Un tweet m'a fait plonger dans les méandres de certaines associations, présentées parfois (à tort, bien sûr) comme des 'références mondialement reconnues.
Aujourd'hui, ma tweeter line remonte ce message… Ca sent la rigoladeJe vais donc voir un peu leur site, histoire de me faire une idée de la "qualité" réelle de cette association de "référence" dont je n'ai jamais entendu le nom
Des status douteux
J'explore un peu, et dans les status de l'association, on sent déjà l'arnaque: 20% des votes pour passer une résolution? C'est loin d'un consensus
Liste des membres et point godwin
Petit retour sur twitter histoire d'avoir d'autres idées de trucs à explorer, et… Ah, ouais, la liste des membres, ca semble croustillant!Mais si on souhaite voir la liste des membres pour confirmer, alors la page les listant est "introuvable"On observe que le lien n'est pas comme les autres (un ID numérique)Alors que les autres liens sont littéraires ("machin-truc"), étrange… Cela sent la modification en catastrophe, et donc, les failles
Et j'aime les failles! π
πΆ Can we find our way back? Way back!
A cause de ce titre de chapitre, j'ai maintenant
cette musique
en tΓͺte! Et vous aussi!
Un petit tour sur la wayback machine, et on trouve l'URL originale: /directoryMaaaais… Sur le site réel, le directory est maintenant réservé aux membres!On peut toutefois la retrouver dans la wayback machine…Mais il y a énormément de pages… 28…Et certaines n'existent pas. Donc, chercher Adolf là dedans serait trop complexe
Fonction de recherche et API
On pourrait essayer de voir comment fonctionne le "formulaire" de recherche: sur un malentendu, les mécaniques du formulaire de recherche marchent encore sur le site?Le "formulaire" étant un faux formulaire (pas du HTML: pourquoi coder correctement? π), on va devoir chercher son code JavascriptOn constate dans le code que si on renseigne quelque chose dans la recherche, alors "getValue" est appelée, et lui-même appelle ensuite "Search"Search est une simple fonction faisant un appel API à /wp-admin/admin-ajax.php
On va essayer de forger cet appel d'API sur le site original de l'association, et voir si cette API nous renvoie la liste des membres.
On forge donc la requete curl -X POST "https://genocidescholars.org/wp-admin/admin-ajax.php" --data "action=users_search&search=hitler&page=1&womens_caucus=&indigenous_caucus=&show_email=true"… Adolf est là!Quel beau profil! https://genocidescholars.org/author/adolf-hitler/ Disponible sans être authentifié (comme quoi, savoir bien coder, ça aurait aidé)
Récupération de la liste complète
Avec une petite commande et une boucle, on va interroger de la même manière l'API et prendre chaque page du directoryJ'ai aggrégé tout cela dans un beau fichier HTML (dispo dans l'archive de l'article)Avec quelques commandes, on peut récupérer de cette liste toutes les URL des "auteurs" de l'associationOu les noms de ces membres (dispo aussi dans l'archive)Ce serait chiant à review à la main…Alors on demande à chatGPT de le faire, et il nous trouve quelques perles (dont on n'a plus qu'à reprendre l'URL dans le fichier HTML)
Membres remarquables π
Par exemple, on retrouve ce "membre" ci https://genocidescholars.org/author/israelwarroom/Ou celui-là https://genocidescholars.org/author/alondra-sharmuta/Son nom est une insulte en arabe, peut-etre une coincidence… Hein… n'est-ce pas? πJ'aime bien aussi celui-ci https://genocidescholars.org/author/haffaz-aladeen/Ou celui-là https://genocidescholars.org//author/general_cannoli/ (j'ai même lu "Obi-wan Cannelloni" au début)Ou ca https://genocidescholars.org/author/majmaniac42/ très représentatif sans doute de la qualité des membres de cette association
Archivons
Histoire qu'on ne risque pas l'accusation de "ce sont des fakes que tu as fais", j'ai archivé certains de ces beaux profilsEt apparemment, je ne suis peut-etre pas le seul à l'avoir fait!
Une liste 'soudainement' privée
Le dernier point intéressant est que le directory était encore public le 1er septembreEt si on prend le lien de la fameuse "publication"
Pour une fois, je note qu'il est fourni; pas dans le tweet original donc facile de perdre cette source aux RT, mais au moins, il y est.
Celle-ci date d'Aout. Est-ce que le directory est devenu "privé" à cause de cela? Peut-etre…Elle date du 31 Aout d'ailleurs, vraiment pas loin de la date de "privatisation" de ce directory.
On notera au passage que la résolution ne mentionne pas quel % d'adhésion elle a remportée ni rien: niveau transparence, on fait mieux
Métadonnées du PDF publié
Allez, encore un "dernier" petit point à vérifier: est-ce qu'on retrouve des informations intéressantes dans les metadonnées du PDF? Apparemment, oui: voyons ce que nous dit ce nomIl est en tous cas dans la liste des membres: cela tend à confirmer que cette liste des membres est bien la liste des "20%" requis pour approuver une "résolution" de l'associationEt il est "inactive member" d'apres le site, alors qu'il a publié le PDF du 31 Aout
Cela tendrait à réfuter toute objection du genre "le profil adolf est inactive member donc il ne compte pas", puisque ce profil-ci est aussi "inactif" alors qu'il a écrit le PDF
Ah, au fait, le site n'a pas encore pensé à actualiser son menu "members", qui dit pourtant "Non-members can search the public directory" alors que ce n'est plus le cas πEt pour rejoindre, il suffit de payer. Nota que je n'avais encore jamais vu une association afficher ainsi les tarifs "en fonction de vos revenus". Cela aide à savoir à quelle philosophie de vie on a à faire
D'autres pages intéressantes?
On peut en profiter pour essayer d'itérer sur l'URL avec un ID qu'on avait trouvée au début de l'article. Juste pour voir…Y'en a beaucoup, j'ai pas envie de faire le taff à la mainJe vais donc isoler les URL, et demander à chatGPT: j'enlève le nom de domaine, histoire de ne pas l'influencerCette version sera d'ailleurs plus propreMerde… j'ai cramé mon quotat. Piochons des URLs au pif alors
Des publications 'rigoureuses'
L'une des URLs de la liste est celle-ci: call pour 2025… Modifié en 2022…Avec un PDF uploadé en 2022 (URL en 2022/11) mentionnant 2025 avec une deadline de 2023. C'est à cela qu'on reconnait les pros!
Des domaines alternatifs
Si on fouille l'historique DNS du site, on trouve quelques entréesDont un staging pas très utile…Et un autre peut-etre plus intéressant (le 3)Mais dommage: le directory plante là basMais sur le staging, on retrouve là aussi la possibilité de chercher les membresOn récupère donc cette isteZut, pas de adolf!
Je n'ai ensuite pas trouvé d'autre contenu assez intéressant pour être mentionné.
La morale de l'histoire: ne vous fiez pas au titre "pompeux" de certaines associations: cela ne préjuge en rien de leur qualité ou non-qualité.Méfiez-vous de ceux qui reposte les publications de ce genre d'association.
Privilégiez toujours les publications qui sourcent clairement leurs données et sont reproductibles (comme mon présent article: vous avez toutes les étapes si vous voulez le reproduire π même si je ne suis pas une "référence mondialement reconnue").
