Un développeur, un statisticien et une graphiste : l’équipe datajournalisme d’OWNI a subitement pris de l’ampleur ce matin.

Premier test pour les new-comers de la soucoupe : après une rapide mise au parfum sur l’actualité de la semaine, trois sujets ont été retenus – le blocus israélien à Gaza, Roland-Garros et le sommet Afrique-France – et les huit datajournalistes mobilisés ont eu quinze minutes pour produire un mini-cahier des charges pour chaque projet.

Quatre heures plus tard, sur les écrans de l’open space, on pouvait voir :

-Un défilé de cartes, « France à quelle Afrique tu parles ? » : pour chaque sommet Afrique-France depuis 1973, quels étaient les pays représentés par leurs chefs d’États ? Quelle carte de l’Afrique ces données dessinent-elles ? Une visualisation en forme d’archipel à géométrie variable, en fonction de l’évolution des relations diplomatiques.

-Une infographie interactive liée à une base de données interrogeable sur les pays vainqueurs de Roland-Garros, de Wimbledon, de l’Open d’Australie et de l’US Open, par épreuve, et depuis 1990 : quelle est la couleur nationale du podium ? Quels sont les pays qui ont émergé dans le monde du tennis ces derniers années ?  Quels sont ceux qui sont sortis des palmarès ? Une visualisation avec des petites balles de tennis, déclinable à l’envie avec des ballons de basket, de foot, de baseball, etc., et les statistiques qui vont avec.

-Une visualisation sous forme de jeu de l’oie : comment traiter de façon ludique un sujet critique, avec le parcours de deux habitants de Gaza : Talal, l’entrepreneur, et Ahmad, le fonctionnaire : prix des clopes, accidents sanitaires, marché noir, taxes du Hamas, bakchich pour arriver à bon port, etc.

La fabrique du data #2 se poursuit par un passage en revue des projets dans les cartons.

@martin_u: motivé comme jamais sur ce genre de projet

Les projets déjà réalisés à améliorer

« Authentique ou retouchée » : côté développement : une V2 sur les rails, et côté éditorial une traduction geek-français et français-anglais à prévoir. Ce widget attire toujours plus de 1.000 utilisateurs par mois, assez pour qu’il deviennent intéressant de le doter d’un vrai petit écrin avec une url dédiée, et des fonctionnalités spécialement pensées pour les journalistes qui ont besoin de vérifier la provenance de photos crowdsourcées.

« Où je vote » : les élections sont passées, mais le crowdsourcing continue, 75% des données sont désormais qualifiées, un bel effort qui mérite d’être salué.

« Lycées.eu » : moins de quinze personnes ont utilisé cette application. Nous réfléchissons à la façon de la relancer car l’outil est potentiellement riche.

« La crise grecque en datajournalisme » : un vrai succès qui nous a donné l’idée de lancé une Data TV, sous forme de rendez-vous hebdomadaire de décryptage de gros volumes de données grâce aux gadgets Google Motion Charts. Qu’en pensez-vous ?

Les projets dans les tiroirs

« Le media ring » : le moins qu’on puisse dire, c’est que l’équipe ne manque d’idées pour questionner la popularité de nos médias dans les réseaux sociaux. Façon combat de boxe, avec une petite application où l’on pourrait réunir virtuellement les équipes de supporters-followers-Ilikers et vérifier… laquelle a la plus grosse. Façon widget pour site d’information : nous aimerions ajouter quelques stats au dessus des traditionnels boutons « partager sur Facebook », « partager sur Twitter », etc. Et si on se met à rêver, on pourrait même vous proposer une application Amazon-like du style « les lecteurs qui ont twitté cet article ont aussi twitté celui là » : merveilleux pour mettre en valeur des archives et capt(iv)er les lecteurs sur un site.

« Éoliennes » : Christine Tréguier, journaliste à Politis, mène depuis plus d’un mois une enquête sur le prix de l’énergie selon ses différents modes de production. Nous nous apprêtons à illuminer son travail par quelques visualisations. Le résultat sort bientôt sur OWNI.

« La vie en prison vue par les données » : projet un peu laissé de côté par manque de matériau, nous comptons le relancer sous forme de web-docu.

Les nouveaux projets

« Appli vélib cassés » : vous n’avez qu’à prendre en photo un vélib cassé ou une station vide, nous agrégeons les données pour vous fournir une carte en temps réel de l’état des vélos et du réseau à Paris.

« Clean your Facebook » : une petite appli pour nettoyer les photos où vous avez été taggués, vos updates de statuts et autres wall-plaisanteries, ça vous tenterait ? Le droit à l’oubli, ça vous intéresse ?

« Les liens entre les hautes sphères du CAC 40 » : la très chouette visu d’Alternative Eco nous a donné plein d’idées : nous aimerions réaliser un graph relationnel des liens entre les membres du CAC 40 : écoles fréquentées, rémunération, présences dans les conseils d’administration, etc.

« Visualiser les subventions versées par le conseil régional d’Île-de-France » : l’article de H16 nous a mis l’eau à la bouche, on reviendra dessus avec de la visu.

« La réforme des retraites en visu » : plusieurs problématiques nous semblent pertinentes : scénario de réforme des retraites en France, comparaison entre l’âge légal de départ à la retraite et l’âge réel, panorama européen des systèmes de retraite, etc. Les données ne manquent pas, nous cherchons un partenaire pour nous aider à avoir un regard « clair » sur la situation.

« Presse papier vs presse sur le web : quel circuit de distribution ? » : une infographie montrant le trajet d’un article depuis sa conception par une entreprise de presse jusqu’à son appropriation par un lecteur, sur le papier et sur le web. Notre idée est de démontrer que le web peut décupler vos contacts avec votre public.

« Les Big Brother Awards : découvrez-les par les données » : nous avons un magnifique projet d’interface pour les archives des Big Brother Award : une visualisation de plusieurs centaines de dossiers sous forme d’éco-système navigable par thème et par acteur. A l’arrivée, une visualisation capable de raconter l’évolution de la société de surveillance en France.

« La carte des morts aux frontières » : 3.700 points à placer sur une à partir de ce très riche document. Histoire de traiter de sujets importants pour nous, et pas foncièrement LOL.

Et bien sûr, puisque la soucoupe n’a pas embarqué que des datajournalistes, nous vous préparons des dossiers, des analyses et des archives pour agrémenter tous ces projets.

Il ne vous reste plus qu’à guetter les retombées de cette riche journée sur les pages d’Owni.fr, ou ailleurs.

Vous êtes journaliste, développeur ou graphiste, et vous avez des idées de visualisation autour de base de données interrogeables ? N’hésitez pas à nous contacter (contact[at]owni.fr)

Vous faites partie d’un média et souhaitez coproduire l’un de ces projets ou une autre coproduction? Contactez-nous (contact[at]owni.fr) !

—

Illustrations CC Flickr par Extra Ketchup

La DPSD et la DRM sont loin d’êtres les seules entités de l’armée dans ce cas. Citons, ainsi, l’Ecole militaire, le Commandement Air des Systèmes de Surveillance, d’Information et de Communication, le service de santé des armées, le responsable de la communication de l’armée de terre sur le quart sud-est de la France, la direction des ressources humaines de l’armée de l’air et la direction du personnel militaire de l’armée de l’air, un administrateur civil de la Délégation aux affaires stratégiques, placée sous l’autorité directe du ministre de la Défense et chargée du conseil géopolitique, stratégique et prospectif…

Les mails de Sarah Palin et de députés piratées

Non content de déléguer la gestion de leurs boîtes aux lettres électroniques à des sociétés privées dont certaines sont contrôlées par des entreprises américaines, ces militaires prennent aussi le risque, tout bête, de se voir pirater leurs adresses e-mails.

Car le problème, avec ces webmails, c’est qu’il suffit de cliquer sur le lien “J’ai oublié mon mot de passe” pour se voir proposer de répondre à une ou deux questions du type “Où avez-vous rencontré votre conjoint ?” pour réinitialiser le mot de passe, et donc prendre le contrôle de la boîte aux lettres. Ce qui est arrivé, l’an passé, à Sarah Palin, leader du parti républicain aux Etats-Unis. Sa question supposée secrète était “où avez-vous rencontré votre mari?” La réponse était sur le web. Deux députés français se sont également récemment fait ouvrir leurs boîte aux lettres virtuelles de cette manière.

L’attaque contre Twitter, menée par le désormais célèbre Hacker Croll, se fondait également sur une faille de sécurité des webmails. En l’espèce, un employé de Twitter utilisait Gmail, qui proposait d’envoyer le mot de passe oublié à une adresse e-mail secondaire. Cette dernière, hébergée chez Hotmail, était désactivée. Croll n’a eu qu’à la réactiver pour récupérer le mot de passe…

Une étude a montré que 20% des internautes pouvaient deviner les réponses aux questions de sécurité de leurs amis. Au Texas, des chercheurs se sont aperçus que 30% des noms de jeune fille des internautes pouvaient être obtenus en consultant des archives publiques.

Une équipe britannique a établi qu’un cracker avait à peu près 1 chance sur 80 de trouver la réponse aux questions de sécurité de type “Quel est le nom de jeune fille de votre mère ?” en se basant uniquement sur les noms les plus courants. En Corée par exemple, où la concentration des noms est la plus forte, vous avez 40% de chances que le nom en question soit Kim, Park ou Lee.

Des centaines de milliers d’e-mails vulnérables

Pour mieux mesurer l’ampleur du problème, j’ai proposé à Nicolas Kayser-Bril, “datajournaliste” à Owni.fr, de développer une petite application, que nous avons intitulé mail.icio.us, afin de voir combien d’adresses e-mails vulnérables sont disponibles sur les sites des principales administrations. Et force est de constater qu’elles sont légions.

On dénombre ainsi près de 55 000 mentions d’adresses utilisant des webmails piratables sur l’ensemble des sites en .gouv.fr, plus d’une dizaines de milliers d’associations et de contacts sur celui du Journal Officiel, des centaines de mairies sur service-public.fr, mais également, et c’est plus gênant, des centaines de contacts dans les ambassades et d’adresses d’expatriés sur le site du ministère des Affaires étrangères, de militaires ou prestataires sur celui de la défense nationale, des dizaines d’experts automobiles sur celui de la sécurité routière, de professionnels de l’éducation nationale, une trentaine de députés…

Aux États-Unis, on trouve ainsi plus de 750 000 mentions d’adresses utilisant des webmails sur l’ensemble des sites en .gov, dont plus de 25 000 sur les serveurs de l’armée américaine, un millier sur ceux de la NASA, la National Science Foundation ou la Chambre des représentants, et près de 100 sur le site du FBI…

La situation est encore plus critique dans les pays où les fonctionnaires n’ont pas d’autre choix que d’utiliser des webmails, par manque d’infrastructure locale. En Afrique, la plupart des ministres utilisent des boîtes mail hébergées par Yahoo. Et sur les 40 contacts de l’Agence Internationale à l’Energie Atomique en Afrique, par exemple, pas moins de 21 utilisent Yahoo.

Ces données ont été récupérées à partir de listes des administrations aux Etats-Unis, en France et en Allemagne.

Nous avons ensuite utilisé l’API de Google Search pour obtenir une estimation du nombre de pages contenant une adresse webmail @hotmail.fr (et .com), @yahoo.fr (et .com), @laposte.net ou @voila.fr, les plus “simples” à pirater. Cette estimation n’est pas extrêmement fiable, ce qui explique les différences de résultats entre nos données et celles que vous pourrez trouver en faisant une recherche vous-même. Par ailleurs, le chiffre compte des pages, qui peuvent contenir plusieurs adresses e-mail (voir l’appli mail.icio.us).

Alors que le Pentagone se prépare sérieusement à la “cyber-guerre“, tout comme la gendarmerie française, il est frappant de constater des failles béantes dans la sécurité des administrations nationales. Le gouvernement dépense des dizaines de millier d’euros pour assurer la sécurité de ses communications privées (voir chez Thales, par exemple). L’utilité de ces défenses est sérieusement diminuée si un assaillant peut avoir accès à de nombreuses boîtes e-mails au sein de l’administration.

Une fois à l’intérieur d’une boîte mail, un cracker peut facilement gagner la confiance des collègues ou des supérieurs en se faisant passer pour sa victime. Il est alors plus facile de leur envoyer des logiciels malveillants en pièces jointes. Une bonne partie de l’opération Aurora, lors de laquelle Google a été attaqué en Chine, s’appuyait sur ce type de stratégie (voir cette présentation).

Les solutions sont très faciles à implémenter. Il suffit d’utiliser des webmails plus sécurisée ou d’utiliser les solutions mises à disposition par l’administration (les adresses de type prenom.nom@ministere.gouv.fr). Rajoutez à ça un bon mot de passe et vos communications en ligne deviennent beaucoup, beaucoup plus sûres. Ca n’empêchera pas un assaillant déterminé d’avoir accès à vos données. Mais ça lui compliquera la tâche.

Contactées, la DRM et la DPSD n’ont pas voulu répondre à nos questions. A suivre, une interview d’Eric Filiol, directeur d’un laboratoire de virologie et de cryptologie qu’il avait créé du temps où il était lieutenant-colonel de l’armée française, et un manuel de contre-espionnage informatique, pour apprendre à se protéger.

__

Retrouvez les autres articles de ce premier volet de notre série sur le Contre-espionnage informatique : Blinde ton mot de passe et Enquête : 70 centimes les 1000 captchas.

Retrouvez également les deuxième et troisième volets de cette série sur le  Contre-espionnage informatique.