Analyses

2 millions de commentaires en 48 heures : analyse d'une attaque de spam massive

Les attaques de spam de commentaires sont devenues si courantes que le moindre site publiant son premier article sous Wordpress est à peu près certain de se retrouver ajouté dans les bases exploitées par des botnets dans les minutes qui suivent. Même si elles ont évolué avec les années, devenant de plus en plus violentes et industrialisées, elles ont toutefois toujours le même objectif : améliorer le positionnement de sites – pas toujours liés au viagra, poker, et autres emprunts toxiques – dans les moteurs de recherche.

Les attaques massives et réellement ciblées sont un peu plus rares, mais elles peuvent arriver sur des pages bien positionnées dans les moteurs de recherche. J’ai subi l’une d’entre-elles durant les deux derniers jours : 2.316.822 commentaires ont été postés sur un seul et même article par 1013 hôtes différents.

Comme le sujet m’intéresse, j’ai effectué une analyse post mortem de l’attaque que je vous propose de découvrir ici avant d’aborder les différentes manières de vous protéger, en fonction de vos possibilités.

La cible

En dix ans de blogging, c’est la première fois que je subis à une attaque aussi violente et ciblée sur un de mes sites. Je ne m’en suis aperçu qu’à la suite de la publication de certains commentaires. Le site n’a connu aucun pic de charge, et je ne me suis rendu compte de rien durant l’attaque. Ceci était un message adressé à ceux qui pensent que Rails ne scale pas et que Typo est un bloatware. Ça s’est dit.

L’attaque n’a ciblé qu’un seul article du site, sur plus de 1000 publiés. Ironie du sort, il s’agit de La sécurité du Web passera-t-elle par vous ?, un article sur les développements Web sécurisés. L’article avait eu pas mal d’échos et avait été bien relayé, au point de disposer pendant assez longtemps d’un Page Rank 6 jusqu’à la dernière Google Dance.

Je n’utilise pas Wordpress, ni un des outils de blogging les plus répandus, ce qui implique un scan préalable de la page afin de trouver les champs – particulièrement évidents – du formulaire de commentaires.

Analyse technique

L’attaque a commencé la 2 mai 2012 à 02:15 du matin, pour s’achever le 3 mai à 23:00, quand j’ai fermé les commentaires sur l’article ciblé. Sur plus de deux millions de commentaires, seule une cinquantaine a réussi à passer Akismet. Si une telle attaque vous arrive, n’essayez pas d’accéder à la page des commentaires via l’interface de votre outil de blog : avec une telle quantité de données, tout ce que vous obtiendrez sera une page blanche pour timeout ou pour avoir atteint le memory limit.

Supprimez simplement les commentaires en SQL dans la base de données. Nettoyez d’ailleurs régulièrement le spam de votre blog, cela limitera le nombre d’enregistrements sur lequel votre outil de blog doit travailler. Vous gagnerez ainsi en performances.

Vous obtiendrez la plupart des informations sur l’attaque en analysant les logs de votre serveur Web. Pas besoin d’aller chercher midi à quatorze heures, les outils UNIX de base sont largement suffisants.

Une fois la tempête passée, isolez les logs de l’attaque. Pour cela, j’ai concaténé les logs des trois derniers jours et lancé :

grep "la-securite-du-web-passera-t-elle-par-vous.html" access.log > evil.log

Pour être encore plus précis, limitez-vous aux requêtes POST, qui correspondent à l’envoi effectif des commentaires :

grep POST evil.log > even-more-evil.log

Vous obtiendrez un fichier dont toutes les lignes ressemblent à :

123.30.183.119 - - [03/May/2012:07:07:27 +0200] "POST /comments?article_id=7446 HTTP/1.1" 302 139 "http://t37.net/la-securite-du-web-passera-t-elle-par-vous.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

Chaque ligne des logs est divisée en plusieurs parties qu’il est intéressant d’analyser.

123.30.183.119 : l’adresse de la machine depuis laquelle l’attaque est menée. Elle permet de récupérer des informations utiles : nombre de machines utilisées, localisation géographique…

[03/May/2012:07:07:27 +0200] : la date à laquelle la requête HTTP a été effectuée. Cela permet d’analyser le nombre de commentaires par minute, et l’évolution de l’intensité de l’attaque dans le temps. J’ai un peu la flemme de sortir les chiffres exacts et de faire un zouli graphique, mais le flux a été à peu près constant d’un bout à l’autre de l’attaque.

"POST /comments?article_id=7446 HTTP/1.1" : le type de requête HTTP, la page appelée et la version de HTTP utilisée.

302 : le statut HTTP obtenu. Après appel à l’URL de publication du commentaire, l’utilisateur est redirigé vers l’article sur lequel ce dernier a été publié.

http://t37.net/la-securite-du-web-passera-t-elle-par-vous.html : le referrer, c’est à dire la page dont vient le visiteur. Il nous apprend que la page a été systématiquement chargée avant de publier le commentaire. L’attaquant aurait simplement pu envoyer des requêtes POST avec les bonnes données, mais ce n’est pas le cas. Cela signifie probablement qu’il s’agissait d’une page parmi une liste d’autres, et pas d’une attaque spécifiquement contre mon site.

"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" : le user agent. Il s’agit d’une trace laissée par chaque navigateur permettant de savoir à qui on à affaire. Un tour sur Google permet de savoir qu’il s’agit du user agent d’un botnet. Rien de très surprenant.

Pour extraire les adresses IP utilisées, un petit : cat eve-more-evil.log | cut -f 1 -d ' ' | sort -u vous permettra d’en récupérer la liste exhaustive. Un petit coup de GéoIP ou autre base de données permet de savoir que les attaques proviennent de Chine, du Viet Nam, de Thaïlande et d’Indonésie. Cela vous permettra du même coup de savoir combien d’hôtes différents vous ont attaqué.

Il pourrait être intéressant de suivre de près le comportement de chacun des hôtes dans le temps, les variations des attaques etc… mais là, franchement j’ai la flemme. Tout ce que je peux dire, c’est que l’attaque était soutenue, mais que chaque hôte ne devait pas attaquer trop violemment puisque les commentaires sont passés au compte goutte d’un bout à l’autre de l’attaque. Il n’y a donc pas eu de blacklist de ces hôtes, ou alors pas assez.

The Internet is for porn

L’attaque concernait des sites pornographiques montrant des jeunes filles pas vraiment en age de pratiquer ce genre de métier, du moins pas sous nos latitudes. Contrairement à ce que j’ai pu voir ces dernières années, les commentaires ne visaient pas à faire ranker directement le money site, mais des sites satellites installés sur des fermes de blogs gratuites un peu partout dans le monde proposant des liens en dofollow. La plate-forme de blogs de Free fait partie de ces sites relais.

Chacun des sites relais ne comporte qu’un seul article, un lien d’une ligne dans un h1 vers le money site avec les mots clés qui vont bien (et sur lesquels je ne tiens pas particulièrement à me positionner).

La majorité des commentaires était en anglais, mais une partie d’entre eux était en indonésien, bien que les ancres des liens fussent en anglais. Toute la sémantique du thème abordé est utilisé dans du texte visiblement généré avec un outil de spinning.

On distingue à ce propos deux types de contenus :

• Des contenus directement liés à la thématique abordée avec un certain sens, même si ce dernier se trouve alteré par le spinning.
• Des contenus mélangés avec des extraits de spams plus classiques dans d’autres thématiques : emprunts, voyages, diplômes, banque… avec le vocabulaire qui va bien au milieu.

Comment se protéger

Avec une capote pas percée. Il existe différentes manières de se protéger d’une attaque, en fonction de vos compétences techniques, et des possibilités que vous laisse votre hébergeur. J’avoue avoir fait simple et efficace : il était tard et j’étais crevé, donc j’ai fermé les commentaires sur l’article visé.

La solution globale la plus simple consiste à utiliser un anti spam, installé localement comme Spam Karma, ou hébergé comme Akismet. Notez que ces outils ne sont pas infaillibles : il arrive qu’ils laissent passer des commentaires visiblement spammy, on parlera de faux négatifs, ou bloquent au contraire des commentaires tout à fait légitimes, et on parlera de faux positifs. Une vérification manuelle régulière est donc recommandée.

La solution la plus extrême consiste à bloquer les blocs IP des pays posant problème, en considérant nulle ou quasi nulle le fait qu’une personne de ce pays puisse être un visiteur légitime. Elle exige que vous ayez les droits d’administration sur votre machine, et je ne suis pas du tout fan de bloquer l’accès à un site à une partie du monde si aucune règle juridique ne l’exige.

Une bonne solution intermédiaire consiste à utiliser Fail2Ban. Fail2Ban bloque temporairement les indélicats en fonction d’un certain nombre de règles, à partir de l’analyse de vos fichiers de logs. En pratique, il peut être utilisé pour faire à peu près n’importe quoi dès que les conditions spécifiées sont réunies.

Il reste que, tout comme la lutte contre les virus, la lutte contre le spam est une course sans fin passée à courir derrière les spammeurs. Même s’il est possible de tentre de prévoir les comportements et les thématiques à venir, ils auront toujours une longueur d’avance sur les outils chargés de les contrer, et ils s’y connaissent pour innover.

Autopsie d'une opération de link building avec du linkbait dedans : le blog Usabilis

Usaddict, le blog de l’agence Usabilis a mis en ligne la semaine dernière une liste de 13 blogs et sites francophones sur l’ergonomie. On y trouve de nombreux classiques du genre, à commencer par celui-ci, et je ne peux que vous en recommander la lecture.

Cette introduction liminaire© terminée, entrons vite dans le vif du sujet.

Cette publication fut précédée et suivie d’un e-mail du directeur de l’agence annonçant l’opération, et demandant aux éditeurs des sites mentionnés de bien vouloir publier un petit article, histoire promouvoir les initiatives dans notre domaine. Je récapitule de mémoire, mais c’était plutôt bien dit, et plutôt incitatif comme il faut, limite insistant pour le second.

Rien n’est gratuit dans la vie, ou alors, c’est vous qui êtes à vendre. Le quémandage de liens m’horripilant profondément depuis que j’ai mis mon premier site en ligne, je n’ai pas donné suite. Je sais que c’est fort discourtois de ma part, mais ni le mail façon “Si tu veux bien être mon ami je serai aussi ton ami”, ni le ton employé ne m’ont plu. Je dois être un connard de blogueur influent ©®™ à l’ego surdimensionné ou quelque chose dans ce goût là, mais passons.

Ce week-end, en rangeant ma boite mail un peu délaissée depuis une semaine, je suis retombé sur le mail de relance, et suis finalement allé jeter un oeil à ce fameux article. Le fait d’être en première position au milieu de sites de grande qualité n’a pu que satisfaire mon ego surdimensionné de blogueur influent ©®™, donc jusque là, rien à dire. Ou presque.

Le treizième blog cité est celui sur lequel l’article est publié, accompagné d’une pile de liens aux ancres bien optimisées vers les rubriques importantes du site de l’agence, à la limite de ce qu’on appelle du keyword stuffing dans les milieux autorisés.

Nous avons gardé le meilleur pour la fin ;) Notre blog vise à diffuser les bonnes pratiques de l’ergonomie des IHM et à promouvoir la conception centrée utilisateur. A ce titre, il se veut complémentaire à nos formations en Ergonomie des interfaces, Ergonomie web, Ergonomie mobile et tactile et Architecture de l’information.

Je vous laisse deviner où se situent les liens.

“Ho ho !”, dit-il en portugais, et en riant, car n’oublions pas que c’était sa langue maternelle, et qu’il parlait couramment les deux langues. Un clic droit plus tard, j’avais la confirmation de ce que je pensais : nous avons bel et bien affaire à une opération de SEO rondement menée. Les référenceurs qui me lisent me diront ce qu’ils en pensent, mais personnellement j’hésite entre de l’art et du spam (donc du cochon).

Récapitulons pour ceux qui voudraient faire pareil :

1. Écrivez un article sur un blog A liée à votre activité commerciale, mais située sur un domaine différent de votre site institutionnel. C’est ce site que l’opération va chercher à positionner. Cet article parlera des 12meilleurs sites traitant des thématique sur lesquelles vous voulez travailler, aussi s’ils ont une réelle autorité (au sens Googlien du terme) sur le sujet, c’est encore mieux. N’hésitez pas à y mettre tous les termes qui vont bien, et à faire un article de qualité afin d’appâter le chaland, sinon ça marchera beaucoup moins bien, forcément.

2. Choisissez soigneusement le titre : il doit être alléchant pour donner envie de lire votre article et contenir des mots clés sur lesquels vous positionner. Les listes marchent toujours très bien, c’est un classique du linkbaiting, facile à lire, et facile à relayer.

3. À la fin de l’article, ajoutez un bloc de texte truffé de liens vers le domaine B, celui que vous souhaitez positionner. Faites les pointer sur des page intérieures, tant qu’à faire, avec des ancres parfaitement optimisées. Par exemple, si vous êtes dans la triperie, vous pourrez travailler le boudin noir, les andouillettes AAAAA, le tripoux etc…

4. Demandez gentiment (ou en insistant un peu si ça ne marche pas du premier coup) aux sites cités dans 1. de faire un petit article parlant de votre initiative. Après tout, vous leur faites de la pub et leur apportez du trafic, ils peuvent bien fous faire ça en retour. Le tour est joué, vous venez de vous faire une jolie petite pyramide de liens profonds depuis des sites hyper pertinents avec des mots clés tout beaux tout jolis. Évidemment ça aurait été encore mieux si le site que vous voulez positionner n’affichait pas un lien vers le blog A, mais bon, nul n’est parfait.

5. Cerise sur le gateau, vous récupérez également tout le “jus” des média sociaux, Twitter, Facebook, Google+, et j’en oublie puisque votre linkbait aura été largement rediffusé.

On va encore dire que je vois le mal partout (plutôt la femelle en fait). Pour ma part, je trouve que cela se rapproche du cas d’école, si on excepte le lien de B vers A, d’autant que les ressources sur lesquelles pointent l’article sont vraiment intéressantes. Du coup, je joue le jeu, d’autant que ça vaut bien un 8/10.

Ce que la visite d'une aire de jeux pour enfants peut apporter à votre business model

Photo Niall Kennedy

Les aires de jeux couvertes apportent une merveilleuse réponse à l’équation quasi insoluble que représentent des enfants et une journée de mauvais temps en leur permettant de se défouler sans devoir aller dehors. Elles sont également un business très rentable que j’ai eu l’occasion d’étudier cet après-midi en observateur et dont les différentes briques sont autant de sujets de réflexion dans la recherche d’un modèle de revenu pour une startup.

Des couts structurels simples et réduits avec de fortes marges

Je passe assez rapidement sur la structure de telles aires de loisirs : ce sont des classiques dans la recherche d’un modèle de revenu : réduction des coûts et vente de produits à forte valeur ajoutée. Ce qui m’intéresse, ce sont les mécanismes mis en place pour faire tourner le tout.

La structure de tels espaces de jeux est très simples :

• Un hangar.
• Les modules de jeux (imaginez les modules de jeux du Mac Do en 20 ou 30 fois plus grands).
• Un bar.
• Un point de paiement unique.

Le principal avantage, c’est qu’une fois la structure en place, il n’y a pas un fort besoin de renouvellement comme dans les Luna Park ou les salles de jeux vidéos : il s’agit simplement de fournir aux enfants un cadre pour s’amuser, c’est eux qui créent à la fois le jeu et le gameplay.

Une fois la structure mise en place, les coûts principaux sont :

• Assurances.
• Entretien des jeux (nettoyage notamment)
• Achats des provisions (rentabilisées au bar)

Côté personnel, il est limité au maximum :

• 1 caissière
• 1 caissière / barmaid
1 barmaid

Le bar se trouve à côté de la caisse, ce qui permet à chaque personne est interchangeable en fonction de l’affluence, et il est impossible de payer puisque les enfants sont en chaussettes et remettent leurs chaussures à la caisse en arrivant. Il n’y a pas besoin de personnel pour surveiller les enfants puisque ceux-cis sont à la charge des parents.

Un tarif dégressif dans le temps

La plupart des systèmes par abonnement cassent leurs prix les 3 premiers mois ou la première années afin d’attirer les nouveaux clients. Chez les opérateurs téléphoniques, la souscription à un nouvel abonnement donne droit à un terminal à prix cassé. Une fois cette période d’essai terminée, l’abonné va payer plein tube, souvent le double de ce qu’il payait au début, avec des engagements le plus souvent annuels.

Ces parcs à thème ont un mode de fonctionnement exactement inverse. La première heure est la plus chère, aux alentours de 7 euros, puis on bascule en mode illimité pour le reste de la journée pour seulement 2 euros 50 de plus.

• Dans tous les cas le prix du billet reste en dessous des 10 euros.
• C’est à vous de gérer votre temps. Il n’y a pas d’horloge dans la salle, et l’heure d’arrivée n’est pas mentionnée sur votre ticket d’entrée. Selon le patron de la salle, plus de la moitié des gens dépassent l’heure de 5 à 10 minutes, très peu de gens restent plus de 2h30.

Il existe également un abonnement permettant de venir à volonté durant l’année. Il peut sembler intéressant, mais l’enfant doit venir au moins 25 fois pour le rentabiliser, soit au moins deux fois par mois. Le rythme est le même que pour les cartes de cinéma illimitées, à ceci près que l’intérêt de revenir aussi souvent est difficilement renouvelé, notamment à cause de l’immuabilité de la structure.

Des consommations abordables

Ces espaces de loisirs sont des lieux retenant les clients captifs pour toute la durée de leur présence : il est interdit d’y consommer des produits apportés, et toute sortie des enfants est définitive. Là où la majorité des lieux du même type, comme les piscines municipales, les trains ou les cinémas propose des consommations à des tarifs prohibitifs, ces salles de loisirs les vendent à des prix psychologiquement bas : 1 euro le café, 1 euro 60 le coca 25cl à la fontaine…

• Les parents qui attendent leurs chères têtes blondes sont plus enclins à consommer, au moins une fois par heure.
• Le tarif n’est pas bloquant pour une sortie familiale, et les parents offrent plus facilement à boire et à manger aux enfants – qui sont là, rappelons le, pour se défouler, donc pour transpirer.

C’est le modèle utilisé par iTunes, les app stores, mais également par beaucoup d’applications mobiles ou de services qui proposent des achats de monnaie ou de bien virtuels in app : proposer des articles à un prix unitaire psychologiquement bas, mais avec une addition finale pouvant s’avérer salée.

Un paiement global à la sortie

À votre arrivée dans la salle de loisirs, les enfants sont enregistrés (nombre et dates de naissance), et on vous remet une carte à remettre en sortie. Outre votre heure d’arrivée, cette carte permet d’enregistrer toutes les consommations prises au bar, ou les services additionnels comme la garderie.

• Pas besoin d’apporter de monnaie pour consommer, puisque tout est payé à la sortie.
• Les enfants les plus grands, pour peu que leurs parents leur remettent la carte, peuvent aller se chercher à boire ou à manger. Cette technique permet de contrer les objections comme “je suis assis je ne bouge plus” ou “je surveille ta petite soeur” et augmente très fortement le nombre des consommations vendues.

Ça ne vous rappelle rien ? C’est exactement le mode de fonctionnement d’iTunes. Une fois le mot de passe tapé sur votre iPhone ou votre iPad pour télécharger un MP3 ou mettre un petit jeu à 79 centimes à jour, plus besoin de code pour acheter (chez moi ça ne marche pas, je ne gave pas mes enfants de sucreries, et l’utilisation de l’iPhone / iPad est hyper encadrée et réglementée, mais mes enfants sont beaux, intelligents et bien élevés, et ils ne réclament jamais).

Une grille de tarifs à tiroirs qui peut vite s’avérer confuse

Le dernier point qui m’a intéressé est la grille des tarifs extrêmement riches, et visiblement volontairement confuse, puisqu’il existe une bonne dizaine de prestations pouvant se combiner ou non, à options ou non, qui rendent le calcul du coût d’une journée en amont particulièrement difficile.

Quelques exemples :

L’entrée de base dépend à la fois de l’âge des enfants (moins de 1 an, moins de 2 ans ou plus de 2 ans) et de leur nombre, sachant que le tarif réduit s’applique aux enfants d’une même famille s’ils sont 3 ou plus. La réduction se fait d’ailleurs sur l’ensemble des billets et non sur le billet du troisième enfant.

Il existe au moins deux forfaits anniversaire à partir de 8 enfants, un “journée”, et un “repas”, avec une options “Champomy et sodas à volonté” qui rajoute 3 euros à chaque enfant, l’offre standard faisant un peu cheap. Il n’existe – heureusement – pas de tarifs en fonction de l’âge ou de tarifs dégressifs en fonction du nombre, sinon je ne vous explique pas le mic mac.

Pour résumer

Je sais, je devais vraiment m’emmerder pour m’intéresser à ça pendant que mes enfants se défoulaient dans les modules mis à leur disposition, mais c’est comme ça. Bien qu’ils ne soient pas particulièrement novateurs, les mécanismes mis en place dans de tels parcs sont extrêmement intéressants parce qu’ils peuvent facilement s’appliquer à votre service Web ou votre application mobile :

1. Frais de structure et de personnel réduits au maximum.
2. La première heure est la plus chère, parce que la durée d’utilisation moyenne sur une visite reste faible.
3. Tous les produits annexes restent abordables, ils sont peu chers à l’achat et offrent des marges très importantes. La quantité vendue prime sur le prix unitaire.
4. Tous les achats à l’intérieur du parc se font sans donner d’argent. Tout se paye à la sortie.
5. Une grille de tarifs confuse mais pas trompeuse, parce que les gens ne prennent jamais le temps de lire.

Quand à moi, je vous laisse et je vais me coucher, ces 55 minutes dans un hagar plein d’enfants hurlants m’ont épuisé.

Published on 02/03/2012 at 19h50 under Analyses.

Le jour où Facebook, Twitter et le marketing Web ont tué les communautés

Quand j’étais jeune, j’ai fait l’expérience de la vie en communauté, la vraie, plus proche de celle des premiers chrétiens que de ce qu’ont vécu vos parents après le summer of love de 1967 quand ils sont partis élever des moutons dans le Larzac. Ce n’était pas facile tous les jours, les relations humaines y sont de loin la plus grande difficulté, nous n’avions pas un centime, mais c’est une expérience que je n’oublierai ni ne regretterai jamais.

Ces deux formes de vie en communauté ont en commun la mise en commun des biens et des talents au service de tous. Tout ce que font les individus, tout ce qu’ils apportent profite à la communauté, c’est à dire à chacun. Cette mise en commun des biens et des talents est même la base de la vie en communauté, et la seule fois où j’ai vu se réaliser l’adage de Marx “de chacun selon ses moyens, à chacun selon ses besoins”. On était pourtant bien loin du communisme : pas de lutte des classes, pas de dictature du prolétariat, et beaucoup plus près de la nation selon Ernest Renan, un groupe d’individus rassemblés autour d’un idéal commun. Ça c’est pour le quart d’heure de sociologie politique.

Quand le Web dit social a explosé, les marques se sont rendues compte de trois choses :

• Les individus à travers leurs profils pouvaient facilement recommander des produits ou des marques à l’ensemble de leur entourage. On a commencé à parler d’influenceurs.
• Corollaire numéro 1 : ces mêmes marques pouvaient rassembler leurs clients autour de profils Facebook, Twitter, j’en passe et des pires. Les marques ont commencé à utiliser ces canaux pour émettre de l’information. On a alors parlé de fans, et au sens plus large, de communautés.
• Corollaire numéro 2 : quand les gens ne sont pas contents d’une marque, ils le disent, et l’information peut se répandre à très grande vitesse auprès de beaucoup de monde. Domino’s Pizza en a fait les frais, et ils ne sont pas les seuls. Il a fallu trouver quelqu’un pour discuter avec les mécontents – et au sens plus large pour animer la communauté de la marque – et on a inventé le community manager.

Il n’y a rien qui vous choque là ? C’est probablement parce que vous n’avez jamais vécu en communauté.

Le marketing n’a pas son pareil pour inventer de nouveaux mots, de nouveaux concepts, ou, plus souvent encore, pour détourner des concepts vieux comme le monde afin de faire prendre aux consommateurs des vessies pour des lanternes. Parfois c’est bien, car sans dénomination les choses n’ont pas de sens, mais dans le cas des communautés de marques, c’est assez flippant : non solum le terme est entré dans le langage courant sed etiam on en a profité pour créer un nouveau métier, le community management.

Sauf qu’il n’y a rien de communautaire là dedans.

Qu’est-ce que les fans de la page Facebook de Starbucks ou de Coca Cola s’apportent les uns aux autres ? Et accessoirement, qu’est-ce que la marque leur apporte, en dehors de quelques kilos de sucre en trop ? Réponse, rien. Toute la communication entre la marque et sa communauté se fait verticalement, or le propre de la communauté est de fonctionner de manière horizontale. Mon amie Pamela me disait hier soir qu’un des gros échec de Facebook était de ne pas permettre aux fans d’une page de voir les contenus en rapport publiés par les autres fans de cette page s’ils ne font pas partie de leur réseau. C’est tout à fait vrai, parce que la communication est purement verticale.

Quand Kriisiis – que j’apprécie beaucoup pour être parti avec lui à l’Eurovision l’an dernier – annonce que son blog regroupe Une communauté de 45380 passionnés, c’est faux, on ne peut pas parler de communauté, même si ses fans interagissent dans les commentaires. Pareil pour la très grande majorité des gros blogs, des grosses pages Facebook et des plus gros comptes Twitter d’ailleurs.

Dès lors, pourquoi les marques s’évertuent-elles à nous faire croire que nous faisons partie d’une communauté ?

• Parce que c’est un terme nettement plus agréable que fichier client, et que ça permet de justifier l’envoi de publicité plus ou moins désirée à travers des canaux auxquels on s’abonne.
• Parce qu’elle donne le sentiment d’appartenance, et qu’il est beaucoup plus facile de faire se bouger des gens quand ils se sentent faire partie d’un grand tout. Accessoirement, on évite de se poignarder en famille, normalement.
• Parce que le gestionnaire de communauté est un mot hype pour définir à la fois l’animateur de supermarché, le service après-vente et la relation clientèle – même si je dois avouer que son rôle est devenu indispensable pour limiter l’importance de certaines crises.

De ce point de vue, les réseaux sociaux d’entreprise ont bien compris le truc, et ne cherchent pas à créer artificiellement des communautés. Les communautés de pratiques que l’on peut y trouver prennent véritablement ce sens puisque les retours d’expérience qu’on y trouve rentrent tout à fait dans l’approche communautaire.

Côté média sociaux, ce qui s’en rapproche le plus est la plate-forme de question / réponses Stack Exchange, dans laquelle le savoir et les compétences de chacun sont investis au profit de tous. Le forum mis en place par Korben à côté de son blog permet également de lui donner un aspect communautaire.

Mais la prochaine fois qu’une page Facebook ou un email publicitaire vous parlera de communauté, prenez deux minutes, et demandez-vous ce que vous apportez à ses membres, et ce qu’ils vous apportent.

Linkedin peut-il éviter de devenir un mutant entre Monster et Facebook ?

Si nous étions en contact sur Linkedin mais que nous ne le sommes plus, surtout ne le prenez pas personnellement. J’ai simplement supprimé mes connexions avec toutes les personnes avec qui je n’ai (encore) jamais travaillé, ou avec qui cela s’est (vraiment) mal passé, ou que je ne me sens pas capable de recommander professionnellement. Ces derniers mois, Linkedin est progressivement passé d’un excellent site de mise en relation professionnelle à un espèce de mutant à la croisée des chemins entre Monster et Facebook, ce qui m’a amené à radicalement revoir la manière dont je souhaitais l’utiliser.

De la “facebookisation”…

Quand j’ai fermé mon compte Facebook, il y a déjà plus de quatre ans, j’étais agacé par le retour dans mon existence de personnes dont je n’avais pas entendu parler depuis plus de dix ans. Dire que je ne souhaitais pas vraiment reprendre contact avec elles relève du doux euphémisme : si l’on parle souvent du droit à l’oubli à propos de la conservation des données numériques, la facilité à retrouver des personnes par le seul jeu des réseaux sociaux le rend totalement caduc.

Ce même phénomène est en train de se produire sur Linkedin, d’abord parce que le service a atteint la masse critique d’utilisateurs pour que cela se produise, ensuite parce qu’il l’a facilité fonctionnellement. La possibilité de créer des groupes d’utilisateurs a permis aux écoles de créer des groupes d’alumni exactement de la même manière qu’elles éditent chaque année l’annuaire des anciens élèves. Des personnes avec lesquelles vous avez des études ou un diplôme en commun, entrent ainsi dans votre réseau totalement indépendamment de votre parcours professionnel. Si ça se trouve, vous n’en avez plus entendu parler depuis dix ou quinze ans, et cette connexion annihile totalement la principale fonctionnalité de Linkedin : la mise en relation professionnelle. Contrairement à une croyance populaire, accumuler les connexions n’est ni un signe de compétence professionnelle, ni l’assurance que vous pourrez faire appel à elles le moment venu.

Les usages de Linkedin ont évolué à mesure que le service gagnait des utilisateurs et des fonctionnalités. Rentrer en contact avec une personne que l’on ne connait pas est devenu beaucoup plus aisée depuis qu’il n’est plus nécessaire de fournir l’e-mail du destinataire au moment de la demande de mise en relation. D’où une évolution sensible du graphe social sur Linkedin, et une monsterisation du service.

… à la “monsterisation” de Linkedin

Si vous avez déjà mis votre CV sur Monster, vous avez certainement été assailli de coups de téléphones de chasseurs de tête et d’entreprises à la recherche d’un profil comme le vôtre, mais finalement pas vraiment. Si vous travaillez dans l’informatique, Monster est un site redoutablement efficace pour trouver du travail, à condition de passer énormément de temps à filtrer les déchets.

Linkedin se transforme peu à peu en Monster bis. Le fait de pouvoir rentrer en contact avec les utilisateurs sans connaître leur adresse e-mail a transformé un site de mise en relation professionnelle en étalage de boucher pour SSII et les recruteurs, que ce soit en direct, ou, une fois le recruteur dans vos contacts, par des demandes de contact “si tu connais des développeurs Java qui veulent changer…” ou de mises en relation via le site avec un facteur confiance supplémentaire puisque les amis de mes amis sont mes amis, jusqu’au jour où ça se passe mal.

Cette dynamique dans laquelle les usages de Linkedin sont rentrés depuis quelques mois est très fortement déplaisante. Même s’il est possible de tagger plus finement ses contacts, les catégories relationnelles de base permettent facilement des abus, et le graphe social en devient très rapidement fantaisiste. Alors que Linkedin tente de se positionner comme le CV universel, le service va devoir trouver une manière de faire coïncider parcours professionnel et graphe relationnel puisque ses utilisateurs ne le font pas.

Ma retrospective 2011 : Ze Good, Ze Bad et Ze Ugly

Pourquoi résumer l’année écoulée par ce que d’autres ont fait – et ainsi tomber dans le panurgisme ambiant – quand je peux jeter un regard honnête sur les 364 derniers jours et le faire à l’aune de ce que j’ai fait ? L’idée m’en est venue après ce tweet de Loïc Le Meur :

« The train ride makes me dreamy. Thinking: time to sum-up 2011, what did I do great and what did I screw up?
– @loic thank you for that inspiring idea of how I should blog my 2011 retrospectiva. »

Je crains d’ailleurs qu’il ait pris ma réponse comme une forme d’ironie, alors qu’elle n’en contenait pas – une fois n’est pas coutume – et c’est ainsi que j’ai commencé à compiler – dans un joyeux désordre – la liste de ce qui fait Ze Good, Ze Bad et Ze Ugly de cette année 2011.

Mon changement de poste chez blueKiwi Software

Je triche un peu puisque mon changement de poste s’est fait le premier août 2010, mais cela a tout de même été un des gros sujets de l’année 2011. J’ai en effet quitté le poste de responsable qualité pour prendre en charge toute la plate-forme SAAS de la société. Ze Good.

Twitmark

Pas de modèle de revenus fiable, une trop grande dépendance au bon vouloir de sociétés tierces, et l’impossibilité de faire comprendre aux gens qu’il fallait payer pour un service sur lequel ils n’iraient jamais mais qui travaillerait pour eux… Twitmark a été un gros échec doublé d’un paquet de leçons qu’il m’a fallu du temps à accepter. Ze bad

L’Écriture

2011 a été une annus horribilis du point de vue de l’écriture. J’écris de la fiction depuis que j’ai 7 ou 8 ans, je blog depuis bientôt près de 10 ans, et jamais je n’ai écrit aussi peu, aussi mal, et aussi pauvrement que cette année. J’ai terminé l’année en pleine réussite avec mon premier National Novel Writing Month, et il semble que je me sois crâmé pour près d’un an. Heureusement, la fin de l’année a un peu renversé la tendance. Write and see. Ze very ugly

Le retour au musée

Quand vous aimez les musées, que vous habitez Paris, et que vous vous réveillez un matin en réalisant que cela fait plus de dix ans que vous laissez passer toutes les expositions ajoutées à votre TODO, il y a de quoi être énervé. Ma bonne résolution de cette fin d’année se tient en une phrase : une exposition par semaine. Munch, Stein, Fra Angelico, La photographie dans le fichage policier depuis la fin du second empire… pour l’instant je m’y tiens à peu près, et la liste de celles que je veux faire continue de s’allonger. Ze Good.

Mes projets personnels et collaboratifs

On ne va pas se leurrer : j’ai lamentablement vautré tous les projets personnels ou avec d’autres que j’ai lancés et rejoints cette année, au point que c’en est presque risible. Twitmark en fait partie, et c’est un des plus significatifs, mais c’est loin d’être le seul. Je crois que c’est la première fois de ma vie que je suis autant à cours d’énergie. Résultat, beaucoup de déceptions, de ma part et de celle des autres, et une perte de crédibilité auprès de certaines personnes. Promis, l’an prochain, je ne tente pas de créer ze next big thing, du moins pas sans m’en donner les moyens. Ze bad

NaNoWriMo 2011

J’ai attaqué NaNoWrimo bien préparé mais avec une grosse crainte : celle de ne pas pouvoir relancer la machine à écrire grippée depuis 11 mois. Le résultat a été excellent en apparence, mais à la relecture, rien ne tient debout et je dois tout reprendre de zéro. Ze ugly

Le programme Official Bloggers à LeWeb

Difficile de conclure l’année 2011 sans parler du programme Official Bloggers de LeWeb que j’ai co organisé avec Stephanie Booth et Arne Hulstein. Nous avons réussi à réunir une équipe à la fois harmonieuse, équilibrée entre les divers types de blogueurs, venus d’horizons très différents et avec des profils et des expériences très différents. Travailler avec Geraldine, mes deux coreligionnaires en subversion bloguesque, l’équipe presse de LeWeb et l’organisation a été un bonheur en barre, et je suis impatient de recommencer l’an prochain, d’autant que nous fourmillons d’idées pour améliorer encore la sauce. Ze Good

Et pour ceux et celles qui sont encore là…

À partir de 1992 – j’habitais alors à Bordeaux – j’ai pris l’habitude de passer le réveillon à Paris, chez mes grands parents. Nous ne faisions strictement rien le soir du 31, et c’est l’époque où j’ai découvert Radio FG et les mix du réveillon. Aussi, pendant que les autres faisaient la fête, je passais la soirée seul à me goinfrer des meilleurs titres house du moment sur le poste de radio mono de mon grand père. J’ignore pourquoi, mes les mix des fêtes de fin d’année, et plus particulièrement celui du 31 décembre ont une saveur toute particulière.

J’ai découvert cet Essential Mix des Brothers In Rhythm joué sur One FM – plus tard BBC Radio 1 – le 31 décembre 1993 au sein des 900 et quelques mixes de l’intégrale. Il crachote un peu au début, je ne l’ai pas entendu à l’époque, mais il a le goût des mix de mon adolescence, le son des mix de mon adolescence, et on me signale que ce n’est pas du Canada Dry. Alors excellent réveillon et bonne année à toutes et à tous !

On se retrouve dans 24 heures !

La fin d'une époque – L'âge d'or du blogging technologique est révolu

La fin d’année est le moment rêvé pour se projeter dans l’avenir, et annoncer à grands renforts de sensationnalisme la mort, la naissance ou la mutation d’une tendance, de préférence celles qui déchainent les passions et provoquent de houleux débats dans le sérail entre les pour, les contre et les ni oui ni non ni blanc ni noir. Et c’est compréhensible : pourquoi se fatiguer à annoncer la mort de quelque chose dont personne n’a strictement rien à faire ?

Je ne fais généralement pas attention aux Cassandre de carnaval – quoiqu’abusant parfois du procédé, il faut bien faire grimper ma courbe de trafic une fois de temps en temps – mais Jeremiah Owyang n’est pas le premier venu, et si je ne suis pas toujours d’accord avec son angle d’attaque ou ses conclusions, force m’est d’avouer que ses analyses sont toujours pertinentes. C’est donc avec intérêt que j’ai lu End of an Era: The Golden Age of Tech Blogging is Over.

Comment Twitter et Facebook ont tué les gens normaux

Avez-vous remarqué que personne ne parle de sa pratique sportive sur les réseaux sociaux ? Cela fait même partie des nombreuses listes des sujets à proscrire sur Twitter ou Facebook par les “gourous” du sujet, à égalité avec vos pannes sexuelles et vos reflux gastriques. Allez voir la page Runkeeper de Loïc LeMeur, les seuls “like” sont sur ses ajouts d’amis, et surtout sur ses marathons qui qui recueillent la très grande majorité des suffrages. Ce n’est pas vraiment un hasard.

Et si vous arrêtiez de vouloir créer "le prochain Facebook" ?

Je viens de passer trois jours à LeWeb’11 rencontrer et interviewer des entrepreneurs, à découvrir de nouvelles applications, et à tester les services que j’utiliserai demain. Ou pas, tant j’ai vu passer de clones et de réseaux sociaux pour [insérez ici une niche ethno socio économique quelconque] se contentant de reproduire ce qui existe sans rien apporter de nouveau, voire sans rien apporter du tout. So boring, heureusement que j’ai croisé quelques produits un peu plus excitants.

Si vous entreprenez pour créer le nouveau Facebook – ou Google, ou eBay – arrêtez tout, rentrez chez vous, prenez une tasse de thé, et changez tout de suite d’activité : you’re doing it wrong.

Hojoki, le service (pas si) révolutionnaire qui connecte vos applications in ze cloud

Les lifestream ont généralement trois gros problèmes. Le premier est une tendance assumée à l’infobésité faute d’un quelconque aspect qualitatif. Le second est une inutilité patente car il fait de l’information le but et le moyen. Le troisième est la conséquence des deux premiers : ils s’adressent à une population que l’on qualifie souvent à tort de geek, câblée pour recevoir et manipuler une très grande quantité d’information brute.

Hojoki, encore en alpha privée, a décidé d’en régler deux sur trois en rassemblant et connectant l’ensemble de vos applications en ligne. Dans le cloud, ils disent, pour caler un buzzword à la mode dans leur elevator pitch. Le service supporte pour l’instant un nombre limité d’applications, mais annonce déjà Beanstalk, Cloudapp, Delicious, Dropbox, Evernote, Github, Google Calendar, Google Docs…