Ah là là... ces abrutis qui continuent à refuser d'installer des antivirus parce que "Je ne télécharge pas !" ou "Je ne vais que sur des sites de confiance.". Faut vraiment être complètement à la ramasse sur la sécurité informatique actuelle pour sortir de telles âneries.

Je ne télécharge pas

Commençons par le "Je ne télécharge pas". Vous ne téléchargez pas, mais quand vous affichez une page web, votre navigateur, lui, télécharge des tonnes de choses.

Et si vous avez une ancienne version du plugin Flash ou PDF, c'est l'infection directe de l'ordinateur. Il n'y a rien à télécharger: Il suffit d'afficher une page web dans votre navigateur pour être infecté.

Cas concret: Faille CVE-2009-1862 du plugin Flash.

Et comme les internautes ne savent pas 1) qu'il faut mettre à jour le plugin Flash 2) comment faire, ça laisse encore pas mal de possibilités d'infection (Allez sur cette page pour mettre votre plugin Flash à jour).

Je ne vais que sur des sites de confiance

Les sites de confiance peuvent infecter les ordinateurs. Il y avait l'exemple éclatant de cet éditeur d'antivirus (VCatch) dont le site web avait été infecté par le virus Nimda.

Cas concret récent: Ces dizaines de milliers de sites connus diffusant des publicités infectées, à cause d'une faille chez les régies publicitaires DoubleClick (Google), RightMedia (Yahoo) et FastClick (ValueClick).

Combinez ça avec une faille récente (Flash, PDF, Windows...) et voilà des tonnes de PC infectés jusqu'à l'OS, bien qu'ils n'aient «rien téléchargé» et seulement visité «des sites de confiance». Pas besoin d'antivirus mon cul.

( 11 octobre 2009: Et paf ! Encore une faille dans Acrobat PDF Reader qui sert déjà à infecter des PC.)

HaXΘЯ m@mi€

Je suis déjà tombé sur un gars qui disait que les antivirus ça sert à rien, c'est de la merde et que ça donne une fausse impression de sécurité. Il faisait tourner les programmes dans une machine virtuelle, sniffait le réseau avec Wireshark et faisait du reverse-engineering sur les programmes, et clamait ainsi haut et fort qu'il n'avait pas besoin d'antivirus. Ouais, super.

C'est sûr que le décodage des trames TCP, ça va plaire à Mamie.

Il faut garder un peu d'esprit pratique: Éduquer les utilisateurs est indispensable, oui, mais dans la pratique ça a ses limites (temps, énergie, complexité technique, volonté des internautes). Ces logiciels de sécurité ne sont pas souhaitables, mais ils restent nécessaires. Certes un antivirus, ce n'est pas l'idéal et ça n'assure pas une sécurité à 100%, mais c'est un garde-fou raisonnable, surtout pour des personnes qui ne sont pas pointues techniquement. Il faut aussi penser à elles.

Je continue à recommander un antivirus (AntiVir ou Avast), un antispyware (Malwarebytes ou Spybot), WOT et un firewall.

L'antivirus gratuit de Microsoft

Tiens, justement: Microsoft distribue Microsoft Security Essentials, un pack antivirus+firewall+backup gratuit pour tous les utilisateurs de Windows XP, Vista et 7. Là où on rigole moins, c'est en lisant la licence lors de l'installation. D'abord, en l'installant, vous acceptez l'activation WGA (validation de Windows) ainsi que l'activation des mises à jour automatiques. Bon, soit. Après, ça part en sucette: On vous remet une couche de DRM et on vous force à avaler Silverlight.

Ah et puis, il vous est interdit de parler de ce logiciel ou d'en dire du mal sans l'accord de Microsoft:

Dommage. D'autant plus que Microsoft se met à la mode Web-Of-Trust pour le contrôle des programmes avec SpyNet, c'est à dire la possibilité de rapporter en temps réel - par les utilisateurs eux-même - les comportements anormaux des programmes. Ces informations sont alors automatiquement répercutées chez tous les utilisateurs. Le principe est très intéressant. Dommage que les conditions d'utilisation soient ce qu'elles sont.

Des fois, on tombe sur des informations qu'on a peine à croire. J'ignorais totalement que depuis 15 ans les États-Unis refusent l'entrée sur leur sol des séropositifs. Je suis littéralement sur le cul.

La lutte contre la pédophilie prend des allures de chasse aux sorcières hystérique. On en arrive à un point où:

1. Des lois détruisent la vie d'enfants qu'elles étaient justement censées protéger.
2. Même quand tout est parfaitement dans les clous de la loi, l'hystérie collective prend le relai pour détruire également des vies, souvent celle des parents.

En Europe, on a eu le procès d'Outreau, qui a déjà permis de prendre un certain recule sur les actions trop promptes. Ailleurs, c'est une autre histoire.

On notera ces histoires d'ados dont la vie est brisée pour avoir eu des relations sexuelles consenties avec d'autres ados de leur âge, mais toujours quelques mois trop tôt ou trop tard, parfois même quelques jours. Quelques jours qui suffisent pour classer toute sa vie un ado comme agresseur sexuel.

A côté des enfants, ce sont aussi les parents qui trinquent, comme cette famille brisée, accusée de pédopornographie pour avoir pris innocemment des photos de leurs filles dans leur bain. Ou ce père presque agressé par la foule pour avoir pris des photos de ses propres enfants sur un tobogan dans un parc public.

Que nous est-il arrivé ? Pourquoi l'innocence de ces photos de famille est-elle devenue aux yeux de la société une monstruosité ?

J'ai deux enfants (bientôt trois). Je veux les protéger, mais pas à ce prix là. Pas au prix de vies et familles brisées. Cette hystérie collective ne protègera pas mes enfants.

Mise à jour 10 novembre 2009: De mieux en mieux: En Grande-Bretagne, à Watford, les parents ne peuvent même plus accompagner leurs propres enfants à l'aire de jeu, sauf s'ils prouvent qu'ils ne sont pas pédophiles. Le but ? "interdire tout contact rapproché entre enfants et adultes non fichés". C'est donc vers ça qu'on s'oriente ? Présumé coupables tant qu'on est pas fichés ?

Je n'ai jamais vraiment été fan du site Zataz, mais là ce qui leur arrive est révoltant.

Résumé conçis: Zataz découvre une faille de sécurité chez une société de vente de produits cosmétiques, leur signale, elle les remercie... puis les attaque en justice ! Je comprend que le responsable du site en ait plein le cul.

Zataz va donc peut-être fermer. C'est lamentable.

Mise à jour 25 septembre 2009: Zataz a reçu des soutiens qui vont lui permettre de continuer.

Vous vous souvenez de Portal, le jeu que j'avais évoqué ? C'est un jeu de réflexion en 3D particulièrement tordu. Une image vidéo valant mieux qu'un long discours, je vous laisse regarder l'explication du principe du jeu.

De par sa nature même, je n'aurais jamais pensé qu'il serait possible d'en faire une version 2 dimensions. Pourtant un programmeur l'a fait ! En prime, avec de beaux graphismes carrés en ASCII comme au bon vieux temps des jeux en mode texte: C'est ASCIIpOrtal.

C'est un de ces délicieux moments de low-tech que j'aime. Le jeu fonctionne très bien, et il est tout aussi tordu que l'original. En prime, il est fourni avec le code source, 50 niveaux et les instructions pour en créer vous-même.

C'est sûr que quand on est né avec les processeurs graphiques 3D, ça paraît extrêmement moche, mais le jeu est passionnant. Vous allez griller des neurones à essayer de comprendre comment résoudre les niveaux. Excellent.

Histoire de rigoler, je vous ai mis la vidéo d'un niveau d'ASCIIPortal que j'ai créé moi-même.

PS: Pour ceux qui ne supportent pas l'ASCII, il y a un jeu similaire en Flash (bien que moins fidèle à l'esprit du jeu original).

Certes Linux a aussi ses défauts, mais parfois le fonctionnement interne de Windows me laisse franchement perplexe:

Comment Windows peut-il réussir à me fragmenter un fichier de 1 kilo-octet en 16 morceaux ? Qui plus est, sur un volume NTFS, alors qu'en principe tout fichier de moins de 4 ko est stocké directement dans la MFT.

'comprend pas.

Y'a pas à dire, HADOPI en inspire certains.

Une étude faite dans le cadre de la mission «Création et internet» propose rien de moins que taxer les moteurs de recherche.

Mais oui, bien sûr et pourquoi pas aussi une taxe sur les serviettes hygiéniques pour financer les artistes ?

La stupidité de cette loi et de ceux qui la poussent ne cessera jamais de me surprendre.

C'est moche.

Bien sûr il y a encore le Conseil Constitutionnel, ainsi que les problématiques de mise en décrets, mais ils ont vraiment l'intention de nous empuantir avec ça jusqu'au bout.

Liberté, Égalité, Fraternité. J'ai un peu honte du résultat: un mouchard gouvernemental sur les ordinateurs. Oh bien sûr, pas obligatoire. Mais vu ce que vous risquez si vous ne l'installez pas. J'arrête là, sinon je vais très rapidement atteindre le point Godwin.

Je vous avait déjà parlé des possibilités économiques du logiciel libre.

Je comprends parfaitement que le concept du logiciel libre en lui-même soit difficile à appréhender. Mais je n'avais pas réalisé à quel point il pouvait faire peur (je ne vous en voudrai pas si vous n'avez pas le courage de lire toute la discussion).

Extraits de la discussion (en vrac):

• Le logiciel libre (LL) va asphyxier l'informatique professionnelle (plus de vente de licences → plus de R&D → plus de compétitivité)
• Le LL est néfaste à l'économie (!?)
• LL contre logiciel propriétaire: "une bidouille utilisées par 3 clampins dans fond de garage vs une technologie déployable sans heurt sur des millions de machines" (!)
• Le LL "c'est un truc pour profiter de mon savoir gratuitement"
• Le LL ? "limites, les dangers et autres dérives, et voir l'inutilité du concept dans la majorité des cas, à part pour l'activisme politique"
• "le modèle économique en question a toujours pas fait la preuve de sa viabilité"
• "si le business model c'est de fourguer du support j'appelle pas ça un business model viable"
• Le LL c'est "le nivellement par le bas des sources de revenus et des profits"
• "Le libre c'est aussi le risque de passer par les développeurs indiens et chinois payés 100$/mois"
• "toutes les boites qui ont basées toute leur stratégies sur le libre ont plus ou moins disparues ou sont mal en point"
• "Le libre dans sa forme actuelle [...] combat la propriété intellectuelle qui ne peut donc plus etre monneyable"
• Le LL va impacter les informaticiens (baisse de la recherche, de l'employabilité, des conditions de travail, du potentiel de formation continuelle, des salaires, des avantages, de la diversité technologique, de la concurrence, de l'émulation...)
• Le LL, c'est l'"anarchie".
• "les réflexes d'un autre age comme cela du genre "si c'est pas un truc physique ça peut etre gratuit et partagé par tous", va bien falloir que ça s'arrete"
• "Le libre ... ou comment se passer de 10aines de milliards de dollards de revenus pour notre industrie que le monde aurait payer sans meme poser de question" (là au moins on sait que tout ce qui les intéresse, c'est que le client crache au bassinet.)

Je suis abasourdi.

J'ai bien conscience que le logiciel libre n'est pas le Saint-Graal qui va tous nous sauver (hé, je bosse en grande partie sur du logiciel propriétaire), mais quand même, cette conception du libre est assez ahurissante chez des "professionnels" de l'informatique, surtout en 2009.

Pourtant logiciel libre ne veut pas dire forcément gratuit. La preuve ? 2,1 milliards d'euros dépensés en logiciel libre en 2009, rien qu'en France. Et encore, le logiciel libre ne représente qu'une petite fraction des dépenses informatique des entreprises.

Quant à ceux qui contribuent au logiciel libre, si on prend - par exemple - Linux lui-même, on voit que les plus gros contributeurs sont IBM, Oracle, Novell, RedHat, Sun, Intel, SGI, Nokia, Fujistu, HP, Google, AMD... bref, on est loin des 3 clampins dans un garage. Même Apple (avec ses machines propriétaires et ses systèmes logiciels fermés) paie des développeurs pour améliorer CUPS, le système d'impression de Linux (dont elle bénéficie en retour dans son système MacOSX).

Qui a dit "pas viable", économiquement, le logiciel libre ?

En tous cas, il y a encore un long long chemin à parcourir avant que le logiciel libre soit enfin compris et cesse de faire peur. Je ne parle même pas d'adoption.

L'ordinateur est quelque chose de formidablement compliqué. Tout concourt à nous présenter une vue simplifié (parfois simpliste) de cette machinerie. C'est un bien, mais c'est aussi un mal car cela mène à beaucoup d'erreurs de jugement et de mauvaises interprétations. En fait, c'est même une source de mythes et légendes informatiques, et donc de problèmes pour l'utilisateur.

Exemple classique

Prenons un exemple classique: La (dé)fragmentation des fichiers.

Prenons un disque, avec les secteurs les uns à la suite des autres (représentés par une grille avec des cases de gauche à droite, puis de haut en bas). Il contient 3 fichiers qui sont fragmentés (répartis à différents endroits du disque). En principe, ce n'est pas optimal puisque cela oblige la tête du disque dur à se déplacer pour aller lire les différents bouts de fichiers, ce qui est long.

Maintenant nous allons "défragmenter" ces fichiers, mais avec 2 méthodes différentes:

Méthode A : On place tous les fichiers au début du disque.

Méthode B: On défragmente juste les fichiers.

A mon avis, vous pouvez faire un sondage: 90% des utilisateurs seront persuadés que la méthode A est meilleure. Logique, non ? Puisque tous les fichiers sont bien rangés au début du disque.

Méthode A: Le fichier vert est fragmenté.

Méthode B: Le fichier vert n'est pas fragmenté.

Si vous avez défragmenté avec la méthode A, le seul moyen d'ajouter des données au fichier vert est de le faire là où il y a de place, c'est à dire après le fichier bleu. Vos fichiers se retrouvent donc à nouveau fragmentés à la moindre écriture. Alors qu'avec la méthode B, aucun problème: Les fichiers ne se sont pas fragmentés.

Sans compter que si vous défragmentez toujours avec la méthode A, l'opération de défragmentation oblige à faire beaucoup de déplacements de fichiers (pour combler les vides): La défragmentation est donc toujours beaucoup plus longue qu'avec la méthode B, et elle use plus le disque dur.

La solution optimale n'est pas intuitive, et les utilisateurs auront fait le mauvais choix.

Autre exemple

Nous avons deux fichiers sur le disque. D'après vous, de quelle distance la tête de lecture du disque va-t-elle devoir se déplacer pour aller lire les deux fichiers ?

Réponse instinctive ? Elle va devoir parcourir environ la moitié du du disque, ce n'est donc pas optimale. Que feraient la plupart des utilisateurs ? Ils défragmenteraient leur disque avec la méthode A, pour tout mettre au début du disque.

Sauf que... votre disque n'est pas une simple suite de blocs. C'est un empilement de plateaux. Chaque plateau contient un ensemble de secteurs. Si ça se trouve, la tête de lecture n'aurait même pas besoin de bouger pour aller lire les deux fichiers !

Il est tout à fait possible que les fichiers rouges et bleus soient sur des secteurs identiques (ou proches) sur des plateaux différents. Et donc le déplacement de la tête de lecture est minimal.

Mais une fois de plus, ce n'est pas intuitif et les utilisateurs auront vite fait de faire le mauvais choix, et de tout mettre en début de disque (méthode A).

Il n'y a pas de réponse unique et toujours optimale

Rien que pour la (dé)fragmentation, il y a une myriades de paramètres de ce genre qui viennent rendre la réponse complexe (répartition de la taille des fichiers, activité du disque, taux lecture/écriture, taux de remplissage du disque, système de fichier utilisé, initiatives du système d'exploitation, relocation automatique des blocs par l'électronique du disque dur...). Il n'y a pas de réponse unique et toujours optimale.

En croyant faire des choix pointus (ce que proposent souvent les logiciels de défragmentation), on arrive vite à faire de mauvais choix, au mieux inutiles, au pire qui vont agraver la situation.

Dans ce cas, une solution: Rester simple. Faire une simple défragmentation des fichiers sera dans la majorité des cas le meilleur choix (méthode B). On peut faire cela avec le logiciel gratuit Defraggler.

Pourtant, on voit encore des tas d'utilisateurs dépenser une énergie folle à trifouiller les paramètres de logiciels comme OODefrag, alors que dans la pratique le gain apporté par ces logiciels est négligeable (Sauf cas particuliers, bien sûr, comme un serveur vidéo manipulant des fichiers de plusieurs giga-octets.)

Ailleurs

Ce genre de problématique se retrouve un peu partout, et le comportement apparent du système mène à de nombreuse mauvaises interprétations (comme cette légende du vidage du dossier préfecth pour accélérer Windows, ou encore le fait que Vista semble copier les fichiers moins vite que Windows XP). On retrouve également beaucoup le phénomène en cryptographie (d'où la difficulté d'expliquer pourquoi les algorithmes de chiffrement doivent être publiques et connus, comment et pourquoi le hashage cryptographique fonctionne, etc.)

J'ai cessé de gaspiller mon énergie à essayer convaincre les utilisateurs de leurs erreurs. Je donne les clés, les informations, à eux de les utiliser (ou non). Sinon je perdrais ma santé mentale (Il suffit de voir certains discussions sur Clubic).

Vous vous souvenez de ce journaliste condamné à 3 ans de prison pour avoir jeté ses chaussures à la tête de Bush ?

Il a finalement été libéré et écrit une lettre.

Le terme qu'il utilise, c'est "occupation".

Je vous avais parlé des tests d'antivirus qui portaient sur des antivirus parfaitement à jour, à qui on a fait scanner un ensemble de fichiers. Les résultats montraient que les antivirus gratuits s'en sortent parfois mieux que les payants, et que globalement ils ont des taux de détection très proches.

AV-Comparatives a complété son test de février par un nouveau test (mai 2009), cette fois-ci d'une manière différente: Les mises à jour des antivirus ont été bloquées (signatures du 9 février) et les antivirus ont été soumis à des virus récents. Ce test - dit "pro-actif" - sert à voir comment les antivirus s'en sortent pour bloquer des virus qu'ils ne connaissent pas, ce qui est important pour couvrir la période entre l'apparition du virus et son ajout dans les bases de signatures.

Et là le classement devient très différent:

A noter que ce test comporte peu de virus (1926 sur les 22685 échantillons), mais beaucoup de chevaux de Troie.

Je suis agréablement surpris du score d'Antivir, et très surpris de celui de Microsoft OneCare, alors qu'il faut une bonne expérience dans ce domaine pour faire une détection heuristique efficace, et que Microsoft est plutôt nouveau sur le marché des antivirus. Dommage que OneCare fasse un aussi mauvais score sur les mises à jour des signatures (87% seulement). Je suis déçu des scores de McAfee, Norton/Symantec et F-Secure.

Evaluer les antivirus reste délicat, et AV-Comparatives conseillent eux-même de ne pas trop prendre ces chiffres au pieds de la lettre (désolé du mauvais jeu de mots :).
Ils ont ensuite baissé la note des antivirus qui ont trop de fausses alertes, à savoir: AntiVir, G-Data, BitDefender, eScan, AVG, Avast et TrustPort. Ce qui donne au final:

• 3 étoiles: Microsoft OneCare, NOD32, Kaspersky.
• 2 étoiles: Antivir, G-Data, BitDefender, eScan, Sophos, Symantec, McAfee.
• 1 étoile: AVG, TrustPort, Avast, F-Secure.
• Aucune étoile : Norman, Kingsoft.

Bien sûr ce "classement" serait à rapprocher du test de février. Et encore ! Une fois de plus, ces tests n'indiquent pas à quelle vitesse les éditeurs intègrent les signatures des nouveaux virus, ni l'efficacité du blocage ou des désinfections.

La conclusion d'AV-Comparatives ? Assez curieusement, que ces antivirus sont tous très bons (alors pouquoi faire un classement en donnant des étoiles ? Enfin bref...)

Si on croise avec le test de février, les antivirus ayant eu 3 étoiles au test de février (détection avec signatures) et au test de mai (test pro-actif décrit ci-dessus) sont Kaspersky et NOD32, deux antivirus payants. Notez qu'il ne faudrait pas grand chose à Microsoft pour faire entrer OneCare dans cette catégorie.

Et les antivirus gratuits ?

Ils s'en sortent bien (mieux que certains payants), avec Antivir qui semble être sur le haut du pavé (avec 2 et 2 étoiles), suivi par Avast (2 et 1 étoiles) puis AVG (1 et 1 étoile). Je m'incline donc face à ceux qui prônent Antivir à la place d'Avast: il est légèrement meilleur. J'ai bien dit légèrement :-)

PS: Merci à Trying2 pour m'avoir fait la piqure de rappel sur la sortie du rapport d'AV-Comparatives.

Non je vous assure, je n'en veux pas à Microsoft. En fait, ils m'indiffèrent désormais, globalement. Mais là quand on tend une telle perche, il ne faut pas s'étonner que certains la saisissent. Désolé je vais encore taper sur Microsoft.

Donc Microsoft veut "inventer le journal de demain". Rien que ça.

Ils ont de gros moyens, des gens compétents, ils ont donc dû y réfléchir sérieusement. Voilà ce qui en ressort: « Microsoft propose alors une page personnalisable composée de plusieurs modules intéractifs présentant différents types de médias de manière contextuelle. Ces éléments sont retournés via des flus RSS (textes, photos, videos) provenant de différentes sources. »

En gros, un écran surchargé de boites, chacune montrant des infos à scroller: vidéos, image, infos...

NetVibes ? iGoogle ? Microsoft imagine vraiment le journal de demain avec un concept de 2005 ?
(Et après je vais encore me faire incendier par les pro-Microsoft.)

On peut également lire:

« un système de contenu premium »

« du contenu provenant des partenaires »

« PlayReady, pour protéger les droits d'utilisation de ce contenu »

Donc du contenu payant, du contenu sponsorisé, le tout bardé de DRM et tournant uniquement avec Silverlight. Mmmm.... ça donne vraiment envie.

Remarquez, le titre du PDF lève tous les doutes: "Monetizing digital content" (Comment faire du fric avec les contenus numériques).

Désirs d'avenir ?

Et flûte. Depuis quelques temps, un homonyme (SEBsauvage, notez les majuscules) envoie des tonnes de vidéos piratés sur les réseau de P2P (principalement des séries télé). (Googlez juste "sebsauvage+torrent"). Je ne peux pas dire que ça me réjouisse.

C'est le genre de chose que je n'aime pas, mais je ne peux pas non plus lui reprocher d'utiliser ses nom et prénom comme pseudo.

C'est juste que... c'est chiant.

PS: C'est là où les signatures électroniques prennent tout leur sens. Je rêve d'un web où les sites web et navigateurs intègreraient les signatures OpenPGP, aussi bien pour les contenus créés par les internautes que pour les pages web. Vous auriez la possibilité de vous assurer de manière absolument certaine qu'un message ou un fichier provient bien d'un internaute. Et cela de manière automatique (votre navigateur pourrait distinguer à l'affichage les messages authentifiés et ceux qui ne le sont pas.) Cela empêcherait même les webmasters de modifier les messages des internautes sans que ça se voit.

Vous vous souvenez que Microsoft avait assuré que Windows XP bénéficierait des correctifs de sécurité jusqu'en 2014 ?

Finalement, ça ne sera peut-être pas le cas: Une faille dans la pile TCP/IP de Windows a été découverte (dans Windows 2000, XP, Vista et Windows Server 2003/2008). Microsoft bien publié les correctifs pour Vista et Windows Server 200x, mais n'en fera pas pour XP (ni pour 2000, d'ailleurs).

Certes sous XP la faille ne permet pas un piratage à distance du système (seulement un plantage), mais le fait que Microsoft décide de ne pas corriger XP est assez décevant.

Cela semble marquer le début d'un abandon progressif de Windows XP, qui va - à l'image des versions précédentes de Windows - devenir de plus en plus dangereux à utiliser à mesure que s'accumuleront les failles non corrigées.

Demain c'est mardi, c'est HADOPI.

Mise à jour 15 septembre 2009: Et hop... voilà le résultat.

Le plugin Flash est un petit programme qui permet d'afficher des animations de bonne qualité dans les navigateurs. C'est aussi une source intarissable de problèmes de sécurité.

Comme les utilisateurs ne savent pas le mettre à jour (pour éviter ces problèmes de sécurité), et que Microsoft n'en a rien à battre (WindowsUpdate ne met à jour que les logiciels Microsoft), on se retrouve avec des internautes infectés simplement en affichant une page web. C'est assez lamentable.

La fondation Mozilla a décidé de réagir: Firefox vous affichera désormais un gros message d'avertissement si vous utilisez une version dangereuse de Flash. Ce n'est pas l'idéal, mais c'est déjà bien, vraiment bien. Cela montre que Mozilla a à cœur la sécurité de ses utilisateurs.

Quand Microsoft va-t-il se bouger le cul ? Ou Adobe, d'ailleurs, puisque ce sont eux les auteurs du logiciel. On en revient toujours au problème des mises à jour sous Windows.

Côté Linux, ce n'est pas vraiment un problème: Le système d'exploitation s'est chargé lui-même de me mettre à jour le plugin Flash. Oui je sais, je suis gros troll velu.

Mise à jour 18 septembre 2009: D'après les premières statistiques, c'est 10 millions de versions dangereuses de Flash qui auraient été mises à jour grâce à Firefox. Pas mal !

La sécurité sur les sites web est toujours problématique. L'un des plus gros soucis est l'utilisation des mots de passe. C'est souvent le maillon faible:

• Le mot de passe est souvent trop court, trop simple à deviner (batman, 1234, charles67...).
• Beaucoup de personnes utilisent le même mot de passe pour tous les sites.
• La "question secrète" pour récupérer son mot de passe est trop souvent mal choisie, et la réponse trop facile à deviner (cf. l'affaire avec le nom du chien de Paris Hilton).

Ma première recommandation serait de choisir - quand c'est possible - une question secrète qui n'a absolument aucun sens, avec une réponse du même genre. C'est à dire pas quelque chose qu'on pourrait savoir de vous (nom de l'animal de compagnie, nom de jeune fille de votre mère, etc.)

Ensuite, le choix du mot de passe. Là il y a une astuce qui permet d'avoir un mot de passe long, difficile à deviner et différent pour chaque site. Voici le truc:

Etape 1 : Choisir un bon invariant

Tout d'abord, choisissez et mémorisez une phrase, par exemple «Ma Grand Mère Mange Les Pissenlits Par La Racine.». Si la phrase est assez originale, vous la retiendrez facilement.

Prenez ensuite la première lettre de chaque mot, et ajoutez quelques chiffres et symboles: mgmmlpplr568**. Voilà déjà un bon mot de passe.

Etape 2 : Combiner avec le nom de domaine du site

Ensuite, il faut le rendre unique pour chaque site: Utilisez des lettres du nom de domaine et ajoutez-les à ce mot de passe. Par exemple:

• korben.info → kni → knimgmmlpplr568**
• commentcamarche.net → cen → cenmgmmlpplr568**
• zdnet.com → ztc → ztcmgmmlpplr568**

Ce n'est qu'un exemple ! Libre à vous de choisir comment combiner le nom de domaine au mot de passe. L'important est de mémoriser la manière dont vous les combinez.

Résultat

Et vous voilà avec un excellent mot de passe:

• Il ne correspond pas à un mot du dictionnaire (donc cela élimine les attaques par dictionnaire et par RainbowTables)
• Il est long (ce qui rend les attaques par force brute infaisables)
• Il est différent pour chaque site (ce qui réduit les risques de piratages inter-sites)
• Il est facile à retrouver: Vous n'avez pas besoin de mémoriser le mot de passe de chaque site car vous êtes capable de le retrouver.

Enfin, un mot d'avertissement: Ne laissez jamais un logiciel mémoriser vos mots de passe. Ni votre navigateur (Firefox) ni un autre logiciel (KeePass, etc.). Ces logiciels stockent les mots de passe sur disque dur, et il est donc toujours plus ou moins possible de vous les voler.

En plus, en laissant ces logiciels entrer le mot de passe à votre place, vous ne retiendrez pas vos mots de passe et vous risquez de ne plus pouvoir accéder aux sites web le jour où il y a un problème avec le logiciel.

Pour terminer, je vous recommande de configurer votre navigateur pour qu'il supprime automatiquement tous les cookies à la fermeture du logiciel. Cela évite de laisser sur disque des cookies de session qui permettraient d'accéder à vos comptes, même sans connaître le mot de passe. (Firefox a une option pour purger les cookies à la fermeture.)

PS: Comme me le fait remarquer un internaute (merci Nicolas), on peut très bien utiliser la phrase elle-même comme mot de passe. J'y mettrais juste un petit bémol: Cela implique de se souvenir exactement de la phrase, à la ponctuation, espaces, minuscules/majuscules et accents près. Ça peut donc être un peu délicat. Ratez une virgule, et vous ne pouvez plus vous connecter.

PS 2: Un autre internaute (Jérôme) me signale sa méthode: Prendre mot de passe-nom de domaine, et hasher le tout en MD5 (avec des outils en ligne comme celui ci ou celui là). Par exemple, on calcul le MD5 de "toto-sebsauvage.net" et on ne garde que les 10 premiers caractères de la MD5, ce qui donne quelquechose du genre "53e6fd11df". Pas mal non plus, comme idée !

Je n'ai jamais été un fervent adepte des applications en ligne: Je préfère très largement un bon OpenOffice.org installé sur mon ordinateur plutôt qu'un GoogleDocs quelque part sur le web. Je n'ai jamais pu non plus trouver une application web de traitement d'image qui arrive à la cheville de Gimp. Certains vont complètement dans le sens inverse et utilisent 99% d'applications Web.

Mais du point de vue de celui qui créé les applications ? Qu'est-ce qui est plus intéressant ?

Le développeur du logiciel Bingo Card Creator a fait le pas: En plus de son application traditionnelle (à télécharger et installer), il a développé une version Web. Elle a tellement dépassé ses espérances qu'il a décidé d'abandonner le développement d'applications "hors-ligne".

J'ai beau préférer les applications installées plutôt que sur le web, je dois dire qu'il a de très bons arguments.

1. Le développement de la version "web" de son application a été rapide. Très rapide. 2 mois pour la version en ligne. Alors que le développement de la version hors-ligne a pris 3 ans. Et le tout pour des fonctionnalités identiques (Ce qui ne sera pas forcément le cas de toutes les applications web, bien sûr).
   
   
2. Pour un utilisateur, évaluer un "shareware" est lourd: Trouver un site de téléchargement, évaluer l'intérêt du logiciel, télécharger, installer, éventuellement télécharger une JRE (machine virtuelle Java) ou des DLL manquantes, éventuellement redémarrer l'ordinateur, retrouver l'icône de lancement, tester, revenir éventuellement sur le site web, trouver le site de l'auteur, payer... Cela fait beaucoup d'étapes, et chaque étape peut faire échouer la vente.
   Alors qu'avec une application web: Le test est immédiat (en ligne). L'achat peut être fait dans la foulée (puisque l'internaute est encore sur le site).
   Le résultat ? Pratiquement deux fois plus de ventes de sa version web que de la version hors-ligne.
   
   
3. Le support utilisateur est moins coûteux pour la version web: 5 fois moins de problèmes remontés par les utilisateurs de la version web.
   Avant, les problèmes les plus courants étaient: problèmes d'installation, numéro de série perdu, bugs des anciennes versions qui ont déjà été corrigés (car les sites de téléchargement continuent de proposer les anciennes versions en téléchargement).
   Avec l'application web, les utilisateurs n'ont aucun problème d'installation, et utilisent toujours la toute dernière version du logiciel.
   
   
4. D'après vous, combien de générateurs de numéros de série ou de versions piratées de l'application web circulent sur les réseaux P2P ? Zéro, bien sûr: La version en ligne n'est pas téléchargeable. Problème de piratage réglé.
   Woao... c'est beaucoup plus efficace que toutes les mesures anti-copie débiles pondues par les éditeurs de jeux, n'est-ce pas ? Et l'utilisateur qui a honnêtement payé ne sera pas emmerdé par ces systèmes anti-copie.
   
   
5. Il peut avoir des statistiques très précises sur l'utilisation de la moindre fonctionnalité de son logiciel, et peut donc immédiatement améliorer les parties qui en ont le plus besoin. Ce qui est totalement infaisable avec un logiciel traditionnel sans se retrouver immédiatement dans la catégorie "spyware".
   Comme dit l'auteur, cela maximise sa possibilité d'offrir aux utilisateurs ce qu'ils veulent. Et dans la pratique il a pu mettre en œuvre des fonctionnalités que les utilisateurs voulaient mais qu'il avait ignorées pendant des années faute de retours sur l'utilisation de son logiciel.
   
   
6. Avec un logiciel traditionnel, il faut des semaines pour sortir une nouvelle version, entre le développement, la compilation, l'envoi aux sites de téléchargement, le mailing aux utilisateurs, le temps que les utilisateurs téléchargent et installent la nouvelle version... Même des mois après, cette nouvelle version n'aura touché que la moitié des utilisateurs (Il y en aura toujours qui utilisent d'anciennes versions). Un cycle plus long veut aussi dire moins d'innovations.
   Avec la webapp, problème réglé: Tous les utilisateurs utilisent systématiquement la version la plus récente.
   Et quand il modifie son logiciel, il peut avoir un retour immédiat des utilisateurs. Une modification ne prend plus des mois à arriver à l'utilisateur, mais quelques minutes.
   
   

En tout cela, il a parfaitement raison. Pour le développeur professionnel, c'est Bingo ! (Ha Ha...) Mais assez curieusement, il avoue lui-même préférer les applications hors-ligne aux applications web.

Il y a beau y avoir des applications tout à fait impressionnantes sur le web, du point de vue utilisateur ce n'est pas forcément un bénéfice:

• La plupart du temps, vous n'achetez pas un logiciel que vous pouvez utiliser indéfiniment, mais vous louez un service sur le web, à renouveler. Si vous ne le renouvelez pas, il y a fort à parier que vous perdrez vos données (à défaut de possibilité de les exporter). Vous devenez donc prisonnier du fournisseur de service, obligé de continuer à payer pour pouvoir accéder à vos données (Tiens, ce n'est pas justement ce qu'on reprochait aux successives versions de Microsoft Office avec ses formats fermés ?)
  
  
• Si celui qui héberge l'application web a un problème technique, vous ne pouvez plus travailler.
  
  
• Si celui qui héberge l'application web est piraté, toutes vos données personnelles sont exposées.
  
  
• Si celui qui héberge l'application web met la clé sous la porte, vous perdez vos données et votre moyen de travail.
  
  

Ce sont des risques à ne pas prendre à la légère pour un utilisateur.

(L'article original complet: Why I’m done making desktop applications)

Utiliser le moteur de recherche Google est devenu quelque chose de naturel. Trop, sans doute. Comme si ça allait de soit. Difficile de se défaire de ses habitudes, hein ?

Ces derniers temps j'essaie de me forcer à utiliser autre chose que Google.

• Bing : Malgré ses qualités, non, rien à faire les résultats ne sont pas assez pertinents pour moi. Et ce n'est pas parce que c'est du Microsoft. Par exemple en cherchant "sebsauvage", il m'est arrivé de trouver: Une vieille copie de mon site chez un hébergeur qui a fermé (crosswinds), un lien qui n'a jamais existé (qui était là uniquement pour illustrer un de mes articles), ou encore une copie de mon site en cache chez CoralCache. Pas terrible question pertinence.
  
  
• Ixquick est un méta-moteur (qui utilise les moteurs All the Web, EntireWeb, Bing, Altavista, Ask/Teoma, Gigablast, Voilà...), mais ils filtrent trop les résultats. Donc pas assez de résultats par recherche, et la pertinence n'est pas toujours au rendez-vous. Et surtout c'est bien trop lent.
  
  
• Yauba, le moteur indien se veut aussi respectueux de la vie privée que Ixquick. Il est pratique, assez rapide mais certains choses m'ennuient (comme le fait que les URL complètes ne soient pas affichées dans les résultats, alors que c'est important pour moi).

Bref... ce n'est pas la panacée, mais ça vaut le coup d'essayer.

Je suis malgré tout obligé de revenir de temps à temps à Google quand je ne trouve pas ce que je cherche, ou quand la pertinence des liens remontés n'est pas suffisante. On peut râler contre Google, mais ils ont quand même une belle avance.

Après ma désintoxication de Windows en passant à Linux, j'essaie de me désintoxiquer de Google. Heureusement pour moi, aucun dealer n'a encore réussi à me fourguer un iPhone ou un iPod, je ne suis donc pas encore accro à Apple.

PS: Comme le me fait très justement remarquer un internaute (merci Jean-Yves), je devrais ré-essayer Exalead que je n'ai pas essayé depuis leur refonte du site.

Statistique récente: En Grande-Bretagne, 1000 caméras de surveillance ont permis de résoudre 1 crime. Le rapport est très faible.

Alors bien sûr les pro-surveillance vous diront que justement, la présence des caméras a dissuadé des criminels. C'est moyennement crédible, étant donné que ces caméras ne sont pas forcément en évidence.

Les caméras c'est surtout vendeur pour les élections. Marf.

Et ça y est, ça recommence: Microsoft promet de nourrir de pauvres cht'tits nenfants américains qui meurent de faim si vous téléchargez Internet Explorer 8 (ça se passe là). J'ai horreur quand on essaie de nous prendre par les bons sentiments, c'est trop facile.

Si je programme un script qui télécharge Internet Explorer 8 en boucle 24 heures sur 24, ça compte ?

Ça me gonfle, ces campagnes. Ils ne peuvent pas juste m'inciter à le télécharger parce qu'il est meilleur que les autres ? Non ? Enfin moi je dis ça, hein...