Catégorie : Geek

  • La fraude au paie­ment sans contact

    Nous parlions paie­ment sans contact via la carte bancaire, mais les quelques argu­ments donnés me gênent, pour ne pas dire plus.

    Petit 3 : croyez-vous vrai­ment que la Banque de France a laissé les banques diffu­ser ces machins s’il y avait le moindre risque ?

    Petit 4 : croyez-vous vrai­ment que les banques allaient diffu­ser ce truc s’il y avait le moindre risque, si elles risquaient de payer la peau des fesses pour renou­ve­ler 50 millions de cartes, si elles risquaient de passer pour des imbé­ciles en qui on ne pouvait pas faire confiance,…

    Je ne crois pas à l’idée d’un complot de tout le milieu bancaire diffu­sant consciem­ment une solu­tion tota­le­ment trouée. Je crois que beau­coup d’autres scéna­rios sont par contre tout à fait possibles :

    Les banques sont comme tous les gros groupes. En amont du projet, les risques struc­tu­rels sont de nature à faire diffé­rer le projet ou à le reje­ter. Proche de l’abou­tis­se­ment, et parti­cu­liè­re­ment si des étapes admi­nis­tra­tives, commer­ciales ou si une commu­ni­ca­tion publique ont déjà été faite, la poli­tique du « pas le moindre risque » n’existe plus.

    Même chose côté public : Pour que la Banque de France dise « non » au dernier moment au milieu bancaire sur un sujet « nouvelle tech­no­lo­gie » qui a une visi­bi­lité publique, qui est voulu par les banques, qui a été annoncé au public, qui peut faire une superbe pub moderne au gouver­ne­ment, et qui existe déjà à l’étran­ger… il en faut certai­ne­ment beau­coup sur la balance.

    Donc une fois le projet bien lancé ou sur le point d’abou­tir, ça devient une ques­tion de balance : Le problème risque-t-il d’être décou­vert ? Si oui, risque-t-il d’être décou­vert avant qu’on ait trouvé un pallia­tif ou que le parc soit renou­velé ? Si oui, quel est la proba­bi­lité de ce risque, combien ça peut nous coûter de le combler après coup en commu­ni­ca­tion et dommages, et à l’in­verse combien ça coûte de diffé­rer le projet ? Sachant que dans le coût de diffé­rer on compte aussi le coût pour le dépar­te­ment R&D ou l’ins­ti­tu­tion en ques­tion d’avoir le mauvais rôle auprès de sa tutelle et d’être respon­sable de l’échec du gros projet.

    Une fois en route (on en est là) des problèmes peuvent encore être décou­verts (quand ce ne sont pas des risques envi­sa­gés plus haut). Là la stra­té­gie habi­tuelle c’est de nier tout en bloc en cachant sous le tapis. Quand ce n’est plus possible il s’agit d’un exer­cice de commu­ni­ca­tion asso­cié à un « on prend toutes les mesures mais ce n’est pas notre faute ».

    Rien de neuf. Dire que les banques ne se permet­traient jamais le moindre risque c’est comme dire qu’un construc­teur auto­mo­bile ne conti­nue­rait jamais avec un défaut grave dans les voitures sans faire un rappel (ah mais on me dit dans l’oreillette que…).

    Et les banques ne sont pas meilleures. J’ai même tendance à croire que leur situa­tion est plus simple : Pour elles c’est un bête calcul de coût et de risque, il n’y a pas de vie humaine en jeu. Elles ne risquent pas non plus leur survie : C’est toutes les banques qui font le même mouve­ment ensemble, vous ne passe­rez pas au concur­rent et vous ne vous passe­rez pas d’elles de toutes façons.

    Il va me falloir un bien meilleur argu­ment que « ce sont des banques, c’est sérieux, ils ne feraient jamais ça ».

    D’au­tant que par le passé on les a vu nier qu’une fausse carte bancaire puisse fonc­tion­ner jusqu’à ce que quelqu’un fasse une démons­tra­tion publique (et finisse en prison pour ça), que ma banque a eu un certi­fi­cat TLS expiré et donnait les indi­ca­tions pour passer outre dans le navi­ga­teur, que pas mal de scan­dales passés ou récents ont montré plus d’une fois leur capa­cité à prendre des risques impor­tants en fran­chis­sant sérieu­se­ment la ligne jaune légale et/ou régle­men­taire.

    Ce ne sont pas des grands méchants, mais pas des bisou­nours non plus. L’ar­gu­ment du « vous croyez vrai­ment qu’ils pren­draient le risque ? » me parait bien fragile.

    Pour reve­nir à nos cartes sans contact, remet­tons nous dans le contexte : dans deux ou trois ans, on pourra payer en sans contact avec nos smart­phone. Le résul­tat est que le marché des paie­ments passera dans les mains d’Apple et de Samsung ou Google.
    Les banques française (et autres) ont-elles un autre choix que de se lancer sur le marché à marché forcée ?

    La ques­tion, posée dans le second billet, me semble l’illus­tra­tion parfaite de la destruc­tion de l’ar­gu­ment lui-même. Non elles n’ont pas le choix, oui elles sont pres­sées par le temps, non elles n’ont pas vrai­ment la possi­bi­lité en termes de commu­ni­ca­tion d’échouer à sortir le produit.

    Bref, tous les éléments sont juste­ment là pour permettre une prise de risque idiote, pour planquer les défauts sous le tapis, et pour prendre des raccour­cis.

    les banques ne sont pas tarées au pont de prendre des risques incon­si­dé­rés. C’est un métier.

    Cet argu­ment là, avec l’his­to­rique depuis les subprimes en passant par J. Kerviel, il me fait rire un peu jaune. Si j’étais moqueur je dirais que prendre des risques incon­si­dé­rés ça semble un peu leur métier, juste­ment.

    Petit 1 : effec­ti­ve­ment, les données de la carte sont lisibles par un truand à distance mais qu’est-ce que vous voulez qu’ils en fassent ? Il n’a pas le code confi­den­tiel, le cryp­to­gramme visuel et tout ce qui permet­trait de vous emmer­der.

    Je suis étonné qu’on pose cette ques­tion désor­mais. Faire du traçage ? Un état qui voudrait l’iden­tité de gens à une mani­fes­ta­tion ? Une entre­prise qui contrô­le­rait les allées et venues ? Une grande surface qui ferait du pistage de clien­tèle ?

    Tout ceci n’est pas de la science-fiction, on a eu briè­ve­ment à Londres des poubelles qui collec­taient les adresses mac des smart­phones passant à portée. Je ne me rappelle plus le nom du film d’an­ti­ci­pa­tion Je me rappelle le film Mino­rity Report où le client était iden­ti­fié par ses yeux à son entrée dans un maga­sin. Tech­nique­ment seule la CNIL empêche que ça arrive un jour, et la CNIL en ce moment…

    Petit 2 : citez moi un cas de fraude depuis que ces machins commencent à se répandre comme des petits pains dans le langage de Jean-François Copé.

    L’ar­gu­ment « rien n’existe parce que ce n’est pas (encore) la catas­trophe » me parait encore plus faible que les précé­dents. Ça ne prouve pas non plus l’exis­tence d’un problème grave, c’est juste que ça ne prouve rien du tout.

    Un de mes inter­lo­cu­teurs citait des machins tech­niques auquel il ne comprend pas grand chose et moi non. Il parlait par exemple « d’un termi­nal un peu augmenté côté antenne qui pour­rait faire des paie­ments discrets à ton insu ». Sachant que le montant maxi­mum du sans contact est de 20 euros, le frau­deur se ferait chier à faire un termi­nal spéci­fique pour pas grand chose en prenant un risque incon­si­déré de voir la police lui tomber dessus.

    La capa­cité de faire payer 20 euros à des passants d’une rue touris­tique fréquen­tée ? La capa­cité d’un commerçant à faire faire un second paie­ment en douce à un touriste qui passe ? Les pick­po­ckets clas­siques prennent plus de risques de se faire prendre pour un butin pas toujours meilleur.

    Si je me rappelle bien, il y a toute une masse de fraude en VPC qui se font juste­ment avec des petits montants parce que la plupart des gens ne les véri­fient pas ou ne vont pas jusqu’à les contes­ter, que les commerçants de leur côté ne demandent pas le 3D secure pour ça, et qu’on est donc tranquilles un moment.

    20 euros ce n’est rien, 1000 fois 20 euros c’est 20 000 euros et beau­coup sont prêts à prendre des risques pour ça.

    Le système des yes card a fini lui aussi par être une entre­prise extrê­me­ment risquée. Ça n’a pas empê­ché des frau­deurs de conti­nuer long­temps à jouer à ça pour juste 50 euros de carbu­rant.

    Au final, le paie­ment frau­du­leux est-il possible ? As-tu désac­tivé ta carte ?

    C’est la ques­tion qui n’a pas été posée, c’est dommage, alors je me cite moi-même.

    Au final je ne sais pas si c’est possible. J’ai lu quelqu’un qui disait avoir étudié la ques­tion, qui parlait d’une sécu­rité contre la lecture à distance, et qu’elle serait fran­che­ment peu utile. Ça parlait de limites de temps de réponse et d’an­tennes, essen­tiel­le­ment. Rien de vrai­ment hi-tech. Je regrette de ne pas retrou­ver le lien.

    Cela dit c’est assez cohé­rent. Si on peut dialo­guer en NFC à distance avec une bonne antenne, qu’il n’y a aucun contact ni aucune vali­da­tion manuelle, j’ai du mal à voir pourquoi le paie­ment lui-même serait impos­sible (mais encore une fois, je n’y connais rien, je suis preneur si vous avez un lien qui explique pourquoi ça l’est). Bref, je ne sais pas, mais ça n’est pas non plus du domaine de la science fiction.

    Si j’ai fait désac­ti­ver ma carte c’est plutôt pour le basique : Plusieurs commerçants ont passé ma carte sur le sans contact sans me deman­der mon avis alors que je m’at­ten­dais à taper mon code. Un l’a même fait avec un mauvais montant (je l’ai vu sur le ticket, c’était certai­ne­ment une erreur, mais ça ne m’aide pas à avoir confiance).

    Bref, sans même parler de termi­naux frau­deurs dans les rues passantes (pas irréa­liste même si risqué), ou de commerçants malhon­nêtes qui passe­raient un paie­ment de petit montant sur un termi­nal sans bip derrière le comp­toir (je me vois mal le détec­ter sur mes rele­vés), je vois très bien les problèmes sur des montants erro­nés (volon­tai­re­ment ou non, mais poten­tiel­le­ment loin d’être rare). Ça n’existe pas avec la vali­da­tion du code (ou ça demande un termi­nal fran­che­ment modi­fié, bien plus qu’une simple antenne).

    Je ne vois simple­ment pas le béné­fice à me passer de la vali­da­tion manuelle que repré­sente la saisie du code, au contraire. Une simple menace de chan­ger de banque a suffit pour me faire déli­vrer gratui­te­ment une carte sans le circuit liti­gieux, et ça me va très bien ainsi.

  • ZNAPS -The $9 Magne­tic Adap­ter for your mobile devices

    Fran­che­ment, après avoir goûté le char­geur magné­tique des Mac, j’at­ten­dais ça depuis long­temps. J’ai même choisi mon télé­phone en partie parce qu’il avait un adap­ta­teur magné­tique pour la recharge.

    Bref, ils l’ont fait, et ce n’est fran­che­ment pas cher. Tout ça est sur kicks­tar­ter. Il y a de bonnes chances pour qu’on ait même un adap­ta­teur USB C possible.

    Pour 11 $ cana­diens, donc moins de 8 €, ce serait dommage de se priver.

  • Icon-font, hack ?

    Unicode intègre main­te­nant des picto­grammes depuis des années, et ça se renforce chaque version. Aujourd’­hui on doit dépas­ser les 1000 emoji, dont certains sont en réalité des modi­fi­ca­teurs. Avec la compo­si­tion ce sont des dizaines de milliers qui sont possibles. À cela il faut ajou­ter des milliers de symboles, de la flèche jusqu’à l’en­ve­loppe.

    Tout ça se retrouve ou se retrou­vera dans nos polices de carac­tères. C’est fait pour, à dessein.

    Dans Unicode, et donc dans nos polices de carac­tères se trouve aussi une plage de symboles dite « privée ». Elle est faite pour que vous y mettiez vos propres symboles, à vous, pour vos besoins. Tant qu’on reste là dedans, je ne vois pas trop pourquoi y ajou­ter un picto­gramme repré­sen­tant un panier d’achat serait plus ou moins un hack, une bidouille, que les emojis ou les symboles déjà présents.

    La seule diffé­rence est que vous êtes dans un espace privé donc que le sens de vos picto­gramme est inconnu des programmes qui les utili­se­ront. Bon, c’est prévu comme ça au départ aussi, à dessein, et c’est aussi vrai de n’im­porte quelle image sur une page web.

    Bref, les polices de carac­tères person­na­li­sées avec des picto­grammes, un hack ? ça se discute. Unique­ment si vous consi­dé­rez que les plages Unicode de symboles et autres emoji le sont aussi. Ça se discu­te…

  • Dispo­ni­bi­li­tés SoYouS­tart / Kimsufi

    Fran­che­ment, le système de dispo­ni­bi­li­tés des SoYouS­tart et Kimsufi c’est la plaie. On ne sait pas ce qu’il y a, il y a peu de dispo sur l’en­semble du maté­riel au cata­logue, et quand on sait ce qu’on veut on se retrouve dans l’im­pos­si­bi­lité de comman­der.

    Bref, des techos ont fait un outil d’alerte de dispo­ni­bi­lité. C’est idiot, mais ça fait le job. Merci

  • Archi­vage sans papier

    J’ai trois gros dossiers en cours, le genre qui se mettent dans des chemises en carton à 3cm ou 5cm d’épais­seur. Chaque nouveau docu­ment est d’abord numé­risé et classé.

    J’ai donc la copie de tout ce qui tran­site. C’est autant pour éviter la perte des origi­naux que par faci­lité de gestion, capa­cité de me réfé­rer faci­le­ment aux conte­nus.

    Et là depuis deux semaines revient ma vieille marotte de passer au tout numé­risé. Pas vrai­ment de me sépa­rer du papier – vu que l’ad­mi­nis­tra­tion demande encore des origi­naux – mais de modi­fier mon proces­sus, mon archi­va­ge… de consi­dé­rer d’abord le numé­risé et de n’al­ler cher­cher la copie papier au fond d’un carton ou d’un coffre qu’en cas de besoin impé­rieux.

    Je cherche des expé­rience et j’en trouve peu. On me parle d’Ever­note mais c’est une réponse tech­nique. J’en cherche une orga­ni­sa­tion­nelle. Seul lien un peu tangible : un feed­back de 2012.

    Au niveau du scan­ner les petits scan­ner à défi­le­ment ont l’air assez top main­te­nant. Bonne qualité, très compact, recto-verso en une passe. Certains ont même un char­geur avec la possi­bi­lité de conca­té­ner d’of­fice dans un seul fichier PDF sans que ce soit fait en manuel, voire un stockage local et une synchro­ni­sa­tion WIFI. Reste qu’à 350 € le haut de gamme, ça vaut le coup d’ex­plo­rer un peu.

    Et le papier, on en fait quoi ? On conti­nue de clas­ser en détail ? On sépare en grosse caté­go­ries et on laisse en vrac à l’in­té­rieur ? On classe unique­ment par date de numé­ri­sa­tion pour retrou­ver plus tard ? ou par date de cour­rier ? ou par date de fin de conser­va­tion ? Faut-il les numé­ro­ter pour bien garder une liai­son entre le numé­rique et le papier ? Gardé à la cave ou à distance ? etc.

    Et le numé­rique ? Quid des clas­se­ments semi-auto­ma­tiques ? L’OCR est-il vrai­ment utile pour la recherche ou est-ce que le faible contenu textuel de la plupart des cour­riers rend ça sans effet ? Je passe du temps à clas­ser en détail ou par grosse caté­go­rie ? Comment est-ce que j’as­sure la péren­nité de mon clas­se­ment et de mon cata­logue (voire de mon indexa­tion) si ça passe par un logi­ciel et pas simple­ment par une hiérar­chie de dossiers ?

    Et en pratique, sur quoi le faites-vous ? où est-ce utile et où est-ce super­flu ? allez-vous souvent cher­cher les origi­naux papier ? Que numé­ri­ser et que ne pas numé­ri­ser ? Télé­char­gez-vous aussi les docu­ments qui sont déjà numé­riques et en ligne pour complé­ter et assu­rer l’ar­chi­vage ? si oui, comment ne pas y passer trop de temps et ne pas oublier ?

    Bref, nommer des logi­ciels est bien la dernière de mes inter­ro­ga­tions, mais j’ai bien envie de passer le pas si j’ar­rive à trou­ver quelques personnes qui me partagent leur expé­rience.

  • Apple to devs: Watch out, don’t make the Watch into a, well, a watch

    Moment déten­te…

    [Apple] Watch apps whose primary func­tion is telling time will be rejec­ted

    — via The Regis­ter

    C’est telle­ment ironique que je ne pouvais pas m’abs­te­nir de le poster

  • Never trust a corpo­ra­tion to do a library job

    For years, Google’s mission inclu­ded the preser­va­tion of the past. […]

    In the last five years, star­ting around 2010, the shif­ting prio­ri­ties of Google’s mana­ge­ment left […] archi­val projects in limbo, or aban­do­ned enti­rely.

    On parle de la plus grande archive Usenet de l’époque, de Google Books qui tentait de scan­ner tous les livres de la planète pour archive, ou de la News Archive qui gardait des histo­riques de presse ayant jusqu’à 200 ans d’an­cien­neté.

    Two months ago, Larry Page said the compa­ny’s outgrown its 14-year-old mission state­ment. Its ambi­tions have grown, and its prio­ri­ties have shif­ted. […]

    As it turns out, orga­ni­zing the world’s infor­ma­tion isn’t always profi­table. Projects that preserve the past for the public good aren’t really a big profit center. Old Google knew that, but didn’t seem to care.

    Tout est dans le titre : Never trust a corpo­ra­tion to do a library job.

    The Inter­net Archive is mostly known for archi­ving the web, a task the San Fran­cisco-based nonpro­fit has tire­lessly done since 1996, two years before Google was foun­ded.

    Archives du web, mais aussi audio et vidéo diverses, musiques, films, enre­gis­tre­ments TV, livres et même vieux logi­ciels.

    Le problème c’est que notre société a tendance à consi­dé­rer que tout doit être rentable, que si ça a un inté­rêt de le faire alors ça doit pouvoir être vendu et géré par une société privée. Même l’État se désin­té­resse au fur et à mesure de ses missions légi­time en calcu­lant la renta­bi­lité finan­cière des projets.

    Nous faisons de l’ar­chéo­lo­gie pour connaitre notre passé, mais jetons notre présent au lieu de l’ar­chi­ver, alors que c’est tech­nique­ment faisable, et poli­tique­ment souhai­table.

  • Comment j’ai tout bloqué

    Depuis 24h j’ai demandé à mon navi­ga­teur de bloquer les iframes et scripts tiers, c’est à dire ceux qui n’ap­par­tiennent pas au même domaine que la page que je visite.

    Vous savez quoi ? le web fonc­tionne en fait encore très bien, presque mieux. Je n’ai plus les publi­ci­tés, les pisteurs, les gadgets, les invites de réseaux sociaux… mais à peu près tout le reste.

    Je dois faire des excep­tions au cas par cas comme pour Gmail ou quelques sites qui utilisent deux domaines distincts, mais ces excep­tions sont plutôt très simples à gérer.

    Qu’ai-je fait ?

    J’ai retiré Adblo­ck+ et Ghos­tery pour les rempla­cer par µblock.  Ce dernier se base sur les mêmes listes que Adblo­ck+ donc vous ne perdrez pas grand chose.

    J’ai désor­mais une petite icône rouge dans ma barre de navi­ga­tion. Un clic simple laisse appa­raitre une info­bulle avec quelques infor­ma­tions mais surtout un gros bouton vert.

    Un clic sur le numéro de version µblock en haut de l’in­fo­bulle et vous arri­vez sur la page des préfé­rences. La liste des filtres a des valeurs par défaut assez intel­li­gentes, vous voudrez proba­ble­ment juste ajou­ter la liste « FRA: EasyList Liste FR » pour les valeurs spéci­fiques à nos sites français.

    Là on s’ar­rête chez tous les non-geeks. Ce devrait être un bon rempla­ce­ment à ADBlo­ck+ et à Ghos­tery, tout en prenant un peu moins de ressources.

    En cas de problèmes un clic sur le gros bouton vert désac­tive µblock sur tout le site en cours de navi­ga­tion.

    Qu’ai-je vrai­ment fait ?

    Person­nel­le­ment j’ai voulu tenter plus loin et plus basique. Dans les para­mètres vous pouvez cocher « je suis un utili­sa­teur expé­ri­menté ».

    Désor­mais vous avez un petit + en face du terme « requêtes bloquées ». Un clic et vous avez accès à une superbe inter­face éten­due qui permet de faire des excep­tions ou des règles fines.

    La partie basse liste les domaines tiers utili­sés : D’abord le domaine prin­ci­pal, en gras, puis les diffé­rents sous-domaines corres­pon­dants sur les lignes suivantes. Un sous-domaine a sa première colonne en vert, rouge ou jaune ou rouge pâle suivant que toutes les requêtes ont été auto­ri­sées, que toutes ont été bloquées, ou qu’il y a un peu des deux.

    Sur tout le tableau, on peut forcer le blocage ou l’au­to­ri­sa­tion des requêtes dans une caté­go­rie en chan­geant de couleur la case corres­pon­dante en seconde ou en troi­sième colonne. La seconde corres­pond à un blocage global sur tous les sites, la troi­sième à un blocage unique­ment sur le site en cours. Bien évidem­ment, si vous bloquez globa­le­ment un domaine, il sera aussi bloqué (donc en rouge) pour le site en cours sur la troi­sième colonne.

    Qu’ai-je vrai­ment vrai­ment fait ?

    Alors j’ai bloqué les scripts et cadres tiers, globa­le­ment (j’ai passé en rouge la seconde colonne de la quatrième et de la cinquième ligne, comme le montre la capture d’écran précé­dente).

    Les dégâts sont loin d’être aussi impor­tants que ce qu’on peut imagi­ner. Dans l’en­semble ça fonc­tionne très bien.

    Il faut parfois auto­ri­ser quelques domaines en plus, au cas par cas, pour éviter d’avoir un contenu trop nu. Sur lemonde.fr j’ai du passer en vert la troi­sième case en face du domaine lmde.fr. Sur les sites de Google j’ai du auto­ri­ser gsta­tic.com. De telles excep­tions sont très faciles à trou­ver et c’est fait une fois pour toutes.

    Je sais qu’il me restera des excep­tions à trou­ver, par exemple dans le cas des vidéos Daily­mo­tion ou Youtube.  Globa­le­ment ça fonc­tionne quand même très bien et je suis prêt à payer le prix d’avoir à faire quelques surcharges manuelles de temps en temps.

    Je suis certain que dans un mois ces surcharges manuelles devraient être assez complètes et que je n’y touche­rai quasi­ment plus. Je regrette juste de ne pas pouvoir les synchro­ni­ser entre Fire­fox et Chrome.

    Pour l’ins­tant, à force de clic, mes règles ressemblent à ça (cinquième onglet des préfé­rences) :

    * * 3p-frame block
    * * 3p-script block
    * ajax.googleapis.com * noop
    * bootstrapcdn.com * noop
    * disqus.com * noop
    * googlevideo.com * noop
    * gstatic.com * noop
    * highcharts.com * noop
    * youtube.com * noop
    * ytimg.com * noop
    500px.com 500px.org * noop
    mail.google.com googleusercontent.com * noop
    speakerdeck.com d2dfho4r6t7asi.cloudfront.net * noop
    twitter.com twimg.com * noop
    www.facebook.com fbcdn-profile-a.akamaihd.net * noop
    www.facebook.com fbstatic-a.akamaihd.net * noop
    www.flickr.com yimg.com * noop
    www.lemonde.fr lemde.fr * noop
    www.leparisien.fr lprs1.fr * noop
    www.liberation.fr libe.com * noop
    www.linkedin.com licdn.com * noop
    www.youtube.com google.com * noop

    Il ne me manque qu’une seule fonc­tion­na­lité de Ghos­tery, la possi­bi­lité de lancer au cas par cas les commen­taires Disqus à l’aide d’un simple clic. Par contre j’ai l’im­pres­sion d’un rendu plus rapide que mon ancien couple ADBlo­ck+/Ghos­tery.

  • Help, je me sépare de mon infor­ma­ti­cien(ne)

    Help, je me sépare de mon infor­ma­ti­cien(ne)

    C’est la troi­sième fois que je conseille quelqu’un là dessus alors je fixe par écrit, au moins pour que quelqu’un d’autre puisse s’y réfé­rer, mais aussi pour que vous lecteurs puis­siez enri­chir.

    Contexte : Le couple se sépare (mais vit donc poten­tiel­le­ment sous le même toit pour l’ins­tant, ça peut mettre du temps), l’un des deux est infor­ma­ti­cien, l’autre craint de se faire espion­ner d’une quel­conque façon.

    Prendre du recul

    Premier conseil : Même si ça se passe mal, il est probable qu’il n’en soit rien. Au risque de faire une affir­ma­tion trop géné­rique, j’ai tendance à croire que sauf histo­rique immo­ral connu, plus la personne « sait » faire, plus elle est respon­sable vis à vis de la ques­tion de la sécu­rité infor­ma­tique et s’abs­tien­dra de trop déra­per.

    Très proba­ble­ment utili­ser le mode « navi­ga­tion privée » de votre navi­ga­teur web, ne pas lais­ser trai­ner de docu­ment (vider la corbeille !) et éviter d’uti­li­ser un compte email dont le conjoint connait le mot de passe devrait suffire.

    Main­te­nant imagi­nons le pire, la ques­tion est unique­ment d’ima­gi­ner le ratio sécu­rité/emmer­de­ment à viser. Plus vous voulez être en sécu­rité, plus ça va être emmer­dant à gérer (pour vous pour éviter d’être espionné, mais aussi pour l’autre de vous espion­ner) :

    Tout exter­na­li­ser

    Le plus simple est d’ar­rê­ter de commu­niquer sur des sujets sensibles avec vos anciens comptes email, face­book, skype, messa­ge­rie instan­ta­née, etc.

    Il est simple d’en créer d’autres dédiés à cet usage. Ces nouveaux comptes ne seront utili­sés que depuis des appa­reils et des réseaux « sécu­ri­sés », c’est à dire votre travail, le domi­cile d’un ami proche et de confiance, ou un cyber­ca­fé… mais pas les appa­reils ou le réseau de votre domi­cile.

    Si besoin il est possible d’uti­li­ser depuis la maison une tablette ou un télé­phone 3G (pas en wifi) à condi­tion d’avoir activé le chif­fre­ment de l’ap­pa­reil (c’est possible sous iphone/ipad comme sur les Android récent) *et* que le code PIN ou l’em­preinte digi­tale soit requis à chaque sortie de veille (pas la simple recon­nais­sance du visage) *et* que le conjoint ne connaisse pas ce code PIN ou n’ait pas enre­gis­tré sa propre empreinte.

    Atten­tion, si c’est un appa­reil pré-exis­tant, il faut reti­rer toutes les synchro­ni­sa­tions de données (par exemple les SMS qui se synchro­nisent avec votre compte Google Hangout de la maison, le Fire­fox ou le Chrome qui synchro­nisent et donc caftent votre histo­rique de navi­ga­tion avec celui de la maison, etc…) ainsi que les logi­ciels de sauve­garde. Au pire, un télé­phone premier prix neuf avec un petit forfait premier prix aussi ne coûte plus grand chose ; il est possible d’ache­ter ça pour l’oc­ca­sion.

    C’est contrai­gnant car ça exclut poten­tiel­le­ment la capa­cité de commu­niquer sur le sujet depuis le maté­riel du domi­cile conju­gal, mais c’est encore ce qui a le meilleur ratio sécu­rité/emmer­de­ment.

    Même chose pour les fichiers ou les docu­ments échan­gés : Ils restent sur l’ap­pa­reil du bureau ou de la personne de confiance, en ligne sur un service genre Google Drive ou Drop­box (avec un nouveau compte dédié à cet usage), ou éven­tuel­le­ment sur la tablette qui répond à la descrip­tion plus haut. La clef USB c’est cher­cher les ennuis et le stress.

    Atten­tion, si vous vous connec­tez une fois depuis un maté­riel ou un réseau qui n’est pas de confiance, sauf à chan­ger le mot de passe très rapi­de­ment (et depuis un appa­reil de confiance), vous pouvez tout recom­men­cer à zéro.

    Utili­ser le maté­riel de la maison

    Globa­le­ment est à risque tout ce qui passe par la maison, un appa­reil ou un réseau commun, ou qui peut être récu­péré à partir de là. Je conseille d’évi­ter mais on peut tenter de limi­ter la casse :

    Tout d’abord vous pouvez aban­don­ner l’idée du simple anti-virus ou de l’ou­til magique qui enlè­vera tous les spywares. Il y a trop de portes possibles : utili­sa­teur admi­nis­tra­teur, mauvaises confi­gu­ra­tion, disque non chif­fré, sauve­garde auto­ma­tique ou synchro­ni­sa­tion vers une desti­na­tion acces­sible du conjoint… l’anti-spyware ne pourra jamais corri­ger tout ça. Votre éven­tuel ami infor­ma­ti­cien sera lui même bien à mal de garan­tir quoi que ce soit même en y passant des heures.

    Le PC de la maison est disqua­li­fié dans sa confi­gu­ra­tion actuelle, sans retour en arrière possible. La seule solu­tion est de le réins­tal­ler complè­te­ment de zéro, d’y acti­ver ensuite le chif­fre­ment des disques (indis­pen­sable si le conjoint peut avoir un accès physique à l’ap­pa­reil) et de choi­sir judi­cieu­se­ment un nouveau mot de passe. Si ce n’est pas votre métier, ça veut dire vous faire aider par une connais­sance pour tout ça.

    Atten­tion : réins­tal­ler votre ordi­na­teur habi­tuel sera proba­ble­ment remarqué donc ça ouvrira les hosti­li­tés (et le fait de se proté­ger contre une intru­sion peut faire que la personne d’en face se sente elle-même à risque et réalise des intru­sions qu’elle n’au­rait pas tenté sinon ; vous risquez de déclen­cher voire créer le problème contre lequel vous voulez vous défendre).

    Une solu­tion plus douce, si vous avez un lecteur CD, est d’uti­li­ser un live CD. En gros il s’agit d’amor­cer la machine avec un envi­ron­ne­ment gravé sur CD non réins­crip­tible (donc non modi­fiable par le conjoint) plutôt qu’a­vec le système du disque local (poten­tiel­le­ment contrôlé ou modi­fié par le conjoint). On peut en faire sous Windows ou sous Linux. Quelqu’un de confiance dans votre entou­rage pourra proba­ble­ment vous en faire un. Signez le CD ensuite avec un feutre pour le recon­naitre et vous assu­rer qu’on ne le chan­gera pas par un autre plus tard à votre insu. À partir de là si vous ne stockez rien sur le disque local et lais­sez tout en ligne, vous êtes à peu près sûr de ne pas avoir de problème.

    Bien entendu, dans les deux cas (réins­tal­la­tion ou live CD), ça n’a d’in­té­rêt que si vous utili­sez des nouveaux comptes de messa­ge­rie avec de nouveaux mots de passe, comme décrit plus haut. Malheu­reu­se­ment ça fonc­tionne avec le live CD mais pas avec une clef USB, qui pour­rait être modi­fiée.

    Seule précau­tion supplé­men­taire à prendre : Vous connec­ter direc­te­ment à la box inter­net, que ce soit par câble ou par wifi, mais *pas* en passant par un routeur ou un appa­reil maison. Si le réseau WIFI n’est pas celui de votre opéra­teur (Free­box, SFR, Orange, LaBox…) ou que d’un coup il vous rede­mande le mot de passe WIFI, consi­dé­rez que vous n’êtes plus en zone de confiance et que tout ce qui ne se fait pas dans un navi­ga­teur en mode sécu­risé (barre d’adresse verte ou avec le cade­nas) peut être espionné voire mani­pulé.

    Prendre conseil

    Dans tous les cas, si vous en êtes là, je ne saurais trop vous conseiller de commen­cer par prendre contact avec un avocat spécia­lisé dans les sépa­ra­tions. Lui pourra certai­ne­ment vous donner de nombreux conseils car il est habi­tué à la problé­ma­tique. Une personne de confiance dans votre entou­rage vous sera de toutes façons aussi très utile comme relai pour le cour­rier ou pour vous prêter un accès Inter­net.

    Courage.

    Si vous pouvez corri­ger ou complé­ter, je suis certain que la personne à qui j’adresse aujourd’­hui ce billet vous en sera recon­nais­sante.

    Photo d’en­tête sous licence CC BY-NC-SA par Fote­mas

  • Typo­gra­phie à l’école

    Typo­gra­phie à l’école

    Quelles bases de typo­gra­phie sont donc ensei­gnées à l’école ?  Le mot « typo­gra­phie » est-il utilisé ? — Emma­nuel

    Ques­tion inté­res­sante. J’ai fouillé mes souve­nirs.

    Au niveau carac­tère

    On m’a appris les majus­cules, les minus­cules, les chiffres, les ponc­tua­tions et l’es­pace.

    On ne m’a pas appris la diffé­ren­cia­tion entre majus­cule et capi­tale, ou même l’exis­tence des petites capi­tales, ni le fait que les points de suspen­sions est un carac­tère à part entière et pas trois points sépa­rés.

    On ne m’a pas appris non plus les cadra­tin et demi cadra­tin, les chevrons pour faire des cita­tions à l’in­té­rieur d’autres cita­tions ou le sens des crochets. On ne m’a pas appris non plus qu’il y a diffé­rentes tailles d’es­pace (mais ça s’est fait tout seul à l’usage pour l’écri­ture manus­crite). Je ne parle même pas de savoir ce qu’est une liga­ture.

    On m’a aussi expli­ci­te­ment mal appris que les majus­cules ne prennent jamais d’ac­cent ou de cédille, et je crois que ce mauvais appren­tis­sage perdure encore aujourd’­hui.

    On m’a aussi expli­ci­te­ment appris le mauvais genre pour « une espace », et j’ai encore du mal aujourd’­hui à me corri­ger.

    Au niveau du mot

    On m’a appris à sépa­rer les mots par des espaces, à capi­ta­li­ser les noms propres, ce qu’est un sigle ou une abré­via­tion. On m’a même appris la césure et qu’elle se fait entre deux syllabes.

    On ne m’a par contre pas appris – ou je ne m’en souviens pas – comment arbi­trer entre les diffé­rentes écri­tures des sigles et acro­nymes (capi­tales ou non, points entre les lettres ou non).

    Sur la césure on ne m’a pas non plus appris à faire des coupures élégantes, ou quand éviter de les faire.

    Au niveau de la phrase

    On m’a appris la majus­cule en début de phrase et le point en fin de phrase, quelle ponc­tua­tion prend une espace avant ou après.

    On m’a toujours appris à ne pas mettre de virgule entre les deux derniers éléments d’un inven­taire quand un « et » ou un « ou » est présent, même si j’ai appris à parfois le faire moi-même plus tard.

    On ne m’a par contre pas appris à gérer la ponc­tua­tion des listes.

    On ne m’a pas appris non plus la notion d’es­pace insé­cable, même si en pratique la « règle du bon sens » fait qu’on m’a inter­dit de reve­nir à la ligne avant une ponc­tua­tion autre que l’ou­ver­ture de guille­met ou de paren­thèse, avant les symboles d’unité, ou (pour les profes­seurs les plus tatillons) au milieu d’un « 15 septembre ».

    La capa­cité de ne pas mettre une capi­tale après les deux points quand il s’agit d’un inven­taire a été diffé­rente chaque année suivant le profes­seur. Pour le coup on m’a appris tout et son contraire.

    Au niveau du para­graphe

    On m’a appris la notion de para­graphe, le saut de ligne et même l’in­den­ta­tion. On m’a appris la notion de titre, l’es­pace sous et sur le titre.

    On ne m’a pas appris que c’est norma­le­ment soit un sauf de ligne soit une inden­ta­tion mais pas forcé­ment les deux – et assez rapi­de­ment plus personne n’a demandé ou fait atten­tion à la présence ou non d’une inden­ta­tion. On ne m’a pas appris non plus à réel­le­ment conce­voir une diffé­rence entre un nouveau para­graphe et un simple retour à la ligne – même si j’ai finis par la faire de moi-même.

    On ne m’a pas appris à gérer les veuves ou les orphe­lines.

    La notion de phrase : On m’a appris la majus­cule en début de phrase

    Autres

    On m’a appris le souli­gné, on m’a donné très tardi­ve­ment la signi­fi­ca­tion de l’ita­lique mais jamais du gras. On ne m’a par contre jamais donné les armes pour faire de l’écri­ture clavier avec un usage élégant entre les guille­mets et l’ita­lique plutôt que le gras et le souli­gné.

    De manière géné­rale on ne m’a jamais appris à vrai­ment utili­ser le clavier ou que l’in­for­ma­tique permet plus que le simple ASCII : majus­cules accen­tuées, cadra­tins, espace insé­cable, espace fine, apos­trophe et guille­met typo­gra­phique, et encore moins les traits d’union et traits de césure expli­cite ou la césure option­nelle. On ne m’a globa­le­ment pas appris l’in­for­ma­tique du tout en fait, que ce soit clavier ou trai­te­ment de texte – je ne parle même pas de choix des fontes. Ça peut expliquer aussi le faible niveau typo­gra­phique des échanges élec­tro­niques actuels.

    Je regrette aussi qu’on ne m’ait pas ensei­gné les ques­tions typo­gra­phiques en tant que tel, peut-être rien que pour me dire que la typo­gra­phie est diffé­rente dans d’autres langues.

    Clai­re­ment, dans tous les cas, personne n’avait même abordé le terme de typo­gra­phie. À l’heure où on parle de la perti­nence d’en­sei­gner l’écri­ture à la main, c’est surpre­nant.

    Et vous ?

    Photo d’en­tête sous licence CC BY-NC-SA par Relly Annett-Baker