pt
Moulé à la louche depuis 1999
Les trucs qui m'énervent... et je vais pas prendre de pincettes
Internet, informatique, logiciel libre, économie, politique, vie courante et tout le reste...

Les certificats SSL sont cassés

Mardi 30 decembre 2008

SSL est formidable. Il permet de sécuriser les communications sur internet (par exemple, c'est le mode sécurisé HTTPS dans votre navigateur).

Mais n'importe qui peut monter un site en SSL. Comment s'assurer que le site avec lequel vous êtes en train de dialoguer est bien celui de votre banque ? Avec un certificat. C'est une sorte de carte d'identité du site. Et pour s'assurer de l'authenticité de cette "carte d'identité", elle est signée cryptographiquement (c'est à dire mathématiquement) par une autorité de certification (CA , Certificate Authority) qui vérifie les identités.

N'importe qui peut créer un certificat imitant les informations d'une banque, mais il ne pourra pas le faire signer par une CA. Et votre navigateur affichera alors un message d'avertissement.


Les certificats et les autorités de certification, c'est bien. C'est un peu comme si n'importe qui avait le moyen de vérifier que n'importe quelle pièce d'identité a vraiment été émise par l'administration. Et ce n'est pas falsifiable. En théorie.


Mais il y a deux problèmes.

Le premier, c'est que certains CA ont des procédures de vérification d'identité qui peuvent être abusées. Un spécialiste en sécurité est parvenu à obtenir un certificats signé par la fondation Mozilla. Il aurait pu l'utiliser pour se faire passer pour la fondation Mozilla, ou tout site signé par Mozilla.

Le second, c'est qu'il semble qu'en exploitant une faille de la méthode de calcul MD5 (qui sert à signer des documents électroniques), des hackers sont parvenus à créer une CA bidon de toutes pièces, signée par une autre CA (officielle, celle-là), ce qui leur permet de créer des certificats SSL de toutes pièces pour des tas d'autres sites, et qui ne lèvent aucune erreur dans les navigateurs.
Ils se sont attaqués à des certificats signés en MD5, mais sachant qu'on a également trouvé des collisions dans l'autre algo généralement utilisé (sha-1), on peut craindre le pire.

Pour donner une idée, c'est comme si vous étiez capable de créer de fausses cartes d'identité, et que n'importe quel agent de police vérifiant votre carte serait certain qu'elle est authentique. Gloups.


DNS, BGP, TCP, certificats... internet sent le pourri.

Certain CA (comme VeriSign) se sont débarassés des certificats utilisant MD5 depuis un mois. D'autres, comme Thawte, refusent d'emblée depuis longtemps d'utiliser MD5. Il restait déjà peu de CA utilisant MD5, et le nombre devrait se réduire rapidement.


PS: Ah j'oubliais: Le CCC a cassé la protection du DECT avec une carte pour PC à 23€. "DECT" ne vous dit rien ? J'explique: Téléphones sans fil, terminaux de carte bancaire sans fil, etc. Chouette.

Un développeur français de Freenet abandonne

Lundi 29 decembre 2008

Un des développeurs français qui travaille sur Freenet a décidé d'abandonner le projet à cause des risques encourus suite aux lois française anti-P2P. Il souhaite que tous ses accès (svn, shell, email) lui soient supprimés.

Bravo, cher gouvernement, avec ça non seulement vous n'allez pas aider les artistes, mais vous allez mettre du plomb dans l'aile des développeurs français, pourtant assez bien côté internationalement.

Générosité en période de fêtes

Dimanche 21 decembre 2008

Tous les ans, 6 millions d'enfants de moins de 5 ans meurent de faim ou de maladies liées à la faim.

En cette période de beuveries et d'orgies à base de foie gras, l'assemblée générale des Nations Unies a adopté une nouvelle résolution proposée par leur conseil des Droits de l'Homme: Le droit à la nourriture. Texte adopté à 180 voix contre 1.

Celle des États-Unis.


Et pour ajouter au tableau, il semble que juste avant la fin de son mandat, Bush ait donné son aval à une loi qui autoriserait le gouvernement à prélever l'ADN de tout nouveau né, le ficher et même l'utiliser à des fin d'expérimentation. Joyeux Noël !

Roger Hodgson

Samedi 20 decembre 2008

Je viens de voir à la télé, dans l'émission Taratata, Roger Hodgson, le chanteur de Supertramp. Il a chanté 5 ou 6 chansons phares du groupe. C'est vraiment incroyable: 30 ans après, il a toujours la même voix, toujours la même joie de vivre, le même éclat intérieur. Avec un clavier ou une guitare, il est parfait. Parfait dans sa simplicité.

On a chacun nos sensibilités, mais il y a des Artistes - comme lui - qui continueront à marquer quand les fournées de StarAc' auront disparu des esprits.

Je pense aux Pink Floyd (Wish you were here), à Roger Glover (Love is all) et tant d'autres. Je garde également quelques autres perles - certes moins médiatisées - mais aussi précieuses (Judie Tzuke (Enjoy the ride), Elizabeth Fraser (Song to the siren), Jeff Buckley (Everybody here wants you - épargnez-moi Hallelujah) et plein d'autres).

Et grâce à internet, je peux (re)découvrir ces artistes. Et leur vie grâce à Wikipedia. Merci.

Sécurité: les librairies posent aussi problème

Vendredi 19 decembre 2008

Je suis tombé sur un article qui soulève un point de sécurité intéressant.

Une librairie (ou bibliothèque), en informatique, est un petit bout de programme utilisé par d'autres programmes. Des exemples ?

  • La librairie zlib est utilisé par de nombreux programmes pour compresser/décompresser les données (Firefox, zip, Acrobat Reader, Gimp, Java, Microsoft Office, etc.)
  • La librairie libpng permet aux programmes de lire et écrire facilement les fichiers PNG, sans avoir à programmer eux-mêmes cette fonctionnalité.
  • Ou encore, la librairie OpenSSL est utilisée pour sécuriser les communications (HTTPS dans Firefox et IE, ssh, etc.).

En général ces bouts de programme sont installés au niveau du système d'exploitation et partagés entre tous les programmes: Par exemple un programme qui a besoin de lire un fichier PNG utilisera la librairie libpng fournie par le système d'exploitation.

Or bien souvent, les logiciels propriétaires - au lieu d'utiliser la librairie du système - vont inclure une copie du code de cette librairie directement dans leur programme. Ils ne font alors plus appel à la librairie du système. Pourquoi ? Peut-être pour ne pas être dépendant de la version installée dans le système. Plus probablement pour masquer le fait qu'ils utilisent une librairie opensource (vous saviez que zlib est massivement utilisée sous Windows ?). Cela a 2 conséquences.

La première, c'est un gaspillage de place: Au lieu que la librairie soit chargée une seule fois en mémoire et utilisée par plusieurs programmes, chaque programme a sa propre copie. La consommation mémoire est donc augmentée.

La seconde est plus grave: Les librairies ont parfois des failles de sécurité. Par exemple, il y a déjà eu des failles dans libpng: En lui donnant un fichier PNG spécialement malformé, on pouvait la faire planter, et donc faire planter tous les logiciels qui l'utilisent, conduisant à des failles de sécurité. Quand une faille est découverte dans une librairie, il suffit de mettre cette librairie à jour au niveau du système, et cela corrige la faille dans tous les logiciels utilisant cette librairie. C'est le cas majoritaire dans le monde du logiciel libre


Même avec la librairie zlib du système à jour, vous n'êtes pas à l'abris
d'un programme qui utiliserait sa propre copie d'une ancienne version.


Mais un programme qui utilise sa propre copie de la librairie ne profitera pas de cette mise à jour, et continuera à utiliser son ancienne copie de la librairie contenant la faille de sécurité.

N'ayant pas les sources (logiciels à sources fermés), il est quasi impossible de détecter les failles dans ces logiciels, encore moins de les mettre à jour. Vous dépendez alors de l'efficacité et du suivi de l'éditeur de chaque logiciel.

Sachant qu'une librairie peut utiliser une autre librairie qui peut utiliser une autre librairie... le niveau d'imbrication peut être important, et le développeur d'un logiciel peut ignorer qu'il est en train d'utiliser une vieille librairie.

Combien de logiciels présents sur votre ordinateur incluent de vieux bouts de librairies bugués ? Impossible à évaluer. C'est aussi un des avantages de l'opensource: On détecte plus rapidement l'utilisation de librairies dangereuses, puisque le code source indique directement les noms des librairies utilisées.
(Notez qu'il est possible de faire ce genre d'inclusion aussi dans des logiciels opensource, même si ce n'est pas la pratique la plus répandue.)

Petit jeu: Recherchez tous les fichiers de C:\Program Files contenant le mot "Gailly" (nom de l'auteur de zlib). Vous verrez, c'est instructif. Rien que pour Acrobat Reader 7, j'en compte 5 copies.

Des Dieux, je vous dis

Jeudi 18 decembre 2008

Je continue à rencontrer des tas de gens sur internet qui ne comprennent pas mon acharnement à protéger ma vie privée, et mon râlage constant contre le fichage. Leur principal argument est « Si tu n'as rien à te reprocher, où est le problème ? »

Le problème ? Le problème est que ces internautes partent du principe que le pouvoir et les individus qui opèrent ces fichiers sont des Dieux:

  1. Ils ne font jamais d'erreurs
  2. Ils sont bienveillants
  3. Ils frapperont les "méchants" et uniquement eux.

C'est terriblement naïf.

Bienveillant, le pouvoir ? Comme partout ailleurs, il y a des individus malveillants, ou qui font des erreurs. Et même sans malveillance, l'enfer est pavé de bonnes intentions. Et ce genre de problème se reproduira forcément avec les fichiers. Donc ces fichiers posent bien plus de dangers qu'ils ne règlent de problèmes.

Mise à jour 20 décembre 2008: Tiens justement, un exemple: Ce policier qui utilise les fichiers pour faire du chantage. Chouette.

Et PAF le CSA !

Mercredi 17 decembre 2008

Et PAF ! On avait réussi à l'éviter jusque là, mais j'étais certain qu'ils ne pourraient pas s'en empêcher: Le CSA veut fliquer internet.

Oh dans un premier temps juste pour protéger les petits nenfants des vilaines publicités qui pourraient « nuire à l’épanouissement physique, mental ou moral des mineurs. »
Ah.

Faut être naïf pour croire qu'ils vont s'arrêter là. La protection de l'enfance, tout comme le terroriste, est le bon prétexte au flicage et à la censure. La dérive est facile. Vous verrez, ils ne vont pas s'arrêter là.

PS: Pour ceux qui se poseraient des questions, j'ai deux jeunes enfants. Et non, je refuse que le CSA ou l'État choisisse à ma place ce qu'ont le droit de voir mes fils. Le CSA a son rôle à la télévision (mentions "interdit aux moins de ...", par exemple), mais qu'il ne commence pas à imposer à moi et ma famille un filtrage d'internet. Tout comme je n'accepterais pas que le CSA choisisse quels articles d'une encyclopédie j'ai le droit de consulter, comme ils le font dans certains pays.


Mise à jour 21 janvier 2009: Le Sénat rejette la possibilité d'un contrôle d'internet par le CSA.

Failles en pagaille

Mercredi 17 decembre 2008

Décidément, au niveau sécurité des navigateurs, on peut se faire du soucis en ce moment.

Une nouvelle faille de sécurité critique a été découverte dans Internet Explorer 6 et 7 permettant de prendre le contrôle à distance de la machine. Il suffit pour cela que la victime affiche juste une page web. Même pas besoin de télécharger le moindre fichier. Et même si vous avez installé tous les patchs de sécurité de Microsoft.
(Quel est l'abruti, déjà, qui me disait qu'il n'a pas besoin d'antivirus parcequ'"il ne télécharge pas n'importe quoi".)

Ce n'est pas la première faille de ce genre dans IE (rappellez-vous le virus Nimda qui avait même infecté le site de l'éditeur d'antivirus VCatch), et d'autres navigateurs ont également eu des failles similaires.

Non, ce qui me pose problème, ce n'est pas le nombre de failles, mais la vitesse à laquelle elles sont corrigées.
Cette faille d'internet explorer a été découverte le 10 décembre 2008. TOP CHRONO ! Combien de temps mettra Microsoft pour corriger ? (Je parle de corriger dans WindowsUpdate, car la correction manuelle est abomifreuse pour l'utilisateur standard).

Quand je paie presque 100€ pour un OS, je m'attend à un minimum de réactivité de la part de l'éditeur. On verra.


A côté de ça Opera me décoit également: En 2006 ils avaient un seul jour de vulnérabilité, mais là en 2008 le score semble nettement moins bon: Multiples failles critiques découvertes le 18 nov. et corrigées le 16 déc. (sortie d'Opera 9.63). Soit 28 jours pour corriger. C'est décevant de la part d'Opera qui nous ont habitué à mieux (genre correction en 24 heures).

Côté Safari et Chrome, il y a toujours des failles critiques qui ne sont pas corrigées à l'heure actuelle, alors que ces mêmes failles le sont dans IE, Firefox et Opera. Ils ont un train de retard.

Qu'est-ce qui reste ? Firefox, une fois de plus.


Mise à jour 21h51: Bon il faut croire que j'étais mauvaise langue sur ce coup là, ou alors Microsoft a fait des efforts exceptionnels: Le patch pour corriger la faille est censé être dispo dans WindowsUpdate dès maintenant (à vérifier). (cf. le site de Microsoft). Çela fait donc 7 jours pour corriger, ce qui est assez exceptionnel (d'habitude Microsoft attend le prochain cycle de mises à jour, donc environ 1 mois... quand ce n'est pas plusieurs mois pour corriger comme cela l'a été pour certaines failles).

Anti-Microsoftisme du jour

Mardi 16 decembre 2008

Bah c'est pas vraiment anti-Microsoft, en fait. Encore que...

Microsoft pédale dans la semoule dans les pays en voie de développement parceque Windows et Office sont bien trop chers, surtout face aux logiciels libres (Linux, OpenOffice.org...). Microsoft se mord les lèvres d'avoir sorti un monstre comme Vista, trop lourd pour tourner sur les Netbooks bon marché qui se vendent actuellement comme des petits pains. Sans compter tous les grands constructeurs et distributeurs (Dell, HP, Surcouf, Auchan et autres) qui commercialisent maintenant des PC avec Linux (ce qui leur permet de baisser les prix).

Microsoft craint aussi de perdre du terrain dans le monde de l'éducation, et à juste titre: Ils ont certes passé un accord cadre avec l'Education Nationale (française, je précise), mais l'AFUL a fait de même.

Du coup, comment garder la place ? Microsoft a trouvé: Cela fait déjà la troisième lettre envoyée aux professeurs.
Nominative.
Reçue directement dans leur casier.
Leur offrant de télécharger gratuitement Microsoft Office.

Un petit cadeau. Juste avant Noël, comme c'est mignon. Peut-être qu'assorti d'une boîte de chocolats... hein ? Non, oubliez, j'ai rien dit.

Heureusement, certains sont clairvoyants et lancent de très bonnes initiatives, mais je doute que ça soit suffisant. Déjà à cause de l'énorme inertie dûe aux habitudes Windows, mais surtout face à l'incompréhension totale face au logiciel libre. Comment voulez-vous expliquer qu'on puisse avoir un équivalent de Windows+Office totalement gratuit ? La tâche est ardue, et pas seulement pour expliquer la gratuité (qui n'est qu'un des aspects du logiciel libre), mais la philosophie qui va avec.

Et c'est ce qui est délicat à présenter: Philosophie... idéologie ?... on en arrive vite au fanatisme, voir à la religion, et c'est un écueil qu'il faut à tout prix éviter. Au boulot !... mais en douceur et avec doigté.

Le logiciel libre prend aussi des volées de plombs ces derniers temps, mais c'est normal: Quand on est plus exposé, on est exposé à tout, y compris la critique. C'est même tout juste si critiquer le logiciel libre ne serait pas tendance, comme Planète Beranger qui - après avoir copieusement et longuement tapé sur Ubuntu (malgré la pub pour LinuxMint (dérivée d'Ubuntu) sur sa page web) - claque la porte du monde Linux pour revenir à Windows XP.

Franchement, pourquoi s'énerver ? :-D

Râlage du jour

Mardi 16 decembre 2008

D'après un rapport récent du fabriquant de matériel réseau Cisco, le pourriel représente actuellement 9 emails sur 10, et ceci principalement grâce aux PC d'internautes qui sont piratés à leur insue et crachent du spam à longueur de journée.

Bravo à tous les abrutis qui ne sécurisent pas leur ordinateur, refusent d'installer les mises à jour de sécurité et un antivirus sous prétexte "qu'ils ne téléchargent pas n'importe quoi".


A la réflexion, j'aime bien de mot "pourriel", pareque ça reflète bien le caractère pourri de ces emails. Ils méritent bien leur nom.

Bigleux

Mardi 16 decembre 2008

Ça me fait toujours halluciner.

Tu m'étonne que le phishing ça marche.

Oui je sais c'est pas charitable de se moquer, surtout en période de Noël, mais là franchement, avouez, hein !

Linux sort peu à peu de son ghetto

Vendredi 12 decembre 2008

Des PC sous Ubuntu chez Auchan, un article pleine page dans Libération, une dépêche à l'AFP... Linux serait-il en train de sortir petit à petit de son ghetto ?

Enfin pas d'affollement, je ne m'attend pas à ce que Linux soit adopté par le grand public du jour au lendemain. Et même si ça arrive, ça ne sera probablement que dans des proportions marginales (grâce à la formidable machine marketting de Microsoft).

On trouve quand même des supermarchés qui affichent clairement la possibilité de se faire rembourser le prix de Windows, quand ce ne sont pas les constructeurs d'ordinateurs eux-mêmes qui font de moins en moins de manières pour rembourser les logiciels pré-installés.

Tout cela va dans le bon sens. Lentement, mais sûrement.

Un cadeau de 25 milliards pour ne pas avoir su d'adapter au marché

Mardi 09 decembre 2008

Il n'y a pas à dire: Les fabricants asiatiques d'automobiles font de gros efforts pour concurrencer les fabricants nationaux, que ce soit en France ou aux Etats-Unis. Aux USA, justement, les 3 "grands" (Ford, GeneralMotors et Chrysler) sont en difficulté.

L'état vient donc à leur rescousse avec un plan de 25 milliards de dollars. Qui seront pris dans la poche du contribuable. Et ça passe comme une lettre à la poste, forcément, puisque c'est une goutte d'eau à côté des 700 milliards débloqués pour la crise actuelle.

D'où cette fausse publicité, très pertinente:


(Source)

Traduction (approximative):

« Vous n'avez pas voulu acheter nos voitures de merde - On prendra votre argent quand même.
Le sauvetage. En janvier prochain.

Vous pensiez sans doute qu'il était intelligent d'acheter des voitures étrangères importées de qualité supérieure, qui consomment moins et se revendent mieux. Peut-être même avez-vous imaginé que nos pertes de parts de marché nous auraient forcé à revoir nos méthodes, la conception de nos véhicules avec l'amélioration de la qualité à l'esprit.
Mais vous avez oublié une chose: Les montagnes de fric qu'on a dépensé en lobbying. Vous en êtes pour 25 milliards de dollars, plus le coût de votre Subaru.
Peut-être que la prochaine fois vous achèterez américain comme de vrais hommes. Quoi qu'il en soit, on est cools.

GM, Chrysler, Ford
Nous sommes les 3 grands. Nous n'avons pas besoin d'être compétitifs.
»

La claque.

C'est justifié ? Je ne sais pas, mais 25 milliards c'est quand même énorme.

(Quelques informations complémentaires (en anglais) dans cette page.)

:-) Les progrès de la 3D

Lundi 08 decembre 2008

Je suis admiratif des progrès faits en matière de qualité des graphismes sur ordinateur.

J'ai commencé sur un Apple II, où la 3D se limitait à l'affichage "fil-de-fer":

Jeu Stellar 7 sur Apple II, 1980:

Et petit à petit, la qualité graphique s'est améliorée.

Wolfenstein 3D sur PC, 1992:


Doom sur PC, 1993:


Half-Life sur PC, 1998:

De nos jours, c'est plutôt ça:

Alarm for Cobra 11 sur PC, 2008:

Oui, c'est bien une image du jeu. Si on y jette qu'un coup d'oeil rapide, on pourrait la confondre avec une photo. Mais de petits détails trahissent l'origine artificielle de l'image.

Certes il faut des machines bien équipées pour faire tourner tout ça, mais le chemin parcouru est impressionnant. Et je pense que d'ici 1 à 3 ans, on aura une qualité d'image difficile à distinguer de la réalité.


Mise à jour 10 février 2009: Encore quelques exemples de jeux à venir ici et . Tout en gardant à l'esprit que ces vidéos viennent du jeu en temps réel, pas de cinématiques pré-enregistrées. Impressionnant.

Un jeu en ligne mieux sécurisé que le site de votre banque

Lundi 08 decembre 2008

World of Warcraft est un jeu vraiment très populaire, avec des millions de joueurs. Tellement d'ailleurs, que les affaires de piratage de comptes sont légion.

L'éditeur du jeu - Blizzard - propose pour 6,5 dollars (environ 5 €) un "token", c'est à dire un petit boitier qui affiche des numéros qui changent régulièrement. Vous entrez ces numéros en plus de votre mot de passe pour vous connecter. Même si quelqu'un vous vole votre mot de passe, il ne pourra pas se connecter puisque qu'il ne saura pas prédire les numéros affichés par le boitier.

Ainsi, même en présence d'un keylogger, vous n'avez aucun risque de vous faire voler votre compte. Plutôt bien, non ? D'ailleurs beaucoup d'entreprises utilisent ce genre de boitier pour sécuriser certains accès à leur réseau.

Si l'éditeur d'un jeu peut proposer ça à 5€, pourquoi est-ce que toutes les banques ne le font pas ?
Votre compte bancaire est-il moins important qu'un jeu vidéo en ligne ?

Je suis atterré par le peu d'effort de la majorité des banques. Même l'initiative 3DSecure est une débacle: 80% des banques se contentent de votre date de naissance pour vous authentifier. C'est minable.

Les fournisseurs d'accès de Grande-Bretagne censurent silencieusement internet

Dimanche 07 decembre 2008

L'affaire aurait pu passer inaperçue. Certains internautes de Grande-Bretagne qui participent à Wikipedia ne parviennent pas à éditer certaines pages.

En grattant un peu, il semble que chaque fois qu'ils accèdent à Wikipedia, leur adresse IP apparaît différente, ce qui est la marque d'un proxy transparent. Donc leur fournisseur d'accès détourne leur traffic web silencieusement. Ce proxy transparent semble renvoyer de fausses pages d'erreur (404). Pourquoi ? Parce que les FAI de Grande-Bretagne ont l'obligation de filtrer les sites de pédopornographie.

Comment Wikipedia s'est-il retrouvé dans cette catégorie ? Probablement à cause de la pochette d'un album du groupe Scorpions, Virgin Killer (probablement NSFW).

Le site web de la fondation responsable de cette liste permet de rapporter un site illégale, mais pas d'en consulter la liste ni de contester un classement. Ce n'est tout simplement pas prévu. C'est vraiment un problème:

  • La censure est discrète et silencieuse. Ce n'est pas digne d'une démocratie.
  • Des sites sont incorrectement bloqués.
  • Il est impossible de contester

C'est l'arbitraire à l'œuvre. L'enfer est pavé de bonnes intentions, dit-on, et on a pas fini de voir d'autres dommages collatéraux dûs au filtrage d'internet. Filtrage ou censure, d'ailleurs: La limite est de plus en plus floue.

Mise à jour 9 décembre 2008: En fait il semble que le filtrage avec cette liste soit au libre choix des FAI, mais la plupart d'entre eux choisissent d'y adhérer.

Mise à jour 10 décembre 2008: La fondation a retiré Wikipedia de sa liste noire, mais ne change rien à ses procédures.

Mise à jour 14 janvier 2009: On vient de trouver d'autres sites bloqués par cette fondation. Entre autres, Wayback machine (http://web.archive.org/) qui archive 13 ans d'historique du web. Quelle que soit le site archivé consulté (BBC ou autre), c'est une page de 404 (not found) qui est retournée. Brillant.

Le jeu le mieux protégé est le plus piraté

Samedi 06 decembre 2008

Le jeu Spore a déjà fait parler de lui: Possédant l'une des protections anti-piratage les plus poussées existante, il a déjà attiré les foudres des joueurs qui l'ont acheté.

Malgré cette débacle, on aurait pu croire que l'éditeur Electronic Arts serait dans ses petits souliers question lutte contre le piratage: Même pas. Spore est de loin le jeu le plus piraté de l'année 2008, devant les Sims 2 et Assassin's Creed.
Alors qu'il n'est sorti qu'en septembre !

Protection anti-copie ===> zéro effet sur le piratage du jeu.
Quand ceux qui achètent honnêtement sont plus emmerdés que ceux qui piratent, il y a comme un problème. Il leur faudra combien de temps pour comprendre ?

J'avais acheté Half-Life, Half-Life:Opposing Force, Half-Life:Counter-Strike, Half-Life:BlueShift. Si si, je vous jure, j'ai acheté ces jeux. Et j'ai adoré.
Mais je n'ai pas acheté Half-Life 2 par crainte qu'il décide de ne plus marcher un jour à cause de sa protection.

Et je n'achète plus le moindre jeu. Je n'ai pas envie de dépenser 40€ pour un truc qui a de fortes chances de ne pas fonctionner du tout, ou qui va me carroter le système sans me demander mon avis.

Mises à jour sous Windows: C'est pire qu'on pensait

Jeudi 04 decembre 2008

Je vous avais déjà parlé du problème des mises à jour sous Windows.

Les utilisateurs de Windows n'installent pas tous leurs mises à jour malgré WindowsUpdate qui mâche le travail. Mais WindowsUpdate lui-même ne règle pas tout, puisqu'il ne met à jour que Windows, et pas les logiciels installés. Donc, par exemple, utiliser une ancienne version de Flash peut vous exposer au piratage de votre ordinateur. Il n'y a pas de solution simple pour le moment, à part des logiciels comme Secunia PSI (gratuit, ça tombe bien). Ce logiciel va détecter les logiciels qui ne sont pas à jour.

D'ailleurs l'éditeur du logiciel en question publie des statistiques récentes: Moins de 2% des PC sous Windows ont les correctifs de sécurité installés. Et tout correctif oublié est potentiellement une porte d'entrée pour les pirates et virus. Selon les logiciels, visionner un simple fichier PDF, JPEG ou une animation Flash peut conduire au piratage ou à l'infection de l'ordinateur.

C'est une raison de plus pour me conforter dans l'idée que sécuriser ou déverminer des machines sous Windows est une gigantesque perte de temps.

Je suis content d'être sous Linux, où la mise à jour de la quasi-totalité des logiciels est prise en charge par le système. Oui appellez-moi troll si vous voulez.

Les systèmes d'activation à distance sont un danger

Jeudi 04 decembre 2008

Vous m'entendez souvent pester contre ces saloperies de systèmes d'activation à distance, genre Microsoft WGA. Pourquoi ? Parceque ça vous met à la merci du vendeur. Et pas seulement du vendeur: Des cafouillages du vendeur.

Exemple éclatant: SonicWall est une solution de sécurité pour entreprises (firewall/antivirus/antispam...). Leurs serveurs d'activation sont tombés en rade. Le résultat ? Pas de firewall, de détection d'intrusion ni d'antivirus pendant plusieurs heures pour tous les clients.

Bravo ! Magnifique.

Voilà ce que c'est de dépendre de systèmes d'activation à la con.

Il existe pourtant des tas de solutions de sécurité moins risquées, comme Untangle. Moins risquées parceque ne dépendant pas de serveurs extérieurs pour fonctionner.

Arrêté, insulté, menotté, enfermé... pour quoi ?

Mercredi 03 decembre 2008

L'ex-PDG de Libé a été arrêté de manière musclée à son domicile, insulté devant ses enfants, menotté, enfermé, déshabillé et interrogé.

Il a dealé de la drogue ? Attaqué une banque ? Assassiné quelqu'un ?
Pas du tout. Il y a juste un internaute qui a déposé sur son blog un commentaire diffamant envers le PDG de Free.

Oui, moi aussi ça me fait peur.

Fric et pouvoir

Mercredi 03 decembre 2008

Quand vous êtes président de la République et que vous voulez faire une loi pour favoriser vos petits copains (les actionnaires de la culture), mais que cette loi est contraire aux directives européennes, vous faites quoi ?

Vous profitez de votre status de présidence annuelle de l'Europe pour sabrer l'amendement qui vous gêne, bien sûr !


Sarkozy a donc sabré l'amendement 138 du "paquet télécom" (ensemble de directives européennes concernant les télécommunications). Cette amendement interdisait la coupure arbitraire de connexion internet sur demande des industriels de la culture.

Notre ministre française de la "culture-au-profit-des-actionnaires" pourra donc mettre en oeuvre tranquillement son plan. Les actionnaires de la culture pourront faire couper la connexion internet de n'importe qui sur simple demande.

Je suis vraiment dégouté, mais très moyennement surpris. Après tout, on a le président qu'on a voté, hein ?