Et «plouf» la sécurité sur Internet

C'est une bombe, c'est un massacre, c'est une catastrophe, mais «chuuuuuut», parce qu'on est pas prêt là, déconnez pas

Des chercheurs ont réussi à craquer SSL/TLS, et c'est LE protocole utilisé sur internet pour garantir les connexions HTTPS que vous utilisez quand, par exemple, vous vous connectez au site de votre banque, à paypal, à gmail, et à peu près n'importe quel truc sérieux qui demande un mot de passe.

Mais, nous rassure-t on, la faille est connue, était dans TLS1.0, et n'existe plus en TLS1.1 ni 1.2. En plus, il faut être «man in the middle», c'est à dire se trouver entre vous et le site que vous interrogez, et sur internet personne ne peut recevoir tous les paquets (presque chaque paquet prend au moins un bout de chemin différent)... Ouf !

ERREUR !

Premièrement, Firefox et Chrome n'ont pas intégré TLS1.1 ou 1.2; et coté sites web, c'est la même chose, la plupart n'ont pas prévu de passer à TLS1.1 ou 1.2.

Deuxièmement, nombreux sont ceux qui peuvent être «man in the middle» : Quelqu'un chez votre FAI, quelqu'un chez le FAI du site voulu.

Et le pire du pire, c'est pour ceux qui croient mieux brouiller les pistes en utilisant un proxy : le mec au milieu, ça peut être celui qui gère le proxy, et je suis pas certain que vous puissiez l'attaquer puisque si vous passez pas lui, c'est bien pour pouvoir jouir d'une «possible dénégation». Des proxy, y'en a aussi dans pleins d'entreprises. Qu'est-ce qui empêche un employé admin des proxy de se garder quelques traces réseaux à décrypter à la maison ? Rien, mais dans 5 ans, y'a de grandes chances que le mot de passe pour se connecter au compte bancaire d'untel n'ait pas changé....

Bref, les connections HTTPS, c'est has-been (pour l'instant)

Impression 3D

Il faut que je vous parle de l'impression en 3D. C'est le sujet que je suis depuis un moment, qui VA émerger bientôt et probablement révolutionner la société de consommation.

L'impression 3D, 1er acte, c'est la réalisation automatisée, par un imprimante 3D, d'un modèle en 3D. Il y a maintenant quelques années que ça existe pour les entreprises qui veulent réaliser vite des maquettes d'un objet conçu par ordinateur; du prototypage pas cher; réalisé soit en durcissant de la gelée, soit en superposant des couches de poudre ou de «pâte»

L'impression 3D acte 2, des sites web tels que ShapeWays vous proposent de vous produire vos objets sur des machines pro à partir du design que vous leur commandez (ou une copie d'un design existant).

L'impression 3D acte 3, le coût se réduit, mais surtout l’open-source s'en mêle. Coté Design, thingverse met à disposition les designs réalisés par des internautes. Coté Matériel, la Reprap voit le jour, et aujourd'hui on peut acheter une «makerBot» pour environ 1000€. Seulement cette machine est très en dessous de ce qu'une machine «pro» (50000 €) est capable de réaliser : juste du plastique, pas d'objets multicolores d'un seul tenant, problématique de support, finesse limitée (à 0.15mm je crois); les machines «pro» elles peuvent faire des objets multicolores, plus précis, ou en métal, etc, et sont beaucoup plus rapides. ShapeWays grossit, la communauté augmentant, ces sites répondent à un besoin d'avantage présent notamment pour toutes les pièces en métal.

Update : Et voilà ce qu'un type a fait avec uniquement des systèmes Lego, une fraise (l'outil, pas le fruit), et de la mousse : Lent, mais d'une qualité impressionnante. Mais avoir un makerBot, ça sert à quoi aujourd'hui ? Et bien ça permet de réaliser des petits trains pour son gamin, de remplacer des éléments perdus, de réparer des objets, et d'inventer des maquettes ou autre, de créer des modèles introuvables, et d'innover.

Le futur comme je le vois :

• La makerBot va s'améliorer, se démocratiser, proposer (rêvons) des plastiques auto-recyclables.
• Les objets seront dupliquées aussi simplement qu'une copie de photocopieuse… la propriété intellectuelle va devoir s'inventer un nouveau modèle !
• Des communautés d'utilisateurs vont se monter; comme on avait les «fours» communaux, on aura de grosse imprimantes 3D communales pour remplacer shapeways

Update : Et voilà ce qu'un type a fait avec uniquement des systèmes Lego, une fraise (l'outil, pas le fruit) et de la mousse. C'est lent mais impeccablement précis !

Putain, 16 ans

Il y a 16 ans, naissait Windows 95.

Les recommandations techniques de l'époque étaient :

Processor : 386DX or better
RAM : 4 MB (8-16 MB recommended)
Drive space : 35 MB

Maintenant, faisons un peu de maths. Moore prédisait que la puiisance de calcul doublerait tous les 18 mois (1,5 ans). Cela veut dire qu'en 15 ans, cela représente à partir de «P» en 1995; P×2×2×2×2×2×2×2×2×2×2 («P» multiplié 10 fois par deux) en 2010; soit P×1024.

La puissance des PC a été multipliée par mille !
Et cela se vérifie : 4 Méga de RAM ? Le moindre PC vendu aujourd'hui en a 4 Go; pareil pour le disque dur même si (heureusement) Windows ne bouffe pas 1000 fois plus de place juste pour fonctionner. Les processeurs aussi sont «1000 fois» plus rapides.

Pourtant, en 1995, Word ne mettait pas longtemps à démarrer depuis un disque dur… disons 20 secondes pour exagérer à fond, sûrement beaucoup moins en vrai, mais cela veut dire qu'en théorie, il devrait aujourd'hui démarrer 1000 fois plus vite… en 20 millisecondes ! Alors pourquoi office il met encore plusieurs secondes à démarrer ? Qu'est-ce qu'ils ont bien pu foutre pour allourdir plus de 50 fois le démarrage d'une appli !?
Le pire, c'est que cela restant «relativement» rapide… et bien ça ne gêne personne. 

Hype Cycle

Le Hype Cycle, de Gartner, est un graphe qui représente, de manière assez juste, la façon dont évolues les nouvelles techno. Ci dessous celui pour les technos «émergentes» en 2010.

Et vous trouverez sur techcrunch une analyse assez marrante.

Pour une analyse plus sérieuse, il y a gardeviance.

À ce graphe, il manque quand même quelques éléments : Une techno peut évoluer, ré-émerger, régresser, et tomber dans l'oubli. Ce graphe semble interdire la ré-émergence puisque l'un des axes est le temps… En revanche, je me demande si ce type d'analyse ne vaut pas, en réalité, pour à peu près tout ce qui peut émerger comme nouveautés, sur des échelles de temps allant de la journée, d’événements de la vie personnelle, d'années, de siècles, d'espèces, d’ères…

Pourrait-on appliquer le Hype Cycle aux formes de gouvernements ? Et à la démocratie en particuliers : En Tunisie, les gens sont à nouveau dans la rue; En Grande-Bretagne, le gouvernement envisage de censurer twitter et facebook (comme en Iran); en France, on veut installer des mouchards sur les réseaux personnels et faire de l'analyse de traffic en profondeur (pire qu'en Chine) pour protéger les ayants-droits; et aux US la démocratie et les jeux politiciens ont failli causer la banqueroute mondiale «juste pour le fun» ou presque…

Ne sommes nous pas au tout début (trigger) pour certains pays et dans la chute chez nous ? Tellement dans la chute que, pour justifier le status-quo, on d'autres pays à reprendre le même chemin que nous dans l'espoir de voir émerger une innovation ? Oui je sais, je suis un bisounours…

Sécurité informatique tout ça...

J'ai lu hier un (long) article en anglais sur l'affaire Stuxnet. Vous vous en souvenez peut-être, il était question d'une sorte de virus qui semblait vouloir s'attaquer à des centrifugeuses de centrale nucléaire iranienne. Rien que ça.

On nous a alors un peu mal informé, peut-être pour nous rassurer, en nous indiquant (en tout cas, je l'ai lu) que les centrifugeuses n'étant pas sur le réseau, il avait été posé "à la mimine par clé USB". Au final; si c'est comme cela qu'il a peut-être commencé; au final il a fait son petit chemin tout seul à travers le réseau et s'est bien construit un petit réseau des postes de commande des centrifugeuses jusqu'à la toile.

Ce virus était d'une extrême complexité, exploitant un nombre important de failles alors inconnues des éditeurs (zero-day), ce qui est un exploit en soit, contenait des informations très précises sur les équipements de la centrale, mais aussi des informations volées au constructeur des centrifugeuses. Il est alors clair que c'est pas un kikoo-lol dans son coin qui a bricolé un vbscript, mais bien une attaque trop bien renseignée et disposant de moyens.

Et malgré tout ça, on veut nous faire croire que, avec le Cloud, ta VM que t'as commandé chez Amazon (ou autre) est totalement isolée. Prouvez-moi qu'il est vraiment techniquement totalement impossible, avec une VM, d'aller récupérer des infos voire même de s'introduire dans un vm hébergée sur le même hôte (que ce soit vmware, virtualbox, xen ou autre); que l’étanchéité est absolument parfaite et que même quelqu'un ayant des affiliations avec intel, vmware, realtek, et toutes les sociétés qui produisent du matériel, ne pourrait briser cette étanchéité.

Des fois, google...

Recherche google : detapisser retirer couche jaune

Réponse :

Pour retirer facilement le papier peint, il suffit d'appliquer un .... L'animal se couchera sur la couverture chaude et sera réconforté par la chaleur. ..... toute terre provenant du sol à l'exception de gravier, terre jaune ou autres. ...

KAMOULOX

Ils font saigner mes yeux et mes oreilles

Vraiment, le monde français de l'informatique fait de plus en plus saigner mes yeux... et mes oreilles.

Passe que l'académie française décide souvent de garder les solutions les plus moches (mèl, cédérom); au moins, ces mots deviennent français et on remarquera qu'ils sacralisent dans ces cas là la prononciation comme en anglais; lorsqu'ils ne définissent pas un nouveau mot valise bien français (comme courriel).

Mais quand j'entends "datacentre" prononcé à la française "da-ta-cen-tre", RAAAH. Déjà, en France, on ne sait pas prononcer Data, mais alors prononcer "centre" à la française, par un mec du métier à qui, en plus, on a appris à prononcer "cloud" autrement que "cloude", je suis désolé : c'est moche, c'est pas professionnel, et moi ça me fait me dire "lui, il ne pas de quoi il parle". Alors "Data" ne se prononce pas comme "da-ta" en français, mais "deille-ta". Et "Center", qu'on l'écrive "Center" ou "Centre", se prononce toujours pareil : "C'est-n-teur"; pas "senteur". Donc datacenter : "deille-ta-sè-n-teur"

Et ce matin, en lisant un document interne, j'ai lu dans un papier d'un gars de l'équipe réseau : "Baquebone IP". Bon bah là. Je peux plus rien pour lui.