Raison.nances

Aller au contenu | Aller au menu | Aller à la recherche
Le blog de Michaël GENAY aka Urdle

Et «plouf» la sécurité sur Internet

C'est une bombe, c'est un massacre, c'est une catastrophe, mais «chuuuuuut», parce qu'on est pas prêt là, déconnez pas

Des chercheurs ont réussi à craquer SSL/TLS, et c'est LE protocole utilisé sur internet pour garantir les connexions HTTPS que vous utilisez quand, par exemple, vous vous connectez au site de votre banque, à paypal, à gmail, et à peu près n'importe quel truc sérieux qui demande un mot de passe.

Mais, nous rassure-t on, la faille est connue, était dans TLS1.0, et n'existe plus en TLS1.1 ni 1.2. En plus, il faut être «man in the middle», c'est à dire se trouver entre vous et le site que vous interrogez, et sur internet personne ne peut recevoir tous les paquets (presque chaque paquet prend au moins un bout de chemin différent)... Ouf !

ERREUR !

Premièrement, Firefox et Chrome n'ont pas intégré TLS1.1 ou 1.2; et coté sites web, c'est la même chose, la plupart n'ont pas prévu de passer à TLS1.1 ou 1.2.

Deuxièmement, nombreux sont ceux qui peuvent être «man in the middle» : Quelqu'un chez votre FAI, quelqu'un chez le FAI du site voulu.

Et le pire du pire, c'est pour ceux qui croient mieux brouiller les pistes en utilisant un proxy : le mec au milieu, ça peut être celui qui gère le proxy, et je suis pas certain que vous puissiez l'attaquer puisque si vous passez pas lui, c'est bien pour pouvoir jouir d'une «possible dénégation». Des proxy, y'en a aussi dans pleins d'entreprises. Qu'est-ce qui empêche un employé admin des proxy de se garder quelques traces réseaux à décrypter à la maison ? Rien, mais dans 5 ans, y'a de grandes chances que le mot de passe pour se connecter au compte bancaire d'untel n'ait pas changé....

Bref, les connections HTTPS, c'est has-been (pour l'instant)

Impression 3D

Il faut que je vous parle de l'impression en 3D. C'est le sujet que je suis depuis un moment, qui VA émerger bientôt et probablement révolutionner la société de consommation.

L'impression 3D, 1er acte, c'est la réalisation automatisée, par un imprimante 3D, d'un modèle en 3D. Il y a maintenant quelques années que ça existe pour les entreprises qui veulent réaliser vite des maquettes d'un objet conçu par ordinateur; du prototypage pas cher; réalisé soit en durcissant de la gelée, soit en superposant des couches de poudre ou de «pâte»

L'impression 3D acte 2, des sites web tels que ShapeWays vous proposent de vous produire vos objets sur des machines pro à partir du design que vous leur commandez (ou une copie d'un design existant).

L'impression 3D acte 3, le coût se réduit, mais surtout l’open-source s'en mêle. Coté Design, thingverse met à disposition les designs réalisés par des internautes. Coté Matériel, la Reprap voit le jour, et aujourd'hui on peut acheter une «makerBot» pour environ 1000€. Seulement cette machine est très en dessous de ce qu'une machine «pro» (50000 €) est capable de réaliser : juste du plastique, pas d'objets multicolores d'un seul tenant, problématique de support, finesse limitée (à 0.15mm je crois); les machines «pro» elles peuvent faire des objets multicolores, plus précis, ou en métal, etc, et sont beaucoup plus rapides. ShapeWays grossit, la communauté augmentant, ces sites répondent à un besoin d'avantage présent notamment pour toutes les pièces en métal.

Update : Et voilà ce qu'un type a fait avec uniquement des systèmes Lego, une fraise (l'outil, pas le fruit), et de la mousse : Lent, mais d'une qualité impressionnante. Mais avoir un makerBot, ça sert à quoi aujourd'hui ? Et bien ça permet de réaliser des petits trains pour son gamin, de remplacer des éléments perdus, de réparer des objets, et d'inventer des maquettes ou autre, de créer des modèles introuvables, et d'innover.

Le futur comme je le vois :

  • La makerBot va s'améliorer, se démocratiser, proposer (rêvons) des plastiques auto-recyclables.
  • Les objets seront dupliquées aussi simplement qu'une copie de photocopieuse… la propriété intellectuelle va devoir s'inventer un nouveau modèle !
  • Des communautés d'utilisateurs vont se monter; comme on avait les «fours» communaux, on aura de grosse imprimantes 3D communales pour remplacer shapeways

Update : Et voilà ce qu'un type a fait avec uniquement des systèmes Lego, une fraise (l'outil, pas le fruit) et de la mousse. C'est lent mais impeccablement précis !

Putain, 16 ans

Il y a 16 ans, naissait Windows 95.

Les recommandations techniques de l'époque étaient :

Processor : 386DX or better
RAM : 4 MB (8-16 MB recommended)
Drive space : 35 MB

Maintenant, faisons un peu de maths. Moore prédisait que la puiisance de calcul doublerait tous les 18 mois (1,5 ans). Cela veut dire qu'en 15 ans, cela représente à partir de «P» en 1995; P×2×2×2×2×2×2×2×2×2×2 («P» multiplié 10 fois par deux) en 2010; soit P×1024.

La puissance des PC a été multipliée par mille !
Et cela se vérifie : 4 Méga de RAM ? Le moindre PC vendu aujourd'hui en a 4 Go; pareil pour le disque dur même si (heureusement) Windows ne bouffe pas 1000 fois plus de place juste pour fonctionner. Les processeurs aussi sont «1000 fois» plus rapides.

Pourtant, en 1995, Word ne mettait pas longtemps à démarrer depuis un disque dur… disons 20 secondes pour exagérer à fond, sûrement beaucoup moins en vrai, mais cela veut dire qu'en théorie, il devrait aujourd'hui démarrer 1000 fois plus vite… en 20 millisecondes ! Alors pourquoi office il met encore plusieurs secondes à démarrer ? Qu'est-ce qu'ils ont bien pu foutre pour allourdir plus de 50 fois le démarrage d'une appli !?
Le pire, c'est que cela restant «relativement» rapide… et bien ça ne gêne personne.

Hype Cycle

Le Hype Cycle, de Gartner, est un graphe qui représente, de manière assez juste, la façon dont évolues les nouvelles techno. Ci dessous celui pour les technos «émergentes» en 2010.

Et vous trouverez sur techcrunch une analyse assez marrante.

Pour une analyse plus sérieuse, il y a gardeviance.

À ce graphe, il manque quand même quelques éléments : Une techno peut évoluer, ré-émerger, régresser, et tomber dans l'oubli. Ce graphe semble interdire la ré-émergence puisque l'un des axes est le temps… En revanche, je me demande si ce type d'analyse ne vaut pas, en réalité, pour à peu près tout ce qui peut émerger comme nouveautés, sur des échelles de temps allant de la journée, d’événements de la vie personnelle, d'années, de siècles, d'espèces, d’ères…

Pourrait-on appliquer le Hype Cycle aux formes de gouvernements ? Et à la démocratie en particuliers : En Tunisie, les gens sont à nouveau dans la rue; En Grande-Bretagne, le gouvernement envisage de censurer twitter et facebook (comme en Iran); en France, on veut installer des mouchards sur les réseaux personnels et faire de l'analyse de traffic en profondeur (pire qu'en Chine) pour protéger les ayants-droits; et aux US la démocratie et les jeux politiciens ont failli causer la banqueroute mondiale «juste pour le fun» ou presque…

Ne sommes nous pas au tout début (trigger) pour certains pays et dans la chute chez nous ? Tellement dans la chute que, pour justifier le status-quo, on d'autres pays à reprendre le même chemin que nous dans l'espoir de voir émerger une innovation ? Oui je sais, je suis un bisounours…

Sécurité informatique tout ça...

J'ai lu hier un (long) article en anglais sur l'affaire Stuxnet. Vous vous en souvenez peut-être, il était question d'une sorte de virus qui semblait vouloir s'attaquer à des centrifugeuses de centrale nucléaire iranienne. Rien que ça.

On nous a alors un peu mal informé, peut-être pour nous rassurer, en nous indiquant (en tout cas, je l'ai lu) que les centrifugeuses n'étant pas sur le réseau, il avait été posé "à la mimine par clé USB". Au final; si c'est comme cela qu'il a peut-être commencé; au final il a fait son petit chemin tout seul à travers le réseau et s'est bien construit un petit réseau des postes de commande des centrifugeuses jusqu'à la toile.

Ce virus était d'une extrême complexité, exploitant un nombre important de failles alors inconnues des éditeurs (zero-day), ce qui est un exploit en soit, contenait des informations très précises sur les équipements de la centrale, mais aussi des informations volées au constructeur des centrifugeuses. Il est alors clair que c'est pas un kikoo-lol dans son coin qui a bricolé un vbscript, mais bien une attaque trop bien renseignée et disposant de moyens.

Et malgré tout ça, on veut nous faire croire que, avec le Cloud, ta VM que t'as commandé chez Amazon (ou autre) est totalement isolée. Prouvez-moi qu'il est vraiment techniquement totalement impossible, avec une VM, d'aller récupérer des infos voire même de s'introduire dans un vm hébergée sur le même hôte (que ce soit vmware, virtualbox, xen ou autre); que l’étanchéité est absolument parfaite et que même quelqu'un ayant des affiliations avec intel, vmware, realtek, et toutes les sociétés qui produisent du matériel, ne pourrait briser cette étanchéité.

Des fois, google...

Recherche google : detapisser retirer couche jaune

Réponse :

Pour retirer facilement le papier peint, il suffit d'appliquer un .... L'animal se couchera sur la couverture chaude et sera réconforté par la chaleur. ..... toute terre provenant du sol à l'exception de gravier, terre jaune ou autres. ...

KAMOULOX

Ils font saigner mes yeux et mes oreilles

Vraiment, le monde français de l'informatique fait de plus en plus saigner mes yeux... et mes oreilles.

Passe que l'académie française décide souvent de garder les solutions les plus moches (mèl, cédérom); au moins, ces mots deviennent français et on remarquera qu'ils sacralisent dans ces cas là la prononciation comme en anglais; lorsqu'ils ne définissent pas un nouveau mot valise bien français (comme courriel).

Mais quand j'entends "datacentre" prononcé à la française "da-ta-cen-tre", RAAAH. Déjà, en France, on ne sait pas prononcer Data, mais alors prononcer "centre" à la française, par un mec du métier à qui, en plus, on a appris à prononcer "cloud" autrement que "cloude", je suis désolé : c'est moche, c'est pas professionnel, et moi ça me fait me dire "lui, il ne pas de quoi il parle". Alors "Data" ne se prononce pas comme "da-ta" en français, mais "deille-ta". Et "Center", qu'on l'écrive "Center" ou "Centre", se prononce toujours pareil : "C'est-n-teur"; pas "senteur". Donc datacenter : "deille-ta-sè-n-teur"

Et ce matin, en lisant un document interne, j'ai lu dans un papier d'un gars de l'équipe réseau : "Baquebone IP". Bon bah là. Je peux plus rien pour lui.

Welcome to Arizona (bang bang)

What it does

Senate Bill 1201, sponsored by Sen. Ron Gould, R-Lake Havasu City, would do a number of things, including:

- Allow people to carry firearms into all government-run facilities and many public events. The only places or events that could ban firearms would be those that post the correct sign, provide firearm lockers and have armed security and a metal detector. The law would apply to university classrooms, city buses and community festivals that get government permits. It would not apply to K-12 schools.

- Change the wording of last year's concealed-weapons law to require an individual to answer "truthfully" when a law-enforcement officer asks whether the person is carrying a concealed weapon. The current wording requires the person to answer "accurately." Law-enforcement officials say the change could give leeway to a person who, for example, forgets a gun in a bag and inaccurately tells an officer he or she isn't carrying one.

- Change the wording of Shannon's Law to make it a crime to "knowingly" discharge a firearm within city limits. It's currently a crime for someone to discharge a firearm with "criminal negligence." Bill opponents said the change would mean people could be convicted of violating this law only if the prosecution could prove they knew that shooting the gun could result in someone's death or injury.

- Allow people to sue if they feel they were illegally stopped from carrying a firearm into a government facility or event. If a person wins the lawsuit and the government agency doesn't pay within 72 hours, the person has the right to seize as payment "any municipal vehicles used or operated for the benefit of any elected office holder" in the relevant government agency.

Traduit par moi-même

- Permet le port d'arme dans tout bâtiment gouvernemental et de nombreux évènements. La seule exception concerne les bâtiments & évènements où sont proposé les casiers pour laisser les armes, et qui ont du personnel de sécurité armé et des détecteurs de métaux. Cela inclus les université, les bus, et les festivals autorisés par le gouvernement.

- Change un mot dans la loi sur le fait de cacher des armes. Pour l'instant, est considéré comme un crime de ne pas répondre correctement à un officier à la question "portez-vous une arme". Ce texte propose de ne considérer comme un crime le fait de ne pas répondre "de bonne foi" à un officier à cette même question ("j'ai oublié que je l'avais sur moi" : c'est pas grave)

- Change un mot de la loi Shannon. Est désormais un crime le fait de SCIEMMENT décharger une arme à feu en ville. Les opposants à ce texte de loi avancent que cette loi permettrait à quelqu'un de décharger une arme pour peu qu'elle n'ait pas conscience qu'un arme à feu puisse blesser ou tuer.

- Permet à une personne de poursuivre en justice s'ils ont le sentiment d'avoir été illégalement empêché de porter une arme dans un bâtiment gouvernemental ou dans un évènement. Si la personne gagne le procès et que l'agence gouvernemental ne paye pas dans les 72h, la personne a le droit de confisquer un véhicule municipal ou un véhicule utilisé au bénéfice d'un élu.

Sources : Stephen Colbert, AZCentral.com et AZLeg.org

Bwahahahah

Mr Jobs & Mr Burns
Mr Jobs & Mr Burns

(Je l'ai trouvée sur Gizmodo qui l'a trouvé je ne sais où)

2000 ans plus tard...

Ah on se souvient des promesses de 1970 pour l'an 2000, voitures volantes, voyages interstellaires tout ça.

Apparemment, on évolue quand même pas si vite. Prenons Anaxagore de Clazomènes. Je l'ai découvert ce midi, il est né en -500.

Ce mec affirmait à l'époque que les astres du cosmos ne sont pas des dieux, mais des masses incandescentes; on a failli l'exécuter pour cela. 2000 ans plus tard, on voulait brûler Galileo Galilei pour une affaire pas très différente.

Il affirmait aussi que toutes les matières qui nous entourent sont en fait des éléments simples combinés de façon différentes; que rien de se créait, mais tout se désassemblait pour se réassembler. On attribue pourtant à Lavoisier cette découverte, 2200 ans après. Bon, à l'époque, à l'antiquité, on parlait "d'atomes"; aujourd'hui on pense plutôt que "tout est énergie" (sous une forme ou une autre), mais on reste d'accord sur le principe de conservation d’énergie.

Faut pas croire, on passe pas mal de temps à redécouvrir ou à prouver à nouveau des théories qu'on a jeté à la poubelle parce que trop invraisemblable pour l'époque.

Les SSD sous la barre des 1€/Gio !

Enfin ! Les SSD passent sous la barre du 1€/Gio![1]
Ça reste toujours beaucoup plus cher qu'un disque à plateaux, qui est autour de 0,10€/Go

Notes

[1] Le disque fait en réalité 120Gio, sera donc vu par windows comme ayant à peu près 100Go. En Système International, 1Gio=1024^4 octets, et 1Go=1 milliards d'octets (1000^4 octets). soit 1Gio=1,073Go. Les constructeurs de disque autres que OCZ parlent souvent en To et en Go, histoire de vous voler de 10% (car 1Tio=1,099To. Un disque acheté de 1To sera vu par windows comme ayant 0,91To)

Aaah... les frangins Bogdanov

Juste un petit lien vers un article du Monde : le CNRS publie un article de 2003 jusque là non divulgué : c'est officiel, les Bogdanov sont des charlots; ils ont eu leur thèse dans une boite de Bonux.

La révolution numérique de la maison blanche... on peut la faire en france

http://Apps.gov, voilà franchement une innovation très interessante.
Alors on va me dire que ça révolutionne pas grand chose, mais appliqué à un pays (qui, à la maison blanche, en est encore à l'informatique des années 1980) c'est une sacrée nouveauté.

Mais pourrait-on faire ça en France ? Probablement pas. Ou alors sur un site "non publique" (avec un login/mot de passe quoi; qui en ferait un site de "l'intranet des fonctionnaires", donc réservé à l'usage professionnel). Pourquoi ? Parceque l'état français n'a pas vocation à inciter les gens à choisir tel ou tel logiciel, sur un site internet du gouvernement, quand bien même il serait gratuit; à favoriser tel ou tel site (SURTOUT s'il est financé par la publicité).

Et qu'est-ce qu'on trouve en catégorie "réseaux sociaux" ? FriendFeed, MySpace, FaceBook, TwitVid.
Et pourquoi pas Viadeo, LinkedIn, etc ? En blogs : Wordpress, et pourquoi pas dotclear ? En wiki, pas wikimedia ?

Attention, ne mélangeons pas tout. Coté traitement de texte, ils ont fait des choix (j'ai pas vu openoffice), mais c'est un choix "préférez tel logiciel dans le cadre professionnel pour les bureaux du gouvernement"; Tant que c'est manifestement dans un cadre pro des fonctionnaires, la france pourrait les imiter; mais MySpace et FaceBook, dans le genre "cadre professionnel", on repassera.

HADOPI, comment ça marche ?

(ou comment ça va marcher...)

C'est très simple en fait :

  • Des entreprises privées (SACEM, Universal, etc) scrutent le net pour pieger les téléchargeurs (par exemple, en s'incrivant sur emule dans la liste des personnes qui veulent télécharger le dernier Britney; ou alors en créant un faux site de téléchargement illégal, etc) et obtenir des liste de lignes "date, heure, adresse IP, fichier téléchargé illégalement".
  • Ces entreprises envoient chaque jour ces listes à une autorité, la HADOPI, un groupe d'une quinzaine de personnes, dont des magistrats.
  • La HADOPI obtient des fournisseurs d'accès internet (Free, Neuf/SFR, Orange, etc) les noms et adresses correspondants aux adresses IP aux heures indiquées dans les listes, fait un résumé, comptes les téléchargements détectés par connexion internet, etc.
  • La HADOPI envoie, dans le cas d'une première apparition dans la liste, un mail d'avertissement "on a vu que votre connexion internet a servi à télécharger le dernier Britney, c'est pas bien, faut arrêter ça". Notons que ce mail peut avoir été filtré par votre antispam, atterir sur une boite mail que vous consultez jamais, et que de toutes façons, vous ne pouvez pas vous défendre, on ne vous accuse pas officiellement.
  • Si vous apparaissez encore ensuite dans un liste, vous recevez un deuxième mail, ou une lettre avec Accusé de Reception, "on a vu que votre connexion internet a servi à nouveau servi télécharger illégalement, c'est le dernier Narnia cette fois, c'est vraiment pas bien, faut vraiment arrêter ça, sinon on vous convoque et c'est la fessée". Là encore ce mail peut avoir été filtré par votre antispam, atterir sur une boite mail que vous consultez jamais, et de toutes façons, vous ne pouvez toujours pas vous défendre, on ne vous accuse toujours pas officiellement.
  • Si vous apparaissez une troisième fois, on vous convoque peut-être, ou pas, on vous impose de mettre un logiciel sur votre PC pour valider que vous ne faites rien d'illégal, ou alors on vous coupe votre connexion internet, ou bien on vous propose une transaction financière. Alors là vous avez un recours, très léger, et on ne sait pas encore comment tel ou tel choix sera pris ni le role exact du logiciel, tout cela sera fixé par décret, par le président et le 1er ministre.

Ca a l'air simple et pas méchant, et pourtant tout cela est extrement pervers.

  1. Premier effet pervers, les réseaux P2P vont se sécuriser, se crypter, utiliser des VPN et autres outils plus ou moins directement, rendant plus difficile la recherche de véritables criminels, car ces méthodes de "camouflages" seront utilisés par des millions de personnes et non plus seulement pour camoufler des faits graves (auparavent, le seul fait de chercher à masquer votre connexion pouvait indiquer que vous étiez à surveiller...)
  2. Deuxième effet pervers, les gens vont se mefier de l'économie numérique. Si on peut prendre un avertissement parcequ'on a cliqué sur un lien qui mene à un faux site piège d'universal, les gens vont se méfier de tout, y compris des sites qui se disent légaux.
  3. Troisième effet pervers, les juges sont une poignée pour emettre 1000 sanctions par jour, sur la base d'une liste de prétendues infractions relevées par des sociétés privées, invérifiables car l'acte lui même, le téléchargement de tel ou tel morceaux, ne dure quelques minutes (au moment où la liste est envoyée à HADOPI à la fin de la journée, l'infraction n'existe déjà plus). Très facile d'y rajouter telle ou telle société, histoire de lui faire couper son accès pendant quelques temps et lui mettre de sacrés batons dans les roues.
  4. Autre effet hyper pervers, c'est que c'est le président qui va choisir par décret ce que fait le logiciel (pourrait-il filtrer les sites qui comportent le mot canard, soit disant parceque ce serait un "mot de code connu" pour site de pirate, bloquant ainsi le site du canard enchainé ?); et ce que choisi comme sanction la HADOPI pour tel ou tel personne ou société (les journalistes, on coupe l'accès; les particuliers, on impose le logiciel de filtrage). Ou comment, en une loi et quelques décrets, on transforme l'Internet Français en Internet Chinois.

Allez un petit dessin pour rigoler de Vidberg :

Concours de plugins Mozilla Firefox

Firefox a lancé un concours de plugins, et le moins qu'on puisse dire, c'est que je suis déçu. Les "meilleures" proposition sont des choses... qui sont intégrées à Opera de base.

Hep, faut passer à Opera, il est très bien ce navigateur !