pt
Moulé à la louche depuis 1999
Les trucs qui m'énervent... et je vais pas prendre de pincettes
Internet, informatique, logiciel libre, économie, politique, vie courante et tout le reste...

Skype, l'ami des dictatures

Lundi 06 juin 2011

Vous trouvez mon titre un peu violent ?

Skype a toujours été présenté comme un moyen pour les dissidents de communiquer de manière sûre, hors des grandes oreilles de leur gouvernement. Mais la réalité n'est sûrement pas aussi idyllique qu'on voudrait bien le croire: Il semble que Skype ait été obligé - dans certains pays - de fournir des versions modifiées de son logiciel à tous les internautes du pays. Comme en Chine, par exemple. Nul ne sait que que contiennent ces versions modifiées.

On comprend aussi mieux pourquoi Skype rechigne à ouvrir le code source de ses logiciels. Les binaires modifiés seraient tout à coup repérables, et surtout n'importe qui pourrait se compiler sa version "propre", sans mouchard. Et là, on le voit mieux l'intérêt du logiciel libre et à sources ouverts ? Non, rien, je dis juste ça en passant... pom pom pom...

Skype qui d'ailleurs s'apprête à en mettre plein la tête à ceux qui ont récemment réussi à comprendre le fonctionnement du protocole fermé de Skype, et à toute version opensource compatible qui sortirait (Devinez sous quel prétexte ? Parce que ça violerait leur propriété intellectuelle et que ça permettrait le spam.)

Et quand ce n'est pas Skype qui collabore, les gouvernements font simplement appel à des sociétés externes, comme l'ex-gouvernement Égyptien qui a commissionné une société britannique (FinSpy) pour créer un cheval de Troie capable d'espionner les communications VOIP. (Les documents découverts en Égypte après la chute du régime confirment que le spyware de cette société a permis d'espionner les dissidents, même ceux qui utilisaient Skype.)

Ce logiciel n'est pas aussi sûr qu'on a l'habitude de le penser. Donc ne comptez pas sur la confidentialité absolue de vos communications. Quand on sait que Skype a plus de 663 millions d'utilisateurs, ce n'est pas rassurant.


EDIT: Je tiens à signaler que Skype n'est pas la seule entreprise à fournir des versions "modifiées". Par exemple, quand un fabricant de systèmes téléphoniques (centraux, PABX, terminaux, etc.) veut vendre du matériel en Russie, l'écoute doit être techniquement possible sur son matériel, sans quoi il n'obtient pas l'autorisation de vente sur le territoire.

Non mais ça va pas ?

Mercredi 04 mai 2011

Mais enfin qu'est-ce qui vous a pris ?

Certes je n'aime pas qu'on copie mes articles, mais je voulais juste exposer ça publiquement à des fins éducatives, pas lancer une attaque en règle contre le site en question: Des centaines de commentaires d'injures, menaces, flood automatisé des formulaires de contact et même attaques DDOS... ÇA VA PAS, NON ?

Voici le mail que j'ai reçu du webmaster (publié avec son autorisation):

Bonjour,
Les articles ne citant pas les sources vous ont visiblement bien occupé, vous et vos sympathisants :
  • 2 attaques DDOSS
  • 587 commentaires d’injures
  • 124 commentaires plus « constructifs »
  • Plus de 4000 soumissions de formulaires de contacts, automatiques
  • 76 formulaires de contacts contenant injures et menaces
Les sources ont pourtant été ajoutées 72 heures après votre email…
Et vous vous étonnez du blocage des adresses IP ?

Pour parer aux diverses attaques, le site est actuellement fermé. A sa réouverture, les articles incriminés seront purement et simplement retirés.

En conséquence, je vous remercie de bien vouloir cesser le lynchage de notre site, que ce soit sur votre blog ou au travers de WOT

Les accusations qui y sont portées en deviennent ridicules :
  • Pb sur la protection des mineurs, sur quels critères ?
  • Pb sur la confidentialité des données, sur quels critères ?
  • Notre logo serait inspiré du votre ????
Quel que soit notre faute originelle, que nous ne nions pas, la réponse a été démesurée et nous ne nous laisserons pas attaquer de cette façon bien longtemps.

Nous assumons vos actes, mais vous et vos visiteurs devront en faire autant.

Cdt


Je comprend que vous sympathisiez avec moi, que vous aimiez mon travail et vouliez me défendre, mais attaquer un site web de la sorte n'apporte rien, ni à moi, ni au site en question. Et concernant les notes dans WOT, pourquoi avoir mis des notes piteuses sur des éléments comme la protection des mineurs ? Merci de rectifier.

Je n'ai jamais souhaité lancer une foule en furie contre un site web, même si je ne suis pas en accord avec le site en question. Je ne veux pas du pouvoir des Anonymous. Bougez un petit doigt, et des tas de gens s'en prennent plein la gueule. C'est effrayant.

Le meilleur moyen de contester un site n'est pas de le faire disparaître, mais de permettre justement aux gens de le lire et voir par eux-mêmes. Je le répète: Je ne veux pas du pouvoir des Anonymous. N'attaquez pas des sites web pour me défendre.

Vraiment, des fois vous me faites peur.

Tiens, regardez qui s'est invité

Vendredi 18 mars 2011

Tiens donc, voilà une information curieuse. Et une raison de plus (s'il en fallait encore une) pour de me tenir loin d'Internet Explorer (et Google Chrome par la même occasion).

Je vous avais parlé du problème des certificats SSL et du fait que "n'importe qui" possédant un certificat racine peut intercepter vos communications HTTPS sans lever la moindre alerte dans votre navigateur.

Parmi les éditeurs de navigateurs, il semblerait que seul Microsoft ait accepté d'installer le certificat racine... je vous le donne en mille... du gouvernement Tunisien !

"C = TN" veut dire "Country (pays) = Tunisie". L'ANCE est l'autorité de certification tunisienne gérée par le ministère de l'industrie et des technologies. Ajoutez à ça que les principaux FAI du pays sont à la botte du gouvernement (et hop je coupe les routes internet), on imagine bien qu'ils n'étaient pas à un détournement DNS près.

Tout à coup, on comprend mieux comment ils ont pu espionner et pirater les comptes GMail et Facebook des opposants pendant tout ce temps (30 ans de dictature, on finit par avoir de l'expérience en matière d'espionnage et de muselage). C'est malheureux à dire, mais c'est uniquement grâce à cette intervention de Microsoft que le gouvernement Tunisien a pu (s'il l'a fait) espionner les communications HTTPS (pour les utilisateurs de IE en tous cas). J'ignore ce qui a motivé Microsoft à agir de la sorte, mais le résultat est catastrophique. Et j'aimerais bien connaître la date d'installation de ce certificat dans Windows. En tous cas, il était présent avant Novembre 2009.

Notez que ni Firefox, ni Opera ne possèdent ce certificat. Google Chrome est hors course: Il utilise les certificats de Windows (donc les mêmes que IE). Ceci étant dit, les autres navigateurs ne sont pas tout blancs non plus: Il y a quelques mois une polémique est également apparue quand la fondation Mozilla a installé (par les mises à jour intégrées à Firefox) le certificat du gouvernement chinois (CNNIC).

Comme dit Arkados, on devrait de prime abord supprimer toutes les autorités de certification de nos navigateurs, et valider un par un les certificats reçus. Mais ça reste lourd. Et de toute manière, supprimer tous les certificats n'est pas une solution puisque les mises à jour occasionnelles (que ce soit Windows/IE ou Firefox) installent parfois de nouveaux certificats. Il faudrait donc vérifier la liste des certificats après chaque mise à jour. Ce n'est pas tenable, et de toute manière trop complexe pour l'internaute moyen.

En un mot: C'est la merde, il ne faut pas faire confiance aux éditeurs de logiciels (même les plus gros), et même HTTPS ne garantit plus la confidentialité de vos communications.
Ah... et - est-il encore besoin de le répéter - restez loin d'Internet Explorer.

(Source: Rue89)


Mise à jour 21 mars 2011: Le certificat en question est présent dans IE depuis Février 2007. (Merci TheCric.)

En vrac

Mercredi 23 fevrier 2011


  • Petit échec du logiciel libre: Les affaires étrangères allemandes abandonnent leur migration vers Linux. Et chez les gendarmes français, ça en est où ?
    EDIT: De source interne (personne travaillant au déploiement des postes Linux), ça continue à tourner: Tous les nouveaux PC arrivent sans OS et une version personnalisée d'Ubuntu 10.04 LTS est installée. (Merci K!)

  • La société BitTorrent hésite à diffuser les statistiques mondiales de débit par fournisseurs d'accès. J'imagine la tronche d'Orange s'ils publiaient ce rapport. Mouahaha. Ça leur ferait les pieds.

  • Il semblerait que les méthodes d'effacement de fichiers sur disque dur ne soient pas efficaces sur SSD. La confidentialité de vos données sur ces supports est donc en danger. Mon conseil: Placez vos données sensibles dans des partitions chiffrées (comme TrueCrypt), ainsi elles ne seront à aucun moment en clair sur disque (sauf dans l'espace des fichiers temporaires et le fichier d'échange (swap)).

  • Si vous créez des sites web, vous avez sûrement besoin d'icônes 16x16. Le site famfamfam propose (depuis des années) le pack "Silk" de plus de 1000 icônes. En prime, c'est sous licence CreativeCommons-by, donc utilisable même commercialement.
    EDIT: Guillaume me signale aussi le pack "Fugue" qui contient plus de 3000 icônes, également en licence CreativeCommons-by. Chouette !

  • En restant dans le sujet, voici le détail du support CSS dans les différentes versions d'IE.

  • Google bricole depuis déjà un bon moment son "Native Client". C'est en gros la promesse de faire tourner du code machine x86 directement dans le navigateur, mais de manière sécurisée. En gros, ils ré-inventent l'ActiveX de Microsoft. Je suis assez dubitatif quand à la sécurité. Google a commencé à intégrer son "Native Client" aux versions bêta de Chrome. Et je n'ai aucun doute sur le fait que ça fera partie de la version standard de Chrome dans quelques mois. "Google Native Client", ou comment réinventer les sites qui ne marchent que dans un seul navigateur, comme à la belle époque du couple ActiveX/IE. A quand des sites affichant "Ce site nécessite Google Chrome" ?

  • Il paraît qu'un "chercheur" a découvert qu'on pouvait mettre sur Facebook des images pédophiles cachées dans d'autres images anodines par stéganographie. Chercheur ? Chercheur en quoi, en chiens perdus ? Ça fait des ANNÉES qu'on sait faire ça. Il existe plein de logiciels.

  • Si vous me suivez sur delicious, laissez tomber: Il n'est plus à jour (La synchro ne marche plus correctement). Suivez-moi désormais sur Diigo. La page dispose d'un flux RSS qui vous permet d'avoir en temps réel les liens intéressants que je découvre. Mes "En vrac" sont bien souvent le résultat d'une sélection de ces liens.

  • Vrac du vrac: Le générique des Simpsons... pour de vrai. ◆ Un générateur de dégradés CSS qui se dégradent pas trop mal sous IE. Pratique. ◆ Une sorte de SegWay monocycle. Amusant et très compacte. ◆ The 7 deadly sins of software development. Pas faux !

:-) Bienvenue à Slytee

Mercredi 23 fevrier 2011

Je vous ai déjà parlé de WOT. Voici un nouveau-venu dans la notation collaborative de sites web: Slytee.com, issu d'une entreprise française.

Le fonctionnement est assez similaire à WOT: Les internautes peuvent noter les sites et ajouter des commentaires. Les notes des sites s'affichent dans votre navigateur à travers une barre. C'est gratuit et disponible pour Firefox, IE et Chrome. On peut également consulter la note d'un site sans la barre, simplement en passant par le site web.


Visiblement, une gueguerre a commencé entre les utilisateurs de WOT et Slytee: Slytee est mal noté dans WOT et WOT est descendu dans Slytee. Utilisateurs des deux services, merci de ne pas bêtement enfoncer le service d'en face. Il y a de la place pour les deux, et chacun a ses préférences.

Personnellement, j'ai une petite préférence pour WOT. Pourquoi ?
  • Je trouve que la barre Slytee prend trop de place à l'écran (WOT s'affiche sous forme d'une icône).
  • Les sites vraiment douteux ne sont pas signalés de manière assez visible dans Slytee (J'aurais aimé un rouge bien visible).
  • WOT s'alimente à des sources supplémentaires (SpamCop, hpHosts, MalwareDomains, etc.), ce qui permet de repérer rapidement les domaines nouvellement créés qui diffusent du spam, des fichiers infectés, etc.

Maintenant, ça reste un avis personnel. Les goûts et les couleurs, hein...


En dehors de ça, Slytee marche bien. J'ai même jeté un coup d'œil au contenu des requêtes HTTP envoyées par la barre Slytee, et ça me semble propre.

Autre bon point: La politique de confidentialité de Slytee est claire. Ils se réservent juste le droit de vous envoyer des offres partenaire de la pub, mais vous pouvez vous désinscrire. D'autre part, ce site appartenant à un entreprise française, elle est soumise à la loi "informatique et liberté", et vous avez donc la possibilité d'avoir accès aux informations qu'ils détiennent sur vous, et même demander leur suppression (C'est même mentionné dans leur charte).

Bienvenue à Slytee !


Mise à jour 24 février 2011: Maxime Z. me signale que la nouvelle version gratuite d'Avast 6 possède également un système de réputation de sites, WebRep. À tester également...

GoogleChromeOS, ou le minitel 2.0

Vendredi 20 novembre 2009

Après avoir promis-juré qu'ils n'étaient pas en train de travailler sur un navigateur (et avoir sorti Chrome), voilà que Google - après avoir promis qu'ils n'étaient pas en train de bosser sur un système d'exploitation - sortent Google Chrome OS à la suite d'Android. Korben nous en fait une présentation technique.

Pour résumer, c'est un système d'exploitation ultra-minimaliste avec une seule application dedans: Un navigateur (Chrome bien sûr).
Vous voulez utiliser un traitement de texte ? C'est dans le navigateur (GoogleDoc).
Vous pouvez éditer des photos ? C'est dans le navigateur (Picasa)
etc.

Il n'y a que des webapps.

Soyons clairs, ce système s'adresse aux netbooks, c'est à dire des machines peu puissantes destinées à des activités de base (surfer par exemple). Donc on peut comprendre le fait que les applications restent très basiques. Mais je vois quand même plusieurs problèmes à cet OS:

  1. Les webapps, c'est quand même assez pourri par rapport aux applications traditionnelles. Même Aviary Image Editor est loin d'un Gimp question retouche Photo. Et je préfère OpenOffice.org à un GoogleDocs.

  2. C'est une suite d'applications choisies par Google. On ne peut pas installer les logiciels de son choix ?

  3. Ce sont des webapps: Les données sont stockées sur internet (en partie chez Google), pas sur votre ordinateur. Bonjour la confidentialité.

  4. Comme ce sont des webapps, pas de connexion internet = ordinateur pas utilisable, et fichiers inaccessibles. Non merci. (Oui y a GoogleGears, mais ça ne règle pas tout.)

  5. Comme ce sont des webapps, tout transite en permanence par le réseau. Est-ce que tout est chiffré ? Ça me semble dangereux.

  6. Enfin, tout le monde trouve cet OS formidable, mais personne n'a tiqué sur cette phrase: "Small list of known program: Signed and verified before each use." Ca ne vous rappelle pas un certain iPhone verrouillé de toutes parts, où seuls les logiciels approuvés par Apple peuvent être utilisés ? Je ne comprends pas qu’on gueule contre Windows et son WGA et qu’on trouve GoogleChromeOS extraordinaire. Ce monde est fou.

  7. Il n'est pas installable sur la machine de votre choix: Il ne sera fourni pré-installé que sur certains netbooks dont les fabricants sont partenaires de Google, et ne tournera pas sur d'autres matériels que ceux certifiés par Google.

  8. Tout est dans le navigateur, les performances doivent être assez désastreuses sur les processeurs peu puissants des netbooks, même avec les optimisations Javascript de Chrome (Oui il y a bien Google Native Client - à voir question performance sur des processeurs Atom). Donc je peux oublier Blender pour faire un peu de modélisation 3D, ou jouer à Urban Terror (alors que c'est le genre de chose qui ne pose pas de problème même sur un Netbook).

Tout ceci me rend GoogleChromeOS vraiment, vraiment pas intéressant à mes yeux.

C'est bon pour faire une petite station de surf sur internet, mais guère plus. Je ne comprends pas pourquoi tout le monde crie au génie. Des OS ultra-légers basés sur Linux et qui démarrent vite, il y en a déjà. Asus en intègre déjà dans ses cartes mères, avec un Linux qui démarre en 15 secondes et permet aussi de surfer.

GoogleOS, c'est le minitel 2.0. Ce n’est pas un bond en avant, c’est un gros retour en arrière. On remplace le Vidéotex par un navigateur, mais ça reste à peu de choses près un terminal. Être pieds et poings liés à France Telecom pendant des années avec le minitel ne vous a rien appris ? Vous voulez recommencer avec Google ? Moi non.

"Oui mais c'est opensource". Et alors ? L'iPhone d'Apple est basé à fond sur de l'opensource (FreeType, SQLite...), et on voit ce que ça donne question ouverture.


Merci, je préfère rester sous Linux - ou même sous Windows, à ce titre - et avoir le choix de stocker mes fichiers en local, installer les applications de mon choix et avoir le contrôle de ma machine.

Les applications en ligne

Jeudi 15 fevrier 2007

Il y a ces derniers temps un réel engouement pour les applications en ligne.
C'est à dire le fait d'utiliser des sites web en lieu et place de logiciels traditionnels.

Par exemple:
  • utiliser GMail à la place d'Outlook Express pour ses mails.
  • Google Document à la place de Word, et Google Tableur à la place d'Excel.
  • Google Agenda à la place de l'agenda Outlook.
  • Gliffy à la place de Visio pour faire des diagrammes
  • flickr pour stocker ses photos et les partager.
  • del.icio.us à la place des signets dans le navigateur.
  • etc.

Au point que certains se demandent si l'utilisation de logiciels hors ligne (déconnectés) est encore pertinente.
Je crois qu'il vont trop vite en besogne. Il y a bien sûr des aspects séduisants:
  • Chouette, tout fonctionne dans un même logiciel (mon navigateur)
  • Je n'ai plus de logiciels à installer (Excel, Word, OpenOffice...)
  • Mes fichiers et mes logiciels sont disponibles partout où il y a un accès internet
  • Plus besoin de trimballer mes fichiers sur clés USB.

Il y a cependant des points qu'ils oublient un peu vite:
  • Risque pour la disponibilité: Vous dépendez totalement des sociétés qui font tourner ces sites web. Si elles décident de fermer votre compte ou fermer le service, vous perdez tout: Logiciels et fichiers. Et en cas de problème technique chez eux, vous ne pouvez plus travailler. Et si votre connexion internet ou votre fournisseur d'accès a un problème, vous ne pouvez plus travailler.
    Augmenter les dépendances, c'est augmenter les risques.

  • Risques pour la vie privée: Les entreprises qui proposent ces services stockent vos fichiers sur leurs serveurs. Mails, courriers, tableaux, photos, dessins... ça fait beaucoup d'entreprise qui ont la main sur vos documents personnels.
    Sans compter le risque engendré par la facilité de croisement de ces informations par les moteurs de recherche.

  • Risque de sécurité: Que se passe-t-il si votre compte est piraté ? Par exemple dans le cas de Google, le pirate aura accès à tous vos mails, vos contacts, vos documents (courriers), vos tableaux, vos photos, votre agenda...   Et n'importe quel pirate dans le monde peut décider de s'attaquer à votre compte.
    Quand j'ai un fichier personnel sur clé USB, le pirate aura bien plus de mal à me le pirater à distance.

  • Ce risque de sécurité entraîne un risque légal: Dans un cadre professionnel, que se passerait-il si un pirate avait accès aux infos sur tous vos clients ? Et si ces informations étaient diffusées sur internet ? Vos clients pourraient vous attaquer en justice pour ne pas avoir protégé ces informations. C'est un risque légal non négligeable. Et même sans aller jusqu'à un procès, il y a de quoi perdre des clients.

  • Risque pour la confidentialité: Si vous travaillez avec tous vos fichiers par internet, ça veut dire que vos données circulents en clair quand vous travaillez dessus (courriers, tableaux, etc.). Avec le WiFi, vous diffusez ces informations au tout venant.

Alors désolé, mais je ne suis pas prêt à sacrifier la fiabilité et la sécurité de mon OpenOffice hors ligne sur l'autel de la modernité mode.


PS: Je l'avoue, j'utilise de manière intensive GMail et del.icio.us, mais pas sans en faire des sauvegardes intégrales régulièrement (sous Thunderbird pour GMail, et en XML+HTML pour del.icio.us ; Cela me permet de garder la main sur mes données quoi qu'il arrive à ces services).

Antitrust, tu perds pas ton sans-froid

Mercredi 08 juin 2005


Suite au procès antitrust contre Microsoft en Europe, la comission européenne a forcé Microsoft à divulguer le code source de certains de ses protocoles, afin de faciliter la communication entre les systèmes informatiques (C'est ce qu'on appelle l'interopérabilité).

Microsoft a accepté, mais sous condition que toute personne qui veut voir ou utiliser ce code source signe une clause de confidentialité.


Imaginons:
Machin développe un logiciel opensource, compatible avec un protocole Microsoft.
Il peut diffuser les sources de son logiciel, sauf la partie concernant le protocole de Microsoft (à cause de la clause de confidentialité).

Donc, dans la pratique, cela empêche donc le développement et la diffusion de logiciels opensource compatibles avec les protocoles Microsoft.

...sauf si la totalité des habitants de cette planète acceptent de signer la clause de confidentialité de Microsoft.
(Non seulement c'est irréaliste, mais dans ce cas, je ne vois plus top l'intérêt de la clause de confidentialité.)


Bref... de la poudre aux yeux.

Les seuls bénéficiaires (éventuels) sont les logiciels développés en interne dans les entreprises, et à sources fermés.

Source: http://www.zdnet.fr/actualites/informatique/0,39040745,39230650,00.htm

Bienvenue au cyber-consommateur et merde au cyber-citoyen

Jeudi 27 mai 2004

Et pour continuer dans les mauvaises nouvelles, la LEN ("Loi sur la confiance en l'économie numérique") a été adoptée en France.
Parmis les horreurs que contient cette loi, l'email n'est plus considéré comme une correspondance privée.

Vous imaginez la même chose appliquée au courrier postal ou au téléphone ?
Vous imaginez si le gouvernement autorisait n'importe quel employé d'une entreprise à venir ouvrir votre boîte aux lettre, ouvrir tout votre courrier et lire le contenu ?
Merde il y aurait un soulèvement populaire et des manifestations !
Mais curieusement, transposé au domaine (presque virtuel) d'internet, ça ne fait broncher personne.
Va comprendre...

En ce qui me concerne, je vais massivement chiffrer mes emails, de façon à ce que personne ne puisse espionner quoi que ce soit. Et je vous encourage à faire de même. Personne n'a le droit de lire vos mails, sauf vous et votre correspondant.
Les logiciels de chiffrement comme gpg ou pgp garantissent une confidentialité absolue de votre courrier et son légaux en France (voir http://sebsauvage.net/logiciels/pgp.html).
J'ai rédigé un manuel: http://sebsauvage.net/winpt_fr.html

Je ne fais pas ça pour jouer à l'agent secret.
Je fais ça pour affirmer que mes emails sont bien privés.

Et ce n'est pas la seul connerie que contient la LEN. Pour plus d'informations: