Nous avons reçu la semaine dernière une alerte de sécurité. Bien que nous recevons ce genre de chose de temps en temps (via le programme openbugbounty par exemple), cette alerte nous a semblé plus inquiétante. L’objet de cet article est de vous expliquer le déroulement des événements, les conséquences pour vous, pour nous et le futur.

# Mercredi

Le mercredi 10 janvier à 14h35 nous avons reçu un mail nous indiquant la présence d’une faille de sécurité dans le portail. Le mail présentait également une preuve de cette affirmation avec des captures d’écran de la liste des bases et des tables. Son rédacteur indiquait qu’en échange d’une somme comprise entre 500 et 1 000 Euros, il était disposé à nous expliquer la méthode pour corriger la faille.

À la réception de cet email, l’équipe en charge du serveur a débuté une discussion avec le bureau, des modérateurs et des personnes externes sur la meilleure manière de gérer cette situation. Il a été décidé de traiter le problème en interne et de ne pas accepter la proposition de gratification (qui d’ailleurs peut s’apparenter à une rançon), en conformité avec les recommandations des services de l’Etat : https://www.cybermalveillance.gouv.fr.

# Mercredi soir

Concernant la correction de la faille, la première stratégie a été de mettre à jour l’ensemble des outils utilisés (WordPress, Dokuwiki, etc.). Malheureusement GeoRezo est un portail âgé de bientôt 15 ans. Le code a été développé au fur et à mesure des besoins depuis ses débuts. Ainsi une bonne partie du code date d’il y a 10 ans.

# Jeudi et vendredi

Un premier audit rapide du code a montré une faille dans le service de Biblio (faille démontrée). En tirant le fil on déroulait la pelote. Jeudi matin les services se basant sur le code mis en cause ont été désactivés (agenda, biblio, 1ère page, etc.).

# Samedi et dimanche

À partir de jeudi soir nous avons réalisé les corrections du code, déployé peu à peu jusqu’à dimanche soir. Samedi et dimanche, un audit plus poussé a été réalisé pour lister tous les fichiers, les vérifier et les corriger.

Dimanche, le contact n’était pas rompu avec le rançonneur et le tarif avait diminué à 150 Euros.

# Les conséquences

À ce jour, nous avons une seule certitude : une faille par injection SQL a permis d’accéder à la base de données. Nous n’avons cependant aucune certitude que des données ont été récupérées. Le contenu de notre portail étant public, seuls les adresses emails et les mots de passe sont critiques. Les mots de passe sont hashés (i.e. il ne sont pas stockés en clair dans la base).

Nous vous invitons quoi qu’il en soit à ne pas utiliser le même login, email et mot de passe sur d’autres sites et à modifier votre mot de passe.

# Le futur

Depuis plusieurs années l’équipe GeoRezo maintient le portail en appliquant les mises à jour des différents produits logiciels que nous utilisons. Nous appliquons au plus vite les problèmes de sécurité dont nous avons connaissance soit par les mises à jour des produits, soit par le projet openbugbounty. Nous allons poursuivre ces travaux dans les prochaines semaines.

Au delà de ces aspects liés à la sécurité, nous allons également mener un projet de remise à plat de l’ensemble du portail, en partant d’une feuille blanche. Cette réflexion doit débuter très vite en interne mais nous prendrons le temps de vous écouter.

Si vous souhaitez réagir ou nous poser des questions sur tout ceci, nous avons créé un sujet spécifique sur le GeoBar.

Yves et l’équipe du GeoRezo

Plusieurs fois par an des utilisateurs de GeoRezo nous demandent d’effacer certains détails personnels mentionnés sur GeoRezo. C’est un sujet auquel nous apportons toute son importance sur notre portail. Voilà donc quelques rappels et précisions :

• Le site lancé en 1998 et devenu GeoRezo en 2005 a fait l’objet d’une déclaration CNIL, commission nationale information et libertés, concernant la protection la protection des personnes physiques à l’égard des traitements de données à caractère personnel. Ces éléments sont précisés à la page mentions légales de ce blog.
• Les internautes disposent d’un droit d’accès, de rectification, de modification et de suppression concernant les données qui les concernent personnellement. Ce droit peut être exercé par voie postale auprès de l’association GeoRezo ou par notre formulaire de contact.
• Le site a été organisé de manière à éviter le référencement des noms sur les moteurs de recherche. Et pour celà il est vivement recommandé de ne pas mettre de signature dans le message, mais plutôt en passant par la partie signature de votre profil, qui vous permettra d’avoir toujours une signature à jour.

Mais le site étant géré par une équipe de bénévoles, vous pouvez corriger vous même certains éléments et prévenir certaines difficultés :

• Adapter votre profil en remplaçant votre nom complet par un pseudo. L’accès à votre profil passe par la rubrique forum puis profil.
• Éviter de mettre votre email dans les messages, il y a une partie spéciale dans votre profil qui permet de gérer la mise en relation des autres membres avec vous en la spécifiant si besoin. Cela apparaîtra sous votre pseudo à gauche des messages avec l’intitulé « email ».
• Editer vous même vos messages pour enlever mention de votre nom. Évitez cependant de supprimer le message complètement pour éviter aux lecteurs d’avoir des fils de discussion incohérents. De manière générale, signer de son prénom ou avec son pseudo suffit.

Nous pouvons de notre côté procéder à certaines manipulations :

• Anonymiser totalement votre pseudo (compte Anonyme spécialement dédié qui va récupérer vos messages)
• Ou changer l’intitulé de votre pseudo si vous ne souhaitez plus voir affiché votre nom complet par exemple. De cette façon, l’email ne sera pas capté par les moteurs de recherche.

Celles ci sont fort consommatrices de temps : nous le faisons à votre demande, dans la limite de nos temps de bénévoles. Robin rappelle très bien ces éléments dans ce message : https://georezo.net/forum/viewtopic.php?id=69946.

Ouvert il y a quelques mois en toute discrétion, un nouveau forum d’échanges et d’entraide technique pour les solutions Business Geografic  est disponible sur le portail.

Il doit permettre aux utilisateurs des solutions de l’éditeur villeurbannais d’échanger autour de GEO, Aigle, Dynmap, GeoQlik, GeoBI et Equitée.

Pour participer, il vous suffit de vous inscrire en haut à droite de notre page d’accueil, puis de prendre connaissance et d’accepter les conditions d’utilisation de nos forums.

Si vous êtes déjà utilisateur du GeoRezo il suffit de rajouter ce forum dans la liste de vos abonnements. Vous pourrez alors poster depuis le site ou par mail à l’adresse business_geografic@georezo.net.

Les posts qui concernaient ces solutions ont été autant que possible redirigés vers ce nouveau forum. Nous espérons que cette nouvelle ressource répondra aux attentes des utilisateurs.

Notre forum, indépendant de celui de l’éditeur, vient en complément des différents supports officiels. Nous en profitons pour vous indiquer la date prochain Club Utilisateurs GEO, qui se déroulera les 14 et 15 décembre 2017 à Lyon.

Les forums de GeoRezo

L’équipe du GeoRezo

L’AFIGEO et le CNIG associés à la Région Grand Est saisissent l’occasion unique de la Conférence européenne INSPIRE à Strasbourg pour réunir les acteurs francophones de la profession dans le cadre d’une « Conférence francophone de l’information géographique ».

Cet évènement inédit s’articulera sur 2 jours autour d’ateliers, de tables rondes, de conférences, avec la participation de 30 grands témoins et l’animation d’un espace de 10 exposants !

Venez échanger sur des sujets d’intérêts partagés par le plus grand nombre :
* La nouvelle dynamique GéoGrandEst
* Les projets transfrontaliers et les programmes d’imagerie spatiale
* Les enjeux de la formation et des compétences dans les métiers émergents
* L’impact économique de la gouvernance des territoires par la donnée
* La grande échelle : socle des projets Smart City, BIM, PCRS, 3D…

Toutes les informations sur cet événement et les modalités d’inscription sont consultables ici.

Ce site met à disposition des ressources sous différentes formes. Outre le répertoire des métiers de la biodiversité qui représente le cœur de cette boite à outils, s’articulent autour un recensement des formations permettant d’accéder à ces métiers, des analyses prospectives par secteur d’activité, une entrée par activités repères, ou tout un panel de liens vers des ressources dans le domaine.

Vous y trouverez notamment les fiches métiers produites antérieurement dans ce domaine d’activité :
– Géomaticien(ne) : http://metiers-biodiversite.fr/metiers/geomaticien
– Gestionnaires de bases de données : http://metiers-biodiversite.fr/metiers/ … de-donnees

Pour découvrir plus globalement d’autres fiches et références métiers identifiées dans le domaine de la géomatique : http://georezo.net/refmetiers

Bonne lecture,

L’équipe GeoRezo

GeoRezo est une association loi 1901, reconnue d’intérêt général et doit se réunir annuellement en Assemblée Générale. Ainsi, l’équipe de modérateurs s’est réunie le 26 novembre à Paris pour faire le bilan de cette année passée et de son nouveau Bureau. A cette occasion, l’équipe a renouvelé sa confiance en son Président, Pierre-André.

Cette association vit depuis 2004 grâce à vos contributions : vous avez été près de 80 000 à visiter le site cette année et vous avez posté plus de 13 000 messages.

Le forum Qgis est toujours le plus fréquenté avec un nombre élevé de contributeurs.

C’est d’ailleurs sur ce forum que l’on trouve les sujets les plus lus. Cette année les sujets qui vous ont le plus intéressés sont très techniques,  comme ce problème d’enregistrement shp et dbf  ou le problème d’utilisation de raster en ECW sous QGIS 2.14 avec l’OS Ubuntu 15.10

Vous avez été près de 3000 à suivre les retours d’expérience sur l‘usage de la licence ODbL dans les collectivités  et il n’est peut-être pas trop tard pour y participer !

Du côté des forums éditeurs, s’ils sont en baisse d’activité, ils restent tout de même fréquentés, et de nouveaux abonnés arrivent même sur le forum Esri.

Un grand merci à nos membres bienfaiteurs qui ont pourvu l’association de 805€ sur l’exercice 2016. GeoRezo est une association loi 1901 composée de bénévoles. Les dons récoltés servent  à l’hébergement du site (72%) et aux frais de déplacement et de restauration lors des assemblées générales (17%). 11% du budget est dépensé en frais administratifs (banques, assurances …). Vous pouvez continuer à soutenir le GeoRezo de vos dons : http://georezo.net/blog/laminute/nous-aider/

Vous êtes plus de 1700 membres actifs sur le GeoRezo, vous faites vivre au quotidien l’association et le réseau des géomaticiens francophones. Pour cela, toute l’équipe GeoRezo vous remercie !

Chers responsables de formations, bonjour

Depuis 7 ans, l’AFIGEO (Association Française pour l’Information Géographique) et GeoRezo (Le portail francophone de la géomatique) proposent un espace dédié à vos formations en géomatique, qu’elles soient diplômantes, certifiantes ou qualifiantes : GeoFormations. Aujourd’hui, nous vous proposons un espace restructuré pour lequel votre contribution est indispensable.

Actualisez vos données sur GeoFormations
et contribuez à la valorisation de vos formations en géomatique

Construit sur la base d’un Wiki, cet espace collaboratif permet :

•  au candidat, de trouver une formation adaptée à ses besoins ;

• au responsable de formation, de donner de la visibilité à son offre de formation ;

• au recruteur, d’éclairer ses choix en matière de recrutement ;

• à toute la communauté géomatique, d’avoir une vision globale et homogène des formations en géomatique sur le territoire.

Afin de maintenir la qualité de ce service et de garantir son adéquation avec l’évolution de l’offre et de la demande en formation en géomatique, de nombreuses améliorations ont récemment été apportées :

• restructuration de GeoFormations autour de 2 sous-espaces distincts : d’une part, les formations « diplômantes » et « certifiantes » ; de l’autre, les organismes dispensant des formations « qualifiantes » (une entrée par organisme a été privilégiée compte-tenu du caractère éphémère des formations qualifiantes) ;

• révision du système des tags, du modèle de fiche et des critères de recherche ;

• révision des textes de présentation et harmonisation entre les différentes rubriques.

Pour aller encore plus loin dans cette valorisation des formations en géomatique, nous vous invitons à contribuer à l’amélioration de GeoFormations en :

• mettant  à jour la(les) fiche(s) vous concernant (durant cette phase de mise à jour, certains résultats de la recherche peuvent sembler incohérents : merci de ne pas en tenir compte) ;

• relayant cette campagne à tous les responsables de formation qui ne seraient pas déjà référencés dans cet annuaire ;

• nous transmettant toute information que vous jugerez utile pour faire évoluer cet espace.

Nous restons également volontiers à votre disposition pour toute demande d’appui.

Ensemble, favorisons le développement  de l’information géographique ! Votre participation à l’évolution de cet annuaire mais également aux autres actions menées par l’AFIGEO et GeoRezo demeure essentielle pour une meilleure reconnaissance de la géomatique, de ses métiers et de ses formations.  Nous comptons sur vous en 2017 ! Adhérer à l’AFIGEO et rejoignez GeoRezo en 2017.

Bien cordialement,

L’équipe d’administration du site GeoFormations
AFIGEO : geoformations@afigeo.asso.fr
GeoRezo : wiki_formation@georezo.net

Le GeoRezo ne vous oublie pas en ce mois de janvier. Nous commençons l’année 2017 la tête pleine d’idées et de projets et nous vous en souhaitons autant !