d’accès Internet spécialisé dans les réseaux Wifi publics s’autorise par le même genre de procédé. Vous allez voir, c’est particulièrement sale et révoltant.

C’est Zachary Henckel, sur son blog, qui nous fait part de ses découvertes. Tout commence par la visite du site d’Apple où Zachary se retrouve avec une pub assez disgracieuse en bas de page, une publicité pour File Free Online, quelque chose qui n’a donc pas grand rapport avec la firme à la pomme. On imagine mal les web graphistes d’Apple placer de cette manière un bandeau en bas de page :

Screenshot par Zachary Henckel
Screenshot par Zachary Henckel

Ceci éveille donc assez naturellement son attention, il pense dans un premier temps que sa machine a été infectée par un adware. Mais très vite, après avoir testé sur la même machine depuis une autre connexion la même page, il se rend compte que c’est bien le fournisseur d’accès, CMA Communications, qui lui joue un tour.

Et la blague ne s’arrête pas là. En changeant de machine, Zachary Henkel se retrouve confronté au même problème. Exit la thèse du malware, et après vérification que ce ne pouvait pas être le routeur qui était infecté, il faut se rendre à l’évidence, il se passe bien quelque chose de louche sur le réseau wifi de CMA Communication… Examen du code source des pages… et paff :

Screen Shot 2013-03-29 at 3.36.27 PM

Cette petite ligne injecte un Javascript venant d’un serveur tiers qui n’a pas grande chose à voir avec apple.com ni avec les autres sites visités: node.r66t.com. Et on retrouve cette injection sur toutes les pages “défigurées” par ces publicités. Leur format et leur placement est un véritable hijacking, jugez plutôt du rendu sur le site du Huffington Post :

Huffington

CMA Communication injecte donc ses propres publicités dans les pages visitées par ses utilisateurs, et ce de la pire manière qui soit. Une manière pour lui de tirer un bénéfices des sites web visités par ses utilisateurs.

Techniquement, on est assez proche de ce que nous avons vu avec SFR . Sauf que SFR fait ça à des fins d’optimisation sur les réseaux mobiles. Avec CMA Communication, nous avons le parfait exemple des dérives possibles quand on met en place ce genre de dispositifs. Evidemment les utilisateurs ne sont pas les seuls lésés. Les éditeurs de sites (y compris ceux qui ne truffent pas leurs pages de publicités) se retrouve chez ce “FAI” avec leurs pages défigurées par des placements publicitaires disgracieux. Il y a là une captation de valeur indue de la part de CMA communication qui sort totalement de son rôle de fournisseur d’accès en délivrant systématiquement des messages altérés à ses utilisateurs… Une pratique inacceptable.

Questionné sur cette pratique CMA Communication a préféré conserver le silence ! Et malheureusement pour Zachary Henkel, aux USA seuls les éditeurs ont le moyen de se retourner contre CMA communication. Le parasitage que peut entrainer ce genre de pratique peut avoir des conséquences “surprenantes”. Imaginez vous sur le site Debian.org avec une belle publicité pour Windows 8…

La FCC s’est déclarée incompétente mais devant les protestations de Zachary Henkel, CMA Communication a modifié ses conditions générale d’utilisation pour y inclure cette pratique (Section 10), une section que Zachary Henkel trouve, à juste titre, terrifiante! Et oui, avant ils faisaient bien ça dans le dos des utilisateurs.

Ars Technica s’est fait l’écho de cette affaire.

Merci à @MCCob@internetthought et @fiberguy pour l’info.

 

Pourquoi Google devrait-il déréférencer la presse ?

google-80Suite à une discussion sur Twitter avec @pilooch, je me suis dit qu’il ne serait pas inutile de creuser quelques points relatifs à ce billet. Il faut bien comprendre que derrière “l’accord historique” entre Google et la presse française, il n’y a pas qu’une tournée de cacahuètes. Il y a surtout un dangereux précédent (un précédent qui n’a rien d’historique puisque le même accord a déjà été conclu en Belgique). Aujourd’hui, c’est toute la presse européenne qui demande sa part de gâteau, en version bien plus gourmande que la presse française et  en version bien plus dangereuse pour Internet.

☠ Google est accusé de capter la valeur

Quand on parle de captation de valeur ici, on parle principalement de revenus publicitaires. On ne peut en aucun cas parler de captation de valeur informative avec un simple titre et une poignée des premiers mots de l’article… pourtant la presse elle, n’hésite pas dénoncer ce qui reste de l’ordre de la citation et qui n’a jamais dérangé personne sur !Yahoo News comme sur n’importe quel autre agrégateur d’informations. Nous venons de voir dans le précédent billet que la captation de valeur est un argument particulièrement fallacieux. Google News n’affiche pas de pub mais on reproche à Google d’afficher des titres et les premiers mots de l’articles. Facebook en revanche reproduit régulièrement l’intégralité des articles ET de la pub… mais Facebook, lui on lui fiche la paix… pour combien de temp ? Alors que reste t-il à la presse pour légitimer ses jérémiades ?

☠ Google est accusé de violer les droits d’auteurs de la presse

Google n’aurait donc pas le droit de courte citation (une exception au droit d’auteur) pouvant profiter à n’importe qui au prétexte qui est trop américain ? Trop riche ? Trop fort techniquement ? Trop leader ?

Mais ce n’est pas le pire, en Allemagne, en Suisse et au Portugal, la presse menace d’instaurer un droit voisin au droit d’auteur pour faire payer à Google, chaque référencement d’article ! Une idée que certains en France, notamment les agences de presse, ont également. En clair :

  • Google devrait payer les sites de presse pour générer du trafic sur les sites de presse (heu… LOL)
  • Google devrait payer les sites de presse pour que ces derniers dégagent plus de revenus publicitaires de leur régie… Google ! (Re LOL)

Par delà la situation tragi-comique et risible que nous connaissons depuis 15 ans avec les gus du disque, il y a bien une relation schizophrénique entre la presse et Google. Google donne l’accès à l’information sur laquelle il se rémunère en publicité tout en rémunérant les clients de sa régie… Oui vous avez bien lu, les CLIENTS de sa régie. Si le client n’est pas content en droit commercial, il dénonce le contrat, il n’est plus client et hop voilà le tour est joué. Depuis quand le client aurait-il le loisir de racketter son fournisseur ?

Là nous sommes dans une situation inédite, où le client demande à son fournisseur de le payer pour pouvoir se rémunérer lui même. Je sais pas pour vous, mais en ce qui me concerne je trouve ça ahurissant.

☠ Google, ce n’est qu’un début

Quand une partie pense avoir gagné une manche, c’est souvent l’occasion de s’en prendre à d’autres. Nous parlions de !Yahoo News mais on pourrait citer Facebook, Twitter, Netvibes… de tout ce qui ressemble à un agrégateur d’information ou à un réseau social sur lequel on partage de l’information. Car si Google avec quelques cacahuètes a calmé la presse pour 3 ans, il y en a déjà, comme les agences de presse, qui souhaitent passer à l’étape suivante.

Et là il faut bien faire attention, que le législateur prenne bien la mesure des revendications des agences de presse et l’impact catastrophique que ceci pourrait avoir sur Internet.

Les agrégateurs d’informations, comme Google ou Yahoo News existeront toujours. Si ces derniers refusent de passer à la caisse, pas de problème, ils déréférenceront la presse qui au final ne touchera pas un rond et verra son trafic diminuer. Allez fantasmons et faisons le parallèle avec l’industrie de la galette en plastique. Des agrégateurs “warez” de news se monteront, ils seront offshore et ne paieront évidemment pas un rond à la presse qui finira par apprendre à se servir d’un robots.txt et d’un htaccess. Mais comme ça ne suffira pas à alimenter la perfusion, les grands portails de presse passeront derrière un PayWall. Terminé l’accès gratuit à l’information des “vieux acteurs syndiqués”, la presse se sera suicidée et déroulera le tapis rouge à des sites alternatifs d’information. L’information va donc devenir plus pointue, assez loin du remâchage de dépêche AFP dont nous continuerons tous à lire les gros titres sur Twitter ou Facebook, ou sur des sites étrangers francophones… ou pas.

☠ Déréférencer la presse : le moindre mal ?

Nous pourrions éviter une mercantilisation excessive de l’espace public d’échange qu’est Internet si Google mettait à execution ses menaces de déréférencement des sites de presse. Refuser de se plier à un nouveau droit voisin monté de toute pièce, soit disant, rien que pour Google, permettrait de s’assurer qu’aucun autre petit agrégateur, petit réseau social, ne sera un jour victime de la cupidité des uns au détriment du bien public Internet, c’est à dire nous tous, nos enfants et nos petits enfants.

La presse “professionnelle” (heureusement pas toute) commet une monumentale erreur qui consiste à s’auto persuader que ses contenus ont une valeur ajoutée irremplaçable. Sur Internet plus qu’ailleurs, nul n’est irremplaçable. La perspective de voir Google News se peupler de portails d’information alternatifs dont les analyses et les informations apporteraient 200 fois plus de valeur qu’un remix de dépêche AFP remixé 340 fois me réjouit.

Et pour que la presse française soit assurée de garder la main sur ses contenus, qu’on ne viole pas ses droits d’auteurs et droits voisins, je lui suggère de se déconnecter de mon réseau public d’échange, Internet, et d’envoyer ses articles par PDF DRMisé aux lecteurs de son choix. Depuis quand un acteur investi un espace public en venant imposer ses propres règles ? Google est ce qu’il est car il a toujours respecté les valeurs fondatrices d’Internet, au point de réussir à en faire son fonds de commerce. Tout ce que l’industrie du disque a raté, tout ce que la presse est en train de reproduire lamentablement.

Internet, c’est comme la France, tu l’aimes ou tu te casses. Tu te plies à ses règles, ou tu te casses, on ne te demande pas de réécrire les fondements qui ont permis au Net d’être ce qu’il est on te demande de les accepter. Si tu ne les accepte pas… tu te casses. C’est aussi simple que ça.

Le plus inquiétant là dedans, c’est de voir le gouvernement cautionner les jérémiades de la presse, comme le gouvernement Sarkozy cautionnait les pleurnicheries de l’industrie du disque pour accoucher … d’HADOPI… qui ne survivra évidemment pas à Internet il suffit de vous rebidonner un bon coup avec ça (projet prévu par la loi mais abandonné… comme prévu).

Tous les modèles que les gouvernements ont essayé d’imposer à Internet ont été un échec. La raison en est simple, on impose pas de modèle à Internet, c’est Internet le modèle… on l’aime, ou on se casse !

Google paye sa tournée de cacahuètes à la presse française

google-mysteryC’était l’information à la con de la semaine, j’hésitais un peu à en causer tellement c’est pitoyable. Google a finit par débloquer une enveloppe de 60 millions d’euros à la presse française. Un accord ridicule pour une problématique qui l’est tout autant mais qui épargnera un moment encore aux parlementaires des maux têtes. Quand on voit le niveau de compréhension d’Internet de certains d’entre eux, on se dit qu’au final, ce n’est probablement pas un mal. Je vais à tout hasard tenter de me lancer dans une explication un peu détaillée de ce à quoi nous échappons pour le moment.

☠ Why Google is evil

Google est connu comme étant LE moteur de recherche plébiscité par une immense majorité d’internautes. Mais il est aussi à l’origine de dizaines de services en ligne et de quelques produits qui rythment le quotidien de millions de gens à travers le monde. Google est également le plus gros aspirateur à données personnelles du monde. Ce qui a permis à Google de tant prospérer, c’est Internet. Et Internet, on ne le répètera jamais assez, vous allez voir que ce détail à son importance pour ce qui va suivre, c’est une machine à copier de l’information. Chaque mot que vous lisez actuellement se copie de routeurs en routeurs, de serveurs en serveurs, pour finir copié quelque part sur votre disque dur, à minima, dans un cache obscur.

Internet, en plus d’être une machine à copier des informations, est un réseau public. La notion de réseau public est quelque chose qui échappe pas mal à la presse.

Ce qui a fait le succès de Google, c’est qu’il a utilisé Internet en lui demandant de faire ce qu’il sait faire de mieux, copier des informations pour les rendre plus facilement accessibles, plus facilement copiables par d’autres. Google, à grand renfort d’algorithmes a ensuite hiérarchisé les informations qu’il avait copié.

Il faut bien comprendre ce que la presse reproche à Google, le comble du ridicule étant de stigmatiser Google qui affiche dans sesrésultats de recherche les titres des actualités, éventuellement une photo en illustration et les quelques mots du début de l’actualité. Les éditeurs de presse y voient un vol, un transfert manifeste de valeur et une atteinte au droit d’auteur. Une page de résultats de recherche affichant un titre et quelques mots, c’est insupportable à leurs yeux.

Google est aussi montré du doigt pour sa position hégémonique.

☠ L’erreur de la valeur

C’est quelque chose que je répète assez souvent, mais visiblement pas suffisamment. Internet étant une machine à copier, doublée d’un réseau public d’échange (sous-pesez bien ces mots avant de lire la suite), il faut comprendre que ce sont les internautes qui tolèrent les “commerçants” sur Internet, pas le contraire.

  • La valeur d’un réseau se définit très bien par la loi de Metcalfe qui énonce “L’utilité d’un réseau est proportionnelle au carré du nombre de ses utilisateurs“.
  • La valeur d’une information peut en toute logique se calculer en fonction du nombre de noeuds du réseau Internet sur lesquels elle aura été répliquée… copiée.

Nous venons de voir ensemble qu’une page de resultats de recherche Google contient le titre d’une information, quelques mots d’introduction et quand l’information apparait dans gooogle actu, la première affiche même une image. Ça ressemble à ceci :

google search

L’ordre sous lequel ces pages apparaissent, c’est la recette interne de Google, autre fois appelé pagerank, aujourd’hui Panda, il s’agit d’une suite d’algorithmes prenant en comptes de nombreux paramètres qui ont pour fonction de déterminer une pertinence d’affichage des résultats. Fréquentation, nombre de liens pointant vers la page ou le site en question, âge et fréquence des mises à jour du site (…)

Si ces algorithmes ne sont pas publics -et on comprendra pourquoi- ces derniers évoluent régulièrement et ont pour objectifs d’assurer une certaines “neutralité”… et non je sais un algo n’est jamais “neutre”. Mais au moins, la règle est la même pour tous.

La dernière grosse évolution, le passage à Panda, a été quelque chose de “dramatique” pour de nombreux sites marchands. Là où ils apparaissaient en première page sur certains mots clés, ils se sont vu relégués en 4e ou en 10e page sur les mêmes mots ou produits. Là on comprend bien la problématique de la valeur d’un référencement Google puisqu’elle impacte directement le portefeuille des commerçants. Google a sacrifié la rentabilité de certains au profit des internautes, pour leur offrir des résultats de recherche plus pertinents. Les marchands ont beau gueuler, on s’en fout, Google est chez lui, il fait ce qu’il veut, aux marchands de ne pas concentrer l’intégralité de leur CA sur ce moteur de recherche.

Commençons par une lapalissade : plus les actualités ou les pages de votre site apparaissent dans les premières positions, plus votre site a des chances d’être visité.

C’est là que nous abordons les arguments fallacieux des éditeurs de presse. Selon eux, et ça les agace particulièrement sur Google News… Il y aurait un “transfert de valeur”.  :

google news

Google News est un agrégateur de titres d’informations, il affiche un titre avec le lien vers la news, quelques photos, et toujours notre description. La différence avec Google Search la plus évidente, c’est les algorithmes qui accordent une importance plus grande à la fraicheur de l’information.

L’autre différence notable, et ça nous allons y revenir, c’est que tous les sites n’apparaissent pas dans Google News. Par exemple, si vous connaissez nos travaux sur Reflets à propos d’Amesys, vous vous dites que Reflets devrait très naturellement apparaitre dans Google News. Et bien non, ce n’est pas le cas. Reflets a beau être un média très lu, avoir le dossier le plus complet sur Amesys, être à l’origine des révélations sur la vente par cette société d’un système d’écoute global taillé sur mesure pour Kadhafi… Reflets n’apparait pas dans Google News. Il est en revanche en bonne position dans Google Search.

Voici pour Google News

Capture d’écran 2013-02-10 à 09.05.10

Et voici pour Google Search

amesys google search

Conclusion 1 : Google choisi lui même (sur quel critère ?) qui va apparaitre dans Google News. Et donc qui est éligible à une part de la cagnotte de 60 millions ?

Conclusion 2 : le transfert de valeur dont les éditeurs de presse parle, Reflets en est victime puisque Google ne daigne pas afficher les articles de Reflets dans Google News alors que la presse elle même se goinfre régulièrement de nos actualités ou de nos infographies sans même prendre soin de nous citer.

Question : Faut sucer qui pour apparaitre dans Google News ?

C’est cette même presse qui accuse donc Google, via ses pages de résultats de recherche de lui “voler de la valeur”. Et là… désolé mais je me marre car si la presse se sentait si lésée que ça, elle mettrait en place un robots.txt pour interdir les bots de Google qui indexent son contenu. La presse veut le beurre, l’argent du beurre, et le cul de la crémière. En d’autres termes, elle veut

  • Etre visible pour être visitée et donc générer des revenus publicitaires,
  • Etre rémunérée pour avoir mis sur un réseau public de partage une information accessible au public  (SIC!). En fait, c’est un peu comme si le gratuit Métro déposait des exemplaires de son gratuit dans les transports en commun et demandait à la SNCF ou la RATP de passer à la caisse !

Déjà, vu d’ici, ça sent le foutage de gueule…

Google est le site qui draine le plus de trafic, même si ceci est de moins en moins vrai et ça aussi nous allons y revenir pour que vous preniez conscience de l’hypocrisie de ces gens là.

Google n’est pas qu’un agrégateur d’information ou un moteur de recherche, il est aussi et surtout, c’est son fond de commerce, la plus grande régie publicitaire du monde. Et c’est à ce titre que nos amis de la presse d’en haut pourraient justifier d’un transfert de valeur. Car dans leur tête, les lecteurs sont tellement cons, qu’ils s’arrêtent à la lecture du titre et de la description affichée sur Google News. Faut dire que le lecteur il en a un peu raz la casquette de lire des dépêches AFP remixées… mais non, le coupable pour elle, c’est Google.

En “captant” les lecteurs dans ses résultats de recherche, la presse affirme donc que Google s’octroie des revenus publicitaires qui lui sont destinés… OH WAIT ! Il n’y a PAS DE PUB sur les pages de résultats de Google News !!

Capture d’écran 2013-02-10 à 10.00.42

Mais alors ? S’il n’y a pas de publicité sur les pages de Google News, comment peut-on affirmer que Google “vol” des revenus publicitaires à la presse alors que Google facilite l’accès aux dépèches AFP remixées de cette même presse pour qu’elle puisse se goinfrer avec sa régie publicitaire qui dans bien des cas est … Google. Et voilà la boucle bouclée.

Conclusion : Tranfert de valeur… MON CUL !

☠ Des cacahuètes pour calmer la presse française

L’affaire était tellement sérieuse que la présidence de la République elle même est intervenue pour négocier avec Google un sachet de cacahuètes (une enveloppe de 60 millions d’euros sur 3 ans), histoire de calmer la presse d’en haut. C’était ça ou une loi. Une loi Google… Une loi qui aurait été un naufrage parlementaire, une loi qui aurait porté un grave coup à Internet, cette machine à copier, ce réseau d’échange ouvert.

Car après Google Facebook, après Facebook, Twitter, puis comme le réseau social chinois QQ Zone ne paye pas, on aurait, pourquoi pas… décidé de bloquer les informations de la presse française sur la Chine… tant et si bien qu’Internet ne serait plus Internet mais un ensemble de réseaux locaux régis par des accords commerciaux entre réseaux sociaux friands de partage d’information et sites de presse. Le FFAP donne le ton, toujours en arguant d’un transfert de valeur (WTF?!), et vous verrez que ce n’est que le début… une bande de vautours décomplexés.

☠ Et si la presse rémunérait sa vraie source de valeur… comme Google le fait pour elle ?

Google n’est pas le seul à générer du trafic. Les internautes qui partagent des informations sur Facebook et sur Twitter … voilà l’origine première de la valeur des sites des presse aujourd’hui, car ce sont eux qui permettent à la presse d’accroitre le plus considérablement leurs revenus publicitaires. Est-ce pour autant que la presse va décider de reverser une partie de ses revenu publicitaires aux internautes qui partagent le plus leur information ? Ceci serait pourtant légitime…

L’enveloppe de 60 millions, c’est un moindre mal. C’est une fleur de Google, rien ne l’y obligeait, et si l’affaire était portée devant les tribunaux, je ne donne personnellement pas cher de la presse française. D’autres pays européens vont suivre et malheureusement, une loi c’est bien ce qui nous pend au nez. Et une loi, ce sera forcement une tragédie pour Internet.

Et quand loi il y aura, Google sera en véritable position de force, car il pourra, comme il l’avait fait en Belgique, déréférencer les sites de presse de Google News et peut peut-être référencer des sites comme Reflets.info qui ne lui demandent rien et qui ne passent pas leur temps à remixer des dépêches AFP.

Là où ça sera plus coton, ça va être pour des sites comme Facebook qui regorgent de pub. Oui sur Facebook, la presse a un coup à jouer, c’est même surprenant qu’elle s’en prenne à Google et non aux utilisateurs de Facebook ou de Twitter qui comme Google, contribuent à sa valeur… mais eux, avec de la pub, donc un pseudo transfert de valeur.