Autoblog de sebsauvage.net

Vous êtes en manque d'images pour illustrer vos articles ou décorer votre site web ? Il y a un site pour ça: Le moteur de recherche CreativeCommons vous permet de trouver facilement des images, musiques et vidéos que vous avez le droit de réutiliser.

Entrez un terme et cliquez sur le site de votre choix. Et voilà des millions d'images à votre disposition pour illustrer votre site web. N'oubliez pas de mentionner l'auteur, c'est un minimum. Pour mes articles, j'utilise principalement Flickr comme source.

Pour en savoir un peu plus sur les CreativeCommons, c'est par ici.

PS: Ah oui tant que j'y suis, si vous cherchez des graphismes, logos, décorations ou polices de caractères, le prolifique typographe Manfred Klein autorise sans restriction l'utilisation de ses illustrations et polices, que ce soit pour un site perso ou commercial. (Si vous gagnez de l'argent avec, il vous demande juste d'en reverser une partie à Médecins Sans Frontières.). Vous pouvez télécharger ses centaines de polices TrueType sur son ancien site (2001-2007) et sur le nouveau.

(Si vous avez du mal à manipuler et essayer les polices TrueType, le formidable freeware The Font Thing vous permettra de voir tout le contenu des polices de caractères et même les utiliser sans avoir à les installer dans Windows.)

Voici un échantillon du travail de Manfred Klein:

EDIT: Julien me signale aussi google.com/webfonts, 222 polices que vous pouvez soit utiliser directement dans vos pages, soit télécharger (au format TTF également).

(Cet article est technique.)

D'où viennent les spammeurs

J'ai fait une petite revue rapide de mes logs Project Honeypot pour voir par où passent les spammeurs. On trouve des choses intéressantes. En dehors des spammeurs de tous horizons (Ukraine, Russie, Chine, USA...) et des internautes français piratés (généralement en ADSL), on trouve également:

• Des noeuds de sortie TOR. Les spammeurs ne sont pas bêtes, ils utilisent TOR. Ce qui n'empêche pas PH des les repérer. Mais du coup ceux qui utilisent TOR ont de fortes chances de tomber sur la page de blocage en consultant mon site (qu'ils peuvent passer pour continuer à consulter mon site, fort heureusement).
• Des adresses IP de points d'accès GPRS et 3G: Les opérateurs attribuent la même adresse IP à leurs utilisateurs 3G/GPRS. Il suffit qu'une machine infectée utilise ce point 3G pour que l'adresse IP soit repérée par PH.

Par exemple, l'adresse IP 80.12.213.34 a visiblement balancé des spams en Russe. D'ailleurs elle n'a pas été repérée que chez PH: On la retrouve dans d'autres blacklists. En faisant un whois, on voit que cette adresse IP est un point d'accès GPRS de la Réunion appartenant à Orange ("GPRS-Orange-Reunion"). C'est confirmé par la grande variété de User-Agents (SonyEricssonK550i, SAGEM-myX5-2m, iPhone, Android...). D'autres fournisseurs d'accès tombent dans le même cas, comme SFR ("SFR GPRS NETWORK").

Un problème plus général: Les adresses IP partagées

En fait, ce problème peut se retrouver dans tous les cas où une adresse IP externe est partagée par de multiples machines (proxy public ou privé, réseau d'entreprise, etc.). Project Honeypot ne me permet malheureusement pas de distinguer les différentes machines. La page de blocage (qui vous demande de confirmer que vous êtes bien un humain) sera donc affichée pour tous les utilisateurs de ces adresses IP, même s'ils sont sous Linux, Android ou iOS. C'est dommage de leur imposer un lien à cliquer supplémentaire, mais je n'ai pas de moyen de les distinguer (Non le User-Agent n'est pas une solution: Il identifie un logiciel, non une machine. Et les spammeurs savent très bien mettre ce qu'ils veulent dedans. Ce n'est pas fiable.) (Bon un lien à cliquer ce n'est pas non plus la fin du monde.)

Un cas intéressant

Mais je suis tombé aussi sur un cas intéressant: 74.125.158.85

(Au passage, j'admire Project Honeypot qui a réussi à le choper alors que cette IP a posté un seul spam. Même SpamCom, SpamHaus et SORBS ne l'ont pas repéré.) Avez-vous remarqué les User-Agent utilisés. Curieux, non ? Voyons à qui appartient l'IP... vous ne devinez pas ?

Cette adresse IP appartient bien à Google. Que s'est-il passé ? A vue de nez, je dirais qu'un spammeur a utilisé l'AppEngine de Google pour développer une application qui envoie du spam. J'ignore si cette tendance va se développer, mais j'espère très sérieusement que Google fera des efforts pour éviter ça. En fait, vu le passé de Google en la matière, je suis plutôt pessimiste. Il y a de fortes chances que les spammeurs utilisent de plus en plus les fournisseurs de services "cloud" pour spammer. Ce qui n'est pas cool puisque ces mêmes adresses IP sont aussi celles des fournisseurs de service, hébergeurs et robots des moteurs de recherche (Amazon, Microsoft, OVH, Google et autres), ce qui va rendre le filtrage nettement plus difficile. (J'ai déjà eu dans mes logs des adresses IP de serveurs OVH identifiés comme spammeurs.)

Au passage, vous aurez remarqué les User-Agents de 74.125.158.85:

• Google Wireless Transcoder est le proxy Google qui reformatte les pages web pour les téléphones portables (vous tombez parfois dessus quand vous cliquez sur des résultats de recherche Google sur un smartphone).
• Google Web Preview, le robot chargé de faire les captures d'écran affichées dans les résultats de recherche Google.
• translate.google.com, le proxy de Google qui traduit les pages à la volée.

Ce qui est moche, c'est que la même adresse IP serve à la fois pour les robots de Google et pour l'AppEngine.

Ils passent sous le radar... mais pas celui de Project Honeypot

La plupart des systèmes de lutte contre le spam fonctionnent par seuils: Par exemple si une adresse IP émet une trop grande quantité de mails ou de commentaires, elle est considérée comme spammeur. Mais les spammeurs sont loin d'être idiots et font tout pour rester en dessous des seuils de détection:

• Ils émettent parfois moins de 5 spams à partir d'une même adresse IP.
• Ils attendent parfois plusieurs semaines avant de re-poster du spam à partir de la même adresse IP.

Sauf que PH les repère malgré tout grâce à son système de pages-piège. Ces pages ne sont ni visibles, ni utilisables par les internautes. Par contre du point de vue des robots spammeurs, elles ressemblent à des formulaires de soumission de commentaires. Du coup, un seul commentaire posté dans une de ces pages est forcément un spam envoyé par un robot. Cela permet à PH de repérer un spammeur même s'il envoie un seul spam.

PH utilise également d'autres méthodes, comme poster des adresses email-piège dans les pages (tout email reçu à cette adresse est donc forcément un spam), des liens "nofollow" (s'ils sont suivis, c'est forcément par de "mauvais" robots), etc. Le principe de page-piège fonctionne donc bien pour repérer ces spammeurs, même avec un faible trafic. PH repère ainsi beaucoup de spammeurs qui passent complètement sous le radar des autres systèmes (SpamCop, Spamhaus, SORBS, DNSBL et autres).

Je regrette juste de ne pas avoir de solution pour différencier les différentes machines utilisant la même adresse IP afin d'épargner la page d'alerte à une partie de mes lecteurs sans amoindrir la protection.

(Voir mes deux articles précédents: Project Honeypot : Une alternative à Akismet ? et Retour sur Project Honeypot)

Juste un petit hommage à Amy Winehouse.

En ce moment, Microsoft fait une mauvaise publicité pour GMail sous la forme d'une parodie. Leur argument ? GMail met le nez dans vos mails pour servir de la publicité ciblée. Et c'est vrai: Des logiciels chez Google analysent les mots-clés et servent de la publicité en conséquence.

Je ne suis pas là pour défendre Google, mais c'est oublier un peu vite le passé de Microsoft en la matière. On citera par exemple le contrat d'utilisation de Microsoft Money (que j'avais publié dans un billet de 2007):

« 4. ACCEPTATION DE LA COLLECTE D'INFORMATIONS POUR LES SERVICES INTERNET. Le logiciel contient des fonctionnalités qui permettent une connexion via Internet aux systèmes informatiques de Microsoft. Vous ne recevrez aucune notification distincte vous informant de cette connexion. Vous pouvez désactiver ces fonctionnalités ou ne pas les utiliser. Ces fonctionnalités envoient à Microsoft des informations qui peuvent inclurent, notamment, les numéros de compte, les transactions financières, les bénéficiaires, les plafonds de budget et les paramètres d'alerte. En utilisant ces fonctionnalités, vous consentez à ce que Microsoft collecte ces informations. Les comptes, le portefeuille, les échéances et le budget font partie de ces services Internet. Microsoft se réserve le droit d'interrompre ces services Internet à tout moment, sans notification. »

On oubliera pas non plus que Microsoft met son nez dans toutes les photos de Facebook, même privées.

La paille dans l’œil du voisin, la poutre, etc. Hein ?

Vous avez peut-être lu mon gros coup de gueule contre l'insanité de l'installation des logiciels sous Windows.

Les choses peuvent être nettement moins pénibles avec des installeurs multiples. Ces installeurs vous permettent, après sélection, d'installer en une seule fois de multiples applications.

• Plus besoin de chercher sur quels sites télécharger (avec le risque de tomber sur de faux sites, ou de vieilles versions de l'application).
• Plus besoin de parcourir 50 sites pour trouver la page de téléchargement de chaque application.
• Plus besoin de télécharger chaque logiciel.
• Plus besoin d'installer chaque logiciel, et de faire suivant-suivant-suivant... et plus de risque de rater le décochage des toolbars à la con.

Le bonheur.

En plus de simplifier le processus et faire gagner du temps, elles assurent également la mise à jour des logiciels. Cette dernière fonctionnalité peut paraître mineure, mais c'est une des clés de la bonne sécurisation d'un ordinateur.

J'ai laissé tomber Framapack. Malgré ses qualités, il ne propose ni Flash, ni Java. J'ai aussi laissé tomber AllMyApps qui - malgré son large choix d'application - oblige de s'inscrire et de se connecter pour créer son installeur (Raz-le-bol des sites où il faut s'inscrire pour télécharger des logiciels gratuits).

Mon préféré reste Ninite. C'est d'une simplicité enfantine: Cochez ce qui vous intéresse, cliquez sur "Get Installer", téléchargez le petit programme et lancez-le. Il s'occupe de tout. Bien sûr une connexion internet est nécessaire.

J'ai testé l'installation automatisée de logiciels de base: Firefox, VLC, Flash, Java, SumatraPDF, Avast et 7-Zip.

• L'installeur fait 254 ko.
• Ninite installe les applications avec par défaut les cases des toolbars décochées. C'est très cool.
• Pendant l'installation d'une application, Ninite continue à télécharger les suivantes. L'installation est donc optimisée au maximum. Cela permet de gagner du temps.
• Installation sans faille (vous ne voyez aucune fenêtre d'installation des divers logiciels et vous n'avez rien à cliquer).
• Bien que Ninite soit d'origine anglophone, il a bien installé les versions francophones des logiciels.
• Un redémarrage a juste été nécessaire pour que le scanner temps réel d'Avast se charge (c'est normal).
• Bien sûr, il a reste l'enregistrement d'Avast à faire (ce qui est normal également).
• Pour mettre à jour les applications, il suffit de relancer l'installeur.
• Ninite sélectionne automatiquement les versions 32 ou 64 bits.

Conclusion: Impeccable. Seul reproche (vraiment le seul): Un choix d'applications plus limité que AllMyApps (même si Ninite en possède près de 90, tout de même).

C'est aussi un moyen de fournir des logiciels à des amis qui n'y connaissent rien en informatique:

• L'installation est facilitée (un seul programme à lancer, c'est tout).
• Aucun risque de télécharger les logiciels sur les mauvais sites (ce qui est assez courant).
• Aucun risque d'oublier de décocher les toolbars à l'installation.

Il vous suffit d'envoyer un lien du genre http://ninite.com/firefox-flash-java. L'installeur se téléchargera immédiatement.

(Merci à Xavier d'avoir rappelé Ninite à ma mémoire.)

PS: Je tiens à préciser les raisons pour lesquelles je n'aime pas AllMyApps (ou du moins pourquoi ça ne convient pas à mon usage): En plus de nécessiter une inscription et une connexion, le site contient des popups modales insupportables et vous impose un exécutable de 6 Mo à télécharger avant d'installer quoi que ce soit. Au lancement, quand je clic sur les conditions générales, j'ai droit à un bel écran vide:

Je suis censé accepter des conditions dont je ne sais rien ? Conditions générales de vente ? Je ne suis pas en train d'acheter quelque chose. Cet exécutable lui-même re-télécharge encore un autre truc, et vous ajoute également le framework .Net 3.5 (super-léger). Une fois l'application installée, je dois encore entrer mon identifiant et mot de passe.

En fait, le temps d'installer AllMyApps+.Net 3.5 seuls, Ninite a déjà fini d'installer toutes les applications. Et AllMyApps s'installe au démarrage de l'ordinateur et vous bouffe 42 Mo de RAM. Donc, bof. Ceci étant dit, la taille du catalogue d'applications de AllMyApps est impressionnante.

J'ai l'impression que AllMyApps veut être le Steam des applications. Ce n'est pas ce que je recherche.

• Korben a finalement décidé de ré-ouvrir les commentaires, et prend une équipe de modérateurs. Je serais franchement surpris qu'il n'ait pas à jouer les arbitres. Bon courage !
  
  
• Un utilisateur de Steam se plaint que DirectX est réinstallé à chaque fois qu'il installe un nouveau jeu. Le support Steam lui explique: En fait, chaque jeu est compilé pour une version très précise de DirectX. Non seulement une version majeur spécifique (9, 10 ou 11), mais également un "build" spécifique (sous-version). Chaque jeu ne fonctionnera que si la version très précise de DirectX correspondante est installé. Résultats ? Des dizaines de versions de DirectX installées dans le même PC. Merci qui ? Merci Microsoft ! Je comprend qu'il faille de temps en temps casser la compatibilité binaire pour faire évoluer les choses, mais là ça tourne au grand n'importe quoi.
  
  
• Une chaîne de magasins de jeux vidéos norvégienne retire de la vente plusieurs titres suite à l'attentat (Call of Duty 4 : Modern Warfare, World of Warcraft, CoD : Black Ops et d'autres). C'est ridicule. Je hais le politiquement correct.
  
  
• Un nouveau FPS gratuit, ça vous dit ? Même s'il est coréen ? Born To Fire est gratuit. à tester...
  
  
• Encore un jeu gratuit: Mechwarrior 4 est désormais gratuit.
  
  
• Et encore un autre: Heroes of Newerth, un jeu de stratégie temps réel. (Merci Korben !)
  
  
• PayPal fournit au FBI 1000 adresses de personnes suspectées de faire partie des Anonymous. Là ils cherchent vraiment le bâton pour se faire batte. Il ne faudra pas venir pleurer quand les Anonymous viendront leur en mettre plein la tronche.
  
  
• Après les cookies, et les cookies Flash, une entreprise (KISSmetrics) semble avoir trouvé un moyen de traquer les internautes en utilisant le cache des navigateurs. Résultat ? Même en supprimant tous vos cookies et en mode "navigation privée", ils arrivent à tracer vos déplacement sur les différents sites. KISSmetrics est utilisé (entre autres) par Spotify et Hulu. Mieux: Les entreprises qui utilisent ce système obtiennent un identifiant unique de l'utilisateur, le même quels que soient les sites participants, ce qui leur permet potentiellement de négocier des informations privées (Par exemple entre un site de musique et un site de vente en ligne). La solution est simple: Configurez votre navigateur pour purger le cache à la fermeture. Problème réglé.
  
  
• Tuto4pc.com est considéré comme malveillant chez l'éditeur d'antivirus TrendMicro.
  
  
• Ah magnifique... l'accès aux prud'homme sera bientôt payant :-( Ça ne respecte même pas la convention européenne des Droits de L'homme qui prévoit un accès égale à la justice pour tous. Meh.
  
  
• GetSimple, un CMS qui semble simple et efficace, sans base de données. A voir également: PmWiki, un wiki simple et sans base de données.
  
  
• Woaoa. Adobe semble s'éloigner de son plugin propriétaire fermé qu'est Flash pour se tourner de plus en plus vers les standards tels que l'HTML5. Dernière preuve en date: Une version préliminaire d'Adobe Edge, un outils d'animation dont l'interface ressemble énormément à son éditeur Flash, mais qui est basé sur HTML5, CSS et Javascript. Cool.
  
  
• Paaaaaaardon ? Autodesk achète Instructables.com ? Le plus gros éditeur de logiciel de CAO achète un site communautaire de bricolage ? WTF ? Bon je m'en fout, de toute manière Instructables est devenu tout pourri.
  
  
• Oh tiens... le SDZ parle de moi et de mon projet Autoblog. Coucou, le SDZ ! :-D
  
  
• Un bon article sur la responsabilisation des hébergeurs. L'article fait un bon résumé de l'évolution en France, et cite notamment l'affaire Altern.org.
  
  
• Une machine de déminage télécommandée (via BoingBoing). Espérons que ça aidera à éradiquer ce fléau qui continue à estropier des enfants dans le monde entier. Pour avoir appris à faire du minage, déminage et manipulation d'explosifs à l'armée, je peux vous dire que vous ne voulez pas faire ce métier.
  
  
• J'aimerais sincèrement comprendre à quoi joue Google en ce moment avec ses certificats SSL: Ceux d'entre vous qui utilisent CertPatrol ont dû remarquer que Google les change pratiquement quotidiennement. WTF??? Si quelqu'un a une explication, je suis preneur.
  
  
• Attention, la France se lance dans de grandes manœuvres de cyber-défense: Création de cyber-commandos, création de cellules de crise, création d'un réseau d'alerte, mise en place d'un intranet interministériel de secours... Ah ben je vous l'avais dit, hein ? La cyber-guerre a commencé (Je sais... je vais encore être lourd avec cette phrase). (via sirchamallow)
  
  
• Après LOIC, les Anonymous sont en train de développer leur prochain outils de DDOS qui sortira en septembre: RefRef a réussi, à partir d'une seule machine attaquant pendant 17 minutes secondes, à écrouler le site pastebin.com pendant 42 minutes. Je vous laisse imaginer le bordel avec des centaines d'attaquants. Une nouvelle arme de destruction massive dans la cyber-guerre ? (Quoi, je suis lourd ?).
  
  
• Ah ben il était temps: Free va enfin publier le code source de sa Freebox.
  
  
• Facebook + Skype = Failles de sécurité critiques. Youpi ! Bon remarquez, il n'y a pas besoin de ça pour ruiner votre vie privée: Facebook s'en charge lui-même.
  
  
• Science: Le rat issu de vos cauchemars. Non seulement c'est un rat géant, mais sa fourrure est empoisonnée. Ce monstre mâche une plante toxique et lèche sa fourrure pour en imprégner le poison. Les scientifiques ont même remarqué que ses poils ont une structure unique en son genre prévue pour absorber les liquides. On ignore pourquoi le rat est insensible au poison, mais chez l'homme ça provoque des arrêts cardiaques.
  
  
• Une vidéo promotionnelle sur un moteur 3D circule, le but pour l'entreprise étant de lever un maximum de fonds. Mais le moteur 3D a de très sérieuses limitations qui le rendent inutilisable en l'état actuel pour les jeux. Voici l'avis de l'auteur de Minecraft sur le sujet. Donc pas de quoi sauter au plafond.
  
  
• goqr.me, un service en ligne pour générer des qrcodes (codes-barre bi-dimensionnels). Ils ont également une API. Google propose aussi ce genre de service.
  
  
• J'ai sans doute oublié de le mentionner, mais comme alternative à GMail, il y a Opera: https://mail.opera.com. C'est gratuit. Même s'il a nettement moins de fonctionnalités que GMail, leur webmail est simple, pratique, clair et rapide. Et j'ai relativement confiance en Opera.
  
  

Y'a des baffes qui se perdent.

Webmasters, vous avez de la merde dans les yeux.

« Je pense que l'anonymat sur Internet doit disparaître. Les gens se comportent beaucoup mieux lorsque leur véritable nom est visible. Je pense que les gens se cachent derrière l'anonymat et ont le sentiment de pouvoir dire ce qu'ils veulent derrière des portes closes ».

Le ton est donné chez Facebook. Ces paroles de facho sortent directement de la bouche de la directrice marketing de Facebook. Google va dans la même direction.

Ces multinationales ont un intérêt économique à l'éradication de l'anonymat, peu importe pour elles les conséquences que cela aura sur vous. Et elles vous marcheront sur la gueule pour arriver à leurs fins.

Alors je rappelle juste à cette connasse que des centaines de personnes meurent, disparaissent, sont emprisonnés ou torturées parce qu'elles n'ont pas protégé leur anonymat. On ne vit pas dans un monde de bisounours.

(Cet article est un peu technique.)

Fin juin j'ai commencé à participer à Project Honeypot. Concrètement:

• Ce que je donne: J'ai mis en place des pages-piège pour les robots ramasseur d'email.
• Ce que je reçois: J'utilise le projet pour protéger toutes mes pages php (wiki, blog...) des spammeurs.

Au niveau des pages-piège, j'ai la satisfaction d'avoir aidé à repérer des ramasseurs d'email:

Quant à la protection, cela a permis de bloquer directement un paquet de spammeurs de wiki (J'ai zéro spam dans mon wiki). Il faut savoir que ces spammeurs de wiki possèdent des scripts qui recherchent différents types de wikis et blogs avec Google (MediaWiki, DokuWiki, WordPress, DotClear, etc.) et postent automatiquement des commentaires. Project Honeypot les a immédiatement bloqués (ils n'ont même pas pu afficher la page du wiki). Voici un petit extrait de mes logs histoire de vous faire une idée:

2011-07-30 :: 03-24-24 :: BLOCKED 117.21.224.227 :: 5 :: 55 :: 1 :: /wiki/doku.php?id=minigal_nano_en :: Mozilla/5.0 (Windows NT 5.1; U; en) Opera 8.00
2011-07-30 :: 09-17-35 :: BLOCKED 109.230.245.232 :: 5 :: 58 :: 1 :: /wiki/doku.php?id=minigal_nano_en :: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; Win64; x64; SV1; .NET CLR 2.0.50727)
2011-07-30 :: 11-39-42 :: BLOCKED 117.21.224.227 :: 5 :: 55 :: 1 :: /wiki/doku.php?id=minigal_nano_en :: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322) NS8/0.9.6
2011-07-30 :: 20-43-33 :: BLOCKED 109.230.245.232 :: 5 :: 58 :: 1 :: /wiki/doku.php?id=minigal_nano_en :: Mozilla/2.0 (compatible; MSIE 3.02; Windows CE; 240x320)
2011-07-30 :: 22-15-14 :: BLOCKED 117.21.224.227 :: 5 :: 55 :: 1 :: /wiki/doku.php?id=minigal_nano_en :: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
2011-07-31 :: 07-19-29 :: BLOCKED 109.230.245.232 :: 5 :: 59 :: 1 :: /wiki/doku.php?id=minigal_nano_en :: Mozilla/0.91 Beta (Windows)
2011-07-31 :: 07-33-29 :: BLOCKED 41.211.164.54 :: 1 :: 24 :: 4 :: /wiki/doku.php?id=ccmfaq :: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.0; Trident/5.0)
2011-07-31 :: 08-52-54 :: BLOCKED 117.21.224.227 :: 5 :: 55 :: 1 :: /wiki/doku.php?id=minigal_nano_en :: Mozilla/4.76 [en] (Windows NT 5.0; U)
2011-07-31 :: 10-39-34 :: BLOCKED 66.79.184.159 :: 1 :: 27 :: 1 :: /wiki/doku.php?id=word_document_generation :: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; ru) Opera 8.50
2011-07-31 :: 13-15-53 :: BLOCKED 188.92.76.221 :: 5 :: 37 :: 1 :: /wiki/doku.php?id=minigal_nano_en :: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; XMPP Tiscali Communicator v.10.0.2; .NET CLR 2.0.50727)
2011-08-01 :: 03-51-14 :: BLOCKED 109.230.245.232 :: 5 :: 59 :: 1 :: /wiki/doku.php?id=minigal_nano_en :: Mozilla/4.0 (compatible; MSIE 6.0; Windows ME) Opera 7.11 [en]


Si on prend une ligne au hasard, par exemple 109.230.245.232:

• le "5" m'indique que l'adresse IP est identifiée comme un spammeur de commentaires.
• le "59" est le score d'activité (Plus le spammeur spamme, plus la note est élevée).
• "1" est le nombre de jour depuis sa dernière activité.

Je peux savoir ce qu'il a envoyé en regardant là. On voit clairement que cet imbécile envoie du spam pour faire la publicité d'un site qui vend des répliques bon marché de sacs de luxe:

On voit également que cette adresse IP a posté 10781 formulaires web. Il faut savoir que Project Honeypot est capable de repérer même les adresses IP n'ayant envoyé que 3 spams, par exemple:

C'est donc assez efficace.

Quid des faux positifs ? Des vrais internautes bloqués ? Mon petit script laisse une chance aux humains de continuer à naviguer sur mon site. Je les vois très bien dans mon log:

2011-07-27 :: 11-22-07 :: BLOCKED 80.12.213.34 :: 1 :: 32 :: 9 :: /wiki/doku.php :: Mozilla/5.0 (Windows NT 6.1; rv:2.0.1) Gecko/20100101 Firefox/4.0.1
2011-07-27 :: 11-24-38 :: UNBLCKD 80.12.213.34 :: /wiki/doku.php :: Mozilla/5.0 (Windows NT 6.1; rv:2.0.1) Gecko/20100101 Firefox/4.0.1
2011-07-27 :: 11-25-31 :: UNBLCKD 80.12.213.34 :: /wiki/doku.php?id=en_vrac :: Mozilla/5.0 (Windows NT 6.1; rv:2.0.1) Gecko/20100101 Firefox/4.0.1
2011-07-27 :: 11-25-39 :: UNBLCKD 80.12.213.34 :: /wiki/doku.php?id=jquery:jquery :: Mozilla/5.0 (Windows NT 6.1; rv:2.0.1) Gecko/20100101 Firefox/4.0.1
2011-07-27 :: 11-25-40 :: UNBLCKD 80.12.213.34 :: /wiki/doku.php?id=php:php :: Mozilla/5.0 (Windows NT 6.1; rv:2.0.1) Gecko/20100101 Firefox/4.0.1
2011-07-27 :: 11-26-38 :: UNBLCKD 80.12.213.34 :: /wiki/doku.php?id=php:vizhash_gd :: Mozilla/5.0 (Windows NT 6.1; rv:2.0.1) Gecko/20100101 Firefox/4.0.1


BLOCKED montre qu'il a été repéré et bloqué par Project Honeypot (C'est une IP française qui a envoyé 242 spams, principalement en langue Russe). Le "UNBLCKD" montre qu'un humain a cliqué sur mon lien "Je suis bien un humain" et a continué à naviguer sur mon site. Donc malgré la protection, les vrais internautes ne sont jamais bloqués: Ils ont toujours la possibilité de naviguer.

Pourquoi ces adresses IP sont-elles bloqués ? Il ne s'agit pas de faux positifs (j'ai pu le vérifier sur le site de Project Honeypot - Ah ! Gros avantage par rapport à Akismet). En fait, ces internautes ont leur PC infecté à leur insu par un cheval de Troie et crachent du spam ou envoient des commentaires de spam sur les blogs et wikis. Leur adresse IP est immédiatement repérée par Project Honeypot.

...

OOhhhhh.... Je viens à l'instant de réaliser qu'en fait, avec Project Honeypot, j'ai le moyen de signaler aux internautes qui consultent mon site que leur PC est infecté (à l'image de ce que Google a récemment mis en place). Il faudra absolument que je mette ça en place un de ces jours (un bon gros bandeau bien visible en haut de chaque page). Hé... sérieusement, c'est cool comme idée, non ? Bien mieux qu'Akismet, vraiment.

Je suis donc très satisfait du système:

• J'ai contribué à repérer des spammeurs.
• Le système me protège très efficacement contre les spammeurs.
• Aucun vrai humain n'est bloqué.
• Contrairement à Akismet, aucune action n'est nécessaire de ma part pour débloquer les "vrais" internautes.
• Et j'ai la possibilité de signaler aux internautes qu'ils sont infectés.

C'est encore mieux que je le pensais. Je laisse le système installé, et je l'étendrai à toute application php mise en place (J'ai une seule ligne de php à insérer, c'est facile). Que du bon.

EDIT: Voilà, c'est en place sur mon blog et mon wiki. Tout internaute marqué comme "suspect" ou "spammeur" chez Project Honeypot verra cet avertissement en haut de page (qui ne l'empêchera pas de continuer à se balader sur le site):

Si vous voyez ce message, vous pouvez aller sur cette page et entrer votre adresse IP pour voir les raisons de l'alerte.

Oui je sais, c'est hideux et ça pique les yeux. Le but est que les débutants qui sont infectés ne puissent pas rater le message.

PS: Pour ceux que cela intéresse, le source est disponible là. Il affiche automatiquement le message en anglais/français selon la langue du navigateur. Je me suis basé sur ce script. Pardonnez le code, c'est rapidement bricolé.

EDIT 2 août 2011: J'ai modifié un peu le code: La bannière ne s'affichera en haut de chaque page que si le dernier spam date de moins de 8 jours. Et ça pique un peu moins les yeux :-D

• Les 29 entreprises qui ont plus d'argent que le gouvernement américain. Ça fait peur.
  
  
• Haha... les SEO commencent à monnayer les recommandations "Google+1". Autrement dit: Vous pouvez payer des entreprises pour être mieux classé dans les résultats Google grâce au bouton "+1".
  
  
• Un réseau social Coréen piraté: 35 millions (!!!) de comptes compromis. Maintenant imaginez la même merde avec Facebook: 700 millions de comptes dans la nature ?
  
  
• Je ne suis pas le seul à ne pas être intéressé plus que ça par Twitter.
  
  
• Blog'Ose'Faire m'a interviewé.
  
  
• Quand on lit cette citation de Goering et qu'on regarde le comportement de certains états dits "démocratiques", ça fait un choc.
  
  
• Un bon article de MangeTaMain sur l'élitisme. « Fier d’avoir appris des trucs cools par moment, on a tous joué l’élitisme un jour ou l’autre. Et bien, c’était nul. » Il a TOTALEMENT raison ! J'ai été aussi coupable de ça. Mais il faut grandir et apprendre à partager.
  
  
• Quelques nouvelles images et vidéos du futur jeu "From Dust" du mythique Eric Chahi, auteur du non-moins mythique jeu Another World (1991). Son problème ? Les attentes de ses fans sont tellement élevées qu'il a de fortes chances de les décevoir, quelle que soit la qualité du jeu final. C'est pas forcément bon d'être adulé.
  
  
• Ça tourne mal au Japon: En plus des problèmes de santé, le gouvernement censure à tour de bras: Une loi a été promulguée interdisant de relater de mauvaises nouvelles. La liberté d'expression en prend un coup.
  
  
• Un article sur JR, un artiste français qui parcours le monde et essaie de rapprocher les gens avec l'art. Ne manquez pas son intervention chez TED Talks, elle est magnifique (le sous-titrage en français est disponible). Oui, ça méritait bien une standing ovation. Il a même monté un site web pour aider tout le monde à appliquer sa méthode.
  
  
• Technique: Un internaute suggère d'utiliser les logs de son serveur ssh comme honeypot du pauvre. Franchement, je préfère encore largement le sécuriser. Il y a deux choses simples à faire pour améliorer de manière drastique la sécurité d'un serveur ssh:
  
  1. Ne jamais le faire tourner sur le port standard (22). Déjà, rien qu'avec ça, vous éliminez 99% des tentatives de piratage.
  2. Installez fail2ban: Bannissement automatique d'une IP au niveau d'iptables suite à plusieurs échecs de connexion. C'est radical. (La config par défaut de fail2ban protège automatiquement OpenSSHd, mais vous pouvez aussi l'étendre à votre serveur FTP, serveur web et applications diverses.)
  
  
• Malekal fait un petit topo sur la détection des logiciels "indésirables" (barre publicitaires, adware intrusifs, etc). Ces logiciels sont considérés comme "indésirables", mais non "malveillants". Pourtant il peut être utile de les bloquer, mais beaucoup d'antivirus ont cette option désactivée par défaut. Par exemple, voici comment procéder pour dans Avast pour activer l'option. Ceci dit, Avast ne détecte pas des choses comme Tuto4PC. Pour cela, complétez avec MalwareByte.
  
  
• Une clé USB de 256 Go, ça fait rêver... jusqu'au moment où on voit le prix (via Petaramesh).
  
  
• Vrac Dwarf Fortress:
  
  • Il existe un pack pour les débutants, contenant le jeu, un lanceur, des packs graphiques et des utilitaires.
  • Des centaines de nains à gérer ? Il y a une appli pour ça (elle est incluse dans le pack précédent).
  • Je n'avais pas fait gaffe, mais il y a même un subreddit rien que pour DF.
  • DF Map Archive, un site pour partager des forteresses DF déjà construites. On peut même les consulter en ligne avec une applet Flash. Il y a également des "films" de jeu qu'on peut voir.
  • Boatmurdered est une initiative amusante: Chaque joueur joue une année (dans le jeu), puis passe le monde DF à un autre joueur qui continue la partie. Chaque joueur raconte ce qu'il a vécu. Reddit a également mis en place plusieurs mondes de ce genre (RedditBloodline). Vous pouvez même vous inscrire dans la file d'attente d'un monde.
  • Des vidéos pour apprendre le jeu. EDIT: Mizur me signale la chaîne de Giann qui a des vidéos en français montrant et expliquant le jeu.
  
  
• Vrac du vrac: Il y en a qui se tapent de bons trips. ◆ Cette artiste redonne ses lettres de noblesse au GIF animé. ◆ Les signaux des militaires (américains, en tous cas). ◆ Oh Woao... les oiseaux aussi savent pêcher avec des appats ! ◆ StarWars + Maths = Fun.
  
  

EDIT: Nicolas me rappelle à l'ordre. J'aurais dû parler du "Humble Indie Bundle", un pack de jeux indie que vous payez la somme de votre choix, dont une partie ira en prime à des œuvres de charité. La promotion dure encore 11 jours.