GuiGui's Show

« Une universitaire britannique, maître de conférences en psychologie, estime que les normes sociales vont fortement évoluer dans les prochaines décennies, à tel point que l'amour et le sexe avec les robots se généraliseront vers 2070, du fait des progrès en robotique et en réalité virtuelle. »

Haha. Espoir pour tous et toutes ou future désillusion en mode « Même un robot fabriqué juste pour t'aimer ne peut pas t'aimer. » (un humanoïde, à Selma, dans l'épisode 9 de la saison 23 des Simpson) ? :D

Je n'ai pas encore testé Docker mais j'ai lu un peu la doc' et j'ai assisté à une soirée qui proposait une conférence magistrale puis un retour d'expérience à partir d'un usage concret. Voici l'avis que je me suis construit à partir de tout ça.

    * Packaging sous forme de briques, logiciel par logiciel pour construire, par assemblage, une plate-forme complète répondant au besoin ;

    * La garantie d'une cohérence entre l'environnement de dev' et l'environnement de prod', dans le temps. Je ne suis pas convaincu. Rien que le fait de générer l'image à partir d'un même dockerfile peut produire des différences (des versions plus récentes des logiciels peuvent être installées durant la création de l'image, même sur un système hôte identique, simplement parce que mises à jour de sécurité) avec donc un applicatif cassé car ses dépendances (libs,...) peuvent être cassées. Pour éviter cela, on peut livrer des images complètes en plus du dockerfile (exemple : une image monentreprise-map + le docker file pour installer l'appli web). Les dépendances seront alors toujours satisfaites mais alors, qui fait les màj de sécu ? ;

    * Àmha, l'usage le plus intéressant de Docker, c'est le SaaS. Si le dev' d'un logiciel fournit un dockerfile avec les sources, alors il est possible de tester son logiciel en toute simplicité. Docker permet de monter des infra SaaS, par nature ;

    * Docker hub pour récupérer des images clés en main et pousser ses propres images. Comme des images de VM quoi. Il est bien sûr possible de créer son propre dépôt ;

    * Docker est disponible sous Mac et winwin grâce à une sorte de VM minimaliste. Le support winwin n'est pas encore mâture. Docker est même disponible sur Azur, le cloud de Microsoft. OVH est sur le coup avec SailAbove ;

    * Malgrè ce qu'on entend souvent, il y a plusieurs modes pour le raccordement d'un conteneur Docker au réseau et pas juste un mapping port par port avec l'hôte. On retrouver les modes bridges / routed habituels ;

    * De nombreuses API et briques sont déjà disponibles autour de Docker : docker-swarm pour la gestion d'un cluster de dockers, Cadvisor pour le monitoring de l'usage des ressources,... ;

    * Il paraît que Docker est monolithique : un seul binaire pour tout faire : build d'une image, récupération d'une image dans un dépôt, construction du système de fichiers, isolation réseau/processus... Rocket, un fork, se veut modulaire pour répondre à cette problématique ;

Le 19 janvier 2015, j'étais présent dans le public de la Conférence sur la réponse aux incidents & l’investigation numérique (http://www.cecyf.fr/activites/recherche-et-developpement/coriin/) organisée par le Cecyf. Voici les notes que j'avais prises ce jour-là.


Mot d'accueil par Éric Freyssinet : le but est de rassembler les enquêteurs, les entreprises, les académiques. En France, on manque de formation concernant les enquêtes numériques. Appel à forker Cecyl.


Présentation du référentiel d’exigences applicables aux prestataires de réponse aux incidents de sécurité, Yann Tourdot et Arnaud Pilon (ANSSI) :
    * Roue de Daming : PASSI (audit), PDIS (détection d'incidents de sécu), PRIS (réponse aux incidents)

    * PRIS :
        * Un prestataire qualifié = un prestataire qui suit l'ANSSI au doigt et à l'œil
       
        * Nivellement (par le bas) du référentiel au niveau des compétences en France. Sérieusement...
       
        * Vu sur twitter : "Dans l'audit, on est 2 (auditeur et audité), dans la réponse à incidents, on est 3 (avec l'attaquant, qui peut être root)" #CoRIIN
       
        * PRIS est itératif, incrémental : toujours faire des analyses post-mortem pour pas que ça se reproduise, pas juste se dire "ho j'ai un virus je le vire et basta".

        * Une action judiciaire peut être engagée avant, pendant ou après donc il faut faire attention lors de l'analyse à suivre les prérequis pour que, si l'on va en justice, la demande soit recevable (conservation des preuves, journal des actions effectuées, datation, ...)

        * Référenciel de détection établi avec des prestas (oui oui, ceux qui doivent être évalués via ce référentiel) et par des comanditeurs comme les OIV.

        * Garantie de confidentialité des analyses par les prestas et si jamais une fuite apparaît -> moyen de poser une réclamation auprès de l'ANSSI pouvant conduire au retrait de l'accréditation ANSSI.

        * Accréditation bullshit et sans valeur sauf si le commanditaire suit les recommandations de l'ANSSI de choisir un presta qualifié, ce qui arrivera sur les marchés publics...

    * Bilan : ça me semble être un label bullshit... L'ANSSI préfère avoir beaucoup de prestas que des prestas réellement qualifiés. Garantir la confidentialité des audits par retrait du label... Sérieusement, quoi. L'ennui c'est que l'accréditation a un coût qu'il faudra reporter sur le client. Elle sera requise d'abord pour les marchés publics, ce qui aura une influence sur le reste du marché...


CERTitude : ou comment simplifier les campagnes de recherche d’IOC, Vincent Nguyen et Jean Marsault (CERT-Solucom) :
C'est un soft qui se connecte à des postes compromis pour remonter les IOC (Indicator of compromise) en laissant le moins de traces que possible. Je ne comprends pas : rien que l'ouverture des connexions laisse des traces. Avantage : un tool python + une remontée via le réseau ira plus vite que la lib winwin de base. :D


D&D de malwares avec des C&C exotiques, Paul Rascagnères et Eric Leblond :
    * Fun fact : un botnet dont les zombies reçoivent les ordres du C&C via une boîte mail yahoo \o/

    * Exfiltration de données via des requêtes DNS

    * Fun fact #2 : "ils font 3 XOR, bon ok, ça revient au même que 1 XOR mais ils devaient pas le savoir [...] rigolez pas, j'ai déjà vu des attaquants faire du double riot13"

    * Les IDS c'est bien mais il faut les mettre au bon endroit : pas qu'en bordure, sinon on néglige les échanges internes

    * Les "langages" des IDS sont limités. Pas de boucle, par exemple. D'où une extensibilité avec des scripts (Lua par exemple) est souhaitable

    * Pas d'appliance magique. Même si leur usage ne nécessite pas 15 personnes en astreinte de nuit pour écrire les regex. #troll. :D

    * Les créateurs de malwares avancés suivent ce qui se dit de leur code sur le net et s'adaptent donc les règles IDS peuvent vite être contournées si tu fais pas attention.

    * Regex, ça a les mêmes limites que les antivirus : on peut faire du proactif, voire détecter des comportements anormaux donc suspects mais ça a des limites. Si tu ne sais pas ce que tu cherches -> tu ne trouveras pas, comme d'hab.


Mimikatz et la mémoire de Windows, Benjamin Delpy :
    * Bon à rappeler : les attaquants sont des bourrins, ils font des trucs qui marchent, pas des trucs compliqués.

    * Fun fact : pour tricher au démineur sous winwin, il suffit d'utiliser deux fonctions de l'API winwin : create process, read process. Pas besoin de droits admins vu que c'est ton démineur. :D

    * L'ennemi, c'pas forcément la NSA mais les anciens employés toujours dans le domaine car gestion du domaine sous-traitée donc travail pas fait.

    * La fonctionnalité minidump (dump de la mémoire lors d'un crash) est super pratique car pas besoin d'installer un code sur le poste ciblé donc discrétion. Pas besoin de droits admin, même pour dumper le processus d'un autre utilisateur : il faut "juste" faire planter le processus visé. L'API winwin permet même de demander un dump sur un processus ciblé.

    * Implémentation Kerberos de winwin + minidump = combo : les dumps mémoires du processus LSASS contiennent les mots de passe et les tickets Kerberos.

    * Fun fact #2 : Bitlocker ne marche pas avec les disquettes :D

    * Fun fact #3 : l'API winwin prévoit l'enregistrement d'une DLL qui sera appelée lorsqu'un mdp est changé.

    * Le tout permet donc de récupérer des accès.

    * Winwin 10 ne sera pas vulnérable à tout ce qui a été exposé.


Investigation dans le DNS, pièges et solutions, Stéphane Bortzmeyer (AFNIC) :
    * But de la présentation : comment trouver une info sur un nom de domaine, pièges et limites

    * Un nom de domaine a un nombre quelconque de composants. Plus spécifique à gauche, plus global à droite ("."). En voyant un nom, on ne sait pas où se trouve les cut de délégation (exemple : gouv.fr. n'est pas délégué, co.uk si) : il faut utiliser une résolution DNS pour le savoir.

    * Plusieurs acteurs dont au moins le titulaire d'un nom (celui qui l'a choisi et réservé) et le registre (l'organisme qui enregistre le nom). Dans la vraie vie, on a un 3e acteur : le bureau d'enregistrement qui s'occupe de la partie business. Modèle RRR (register, registry, registrar). On peut avoir des acteurs supplémentaires : agence de création web qui a acheté le nom ou hébergeur DNS différent du bureau d'enregistrement.

    * Deux sortes de registres : mince ou épais. Registre épais : la base de données contenant les informations "sociales" (nom du titulaire, adresse, mail,...) sont stockées chez le registre. Registre mince : ces informations sont stockées chez le bureau d'enregistrement. Exemples de registre mince : com. , net. Registre épais : fr.. Org était épais mais est devenu mince. C'est ça qui explique les redirections que l'on voit dans whois.

    * Quels sont les inconvénients à utiliser whois de manière déportée (cloud, site web,...) ?
        * Base possiblement pas à jour ;

        * On n'a pas la source de l'information (son authenticité est donc à questionner) ;

        * Le tiers voit ce que vous faites, ce qui pose de gros problèmes de confidentialité dans le cas d'une enquête judiciaire ;

        * Risque de sécurité : des malins enregistrent des noms avec des informations (nom, adresse) avec des bouts de JS/XSS.

    * Même si l'ICANN impose que les titulaires de noms communiquent des informations exactes, c'est rarement le cas et pas souvent vérifier : pour quelques euros par an, un humain ne peut pas faire de vérifications poussées.

    * Tous les clients whois ne sont pas optimaux parfois même entre systèmes GNU/Linux car les options de compilation sont différentes...

    * DNS : pas forcément de coïncidence entre whois et DNS, c'est des acteurs différents.

    * DNS et caches : attention au fast-forward (nom pour contacter le C&C change rapidement).

    * nslookup sous winwin c'est naze : incomplet, pas d'horodatage, il fait des requêtes qu'on ne lui demande pas (reverse IP, serveur de nom)

    * Mes questions :
        * Pourquoi BDDs passives DNS pas publiques compte tenu du caractère public des infos DNS (cf RFC DNSSEC) ? Sociétés commerciales derrière donc business.
       
        * Tu pourrais nous dire deux mots sur les looking glasses DNS ? C'est bien pour voir la censure et ce genre de choses. Stéphane utilise RIPE Atlas mais on a toujours les limites présentées au début de l'exposé : intervention d'un tier d'où problème habituel de confiance


Internet Explorer 10 et 11: un nouveau format de données pour de nouveaux défis, Jean Philippe Noat et Bruno Valentin :
    * Aucune logique dans le nommage des fichiers caches d'IE : webCacheV01, V16 et V24, pas les autres ... pas de logs tournants so wtf ? l'orateur n'a pas la réponse

    * Cache pas optimisé : plusieurs tables peuvent servir au même usage, semble utiliser un parcours itératif/index chelou.

    * Dans la inforensic, on cherche à savoir si un téléchargement a eu lieu suite à une action de l'utilisateur ou si prefetch ou cache : le stockage de cette info par IE est prévu.

    * Ces fichiers d'index du cache sont "sales", pas mis à jour, résiste mal à un arrêt brutal de la machine (ce qui arrive lors de perquisitions) donc beaucoup d'infos manquent à l'appel.

    * Fun fact : les applis sur FB et co échappent au cache IE au sens premier. :D

    * Fun fact #2 : le cache IE tourne toujours en navigation privée ;)

    * Fun fact #3 : l'épinglage/dé-épinglage d'une app est stocké dans une base de données sqlite. Dé-éplinger une app ne fait pas disparaitre les infos dans la base mais un re-épinglage fait disparaître les infos précédentes


FastResponder: Nouvel outil open source pour détecter et comprendre des compromissions de grande ampleur, Sébastien Larinier (CERT Sekoia) :
    * Lors d'une compromission, il faut faire une collecte rapide du SI et analyser les infos collectées rapidement pour agir vite et répondre vite à l'incident de sécurité.

    * Analyse à la mano / à la papa : chiant, coûteux et lent. Genre on trouve encore des analyses forensic faites sous Excel.

    * Il faut utiliser du matos simple à déployer et des outils de data-visualisation comme Kibana.

    * L'intérêt du live forensic (exemple : analyse RAM in-situ) se justifie avec l'augmentation de la quantité de RAM dans les serveurs (64G+ ce n'est plus rare). Je ne suis pas convaincu puisque Zythom, sur son blog, nous parle de dumps de disques durs de plusieurs tera, même pendant une perquisition...

Dans le cadre de la lutte contre la loi Renseignement, j'ai participé à une séance d'appels téléphoniques de nos élus à Brest. Une sorte de centre d'appel (call center), mais pas vraiment. J'vais faire un petit feedback sur les choses à faire / ne pas faire selon moi, en plus des conseils donnés par la Quadrature (https://wiki.laquadrature.net/Comment_contacter_un_d%C3%A9put%C3%A9_europ%C3%A9en).

    * Téléphoner seul depuis chez soi ou en groupe, ça n'est pas du tout comparable ! Seul, c'est juste chiant et on abandonne assez vite après les premiers écueils / les premières réponses bullshit de nos élus. En groupe, il y a toujours quelqu'un pour être le premier à téléphoner et initier ainsi la chaîne. Il y a toujours quelqu'un pour rire avec vous. Il y a toujours quelqu'un pour rire de la réponse stupide, antidémocratique, liberticide, bref, merdique de l'élu que vous venez d'appeler. C'est ça un callcenter : des gens très différents avec une lutte commune qui se retrouvent pour se marrer. Se marrer des guignols qui sont censés les représenter. On nomme ça : le lulz. Et ça permet de tenir contre tous et contre tout le bullshit qui sort de la bouche de nos élus. N'hésitez jamais à rejoindre un callcenter citoyen.


    * Prévoir un lieu dans lequel il y a un réseau WiFi de qualité voire, mieux, des accès à Internet filaires. C'est toujours mieux pour utiliser le PiPhone et pour faire des recherches. Lors d'un call-center, on a toujours besoin de faire des recherches... Un numéro de téléphone, une information sur le projet de loi auquel on s'oppose,... Une mauvaise connexion c'est du stress, un manque d'efficacité, de la colère,...


    * Le PiPhone de la Quadrature du Net, c'est génial, sauf que ça téléphone toujours dans le bureau de l'élu à l'Assemblée ou au Sénat. Il faut préférer chercher le numéro de la permanence en province et téléphoner à ce numéro là. Il y aura toujours un(e) assistant(e) parlementaire pour répondre, comme à Paris mais au moins, ça sent moins la campagne d'appel orchestrée par LQDN donc ça augmente votre crédibilité. C'est une vraie galère de trouver les numéros en province mais ça me semble plus efficace.


    * N'hésitez pas à contacter en priorité des élus avec qui vous vous êtes déjà entretenus, en bien comme en mal sur n'importe quel sujet (même si c'est pas du tout le même domaine entre le dernier appel et votre appel du jour). N'hésitez pas à mentionner le texte de loi qui faisait l'objet de votre dernier appel et votre position en quelques mots. Ça permet de créer un certain lien, de vous rappeler à la mémoire de l'assistant(e) parlementaire. Évidemment, si c'est votre premier callcenter, ce point ne s'applique pas immédiatement mais vous construisez les liens futurs. :)


    * Ne suivez aucun script. Ni ceux de la Quadrature, ni ceux que l'on peut trouver sur le web à l'occasion des campagnes d'appels ! Préparez-vous, avec vos propres mots, une fiche avec ce que vous voulez dire, le déroulé de la conversation, vos principaux arguments. Ça viendra de vous, ça sera plus gratifiant pour vous et plus crédible pour votre interlocuteur.

        Pire, avec du pré-maché, vous ne savez pas de quoi vous parlez. Un exemple concret : le script de la Quadrature que plusieurs personnes avaient lors de notre callcenter sur le projet de loi renseignement au Sénat parlait de l'article 851-3. Une des participantes s'est fait recaler par une assistante parlementaire : « il n'y a pas 851 articles dans ce projet de loi ». La participante enchaîne « ha ? ... bah ... peut-être un amendement alors mais l'important c'est que... ». Erreur sanctionnée immédiatement « il n'y a pas 851 amendements déposés à l'heure actuelle, madame ». À ce moment, vous êtes fini : quel que soit la qualité de votre argumentaire, votre interlocuteur ignorera vos propos. Ce n'est pas juste ni un comportement responsable mais c'est un fait. De votre côté, vous êtes déstabilisé, plus convaincu du tout du but de votre appel et ça s'entendra d'autant plus. En fait, le script parlait du futur article L851-3 que l'article 2 de la loi Renseignement ajoute au code de la sécurité intérieure. ;)

        Préparez vos appels : de quelle circonscription est l'élu à qui vous allez téléphoner ? Dans quelle ville est sa permanence ? A-t-il déjà pris des positions sur des projets de loi similaires dans le passé ? De quel parti politique est-il ? Quel métier (réel ou inventé) exercez-vous ? Où habitez-vous (réel ou inventé (attention aux petits villages dans lesquels tout le monde connaît tout le monde ;) )) ?

        Bref, préparez vos appels. Ça prend seulement quelques recherches sur le web. :)


    * N'ayez pas peur de participer ! Vous allez vous viander les premières fois, c'est une certitude ! Ça, c'est dit. Tout le monde s'est viandé. TOUT LE MONDE. L'important c'est d'apprendre de ses erreurs et de corriger les problèmes : qu'est-ce que vous avez mal fait ? Que faire pour corriger le tir ? Et par incréments successifs, vous vous améliorerez, c'est une évidence ! Ce paragraphe semble être du bullshit habituel mais je vous conjure qu'il n'en est rien et d'essayer. Personne n'est mauvais. Au contraire : vous aurez peut-être un angle d'attaque, une sympathie, que sais-je, différent qui convaincra votre interlocuteur/trice.

        J'ajoute que si vraiment vraiment vraiment vous ne voulez pas téléphoner ou que vous avez essayé mais que ce n'est vraiment pas votre truc, vous pouvez toujours participer. Il n'y a pas que les appels dans un callcenter mais l'humour, la joie de se regrouper (oui, même avec des inconnus), la logistique (organiser, accueillir les nouveaux arrivants, ramener des rafraîchissements, prendre des notes des élus contactés et de leur position, prendre des photos, rédiger un compte rendu du callcenter,...). Je suis sûr que vous pouvez apporter votre pierre à l'édifice. Personne n'est inutile ni mauvais en tout. Et c'est pas du "taff de merde dégradant", ho que non, c'est au contraire plus utile et important que les appels aux élus eux-mêmes !


    * Faites un suivi post-callcenter : l'élu a-t-il pris position au Parlement ? Son speech allait-il dans le bon sens ? Qu'a-t-il voté au final ? Est-ce conforme à ce qu'il vous avait annoncé au téléphone ? Dans tous les cas, n'hésitez pas à envoyer un petit mail argumenté, même pour dire uniquement des choses positives. Ça montre que vous êtes impliqué et que votre appel n'était pas qu'une affaire de campagne d'appels. C'est un travail pénible de longue haleine mais c'est ça qui permet à nos idées d'avancer.

Tout ça est derrière nous mais je me mets quand même ça de côté pour une sorte de mémoire politique.

Les sénateurs/sénatrices ont fait du cosmétique, pas du travail de fond :
     * Réintroduction des IMSI catcher (les fausses antennes de téléphonie mobile qui capturent appels, SMS et surf sur le net en mobilité) ;

    * Une pseudo évaluation de l'efficacité de la loi... Aucun rapport avec la choucroute : je peux faire une loi efficace et liberticide, c'pas contradictoire... De plus, si ça démontre une inefficacité, la conclusion sera oubliée, comme celle sur le crédit impôt recherche (http://shaarli.guiguishow.info/?PSBXUw), par exemple, un classique quoi. Même pas sûr que cette évaluation ait lieu, comme avec la LSQ (http://shaarli.guiguishow.info/?ztARDA)... ;

    * On joue sur les mots et sur les chiffres : nombre de personnes dans la CNCTR, on change intérêt majeur, menace imminente, on bidouille les finalités,... Tantôt en faveur des citoyens, tantôt en leur défaveur. Rien de bien constructif ;

    * Le seul truc positif c'est d'avoir resserré un peu la durée des écoutes administratives... Pas de bol : elles sont reconductibles ad vitam aeternam sans formalités (enfin pas plus que pour obtenir la première quoi).

    * Contrairement à ce qu'aiment dire les sénateurs : ils n'ont pas ajoutés de garde-fous supplémentaires, stop l'auto-congratulation ! Quand je les vois se prendre pour des sages qui étudient en profondeur les dossiers, posés en dehors du temps de la vie politique et de l'actualité (http://rue89.nouvelobs.com/2015/05/20/loi-renseignement-si-senat-sauvait-259286), ça me fait juste bien rigoler.

Par Benjamin Bayart. C'est dépassé puisque la loi est passée et les décrets signés mais ça reste intéressant.

« Bah oui parce que vous ne le savez peut-être pas, mais pour faire ses mises à jour, Microsoft a implémenté un mode de partage en P2P. Hé oui, le P2P c'est cool pour télécharger des séries ou des distribs Linux mais quand il s'agit de mettre à jour son Windows c'est moins cool.

Et pour cause... Pour pouvoir exploiter cette fonctionnalité (et aider Microsoft à soulager ses serveurs et dépenser moins de pognon en bande passante), votre ordinateur doit aussi "seeder", c'est-à-dire fournir de la donnée à d'autres ordinateurs.

C'est un concept basic de P2P sauf que là, ça se fait en tâche de fond et à priori, en permanence (à confirmer, cela dit...). »

Intéressant techniquement mais en cas de compromissions des clés privées qui servent à la signature des mises à jour ou autre, ça va piquer, j'pense. Wait&see.

« Puppet 2.7.0 was recently released. This version, like every new Puppet release, brings numerous new features (and not counting bug fixes), including one I'm very proud of: Network Device Management.

The configuration system does roughly the following:

    connect to the device, through ssh or telnet
    authenticate as a user (possibly unprivileged in which case it can "enable")
    check the current device state
    apply the necessary changes as IOS commands to bring it to the correct state

To achieve this, Puppet 2.7.0 introduces a new Puppet application called 'puppet device'. This application will run on a Puppet node (multiple puppet device can run on different hosts) and will make sure a given list of network devices will be managed.

This application acts as a smart proxy between the Puppet Master and the managed network device. To do this, puppet device will sequentially connects to the master on behalf of the managed network device and will ask for a catalog (a catalog containing only network device resources). It will then apply this catalog to the said device by translating the resources to orders the network device understands. Puppet device will then report back to the master for any changes and failures as a standard node. »

« Numerama appelle les utilisateurs à faire attention lors de l’installation du dernier système d’exploitation de Microsoft, Windows 10. Par défaut, les options liées à la confidentialité des données personnelles sont en effet assez relâchées.

[...]

Entre autres dérives appliquées par défaut : l’envoi de diverses informations (frappes au clavier, saisie vocale, etc.) à Microsoft, a fins d’amélioration de ses logiciels ; la transmissions de données aux applications, pour ciblage publicitaire ; la géolocalisation du PC et le suivi des déplacements ; l’envoi des données de navigation Internet.

[...]

L’assistant vocal Cortana est également un parfait petit espion, qui collecte diverses informations. Chose d’autant plus logique qu’il est sensé apporter des réponses pratiques aux questions des utilisateurs (et se doit donc de tout voir).

[...]

Autre souci, des données critiques, comme les clés de récupération BitLocker, sont automatiquement sauvegardées sur votre compte OneDrive. Certaines données système sont ainsi transmises sur le Cloud, sans que l’utilisateur en soit averti. Seule parade pour éviter la synchronisation des données système, ne pas se connecter avec un compte Microsoft. Là encore, une option assez bien cachée dans l’assistant d’installation.

[...]

Les nouvelles conditions d’utilisation proposées pour Windows 10 permettent à Microsoft de collecter et partager des données avec le consentement de l’utilisateur, où lorsque le besoin s’en fait sentir.

[...]

Il n’en reste pas moins que ce phénomène ‘à la Facebook’, où l’utilisateur doit décocher de multiples cases réparties dans tout l’environnement de travail pour voir ses données protégées, devient aussi commun qu’agaçant. À quand la touche magique « ne collecter aucune donnée » ? »

Joie... Il faut désactiver tout ça durant l'installation (en cliquant sur le petit lien en bas après un pavé de texte) ou après (en traquant les options adéquates partout dans le système)... Quelle personne censée va prendre le temps de faire tout ça ?! Et encore, ça ne changera pas un autre problème clé : les mises à jour automatiques quand Microsoft veut... Ils font ce qu'ils veulent avec votre ordinateur... Y'a pas un truc choquant dans ma dernière phrase ? Ça va être la joie pour debug les winwin now quand les utilisateurs viendront "mais si, je n'ai rien fait, je t'assure" et ils auront raison ! Une phase de mise à jour, ça se fait sur des bécanes de test puis sur une partie du parc. Et si y'a un problème, on sait que ça vient de la màj puisqu'on l'a lancé à la mano... Il va encore falloir sensibiliser un max... À ceux qui disent que les LUG c'est dépassé car on a gagné car le libre est partout sur serveurs/mobile, je pense que vous vous trompez. :)

« Aaaaaah, Mozilla. Et ton navigateur phare : Firefox.

À lire pléthore d'articles, tu commences à faire de la merde. HTTPS obligatoire, signature obligatoire des extensions, la publicité, etc. Que de mauvais choix, de l'avis général. Enfin, de l'avis général de personnes qui ne contribuent pas, principalement.

Mozilla, ta fondation à but non-lucratif prend une mauvaise tournure. Mettons de côté les histoires de pognon, on s'en fout du pognon, non ? Après tout, tes développeurs peuvent travailler gratuitement, et faire la manche dans le métro en rentrant du boulot, c'est ça l'implication, c'est ça la dévotion, c'est ça le LIBRE que diable ! On s'en fout de la monnaie lorsqu'on veut changer le monde, c'est bien connu. C'est d'ailleurs pour ça que la principale préoccupation de chacun, c'est le fric et que le monde ne change pas, non ?

À moins que...

Ah oui, pour faire de la qualité, il faut travailler, et le travail se paye. En plus, tu as une certaine vision du travail, une certaine politique sociale, parce que changer le monde, c'est commencer par se changer soi-même. Et dans un monde capitaliste, c'est très dur de ménager la chèvre et le chou, je sais. C'est le problème que rencontre chaque militant que veut changer les choses sans passer non plus sur le fait de vivre sa vie.

Ton gros problème, Mozilla, c'est qu'une des pages les moins visitées doit être celle-ci. Combien de tes utilisateurs ont un compte pour donner leur avis sur ta plate-forme dédiée à cet usage ? Combien se sont inscrits à ta communauté ? Combien ont donné un peu d'argent ? Combien ont compris qu'un logiciel gratuit ne se fait pas sur du travail gratuit ? Combien se disent "que puis-je faire pour aider" ?

Combien de tes concurrents ouvre aussi facilement leur code source ? Aucun, évidemment. Combien de tes concurrents font de la pub pour leur navigateur ? Tous. Or l'esprit d'un navigateur ne peut se répandre que s'il est utilisé. C'est bien beau d'avoir une belle philosophie, mais si c'est pour que ça intéresse 3 clampins dans leur coin, ça ne changera jamais le monde.

[...]

Firefox est le meilleur navigateur que nous ayons. Il n'y a aucun doute là dessus. C'est un navigateur avec lequel nous sommes et restons libres. C'est le navigateur le plus avancé dont nous disposions sur ces critères.

[...]

Mais Mozilla, je vais te dire. Dans toute cette histoire et ce shitstorm qui se lève, c'est certainement moi le coupable. Sur tous ces sujets, je n'ai quasiment rien dit. J'attendais de voir. Je savais bien qu'il y avait quelque chose, mais je n'arrivai pas à mettre la main dessus. En fait, le problème, c'est que je ne me suis pas posé la question de savoir "comment faire pour que ça change ?". Pas une seconde. D'autres s'en chargent, après tout.

Or, et c'est bien là une de tes valeurs, Firefox (et tous les autres produits) ce n'est pas que toi, Mozilla. C'est nous tous. Ce navigateur est un bien commun, que tu défends avec les moyens que tu as, les moyens dont tu disposes dans un monde capitaliste.

[...]

Alors c'est peut-être à nous de faire notre part du boulot, en définitive. En contribuant, en installant Firefox partout, en expliquant pourquoi c'est bien non seulement comme logiciel mais comme esprit derrière le logiciel. En expliquant pourquoi, avec ce navigateur, l'internaute est plus en sécurité et dans le respect de sa vie privée qu'avec n'importe lequel autre. Pourquoi c'est important d'utiliser Firefox tout le temps. Et peut-être même donner un peu d'argent. Parce que si les 300 millions d'utilisateurs donnaient 10€ par an, tu n'aurais plus besoin de partenariat avec des entreprises dangereuses, tu n'aurais plus besoin de pub, plus besoin de prendre des décisions controversées pour continuer le combat. »

Gros +1

Via cheppuqui