election et internet [etude de cas]

[rog]

avant de commencer je souhaite qu'il soit clair que cette discussion n'a pas vocation à prendre parti dans une election et j'espère ne pas être modéré
j'ai fouiné dans un site officiel et j'ai trouvé leur stratégie web tellement nulle que j'aimerai votre avis

je surfais tranquillement sur le net quand je suis tombé sur le site de Madame de Panafieu dédié aux elections municipales de paris pour l'année prochaine

http://www.panafieu2008.fr

le design est fort sympatique, peut être un soupçon trop feminin
j'ai pas lu tout le contenu mais il a l'air bien ficelé traquillement lisible

les compliments s'arrêttent ici

en ouvrant la source html, je me rend compte que le cms utilisé est joomla qui est connu pour ses problèmes de securité redondants
petit rappel sur les failles publiques joomla

2007-12-05 Mambo/Joomla Component rsgallery <= 2.0b5 (catid) SQL Injection Vuln 1585 R D K-159
2007-11-19 Joomla Component JUser 1.0.14 Remote File Inclusion Vulnerability 5303 R D NoGe
2007-11-16 Joomla Component Carousel Flash Image Gallery RFI Vulnerability 3956 R D Crackers_Child
2007-10-12 Joomla Component com_colorlab 1.0 Remote File Inclusion Vulnerability 6408 R D xoron
2007-10-11 Joomla Flash uploader 2.5.1 Remote File Inclusion Vulnerabilities 5348 R D mdx
2007-10-10 Joomla Component JContentSubscription 1.5.8 Multiple RFI Vulns 3514 R D NoGe
2007-10-10 Joomla Component MP3 Allopass 1.0 Remote File Inclusion Vulnerability 2751 R D NoGe
2007-10-08 Joomla component MOSMediaLite451 Remote File Inclusion Vulnerability 3294 R D k1n9k0ng
2007-10-07 Joomla Component wmtportfolio 1.0 Remote File Inclusion Vulnerability 3086 R D NoGe
2007-10-07 Joomla Flash Image Gallery Component RFI Vulnerability 3688 R D xoron
2007-10-06 Joomla panoramic component 1.0 Remote File Inclusion Vulnerability 3372 R D NoGe
2007-09-21 Joomla Component com_slideshow Remote File Inclusion Vulnerability 5569 R D ShockShadow
2007-09-16 Joomla Component joom12Pic 1.0 Remote File Inclusion Vulnerability 5511 R D Morgan
2007-09-15 Joomla Component Flash Fun! 1.0 Remote File Inclusion Vulnerability 5027 R D Morgan
2007-09-13 Joomla Component joomlaradio v5 Remote File Inclusion Vulnerability 4360 R D Morgan
2007-09-08 Joomla Component Restaurante Remote File Upload Vulnerability 5337 R D Cold Zero
2007-09-01 Joomla! 1.5 Beta1/Beta2/RC1 Remote SQL Injection Exploit 8016 R D Silentz
2007-08-23 Joomla Component BibTeX <= 1.3 Remote Blind SQL Injection Exploit 6806 R D ajann
2007-08-23 Joomla Component EventList <= 0.8 (did) SQL Injection Vulnerability 5778 R D ajann
2007-08-23 Joomla Component Nice Talk <= 0.9.3 (tagid) SQL Injection Vulnerability 4161 R D ajann
2007-08-23 Joomla Component RSfiles <= 1.0.2 (path) File Download Vulnerability 4459 R D ajann
2007-08-23 Joomla Component NeoRecruit <= 1.4 (id) SQL Injection Vulnerability 3722 R D ajann
2007-07-31 Joomla Component com_gmaps 1.00 (mapId) Remote SQL Injection 9340 R D xoron
2007-07-22 Joomla! CMS 1.5 beta 2 (search) Remote Code Execution Vulnerability 8286 R D Johannes Greil
2007-07-19 Joomla Component Pony Gallery <= 1.5 SQL Injection Vulnerability 6712 R D ajann
2007-07-18 Joomla Component Expose <= RC35 Remote File Upload Vulnerability 9400 R D Cold Zero
2007-05-28 Joomla Component Phil-a-Form <= 1.2.0.0 SQL Injection Exploit 6588 R D CypherXero
2007-04-23 Joomla 1.5.0 Beta (pcltar.php) Remote File Inclusion Vulnerability 8704 R D Omid
2007-04-17 Joomla Template Be2004-2 (index.php) Remote File Include Exploit 8710 R D Cold Zero
2007-04-17 Joomla Component JoomlaPack 1.0.4a2 RE (CAltInstaller.php) RFI 6202 R D Cold Zero
2007-04-14 Mambo/Joomla Component Article 1.1 Remote File Inclusion Vulnerability 8030 R D Cold Zero
2007-04-14 Joomla Module AutoStand 1.0 Remote File Inclusion Vulnerability 4703 R D Cold Zero
2007-04-11 Joomla Component mosMedia <= 1.0.8 Remote File Inclusion Vulnerability 5584 R D GoLd_M
2007-04-10 Joomla/Mambo Component Taskhopper 1.1 RFI Vulnerabilities 4823 R D Cold Zero
2007-03-27 Joomla Component D4JeZine <= 2.8 Remote BLIND SQL Injection Exploit 4619 R D ajann
2007-03-24 Joomla Component RWCards <= 2.4.3 Remote SQL Injection Exploit 4714 R D ajann
2007-03-24 Joomla Component Car Manager <= 1.1 Remote SQL Injection Exploit 3916 R D ajann
2007-03-23 Joomla Component Joomlaboard 1.1.1 (sbp) RFI Vulnerability 6421 R D Cold Zero
2007-03-23 Joomla/Mambo Component SWmenuFree 4.0 RFI Vulnerability 5077 R D Cold Zero
2006-11-17 MosReporter Joomla Component 0.9.3 Remote File Include Exploit 5987 R D Crackers_Child
2006-08-19 Joomla <=1.0.10 (poll component) Arbitrary Add Votes Exploit 9668 R D trueend5
2006-08-18 Joomla Kochsuite Component <= 0.9.4 Remote File Include Vulnerability 5752 R D camino
2006-08-18 Joomla Link Directory Component <= 1.0.3 Remote Include Vulnerability 7430 R D camino
2006-08-18 Joomla Artlinks Component <= 1.0b4 Remote Include Vulnerability 6890 R D camino
2006-08-17 Joomla Mosets Tree <= 1.0 Remote File Include Vulnerability 5156 R D Crackers_Child
2006-08-17 Joomla com_jim Component <= 1.0.1 Remote File Include Vulnerability 6018 R D xoron
2006-08-13 Joomla Webring Component <= 1.0 Remote Include Vulnerability 7296 R D xoron
2006-08-07 Joomla JD-Wiki Component <= 1.0.2 Remote Include Vulnerability 5112 R D jank0
2006-07-30 Joomla LMO Component <= 1.0b2 Remote Include Vulnerability 5818 R D vitux
2006-07-30 Joomla com_bayesiannaivefilter Component <= 1.1 Inclusion Vulnerability 6163 R D Pablin77
2006-06-17 Joomla <= 1.0.9 (Weblinks) Remote Blind SQL Injection Exploit 23824 R D rgod
2006-04-19 Mambo <= 4.5.3 , Joomla <=1.0.7 (feed) Denial of Service Exploit 10630 R D trueend5

en prenant joomla on augmente de manière non négligeables les chances de se faire defacer, donc je mettrai 2 points negatifs


un petit tracert executé plusieurs fois sur panafieu2008.fr me fait passer par 3 ou 4 servers aux etats unis pour ensuite aboutir sur une adresse ip française
j'en conclu que le serveur est aux etats unis avec un service de geolocalisation
n'aurait-il pas été plus judicieux de faire héberger le site en France ?

du coup je fais une recherche google sur "election paris" et "election municipale paris"
==> rien sur les 3 premières pages, en plus ils sont derrière les verts

mieux encore !
a droite sur les liens commerciaux on retrouve le site de Monsieur Bertrand Delanoe sur les deux requêtes mais rien sur l'ump

pour ces raisons je noterai leur strategie internet largement au dessous de la moyenne

qu'en pensez vous

rog

[Szarah]

Rog, tu es un analyste impitoyable (mais juste)
J'en pense que ça vaudrait le coup que tu mettes tout ça en page et que tu le leur communiques (c'est pas le genre à lire ici).

[coolman94]

Il est evident qu'avec des pages qui ne sont pas optimisés du tout le site a plus de difficultés à se classer sur les premieres places..

Quelques exemples de lacunes : Le titre de l'index :

Code: Tout sélectionner

Panafieu2008 - ACCUEIL

Les premiers mots de la page :

Code: Tout sélectionner

charset=iso-8859-1" /> I Accueil I Agenda I Contactez-nous I ACCUEIL ACTUALITES Agenda Communiqués Interviews Image de la semaine

On peut remarquer que l'on ne trouve ni dans le titre ni dans les premiers mots de la page d'accueil les mots clés : "
elections municipales de paris"

[medium69]

Il faudrait surtout qu'il apprennent à se servir d'un mulot avant de se mettre au net

[bertimus]

Quand t'en auras fini avec ton rapport pour Madame Panafieu, n'hésite pas à en envoyer un à Christophe Lambert pour -www.wigiwig.com et à Julien Courbet pour -www.stop-arnaques.com

[rog]

j'etais un peu embeté car je n'avais aucun indice sur la création du site

-http://www.u-m-p-paris.org/article.php3?id_article=481&flag=1&PHPSESSID=06531e2691ba362898e68d9fbe21719e

il a été mis au point fin 2006 ce qui aurait laissé un delai presque raisonnable pour arriver à maturation
donc il n'y a pas eu d'erreur dans le timing (sympat aussi la construction du lien)

bon une recherche GG me dit que le site a 500 BL, j'en ai ouvert quelques uns et ce sont tous des BL naturels

et je vais arrêter mon etude sur ce lien qui reflete l'inconscience de la chaine de commande de la campagne

http://www.20minutes.fr/article/192841/ ... iposte.php

on pourrait même croire qu'elle ne veut pas être elue
et dans cette optique la, se faire hacker son site lui rendrait effectivement bien service

rog

[ebe327]

pas de bol , ici on parle de référencement et elle se fait démonter par un expert en sécurité .

Lors des élections présidentiel , j' avais été agréablement surpris par le site de Bayrou . Il utilise OpenCms , j'aimerai connaitre ton avis au niveau sécurité .
En tout cas à l' époque , il se positionnait bien sur pas mal de requêtes .
J' avais découvert son site lors du salon professionnel des Médecins ou il avait fait une intervention .

[rog]

lol
desolé ebe, je ne veux pas trop devier de mon sujet

opencms a une part de marché negligeable donc il y a très peu de recherches de vulnerabilité il y en a moins d'une dizaine de publiées qui concernent en majorité des xss (navigateur)

néanmoins une methode assez recente d'injection mysql nommée mysql blind injection est redoutable et passe même avec des variables assainies par addslasches

rog

[ebe327]

Pour revenir au sujet l' exemple de Bayrou n' est pas si mauvais car il est sitelink , ce qui veut dire que son référencement n'est pas si mauvais .

L' avantage qu' on les politiciens , c'est qu' ils peuvent obtenir facilement des BL sur des blog politiques . Les militants reprennent une partie d'une déclaration en mettant un BL ou pour réagir à un propos . Ce sont des BL qui comptent au niveau de Google car dans la même thématique et naturel avec anchor varié et en cohésion avec l' article .

Il faut aussi s'entourer d'une bonne équipe efficace .
Pour Panafieu , même si elle ne ressorte pas sur les requêtes , elle a les tracs qui vont lui permettre d'indiquer son site

[rog]

attention, le site panafieu2008.fr n'est pas un site ou blog politique commun

il est très special puisque comme son nom l'indique il n'existe que pour les elections municipales de paris 2008

c'est à dire que le lendemain de l'election il ne sert plus à rien, on peut le detruire tout comme les tracts non distribués


une election est un sprint, on doit foncer à 200 à l'heure jusqu'au jour de l'election pour capter le plus d'intentions de vote possible

ce que l'on a fait est fait et ce que l'on n'a pas fait; on ne le fera plus, faudra attendre la prochaine election


hors comme expliqué precedemment il n'est pas optimisé SEO, n'a que des BL naturels (500) et n'a aucune visiblité sur les moteurs
donc il ne rapporte aucune intention de vote, rapport investissement/intention de vote ==> 0 voire même négatif

rog

[ebe327]

C'est là qu'il faut être entourer d'une bonne équipe et dans ce cas des professionnels du web .
Là c'est plus de la com , je suis à la pointe de la technologie du web .

Mais ça reste un site comme un autre , ça ne sert à rien si le site n'est pas visible . Le monde de la politique utilise beaucoup Open Source , cela permet d'apporter un service à moindre budget .
Là ou son équipe n'est pas efficace , ils n' auraient jamais du partir sous Joomla , il y a d'autre CMS plus efficace au niveau référencement et donc de présence sur le web .
Or là on parle de Paris , elle a donc un budget Web assez important et je te rejoint pour dire rapport investissement/intention de vote est négatif .

Tu viendrais en centre bretagne avec peu budget , ils sont très efficace , ils squattent les requêtes

[rog]

Tu viendrais en centre bretagne avec peu budget , ils sont très efficace , ils squattent les requêtes

perso je ne connais pas la réelle influence de l'internet dans une election mais comme on a + de 50% des foyers reliés au net, le potentiel est enorme

cette influence est de toutes façons intrasèquement liée au coeficient de diffusion des contenus, (je sais c'est evident)

donc je pourrai donner raison à l'equipe panafieu2008, l'internet ne rapporte pas de vote puisque l'on ne touche personne


[HS] le coeficient de circulation est un terme media Papier designant le nombre de personnes qui ouvriront le media pour le lire [HS]

on prend le tirage (100 000 exemplaires), on le multiplie par le coeficient de circulation (par exemple 3,7) et hop on sait avant même d'imprimer combien de personnes on va toucher (370 000)

en divisant la population totale de la zone de chalandise ciblée par campagne ci-dessus decrite par l'estimation, on deduit un taux de pénétration
-------------------------------------------------------------------------------------

je me demande quelle formule ils ont utilisée pour calculer le taux de penetration de leur site

rog