pt
Moulé à la louche depuis 1999
Les trucs qui m'énervent... et je vais pas prendre de pincettes
Internet, informatique, logiciel libre, économie, politique, vie courante et tout le reste...

Un DNS racine par Pirate-Bay ?

Mardi 30 novembre 2010

Pirate Bay en a assez de la mainmise de l'ICANN sur les DNS racines, principalement sous la coupe du gouvernement américain. Il lance un appel aux FAI du monde entier pour participer à un nouveau DNS racine.

Je trouve que c'est vraiment une idée à la con. Cela va fragmenter internet, créant deux univers qui ne peuvent pas communiquer entre eux.

Tim Berners-Lee se retournerait dans sa tombe s'il était décédé.


Mise à jour 2 décembre 2010: Comme toujours, l'excellent Stéphane Bortzmeyer donne son avis sur la question. A lire absolument. On notera particulièrement que le principe d'un DNS en P2P ne règle que le problème de la résolution des noms de domaine, pas leur enregistrement.

Pour qui roule Wikileaks ?

Mardi 30 novembre 2010

Wikileaks a dévoilé 250 000 notes de communication entre les ambassades américaines et l'administration. En soi, ça m'a bien fait rire, même si le contenu est moyennement intéressant (Sarkozy est arrogant, quel scoop).

Ce que je me demande, c'est pourquoi Wikileaks se concentre presque exclusivement sur le gouvernement américain ?

Est-ce qu'il ne serait pas bien plus intéressant de s'«attaquer» à des gouvernements comme la Chine, l'Iran ou la Syrie ? Bref, aux états totalitaire bien plus dangereux que les USA ?


PS: Tiens PAF ! Dans la foulée Wikileak est sous le coup d'une attaque DDOS.


Mise à jour 21h55: Wikileaks annoncent qu'ils vont diffuser des documents confidentiels concernant l'agissement de banques... américaines.


Mise à jour 2 décembre 2010: Tiens justement, des anciens de Wikileaks vont former un site similaire. Leur motivation ? Ils trouvent que Wikileaks est trop centré sur les USA, justement.

En vrac

Vendredi 26 novembre 2010


Un "En vrac" un peu technique, aujourd'hui.
  • Le parlement européen a approuvé ACTA >:-(

  • Au moins une bonne nouvelle: En France, la redevance télé ne sera pas étendue aux PC et aux tablettes... pour l'instant.

  • Débile: Les propriétaires qui avaient demandé à Google Street View de flouter leur maison ont retrouvé leur propriété bombardée d'œufs. C'est minable comme réaction.

  • Daniel Galzman est très en rogne contre Pascal Nègre (PDG d'Universal-Musique). Il faut dire que Monsieur Nègre n'en est plus à une énormité près.

  • Oracle continue la descente aux enfers dans le monde du logiciel libre: Ils ont fermé sans prévenir les comptes de contributeurs à OpenOffice.org. Bravo, de mieux en mieux.

  • Il paraît que la CNAF (Caisses Nationale d'Allocations Familiales française) est passé à Postgres, la base de données opensource (cousine de mySQL). Elle supporte 1 milliard de requêtes par jour. Je ne sais pas ce que va faire Oracle de mySQL, mais cela fait de Postgres une alternative de plus en plus intéressante, d'autant que cette base est performante et possède plus de fonctionnalités que mySQL (par exemple une gestion des droits plus fine).

  • L'auteur du codec opensource x264 a eu une mauvaise surprise: Une entreprise surveille ses logs de commit de source et tente de déposer les brevets correspondants. Quelle bande d'enfoirés ! Piocher dans les applications opensource pour déposer des brevets, c'est quand même particulièrement minable.
    Mise à jour 2 décembre 2010: L'auteur de x264 est revenu sur ses propos. Il est possible que cela ne soit qu'une coïncidence, mais il continue à dire que ce brevet est trivial et n'aurait jamais dû être déposé.

  • Windows a 25 ans. Je me souviens encore de la sortie de Windows 1.0, ridicule car on ne pouvait même pas superposer les fenêtres. Lisa (d'Apple) avait déjà des années d'avance. (Oui bon c'est mon vieux côté anti-microsoft qui ressort.)

  • Contrairement aux rumeurs, Ubuntu ne va pas passer d'un cycle de mise à jour de 6 mois à une mise à jour en continue. Pourtant ça aurait été une bonne chose, déjà pour éviter la lourdeur d'une mise à jour totale (ou une réinstallation), mais aussi pour bénéficier plus rapidement des nouvelles versions des logiciels (raz-le-bol de se traîner de vieilles versions de Firefox ou VLC, ou de devoir recourir à des dépôts PPA tout le temps).

  • mod_pagespeed est un module pour Apache 2 fait par Google qui optimise à la volée les pages web côté serveur. En soit c'est une affreuse bidouille et ne devrait pas remplacer une bonne conception des pages, mais ça peut se révéler utile pour donner un bon coup de booster sur les performances d'affichage d'un site, surtout pour les applications web que vous ne pouvez pas modifier (si vous n'avez pas les sources ou les ressources/le budget pour les modifier/optimiser).

  • Un ordinateur portable dont le clavier du bas est remplacé par un écran tactile. Très joli, mais le manque de "retour" physique lors de la frappe doit quand même être gênant.

  • Le ridicule ne tue pas: Une application pour changer le fond d'écran de Windows 7 Starter Edition, car le système l'interdit. Ce genre de limitation fait vraiment pitié. Encore heureux que Microsoft ait renoncé à limiter le système à 3 applications simultanées.

  • Science. Je cite: «Les femmes parviennent souvent moins bien à se détendre complètement au point d’oublier tous les soucis du quotidien. Et pour cause, le cerveau féminin aurait une plus faible capacité à se reposer que celui des hommes. Une différence qui trouverait peut-être sa source dans le taux des hormones sexuelles.»

  • Le monde Minecraft de Nuxos a de plus en plus de participants. Ils ont mis en place un wiki. J'en ai profité pour découvrir Dokuwiki, un excellent wiki opensource, qui ne nécessite que php (pas de base de données). Il est simple, propre, fiable, riche, pratique. Si vous cherchez un wiki à mettre en place rapidement, c'est ce qu'il vous faut. Ça s'installe en deux minutes. C'est un no-brainer, comme ils disent.

  • Le serveur LTSP s'enrichit de la possibilité de faire tourner certaines applications côté client, ce qui allège d'autant le serveur. Sympa.

  • Dans la veine de PeerGuardian, voici un autre bloqueur d'IP pour Windows: PeerBlock, fourni sous forme d'un pilote Windows. Au cas où il y en aurait encore qui sont assez masos pour continuer à télécharger des films piratés par P2P (oh oui, fouette-moi encore, HADOPI !).

  • J'ai déjà rencontré des tas d'internautes à qui j'ai parlé des problèmes de sécurité, notamment la possibilité d'être espionné par webcam. Dans beaucoup de cas on m'a regardé comme si je racontais d'énormes conneries, comme si c'était impossible. Alors voici un exemple assez frappant: Ce trentenaire, père de famille, avait la main sur plus de 200 000 PC dont il espionnait les utilisateurs par leur webcam. A ce stade de voyeurisme, il faut se faire soigner.

  • Nouvelle arnaque: Vous recevez un SMS ou un appel téléphonique vous signalant une fuite sur votre compte bancaire. Derrière, on vous envoie bien sûr sur un site d'hameçonnage. L'arnaque est classique, mais le fait d'utiliser des SMS ou le téléphone a sûrement plus de poids psychologique qu'un email contrefait (via Zataz).

  • Technique: Une explication sur la différence d'architecture entre X et Wayland.

  • Le concept de cette poignée de porte est assez amusant, mais quid de la vie privée ? Autant mettre des portes en verre, non ?

  • Science: Les poules n'ont pas de dents, mais les serpents volent.

Purée, 30 ans

Mardi 23 novembre 2010

Une vérité vient de me frapper à l'instant.

J'ai mis la première fois le doigt sur un ordinateur à l'âge de 7 ans. C'était un Apple II+.

J'ai 37 ans. Cela fait donc 30 ans que je maltraite des ordinateurs.


Purée, 30 ans     oO

Ça fout un coup, quand même.

En vrac

Mardi 23 novembre 2010


  • Pendant que la loi LOPPSI2 continue à avancer en France, le gouvernement Thaïlandais fait l'aveu d'échec de sa liste noire: La censure coûte cher et ne marche pas.

  • Malgré le fait que la France soit à la traîne sur le numérique, l'État annonce son intention de supprimer le secrétariat à l'économie numérique. C'est toujours plus facile de supprimer ce qui vous fait peur que d'y être confronté.

  • En France il est désormais interdit d'appeller au boycott de produits d'un pays. Sous peine d'un an de prison et de 45 000 € d'amende. Ben merde alors :-(

  • Malgré les assauts qu'il a dû subir, Wikileaks tient le coup et annonce une prochaine nouvelle diffusion de documents, 7 fois plus importante que celle de la guerre en Irak. Ça va faire mal.

  • Google vient de combler une "petite" faille qui permettait à n'importe quel webmaster de connaître instantanément votre adresse en @gmail.com. oO
    Comment éviter ce genre d'embrouille ? En utilisant plusieurs navigateurs (par exemple Opera pour lire vos emails et consulter votre banque, pendant que vous surfez sur Firefox).

  • Voici la version française du manifeste pour le droit à réparer soi-même. Les fabricants de matériel détestent cela: Ils préfèrent que vous jetiez votre matériel pour acheter du neuf. Mais réparer c'est économique, écologique et ça permet d'apprendre.

  • Clubic annonce deux nouveaux téléphones d'«entrée de gamme» chez Nokia. Putain on a pas la même notion d'«entrée de gamme».

  • J'ai encore trouvé un bon article sur Minecraft. L'auteur lève plusieurs points intéressants:

    • Des jeux avec des graphismes trop réalistes tuent l'imagination. C'est analogue à la différence entre lire un livre et regarder un film: Le livre suggère les éléments, c'est votre cerveau qui leur donne une réalité, une image. Par ses graphismes "simplistes", Minecraft stimule l'imagination: C'est votre cerveau qui comble les brèches et ajoute de la profondeur au jeu.

    • Il n'y a pas forcément besoin de prendre les joueurs par la main avec un scénario pré-défini. L'auteur de Minecraft n'a pas dicté comment vous deviez y jouer et ce que vous avez à y accomplir (c'est ce qu'on appelle l'emergent gameplay). C'est finalement vous qui vous fixez vos objectifs. C'est une fantastique liberté (même si cela peut rebuter certains joueurs, ce que je comprend).

    • Malgré l'intelligence artificielle très limitée et les graphismes primitifs, Minecraft est un jeu qui vous donnera des sueurs froides. Cela est probablement dû au fait qu'il y a dans le jeu un sentiment d'insécurité constant. Le monde est vaste, hostile et on peut rapidement se perdre. Explorez les réseaux de cavernes à plusieurs centaines de mètres sous terre (surtout après vous y être perdu(e)), vous comprendrez. Je suis totalement d'accord avec lui: C'est l'un des jeux les plus effrayants auxquels j'ai pu jouer, largement à égalité avec Half-Life (qui jouait également sur la peur du noir). Minecraft fait appel à vos peurs primales. (Je verrais très bien un poster Minecraft avec le texte: «Votre maman vous a toujours dit qu'il n'y a pas de monstres dans le noir... elle avait tort.» ou «Dans les profondeurs de la terre, personne ne vous entendra hurler.»)

    • Minecraft a su rendre accessible la construction 3D. N'importe quel internaute qui s'est essayé aux logiciels de modélisation 3D sait à quel point ils sont difficiles à utiliser. Minecraft offre des outils simples que tout le monde peut maîtriser. On peut construire librement, le terrain "naturel" de Minecraft offrant un terreau à votre imagination.

    • Le fait qu'il n'y ait aucune documentation ou guide officiel du jeu fait que les joueurs recherchent de l'aide auprès d'autres joueurs. Cela créé une communauté.

    • Ce sont finalement ces petites "lacunes" (dans le sens "espace vide" et non "carence") qui participent au succès de Minecraft.


  • Quand le design de jouets tourne mal (ah oui on ne peut pas penser à tout...). Mouahaha.

  • Si vous bossez dans le monde de l'informatique professionnelle, ne ratez surtout par l'excellent billet de Ploum. Toute ressemblance avec des faits réels est volontaire. D'autres en parlent de manière plus grave.

  • Du mal à lire les documents .docx ? (Microsoft OpenXML). Si vous avez une vieille version d'Office, vous pouvez télécharger le plugin de conversion. Il marche même dans le vieux Office 97. Quant à OpenOffice.org, la version 3.0 est censée les ouvrir directement. C'est toujours mieux que débourser 120€ rien que pour pouvoir lire ce nouveau format de fichier (Mais purée qu'est-ce qu'ils ont tous à m'envoyer des docx ? >:-(

  • Hé moi j'en veux bien aussi un comme ça pour jouer à Minecraft et Urban Terror !

  • L'excellent site The Big Picture du Boston Globe héberge cette semaine les photos des candidats au concours photo du National Geographic. Superbe.

  • Un nouveau freeware a été publié chez GRC: DNS Benchmark vous permet de tester la vitesse de réponse de différents serveurs DNS (celui de votre FAI, celui de Google, celui d'OpenDNS...). Pensez à utiliser l'option de customisation automatique de la liste des DNS afin que le programme test des DNS plus proches de vous (DNS nationaux, par exemple). Il est possible que le programme trouve des DNS plus rapides que celui de votre FAI, ce qui aura un impact bénéfique sur la vitesse d'affichage des pages. (Bon ce n'est toujours pas aussi bien qu'avoir un serveur DNS en local, mais c'est plus simple.)

  • Je ne sais plus si j'en avais parlé: AllMyApps et Framapack me satisfont moyennement, car il est impossible de faire une installation sans connexion internet. LiberKey semble pas mal du tout en remplacement.
    Mise à jour 24 novembre 2010: Yannick B. me signale que Framapack possède une option pour permettre l'installation hors-ligne.

  • Processing est une librairie Java pour faire des graphismes animés. Les auteurs l'ont ré-implémenté presque entièrement en pur Javascript. Woaou. Processing.js utilise HTML5 (canvas) pour dessiner. Leur but est d'être quasi-compatible avec Processing. Bien sûr, ce truc est un bouffeur de CPU, puisque c'est du Javascript, mais c'est amusant et il y a plein d'exemples (oui, il y a aussi une mandelbrot en 64 lignes de Javascript et le jeu de la vie de Conway en 70 lignes).

  • Mmmm... un rootkit dans le CPU d'une carte réseau. Et comme les périphériques ont généralement accès à la mémoire de l'ordinateur via DMA, je vous laisser imaginer les possibilités. Miam. (PS: Je vous l'avais dit, hein, que les attaques concernant le matériel allaient se développer.)

  • 1... 2... 3... 4... ce sont les heures auxquelles j'ai été réveillé cette nuit par un bébé qui fait ses dents. Need more coffee.

En vrac

Vendredi 19 novembre 2010


  • Les blogueurs et journalistes sont très rapidement emprisonnés dans des pays comme l'Iran, le Sénégal, l'Egypte, l'Ouzbékistan, le Pakistan, le Congo, la Chine, l'Afghanistan, le Viêt-nam ou encore le Bahreïn. C'était juste pour bien garder ça à l'esprit et ne pas oublier que la liberté d'expression de va pas de soi.

  • En plus de coûter un pognon fou et de ne servir à rien, HADOPI continue à ridiculiser internationalement la France.

  • C'est quand même assez incroyable comme affaire: Le 8 avril dernier, durant 18 minutes, la Chine aurait détourné 15% du trafic internet mondial. C'est absolument énorme. Surtout avec le problème des certificats SSL (CNNIC est une autorité de certification directement dirigée par le gouvernement Chinois). Plus de détails (en anglais) ici.

  • Économie: Les actifs de la banque BNP Paribas dépassent le PIB de la France (via veilleurs.info). Mind blown oO

  • Encore un jugement contre la vente liée. Est-ce bien ? En soit oui, mais on trouve des jugements dans les deux sens, et au final la jurisprudence ne clarifie pas les choses.

  • S'il fallait un exemple de plus: «Je ne visite que des sites de confiance...» bla bla bla... et hop le site d'Amnesty International qui diffuse des exploits 0-Day concernant IE.

  • Il y a quelques jours, je suis tombé par hasard sur un épisode du dessin animé Wakfu. Je dois dire que j'aime bien le graphisme et l'animation de cette série. C'est vraiment très joliment fait. Et c'est une production française. Wakfu appartient à Ankama, célèbre pour son jeu en ligne Dofus. Ils ont bien su monétiser leur univers: Dessin animé, BD, cartes à jouer, jeux sur PC, jeux en ligne.

  • Un site web pour savoir si votre FAI bride votre connexion internet (via veilleurs.info).

  • Il paraît qu'il y a un patch magique du noyau Linux de 233 lignes qui rend le système plus rapide. En fait, ça modifie juste le comportement des tty (terminaux), ce qui est super quand on regarde une vidéo en compilant. Bref, ce n'est pas le remède miracle que certains voudraient bien nous faire croire. Et on peut aussi obtenir la même chose sans toucher au noyau, avec quelques lignes dans votre .bashrc.
    C'est malheureux à dire, mais de manière générale les interfaces graphiques sous Windows sont bien plus réactives que celles de Linux. Cela tient sans aucun doute à l'orientation "Desktop" d'origine de Windows (alors que Linux a un scheduler plus orienté serveur), mais aussi à la qualité des pilotes graphiques et à une certaine lourdeur de X sous Linux. Il suffit de voir les différences de performances de défilement de Firefox sous ces deux systèmes. Il y a encore du travail.

  • Je n'ai toujours pas installé la version 10.10 d'Ubuntu (à part dans une machine virtuelle) et toujours pas mis à jour ma petite doc de customisation (Vous avez été plusieurs internautes à me la demander). C'est par manque de temps. Elle n'est pas prévue dans l'immédiat.

  • Woaou... encore plein de nouveautés dans la version 2.49 de Blender. Dommage que je n'ai pas le temps de m'y remettre.

  • Développement: Il faudra vraiment que je prenne le temps de regarder de près FOSSIL, un gestionnaire de version distribué+wiki+serveur web+bugtracker, le tout contenu dans un seul exécutable portable. Ça a l'air rudement pratique. (Merci à Benoit M. pour le lien). La fiabilité de FOSSIL semble tellement bonne que même l'auteur de SQLite l'a choisi pour gérer ses sources, c'est dire (D'ailleurs je vous encourage à lire l'intéressant papier sur la fiabilité logicielle, par l'auteur de SQLite, ainsi que cette page qui explique comment SQLite est testé).

  • A l'instar de Google, les services "Live" de Microsoft sont maintenant accessibles en HTTPS. C'est une très bonne chose.

  • Le fameux "Google Dorks" se trouve un nouveau domaine (via Korben). Ce site recense les failles de sécurité qu'on peut trouver sur les sites web en utilisant Google.

  • Vous vous rappelez le collant Evercookie ? Il y aura d'ici peu une extension Firefox pour s'en débarrasser: Nevercookie.

  • Non, non et non: Les 70000 polices de caractères de Fontpark.net ne sont pas toutes gratuites. C'est faux. Vous pensez que l'Adobe Garamond est gratuite ? Elle est à 34€ chez Adobe. Méfiez-vous.

  • Les Sénateurs français souhaitent inscrire le principe de neutralité du net dans la loi. Ça serait vraiment très bien. Mais the devil is in the details. Attendons de voir en quoi consistent les exceptions prévues.

  • Adobe sort un nouveau lecteur PDF: Adobe Reader X. Enfin plus sûr ? Il est censé posséder un système de sandbox, empêchant tout code malicieux d'accéder au système. On verra.

  • OOhhh.... alors c'est comme ça que fait le Kinect pour mesurer la profondeur ? Pas con.

  • Voici l'une des premières fois où le licences Creative Commons sont éprouvées devant un tribunal: Un cinéma belge a été condamné pour violation de la licence CC (et donc du droit d'auteur) d'un groupe de musique.

  • Vrac du vrac: Une petite histoire (en anglais) sur la psychologie des chiens. Ça m'a bien fait marrer.

En vrac

Jeudi 18 novembre 2010


  • Ce n'est pas souvent qu'un hébergeur protège la liberté d'expression de ses clients contre les requêtes de suppression abusives. Merci Overblog. Ce n'est pas le cas de tout le monde, n'est-ce pas, Google ?

  • Merci le Sénat français: Désormais, les œuvres orphelines (dont l'auteur est inconnu) seront non pas libres, mais redevables de royalties. Ben voyons.

  • Comme si ACTA ne suffisait pas, voici une nouvelle merde: COICA (Combating Online Infringement and Counterfeits Act). Vous l'aurez deviné, c'est encore sous le prétexte de lutter contre la contrefaçon qu'on veut museler et filtrer internet. Pouark.

  • Démonstration pratique: Comment prouver en quelques étapes la totale inutilité d'HADOPI avec une seedbox.

  • Après quelques années de procédure, LimeWire c'est fini. Encore un logiciel de P2P qui mord la poussière. Aucune importance, il y en a plein d'autres, surtout la nouvelle génération (décentralisée, chiffrée et anonyme).

  • Ah oui, j'avais omis de vous le préciser ? En France depuis le 1er novembre les SSD et les NAS sont aussi assujettis à la taxe pour la "copie privée". No comment.

  • Quand la police s'en prend aux journalistes, c'est un peu de démocratie qui s'érode.

  • De simples rumeurs sont capables de mettre à mal la stabilité d'états entiers. Le mythe des "voleurs de sexe" est en train de faire des dégâts en Afrique. Je parle de meurtres, de lynchages publiques et d'instabilité de la sécurité publique. C'est grave, c'est triste.

  • Les honeypots sont des réseaux fictifs dont le but est de détecter et piéger les hackers. Juste retour de bâton: Les opérateurs de botnets incluent maintenant des interfaces d'administration bidons dans le but de piéger les chercheurs en sécurité. C'est l'escalade.

  • Un arménien de 27 ans a été arrêté: Il contrôlait un réseau de 30 millions de PC qu'il utilisait pour répandre des virus et du spam (bien sûr pour gagner de l'argent).

  • Il paraît que la Russie abandonne Windows comme système d'exploitation officiel. C'est impressionnant, mais dans le même temps on apprend qu'un prof s'est fait lourder pour avoir critiqué le fait que l'éducation nationale russe impose Microsoft Office.

  • De nouvelles failles Flash, mais est-ce vraiment une surprise ? Pensez bien à mettre à jour Flash.

  • Google Street View ne plaît pas à tout le monde. En Allemagne, les propriétaires peuvent demander à Google de flouter leur maison. Et en France ?

  • Le bureau des brevets américain s'enfonce encore plus en rendant encore plus difficile le rejet de brevets triviaux. Bah.

  • Certains processeurs AMD possèdent des instructions cachées de débogage. En gros, cela permet de tracer pas à pas l'exécution des programmes et systèmes d'exploitation et d'apporter des modifications en cours d'exécution. C'est techniquement intéressant, mais je vois également là un très gros risque de sécurité. Il n'est pas difficile d'imaginer un virus tirant partie de ces fonctionnalités pour contourner les antivirus et les systèmes de protection des systèmes d'exploitation.

  • Oh là... Ubuntu prend des décisions qui choquent la communauté du logiciel libre: Après avoir viré Gimp et Synaptic, ils entendent remplacer le bureau standard Gnome par Unity, et remplacer le vénérable serveur X par Wayland. Ce dernier choix me semble judicieux (même s'il peut poser quelques problèmes), en particulier du point de vue sécurité: Contrairement à X, Wayland n'a pas besoin de fonctionner en mode root, ce qui est un plus.

  • Après Lemmings, c'est au tour d'Another World d'être converti en pur HTML+Javascript. Ça rappelle des souvenir. Certes le jeu n'est pas complet, mais c'est déjà assez impressionnant. Ah oui... et la l'émulateur Gameboy en Javascript est toujours en cours.

  • Il n'y a pas à dire: La création d'avatars pour les jeux a fait d'énormes progrès. C'est très impressionnant.

  • Visiblement Microsoft a fait du bon travail avec son Kinect dans ses algorithmes l'évaluation de la profondeur. C'est du bon boulot. Bravo Microsoft.

  • Bon une souris comme ça c'est super pour se la péter, mais est-ce vraiment efficace ?

  • Je ne les ai pas encore testés, mais voici 7 services VPN gratuits, utile quand on est sur un point d'accès WiFi public (surtout avec Firesheep, hein).

  • Il paraît que les gens les plus intelligents sont aussi ceux qui se couchent le plus tard. C'est une bonne excuse pour continuer à jouer à Urban Terror jusqu'à pas d'heure ?

  • Avant de choisir votre banque, consultez la liste des banques qui "taxent" le plus leurs clients. Utile.

  • Rien que lire le titre de ce logiciel, ça me fait grincer des dents: Gnome GConf Registry Cleaner.

  • J'aime bien cette idée: Des clés USB enchâssées dans les murs de la ville, avec juste le connecteur qui dépasse. Libre à chacun de s'y connecter pour partager des fichiers. Une sorte de peer-to-peer hors d'internet. Bien sûr ça pose divers problèmes de sécurité, mais l'idée est amusante et délicieusement subversive.

  • Un micro-robot très véloce qui parcourt un labyrinthe. Woaou. (Regardez la seconde partie de la vidéo, il va nettement plus vite).

  • Les lampes à incandescence c'est mal car ça gaspille de l'énergie. Les lampes à tube ce n'est pas si bien que ça, car ça contient du mercure, des poudres fluorescentes et des composants électroniques. Alors les LEDs ? Pas forcément, car certaines sont mauvaises pour les yeux. Et ben on est pas arrivés.

  • Non, pour les robots il n'y a pas que les pinces pour attraper des objets. Regardez ce système à base de café moulu. Pas mal, non ?

  • C'est assez incroyable de voir que ces engrenages fonctionnent malgré leur forme biscornue. Je suis admiratif.

  • Vrac du vrac: Un tableur dont le langage n'est pas VBA, mais Python. ◆ Comment battre un test par polygraphe (qui de toute manière ne vaut guère plus qu'une analyse graphologique ou phrénologique). ◆ Une très courte introduction à strace. ◆ Amusant. Le principe: Les hautes fréquence de l'image proviennent de l'image d'Albert Einstein, les basses fréquence de Maryline. Avec une mauvaise vue (trouble) on ne voit plus les hautes fréquences. ◆ Une illusion d'optique très efficace. Ne faites pas confiance à votre cerveau.


Tous les tricheurs ne sont pas indécrottables

Jeudi 18 novembre 2010

Je joue trop à Urban Terror.

S'il y a une chose que les joueurs d'Urban Terror détestent (et la plupart des joueurs en ligne, d'ailleurs), ce sont les tricheurs. La plupart du temps, ça consiste en un programme qui permet de voir à travers les murs (wallhack), et de viser automatiquement l'ennemi (aimbot). Avec ça même le plus nul des joueurs se tranforme en Dieu vengeur. Sauf que bien sûr ça ne trompe personne, et que ça ruine le jeu pour tout le monde. On les hait.

Il y a deux jours, dans un match, je suis encore tombé sur un tricheur. J'ai discuté avec lui et lui ai dit qu'il apprécierait encore plus le jeu en ne trichant pas. J'ai fini par le convaincre de ne plus tricher. Je lui ai donné différents conseils et quelque astuces pour s'améliorer.

Je l'ai retrouvé deux jours plus tard dans un autre match: Non seulement il ne trichait plus, mais il était super content d'avoir réussi à s'améliorer et de commencer maîtriser certaines choses (armes, précision, techniques de déplacement...). Maintenant il apprécie encore plus le jeu qu'avant.

Ça fait plaisir de voir que tous les tricheurs ne sont pas indécrottables.


PS: La nouvelle version d'Urban Terror ("Urban Terror HD") devrait sortir en bêta avant la fin de l'année avec de nouvelles maps, des graphismes améliorés, de nouvelles armes et un système de "Passeport" pour la réputation des joueurs (ainsi qu'un système anti-triche).

Je suis content d'utiliser CertPatrol

Lundi 08 novembre 2010

Vous vous souvenez de mon inquiétude face au problème des certificats SSL et ces deux extensions Firefox pour les contrôler ?

Et bien je suis tombé sur un cas concret: La société dans laquelle je travaille actuellement. Prenant mon Firefox Portable sur clé USB avec mes extensions préférées, voilà ce que j'ai vu en arrivant sur Google en HTTPS:

Qu'est-ce que ça veut dire ? Je suis en train de voir deux certificats SSL concernant le nom de domaine (Common name, CN) www.google.com. A gauche l'ancien (mémorisé dans mon navigateur par Certificate Patrol), à droite le nouveau.

Certificate Patrol me prévient que l'autorité de certification a changé. Elle était avant Thawte SGV CA, elle est maintenant... le nom de la boite dans laquelle je suis.

Pour le dire autrement: La société fait donc, par son proxy HTTP, une attaque Man-In-The-Middle SSL pour pouvoir déchiffrer tout mon trafic. Oui tout, de Google à GMail en passant par ma banque. Les administrateurs du proxy ont ainsi même la possibilité de voir les mots de passe en clair, alors que le cadenas SSL est bien présent. Ça ou pas de SSL du tout, c'est pareil.

Bien sûr, les administrateurs ont pris soin d'installer leur certificat dans Internet Explorer, qui ne bronche donc pas: Pour les navigateurs, peu importe que le certificat ait changé, l'important est qu'il soit là. Vous voyez https://www.google.com/ dans la barre d'adresse, le cadenas SSL est bien là, aucune alerte SSL n'est levée, mais vous êtes en réalité en train de parler au proxy, pas au site web. Je suis bigrement content d'avoir installé mon Firefox sur clé USB avec Certificate Patrol, sinon je n'aurais rien vu du tout.

Non je ne bosse pas dans une boîte qui traite des secrets défense. Oui je trouve ça minable. (Non je ne citerai pas le nom de la boite.)


Mise à jour 10 novembre 2010: Oui, je sais: Effectivement, dans la mesure où les employés n'ont pas été explicitement informés de ce genre d'opération, c'est carrément illégale.

Pour préciser un peu l'étendu de la menace, comme me le fait justement remarquer un collègue (coucou Dominique !), dans mon cas - même sans CertPatrol - j'aurais eu droit à une alerte de Firefox car le certificat de ma boite n'est pas signé par une CA (Autorité de certification). Alors tout va bien ? Pas tout à fait.

Imaginez maintenant le même genre de blague dans - hasard - une banque. La plupart des banques possèdent un certificat d'autorité intermédiaire qui leur a été délivré par VISA. Ce certificat leur permet de signer d'autres certificats. Or VISA fait partie des certificats racines installés dans tous les navigateurs. Les banques pourraient donc jouer à ce petit jeu de substitution de certificats sur tous leurs employés sans lever la moindre alerte, et sans toucher à la liste des CA racines des navigateurs. Même mon Firefox Portable n'aurait rien vu.

Prenons un autre exemple. Au hasard, un fournisseur d'accès: Deutsche Telekom (appellons-le "DT"). DT voit tout le trafic de ses clients et pourrait même mettre en place des proxy transparents (comme l'ont fait certains FAI comme AOL). Comme DT est une CA racine, ils pourraient aussi faire ce jeu de substitution de certificats, et aucun navigateur ne gueulerait.

Maintenant pensez aux pays qui n'ont qu'un ou deux FAI nationaux, et dont les FAI (ou les gouvernements, c'est selon) possèdent un certificat racine installé dans tous les navigateurs (C'est le cas de la Chine, la Turquie, Taïwan...). Vous imaginez les possibilités ? Je vais le dire clairement: La possibilité de lire tout trafic HTTPS par substitution de certificat sans lever d'alerte. Je trouve cela énorme. (Je dis HTTPS, car d'autres clients utilisant SSL (comme SSH) râlent à tout changement de certificat, heureusement).

Pour aggraver le problème, n'importe quel CA racine peut délivrer des CA intermédiaires à n'importe qui, et sans la moindre obligation de publier la liste. Un FAI comme DT pourrait délivrer des CA intermédiaires à ses clients ou d'autres sociétés, leur permettant de jouer eux aussi ce tour de passe-passe de substitution des certificats.

Et ça pourrait potentiellement faire gros paquet d'organisations qui se retrouveraient avec la possibilité de substituer des certificats sans lever la moindre alerte. Je suis parano ? Vous croyez ? Regardez bien dans votre liste de CA racines l'étendu des entreprises et gouvernements qui ont d'énormes intérêt commerciaux ou politiques. Ça donne à réfléchir.

Je ne dis pas que ces pratiques sont courantes, mais c'est techniquement tout à fait possible. Et plusieurs internautes me signalent que cette tendance à substituer les certificats est à la mode en entreprise. Même en dehors du domaine de l'entreprise, certains FAI américains ont déjà détourné silencieusement du trafic HTTP avec des proxy transparents (AOL), d'autres ont sérieusement envisagé d'utiliser des outils comme Phorm pour surveiller tout le trafic réseau de leurs clients, et d'autres ont également étudié la possibilité de substituer ou ajouter de la publicité dans les pages à la volée.

Avec la substitution de certificats, même le trafic HTTPS n'est plus à l'abri de ce genre de pratique.

C'est pour ça que je dis que le mécanisme de vérification des certificats intégré aux navigateurs ne suffit plus, et que seuls des outils comme CertPatrol ou CertWatch permettent de contrôler ça... en attendant de trouver un meilleur système que celui des CA racines, ce qui n'est pas un problème facile à résoudre.


Mise à jour 18 novembre 2010: Tiens, ha ha, il est assez amusant que j'ai utilisé Deutsche Telekom comme exemple. Ils viennent de s'excuser pour divers espionnages de journalistes qu'ils ont perpétrés entre 2005 et 2006.


Mise à jour 2 décembre 2010: Autre illustration de l'action de CertPatrol qui me signale un changement du certificat de ma banque. Ce changement est légitime puisqu'on est près de la date d'expiration (et en prime la CA n'a pas changé).


Mesures anti-Firesheep

Samedi 06 novembre 2010

Je vous avais parlé du piratage de sessions. Il n'aura pas fallu longtemps pour la contre-mesure, Fireshepherd. En gros, ce programme inonde le réseau de fausses sessions, plantant Firesheep.

Mais ce n'est qu'un pis-aller. Le mieux serait que tous les sites passent intégralement en HTTPS, ce que la plupart refusent de faire pour des problèmes de performances.

Justement, Google donne une leçon sur la chose dans un PDF intéressant, Low Cost, High Performance, Strong Security: Pick Any Three. Il serait temps.

PS: L'extension Firefox qui force le HTTPS n'est pas une solution idéale. Tous les site ne le supportent pas. C'est à chaque site de mettre en place proprement HTTPS (et d'utiliser le flag "secure" des cookies).


Mise à jour 8 novembre 2010: Une extension pour Firefox, BlackSheep, permet de détecter FireSheep (il envoie des ID de session bidons et regarde s'ils sont réutilisés).

Amélioration ?

Samedi 06 novembre 2010

Entre les changements au boulot et la famille, plus beaucoup de temps pour mon site. D'autant que je joue (trop !) à Minecraft et Urban Terror (J'adore me balader dans les mondes de Nuxos et Zplay pour voir ce que les joueurs ont construit).

D'ailleurs, je n'ai jamais été aussi bon à Urban Terror que depuis que je joue à Minecraft. Ce n'est pas logique du tout, mais c'est bien la constatation que j'ai faite. Allez comprendre... C'en est arrivé à un point où je suis accusé de tricher presque à chaque match. Du coup je me suis décidé à publier quelques uns de mes matchs (Urban Terror est nécessaire pour les rejouer, désolé).

Être accusé de tricher, je trouve maintenant cela presque flatteur :-D


Mise à jour 23h37: Je sors à l'instant d'un match, avec un ratio 114/38. (J'ai fait 114 victime et je suis mort 38 fois) Youhou ! C'est le meilleur match que j'ai jamais fait.

En restant sur le sujet, on trouve divers comportement chez les joueurs en ligne, dont un qui m'agace au plus au point et dont on trouve des spécimens dans les commentaires de mes premières vidéos d'Urban Terror. Le principe ? Enfoncer les débutants, se moquer d'eux, leur faire comprendre qu'ils sont de gros nuls, qu'il n'évolueront jamais, les traiter de "noob" (débutant). Ils oublient sûrement qu'il n'y a rien de mal à être débutant, et que eux aussi l'ont été au début. Mais non, ils se font une spécialité d'être totalement infectes avec les débutants. Pas terrible, comme mentalité. Je suis peut-être trop attaché au fait d'aider ceux qui débutent dans un domaine ?

Moi je préfère leur apprendre des choses, aux débutants. C'est très gratifiant. J'ai même fait des matchs avec un gamin de 13 ans qui m'a entraîné à la SR8 et m'a apprit plusieurs choses (Merci Benji95 !). Je lui ai appris certaines choses sur le LR300.

Comparé à Minecraft, les joueurs "ouverts" et prêt à partager leur expérience sont nettement plus rares. Ça tient sans doute à la nature du jeu, extrêmement compétitif. Il n'y a que sur les serveurs de "jump" où la mentalité est moins étriquée. C'est fort dommage.