pt
Moulé à la louche depuis 1999
Les trucs qui m'énervent... et je vais pas prendre de pincettes
Internet, informatique, logiciel libre, économie, politique, vie courante et tout le reste...

Les antivirus gratuits sont bons

Lundi 30 mars 2009

En dehors du traditionnel « Un antivirus ça sert à rien », s'il y a bien deux phrases typiques qui me gonflent c'est « Les antivirus gratuits ça vaut rien » et « Avast c'est de la merde il détecte rien ». Pourquoi ? Parce que c'est balancé généralement sans le moindre argument. Les petites guerres « mon antivirus est meilleur que le tiens » tirent rapidement vers l'émotif, voir la religion dans le plus pur style des guerres interminables Windows/Linux/MacOSX. Avec autant de résultat: Beaucoup d'air brassé, aucune conclusion utile.

Ancrons-nous donc dans les faits pour examiner ça de plus près: Qu'en est-il de l'efficacité de détection des antivirus (gratuits et payants) ?

Il est difficile de trouver de bons tests, qui soient assez indépendants et larges. Oubliez les tests des magazines, ils ne sont pas fiables pour la plupart, quand ils ne sont pas carrément bidonnés. On trouve des tests sur internet, mais souvent effectués avec une mauvaise méthodologie (par exemple en testant contre 2 ou 3 logiciels malveillants seulement). Il ne reste grosso-modo que deux tests: VirusBulletin et AV-Comparatives.

Les tests les plus récents de VirusBulletin n'étant accessibles que sur abonnement, j'ai récupéré les tests de Février 2009 d'AV-Comparatives: Ils ont testé plusieurs antivirus contre une base de 1,2 millions de fichiers infectés par des virus apparus dans les 9 derniers mois. Je vous fais un court résumé des résultats:

Antivirus Taux de détection
G Data 99,8%
Antivir 99,7%
McAfee 99,1%
Norton 98,7%
Avast 98,2%
BitDefender 98,0%
eScan ISS 98,0%
NOD32 97,6%
Kaspersky 97,1%
TrustPort 97,1%
F-Secure 93,4%
AVG 93,0%
Sophos 89,6%
Command AM 88,9%
Norman 87,8%
Microsoft OneCare 87,1%
Kingsoft 84,9%


Bien sûr comme pour toutes les statistiques, ces pourcentages sont à prendre avec des pincettes.

Malgré tout, que peut on tirer comme conclusions de ces rapports ?

  • Aucun antivirus n'est fiable à 100%: Quel que soit l'antivirus que vous prenez, on peut toujours trouver une saloperie qui passera au travers. Prendre n exemples d'ordinateurs infectés malgré la présence de l'antivirus X ne suffit pas pour dire que cet antivirus « c'est de la merde » (c'est pourtant l'argument souvent avancé contre Avast).

  • Un antivirus ne suffit pas: Il reste nécessaire d'utiliser d'autres logiciels (firewalls, antispywares...), d'installer les mises à jour de sécurité et de suivre des règles de bonne conduite. Et même en ajoutant tout ça, il n'y a pas de garantie à 100%.

  • Malgré tout les antivirus bloquent la quasi-totalité des menaces d'infection: Il serait idiot de s'en priver. Tout comme il serait idiot de ne pas vouloir mettre de ceinture de sécurité sous prétexte qu'elle ne peut pas vous garantir que vous ne mourrez jamais en voiture.

  • La performance des antivirus varie d'un mois à l'autre: Kaspersky a toujours été en tête de liste, il ne l'est plus. McAfee et Norton avaient des taux de détection abyssaux les mois passés, ils sont maintenant parmi les meilleurs. etc.

  • Certains antivirus gratuits sont meilleurs que des antivirus payants: Les deux antivirus gratuits les plus conseillés - Avast et Antivir (en jaune dans le tableau) - sont meilleurs que beaucoup d'antivirus payants (BitDefender, NOD32, Kaspersky, Microsoft OneCare, Sophos, F-Secure... en tous cas pour ce mois-ci). Donc dire que « Les antivirus gratuits c'est de la merde » (sic), c'est carrément un mensonge.

  • En dehors de quelques mauvais élèves, les antivirus se valent. Autant il n'est pas raisonnable de prendre un antivirus avec un taux de détection inférieur à 95%, autant entre 98% et 99%, la différence est négligeable et ça ne vaut pas le coup de se prendre la tête là dessus, surtout quand les taux de détection varient d'un mois à l'autre.
    L'important, c'est d'avoir un antivirus, peu importe lequel tant qu'on évite les bouses (genre OneCare).

  • Il y a bien d'autres facteurs en jeu: Le taux de détection brute ne suffit pas à évaluer un antivirus, il y a bien d'autres paramètres qui entrent en jeu comme le taux de faux positifs (fichiers détectés comme infectés alors qu'ils sont sains), la lourdeur (ralentissement de l'ordinateur), les mises à jour (fréquence, lourdeur), les éléments surveillés (fichiers, mail, P2P, chat...), etc.

Au final, il est tout à fait viable de recommander des antivirus gratuits.

Ce que l'étude ne révèle pas:

  • Quelle quantité de virus sont détectés par les systèmes heuristiques ? Beaucoup d'antivirus sont désormais équipés d'un système qui tente de détecter les programmes susceptibles de contenir du code malveillant sans se baser sur une liste de virus mais sur l'analyse du code exécutable ou le comportement. C'est un exercice difficile et sujet aux fausses alertes, mais il permet parfois de détecter et bloquer les virus avant même que les signatures du virus ne soient mises à disposition par les éditeurs. On retrouve par exemple cette technologie chez Norton sous le nom de BloodHound.

  • Quelle est le temps moyen pour qu'un éditeur d'antivirus ajoute un virus à ses signatures ? L'étude ne l'indique pas, même si le choix des virus de moins de 9 mois est une bonne idée. Un internaute (merci crapoulou !) m'a fait passer le lien d'un organisme qui fait tester les virus récents (<24 heures) par les différents antivirus. Le graphe donne des indications sur la propension des éditeurs à inclure les signatures en moins de 24 heures, mais il aurait été intéressant de savoir en combien de temps (en moyenne) les éditeurs incluent la signature d'un nouveau virus.


PS: Aux détracteurs d'Avast: Voici la preuve qu'on peut toujours trouver un contre exemple: Un abruti a posté sur CCM un lien vers un fichier infecté. Il se trouve que seulement 3 antivirus sur 40 l'ont détecté, dont Avast. Avast a vu l'infection là où AntiVir, Kaspersky, NOD32, Norton, McAfee, BitDefender, AVG et autres n'ont rien vu. Ce n'est pas pour dire qu'Avast est meilleur, mais juste pour montrer qu'on peut toujours trouver des fichiers détectés par l'antivirus X et pas par l'antivirus Y.

Europe: Pas de riposte graduée

Jeudi 26 mars 2009

L'HADOPI français veut vous couper d'internet ? L'Europe dit non: Pour la troisième fois, le principe de riposte graduée est rejeté par l'Europe à 481 voix contre 25.

Pourtant, je ne pense pas que ça fasse changer d'avis nos politiciens français.

Les jeunes sont des délinquants

Jeudi 26 mars 2009

Tout le monde le sait. Un groupe de jeunes dans la rue, c'est forcément des délinquants. D'ailleurs la Grande-Bretagne le sait bien, et elle fait le nécessaire:

  • Des haut-parleurs diffusant un son très fort de fréquence élevée, que - soit-disant - seuls les jeunes entendraient (et les bébés, bien sûr). Le son est tellement insupportable que les jeunes préfèrent aller ailleurs. Un peu comme un repoussant contre les moustiques.

  • La lampe rose qui accentue l'apparence de l'acné, ce qui rendrait les jeunes mal-à-l'aise et les inciterait à aller voir ailleurs. Un peu comme un repoussant contre les moustiques.

  • Des modifications d'architecture urbaines pour emmerder les jeunes. Par exemple des marches d'escalier modifiées pour qu'on ne puisse pas s'en servir comme un endroit pour s'asseoir.

  • Et aussi une sorte de couvre-feu pour les moins de 16 ans dans le centre de Londres (les flics ont alors de droit de disperser les groupes de jeunes ou de les reconduire chez eux). Pas question pour un gamin d'aller chez un copain.

Le marché anti jeunes semble avoir de l'avenir. C'est le genre de chose qui va sûrement donner des idées à Sarkozy, après ses lois contre l'occupation des halls d'immeubles, contre les jupes trop courtes et les rapports sur la prédisposition des enfants en bas-âge à la délinquance. Tiens ça me rappelle une chanson:

« Hé ouais ! Enfin une nouvelle éducation
Travail famille patrie rééduquons la Nation
Vos gosses sont des junkies qu'on les jette en prison
Ce sont de malpolis qu'ont des parents indécis
[...]
Allez, fusillons les droits d'l'enfance
On avait trop avancé dans notre si jolie France
Enfermons les nouveau-nés avant qui s'mettent à pleurer
Le calme c'est la santé, faut pas s'laisser emmerder
[...]
Allez fusillons notre jeunesse
Finis les feignants remplis d'allégresse
Fini les rave- parties tout le monde au fitness
Le sport c'est la santé les jeunes font qu'se droguer
 » -- Tryo - Récréation


PS: Je ne sais pas pour vous, mais personnellement, j'ai 35 ans et le son en question je l'entends parfaitement bien.

Cliquez sur un lien, allez en prison

Mercredi 25 mars 2009

Vous vous souvenez de la tactique du FBI pour coincer les pédophiles sur internet ? Ils avaient monté de faux sites web d'images pédophiles, et voulaient attraper ceux qui consultent ces sites. J'avais déjà émis des doutes sur la viabilité de cette méthode.

Le F.B.I., lui, n'a pas de doutes: Un internaute a cliqué sur ce genre de lien posté sur un forum, sans savoir ce qu'il y avait derrière. Quelques mois plus tard, il s'est retrouvé le visage contre le sol, menotté devant chez lui. Il risque 3 à 4 ans de prison. Pas pour avoir abusé d'enfants, ni même possédé d'images pédophiles. Mais juste pour avoir cliqué sur un lien.

Il n'y a personne pour y voir un problème, là ?

Si cette méthode se généralisait, il suffirait donc à n'importe qui (personne, gouvernement, entreprise) d'envoyer un email contenant un lien pour mettre un internaute en prison (ou du moins lui attirer des ennuis). Et ça peut même arriver sans que vous ayez à cliquer sur le moindre lien: Si quelqu'un utilise votre accès WiFi. Si une extension pour navigateur pré-charge les liens pour surfer plus vite. Si une page web innocente contient un lien d'image pointant vers ce site (Votre navigateur envoie alors une requête HTTP au site en question même si vous n'avez pas cliqué sur le lien). Les possibilités sont infinies.

C'est n'importe quoi.

La Gendarmerie Nationale française sous Ubuntu

Mardi 24 mars 2009

Comme vous le savez peut-être, la Gendarmerie Nationale française a décidé de se débarrasser des logiciels propriétaires, entre autres:

  • Remplacement de Microsoft Office (Word, Excel...) par OpenOffice.org
  • Remplacement d'Internet Explorer par Firefox
  • Remplacement d'Outlook par Thunderbird
  • Remplacement progressif de Windows par Ubuntu (Linux)

Non parce que c'est du Microsoft-le-vilain-méchant, mais pour d'autres raisons bien solides:

  • Réaliser des économies sur les logiciels: Rien qu'en remplaçant Microsoft Office par OpenOffice.org, c'est immédiatement 2 millions d'euros d'économie par an. Ajoutez à cela le coût des licences Exchange Server, Active Directory, Outlook, Windows... et ça commence à chiffrer. Sans compter que les licences Microsoft sont à renouveler tous les ans. Avec des logiciels libres, le coût de possession à long terme est très faible.

  • Réaliser des économies sur le matériel: Windows XP arrivant en fin de vie, il aurait fallu migrer sous Vista. En plus du coût des licenses Vista, les ordinateurs actuels n'auraient pas été assez puissants, et il aurait fallut renouveler une grosse partie du parc informatique, engendrant un coût supplémentaire. En choisissant Ubuntu, c'est non seulement un gain sur le prix des licences, mais cela permet de continuer à utiliser le matériel existant.

  • Être indépendant vis-à-vis des éditeurs de logiciels (tels que Microsoft) : Plus de problème si un éditeur choisit d'abandonner une gamme de produit, de cesser de fournir les correctifs de sécurité ou s'il met tout simplement la clé sous la porte. Avec des logiciels libres, la gendarmerie a la main sur les sources des programmes et peut faire les corrections et évolutions elle-même, ou faire appel à un prestataire extérieur.

  • Améliorer l'interopérabilité entre les systèmes informatiques: Les protocoles et formats de communication sont ouverts, ce qui facilite le dialogue entre les systèmes informatiques. Cela permet également de mutualiser les systèmes informatiques entre les ministères (et donc de réduire les coûts). Par exemple la gendarmerie et la caisse nationale d'assurance maladie assurent ensemble la gestion du logiciel OCS-Inventory pour recenser le matériel informatique présent sur leurs réseaux.

  • Mieux respecter les normes : Non seulement cela facilite l'interconnexion entre les différents systèmes informatiques, mais cela permet le cas échéant de migrer vers d'autres logiciels (Les données ne sont pas enfermées dans un format propriétaire et fermé). Et l'utilisation volontaire de protocoles et formats libres de droit assure que la gendarmerie ne se retrouvera pas dans une situation bancale si l'éditeur d'un logiciel qu'elle utilise est attaqué en justice concernant un de ses protocoles ou logiciels.

  • Pour les quelques fonctionnalités non couvertes par les logiciels libres (comme le calendrier), la gendarmerie lance un appel d'offre. Donc, en prime, l'argent sera dépensé "localement" (en France) au lieu de partir vers des entreprises étrangères (USA pour Microsoft, par exemple).

  • Sécurité: Une gestion plus centralisée (notamment des droits d'accès (SSO)), différentes applications migrées en web, etc. Tout est rationnalisé. En prime, la gendarmerie ne dépend plus de logiciels à sources fermées dont elle ne peut pas examiner le fonctionnement.

OpenOffice.org est déjà utilisé sous Windows depuis 2004, et ce sont déjà 5000 postes qui ont migré sous Ubuntu depuis début 2007. La gendarmerie espère migrer ses 85000 postes informatiques sous Ubuntu d'ici 2015.

Cet exemple est parlant à plusieurs titres:

  • Il montre que le logiciel libre peut être une alternative viable au logiciel propriétaire. Ça marche, tout simplement. Il y a une vie en dehors de Microsoft.
  • Il montre que le "tout logiciel libre" n'est pas plus difficile pour l'utilisateur de base (La gendarmerie revendique un "zéro formation" pour le passage à Ubuntu)
  • Il montre que le logiciel libre peut permettre de réaliser des économies tout en fournissant des solutions tout aussi solides.
  • Il montre que le logiciel libre peut s'appliquer à grande échelle (85000 postes informatiques, ce n'est pas rien.).
  • Il montre qu'il existe des solutions pour les domaines non couverts par les logiciels libres existants (faire appel à des sociétés de service en logiciel libre ou d'autres prestataires).
  • Il montre également que la migration Microsoft Office vers OpenOffice.org est possible (Cela a toujours été l'argument choc anti-logiciel libre en entreprise)
  • Il montre que le fait de choisir le logiciel libre ne se résume pas à un problème de prix, ou de fanatisme (Linux ça rox-Micro$oft ça pue).

Ce qui me fait plaisir ? C'est de voir qu'une administration:

  1. Fait ce qu'il faut pour dépenser moins tout en améliorant son informatique,
  2. Fait ce qu'il faut pour éviter que l'argent de mes impôts parte à l'étranger,
  3. Participe à l'amélioration de logiciels libres (La gendarmerie participe à l'amélioration des logiciels libres qu'elle utilise, tel qu'OCS-Inventory), ce qui est bénéfique à tout le monde (puisque toutes les entreprises, universités, organisations, associations et particuliers peuvent en retour bénéficier des améliorations de ces logiciels).


(Plus de détails et de liens sur ce site)

Texas watcher

Mardi 24 mars 2009

Vous vous souvenez de ce gouverneur du Texas qui avait installé des centaines de webcams, et qui proposait aux internautes de surveiller la frontière avec le Mexique ?

A l'heure actuelle, il y a plus de 100 000 utilisateurs dans le monde qui se sont inscrits pour surveiller la frontière.

DANS LE MONDE ?

Y'a des internautes dans le monde qui sont assez cons pour contribuer bénévolement à la parano sécuritaire des USA ? Je suis abasourdi.

Nouvelle vague de virus: Planquez vos box !

Mardi 24 mars 2009

Les virus attaquent généralement les PC. Mais ça devient quand même de plus en plus difficile, vu qu'ils sont généralement équipés de firewall et antivirus.

On voit maintenant apparaître une nouvelle génération de virus qui n'attaquent plus les PC, mais directement les routeurs. Vous n'avez pas de routeur ? Si vous avez l'ADSL, alors vous avez un routeur: C'est votre "box" (Freebox, LiveBox, 9Box, DartyBox...)

Ce nouveau vers essaie différentes méthodes pour accéder au routeur, puis le reconfigure pour en prendre le contrôle. Le plus "drôle", c'est que le vers n'essaie même pas de s'attaquer au PC: L'infection reste donc inaperçue, et le vers peut ensuite espionner et modifier à la volée tout le trafic réseau du PC.

Et comme il n'existe pas d'antivirus pour les "box", je prédit une bonne croissance de ce type d'infection (à moins que les fabricants de box fassent un gros effort de sécurisation des outils d'administration de ces appareils) (Notez que j'ignore quelles box françaises sont impactées par ce virus).

Ceci dit, c'est quelque chose que certains avaient déjà prédit (voir (PDF) et (PDF)).

On va bien rigoler, surtout quant il faudra désinfecter ces appareils.


Ah... et pour ajouter au tableau noir, il existe maintenant des virus capables d'infecter le BIOS des PC. Vous pourrez toujours reformatter ou même changer de disque dur, le virus s'accrochera. Même reflasher le BIOS ne vous débarassera pas de la bête. Et ce virus fonctionne que votre système d'exploitation soit Windows, Linux ou BSD.

Les auteurs de virus sont en train de réaliser qu'il y a un terrain inexploré à prendre pour l'infection: le matériel (routeur, BIOS, mémoire des cartes PCI, firmwares...), car ces appareils sont de plus en plus complexes, autonomes, en réseau et possèdent un espace de stockage. Et quelques kilo-octets suffisent à un virus.


Mise à jour 12 mai 2009: Et voilà, un premier fabriquant de routeurs - D-Link - ajoute une sécurité par captcha pour éviter que les chevaux de Troie reconfigurent le routeur sans le consentement de l'utilisateur. C'est un début.

Plagiat: Le mot de la fin

Lundi 23 mars 2009

Suite au plagiat de mon article trouvé dans les D.N.A., j'ai eu la réponse du responsable de l'article: Il avait fait une recherche sur Google et était tombé sur un copier-coller de mon article dans un forum... qui ne mentionnait pas la source, bien sûr.

Affaire réglée. Ce n'est pas satisfaisant, mais je ne vois pas ce qu'il y a à faire.

Le système d'exploitation n'est pas neutre

Lundi 23 mars 2009

(Certaines parties de cet article sont un petit peu techniques, veuillez m'en excuser...)

Certains disent que le système d'exploitation (OS) est sans importance: Ce sont les logiciels qui sont importants. Et dans un sens, c'est vrai: C'est avec les logiciels qu'on travaille. Le système d'exploitation n'est là que pour faire tourner les logiciels.

Je suis d'ailleurs content d'utiliser des logiciels portables comme Firefox, OpenOffice.org, Gimp ou Inkscape: Ces logiciels sont identiques dans les différents systèmes d'exploitation (Windows, Linux, MacOSX...). Avantage n°1: Je peux continuer à travailler sous les différents systèmes d'exploitation sans avoir à réapprendre un nouveau logiciel ou changer mes habitudes. Avantage n°2: Grâce aux formats, je peux passer d'un système d'exploitation à l'autre et continuer à travailler directement sur mes fichiers sans avoir à les convertir.
Ces logiciels portables (opensource pour la quasi-totalité) sont un gain net de temps pour moi (Pourquoi je ne suis pas toujours sous Linux ? Parce que je n'ai pas toujours le choix.)

D'où certains qui font le raccourci: Le système d'exploitation est sans importance.

Oui, mais non. Le système d'exploitation ne se contente pas faire tourner les logiciels. Il impose aussi sa façon de voir:

  • Une manière spécifique de manipuler les fenêtres (environnement graphique)
  • Une manière spécifique de manipuler les fichiers (explorateur de fichiers)
  • Un environnement de travail spécifique (boites de dialogue, paramètres d'impression, raccourcis clavier...)
  • Une manière différente d'organiser les fichiers (/home sous Linux, C:\Document and Settings sous Windows, avec des structures différentes)
  • Des outils annexes différents que je suis obligé d'utiliser (gestionnaire de mises à jour, installation de logiciels...)
  • Une gestion différente des périphériques (éjection d'une clé USB, par exemple)

Ces différences ne sont peut-être pas énormes, mais elles sont nombreuses et - sommées - elles représentent une sorte de "friction" et ralentissent le flot normal d'utilisation des logiciels, à cause du petit réajustement nécessaire. Je comprends ceux qui restent sous Windows: Changer perturbe.

J'entend déjà certains suggérer: « Il suffit utiliser un système d'exploitation dans un navigateur, comme EyeOS. Comme ça, on est plus lié à l'OS ! »:

Non car:

  1. Ce ne sont pas des systèmes d'exploitation, mais juste une présentation déportée d'applications
  2. Au lieu d'être lié à l'OS, vous êtes lié au navigateur. Vous ne faites que déplacer votre contrainte sans la supprimer.
  3. C'est abominablement lent.
  4. Vous ne pouvez pas choisir n'importe quelle application et la faire tourner dedans.
  5. Le catalogue d'applications fournies est minable.
  6. Cela nécessite d'avoir son système sur un serveur... qu'il faut le plus souvent louer.
  7. Serveur... qui doit être disponible.
  8. Si votre connexion internet tombe, vous ne pouvez plus travailler.

Malgré les progrès réalisés dans ce domaine, non merci. Très peu pour moi. Si c'est pour faire du déporté, autant faire du NX/ssh. Mais puisqu'on a une puissance de calcul sous la main, pourquoi la gaspiller pour faire travailler un CPU distant ? Autant travailler en local.


Pour en revenir à notre système d'exploitation, même s'il n'est censé être là qu'en support aux logiciels, il impose malgré tout sa façon de voir. Il a donc tout intérêt à ne pas se mettre en travers de mon chemin. Et je n'ai pas trouvé le graal (même si Linux me plaît bien).

Certains logiciels permettent de palier aux défauts des OS de manière significative (et c'est là que l'écosystème de Windows est très fort), mais globalement les systèmes d'exploitation sont lourds, complexes et génèrent beaucoup de friction. Il suffit de voir le nombre de personnes qui ne parviennent pas à organiser leurs fichiers personnels ou les retrouver.

La seule raison pour laquelle on trouve ces horreurs acceptables est qu'on y est habitué. Mais ça ne veut pas dire que c'est bien, pratique ou efficace.

Il n'y a pas de solution miracle. Peut-être que les bonnes idées viendront de la simplification forcée des Netbooks et PDA (Android de Google, Xandros sur l'EEEPC, iPhone d'Apple, OLPC avec son interface Sugar...).

Les systèmes d'exploitation sont certes trop complexes, mais je ne souhaite pas non plus que le système d'exploitation se simplifie au point de devenir une gigantesque poubelle de données équipée d'un moteur de recherche (ce que semble presque suggérer Google avec Google Desktop), ni un espace de bulles cloisonnées comme c'est le cas sur l'iPhone (Allo ? Y'a même pas de copier-coller entre les différentes applications !). Regardons ce qui sort et tentons d'extraire ce qui est intéressant.


Mise à jour 2 avril 2009: Je ne suis pas le seul à penser que la gestion actuelle des fichiers pose problème. Voici un article qui en parle et compare avec certains logiciels qui essaient de voir les choses différemment (Rythm'n Box, F-Spot...).

Un vendeur de machines à voter avoue que ses machines ne sont pas fiables

Jeudi 19 mars 2009

Par le passé, je vous avais parlé des problèmes avec les machines à voter électroniques.

Un fabricant de ces machines - Diebold - a déjà par le passé joué des coudes (et pas toujours de manière honnête) pour masquer les problèmes de sécurité de ses machines et garder son marché.

Là c'est mieux: Diebold avoue que depuis le début, ses machines n'enregistrent pas les suppressions des votes. Encore mieux: Il y a même un bouton pour effacer toutes les traces informatiques. Ce qui - en principe - aurait d'emblée dû disqualifier Diebold en tant que fournisseur pour l'état. Pourtant c'est de loin le plus gros fournisseur pour les USA.

J'imagine parfaitement des problèmes similaires chez les concurrents européens. Il faut vraiment bannir ces machines à voter.


Mise à jour 30 mars 2009: Mouaaahaha... de mieux en mieux. Diebold fabrique aussi des distributeurs de billets. Ils les font fabriquer en Russie. Or il se trouve que des machines ont été volontairement infectées par l'usine qui les fabrique par un virus qui détourne les numéros de carte bancaire. Fabuleux.

Plagiat

Jeudi 19 mars 2009

Mes articles ont été copiés ou plagiés sur un bon nombre de sites web. La rançon du succès ? Peut-être. Le plagiat est une forme de reconnaissance, diront certains. Ce n'est en soit pas très grave, mais il n'empêche que je leur fais la chasse (j'ai diverses méthodes efficaces que je ne révèlerai pas).

Généralement, les plagiats sont assez minables et ça ne me remue pas plus que ça. Sauf quand ça prend cette forme:

Copie d'écran du site des DNA

Les DNA (Les Dernières Nouvelles d'Alsace) est le plus gros quotidien régional. Mon article a été recopié pratiquement mot pour mot. Il doit y avoir un pigiste sympa chez les DNA ! (Mon article date du 18 avril 2004, l'article des DNA du 21 avril 2007).

Je n'ai pas l'abonnement qui me permettrait de voir l'article complet, et donc de savoir si l'adresse de mon site est citée (et aussi le nom de l'«auteur»), mais rien que voir le © blablabla. Droits de reproduction et de diffusion réservés sur mon texte, ça me file des boutons. Surtout quand mes pages stipulent en toutes lettres: "Toute reproduction est interdite sans le visa de l'auteur." Et les DNA ne m'ont pas contacté. Je vais les contacter.


Mise à jour 23h06: Merci à l'internaute qui m'a fait passer l'article complet (je ne citerai pas son nom, je ne veux pas qu'il ait d'ennuis). L'article ne semble pas signé et l'adresse de mon site n'apparaît nulle part. Et dans le corps de l'article, en matière d'exemple de blog, l'adresse de mon blog a bien sûr été remplacé par un autre. J'ai envoyé un email à la rédaction des DNA, on verra.


Mise à jour Dimanche 22 mars 22h45: Toujours pas de réponse des DNA.


Mise à jour Dimanche 23 mars 22h45: Voilà le mot de la fin, si on peut dire.

Le mouchard d'HADOPI pourrait favoriser le piratage

Mercredi 18 mars 2009

Autant le mouchard envisagé par HADOPI me fait sortir de mes gonds, autant il offre en fait la possibilité aux pirates de télécharger et partager toutes les musiques et films de la planète entière sans rien risquer.

La conséquence est plutôt ironique. Je ne l'avais pas vu sous cet angle, mais cette excellent article de Swâmi Petaramesh m'en a fait prendre conscience.

Je ne sais plus quoi penser de cette loi "Création et internet". Enrager ou en rire ?

Google se fout du monde

Lundi 16 mars 2009

« Do no evil », hein ? Google peut bien se la jouer « on est des gentils », quand il s'agit de vendre de l'espace publicitaire ils ne font pas dans la dentelle:


  • Publicité n°1, fichiers infectés. Il s'agit d'un site se faisant passer pour le site officiel de Spybot et qui distribue un fichier infecté par un cheval de Troie.
  • Publicité n°2, arnaque. Le site vous demande de payer pour télécharger des logiciels qui sont en fait gratuits.


Vous voyez les petits ronds rouges dans la capture d'écran ? C'est WOT qui signale les sites foireux. Vive WOT.

La gratuité c'est le vol

Dimanche 15 mars 2009

C'est une nouvelle de fiction, mais finalement très pertinente par rapport à la tendance actuelle sur la législation en matière de droit d'auteur et rétribution des artistes: A lire sur Framablog, « La gratuité c’est le vol ». Je me permet ici un copier-coller:

La gratuité c’est le vol

Roland C. Wagner - avril 2007 - Appel d’Air (éditions ActuSF)

« La gratuité c’est le vol », déclare le ministre des finances.

« La loi sur la préservation de l’économie et la diminution de la dette publique est une loi juste, digne d’une grande démocratie comme la France, » appuie le président. « Il faut préserver notre industrie, notre commerce et nos services contre les ravages de la gratuité. Les revenus des auteurs et des compositeurs ne sont-ils pas en train de plonger à cause de la concurrence déloyale exercée par les artistes qui mettent leur musique en libre accès, contrairement à toutes les règles du marché ? Les ventes des quotidiens ne sont-elles pas en chute libre en raison de la multiplication des sources d’informations gratuites — et, disons-le, le plus souvent douteuses ? Nos artisans ne sont-ils pas menacés par le travail au noir non rémunéré qui se multiplie en catimini ? »

« Il devenait urgent de mettre un terme à ces abus qui mettent en péril le pays tout entier. C’est pourquoi, après avoir écouté avec attention les différents acteurs économiques, le gouvernement a décidé d’interdire toute offre de service ou de produit gratuit dès lors qu’il existe une solution payante équivalente. Par conséquent, le don, le prêt et à plus forte raison la copie des produits culturels est interdite, dans le souci de défendre les créateurs contre la véritable spoliation dont ils sont victimes chaque fois qu’une de leurs œuvres est consommée sans contrepartie financière. De même, il est désormais défendu aux associations caritatives de procurer gratuitement nourriture, vêtements ou services pour ne pas concurrencer les commerces et entreprises au bord de l’asphyxie financière. Recourir aux services de l’État sera désormais facturé à l’acte, afin de donner à chacun la possibilité du libre choix dans tous les domaines, y compris celui de la sécurité des biens et des personnes. »

« À partir du premier janvier de l’année prochaine, la vente de produits de seconde main sera interdite, afin de protéger les producteurs. Seuls les objets de collection d’une valeur supérieure à cent euros échapperont à cette règle. De fait, brocantes et vide-greniers sont appelés à disparaître en faveur de foires ne proposant que des objets neufs, dans le but de préserver les emplois de ceux qui fabriquent les objets en question. À cette même date entrera en vigueur l’article 17 de la loi qui condamnera sévèrement le travail gratuit, cette plaie de notre société. Aider quelqu’un à, par exemple, refaire le papier peint de son salon sera dés lors passible de 5 ans de prison et de 375 000 euros d’amende, sauf bien entendu à l’intérieur du cercle familial restreint tel qu’il a été défini par la loi sur la famille du mois dernier — c’est à dire limité aux personnes possédant au minimum 50 % d’ADN en commun, les individus prédisposés génétiquement à la malhonnêteté et à l’incivilité étant bien entendu exclus. »

« C’est ainsi, mes chers compatriotes, que nous sauverons la France et reviendrons à une croissance positive dès l’année prochaine. En supprimant à jamais l’illusion scandaleuse de la gratuité. »

Dépêche AFP : « Un boy-scout qui avait aidé une vieille dame à traverser la rue sans lui réclamer de chèque emploi service a été condamné à trois ans de prison dont deux avec sursis et 10 000 euros d’amende par le tribunal de Nice. Le ministre de l’intérieur, qui estime la sanction bien légère, a demandé au parquet de faire appel. »

Bashung s'en est allé

Dimanche 15 mars 2009

Alain Bashung est décédé. C'est triste. C'est un grand artiste qui s'en va.



Salut, l'artiste.

Des artistes contre la criminalisation des internautes

Vendredi 13 mars 2009

Contrairement à ce que voudrait nous faire croire les industriels de la culture, le P2P ne tue pas la création et tous les artistes ne sont pas pour une criminilisation des internautes qui téléchargent.

Démonstration ? Une déclaration commune de 140 artistes, dont Annie Lenox (Eurythmics), Peter Gabriel, Robbie Williams, Billy Brag, David Rowntree (Blur), Ed O’Brien (Radiohead), David Gray, Fran Heal (Travis), Nick Mason (Pink Floyd) et Mick Jones (The Clash). Excusez du peu.

Ils sont contre les poursuites des internautes pour téléchargement.

Ça fait plaisir de voir des artistes qui sont capables de voir plus loin que le discours de leur maison de disque. Quand on compare à certains vieux artistes français qui pleurent contre le P2P (Johnny Halliday, Francis Cabrel et consors) - ahum - comment dire ? Ça fait pitié.

Le jeteur de chaussures prend trois ans de prison

Vendredi 13 mars 2009

Muntazer al-Zaidi, le journaliste irakien qui avait jeté ses chaussures à la tête de Bush, vient de prendre 3 ans de prison.

C'est triste quand on pense au nombre de vies brisés par ce connard de Bush. Il aurait mérité de ne pas réussir à éviter les chaussures, vraiment.

Pourquoi Windows est-il si difficile à sécuriser ?

Mercredi 11 mars 2009

Pourquoi autant de problèmes de sécurité sous Windows ? Pourquoi Windows reste-il aussi difficile à sécuriser alors qu'il en a toutes les possibilités techniques ?

En effet il faut bien garder à l'esprit qu'il est techniquement possible de sécuriser et verrouiller Windows aussi solidement que Linux. Tous les mécanismes de sécurité sont bien là, en place et utilisables.

Mais dans la pratique, ce n'est pas le cas. Pourquoi ?

Un lourd héritage

Microsoft a toujours essayé, à tout prix, de rester compatible avec le passé. Le passé, ça remonte à MS-DOS. Et de fait, la majorité des programmes conçus pour MS-DOS 3 fonctionnent encore de nos jours sous Windows XP ou Vista. Ce n'est pas rien, mais c'est un lourd boulet à traîner.

Et l'impact sur la sécurité est important. Je m'explique: Le DOS (ainsi que les versions grand public de Windows comme Windows 95/98) a toujours été conçu pour un usage mono-utilisateur, mono-session.

Mono-utilisateur, cela veut dire que le système ne garde les réglages (couleurs, fonds d'écran, favoris, fichiers...) que pour un seul utilisateur. Donc aucun besoin de cloisonner les fichiers entre les utilisateurs. Mono-session, cela veut dire qu'un seul utilisateur travaille à la fois sur l'ordinateur.

Dans cette optique, aucun besoin de sécuriser le système (pas de gestion des droits d'accès aux fichiers, par exemple). Pourquoi embêter l'utilisateur avec une sécurité complexe alors qu'il est le seul à utiliser l'ordinateur ? Un programme pouvait donc prendre le contrôle d'un périphérique, aller écrire partout où il veut sur disque ou modifier un fichier système.

On sait bien sûr que c'était une très mauvaise idée, et que Microsoft a dû au final faire comme Unix: Mettre en place un système de sécurité pour cloisonner le système.

Seulement voilà, depuis le début, les programmeurs sous Windows ont pris une sale habitude: Ils considèrent que leur programme peut tout faire sur la machine. Comme par exemple écrire le fichier de configuration à l'endroit où est installé le programme ("C:\Program Files\nomduprogramme").

Avec la nouvelle sécurité en place, ces programmes ne fonctionneraient plus. Un programme qui essaierait d'écrire sa configuration dans le dossier où il est installé provoquerait une erreur.

Pour éviter ce problème, sous Windows XP, l'utilisateur a par défaut le droit de presque tout faire, comme aller écrire dans "\Program Files" (ou des tas d'autres choses). Bien sûr, c'était encore une mauvaise idée pour la sécurité, car si l'utilisateur peut modifier ces fichiers, les programmes malveillants le peuvent aussi. Microsoft a mis rustine sur rustine sur Windows XP pour pallier à ça (restauration système, DLL surveillées, base de registre de secours...). Mais ça n'a pas suffi.

Comment garantir la sécurité tout en permettant quand même aux programmes de fonctionner ?

Ainsi naquit l'UAC

Microsoft a donc créé - sous Vista - l'UAC. En gros, chaque fois qu'un programme essaie de faire quelque chose contraire aux règles de sécurité, on demande confirmation à l'utilisateur. Étant donné que les programmeurs ont rarement fait l'effort de corriger leur programme, l'utilisateur passe son temps à cliquer sur des boutons de confirmation. C'est pénible.

C'est un secret de polichinelle: L'UAC de Vista n'a jamais été conçu pour ennuyer les utilisateurs, mais pour ennuyer les programmeurs. Microsoft s'est dit: Les programmeurs ne vont pas vouloir que les utilisateurs soient ennuyés par des tonnes de fenêtre popup: Ils vont corriger leur programme (par exemple en écrivant leur configuration dans le répertoire utilisateur ("C:\Documents and Settings\nomutilisateur\Local Settings\nomduprogramme") au lieu du répertoire d'installation ("C:\Program Files\nomduprogramme").

Sauf que beaucoup de programmeurs n'ont pas corrigé et beaucoup de programmes sous Vista continuent de provoquer ces myriades de popups.

Du coup Microsoft a promis de revoir sa copie de l'UAC dans Windows 7. Les premiers échos que j'ai eu sont que les programmes ont la possibilité de désactiver l'UAC afin de ne pas embêter l'utilisateur... ce qui a pour effet de contourner toute la sécurité en place. Espérons que j'ai mal lu.

La façon de voir de Linux/Unix/BSD

A contrario, les programmes sous Linux (ainsi que Unix, BSD et dérivés (MacOSX)) sont tous conçus dans l'optique de respecter la sécurité dès le départ (De toute manière, sans ça, ils ne fonctionnent pas). Un programme lancé par un utilisateur ne pourra jamais modifier la configuration du système (/etc) et se cantonnera au répertoire utilisateur (/home/nomutilisateur).

Petit aparté: En plus de la sécurité, cela a une autre vertu: Quel que soit le bordel que peut mettre un utilisateur non-administrateur, il n'a aucun risque de flinguer le système ou de l'infecter, ni même de gêner les autres utilisateurs.

Au pire, il va perdre ses propres fichiers, et il suffit de supprimer et recréer son profil, et c'est reparti.

Cela permet de donner nettement plus de confiance en l'outil informatique. On peut dire à l'utilisateur: "Allez-y à fond, faites tout ce que vous voulez, explorez, essayez, testez, amusez-vous. Vous ne risquez pas de casser quoi que ce soit.".

D'expérience, je peux vous dire que cette "peur de casser quelque chose" est un frein MAJEUR pour la plupart des utilisateurs débutants. Avec ce système, on peut leur redonner confiance.

Et des Windows "cassés", j'en ai vu assez, merci bien.

Une mécanique de sécurisation complexe

La gestion des droits sous Linux (ainsi que Unix/BSD) est relativement simple et se comprend après quelques explications.

Sous Windows (depuis NT4 jusqu'a 7 en passant par 2000, XP et Vista), Microsoft a voulu voir grand. Le résultat ? Un système trop complexe à gérer (droits sur les fichiers, base de registre, etc.). Tellement compliqué que Microsoft a même inventé un langage pour décrire la sécurité des éléments du système: Le SDDL (Security Descriptor Definition Language).

De l'aveu même des ingénieurs de Microsoft, c'est trop compliqué. Vous comprenez quelque chose à "O:BAG:SYD:PAI(D;OICI;FA;;;BG)(A;OICI;FA;;;BA)(A;OICIIO;FA;;;CO)(A;OICI;FA;;;SY)(A;OICI;FA;;;BU)S:AI(AU;OICINPFA;RPDTSDWD;;;BU)(AU;OICINPSA;CCSWRPDTLOSD;;;BU)" ? Moi non.

Un système trop complexe ne sera pas utilisé, ou pire: mal utilisé. D'où - pour simplifier - les tonnes d'utilisateurs qui sont tous "administrateur" sous Windows. Seules certaines entreprises prennent la peine de sécuriser les droits, ce qui leur demande une énergie considérable (et avec des résultats parfois mitigés).

(Ceci dit, je dis que la sécurisation de Windows est complexe, mais je n'ai pas creusé SELinux et autres méthodes de sécurisations fines qui existent sous Linux.)

De fausses bonnes idées

Depuis le début, un certain nombre de personnes (dont moi) se tapent la tête contre les murs face aux fausses-bonnes idées de Microsoft.

Pourquoi, mais pourquoi inclure du code exécutable dans un document texte ? (Macros Word). Pourquoi inclure du code exécutable dans des des vidéos (WMV), des musiques (WMA), des pages web (ActiveX) ? Cette fausse bonne idée a été à la source d'innombrables problèmes de sécurité, et l'est encore aujourd'hui.

Pourquoi lancer automatiquement les CD, DVD et clé USB dès leur insertion (Autorun) ? L'utilisateur est-il trop con pour double-cliquer sur l'icône ?

Pourquoi ouvrir par défaut les services sur toutes les interfaces, toutes les IP ? (port 139 (NetBIOS/SMB), port 445 (RPC), etc.)
C'est ce qui a permis à des virus comme Blaster/Sasser d'infecter à distance des millions de PC sans la moindre intervention de l'utilisateur. C'était une connerie monumentale, encore perpétuée aujourd'hui, même si le risque est maintenant réduit par la présence d'un firewall activé par défaut.

Microsoft a toujours plein de fausses-bonnes idées de ce genre.

Système monolithique, logiciels trop intégrés

Windows est monolithique (fait d'une seule pièce) (Essayez de retirer l'explorateur de fichiers ou Internet Explorer, vous m'en direz des nouvelles.)

Cette volonté de tout faire d'un seul bloc pose des problèmes. Par exemple: La volonté acharnée de Microsoft d'intégrer le navigateur (Internet Explorer) au système (Windows). Du coup, toute faille de sécurité du premier devient une faille de sécurité du second. Mauvaise idée !

Microsoft a promis, dans Windows 7, d'isoler IE de Windows.

A contrario, Linux est modulaire. (En fait, il contient une partie monolithique (le noyau), le reste est modulaire):

  • lignes de commande (shell: bash, zsh, ksh... là où Windows n'a qu'une seul ligne de commande (cmd.exe) (si on oublie PowerShell)
  • systèmes de fichier (ext3, ext4, ReiserFS, XFS, JFS, HFS+... là où Windows se cantonne à FAT/NTFS).
  • interfaces graphiques (KDE, Gnome, XFCE... là où Windows se cantonne à son propre système (Explorer/MFC))
  • navigateurs (Firefox, Iceweasel, Konqueror, Galeon, Epiphany... là où Microsoft impose toujours IE)
  • systèmes de packaging de logiciels (deb, rpm...là où Microsoft utilise msi, voir de simples .exe)
  • organisation de l'arboresence des fichiers (FHS ou arbo spécifiques de distributions)
  • etc.

Certes c'est déroutant au début, mais cette grande variété a un impact positif sur la sécurité: Pour faire une analogie avec la biologie, une grande variété génétique assure une meilleure survie de l'espèce. Une population génétiquement très homogène risque d'être décimée plus facilement par un virus trop efficace (Non je n'utiliserai pas le terme de "consanguinité" pour qualifier Windows, juste "monoculture" ;-)

La grande variété des Linux, Unix et BSD fait qu'il est très difficile pour un virus de parvenir à infecter tous ces systèmes avec succès, à cause des légères différences.

Trop lent à corriger et délicat à mettre à jour

Tous les systèmes ont des failles de sécurité, de Windows à Linux en passant par MacOSX. Mais le nombre de failles est sans importance. L'important, c'est qu'elles soient corrigées le plus rapidement possible, afin de laisser le moins longtemps possible les utilisateurs exposés aux risques.

Et c'est là que Microsoft pêche. D'abord avec sa manie du "patch tuesday", c'est à dire la correction mensuelle des patchs, le mardi. Laisser des failles de sécurité béantes ouvertes pendant un mois ne me semble pas une bonne idée. Et encore, je ne vous parle pas de certaines failles que Microsoft a mis des mois à corriger (plus de 7 mois pour certaines). Un exemple ? La faille critique de "token kindnapping" qui date de plus d'un an, et que Microsoft n'a toujours pas corrigé.

A contrario, les autres éditeurs sont généralement plus rapides à corriger. Un exemple ? En 2006, Internet Explorer était dangereux 286 jours dans l'année. Firefox, 9 jours. Opera, 1 jour. Il ne faut pas s'étonner qu'il y ait plus de problèmes de sécurité sous Windows.

Ensuite, quand Microsoft publie une mise à jour, encore faut-il qu'elle soit installée. Microsoft a bien conçu WindowsUpdate, mais beaucoup d'internaute le désactivent. Pourquoi ? Parce qu'il y a dans la nature un nombre important de Windows piratés, et que les internautes ne veulent pas de se faire "repérer" par Microsoft. Des fois c'est le conseil "avisé" d'un "copain qui s'y connaît" et qui a désactivé WindowsUpdate "parce que c'est plus sûr" (GGGRRRRRR!).

Donc un paquet de Windows ne sont pas à jour du point de vue sécurité.

Quant aux logiciels, WindowsUpdate ne les met pas à jour. Utiliser une vielle version de Flash ou Acrobat Reader peut vous valoir une infection rien qu'en affichant une page web. C'est également une des sources majeures d'infection (J'avais déjà abordé ce point ici et ). Il n'y a pas vraiment de solution à ce problème.

Il est trop tard

De toutes manières, quelles que soient les rustines que Microsoft pourra poser sur le système de sécurité de Windows, il est trop tard. Ce qu'il faudrait à Microsoft, c'est tout casser et tout refaire. Et ça veut dire casser la compatibilité avec tous les anciens programme Dos et Windows, ce que Microsoft n'est pas prêt à faire.

Pourtant, c'est faisable.

Linux a osé casser des choses entre le noyau 2.4 et 2.6. Apple a fait encore plus fort, en mettant à la poubelle son système entier, qu'elle avait pourtant créé et fait évoluer pendant 17 ans (MacOS) pour tout refaire (MacOSX) sur la base d'un Unix. C'est couillu, et ça a payé: En plus d'être facile pour l'utilisateur et très beau graphiquement (c'est la marque d'Apple), le système a pour base un Unix solide et fiable (Darwin, basé sur BSD). Très beau travail. Il fallait oser.

C'est une course sans fin

Correctifs de sécurité de Windows, mise à jour des logiciels, antivirus, antispyware, antirootkits, firewall... ça n'aura jamais de fin tant que Microsoft sera prisonnier de sa volonté de rester compatible.

HADOPI va faire beaucoup de dommages collatéraux

Mardi 10 mars 2009

Si on part du principe qu'avec HADOPI, ce sont les industriels de la culture qui traqueront les internautes avant de saisir la commission, on peut se demander comment ils vont procéder pour les traquer. Étant donné leur incompétence crasse en matière de technologie, je m'attends au pire.

Si on regarde ce qui a été fait aux États-Unis avec la RIAA, cette dernière s'est basée sur les adresses IP renvoyées par les trackers BitTorrent. Un tracker BitTorrent, c'est un serveur qui recense les adresses IP en train de télécharger un fichier précis. Quand vous vous connectez sur un tracker, il vous donne une petite poignée d'adresses IP en train de télécharger le fichier qui vous intéresse. Et c'est sur ça que la RIAA s'est basé pour attaquer les internautes. Sauf que ce n'est pas fiable. Des chercheurs ont démontré l'idiotie de cette méthode en inscrivant l'adresse IP d'une de leurs imprimantes dans un tracker... que la RIAA a immédiatement attaqué en justice pour téléchargement illégale.

Et il y a fort à parier que les industriels de la culture utiliseront la même méthode en France pour flinguer les internautes.

Le site de téléchargement PirateBay a d'ailleurs annoncé qu'il commencera à insérer des adresses IP bidons dans ses trackers (y compris des IP françaises). Et je ne serais pas surpris que les autres trackers commencent à s'y mettre.

Le résultat, vous l'imaginez bien: La commission HADOPI sera saisie pour des adresses IP d'internautes totalement innocents, et des milliers d'internautes auront leur connexion internet coupée alors qu'ils n'ont rien téléchargé du tout. Un immense bordel en perspective, rendant toute la procédure HADOPI inutile.

Et que feront les utilisateurs de BitTorrent, ceux qui piratent, pour se protéger ? Ils se tourneront vers les nouveaux P2P anonyme tels que OFF, Freenet, GnuNet, MUTE, OneSwarm ou I2P. Une fois ces logiciels au point, les internautes seront définitivement hors de portée des attaques, même de leur propre fournisseur d'accès (qui de toute manière n'a aucune envie de jouer le rôle de flic).

HADOPI fera beaucoup de dommages collatéraux et ne fera que pousser les internautes vers des systèmes anonymes et impossible à tracer, qui les libèreront totalement de la peur du gendarme, et amènera donc un piratage débridé, massif et définitivement ancré dans les mœurs (comme s'il n'y était pas déjà, d'ailleurs !).

Les auteurs du projet de loi HADOPI n'ont vraiment pas la moindre idée de ce qui les attend et des possibilités techniques qu'offre internet. Ils peuvent même s'ils veulent bloquer tous les protocoles sauf HTTP, ça ne fera pas de différence: Les logiciels de partage utiliseront du HTTP (on peut faire passer pratiquement n'importe quoi à travers HTTP). C'est un jeu du chat et de la souris qu'ils sont assurés de perdre. C'est juste qu'ils ne le savent pas. Et en attendant, des tas d'internautes vont en prendre plein la gueule.

Et comme dit Jacques Attali: « Cette loi sera sans doute votée, parce qu’elle est le pitoyable résultat d’une connivence passagère entre des hommes politiques, de gauche comme de droite, toujours soucieux de s’attirer les bonnes grâces d’artistes vieillissants et des chefs d’entreprises bien contents de protéger leurs profits sans rien changer à leurs habitudes. Cela échouera, naturellement. Pour le plus grand ridicule de tous. »

MangerMangerManger

Lundi 09 mars 2009

Je trouve hallucinant que la ministre française de la santé ait décidé - malgré ses promesses - de laisser les publicitaires faire ce qu'ils veulent concernant les publicités pour la bouffe à destination des enfants. En prime, ces industriels exigent du gouvernement de ne plus légiférer dans ce domaine dans les 5 ans qui viennent.  EXIGENT ? Je rêve !

Donc la ministre de la santé laisse la main libre aux industriels sur le marché des gâteries pour enfants, et par la même occasion aux régies publicitaires. Ministre de la santé... du portefeuille des actionnaires, oui ! Ah il est beau ce néolibéralisme là.

A côté de ça, dans l'école où va mon fils, ils ont instauré le goûter obligatoire à 10 heures. Obligatoire, vous avez bien lu. Plusieurs parents n'en voulaient pas (moi y compris), mais la directrice l'a imposé à tout le monde. Et tout ça, bien sûr, pendant que le gouvernement dépense des fortunes dans sa campagne "MangerBouger". On marche sur la tête.

Il faudrait que les ministères gardent un minimum de cohérence dans leurs actions.

L'amendement 138 revient

Lundi 09 mars 2009

Haha ! Vous vous souvenez de l'amendement 138 du "paquet télécom" que Sarkozy avait fait sauter ?

Il a été réintroduit par les eurodéputés sous le numéro 46. Bienvenue, numéro 46 ! En théorie cet amendement interdit la coupure de connexion internet sans décision d'un juge.

Le député européen Guy Bono commente: « Le Parlement européen a réintroduit par la porte démocratique ce que Sarkozy avait fait sortir par la fenêtre diplomatique ».  "Diplomatique" ? Je n'aurais pas été aussi gentil.

C'est une bonne nouvelle, mais ça ne nous sauve pas pour autant des horreurs d'HADOPI.

Web Of Trust: Feu vert !

Dimanche 08 mars 2009

Après quelques semaines d'utilisation de l'extension WOT (Web Of Trust), je peux dire: Feu vert ! Cette extension remplit formidablement bien son rôle pour vous éviter les sites douteux, hameçonnage, spywares, faux-antivirus, faux-antispywares et une myriade d'autres arnaques et saloperies. Je considère maintenant qu'elle devrait faire partie de l'installation standard de n'importe quel ordinateur au même titre qu'un antivirus, un firewall et un antispyware. C'est gratuit, ça marche dans Firefox et IE, et vous n'avez aucune obligation de noter les sites si vous voulez juste profiter de sa protection.

Concernant les 2 sources de WOT:

  • Notes des internautes: J'ai pu constater moi-même qu'ils parviennent très bien à éviter les abus de notation des internautes en utilisant divers systèmes, dont des réseaux bayesiens appliqués aux comportements des membres. L'ensemble est efficace.
  • Les sources officielles choisies (SpamCop, DNS-BH, PhishTank, MalwareDomainList et autres) sont très efficaces car particulièrement vigilantes, et WOT est synchronisé avec elles, garantissant le blocage presque immédiat des sites détectés comme malfaisants.

Autre satisfation: La qualité de mes notations dans WOT me donne maintenant assez de poids pour classer immédiatement un site comme dangereux (comme par exemple ce site ou celui-là). Mon poids dans les notations n'est pas acquis: Si je commence à mal noter certains sites, mes votes auront moins de poids (et c'est rétro-actif).

Plus je creuse, plus je vois que le système est bien pensé. Et surtout il permet aux utilisateurs sans expérience d'éviter beaucoup de problèmes sans connaissance technique préalable. Et ça, ça n'a pas de prix.

Vous avez un ordinateur connecté à internet ? Installez WOT. Un jour où l'autre vous serez content de l'avoir fait. (Les instructions sont ici.)



Petit complément: Voici un peu plus de détails sur les sources réputée qu'utilise WOT en plus de la notation des internautes:

  • SpamCop est très connu et diffuse une liste de domaines (sites web) qui envoient du spam. Cette liste est utilisé par de très nombreux fournisseurs d'accès, entreprises et université pour bloquer le spam. SpamCop, au début un effort individuel et bénévole, a été racheté par Cisco. Mais la branche SpamCop reste encore relativement indépendante et toujours aux mains de son créateur. Ils vendent également des services de filtrage de mail.
  • hpHosts liste les sites (domaines ou adresses IP) qui distribuent des programmes malveillants (spywares, adwares, virus...). Les internautes et entreprises viennent signaler à hpHosts les sites malveillants. hpHosts appartient à Ur I.T. Mate Group qui tourne sur des fonds propres et des donations.
  • JoeWein fournit la liste SURBL qui recense les sites diffusant du spam et des logiciels malveillants. Ils travaillent en collaboration avec d'autres organisations (PhishTank, fraudwatchers.org, scambaits.com, 419eater.com...). Ils vendent également un filtre antispam pour Windows.
  • DNS-BH liste les domaines connus pour envoyer des programmes malveillants. Il tourne sur les dons des internautes et sur le financement de la société Afferent Security Labs qui vend des systèmes de sécurité informatique.
  • PhishTank compte sur les internautes pour débusquer les sites de hameçonnage (tel que les faux sites de banque), ainsi que diverses autres sources (non divulguées). PhishTank a été créé par OpenDNS qui l'utilise dans son système.
  • MalwareDomainList liste les adresses IP diffusant virus et autres logiciels malveillants. Difficile d'avoir des informations sur eux, mais il semble que ce soit une liste participative.
  • MalwarePatrol liste également les sites diffusant des programmes malveillants. La liste est établie par des systèmes automatisés et les rapports des internautes. Les URLs sont contrôlées par différents antivirus (Kaspersky, F-Prot) dont les licences leur ont été offertes (sympa). Ils sont financés par les dons des internautes et quelques entreprises.
  • Artists Against 419 luttent activement pour faire fermer les sites d'arnaque et de hameçonnage (par exemple en contactant directement les fournisseurs d'accès et les hébergeurs). Ils diffusent une liste de ces sites et comptent sur les internautes pour les signaler. Ils sont financés par l'Internet Systems Consortium.
  • Il y a probablement d'autres sources, mais les responsables de WOT aiment rester discrets là dessus.

Pour mémoire, le filtre anti-hameçonnage intégré à Firefox se base uniquement sur les données fournies par Google. Le fait que WOT aggrège ces diverses sources en fait un très bon complément, car un site raté par une liste peut très bien être bloqué par une autre. C'est un gage de sécurité.

Le mouchard HADOPI filtera votre connexion internet

Vendredi 06 mars 2009

A propos d'HADOPI, l'APRIL a une réflexion tout à fait intéressante: Cette loi stipule qu'il sera à la charge de l'internaute de sécuriser son ordinateur et sa connexion internet. Mais peut-on demander aux particuliers de réussir là où les services informatiques de l'armée française échouent ? Même le ministère de l'intérieur a renoncé au WiFi car leurs spécialistes sécurité estiment qu'ils ne peuvent garantir une sécurisation à 100%.

Pour ajouter au tableau, il semble que le futur mouchard gouvernemental filtrera des choses au niveau de l'ordinateur lui-même, par exemple en interdisant certains protocoles. On se retrouve donc dans une situation où des intérêts privés (industriels de la culture) auront la possibilité de bloquer toute innovation sur internet (nouveau protocole) en faisant pression sur la commission HADOPI pour faire bloquer ces protocoles chez les internautes.

Je vous encourage à lire l'article de l'APRIL sur HADOPI qui aborde aussi d'autres points intéressants.