Christine ne trouve pas ça drôle

L’actu en patate du jour de Martin Vidberg est juste énorme :

De la startup à la soupe politico-financière

[Avant toute chose, je préfère l'annoncer directement, même si je m'efforce de le rester, je ne pense pas être totalement subjectif vis-à-vis de Dailymotion, pour des raisons qui on trait à mon passé professionnel ...]

Le buzz du moment, c’est évidemment le clash NKM / Dailymotion qui à coup de lettres ouvertes et de communiqués s’opposent su fond de la loi HADOPI, j’y reviendrais pas, beaucoup d’autre le font.

J’aimerais pour ma part revenir sur la position de Dailymotion depuis quelques années … qui devient le politicien parfait.

Acte I : La langue de bois

Dailymotion et le piratage, autant le dire tout de suite, c’est une histoire d’amour cachée ; un peu comme un flambant beau-gosse qui serait tombé amoureux d’une fille laide et impopulaire. C’est logique, qui dit films piratés, dit audience, dit donc revenus pour une société qui peine à générer des bénéfices miettes par rapport à ce qu’elle a couté à ses investisseurs.

Ma vision de l’anti-piratage pour une plateforme de partage vidéo me semble n’avoir qu’un débouché pérenne : le partenariat avec l’ayant droit. Mais qui dit partenariat, dit partage des revenus publicitaires ! Un bon vieil épisode de série piraté c’est facile des (centaines de) milliers de vues que l’on monetise sans partage.

Dailymotion n’est pas une association 1901 qui se bat pour libérer Internet, c’est une grosse société qui se bat pour rentabiliser ses tours de tables avec votre passion pour Dexter !

Mais une société de cette taille ne peut se permettre de ne pas communiquer sur un tel sujet. Communiquer, c’est d’ailleurs tout ce que fait Dailymotion sur ce sujet … Et l’argument qui fait mouche, c’est « On a un partenariat avec l’INA« .

Je me souviens encore avec émotion du MIPCOM 2007 ou ce partenariat à été communiqué. J’étais alors sur un stand ou je présentais ma solution de détection de contenus piratés : MotionRights (pas taper). Nous avons eu la visite de l’équipe de Dailymotion avec à sa tête Didier Rappaport, hautain (comme toujours). Je n’étais pas présent malheureusement (les affaires, c’est les affaires), je sais juste qu’il à insulté notre employé, lui expliquant que ce que l’on faisait nuisait à l’internet et n’était pas honnête. Ponctué par un « Qu’ils aille se faire enc… ». Classe.

Deux ans plus tard, la musique est la même.

Pour information ; Signature, la solution de l’INA adoptée par Dailymotion ; c’est une solution basée sur le fingerprint. Dailymotion est responsable de la mise en oeuvre de la solution sans aucun contrôle. Mis à part le fait que Signature ne marche pas vraiment (testé détail par votre serviteur), je pense que lorsque l’on se décide à critiquer HADOPI et son application qui ne nécessite pas de Juge (et je suis d’accord), on applique à soi-même ses convictions.

Acte II : La censure

Qui dit plateforme d’échange de vidéo dit ouverture d’esprit. Ouverture d’esprit ne veut pas dire tout laisser diffuser, non. Censurer des vidéos racistes, trop violentes, pédophile est un devoir, Dailymotion est irréprochable sur ce point.

Cependant, depuis longtemps, on voit croître un nombre impressionnant de médias dénonçant la censure comme Le Post, Expressions.be, etc. A date, la requête « Dailymotion censure » sur Google donne 172 000 résultats, pas de fumée sans feu ? Je le pense.

Et évidemment, quand on lève des milions d’euros, et surtout quand le peu de rentabilité qu’on a (quand on en a) vient d’annonceurs, on doit être « politiquement correcte ». Le terme « politiquement correct » d’ailleurs prend toute sa splendeur, très souvent les vidéos censurées concernent des politiciens (entartrés, pris en flagrant délits, etc.)

Et bien sûr, à chaque fois, on a le droit aux violons du « non ce n’est pas de la censure » (voir Acte I), suivi de quelques lignes d’auto congratulation sur une plateforme vidéo qui est le symbole même du Web Libre.

Acte III : Le lobbying

Mon homonyme (sans aucun lien) Thierry Crouzet pense que le net est le 5ème pouvoir. C’était le cas pour Dailymotion au début. Benjamin Bejbaum avait des **** et inventait un concept audacieux, Olivier Poitrey avec des techniques bien foutues codait des encodeurs Formule 1, Rappaport sortait son sourire de vendeur d’aspirateur et recyclait les anciennes API du site chez TF1 pour faire un peu de cash.

Les investisseurs sont arrivés et ont mis Bejbaum au placard, Poitrey devant ses baies de frontaux et envoyé Rappaport raconter au journalistes comment il a tout créé. Les enarques ou diplômés d’autres grandes écoles sont arrivés de leur cabinets ministeriels.

Dailymotion et le pouvoir, c’est une longue histoire d’amour. Le meilleur exemple fut le jeu de chaise musicale de 2007 : Séverin Naudet, vice-président de DM quitte la société pour rejoindre le cabinet de François Fillon, un habitué des hautes sphères puisqu’il était conseiller de Renaud Donnedieu de Vabres (ministre de la Culture). Il laissera sa place à Martin Rogard, chef du pôle multimédia au Ministère de la Culture et fils de Pascal Rogard, LE chef de file du loby du cinéma, directeur de la SACD et tête pensante de la HADOPI.

Plus dernièrement on monte d’un cran. Dailymotion par un biais que l’on ne connaitra jamais (vacances en Corse, renvois d’ascenceurs ou cours particuliers pour lui expliquer ce que c’est, finalement, ce Web2.0) Dailymotion s’est offert un commercial au top, Fréderic Lefebvre :

Il vend bien, non ? Allez soyez sympa, allez-y sur le Dailymotion Kids, il est payé à la commission et personne n’y va

D’ailleurs, Dailymotion Kids, quand on y pense, c’est juste THE exemple que Dailymotion a perdu son ame, ce n’est ni UGC ni participatif, ni rien du tout en fait. C’est un encart publicitaire avec du Dora dedans. Il faut bien vendre des corn flakes aussi …

Conclusion

Bien entendu, cet article est un peu cinglant. Dailymotion, ça reste quand même un exemple de réussite à la française et quand je repense à l’époque ou j’ai visité leur bureaux de 20 m² sous les toits dans le quartier latin c’est quand même une très belle réussite.

Mais quand on lit un courier pareil que l’on croirait écrit par un membre de la quadrature du net, alors qu’il est écrit par un financier de la meme veine que ceux des majors, fils d’une tête pensante d’HADOPI et ayant fait plus de mal à  un grand média du net que le fera HADOPI, je ne peux m’empécher d’exprimer ma nausée.

Benjamin, reviens !!

Protégez votre code !

Une des failles les plus connues, les plus utilisées et les plus simples à utiliser quand on parle de sites Web, c’est évidemment les injections SQL. Même Kaskpersky, le grand nom de la sécurité informatique y passe.

Les requêtes préparées sont, de loin, la méthode la plus fiable et la plus performante pour se protéger.

Je vais essayer dans cet article de vous expliquer pourquoi et surtout comment les utiliser avec PDO (qui rappelons le va devenir le SGBD par défaut de PHP6, les fonctions mysql_*, désuettes,  seront recalées au fin fond d’une extension PECL).

Une injection SQL, comment ça marche ?

Le fonctionnement des applications PHP / MySQL (ou autres) depuis des lustres est basé sur un principe simple : L’utilisateur envoi une requête, cette requête est interprétée, une requête SQL en découle et le résultat est mis en forme ou enregistré en base de données.

Pour ce faire, le développeur génère des requêtes SQL en utilisant les données envoyées par l’internaute comme paramètres, par exemple :

mysql_query('UPDATE `users` SET `name`="' . $_POST['name'] . '" WHERE `id_user`=' . $user_id);

Problème : L’internaute envoie ce qu’il veut, et la requête effectuée sur la base de donnée peut être dangereuse. Par exemple, dans l’exemple précédent, si l’internaute envoie

« ; DELETE from users; –

vous allez envoyer comme requête à votre serveur SQL :

UPDATE `users` SET `name`=""; DELETE from users; --" WHERE `id_user`= 5

Soit : Efface tous les noms de ma table puis vide là. Problématique …

L’échappement comme solution miracle …

Face à ce problème évident de sécurité, les développeurs ont souvent le reflexe d’utiliser mysql_escape_string(), ou mieux, mysql_real_escape_string(). Ces deux fonctions de PHP ont pour but de protéger les champs envoyés par les internautes contre ces injections SQL en échappant (en ajoutant un backslash ou ) devant les caractères NULL, x00 (null), n (saut de ligne), r (retour chariot), , ‘, «  et x1a (control).

Pour l’exemple précédent, cela donnera :

mysql_query('UPDATE `users` SET `name`="' . mysql_real_escape_string($_POST['name']) . '" WHERE `id_user`=' . mysql_real_escape_string($user_id));

soit la requête :

UPDATE `users` SET `name`=""; DELETE from users; --" WHERE `id_user`= 5

Youpi nous voila protégé ! L’article est fini ? Non.

… ou pas !

mysql_real_escape_string() n’est pas totalement sécurisé

Et oui, on nous ment, on nous spolie ! Bon, la on passe au niveau barbu du hacking (les enfants, passez au point suivant, ne refaites pas cela chez vous).

mysql_real_escape_string() se base sur le jeu de caractère de la connexion active (SET NAMES) et si celui-ci n’est pas actif, elle utilise le jeu de caractère par défaut. Il est alors facile d’utiliser la magie de « chr(0xbf) . chr(0x27)" pour insérer l'injection fatale.Cependant, cela ne marche que pour des jeu de caractères comme GBK ou Big5, donc il est probable qu’un SET NAMES soit présent.

Vous n’avez pas compris ? Pas grave, retenez juste que malgré ce que dit le complot universel, mysql_real_escape_string() n’est pas infaillible !

Alors pourquoi ne pas encoder la chaîne ?

Effectivement, si l’on utilise htmlentities() qui convertit chaque caractère qui peut l’être en entité HTML (&quelquechose), ou base64_encode(), etc. il semble que l’on sera protégés ?

Oui et non, déjà non, on ne sera pas COMPLÈTEMENT protégé, pour les même raisons que le point précédent. Et puis vous allez vous compliquer la vie lorsque vous souhaiterez rechercher du texte (oui, rechercher des entités HTML c’ets pas sexy).

Et puis surtout, ce n’est pas optimisé !

Un des goulot d’étranglement d’une application web ou d’un site, c’est souvent la base de donnée ; alors en plus y rajouter des traitement, recherche et modifications permanents de chaîne, c’est du suicide et du massacre de cycle de processeur !

Puis vinrent les requêtes préparées !

Les requêtes préparées, ou prepared queries, c’est la bonne réponse, pour la simple et bonne raison : Ce n’est pas un patch mais une refonte de la reflexion !

Posons nous une seconde sur le problème, la source de la faille repose sur le fait qu’un serveur SQL quel qu’il soit se base sur un concept : PHP se connecte, lui donne une requête (un ordre) qu’il execute sans broncher.Le script lui prend une donnée qui n’est pas contrôlée par le développeur et la place au milieu de l’ordre donnée.

Il n’y a donc qu’une solution : Séparer ce que l’on contrôle, l’ordre, de ce que l’on ne controle pas, les arguments.

Le principe de la requête préparée, c’est ça. On dit au serveur SQL :

Tu vas modifier le champs name par une certaine valeur la table users quand le champs id sera d’un autre certaine valeur

Puis, on lui précise

La première valeur c’est $_POST['name'], et la seconde c’est 5

La première partie fera l’objet d’un analyse du serveur SQL, la seconde ne le sera pas. Voila, on est protégé, on est optmisé la messe est dite

Donc, comment ça marche ?

Qui dit requête préparée en PHP, dit PDO (ou Zend Framework qui vous simplifie la vie, voila il est placé).

Plutôt qu’un long discours, voici un exemple qui insere et lit des données, pour aller plus loin, je vous laisse lire la doc.

/**
 * Création d'un objet PDO
 */
$object = new PDO('mysql:host=localhost;dbname=myDatabase', 'user', 'pass');
/**
 * On énonce une requête préparée
 */
$statement = $object->prepare("SELECT * FROM `user` WHERE `name`=? OR `firstname`=?");
/**
 * On éxécute l'énoncé avec une paire d'argument
 */
$statement->execute(array($_POST['name'], $_POST['firstname']));
/**
 * On récupère le résultat
 */
$result = $statement->fetchRow();
/**
 * On énonce une requête préparée d'insertion
 */
$statement = $object->prepare("INSERT INTO `users` (`name`, `firstname`, `email`) VALUES (?, ?, ?)");
/**
 * On éxécute l'énoncé pour 4 valeurs différentes
 */
$statement->execute(array('doe', 'john', 'john.doe@gmail.com'));
$statement->execute(array('gates', 'bill', 'bill@microsoft.com'));
$statement->execute(array('jobs', 'steve', 'sjobs@apple.com'));
$statement->execute(array('"; DELETE from users; --', 'blah', 'bleh'));

D’autres intérêts ?

Utiliser des requêtes préparées en PDO ne vous apportera pas que la sécurisation de vos requêtes.

Déjà, utiliser PDO vous apportera une vraie conception objet de la gestion de la base de données (mais encore plus avec Zend Framework ) mais j’y reviendrais avec un billet sur MVC.

Mais en plus, si vous regardez bien l’exemple, j’ai fait 4 requêtes avec une énoncé, donc concretement, votre serveur SQL n’a analysé qu’une fois votre requête et vous n’avez fait aucune analyse des paramètres.

Je vous laisse méditer sur l’optimisation obtenue

Pascal Negre n'aime pas ce logiciel

Comme beaucoup, vous vous sentez l’ame d’un pirate de haut niveau en cherchant des MP3 avec la bonne vieille astuce Google du intitle:index.of ?

Le vrai priate barbu, lui, il a un logiciel qui le fait tout seul : clickster.

Par contre, attention ! Ce logiciel est nominé pour le logiciel le plus moche de l’année

Profitez en avant HADOPI

Myspace, ça rame, c’est moche et ça pique les yeux. Enfin c’est mon avis

En tout cas vous pouvez télécharger tous les MP3 de Myspace facilement grâce à ça.

Vous entrez l’url d’une page Myspace, et hop, c’est prêt !

Resistance !

En soutien à l’initiative Blackout le design du blog sera noir cette semaine (même si c’est très moche).

Je vous invite à en faire de même (avatars, blogs, etc.)

Bonne semaine !