Le blog d'infos Alphaville Herald vient de lever un sacré lièvre et enfoncer une sacré épine dans le pied (bot) de modularsystem.

Il semblerait que la sécurité du site internet modular est était cassé, cependant, cette seule nouvelle n'était pas sans une réelle importance, des milliers de sites sont piratés chaque jours (ou des comptes gmail par exemple... >_<), la ou tout ceci devient vraiment sérieux c'est quand on découvre que modularsystem enregistrait et stockait tout à fait illégalement des noms avatars, adresses IP, et des informations de géo-localisation pour les joueurs qui se sont inscrit sur Second Life à partir du site ModularSystems.com.

Les documents comprennent une fuite des échanges de courriels, une décharge partielle de la base de données secrète, le code source PHP d'une parties d'un datamine "application", et une photo des développeurs d'Emerald à une réunion avec Linden Lab avec le CEO Linden M, Marty Linden conseillé juridique du Labs, et plusieurs autres personnels de la firme de Burbank.

Il apparaît malheureusement que les documents cités plus hauts ont étaient propagés via un site de partage de fichiers en ligne (type uploading/rapidshare/megaupload) ce qui ne va pas du tout rassurer des résidents en manque chronique de confiance envers Linden Labs et aujourd'hui Emerald.

Ce qu'il faut voir selon alphaville est que SecondLife possède une très forte communauté Roleplay sur un thème fortement sexué, il apparaît donc très clairement le désarrois des joueurs/résidents qui verrait leurs adresses/noms/etc apparaître en clair dans les mains de personnes vraiment mal intentionnées. De mon coté ce n'est pas tant la possession qu'en ferait une personne mais c'est bien le fait que Modular a complètement dévié et à enregistrer des informations puis les as stockés, informations sensées ne jamais êtres sur leurs base de données.

Selon un échange d'e-mail avec Hazim Grazov, résident de SecondLife [texte intégral ci-dessous], le personnel de Linden Lab semblait le penser aussi.
Soft Linden a déclaré: «Je travaille avec  le VP sur la meilleure façon de régler ce problème. Ceci est extrêmement grave  ».

Voici à quoi ressemble l'un de ces documents

Adresse IP, nom, UUID, type de viewers, connexion, tout ceci récupérer vie le RegAPI de SL.

Soft Linden trouvent un écho dans un e-mail en date du 16 avril, dans lequel Joe Linden dit à Grazov, «Nous considérons cet événement comme très grave et nous n'avons pas terminé nos discussions avec eux pour les prochaines étapes, les modifications, la vie privée et les communications avec leurs utilisateurs. Je ne sais pas quelle est la source du fichier et d'ou elle vient, mais si vous le savez, j'espère vous encouragez à ne pas le communiqué publiquement."
Joe conclut en disant: "Merci encore pour nous avoir fait prendre conscience de cela. Rassurez-vous, nous ne traitons pas des événements comme cela à la légère"
C'est à espérer en tout cas...

En attendant il semblerait qu'un dénommé "JCool410" (Fractured Crystal sur Second Life) est fait des recherches sur un datamine (sur le terme Tizzy) et n'ai pas recu le mémo d'abstinence de modular

Il semblerait également que ce compte est était compromis (entendre par la, piraté).
Interrogé via Skype samedi si il y avait eu violation de la sécurité sur le site modularsystems.com, Jcool - qui est connue sous le nom de Fractured Crystal dans Second Life - a refusé de commenter.

Voici un exemple de géolocalisation effectué avec ce datamine

Toujours d'après le reporter d'alphaville : "Bien qu'il soit possible que certains des documents ont été fabriqués, je peux confirmer au moins deux messages e-mail dans les documents révélés sur Emerald sont légitimes - les deux sont des messages de discussion que j'ai envoyé à Fractured Crystal alors qu'il était hors ligne et qui ont été automatiquement transmis à l'e-mail."

La ou on commence à rentrer dans le monde du contre-espionnage Vs le KGB Vs la DST Vs la CIA, en bref très X-Files... c'est que tout ceci serait en fait lié a l'affaire de l'université de Woodbury sur Second Life. En effet et toujours selon Alphaville Les questions que Hazim Grazov a soulevé lors du meeting des Devs d'Emerald sur les données et l'exploitation des données collectés sur SL à Joe et Soft Linden conduira certainement à la spéculation que le récent bannissement de la Woodbury University of Second  Life  était liée à des fuites d'Emerald. M. Grazovour semble avoir passé du temps avec les membres du groupe Woodbury dans Second Life, et il y avait une confrontation entre certains membres de la faction Woodbury et fractured Crystal (aka Jcool410) peu avant que Linden Lab est virer  la "soviétique" Woodbury et ses Sims ainsi que leurs dirigeants de la Grid.

Pour infos, cette fameuse Woodbury aurait était le point de base de multi-grieffers lié à une idéologie de révolution Bolchevik. En bref, Linden Labs après avoir vu "l'annexation" de sims Estonienne par la Woodburyour raisons de grieffing aurait fichu tout ce beau monde à la porte. Rien à ce jour n'a était prouvé la dessus, d'ailleurs une Call Action est intenté contre Linden Labs à ce sujet.

Tout ceci n'est que pure spéculation bien entendu mais cela révèle au moins une chose, que ModularSystem collecte des données illégales sur ses serveurs (les fameux bridges), qu'ils ont dans leur équipe des types vraiment TRES louche au passé de grieffers/builders de viewers illégaux et qu'enfin, à la charge de Linden Labs, ont cacher tout simplement cette ENORME faille de sécurité pour couvrir leurs ptits culs.

Voici la retranscription complète de l'échange mails avec Linden Labs, ou Hazim exprime son étonnement a JoeSoft Linden sur certains fonction de l'ApiReG ainsis que sur la facilité de la collecte d'infos qui sont sensées rester cryptés... et

————————————————————————————–

Subject: Re: Someone told me you might want to see this RE Emerald…
Date: Fri, 16 Apr 2010 14:05:22 -0700
From: Joe Linden <joe@lindenlab.com>
To: Hazim Gazov <hazim.gazov@gmail.com>
Cc: Soft Linden <soft@lindenlab.com>

We consider this a very serious event and have not finished our discussions
with them as to next steps, privacy policy modifications, and communications
with their users.

I don’t know what the source of the file was, but if you know, I hope you
will encourage them not to release it publicly.

By the way, we determined that yours was the only voice account that had
been disabled. Is voice working for you again?

Thanks again for making us aware of this. Rest assured, we do not treat
events like this lightly.

Regards,
– Joe Miller

On Fri, Apr 16, 2010 at 1:36 PM, Hazim Gazov <hazim.gazov@gmail.com> wrote:

> I heard the explanation Jay gave as to why he had the info, and I don’t buy
> it.
>
> The database allowed administrators to quickly determine if a new account
>> was a alt account of a griefer that had previously attacked the sim. It also
>> stored the IP used on registration portal on the website when you register a
>> avatar because avatars created on that portal usually logged directly into
>> Emerald Point and were the fastest route for griefing the sim. After it was
>> demonstrated that this was a effective solution to the problem, several
>> nodes were placed in a few other sims for short periods of time
>>
>
> Since when do you need GeoIP functionality to determine if someone is an
> alt? From what I heard they had rather large GeoIP files used to obtain an
> approximate location from an IP address and had the code built into the
> system:
>
> From datemine.web.php:
>
>> $gi = geoip_open("geoip/GeoLiteCity.dat",GEOIP_STANDARD);
>> $giorg = geoip_open("geoip/GeoIPOrg.dat",GEOIP_STANDARD);
>> $giisp = geoip_open("geoip/GeoIPISP.dat",GEOIP_STANDARD);
>> $tip = $_GET['ip'];
>>
>> $record = geoip_record_by_addr($gi,$tip);
>>
>> /*$netspeed = geoip_country_id_by_addr($gi,$tip);
>> if ($netspeed == GEOIP_UNKNOWN_SPEED)$netspeed =
>> ‘Unknown’;
>> }else if ($netspeed == GEOIP_DIALUP_SPEED)$netspeed =
>> ‘Dailup’;
>> }else if ($netspeed == GEOIP_CABLEDSL_SPEED)$netspeed =
>> ‘Cable/DSL’;
>> }else if ($netspeed == GEOIP_CORPORATE_SPEED)$netspeed =
>> ‘Corporate’;
>> else $netspeed = ‘???’;*/
>>
>> $org = geoip_org_by_addr($giorg,$tip);
>> $isp = geoip_org_by_addr($giisp,$tip);
>>
>
> I sincerely hope something more than a slap on the wrist is doled out.
>
> I’ve also heard that my IP was sent as the person who "hacked" into their
> website, that’s bull and they should pony up some logs if they want to say
> that. I wouldn’t be surprised if they just pulled up the IP from that
> database.
>
> On Thu, Apr 15, 2010 at 11:32 PM, Hazim Gazov <hazim.gazov@gmail.com>wrote:
>
>> Unfortunately, I wasn’t the first one to get this, so I don’t think I can
>> do much to limit the sharing of it… however AFAIK very few people have one
>> with full IP addresses, most people have one with the last two blocks
>> censored.
>>
>>
>> On Thu, Apr 15, 2010 at 6:05 PM, Soft Linden <soft@lindenlab.com> wrote:
>>
>>> Yep, I see that, and I see the regapi collection. I’m working with a
>>> VP on how to best deal with this. This is extremely serious.
>>>
>>> Do you know how widely this has been spread, and could I trust you to
>>> limit further sharing?
>>>
>>> On Thu, Apr 15, 2010 at 12:25 PM, Hazim Gazov <hazim.gazov@gmail.com> wrote:
>>> > It’s being retained for the purpose of getting an SL user’s RL data
>>> > arbitrarily.
>>> >
>>> > On Thu, Apr 15, 2010 at 4:22 PM, Hazim Gazov <hazim.gazov@gmail.com> wrote:
>>> >>
>>> >> They’re not simply being retained, look at
>>> >> secondlifeutility/datamine.web.php
>>> >>
>>> >> On Thu, Apr 15, 2010 at 4:18 PM, Soft Linden <soft@lindenlab.com> wrote:
>>> >>>
>>> >>> I appreciate the heads up, Hazim, and I’m disappointed to see that the
>>> >>> IP addresses are being retained. I’ll let the appropriate Lindens
>>> >>> know.
>>> >>>
>>> >>> On Thu, Apr 15, 2010 at 11:57 AM, Hazim Gazov <hazim.gazov@gmail.com> wrote:
>>> >>> >
>>> >>> >
>>> >>> > ———- Forwarded message ———-
>>> >>> > From: Hazim Gazov <hazim.gazov@gmail.com>
>>> >>> > Date: Thu, Apr 15, 2010 at 3:50 PM
>>> >>> > Subject: Re: Someone told me you might want to see this RE Emerald…
>>> >>> > To: joe@lindenlab.com
>>> >>> >
>>> >>> >
>>> >>> > and I forgot the attachment, spectacular
>>> >>> >
>>> >>> > On Thu, Apr 15, 2010 at 3:49 PM, Hazim Gazov <hazim.gazov@gmail.com> wrote:
>>> >>> >>
>>> >>> >> Take a look at the SQL file and regapi/index.php at line 97…
>>> >>> >
>>> >>> >
>>> >>> >
>>> >>
>>> >
>>> >
>>>
>>
>>
>

Je ne sais pas pour vous mais pour ma part ModularSystem (je ne mentionne bien évidement pas ses bots Onyx qui feront l'objet d'un autre article) à perdue une grande partie de sa crédibilité.

Ce 5 mai j'ai eu la surprise de lire sur le blog officiel de SecondLife la mise en chantier d'un Viewer V2.1 (promis c'est pas une blague ce coup-çi ^^)

Esbee Linden, la product Manager pour les viewer qui as visiblement du se faire taper sur les doigts au vu du sondage qui as était fait plus tôt s'explique :

"L'année dernière, notre team product et les équipes d'ingénieurs se sont mis de concert avec nos partenaires designers à repenser une nouvelle expérience utilisateur de notre Viewer, dont le résultat a été le Viewer 2. Merci à tous ceux qui ont télécharger le Viewer 2, essayé, et nous ont donner tant de commentaires réfléchis et constructifs!"
C'est sur que vu la branlée mémorable... on aurait dit le score de Sarkozy pour 2012! (quoi? je peux bien rêver un peu non?)

Ca n'est pas fini :
"Nous avons assister a un large adoption de ce Viewer 2 - plus de 400.000 téléchargements à ce jour! Viewer 2 fonctionne bien pour les nouveaux résidents, mais de nombreux résidents actuels constatent qu'il ne réponds pas à leurs besoins (ndlr : sans blague!) - de ce fait! Nous avons entendus vos préoccupations et nous répondrons a vos requêtes - la prochaine version, le Viewer 2.1, abordera certains de vos commentaires les plus constants et s'appuiera dessus. Et il est toujours important de se rappeler que nous célébrons(prenons en comptes) le choix des résidents (ndlr : LOL). Le Viewer 1.23 continue, et il ya d'autres choix dans le répertoire des tiers Viewer."

"LeViewer 2 n'a pas été online depuis très longtemps, mais nous voyons déjà des signes encourageants de nouveaux résidents. Nous assistons à une augmentation des personnes qui se reconnectes au bout de sept jours, de plus les nouveaux résidents voyagent vers des destinations supplémentaires une fois qu'ils ont  commencé dans Second Life. Selon les premières indications il est établis que nous avons créé une bonne base pour les nouveaux résidents, mais il est également clair que nous avons encore du travail à faire."

Donc, qu'avons nous la, comme d'habitude LL se masse le dos en arguant que c'est une véritable réussite, qu'ils écoutent les résidants et prennent en comptes nos remarques... Bah tient... Cependant le Labs semblent un peu plus enclin a moins jouer les faux-culs en annonçant que le Viewer 1.23 restera sur la grid! hourra! et qu'un peu plus de choix sera sur les TPV. Enfin ils avouent à demi-mots qu'ils ont pas mal merdés et que le boulot n'est pas du tout satisfaisant. Histoire de se passer de la pommade ils disent quand même que ce V2 à amener beaucoup de nouveaux résidents a se connectés et à rester. Bon c'est bien beau tout ça mais concrètement?

Il suffit de le demander!
"Dans le cadre de cet effort, nous avons publié le Viewer 2.0.1 quelques semaines auparavant, qui portait sur les performances et sur plusieurs préoccupations de stabilité, y compris les accidents les plus courants (ndlr: les crashs), l'amélioration cache des textures et des problèmes de connexion vocale. Nous avons également amélioré les performances de recherche. Si vous avez été frustrés par la recherche dans le viewr dans le passé, essayer un nouveau terme de recherche préféré - vous serez agréablement surpris."

Et nous sommes déjà sur le Viewer 2.1, prévue pour déploiement cet été (été dans l'hémisphère nord). Nos équipes d'ingénieurs se concentrent sur quelques domaines: facilité d'utilisation, les performances et nouvelles fonctionnalités clés telles que la personnalisation d'avatar et de faciliter l'envois de snapshots via les réseaux sociaux.

"Améliorations d'utilisation
Nous avons répondu à la réaction des résidants au Viewer 2 de très près depuis sa sortie, et avons pris un certain nombre de choses que nous voulons améliorer en réponse à vos commentaires. À l'heure actuelle, nous espérons obtenir les caractéristiques et les changements suivants dans le viewer version 2.1 cet été. Nous pourrions avoir besoin de changer de cap sur certaines de ces améliorations (et vous tiendrons informés si le cas se présentait), voici un aperçu de ce que nous prévoyons:"

What else?, j'ai un demi sourire aux lèvres en écrivant/traduisant ceci, Linden Labs autait-il enfin compris que se sont les résidents qui mènent le bal? (et paient la facture de madame et son botox californien). Permettez moi d'être dubitative sur ce sujet, Linden Labs nous as tellement bobarder la dessus que le doute plane furieusement au dessus de leurs têtes. Cependant comme toute choses, il y a sûrement une part de prise de réflexion de la part du Labs. Arrêtons la les digressions gratuite (ou pas) et voyons ce que mijote monsieur Linden dans son Labs:

    * Ajout de contrôles de volume individuels pour les objets média partagé. (retour a 1.23)
    * Personnalisation de la barre inférieure, afin que vous puissiez accéder rapidement aux fonctions et fonctionnalités que vous utilisez le plus souvent. (retour a 1.23)
    * Mises à jour de la caméra et le contrôle des mouvements, vous pourrez alors faire une vue en plan large et de loin de Second Life, en même temps. (retour a 1.23)
    * Ajout de l'option 'Build' Retour au menu contextuel du clic droit. (retour a 1.23)
    * Fixation du bug où CTL-ALT-F1 qui ne cachait pas toute l'UI du Viewer comme il se devait. Ce correctif devrait résoudre beaucoup de problèmes pour les machinimists et les photographes.
    * Ajout d'une préférence qui permet aux utilisateurs de contrôler si l'ouverture Side Bar redimensionne le monde ou passe au dessus de la vue.

Ok! on se calme!, comme on peut s'en rendre compte, plus de la moitiée et un retour a l'UI de la 1.23... quel suspense!, nos amis builders n'auront plus a cliquer partout comme des fous pour créer un prim, retour de l'interface aussi pour le média (quand même!). Kirsten doit être heureuse, elle qui as réussie toute seule (c'est à dire sans avoir une équipe de 20 stagiaires sous le coude) a régler le positionnement de caméra... bin elle vient de se faire piquer son patch par le Labs... trop fort!. Idem pour le ctrl+alt+F1. Par contre le Labs n'en as eu rien a faire concernant la slide bar, ce truc immonde qui bouffait 25% de votre écran, il le laisse, pire, il propose maintenant deux options, soit un fois activer cela va "compresser" votre vue, donc perte quand même de 25% ou alors passage en vision Iphone, soit ranafoot la barre passera par dessus et retour a l'envoyeur 25% dans le luc.
Une image me vient en tête sur ce dernier point

Bon allez... ca c'était pour le planning, voyons la suite (oui! ils ont mangés du lion... du vieux lion... mais du lion!)

"Meilleure performance
Nous continuons à améliorer la stabilité aussi. Nos données sur les résidents utilisant le Viewer 2 indique qu'un grand nombre de personnes utilise Second Life sur des PC bas de gamme (ndlr: pardon... ont est pas tous des riches). Après avoir examiné les données, nous allons optimiser les performances pour tous les types de machines, apportant des avantages de performance à tous les utilisateurs. Nous allons aussi faire quelques mises à jour de rendu afin d'améliorer les performances des téléchargements de texture, ce qui contribuera également à faire mieux fonctionner SL sur de vieux ordinateurs.
L'équipe continue également à améliorer les serveurs afin d'offrir une fluidité de la plus haute qualité possible. Nous cherchons aussi résoudre quelques correctifs crash, ainsi que certains problèmes de fuite de mémoire. Votre rapports d'incidents nous aides à découvrir les configurations différentes qui sont utilisées et d'autres problèmes qui ne sont pas toujours faciles à identifier. Nous travaillons rapidement pour corriger ces erreurs, donc s'il vous plaît, continuer à nous envoyer les rapports d'erreur!"

Ok... Linden Labs semblent aussi prendre en compte que leurs serveurs ont pas mal de soucis (les fameux assets servers), ils vont donc tenter (je dis bien "tenter") de résoudre ces menus contretemps qui nous pourrissent l'existence SLienne. Chose amusante, il nous supplient (presque!) que l'on continue a leurs envoyer les rapports de crash... je veux bien moi... mais a chaque fois (et ceux depuis la 1.18 je crois) que j'envoie, c'est toujours la même réponse : "serveurs introuvables", "serveurs ne réponds pas" que ce soit le principal ou l'alternatif, suis-je la seule?. Donc si je résume, comment faire un feedback efficace si le système qui sert a le transmettre ne fonctionne pas! ... C'est toute l'ambiguïté du Labs.

"Nouvelles fonctionnalités
Parmi les nouvelles fonctionnalités prévues pour le Viewer 2.1 sont les améliorations de personnalisation de l'avatar. Tout d'abord, nous vous présentons la possibilité du multi-clothes, qui vous permettra de porter plus d'une couche d'un type particulier de vêtements. Vous voulez porter deux chemises? Allez-y! Deuxièmement, nous espérons lancer le multi-attaches, ce qui vous permettra d'avoir plus d'un objet à tout point de fixation donnée - une caractéristique que les consommateurs et les commerçants sauront apprécier. Plus de perte du col de votre veste quand vous voulez porter aussi votre collier préféré! Nous avons également améliorer nos fonctionnalités de partage de snaphshots, ce qui rend plus facile pour vous de partager vos photos avec vos amis via Facebook, Flickr et d'autres réseaux sociaux."

Ah la il-y-à du grain à moudre!, qu'y retrouve t'on? tout simplement les fonctionnalités superstar d'emerald! le multi-points d'attache!. Seule nouveauté et ceux sûrement grâce au nouveau système du layer alpha, la possibilité de porter en même temps plusieurs couche de vétements, CA c'est vraiment sympa! fini le choix entre mon tatouage ou mon soustif!. Enfin, preuve que SL vire au blingbling social, la possibilité de se faire encore plus d'amis sur facebook via un partage (sûrement le même système que l'envoi par mail de snapshots) de vos snaps.

"Ouverture du développement
Il est important de noter que nous prévoyons de faire une grande partie du Développement de ce Viewer V2.1 en open source. Nous continuons d'améliorer nos processus de développement open-source et nous travaillons avec l'équipe de projet de SnowGlobe 2 afin de rendre plus facile l'intégration entre SG2 et le viewer officiel. Pour plus d'informations, consultez le Forum de développement Open-source et voir notre approche de multi-vetements et d'autres projets.

Comme T Linden a écrit dans son poste plus tôt cette semaine, nous visons à fournie le Viewer 2.1 cet été. Promettant de livré plus rapidement notre Viewer 2.

Enfin,s'il vous plait, nous prenons vraiment en compte votre avis sur ce Viewer 2 et SL en général. J'espère continuer un dialogue permanent avec la communauté afin d'assurer que nous developperont toutes les nouveautées et améliorations qu'aimeront tout nos résidents et accroîtront votre plaisir sur Second Life. Alors s'il vous plaît restez à l'écoute pour plus de mises à jour! Comme toujours, s'il vous plaît n'hésitez pas à publier des commentaires au Forum V2, sur notre Jira, et Twitter (# slviewer2), et laissez-moi savoir quelles fonctionnalités et mises à jour que vous aimeriez voir dans le viewer 2!"

Cheers!
Esbee Linden

Voila! le message est passer, ils tiennent apparemment a nous faire savoir une chose, ON VOUS ECOUTES!, je pense que le message est passer, cependant entre écouter et comprendre ma chère Esbee il y à une grosse différence.
L'on peut aussi voir, étrangement, que ce viewer va passer en open source... étrange au vu de la cacophonie sur les TPV et la protection que devait apporter ce nouveau viewer... les leçons du passé n'ont apparemment pas étaient apprise, j'avoue de mon coté prendre cela plutôt bien mais qu'en sera t'il de tout les commerçant lésés au passé?. j'ai comme l'impression que la tempête est encore dans le coin... cogito ergo sum

PS : pardon pour la traduction parfois un peu approximative, j'ai fais de mon mieux :)
PPS : corrections des traductions... ça m'apprendra à  pas me relire 15 fois :p