GuiGui's Show

« Dans un billet officiel vantant le lancement de Windows 10, Microsoft a publié entre autres les suivantes :

    Plus de 11 milliards d’heures ont été passées sous Windows 10 en décembre 2015
    0,7 milliard d’heures ont été passées sous le navigateur web maison Microsoft Edge
    Plus de 82 milliards de photos ont été vues sous l’application Photos pour Windows 10
    Les joueurs sous Windows 10 ont passé 4 milliards d’heures à jouer à des jeux PC

Aucune de ces données ne provient d’un besoin technique (comme peut l’être par exemple le temps passé au téléphone, qui découle directement de la méthode de facturation au temps). Ces données ont donc été obtenues par pur espionnage du comportement des utilisateurs de Windows 10 dans l’intérêt de Microsoft.

[...]

Microsoft récolte vos mots de passe, vos recherches, vos contacts, vos rendez vous, votre localisation, etc… Jusqu’où accepterez vous?

Via http://sebsauvage.net/links/?ByW1qA

« Personne ne s’y attendait, et pourtant The Pokémon Company l’a fait. La firme nippone a annoncé la venue d’un nouveau jeu mettant Pikachu sur le devant de la scène… en détective privé.

[...]

La vidéo ci-dessus est donc la première qui nous parvient, et elle annonce l’arrivée du jeu Detective Pikachu : Birth of a New Duo le 3 février sur Nintendo 3DS au Japon. On y découvre non sans surprise un Pikachu parlant le langage des humains, qui vivra aventures et mystères accompagné d’un jeune garçon, le fameux duo que le titre évoque. Le Pokémon sera amené à résoudre diverses énigmes dans la ville de Rhyme City où humains et pokémons se côtoient librement. Ne cherchez pas à comprendre. »

OWI OWI OWI \o/

« Certains le verront comme une avancée de la sécurité, d’autres comme un recul de leurs libertés. Dans un communiqué de presse, Uber explique qu’il utilise désormais les multiples capteurs présents sur les smartphones de ses chauffeurs pour traquer leurs moindres faits et gestes et s’assurer qu’ils restent dans les clous des consignes dictées par le service de VTC, en particulier en matière de sécurité routière. Il s’agit pour le moment d’un programme pilote, qui pourrait donc être généralisé à terme à l’ensemble des chauffeurs s’il donne satisfaction.

Uber, qui utilisait déjà les informations GPS renvoyées par l’application utilisée par les chauffeurs, explique qu’il exploite dans ce programme toute une série de données renvoyées inconsciemment par les conducteurs, grâce à leurs smartphones. Si un chauffeur a tendance à freiner au dernier moment et donc brutalement, l’accéléromètre de l’iPhone l’enregistre et peut communiquer l’information à Uber. S’il va trop vite dans les virages ou s’il ne s’arrête pas au stop alors qu’il était prévu sur le parcours, idem.
Même, Uber raconte qu’il détecte si un chauffeur prend régulièrement son téléphone dans les mains en conduisant (ce qui active son gyroscope), pour «  lui proposer un support pour régler le problème  ». Mais ça devrait surtout lui permettre de l’avertir ou de l’enlever de la plateforme en cas de récidives ultérieures, car c’est certainement le signe qu’il téléphone ou échange des SMS en conduisant, ce qui met en danger la sécurité des clients — et accessoirement, c’est interdit par la loi, au moins en France. «  Échanger des SMS ou parler au téléphone triple les chances d’avoir un accident », rappelle Uber. »

Qu'il fait bon travailler pour Uber. Bientôt les sanctions préventives sur la base d'un ordiphone. Ça donne envie.

« Tout le monde n’est pas égal devant les publicités sur Twitter. Comme le remarque Re/Code, le réseau social a décidé de ne plus afficher de tweets sponsorisés chez ses membres les plus influents, alors que les utilisateurs occasionnels ou qui ne disposent pas de la même « aura » continuent à voir des publicités s’afficher dans leur timeline.

« Des sources chez Twitter indiquent que la société ne sélectionne pas le groupe avec ou sans publicité purement sur la popularité, mais en fonction d’une diversité de critères, y compris le volume et le reach (taux de visibilité, ndlr) des tweets qu’ils génèrent », explique Re/Code. Le site indique que les premières mesures du genre auraient été prises dès le mois de septembre 2015. »

Que c'est moche...

« the DNS lookup tool "dig" has a very useful feature to trace the DNS delegation from the root-DNS down to the requested domain name. Such a trace looks like this:

% dig menandmice.com +trace

[...]

If the  DNS resolver configured in the operating system where "dig +trace" is uses is a unbound DNS Server, the "+trace" function might fail: [...] The reason for this is that dig sends the very first query for the list of root-dns servers as an iterative query to the local resolving DNS Server. An iterative query is a query where the RD-Flag in the DNS query package is not set (RD=recursion desired). Iterative queries are usually used between a resolving DNS Server and an authoritative DNS Server. Client systems send recursive queries (RD flag set= recursion desired). Unbound is a recursive DNS Server, and it is build to answer recursive queries, not iterative queries (it is not an authoritative DNS Server). In the default configuration, unbound will refuse an iterative query:

[...]

It is possible to use "dig +trace" by specifying one of the root-DNS servers for the initial query:

dig menandmice.com +trace @a.root-servers.net

However for users of unbound that do not want to miss the "+trace" function of dig can configure unbound in a way that it allows iterative (no-recursive) queries. This is done by using the "allow_snoop" option in the access-control statement: »

Via https://twitter.com/aeris22/status/691267904600432640

Hier soir, j'ai fait mes premiers pas sur OTR (chiffrement de bout en bout (le chiffrement commence sur la machine du premier interlocuteur et termine sur la machine du second interlocuteur, quel que soit le nombre de serveurs traversés par la communication pour relier les deux interlocuteurs) des messageries instantanées (XMPP, IRC,...)) suite à l'insistance d'un nouveau contact (nouveau sur XMPP, connu depuis plusieurs années sur d'autres canaux). Depuis le temps que c'était dans ma TODO, ça ne pouvait pas me faire de mal de m'y mettre, pensais-je...

J'utilise Gajim comme client XMPP. Gajim m'indique que mon interlocuteur veut faire de l'OTR mais qu'il me faut un plugin pour ça. Soit, je vais dans le menu Édition -> Plugins -> Available (on notera l'absence de traduction...), je coche Off-the-Record Encryption et je clique sur le bouton « Upgrade » à moitié masqué derrière la liste des plugins disponibles (la qualité de conception habituelle de Gajim, normal quoi).

Je teste avec un premier contact : je clique sur le bouclier OTR apparu dans la fenêtre de notre conversation. Vu qu'on a déjà signé nos clés OpenPGP, je lui envoie un mail chiffré+signé (chiffré pour que personne d'autre ne soit au courant, signé pour qu'il puisse être sûr que ça vient bien de moi) avec un secret partagé (une chaîne de 40 caractères minuscules+majuscules+chiffres+autres générée aléatoirement). Je décoche la case « use question? » puisqu'il sait déjà ce que je vais lui demander. On saisit chacun le secret partagé et... ça juste fonctionne. Jusque-là, je suis émerveillé. :O

Je teste avec un deuxième contact. On n'a jamais signé nos clés OpenPGP donc il va falloir trouver un autre moyen de s'authentifier mutuellement. Mon interlocuteur a dégainé avant moi et le plugin OTR me propose de répondre à sa question : quel est le contenu d'un fichier sur un serveur sur lequel nous sommes tous les deux adminsys. Ho, excellente idée, c'est de là que je le connais en plus donc ça tombe bien puisque ce que je cherche à savoir en réalité, c'est si ce mec sur XMPP est bien le copain adminsys que je connais ! Je vais chercher la réponse (on notera que cette phase dépend de ma configuration SSH pour les algos de chiffrement utilisés et sur une bonne vérification antérieure de l'empreinte de la clé du serveur) et je réponds à la question dans le plugin OTR.

Cette fois-ci, surprise : lui me voit comme un contact authentifié mais pas moi... Je dois lui poser une question... C'quoi l'embrouille ?! Sur l'instant je suis perdu et c'est *très mauvais* signe en crypto : si vous ne comprenez pas ce que vous êtes en train de faire, la crypto est totalement inutile, vous êtes foutu, de base ! Je réfléchis avec le premier contact qui a déjà touché de l'OTR. On ne comprend pas : nous avons réussi à utiliser un secret partagé tous les deux mais là, ça semble être le mode question/réponse... Je mets en cause la qualité des implémentations mais... on utilise tous les trois Gajim @ Debian...

En fait, le problème, c'est l'ergonomie du plugin OTR de Gajim : si tu coches « use question? », tu utilises le mode « question/réponse » d'OTR donc chaque interlocuteur doit répondre à une question de l'autre. Si tu décoches cette case, tu passes au mode « secret partagé » d'OTR. Vas-y pour comprendre ça quand t'es pas initié... Je maintiens : l'interface du plugin OTR de Gajim est naze. On est au niveau de l'ergonomie d'Enigmail (extension de chiffrement des mails avec OpenPGP pour Thunderbird). Ce n'est pas possible.

Mes premières conversations OTR établies, je me dis que je vais creuser un peu plus les options de ce plugin OTR. Déjà, dans la description du plugin, je lis « Read https://github.com/python-otr/gajim-otr/wiki before use. ». Oki, allons lire. Et là, c'est le drame : « What's the status of python-otr and gajim-otr on GitHub or the gajim-plugin repository? *It's dead.* [...] However, I do not recommend using this software, as *it's completely unaudited and written by non-cryptographers. I would not be surprised if it provides absolutely no security in any sense.* ». Oki donc je croyais être plus en sécurité mais c'est peine perdue, je n'ai rien gagné... Encourageant, n'est-ce pas ?

Je ne baisse pas les bras, peut-être y'a-t-il un autre plugin OTR pour Gajim non référencé dans le dépôt officiel des plugins ? Une rapide recherche sur le web ne met rien en évidence. Je voulais juste faire du chiffrement de bout en bout qui fonctionne out-of-box sans prise de tête, pas me retrouver à changer de client XMPP car cette réponse est inacceptable pour un non-initié ("je ne vais pas apprendre un nouveau logiciel, voyons !") à juste titre !

Je décide d'en apprendre un peu plus sur OTR et je lis la page Wikipedia qui lui est consacrée et là, c'est encore plus le drame : « OTR uses a combination of AES symmetric-key algorithm with 128 bits key length, the Diffie–Hellman key exchange with 1536 bits group size, and the SHA-1 hash function. ». Je lis les spécifications (https://xmpp.org/extensions/xep-0364.html et https://otr.cypherpunks.ca/Protocol-v2-3.1.0.html, la version 3 n'apporte aucun changement à ce niveau là) et oui, l'intégrité et l'authenticité du message reposent bien sur SHA-1... En 2016 (https://sites.google.com/site/itstheshappening/) ! Oui, SHA-1 n'est pas encore troué mais en crypto, il faut toujours voir plus loin, avoir de l'avance. On est donc plutôt mal parti avec OTR.

Aeris me pointe cette actualité https://linuxfr.org/news/xmpp-a-fond#chiffrement . Et là, j'ai envie de me trancher les veines :
« L’ancienne méthode : OpenPGP

Il y a eu d’abord une XEP pour utiliser OpenPGP, qui était une XEP dite « historique », c’est à dire basée sur l’usage existant. Cette XEP (la XEP-0027) posait des problèmes de sécurité et a été dépréciée pour cette raison.

Le bout en bout un peu fouillis : OTR

Quelques tentatives plus tard, OTR est apparu et est devenu la mode. Si bien que plusieurs clients XMPP se sont mis à l’utiliser, mais sans XEP. Autrement, dit c’était un peu la fête, surtout qu’OTR dispose de sa propre méthode de découverte indépendante du discovery de XMPP, que certains s’amusaient à mettre du XHTML dans le message sans rien pour le préciser (amenant à des situations comme « j’essaye de décoder du XHTML, pas d’erreur ? Si ? Alors, je prends ça comme du texte. »). Heureusement, une XEP a été publiée récemment pour améliorer la situation, la XEP-0364. On voit bien ici l’intérêt de la standardisation, c’est un cas d’école.

D’autres problèmes sont liés à OTR : il ne chiffre que le contenu du <body/>, c.‐à‐d. le cœur du message. Comme des tas d’extensions ajoutent des informations en dehors du <body/>, il est risqué de les utiliser avec OTR. Autrement dit, il vaut mieux que le client désactive tout quand il utilise OTR. D’autre part, il ne fonctionne qu’avec une conversation directe et il n’est pas possible de laisser un message hors ligne.

Le bout en bout moderne : Aloxotl

En parallèle est arrivé Aloxotl, qui corrige plusieurs défauts d’OTR. Désirant l’implémenter, les développeurs du client Conversations ont pu bénéficier du Google Summer of Code, sous l’égide de la XSF, à condition qu’ils rédigent une XEP.

Ceci a donné OMEMO, qui apporte principalement une synchronisation entre les ressources XMPP (et donc entre les appareils) et les messages hors ligne. Deux XEP ont donc été proposées (cf. le lien précédent), l’une pour le cœur d’OMEMO, l’autre pour son utilisation avec le transfert de fichiers Jingle. Malheureusement, elle souffre du même défaut qu’OTR, c’est‐à‐dire qu’elle ne chiffre que le <body/> du message.

Côté IETF

Mais ça n’est pas tout ! Il y a eu également un travail sur une méthode de chiffrement faite par l’IETF, dont on peut consulter le brouillon. Méthode qui, elle, chiffre la stanza complète !

Et re-OpenPGP

Enfin, il y un travail en cours pour une nouvelle intégration, propre cette fois, d’OpenPGP dans XMPP, dont un brouillon est disponible. »


Une seule expression pour qualifier tout ça : le bordel intégral ! On espère vraiment populariser le chiffrement de bout en bout avec ça ?! Sérieusement ?

Où je veux en venir ? On n'arrivera jamais à faire percer la crypto avec :
    1) des logiciels à l'ergonomie vaseuse (Enigmail et gajim-otr, même combat) ;
    2) des logiciels complètement cramés d'un point de vue de la sécurité ;
    3) des algos foireux, dépréciés et non sécurisés activés de base (GPG et OTR, même combat) ;
    4) XXXX méthodes de chiffrement/signature dont aucune n'atteint l'objectif et n'est réellement utilisable par des non-initiés (on a le même problème avec le chiffrement des SMS... SMSSecure, TextSecure, Signal, Telegram... à part SMSSecure, toutes sont vaseuses/dangereuses (voir http://shaarli.guiguishow.info/?CGDOlw et http://shaarli.guiguishow.info/?vungLg ) et SMSSecure ne semble pas être accessible aux non-initités).

Je n'aime pas l'acronyme « IRL » et sa version longue « dans la vraie vie » (même chose pour l'expression « viens me causer en vrai ») et je pense qu'il ne faut plus les utiliser. Voici mes raisons :
    * Dire « IRL », c'est faire le jeu des détracteurs du Net, de ceux et celles qui pensent que c'est uniquement du virtuel, qu'il n'y a rien de concret, que c'est uniquement du vent, que les personnes qui s'expriment sur le Net sont des peureu-x-ses planqué-e-s derrière leur écran, que la législation actuelle ne s'y applique pas et que c'est donc une zone de non-droit qu'il faut réguler immédiatement. Le pédoporn, ce n'est pas des vidéos sur Internet : c'est des enfants en souffrance quelque part dans le monde. Les libertés numériques ce sont les libertés usuelles tout court (liberté d'expression, droit à l'image, liberté d'information, liberté d'opinion,...). Évitons d'utiliser la novlangue des personnes avec lesquelles nous sommes en désaccord car la possession d'autrui, d'un groupe de personnes ou d'une idée commence par la langue. Exemple : les personnes transgenres ne veulent pas qu'on les désigne transsexuelles car ce mot à un sens bien précis : en psychiatrie, il désigne une pathologie donc si ces personnes utilisent ce terme, elles se reconnaissent malade, de fait, alors que l'idée qu'elles cherchent à faire passer est que, justement, c't'un choix, c'est une identité, c'est *leur* identité, c'est ce qu'elles sont, c'est "comme ça" mais ce n'est sûrement pas une maladie mentale.

    * Techniquement, Internet est un médium de transmission, comme le téléphone ou le courrier. Dirait-on que les factures reçues par la Poste ne sont pas réelles ? Dire « IRL », c'est reléguer Internet à un simple réseau technique, entre ordinateurs alors que c'est un réseau qui permet à des personnes de communiquer entre elles : les ordinateurs ne sont pas autonomes et transmettent ce qu'une personne humaine leur demande de transmettre. Ce réseau et ce que nous y trouvons sont bel et bien physiques, ancrés dans notre réalité : il y a des bâtiments (datacenters) qui hébergent des serveurs informatiques qui stockent les contenus produits par l'humanité connectée. Il y a des kilomètres de câbles, sous nos trottoirs, le long des autoroutes,... Il y a des organisations humaines (sociétés commerciales, associations) qui font tourner tout ça. Des gens sont payés pour veiller au bon fonctionnement de leur parcelle d'Internet. Il y a chacun de nous.

    * Mieux qu'un médium de transmission, Internet est un prolongement de nos humanités. Internet n'est pas une autre réalité à la Matrix, une réalité alternative et encore moins une fausse vie. Une expérience toute simple : si c'était le cas, j'aurais le droit d'insulter quelqu'un, d'être en guerre intégrale avec lui sur le Net tout en étant pote dès qu'il n'y a plus Internet entre nous. Il y aurait une action de se brancher/débrancher du réseau. Une sorte de délire collectif. C'est stupide : on voit bien que les actions en ligne ont des répercussions hors ligne, de la simple communication à la catalyse qui conduit à la chute d'un état totalitaire en passant par des achats sur le Net. De ce simple fait, on démonte l'idée de deux mondes bien différents et cloisonnés : on est bien dans un seul et unique monde. Un site web, un mail, un commentaire sur un blog, une discussion par messagerie instantanée sont bel et bien réels et c'est bien mon cerveau qui a rédigé tout ça, tout comme il structure mes conversations orales. Le même cerveau, pas un autre.

    * D'un point de vue sémantique, « IRL » met l'accent sur les spécificités des interactions en ligne, par opposition à celles qu'on peut avoir quand on peut se donner des châtaignes. Et c'est bien tout le problème : on suppose implicitement la lâcheté de l'interlocuteur, ce qui n'est pas le cas (exemples des lanceurs-euses d'alertes et des militant-e-s pour la liberté dans les états totalitaires,...). Je peux être lâche au téléphone comme sur le Net mais utiliser un téléphone ou un ordinateur ne fait pas forcément de moi un lâche. Ou alors, les militant-e-s pour la liberté lors du Printemps arabe qui uploadaient des vidéos au lieu d'être sur le front de la contestation étaient aussi des lâches : après tout, ils-elles s'exprimaient sur Youtube/Facebook/autre pour documenter au lieu de recevoir des coups ! Bizarre de traiter de lâches des personnes qui s'expriment à l'écrit (donc ça restera, au contraire de l'oral) en public (au contraire de la rixe en petit comité). On part du principe que, s'il n'y a pas moyen de coller un marron à son interlocuteur, alors la communication n'a plus rien de vrai, qu'elle est dénaturée, presque qu'elle n'a plus de sens. C'est juste des pulsions guerrières qui s'expriment. Et si l'évolution de l'humanité était de surpasser cet esprit-là ? J'veux dire, c'est dans cette direction que l'on se dirige depuis plusieurs siècles avec nos états de droit : le droit est une construction humaine comme échappatoire à l'état de nature : on ne se tape plus dessus jusqu'à ce que le plus fort/rapide l'emporte, on privilégie le dialogue et on règle nos problèmes devant des personnes qui ne sont pas parties prenantes dans notre embrouille (la justice). Le droit protège les faibles contre les puissants car la nature ne nous donne pas les mêmes caractéristiques physiques (force, rapidité, réflexes,...). On lisse les inégalités pour faire société en se consacrant à ce qui importe vraiment : nos humanités. Internet n'est donc pas une communication de lâche mais une communication plus humaine et au-delà des préjugés qui tend à aller au-delà des barrières (économiques, sociales, culturelles,...).


En remplacement d'« IRL », je préfère dire « AFK » mais cela soulève quelques oppositions. Faisons-en le tour :
    * Dire « AFK », c'est s'adresser à des initiés. Des non-initiés ne comprendront pas que ça signifie. Oui, c'est vrai, je n'ai pas grand'chose à dire pour défendre « AFK » si ce n'est que notre cerveau est capable de comprendre un terme qui nous échappe en fonction du contexte. Exemple : j'ai réussi à faire percer « ack » autour de moi, y compris à l'oral et y compris à des non-initiés (très peu savent que je tire ça de TCP et tou-s-tes n'ont pas calé que c'était le diminutif de « acknowledgement » mais juste que c'est ce qu'il faut dire pour confirmer qu'on a reçu une info quand on n'a rien à redire sur cette info).

    * La sémantique originale du terme « AFK » vient du milieu du jeu vidéo en réseau et signifie plutôt « je suis indisponible ». On le retrouve également sur les messageries instantanées, là encore pour prévenir rapidement que la conversation est interrompue suite à un événement extérieur imprévu. La bonne question est : je suis indisponible mais pour faire quoi ? Pour avoir ou prolonger une interaction humaine en ligne (que ça soit jouer ou discuter). Et c'est bien l'idée que je cherche à faire passer quand je dis AFK au sens d'IRL. Donc « se voir AFK » représente bien l'idée que je cherche à faire passer, c'est-à-dire qu'il n'y aura plus les machines et le réseau entre nous.

    * « Loin du clavier » à l'époque des ordiphones dans toutes les poches, c't'un peu une connerie, non ? Oui, on n'est jamais loin d'un clavier. Mais avoir un clavier près de soi ne signifie pas forcément l'utiliser et c'est inclus dans la définition d'AFK : un événement extérieur m'empêche d'avoir ou de poursuivre l'interaction que nous avions (discuter ou jouer, par exemple) mais ça n'indique pas ma localisation : quelqu'un peut me parler auquel cas je suis toujours devant mon clavier physiquement parlant ou bien je peux aussi avoir à ouvrir la porte de ma maison car quelqu'un a sonné auquel cas je ne suis plus devant mon clavier.

    * Ma définition d'AFK provient de Peter Sunde, l'un des fondateurs de The Pirate Bay et, vu qu'elle n'est pas répandue, elle entraîne une ambiguïté : un même acronyme, deux sens. Comme les termes geek et hacker : leur sens a été détourné par le plus grand nombre et il y a aujourd'hui une ambiguïté totale. La différence, c'est que, pour hacker/geek, leur véritable sens est également répandu. Il y a donc une sorte d'équilibre. Mais, comme on est un tout petit groupe à utiliser AFK dans le sens d'IRL, alors il y a déséquilibre et on crée une ambiguïté exclusivement dans nos prises de parole. Le problème de ce raisonnement est que, si on le suit, on laisse dire crypter au lieu de chiffrer parce qu'une majorité de personnes semble s'orienter vers l'usage de ce mot dans ce sens précis. Une différence toutefois : crypter pré-existait dans la langue française et on lui donne une définition provenant de l'anglais sans aucune raison valable : c'est un calque donc une impropriété. AFK et IRL c'est différent : je dénigre le sens d'IRL et je prolonge le sens d'AFK. Les langues évoluent en fonction des usages donc AFK peut très bien remplacer IRL : il suffit de le vouloir, comme d'habitude.

    * En revanche, c'est parfois certaines expressions qu'il faut virer sans essayer de leur trouver un équivalent. Je pense notamment à « j'ai discuté avec elle sur les Internets et dans la vraie vie » et à « on se connait dans la vraie vie ». Les compléments dans ces phrases n'apportent aucune information : tu as eu des discussions et tu connais cette personne, point, le support de la communication (l'air ou Internet) n'a rien à voir dans l'histoire. Certaines personnes diront ici que ça ajoute encore de l'ambiguïté genre un ami sur Facebook n'est pas un ami au sens traditionnel donc il faut faire la différence. Tout à fait mais plutôt que de se triturer l'esprit, on bannit aussi l'expression « un ami FB » qui est un non-sens en elle-même et le problème est réglé.


Peut-être devrions-nous construire un nouveau terme pour désigner une communication hors ligne, je ne sais pas. En attendant, je bannis « IRL » / « dans la vraie vie » de mes propos, je vire les constructions de phrases avec « dans la vie réelle » où ça n'apporte aucune information et je remplace « IRL » par « AFK » / « communication hors ligne » en fonction de mon interlocuteur dans les phrases restantes.

« Attention, le métier de chercheur en sécurité n’est pas totalement sans risque, comme viennent de le constater deux jeunes entrepreneurs qui viennent tout juste de créer Cesar Security, une société spécialisée dans les audits de sécurité et la prévention contre la fraude bancaire. La semaine dernière, ils trouvent une faille sur le site web du Forum International de Cybersécurité (FIC) qui se déroulera lundi et mardi prochain à Lille.

[...]

Ils sont aimablement reçus au téléphone par un consultant en sécurité du CEIS auprès de qui ils détaillent leur trouvaille. Ils lui envoient un rapport technique de la faille avec une proposition de correctif, un accord de confidentialité ainsi qu’un devis pour un audit de sécurité. « Au départ, nous lui avons proposé un audit gratuit, mais il a dit que ce n’était pas un problème, que l’on pouvait lui envoyer un devis chiffré », nous explique S. Oukas, l’un des deux entrepreneurs. [...]

Le jour suivant, c’est la surprise. A 9h du matin, les gendarmes sur Centre de lutte contre les cybercriminalités numériques (C3N) toquent à leur porte. Ils apprennent que l’éditeur du site a porté plainte pour « accès frauduleux à un système de traitement automatisé de données » (STAD), un délit passible de deux ans d’emprisonnement et d’une amende de 60 000 euros. Tout le matériel informatique est saisi. « Nous avons tout perdu : les trois ordinateurs dans notre bureau, un téléphone, un ordinateur personnel et même une PlayStation. Nous sommes tombés de très haut. Nous qui pensions que le FIC aurait encouragé une jeune startup, ils nous mettent à genou. Nous avons perdu nos outils de travail, nous ne pouvons plus rien faire », souligne M. Oukas.

[...]

De son côté, le CEIS n’a pas la même interprétation des choses. « Cette société nous a bien contactés, mais ce n’était pas désintéressé car elle nous a proposé ses services. Nous ne l’avons jamais autorisé à effectuer cette recherche. C’est de l’audit sauvage », estime Guillaume Tissier, directeur général du CEIS, qui n’a pas apprécié non plus que Cesar Security publie son alerte de sécurité de manière publique sur Twitter, aux yeux de tous. « Au tribunal, le débat tournera certainement autour de cette question, car on peut le voir comme une forme de vente forcée », estime pour sa part Bernard Lamon, avocat. »

Pas mal le piège du "envoyez-moi un devis chiffré", bien vu. Très décevant, vive le FIC. :)

Via https://twitter.com/01net/status/690943384735842309 RT par Stéphane Bortzmeyer.

« Combien d’argent Android fait-il gagner à Google ? Google n’a jamais révélé publiquement combien lui rapportait son système d’exploitation mobile. Mais aujourd’hui, on en a peut-être une petite idée grâce à une avocate d’Oracle Corp. Annette Hurst a expliqué devant un tribunal américain que le géant de la recherche a réalisé un chiffre d’affaire de 31 milliards de dollars pour un bénéfice de 22 milliards depuis la sortie de sa plateforme.

[...]

Comparativement, les résultats annoncés par l’avocat d’Oracle font pâle figure avec les revenus qu’engendre la firme de Cupertino. En effet, la vente d’iPhone a rapporté à elle seule 32,3 milliards de dollars à Apple rien qu’au dernier trimestre 2015, soit plus qu’Android durant toute son existence. »

Intéressant. Un point à ne pas oublier toutefois : Google a des activités beaucoup plus diversifiées qu'Apple et c'est un choix stratégique conscient.

Un dilemme me tracasse depuis longtemps. Je l'avais formulé dans mon billet de blog « Mon shaarli : 2 ans plus tard » (voir http://www.guiguishow.info/2015/03/08/mon-shaarli-2-ans-plus-tard/ ). Comme on en a reparlé sur IRC récemment, je me dis que ça peut être bien de le remettre ici pour diffusion et obtenir de nouveaux avis.

Ce dilemme était : « Je m'interroge toujours autant sur la pertinence de réagir à des effets d'annonce et/ou à des projets futurs encore flous de type "machin a dit que ceci ou cela sera peut-être fait", "tel texte de loi pourrait émerger",… Pour moi c'est entre nécessité de réagir pour ne pas les laisser faire n'importe quoi sous couvert de notre accord tacite et contribution inutile à un bruit ambiant totalement stupide et contre-productif… ».

Autrement dit : on est dans un système politique qui marche par sondage/opinion : annoncer une mesure/loi/autre, voir les réactions (trop gros ça s'est vu, trop gros mais on va bourriner avec de la propagande "c'est le bon sens, c'est pour votre bien" et ça va l'faire, c'bon ça passe,...) et s'adapter . Du coup, t'as du vent, beaucoup de conditionnel dans tes flux RSS (« machin a dit que », « le gouvernement pense faire ceci », « ha non en fait, il va faire comme cela », « ha mais non en fait... »). Si tu ne réagis pas au vent, tu laisses faire des horreurs en ton nom de citoyen. Si tu réagis au vent, tu crames ton temps libre à toute allure à réagir à tout et à n'importe quoi...

Dans le prolongement de ça, tu écoutes la députée écologiste Isabelle Attard à PSES 2015 ( voir https://video.passageenseine.fr/w/1fN8ASHCMSeHamCjnCqu39 ) te dire que "quand un texte arrive en séance plénière d'une des deux chambres de notre Parlement (Assemblée ou Sénat), c'est déjà trop tard. Quand on est dans les différentes commissions, c'est limite mais on peut toujours déposer des amendements en séance plénière même si c'est mal vu et qu'ils ont peu de chance de passer car ils n'auront pas été pas validés en commission par le rapporteur, mais le mieux est d'agir en amont : lorsqu'on est dans les discussions informelles autour du conseil des ministres et des conseillers du président", ça veut dire que, quand le texte apparaît publiquement sur le site web d'une des chambres de notre Parlement, c'est déjà fini, les jeux sont déjà faits. Donc le seul moyen d'agir, c'est en amont, là où le citoyen lambda n'a pas les accès ni même ne connait les interlocuteurs. Donc les seules informations viennent de la presse, de fuites volontaires (pour palper l'opinion) ou non, comme le dit très bien Isabelle Attard. Sauf que la presse, à ce moment-là, ne sait pas vraiment, accumule des informations, parfois contradictoires, c'est des bruits de couloirs donc elle n'affirme rien, elle parle au conditionnel pour ne pas se faire taper dessus. Donc si tu ignores ces articles de presse car "ça peut arriver comme ça peut ne pas arriver" ou "ce ne sera pas la version finale", la bataille est déjà perdue, de fait.

10 mois après mon billet de blog, ça me pose toujours un sacré problème moral : écouter du vent et contribuer à le brasser et donc faire le jeu du système ou perdre des batailles. Fais ton choix, camarade.

Perso, j'ai décidé d'être flexible, de regarder ce que les internautes que je suis (RSS, IRC, mails,...) produisent et de réagir uniquement si j'ai un nouvel axe de réflexion à proposer ou si je vois que le sujet n'a pas été traité ou pas sous l'angle qui me semble intéressant. Je vire systématiquement les contenus de type « l'entreprise X va améliorer son produit Y pour atteindre l'objectif Z » car osef de ce que font les sociétés commerciales tant que ça n'influe pas sur la vie de la cité. Je vire systématiquement les contenus type comparatif de produits (quand j'ai besoin d'acheter quelque chose, je compare, pas besoin de le faire à chaque fois) et les contenus « les bons plans de la semaine » (même raison : j'achète quand j'ai besoin, pas quand on me dit de le faire car il y a une promo bullshit). J'essaye de virer les généralités bien connues (exemple actuel : "le gouvernement X pense que le chiffrement, c'est mal"... c'bon, on a compris que quasi tous les gouvernements sont parti en croisade contre le chiffrement). Pour le reste, notamment les projets de loi, j'essaye de prendre du recul quand c'est possible afin d'éviter de réfléchir dans un capharnaüm mais c'est bien là le problème : les textes qui m'intéressent sont trop souvent examinés en procédure accélérée (un seul passage par chambre du Parlement puis Commission Mixte Paritaire pour résoudre les derniers conflits et c'est fini)...

Bref, mon conseil sera : écoutez le bruit, même si c'est relou, chiant et que ça semble inutile (ça ne l'est pas) et commentez-le publiquement sur votre site web perso. Je pense qu'on n'a pas vraiment le choix, il faut toujours écouter l'adversaire pour ne pas se faire prendre de court. Je pense qu'en divisant le travail de manière informelle dans la communauté, on arrivera à une bonne couverture des sujets sans s'épuiser comme des dingues : plus il y aura de participants, plus ça sera facile (car il est plus facile de relayer que de produire le contenu initial).