Certains sont étonnés et nous demandent pourquoi cet abandon. Tout simplement parce que nous avons perdu la confiance en eux.
Nous avons adhéré aux principes de la charte HONcode le 03/04/2000 et nous recevions régulièrement un email dont l'objet était "Votre accréditation HONcode".
Puis est arrivée la certification de la Haute Autorité de Santé (HAS). En mars 2008, n'ayant toujours pas reçu ma certification, j'envoie un email pour exprimer mon inquiétude. Quelques jours plus tard, la réponse me parvient : "HON a essayé de revisiter mon site mais il y a un problème d'accès (erreur 403). Pour l'accréditation HAS, l'accès est obligatoire."
Et il est précisé "il faut autoriser toutes les IP commençant avec xxx.xxx..."
Nous entrons dans le vif du sujet !
Après quelques recherches, le problème est découvert. Notre site a été piraté en juillet 2007, ce qui nous a amené à renforcer nos protections, et nos logs montrent des tentatives d'accès bloquées car jugées dangereuses : aspirateurs ou dissimulées derrière un proxy.
Je réponds donc à HON que je suis surpris car, suite à nos nouvelles protections, nous avons pris la précaution de prévoir leur robot MARVIN, ce qui n'a pas été simple car le site de HON ne fournit aucune information sur ce robot ; il nous a fallu rechercher sur le Web. Il faudrait donc me donner des renseignements sur ce robot afin qu'il soit détecté et autorisé, au même titre que Google, Yahoo et autres moteurs qui accèdent sans problème à notre site... J'ai également précisé qu'il me fallait des informations précises car des "IP commençant par", c'est un peu vague.
La réponse est une première découverte : MARVIN n'est pas utilisé pour l'accréditation des sites, c'est un groupe de réviseurs, dont les adresses IP sont ..., ainsi que les adresses ... pour des personnes, situées dans les locaux des hôpitaux universitaires de Genève, qui vont visiter votre site.
Nous avons donc autorisé les adresses reçues.
Mais, dans les jours qui suivent, nos logs montrent qu'une adresse du HON, mais ne faisant pas partie de la liste, a été bloquée. J'envoie un email début avril pour rappeler qu'il ne fallait pas utiliser d'aspirateur de site.
Cet email n'aura jamais de réponse...
J'ai tenté de relancer fin mai, puis fin juin... En désespoir de cause, j'ai également contacté plusieurs fois la HAS, par email et par courrier, et j'ai affiché sur le site, près du logo officiel de HON, une copie de ce logo barré d'une croix pour montrer qu'AmyloseNET n'était plus accrédité.
En octobre, j'envoie une lettre à la HAS ainsi qu'à HON.
Et, en novembre 2008, je reçois une lettre de Mme la Directrice du HON dont voici les grandes lignes :
Mme la Directrice s'étonne de ma lettre l'informant qu'AmyloseNET n'était plus certifié, et elle précise même qu'à ce jour il l'est toujours.
Mais surtout elle donne sa propre explication du problème : "Veuillez noter que nous avons essayé d'accéder à votre site depuis un ordinateur personnel basé à Lausanne, Genève et du coté français à Annemasse et nous faisons face au même obstacle qui est de ne pas pouvoir accéder à votre site. Nous vous avons demandé un accès mais il semblerait que cela ne soit pas suffisant. En effet si depuis des ordinateurs privés nous n'arrivons pas à visiter votre site Web je ne sais pas ce que nous pouvons faire et je ne comprends pas cette situation. Une protection contre les piratages n'oblige pas de bloquer les visiteurs à accéder à votre site Web."
Puis elle aborde un sujet plus important : ma lettre comporte la phrase "Accrédité par la Fondation Health on the Net" alors que je n'ai pas l'autorisation. Plus grave encore : j'ai utilisé le terme "accrédité", ce n'est pas le bon !
De ce fait, elle m'intime de supprimer cette annotation de mon papier à lettres.
Quant au logo barré mis en ligne, il va à l'encontre du droit de l'image, surtout que, sous ce logo, j'ai mentionné "Accrédité par la Fondation HON de 2000 à 2008 puis refusé en octobre 2008 sans aucune explication". Ce texte est faux et il porte atteinte à l'image de HON. Une fois encore, Mme la Directrice m'intime "de retirer à réception de ce courrier les mentions sur votre site portant atteintes à notre image."
Elle termine sa lettre en prouvant la certification du site AmyloseNET : "Veuillez effectuer vous-même la recherche d'Amylose.net dans notre outils de recherche HONcodeHunt.".
J'ai donc répondu à Mme la Directrice fin novembre 2008. J'ai tenté de bien recadrer le problème en expliquant que les adresses que HON m'a indiquées ne pouvaient pas résoudre le problème puisque HON en a utilisé d'autres ! Ce qui semble indiquer des discordances entre les intervenants (réviseurs) et les moyens.
J'ai surtout demandé pourquoi HON a besoin d'utiliser des aspirateurs de sites, et j'ai proposé un test simple : que HON utilise une des adresses fournies, et nous saurons tout de suite ce qui se passe vraiment.
Je n'ai jamais eu de réponse, le test n'a pas été effectué.
Il est donc évident que je me suis complètement trompé. Ce ne sont pas mes courriers qui ont déclenché une réponse, mais c'est l'affichage d'un logo qui va à l'encontre du droit de l'image, à moins que ce ne soit le terme "accrédité", qui figure sur tous les emails provenant du HON mais qui n'est pas le bon si c'est moi qui l'utilise...
Certains n'hésitent pas à mettre en valeur la confiance, et on peut lire sur un site médical "...Toutefois, le principe de précaution s'impose. Avant de proposer à son malade de s'informer sur le net, le médecin doit s'assurer de la pertinence des informations délivrées sur tel ou tel site. Or, le niveau d'exigence demandé par la certification HON garantit la fiabilité de la qualité médicale et facilite les recherches du professionnel de santé et celles des malades. Autrement dit, la certification fait le nettoyage des sites pseudoscientifiques ou à tonalité charlatanesque...
...Pour le médecin ou le malade, la certification HON permet de retrouver la confiance, de restaurer la conscience, de renforcer la compétence"
Depuis 2000, j'ai cru aux valeurs mises en avant par HON. Mais aujourd'hui, je m'interroge.
Pourquoi des ordinateurs privés sont-ils considérés comme "fiables et sans virus connus" simplement parce qu'ils sont privés ?
Pourquoi ces ordinateurs privés utilisent-ils des aspirateurs de site pour "visiter" les sites ? Le terme correct est "aspirer" !
Pourquoi, si une aspiration de site est indispensable, ne pas le dire ouvertement ?
Que deviennent les sites aspirés, et surtout toutes les données collectées par l'aspiration ?
Pourquoi mes échanges de mails avec HON montrent-ils que les intervenants eux-mêmes ne connaissent pas avec précision les raisons techniques du problème ?
Pourquoi les méthodes de certification et de révision ne sont-elles pas publiques ?
Pourquoi le public ignore tout des "réviseurs", ou "visiteurs"... ?
Qui sont les intervenants situés dans les hôpitaux universitaires ?
Pourquoi les informations du robot MARVIN ne sont-elles pas en ligne ?
Pourquoi le responsable du site ne peut-il pas s'assurer que toutes les pages de son site ont bien été visitées par HON ?
Pourquoi l'objectif premier de HON concerne son image, ou une annotation sur un papier à lettres, avant le respect de la conformité aux principes du HONcode ?
et devant tant de questions, devant ce manque de transparence, je préfère abandonner la charte du HON. Les visiteurs du site AmyloseNET jugeront par eux-mêmes de la confiance qu'ils peuvent accorder à mes sites et à mon association.
Annexes :
Dans les documents officiels du HON, je n'ai rien trouvé justifiant l'utilisation de robots ou d'aspirateurs de site. Je pensais qu'il s'agissait d'individus utilisant des ordinateurs ordinaires.
Notre système de certification est basé sur deux éléments fondamentaux : la soumission d'un site est volontaire - ce qui implique que l'auteur du site s'oblige à faire les modifications nécessaires à son site pour sa certification - et le service de certification est gratuit. La certification elle-même est fondée sur huit principes (les principes HONcode). Chacun des sites qui souhaite adhérer est visité par un membre de l'équipe HONcode qui vérifie que chacun des huit principes est effectivement respecté par le site.
Revue et vérification :
Chaque demande de certification est examinée par un membre de l'équipe HONcode. Il effectue une visite complète du site en vue de sa conformité avec les huit principes du HONcode. HON envoie à l'administrateur du site ses conclusions concernant sa conformité et, éventuellement, les indications nécessaires à l'intégration du (des) principe(s) qui n'est (ne sont) pas respecté(s).
Une certification active :
Un site est certifié par HON lorsque, non seulement, il respecte chacun des principes mais aussi lorsqu'il peut démontrer comment ceux-ci sont intégrés dans son site web.
Par exemple, il ne suffit pas de dire que les données personnelles sont protégées, il faut expliquer qui peut accéder à ces données, si des cookies sont utilisés et mentionner pour quel pays il s'engage à se soumettre et à honorer les lois requises pour la protection des données médicales et de santé personnelles.
Un site qui s'avère correspondre aux huit principes du HONcode se voit attribuer un sceau dynamique unique à afficher sur ses pages. Ce sceau permet au fournisseur d'information ainsi qu'aux utilisateurs de vérifier le statut de sa certification.
Vérification régulière :
Les sites certifiés peuvent recevoir une visite pour trois raisons :
-à la suite d'une plainte par un utilisateur,
-le contrôle annuel du site qui commence une année après la certification initial,
-dans le cas d'un disfonctionnement détecté par notre service de monitoring.
Si un site ne respecte plus les huit principes du HONcode, sa certification est temporairement suspendue jusqu'à ce le site soit à nouveau conforme au HONcode.
04/08/2011
Depuis plusieurs semaines, il y a eu de nombreuses visites sur ce site, provenant d'adresses IP correspondant à HON...
Maintenant, je constate pour la première fois que le user-agent "MARVIN" est utilisé. Il faut un début à tout...
Mais la cohérence n'est pas évidente...
Email de HON, m'informant de l'adresse IP affectée à un proxy
Extrait des logs des 3 et 4 août 2011
2011-08-03 07:17:39
129.195.0.205
index
FIREFOX 5.0
connexion directe
2011-08-03 08:40:17
129.195.0.205
index
FIREFOX 3.6.18
connexion directe
2011-08-03 08:40:44
129.195.0.205
abandonhon
FIREFOX 3.6.18
index
2011-08-03 13:24:43
129.195.0.205
index
FIREFOX 3.6.18
connexion directe
2011-08-03 13:24:44
129.195.0.205
bandedessinee
FIREFOX 3.6.18
index
2011-08-04 12:15:28
129.195.0.205
index
Marvin
connexion directe
2011-08-04 12:15:31
129.195.0.205
michelcogne
Marvin
connexion directe
2011-08-04 12:15:32
129.195.0.205
liensutiles
Marvin
connexion directe
2011-08-04 12:15:34
129.195.0.205
erichachulla
Marvin
connexion directe
2011-08-04 12:15:36
129.195.0.205
amyloseal
Marvin
connexion directe
2011-08-04 12:15:42
129.195.0.205
index
Marvin
connexion directe
29/09/2011
HON semble toujours fâché avec la transparence !
Extrait de la log du 29 septembre 2011
2011-09-29 04:34:50
129.195.0.205
index
libwww-perl 5.814
connexion directe
Pourtant, cette librairie n'a pas que des bons côtés... elle est aussi connue pour certains usages :
La librairie perl libwww est une interface de programmation d'application (API). Elle fournit un ensemble de fonctions pour l'accès à des données internet. Vous pouvez ainsi faire un moteur de recherche à partir de cette librairie. Malheureusement elle est souvent utilisée par les hackers pour faire un scanner de vulnérabilité par RFI (remote file inclusion).
source : www.urlrewriting.fr/scripts27-Apache.htm
Certains robots (bot) scrutent sans cesse sur l’internet les différents sites web et recherchent des failles de sécurité afin de pouvoir prendre le contrôle du serveur. Chaque navigateur est reconnu par le serveur grâce au « User Agent » qu’il transmet. Les robots utilisent généralement le User Agent: « libwww-perl ». Il est donc nécessaire d’interdire les connexions des clients possédant un tel User Agent.
source : www.commandeslinux.fr/securite/
Je ne suis pas expert en la matière, mais j’ai tout de même lu la doc qui accompagne le plugin WP-SPamfree en service sur la démo depuis 2 mois. Ce faisant j’ai appris que l’on pouvait minimiser les risques d’attaques en bloquant depuis .htaccess une librairie du nom de libwww-perl, particulièrement utilisée par les garnements du hacks dominical.
source : bp-fr.net/2009/08/le-spammeur-ne-prend-jamais-de-vacances/
libwww-perl/5.79 est une bibliotheque de fonctions en langage perl. C'est donc un script qui vient visiter ta page.
Soit le but est de récupérer de l'information (les buts peuvent être variés, moteur de recherche, vérification de la présence d'un lien, copie de contenu ...)
Soit le but est effectivement de hacker ton site (répandre des virus, diffuser des données ... ou tout supprimer!)
source : www.siteduzero.com/forum-83-128651-p1-tentative-de-hack.html
libwww-perl est un robot navigateur qui teste (très rapidement d'ailleurs) les sites à la recherche de failles. Il se base sur un listing de composants joomla ayant une faille de sécurité et tente de prendre le contrôle du site et/ou du serveur. Ce script peut être redoutable lorsque les hackeurs disposent des bonnes macros !!
source : forum.joomla.fr/showthread.php?133520-Script-malveillant-libwww-perl
