Carnet de notes

Catégorie : Technique

  • Nortel Networks hackers had « access to every­thing » for years

    Je ne sais que dire, si ce n’est que tout ça n’est pas vrai­ment éton­nant, ni même nouveau. Nous savons que des failles existent. Nous savons que certaines sont utili­sées et exploi­tées par des orga­ni­sa­tions.

    Nortel Networks hackers had « access to every­thing » for years

    Nortel, Veri­sign, des CA de certi­fi­cats SSL, ne croyez pas à la sécu­rité contre de grandes orga­ni­sa­tions ou gouver­ne­ments. C’est aussi pour ça que quelle que soit la tech­ni­cité du pres­ta­taire de solu­tion de sécu­rité, si les échanges reposent sur des certi­fi­cats, des clefs ou des proto­coles déte­nus par des tiers, vous ne faites que rajou­ter un risque.

    Nortel did nothing to keep out the hackers except to change seven compro­mi­sed pass­words that belon­ged to the CEO and other execu­tives. The company « made no effort to deter­mine if its products were also compro­mi­sed by hackers, » the WSJ said. Nortel, which sold off parts of its busi­ness as part of a 2009 bankruptcy filing, spent about six months inves­ti­ga­ting the breach and didn’t disclose it to pros­pec­tive buyers.

     

  • FileVault 2 easily decryp­ted, warns Pass­ware

    Vous utili­siez FileVault, TrueC­rypt, le Keychain de Mac OS X ou d’autres systèmes de chif­fre­ment du disque ? Il semble qu’au­cun ne soit parfait.

    Si l’im­per­fec­tion n’est pas en soi une décou­verte, qu’un logi­ciel public puisse récu­pé­rer les clefs de déco­dage en moins d’une heure est plus problé­ma­tique.

    Donc voilà : Chif­frez, parce que ça vous protè­gera tout de même contre la plupart des problèmes et que cela ne coûte rien ou presque sur un proces­seur moderne. Par contre n’ou­bliez pas que quelqu’un prêt à inves­tir 1000 $ dans une licence logi­cielle pourra accé­der à vos données.

    FileVault 2 easily decryp­ted, warns Pass­ware

    Contre l’es­pion­nage écono­mique, il n’y a qu’une seule protec­tion : garder le disque dans le coffre fort. Et ne croyez pas que l’es­pion­nage écono­mique est réservé à Airbus ou aux films améri­cains. J’ai entendu plusieurs histoires pour des tailles d’en­tre­prises tout à fait modestes.

  • Google IP Vanda­li­zing OpenS­treetMap

    « We are not evil » qu’ils disent. Moi je veux bien les croire mais visi­ble­ment ils se sont fait prendre à piller des annuaires avec des pratiques commer­ciales malhon­nêtes. Bon, ils se sont excu­sés mais déjà on peut reti­rer la médaille du cheva­lier blanc (et ça fait une belle jambe à la victime).

    Visi­ble­ment il y a des dégats simi­laires sur OpenS­treetMap, qui durent depuis long­temps, via les mêmes adresses IP. On parle de mani­pu­la­tions volon­tai­re­ment malveillantes, de vanda­lisme : Google IP Vanda­li­zing OpenS­treetMap.

    En mettant les deux bout à bout, on peut au moins imagi­ner que certains dépar­te­ments ont oublié le moto de Google. En tout cas il est temps d’avoir non seule­ment des vraies expli­ca­tions (pas unique­ment de simples excuses), et de commen­cer à prendre peur.

    Si Google est honnête, rien ne prédit qu’il le restera toujours. Les diri­geants changent, les équipes peuvent prendre des initia­tives malheu­reuses. Avec leur posi­tion domi­nante, que ferons nous ? Le problème n’est pas nouveau, mais l’ac­tua­lité est un bon support pour s’at­te­ler à la ques­tion.

    Google IP Vanda­li­zing OpenS­treetMap

  • Making Love To WebKit

    Pour ceux qui aiment les démo, celle de Steven Wittens mérite le détour : Making Love To WebKit (oui, unique­ment avec webkit/chrome pour l’ins­tant).

    C’est tout bonne­ment génial. Nous avons de la 3D avec des effets de chan­ge­ment de point de vue, en pur CSS 3D, avec les expli­ca­tions tech­niques du comment et même un éditeur en javas­cript pour créer et placer les éléments 3D au départ.

    Pour ceux qui pensent encore que sur le web on ne peut faire que des sites de commerce élec­tro­nique ou de rédac­tion­nel barbant, voilà un peu de quoi vous réveiller. Ce n’est en soi pas un résul­tat extra­or­di­naire si on sort du web, mais la réali­sa­tion est inté­res­sante.

  • La prochaine guerre numé­rique pour se passer de l’État

    L’ar­ticle de contre­points fait la part belle à la logique d’op­po­si­tion mais il mérite d’être lu. Dans la prochaine guerre numé­rique pour se passer de l’État, ce qui risque d’ar­ri­ver, c’est effec­ti­ve­ment la prise de contrôle des outils et du réseau par des groupes civils non gouver­ne­men­taux.

    Sans parler de lancer ses propres satel­lites (ce qui l’air de rien n’est pas du tout irréa­li­sable), monter des sous réseaux chif­frés à l’in­té­rieur des réseaux actuels est quelque chose qui risque d’ar­ri­ver très vite.

    Les outils sont fina­le­ment déjà acces­sible, il ne manque qu’un peu de volonté, un peu de ras le bol. Soit les états poussent la logique jusqu’au bout en assu­mant un contrôle géné­ra­lisé et l’in­ter­dic­tion des outils crypto, soit on finira vite par reve­nir à du chif­frage ou de la signa­ture de bout en bout et des inter­ac­tions de pair à pair (non, je ne parle pas de contre­façon, mais bien des usages courants).

    Nous n’en sommes pas si loin, et ce ne serait pas forcé­ment un mal.

  • La ferme­ture de MegaU­pload du point de vue d’un four­nis­seur d’ac­cès

    Je ne les reco­pie pas ici parce que ça revien­drait à vider l’ar­ticle origi­nal, mais la ferme­ture de MegaU­pload du point de vue d’un four­nis­seur d’ac­cès, c’est assez impres­sion­nant.

    J’ai entendu des chiffres comme 30% du trafic aux meilleures heures pour la France, ou 4% du trafic mondial. Ce qui est certain c’est que sur ces graphiques l’ef­fet est net : les courbes sont stop­pées d’un coup alors qu’elles sont en pleine augmen­ta­tion.

    Profi­tez-en, pendant un moment vous aurez de la bande passante. Ça ne durera pas, les échanges repren­dront forcé­ment, proba­ble­ment avec des systèmes décen­tra­li­sés et chif­frés, donc occu­pant encore plus le réseau qu’a­vant chez les FAI.

    L’ef­fet peut aussi se voir sur le cours de l’ac­tion de Cogent, l’opé­ra­teur de tran­sit de Megau­pload.

  • Revea­led: US spy opera­tion that mani­pu­lates social media

    Conti­nuons à nous faire peur. Revea­led: US spy opera­tion that mani­pu­lates social media

    Mili­ta­ry’s ‘sock puppet’ soft­ware creates fake online iden­ti­ties to spread pro-Ameri­can propa­ganda

    Même si l’in­for­ma­tion n’est pas neuve et que c’est su depuis long­temps, la récur­rence du sujet me fait de plus en plus peur.

    Orwell, vrai­ment, tu étais un petit joueur. Ou alors c’est simple­ment que nous avons dépassé 1984 depuis main­te­nant déjà 28 ans… et nous avons fait du chemin entre temps.

  • Eric Schmidt : « Inter­net tel que nous le connais­sons est menacé »

    Je ne sais que dire sur SOPA telle­ment le sujet est vaste et les risques sont verti­gi­neux. Le choix de l’ar­ticle pour vous aler­ter est proba­ble­ment mauvais. Le choix de Google pour porter l’ar­gu­men­taire est proba­ble­ment malheu­reux.

    Pour autant le titre est le bon et pour une fois je vous encou­rage à écou­ter Éric Schmidt : « Inter­net tel que nous le connais­sons est menacé »

  • C’est pas ma faute à moi (sur un air bien connu)

    Rien de neuf mais main­te­nant c’est offi­ciel. Free laisse satu­rer volon­tai­re­ment sa connec­ti­vité vers Youtube. Sur le sujet, le billet de Korben sur la stra­té­gie du pour­ris­se­ment est toujours d’ac­tua­lité.

    Je vous passe les grands débats sur l’en­ga­ge­ment qu’a Free vis à vis des abon­nés, le fait qu’il y a un enga­ge­ment de moyen, mais pas de niveau de qualité cible ni de bande passante garan­tie. Par contre il y a quelques argu­ments trop fréquents que je refuse d’en­tendre :

    Le trafic n’est pas équi­li­bré, beau­coup plus impor­tant dans un sens que dans l’autre

    Mais en même temps… C’est un peu énorme de se plaindre d’un déséqui­libre down­load/upload quand soi même on vend des connexions qui sont 10 fois plus fortes en down­load qu’en upload. Évidem­ment ça se voit dans les consom­ma­tions des abon­nés.

    Si nous avions des connexions avec un fort débit en upload le pair à pair serait plus déve­loppé, les gens héber­ge­raient plus souvent chez eux, et c’est toute l’ar­chi­tec­ture qui serait diffé­rente. Peut être et même proba­ble­ment qu’il reste­rait une asymé­trie forte à desti­na­tion de Youtube, mais une part nette­ment plus impor­tante reste­rait sur le réseau interne Free ou entre les FAI eux-même. L’im­pact de la dissy­mé­trie Youtube serait forcé­ment moindre.

    Bref, tout ça c’est aussi faute de l’ar­chi­tec­ture actuelle des four­nis­seurs d’ac­cès et de la connec­ti­vité des abon­nés. Le jour où Free propose une connexion symé­trique à ses abon­nés, il sera fondé à remettre le sujet sur le tapis. Entre temps, même avec la fibre où il a la capa­cité tech­nique de faire du symé­trique, il a choi­sit un ratio de 1/2.

    Mais surtout, quand bien même le trafic est déséqui­li­bré, 100% du trafic qui tran­site le fait à la requête de l’abonné Free. C’est toujours Free qui demande les conte­nus et qui est à l’ori­gine du trafic. Youtube ne fait que four­nir ce que le réseau Free lui demande, il ne demande rien et n’en­voie rien de lui-même.

    Le four­nis­seur de contenu profite du réseau sans rien payer

    Bien évidem­ment c’est faux. Four­nir du contenu coute cher, et souvent bien plus cher que four­nir de l’in­fra­struc­ture. Même pour du contenu « fourni par les utili­sa­teurs » comme Youtube, je ne suis pas certain que Free voudrait échan­ger sa facture contre celle de Youtube mais l’ar­gu­ment ne tient même pas dans ses fonde­ments : Free est déjà payé pour mettre en place un accès et une connec­ti­vité. C’est à ça que sert l’abon­ne­ment ADSL.

    Dans cet abon­ne­ment ADSL le free­naute n’est pas abonné à une connec­ti­vité vers le réseau interne Free.fr, charge aux four­nis­seurs de contenu de s’y bran­cher. Il paye un accès *Inter­net*.

    Alors certes, le FAI ne peut pas garan­tir seul de son côté une connec­ti­vité partout et encore moins des débits excel­lents partout ; certaines choses ne sont pas se sa respon­sa­bi­lité. Par contre il est bien payé pour ça, et mettre en place tous les moyens raison­nables en ce sens.

    Ma rela­tion contrac­tuelle est avec Free, et personne d’autre. C’est lui que je paye pour avoir une connexion Inter­net de qualité et c’est lui qui en est respon­sable devant moi. Je n’ai pas à entendre ou à subir la ques­tion de qui paye les tuyaux. C’est sa respon­sa­bi­lité.

  • Colo­no­sco­pies, cold water and pain: How our memory works and how this relates to web perfor­mance

    Si vous vous inté­res­sez à la perfor­mance des sites web, Colo­no­sco­pies, cold water and pain: How our memory works and how this relates to web perfor­mance, est indis­pen­sable à lire.

    On y parle de la diffé­rence entre la percep­tion et la réalité. C’est là que les lenteurs des tunnels de commande prennent tout leur sens.