Carnet de notes

Catégorie : Geek

  • Science GIFs

    Quelques images sympa sur ce compte twit­ter.

  • L’Avant gardiste

    Plein de cadeaux idiots qui peuvent être marrants, mais parfois chers : L’Avant gardiste. Ça me fait un peu penser à la boutique de L’Homme moderne, mais en plus détendu.

  • Isola­tion

    Isola­tion – XKCD 1601

    Cette histoire m’agace d’au­tant plus quand je vois ces anciennes photos noir et blanc avec tous ces gens lisant leur jour­naux sans se regar­der. Aujourd’­hui j’ai beau avoir un vrai handi­cap social avec ce smart­phone, je discute par écrit avec plus de corres­pon­dants que quiconque de « non drogué ». Bref, la rela­tion sociale change de forme, mais elle ne s’éteint pas du tout.

  • La fraude au paie­ment sans contact

    Nous parlions paie­ment sans contact via la carte bancaire, mais les quelques argu­ments donnés me gênent, pour ne pas dire plus.

    Petit 3 : croyez-vous vrai­ment que la Banque de France a laissé les banques diffu­ser ces machins s’il y avait le moindre risque ?

    Petit 4 : croyez-vous vrai­ment que les banques allaient diffu­ser ce truc s’il y avait le moindre risque, si elles risquaient de payer la peau des fesses pour renou­ve­ler 50 millions de cartes, si elles risquaient de passer pour des imbé­ciles en qui on ne pouvait pas faire confiance,…

    Je ne crois pas à l’idée d’un complot de tout le milieu bancaire diffu­sant consciem­ment une solu­tion tota­le­ment trouée. Je crois que beau­coup d’autres scéna­rios sont par contre tout à fait possibles :

    Les banques sont comme tous les gros groupes. En amont du projet, les risques struc­tu­rels sont de nature à faire diffé­rer le projet ou à le reje­ter. Proche de l’abou­tis­se­ment, et parti­cu­liè­re­ment si des étapes admi­nis­tra­tives, commer­ciales ou si une commu­ni­ca­tion publique ont déjà été faite, la poli­tique du « pas le moindre risque » n’existe plus.

    Même chose côté public : Pour que la Banque de France dise « non » au dernier moment au milieu bancaire sur un sujet « nouvelle tech­no­lo­gie » qui a une visi­bi­lité publique, qui est voulu par les banques, qui a été annoncé au public, qui peut faire une superbe pub moderne au gouver­ne­ment, et qui existe déjà à l’étran­ger… il en faut certai­ne­ment beau­coup sur la balance.

    Donc une fois le projet bien lancé ou sur le point d’abou­tir, ça devient une ques­tion de balance : Le problème risque-t-il d’être décou­vert ? Si oui, risque-t-il d’être décou­vert avant qu’on ait trouvé un pallia­tif ou que le parc soit renou­velé ? Si oui, quel est la proba­bi­lité de ce risque, combien ça peut nous coûter de le combler après coup en commu­ni­ca­tion et dommages, et à l’in­verse combien ça coûte de diffé­rer le projet ? Sachant que dans le coût de diffé­rer on compte aussi le coût pour le dépar­te­ment R&D ou l’ins­ti­tu­tion en ques­tion d’avoir le mauvais rôle auprès de sa tutelle et d’être respon­sable de l’échec du gros projet.

    Une fois en route (on en est là) des problèmes peuvent encore être décou­verts (quand ce ne sont pas des risques envi­sa­gés plus haut). Là la stra­té­gie habi­tuelle c’est de nier tout en bloc en cachant sous le tapis. Quand ce n’est plus possible il s’agit d’un exer­cice de commu­ni­ca­tion asso­cié à un « on prend toutes les mesures mais ce n’est pas notre faute ».

    Rien de neuf. Dire que les banques ne se permet­traient jamais le moindre risque c’est comme dire qu’un construc­teur auto­mo­bile ne conti­nue­rait jamais avec un défaut grave dans les voitures sans faire un rappel (ah mais on me dit dans l’oreillette que…).

    Et les banques ne sont pas meilleures. J’ai même tendance à croire que leur situa­tion est plus simple : Pour elles c’est un bête calcul de coût et de risque, il n’y a pas de vie humaine en jeu. Elles ne risquent pas non plus leur survie : C’est toutes les banques qui font le même mouve­ment ensemble, vous ne passe­rez pas au concur­rent et vous ne vous passe­rez pas d’elles de toutes façons.

    Il va me falloir un bien meilleur argu­ment que « ce sont des banques, c’est sérieux, ils ne feraient jamais ça ».

    D’au­tant que par le passé on les a vu nier qu’une fausse carte bancaire puisse fonc­tion­ner jusqu’à ce que quelqu’un fasse une démons­tra­tion publique (et finisse en prison pour ça), que ma banque a eu un certi­fi­cat TLS expiré et donnait les indi­ca­tions pour passer outre dans le navi­ga­teur, que pas mal de scan­dales passés ou récents ont montré plus d’une fois leur capa­cité à prendre des risques impor­tants en fran­chis­sant sérieu­se­ment la ligne jaune légale et/ou régle­men­taire.

    Ce ne sont pas des grands méchants, mais pas des bisou­nours non plus. L’ar­gu­ment du « vous croyez vrai­ment qu’ils pren­draient le risque ? » me parait bien fragile.

    Pour reve­nir à nos cartes sans contact, remet­tons nous dans le contexte : dans deux ou trois ans, on pourra payer en sans contact avec nos smart­phone. Le résul­tat est que le marché des paie­ments passera dans les mains d’Apple et de Samsung ou Google.
    Les banques française (et autres) ont-elles un autre choix que de se lancer sur le marché à marché forcée ?

    La ques­tion, posée dans le second billet, me semble l’illus­tra­tion parfaite de la destruc­tion de l’ar­gu­ment lui-même. Non elles n’ont pas le choix, oui elles sont pres­sées par le temps, non elles n’ont pas vrai­ment la possi­bi­lité en termes de commu­ni­ca­tion d’échouer à sortir le produit.

    Bref, tous les éléments sont juste­ment là pour permettre une prise de risque idiote, pour planquer les défauts sous le tapis, et pour prendre des raccour­cis.

    les banques ne sont pas tarées au pont de prendre des risques incon­si­dé­rés. C’est un métier.

    Cet argu­ment là, avec l’his­to­rique depuis les subprimes en passant par J. Kerviel, il me fait rire un peu jaune. Si j’étais moqueur je dirais que prendre des risques incon­si­dé­rés ça semble un peu leur métier, juste­ment.

    Petit 1 : effec­ti­ve­ment, les données de la carte sont lisibles par un truand à distance mais qu’est-ce que vous voulez qu’ils en fassent ? Il n’a pas le code confi­den­tiel, le cryp­to­gramme visuel et tout ce qui permet­trait de vous emmer­der.

    Je suis étonné qu’on pose cette ques­tion désor­mais. Faire du traçage ? Un état qui voudrait l’iden­tité de gens à une mani­fes­ta­tion ? Une entre­prise qui contrô­le­rait les allées et venues ? Une grande surface qui ferait du pistage de clien­tèle ?

    Tout ceci n’est pas de la science-fiction, on a eu briè­ve­ment à Londres des poubelles qui collec­taient les adresses mac des smart­phones passant à portée. Je ne me rappelle plus le nom du film d’an­ti­ci­pa­tion Je me rappelle le film Mino­rity Report où le client était iden­ti­fié par ses yeux à son entrée dans un maga­sin. Tech­nique­ment seule la CNIL empêche que ça arrive un jour, et la CNIL en ce moment…

    Petit 2 : citez moi un cas de fraude depuis que ces machins commencent à se répandre comme des petits pains dans le langage de Jean-François Copé.

    L’ar­gu­ment « rien n’existe parce que ce n’est pas (encore) la catas­trophe » me parait encore plus faible que les précé­dents. Ça ne prouve pas non plus l’exis­tence d’un problème grave, c’est juste que ça ne prouve rien du tout.

    Un de mes inter­lo­cu­teurs citait des machins tech­niques auquel il ne comprend pas grand chose et moi non. Il parlait par exemple « d’un termi­nal un peu augmenté côté antenne qui pour­rait faire des paie­ments discrets à ton insu ». Sachant que le montant maxi­mum du sans contact est de 20 euros, le frau­deur se ferait chier à faire un termi­nal spéci­fique pour pas grand chose en prenant un risque incon­si­déré de voir la police lui tomber dessus.

    La capa­cité de faire payer 20 euros à des passants d’une rue touris­tique fréquen­tée ? La capa­cité d’un commerçant à faire faire un second paie­ment en douce à un touriste qui passe ? Les pick­po­ckets clas­siques prennent plus de risques de se faire prendre pour un butin pas toujours meilleur.

    Si je me rappelle bien, il y a toute une masse de fraude en VPC qui se font juste­ment avec des petits montants parce que la plupart des gens ne les véri­fient pas ou ne vont pas jusqu’à les contes­ter, que les commerçants de leur côté ne demandent pas le 3D secure pour ça, et qu’on est donc tranquilles un moment.

    20 euros ce n’est rien, 1000 fois 20 euros c’est 20 000 euros et beau­coup sont prêts à prendre des risques pour ça.

    Le système des yes card a fini lui aussi par être une entre­prise extrê­me­ment risquée. Ça n’a pas empê­ché des frau­deurs de conti­nuer long­temps à jouer à ça pour juste 50 euros de carbu­rant.

    Au final, le paie­ment frau­du­leux est-il possible ? As-tu désac­tivé ta carte ?

    C’est la ques­tion qui n’a pas été posée, c’est dommage, alors je me cite moi-même.

    Au final je ne sais pas si c’est possible. J’ai lu quelqu’un qui disait avoir étudié la ques­tion, qui parlait d’une sécu­rité contre la lecture à distance, et qu’elle serait fran­che­ment peu utile. Ça parlait de limites de temps de réponse et d’an­tennes, essen­tiel­le­ment. Rien de vrai­ment hi-tech. Je regrette de ne pas retrou­ver le lien.

    Cela dit c’est assez cohé­rent. Si on peut dialo­guer en NFC à distance avec une bonne antenne, qu’il n’y a aucun contact ni aucune vali­da­tion manuelle, j’ai du mal à voir pourquoi le paie­ment lui-même serait impos­sible (mais encore une fois, je n’y connais rien, je suis preneur si vous avez un lien qui explique pourquoi ça l’est). Bref, je ne sais pas, mais ça n’est pas non plus du domaine de la science fiction.

    Si j’ai fait désac­ti­ver ma carte c’est plutôt pour le basique : Plusieurs commerçants ont passé ma carte sur le sans contact sans me deman­der mon avis alors que je m’at­ten­dais à taper mon code. Un l’a même fait avec un mauvais montant (je l’ai vu sur le ticket, c’était certai­ne­ment une erreur, mais ça ne m’aide pas à avoir confiance).

    Bref, sans même parler de termi­naux frau­deurs dans les rues passantes (pas irréa­liste même si risqué), ou de commerçants malhon­nêtes qui passe­raient un paie­ment de petit montant sur un termi­nal sans bip derrière le comp­toir (je me vois mal le détec­ter sur mes rele­vés), je vois très bien les problèmes sur des montants erro­nés (volon­tai­re­ment ou non, mais poten­tiel­le­ment loin d’être rare). Ça n’existe pas avec la vali­da­tion du code (ou ça demande un termi­nal fran­che­ment modi­fié, bien plus qu’une simple antenne).

    Je ne vois simple­ment pas le béné­fice à me passer de la vali­da­tion manuelle que repré­sente la saisie du code, au contraire. Une simple menace de chan­ger de banque a suffit pour me faire déli­vrer gratui­te­ment une carte sans le circuit liti­gieux, et ça me va très bien ainsi.

  • ZNAPS -The $9 Magne­tic Adap­ter for your mobile devices

    Fran­che­ment, après avoir goûté le char­geur magné­tique des Mac, j’at­ten­dais ça depuis long­temps. J’ai même choisi mon télé­phone en partie parce qu’il avait un adap­ta­teur magné­tique pour la recharge.

    Bref, ils l’ont fait, et ce n’est fran­che­ment pas cher. Tout ça est sur kicks­tar­ter. Il y a de bonnes chances pour qu’on ait même un adap­ta­teur USB C possible.

    Pour 11 $ cana­diens, donc moins de 8 €, ce serait dommage de se priver.

  • Icon-font, hack ?

    Unicode intègre main­te­nant des picto­grammes depuis des années, et ça se renforce chaque version. Aujourd’­hui on doit dépas­ser les 1000 emoji, dont certains sont en réalité des modi­fi­ca­teurs. Avec la compo­si­tion ce sont des dizaines de milliers qui sont possibles. À cela il faut ajou­ter des milliers de symboles, de la flèche jusqu’à l’en­ve­loppe.

    Tout ça se retrouve ou se retrou­vera dans nos polices de carac­tères. C’est fait pour, à dessein.

    Dans Unicode, et donc dans nos polices de carac­tères se trouve aussi une plage de symboles dite « privée ». Elle est faite pour que vous y mettiez vos propres symboles, à vous, pour vos besoins. Tant qu’on reste là dedans, je ne vois pas trop pourquoi y ajou­ter un picto­gramme repré­sen­tant un panier d’achat serait plus ou moins un hack, une bidouille, que les emojis ou les symboles déjà présents.

    La seule diffé­rence est que vous êtes dans un espace privé donc que le sens de vos picto­gramme est inconnu des programmes qui les utili­se­ront. Bon, c’est prévu comme ça au départ aussi, à dessein, et c’est aussi vrai de n’im­porte quelle image sur une page web.

    Bref, les polices de carac­tères person­na­li­sées avec des picto­grammes, un hack ? ça se discute. Unique­ment si vous consi­dé­rez que les plages Unicode de symboles et autres emoji le sont aussi. Ça se discu­te…

  • Dispo­ni­bi­li­tés SoYouS­tart / Kimsufi

    Fran­che­ment, le système de dispo­ni­bi­li­tés des SoYouS­tart et Kimsufi c’est la plaie. On ne sait pas ce qu’il y a, il y a peu de dispo sur l’en­semble du maté­riel au cata­logue, et quand on sait ce qu’on veut on se retrouve dans l’im­pos­si­bi­lité de comman­der.

    Bref, des techos ont fait un outil d’alerte de dispo­ni­bi­lité. C’est idiot, mais ça fait le job. Merci

  • Archi­vage sans papier

    J’ai trois gros dossiers en cours, le genre qui se mettent dans des chemises en carton à 3cm ou 5cm d’épais­seur. Chaque nouveau docu­ment est d’abord numé­risé et classé.

    J’ai donc la copie de tout ce qui tran­site. C’est autant pour éviter la perte des origi­naux que par faci­lité de gestion, capa­cité de me réfé­rer faci­le­ment aux conte­nus.

    Et là depuis deux semaines revient ma vieille marotte de passer au tout numé­risé. Pas vrai­ment de me sépa­rer du papier – vu que l’ad­mi­nis­tra­tion demande encore des origi­naux – mais de modi­fier mon proces­sus, mon archi­va­ge… de consi­dé­rer d’abord le numé­risé et de n’al­ler cher­cher la copie papier au fond d’un carton ou d’un coffre qu’en cas de besoin impé­rieux.

    Je cherche des expé­rience et j’en trouve peu. On me parle d’Ever­note mais c’est une réponse tech­nique. J’en cherche une orga­ni­sa­tion­nelle. Seul lien un peu tangible : un feed­back de 2012.

    Au niveau du scan­ner les petits scan­ner à défi­le­ment ont l’air assez top main­te­nant. Bonne qualité, très compact, recto-verso en une passe. Certains ont même un char­geur avec la possi­bi­lité de conca­té­ner d’of­fice dans un seul fichier PDF sans que ce soit fait en manuel, voire un stockage local et une synchro­ni­sa­tion WIFI. Reste qu’à 350 € le haut de gamme, ça vaut le coup d’ex­plo­rer un peu.

    Et le papier, on en fait quoi ? On conti­nue de clas­ser en détail ? On sépare en grosse caté­go­ries et on laisse en vrac à l’in­té­rieur ? On classe unique­ment par date de numé­ri­sa­tion pour retrou­ver plus tard ? ou par date de cour­rier ? ou par date de fin de conser­va­tion ? Faut-il les numé­ro­ter pour bien garder une liai­son entre le numé­rique et le papier ? Gardé à la cave ou à distance ? etc.

    Et le numé­rique ? Quid des clas­se­ments semi-auto­ma­tiques ? L’OCR est-il vrai­ment utile pour la recherche ou est-ce que le faible contenu textuel de la plupart des cour­riers rend ça sans effet ? Je passe du temps à clas­ser en détail ou par grosse caté­go­rie ? Comment est-ce que j’as­sure la péren­nité de mon clas­se­ment et de mon cata­logue (voire de mon indexa­tion) si ça passe par un logi­ciel et pas simple­ment par une hiérar­chie de dossiers ?

    Et en pratique, sur quoi le faites-vous ? où est-ce utile et où est-ce super­flu ? allez-vous souvent cher­cher les origi­naux papier ? Que numé­ri­ser et que ne pas numé­ri­ser ? Télé­char­gez-vous aussi les docu­ments qui sont déjà numé­riques et en ligne pour complé­ter et assu­rer l’ar­chi­vage ? si oui, comment ne pas y passer trop de temps et ne pas oublier ?

    Bref, nommer des logi­ciels est bien la dernière de mes inter­ro­ga­tions, mais j’ai bien envie de passer le pas si j’ar­rive à trou­ver quelques personnes qui me partagent leur expé­rience.

  • Apple to devs: Watch out, don’t make the Watch into a, well, a watch

    Moment déten­te…

    [Apple] Watch apps whose primary func­tion is telling time will be rejec­ted

    — via The Regis­ter

    C’est telle­ment ironique que je ne pouvais pas m’abs­te­nir de le poster

  • Never trust a corpo­ra­tion to do a library job

    For years, Google’s mission inclu­ded the preser­va­tion of the past. […]

    In the last five years, star­ting around 2010, the shif­ting prio­ri­ties of Google’s mana­ge­ment left […] archi­val projects in limbo, or aban­do­ned enti­rely.

    On parle de la plus grande archive Usenet de l’époque, de Google Books qui tentait de scan­ner tous les livres de la planète pour archive, ou de la News Archive qui gardait des histo­riques de presse ayant jusqu’à 200 ans d’an­cien­neté.

    Two months ago, Larry Page said the compa­ny’s outgrown its 14-year-old mission state­ment. Its ambi­tions have grown, and its prio­ri­ties have shif­ted. […]

    As it turns out, orga­ni­zing the world’s infor­ma­tion isn’t always profi­table. Projects that preserve the past for the public good aren’t really a big profit center. Old Google knew that, but didn’t seem to care.

    Tout est dans le titre : Never trust a corpo­ra­tion to do a library job.

    The Inter­net Archive is mostly known for archi­ving the web, a task the San Fran­cisco-based nonpro­fit has tire­lessly done since 1996, two years before Google was foun­ded.

    Archives du web, mais aussi audio et vidéo diverses, musiques, films, enre­gis­tre­ments TV, livres et même vieux logi­ciels.

    Le problème c’est que notre société a tendance à consi­dé­rer que tout doit être rentable, que si ça a un inté­rêt de le faire alors ça doit pouvoir être vendu et géré par une société privée. Même l’État se désin­té­resse au fur et à mesure de ses missions légi­time en calcu­lant la renta­bi­lité finan­cière des projets.

    Nous faisons de l’ar­chéo­lo­gie pour connaitre notre passé, mais jetons notre présent au lieu de l’ar­chi­ver, alors que c’est tech­nique­ment faisable, et poli­tique­ment souhai­table.