PROJET AUTOBLOG


Zythom

Site original : Zythom
⇐ retour index

Dites leur que vous les aimez

lundi 27 avril 2015 à 05:00
Chaque année, le 27 avril, j'ai une pensée émue pour l'un de mes étudiants qui s'est donné la mort l'année de ses 20 ans. Il venait de finir son stage avec moi et laissait à ses parents une lettre d'adieu dans laquelle il expliquait son mal de vivre. Dans cette lettre, il mentionnait mon nom et son stage comme étant l'un des rares moments où il avait cru en lui.

Je n'ai pas su voir son mal être.

Vous qui me lisez aujourd'hui, pensez à vos amis et proches qui sont toujours à vos côtés et dites leur que vous les aimez.

Stéphane, tu auras toujours 20 ans dans mon cœur.

Source : http://zythom.blogspot.com/feeds/6659553226146530571/comments/default


Le chant des sirènes

jeudi 23 avril 2015 à 13:53
Je suis responsable de tous les problèmes informatiques et techniques de l'école d'ingénieurs où je travaille (bon, en vrai, je suis soutenu par six techniciens qui font un boulot formidable). Cela inclut l'entretien des espaces verts, l'accessibilité, les parkings, le chauffage, la ventilation, l'hygiène, le nettoyage, la téléphonie, la reprographie, les serveurs, le réseau, la sécurité incendie, la sécurité des biens, etc.

Et donc, alors que je travaillais tranquillement dans mon bureau, j'entends soudainement le bruit des sirènes d'alarme des pompiers... Je regarde ma montre : il est 15h13, et nous ne sommes pas le 1er mercredi du mois !

J'écoute attentivement le signal d'alarme : cinq hululements sinistres d'environ sept secondes. Le tout répété plusieurs fois...

Il se passe quelque chose.
Il se passe quelque chose, mais je ne sais pas quoi !

Parmi la multitude des casquettes de responsabilité que je porte, j'enfile celle de responsable de la sécurité des personnes. Je jette un œil à la page Wikipédia consacré aux alertes à la population. Et je prends une décision : il faut confiner l'ensemble des étudiants et du personnel dans les bâtiments de l'école.

Me voici en train de faire le tour des bureaux en demandant la fermeture immédiate des fenêtres. J'explique rapidement la situation : sirènes d'alerte à la population = confinement. Tout le personnel obtempère sans broncher.

Je me saisis du mégaphone qui me sert pour communiquer lors des exercices incendies et me précipite à l'extérieur pour demander aux étudiants (en pause) de rentrer rapidement dans les locaux de l'école. Les étudiants obéissent, en traînant les pieds et en rigolant. Les fumeurs râlent.

Je demande ensuite à mon équipe technique d'arrêter toutes les ventilations du bâtiment. En quelques minutes, toutes les climatisations et tout le système de circulation d'air est arrêté.

Je souffle un peu.

Il faut que j'écoute la radio. Zut, je n'ai pas de radio, encore moins en grandes ondes... Je cherche sur internet. France Inter et France Info sont en grèves. Pas de bol. Je zappe sur des radios locales : il n'y a que de la musique et des animateurs anormalement normaux.

Les sirènes se sont tues. J'attends le signal de fin d'alerte qui ne vient pas. Je vérifie sur internet : nous avons plusieurs usines de type "Sévezo" dans le coin. Un incident est toujours possible.

J'appelle la préfecture. Le planton me dit qu'il n'est pas au courant. En désespoir de cause, je me résous à appeler le 18, ce qu'il ne faut bien entendu jamais faire pour ne pas surcharger les liaisons.

Bingo : il s'agit d'un simple essai de sirènes suite à un remplacement à neuf. Sauf que nous n'étions pas prévenus...

Je me suis fendu d'un email d'explications à toute la communauté, dans lequel j'ai rappelé les consignes de bases dans ce type d'exercice. J'en profite pour le rappeler ici, si cela peut servir un jour à quelqu'un :

Si vous entendez les sirènes d'alerte à la population, et qu'il n'est pas midi le premier mercredi du mois, il faut vous abriter rapidement à l'intérieur d'un bâtiment.

Extrait de Wikipédia :

Lorsque le signal d'alerte retentit, les personnes sont invitées

  • à se confiner dans l'endroit clos le plus proche (domicile, lieu public, entreprise, école...) en colmatant les ouvertures, en coupant les ventilations, climatiseurs et chauffages, et en restant loin des fenêtres ;
  • à s'abstenir de faire des flammes, de fumer, d'ouvrir les fenêtres ;
  • à s'abstenir de téléphoner (ni téléphone fixe, ni téléphone mobile) sauf détresse vitale, afin de laisser les lignes libres pour les secours ;
  • et à écouter la radio : France Inter sur grandes ondes (1 852 m, 162 kHz) : il s'agit de la radio de service public, et en cas de destruction de l'émetteur en modulation de fréquence (FM) le plus proches, l'émission en grandes ondes peut toujours être captée ; à défaut, écouter France Info ou les radios locales. La station répétera en boucle la situation et les consignes à suivre.
Les enfants scolarisés sont pris en charge par l'école, c'est le lieu où ils sont le plus en sécurité. Il est donc dangereux et inutile d'aller les chercher.

La fin de l'alerte est indiquée par un signal continu de trente secondes.

Extrait de interieur.gouv.fr :

Ce qu'il faut faire

La mise à l'abri est la protection immédiate la plus efficace. Elle permet d'attendre dans les meilleures conditions possibles l'arrivée des secours.
Au signal, il faut :
  • rejoindre sans délai un local clos, de préférence sans fenêtre, en bouchant si possible soigneusement les ouvertures (fentes, portes, aérations, cheminées…).
  • Arrêter climatisation, chauffage et ventilation.
  • Se mettre à l'écoute de la radio : France Inter, France Info ou des radios locales.

Ce qu'il ne faut pas faire

  • rester dans un véhicule.
  • Aller chercher ses enfants à l'école (les enseignants se chargent de leur sécurité).
  • Téléphoner (les réseaux doivent rester disponibles pour les secours).
  • Rester près des vitres.
  • Ouvrir les fenêtres pour savoir ce qui se passe dehors.
  • Allumer une quelconque flamme (risque d'explosion).
  • Quitter l'abri sans consigne des autorités.
La sécurité est l'affaire de chacun, il est normal de s'y préparer.
L'alerte est destinée à prévenir de l'imminence d'une situation mettant en jeu la sécurité de la population et permet de prendre immédiatement les mesures de protection.
Elle peut être donnée pour signaler un nuage toxique ou explosif, un risque radioactif, une menace d'agression aérienne, certains risques naturels.


-----------------------------------------------------

Et évidemment, si vous êtes responsable de la sécurité, attendez-vous à être ridicule quand vous agissez alors qu'il s'agit d'un test anodin et que vous n'avez pas été prévenu...


Ce qui m'a fait plaisir, c'est que plusieurs personnes ont répondu à mon email pour me féliciter et me dire qu'elles se sentaient en sécurité de savoir que quelqu'un veillait sur eux.

Et ça, ça efface bien le sentiment d'être ridicule :-)


Source : http://zythom.blogspot.com/feeds/7516808242794284276/comments/default


GNU/Linux et la vente liée

mardi 14 avril 2015 à 14:41
J'ai découvert GNU/Linux en 1993, avec une distribution qui s'appelait Yggdrasil. Il s'agissait pour moi de trouver un remplacement à l'HP-UX que j'avais connu dans ma vie professionnelle précédente. Puis, toujours pour des raisons professionnelles, j'ai adopté pendant plusieurs années la distribution Slackware, pour migrer ensuite vers le Chapeau Rouge et enfin vers la distribution Debian qui équipe maintenant tous mes serveurs GNU/Linux pro.

En parallèle, j'ai joué avec Nextstep, FreeBSD, Solaris et NetBSD, pour différentes raisons, mais c'est surtout l'univers des différentes distributions GNU/Linux qui m'a attiré : j'aime bien de temps en temps installer une distribution pour voir comment elle fonctionne. Je teste un peu de tout, mais pas tout, car vous trouverez une liste impressionnante des différentes distributions sur cette page Wikipédia.

Certaines distributions sont spécialisées dans l'inforensique, comme DEFT. D'autres dans la protection de la vie privée, comme Tails. Enfin, certaines sont adaptées à un usage grand public, comme Ubuntu, que j'ai choisie pour mon ordinateur personnel.

Tout est affaire de choix, et chaque distribution a sa communauté et ses passionnés. Mais, si je suis un utilisateur converti depuis longtemps, je n'ai jamais fait parti des contributeurs, c'est-à-dire que je n'ai jamais participé au développement, aux tests, à la documentation, aux traductions, etc. Peut-être puis-je me targuer d'en avoir parlé autour de moi, et d'avoir incité mes étudiants à s'en servir. Mais le fait de ne pas contribuer me rend un peu mal à l'aise...

C'est pourquoi, le jour où un avocat m'a contacté pour me demander de faire une analyse technique en tant qu'expert, avec comme objectif de lutter contre la vente forcée du système d'exploitation lors d'un achat de matériel informatique, j'ai tout de suite répondu présent.

C'était la chance de ma vie pour apporter ma pierre à l'édifice.
C'était le projet qui allait marquer ma vie d'expert de justice.
C'était le moyen de détrôner Windows de son hégémonie et rendant le choix possible pour le consommateur.

J'étais chaud bouillant.

Hélas, le problème est plus complexe qu'il n'y paraît. Comment évaluer la simplicité d'installation d'une distribution sur un ordinateur ? Quelle distribution faut-il tester ? Sur quels ordinateurs faut-il faire les tests pour prétendre être exhaustif ? Combien d'ordinateurs, quelles marques ? Etc.

Est-il possible d'écrire un rapport technique objectif prouvant la vente liée ?

Il est beaucoup plus simple de trouver un ordinateur récent et d'installer plusieurs distributions pour en trouver quelques unes qui ne s'installent pas correctement... Il y a souvent un "truc" propriétaire sur l'ordinateur (par exemple des boutons sur un portable) qui ne sera pas reconnu par le système d'exploitation si le constructeur ne fournit pas le bout de programme ad-hoc. Et le temps que la communauté développe le pilote manquant, un certain nombre de consommateurs peuvent s'estimer floués...

En 2008, Darty avait été poursuivi par l'association UFC-Que Choisir pour vente liée PC et logiciels, mais le tribunal l'avait déboutée (lire ici). La société Darty avait quand même été condamnée à détailler le prix des logiciels installés sur un PC. Cette obligation avait été retirée en appel.

Le jugement d'appel peut être lu ici (pdf).

J'en reproduit ici un extrait qui me semble intéressant :
Darty justifie d'ailleurs que ces ordinateurs, ainsi équipés, lui sont facturés globalement, sans distinction entre le prix de l'ordinateur et celui des logiciels, et que ses demandes pressantes adressées le 26 juin 2008 à ses fournisseurs (Toshiba, Asus, Apple, Packard Bell, Sony, Hewlett Packard, Fujitsu-Siemens et Acer), dans le but de satisfaire à l'injonction du tribunal, sont demeurées vaines, Apple ayant répondu que ses logiciels, conçus par elle, ne sont pas vendus séparément, Hewlett Packard ayant fait valoir que "les logiciels qu'(elle) se procure en très grandes quantités pour en équiper ses ordinateurs doivent être distingués de ceux disponibles dans le commerce et que ces composants ne font pas l'objet d'une commercialisation séparée" et qu'elle estimait en conséquence que "le prix des logiciels dont elle équipe ses machines et dont elle n'est pas par ailleurs revendeur est un élément de la structure du coût de ses ordinateurs et relève du secret des affaires", et les autres n'ayant tout simplement pas accédé à sa requête;
Où en est-on en 2015 ? Je ne suis pas juriste, donc, je ne peux pas vous dire dans quel sens les textes de loi ont évolué. J'espère que le moment est venu de se reposer la question de la vente liée.

Il faudrait sans doute définir dans la loi plusieurs sortes de consommateurs : celui qui souhaite une machine "clef en main" et celui qui peut accepter une machine nue, avec une réduction de prix, même modique. Il faudrait que les constructeurs fournissent les pilotes de leur matériel propriétaire. Il faudrait que les constructeurs acceptent d'installer plusieurs systèmes d'exploitation en OEM pour assurer la pleine exploitation de leurs machines et l'égalité des armes.

La gratuité annoncée de Windows 10 va peut-être débloquer cette situation, développer les parts d'utilisation des OS alternatifs et permettre au consommateur d'avoir le choix. La guerre des OS n'est pas prête de s'arrêter.

Pour l'instant, ce projet d'expertise est en attente, et je me contente de contribuer au point n°10 de cette liste, et d'acheter mes ordinateurs nus sur les sites qui le proposent.

En attendant mieux.
Désolé.

-------------------------------------------------
Source dessin : Bruno Bellamy

Source : http://zythom.blogspot.com/feeds/454041340138134987/comments/default


Scam parlementaire

mardi 7 avril 2015 à 14:27
Attention, il est possible que ce message circule sur certaines boites aux lettres, restez vigilant...

--------------------------------------------------

Monsieur le Député,

Je vous écris dans le but d’obtenir votre coopération et votre confiance en vue d’effectuer une affaire urgente avec vous, c’est une proposition sincère et noble que je vous fais. Je souhaite solliciter votre aide dans la migration technique et l'investissement dans votre pays l’héritage qu’a pu me léguer mon Père.

Brièvement, je suis une libyenne âgée de 51 ans et  fille unique du défunt Dr Serge Alexandre Stavisky. Jusqu'à sa mort, mon père était le Directeur général d'une société informatique dans la région de Tajoura en Libye. Le 6 Avril 2002 les forces militaires fidèles au gouvernement ont envahi la société et ont assassiné mon père, le confondant avec son demi frère Helg de la Brache qui est le député du révolutionnaire FODAY BRACHE. Quand ma mère, absente car venue me voir en Chine où j'étudie dans une grande école a appris la nouvelle, elle est retournée au pays malgré tous les risques et a récupéré certaines des affaires qu'elle jugeait sacrées pour mon père dans notre villa familiale. Parmi les objets récupérés figurait un dossier contenant des détails d'un dépôt que mon père a fait dans une société de compagnie de sécurité à Tajoura. Il y a déposé une quantité importante de boites noires contenues dans une caisse métallique en son nom.

Il n'a pas révélé le vrai contenu de la boîte à cette société. Néanmoins il  a déclaré le dépôt comme biens de famille pour des raisons de sécurité. C'est l’épargne qu’a pu constituer mon Père à l’issue de la vente des brevets pendant son temps comme Directeur général. Compte tenu du climat politique instable en Libye, j'ai décidé de chercher un partenaire afin d'investir cette technologie hors de la Libye dans des domaines rentables,  c'est donc la raison pour laquelle je viens vers vous pour solliciter votre assistance et nous aider à introduire cette technologie dans votre pays. La meilleure méthode pour conclure cette transaction vue la tension politique en Libye, serait d'expédier la caisse contenant les boites noires dans votre pays.

La compagnie  de sécurité a la possibilité de nous faciliter les choses en expédiant cette caisse dans votre pays par la voie diplomatique que j'apprécie beaucoup. Dès l'arrivée de ces outils dans votre pays, vous allez les récupérer et les sauvegarder et engager les démarches pour nous aider à venir s'établir dans votre pays. Ici en raison de sa proximité à notre pays et de la guerre, notre statut de réfugié ici ne peut pas faciliter les affaires pour nous. Nous vous demandons également de rechercher des affaires fiables et lucratives, de sorte que nous puissions investir sagement. Nous avons à l'esprit de vous donner 15 % de toute la somme et la part de 25% dans n'importe quel investissement que nous ferons au moment venu si vous acceptez de nous aider. Cette fortune que nous vous avons indiquée devrait demeurer confidentielle.

Cher partenaire restant à votre entière disposition pour d'amples informations fiables, recevez l'assurance de mes sincères salutations.

Bien à vous, et votez bien,

Victoria Lustig

--------------------------------------------------

Pourvu que personne ne se fasse avoir...
Pour éviter ce genre de piège, surtout quand on est député, toujours relire la notice.

Source : http://zythom.blogspot.com/feeds/8168385472485488805/comments/default


Face à TrueCrypt

mardi 31 mars 2015 à 17:10
Il y a un grand nombre de cas où l'on souhaite protéger efficacement des données : c'est vrai pour un journaliste, pour un avocat, pour un activiste des droits de l'Homme, pour un médecin, pour un homme politique... C'est vrai aussi tout simplement pour toutes les personnes qui souhaitent protéger des regards envahissants certaines de leurs données privées.

Car je pense réellement que la vie privée mérite d'être protégée, et qu'il faut que chacun apprenne à sécuriser les données personnelles qu'il souhaite garder confidentielles. Personne ne souhaite voir l’État placer un micro et une caméra dans sa chambre à coucher. Nous avons tous beaucoup de choses à cacher, à commencer par notre vie intime. Je pense d'ailleurs que les choses seraient plus claires si l'on parlait de "vie intime" plutôt que de "vie privée" (c'est à cela que l'on voit que je ne suis pas juriste).

Sur ce sujet, j'ai écris en 2010 un billet consacré à ceux qui ont peur de se faire voler leur ordinateur, et dans lequel je conseillais l'utilisation du logiciel TrueCrypt. Je continue d'ailleurs à utiliser la version 7.1a de ce logiciel pour mes besoins personnels, avec containers cachés (ou pas ;-), malgré l'arrêt brutal du développement de ce logiciel et la sortie d'une version 7.2 bridée. Ceux qui souhaitent apprendre à utiliser ce logiciel, peuvent suivre cette série de billet de la blogueuse Kozlika après avoir téléchargé la version 7.1a sur ce site.

J'utilise TrueCrypt v7.1a pour protéger des disques complets, mais aussi créer de petits espaces de stockage de quelques gigaoctets sous forme de fichiers.

Je suis régulièrement contacté par des lecteurs qui me demandent si je suis déjà tombé sur des fichiers ou des disques chiffrés par TrueCrypt et si j'ai déjà réussi à ouvrir ces fichiers, sans que le propriétaire n'ait fourni le(s) mot(s) de passe.

Avant de répondre à cette question, je tiens à rappeler que je suis un informaticien tout ce qu'il y a de plus normal : je suis salarié dans une entreprise privée de formation où j'occupe un poste d'ingénieur en informatique.

Je n'ai pas suivi de formation particulière en cryptanalyse.
Je n'ai pas accès à des outils secrets.
Aucun gouvernement ne m'a confié l'accès à d'éventuelles portes dérobées.
Je ne suis pas un spécialiste en sécurité informatique.

Bref, je suis parfois déçu quand je me regarde dans une glace, mais je suis un informaticien normal : j'aime bien bidouiller un ordinateur, peaufiner une configuration, installer un nouveau système d'exploitation. J'aime bien les jeux vidéos, la science fiction, l'espace, la spéléo, l'aviron... J'aime les ordinateurs, Windows 98, j'ai fait des concours de calculatrices, je suis vraiment trop con, j'ai fait le concours du robot, qui balancera des balles en haut... (source).

Je n'ai pas plus de moyens qu'un informaticien lambda.

Que se passe-t-il alors lorsque je tombe sur un scellé qui contient des données chiffrées avec TrueCrypt ?

Réponse : rien. Je ne peux rien faire sans avoir le mot de passe. Et encore, je peux avoir un mot de passe qui ouvre le container TrueCrypt, mais pas le container caché. Je n'ai pas de code secret universel, ni de logiciel spécial me permettant d'accéder aux données. Je ne dis pas qu'ils n'existent pas, je dis que je n'y ai pas accès.

Pour autant, je ne baisse pas les bras immédiatement :
- je peux regarder si des données non chiffrées sont présentes et accessibles sur le disque dur (lire le billet intitulé "disque dur chiffré").
- je peux chercher tous les mots de passe de l'utilisateur, mots de passe stockés sur internet ou sur d'autres ordinateurs non chiffrés. Sachant que beaucoup de personnes n'utilisent que quelques mots de passe, la probabilité de trouver des mots de passe ouvrant les containers TrueCrypt est forte. Lire par exemple ce billet intitulé "Perquisition".
- je peux passer par l'enquêteur pour qu'il demande les différents mots de passe à l'utilisateur.
- je peux suspecter un fichier d'être un container TrueCrypt (avec TCHunt par exemple).

Mais si je découvre un mot de passe ouvrant un container TrueCrypt, je n'aurais pas la certitude qu'il n'existe pas un container caché (ie utilisant un autre mot de passe). J'ai une petite astuce qui me permet de flairer la présence d'un container caché : si les dates des quelques fichiers présents sur le container que j'ai réussi à ouvrir sont toutes anciennes, c'est bizarre...

Vous l'aurez compris, la protection de la vie privée et de la confidentialité assurée par TrueCrypt est exemplaire, sauf révélation surprise de l'audit de sécurité de son code [Edit du 03/04/2015: rapport d'audit (source)]. C'est à double tranchant : cela permet à un innocent de protéger ses données confidentielles, mais cela permet également à un coupable de soustraire des preuves à la justice.

Et comme la protection absolue n'existe pas, le coupable sera toujours démasqué un jour ou l'autre. C'est ce que savent également ceux qui luttent contre des régimes totalitaires et tentent de cacher des documents à des yeux trop curieux... Deux tranchants.

Quelques remarques pour finir :

Est-on obligé de fournir les mots de passe ?
Les députés français ont décidé que oui : article 434-15-2 du Code Pénal
Est puni de trois ans d'emprisonnement et de 45 000 euros d'amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale.

Si le refus est opposé alors que la remise ou la mise en œuvre de la convention aurait permis d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets, la peine est portée à cinq ans d'emprisonnement et à 75 000 euros d'amende.
La jurisprudence de la Cour Européenne des Droit de l'Homme sur la Convention de sauvegarde des droits de l'Homme et des libertés fondamentales rappelle, elle, le droit de ne pas participer à sa propre incrimination, et en particulier le droit de garder le silence et de ne pas communiquer des documents s'incriminant.

L'article 132-79 du Code Pénal français, augmente les peines encourues (texte en gras modifié par mes soins pour plus de clarté) :
Lorsqu'un moyen de cryptologie au sens de l'article 29 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique a été utilisé pour préparer ou commettre un crime ou un délit, ou pour en faciliter la préparation ou la commission, le maximum de la peine privative de liberté encourue est relevé ainsi qu'il suit :
1° trente ans de réclusion criminelle perpétuité ;
2° vingt ans trente ans ;
3° quinze ans → vingt ans ;
4° dix ans → quinze ans ;
5° sept ans → dix ans ;
6° cinq ans → sept ans ;
7° Il est porté au double lorsque l'infraction est punie de trois ans d'emprisonnement au plus.
Les dispositions du présent article ne sont toutefois pas applicables à l'auteur ou au complice de l'infraction qui, à la demande des autorités judiciaires ou administratives, leur a remis la version en clair des messages chiffrés ainsi que les conventions secrètes nécessaires au déchiffrement.
Enfin, l'article 230-1 du Code Pénal français précise dans son dernier alinéa :
Si la peine encourue est égale ou supérieure à deux ans d'emprisonnement et que les nécessités de l'enquête ou de l'instruction l'exigent, le procureur de la République, la juridiction d'instruction, l'officier de police judiciaire, sur autorisation du procureur de la République ou du juge d'instruction, ou la juridiction de jugement saisie de l'affaire peut prescrire le recours aux moyens de l’État soumis au secret de la défense nationale selon les formes prévues au présent chapitre.
Je précise n'avoir jamais eu accès aux "moyens de l’État soumis au secret de la défense nationale" (en dehors de mon service militaire, mais bon, c'était au millénaire précédent). Je ne vous cache pas que je n'ai aucune idée des moyens en question et que probablement je ne le saurai jamais.

Quand je n'arrive pas à accéder à des données à cause d'un chiffrement trop puissant, je l'indique dans mon rapport.
A l'impossible nul n'est tenu.
Et parfois, ce n'est sans doute pas plus mal, au moins pour moi.

Source : http://zythom.blogspot.com/feeds/8693747452659155315/comments/default