Catégorie : Geek

La fraude au paiement sans contact

Nous parlions paiement sans contact via la carte bancaire, mais les quelques arguments donnés me gênent, pour ne pas dire plus.

Petit 3 : croyez-vous vraiment que la Banque de France a laissé les banques diffuser ces machins s’il y avait le moindre risque ?

Petit 4 : croyez-vous vraiment que les banques allaient diffuser ce truc s’il y avait le moindre risque, si elles risquaient de payer la peau des fesses pour renouveler 50 millions de cartes, si elles risquaient de passer pour des imbéciles en qui on ne pouvait pas faire confiance,…

Je ne crois pas à l’idée d’un complot de tout le milieu bancaire diffusant consciemment une solution totalement trouée. Je crois que beaucoup d’autres scénarios sont par contre tout à fait possibles :

Les banques sont comme tous les gros groupes. En amont du projet, les risques structurels sont de nature à faire différer le projet ou à le rejeter. Proche de l’aboutissement, et particulièrement si des étapes administratives, commerciales ou si une communication publique ont déjà été faite, la politique du « pas le moindre risque » n’existe plus.

Même chose côté public : Pour que la Banque de France dise « non » au dernier moment au milieu bancaire sur un sujet « nouvelle technologie » qui a une visibilité publique, qui est voulu par les banques, qui a été annoncé au public, qui peut faire une superbe pub moderne au gouvernement, et qui existe déjà à l’étranger… il en faut certainement beaucoup sur la balance.

Donc une fois le projet bien lancé ou sur le point d’aboutir, ça devient une question de balance : Le problème risque-t-il d’être découvert ? Si oui, risque-t-il d’être découvert avant qu’on ait trouvé un palliatif ou que le parc soit renouvelé ? Si oui, quel est la probabilité de ce risque, combien ça peut nous coûter de le combler après coup en communication et dommages, et à l’inverse combien ça coûte de différer le projet ? Sachant que dans le coût de différer on compte aussi le coût pour le département R&D ou l’institution en question d’avoir le mauvais rôle auprès de sa tutelle et d’être responsable de l’échec du gros projet.

Une fois en route (on en est là) des problèmes peuvent encore être découverts (quand ce ne sont pas des risques envisagés plus haut). Là la stratégie habituelle c’est de nier tout en bloc en cachant sous le tapis. Quand ce n’est plus possible il s’agit d’un exercice de communication associé à un « on prend toutes les mesures mais ce n’est pas notre faute ».

Rien de neuf. Dire que les banques ne se permettraient jamais le moindre risque c’est comme dire qu’un constructeur automobile ne continuerait jamais avec un défaut grave dans les voitures sans faire un rappel (ah mais on me dit dans l’oreillette que…).

Et les banques ne sont pas meilleures. J’ai même tendance à croire que leur situation est plus simple : Pour elles c’est un bête calcul de coût et de risque, il n’y a pas de vie humaine en jeu. Elles ne risquent pas non plus leur survie : C’est toutes les banques qui font le même mouvement ensemble, vous ne passerez pas au concurrent et vous ne vous passerez pas d’elles de toutes façons.

Il va me falloir un bien meilleur argument que « ce sont des banques, c’est sérieux, ils ne feraient jamais ça ».

D’autant que par le passé on les a vu nier qu’une fausse carte bancaire puisse fonctionner jusqu’à ce que quelqu’un fasse une démonstration publique (et finisse en prison pour ça), que ma banque a eu un certificat TLS expiré et donnait les indications pour passer outre dans le navigateur, que pas mal de scandales passés ou récents ont montré plus d’une fois leur capacité à prendre des risques importants en franchissant sérieusement la ligne jaune légale et/ou réglementaire.

Ce ne sont pas des grands méchants, mais pas des bisounours non plus. L’argument du « vous croyez vraiment qu’ils prendraient le risque ? » me parait bien fragile.

Pour revenir à nos cartes sans contact, remettons nous dans le contexte : dans deux ou trois ans, on pourra payer en sans contact avec nos smartphone. Le résultat est que le marché des paiements passera dans les mains d’Apple et de Samsung ou Google.

Les banques française (et autres) ont-elles un autre choix que de se lancer sur le marché à marché forcée ?

La question, posée dans le second billet, me semble l’illustration parfaite de la destruction de l’argument lui-même. Non elles n’ont pas le choix, oui elles sont pressées par le temps, non elles n’ont pas vraiment la possibilité en termes de communication d’échouer à sortir le produit.

Bref, tous les éléments sont justement là pour permettre une prise de risque idiote, pour planquer les défauts sous le tapis, et pour prendre des raccourcis.

les banques ne sont pas tarées au pont de prendre des risques inconsidérés. C’est un métier.

Cet argument là, avec l’historique depuis les subprimes en passant par J. Kerviel, il me fait rire un peu jaune. Si j’étais moqueur je dirais que prendre des risques inconsidérés ça semble un peu leur métier, justement.

Petit 1 : effectivement, les données de la carte sont lisibles par un truand à distance mais qu’est-ce que vous voulez qu’ils en fassent ? Il n’a pas le code confidentiel, le cryptogramme visuel et tout ce qui permettrait de vous emmerder.

Je suis étonné qu’on pose cette question désormais. Faire du traçage ? Un état qui voudrait l’identité de gens à une manifestation ? Une entreprise qui contrôlerait les allées et venues ? Une grande surface qui ferait du pistage de clientèle ?

Tout ceci n’est pas de la science-fiction, on a eu brièvement à Londres des poubelles qui collectaient les adresses mac des smartphones passant à portée. ~~Je ne me rappelle plus le nom du film d’anticipation~~ Je me rappelle le film Minority Report où le client était identifié par ses yeux à son entrée dans un magasin. Techniquement seule la CNIL empêche que ça arrive un jour, et la CNIL en ce moment…

Petit 2 : citez moi un cas de fraude depuis que ces machins commencent à se répandre comme des petits pains dans le langage de Jean-François Copé.

L’argument « rien n’existe parce que ce n’est pas (encore) la catastrophe » me parait encore plus faible que les précédents. Ça ne prouve pas non plus l’existence d’un problème grave, c’est juste que ça ne prouve rien du tout.

Un de mes interlocuteurs citait des machins techniques auquel il ne comprend pas grand chose et moi non. Il parlait par exemple « d’un terminal un peu augmenté côté antenne qui pourrait faire des paiements discrets à ton insu ». Sachant que le montant maximum du sans contact est de 20 euros, le fraudeur se ferait chier à faire un terminal spécifique pour pas grand chose en prenant un risque inconsidéré de voir la police lui tomber dessus.

La capacité de faire payer 20 euros à des passants d’une rue touristique fréquentée ? La capacité d’un commerçant à faire faire un second paiement en douce à un touriste qui passe ? Les pickpockets classiques prennent plus de risques de se faire prendre pour un butin pas toujours meilleur.

Si je me rappelle bien, il y a toute une masse de fraude en VPC qui se font justement avec des petits montants parce que la plupart des gens ne les vérifient pas ou ne vont pas jusqu’à les contester, que les commerçants de leur côté ne demandent pas le 3D secure pour ça, et qu’on est donc tranquilles un moment.

20 euros ce n’est rien, 1000 fois 20 euros c’est 20 000 euros et beaucoup sont prêts à prendre des risques pour ça.

Le système des yes card a fini lui aussi par être une entreprise extrêmement risquée. Ça n’a pas empêché des fraudeurs de continuer longtemps à jouer à ça pour juste 50 euros de carburant.

Au final, le paiement frauduleux est-il possible ? As-tu désactivé ta carte ?

C’est la question qui n’a pas été posée, c’est dommage, alors je me cite moi-même.

Au final je ne sais pas si c’est possible. J’ai lu quelqu’un qui disait avoir étudié la question, qui parlait d’une sécurité contre la lecture à distance, et qu’elle serait franchement peu utile. Ça parlait de limites de temps de réponse et d’antennes, essentiellement. Rien de vraiment hi-tech. Je regrette de ne pas retrouver le lien.

Cela dit c’est assez cohérent. Si on peut dialoguer en NFC à distance avec une bonne antenne, qu’il n’y a aucun contact ni aucune validation manuelle, j’ai du mal à voir pourquoi le paiement lui-même serait impossible (mais encore une fois, je n’y connais rien, je suis preneur si vous avez un lien qui explique pourquoi ça l’est). Bref, je ne sais pas, mais ça n’est pas non plus du domaine de la science fiction.

Si j’ai fait désactiver ma carte c’est plutôt pour le basique : Plusieurs commerçants ont passé ma carte sur le sans contact sans me demander mon avis alors que je m’attendais à taper mon code. Un l’a même fait avec un mauvais montant (je l’ai vu sur le ticket, c’était certainement une erreur, mais ça ne m’aide pas à avoir confiance).

Bref, sans même parler de terminaux fraudeurs dans les rues passantes (pas irréaliste même si risqué), ou de commerçants malhonnêtes qui passeraient un paiement de petit montant sur un terminal sans bip derrière le comptoir (je me vois mal le détecter sur mes relevés), je vois très bien les problèmes sur des montants erronés (volontairement ou non, mais potentiellement loin d’être rare). Ça n’existe pas avec la validation du code (ou ça demande un terminal franchement modifié, bien plus qu’une simple antenne).

Je ne vois simplement pas le bénéfice à me passer de la validation manuelle que représente la saisie du code, au contraire. Une simple menace de changer de banque a suffit pour me faire délivrer gratuitement une carte sans le circuit litigieux, et ça me va très bien ainsi.

18 août 2015
ZNAPS -The $9 Magnetic Adapter for your mobile devices

Franchement, après avoir goûté le chargeur magnétique des Mac, j’attendais ça depuis longtemps. J’ai même choisi mon téléphone en partie parce qu’il avait un adaptateur magnétique pour la recharge.

Bref, ils l’ont fait, et ce n’est franchement pas cher. Tout ça est sur kickstarter. Il y a de bonnes chances pour qu’on ait même un adaptateur USB C possible.

Pour 11 $ canadiens, donc moins de 8 €, ce serait dommage de se priver.

26 juillet 2015
Icon-font, hack ?

Unicode intègre maintenant des pictogrammes depuis des années, et ça se renforce chaque version. Aujourd’hui on doit dépasser les 1000 emoji, dont certains sont en réalité des modificateurs. Avec la composition ce sont des dizaines de milliers qui sont possibles. À cela il faut ajouter des milliers de symboles, de la flèche jusqu’à l’enveloppe.

Tout ça se retrouve ou se retrouvera dans nos polices de caractères. C’est fait pour, à dessein.

Dans Unicode, et donc dans nos polices de caractères se trouve aussi une plage de symboles dite « privée ». Elle est faite pour que vous y mettiez vos propres symboles, à vous, pour vos besoins. Tant qu’on reste là dedans, je ne vois pas trop pourquoi y ajouter un pictogramme représentant un panier d’achat serait plus ou moins un hack, une bidouille, que les emojis ou les symboles déjà présents.

La seule différence est que vous êtes dans un espace privé donc que le sens de vos pictogramme est inconnu des programmes qui les utiliseront. Bon, c’est prévu comme ça au départ aussi, à dessein, et c’est aussi vrai de n’importe quelle image sur une page web.

Bref, les polices de caractères personnalisées avec des pictogrammes, un hack ? ça se discute. Uniquement si vous considérez que les plages Unicode de symboles et autres emoji le sont aussi. Ça se discute…

19 juin 2015
Disponibilités SoYouStart / Kimsufi

Franchement, le système de disponibilités des SoYouStart et Kimsufi c’est la plaie. On ne sait pas ce qu’il y a, il y a peu de dispo sur l’ensemble du matériel au catalogue, et quand on sait ce qu’on veut on se retrouve dans l’impossibilité de commander.

Bref, des techos ont fait un outil d’alerte de disponibilité. C’est idiot, mais ça fait le job. Merci

19 juin 2015
Archivage sans papier

J’ai trois gros dossiers en cours, le genre qui se mettent dans des chemises en carton à 3cm ou 5cm d’épaisseur. Chaque nouveau document est d’abord numérisé et classé.

J’ai donc la copie de tout ce qui transite. C’est autant pour éviter la perte des originaux que par facilité de gestion, capacité de me référer facilement aux contenus.

Et là depuis deux semaines revient ma vieille marotte de passer au tout numérisé. Pas vraiment de me séparer du papier – vu que l’administration demande encore des originaux – mais de modifier mon processus, mon archivage… de considérer d’abord le numérisé et de n’aller chercher la copie papier au fond d’un carton ou d’un coffre qu’en cas de besoin impérieux.

Je cherche des expérience et j’en trouve peu. On me parle d’Evernote mais c’est une réponse technique. J’en cherche une organisationnelle. Seul lien un peu tangible : un feedback de 2012.

Au niveau du scanner les petits scanner à défilement ont l’air assez top maintenant. Bonne qualité, très compact, recto-verso en une passe. Certains ont même un chargeur avec la possibilité de concaténer d’office dans un seul fichier PDF sans que ce soit fait en manuel, voire un stockage local et une synchronisation WIFI. Reste qu’à 350 € le haut de gamme, ça vaut le coup d’explorer un peu.

Et le papier, on en fait quoi ? On continue de classer en détail ? On sépare en grosse catégories et on laisse en vrac à l’intérieur ? On classe uniquement par date de numérisation pour retrouver plus tard ? ou par date de courrier ? ou par date de fin de conservation ? Faut-il les numéroter pour bien garder une liaison entre le numérique et le papier ? Gardé à la cave ou à distance ? etc.

Et le numérique ? Quid des classements semi-automatiques ? L’OCR est-il vraiment utile pour la recherche ou est-ce que le faible contenu textuel de la plupart des courriers rend ça sans effet ? Je passe du temps à classer en détail ou par grosse catégorie ? Comment est-ce que j’assure la pérennité de mon classement et de mon catalogue (voire de mon indexation) si ça passe par un logiciel et pas simplement par une hiérarchie de dossiers ?

Et en pratique, sur quoi le faites-vous ? où est-ce utile et où est-ce superflu ? allez-vous souvent chercher les originaux papier ? Que numériser et que ne pas numériser ? Téléchargez-vous aussi les documents qui sont déjà numériques et en ligne pour compléter et assurer l’archivage ? si oui, comment ne pas y passer trop de temps et ne pas oublier ?

Bref, nommer des logiciels est bien la dernière de mes interrogations, mais j’ai bien envie de passer le pas si j’arrive à trouver quelques personnes qui me partagent leur expérience.

15 juin 2015
Apple to devs: Watch out, don’t make the Watch into a, well, a watch

Moment détente…

[Apple] Watch apps whose primary function is telling time will be rejected

— via The Register

C’est tellement ironique que je ne pouvais pas m’abstenir de le poster

20 mai 2015
Never trust a corporation to do a library job

For years, Google’s mission included the preservation of the past. […]

In the last five years, starting around 2010, the shifting priorities of Google’s management left […] archival projects in limbo, or abandoned entirely.

On parle de la plus grande archive Usenet de l’époque, de Google Books qui tentait de scanner tous les livres de la planète pour archive, ou de la News Archive qui gardait des historiques de presse ayant jusqu’à 200 ans d’ancienneté.

Two months ago, Larry Page said the company’s outgrown its 14-year-old mission statement. Its ambitions have grown, and its priorities have shifted. […]

As it turns out, organizing the world’s information isn’t always profitable. Projects that preserve the past for the public good aren’t really a big profit center. Old Google knew that, but didn’t seem to care.

Tout est dans le titre : Never trust a corporation to do a library job.

The Internet Archive is mostly known for archiving the web, a task the San Francisco-based nonprofit has tirelessly done since 1996, two years before Google was founded.

Archives du web, mais aussi audio et vidéo diverses, musiques, films, enregistrements TV, livres et même vieux logiciels.

Le problème c’est que notre société a tendance à considérer que tout doit être rentable, que si ça a un intérêt de le faire alors ça doit pouvoir être vendu et géré par une société privée. Même l’État se désintéresse au fur et à mesure de ses missions légitime en calculant la rentabilité financière des projets.

Nous faisons de l’archéologie pour connaitre notre passé, mais jetons notre présent au lieu de l’archiver, alors que c’est techniquement faisable, et politiquement souhaitable.

20 février 2015
Comment j’ai tout bloqué
Depuis 24h j’ai demandé à mon navigateur de bloquer les iframes et scripts tiers, c’est à dire ceux qui n’appartiennent pas au même domaine que la page que je visite.

Vous savez quoi ? le web fonctionne en fait encore très bien, presque mieux. Je n’ai plus les publicités, les pisteurs, les gadgets, les invites de réseaux sociaux… mais à peu près tout le reste.

Je dois faire des exceptions au cas par cas comme pour Gmail ou quelques sites qui utilisent deux domaines distincts, mais ces exceptions sont plutôt très simples à gérer.

Qu’ai-je fait ?

J’ai retiré Adblock+ et Ghostery pour les remplacer par µblock. Ce dernier se base sur les mêmes listes que Adblock+ donc vous ne perdrez pas grand chose.

J’ai désormais une petite icône rouge dans ma barre de navigation. Un clic simple laisse apparaitre une infobulle avec quelques informations mais surtout un gros bouton vert.

Un clic sur le numéro de version µblock en haut de l’infobulle et vous arrivez sur la page des préférences. La liste des filtres a des valeurs par défaut assez intelligentes, vous voudrez probablement juste ajouter la liste « FRA: EasyList Liste FR » pour les valeurs spécifiques à nos sites français.

Là on s’arrête chez tous les non-geeks. Ce devrait être un bon remplacement à ADBlock+ et à Ghostery, tout en prenant un peu moins de ressources.

En cas de problèmes un clic sur le gros bouton vert désactive µblock sur tout le site en cours de navigation.

Qu’ai-je vraiment fait ?

Personnellement j’ai voulu tenter plus loin et plus basique. Dans les paramètres vous pouvez cocher « je suis un utilisateur expérimenté ».

Désormais vous avez un petit + en face du terme « requêtes bloquées ». Un clic et vous avez accès à une superbe interface étendue qui permet de faire des exceptions ou des règles fines.

La partie basse liste les domaines tiers utilisés : D’abord le domaine principal, en gras, puis les différents sous-domaines correspondants sur les lignes suivantes. Un sous-domaine a sa première colonne en vert, rouge ou jaune ou rouge pâle suivant que toutes les requêtes ont été autorisées, que toutes ont été bloquées, ou qu’il y a un peu des deux.

Sur tout le tableau, on peut forcer le blocage ou l’autorisation des requêtes dans une catégorie en changeant de couleur la case correspondante en seconde ou en troisième colonne. La seconde correspond à un blocage global sur tous les sites, la troisième à un blocage uniquement sur le site en cours. Bien évidemment, si vous bloquez globalement un domaine, il sera aussi bloqué (donc en rouge) pour le site en cours sur la troisième colonne.

Qu’ai-je vraiment vraiment fait ?

Alors j’ai bloqué les scripts et cadres tiers, globalement (j’ai passé en rouge la seconde colonne de la quatrième et de la cinquième ligne, comme le montre la capture d’écran précédente).

Les dégâts sont loin d’être aussi importants que ce qu’on peut imaginer. Dans l’ensemble ça fonctionne très bien.

Il faut parfois autoriser quelques domaines en plus, au cas par cas, pour éviter d’avoir un contenu trop nu. Sur lemonde.fr j’ai du passer en vert la troisième case en face du domaine lmde.fr. Sur les sites de Google j’ai du autoriser gstatic.com. De telles exceptions sont très faciles à trouver et c’est fait une fois pour toutes.

Je sais qu’il me restera des exceptions à trouver, par exemple dans le cas des vidéos Dailymotion ou Youtube. Globalement ça fonctionne quand même très bien et je suis prêt à payer le prix d’avoir à faire quelques surcharges manuelles de temps en temps.

Je suis certain que dans un mois ces surcharges manuelles devraient être assez complètes et que je n’y toucherai quasiment plus. Je regrette juste de ne pas pouvoir les synchroniser entre Firefox et Chrome.

Pour l’instant, à force de clic, mes règles ressemblent à ça (cinquième onglet des préférences) :
```
* * 3p-frame block
* * 3p-script block
* ajax.googleapis.com * noop
* bootstrapcdn.com * noop
* disqus.com * noop
* googlevideo.com * noop
* gstatic.com * noop
* highcharts.com * noop
* youtube.com * noop
* ytimg.com * noop
500px.com 500px.org * noop
mail.google.com googleusercontent.com * noop
speakerdeck.com d2dfho4r6t7asi.cloudfront.net * noop
twitter.com twimg.com * noop
www.facebook.com fbcdn-profile-a.akamaihd.net * noop
www.facebook.com fbstatic-a.akamaihd.net * noop
www.flickr.com yimg.com * noop
www.lemonde.fr lemde.fr * noop
www.leparisien.fr lprs1.fr * noop
www.liberation.fr libe.com * noop
www.linkedin.com licdn.com * noop
www.youtube.com google.com * noop
```
Il ne me manque qu’une seule fonctionnalité de Ghostery, la possibilité de lancer au cas par cas les commentaires Disqus à l’aide d’un simple clic. Par contre j’ai l’impression d’un rendu plus rapide que mon ancien couple ADBlock+/Ghostery.
22 janvier 2015
Help, je me sépare de mon informaticien(ne)

C’est la troisième fois que je conseille quelqu’un là dessus alors je fixe par écrit, au moins pour que quelqu’un d’autre puisse s’y référer, mais aussi pour que vous lecteurs puissiez enrichir.

Contexte : Le couple se sépare (mais vit donc potentiellement sous le même toit pour l’instant, ça peut mettre du temps), l’un des deux est informaticien, l’autre craint de se faire espionner d’une quelconque façon.

Prendre du recul

Premier conseil : Même si ça se passe mal, il est probable qu’il n’en soit rien. Au risque de faire une affirmation trop générique, j’ai tendance à croire que sauf historique immoral connu, plus la personne « sait » faire, plus elle est responsable vis à vis de la question de la sécurité informatique et s’abstiendra de trop déraper.

Très probablement utiliser le mode « navigation privée » de votre navigateur web, ne pas laisser trainer de document (vider la corbeille !) et éviter d’utiliser un compte email dont le conjoint connait le mot de passe devrait suffire.

Maintenant imaginons le pire, la question est uniquement d’imaginer le ratio sécurité/emmerdement à viser. Plus vous voulez être en sécurité, plus ça va être emmerdant à gérer (pour vous pour éviter d’être espionné, mais aussi pour l’autre de vous espionner) :

Tout externaliser

Le plus simple est d’arrêter de communiquer sur des sujets sensibles avec vos anciens comptes email, facebook, skype, messagerie instantanée, etc.

Il est simple d’en créer d’autres dédiés à cet usage. Ces nouveaux comptes ne seront utilisés que depuis des appareils et des réseaux « sécurisés », c’est à dire votre travail, le domicile d’un ami proche et de confiance, ou un cybercafé… mais pas les appareils ou le réseau de votre domicile.

Si besoin il est possible d’utiliser depuis la maison une tablette ou un téléphone 3G (pas en wifi) à condition d’avoir activé le chiffrement de l’appareil (c’est possible sous iphone/ipad comme sur les Android récent) *et* que le code PIN ou l’empreinte digitale soit requis à chaque sortie de veille (pas la simple reconnaissance du visage) *et* que le conjoint ne connaisse pas ce code PIN ou n’ait pas enregistré sa propre empreinte.

Attention, si c’est un appareil pré-existant, il faut retirer toutes les synchronisations de données (par exemple les SMS qui se synchronisent avec votre compte Google Hangout de la maison, le Firefox ou le Chrome qui synchronisent et donc caftent votre historique de navigation avec celui de la maison, etc…) ainsi que les logiciels de sauvegarde. Au pire, un téléphone premier prix neuf avec un petit forfait premier prix aussi ne coûte plus grand chose ; il est possible d’acheter ça pour l’occasion.

C’est contraignant car ça exclut potentiellement la capacité de communiquer sur le sujet depuis le matériel du domicile conjugal, mais c’est encore ce qui a le meilleur ratio sécurité/emmerdement.

Même chose pour les fichiers ou les documents échangés : Ils restent sur l’appareil du bureau ou de la personne de confiance, en ligne sur un service genre Google Drive ou Dropbox (avec un nouveau compte dédié à cet usage), ou éventuellement sur la tablette qui répond à la description plus haut. La clef USB c’est chercher les ennuis et le stress.

Attention, si vous vous connectez une fois depuis un matériel ou un réseau qui n’est pas de confiance, sauf à changer le mot de passe très rapidement (et depuis un appareil de confiance), vous pouvez tout recommencer à zéro.

Utiliser le matériel de la maison

Globalement est à risque tout ce qui passe par la maison, un appareil ou un réseau commun, ou qui peut être récupéré à partir de là. Je conseille d’éviter mais on peut tenter de limiter la casse :

Tout d’abord vous pouvez abandonner l’idée du simple anti-virus ou de l’outil magique qui enlèvera tous les spywares. Il y a trop de portes possibles : utilisateur administrateur, mauvaises configuration, disque non chiffré, sauvegarde automatique ou synchronisation vers une destination accessible du conjoint… l’anti-spyware ne pourra jamais corriger tout ça. Votre éventuel ami informaticien sera lui même bien à mal de garantir quoi que ce soit même en y passant des heures.

Le PC de la maison est disqualifié dans sa configuration actuelle, sans retour en arrière possible. La seule solution est de le réinstaller complètement de zéro, d’y activer ensuite le chiffrement des disques (indispensable si le conjoint peut avoir un accès physique à l’appareil) et de choisir judicieusement un nouveau mot de passe. Si ce n’est pas votre métier, ça veut dire vous faire aider par une connaissance pour tout ça.

Attention : réinstaller votre ordinateur habituel sera probablement remarqué donc ça ouvrira les hostilités (et le fait de se protéger contre une intrusion peut faire que la personne d’en face se sente elle-même à risque et réalise des intrusions qu’elle n’aurait pas tenté sinon ; vous risquez de déclencher voire créer le problème contre lequel vous voulez vous défendre).

Une solution plus douce, si vous avez un lecteur CD, est d’utiliser un live CD. En gros il s’agit d’amorcer la machine avec un environnement gravé sur CD non réinscriptible (donc non modifiable par le conjoint) plutôt qu’avec le système du disque local (potentiellement contrôlé ou modifié par le conjoint). On peut en faire sous Windows ou sous Linux. Quelqu’un de confiance dans votre entourage pourra probablement vous en faire un. Signez le CD ensuite avec un feutre pour le reconnaitre et vous assurer qu’on ne le changera pas par un autre plus tard à votre insu. À partir de là si vous ne stockez rien sur le disque local et laissez tout en ligne, vous êtes à peu près sûr de ne pas avoir de problème.

Bien entendu, dans les deux cas (réinstallation ou live CD), ça n’a d’intérêt que si vous utilisez des nouveaux comptes de messagerie avec de nouveaux mots de passe, comme décrit plus haut. Malheureusement ça fonctionne avec le live CD mais pas avec une clef USB, qui pourrait être modifiée.

Seule précaution supplémentaire à prendre : Vous connecter directement à la box internet, que ce soit par câble ou par wifi, mais *pas* en passant par un routeur ou un appareil maison. Si le réseau WIFI n’est pas celui de votre opérateur (Freebox, SFR, Orange, LaBox…) ou que d’un coup il vous redemande le mot de passe WIFI, considérez que vous n’êtes plus en zone de confiance et que tout ce qui ne se fait pas dans un navigateur en mode sécurisé (barre d’adresse verte ou avec le cadenas) peut être espionné voire manipulé.

Prendre conseil

Dans tous les cas, si vous en êtes là, je ne saurais trop vous conseiller de commencer par prendre contact avec un avocat spécialisé dans les séparations. Lui pourra certainement vous donner de nombreux conseils car il est habitué à la problématique. Une personne de confiance dans votre entourage vous sera de toutes façons aussi très utile comme relai pour le courrier ou pour vous prêter un accès Internet.

Courage.

Si vous pouvez corriger ou compléter, je suis certain que la personne à qui j’adresse aujourd’hui ce billet vous en sera reconnaissante.

Photo d’entête sous licence CC BY-NC-SA par Fotemas

18 décembre 2014
Typographie à l’école

Quelles bases de typographie sont donc enseignées à l’école ? Le mot « typographie » est-il utilisé ? — Emmanuel

Question intéressante. J’ai fouillé mes souvenirs.

Au niveau caractère

On m’a appris les majuscules, les minuscules, les chiffres, les ponctuations et l’espace.

On ne m’a pas appris la différenciation entre majuscule et capitale, ou même l’existence des petites capitales, ni le fait que les points de suspensions est un caractère à part entière et pas trois points séparés.

On ne m’a pas appris non plus les cadratin et demi cadratin, les chevrons pour faire des citations à l’intérieur d’autres citations ou le sens des crochets. On ne m’a pas appris non plus qu’il y a différentes tailles d’espace (mais ça s’est fait tout seul à l’usage pour l’écriture manuscrite). Je ne parle même pas de savoir ce qu’est une ligature.

On m’a aussi explicitement mal appris que les majuscules ne prennent jamais d’accent ou de cédille, et je crois que ce mauvais apprentissage perdure encore aujourd’hui.

On m’a aussi explicitement appris le mauvais genre pour « une espace », et j’ai encore du mal aujourd’hui à me corriger.

Au niveau du mot

On m’a appris à séparer les mots par des espaces, à capitaliser les noms propres, ce qu’est un sigle ou une abréviation. On m’a même appris la césure et qu’elle se fait entre deux syllabes.

On ne m’a par contre pas appris – ou je ne m’en souviens pas – comment arbitrer entre les différentes écritures des sigles et acronymes (capitales ou non, points entre les lettres ou non).

Sur la césure on ne m’a pas non plus appris à faire des coupures élégantes, ou quand éviter de les faire.

Au niveau de la phrase

On m’a appris la majuscule en début de phrase et le point en fin de phrase, quelle ponctuation prend une espace avant ou après.

On m’a toujours appris à ne pas mettre de virgule entre les deux derniers éléments d’un inventaire quand un « et » ou un « ou » est présent, même si j’ai appris à parfois le faire moi-même plus tard.

On ne m’a par contre pas appris à gérer la ponctuation des listes.

On ne m’a pas appris non plus la notion d’espace insécable, même si en pratique la « règle du bon sens » fait qu’on m’a interdit de revenir à la ligne avant une ponctuation autre que l’ouverture de guillemet ou de parenthèse, avant les symboles d’unité, ou (pour les professeurs les plus tatillons) au milieu d’un « 15 septembre ».

La capacité de ne pas mettre une capitale après les deux points quand il s’agit d’un inventaire a été différente chaque année suivant le professeur. Pour le coup on m’a appris tout et son contraire.

Au niveau du paragraphe

On m’a appris la notion de paragraphe, le saut de ligne et même l’indentation. On m’a appris la notion de titre, l’espace sous et sur le titre.

On ne m’a pas appris que c’est normalement soit un sauf de ligne soit une indentation mais pas forcément les deux – et assez rapidement plus personne n’a demandé ou fait attention à la présence ou non d’une indentation. On ne m’a pas appris non plus à réellement concevoir une différence entre un nouveau paragraphe et un simple retour à la ligne – même si j’ai finis par la faire de moi-même.

On ne m’a pas appris à gérer les veuves ou les orphelines.

La notion de phrase : On m’a appris la majuscule en début de phrase

Autres

On m’a appris le souligné, on m’a donné très tardivement la signification de l’italique mais jamais du gras. On ne m’a par contre jamais donné les armes pour faire de l’écriture clavier avec un usage élégant entre les guillemets et l’italique plutôt que le gras et le souligné.

De manière générale on ne m’a jamais appris à vraiment utiliser le clavier ou que l’informatique permet plus que le simple ASCII : majuscules accentuées, cadratins, espace insécable, espace fine, apostrophe et guillemet typographique, et encore moins les traits d’union et traits de césure explicite ou la césure optionnelle. On ne m’a globalement pas appris l’informatique du tout en fait, que ce soit clavier ou traitement de texte – je ne parle même pas de choix des fontes. Ça peut expliquer aussi le faible niveau typographique des échanges électroniques actuels.

Je regrette aussi qu’on ne m’ait pas enseigné les questions typographiques en tant que tel, peut-être rien que pour me dire que la typographie est différente dans d’autres langues.

Clairement, dans tous les cas, personne n’avait même abordé le terme de typographie. À l’heure où on parle de la pertinence d’enseigner l’écriture à la main, c’est surprenant.

Et vous ?

Photo d’entête sous licence CC BY-NC-SA par Relly Annett-Baker

18 décembre 2014

Catégorie : Geek

Qu’ai-je fait ?

Qu’ai-je vrai­ment fait ?

Qu’ai-je vrai­ment vrai­ment fait ?

Prendre du recul

Tout exter­na­li­ser

Utili­ser le maté­riel de la maison

Prendre conseil

Au niveau carac­tère

Au niveau du mot

Au niveau de la phrase

Au niveau du para­graphe

Autres

Qu’ai-je fait ?

Qu’ai-je vraiment fait ?

Qu’ai-je vraiment vraiment fait ?

Tout externaliser

Utiliser le matériel de la maison

Au niveau caractère

Au niveau du paragraphe