Quand Xiti donne les statistiques de ses clients …

C’est mieux qu’avec le partage Google Analytics

Pour tout ceux qui n’étaient pas présent hier, certains ont trouvé une petite erreur sur le site de xiti permettant d’afficher les visites sur un mois de n’importe quel site utilisant xiti. Voici à quoi ça ressemblait avec les stats de ce blog :

A coté, Google Analytics et ses statistiques anonymes, c’est un peu peanuts 🙂 Avec cette faille, j’ai pu découvrir les audiences d’un paquet de sites et ça donne une vision différentes du web. Maintenant sur ces audiences, tout reste relatif, je ne sais pas si toutes les pages sont tagguées ou s’il y a eu des utilisations spécifiques.

Un mutisme étonnant

Ce qui m’étonne également dans cette histoire, c’est le calme autour de tout de ce lien, pas beaucoup de twit, encore moins d’articles. Le long week end n’arrangeant pas non plus à suivre de près de ce qu’il se passe un dimanche (encore moins un dimanche ensoleillé) mais je pose aussi une question juridique,

Y’a t’il a un risque à divulguer les audiences des sites web sur son blog ?

Car après tout, c’est utiliser une faille d’un système mais c’est également révéler des données confidentielles, c’est donc une grande question et si un juriste passe dans le coin, je suis preneur ^^.

L’importance de la maintenance

Ne cherchez plus cette faille, elle a été comblée hier soir par les équipes de Xiti. D’ailleurs je tiens juste à souligner la vitesse pour régler cette faille, après tout c’était dimanche et un long week end de plus. Je trouve que le temps de réaction est honnête !

Cette affaire me fait du coup repenser à l’importance de disposer de personnes d’astreintes en cas de coup dur sur les week-end et jours fériés. Je ne sais pas comment Xiti a vu la faille un dimanche (si les équipes font du monitoring ou si elles surfent sur les forums peut être ^^) et comment cela a été géré mais avoir l’autre coté de l’histoire serait amusant.

Bonus

Si vous voyez vos stats tomber depuis 1 mois, avec des week end tristement calme… ne vous inquiétez pas, c’est la même pour tout le monde 🙂 Le soleil et les jours fériés devant y être pour quelque chose 😉

Merci Aurélien 😉

7 Comments

  1. en même temps, il n’y a pas énormément de blogs qui utilisent xiti…j’ai juste eu le temps de voir les stats de 4 voir 5 blogs…certains blogs ont vraiment des statistiques de dingues comme des pics à 6000 visites!
    D’ailleurs, je n’avais même pas vu que tu utilisais xiti…zut! 😉

    Répondre

  2. oui c’est sur, mais il n’y a pas que les blogs dans la vie 🙂
    les autres sites étaient intéressants aussi 🙂
    pour mes stats, elles sont dans le graphique, je cache rien 😉

    pour les stats des blogs, j’étais TRES déçu et surpris, des chiffres qui refletaient pas les annonces…
    maintenant il faut relativiser aussi, surtout pour les blogs ! car cela ne represente que la part des visites, ca ne compte pas les RSS qui font une GROSSE partie de la visibilité d’un blog

    Répondre

  3. Damn, j’ai même pas été au courant… :-/

    Répondre

  4. Un juriste passait par là… le fait de découvrir une faille de sécurité (par hasard…) via un simple browser (j’insiste sur cette précision), permet d’éviter que cet acte soit incriminé au titre de la criminalité informatique (pas d’acte volontaire, absence de volonté de nuire, pas de maintien non autorisé dans un système de données). Le fait d’informer le prestataire que vous avez découvert cette faille doit nécessairement conduire celui-ci à réagir avec promptitude sinon il pourrait voir sa responsabilité engagée. Les données peuvent être des données commerciales mais également des données à caractère personnel au sens de l’art. 34 de la loi Informatique & Liberté:
    « Le responsable du traitement est tenu de prendre toutes les précautions utiles au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et notamment empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisées y aient accès »
    Deux types de sanctions sont prévues dans le cadre du manquement à la sécurisation des données:
    Pécuniaires pouvant être prononcées par la CNIL (150 à 300 000 euros) et pénales (art. 226-17 du CP).
    En ce qui concerne la divulgation de ces informations par des tiers, c’est le régime de la responsabilité éditoriale des sites ou blogs qui sera d’application.

    Répondre

  5. Mathieu Llorens 13 mai 2008 at 12 h 06 min

    Bonjour,

    je me présente tout d’abord : Mathieu Llorens, Directeur du développement pour XiTi. Je viens essayer d’éclairer un peu cette discussion afin de préciser les causes et les conséquences de ce problème d’affichage révélé sur le blog d’actualia.

    Tout d’abord je tiens à signaler qu’il y a effectivement eu un problème de sécurité, ce graphique n’aurait pas du être accessible de cette manière-là.

    Ceci dit, je tiens à préciser immédiatement que ce graphique est inexploitable, car pour avoir une information de fréquentation sur un site Internet, il est nécessaire d’avoir trois informations : une période (jour, semaine, mois), un indicateur (pages vues, visites) et un périmètre (URLs, domaines). Or en l’occurrence, il n’y a pas d’information de périmètre sur ce graphique. Un numéro de site n’est pas un périmètre, loin de là… En effet la majorité de nos clients possède un très grand nombre de sites différents afin d’améliorer la granularité de leurs analyses, et les supports particuliers de types RSS, audio, vidéo, mobile etc. sont en général classés dans des sites dédiés. De plus il est possible d’afficher sur ce graphique la fréquentation d’une seule page, ce qui est également très fréquent pour des sites choisissant d’afficher uniquement leur home dans leur tableau de bord. Bref, ces graphiques peuvent refléter des informations radicalement différentes d’un utilisateur de XiTi à un autre : la home d’un sous-site dans un cas, un regroupement de domaines dans un autre.

    Rien d’étonnant donc à ce que les quelques personnes ayant cherché à récupérer des informations aient pu être surprises : les données en question ne correspondent simplement pas à ce qu’ils ont cru lire.

    Enfin, pour répondre à votre question sur la gestion de ce problème de XiTi, nous avons effectivement des équipes astreintes 24h/24 et 7j/7, car la fiabilité et la stabilité de notre système représentent pour nous un enjeu majeur. Le problème en question concernait un certain nombre d’utilisateurs gratuits et payants et faisait suite à une récente mise à jour du programme. Il a rapidement pu être résolu dans le courant du week-end par notre équipe d’astreinte.

    J’espère que ce commentaire répond à vos différentes questions. Toute l’équipe de XiTi reste à la disposition de ses utilisateurs pour vous apporter si nécessaire des précisions supplémentaires.

    Cordialement

    Mathieu Llorens

    Répondre

  6. Bonjour Mathieu,
    sympa les explications, j’en attendais pas autant 🙂

    En effet, comme je l’avais noté dans mon article, des données difficilement utilisables comme ca, mais elles peuvent donner une indication quand même 😉

    Merci pour les informations sur les équipes, et bien joué pour le suivi de cet incident.

    Répondre

  7. Si les données sont inexploitables, cela signifie que tu peux nous communiquer les chiffres que tu as trouvé Nellio ?

    En tout cas, c’est sympa de voir la réactivité de xiti et qu’ils prennent la peine de venir commenter sur ton blog…

    Mais bon, les grosses structures c’est souvent « yeux doux » devant et procès dans le dos. Alors attention 🙂

    Répondre

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *