Entrez vos identifiants

x
OU
Vous avez oublié votre mot de passe ?
Utilisateur wiki : vous n'aviez pas d'email ?

Korben - Site d'actualité geek et tech

Go Top

Edito du 18/05/2015

Salut les copains,

Je suis bien rentré de San Francisco et ça m'a fait un bien fou de décrocher quelques jours. J'ai fait tous les trucs pour touristes et vu pas mal de gens là bas, tous aussi sympathiques les uns que les autres. Si j'ai le temps, je ferai un petit article sur mon voyage ;-)

Et maintenant c'est l'heure de se remettre au turbin, et j'avoue c'est sportif :-)

Les galères s'enchainent, les planches pourrissent et tout s'embourbe. Mais comme d'hab, j'y arriverai, car je suis une vraie tête de pioche :-) En attendant que les ondes positives reviennent, je profite du jardin, je regarde mes fruits et mes légumes pousser et j'enchaine tellement les barbecues que j'ai l'impression d'être moi-même un jambon fumé. Et surtout, je monte de nouveaux projets avec les copains...

Bref, c'est lundi ! Tenez bon, le week-end arrive vite !K.Ps: Bonne nouvelle, d'après Orange (source non-officielle), j'aurai la fibre (si tout va bien) à la fin de l'année. Je croise les doigts !

Power Drive 2000 – Télécharger la demo

Power Drive 2000 – Télécharger la demo

Si je vous dis que Power Drive 2000 est  un nouveau jeu de course kickstarté par des cousins canadiens, vous me dites : bof la news !

Mais si je vous dis : jeu de course rétro futuriste dont le pitch est de contrôler une voiture qui parle "à la K2000" avec un design très 80's, époque où l’année 2000 est encore vue comme promise de fantasmes les plus fous, vous me dites : pourquoi pas !

Power drive 2000 est une sorte d'Outrun dont l’esthétique générale se rapproche beaucoup de "Far Cry 3 : Blood Dragon" avec ses néons saturés à gogo et musiques électros has-been-rétro-cool !

Le jeu promet  6 modes et 25 bandes-son différentes réalisées par des artistes.

2094b21700923b1397f76a0eed508cb7_original

À savoir que ce projet est kickstarté encore 5 petits jours et afin de le financer, il manque quelques kilos de lichens nécessaires à la survie de nos amis caribous. Vu que ces mecs ont l'air d’être cool, ils ont même mis à dispo une petite démo du 1er circuit disponible actuellement, uniquement sous Windows.

Par contre, je vous préviens tout de suite, c'est une pré-alpha donc attendez-vous à des bugs et collisions à volonté. N'allez pas pleurer après dans les jupons de maman, vous êtes prévenus !

À noter que le jeu final est prévu sous Windows, OSX, Linux et PS4.

Source

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

Taking the plunge

Taking the plunge

Réalisé par Thaddaeus Andreades, Marie Raoult, Nicholas Manfredi, et Elizabeth Ku-Herrero, Taking the Plunge raconte l'histoire d'un homme qui n'hésite pas à se mettre à l'eau pour faire sa demande en mariage.

Ce court métrage est un petit chef d’œuvre d'animation que je vous invite à regarder.

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

Predator – Dark ages

Predator – Dark ages

Il y a bien longtemps, au temps des croisades, la Terre servait déjà de terrain de chasse aux Predators... C'est sur cette idée qu'est parti James Bushe pour réaliser ce film de fan très surprenant et bien gore. Si vous aimez l'univers de Predator, ça va vous plaire.

Avec en vedettes, Adrian Bouchet, Amed Hashimi, Sabine Crossen, Ben loyd-Holmes, Jon Campling, Joe Egan et Philip Lane.

Vous trouverez plus d'infos sur le film ici.

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

Mettez le holà à Hola

Mettez le holà à Hola

Vous vous souvenez de Hola, le VPN gratuit ?

Son fonctionnement, bien que connu depuis le début, n'est pas forcement du goût de tout le monde. En effet, Hola utilise les connexions de ses utilisateurs comme des points de sortie pour son service. Un peu à la manière de TOR, sauf qu'ici, l'utilisateur n'est pas *vraiment* informé (ils entretiennent un genre de flou artistique sur le côté P2P du service) et il n'y a aucun moyen de régler la consommation de bande passante ou d'empêcher de servir de noeud de sortie. En utilisant Hola, vous utilisez l'IP d'autres utilisateurs de Hola et inversement.

Bon, ça, ce n’est quand même pas un secret, et c'est à chacun d'accepter ou non les règles du jeu.

Mais en parallèle, Hola a aussi lancé un autre service payant baptisé Luminati à destination des entreprises et qui utilise les machines des utilisateurs du VPN gratuit comme autant de nœuds de sortie. Cela peut être gênant, car ce service, vendu sous la forme d'une API peut être utilisé pour à peu près tout et n'importe quoi, y compris lancer des attaques DDoS... Facile puisque toutes les connexions sont agrégés pour obtenir au total, beaucoup de bande passante.

hola

L'administrateur du forum 8Chan en a malheureusement fait les frais avec une attaque DDoS et raconte tout ça sur son site. N'empêche que leur business model est malin puisqu'ils revendent à 20 $ le Gb, de la bande passante qu'ils ont gratuitement grâce à leurs utilisateurs et qu'ils agrègent. Et je ne suis pas certain que tous les utilisateurs d'Hola seraient d'accord avec ça.

Et comme vous vous en doutez, cela pourrait vous retomber sur le coin du nez si un jour votre IP est utilisée pour faire quelque chose d'illégal.

Je vous recommande donc pour le moment de désinstaller Hola et ne plus vous en servir, sauf si évidemment, tout ceci ne vous dérange pas le moins du monde :-)

Source

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

Introduction à la sécurité SCADA

Introduction à la sécurité SCADA

Par Jean-Christophe Baptiste

Cet article a pour auteur Jean-Christophe Baptiste, consultant et formateur en sécurité informatique chez Sysdream. Sysdream est un centre de formation ainsi qu'un cabinet d'audit et de conseil en sécurité informatique. Jean-Christophe a aussi été responsable de la sécurité informatique d'une infrastructure industrielle, mais c'est avant tout un passionné que vous pouvez retrouver sur son blog.

Introduction

Scada, Stuxnet... Des mots qui ont largement fait le "buzz" depuis 2010, et continuent à faire froid dans le dos puisqu'ils font écho aux menaces sur les environnements informatiques industriels.

Mais au-delà du bruit médiatique, de quoi s'agit-il exactement ?

Au-delà du buzz

Tout d'abord, SCADA, pour Supervisory Control and Data Acquisition, est un terme utilisé abusivement pour désigner les équipements industriels.

Il ne s'agit que d'une brique fonctionnelle parmi d'autres, qui constituent une infrastructure industrielle. Bien d'autres acronymes pourraient être cités : PLC, DCS, RTU, DACQ, etc. Décrire chaque équipement dépasse le cadre de cet article, mais en gros à chaque équipement sa fonction : sonde de mesure, programmation et pilotage de robots, stockage et traitement des données, supervision, etc.

Nous retiendrons à ce stade le terme le plus approprié pour les désigner tous : ICS, pour Industrial Control Systems.

Les environnements industriels utilisent également des protocoles spécifiques, aux côtés d'autres, tout à fait standards : Modbus, OPC, Profibus, PI, etc.

Bref historique

Bon, cette petite mise au point faite, on n'est pas plus avancé. À quoi tout cela sert-il ? L'histoire est ici semblable à celle de bien d'autres activités humaines ayant connu l'avènement de l'informatique.

Autrefois, les usines étaient pilotées manuellement. On ouvrait des vannes par ici, on activait des interrupteurs par là, à la seule force des bras. Les mesures et les contrôles se faisaient à l'œil et reposaient sur le savoir-faire et l'expérience des opérateurs. L'avènement de l'électricité, puis de l'électronique, a amené un peu plus de confort et de précision : électrovannes, sondes de mesures, systèmes d'alerte, etc.

Ensuite, le développement de la micro-informatique a amené sa petite révolution. On a pu commencer à automatiser les chaînes de production tout en centralisant leur pilotage au sein de l'usine. Les différents équipements sont alors inter-connectés grâce à des réseaux primitifs, de type Bus ou série.

Enfin, le monde merveilleux du TCP/IP est passé par là. D'abord sous l'impulsion des intranets dans les entreprises, ensuite avec Internet et son ouverture sur le monde. Les opportunités sont énormes : rendre autonomes et intelligentes les chaînes de production, les optimiser à l'extrême, gérer les approvisionnements, remonter les informations commerciales, etc. Toutes ces données issues de la production alimentent les logiciels métiers et autres plateformes de gestion intégrée.

Les avantages surpassant les risques, de nos jours, la plupart des chaînes industrielles sont automatisées par des outils informatiques connectés au réseau. Cette évolution est certainement irrémédiable.

Technologies et vulnérabilités

Évoquons un peu les technologies sous-jacentes : vous croyez que ces systèmes sont complexes, spécialisés et complètement ésotériques ? Détrompez-vous ! En fait, vous allez probablement être un peu déçus. De nombreux systèmes sont de vulgaires ordinateurs d'architecture x86, fonctionnant avec un système d'exploitation de la famille Windows (XP, ou plus récent, ou plus ancien comme NT4 !). D'autres utilisent des systèmes Unix, comme Solaris par exemple. Pour les équipements plus limités en ressources, on retrouve même des systèmes tels que Windows XP Embedded ou autres versions mobiles.

pi

En fait, tout dépend généralement du constructeur. Dans ce milieu, les contrats de support lient étroitement la partie matérielle et la partie logicielle.

D'autre part, il est rarement envisageable d'interrompre, ou risquer de perturber, une chaîne de production pour appliquer des correctifs de sécurité. Ainsi, au fil des mois puis des années, certains équipements sensibles se retrouvent complètement vulnérables, voire obsolètes.

Il y a aussi une part de vulnérabilités intrinsèques. Rappelez-vous, le monde de l'informatique industrielle appartient à une autre culture que la micro-informatique telle que nous la connaissons au quotidien, ouverte sur le monde et rompue aux problèmes de sécurité. Le milieu industriel est historiquement fermé et, avant tout, empreint d'une forte culture électrotechnique. Des problèmes, des priorités et des manières de penser différentes. Dès lors que les deux mondes se rencontrent et fusionnent, les mauvaises pratiques de sécurité et les failles applicatives jusque là tolérables prennent une autre dimension.

La défense

Ce qu'il faut retenir, c'est que l'axe offensif contre ces infrastructures n'a rien de "high tech". Exploitant des vulnérabilités bien connues, les techniques d'attaque classique et les outils de hacking disponibles publiquement vont généralement fonctionner à merveille.

Que reste-t-il donc à la défense ? Il faut reconnaître que la tâche est ingrate face à des systèmes fragiles et quasiment intouchables. Là encore, les remèdes classiques ayant fait leurs preuves sont préconisés : sécurité périmétrique et filtrage, isolation maximum, sensibilisation du personnel, etc.

Le cas d'école : Stuxnet

Stuxnet est le premier logiciel malveillant connu du grand public, dont la cible était spécifiquement des installations industrielles. Une littérature abondante et très détaillée existe sur le sujet, mais essayons de résumer ce véritable fait de cyberguerre en quelques lignes. Dans un contexte géopolitique tendu, certains états occidentaux, États-Unis et Israël en tête, veulent à tout prix éviter que l'Iran développe ses capacités nucléaires dans le domaine militaire.

natanz_1

Une guerre conventionnelle n'étant pas envisageable, une attaque numérique va être lancée. Dans ce but, les États-Unis commencent probablement le développement de Stuxnet bien avant sa détection en 2010 (Symantec a retrouvé des versions primitives remontant à 2005). Le logiciel, après s'être installé sur des systèmes industriels à vocation de contrôle et de supervision, s'attache à perturber le fonctionnement des centrifugeuses chargées d'enrichir l'uranium (éventuellement pour un usage militaire).

En schématisant, Stuxnet provoque un emballement aléatoire des centrifugeuses, sans que rien n'y paraisse sur les écrans de supervision. Alors que les opérateurs ne soupçonnent rien, les tensions mécaniques ainsi provoquées induisent un taux de panne bien plus élevé que la normale. L'impact est important, mais contrôlé : la production d'uranium enrichi est ralentie. Le coût de production explose aussi : il faut remplacer les centrifugeuses, les démultiplier pour avoir un taux de production acceptable, et des heures de recherche ont probablement été dépensées en perte pour tenter d'améliorer leur fiabilité. Ainsi, Stuxnet est semble-t-il resté inaperçu pendant longtemps.

natanz_2

On imagine cependant que les installations de ces centres d'enrichissement étaient un minimum sécurisé et isolé des réseaux externes. Comment donc les services secrets ont-ils réussi à insérer la charge malveillante ?

Concernant le vecteur d'infection , rien de plus banal : une clé USB et un agent infiltré pour l'insérer dans un poste. Ensuite, tout est automatique. Le ver exploite certaines vulnérabilités alors inconnues de Windows (vulnérabilité dite "0-day") et d'équipements de contrôle Siemens.

Ce point amène des conclusions essentielles. Ainsi, les attaquants, très bien préparés, ont probablement passé de nombreux mois à construire et peaufiner leur attaque, en adéquation parfaite avec le matériel employé par leur cible. D'autre part, il est intéressant d'évaluer le coût global de l'opération. Les attaquants, une équipe de plusieurs personnes mobilisées pendant des mois, disposaient de moyens importants. Ils connaissaient les vulnérabilités des systèmes SCADA de Siemens et possédaient probablement du matériel de test. Ils ont été en mesure de réaliser des pilotes signés, se faisant passer pour leurs éditeurs légitimes (pilotes Realtek).

Enfin, considérez qu'une vulnérabilité "0-day", surtout sur Windows, est un atout très précieux. Rare et difficile à découvrir ou obtenir, elle offre un gain important en l'absence de mesures correctives. Ainsi, certaines de ces vulnérabilités ont une très grande valeur, qui peut se monnayer en dizaines, voire centaines de milliers d'euros sur le marché noir.

Il ne fait aucun doute qu'une équipe disposant de trois de ces vulnérabilités sur Windows a non seulement des moyens très importants, mais des objectifs élevés pour les utiliser dans le cadre d'une seule opération - tout en les perdant à terme, car elles ne peuvent être utilisées qu'une seule fois.

natanz_3

En 2010 tout s'accélère. Stuxnet, dans sa forme actuelle, échappant à tout contrôle, se répand en plusieurs points du globe. Il est rapidement détecté puis analysé, et devient alors connu du grand public. Que s'est-il passé ?

Rien d'officiel, ni de complètement sûr, mais plusieurs analystes ont déduit de l'analyse du code de Stuxnet que les services secrets israéliens se sont probablement impliqués dans l'affaire. En ajoutant, un peu à la va-vite, des fonctionnalités offensives, certaines disparités sont apparues dans le code de Stuxnet : niveau de qualité, organisation, méthodes de programmation, présence de certains mots en hébreu, etc. Il est probable qu'à cette époque Israël ait souhaité des effets plus rapides et radicaux. La fréquence de stress des centrifugeuses est augmentée, provoquant des effets plus visibles en terme de panne. Mais cela signe aussi l'arrêt de mort de Stuxnet : analysé, décortiqué, il peut finalement être contenu puis éradiqué. Il est estimé que Stuxnet aura provoqué la destruction de 1000 centrifugeuses sur les 9000 que compte le site nucléaire de Natanz en Iran.

Un peu de mise en pratique

Il n'est pas facile de se procurer du matériel de test, surtout à moindre coût. À ce titre, un projet libre plutôt amusant a été publié récemment : Virtuaplant. Il s'agit d'un petit framework Python de simulation d'ICS (Industrial Control System). Développé en Python et dans une architecture modulaire, il ne demande qu'à être utilisé et complété. Pour l'instant, l'auteur fournit le modèle d'une chaîne de remplissage de bouteilles, avec une petite interface de supervision et de contrôle.

L'outil peut se télécharger à cette adresse : https://github.com/jseidl/virtuaplant.

Je vous conseille de le récupérer avec git :

git clone https://github.com/jseidl/virtuaplant.git

Avant de lancer l'outil, assurez-vous d'avoir bien installé les pré-requis tels que détaillés sur le site. Ensuite, à partir du répertoire d'installation, déplacez-vous dans le répertoire bottle-filling et exécutez le script permettant de lancer la chaîne de production :

cd ./virtuaplant/plants/bottle-filling

./start.sh

Si tout va bien, vous devriez obtenir quelque chose qui ressemble à cela :

virtuaplant

Voilà, vous pouvez vous amuser à piloter votre usine. Observez les indicateurs de production, ils seront intéressants pour la suite.

Plaçons-nous du point de vue de l'attaquant. Ouvrez un analyseur de trafic comme Wireshark, qui intègre des dissecteurs adaptés à de nombreux protocoles. Ces dissecteurs permettent de décoder les trames brutes du réseau afin de présenter les informations des protocoles dans un format humainement lisible.

Rendez-vous dans le menu Edit > Preferences > Protocols > Modbus/TCP pour modifier la valeur du port TCP par défaut. Nous allons changer la valeur 502 par 5020, qui correspond au port utilisé par Virtuaplant (vous pouvez aussi éditer les scripts pour changer la valeur).

À présent, vous pouvez démarrer la capture du trafic sur l'interface lo0 (loopback) et observer le trafic Modbus correctement décodé :

modbus-wireshark

En étudiant les trames Modbus, vous constaterez qu'il n'y a aucun mécanisme de chiffrement ou d'authentification. Comme cela fonctionne-t-il concrètement ?

Tout se passe dans le script hmi.py. Par exemple, le bouton Start provoque l'appel de la méthode setProcess :

runButton.connect("clicked", self.setProcess, 1)

Dont voici le contenu :

def setProcess(self, widget, data=None):

try:

self.modbusClient.write_register(0x10, data)

except:

pass

La construction de la trame Modbus est ici gérée par la librairie Python éponyme. En gros, notre client Modbus (interface de pilotage) demande au serveur (robot de pilotage) d'écrire la valeur 1 dans le registre n°16 (0x10 en hexadécimal).

En utilisant le filtre Wireshark suivant, vous pouvez visualiser la concrétisation de ces ordres sur le réseau :

modbus.reference_num == 16

Résultat décodé dans Wireshark :

modbus-wireshark1

L'attaque est triviale : il suffit de rejouer la trame ou l'ordre vers le serveur pour interférer avec la production en cours.Voici un petit bout de code simplifié à l'extrême :

#!/usr/bin/env python

from pymodbus.client.sync import ModbusTcpClient as ModbusClient

client = ModbusClient('localhost', port=5020)
client.connect()
client.write_register(0x10, 0)

On importe les librairies nécessaires, on se connecte sur le serveur et on écrit le registre 16 avec la valeur 0. Comme vous l'aurez sans doute deviné, la valeur 0 provoque l'arrêt de la chaîne.

Virtuaplant vient avec d'autres scripts de démonstration plus complets et, surtout, amusez-vous à développer les vôtres. Si vous le pouvez, je pense que l'auteur serait content de recevoir des contributions.

Conséquence d'une attaque "remplissage perpétuel" :

virtuaplant-attack

Voici pour finir une petite vidéo de démonstration pour la route :

Concernant Modbus, la protection n'est pas évidente. Sur des environnements maîtrisés, il sera envisageable de l'encapsuler dans un tunnel TLS (avec des outils similaires à stunnel), mais la plupart du temps l'environnement n'est pas facilement modifiable. Il faudra être donc très rigoureux sur l'isolation de ces dispositifs dans différents sous-réseaux et avec un empilement d'équipements filtrants (pare-feu, routeurs).

Pour en savoir plus

Je vous recommande la formation proposée lors de la prochaine édition de l'évènement Hack In Paris du 15 au 17 juin 2015, événement organisé par Sysdream. Sur le thème des environnements industriels, au-delà des explications théoriques, l'essentiel de cette formation sera consacré à de nombreux exercices pratiques de sécurité offensive et défensive. Elle sera animée sur 3 jours par Monsieur Arnaud Souillé, consultant senior en audits de sécurité chez Solucom, une société française de conseil en informatique.

Notez bien que les formations dans ce domaine ne courent pas les rues : il faut en profiter !

Plus d'informations ici

En attendant, un peu de lecture pour les plus curieux :

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

Vous aussi, adoptez la « cagnotte internet » attitude

Vous aussi, adoptez la « cagnotte internet » attitude

Salut les copains

Y'a un truc dont je veux vous parler depuis un moment, mais je n'ai encore jamais pris le temps de le faire, car j'attendais le bon moment. En ce moment, c'est l'hécatombe sur le net. Beaucoup de sites (dont des blogs) et de services ferment les uns à la suite des autres et ça m'affecte.

D'abord dans mon boulot de blogueur, car ce sont des outils que j'utilise ou des sites que je consulte quand j'ai besoin d'un peu d'inspiration, de m'informer...etc. Mais aussi à titre personnel, car ce sont des sites que j'ai vus naitre, que je lis depuis longtemps et les voir sombrer parce qu'ils n'ont pas su s'adapter par rapport à Adblock notamment et que personne ne fasse de dons ou ne les soutienne, ça m'emmerde.

Comme je paye déjà des abonnements et des licences pour pas mal de trucs que j'utilise chaque jour, j'ai pris la décision il y a quelques mois de filer 50 € par mois de ma poche à des sites et des services que j'apprécie ou que je considère important de soutenir. Cette cagnotte de 50 balles, je la vois comme un abonnement "Internet", un peu comme certains ont un abonnement Canal+ ou un abonnement au stade ou que sais-je...

Ces 50 € euros, je les ai divisés en 10 tranches de 5 €. Ça me permet donc de donner 5 € par mois à 10 sites web / service / association que j'apprécie.

J'ai donc dans mes slots, Wikipedia, Mozilla, Stereomood, mais aussi Reflets, NextInpact, mon copain Patrick Beja...etc. Je ne suis pas encore arrivé à 10 sites, mais je le fais au fur et à mesure. En effet, ce qui est important pour tous ces sites / services, c'est la régularité des dons. Que ça tombe tous les mois, c'est mieux qu'un don one-shot de temps en temps. Un système comme Patreon qui mise sur la récurrence sera plus intéressant qu'un système à la Flattr qui fonctionne sur un principe de one-shot. Vient ensuite un problème franco-français qui est que si on est une société, on ne peut pas percevoir de dons et que tout ça est très compliqué à déclarer. C'est pour ça que beaucoup de sites proposent des "abonnements" à la place de "dons".

Patrick Beja, NextInpact et Reflets, je ne les lis pas ("écoute" pour Patrick) tous les jours, malheureusement, mais je considère qu'ils sont importants dans l'écosystème Internet francophone et qu'ils font du bon boulot.

J'utilise Firefox et Thunderbird tous les jours et même si Mozilla est très décrié en ce moment, j'aimerai qu'ils atteignent leur indépendance financière grâce à tous ces petits dons. Je sais que si demain Mozilla proposait une version payante de son navigateur, j'achèterais une licence.

Concernant Wikipédia, c'est une des plus grosses ressources de connaissances du monde libre d'accès et j'y vais souvent donc je trouve ça normal de filer un petit quelque chose. La Quadrature fait aussi partie de la liste. Je leur ai fait un gros don one-shot en fin d'année dernière, mais je viens aussi de les ajouter à ma liste de dons mensuels.Je donne aussi à Stereomood et d'autres petits blogs, car je souhaite qu'ils continuent et que je les aime bien.

Évidemment, vous parler de tout ça, sans parler de mon cas d'éditeur indépendant, ce serait bizarre. Je ne suis pas un grand fan de dons. Pour avoir fait quelques tests par le passé, j'ai vraiment l'impression de faire la manche quand je demande du blé à mes lecteurs. Et le problème quand on dépend comme ça des dons, c'est qu'à force de réclamer, ça lasse les gens.

Je l'ai bien vu sur la dernière campagne de la Quadrature qui a failli mal tourner. De plus quand les lecteurs donnent de l'argent, ils sont beaucoup plus exigeants sur tous les points et certains sont de vrais casse-couilles...("Quoi ? Tu ne parles pas de mon site pourri alors que je t'ai fait un don ?" / "Quoi t'as parlé de Google alors que Google c'est le mal, tu ne mérites pas mon don !" / "Quoi, je me prive pour te faire un don et toi tu pars en vacances avec mon argent ? Rembourse-moi !!")

Et puis, vous l'avez dit vous-même, payer pour du contenu écrit quand on peut avoir l'information gratuite ailleurs, ça n'a pas de sens. Regardez Facebook qui a convaincu des éditeurs d’héberger directement leurs articles pour que vous puissiez les lire directement dans votre flux. Imaginez 30 secondes être obligé de lire Korben.info uniquement au travers de Facebook, sans autre alternative....

Dans mon cas, je trouve ça plus intéressant et plus créatif de dealer des partenariats avec des entreprises dont vous pourrez apprécier les services, et vous fournir du contenu intéressant et technique. Ça m'amuse beaucoup, j'invente des tas de choses, et paradoxalement, ça me donne aussi beaucoup plus de liberté.

Liberté de choisir avec qui j'ai envie de bosser et liberté de choisir les formats qui me conviennent. Le but n'est pas de faire clignoter le site dans tous les sens ou de recouvrir le contenu au passage du curseur. Et encore moins d'intégrer les vidéos en plein milieu d'un article en autoplay comme le font pas mal de sites. Bref, la liste de tous ces formats publicitaires étranges est longue, mais quand je gère ça en direct (sans passer par une régie tierce), j'ai un contrôle absolu dessus.

Je n'ai jamais eu de pression ou de contrat rompu parce que j'avais écrit tel ou tel article. C'est vrai que certains de mes articles ont déplu voir énervé des annonceurs, mais ce que je leur dis quand je gère le truc, c'est que Korben.info ce n’est pas Buzzfeed. Je n'ai pas de rédacteurs à payer à la fin du mois, et si je dois me passer de certaines campagnes et bouffer des pâtes pour garder mon indépendance éditoriale, je le fais sans l'ombre d'un doute. Il m'arrive de demander à ma régie de couper certaines campagnes ou de modifier certains éléments. J'ai aussi mis en place des cartouches qui indiquent clairement si c'est un contenu publicitaire rédigé par moi ou pas rédigé par moi.

Les seuls qui m'ont vraiment cassé les pieds, c'était Google Adsense et j'ai préféré les envoyer chier, perdant environ 40% de mon CA plutôt que de céder à leurs chantages. C'est ma politique, je ne pratique pas l'auto-censure et jusqu'ici ça se passe bien. J'espère réduire à terme le nombre de bannières traditionnelles pour ne propose que des formats non intrusifs, tant dans la forme que dans le fond, afin de limiter au maximum les trackers et les cookies.

De cette manière, non seulement, ça me permet de bouffer, mais en plus, ça me permet de développer le site, d'ouvrir de nouvelles sections, de payer des gens pour m'aider, de vous proposer encore plus de contenus cools...etc. (comme la série des tutos wordpress, des articles de fond sur le hacking, un dossier complet sur Cryptolocker, les illustrations d'Alex etc.).

Je n'ai pas de conclusion à donner à cet article, si ce n'est de vous encourager à soutenir les sites que vous aimez et les logiciels libres que vous utilisez. Même un petit peu, si on est beaucoup, ça aidera ;-).

Aujourd'hui les supports de diffusion de l'information imposent aux médias de repenser leur business modèle historique et je ne pense pas que la clé pour continuer à exister en tant que média réside dans les adexchanges ou l'automatisation. Je pense que l'humain prime et nous devons faire face à nos responsabilités. Soit choisir un web en silos, privé et géré par quelques grandes entreprises ou ouvert, neutre et qui laisse place à la pluralité des expressions... nos expressions.

Quant à moi, pour me soutenir, continuez à m'envoyer des infos sympa, à relayer mes articles partout sur la toile, à whitelister mon site dans votre Adblock si le cœur vous en dit, et à me payer des coups à boire quand on se croise ;-)

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

  • Articles populaires

  •  
  • Univers Populaires

  • Inscrivez-vous à la newsletter

  • DANS TON CHAT (BASHFR)

    <Raloon> j'ai une vie de merde
    <bobbican> mais non mais non
    <Raloon> pas de travail depuis 3 mois
    <Raloon> plus de thune
    <Raloon> un frigo vide
    <Raloon> un PC qui tourne sous millenium
    <bobbican> heureusement il te reste une meuf!
    <Raloon> me suis fait plaqué hier...
    <Raloon> par SMS
    <bobbican> tain y me gave raloon avec sa vie pourrite
    <Raloon> ...
    <bobbican> zob
    <bobbican> desolé mauvaise fenetre :/

    -- http://danstonchat.com/6879.html
  • Inscrivez vous aux bon plans

  • RSS Emplois sécurité

  • Site hébergé par
    Agarik Sponsor Korben
  • RSS Offres d’emploi

  • Swiis

  • Articles récents

  • Articles populaires

  • Dernières vidéos

    Taking the plunge

    Taking the plunge

    jeudi 28 mai 20150 1
    Predator – Dark ages

    Predator – Dark ages

    jeudi 28 mai 20150 0
    Waouf !

    Waouf !

    jeudi 28 mai 20150 0
    L’univers de Myazaki en 8 bit

    L’univers de Myazaki en 8 bit

    jeudi 28 mai 20150 0
    Cop car

    Cop car

    jeudi 28 mai 20150 0
    Point Break – Le reboot

    Point Break – Le reboot

    jeudi 28 mai 20150 0
  • En ce moment dans l'univers "Domotique"

    Voir tous les articles »

    En ce moment dans l'univers "Raspberry Pi"

    Voir tous les articles »