Le mot du blog : Y a bientôt plus de mises à jour majeures de wordpress par an que de billets sur ce blog...

Tiens on va faire un billet sur un service que je pense dangereux et l’écho médiatique qu’il peut avoir ou donner l’illusion d’avoir.

Spliiit.com a été porté à mon attention ce matin. C’est un site qui te permet de « partager » en toute « sécurité » tes comptes de services payants. Vous me voyez venir ?

Y a tout les éléments que j’adore dans ce monde de la Startup Nation (dont je suis un repenti) :

  • Logo French Tech qui n’a AUCUNE signification ou valeur mais que tout le monde connaît donc pourquoi ne pas s’en revendiquer…
  • Des logos de boîtes ultra connues PARTOUT. Qui n’ont sans doute JAMAIS donné leur accord pour y figurer.
  • Une présentation de la team, parce que ça humanise tu comprends… (accordons leur le fait de ne pas se cacher)
  • Une FAQ pétée, faussement fournie, avec du duplicate content partout qui répond plus aux questions qu’on voudrait que tu te poses qu’à tes interrogations légitimes…
  • Des réponses que l’on va qualifier de partielles

Et la récupération de thunes ? Naaaaaaaaaaan.

Le Bail de la sous-location de comptes premium


T’as un compte, genre Netflix (au hasard) qui te coûte X euros/mois. Mais pour que ça te coûte moins cher, tu voudrais bien le partager. Netflix, ils sont cools avec ça il paraît. Parce que pour devenir incontournable sur un marché, c’est plus facile d’avoir l’air cool tout en annulant des séries que ses abonnés regardent pour en financer de nouvelles qui ramèneront de nouveaux utilisateurs que de faire payer TOUS ses utilisateurs actuels… Ce qui serait une conséquence normale, d’une politique commerciale normale avec une sécurité normale…

Mais le problème c’est que tous les gens que tu connais ont déjà une combine donc t’es un peu comme un con.

C’est là que Spliiit intervient. Spliiit joue les intermédiaires tiers de confiance entre des gens qui partagent les frais d’abonnements. Partout sur le site on te dit « faut habiter sous le même toit hein« . Ça parle de coloc, de famille mais aussi d’amis, de collègues… Y a des smileys partout, sur le site, dans le chat avec le SAV etc… Franchement c’est bonne ambiance. On se croirait dans un grow shop à Amsterdam où tout le monde parle de faire pousser des tomates…

Mais dans les faits, qui, habitant sous le même toit, va s’emmerder à passer par un tiers de confiance pour gérer un abo ? D’autant plus si une commission est prise ? Tu me dis ce que tu en penses, je suis ouvert à la discussion mais à mon avis : personne.

Spliiit Fyre Estival

Par contre voilà les cas d’usages qu’on croise un peu partout dans la communication qui gravite autour du service depuis cet été :

Ce qui sort en substance c’est que 4 personnes qui ne se connaissent ni d’Eve Angeli, ni d’Adam Sandler vont payer un fragment de ton abo à Spliiit qui te le reverse ensuite sous la forme d’une cagnotte à claquer chez leurs partenaires (Amazon) ou te le vire sur ton compte en ponctionnant sa com’ de 4%. Tu peux aussi en faire don à des assos (Je n’ai vu que L’UNICEF). Histoire qu’ils puissent le déduire de leurs impôts à ta place…

Mais on peut faire confiance, y a 4 avis 5/5 sur TrustPilot par des gens qui n’ont laissé qu’un seul avis chacun. Que sur ce service donc… Bon bon bon.

"You don’t always have to follow the rules. That’s bullshit! - Emmanuel Macron"

 

Sauf que la communication c’est autant ce que tu dis de ton service que ce que tu ne démens de ce que l’on en raconte. Et quand je vois ça :

Et que je ne trouve aucune réponse demandée ou un petit billet de blog de la part de spliiit pour apporter des précisions… Ou un truc du genre « oui non mais le ton détaché de Mme Laura du Web peut laisser penser que nous tolérons ce genre de comportements mais il n’en est rien parce que c’est trop dangereux… » je me dis qu’on a du bien se taper dans les côtes avec les coudes en se voyant cité à une heure de grande écoute sur une chaîne nationale. Voilà où on en est…

Quand je lis ça : Spliiit-sécuritéJE ME SUICIDE DE RIRE. Parce que c’est pas ça l’interrogation de sécurité. Non. C’est « Qu’est-ce que ça implique pour les comptes que je sous-loue ? ». Tata Jeanine elle pense que tout est secure quand elle lit ça. Parce que c’est CERTIFIÉ HTTPS. *Smiley qui lève les yeux au ciel*

Quand je vois ça dans la configuration d’un partage de compte :

spliiit-paramètres

J’OSE ESPÉRER que les logins et mots de passe qu’on est censé insérer dans le champs texte « Privée » afin de les partager avec les gens qui utilisent aussi ton abonnement sont stockés dans une base de données Hashée et salée et non pas stocké en clair…

Tiens pour me faire une idée, j’ai voulu réinitialiser mon mot de passe. Histoire de m’assurer qu’on ne me le renvoyait pas en clair dans un mail (et qui donc indiquerait des pratiques de sécurité d’un autre âge). Mais quand j’essaye de ré-initialiser le mot de passe de mon compte… Eh bah c’est pas possible. Y a pas moyen de faire la manip… Un truc de base quand même. Ça ne rassure pas sur ce qui aurait pu être oublié par ailleurs… Comme hasher/saler un champ de la BDD…

 

 

 

Quand vous me dites ça :

spliiit-SAV

 

Je me dis que vous savez parfaitement présenter votre service pour le rendre le moins dangereux possible aux yeux de vos utilisateurs ou futurs utilisateurs. Ça fait du slackline sur un fil à couper le beurre… Faites gaffe à l’épisiotomie en tombant…

Passe le spliiit

Mais ça en parle un peu partout quand je tape spliiit sur Google !

Ah ça ils sont pas dégueu en relations presse. Ça parle de Spliiit sur Presse-citron, Europe 1, Begeek, BFM, 01, sur Skyrock, sacré Difool, 20 minutes…

Toujours en termes élogieux, ou au moins en faisant état du caractère malin du service. On y mélange un peu tout, disant que pleins de services sont disponibles etc… Alors que rien n’est « disponible ». Y a aucun lien technique entre les services premiums cités et spliiit. Ils te vendent littéralement la possibilité de louer l’accès à un champs texte (hashé et salée dans la BDD BIEN SÛR J’IMAGINE…) à des gens. C’est tout. On est pas sur la techno du siècle hein…

Par ailleurs, ça occupe le terrain, oui. Mais c’est pas non plus par le biais de grandes publications. Ça poste dans les commentaires d’articles sur le sujet chez tomsguide, mais surtout ça rédige ses propres fiches sur des annuaires. Annuaires qui réussissent parfois à se faire passer pour un vrai média si on est pas trop regardant. Un grand classique dans le milieu des startups. Du vent.

Spliiit Scream

Ce qui me rend fou. Mais vraiment hors de moi. C’est qu’il est toujours question ici de faciliter des comportements dangereux. Ce que vous faites n’est pas anodin. Vous revendiquez 4000 partages de comptes tout confondu d’après 01. Y a des gens, dont le niveau de connaissances info va de « Mon PC c’est un windows 95 » à « PC MasterRace » qui envisagent ou utilisent ce genre de trucs sans nécessairement prendre conscience des dangers que ça implique.

Parce que BIEN SÛR, les 4 loustiques à qui tu files ton login et pass Netflix (ou autre) ils ont accès à ton compte et tout ce qu’il y a dedans. BIEN SÛR aux yeux de Netflix (ou autre) toi ou les mecs à qui tu sous-loues ton compte vous êtes la même personne avec le même accès aux mêmes infos (adresse postale, numéro partiel de CB, numéro de téléphone…), les mêmes droits, les mêmes privilèges… BIEN SÛR que les services en question peuvent te flinguer ton compte si ils décident que ça commence à leur coûter un peu trop de thunes…

Et ce serait pas dommage que ça commence à le faire d’ailleurs.

Arrêtez d’essayer de gratter quelques balles quand ça met en danger des datas. BORDEL !
Arrêtez de faire confiance aveuglément à des trucs parce que LAURA DU PUTAIN DE WEB en a parlé.
La notoriété, ça ne légitimise pas. C’est même bien souvent le contraire. Questionnez tout et souvenez-vous en quand je serai célèbre.

 

Ça commence à bien faire ces conneries.

 

 

 

 

 

Vous avez des infos ? Vous avez croisé des services douteux, dangereux, intéressants ? Vous sentez qu’il y a un truc à creuser sur un sujet ?
Je prends tout : eric@klakinoumi.com

 

 

 

2 commentaires

  1. Neo dit :

    Très bon article sur un site qui surfe encore sur une zone grise pour se faire de l’argent facile.

    Quand aux problèmes de sécurité, il est impossible de hasher un mot de passe qui devra être partagé. Si on veut le partager, il faut absolument le chiffrer sans hash pour que le dechiffrement redonne le bon mot de passe. Il existe des solutions pro assez complexes de partage de mots de passe (principalement utilisées entre des administrateurs de parcs informatiques) mais je doute qu’une start-up a les moyens (ou l’idée) d’utiliser des technologies équivalentes. Le plus probable ? Le mot de passe netflix est chiffré mais avec une clé qui est dans la base d’a côté !

    Mais le plus drôle n’est pas la. Avec vos infos de login, ce mec avec qui vous partagez votre compte peut changer votre mot de passe netflix, puis changer l’email du compte, et donc vous virer de votre compte en gardant votre CB pour payer !

  2. Julien Sanchez dit :

    Que c’est bon d’avoir un nouvel article. Mon client Rss était joie!

    Petite précision sur le hashage et salage d’un mot de passe. En réalité ce procédé ne peut pas s’appliquer dans leur cas:

    L’idée de ce procédé c’est qu’au moment ou l’utilisateur définit son mot de passe, on va le coller à une chaine de caractère arbitraire (le sel) et faire passer le tout dans une moulinette (hashage) et on stock le résultat dans la base de données. Quand l’utilisateur veut se logger, il rentre son mot de passe, on applique le même procédé et on compare le résultat à ce qu’on a en base de données. Si ça match, c’est que c’est le bon mot de passe et de cette façon, on ne stock jamais directement le mot de passe en clair. Et autre conséquence: on ne peut jamais retrouver le mot de passe d’origine vu que l’algo de hashage est irréversible.

    Dans leur cas, spliiit n’a pas accès ni à l’algo de hash de Netflix et encore moins à leur « sel ». Donc d’une part ils ne peuvent pas utiliser cette méthode et d’autre part, même si ils avaient cette info, ils ne pourraient pas s’authentifier de cette façon puisqu’il leur faudrait accès aux serveurs de netflix.

    De plus Netflix ne dispose pas de système d’authentification type « Single sign on » (comme le login facebook/google/github par exemple), du coup ils ne peuvent même pas proposer ce genre de façon de s’identifier.

    Je te confirme donc qu’ils stockent en base les identifiants de milliers d’utilisateurs sur des plateformes tierces et qu’au mieux ils chiffrent ça vite fait.

    Hâte de lire le prochain article!

Commenter





Page optimized by WP Minify WordPress Plugin