pt
Moulé à la louche depuis 1999
Les trucs qui m'énervent... et je vais pas prendre de pincettes
Internet, informatique, logiciel libre, économie, politique, vie courante et tout le reste...

La poisse

Lundi 31 mai 2010

On appelle ça la poisse ou la loi des séries: En ce moment tout mon matériel me lâche, c'en est impressionnant.

  • Ma fidèle imprimante Epson Stylus 600 est morte et n'imprime plus rien.
  • Ma chaîne hifi compacte refuse de lire le moindre CD.
  • Mon appareil photo numérique Canon ne prend plus une seule photo correcte (j'ai appris que c'est un problème avec une colle utilisée en usine).
  • La machine à pain a été remplacée: Elle affichait "Erreur" et ne cuisait plus rien.
  • La tondeuse à gazon est morte.
  • La centrale vapeur a carrément pris feu.
  • Le lave-vaisselle est devenu un zombie (il continue à tourner dans le vide, parfois même quand vous l'éteignez avec le bouton on/off).
  • Et le technicien m'a confirmé que ma télé cathodique n'en avait plus pour longtemps à vivre.

C'est la moooooooort.

Histoire de bien continuer la série, hier soir la souris de mon ordinateur a décidé de me lâcher. Mais juste tomber en panne et pouf, plus rien, c'était trop facile. Non elle a voulu partir avec panache. Panache de fumée en l'occurrence: En plus de fumer, la gaine du cordon a commencé à fondre et le fil était brûlant sur tout la longueur. Je n'ose pas imaginer ce qui se serait passé si l'ordinateur avait été laissé allumé en mon absence.

En plus ça tombe suber-bien, vu qu'il faut aussi absolument que je remplace ma 306 qui a 13 ans. Y'a des périodes, comme ça, je vous jure...


Mise à jour 2 juin 2010: Merci pour vos nombreux messages de soutien et conseils (nettoyer la lentille du lecteur CD, vérifier la tension du secteur, etc.)

Quant à la souris, voici la fautive:


Oui ma souris est assez usée...

Marque et modèle de la souris.

Le cordon à moitié fondu.

Cela faisait plus de 5 ans que j'utilisais cette souris sans le moindre problème, mais si vous possédez cette marque ou ce modèle, je vous recommande chaudement d'en changer: Marque A4 Tech, modèle WOP-35.


Mise à jour 8 juin 2010: Ouais bon ça continue: Mon fidèle scanner à plat Epson est mort aussi.

Big Brother Awards 2010 : Les gagnants

Vendredi 28 mai 2010

Voilà, les Big Brother Awards ont désigné les gagnants, ceux qui minent le plus notre liberté et notre vie privée.

  • Prix Orwell États/Élus: Eric Besson, ministre de l’immigration.
  • Prix Orwell Localités: Le maire de Nice, Christian Estrosi.
  • Prix Orwell Entreprise: Les banques BNP Paribas, la Banque Postale, LCL, la Société générale et d'autres.
  • Prix Orwell Novlang: Brice Hortefeux, ministre de l’Intérieur.
  • Prix Spécial du Jury: Alex Türk, président de la CNIL, pour son double discours.

A noter que les nominés de la catégorie États/Élus étaient tellement nombreux que des mentions spéciales dû être créées. Voilà pour les gagnants.

Les perdants, cherchez pas, c'est toujours nous !

Tabjacking... est-ce vraiment un problème ?

Jeudi 27 mai 2010

La nouvelle "attaque" à la mode question sécurité semble être le Tabjacking (Je ne vais pas refaire les explications, vous pouvez les lire chez Korben).

Est-ce vraiment une menace ?

Il faut déjà que le site vous affiche une page de login d'un service que vous utilisez vraiment. Si je voyais tout à coup une page de login Facebook, je crois que ça me ferait bien marrer. Bien sûr en tapant dans les gros (GMail, Hotmail, Facebook...) il y a de bonnes chances de viser juste, mais ça risque bien de tomber à côté.

Ensuite, les sites de phishing sont généralement très rapidement repérés et bloqués par les navigateurs (par exemple la protection anti-phishing de Firefox fournie par Google), sans compter les extensions comme WOT. J'ai déjà reçu d'innombrables mail de phishing concernant free.fr pour m'apercevoir que les pages étaient déjà bloquées par Google/Firefox, OpenDNS ou WOT.

Au final, le problème vient du fait que l'utilisateur ne fait pas attention au nom de domaine affiché quant il clic sur un onglet déjà ouvert. Mais on peut imaginer une parade.

Les hashs visuels, une parade ?

Il existe des hashs visuels. On les trouve sous l'appellation d'identicon, visiglyph ou visprint. OpenSSH le fait aussi sous forme de texte.

A l'image des hashs comme MD5, les hashs visuels créent une image qui est unique. A titre d'illustration, j'ai bricolé rapidement un petit programme qui créé des hashs visuel et je propose une solution d'intégration aux navigateurs pour aider les internautes à éviter le phishing.

Mon petit programme s'appelle vizhash (jeu de mot sur "visuel", "hash" et "visage"). C'est en quelque sorte un moyen de donner un visage à un site web. Le programme prend en entrée du texte (par exemple le nom de domaine) et créé une image unique, spécifique à ce texte. vizhash possède les caractéristiques suivantes:

  • La moindre différence dans le texte en entrée créé une image totalement différente.
  • Il n'est pas possible de trouver un texte créant une image précise, sauf par force brute.
  • Comme il prend de l'unicode en entrée, les caractères ayant le même aspect graphique donneront une image totalement différente (utile maintenant que les DNS acceptent l'Unicode).
  • L'image peut être créée à n'importe quelles dimensions, tout en conservant les caractéristiques visuelles qui permettent de l'identifier.
  • L'image peut être très étirée horizontalement ou verticalement (changement de ratio) et conserve généralement les caractéristiques visuelles qui permettent de l'identifier.

Laissez moi vous donner quelques exemple: Voici différents noms de domaine que j'ai donné à manger à mon programme. Il a créé une image spécifique à chaque nom de domaine:


facebook.com

google.com

laposte.net

sebsauvage.net

twitter.com

siteduzero.com

S'il y avait une tentative de phishing, la moindre lettre différente dans le nom de domaine donnerait une image totalement différente:


sebsauvage.net

sebsauvaga.net

sebsauvag.net

sesauvage.net

L'image peut être mise à différentes dimensions ou ratios tout en gardant ses caractéristiques identifiables:


siteduzero.com
80x80

siteduzero.com
400x60

siteduzero.com
60x200

On pourrait imaginer que le navigateur calcule lui-même cette image et l'affiche, mais uniquement si l'utilisateur est dans un formulaire de login (comportant un champ de type "password"). L'internaute ayant l'habitude de voir toujours la même image lorsqu'il se connecte serait sûrement interpellé si l'image est totalement différente. Cette image ne devrait en aucun cas être affichée dans l'espace de la page, mais dans la barre d'adresse, sous forme d'icône dans la barre de navigation, voir sous forme de persona Firefox. Je n'ai malheureusement pas le temps de développer une extension Firefox, mais voici ce que ça donnerait intégré aux personas:



Bon, soyons honnête: C'est juste une idée lancée comme ça. Ma solution n'est ni belle, ni idéale: Elle fait encore appel à l'attention de l'internaute, mais elle lui donne un indice visuel fort de l'identité du site. Le fait d'utiliser les personas le rend particulièrement visible. Cet indice visuel étant généré côté navigateur à partir du nom de domaine, il ne peut être spoofé (sauf en cas de détournement DNS, mais là c'est une autre histoire).

Autres utilisations

vizhash se basant sur un hash, on peut s'en servir pour hasher des adresses IP, fournissant ainsi une identité visuelle automatique à chaque visiteur d'un site, sans révéler son adresse IP. C'est en fait très similaire au MonsterID (dont Bohwaz a fait sa version).

On pourrait également s'en servir pour des hashs de fichiers, par exemple pour vérifier qu'un téléchargement est correct: Au lieu de taper la commande md5sum en ligne de commande et de comparer deux chaînes de 32 caractères, le navigateur de fichiers pourrait être équipé d'une extension qui affiche son hash visuel et comparer rapidement avec celui affiché sur le site web. En un coup d'oeil, on voit si le fichier est correct.

Page web proposant le téléchargement:


Onglet "Vizhash" dans les propriétés du fichier:


Ainsi je n'ai aucune commande à taper, et je sais immédiatement si le fichier que j'ai récupéré est correct.

Quelques détails sur vizhash

vizhash est un petit programme d'une centaine de lignes, utilisable en ligne de commande. Le code source n'est pas formidablement compliqué. Il prend quelques options:

Usage: vizhash.py [options]

Options:
  -h, --help            show this help message and exit
  -t TEXT, --text=TEXT  Text to hash.
  -f FILE, --file=FILE  File to hash.
  -x WIDTH, --width=WIDTH
                        (Optionnal) Width of image (default:80)
  -y HEIGHT, --height=HEIGHT
                        (Optionnal) Height of image (default:80)
  -o OUTPUT, --output=OUTPUT
                        (Optionnal) Output filename (default:approximate input
                        text or filename with png extension). You can use any
                        extension supported by ImageMagick.

Il nécessite Python 2.6 et ImageMagick. La chaîne en entrée est hashée en SHA256, et la valeur de chaque octet en sortie du SHA256 sert à piloter les opérations graphiques (type d'opération, paramètres). Le programme utilise ImageMagick pour effectuer ces opérations sur les images. ImageMagick étant assez lourd, l'intégration dans un navigateur nécessiterait de refaire ça de manière plus légère. On pourrait aussi sans aucun doute améliorer la génération d'image (générateurs de textures, fractales, meilleure harmonie des couleurs...). Il y a de la place pour l'amélioration. Je diffuserai sans doute mon programme par la suite.

Les psychopathes de la casse

Jeudi 27 mai 2010

Quand je veux stocker un CD audio sur mon ordinateur (en MP3, OGG ou Flac) j'utilise un logiciel qui supporte CDDB afin d'avoir les titres des pistes automatiquement renseignés. C'est bien pratique. J'utilise la base gratuite freedb.org.

Seulement voilà, les utilisateurs de cette base semblent être des psychopathes de la casse: Ils mettent de manière compulsive Une Majuscule A Chaque Mot.

Voilà les titres de pistes que je récupère pour un album des Pink Floyds:

1. Cluster One
2. What Do You Want From Me
3. Poles Apart
4. Marooned
5. A Great Day For Freedom
6. Wearing The Inside Out
7. Take It Back
8. Coming Back to Life
9. Keep Talking
10. Lost For Words
11. High Hopes

Purée, c'est quoi votre problème avec les minuscules ? Vous avez été traumatisé par un prof au collège ? M'énerve, ça...


Mise à jour: Fabien me signale un article de Wikipedia qui mentionne que c'est une habitude des éditeurs américains, et que FreeDB ne fait qu'appliquer la règle. Au temps pour moi, donc. Ce qui ne m'empêche pas de trouver ça aussi bête que l'absence d'accents sur les majuscules, erreur issue des débuts de l'imprimerie et perpétuée malheureusement par un certain nombre de professeurs, justement.

RRhhhââââ

Mercredi 26 mai 2010

RRrhhhâââ... c'est quoi cette publicité qui dégueule son contenu au dessus de la page ? Au moins je sais pourquoi j'utilise AdBlock Plus: Le web est carrément invivable sans.

Quant à ça:

CLEAN ? Comment peut-on dire que ce site est clean alors qu'il font payer VLC ? Au moins je sais pourquoi j'utilise WOT.

Soit dit en passant, URLVoid.com est sympa. Il permet vérifier la réputation d'un site auprès de différents services. Il possède également un scanner de fichier (à la virustotal.com, mais avec "seulement" 24 antivirus), ainsi que quelques autres outils.


Message à Bouygues Telecom: Ma liberté, c'est de consulter les pages sans qu'on me vomisse de la publicité dessus. Soyez assuré que je ne serai pas client chez vous.

En vrac

Mardi 25 mai 2010

  • En France, encore un projet de loi à la con pour supprimer l'anonymat des blogueurs, presque comme en Chine finalement. Et les blogueurs seraient aussi tenus pour responsables des commentaires. Korben explique le problème. Je l'ai toujours dit: L'anonymat est nécessaire à la démocratie. La Quadrature du Net lance d'ailleurs un appel.

  • Lettre ouverte à ceux qui n'ont rien à cacher, une lecture du toujours intéressant Jean-Marc Manach (Bug Brother).

  • Concernant HADOPI, le gouvernement explique l'obligation de sécurisation: Ses solutions ? Antivirus, pare-feu, filtrage MAC et sécurisation du WiFi par WEP (ou plus). Alors qu'on sait que les antivirus sont faillibles, que l'adresse MAC peut être spoofée en 20 secondes et qu'une protection WEP se casse en 10 minutes. Le gouvernement français montre qu'il a 10 ans de retard sur la sécurité informatique.

  • Pour ajouter au bordel des antivirus passoires, les gouvernements de plusieurs démocraties se fendent chacuns de leur petit cheval de Troie (je vous en avais parlé en 2007). Les Etats-Unis de leur côté ont déjà plusieurs logiciels dans le genre, comme Magic Lantern ou CIPAV (qui ont été utilisés dans différentes affaires). La question qui reste en suspens est: Quels sont les éditeurs d'antivirus qui ont accepté de ne pas détecter ces chevaux de Troie ? Questionnés à l'époque (en 2007), les éditeurs d'antivirus avaient bien entendu tous nié. Mais franchement j'ai des doutes (Après tout, McAfee avait bien annoncé ne plus détecter NetBus, un cheval de Troie qui était devenu un logiciel commercial "d'administration à distance"). Une raison de plus de ne pas leur accorder une confiance absolue. Mais ils restent nécessaires.

  • Attention, l'Unicode débarque dans les noms de domaine. On va rigoler.

  • Je vous en avais parlé, certains spammeurs qui se faisaient jeter de leur fournisseur d'accès avaient trouvé une solution: Être eux-même des fournisseurs d'accès. Ceci dit, même les fournisseurs d'accès peuvent être tenus responsables, à l'image de 3FN, un fournisseur d'accès américain que la FTC (organisme chargé de protéger les consommateurs) a fait fermer. Ce FAI était une source de spam, malware, phishing, virus, botnets et autres joyeusetés. Ils étaient même allés jusqu'à déployer eux-mêmes des botnets et hébergeaient le centre de contrôle des bots. Lors de la première injonction judiciaire, le niveau de spam mondial avait baissé d'un coup de 15% (!). Tout ce qui appartenait au FAI a été saisi et sera vendu.

  • Oh My God... mais que se passe-t-il de l'autre côté de la Manche ? La Tamise est-elle en train de geler ? Nos amis Anglais, qui étaient parmis les plus fervents utilisateurs de vidéo-surveillance, semblent retourner leur veste: Nick Clegg, le nouveau Vice-Premier ministre, a décidé de mettre un terme à la société de surveillance. Reste à voir si son discours sera suivi des faits.

  • Vous trouviez les prix des barrettes mémoire trop élevées ? C'était normal ! L'Europe a condamné 9 fabricants de barrettes mémoire pour entente sur les prix entre 1998 et 2002. Samsung Electronics, Infineon, Hynix Semiconductor, Elpida Memory, NEC Electronics, Hitachi, Toshiba, Mitsubishi Electric et Nanya Technology devront donc payer collectivement 331 millions d'euros d'amende. Qui a cafté ? Un autre fabricant, Micron, qui a ainsi obtenu l'immunité. J'en connais qui ne vont plus avoir beaucoup de copains.

  • Encore un abruti qui vient poster son arnaque sur CCM. Ces cons sont infatigables.

  • La revanche de cyclistes contre un voleur de vélos. Jouissif.

  • Les sites web de l'ANPE et de l'APEC, c'est la honte (seconde partie ).

  • En dehors de dl.free.fr pour envoyer/échanger de gros fichiers, je suis tombé sur 1fichier.com, efficace et rapide (jusqu'à 10 Go, fichiers conservés 60 jours sans téléchargement). Et le débit en download est excellent (J'ai eu du 2,8 Mo/seconde). Bien pratique.

  • Un dessin humoristique (en anglais) sur les webmasters qui passent leur temps à refaire le n-ième clone de Facebook ou Twitter.

  • Vous le savez, j'aime bien les jeux Urban Terror et Portal. Alors imaginez un FPS combinant Team Fortress 2 et Portal. C'est Team Portress. Voilà de quoi donner une nouvelle tournure vicieuse aux FPS.

  • C'est rare, mais parfois le monde opensource copie les mauvaises idées du monde Windows. Ça me fait franchement mal au cul chignon d'entendre "nettoyer la base de registre" en parlant de Linux. Gnome possède bien un système de configuration des applications sous forme d'arborescence, mais ce n'est pas un gros blob binaire comme la base de registre de Windows: Ça reste un groupe de fichiers XML encore manipulable sans les outils dédiés (gconf ou gconf-editor). Encore heureux. Ceci dit, FreeDesktop devrait sérieusement réfléchir à une solution pour unifier, clarifier et nettoyer les fichiers de conf, que ce soit sous Gnome, KDE ou autres (Fichiers commençant par un point dans votre répertoire perso sous Linux.)

  • Info technique: Si vous êtes sous Linux, il est conseillé de désactiver Compiz si vous jouez à des jeux 3D: Ça fait perdre en performances.

  • Ah oui, tant que j'y pense, vu qu'aucun navigateur ne vous les nettoie, voilà comment supprimer le cache et les cookies Flash sous Linux:
    rm -rf ~/.macromedia/Flash_Player/macromedia.com/support/flashplayer/sys
    rm -rf ~/.macromedia/Flash_Player/#SharedObjects

    (Hé oui, sacré petit cafteur ce Flash. Il stocke des cookies spéciaux hors du navigateur (et que donc le navigateur ne sait pas effacer). Ces cookies sont même partagés entre les navigateurs. Et certaines cookies Flash peuvent être aussi partagés entre sites web différents. La version actuelle ne respecte même pas encore le système de navigation privée des navigateurs.)
    Oui, les windosiens ont aussi ce problème, dans:
    C:\Documents and Settings\votrelogin\Application Data\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys
    C:\Documents and Settings\votrelogin\Application Data\Macromedia\Flash Player\#SharedObjects

    Mise à jour 26 mai 2010: Deux internautes (merci à Richard C. et Jocelyn H.) me signalent l'existence d'une extension Firefox qui s'occupe de supprimer les cookies Flash à la fermeture du navigateur: BetterPrivacy.

  • C'est le début de la fin pour Windows XP SP2: Le 14 juillet, il n'y aura plus de mises à jour de sécurité. Vous pouvez utiliser WindowsUpdate pour installer le SP3 et continuer ainsi à profiter des mises à jour. Si vous ne souhaitez pas passer par WindowsUpdate (ou n'avez pas Internet), vous pouvez le télécharger directement (environ 309 Mo). Notez que le support du SP3 s'arrête en avril 2014.

  • La cryptographie quantique est théoriquement inviolable. Théoriquement. Mais comme nous vivons dans un monde non-théorique, on arrive à trouver des failles, comme ces chercheurs qui sont parvenus à casser partiellement le chiffrement quantique commercial de la société ID Quantique. L'attaquant peut intercepter quelques bits et les ré-émettre, ce qui provoque des erreurs chez les correspondants espionnés, mais en restant en dessous de la barre des 20%, cela reste indétecté (les correspondants considérant le taux d'erreur comme acceptable). L'attaquant ne peut donc lire que quelques bits du message, mais c'est déja ça (cela permettrait par exemple de réduire l'espace de recherche dans une attaque brute force si c'est une clé à chiffrement symétrique qui est échangée). Vous ne comprenez rien à ce que je viens de raconter ? C'est pas grave :-)

  • Modéliser (c'est à dire "créer en 3 dimensions") des villes dans les jeux est quelque chose de très long. D'ailleurs dans la plupart des jeux 3D, quand vous êtes dans une ville, la plupart des portes d'immeuble sont fermées et pour cause: Ça serait bien trop long de créer tous ces immeubles et tous les appartements qu'ils contiennent. La génération procédurale de modèles 3D existe déjà depuis quelques temps pour créer automatiquement de l'herbe ou des montagnes: C'est l'ordinateur qui va les créer à partir de formules mathématiques. Des développeurs ont appliqué ce principe aux bâtiments. Ils arrivent à créer une ville entière, y compris l'intérieur des bâtiments. Cela allège le graphiste d'une quantité énorme de travail. Là où ils sont futés, c'est qu'un appartement n'est créé dans la mémoire de l'ordinateur qu'au moment où vous y entrez, ce qui réduit drastiquement la consommation mémoire. Bien sûr cette vidéo n'est qu'une démonstration technologique: Un vrai jeu serai bien plus beau graphiquement, mais le principe est déjà très bon. On se souviendra aussi de Pixel City, l'année dernière, mais qui n'allait pas jusqu'à l'intérieur des bâtiments.

  • Il y en a toujours pour se la péter avec un Photoshop piraté alors que Gimp ferait parfaitement l'affaire, la même chose est valable pour la 3D: Il y a toujours un gus pour se la péter avec son 3D Studio Max piraté alors que Blender est gratuit et excellent, surtout quand on voit ce qu'on arrive à faire avec.

  • Vrac du vrac: Le frasil, un phénomène curieux quand l'eau est à la limite du point de fusion. Intéressant, mais un peu effrayant. ◆ Il paraît que ce n'est pas un fake, mais j'ai du mal à y croire. ◆ Voilà ce qui se passe quand on construit un pont sans faire attention à son profil: Le pont entre en résonance avec le vent. Effrayant. ◆ A offrir à vos chefs au boulot: L'horloge qui compte le fric perdu en réunions inutiles. ◆ Pratique: un dictionnaire de synonymes en ligne (En prime il connaît l'argot). ◆ Un livre en ligne très intéressant (mais en anglais) sur les biais cognitifs.

Skyblog piraté

Dimanche 23 mai 2010

Skyblog est l'un des plus gros hébergeurs gratuits français de blogs.

Ils se sont fait pirater. On peut lire dans la news chez zataz.com: «Il avait été constaté, à l'époque, que les mots de passe des blogueurs étaient stockés sans être chiffrés. Nous avons eu confirmation que le chiffrement n'avait pas encore été effectué en ce mois de mai.»

PURÉE SÉRIEUX ?

On est en 2010 et il y a encore des abrutis pour stocker des mots de passe en clair dans une base de données ? Pour n'importe quel professionnel de l'informatique (j'ai bien dit professionnel) c'est hallucinant. Déjà qu'on n'utilise même plus de simples MD5, alors les mots de passe en clair, c'est vraiment de l'incompétence.

Donc là, on a potentiellement les mots de passe de 32 millions d'ado et de mineurs qui se baladent dans la nature. Bravo. (Et vous pouvez parier qu'ils ont le même mot de passe pour MSN/Hotmail, Facebook, etc.)

Et c'est à Skyblog que le gouvernement français a confié Waka, le pseudo-site web 2.0 pour les djeunzs ?

Mise à jour: Et dans la série je met en danger la sécurité informatique des jeunes par mon incompétence, le cas de l'école américaine qui espionnait ses étudiants avec les ordinateurs portables prêtés était déjà moche, mais il semble que le logiciel en question (LANrev) puisse être contrôlé à distance grâce à un mot de passe... qui est le même sur tous les ordinateurs possédant LANrev. 1 mot de passe = La possibilité d'espionner des milliers de jeunes (leurs mots de passe, voir leur écran, les écouter avec le micro et même les voir avec la webcam).


Mise à jour 25 mais 2010: On me dit dans mon oreillette que ce ne sont pas vraiment les développeurs qui seraient à mettre à l'index dans cette affaire, mais plutôt le management qui presse le citron à ses équipes et pour qui le budget est un sujet plus intéressant que la sécurité. Vous n'aurez pas plus de détails.

Course à l'armement discrète dans la guerre des codecs

Vendredi 21 mai 2010

Attention, ça va chier pour VP8 et Theora.

Quand je disais que MPEG-LA était coriace, voilà: Interrogé, le directeur du MPEG-LA a annoncé que certains détenteurs de brevets avaient exprimé leur désir de s'organiser pour attaquer VP8. Quant au patron d'Apple, il a suggéré qu'un même genre d'attaque était en préparation envers Theora et d'autres codecs opensource (x264 ?). Quels détenteurs de brevets ? Probablement ceux qui détiennent des brevets attenant à H264.

Comme le font remarquer certains internautes, on peut quand même se demander pourquoi Google n'a pas mis tout son poids pour aider au développement des codecs existants (Theora et Dirac) au lieu de pondre le sien. En particulier Dirac qui est meilleur que Theora, et développé par la BBC sur la base de brevets qui ont expiré. Ça aurait été nettement moins risqué. Theora et VP8 sont quand même dans le flou concernant les brevets.

Ceci étant dit, Google est un gros poisson et il ne serait peut-être pas très judicieux de l'attaquer de front. Il est probable que ces "patent pool" s'attaquent d'abord à de plus petits, comme certains codecs opensource (x264, libavcodec... vous m'entendez ?). Dans tous les cas, ça craint.


Quant à la décision du W3C de ne pas imposer ("must") - ni même proposer ("should") - de codec dans la norme HTML5, je me suis "amusé" à faire un petit croisement (oui j'ai l'esprit un peu tordu, je sais). D'après vous, parmis les membres du W3C, combien y en a-t-il qui détiennent des brevets sur le H264 ? Douze exactement:

  • Apple
  • France Telecom
  • Fraunhofer-Gesellschaft
  • Fujitsu Limited
  • Hitachi, Ltd.
  • Microsoft Corporation
  • NTT DoCoMo
  • Nippon Telegraph and Telephone Corporation
  • Samsung Electronics Co., Ltd.
  • Siemens AG
  • Sony Ericsson
  • Toshiba Corporation

Aha. Conflit d'intérêts ? Je ne veux pas être mauvaise langue, mais ça ne serait pas à cause de ça que le W3C a refusé d'imposer Theora comme codec ?

Quand on leur parle de VP8, il ne faut plus s'étonner qu'Apple et Microsoft fassent l'apologie de H264.


Mise à jour 25 mai 2010: Nero (éditeur de logiciel d'édition vidéo et gravage) attaque MPEG-LA pour abus de position dominante. Intéressant. Je serais curieux de voir ce que ça va donner.

Google a libéré VP8 !

Mercredi 19 mai 2010

C'était attendu, Google libère son codec vidéo VP8, c'est officiel.

Ce codec vidéo de bonne qualité est donc maintenant opensource. Google a choisi de le combiner au codec audio Vorbis et au conteneur Matroska pour former WebM. WebM est donc le nouveau standard vidéo ouvert. D'ailleurs Google n'a pas perdu de temps: YouTube diffuse déjà 1,2 millions de vidéos dans ce format.

Résumons:

WebM = codec vidéo VP8 + codec audio Vorbis + conteneur Matroska


Google travaille également avec Mozilla (pour l'intégration dans Firefox), Opera, ainsi qu'avec AMD et NVidia pour l'accélération matérielle. On peut déjà trouver des pré-versions de Firefox, Chromium et Opera qui supportent WebM. Des patchs ffmpeg sont également déjà disponibles (ffmpeg est un encodeur/décodeur vidéo utilisé dans de nombreux programmes) ainsi qu'un filtre DirectShow (pour DirectX sous Windows). De son côté Adobe a annoncé que Flash supportera VP8 dans le futur (Adobe est bien obligé de supporter VP8 sous peine de disparaître du domaine de la vidéo web, surtout que HTML5 commence déjà à voler la vedette à Flash pour la lecture des vidéos H264). Skype utilise déjà VP7 (de la même société On2) pour la vidéo, et semble être très favorable à VP8. Un certain nombre d'autres grandes entreprises emboitent le pas à Google.

Microsoft, dans son flegme habituel, n'en a rien à battre de VP8 et annonce que IE9 supportera VP8... si l'utilisateur installe le codec. Baha, œuf corse, comme avec absolument n'importe quel autre codec.

Le code source de VP8 est sous une licence est très similaire à la licence BSD: Vous pouvez aller jusqu'à vendre votre version modifiée et compilée du codec même sans distribuer les sources. Cela pourrait inciter des entreprises à travailler sur des codecs commerciaux de qualité. Quant à la spécification du format VP8, elle est en CreativeCommons. De son côté Vorbis est de toute manière dans le domaine public, donc aucun soucis. Matroska est une marque déposée mais l'utilisation des spécifications est libre même pour un usage commercial.

Tout cela est de très bonne augure.


Maintenant, il est intéressant d'avoir l'avis d'un spécialiste, le programmeur du codec opensource x264 (compatible H264) qui a lu la spécification et le code source de VP8. C'est un spécialiste, je lui fais totalement confiance.

Les bons points selon lui:

  • L'encodeur VP8 est bon. VP8 a une qualité bien supérieure aux deux autre codecs opensource, Theora et Dirac, et il se situe entre Xvid/DivX et Microsoft VC-1 en terme de qualité, mais reste inférieure à H264 (Maintenant tout n'est pas joué: un bon encodeur VP8 peut faire un meilleur boulot que du H264.).
  • Il pense également que Google a fait un bon choix avec Vorbis et Matroska.

Il voit cependant divers problèmes:

  • La spécification de VP8 est une horreur, pleine de copier-coller de bouts de code en C, et inexploitable en l'état. On verra difficilement apparaître d'autres implémentations de VP8 que celle de Google.
  • Google semble s'être trop précipité pour déclarer la spécification et l'implémentation "stable" (final). Le code est plein d'imperfections.
  • Le fait que VP8 soit libre de tout brevet est une simple affirmation de Google. Il compare avec le codec VC-1 de Microsoft qui avait les mêmes prétentions et s'en est malgré tout pris plein la tronche.
  • VP8 est techniquement trop proche de H264, et on prend le risque de le voir attaqué avec des brevets. Et Dieu sait que le comité MPEG-LA est coriace.
  • Le code source de VP8 mériterait beaucoup d'améliorations et optimisations.
  • VP8 manque d'optimisation psycho-visuelle comme possède x264/H264 actuellement (élimination des détails peu perçu par l'oeil humain et le cerveau).
  • On ne trouve pas d'encodeurs/décodeurs matériel pour VP8 (Je pense qu'il se trompe étant donné que le fabriquant de puces BroadCom annonce déjà la disponibilité du VP8 dans ses puces VideoCore, ainsi que Texas Instruments dans ses puces OMAP, et également Verisilicon dans ses puces ZSP, sans compter AMD/ATI, NVidia et MIPS qui travaillent aussi sur VP8).
  • Le codec VP8 est lent en l'état actuel, aussi bien en encodage qu'en décodage. Plus lent que H264. Et il ne voit pas vraiment d’améliorations en performances possible pour le décodeur.

Il pense que Google aurait vraiment dû raffiner le tout avant de se précipiter pour en faire un standard.

Il est intéressant de voir le résultats en matière de qualité d'image pour un même bitrate (extrait d'une frame 1920x1080).

Xvid
VP8
H264 (x264)
Theora
Dirac
VC-1
copyright © 2008-2010 by Jason Garrett-Glaser (aka Dark Shikari), all rights reserved.

Même si l'immense poids de Google et ses partenariats ne fait aucun doute sur l'adoption de VP8, la précipitation de Google nuit à VP8 qui aurait beaucoup gagné dans une phase de maturation de quelques mois. C'est dommage.

Menace des utilisateurs de P2P : Un coup pour rien

Mercredi 19 mai 2010

Ce sujet n'est pas nouveau, mais je souhaitais revenir dessus. Je suis tombé sur cet article de Clubic: Les producteurs du film "Démineur" menacent de poursuite ceux qui ont téléchargé le film sur les réseaux P2P. Remarquable, mais totalement inutile.

Avec ou sans P2P

Ils en choperont sans doute un ou deux pour faire un exemple, mais ça ne servira à rien. Les internautes trouveront d'autres moyen moins risqués de télécharger. Et je ne parle même pas des VPN à quelques euros par mois. Non je parle de quelque chose de beaucoup plus simple. Un exemple ? Dans Google, tapez "démineur" et regardez les suggestions:

Vous voyez ce qui arrive avant "torrent" ? streaming et megaupload. Streaming pour regarder le film directement dans le navigateur sans le télécharger, ou megaupload pour le télécharger. En moins de deux minutes vous êtes en train de télécharger ou regarder le film, sans P2P et donc sans le moindre risque puisque totalement hors de portée des traqueurs de réseaux P2P et d'HADOPI. C'est tellement facile que ce n'est même pas drôle.

Pourquoi c'est sans risque ? Parce que les entreprises qui traquent les internautes n'ont pas accès à la liste des sites et URLs que vous visitez. Seuls les fournisseurs d'accès pourraient leur donner, et il n'ont absolument pas envie de jouer ce rôle. Et il n'est pas envisageable de permettre à une entreprise privée d'avoir accès à l'historique de navigation intégrale de tous les internautes français.

Même si par mégarde une loi obligeait les fournisseurs d'accès à bloquer ou traquer l'accès à ces sites, il ne faudrait pas plus de 10 minutes à n'importe quel internaute pour contourner ça avec TOR ou des proxy ouverts (cherchez un peu, on en trouve facilement des tonnes sur internet). Le filtrage ne servirait donc à rien.

Forcer Google à filtrer ce genre de recherche ? N'y pensez même pas: Les internautes iraient tout de suite vers d'autres moteurs de recherche (Baidu.com est déjà largement apprécié par certains téléchargeurs de MP3).

Quant à s'attaquer à ces sites eux-mêmes, je pense qu'ils auront beaucoup de mal à faire appliquer la loi française à des sites situés à l'étranger, surtout qu'ils tiennent la dragée haute.

C'est quoi, "pirater" un film ?

De manière assez ironique, télécharger (réceptionner) un film par internet n'est pas illégal. Le Code de la propriété intellectuelle dit dans son article L122-5: "Lorsque l'œuvre a été divulguée, l'auteur ne peut interdire ... Les copies ou reproductions strictement réservées à l'usage privé du copiste et non destinées à une utilisation collective."

Autrement dit: Quand vous téléchargez (copiez) un film d'un site web vers votre ordinateur pour votre usage personnel, l'auteur de l'œuvre ne peut vous l'interdire (Techniquement, c'est bien le site web qui diffuse cette œuvre qui est en infraction, mais pas vous). Non seulement les ayants-droit n'ont pas la possibilité de traquer les téléchargement sur ces sites, mais l'opération n'est de toute manière pas illégale (Qu'un juriste me corrige si je dis une connerie).

Si on regarde les procès concernant le P2P, ils ont tous été montés sur accusation de contrefaçon: En effet quand un internaute télécharge par P2P, le logiciel redistribue en même temps le fichier (c'est le principe du P2P). Or quand vous distribuez une copie d'une œuvre numérique, cette copie n'est pas un original produit par les ayants-droits, donc une contrefaçon.

Mais en téléchargeant sur des sites comme MegaUpload/Rapidshare, l'internaute ne fait plus de P2P, donc ne partage plus rien, donc n'enfreint plus la loi. Ce n'est techniquement ni du vol, ni du piratage, ni de la contrefaçon.

Bref, cette poursuite des utilisateurs de P2P est un bel effet d'annonce, et ça pourrait même faire bien au 20 heures, mais dans le fond ça n'impactera que très marginalement le téléchargement "illégal": Ça ne fera que déplacer le problème. Ce n'est même pas un jeu du chat et de la souris: Le chat est aveugle et n'a pas encore compris que la souris pouvait bouger.

Alors ils attaquent à l'aveugle: Lettres de menace aux téléchargeurs, procès-démonstration à quelques gros partageurs par P2P, pression sur les FAI pour faire fermer les serveurs Usenet (ils ont gagné), attaque des auteurs de logiciel P2P, attaque des sites de vidéo en ligne (YouTube)... Ils ne savent pas comment s'en sortir, alors ils frappent un peu partout pour voir ce qui marche. Je ne suis pas certain que cette stratégie soit viable à long terme.

Il faudrait peut-être mieux s'adapter au marché et donner aux internautes de vraies raisons d'aller au cinéma (C'est pour ça qu'ils s'excitent autant sur le cinéma en relief ?): Ecrans plus grands, meilleure qualité d'image, meilleure sonorisation.... meilleur prix ? Il y a des efforts à faire.

Le meilleur moyen d'élargir l'audience d'une œuvre n'est pas de lutter à mort contre toutes les technologies qui permettent sa diffusion, mais bien de proposer quelque chose d'attrayant, un plus. S'il y a des raisons d'acheter, les internautes le feront, même s'il y a moyen de se procurer gratuitement les œuvres.

Gaspillage

Je ne suis pas en train de faire l'apologie de la copie d'œuvres numériques. Je cherche juste à faire comprendre qu'attaquer les téléchargeurs est vain. C'est non seulement un gaspillage de temps, d'argent et d'énergie, mais c'est aussi jeter l'opprobre sur des technologies utiles (P2P).

J'ai peur que l'état français engloutisse des sommes folles dans la machinerie complexe et futile d'HADOPI, alors que cet argent serait bien mieux utilisé pour soutenir de bonnes initiatives (équipement informatique des écoles, formations des enseignants et internautes, subventions aux "jeunes pousses" et sites web, aide au développement de nouveaux moyens de commercialisation sur internet, subventionnement de la protection des internautes sur internet, reconditionnement de matériel informatique usagé...). Merde il y a tellement mieux à faire qu'à dilapider l'argent public dans un grand bidule inutile qui ne sert qu'à rassurer quelques millionnaires. Ça n'aide même pas les artistes.

En vrac

Lundi 17 mai 2010

  • Une société a conçu un logiciel de maquillage virtuel qui peut également être utilisé pour faire de l'identification automatique de visages dans les systèmes de surveillance. Ils prétendent avoir un taux de détection supérieur à 90% (ce dont je doute fortement). De manière assez ironique, on tombe sur un autre article qui explique qu'avec quelques traits de maquillage, on parvient à blouser ces systèmes. Si vous croisez dans la rue quelqu'un maquillé à la Enki Bilal, vous saurez pourquoi.

  • A force de bourrer d'électronique les voitures, on finit par avoir les mêmes problèmes de sécurité qu'avec n'importe quel système informatique: Les prises de diagnostic ODB-II qui sont désormais obligatoires sur les véhicules ne sont pas assez sécurisées et permettent même de couper les freins. Vous avez peur ? Attendez un peu que votre voiture fasse du WiFi et du BluTooth ! Là vous pourrez vraiment avoir peur.

  • Un paquet d'administrations françaises (de la défense à la culture, en passant par les ambassades et l'enseignement) utilisent des webmails comme Yahoo.fr ou laposte.net. Et certains de ces webmails sont aux mains d'entreprises américaines. Étant donnés les problèmes de sécurité liés à ces webmails, j'ai du mal à croire qu'ils soient assez stupides pour les utiliser. Que l'internaute de base ne réalise pas l'ampleur du risque sécuritaire ça peut se comprendre, mais au niveau de l'armée, la sécurité intérieure ou des renseignements, le fait d'utiliser un webmail externe confine à la débilité ou l'incompétence crasse.

  • L'AFP a beau devenir complètement hystérique sur le droit d'auteur (jusqu'à réclamer un paiement si vous citez plus de 5 mots d'une de leurs dépêches), ça ne les empêche pas de violer le droit d'auteur des autres. En connaissance de cause.

  • Visiblement même les éditeurs de jeux n'arrivent pas à se dépatouiller des protections/DRM qu'ils ont eux-même mis en place dans leurs logiciels: Pour pouvoir distribuer en ligne (sur Steam) un de ses jeux, un éditeur semble avoir utilisé un crack du groupe de hackers "Myth" pour faire sauter la protection. La honte.

  • Que ce passe-t-il quand l'éditeur d'un jeu ne permet pas la création de serveurs de jeu librement (comme par le passé) ? Et bien vous ne pouvez tout simplement plus jouer au jeu que vous avez pourtant acheté. Le dernier serveur Halo 2 a été fermé, et les derniers joueurs dégagés. Comme il n'est pas possible de créer son propre serveur pour ce jeu, c'est terminé. C'est une manière malhabile malhonnête de forcer les joueurs clients à acheter les nouveaux titres. La quasi-totalité des jeux qui sortent actuellement ne permettent plus de créer votre propre serveur de jeu indépendamment.
    Vous ne pouvez plus jouer en ligne à Halo 2 sorti en 2004 ou à Madden 09 sorti en 2008, mais vous pouvez toujours jouer à Quake sorti en 1996. Cherchez l'erreur.

  • Ça fait toujours plaisir de voir un grand éditeur de jeux s'intéresser à Linux: L'éditeur de jeux Valve a adapté son moteur de jeu Source à Linux. C'est sur ce moteur que sont basés tous ses jeux récents (Half-Life 2, Left4Dead, Team Fortress 2, Portal...)

  • Avec la nouvelle présentation technologique du futur Internet Explorer 9, Microsoft semble avoir fait de gros efforts sur le respect des standards, jusqu'à respecter 100% des sélecteurs CSS3 (!). Si cela se maintient dans la version finale d'I9, ça sera un grand pas en avant pour le web, aussi bien pour les internautes que pour les webmasters. Dommage que IE9 soit réservé à Vista et 7.

  • Facebook n'a cessé de miner la vie privée de ses membres depuis sa création (la preuve avec ce magnifique schéma interactif qui relate l'érosion de la protection de la vie privée au cours des années). Même le Contrôleur européen de la protection des données leur tape sur les doigts. Différents projets sont lancé pour concurrencer Facebook. Celui qui a le plus de publicité est Diaspora qui a réussit à lever plus de 120 000 dollars. Mais n'est pas Facebook qui veut.

  • Un ancien de l'équipe de Wikipedia s'amuse à foutre la merde en lançant un os à ronger à l'Amérique puritaine à travers la chaîne Fox News (connue pour son sensationnalisme, son parti pris et son conservatisme). Résultat ? Des articles de Wikipedia ont été "nettoyés" de certaines images anatomiques. Wikipedia va-t-il aussi supprimer toute référence au nazisme ou toute image de croix gammée pour devenir politiquement correct ?

  • Espionner 4 converstations GSM avec un kit prêt à l'emploi, c'est pas sorcier.

  • La plupart des disques durs actuels sont équipés du système SMART qui surveille de nombreux paramètres du disque dur: temps de mise en rotation, température, taux d'erreurs, etc. Si certains paramètres sortent des limites habituelles, l'ordinateur peut vous avertir. Cela annonce généralement une mort imminente du disque. Je ne croyais absolument pas à ce système jusqu'à ce qu'il me sauve la mise deux fois: Le système SMART m'a prévenu 2 jours avant la mort des disques, et j'ai pu faire mes backups à temps.
    Mais le système SMART ne semble pas être aussi fiable que prévu: Google met beaucoup à l'épreuve son matériel, et possède probablement l'un des plus grands parcs informatique mondiaux. D'après leurs statistiques, SMART ne peut prévoir que 44% des pannes, les autres ne levant aucune alerte significative. C'est dommage, mais c'est mieux que rien.

  • HADOPI envisage une sanction en cas de non sécurisation de la connexion internet (même s'ils ne savent toujours pas comment assurer cette sécurisation, comment la contrôller ni comment sanctionner son absence). En Allemagne, c'est plus radicale: WiFi non sécurisé par mot de passe = amende. Et le mot de passe doit être "suffisamment long, sûr et personnel". C'est plutôt vague: Quelle est la limite , quel est le critère qui permet de déterminer que le mot de passe est suffisamment sûr et personnel ?
    De plus, cela rend d'office illégal les points accès WiFi en libre service.
    A quoi assiste-on ici ? Le fait de ne pas sécuriser votre identité numérique devient progressivement un délit (l'adresse IP étant ici considérées comme une donnée identifiante). C'est fâcheux, surtout face à la complexité technique de l'informatique et aux progrès fantastiques en matière d'(in)sécurité: crackage accéléré des protections WiFi, chevaux de Troie, faillibilité des antivirus, failles dans les box, systèmes d'exploitation et logiciels, détournements DNS, substitution de certificats SSL/X509... je vois mal comment exiger une telle sécurisation d'un internaute alors même que les professionnels du secteurs n'y arrivent pas.
    De plus l'effet de bord de ces condamnations et lois est de faire accepter petit à petit l'idée que l'adresse IP est une donnée valable pour identifier un individu.

  • L'auteur du logiciel de Peer-to-peer LimeWire a été reconnu coupable. C'est moche: Cela veut dire que potentiellement, l'auteur de n'importe quel logiciel de partage de fichiers pourra être condamné si son logiciel est utilisé à de mauvaises fins. Et comment un programmeur peut-il déterminer à l'avance ce qui sera fait de son logiciel ? Tim Berners-Lee avait-il seulement imaginé ce que deviendrait internet quand il a inventé HTTP/HTML ? Probablement pas. Je sais que l'image est éculée, mais on a jamais condamné les fabricants de voiture, de couteaux de cuisine, ni même les fabricants d'armes à feux quand ces objets étaient utilisés à des fins criminelles, non ? C'est absurde. C'est l'utilisation qu'il faut condamner, pas l'objet lui-même.
    Cette peur instillée risque de mettre un frein au développement de logiciels. On se souviendra d'un des développeurs français de Freenet qui avait quitté le projet par peur des risques légaux.

  • La preuve que les internautes ne sont pas des voleurs ? Un pack de jeux était disponible en téléchargement, libre aux internautes de télécharger gratuitement ou de payer la somme de leur choix. 125 000 internautes ont payé un total d'1,14 millions de dollars. Pour des jeux sans la moindre protection (DRM). Le prix moyen était de 9,16 dollars (soit environ 7,2€).

  • PuppyLinux, la mini-distribution Linux dont je vous avais parlé en 2008, vient de sortir en version 5 (surnommée "LuPu" ou "Lucid Puppy"). Pourquoi ce nom ? Parce que Puppy peut désormais être "construit" à partir des fichiers exécutables (binaires) d'autres distributions. En l'occurrence, PuppyLinux 5.0 a été construit à partir des packages d'Ubuntu 10.04 (Lucid Lynx) et peut même utiliser ses dépôts. Cette distribution Linux se contente de 128 Mo de mémoire vive pour fonctionner et peut être installée sur clé USB ou disque dur, ou démarrer directement sur CD.
    EDIT: Tant que j'y suis, je vous parle de ToutouLinux, une version francisée de PuppyLinux, et aussi d'ASRI éducation 2, une distribution basée sur ToutouLinux et remplie de logiciels et jeux éducatifs (GCompris, ChildsPlay, OmniTux, Abulédu, TuxPaint...). C'est encore plus complet que Quimo et fonctionnera sur des machines modestes (même avec juste 128 Mo de mémoire vive). Voilà une bonne idée pour recycler un vieux PC pour les enfants.

  • Vrac de vrac: Quand on se fait mettre en boîte par un geek, ça donne ça (seuls les geeks comprendront). ◆ Une petite illusion d'optique bien faite. ◆ Pour webmasters: Un outils en ligne bien pratique pour voir ce qui ralentit l'affichage de vos pages web (Merci Korben). ◆ Héritage: Les sources des fabuleux outils système sysinternals sont disparu depuis que ça a été récupéré par Microsoft. Heureusement, on en trouve encore une copie ici. ◆ Dans la série "Je m'endormirai moins bête ce soir", comment fonctionne un différentiel de voiture. Limpide.

Google: ∞+1

Mercredi 12 mai 2010

Google: Vers l'infini... et au delà !

Bon ok je sors...

La farandole des arnaqueurs

Mercredi 12 mai 2010

Depuis que j'ai mis en place la publicité sur mon site (en décembre dernier), j'ai vu apparaître des tas d'annonces louches que je me suis empressé de bloquer dans la configuration de Google AdSense.

Ils ne sont cependant pas tous à mettre dans le même panier:

  • J'ai bloqué les sites qui sont clairement des arnaques (argent facile, troyens, logiciels gratuits vendus par code AlloPass, sites de vente de crédits virtuels, etc.)
  • J'ai dû bloquer certains hébergeurs gratuits qui sont trop souvent utilisés pour héberger des sites foireux (dommage pour eux).
  • J'ai bloqué certains sites qui me semblaient louches ou pas nets, sans pour autant avoir de preuve formelle.
  • J'ai bloqué les sites avec lesquels je ne suis pas d'accord (sites plus ou moins religieux/sectaires, sites d'affiliation, etc.)

Notez que certains sites sont vicieux car certaines pages ne sont visibles que sur des sous-domaines particuliers (par exemple 2010-fr.com ne semble rien afficher ("Site not available. Please contact your hosting provider.") mais des choses apparaissent sur certains sous-domaines (http://vlcplayer.2010-fr.com/fr/).

Voici donc la liste complète des sites ou domaines qui ont essayé d'afficher leur pub sur mon site et que je bloque à l'heure actuelle. Des tas de noms d'oiseaux me viennent à l'esprit, mais je me retiens.

1f1.fr
2010-fr.com
24h00business.com
4990usd.com
4xp.com
adomiciletravail.googlepages.com
adwarealert.com
affilibot.eu
aformula.biz
antivirusgratuit.vg
argent-domicile.eu
argent-travail-domicile.fr
argent-vital.com
argentastuce.com
ascentive.com
augmentersesrevenus.pyclie.com
auto-webcash.com
avigora.com
avs4you.com
bababiz.com
badusoft.com
be2.fr
bidfun.fr
boostersonpc.com
carrefourinternet.com
cash-avalanches.com
cash-methodes.be
cash-professor.com
centerblog.net
chevaux8.free.fr
clicargent.com
club-positif.com
comment-gagner-argent-internet.fr
commentreussir.com
delargentrapide.canalblog.com
depanne-pc.com
depanne-pc.info
dofus-kamas.net
downloadsoftfr.com
durable.com
ebook-generation.com
ebooks-reussite.com
enigmasoftware.com
eorezo.com
explorer-2010.com
find2download.fr
fortuneacademie.com
fr.ask.com
fr.excite.eu
freecompressor.com
fullpackcodecs.com
fullpackvista.com
gagner-argent-domicile.be
gagner-argent.blog4ever.com
gagner-de-l-argent-facile.net
gagner-de-l-argent.org
gagner-du-temps.eu
gagner-facile.net
gagner-rapidemen.ifrance.com
gagner-rapidement.ifrance.com
gagnerargent.blog4ever.com
gagnerargentnet.canalblog.com
gains-complementaires.com
gameduell.fr
gogo20.cusi.fr
goldaa.com
gooofull.com
igvault.fr
imesh.com
imvux.com
institut-dulac.com
iogiciel.com
je-mange-et-je-maigris.com
jeboost.com
lecoindesinsiders.com
linkfixerplus.com
logi-secure.eu
marcosvonring.net
marcprado.com
mariavoyance.com
media-app.com
mediaplayer-codecpack.com
methode-cash.com
methodegagnante.com
moneywin24.biz
need4video.com
neo-bux.fr
new-windows7.com
offre-surprise.com
ogpal.com
opastri.com
pcpitstop.com
pdf-reader-creator.com
phytolabel.com
phytolabel.fr
planscools.fr
plusrichedemain.fr
pognonfacile.com
quad-anti-spyware.com
quad-cleaner.com
quegeek.com
registrybooster2010.fr
registryonwindows.com
registrywinner.com
reimage.com
repair-my-pc.info
repair-pc-errors.info
repare-internet-explorer.com
reparer-windowsvista.com
reparer-windowsxp.com
reparez-internet-explorer.com
reparez-windows-vista.com
reparez-windows-xp.com
reparez-windows.com
reparez-windows.info
rester-tranquile.com
reussiteaffiliation.com
scratch2cash.com
secret-internet.com
soft2pcfr.com
solutionsmillions.com
sondages-remuneres.net
spamfighter.com
spotmau.com
spybotsearch-full.info
spynomore.com
spywareremove.com
succesliberte.net
sybilledejanville.com
tele-charger.org
the0606.com
tldagence.com
top-registry-cleaner.net
tradesoeasy.eu
travail-d-equipe.com
travailchezsoi.onlc.fr
travailleur-a-domicile.com
tviexpress-france.com
uniblue.com
utorrent-net.info
virbanks.com
visicommedia.com
vistacodec-2010.com
vlc-full.info
vlc-mediaplayer-2010.com
vlc.vg
vos-revenus-sur-internet.com
votre-travail-a-domicile.com
winzip-full.net
wtselections.com

Je publierai de temps en temps des mises à jour de cette liste, histoire de faire de la mauvaise pub à ces abrutis. (Si vous voulez copier-coller cette liste dans votre liste de blocage, servez-vous ! Je vous en prie.)

Vu que Google et toutes les autres régies publicitaires sur internet n'en ont rien à foutre de virer ces arnaques de leurs réseau, j'aimerais que les webmasters fassent un peu plus attention à ce qui se passe dans leurs pages. Je ne compte plus les sites où ont voit des publicités pour Quad-cleaner ou Registry Doktor.

Il est de plus en plus difficile de trier l'ivraie du grain tellement ces arnaqueurs font d'efforts pour se donner une façade honnête (Il n'y a qu'à voir l'aspect très pro et clean des sites de quad-cleaner et registry doktor). Même les sites de téléchargement connus se font avoir et ajoutent des logiciels foireux à leur liste. Il faut être très vigilant.

En prime, ils écument les VPN étrangers ou les proxy ouverts pour faire une bonne publicité pour leur merde sur les forums, même francophones (je vous en avais parlé l'année dernière).

J'insiste, mais une fois de plus je ne vois pas vraiment d'autres solution pour les débusquer que des efforts d'évaluations collectives comme WOT. Si vous avez des idées alternatives, je suis preneur (Ne me suggérez pas SiteAdvisor de McAfee ou l'équivalent chez Norton, ils ne valent rien.)

En vrac

Mardi 11 mai 2010

  • Une démocratie qui censure n'est plus vraiment une démocratie. Illustration en Tunisie à l'approche des élections: Ça sabre internet à tour de bras. Je cite Le Monde: «On y trouve des sites de partage d'images ou de vidéo, comme Flickr ou Wat.tv. Mais aussi des blogs critiques et des sites de journaux, comme celui du Nouvel observateur. A l'approche des élections municipales, prévues le 9 mai, la liste des sites bloqués en Tunisie s'est allongée de manière spectaculaire.».

  • Sur les sites web sociaux à gros trafic, c'est le bordel complet question sécurité, aussi bien chez Facebook (encore et encore) que chez Twitter.

  • «J'ai pas besoin d'antivirus je ne vais que sur des sites de confiance.» Mais oui, mais oui, et quand un site officiel du gouvernement (comme le site national du Trésor américain) vous installe des saloperies, vous faites comment ?

  • Frank Frazetta est décédé. C'était un artiste peintre connu pour ses œuvres d'heroic-fantasy aux héros musculeux et femmes pulpeuses qu'on retrouvait sur les livres, jeux de rôles et pochettes de jeux pour ordinateur.

  • HADOPI commencera à menacer les internautes sous peu, malgré le fait que l'obligation de sécurisation ne soit pas tenable et que l'adresse IP ne soit pas un critère fiable. Les fournisseurs d'accès déposent un recours devant le conseil d'état. Le chemin d'HADOPI devient de plus en plus tortueux.

  • Mandriva est l'un des pionniers des distributions Linux faciles à utiliser. Cette société française est dans une situation critique et sur le point d'être vendue. C'est dommage car ils faisaient des choses formidables. Ubuntu leur aurait-il fait de l'ombre ?

  • Ikarios n'est plus. C'était une boutique en ligne française qui permettrait d'acheter à bon prix des CD/DVD Linux de diverses distributions et des goodies. C'était bigrement pratique quand on avait qu'un accès internet minable et l'impossibilité de télécharger/graver des CD. Dommage.

  • Dans la série "les éditeurs de jeu essaient de traire leurs clients jusqu'au bout", Electronic Arts, gros éditeurs de jeux vidéos, annonce tranquillement que si vous revendez ses jeux en occasion, le mode multijoueur ne marchera plus. Imaginez Thomson ou Philipps qui vous annonce que le magnétoscope que vous avez acheté ne pourra plus enregistrer si vous le revendez, c'est le même principe. Une seule chose à faire: Boycotter cet éditeur.

  • L'iPad d'Apple c'est peut-être chic, mais c'est une belle arnaque. Surtout quant on voit l'Archos Home Tablet à 149€.
    PS: On me dit dans l'oreillette que l'Archos est plus lent que l'iPad, qu'il n'a qu'une vielle version d'Android et qu'il n'a pas accès à l'Android Market.

  • Je vous l'avais déjà dit, Microsoft ne rend pas publique toutes les failles de sécurité découvertes dans ses produits (Ce qui ne les empêche pas de pondre régulièrement des rapports comparant le nombre de failles entre les produits Microsoft et opensource). Une société de sécurité s'est aperçue que les derniers patchs de Microsoft corrigeaient 3 failles de sécurité dont Microsoft n'avais pas informé ses clients. Microsoft a avoué les faits, mais a clairement annoncé vouloir continuer dans ce sens.

  • Dans la série "Oracle m'a tué", il y a maintenant des restrictions au téléchargement des firmware des machines Sun. C'est le début du crépuscule de Sun ?

  • Ca faisait longtemps que les lobbies luttaient pour pouvoir le faire: C'est une victoire pour les producteurs de films et séries aux USA, et une défaite pour les consommateurs car les producteurs et opérateurs ont maintenant la permission de bloquer la sortie analogique des boitiers vidéo (box) au choix programme par programme, pour empêcher les clients d'enregistrer. Bonne idée ! Comme ça les téléspectateurs auront comme premier réflexe d'aller chercher leurs séries préférées directement sur internet en piraté au lieu de les enregistrer chez eux. Au bout d'un moment, je pense même qu'ils se demanderont pourquoi ils continuent à payer leur connexion au câble puisqu'ils peuvent avoir leur série gratos sur internet et - là au moins ! - la regarder quand ils le veulent.

  • Face à la globalisation des menaces informatiques, les antivirus se sont adaptés et ont élargit leur champ de détection. A tel point que Malekal pense que les antispywares sont devenus inutiles. Même les antispywares payants arrivent - au mieux ! - au niveau des antivirus.

  • Après SplashTop, HyperSpace, Presto, xPUD et GoogleChromeOS, c'est au tour d'Ubuntu d'entrer sur le terrain des distributions Linux réduites qui démarrent vite avec Ubuntu Light qui démarre en 7 secondes sur un Dell SSD. C'est destiné aux fabricants d'ordinateurs et proposé comme système d'exploitation secondaire quand on veut surfer sans avoir à démarrer son système d'exploitation principal. L'avantage par rapport aux autres est qu'on peut installer des applications supplémentaires et même le mettre à jour vers un Ubuntu complet.

  • Et hop... encore un LiveDVD Linux avec plein de jeux préinstallés. Démarrez n'importe quel ordinateur sur le DVD et vous pouvez immédiatement jouer à Urban Terror, World of Padman, Tremulous, Glest, Frest on fire, Nexuiz, HedgeWars, Wesnoth, NeverBall, etc.

  • Visiblement, question performances, le système de fichier ext4 de Linux n'a pas à pâlir face au NTFS de Microsoft.

  • Le livre "Simple comme Ubuntu" vient de sortir pour Ubuntu 10.04. Vous pouvez acheter la version papier ou télécharger gratuitement la version PDF. Ce livre est excellent pour toute personne qui souhaiterait passer à Linux. Il sera d'une grande aide à ceux qui viennent de Windows.

  • Ryzom est un MMORPG (jeu de rôle en ligne) à la WOW (World Of Warcraft). Il est récemment passé en opensource, aussi bien pour le moteur de jeu, les outils de création que pour les assets (graphismes, musiques, bruitage...): 2 millions de lignes de code (en licence GNU Affero), 20000 textures et des milliers de modèles 3D (en licence CreativeCommons by-sa). Tous les internautes vont pouvoir créer leurs mondes virtuels. Sympa. C'est pour résister au rouleau-compresseur WOW ?
    Cela veut également dire que ces textures et modèles 3D pourront être réutilisés dans d'autres jeux opensource/libres.
    (Captures d'écran de Ryzom .).

  • Il paraît que la France est championne du monde du logiciel libre. C'est RedHat qui le dit. Ah bon ?

  • A côté des Big Brother Awards, il y a aussi le prix "Breaking Borders" pour la liberté d'expression, organisé par Google (?), Global Voices et Thomson Reuters.

  • Anti-microsoftisme Troll du jour: Internet Explorer 8: «Moi je suis PC, et je sais me défendre !». MOUAHAHAHA!! haha

  • Vrac du vrac: Encore un projet de photocomposition entre photos du présent et du passé. Sympa. ◆ C'est beau le progrès, surtout quand c'est pour protéger l'homme. Bon ça fait un peu peur quand même. ◆ Quand on touche du métal, ce n'est pas l'odeur du métal qu'on a alors sur les mains, mais celle des composés chimiques de notre peau qui ont réagit avec le fer et le cuivre. Je m'endormirai moins bête ce soir. ◆ Faire des graffitis urbains à l'aide d'un pistolet de paintball contrôlé par ordinateur, c'est possible. Et en plus c'est lavable. ◆ Du street art humouristique au Brésil. ◆ Encore un site avec de très jolies choses. ◆ Les différents concepts du jeu vidéo en idéogrammes.

Tous les antivirus Windows au tapis

Vendredi 07 mai 2010

OH MY GOD.

Des chercheurs en sécurité informatique sont parvenus à bidouiller un système qui permet de contourner les antivirus.

J'explique le principe (c'est un chouilla technique): Les antivirus détournent des fonctions du système d'exploitation pour vous "protéger": Chaque fois qu'un virus ou programme veut effectuer un appel à une fonction système (écriture disque, accès mémoire...), l'antivirus va l'intercepter et le vérifier. Si l'appel système est "correcte", l'antivirus le passe au système d'exploitation.

L'attaque KHOBE (Kernel HOok Bypassing Engine) utilise deux threads (disons, en quelques sorte deux programmes qui tournent en même temps). Le premier fait un appel système anodin (que l'antivirus laissera passer), et le second modifie les arguments de l'appel juste avant que l'antivirus le passe au système d'exploitation.

Et pouf... vous passez alors immédiatement au travers de la totalité des antivirus existants, c'est open-bar. Vous avez bien lu. Avast, AVG, AntiVir, DrWeb, McAfee, BitDefender, F-Secure, Kaspersky, Norton, Panda, Sophos, TrendMicro... aucun n'a résisté à leur attaque. J'en connais qui vont mouiller leur slip.


[TROLL categorie="velu"] Bon.. je vous laisse à vos machines Windows, j'ai des trucs à faire sous Linux, moi. [/TROLL]


PS: Tiens j'entends déjà les gugus habituels m'asséner leur «Ben tu vois un antivirus ça sert à rien.». Là j'avoue, je ne sais pas quoi leur répondre.


Mise à jour 11 mai 2010: Mikko Hyppönen, un chercheur en sécurité réputé qui travaille chez F-Secure minimise l'impact de KHOBE. Malgré l'immense respect que j'ai pour lui, je ne suis pas d'accord. Pour lui, ce n'est pas un problème puisqu'il suffit d'ajouter le malware aux signatures. Bien sûr qu'il sera détecté dans ce cas ! Mais tout le problème vient des malware non identifiés qui auront la possibilité, avec l'attaque KHOBE, de contourner les protections heuristiques. Et c'est là le cœur du problème: Je ne suis pas du tout certain que les autres couches de protection des AV suffisent à contrer ce genre d'attaque. L'autre argument de Mikko, c'est qu'on a pas encore vu de virus ou site malveillant utiliser ce genre d'attaque. C'est décevant: C'est le genre d'argument à la Microsoft pour ne pas corriger certaines failles. J'espère qu'il a raison et que les AV actuels ont de quoi mitiger cette attaque. Vraiment.


PS: En dehors de l'attaque KHOBE, on notera également le résultat du concours PWN2KILL s'attaquant à 15 antivirus du marché en utilisant différentes attaques (résultats ici en PDF). Aucun antivirus n'a résisté.


Copycats

Vendredi 07 mai 2010

Ça fait toujours drôle quand vous écrivez un article (ou deux) de le voir apparaître trois jours plus tard ré-écrit sur un autre site sans mentionner la source.

Ils semblent être abonnés à au flux RSS de Kioskea (qui est la version anglophone de CCM, mes articles y sont donc traduits en anglais et ). Certes ils ont complété avec des captures d'écran et explications plus détaillées, mais quand même.

Ils écrivent eux-même tous les articles de leur site ou ils ne font que repomper ré-écrire les articles des autres ?

Ou alors c'est juste une grosse coïncidence et je vois le mal partout ?


Mise à jour 19 mai 2010: Réponse: Je vois le mal partout. L'auteur de l'article de howtogeek.com est venu sur le forum de WOT clarifier la situation. C'est bien une pure coïncidence s'il a écrit son article 3 jours après la parution du mien.

Big Brother Awards: les nominés

Vendredi 07 mai 2010

Voici les nominés aux Big Brother Awards. Et on peut dire que cette année ils ont fait très fort. (Je vous laissez lire la liste sur le site, c'est assez impressionnant.)

Les gagnants seront annoncés le 12 mai et les prix remis le 29 mai. Mais comme d'habitude je présume que peu de gagnants viendront réceptionner leur prix.

Les Big Brother Awards fêtent cette année leur 10 ans d'existence, et l'amère constatation est qu'on ne peut pas dire que tout ait évolué dans le bon sens.

Extensions Firefox utiles

Vendredi 07 mai 2010

Rien à faire: Malgré l'excellence des navigateurs Opera et Chrome, je n'arrive toujours pas à décrocher de Firefox.
Voici mes extensions préférées (si ça peut aussi vous rendre service). Elles me rendent la vie bien plus facile sur le web.

  • AdBlock Plus: Indispensable, cette extension supprime totalement la publicité des pages web. C'est simple et radicale. J'ai réactivé sélectivement la publicité sur certains sites pour leur permettre de vivre. Voir cet article. C'est tellement simple que ça ne vaut pas le coup de s'en passer.




  • WOT: Web Of Trust, indispensable à mes yeux pour éviter les sites douteux (phishing, arnaques, sites malveillants...). Voir cet article.




  • ScrapBook, un outils formidablement efficace pour garder des copies de pages web ou de simples fragments de pages. Il peut également télécharger des sites entiers ou des groupes de pages. Je peux même annoter ou surligner des passages et consulter les articles hors connexion. On peut aussi exporter les pages récupérées. On peut également prendre des notes. C'est mon petit archiviste du web. Garder une copie d'une page ne prend que deux clics. Voir cet article.
    Installé dans PortableFirefox, je peux embarquer mes articles à lire sur clé USB.


  • ChromaTabs: C'est simple mais plus utile qu'il n'y paraît. Cette extension colore les onglets en se basant sur l'icône du site ou le nom de domaine. Cela permet de repérer d'un coup d'œil les onglets et de les retrouver plus rapidement.




  • Lazarus m'évite bien des frustrations: Il m'arrive de perdre un long article rédigé dans une page web à cause d'une session expirée, d'une faute de frappe (backspace ou un CTRL+W au lieu du CTRL+X), ou d'un oubli de clic sur le bouton "publier", ou d'un plantage du navigateur. Lazarus me permet de récupérer tout le texte que j'avais tapé, même si je n'avais pas validé le formulaire. Plus jamais je ne perdrai ce que je tape dans Firefox.


  • FlashBlock : Mon PC n'est pas une bête de course, et les pages web remplies de Flash ralentissent mon ordinateur à mort (Sans compter les publicité flashy et bruyantes). FlashBlock désactive tout Flash par défaut. Il me suffit de cliquer sur une zone flash pour la voir. Je peux aussi activer sélectivement Flash pour certains sites. Les sites web ont fini de m'imposer leurs trucs clignotants ou leurs vidéos qui démarrent automatiquement.




  • DownloadStatusbar me permet de suivre mes téléchargements sans subir la fenêtre de téléchargement de Firefox. Ça occupe peu de place à l'écran et je vois d'un coup d'œil où ça en est (avec affichage de l'avancement, débit et temps restant).




  • OptimizeGoogle me permet de customiser Google. Quelques exemples: Recherche en une seule page (plus besoin de passer aux pages 2,3,4...), anonymisation de mon cookie google quand je fais des recherches (tout en restant connecté à GMail), lien direct vers les images dans la recherche d'image, liens vers Wikipedia/archive.org dans les résultats de recherche, forçage en HTTPS des applications Google, etc. (Notez quand même que Google change beaucoup ses pages et certaines fonctionnalités de cette extension ne fonctionne pas).

D'autres extensions que j'utilise moins souvent, mais qui sont bien utiles également:

  • Video DownloadHelper: Quand je veux occasionnellement récupérer une vidéo de YouTube (ou autres sites), un clic me suffit pour récupérer la vidéo dans sa qualité maximale disponible.




  • FireShot ou Shooter pour faire une capture d'écran d'une page web, même si elle dépasse de l'écran.


  • FireGPG pour chiffrer mes emails dans GMail avec GPG.
    Mise à jour 8 juin 2010: Le projet FireGPG s'arrête. Dommage.


  • FlagFox me permet d'obtenir des informations sur les serveurs sur lesquels je suis (localisation géographique, propriétaire du domaine, autres sites hébergé sur la même IP...). Petite surprise: Allez sur http://impots.gouv.fr et regardez dans quel pays est situé le serveur.




  • TamperData me permet de voir toutes les requêtes HTTP envoyées par le navigateur, y compris les requêtes envoyées par les applets Flash ou les applications Ajax/XmlHttpRequest. Pratique pour voir où vont se balader les applications web et mettre son nez dedans.


  • WebDeveloper est excellent pour examiner le contenu et la structure des pages web. Vous pouvez bien sûr aussi utiliser l'excellent FireBug si vous avez des besoins un peu plus poussés.

Si vous deviez n'en prendre que deux, choisissez AdBlockPlus et WOT.

N'oubliez pas que plus vous avez d'extensions installées, plus Firefox sera lent. Pensez à désactiver les extensions que vous utilisez rarement, votre navigateur ne s'en portera que mieux.



Mise à jour 26 mai 2010: J'ajoute BetterPrivacy qui permet de supprimer les cookies Flash (merci à Richard C. et Jocelyn H.).


Mise à jour 19 août 2010: J'ajoute CertWatch et CertPatrol pour contrôler les certificats SSL.

Une petite victoire pour le logiciel libre

Jeudi 06 mai 2010

Vous vous souvenez d'Acacia ? C'est une boîte de patent-trolls, c'est à dire une entreprise qui ne produit rien mais passe son temps à acheter des brevets très vagues et généraux et s'en sert pour attaquer d'autres entreprises. D'abord ils ont prétendu détenir des brevets couvrant le MPEG2 et MPEG4 et ont commencé à attaquer de petits poissons: Des sites porno diffusant des vidéos dans ces formats.

Ensuite ils ont sorti de leur chapeau un brevet très vague sur la diffusion vidéo numérique (en gros, tout le streaming) et ont commencé à attaquer Disney, CNN et autres. Puis c'était au tour des portails captifs sur les points d'accès WiFi publiques (le principe d'afficher une page d'accueil pour les utilisateurs non identifiés).



Plus récemment, ils ont attaqué RedHat et Novell (éditeurs de distributions Linux) sur le principe des bureaux virtuels et d'accès graphique distant.

Les bureaux virtuels, ça fait quand même plus de 20 ans que ça existe. Remarquez ce ne sont pas les premiers à essayer de s'approprier ce concept, puisque Microsoft avait aussi déposé un brevet similaire (et pourtant Windows 7 n'a toujours pas de bureaux virtuels, meh).

Malgré la diatribe d'Acacia (assimilant le principe de l'opensource à du vol et le qualifiant d'antiaméricain - non non je ne blague pas), le jury ne s'est pas laissé abuser, grâce aux explications limpides de Michael Tiemann, membre de l'OSI (Open Source Initiative) (Il se trouve être également vice-président des affaires opensource chez RedHat, participe à Gnome et il est co-auteur du compilateur GNU C++).

Non seulement Acacia a été débouté, mais en prime leurs 3 brevets ont été invalidés. C'est une bonne chose: Cela montre que les patent-trolls ne sont plus forcément en odeur de sainteté, et qu'il est possible de faire comprendre le principe du logiciel libre à des personnes qui n'ont pas la moindre notion d'informatique.



Ceci dit, Acacia se porte bien: En décembre 2009, leurs revenus sur les 12 mois passés étaient de 67,3 millions de dollars. Fin mars 2010, ils montaient à 90,2 millions de dollars. Et il ne cessent d'attaquer. Parfois ça marche: Ils ont déjà réussi à faire raquer un certain nombre d'entreprises, et pas des moindres: Microsoft, D-Link, Siemens, Oracle, Yahoo, NetGear, General Electric, IBM, BMW...

Les brevets d'Acacia couvrent un peu tout: Protection contre la fraude des cartes bancaires, bases de données, compilateurs, archivage d'images, monitoring médicale, affichage de données sur une carte, affichage de publicité dans le chat, portail perso customisable (à la iGoogle/NetVibes), stockage réseau (SAN), middleware, chiffrement, crawlers HTTP, virtualisation de serveurs... Je pense qu'ils ont de quoi faire chier toute l'industrie informatique pendant des années.



Remarquez, étant des brevets logiciels, ces brevets n'avaient de toute manière aucune validité en Europe et dans la majorité des pays. Ceci étant dit, je me demande toujours pourquoi l'EPO (Bureau européen des brevets) continue à toucher du fric pour faire déposer des brevets logiciels alors même que le principe n'est pas légale en Europe. Peut-être en prévision d'un changement de loi ?

Purée le jour où les brevets logiciels seront valables en Europe, les entreprises européennes vont manger grave. Et pas que celles qui sont spécialisées dans l'informatique, je vous le dis (après tout Acacia a bien attaqué une boutique en ligne qui vend des nounours).