PROJET AUTOBLOG


Reflets

Site original : Reflets

⇐ retour index

SGCommunications : le guignol du mass mailing

mardi 1 juillet 2014 à 13:22

lolcat-spamAssez régulièrement, nous recevons, comme beaucoup d’entre vous, des spams de sociétés qui souhaitent nous vendre des fichiers d’adresses mails pour que nous spammions la planète.

Ce n’est pas la politique de la maison, ça ne nous intéresse pas, mais ce qui nous intéresse en revanche, ce sont les techniques permettant de constituer ces fichiers d’emails (et ils sont rarement légalement constitués), la manière dont ils sont protégés (on va y revenir), puis revendus. En clair : ce que l’on fait de vos données personnelles et combien vous coûtez aux yeux de ces personnes.

A cette dernière question, votre email est revendu pour 0,01 €. C’est à dire que pour cette somme, des entreprises s’approprient le droit de vous emmerder régulièrement, et des zozos du Net en tirent profit, de manière illégale, en vendant vos données personnelles à des casse bonbons interplanétaires.

SGCommunication est un cas d’école, de parfaits guignols, le « Numéro 1 de l’e-mailing de masse »

Capture d’écran 2014-07-01 à 12.37.24

Pas foutus de formater un mail correctement :

sgcommunicationsspam

Pas foutus de protéger leur fond de commerce : vos données personnelles sont en libre accès sur leur site qui revendique une « boutique »…

sgcomspam

Ceci est un petit message de l’équipe de Reflets.info à SGCommunications… On va faire un deal : tu nous vire tout de suite de tes bases de données de spammeurs du dimanche, tous les mails @reflets.info, ou on commence à analyser tes fichiers illégalement constitués et on prévient les concernés que tu refourgues tout aussi illégalement leurs données personnelles.

Car oui… tu vas avoir du mal à nous faire gober que ce genre de mails est récolté sur optin :

sgcomdummy

Likes(52)Dislikes(1)

FaceBook utilise la captology pour influencer ses moutons numériques

lundi 30 juin 2014 à 23:47

C’est une science qui a de l’avenir mais qui n’en est pas à ses prémices : l’influence de masse, ou des masses, au choix. De nombreuses expériences ont été menées aux USA, plus particulièrement, depuis les années 50, et ce sujet nous intéresse fortement à Reflets.

Le principe de départ est assez simple : si une majorité est convaincue de quelque chose, l’effet de groupe devient un levier qui emporte l’adhésion du plus grand nombre. L’objectif des « influenceurs » est donc de parvenir à envoyer des messages particuliers à un certain nombre d’individus, et de faire que ces messages deviennent importants, au point de pouvoir déclencher, par exemple, des réflexes d’achats, des comportements particuliers, des réactions collectives à des événements, etc…

bj_captology

Bien entendu, personne ne pense être sous l’influence de ces systèmes de manipulation fabriqués dans des laboratoires aux budgets colossaux. Non, tout un chacun pense être à même de ne pas gober ce que l’on voudrait lui faire penser ou croire. Oui, mais…

Facebook, pris la main dans le sac

Le principe de pouvoir changer le comportement des individus, les influencer grâce aux outils technologiques numériques est étudié très sérieusement, et officiellement, depuis le milieu des années 90. Cette science a un nom, la captology : Computers As Persuasive Technologies = CAPT. L’université de Stanford accueille ce labo de « persuasion technologique  » dirigé par Dr. BJ Fogg, un psychologue très emballé par ses « découvertes ». Ces gens là déclarent quand même pouvoir amener la paix mondiale dans les 30 années à venir, ce n’est pas rien. Il y a fort à dire à propos de la captology, comme des techniques diverses et variées de campagnes d’influences, opérations psy et autres fabrications de rumeurs ou créations de buzz à grands coups de bots dont nous vous avons déjà parlé sur Reflets. Mais l’expérience que Facebook a mené sur plus de  680 000 de ses utilisateurs est une perle qu’il ne faut surtout pas rater.

Voici le principe (source, résultat de l’étude : Experimental evidence of massive-scale emotional contagion through social networks) :

In an experiment with people who use Facebook, we test whether emotional contagion occurs outside of in-person interaction between individuals by reducing the amount of emotional content in the News Feed. When positive expressions were reduced, people produced fewer positive posts and more negative posts; when negative expressions were re- duced, the opposite pattern occurred. These results indicate that emotions expressed by others on Facebook influence our own emotions, constituting experimental evidence for massive-scale contagion via social networks. This work also suggests that, in contrast to prevailing assumptions, in-person interaction and non- verbal cues are not strictly necessary for emotional contagion, and that the observation of others’ positive experiences constitutes a positive experience for people.

Dans une expérience avec des gens qui utilisent Facebook, nous avons testé le fait que la contagion émotionnelle se produit en dehors de l’interaction personnelle entre les individus, en réduisant la quantité de contenu émotionnel dans le flux de news. Lorsque des expressions positives ont été réduites, les gens produisent moins de messages positifs et plus de messages négatifs; lorsque les expressions négatives ont été réduites, c’est le modèle inverse qui s’opère. Ces résultats indiquent que les émotions exprimées par d’autres sur Facebook influencent nos propres émotions, constituant la preuve expérimentale d’une contagion à échelle massive via les réseaux sociaux. Ce travail suggère également que, contrairement aux hypothèses actuelles, les interactions en personne ou des indices non-verbaux ne sont pas strictement nécessaires à la contagion émotionnelle, et que l’observation des expériences positives des autres constitue une expérience positive pour les gens.

Le Wall Street Journal se fait écho de cette petite expérience facebookienne de 2012, avec quelques réactions légèrement indignées, comme celle du blog Animalnewyork.com : « Ce que beaucoup d’entre nous craignent est déjà une réalité: Facebook nous utilise comme des rats de laboratoire, et pas seulement pour comprendre à quelles pubs nous allons répondre favorablement, mais en fait, pour changer nos émotions »

L’équipe « scientifique » de traitement de données de Facebook semble bien s’amuser avec les données des utilisateurs, en calculant par exemple combien de gens se sont déplacés au Brésil pour la Coupe du monde, ou encore déterminer les meilleurs endroits aux Etats-Unis à visiter.

Le monde réel et celui fabriqué par les écrans

Ce qui peut être réfléchi aujourd’hui est une chose assez importante, que de nombreux lecteurs dénoncent, tout en donnant l’impression de ne pas toujours relier les éléments entre eux ou les tenants et aboutissants qu’elle contient : les outils technologiques en place sont puissants, anti-démocratiques, ils préfigurent des sociétés totalitaires, équivalentes à celles décrites dans le « meilleur des mondes » ou « 1984″, c’est vrai. Mais le DPI ne permet pas de s’emparer des données des internautes pour une future incarcération de ceux qui auraient écrit des bullshit. Le DPI est une arme informationnelle. Et l’information est le moyen de contrôler le réel. La perception du réel. Vos données, les outils que vous utilisez sur Internet, comme les programmes que vous regardez à la télé, sont des armes. C’est en sachant ce que vous lisez, regardez, aimez, échangez, que l’on peut déterminer comment l’on peut vous amener à penser plutôt dans un sens ou plutôt dans l’autre. Ce que l’étude Facebook a parfaitement démontré.

Maintenant, au moment où chacun regarde des millionnaires en short marquer des buts, il se passe des choses dont plus grand monde ne vous parle. Mais surtout, ce sont des choses qui vous intéressait, vous indignait, il y a peu, par exemple l’année dernière, ou il y a deux ans, en Syrie. Ces choses existent pourtant toujours. Celle-ci par exemple, en Irak :

eiil-irak-execution_m

Mais quelle importance aujourd’hui ? Une fois les écrans publicitaires vendus au Brésil, ceux des cyclistes du Tour de France, puis quelques promotions sur les maillots deux-pièces, s’il est décidé que vous devez vous y intéresser, vous vous y intéresserez. Et vous vous indignerez, n’est-ce pas ? Nous, de toute manière, on va en parler. Pour continuer de tenter de comprendre le réel.

En attendant : bonne Coupe du monde à tous ceux qui « kiffent le foot et les bières sur canapé », aiment chanter la Marseillaise quand ça gagne, et font des « like » sur Facebook, hein…

(MàJ du 01/07/2014 à 15h25 : les excuses de Facebook) :

excuses-FB

Likes(61)Dislikes(3)

Avoir un septième sens ne protège pas contre l’ignorance du .htaccess

lundi 30 juin 2014 à 23:17

On ne sait plus si l’on doit rire ou pleurer en lisant les récents articles de Bluetouff parus sur Reflets… En 2014, il y a encore des gens qui ignorent à quoi sert un fichier .htaccess. L’agenceseptiemesens.fr a beau avoir un sixième et même un septième sens, cela ne la protège pas contre l’ignorance. La preuve par 6 (images) :

septiemesens

configdocs
pathtmp

Les bêtises de ce genre ne sont pas une spécialité de cette agence du septième sens. Chez Bygmalion cette fois :

jobsdete

aucoeurdelevallois

Comme disait Bluetouff, un jour, tout ça finira mal.

7efail

Ceci dit, toute intrusion sur ces sites est punie sévèrement par la loi. Vous risqueriez plusieurs années de prison. Ne soyez pas idiots.

Likes(45)Dislikes(0)

Bygmalion, Artkom, Septiemesens : indécrottable UMP… who’s next ?

lundi 30 juin 2014 à 20:50

pctechsupportcatSouvenez vous, c’était en novembre 2011, tout l’UMP était vent debout suite au piratage d’une base de données des parlementaires du groupe UMP. Nous avions abordé le sujet ici, puis et enfin nous avions expliqué dans le détail ce qui nous paraissait le plus choquant dans cette affaire de fuite de données personnelles touchant des personnalités publiques : c’est qu’un tel fichier ai pu être constitué. Les questions qu’on se posait alors étaient :

A ces deux questions, des pistes plus ou moins fantaisistes avaient été évoquées, dont celle d’un fichier constitué par les renseignements intérieurs. Nous avions vite balayé cette hypothèse car il nous semblait improbable que la DGSI constitue une base de données, au format SQL, accessible à tous vents. La thèse de l’exploitation d’une vulnérabilité dans une application destinée aux parlementaires de l’UMP, avancée par le député Tardy, nous avait alors semblé bien plus plausible. Un peu plus tard, le ou les auteurs présumés de l’intrusion (ou pas), confirmaient dans un communiqué sur Pastebin d’où émanait la fuite, pointant du doigt une société : Mes Conseils. Mais l’hébergeur, vers lequel tout le monde avait les yeux pointés est aujourd’hui fermé, ce qui est d’autant plus consternant qu’il n’est certainement pas le seul à être responsable de cette fuite de données, qui est tout autant imputable :

Un peu plus tard, en mars 2012, un autre incident de sécurité assez alarmant lui aussi, bien que prêtant moins à conséquences, enfonçait le clou sur le choix systématique de se tourner vers des agences de communication en lieu et place de professionnels du développement. C’est l’extranet des sénateurs UMP qui goutait à son tour et malgré lui aux joies de l’open data. Derrière cette jolie incongruité, c’est l’agence Artkom que l’on retrouvait. Les taquins noteront que l’agence ne semble pas avoir compris la leçon et continue à configurer ses machines avec les pieds.

Indécrottables…

Comme nous le découvrons une fois de plus en 2014, l’UMP n’a toujours pas compris que ce n’est pas chez le boucher qu’on achète son pain et s’obstine à s’adresser à des agences de communication. C’est donc trois ans plus tard, à la lumière des nouvelles informations sur les pratiques de l’UMP et de son prestataire Bygmalion que de nombreux confrères journalistes commencent à faire un lien entre la compromission de 2011 et les affaires de sur-facturation de l’UMP par l’agence de communication.

Pourquoi penser à Bygmalion ? Ok, c’est vrai, la sécurité, ce n’est pas leur point fort. Cependant, nous allons voir que leur prêter tous les maux de l’UMP n’est pas foncièrement des plus justes non plus.

Bygmalion ? Mauvaise pioche !

L’application à laquelle on a imputé la fuite se nommait Parlenet, et si on se réfère aux balises métas que l’on trouve encore dans le source HTML de la page conservée en mémoire par Webarchive, c’est la société Micro Age Services, aujourd’hui radiée, qui serait à l’origine de son développement. Voici le bout de code en question :

name="Keywords" content="Parlenet, Députés, Micro Age Services, Site pilote" />

Capture d’écran 2014-06-30 à 18.48.18

Cette page encore présente sur Webarchive nous renseigne sur un autre point capital, cette application date d’au moins 2008 puisque la capture de Webarchive fait état de la page d’authentification de l’application Parlenet, alors hébergée dans un répertoire du site Mes-Conseils.fr datant du 11 novembre 2008.

On retrouve le tandem Micros Ages Services / Mes Conseils par exemple sur le site web du député UMP de l’Aveyron Alain Marc (amis geeks, soyez indulgents, le site n’est pas de toute première fraicheur… ni du meilleur goût).

Micro Age Services était alors dirigée par Michel Lancel qui n’a à notre connaissance pas de lien connu avec Bygmalion. Du côté de Mes Conseils, même constat, les deux co-gérants, messieurs Boutin et Kowalsky n’ont à notre connaissance pas de rapport avec Bygmalion.

Conclusion : l’incident de sécurité de 2011 ayant conduit à cette fuite d’informations (qui comprenait par exemple les numéros de téléphones portables des parlementaires), n’a pas grand chose à voir avec Bygmalion.

Quand on vous dit indécrottables….

Regardons un instant non plus l’extranet mais le site web des sénateurs UMP. Si on le compare à l’extranet, on voit que la peinture a changé, que la solution logicielle de gestion des contenus a changé… mais ce qui n’a pas changé c’est la configuration emmental du serveur web, ou dans notre cas, sur un mutualisé, l’apprentissage douloureux du fichier .htaccess pour les nuls :

Capture d’écran 2014-06-30 à 19.36.07

Le site des sénateurs de l’UMP, hébergé (lui aussi) sur un mutualisé OVH est l’oeuvre de … l’agence de conseil en communication Septiemesens comme indiqué dans le pied de page du site web. Et ils font quoi Septiemesens ?

Capture d’écran 2014-06-30 à 19.37.54

Agences de comm’, un cybercrimel vous parle

Mon nouveau statut de pas journaliste cybercriminel qui a osé se maintenir dans un espace public à très envie de tirer quelques oreilles quand il tombe sur ce genre de choses, même si ça ne prête pas (tout de suite) à conséquences… soyez bien conscients que ça fini toujours mal ce genre de choses, il suffirait par exemple que quelqu’un glisse un document confidentiel dans ce répertoire, ou que le webmaster ne fasse un backup de sa base SQL dans un sous répertoire…. ça se termine toujours comme ça.

Tant que l’UMP s’évertuera à s’adresser à des agences de communication et gèrera ses projets n’importe comment, ça se passera toujours comme ça.

EDIT : Et comme prévu, Kitetoa vous démontre pourquoi et comment ça finit mal, nous y reviendrons probablement demain…

Likes(39)Dislikes(0)

Retrouver des clients de Bygmalion en quelques clics

dimanche 29 juin 2014 à 11:40

Capture d’écran 2014-06-29 à 10.48.21Je profite de l’occasion qui nous est offerte à Pas Sage en Seine de croiser quelques journalistes pour vous exposer une méthode très simple pour identifier et recenser des clients de Bygmalion, un sujet qui occupe pas mal la profession en ce moment. C’est très simple et redoutablement efficace… mode d’emploi.

Bygmalion et ses filiales Event et Cie et Ideepole sont principalement des agences de communication. En ce sens, elles assurent le suivi d’audience de leurs clients en utilisant un outil que nous connaissons tous, Google Analytics.

Un compte Google Analytics est lié à un compte Gmail, lui même lié à une identité qui peut être une personne physique ou morale (un mail générique dédié à une utilisation particulière dans une entreprise).

Le concept de Google Analytics est de placer dans le code source d’une page HTML un « tracker », c’est à dire un bout de code qui a le bon goût de contenir un identifiant. Cet identifiant apparait en clair dans le script à placer sur les pages à suivre sous forme :

UA-xxxxxxxx-xx

Si je regarde le code source de la page d’accueil d’un site de Bygmalion, comme http://franckriester.fr/dont nous avons déjà parlé, je vais trouver cet identifiant dans le code :

var _gaq = _gaq || [];
 _gaq.push(['_setAccount', 'UA-2445593-66']);
 _gaq.push(['_trackPageview']);

Et c’est en partant de cet identifiant :

UA-2445593-66

…que nous allons pouvoir retrouver d’autres réalisations de l’agence. Pour cela, nous allons tout simplement nous rendre sur un outil en ligne, Spyonweb pour trouver les autres sites.

le -66 de la fin de l’identifiant nous renseigne déjà sur quelque chose d’intéressant : 66 codes de tracking ont été générés à partir de ce compte Google Analytics…

Supprimons le -66 et entrons juste l’identifiant UA-2445593 dans Spyonweb

Capture d’écran 2014-06-29 à 10.20.47

Notre identifiant Analytics, trouvé sur le site du député Riester, nous permet de retrouver d’autres sites :

Bygmalion.net et .fr, la filiale Doxeo, le site de Jean François Copé, de Laurence Parisot, le site de Mathieu Darnaud … mais aussi notre fameux site Député-UMP à plus de 600 000 euros sur la seule année 2010, le site des Jeunes Actifs de l’UMP ou encore le très cynique… ladepensepublique.fr. Quand ces sites sont encore en ligne, on remarque que la page « crédit » a souvent disparue, mais comme nous venons de le démontrer, un seul tracker Google Analytics, lié à un compte Gmail, suffit parfaitement à nous renseigner.

En utilisant un autre outil, SameID, on retrouve même 61 sites web avec cet identifiant… et attention message subliminal, on retrouve par exemple http://www.aucoeurdelevallois.fr/.

Voici la liste de 61 sites web réalisés ou suivis par Bygmalion au format PDF :  (PS : les premières lettres des domaines sont supprimées car le service SameID est payant, mais on retrouve très facilement ces sites en les recherchant dans un moteur de recherche). Est-il possible de retrouver des perles dans cette liste ? Oui… probablement.

Capture d’écran 2014-06-29 à 10.39.57

Likes(107)Dislikes(3)