Catégorie : Geek

Je sais que ça pren­drait la pous­sière, mais j’ado­re­rais avoir ça devant moi.

Encore via Mitter­narcht

Dans le temps la blague potache c’était suppri­mer les icônes du bureau pour les inté­grer dans l’image du fond d’écran. Pour quelqu’un qui ne l’a jamais vécu, ça peut prendre une bonne heure avant de se rendre compte que…

Autre bidouille : Chan­ger l’agen­ce­ment clavier pour rendre inopé­rantes les touches de suppres­sion et de retour arrière (ou une des flèches de direc­tion).

Je me rends compte qu’on peut faire beau­coup plus sympa­thique avec les liga­tures dans les polices de carac­tères. Genre prendre un mot d’usage courant, créer une liga­ture sur tout le mot qui donne le même rendu mais avec une faute d’or­tho­graphe.

Dans le même esprit on m’a fait passer Sans Bull­shit Sans, qui utilise les liga­tures pour reti­rer les mots sur-utili­sés par ceux qui brassent du vent, type syner­gie.

Oui, tout ça est mesquin.

Je regarde encore récem­ment le macbook d’Apple et son unique port USB-C. Je n’en reviens toujours pas de l’ab­sence de démul­ti­pli­ca­teurs.

J’ima­gi­nais trou­ver quelque chose qui permette d’ali­men­ter le macbook (soit direc­te­ment soit en bran­chant l’ali­men­ta­tion USB-C dessus) et qui ajoute 1 ether­net, 1 port pour écran 4K à 60Hz, et au moins 1 USB-C en plus de l’ali­men­ta­tion ainsi qu’un USB-3.1.

Proba­ble­ment ça veut dire un dock et plus un adap­ta­teur, et autant voir large : 1x alimen­ta­tion, 1x ether­net Gb/s, 2x usb-c, 2x usb-3.1, 1x (mini) display­port et 1x hdmi tous les deux pour du 4K à 60Hz.

Je n’ai rien vu de même appro­chant. La moitié des docks ne permettent même pas l’ali­men­ta­tion du mac, même en bran­chant le secteur sur un USB-C du hub. Je ne comprends juste pas.

À défaut d’avoir deux ports femelle physiques sur la machine, le mini­mum pour moi aurait été d’in­té­grer un port femelle à la termi­nai­son du char­geur secteur, histoire de pouvoir chaî­ner les appa­reils sans savoir à connec­ter un hub au préa­lable.

Pers­pec­tive meets physics… pic.twit­ter.com/3v6XYoc679

— Science GIFs (@Learn_Things) 5 Décembre 2015

Quelques images sympa sur ce compte twit­ter.

Plein de cadeaux idiots qui peuvent être marrants, mais parfois chers : L’Avant gardiste. Ça me fait un peu penser à la boutique de L’Homme moderne, mais en plus détendu.

Cette histoire m’agace d’au­tant plus quand je vois ces anciennes photos noir et blanc avec tous ces gens lisant leur jour­naux sans se regar­der. Aujourd’­hui j’ai beau avoir un vrai handi­cap social avec ce smart­phone, je discute par écrit avec plus de corres­pon­dants que quiconque de « non drogué ». Bref, la rela­tion sociale change de forme, mais elle ne s’éteint pas du tout.

Nous parlions paie­ment sans contact via la carte bancaire, mais les quelques argu­ments donnés me gênent, pour ne pas dire plus.

Petit 3 : croyez-vous vrai­ment que la Banque de France a laissé les banques diffu­ser ces machins s’il y avait le moindre risque ?

Petit 4 : croyez-vous vrai­ment que les banques allaient diffu­ser ce truc s’il y avait le moindre risque, si elles risquaient de payer la peau des fesses pour renou­ve­ler 50 millions de cartes, si elles risquaient de passer pour des imbé­ciles en qui on ne pouvait pas faire confiance,…

Je ne crois pas à l’idée d’un complot de tout le milieu bancaire diffu­sant consciem­ment une solu­tion tota­le­ment trouée. Je crois que beau­coup d’autres scéna­rios sont par contre tout à fait possibles :

Les banques sont comme tous les gros groupes. En amont du projet, les risques struc­tu­rels sont de nature à faire diffé­rer le projet ou à le reje­ter. Proche de l’abou­tis­se­ment, et parti­cu­liè­re­ment si des étapes admi­nis­tra­tives, commer­ciales ou si une commu­ni­ca­tion publique ont déjà été faite, la poli­tique du « pas le moindre risque » n’existe plus.

Même chose côté public : Pour que la Banque de France dise « non » au dernier moment au milieu bancaire sur un sujet « nouvelle tech­no­lo­gie » qui a une visi­bi­lité publique, qui est voulu par les banques, qui a été annoncé au public, qui peut faire une superbe pub moderne au gouver­ne­ment, et qui existe déjà à l’étran­ger… il en faut certai­ne­ment beau­coup sur la balance.

Donc une fois le projet bien lancé ou sur le point d’abou­tir, ça devient une ques­tion de balance : Le problème risque-t-il d’être décou­vert ? Si oui, risque-t-il d’être décou­vert avant qu’on ait trouvé un pallia­tif ou que le parc soit renou­velé ? Si oui, quel est la proba­bi­lité de ce risque, combien ça peut nous coûter de le combler après coup en commu­ni­ca­tion et dommages, et à l’in­verse combien ça coûte de diffé­rer le projet ? Sachant que dans le coût de diffé­rer on compte aussi le coût pour le dépar­te­ment R&D ou l’ins­ti­tu­tion en ques­tion d’avoir le mauvais rôle auprès de sa tutelle et d’être respon­sable de l’échec du gros projet.

Une fois en route (on en est là) des problèmes peuvent encore être décou­verts (quand ce ne sont pas des risques envi­sa­gés plus haut). Là la stra­té­gie habi­tuelle c’est de nier tout en bloc en cachant sous le tapis. Quand ce n’est plus possible il s’agit d’un exer­cice de commu­ni­ca­tion asso­cié à un « on prend toutes les mesures mais ce n’est pas notre faute ».

Rien de neuf. Dire que les banques ne se permet­traient jamais le moindre risque c’est comme dire qu’un construc­teur auto­mo­bile ne conti­nue­rait jamais avec un défaut grave dans les voitures sans faire un rappel (ah mais on me dit dans l’oreillette que…).

Et les banques ne sont pas meilleures. J’ai même tendance à croire que leur situa­tion est plus simple : Pour elles c’est un bête calcul de coût et de risque, il n’y a pas de vie humaine en jeu. Elles ne risquent pas non plus leur survie : C’est toutes les banques qui font le même mouve­ment ensemble, vous ne passe­rez pas au concur­rent et vous ne vous passe­rez pas d’elles de toutes façons.

Il va me falloir un bien meilleur argu­ment que « ce sont des banques, c’est sérieux, ils ne feraient jamais ça ».

D’au­tant que par le passé on les a vu nier qu’une fausse carte bancaire puisse fonc­tion­ner jusqu’à ce que quelqu’un fasse une démons­tra­tion publique (et finisse en prison pour ça), que ma banque a eu un certi­fi­cat TLS expiré et donnait les indi­ca­tions pour passer outre dans le navi­ga­teur, que pas mal de scan­dales passés ou récents ont montré plus d’une fois leur capa­cité à prendre des risques impor­tants en fran­chis­sant sérieu­se­ment la ligne jaune légale et/ou régle­men­taire.

Ce ne sont pas des grands méchants, mais pas des bisou­nours non plus. L’ar­gu­ment du « vous croyez vrai­ment qu’ils pren­draient le risque ? » me parait bien fragile.

Pour reve­nir à nos cartes sans contact, remet­tons nous dans le contexte : dans deux ou trois ans, on pourra payer en sans contact avec nos smart­phone. Le résul­tat est que le marché des paie­ments passera dans les mains d’Apple et de Samsung ou Google.

Les banques française (et autres) ont-elles un autre choix que de se lancer sur le marché à marché forcée ?

La ques­tion, posée dans le second billet, me semble l’illus­tra­tion parfaite de la destruc­tion de l’ar­gu­ment lui-même. Non elles n’ont pas le choix, oui elles sont pres­sées par le temps, non elles n’ont pas vrai­ment la possi­bi­lité en termes de commu­ni­ca­tion d’échouer à sortir le produit.

Bref, tous les éléments sont juste­ment là pour permettre une prise de risque idiote, pour planquer les défauts sous le tapis, et pour prendre des raccour­cis.

les banques ne sont pas tarées au pont de prendre des risques incon­si­dé­rés. C’est un métier.

Cet argu­ment là, avec l’his­to­rique depuis les subprimes en passant par J. Kerviel, il me fait rire un peu jaune. Si j’étais moqueur je dirais que prendre des risques incon­si­dé­rés ça semble un peu leur métier, juste­ment.

Petit 1 : effec­ti­ve­ment, les données de la carte sont lisibles par un truand à distance mais qu’est-ce que vous voulez qu’ils en fassent ? Il n’a pas le code confi­den­tiel, le cryp­to­gramme visuel et tout ce qui permet­trait de vous emmer­der.

Je suis étonné qu’on pose cette ques­tion désor­mais. Faire du traçage ? Un état qui voudrait l’iden­tité de gens à une mani­fes­ta­tion ? Une entre­prise qui contrô­le­rait les allées et venues ? Une grande surface qui ferait du pistage de clien­tèle ?

Tout ceci n’est pas de la science-fiction, on a eu briè­ve­ment à Londres des poubelles qui collec­taient les adresses mac des smart­phones passant à portée. Je ne me rappelle plus le nom du film d’an­ti­ci­pa­tion Je me rappelle le film Mino­rity Report où le client était iden­ti­fié par ses yeux à son entrée dans un maga­sin. Tech­nique­ment seule la CNIL empêche que ça arrive un jour, et la CNIL en ce moment…

Petit 2 : citez moi un cas de fraude depuis que ces machins commencent à se répandre comme des petits pains dans le langage de Jean-François Copé.

L’ar­gu­ment « rien n’existe parce que ce n’est pas (encore) la catas­trophe » me parait encore plus faible que les précé­dents. Ça ne prouve pas non plus l’exis­tence d’un problème grave, c’est juste que ça ne prouve rien du tout.

Un de mes inter­lo­cu­teurs citait des machins tech­niques auquel il ne comprend pas grand chose et moi non. Il parlait par exemple « d’un termi­nal un peu augmenté côté antenne qui pour­rait faire des paie­ments discrets à ton insu ». Sachant que le montant maxi­mum du sans contact est de 20 euros, le frau­deur se ferait chier à faire un termi­nal spéci­fique pour pas grand chose en prenant un risque incon­si­déré de voir la police lui tomber dessus.

La capa­cité de faire payer 20 euros à des passants d’une rue touris­tique fréquen­tée ? La capa­cité d’un commerçant à faire faire un second paie­ment en douce à un touriste qui passe ? Les pick­po­ckets clas­siques prennent plus de risques de se faire prendre pour un butin pas toujours meilleur.

Si je me rappelle bien, il y a toute une masse de fraude en VPC qui se font juste­ment avec des petits montants parce que la plupart des gens ne les véri­fient pas ou ne vont pas jusqu’à les contes­ter, que les commerçants de leur côté ne demandent pas le 3D secure pour ça, et qu’on est donc tranquilles un moment.

20 euros ce n’est rien, 1000 fois 20 euros c’est 20 000 euros et beau­coup sont prêts à prendre des risques pour ça.

Le système des yes card a fini lui aussi par être une entre­prise extrê­me­ment risquée. Ça n’a pas empê­ché des frau­deurs de conti­nuer long­temps à jouer à ça pour juste 50 euros de carbu­rant.

Au final, le paie­ment frau­du­leux est-il possible ? As-tu désac­tivé ta carte ?

C’est la ques­tion qui n’a pas été posée, c’est dommage, alors je me cite moi-même.

Au final je ne sais pas si c’est possible. J’ai lu quelqu’un qui disait avoir étudié la ques­tion, qui parlait d’une sécu­rité contre la lecture à distance, et qu’elle serait fran­che­ment peu utile. Ça parlait de limites de temps de réponse et d’an­tennes, essen­tiel­le­ment. Rien de vrai­ment hi-tech. Je regrette de ne pas retrou­ver le lien.

Cela dit c’est assez cohé­rent. Si on peut dialo­guer en NFC à distance avec une bonne antenne, qu’il n’y a aucun contact ni aucune vali­da­tion manuelle, j’ai du mal à voir pourquoi le paie­ment lui-même serait impos­sible (mais encore une fois, je n’y connais rien, je suis preneur si vous avez un lien qui explique pourquoi ça l’est). Bref, je ne sais pas, mais ça n’est pas non plus du domaine de la science fiction.

Si j’ai fait désac­ti­ver ma carte c’est plutôt pour le basique : Plusieurs commerçants ont passé ma carte sur le sans contact sans me deman­der mon avis alors que je m’at­ten­dais à taper mon code. Un l’a même fait avec un mauvais montant (je l’ai vu sur le ticket, c’était certai­ne­ment une erreur, mais ça ne m’aide pas à avoir confiance).

Bref, sans même parler de termi­naux frau­deurs dans les rues passantes (pas irréa­liste même si risqué), ou de commerçants malhon­nêtes qui passe­raient un paie­ment de petit montant sur un termi­nal sans bip derrière le comp­toir (je me vois mal le détec­ter sur mes rele­vés), je vois très bien les problèmes sur des montants erro­nés (volon­tai­re­ment ou non, mais poten­tiel­le­ment loin d’être rare). Ça n’existe pas avec la vali­da­tion du code (ou ça demande un termi­nal fran­che­ment modi­fié, bien plus qu’une simple antenne).

Je ne vois simple­ment pas le béné­fice à me passer de la vali­da­tion manuelle que repré­sente la saisie du code, au contraire. Une simple menace de chan­ger de banque a suffit pour me faire déli­vrer gratui­te­ment une carte sans le circuit liti­gieux, et ça me va très bien ainsi.

Fran­che­ment, après avoir goûté le char­geur magné­tique des Mac, j’at­ten­dais ça depuis long­temps. J’ai même choisi mon télé­phone en partie parce qu’il avait un adap­ta­teur magné­tique pour la recharge.

Bref, ils l’ont fait, et ce n’est fran­che­ment pas cher. Tout ça est sur kicks­tar­ter. Il y a de bonnes chances pour qu’on ait même un adap­ta­teur USB C possible.

Pour 11 $ cana­diens, donc moins de 8 €, ce serait dommage de se priver.

Fran­che­ment, le système de dispo­ni­bi­li­tés des SoYouS­tart et Kimsufi c’est la plaie. On ne sait pas ce qu’il y a, il y a peu de dispo sur l’en­semble du maté­riel au cata­logue, et quand on sait ce qu’on veut on se retrouve dans l’im­pos­si­bi­lité de comman­der.

Bref, des techos ont fait un outil d’alerte de dispo­ni­bi­lité. C’est idiot, mais ça fait le job. Merci