M.L vs Indymedia from Paris c’est le KO technique au troisième round. IMP se prend les pieds dans sa propre bêtise suite à un aveuglement consécutif à son orgueil.

UN PEU DE TECHNIQUE DE BASE

D’ordinaire quand on s’occupe d’un site on prend bien soin de protéger son interface d’administration, au minimum avec le moyen qui est fourni avec le logiciel, en l’occurrence il s’agit de SPIP. Si on veut être plus sûr, on rajoute un système de chiffres générés aléatoirement et affichés sous forme d’images à recopier dans un champ de formulaire et à rentrer en même temps que le login et le mot de passe (c’est le principe de php nuke, entre autres). On prend aussi soin de choisir un mot de passe alpha numérique pour plus de sécurité. Dans l’absolu, rajouter en plus un .htaccess et un .htpasswd ne peut pas faire de mal. En tous cas, il faut faire au moins un des deux.

RECAPITULATIF

Jusqu’à la fin de la semaine dernière, il était possible à

N’IMPORTE QUI

de rentrer dans l’interface de modération d’IMP et de consulter les adresses IP des posteurs. Au moment où j’écris ces lignes, suite à un premier coup de gueule, il n’est plus possible de consulter directement les IP mais toujours de renter dans la zone privée, ce qui signifie : « bienvenue aux hackers, débutants acceptés ». Pour être plus précis, auparavant pour consulter les IP dans cette zone, il suffisait de laisser son pointeur de souris une ou deux secondes sur l’icône du posteur (loggé ou non) pour que son IP s’affiche ou bien de regarder dans le code source pour ramasser toutes les IP en bloc.

En admettant que ce genre de problème qui ne devrait jamais se produire n’ait duré que cinq minutes, c’est amplement suffisant pour capturer une bonne dizaine de pages et récolter un maximum d’IP. Là où le bât blesse, c’est que pour le sûr, ça fait plus de trois semaines que c’est comme ça, car ça fait depuis le 30/11/2004 que j’ai découvert ça. Ce qui m’a permis au passage de voir les gros ciseaux de certains modérateurs et de comprendre beaucoup de choses sur la politique de modération d’IMP – le mot politique n’est pas choisi par hasard.

LE BETISIER 2004

Et le grand prix de la bêtise 2004 est décerné à… roulement de tambour… Indymedia from Paris qui laisse son interface de modération en accès public !!! On applaudit bien fort SVP !

J’espère qu’au moment où vous testerez le lien la faille aura été enfin corrigée. Auparavant, pour rentrer dans l’interface de modération d’IMP il suffisait juste à

N’IMPORTE QUI

de rentrer le lien suivant dans son navigateur :

et de remplacer les xxxxx par le numéro d’article voulu. C’est tout. Ni plus, ni moins. Comme dirait quelqu’un que je connais qui se reconnaîtra, hacker un site dans ces conditions ce serait comme voler des bonbons à un enfant. Je précise au passage que je n’ai jamais touché à rien, je me suis juste contenté de regarder. Auprès tout, c’était public, pourquoi m’en serais-je privé ?

PROBLÉME DES IP PUBLIQUES

Alors oui, les IP ont bien été accessibles à

N’IMPORTE QUI

pendant un temps très important que le collectif d’IMP se fera un plaisir de préciser à ses utilisateurs. Alors oui, sur le dernier coup, IMP ne donne pas les IP à la police, mais d’un autre coté elles sont disponibles pour tout le monde par le bais d’une simple URL. J’ai découvert ce truc tout à fait par hasard, mais vu comme je l’ai découvert, c’est quasiment certain que les RG en ont connaissance aussi car c’est leur truc que d’essayer d’obtenir ce genre d’info. Les militants militent et la police milice, chacun son job. Je suis d’accord pour dire que les RG ont sûrement des moyens, mais de là à laisser les portes grandes ouvertes, excusez-moi du peu. Il y en a qui ont dû bien garnir leurs fichiers. Je suis sûr qu’il y en a d’autres qui connaissaient ce truc, voir dans les archives de la liste publique les problèmes qu’évoquent les modérateurs à propos d’un mystérieux modérateur fantôme. Alors à la limite, que les RG puissent avoir mon IP, je me doute bien qu’ils l’ont depuis longtemps, c’est juste que je n’ai pas envie d’être suivi à la trace quand je poste sous mon pseudo en dehors de chez moi. Par contre, que ma machine puisse subir les attaques du premier petit facho venu avec qui j’ai bataillé ferme sur IMP, là c’est autre chose, ça n’est pas normal qu’IMP ne puisse même pas garantir ce strict minimum. Je conseille à tous ceux qui ont eu des problèmes de ce type suite à des posts sur ce site de demander une nouvelle IP à leur fournisseur d’accès. Pour prendre un autre exemple, en admettant que dans un élan de résistance des temps modernes je décide de brûler un panneau publicitaire et de poster les photos de cette action sur IMP, je n’ai pas spécialement envie d’être réveillé à six heures du matin par les forces du désordre. Un minimum d’anonymat s’impose, tel qu’il a été pendant un bon moment, ce site était un vrai piège pour tout militant qui agit et informe. A la base, une information précise concernant le niveau de confidentialité que pouvait offrir le site n’était pas du luxe pour informer et donc protéger les militants qui ne connaissent pas tous les rouages d’internet.

Ce qui est étonnant, c’est que dans la dernière affaire en date entre IMP et les pandores, c’est que la police fait une demande pour qu’on lui donne l’IP d’un contributeur. Le collectif répond par un timide « on ne peut pas », d’un autre coté on peut consulter les IP sur un livre ouvert dans toutes les archives du site et la police ne se remanifeste plus depuis ce moment alors qu’elle proteste d’avoir été insultée publiquement sur IMP. Il y a des précédents. Dans tout ce genre d’affaire, quand la police demande, il n’y a pas de « on ne peut pas » qui tiennent. C’est plutôt la méthode indy Nantes qu’ils appliquent, coupure du site et saisi du disque dur jusqu’à ce que l’IP du ou des fauteurs de trouble soit trouvée. La théorie qui peut se poser alors, c’est qu’ils n’ont aucun intérêt à fermer un site qui leur facilite à ce point le travail. C’est une théorie, certes, mais elle a au moins le mérite d’en valoir bien d’autres et vu que tout le monde va y aller de sa supputation personnelle, je prends les devants, ça fera déjà un commentaire en moins. Mais attention, je ne mets pas en cause une collaboration entre IMP et les pandores. Je mets en cause un laxisme excessif consécutif à des egos surdimensionnés qui n’ont pas grand-chose à faire dans le monde du libre.

REVENONS A NOS MOUTONS

Collectif gérant indymedia from Paris, maintenant relisez-vous depuis le début. Relisez-vous sur la liste publique, relisez-vous dans les commentaires. Il y a vraiment de quoi se marrer.
Si du début vous aviez eu une attitude moins hautaine, moins orgueilleuse, moins insultante… ça ferait un moment que ce problème serait réglé sans faire de vague. Quand vous jouez aux cons comme vous l’avez fait, quand un modérateur se permet de lancer des insultes comme il l’a fait, il ne faut pas s’attendre par la suite à ce que l’on soit sympathique avec vous. Si vous aimez les moutons, sachez que je n’en suis pas un, loin de là.

Je n’ai pas de conseil à vous donner, mais dans ce genre de cas, des excuses envers vos utilisateurs s’imposent. Un peu de politesse et de modestie ne peuvent pas faire de mal. Quant au reste on va finir de régler ça vite fait bien fait sur la liste publique.

En ce qui concerne votre grand prix de la bêtise avec mention spéciale du jury vous pourrez venir le retirer en main propre lors du forum social mondial 2006, si toutefois vous êtes invités. Ne vous en déplaise, je ne suis pas content d’avoir découvert que mon IP est restée publique pendant des lustres. C’est mon droit, respectez le. L’erreur est humaine, on ne peut rien y faire. Par contre, l’orgueil, le mépris des autres… c’est des choses qui peuvent se corriger. Si vous aviez acceptés un apport de compétences extérieures quand il vous en a été proposé à de nombreuses reprises, ce type d’accident lamentable qui peut se montrer lourd de conséquences pour certains utilisateurs ne serait pas arrivé. Et tant que vous y êtes, passez aussi un scanner d’exploits sur votre site, c’est un vrai gruyère. Il y a eu assez de dégâts comme ça.

The end