Pourquoi mettre SPIP à jour ?

Je ne parle pas ici de changer de version pour avoir les dernières nouveautés/évolutions, mais les mises à jour que l'on peut qualifier de "mise à jour de sécurité".
Plusieurs failles de sécurité ont été repérées récemment dans SPIP, et ont été corrigées dans les nouvelles versions 1.9.X.o, 2.0.Xet 2.1.X La plupart des failles concernent des possibilités d'injection XSS.
Source. Les mises à jour sont donc immportantes car parfois, SPIP, comme tout logiciel, présente des failles de sécurité. Pour en être informé, il faut suivre le site Spip-blog.net et mieux s'abonner
au Fil RSS, pour être sûr d'être informer en temps et en heure.

La mise à jour est simple, c'est du copier-coller via ftp, ça ne prend pas longtemps et ça évite que son site se fasse hacker.

Pour les plugins, je vous invite à lire l'article Mise à jour automatique des plugins sur SPIP-ContribUne nouvelle lame du Couteau Suisse permet de visualiser les plugins nécessitant une mise à jour, tout comme SPIP lui-même !

Comment connaitre la version d'un site...

Le plus simple c'est via Spip en lui-même quand on peut se connecter dessus. Mais pour quelqu'un d'extérieur, il est très simple de connaitre la version d'un site SPIP, des plugins qu'il a.
Avec des sites comme http://web-sniffer.net/, http://urlespion.co/
et autre, on a récolte des informatios du type :

SPIP 2.1.11 @ www.spip.net + images(1.0.1), msie_compat(1.0), porte_plume(1.X.X), safehtml(1.X.X), vertebres(X.0), cfg(1.XX.2), gravatar(1.X.0), forum(0.1), itwx_2_X_X_classic(2.3.7), nospam(0.X.X), notation(0.X.X), spip_bonux(2.2.XX), agenda(2.2.1), contact(0.XX), compresseur(1.X.X),

pas forcément à jour (mon site est en version 2.1.13 au moment de la rédaction de cet article), mais bien utile pour quelqu'un qui voudrait sonder un site...

Et on sait donc si le site est vulnérable (ou non). D'où l'importance des mises à jour.

Dans la suite de mon article sur L'effet Streisand et les sites miroirs, je voudrais vous parler du plugin migration permet de recopier facilement d'un site SPIP source vers un site SPIP destination. Le but premier est comme son nom l'indique de migrer son site vers un autre hébergement, mais il est très facile de ne pas effacer le site de départ et on a donc une copie de son site, un miroir.

Ce site tournant sous SPIP, la mise en place de ce plugin est une idée que je garde dans un coin. Mais si ça peut servir à quelqu'un...Et je rappelle que l'on peut aussi regarder du côté de la méthode autoblog de Sebastien Sauvage, qui est plus généraliste car se basant sur les fils RSS.

Pour ne pas me répéter sur les sites miroirs, je vous invite à lire ou relire mon article L'effet Streisand et les sites miroirs ainsi que celui sur L'Effet Flamby. Deux bonnes bases pour comprendre l'importence des sites miroirs.

Lors du salon Geekopolis en mai 2014, j'étais sur le stand "Village du libre", stand de promotions de différentes associations du monde du logiciel libre (April, Parinux...), afin d'y promouvoir les Cafés vie privée et sensibiliser les visiteurs du salon qui passaient devant le stand aux problématiques que nous y abordons. (C'est d'ailleurs à cette occasion qu'ont été faite ces affiches ).

Luc Fievet, de L'April, a effectué un interview de deux des animateurs des Cafés Vie Privée et cette interview a été mise à disposition sur audio.april.org. Une retranscription texte de l'enregistrement est également disponible à l'adresse suivante : Interview d'Aeris et Genma, animateurs des cafés vie privée lors du salon Geekopolis

Également connus sous le nom de Chiffrofête ou de Cryptoparty, les cafés vie privée (https://café-vie-privée.fr/) sont des événements visant à initier tout type de public aux méthodes et outils permettant de sécuriser leurs données et d'améliorer le contrôle de leur vie privée. Ils présentent en 8 minutes les enjeux de la vie privée et leurs interventions dans le cadre des Cafés Vie Privée.

A lire également :
mon interview à l'occasion de ma co-animation de la conférence « Chiffrement et anonymat, reprenez le contrôle de votre vie privée » à l'EPITA
Café vie privée, chiffrofêtes, cryptoparties
Comment je suis devenu un animateur de Café vie privée ?
Compte-rendu du Café Vie privée
Et le site https://café-vie-privée.fr/

En voyant dans les transports en commun, un jeune homme écrire dans un carnet ce qui semblait être un journal de bord, il m'est venu l'idée de rédiger ce billet. Son carnet, c'est son jardin secret, il ne pourra le partager qu'avec peu de personnes, une à la fois, celle qui tiendra son carnet dans les mains.
Moi, j'ai un rapport différent avec mes écrits et j'ai définitivement abandonné l'écriture sur papier (mis à part des todo-listes griffonnées sur des post-it que je jette). Trop contraignante. Avec l'électronique, j'ai des possibilités que le papier n'offrira jamais : à savoir le copier- coller, la réplication à l'infini et surtout la diffusion par Internet. Tout ce que j'écris, c'est sur le web. Sur ce blog, sur les réseaux sociaux, dans des forums. Ce sont des écrits pour partager, diffuser, des pensées, des réflexions, des sentiments, des états d'âmes. Avec l'électronique, quand je rédige un billet, je peux écrire dans le désordre, effacer, corriger, reprendre, réorganiser… Je n'ai pas de contrainte. L'imprimerie a apporté une véritable révolution. L'ère de l'Internet en est une nouvelle. Mon ordinateur est chez moi mais je diffuse du contenu dans le monde entier. Reste la barrière de la langue et il faut être francophone pour comprendre mes écrits.
Je suis fasciné par les lisseuses. Avoir un confort digne d'un livre, le format d'un livre (l'épaisseur et le poids en moins), avec les caractéristiques d'un livre, à savoir pas de publicités, de vidéos et autres (je ne veux pas une page web, je veux une page d'un livre, sinon, je prendrais un ordinateur). Tous ces livres dans un si petit volume. Ce qui me retient est l'aspect électronique et l'obsolescence programmée, la nécessité d'avoir des formats ouverts... Et ça n'a pas le charme du papier. L'électronique n'aura jamais l'odeur des vieux livres, que l'on peut avoir dans une librairie ou chez un bouquiniste.
Je continue à acheter des livres, tout comme j'achète des coffrets de DVD/blu-ray collector. Il me reste encore un rapport à l'objet papier. Car un livre papier, je peux faire dédicacer l'objet et profiter de cette séance de dédicace pour rencontrer l'auteur, le saluer pour la qualité de son travail. Par exemple, je ne me vois pas lire une bande-dessinée à l'écran. Et pourtant l'ordinateur n'aura pas été étranger à la conception de cette bandes-dessinée. Bien au contraire. La colorisation par ordinateur permet de faire des choses superbes. Et très souvent utilisée pour qu'on est ensuite des bandes-dessinées, des livres... imprimés. Ce qui me fait penser que chez moi, j'ai une aquarelle faîte par une amie. Une œuvre unique, faîte main, avec les traces de goutte d'eau sur la toile, c'est si beau, si vrai. Je pourrais la scanner, ça n'aurait pas le même rendu, la même prise à la lumière sur un écran. Il manquerait le grain du papier, les nuances de couleur, dépendantes de la qualité de mon écran sur lequel je regarde l'image...
Autre domaine où l'électronique remplace le papier, c'est dans la dématérialisation des documents. De plus en plus de services (eau, gaz, téléphone) proposent une facture électronique et c'est tant mieux. Les services en question gèrent le stockage et l'archivage de ces factures, moi je me contente de les payer en contrepartie du service rendu (fourniture d'électricité, d'eau, de téléphonie). L'entreprise fait des économies sur les envois (coût de l'impression et coût de l'envoi), mais il en faut pas que le particulier ait tendance à imprimer sa facture pour l'avoir au format papier (et non uniquement au format électronique), car on perd alors tout l'intérêt écologique de la dématérialisation du document. Ces documents-là, le format papier ne m'apporte pas de grande valeur ajoutée.
L'électronique devient de plus en plus présente, mais le papier a encore quelques beaux jours devant lui. Tout dépend des usages, des besoins, de ce que l'on fait. Et tant qu'il y aura des carnets, on pourra y coucher des notes, des croquis, comme le faisait ce jeune homme...

Wikipedia, bien que soumis à un certain nombre de règles de validation et de contrôle, est éditable par tout à chacun. Il est possible de le faire de façon anonyme ou sous un compte que l'on aura créée, les pseudonymes étant accepté. Toute édition est soigneusement tracée.

Il est donc tout à fait possible d'exploiter cette traçabilité pour retrouver un certains nombres d'informations... intéressantes.

Sur la page de Discussion Wikipédia:Vérificateur d'adresses IP, on a quelques exemples et le type de recherches/la forme des liens qui permettent ces recherches.

Recherche par pseudonyme

Un lien comme
ttps ://fr.wikipedia.org/w/index.php ?limit=50&tagfilter=&title=Sp%C3%A9cial%3AContributions&contribs=user&target=genma&namespace=&tagfilter=&year=2014&month=-1 vous donnez toutes les modifications effectuées par le compte "Genma" depuis le début.

Comme on peut le voir, il n'y a pas beaucoup de modifications, elles sont toutes de moi (c'est mon compte) et je en suis pas un grand contributeur Wikipedia.

Recherche par adresse IP

Autre type de recherche, toujours par le même type d'interface, une recherche par adresse IP (que l'on aura récupérer dans le suivi des modifications d'une page particulière). https://fr.wikipedia.org/wiki/Sp%C3%A9cial:Contributions/XX.XX.XX.XX

La réponse donnera toutes les éditions effectuées depuis l'adresse IP XX.XX.XX.XX avec éventuellement les différents pseudonymes utilisés...

Les conséquences

Cela rejoint un futur article à venir sur le doxing (en attendant vous pouvez lire le billet d'Edge, Stratégies anti-doxxing) et est un des paramètres à prendre dans le cadre de son Modèle de menace.

Si une même personne édite Wikipedia avec un compte sous pseudonyme et un compte nominatif, avec la même adresse IP, on peut faire le lien de façon assez simple. Si c'est un grand contributeur, on peut avoir toute une liste de ses centres d'intérêts/du type de connaissances qu'elle est susceptible d'avoir de part les thèmes des pages sur lesquelles il y a eu des contributions/modifications...

J'ai testé avec les pseudonymes de quelques personnes dont je connais les centres d'intérêts et cela m'a conforté dans le fait que l'on apprend des choses, effectivement...

Et ce ne sont là des données accessibles par des utilisateurs extérieurs. Les administrateurs de Wikipedia (ou tout organisme ayant accès à la base de données de Wikipedia) doivent avoir accès des informations plus poussées et plus facilement le lien IP/Pseudonyme/Contributions...

Il faut donc y penser AVANT de modifier Wikipedia. Et intégrer ça dans son modèle de menace.