Carnet de notes

Auteur/autrice : Éric

  • Authen­ti­fi­ca­tion forte

    Une authen­ti­fi­ca­tion par mot de passe sur le web est vite problé­ma­tique. Avec la multi­pli­ca­tion des sites web, chacun avec son compte, on a vite fait d’uti­li­ser le même mot de passe pour un même type de site, voire le même mot de passe partout. Tôt où tard on finit par s’au­then­ti­fier sur une machine publique, chez un voisin, sur un wifi public, ou alors un des services finit par avoir une faille de sécu­rité, voire quelqu’un a posé un spyware sur notre machine habi­tuelle.

    Problé­ma­tique simple : Je veux que personne ne puisse s’au­then­ti­fier sur mes comptes frau­du­leu­se­ment, et le mot de passe n’est pas la solu­tion.

    Mots de passes uniques

    Pallia­tif simple : Je génère un mot de passe par site. Je l’ai fait un temps, mais on atteint vite les limite de ce qu’on peut rete­nir de tête, même en utili­sant une astuce pour déter­mi­ner le mot de passe en fonc­tion du site (genre faire chan­ger une partie du mot de passe en fonc­tion du site). Au final la faci­lité reprend le dessus et on utilise trop souvent le même, ou des trop proches.

    C’est encore plus vrai pour les mots de passe « sensibles » (comptes mails prin­ci­paux, machines perso, machine pro) où le mot de passe devrait être complexe, diffé­rent à chaque fois, et renou­velé au mini­mum à chaque chan­ge­ment de société ou de pres­ta­taire. Jusqu’à quatre mots de passe forts c’est encore gérable, après ça devient ingé­rable, surtout si certains sont peu utili­sés (donc vite oubliés).

    Géné­ra­teurs auto­ma­tiques de mots de passe

    Dans la même lignée on peut utili­ser un système auto­ma­tique pour géné­rer un mot de passe à partir du nom ou de l’URL du service, ou aléa­toi­re­ment en tenant à jour une liste de mots de passe. C’est mieux, mais on reste dépen­dant de cet algo­rithme. Si je suis à l’ex­té­rieur, je risque de ne plus y avoir accès. Ensuite ça ne pallie qu’une partie du problème : ça n’em­pêche pas le mot de passe de se diffu­ser, et d’être utilisé frau­du­leu­se­ment par un tiers. Ça limite juste les dégâts si c’est le service tiers qui a un problème de sécu­rité.

    OpenID

    OpenID c’est une manière de résoudre le problème par l’autre bout. On centra­lise la gestion de l’au­then­ti­fi­ca­tion sur un seul site, et tous peuvent ensuite y faire appel. Du coup je n’ai aucun seul mot de passe à rete­nir : celui de mon compte openid. Je peux faire en sorte qu’il soit complexe, trans­mis sur une connexion sécu­ri­sée, et je ne crains pas les failles appli­ca­tives des services tiers.

    Ça résout certaines ques­tions, mais en pose d’autres : Comment est-ce que je m’au­then­ti­fie sur le serveur OpenId ? si c’est un mot de passe alors j’ai un risque d’au­tant plus grand s’il est décou­vert. Tous mes services en dépendent.

    RSA SecurID

    SecurID c’est le système clas­sique en entre­prise. On vous donne une sorte de porte clef person­nel qui génère un mot de passe unique toutes les 15 secondes. Natu­rel­le­ment chaque porte clef est initia­lisé diffé­rem­ment donc seul le votre donne accès à votre compte. Le mot de passe est à usage unique, et tota­le­ment sans inté­rêt passé une minute. Les risques d’ac­cès frau­du­leux sont donc forte­ment limi­tés.

    Malheu­reu­se­ment ça ne semble pas vrai­ment conve­nir à un usage person­nel courant. Tout d’abord je n’ai qu’un seul support physique, et aucun accès de secours. Si je perds mon accès, je dois me repo­ser sur un admi­nis­tra­teur tiers qui me redonne un nouveau support et le lie à mon compte.

    En vacances, ou simple­ment si je n’ai pas ma veste avec moi, il peut arri­ver que je n’ai pas mon support. Sous réserve que je consi­dère mon accès comme « sans risques » je souhaite pouvoir passer sans le jeton d’au­then­ti­fi­ca­tion forte. Là je n’avais pas ce choix.

    Ensuite le jeton repose sur un système de clefs et de secrets qui est détenu par Veri­sign. C’est un point qui est sensible pour moi, d’au­tant qu’il y a eu une faille chez eux récem­ment et qu’on se demande si les secrets n’ont pas été divul­gués. Un système open source sans serveur tiers me semble indis­pen­sable.

    Enfin, pour éviter qu’il suffise de voler le porte clef plas­tique pour avoir accès à mon compte, je devais ajou­ter un PIN de quatre chiffres. Ce qui m’étonne c’est que ce PIN n’est pas à saisir sur le porte clef, mais à côté du jeton d’au­then­ti­fi­ca­tion, dans le formu­laire web. Quiconque regarde mon clavier, écoute sur le réseau, ou a réussi à poser un spyware sur ma machine connai­tra ce PIN. Bref, il n’est pas si secret que ça.

    Pour ma société, voire pour l’ac­cès à mon compte en banque (et encore), pourquoi pas. Pour le reste, bof bof.

    Google 2 steps veri­fi­ca­tion

    Le système Google est pour moi un peu plus souple déjà. Il utilise une appli­ca­tion sur mon smart­phone et pas un porte clef tiers mais le système semble simi­laire. Ca n’a l’air de rien mais le télé­phone a beau­coup plus de chances d’être avec moi. Il inter­vient après l’au­then­ti­fi­ca­tion par mot de passe (d’où le nom de « deux étapes ») et on peut forcer la seconde étape à ne pas être rede­man­dée à chaque fois pour la même machine qu’on sait « sûre ».

    Pour autant je ne suis pas toujours avec mon télé­phone, et il peut tomber hors batte­rie. Dans ces condi­tions, et si j’ai confiance dans le poste et la connexion sur lesquels je suis, j’au­rai aimé pouvoir saisir un mot de passe spéci­fique qui zappe l’au­then­ti­fi­ca­tion forte. Ça fonc­tionne tant que c’est excep­tion­nel mais Google ne me le propose pas. Google me propose par contre de géné­rer une série de mots de passe à usage unique. Malheu­reu­se­ment l’usage unique est poten­tiel­le­ment gênant et surtout ça implique de les noter quelque part, avec le risque de les perdre ou de se les faire voler. Bref, on peut mieux faire même si j’ap­pré­cie l’in­ten­tion.

    Pour ne pas risquer de perdre des accès et comme il n’y a pas d’ad­mi­nis­tra­teur humain tiers, je peux propo­ser à Google un second numéro de télé­phone qui sert en backup, si jamais je perds le premier. Là aussi c’est posi­tif. Main­te­nant person­nel­le­ment j’ai un télé­phone perso, un de boulot, je risque parfois d’avoir l’un et pas l’autre. J’au­rai aimé auto­ri­ser les deux à me servir pour l’au­then­ti­fi­ca­tion forte et ce n’est pas proposé.

    Point posi­tif, google garde une compa­ti­bi­lité avec toutes les appli­ca­tions qui conti­nuent à utili­ser un simple mot de passe comme inter­face. Je peux faire géné­rer autant de mot de passe que je veux (ils sont longs et complexes) et les affec­ter à des appli­ca­tions. J’ai ensuite la liste des appli­ca­tions dans mon inter­face d’ad­mi­nis­tra­tion et je peux en ajou­ter ou en reti­rer à la volée. Le résul­tat c’est que je peux vali­der ou refu­ser chaque appli­ca­tion indé­pen­dam­ment, sans secret partagé entre toutes.

    Côté sécu­rité, rien ne m’in­dique qu’il est impos­sible de copier le logi­ciel présent sur mon télé­phone portable (ou les mots de passe à usage unique que j’ai en backup) et l’uti­li­ser sans que je ne le sache. Tech­nique­ment ça ne prend pas long­temps pour quelqu’un qui a accès à mon télé­phone, 10 minutes au plus. J’au­rai aimé un système qui détecte que deux télé­phones distincts utilisent la même clef et me l’in­dique. Si c’est présent Google n’en parle pas.

    Enfin, tout ça est « google-only ». Je peux certes utili­ser google en openid, mais ça reste centra­lisé. J’au­rai aimé quelque chose d’uti­li­sable partout, y compris sur mes serveurs.

    Clefs SSH

    En rédi­geant tout ça je me suis rendu compte que j’uti­li­sais déjà un système assez ressem­blant : les clefs SSH. Pour me connec­ter à mes serveurs j’uti­lise des clefs privées. J’ai une clef par source, toutes diffé­rentes. Je peux auto­ri­ser faci­le­ment une nouvelle source, ou en griller une exis­tante, sans mettre à jour. J’ai aussi un mot de passe de secours que je peux utili­ser quand je suis à l’ex­té­rieur.

    Malheu­reu­se­ment là c’est unique­ment pour ssh, et mes authen­ti­fi­ca­tions se font à 90% sur des formu­laires web. Ca demande aussi d’avoir ses clefs ssh sur soi, or le scéna­rio d’au­then­ti­fi­ca­tion forte est surtout utile juste­ment quand je suis ailleurs que chez moi, ou avec une machine qui n’est pas une machine de confiance.

    Je n’ai non plus aucun système qui m’as­sure que ma clef n’a pas été copiée et utili­sée par un tiers.

    Et vous ? Qu’a­vez-vous pour vos authen­ti­fi­ca­tions fortes ?

    En regar­dant j’ai­me­rai :

    • Authen­ti­fi­ca­tion par un système de clefs privée/publique géré par une appli sur mon télé­phone portable
      • Possi­bi­lité de gérer une liste de clefs auto­ri­sées (une par télé­phone portable) pour ajou­ter/reti­rer faci­le­ment un accès
      • Le jeton renvoyé par le télé­phone est obtenu par une combi­nai­son d’un mot de passe ou PIN et de la clef (il faut les deux, et donc le mot de passe n’est pas saisit sur le PC public mais sur mon propre télé­phone)
      • Un système de numéro incré­men­tal est asso­cié au jeton d’ac­cès afin de repé­rer si un tiers utilise une de mes clefs après l’avoir copiée (si le numéro est égal ou plus faible que la dernière fois le serveur refuse l’ac­cès, je saurai donc que quelqu’un utilise ma clef ailleurs et je pour­rai la suppri­mer des auto­ri­sa­tions)
    • Authen­ti­fi­ca­tion alter­na­tive par un mot de passe que je choi­sis moi, pour quand je n’ai pas mes télé­phones et que je suis prêt à prendre le risque
    • Authen­ti­fi­ca­tion alter­na­tive par mot de passe pour les API, logi­ciels, etc. (mot de passe généré, long/complexe)
      • Possi­bi­lité de gérer une liste de mots de passe auto­ri­sés (un par appli­ca­tion/API) pour ajou­ter/reti­rer faci­le­ment un accès

  • Ache­ter de la musique déma­té­ria­li­sée, j’ai testé

    Non mais vous rigo­lez ?

    J’écoute person­nel­le­ment peu de musique. Les débats radi­caux sur la contre­façon musi­cale m’étaient un peu étran­gers et je ne regar­dais la ques­tion que sous l’angle des effets de bord induits par la lutte anti-pira­ta­ge… jusqu’à main­te­nant.

    Aujourd’­hui nous avons voulu ache­ter un vieil album de musique plus à la mode. Avec un léger doute en nous connec­tant nous l’avons tout de même trouvé rapi­de­ment. Voilà le résul­tat de notre expé­rience. Ceci n’est pas une fiction.

    C’est le bordel

    FNAC. C’est là que nous sommes allés en premier. Quand on recherche on trouve plusieurs fois l’al­bum. Le prix est diffé­rent, l’un est aussi acces­sible en mp3 l’autre non. Le prix varie du simple au triple. Je comprends l’idée d’agré­ger plusieurs commerçants sur la même plate­forme mais là c’est fran­che­ment malvenu comme résul­tat. Ne propo­ser qu’une fois l’al­bum avec ensuite la liste de marchands serait plus natu­rel.

    Bon, on clique sur le seul acces­sible en mp3. C’est le lien « offi­ciel », celui vendu par la FNAC elle-même. Sur la page de l’al­bum on nous propose le disque physique ou la version télé­char­geable. Très bien.

    Ça coute moins cher mais vous l’ache­tez plus cher

    Ah non, pas très bien en fait ! Ils nous font une bonne blague. La version déma­té­ria­li­sée, qui ne demande pas de stock et de trans­port, elle n’est pas au prix initia­le­ment affi­ché. On voit dans la page de l’al­bum qu’elle est un tiers plus cher. Oui, vous avez bien lu, le déma­té­ria­lisé coute quand même un tiers de plus que le support physique.

    De qui se moque-t-on ? Indé­pen­dam­ment du prix lui-même, impos­sible de caution­ner un délire pareil. Nous partons ailleurs.

    C’est *vrai­ment* le bordel

    Amazon. On recom­mence là bas. Recherche de l’al­bum. Là ce n’est pas deux ou trois résul­tats mais plus d’une tren­taine, pour le même album (même pochette). Et je prends lequel moi ? Là aussi ça doit venir de plusieurs commerçants mais le nom du commerçant n’est pas expli­cité donc c’est vrai­ment du clic au hasard.

    On ne peut même pas dire qu’on va prendre le moins cher, les prix sont stan­dar­di­sés. Sauf excep­tion c’est 0,99 € le titre et 9,99 € l’al­bum. La concur­rence n’existe pas, il y a visi­ble­ment un accord de groupe.

    Seul le premier item, acces­sible avec et sans support physique, est un peu moins chère. Il se révèle que c’est l’item d’Ama­zon lui-même, les autres sont des parte­naires là juste pour la forme (et perdre le client).

    Quand il y en a moins ça coute plus cher

    En filtrant seule­ment ceux acces­sibles en mp3 on se rend compte, magie de l’in­ter­net que la version avec des pistes bonus est moins chère que la version nue. Je crois qu’on va prendre la version enri­chie de bonus alors. Bon, en même temps les bonus ne sont que deux remix. S’il faut se les farcir pour payer moins cher, j’ef­fa­ce­rai moi-même les deux fichiers mp3 ensuite.

    Cette version avec bonus est au même prix que l’al­bum physique, qui elle a toujours eu les soit-disants « bonus » même si ce n’est pas indiqué. Comprendre : la version nue mp3 est plus chère parce qu’ils ont retiré des pistes présentes dans l’al­bum initial. C’est magique Inter­net non ?

    Ça coute moins cher, alors on va quand même le faire payer plus

    Soyons rede­vables à Amazon. Eux, à contenu égal, ne facturent pas plus cher pour la version sans support physique.

    Pour­tant à y regar­der de plus près on peut quand même si dire qu’on paye encore plus cher le mp3 que le disque, alors que ce dernier a un stock et un objet à produire.

    Amazon offre en effet gratui­te­ment la livrai­son express en moins de 24h quand on prend le CD physique. Hors Amazon Premium c’est un service qu’ils vendent entre 8 et 10 €. Au final on achète surtout la livrai­son. Le prix réel du CD est très faible, proba­ble­ment à peine la moitié de ce qui est affi­ché.

    Sur la version déma­té­ria­li­sée il y a aussi un coût de mise en télé­char­ge­ment mais ce coût pour à peine 100 Mo est ridi­cule par rapport à un coût de livrai­son express.

    Le résul­tat, c’est que si met de côté la livrai­son qui est un service inutile lors du mp3, on paye la musique bien moins chère sur CD que sur mp3, quasi­ment moitié moins.

    Avez-vous le logi­ciel super indis­pen­sable mais inutile ?

    Soyons fous, on va payer le même prix qu’a­vec support physique. On aura le support physique en moins, des fichiers de moins bonne qualité que ce qu’on aurait extrait nous, mais au moins ça va être simple et rapide. On est dimanche, le confort se monnaye, on achète.

    Aie, Amazon impose le télé­char­ge­ment d’un logi­ciel Windows pour télé­char­ger la douzaine de fichiers mp3. C’est quand même étrange qu’ils ne soient pas capables de nous les propo­ser direc­te­ment dans le navi­ga­teur ou via une simple archive zip.

    On télé­charge, ça remet le panier à zéro, on ne sait pas pourquoi. C’est juste agaçant. On ajoute de nouveau au panier, on n’a pas fait tout ce chemin juste pour rien quand même. On achète, soyons fous.

    Oui, mais au moins c’est plus rapide et plus pratique avecle logi­ciel (ben tiens…)

    Le logi­ciel est-il vrai­ment fait pour nous simpli­fier la vie ? À l’achat le navi­ga­teur télé­charge auto­ma­tique­ment un petit fichier avec une exten­sion bizarre et voilà. Oui, nous travaillons ou avons travaillé tous les deux dans le web mais il a fallu véri­fié dans nos mails et reve­nir lire la page de confir­ma­tion du site d’Ama­zon pour nous rendre compte qu’il avait télé­chargé ce petit fichier et qu’il fallait le lancer à l’aide du super outil de télé­char­ge­ment installé aupa­ra­vant. C’est peut être que c’est dimanche, mais je ne peux pas croire qu’on vient de simpli­fier la vie du client.

    Télé­char­geons alors. Au bout de 35 minutes le télé­char­ge­ment en est à un tiers. Aux deux tiers le logi­ciel semblait bloqué, il a fallu lui dire d’ar­rê­ter puis reprendre les télé­char­ge­ments pour qu’il veuille bien conti­nuer. J’ai télé­chargé des DVD complets de distri­bu­tion linux plus vite que ça. Voilà pour les côtés pratiques et rapides.

    Factuel­le­ment j’au­rai plus vite fait de faire 30 minutes de métro pour aller à la FNAC des Champs Élysées ouverte le dimanche, cher­cher le CD, faire la queue pour payer, reve­nir et extraire les pistes audio en mp3. Je ne parle même pas de l’idée d’al­ler trou­ver une version pira­tée sur Inter­net.

    Oui, mais au moins c’est mieux fait qu’à la maison

    Il faut quand même poin­ter le posi­tif. Cette fois ci on a des fichiers globa­le­ment de bonne qualité, avec l’illus­tra­tion inté­grée dans les pistes, et les méta-données prin­ci­pales déjà rensei­gnées.

    Pas de quoi pavoi­ser tout de même : Pour des versions four­nies par la maison de disque ils auraient pu faire l’ef­fort de mettre la date de la piste et non la date de l’al­bum, de rensei­gner aussi le compo­si­teur et les autres méta-données de détail, mais c’est déjà ça.

    Ouvrir une offre légale

    Nous sommes dans la mauvaise blague depuis le début. Il a fallu presque deux heures, une expé­rience désas­treuse et un prix injus­ti­fié pour télé­char­ger un pauvre album léga­le­ment.

    Sérieu­se­ment, ce qui pose problème ce n’est pas tant la dispo­ni­bi­lité de l’offre légale ou la volonté de payer, c’est vrai­ment la façon dont toute l’in­dus­trie musi­cale aborde le déma­té­ria­lisé.

    Devoir subit un parcours du combat­tant, utili­ser un logi­ciel spécial, payer plus cher qu’un CD et mettre plus d’une heure trente pour télé­char­ger un pauvre album, je n’en reviens pas. Dire qu’on subven­tionne de façon déli­rante tous les acteurs de ce cirque qui osent après consi­dé­rer que c’est la faute des méchants pirates si leur offre légale fonc­tionne mal…

  • Avoir des valeurs est devenu une tare

    Je suis impres­sionné par le cynisme et l’ac­cep­ta­tion de certains auteurs de blogs poli­tiques.  Ce n’est pas tant qu’ils analysent tout sous l’angle d’am­bi­tions person­nelles  ou d’in­té­rêts de groupe, c’est que non seule­ment ils trouvent cela normal mais en plus ils consi­dèrent comme tota­le­ment irréa­liste voire néga­tif l’idée de remettre en cause ces atti­tudes.

    Les exigences morales, les prin­cipes, les valeurs semblent avoir dispa­rus. Du moins c’est ainsi que je le ressens. Je ne parle pas des exigences d’un ou deux poli­tiques qui touchent à des choses pas nettes, mais des exigences de la société face à sa repré­sen­ta­tion, ses élus, ses règles, et son fonc­tion­ne­ment.

    Pouah ! un puriste

    Tout ceci n’est que pure subjec­ti­vité, et d’autres y verront du réalisme ou du prag­ma­tisme. Pour autant il y a de bons symp­tômes de ces ques­tions, et ça ne date pas d’hier :

    Idéa­liste et puriste sont presque deve­nus des insultes, c’est un moyen certain de dimi­nuer la consi­dé­ra­tion des tiers. « idéal » et « pur » sont pour­tant des racines indé­nia­ble­ment posi­tives.

    Notre société a pour­tant un tel niveau de renon­ce­ment et de compro­mis­sion qu’on rejette ceux qui ont foi dans leur idéal et s’ef­forcent de s’y confor­mer, un peu comme pour se prou­ver que c’est impos­sible ou pour éviter de se sentir insulté en conten­tant de moins. Le sens posi­tif de l’idéa­liste, qui pour­tant ne démontre qu’une notion d’ef­fort dans un objec­tif et pas un refus des réali­tés, a laissé tota­le­ment place à au sens mino­ri­taire péjo­ra­tif qui montre une oppo­si­tion à la réalité.

    Ne l’écou­tons pas, ce n’est qu’i­déo­lo­gie

    Ce vire­ment est encore plus facile à voir avec la notion d’idéo­lo­gie. L’idéo­lo­gie c’est une vision ou un ensemble d’idées qui inspire ou qui fonde un mouve­ment intel­lec­tuel, un groupe social ou une action poli­tique. Tout cela a l’air posi­tif sur le prin­cipe, c’est ainsi que se fonde une société : sur des idées et les mouve­ments qu’elles entraînent. Mais qui aujourd’­hui entend idéo­lo­gie dans un sens posi­tif ? Il est employé par les poli­tiques eux-mêmes, eux qui pour­tant sont l’illus­tra­tion directe de l’idéo­lo­gie, pour décrire des gens qui spéculent et qui n’ont pas prise avec la réalité.

    C’est dans la notion d’in­té­grisme que ce détour­ne­ment des termes me fait le plus mal. Le terme est récent, sa créa­tion date du XXème siècle. À partir d’une racine des plus posi­tives, on invente un sens exécrable, celui qui refuse toute évolu­tion. Le fait de souhai­ter rester intègre s’est plus ou moins assi­milé à cette notion d’in­té­grisme, de par la proxi­mité des termes.

    Cela se traduit d’ailleurs dans les faits. De plus en plus, refu­ser de renier ses prin­cipes est critiqué comme un refus d’évo­lu­tion et un rejet par prin­cipe de toute idée diver­gente : « si vous consi­dé­rez ma propo­si­tion comme inac­cep­table c’est que vous êtes contre le chan­ge­ment ».

    Qu’a­vons-nous perdu ?

    J’exècre ceux qui ont fait glissé ces termes vers des sens néga­tifs, ou qui ont réuti­lisé des racines si pures pour y donner des sens dépré­cia­tifs. Mais tout ceci n’est fina­le­ment que le reflet d’une évolu­tion de la société. Croire à des valeurs est vu comme néga­tif, tenter de les respec­ter est vécu comme un rejet du reste du monde.  À tout moment celui qui vous propose d’y renon­cer trou­vera inac­cep­table que comme compro­mis vous n’ac­cep­tiez pas d’y renon­cer à moitié, en coupant la poire en deux.

    Fina­le­ment si on n’est pas prêt à faire l’inac­cep­table plei­ne­ment, peut être devrions-nous être prêts à le faire à moitié. Telle est du moins la pres­sion que je ressens autour de moi, mais encore plus quand je regarde les débats publics.

    Purisme, idéa­lisme, idéo­lo­gie, tout ça est fonciè­re­ment posi­tif, refu­sons d’en caution­ner ce glis­se­ment de sens. Sur ce point j’ai envie d’être intègre. Oui, inté­griste, mais dans un sens posi­tif.

  • Indé­cence des faits divers

    Indé­cent !

    Mais au fait, pourquoi est-ce indé­cent d’abor­der sous l’angle poli­tique les faits divers récents ou en cours ?

    Le respect des victimes ne passe certai­ne­ment pas par l’ou­bli du fait divers. Au contraire, pouvoir en parler, évaluer les choix faits, discu­ter des solu­tions poten­tielles, c’est le mini­mum qu’on puisse faire.

    Est-ce alors indé­cent de le faire sur le vif au lieu d’at­tendre ? Peut être n’est-ce pas déli­cat, mais notre société est obèse d’in­for­ma­tion et oublie aussi vite qu’un pois­son rouge lobo­to­misé ayant pris un coup sur la tête. Dans ce contexte, profi­ter de l’ac­tua­lité et de la média­ti­sa­tion est quasi­ment la seule manière de faire avan­cer le sujet.

    Alors, indé­cent ? je ne vois toujours pas en quoi.

    L’in­dé­cence vient parfois ensuite. Explo­rer un sujet lié à l’ac­tua­lité est une chose. S’en servir pour des fins tierces en est une autre. Avoir une réac­tion dispro­por­tion­née, popu­liste et sans recul est effec­ti­ve­ment ce qui menace le plus la décence.

    Ne nous trom­pons pas de problème en voulant taire un débat ou une ques­tion qui juste­ment est perti­nente. Assu­rons-nous seule­ment de trai­ter cette ques­tion avec tout le sérieux néces­saire, sans effet d’an­nonce stupide qui ferait plus de mal que de bien, mais sans rejet par prin­cipe non plus.

  • N’éco­no­mi­sez pas sur votre maté­riel infor­ma­tique profes­sion­nel

    N’éco­no­mi­sez pas sur votre maté­riel infor­ma­tique profes­sion­nel

    Choi­sis ce que tu veux

    J’ai inté­gré une nouvelle société il y a peu. Première surprise, on m’a demandé avant que j’ar­rive ce que je voulais comme poste infor­ma­tique. Agréable. Mieux : On m’a simple­ment dit d’al­ler prendre ce qui me corres­pon­dait sur les sites de Dell ou d’Apple. Pas de choix prééta­bli ou de guide sur le budget.

    Avec un cahier des charges aussi inexis­tant le moindre DAF risque­rait une attaque cardiaque. L’es­sen­tiel des effec­tifs peut faci­le­ment se faire coller l’étiquette « geek », c’est un coup à dépen­ser 3 000 euros par poste ça.

    Qu’est-ce qui peut bien pous­ser une société à lâcher la bride ainsi à ses infor­ma­ti­ciens ?

    Que ceux qui n’ont jamais pesté devant leur machine qui ne réagit pas assez vite lèvent la main !

    À mon arri­vée à Yahoo! j’avais eu pendant un moment un vieux Dell qui avait 10 minutes de batte­rie (montre en main) et 8 minutes pour démar­rer. Je n’avais pas le temps de lancer un logi­ciel qu’il s’ar­rê­tait. Chan­ger la batte­rie ? ah non, pas avant les trois ans d’amor­tis­se­ment. Résul­tat : une horreur pendant les réunions.

    Plus récem­ment à mon précé­dent poste j’ai béné­fi­cié d’un Dell Lati­tude E5510 tout neuf. Proces­seur Intel i3 dual core à 2,4 Ghz et 4 Go de mémoire, sur le papier c’est même surdi­men­sionné pour quelqu’un qui fait un peu de code et majo­ri­tai­re­ment de la bureau­tique. Pour­tant, que ce soit l’anti-virus ou le maté­riel, il me fallait presque 10 minutes pour démar­rer la machine, plus d’une minute pour avoir accès à MS Word ou Fire­fox après les avoir lancé, et le wifi mettait du temps à accro­cher.

    Je ne prends même pas en compte toutes les fois où j’ai du noter sur papier et ressai­sir à cause d’une mauvaise batte­rie et d’un manque de prises en salle de réunion, vous ne croi­riez pas le temps perdu ainsi cumulé.

    La renta­bi­lité comme seul objec­tif

    Depuis une semaine c’est une joie. J’ouvre le portable et je peux commen­cer à frap­per au clavier. Pas de minute d’at­tente, pas même 30 secondes. Je clique sur l’icône de MS Word et je peux taper immé­dia­te­ment. Je dis bien immé­dia­te­ment. J’ai véri­fié si c’était une impres­sion ou si c’était objec­tif. J’ai cliqué et tapé immé­dia­te­ment.  La batte­rie je n’en parle même pas, je pour­rai tenir la jour­née dessus sans rechar­ger. Quant au wifi, c’est en rédi­geant ce billet que je me suis rendu compte que je n’ai jamais fait atten­tion à savoir si le wifi était en recherche ou connecté : j’étais en ligne dès l’ou­ver­ture du capot, ou du moins je n’ai jamais ressenti le délai.

    En ce moment je fais des entre­tiens auprès de mes clients. Deux entre­tiens par jour, c’est un démar­rage à froid et trois reprises à chaud. Entre le wifi, la sortie de veille, le lance­ment des logi­ciels et la réac­ti­vité géné­rale, je gagne un grand mini­mum de 3 minutes à chaque fois, le double pour le démar­rage à froid, soit 15 minutes par jour.

    Comp­tez vous-mêmes, j’ai renta­bi­lisé une jour­née de travail à peu près tous les deux mois. 15 minutes ça peut sembler exagéré, on ne se rend pas toujours compte de tous ces petits temps d’at­tente, on met instinc­ti­ve­ment en place des contour­ne­ments (le café après avoir allumé la machine, la présen­ta­tion avec le client le temps que MS Office se lance) … jusqu’au jour où on n’en n’a plus besoin et qu’on devient vrai­ment effi­cace.

    N’éco­no­mi­sez pas sur l’ou­til de travail

    Le « choi­sis ce que tu veux » est très diffi­cile pour moi. Ça veut dire que c’est à moi de défi­nir les limites de ce qui est accep­table ou rentable. Mes expé­riences passées m’in­ci­taient d’un côté à ne surtout pas rogner trop, mais de l’autre à croire que je risquais de me faire remarquer par une facture refu­sée avant même de faire mon premier jour.

    Heureu­se­ment un futur collègue m’a incité à ne pas faire l’éco­no­mie d’un poste de travail et m’a rappelé que le coût était quand même ridi­cule au final pour du profes­sion­nel.

    Résul­tat : Je me suis lâché. Raison­na­ble­ment, mais mon poste a proba­ble­ment coûté quatre fois plus que celui que m’avait alloué mon précé­dent employeur.

    Le montant repré­sente tout de même moins de trois jours de factu­ra­tion client. La diffé­rence avec un poste milieu de gamme sera amor­tie en moins de six mois sur la base des calculs plus haut. Avec un renou­vel­le­ment tous les trois ans, mon employeur précé­dent aurait fait une écono­mie de 15 jours de factu­ra­tion en faisait le même choix.

    Tout n’est pas chif­frable

    Mais le gain réel n’est même pas là. Le gain c’est par exemple que j’ai envie de travailler, que j’ai une impres­sion de confiance et d’ef­fi­ca­cité indé­niable pour commen­cer dans mes nouvelles affec­ta­tions. Je commence motivé et non frus­tré.

    Pour savoir combien cette frus­tra­tion peut tuer toute moti­va­tion sur le long terme au fur et à mesure des embê­te­ments et des mauvaises expé­riences, le retour sur inves­tis­se­ment chif­fré plus haut est tota­le­ment négli­geable. La vraie valeur ajou­tée elle ne se chiffre pas, mais c’est elle la plus impor­tante : je suis effi­cace est motivé.

    Faites tour­ner ce retour à votre service infor­ma­tique le jour où on vous annonce que fran­che­ment votre poste coûte déjà assez cher comme ça et que ce que vous deman­dez n’est pas vrai­ment indis­pen­sable, qu’on peut très bien faire sans.

    Photo d’en­tête sous licence CC BY-NC-ND par Kmeron

  • Modem, Club DSK, et détour­ne­ments de données person­nelles

    Il y a quelques temps j’avais adhéré au MoDem, prin­ci­pa­le­ment par convic­tion qu’un parti centriste indé­pen­dant du PS et de l’UMP était néces­saire à la vie poli­tique française, et que les posi­tions du parti sur la démo­cra­tie avaient du sens à mes yeux.

    Je n’ai pas parti­cipé, à aucun moment. Je tiens à le préci­ser parce que ça explique que mon e-mail n’a à aucun moment pu être reçu à des fins poli­tiques dans le parti ou à desti­na­tion de personnes en parti­cu­lier en dehors de mon adhé­sion. En fait j’ai vu la commu­ni­ca­tion externe du parti perdre en perti­nence jour après jour, et mon inté­rêt dimi­nuer d’au­tant. Je n’ai pas renou­velé mon adhé­sion. J’ai parfois encore des e-mails venant de listings MODEM. Ils sont rares, aussi je ne m’en offusque pas.

    Détour­ne­ment

    Il y a quelques jours je vois tout de même appa­raitre un e-mail (en fait deux) d’An­to­nio Duarte, ancien membre du MoDem, ancien vice-président de son antenne pari­sienne. Ce dernier écrit pour consti­tuer un mouve­ment de soutien à Domi­nique Strauss-Kahn, le Club DSK 75.

    Là j’ai du mal à comprendre comment et pourquoi on utilise mes coor­don­nées, visi­ble­ment en prove­nance des listings internes du MoDem, pour un autre mouve­ment, par quelqu’un qui a quitté le parti. Bien entendu il n’y a aucun lien de désins­crip­tion ni aucune infor­ma­tion sur comment exer­cer mes droits d’ac­cès à mes données person­nelles, et aucune réponse à mes inter­ro­ga­tions par retour de mail.

    Visi­ble­ment la base de données des membres a été détour­née pour un usage person­nel par quelqu’un qui en avait la respon­sa­bi­lité et a aban­donné depuis ses fonc­tions. Je serai étonné que cela ne tombe pas sous le coup de l’abus de confiance, toute propor­tions gardées. Même en dehors de ça, il y a proba­ble­ment un problème avec le droit des bases de données (copie de la base des membres), la cnil (fichier de données person­nelles consti­tué sans mon accord à cet usage), et la loi infor­ma­tique et liber­tés (aucun moyen d’exer­cer mes droits).

    Il serait tota­le­ment hors de propos de consi­dé­rer que l’e-mail que j’ai laissé dans le cadre du MoDem implique un accord pour une utili­sa­tion en dehors de la struc­ture, et encore moins pour une acti­vité poli­tique diver­gente. Je n’ai donné mon accord ni pour une telle diffu­sion, ni pour une telle utili­sa­tion, et en France mon accord doit être obtenu au préa­lable.

    Mais surtout ce n’est pas la première fois. En juillet dernier c’était Chris­telle De Cremiers, elle aussi ancienne vice-prési­dente de l’an­tenne pari­sienne, qui utili­sait elle aussi mes données person­nelles après son départ, avec les mêmes problèmes. Là j’avais eu une réponse, mais clai­re­ment non satis­fai­sante.

    Absence de réponses

    Je trouve cela des plus sensibles non seule­ment parce que le non-respect de la loi me parait incom­pa­tible avec cette volonté de repré­sen­ta­tion poli­tique et d’en­ga­ge­ment public, mais aussi parce que la présence sur ces listes reflète des opinions et des enga­ge­ments privés qui n’ont rien à faire hors de ces struc­tures, leur détour­ne­ment est très dange­reux.

    Malheu­reu­se­ment je n’ai pas non plus de réponse de l’an­tenne pari­sienne concer­nant l’usage des fichiers, leur poli­tique d’uti­li­sa­tion, la sécu­ri­sa­tion des listes, et ce qu’ils comptent faire pour éviter que cela ne se repro­duise une troi­sième fois. Quand au natio­nal, je n’ai aucune adresse e-mail qui me réponde et le twit­ter me propose d’en­voyer mes ques­tions, sans y répondre.

    mise à jour : J’ai eu rapi­de­ment depuis un respon­sable MoDem au télé­phone. Quelqu’un de très clair et qui comprend le problème. Il déplore ce qu’il s’est passé, me garan­tit qu’ils feront une piqure de rappel mais qu’ils font déjà signer aux respon­sables des antennes locales une clause de confi­den­tia­lité et de respon­sa­bi­lité concer­nant les fichiers d’email.
    Il ajoute qu’il ne peut malheu­reu­se­ment pas contrô­ler le mauvais usage de la part de gens qui ont eu accès à ces fichiers par le passé. N’étant pas eux même victimes du SPAM ils m’in­citent à donner suite à la CNIL mais ne peuvent rien faire eux-même (ce en quoi je ne suis pas d’ac­cord vu qu’il y a utili­sa­tion de leurs données internes et peut être abus de confiance, mais j’avoue que c’est « juste un spam » donc je ne m’at­tends pas à ce qu’ils coulent le parti pour ça non plus).
    Il semble que j’au­rai pu avoir une réponse par télé­phone au numéro natio­nal. J’avoue ne pas avoir essayé, trop habi­tué aux stan­dards inter­mi­nables et aux pratiques élec­tro­niques. Il y aurait eu malheu­reu­se­ment au même moment des problèmes d’ac­cès puis chan­ge­ment d’adresse pour les moyens de commu­ni­ca­tion de l’an­tenne pari­sienne, donc il y a peut être aussi à être indul­gent ici.

    Des ques­tions

    Voilà les raisons de cette lettre publique.

    Aux repré­sen­tants du MoDem, au natio­nal et à l’an­tenne pari­sienne :

    • Comment mon e-mail peut-il se retrou­ver dans des mailings d’an­ciens vice-prési­dents dans des commu­ni­ca­tions qu’ils ne font pas au nom du parti ?
    • Quels sont les actions que vous allez entre­prendre pour proté­ger à l’ave­nir mes données person­nelles ?
    • Quelles sont les actions que vous allez entre­prendre rapport à ces détour­ne­ments pour prou­ver que vous ne les caution­nez pas ?
    • Pourquoi faut-il une lettre publique pour obte­nir une réponse sur un sujet aussi sensible ?
    • Où puis-je vous joindre effi­ca­ce­ment pour obte­nir des réponses et des actions de votre part ?

    Aux deux spam­meurs poli­tiques (puisque factuel­le­ment il s’agit bien de cour­riers non solli­ci­tés) :

    • Comment justi­fiez-vous l’uti­li­sa­tion de mes données person­nelles ?
    • Pouvez-vous m’in­for­mer du numéro d’en­re­gis­tre­ment à la CNIL du fichier nomi­na­tif concerné ?
    • Pouvez-vous me donner la source de la récolte ou du fichier afin que je puisse faire valoir mes droits ?
    • Comment justi­fiez-vous de ne pas respec­ter la loi (au mini­mum la mention d’une désins­crip­tion possible) dans un e-mail qui propose une voca­tion poli­tique ?

    Pour me joindre vous avez le lien de contact en bas de page, si jamais l’as­pect public vous incite à enfin réagir.

  • How media queries slow the mobile web

    You proba­bly have been told to design with the grace­ful degra­da­tion para­digm. If you have very smart friends, they may even use the « progres­sive enhan­ce­ment » in place of grace­ful degra­da­tion. To enable an opti­mi­zed access to mobile on a website, you proba­bly use css media queries:

    header { background-image: url(head-1280px.png) }
@media screen and (max-device-width: 480px) {
  header { background-image: url(head-480px.png) }
}

    If you’re really smart and don’t care about IE, you may design first for narrow mobiles and then opti­mize all other use cases:

    header { background-image: url(head-320px.png) }
@media screen and (min-device-width: 321px) {
  header { background-image: url(head-480px.png) }
}
@media screen and (min-device-width: 481px) {
  header { background-image: url(head-855px.png) }
}
@media screen and (min-device-width: 856px) {
  header { background-image: url(head-1280px.png) }
}

    Sorry, what you has been told is bull­shit. You are not opti­mi­zing anything. Worse, you are degra­ding all android user expe­rience (and proba­bly some ipho­ne’s ones).

    It’s not your fault, webkit has an horrible bug. It down­loads all appli­cable images, not just the final one. This basi­cally means that down­loa­ding only the big 1280px image may even be chea­per than these alter­na­tives with media queries.

    Yes, it’s sad, but so is the life. The former is true at least up to Android 2.3.2 so the problem won’t disap­pear this year.

    If you ask me, it’s even worse: Brow­sers based on 2010’s webkit and lower (inclu­ding mobile ones) don’t need any media query to be slowed down. You just need the follo­wing to down­load two images instead of one.

    p { background-image: url(useless.png); }
p { background-image: url(usefull.png); }

    There are only three solu­tions

    1. Push the fix on Android (still not there in 2.3.2) and upgrade to the latest firm­ware (not only on your own mobile, but on everyo­ne’s)
    2. Use the same images for all devices and screen widths AND don’t use the cascade to over­ride previous back­ground-image rules in your style­sheets
    3. Wrap every back­ground-image rule in a media query and define min and max constraints for each media query so that a device never read more than one block (this mean you will never support IE without CSS hacks) AND don’t use the cascade to over­ride previous back­ground-image rules in your style­sheets