PROJET AUTOBLOG


Le blog de Seboss666

Site original : Le blog de Seboss666

⇐ retour index

Drupal : récupérer un accès administrateur sans connaître le mot de passe

jeudi 19 octobre 2017 à 18:30

De par mon utilisation personnelle et le cadre professionnel, je côtoie assez rarement Drupal, et c’est souvent un problème en plus. Malgré tout, et ce via un outil très pratique, j’ai pu accéder et pouvoir dépanner un client sans avoir à mettre à mal la sécurité de ses comptes administrateurs sur le CMS.

Le contexte

Ici, la demande était simple en apparence, moins dans la pratique : une agence potentielle candidate à la tierce maintenance applicative du site d’un client demandait un accès en lecture seule au panel d’administration du site pour disposer de suffisamment d’information et établir une proposition financière. Pas facile, les informations demandées étant avant tout accessibles au rôle d’administrateur, et il n’est évidemment pas question de fournir cet accès à n’importe qui, d’ailleurs nous ne les avons pas nous-mêmes en tant qu’hébergeur (c’est tout à fait habituel, et la plupart du temps inutile). Pas de bol, le client ne sait pas non plus comment accéder au compte administrateur, en temps normal c’est l’agence de développement qui l’exploite pour les routines de maintenance. Vous l’aurez compris, pas facile de demander l’accès au compte à une agence qui va se faire botter le cul pour le boulot qu’elle ne fait apparemment pas assez bien pour le client.

La trousse à outils : Drush

Oui c’est pas de bol, il n’est pas question de piratage, enfin presque mais comme toute manipulation, c’est l’usage qui définit la légalité. Dans tous les cas, il faut un accès physique à la machine pour pouvoir exploiter l’outil en question. En effet, il s’agit de Drush, contraction de Drupal Shell, qui permet donc de manipuler pas mal d’aspects de votre Drupal directement en ligne de commande. Certains de mes clients l’utilisent notamment pour gérer le déclenchement de leurs tâches planifiées.

Donc me voilà tout seul face à un CMS que je connais peu, pour lequel je dois obtenir des informations accessibles via un compte adapté dont je ne connais pas le mot de passe. Au moins je sais obtenir quelques informations, via la base de données. Une pratique peu courante et surtout pas facile à détecter car peu documentée, les URLs pour la connexion de l’utilisateur et le panneau d’administration ont été modifiées (sur WordPress on peut faire ça avec WP Login Door qui va bientôt faire partie de mes plugins). Il aura fallu fouiller dans les logs Apache pour déterminer les URLs, pour commencer. J’ai alors tenté d’ajouter un compte administrateur à la main, comme j’ai déjà pu le faire sur un WordPress (et déjà vu faire aussi par un attaquant ayant pris le contrôle d’un site pour faire du blackSEO), directement via la base de données, sans succès, toutes mes tentatives se sont vues échouer sur la page de login.

Et puis à force de chercher une solution, je tombe sur un article anglophone proposant l’utilisation de Drush pour générer un lien de réinitialisation de mot de passe, à usage unique, et qui permet, si on ne touche pas au mot de passe, d’accéder malgré tout à l’administration du site, en fonction du rôle du compte sélectionné. Ni une ni deux, j’ai tenté le coup :

drush uli admin01

Et paf, ça a fait des Chocapic. J’ai eu droit à un lien affreux, qu’il a fallu corriger (il n’avait pas inclus le domaine du site dedans), mais grâce auquel j’ai pu accéder aux pages demandées et fournir des captures d’écran des résultats.

Pour la culture, je suis également tombé sur cet article qui propose quantité de méthodes différentes (via drush ou autre) pour modifier un mot de passe sur un compte existant.

Un équivalent pour WordPress

Étant donné la différence d’âge, je ne m’attend pas à ce que l’étendue des possibilités soit équivalent à Drush, mais en effet, il existe maintenant l’outil WP-CLI que j’ai pu tester récemment, notamment pour éviter de faire à la main une modification de nom de domaine suite au passage en production d’un nouveau site. C’est aussi simple que :

wp-cli search-replace <old_domain> <new_domain> --dry-run

Et il va vous expliquer via quelle méthode il va remplacer les occurrences trouvées. Relancez sans le –dry-run, laissez cuire deux minutes, servez. Plus simple que les fameuses requêtes SQL présentées par Korben il y a quelques années, que j’avais notamment utilisées lors du passage en HTTPS du blog, et surtout plus complètes, au cas où certaines occurrences seraient sérialisées ce qui est toujours problématique.

Si vous utilisez déjà l’un de ces deux outils pour votre projet (ou celui d’un de vos clients), n’hésitez pas à partager dans les commentaires 🙂

Quels outils de backup pour chez moi ?

lundi 16 octobre 2017 à 18:30

Maintenant que je viens enfin de me rééquiper d’un NAS, dont je vous parlerai dans pas si longtemps que ça, je vais enfin pouvoir sereinement attaquer la première étape de mon plan de sauvegarde : celle en local de mes données les plus importantes. Mais mon parc personnel est diablement varié. Quelles sont donc les pistes dont je dispose, et surtout, pourrais-je choisir un outil fiable et surtout agréable et abordable que je pourrai conseiller à d’autres en fonction de la cible ?

En effet, l’inventaire fait à l’œil me donne les appareils suivants : un laptop sous Manjaro Linux, un Chromebook sous ChromeOS+Crouton (Ubuntu 14.04 pour l’instant), un gros pc fixe de jeu toujours sous Windows 7, un Raspbery Pi sous LibreELEC, un microserveur sous Proxmox avec des VM Debian, un smartphone sous Android. Ouf. Je pourrais éventuellement rajouter la PS4, mais celle-ci ne me laissera pas facilement lui injecter un outil de sauvegarde automatisé autre que le « cloud » PlayStation, ce que je me refuse à faire pour l’instant (pourtant j’accepte celle sous Steam…).

Bref, ça fait déjà du monde, et je me demande s’il est possible de sélectionner un outil qui soit agréable, dans le sens utilisable graphiquement et simplement, quelque soit la plateforme, afin de pouvoir ensuite conseiller ces outils au plus grand nombre (et principalement les gens que je rencontre au Premier Samedi).

Voyons donc par appareil comment ça se passe.

Proxmox et ses VM

Là, c’est diablement simple : j’ai créé un partage NFS sur le NAS à qui j’ai donné l’accès exclusif à Proxmox, pour qu’il pose toutes les sauvegardes des VMs que j’ai sélectionné (toutes pour l’instant, mais il n’y en a que 3…). Je fais une sauvegarde par semaine (bien plus que suffisant, étant donné le peu de modifications que j’effectue) et je garde trois semaines. La sauvegarde se fait en mode snapshot (merci LVM), et Proxmox fait une image complète à chaque fois, ce qui sera à surveiller dans le temps (consommation de plus en plus élevée en fonction des besoins, même en limitant la rétention).

Windows

Un de mes collègues administrateur Windows étudie actuellement un moyen, pour un client, de dépasser les durées de rétention habituelles que l’on propose en matière de sauvegarde. Lors de ses recherches, il est tombé sur un outil gratuit et particulièrement bien présenté, Iperius Backup. Ce coup-ci on sélectionne les dossiers à récupérer (que je conserve déjà sur un disque à part du disque système, j’ai pu l’expliquer il y a très longtemps dans un billet qui est toujours d’actualité), la destination, la fréquence, l’heure de déclenchement, bref, un classique, mais il est plaisant à l’œil.

En alternative moins jolie et potentiellement moins abordable (sans rogner sur les fonctionnalités), il y a Bacula. C’est de plus un outil multiplateforme, donc il pourrait être envisagé dans l’hypothèse de préparer quelqu’un à changer d’OS tout en retrouvant ses outils préférés, à l’image d’un Firefox, d’un VLC, d’un LibreOffice, bref, de tous les outils qui font que l’on a pas pas trop de choses à réapprendre en changeant d’environnement.

Chromebook

Cet appareil compact bien pratique pour lequel je n’ai pas encore trouvé de solution à la suppression de ChromeOS n’est pas vital, dans le sens où l’environnement que j’ai posé dessus est strictement identique à celui sous Manjaro (fichier bash perso, dossier SSH, profil Firefox Sync et mail Thunderbird). Donc pas besoin de le sauvegarder, le rétablir dans un état fonctionnel n’est pas un problème.

Manjaro

Et bien c’est compliqué. Les outils sont légion sous Linux, et sont très puissants, mais très souvent, c’est de la ligne de commandes pas vraiment user-friendly (Veeam for Linux semble être à mi-chemin avec son interface de type ncurses).

Je n’ai pas nécessairement besoin de faire une image bit à bit, une réinstallation régulière ne fait de toute façon jamais de mal tellement je peux installer de choses inutiles avec le temps (j’en ai eu dernièrement l’occasion justement en testant des choses pour cet article). Donc à part quand même une liste de paquets et éventuellement le /etc pour quelques configurations modifiées manuellement c’est principalement le contenu du /home qui compte. Étant donné sa taille pas question de faire du full, il me faut soit de l’incrémental soit du différentiel.

Et évidemment, si je pouvais transmettre via SSH (au travers de mon rebond) ça serait le top, mais à la limite, pour cet usage très spécifique je pourrai tenter sshfs, après ça reste d’abord mon besoin et mes compétences vont avec, je m’adapterai.

Il semble que DejaDup permette de couvrir la plupart de ces besoins. Il est packagé pour la plupart des distributions, l’installation est donc diablement facilitée. L’interface est de plus diablement simple ce qui est toujours plaisant à montrer aux personnes qui pourraient être concernées dans un certain avenir. Il fait de l’incrémental, permet de planifier (je laisse souvent le laptop allumé la nuit, puisqu’il sert de « chargeur » à mon téléphone). On choisit les dossiers à sauvegarder, d’éventuelles exclusions, on choisit la fréquence, la destination, les menus sont clairs, il est très facile d’apprendre à l’utiliser.

Comme j’ai dit pour Windows, Bacula est également une alternative que vous pourriez envisager.

Android

Mon choix reste pour l’instant sur Super backup (traduit Super sauvegarde sur Google play). Il est gratuit, pas très beau, en anglais mais les boutons sont clairs et ça juste marche. La sauvegarde est cependant locale (les seules options distantes sont Gmail et Google drive…), je n’ai pas trouvé d’outils légers et si possible gratuits pour déporter automatiquement la sauvegarde. Car oui je n’utilise pas les outils de synchro de gogol pour tout coller dans ses nuages. A la rigueur si j’arrive à mettre en place un Nextcloud je pourrai éventuellement passer par là et donc m’occuper de sauvegarder les données de l’instance Nextcloud plutôt que le téléphone lui-même, ça résoudra la question du transfert.

En tout cas, l’outil a évolué depuis le début de mon utilisation, en fouillant les options pour cet article j’ai découvert qu’on pouvait planifier et contrôler le nombre de sauvegardes des éléments, et ce pour chaque élément pris en charge par l’application : SMS, contacts, calendrier, historique d’appels…

Et du coup, quid du NAS ?

Oui, si le NAS devient le centralisateur des sauvegardes, je prend le risque de tout perdre d’un coup en cas de foudre, de mort prématurée des disques, que sais-je encore (un raid ne vous protège pas de tout, j’en ai fait l’amère expérience il y a deux ans). Et si je n’irai pas au bout de la logique du 3-2-1 comme le prône Genma (qui a raison dans l’absolu), il faut au moins que je déporte une partie de tout ça à l’extérieur.

Ce qui implique solution de stockage en ligne et chiffrement des données, pour être le seul à pouvoir intervenir sur mes données. Une réflexion qui n’est pas encore aboutie et que je dédie à un billet dédié, car le sujet est très intéressant, mais risque de déboucher sur une solution évidemment technique qui sera hors de portée de beaucoup de monde. Ce qui serait bien dommage.

Smartphone : dois-je conseiller un iPhone ?

samedi 14 octobre 2017 à 10:30

Vous n’aurez pas l’édito tout de suite, j’ai un sale comportement sur certaines images que j’arrive pas à résoudre

Ce titre volontairement incomplet pour ne pas être trop long devrait être « Dois-je conseiller un iPhone au grand public non technicien ? » Moi, utilisateur presque exclusif d’Android depuis 2010, et adorateur de Firefox, oui, je commence à me poser la question. Et j’aimerai partager la réflexion qui y a mené.

Un monde à deux visages, où le client n’est pas le roi

L’environnement Android est à la fois merveilleux et terrifiant. Merveilleux, parce que la gratuité du système a permis de proposer une quantité monstrueuses d’appareils à prix abordable et aux capacités toujours plus intéressantes, parfois à un rythme un peu trop soutenu.

Terrifiant, parce qu’à l’image, sur nos bons vieux PC, de Windows, ultra-majoritaire attaqué de partout par différents virus, chevaux de Troie, et plus récemment les rançongiciels (ce terme est dégueulasse), avec une part de marché de 70% (et même 80 quand on se limite à la France), le système d’exploitation mobile de Google est devenu une cible de choix pour l’atteinte à notre sécurité.

Et les politiques des différents acteurs n’aide en rien à améliorer la situation. Je m’explique : en dehors des Nexus et autres Pixel, Google ne fait pas le téléphone, juste le système d’exploitation, le logiciel de base. Logiquement, ses efforts se concentrent sur des versions récentes, malgré tout les mises à jour de sécurité sont parfois rétro-portées jusqu’à Android 4.4 KitKat qui pourtant commence à sentir la naphtaline (le rapport de sécurité de Google mentionne bien les versions mises à jour).

Mais Google ne met pas à jour votre téléphone directement comme le fait Microsoft sur PC. Chaque constructeur vend son téléphone avec une version personnalisée du système, à différents niveaux, et c’est à eux de récupérer les mises à jour, d’intégrer leurs modifications et de pousser les corrections aux possesseurs de leurs appareils. Une opération qui a un coût, et comme les fabricants sortent de nouveaux modèles tous les 6 mois ou presque, on vous poussera plutôt à acheter un nouvel appareil disposant d’une version plus récente plutôt que de maintenir un appareil qui « ne rapporte plus rien ».

Oui mais même un smartphone moyen voire bas de gamme n’arrête pas de fonctionner au bout d’un an (la situation sur le haut de gamme n’est guère plus reluisante). Pire, cette envie de vous faire prendre le nouveau modèle est une mauvaise excuse, parce que sa situation n’est pas toujours rose et beaucoup sortent encore avec une ou deux versions de retard du système (Android 8 vient de sortir, et des modèles sortent encore là en ce moment avec la version 6, et on parle pas d’un obscur fabricant puisque c’est Samsung qui vous vend un A5 « 2017 » avec un OS ancien).

Par dessus ça, dans beaucoup de pays, et notamment en France, le principal canal de distribution des smartphones reste l’opérateur de téléphonie mobile. Point de réflexion sur le mode de financement plus que discutable, ici le problème supplémentaire qu’ajoute cet intermédiaire est qu’il vous vend une version modifiée de l’appareil. Pas d’un point de vue matériel, mais logiciel : en plus du simlockage, souvent les opérateurs rajoutent leur marque et certains logiciels maison par dessus la version déjà modifiée par le constructeur (qui en plus doit valider ces modifications supplémentaires pour les distribuer ensuite). Et là, même un constructeur bon élève sur le marché sera handicapé par un opérateur qui préférera vous faire renouveler votre téléphone (et votre emprisonnement engagement pour 24 mois) plutôt que dépenser de l’argent sur un truc qui ne rapporte rien.

Des alternatives compliquées

Même les plus aguerris pourraient avoir du mal à contourner ce problème. Les opérateurs et les fabricants verrouillent de plus en plus souvent leurs appareils pour, officiellement, empêcher l’installation de logiciels malveillants, avec comme justification courante l’intégration du paiement au cœur du système (ou des DRM dans le cas de Netflix notamment), dans la pratique un système alternatif qui lui serait à jour et sous le contrôle de l’utilisateur. Quand bien même un tel système alternatif existe globalement (LineageOS étant l’un des plus connus, étant le descendant de CyanogenMod), le portage pour un appareil particulier repose essentiellement sur la volonté du fabricant des composants principaux de fournir des pilotes de gestion matérielle pour une version donnée. Malgré tout, une telle installation n’est pas à la portée du commun des mortels : qui comprend la phrase « il faut rooter le téléphone, déverrouiller le bootloader puis reboot sur TWRP, flasher ta rom et installer les gapps » sans être technicien, quand la plupart ne sont même pas conscients d’utiliser Chrome en navigateur Web (d’ailleurs c’est quoi un navigateur) ?

Je suis bien évidemment conscient que la cible de ma réflexion n’est pas non plus un modèle du genre en matière d’hygiène numérique, mais quitte à commencer quelque part, autant leur donner un bon outil, tout comme on essaie de trouver la « juste » distribution Linux pour les personnes que l’on assiste au Premier Samedi du Libre. Et un bon outil qui ne coûte pas un bras en matière d’Android est pratiquement mission impossible. Et ce n’est pas moi qui le dit, même si le retour de Nokia pourrait aider un peu si les promesses sont tenues. Pour autant, il est compliqué de conseiller un appareil neuf dernière génération qui coûte plus qu’un salaire pour pratiquement la moitié de la population de ce pays. Mais il est facile de disposer d’un appareil ayant jusqu’à deux ans d’ancienneté, à un prix beaucoup plus abordable, et qui pourtant continuera de bénéficier de mises à jour pendant encore plus longtemps que la majorité des équivalents « robotiques » fraîchement sortis des usines chinoises.

Pour autant que je puisse en juger, le fait que beaucoup d’applications soient payantes contrairement à Android (où moi-même je n’ai jamais payé une seule application, mais je suis un bon élève en matière d’usages) permettrait également de limiter l’obésité de merdasses en tout genre installées sur l’appareil qui le rendraient inutilisables au bout de deux mois; et c’est du vécu, et pas qu’une fois, je sais que ce n’est pas un mythe. Si cette barrière pouvait représenter un des moyens d’ouvrir « un premier chakra » vers une utilisation plus responsable de son appareil, étant donné l’importance qu’il prend chaque jour un peu plus dans nos vies, ça sera une petite victoire. Pour l’instant la politique d’Apple n’appelle pas à abuser de ce que vous leur confiez, les marges sur les appareils étant suffisamment larges pour ne pas avoir à refourguer au plus offrant tout ce qu’ils peuvent détenir. Contrairement à Android, où la plupart de ce que vous utilisez gratuitement se fait sur le dos de votre vie, de votre comportement.

Maintenant, reste l’éducation plus large : quand on me demande de réparer l’écran d’un smartphone pour un gamin de 7 ans, qui m’a déjà rapporté de l’argent grâce à deux réparations d’écran de l’ordinateur portable des mêmes parents, le combat est peut-être ailleurs. Il n’y a malheureusement pas d’alternative crédible à une utilisation saine d’un smartphone à l’heure actuelle (non, le Librem 5 de Purism n’est pas une alternative crédible pour le grand public), et l’éducation de personnes qui ne veulent pas faire l’effort de comprendre les enjeux de la numérisation de leur vie est un combat qu’il sera difficile de mener sans outil. Ou peut-être sans exemple majeur, dans le sens catastrophe globale, qui impactera directement les personnes (un carrefour dangereux ne sera jamais aménagé tant qu’un fils de préfet, de conseiller général, que sais-je, n’aura pas été touché par un drame). Sur iOS, le Celebgate n’a pas plus que ça réveillé les consciences sur le problème de la sécurisation de ses accès en ligne et de l’utilisation du « Claoude », et les piratages de comptes en lien avec les fuites de données de services privés sont devenus banal.

On va dire que je vieillis, mais n’est-ce pas nos grands-parents qui avaient tendance à nous dire qu’il nous faudrait une bonne guerre pour ressaisir le sens des priorités ? Tout le monde s’accorde à dire que c’est impensable, et pourtant, vu le futur qu’on se trace actuellement, rien n’est moins sûr. C’est quoi déjà le statut Facebook préféré des ados qui sont encore inscrits dessus ? « C’est compliqué »? Ça résume bien…

Quelques liens en vrac et en français, 23° édition

dimanche 8 octobre 2017 à 10:30

Encore et toujours de la lecture, je sais, je suis infatigable (à défaut d’écrire ou d’expérimenter, d’ailleurs plutôt dans l’autre sens). Ceci dit, dans ce numéro, se trouve certains résultats de mon ménage dans mes marque-pages, donc pas taper sur l’age des articles 🙂

L’ouverture des brevets de la recherche, un tabou pour l’Open Science ?

Alors que le mouvement vers une plus grande ouverture dans le partage des travaux de recherches scientifiques prend petit à petit de l’ampleur, en France il reste encore un vrai problème avec l’approche des brevets qui pourraient pourtant permettre à des universités de tirer un revenus ? Comme tout ce qui est réflexion sur le juridique, je préfère laisser la parole à de vrais experts 🙂

Optimisez votre système Linux avec Stacer

Un logiciel user-fridendly pour faire quelques opérations de maintenance, surtout sous Linux où en temps normal on trouve une tétrachiée d’astuces indépendantes en ligne de commandes, c’est pas cool ? Bon ceci dit, y’a certains travers (genre le clean de mémoire cache, pas nécessairement pertinent, ou la liste des paquets, beaucoup de dépendances qu’il ne faut pas supprimer), mais c’est quand même appréciable, et pas moche en plus. Après faut accepter une application node.js sur sa machine.

Nano pour les nuls

J’ai beau être devenu un inconditionnel de Vim, mes premières années de manipulation sous Debian se sont faites avec nano, et il faut reconnaître que pour les gens qui débutent, ça reste un logiciel très abordable qui ne manque pourtant pas de fonctionnalités.

Bien utiliser git merge et git rebase

Parmi mes lectures pour mieux appréhender Git, ce magnifique outil de gestion de code source, je suis tombé sur cet article qui donne quelques pistes sur la bonne utilisation de certaines options de git.

Changer le nom de l’utilisateur root de MySQL

On ne le dira jamais assez, si vous pouvez changer dès que possible les comptes d’administration par défaut de vos téléphones, box, appareils, bases de données, faites-le. Ici, c’est pour le fameux compte root de MySQL que vous est présenté la manipulation.

Le protocole HTTP

Un peu vieux et très long, cet article est pour autant toujours d’actualité vu qu’HTTP2 n’est pas encore disponible partout (et quand je vois le mal que j’ai eu à l’activer chez moi, vous allez encore voir du HTTP1.1 pendant des années mes cocos). Très pratique pour vraiment bien connaître le protocole qui est en passe de régir vos vies (puisque tous les services web l’utilisent, et l’on est amené à en utiliser de plus en plus).

Contourner l’authentification Linux en éditant le GRUB

Cette manipulation est avant tout pratique non pas pour détourner un système, mais surtout pour le dépanner quand son démarrage normal ne fonctionne plus. Du genre, vous avez pété le fichier de configuration des sudoers, et du coup impossible de passer root direct (puisque le compte n’est pas accessible par défaut, par exemple sur Ubuntu).

Comment maximiser les performances d’Nginx

A l’image de n’importe quel logiciel, Nginx n’est pas forcément au mieux de sa forme dans sa configuration par défaut. Ce billet est donc diablement intéressant et surtout qui propose des annexes en français d’aussi bonne qualité. A garder dans sa trousse à outils lors d’une enquête sur les performances nginx.

Linux : booster les accès en lecture à vos disques

Pareil que pour Nginx juste avant, notre bon vieux noyau peut être paramétré pour tirer le maximum de son environnement, pour peu qu’on y consacre un peu de temps. Et parfois avec des options très simples, bien que pas évidentes à deviner.

Mangez de la regex

Un des guides les plus intéressants que j’ai pu lire (et pourtant les regex continuent parfois de me résister), disponible dans plusieurs langues dont l’anglais et le français, et c’est disponible sur Github, donc hésitez pas à cloner ou à contribuer si vous en avez les capacités 🙂

Le point de montage du pseudo système de fichiers du noyau

J’ai eu toutes les peines du monde à écrire un tel article sur /proc, avant que je retrouve au tréfonds de mes archives cette page de wiki décrivant, avec au moins autant de clarté que ce que je cherchais à obtenir, le contenu et le fonctionnement de ce « dossier » très particulier de l’arborescence sur un système Linux.

Vais-je devoir changer de pseudonyme ?

jeudi 5 octobre 2017 à 18:30

Depuis que j’ai décidé de revenir à une activité publique régulière sur Internet avec mon pseudonyme remontant à 1998, il m’est régulièrement arrivé de me faire jeter par des systèmes de protections qui n’apprécient pas ce que je leur présente. Et ça me gonfle de plus en plus.

Oui, mon pseudo n’est pas le plus original du monde, mais il date d’une époque où mon cerveau d’adolescent fonctionnait comme celui de n’importe quel adolescent qui ne jurait que par MSN Messenger.

Mon encéphalogramme d’adolescent

Il existe sur Clubic depuis 2003, bien que je ne me rende pratiquement plus jamais sur le site, probablement sur certains sites qui ont disparu depuis (oui j’ai eu ma période chat Caramail, pour ceux qui sont assez vieux pour s’en souvenir), depuis 2006 je crois sur NextINpact, le domaine seboss666.info existe depuis 2011 (d’abord pour du privé, ensuite pour du public depuis 2013), bref, jamais ne s’était posé la question de la pertinence ou de la facilité à le prononcer (moi-même parfois je bafouille en voulant me présenter via ce nom).

C’était sans compter sur la débilité des automates censés nous protéger de différents problèmes : filtres de commentaires, antispam mail, il m’arrive régulièrement de me faire jeter salement parce qu’une partie de ce que je présente ne plaît pas aux fameux outils, sans que je puisse m’en défaire simplement.

Pour comprendre pourquoi, il faut reprendre le pseudo lui-même : seboss666. Une série de lettres qui se terminent par un nombre. Rien de transcendant, certains diront très classique même encore aujourd’hui pour de nombreuses personnes qui décident d’utiliser un pseudonyme, seulement, cette construction a été utilisée pendant de nombreuses années par les spammeurs industriels pour construire les adresses temporaires utilisées pour l’envoi en masse de messages publicitaires et/ou frauduleux, sans parler de la masse d’harceleurs anonymes qui peuvent s’attaquer aux personnes vulnérables sur les différents espaces publics, salons IRC, commentaires de blog, forums, réseaux sociaux… Un point que j’avoue n’avoir pas considéré lorsque j’ai décidé de devenir plus visible (notamment en participant aux commentaires d’autres blogs), mais qui cause des problèmes à de nombreux niveaux.

Les mails donc, il n’est pas rare que les messages que j’envoie finissent en spam ou en greylisting (les deux n’étant pas exclus), et comme les dossiers de spam tendent à devenir invisibles avec les outils de mail modernes, je tombe parfois dans le vide (certaines demandes d’autorisation de traduction ont certainement subi un tel traitement). Même hébergée chez un opérateur connu, à savoir OVH, je n’y échappe pas, et les bonnes pratiques (SPF/DKIM/DMARC/whatever chiantissime) ne suffisent pas car le délit de sale gueule se produit dès la lecture du nom de domaine, un peu comme un CV avec un nom pas trop français ou trop féminin sera rejeté direct par un recruteur misogyne et/ou raciste.

Il y a finalement plus pénible, car le mail ne représente qu’une partie mineure de ce désagrément : les commentaires de blog. D’emblée, pratiquement tous ceux qui utilisent akismet m’ont nécessairement fait chier à un moment donné, soit en détruisant directement le commentaire (il n’apparaît pas sur le site, il n’est pas en modération, et je n’ai pas de message d’erreur), soit en le passant directement en modération, le cas frustrant étant celui où l’on est pas prévenu. A la limite, je suis près à accepter de ne pas être publié automatiquement, après tout la gestion des commentaires d’un blog est de la responsabilité de son tenancier, mais en tant que contributeur légitime et respectueux (en tout cas c’est comme ça que je le considère), ça reste un poil rageant, mais au moins être prévenu par un petit « votre commentaire est en attente de modération » est sympa à voir. C’est normalement ce que vous vous voyez répondre par ce blog lorsque vous intégrez plus de deux liens dans votre commentaire. Et pas de solution miracle à par contacter le patron pour lui demander d’agir, quand il en a le pouvoir. Mais si c’est par mail et que je suis coincé…

Et puis il y a ceux qui refusent purement et simplement, comme dernièrement le blog-libre, en voulant ajouter un commentaire sur le blog libre. Le message est tout simplement insultant :

Aucune possibilité de validation manuelle de la part des propriétaires, le commentaire n’est même pas enregistré, et on a un vague message « ça plait pas, merci de tout revérifier ».

Autre problème : les routines de validation des formulaires, entre autres les adresses mails. J’ai du choisir une autre boite mail, que j’essaie pourtant de virer définitivement (c’est une boite Yahoo…) pour pouvoir commander ma place pour la Nuit du Hack parce que ma boite en seboss666.info n’est pas reconnue comme valide. Il est possible que l’extension info soit en cause, comme d’habitude je n’ai eu aucun détail sur la raison, mais avec je ne sur ce sujet, c’est une fois de plus frustrant.

Changer de pseudo, c’est comme changer de nom, c’est pas évident

J’ai connu des personnes qui changeaient de pseudo comme de chemise, qui en utilisent un par site différent, ou, et c’est du vécu dans le domaine du jeu vidéo, pour éviter de devoir assumer son passé de tricheur ou de boulet professionnel immature en se présentant à une nouvelle équipe. Ça n’a jamais été mon cas, même si pour être tout à fait honnête, j’utilise un autre pseudonyme pour le jeu vidéo : Morpheus, très original une fois de plus, et vous comprenez pourquoi j’utilise son visage en avatar partout, même pour Seboss666.

Et ça me semble très compliqué de devoir changer, tout comme on ne se voit pas facilement changer d’identité civile. Il y a peut-être des situations où ça semble approprié, comme un nom de scène, ou une protection de témoin dans le cadre de grosses affaires criminelles, mais sinon, on ne change jamais de nom dans la vie « physique ». Pourquoi est-ce que ça devrait être le cas dans la vie numérique ?

Ce pseudo n’a pas empêché mon futur (et maintenant ancien manager, coucou Ory) de s’intéresser à mes écrits et plus particulièrement ma sensibilité à la vulgarisation, un élément essentiel pour accompagner certains de nos clients les moins techniciens. Ce n’est donc pas un réellement un problème d’humain, mais bien de machine.

Et pourquoi pas mon vrai nom ?

On parle de pseudonymat ici, il n’est pas question d’anonymat, et n’importe quelle personne même peu technique mettra moins de deux minutes à retrouver mon identité civile. Même s’il n’y a pas d’association directe autre que l’avatar, il ne faudra pas longtemps à quelqu’un pour associer mon pseudo en jeu et mon pseudo principal. Certains font le choix de s’afficher directement avec leur nom. C’est leur choix, ça peut se comprendre, mais ça n’a jamais été mon cas même si j’ai évolué notamment dans la façon dont on peut découvrir mes différentes identités. Dans la vie physique je suis Sébastien, dans la vie numérique je suis Seboss666. C’est aussi simple que ça, les deux sont aussi sympas (moins timide en ligne peut-être), il n’y a pas de dissociation de personnalité, juste deux points d’entrée différents en fonction du contexte.

Pourquoi ? Tout simplement parce que certains s’arrêtent à ce pseudo quand ils le rencontrent et l’associent à l’activité qu’ils découvrent. Tout comme certains membres de ma famille ne connaissent pas mon pseudo, parce que je ne fais pas particulièrement de publicité. Le pseudo est donc d’abord là pour dire quel domaine il concerne, et rares sont les porosités, bien que ça soit de moins en moins le cas.

Donc non, je ne vois pas pourquoi je virerais tout pour juste afficher mon nom complet (en plus une recherche gogol fait remonter quelqu’un de complètement différent qui n’est même pas de ma famille).

Status quo alors?

Presque. Non j’ai pas envie de changer de nom. Et oui j’en ai ras le cul d’avoir à me justifier. Alors je vais rester comme ça, mais de plus en plus je vais éviter de perdre du temps. Ça vous plaît pas ? Tant pis, vous perdrez un contributeur, un contact, et moi je gagne du temps pour autre chose. Le temps n’est pas extensible (ou alors ma prochaine voiture doit être une DeLorean), autant arrêter de le gaspiller.