Carnet de notes

Auteur/autrice : Éric

  • [Lecture] Most soft­ware already has a “golden key” back­door: the system update

    Réflexions à partir d’un article sur Ars Tech­nica

    Q: What does almost every piece of soft­ware with an update mecha­nism, inclu­ding every popu­lar opera­ting system, have in common?

    A: Secure golden keys, cryp­to­gra­phic single-points-of-failure which can be used to enable total system compro­mise via targe­ted mali­cious soft­ware updates.

    Mine de rien, la plupart de nos appa­reils modernes ont un système de mise à jour, souvent auto­ma­tique. Celui qui détient les clefs peut injec­ter ce qu’il veut, ou simple­ment attendre que vous le fassiez vous-même en croyant mettre à jour.

    On parle de Google, Samsung, Apple, Nokia, Micro­soft et les autres. Des gens parfois recom­man­dables, toujours avec leurs propres inté­rêts.

    On parle aussi des États qui, offi­ciel­le­ment ou non, auraient pu avoir accès à ces clefs. Main­te­nant qu’on connait un peu PRISM et l’éten­due des griffes USA, et l’en­vie de la plupart des pays de les imiter, par la force ou par la loi, ce n’est pas rien.

    On parle ensuite de tous les indi­vi­dus qui ont pu avoir accès à ces clefs et les faire fuiter, volon­tai­re­ment ou non.

    This problem exists in almost every update system in wide use today. Even my favo­rite opera­ting system, Debian, has this problem. If you use Debian or a Debian deri­va­tive like Ubuntu, you can see how many single points of failure you have in your update authen­ti­city mecha­nism with this command:

    sudo apt-key list | grep pub | wc -l

    For the compu­ter I’m writing this on, the answer is nine. When I run the apt-get update command, anyone with any one of those nine keys who is sitting between me and any of the webser­vers I retrieve updates from could send me mali­cious soft­ware and I will run it as root.

    Et si je fais rela­ti­ve­ment confiance à la PKI de Apple, Google et Micro­soft, c’est bien moins vrai pour la plupart des indi­vi­dus isolés derrière les logi­ciels open source.

    Person­nel­le­ment mon Debian perso fait confiance à 14 clefs, certaines proba­ble­ment mal sécu­ri­sées, d’autres parta­gées par plusieurs acteurs, et proba­ble­ment toutes sans le niveau de sécu­rité d’un Apple face aux incur­sions des États.

    La sécu­rité c’est défi­ni­ti­ve­ment trop compliqué pour le monde réel dès qu’il s’agit de se proté­ger contre les très gros acteurs.

    Je ne suis même pas certain que ces très gros acteurs le puissent entre eux. La France utilise des postes sous Micro­soft Windows pour l’ar­mée. Même les postes sous Debian, à ma connais­sance la France n’a pas son armée de déve­lop­peur pour faire une revue de tout le code source et le compi­ler eux-même (et même là, on tombe sous le problème du compi­la­teur qui a lui-même une porte déro­bée qu’il repro­duit dans ce qu’il compile, ça s’est déjà vu dans l’his­toire). En cas de vrai conflit, nous sommes tota­le­ment à genoux.

  • [Photo] Trans­pa­rence

    Je cherche ce corps brut mais en vision indi­recte. Ce peut être un miroir ou une silhouette mais j’ai l’im­pres­sion de recréer des lieux communs. La trans­pa­rence me semble permettre plus de choses mais je tâtonne encore.

    DSC_7435

    Cette photo semble quel­conque mais elle me parle sur ce qu’elle montre. La cour­bure du dos créé le corps sans pour autant reti­rer la cara­pace que forment les vête­ment.

    La séance complète

  • Quota­tion marks in Europe

    Pour les typo­geeks d’entre vous

  • [Photo] Ambiance

    Le noir et blanc est un choix dès le départ mais parfois j’hé­site à garder la couleur lors du trai­te­ment. Systé­ma­tique­ment, le temps me fait garder le noir et blanc. Quelques excep­tions, où la couleur est un élément essen­tiel. Celle-ci en fera peut-être partie.

    DSC_7741

    Je me demande si ce n’est pas aussi par faci­lité, pour rester dans une zone qui pardonne plus certaines erreurs. Ou par habi­tude.

    La séance complète

  • [Lecture] Let’s Make Work Better.

    We believe that work can be desi­gned to actually make people happier, heal­thier, and more produc­tive. This is possible when orga­ni­za­tions put their employees first, trust them and treat them like owners, and use data to drive people deci­sions. Research tells us that orga­ni­za­tions are more success­ful when they invest in people prac­tices like these.

    re:Work, Prac­tices, research, and ideas from Google and other orga­ni­za­tions to put people first.

    Je n’ai qu’à peine survolé. Il y a bien entendu des lieux communs qu’il n’est en rien facile de mettre en pratique, mais j’y ai vu des rappels ou des choses inté­res­santes.

    Par exemple sur les équipes :

    We lear­ned that there are five key dyna­mics that set success­ful teams apart from other teams at Google:

    1. Psycho­lo­gi­cal safety: Can we take risks on this team without feeling inse­cure or embar­ras­sed?
    2. Depen­da­bi­lity: Can we count on each other to do high quality work on time?
    3. Struc­ture & clarity: Are goals, roles, and execu­tion plans on our team clear?
    4. Meaning of work: Are we working on some­thing that is perso­nally impor­tant for each of us?
    5. Impact of work: Do we funda­men­tally believe that the work we’re doing matters?

  • [Photo] Lumière

    J’ai toutes les peines du monde à gérer la pénombre. Le papier a cet avan­tage qu’il sera vu par tous de la même façon. Ici chaque écran, même cali­bré, donnera un rendu très diffé­rent suivant les condi­tions ambiante.

    DSC_7753

    Je suis rési­gné sur cette photo. Je n’ai pas deux fois le même ressenti. Lumi­no­sité de l’écran ou de la pièce, même si j’ar­rive à cali­brer et repro­duire les condi­tions, elles ne seront jamais iden­tiques chez vous. Si vous voulez voir ce que je cherche, il ne vous restera plus qu’à venir chez moi pour que je vous montre.

    La séance complète

  • Archaïsme des lois du travail

    On oppose une vision réfor­ma­trice du XXIe siècle à l’ar­chaïsme du XXe et du XIXe. J’ai­me­rai bien qu’il en soit si simple.

    Le XIXe c’est l’in­ter­dic­tion du travail des jeunes enfants et la limi­ta­tion horaire pour les plus grands. C’est le droit de grève, l’in­dem­ni­sa­tion et la respon­sa­bi­lité patro­nale des acci­dents du travail. C’est l’ins­pec­tion du travail et la liberté syndi­cale – rien que ça.

    Le XXe c’est la jour­née de repos hebdo­ma­daire obli­ga­toire, les congés payés, la sécu­rité sociale, des ampli­tudes raison­nables de travail, les allo­ca­tions fami­liales, la consti­tu­tion­na­li­sa­tion du droit de grève…

    S’il y a bien deux siècles réfor­ma­teurs au niveau du droit du travail ce sont bien ces deux là. Tout a été créé, tout ce qui nous semble non seule­ment évident mais aussi fonda­men­tal.

    À l’époque on luttait contre le conser­va­tisme et l’ar­chaïsme libé­ral, contre ceux qui parlaient d’as­sis­ta­nat, de liberté d’en­tre­prendre bafouée, de règles inap­pli­cables.

    Aujourd’­hui, comme à l’avant-guerre, les libé­raux reviennent avec les mêmes argu­ments, pour reve­nir à l’ex­ploi­ta­tion des masses via le travail comme au XIXe siècle, juste­ment.

    Quand on veut permettre de dépas­ser les 11h par jour de travail, on souhaite ni plus ni moins retour­ner aux règles d’avant 1900. Rien que ça. L’ar­chaïsme n’est pas où l’on croit.

    Media­part a aussi un bel article sur ce sujet.

  • [Photo] Séduire

    On dit qu’il faut cacher et suggé­rer mais mon approche n’est pas celle de l’éro­tisme. Quand une image avec une conno­ta­tion de séduc­tion de glisse sans la cher­cher, parfois nous avons tous deux envie de la garder avec la modèle. Celle-ci en fait partie.

    DSC_7774Copie 1

    Et comme à chaque fois que ça arrive, je me pose la ques­tion : Pourquoi est-ce que j’ex­clus l’éro­tisme et la séduc­tion de ma démarche ? Est-ce une barrière que je n’ai pas encore osé fran­chir ?

    Étran­ge­ment je trouve plus facile de deman­der à ma colla­bo­ra­trice une séance où on montre le corps, brut, sans cher­cher à parti­cu­liè­re­ment se cacher, que de lui deman­der de prendre une moue de séduc­tion sur un simple portrait serré.

    Chacun voit la porte de l’in­ti­mité à des endroits diffé­rents. La mienne ne se situe plus dans le corps, mais dans ce qu’on en fait. C’est déjà une étape qui fut bien longue à atteindre.

    La séance complète

  • [Lecture] Disney CEO asks employees to chip in to pay copy­right lobbyists

    The Walt Disney Company has a repu­ta­tion for lobbying hard on copy­right issues. […] This year, the company is turning to its employees to fund some of that battle.

    C’est marrant comme les grandes entre­prises sont pour un pur libé­ra­lis­me… sauf vis à vis de leurs employés. Là, plutôt que de consi­dé­rer qu’il y a vente de temps de travail contre rému­né­ra­tion, on leur demande d’adhé­rer à un projet idéo­lo­gique collec­tif. Libé­ra­lisme à l’ex­té­rieur, commu­nisme (à sens unique) à l’in­té­rieur.

    In 2016, Congress will further discuss various tax reform propo­sals. While compre­hen­sive reform is unli­kely, acti­vity in the coming year will lay the foun­da­tion for what many expect to be a genuine oppor­tu­nity for reform in early 2017. We have been active educa­ting Members of Congress on the impor­tance of lowe­ring the corpo­rate tax rate to be compe­ti­tive with the rest of the world.

    En gros Disney demande à ses employés de béné­vo­le­ment contri­buer au lobbying de la société pour payer moins de taxes à l’État. Taxes qui financent les infra­struc­tures et la collec­ti­vité, donc qui profitent aux employés, les plus pauvres en prio­rité.

    « For your conve­nience, DisneyPAC has imple­men­ted a payroll deduc­tion system, through which your contri­bu­tions to the PAC will be deduc­ted from your weekly paycheck, »

    Donc Disney sait qui accepte de contri­buer et combien. Vous la sentez la pres­sion sociale où les plus précaires vont se sentir obli­gés de contri­buer, contre leur inté­rêt et poten­tiel­le­ment contre leurs croyances, par peur d’être mis à l’écart ?

    « Your contri­bu­tion is impor­tant to all of us, but I want to empha­size that all contri­bu­tions are volun­tary and have no impact on your job status, perfor­mance review, compen­sa­tion, or employ­ment, » writes Iger. « Any amount given or the deci­sion not to give will not advan­tage or disad­van­tage you. »

    Deux façons de le voir. Soit on a tota­le­ment confiance, et cette préci­sion est la bien­ve­nue. Soit on est en situa­tion de dépen­dance, avec une société qui écrase un peu l’or­ga­ni­sa­tion interne, et cette préci­sion aura surtout pour effet de rappe­ler que peut-être…

    Même pas besoin d’ef­fec­ti­ve­ment véri­fier les contri­bu­tions de chacun. Cette simple phrase peut inci­ter certains à se poser des ques­tions, à avoir peur, ou à contri­buer au cas où parce qu’on ne sait jamais. Le pire c’est qu’en­suite Disney pourra dire qu’ils ont respecté leur enga­ge­ment de ne pas avoir influen­cer les carrières sur ce critère. Magni­fique.

    Sur Ars Tech­nica, détes­table consé­quence du finan­ce­ment poli­tique à l’amé­ri­caine.

  • [Réac­tion] J’ai mangé la moitié de son goûter

    Parlante ? elle est sacré­ment trom­peuse.

    Grâce aux impôts, taxes et coti­sa­tions, il a un goûter. Rien que ça.

    C’est à dire que son père a béné­fi­cié de l’école qui lui a permis d’avoir un travail quali­fié et de payer un goûter à son fils. Que la même école a formé aussi son boulan­ger et l’a instruit pour lui permettre de savoir comment poser la ques­tion.

    C’est à dire qu’il y a une police pour éviter que le voisin prenne tout son goûter, vole les matières premières ou la produc­tion du boulan­ger.

    C’est à dire qu’il y a des règles et une justice pour les faire appliquer afin que le père ne soit pas exploité 15h par jour et qu’il puisse répondre à son fils, et pour que le boulan­ger soit astreint à des règles sani­taires qui permettent de manger le goûter sans partir à l’hô­pi­tal.

    C’est à dire juste­ment qu’il y a un hôpi­tal, dans lequel statis­tique­ment il a déjà fait un tour et qui lui permet d’être en bonne condi­tion pour manger son goûter, ou même simple­ment encore vivant grâce aux vaccins.

    C’est à dire qu’il y a une armée pour éviter d’être à la merci du premier voisin hostile venu, parce que les réfu­giés des pays en guerre n’ont pas tous un goûter non plus.

    C’est à dire qu’il a peut-être aussi une famille qui béné­fi­cie de l’aide au loge­ment, de l’al­lo­ca­tion fami­liale, du revenu de soli­da­rité active, de l’aide handi­capé ou d’une aide quel­conque.

    C’est à dire qu’il a des routes et des infra­struc­tures pour qu’un idiot puisse poster cette image débile sur Inter­net.

    Non l’image n’est pas parlante, elle est sacré­ment trom­peuse et malsaine.

    Que ce soit un maga­zine entre­pre­neu­riat qui colporte ces imbé­ci­li­tés n’a rien d’ex­tra­or­di­naire.

    J’en ai ma claque de ces entre­pre­neurs qui râlent contre les impôts, les taxes et les coti­sa­tions comme si la collec­ti­vité n’avait que pour seul but de leur prendre les fruits de leur labeur.

    Ils oublient un peu vite que s’ils étaient en Soma­lie ils n’au­raient certai­ne­ment pas entre­pris. S’ils en ont été capable c’est que eux, leurs employés et leurs clients ont l’édu­ca­tion, l’in­fra­struc­ture, l’en­vi­ron­ne­ment et les aides qui vont bien pour ça, et que tout ça est juste­ment payé avec les impôts. Le pire c’est que la plupart d’entre eux n’en payent juste­ment pas ou peu des impôts. Ne parlons même pas de ceux qui râlent contre les coti­sa­tions sociales et qui s’en font exoné­rer la majo­rité à l’aide des JEI, CIR et autres CII, ou qui se font subven­tion­ner et accom­pa­gner direc­te­ment par la BPI ou d’autres dispo­si­tifs

    Entre­pre­neurs, redes­cen­dez sur terre : si jamais vous réus­sis­sez, ça sera grâce aux impôts ; si vous avez été capables d’en­tre­prendre, c’est aussi grâce aux impôts.

    Alors votre histoire de 50% du pain au choco­lat…