Carnet de notes

Auteur/autrice : Éric

Chacun ses comptes

C’était en 2010. Une collègue et amie divorce. C’est malheureux. Ça arrive.

Le compagnon de l’époque est informaticien et là, les questions… Puis-je contacter mon avocate sans qu’il sache ce que je lui dis ? Il a le mot de passe du laptop, je déclare un peu la guerre si je les change, non ? Et comment faire pour savoir s’il n’y a pas un malware qui m’espionne ? Et le WIFI, peut-il intercepter ce que j’y fais ? Va-t-il fouiller ma boite email personnelle pour chercher des anecdotes qui lui permettrait de contester la garde de mes enfants ? il a peut-être le mot de passe, ou peut-être a-t-il une sauvegarde. Et mon téléphone ? à l’époque le verrouillage n’était pas si commun. Et les photos de mes enfants ?

À l’époque j’avais déclaré forfait : Je suis incapable d’assurer que son conjoint n’écoute pas les conversations, n’a pas implanté de malware, ou de l’assurer qu’il n’y arrivera pas à l’avenir. Aujourd’hui je me dis que j’aurais pu lui proposer un live-cd ou une clef USB bootable. Je n’y avais pas pensé à l’époque.

On lui a conseillé de créer des comptes emails et stockage en ligne dédiés qu’elle n’utiliserait jamais depuis la maison ou depuis un appareil du foyer, de téléphoner et de se connecter depuis le travail ou de chez des amis.

Guérilla à domicile. Elle était informaticienne. Pour d’autres ça peut être encore plus difficile.

Je ne sais pas si ses craintes étaient réalistes. Probablement qu’elle non plus. Peu importe. Le stress du contexte sur le moment et la situation de conflit font qu’on n’a pas besoin de laisser ce type de préoccupations en tête en plus du reste.

Des comptes partagés

Cette histoire me revient après des échanges entendus à Paris Web à propos de l’auto-hébergement numérique.

Je ne me fais pas héberger par mon conjoint. Ça m’est déjà arrivé, c’est un nid à emmerdes.

Ce ne sont pas les mots d’origine, mais ce que j’ai retenu du fond de l’intervention.

Combien de couples sont partis pour toute la vie et finissent par se séparer ? Les moyens de pression, d’espionnage ou de menaces implicites sont gigantesques. « Surtout ne pas se fâcher avec lui-elle parce que sinon il n’est pas impossible que… »

Même quand ça se passe relativement bien, j’imagine la difficulté de savoir qu’on est pieds et poings liés à son conjoint, dépendant de celui-ci ou à la merci de sa moralité. En cas de séparation c’est une belle galère.

Bref : Chacun ses comptes email, ses stockages, ses droits d’accès, même pour un couple fusionnel qui prévoit de rester côte à côte y compris au cimetière.

C’est plus compliqué qu’un seul compte partagé, ce peut être difficile à aborder comme question, mais mieux vaut le faire quand ça se passe bien. Verrouiller son téléphone uniquement lors de la séparation c’est déclarer la guerre alors que ça aurait pu bien se passer. Ne pas le faire c’est prendre du stress et se mettre soi-même à risque, ainsi que s refuser une intimité protectrice au moment le plus critique.

Séparer les comptes numériques c’est finalement une question de respect, une façon de dire « J’ai confiance en toi, je sais que justement tu fais tout pour éviter de me mettre un jour dans une situation délicate si quelque chose devait arriver, et je vais faire pareil pour toi. »

Et si ça vous arrive ?

Je n’ai pas su le dire à l’époque mais si jamais vous vous séparez d’un informaticien : Il n’y a pas d’autres choix que de devenir paranoïaque.

Ce n’est pas tant pré-juger que le conjoint fera quoi que ce soit de malvenu, mais simplement vous assurer votre sérénité sur ces questions et éviter tout le stress qui peut l’être. Et puis personne ne peut prédire l’avenir (la preuve, vous vous séparez et ce n’était pas forcément prévu au début de la relation).

1/ (faire) Réinstallez de zéro téléphone et ordinateur, à partir de CD, clef USB et ordinateurs qui ne viennent pas de la maison. Chiffrer les disques (téléphone et ordinateur).

Mettez un mot de passe fort et dédié à cet usage (non, pas le même que d’habitude avec juste une variation). Activez les verrouillages automatiques après une période courte d’inactivité.

Autre possibilité : Démarrer depuis un Live-CD non réinscriptible préparé par un ami et écrivez sur le CD pour qu’on ne puisse pas le changer par un autre. Stockez tout en ligne, rien en local. Ce peut aussi être fait à partir d’une clef USB mais dans ce cas il faut réussir à la garder avec vous jour et nuit pour que personne ne puisse en modifier le contenu. Ça me parait plus difficile.

À défaut il y a le PC du boulot, les amis. Des smartphones android à 50 € avec cartes data prépayées qui peuvent aussi faire parfaitement l’affaire. Bonus : Ça peut éviter de montrer publiquement une défiance, et permettre de rester sur une séparation amicale.

2/ Créez-vous une boite email dédiée, sur un espace que le conjoint ne contrôlera pas. Recréez-vous de nouveaux comptes à partir de cet email ou déplacez les anciens comptes personnels vers cet email de contact (celui qui contrôle l’email principal peut récupérer les mots de passe de tous les comptes qui y sont liés).

Mettre un mot de passe fort et dédié à cet usage (non, pas le même que d’habitude avec juste une variation). Ne pas vous y connecter depuis la maison ou avec un matériel qui n’a pas été sécurisé.

3/ Faire une copie dès maintenant des photos, des archives, des documents administratifs. Stocker chez un ami, un collègue ou au boulot.

4/ Demandez accès aux comptes sur lesquels vous n’avez pas le mot de passe ou les identifiants : Assurances, impôts, banque, sécurité sociale, mutuelle, …

5/ Signalez à l’école que vous êtes en séparation. Ils savent gérer et s’assureront au minimum que l’un des deux ne retienne pas des informations.

9 octobre 2017
Chez Free c’est tout compris – ou pas

Encore une pub que vous ne verrez jamais ! #boxgate #ChezFreeCestToutCompris

— Free (@LALIGNEDEFREE) 18 septembre 2017

Oh ? moi ça me rappelle au contraire *exactement* une offre de Free.fr

C’est bien de se moquer mais pour ça il faudrait nettoyer un peu devant sa propre porte. Faire payer une option obligatoire pour l’accès à la boucle locale dédiée (c’est à dire les mètres de câble/fibre dans le trottoir entre la box de l’abonné et le réseau interne de Free) c’est largement aussi ridicule que de faire payer les aiguilles d’une montre ou les clefs d’une voiture.

Ok, c’est moins mis en avant aujourd’hui qu’à l’époque. Ça permet au département marketing de se moquer des autres en cachant tout sous le tapis, mais la fiche d’informations standardisée montre que c’est en réalité toujours ainsi aujourd’hui.

Moi je serais eux, j’arrêterais de la ramener.

* * *

Faire payer la location de la boucle locale n’a bien entendu aucun sens. Free fait comme les autres opérateurs : Il fait payer la location de sa box.

C’est d’autant plus évident en comparant avec l’offre mini 4K, qui ne diffère quasiment que par la box disponible mais qui n’a pas cette option à 5,99 € par mois alors qu’elle utilise évidemment tout autant la boucle locale dédiée (on voit mal comment elle ferait autrement).

Bref, non seulement Free fait louer sa box en option obligatoire comme les autres, mais il le fait plus cher, et en le maquillant sous couvert d’une option technique. Pas de quoi pavoiser.

* * *

On ne peut même pas argumenter qu’il s’agit de rembourser la location que fait Free de la boucle cuivre de l’opérateur historique, puisque l’option est aussi obligatoire s’il s’agit d’un accès Fibre sur une infrastructure Free de A à Z, horizontal et vertical.

1 octobre 2017
Détails de vélo à assistance électrique, boitiers de vitesses et transmission
Je lorgne les vélos à assistance électrique. Ce n’est pas la première fois, mais si le prochain taf est à distance acceptable en vélo, je pense que je vais craquer. La seule chose qui me retiendrait, outre le prix, ce n’est ni la pluie ni le froid mais les usagers en voiture ou en scooter qui sont un risque de sécurité.

Du coup je fouille. De ce que je vois je retiens quelques trucs. Je les pose ici au cas où ça serve à d’autres, mais aussi pour collecter vos retours si vous en avez.
1. Assistance électrique
2. Moteur dans le pédalier
3. Capteur d’effort et pas seulement un capteur de rotation
4. Cadre bas ou intermédiaire
5. Boitier de vitesse dans le moyeu arrière
6. Freins hydrauliques sur la jante ou sur disque
7. En fonction du prix : une batterie Li-Po , sinon une Li-Ion
8. En fonction du prix : pas plus de 25kg batterie incluse
9. Éventuellement un boitier de vitesse automatique ?
10. Éventuellement une transmission à courroie ?
Défaut de tout ça : Ça coute cher, très cher. Probablement même trop cher si je suis ce cahier des charges.

Pour l’instant je suis surtout intéressé par des retours d’expérience sur les deux derniers points (mais n’hésitez pas à commenter sur le reste, même si c’est pour conforter les choix)

Boitier de vitesse dans le moyeu et boitier automatique

Le boitier de vitesse intégré au moyeu c’est une révolution depuis que j’ai testé il y a quelques années sur un vélo classique. Pas de dérailleurs, moins d’entretien, possibilité de changer de vitesse à l’arrêt, etc. Certains rétrogradent même automatiquement quand le vélo s’arrête pour redémarrer plus facilement. Les Nuvinci ont aussi un système progressif avec un nombre de vitesse infini, sans paliers prédéterminés.

Le seul défaut est dans le poids du boitier mais ce n’est pas forcément le critère le plus important sur un vélo électrique.

La dernière fois j’avais vu passer les Nuvinci Harmony. En plus du système progressif, ils savent choisir automatiquement le rapport idéal en fonction de la vitesse de pédalage choisie. Si on va moins vite parce qu’on force, le rapport d’allège. Si on va trop vite parce que c’est trop facile, le rapport se durcit.

Outre le confort d’être en permanence au bon rapport, c’est sacrément utile en VAE où le moteur compense partiellement les mauvais rapports. Les boitiers automatiques permettent de moins le faire forcer inutilement, et donc d’avoir plus d’autonomie.

Depuis Shimano a aussi couplé les boitiers Alfine Di2 avec ses moteurs pour lui aussi faire des passages de vitesse automatique. Nuvinci a aussi étendu son système pour le coupler avec le moteur Bosh et la console du VAE.

Outre le poids et le prix (oui, c’est cher), on m’a pointé que le boitier ne peut évidemment pas anticiper les montées. Il faut donc quelques tours de pédales un peu moins agréables au début des montées. Est-ce vraiment gênant à l’usage ?

L’idée me plait, d’autant que je veux passer à l’automatique aussi sur la voiture, mais je ne sais pas si ça apporte un vrai confort ou si c’est gadget.

Transmission à courroie

J’ai appris ce soir qu’il existait des vélos avec une transmission par courroie plutôt que par chaîne. Une fois le dérailleur écarté pour un boitier dans le moyeu, c’est vrai qu’on peut imaginer utiliser autre chose qu’une chaîne bien lourde.

Maintenant je ne sais pas si le gain de poids est réel, s’il y a de nouveaux défauts pour contrebalancer, ou si c’est plus cher (pour l’instant je ne le vois que sur quelques modèles haut de gamme, mais c’est peut être juste que l’innovation est récente).

Photo d’entête sous licence CC BY-NC-SA par Rob Chandanais
28 septembre 2017
On organise le dumping social

Liberté des entreprises d’un côté, chantage à l’emploi de l’autre. En réalité c’est plus pernicieux que ça.

La convention collective c’était aussi s’assurer que toutes les entreprises d’un secteur jouent avec un même socle de règles et de contraintes.

Avec des accords d’entreprise qui peuvent revenir sur ces accords de branche, on fait sauter ce verrou : L’entreprise à côté est plus concurrentielle parce qu’elle a entaillé certaines protections sociales ? Il va falloir qu’on fasse pareil si on veut reprendre le marché, et même aller un peu plus loin, sinon c’est le plan social qui nous pend au nez à long terme.

C’est la course au moins disant. Pas le choix. Si l’autre le fait et que le climat économique n’est pas encourageant, il faudra s’y mettre aussi.

Ça ne vous rappelle rien ? L’Irlande avec son impôt sur les sociétés moitié plus faible que les voisins, le Luxembourg qui offre des conditions fiscales ridicules pour attirer les multinationales chez lui, les incitations fiscales pour les plus riches « parce que sinon ils iront ailleurs »… On reproduit ça, en interne, avec les conditions de travail des salariés.

En réalité on organise le dumping social interne sur le marché français.
Rien de moins.

Et à ce jeu là il n’y a aucun gain pour l’emploi. Il s’agit uniquement de savoir quelle entreprise gagne la commande, pas d’en prendre de nouvelles.

Pendant ce temps, on perd les protections sociales. Ça peut apporter un peu de concurrence internationale à court terme, mais pas au point de concurrencer les pays à bas coût, et ça se fait au prix de la santé des salariés.

26 septembre 2017
On instaure littéralement un crime de pensée

« Aux seules fin de prévenir la commission d’actes de terrorisme, toute personne à l’égard de laquelle il existe des raisons sérieuses de penser que son comportement constitue une menace d’une particulière gravité pour la sécurité et l’ordre publics et qui soit entre en relation de manière habituelle avec des personnes ou des organisations incitant, facilitant ou participant à des actes de terrorisme, soit soutient, diffuse ou adhère à des thèses incitant à la commission d’actes de terrorisme ou faisant l’apologie de tels actes peut se voir prescrire par le ministre de l’intérieur les obligations prévues au présent chapitre. »

La phrase est pleine d’alternatives alors je vais clarifier : Il suffit d’adhérer à des thèses parlant positivement d’actes de terrorisme. Adhérer à des thèses. Pas besoin d’actes ni d’intention future, pas même d’apologie publique.

On instaure littéralement un crime de pensée.

Je ne sais pas si tout le monde se rend compte qu’on est en train de franchir gravement la ligne jaune.

Les petits malins diront qu’il faut en plus qu’il existe des raisons sérieuses de penser que le comportement constitue une menace d’une particulière gravité. Cela dit on a vu avec les assignations à résidence passées que les juges étaient assez ouvert à l’arbitraire total de la formule « des raisons sérieuses de penser ». D’autant que quelqu’un qui adhère à des thèses qui peuvent inciter à la commission d’actes de terrorisme, ça laisse forcément des raisons sérieuses de penser, vous ne trouvez pas ? C’est même la raison d’être de cet article.

À force de vouloir arrêter le crime avant qu’il ne devienne réalité, on criminalise le risque, l’opinion et la proximité relationnelle. Tout ça me fait peur, parce qu’une fois cette ligne franchie, je ne vois pas où on va s’arrêter.

25 septembre 2017
On nous prend pour des imbéciles

Marlène Schiappa, au 7–9 de France Inter ce matin : « fait confiance aux partenaires sociaux pour ne pas remettre en cause les congés maternités dans les entreprises ».

Le gouvernement autorise désormais les entreprises à négocier des durées et conditions de congés maternités plus défavorables que les conventions collectives.

Dire ensuite qu’on fait confiance aux partenaires pour ne pas s’en servir, c’est de la pure mauvaise foi. La seule finalité possible de cette ouverture aux accords défavorables sur le sujet, c’est bien d’espérer que certaines entreprises en profiteront, sinon autant ne pas la mettre en place.

Bref… on nous prend pour des imbéciles.

D’aucuns me diront que ça permet aussi certaines avancées positives pour les femmes enceintes. C’est vrai, mais il n’y avait pour cela nulle besoin d’autoriser des conditions plus défavorables.

D’ailleurs ça se poursuit ensuite

C’était une promesse de campagne, le congé maternité unique se met en place comme l’a rappelé ce matin @MarleneSchiappa pic.twitter.com/qjvWqZcfAq

— Team Macron (@TeamMacronPR) 25 septembre 2017

On vient d’ouvrir la possibilité d’accords au niveau de l’entreprise, donc par définition d’avoir des conditions différentes partout. Et en réaction à cette nouvelle notre secrétaire d’État nous annonce qu’ils sont en train d’homogénéiser les conditions des congés maternité.

Oui messieurs-dames, parce que plus c’est gros plus ça passe. L’important est ce qu’on dit, même si c’est en décalage total avec les faits, et qu’ils le savent très bien.

La communication passe largement devant l’honnêteté intellectuelle.

25 septembre 2017
Les petits utilitaires : 1– Le gestionnaire de mots de passe
Il y a toute une série de petits utilitaires indispensables avec lesquels je ne suis pas satisfait. Je me dis qu’en mettant ici mon usage, peut-être que ça ouvrira des portes.

Bref, j’aimerais un logiciel pour gérer mes mots de passe et les stocker de façon sécurisée.
- Je veux y avoir accès aussi bien sur Mac, que sur Linux et sur mon mobile Android, y compris hors-ligne. Ce serait top s’il y avait un client web mais ce n’est pas indispensable.
- Le stockage et l’accès doivent être sécurisées. Rien ne doit être accessible sans mot de passe maître, et ce dernier ne doit être stocké nul part.
- L’app mobile doit pouvoir avoir un verrouillage soft (via un pin, un schéma ou une empreinte digitale) quand le téléphone passe en veille (ou à défaut quand je bascule sur une autre app).
- Tous les clients (app mobile, desktop, navigateur) doivent de reverrouiller au bout d’un certain temps d’activité et nécessiter la saisie du mot de passe maître pour être réouverts.
- Je dois avoir une extension du navigateur pour auto-compléter les formulaires de login, autant sur desktop que sur mobile. Idéalement l’auto-complétion n’injecte pas plein de trucs automatiquement dans chaque page web et n’agit que sur ma demande via un bouton dans la barre d’outil.
- La même extension du navigateur doit savoir créer une entrée dans les mots de passe enregistrés à partir d’un formulaire de login sur une page web.
- Il existe un moyen simple et rapide de faire une recherche dans la base de mots de passe.
- L’outil embarque un générateur de mots de passe.
- Ça serait top de pouvoir partager des mots de passe, en lecture et/ou en écriture, à une personne ou à un groupe.
Parce que je suis geek :
- Il existe un accès en ligne de commande ou un moyen de bidouiller l’ensemble
- Il est possible de sauvegarder facilement et automatiquement ma base de mots de passe quelque part (que tout ne repose pas sur un prestataire)
- Le fonctionnement (API, chiffrement) est documenté, idéalement open source
- Ça serait top que ça gère aussi directement l’agent pour mes clefs SSH
Dashlane

J’ai exploré par mal de choses. Pour l’instant Dashlane coche la plupart des cases mais l’extension navigateur me gêne. Il s’agit d’une coquille vide qui s’occupe des auto-completion et qui interagit avec l’application Dashlane native sur le système.

Je trouvais le système assez smart mais en réalité non seulement je ne vois pas ce que ça m’apporte mais je vois même en quoi ça peut diminuer légèrement la sécurité.

Dans tous les cas, l’injection de scripts dans toutes les pages à formulaire est franchement gênante. Firefox me signalait régulièrement des ralentissement dû à Dashlane mais en plus l’UX de gestion de l’auto-completion me gêne plus souvent qu’elle me facilite la vie, surtout sur un petit écran mobile (sans compter que sur mobile ça m’oblige à utiliser Chrome plutôt que Firefox).

Enfin, ça veut dire faire confiance. J’ai confiance dans la crypto de base mais quand j’ai posé des questions sur les interactions entre le navigateur et l’application native j’ai eu des demies réponses sans détails techniques. J’ai l’impression que cette partie de l’architecture repose plutôt sur l’obscurité. Non seulement ça me gêne, mais je doute encore plus de voir arriver autre chose que ce que l’équipe a prévu et a le temps de faire.

Bref, beaucoup de bons points mais j’ai peur que ça ne coche jamais les cases restantes.

Enpass

Ça couvre beaucoup moins de choses mais j’aime bien l’idée de fichiers qu’on peut synchroniser sans serveur via un disque en ligne quelconque genre Dropbox ou Google Drive. Ça me permet aussi de gérer les sauvegardes tout en me rassurant sur la pérennité.

Passbolt

J’en ai encore moins de cases cochées mais là j’ai de l’opensource, donc quitte à bidouiller ça peut être que ça peut faire une base de départ ?

Là où je suis étonné c’est de ne pas voir plus de projets open source que ça, et pas plus aboutis. Le cœur logiciel est pourtant assez facilement accessible pour deux ou trois dev motivés et le besoin est général au moins au niveau des geeks.
12 septembre 2017
On vient de tuer le CDD (explications)

Rien de moins. Ou est-ce le CDI qu’on a tué ? Je ne sais pas bien…

Petit calcul pour une entreprise de plus de 11 salariés

Si vous prenez quelqu’un en CDI pour le licencier arbitrairement quand vous voulez (illégalement donc) vous risquez de payer jusqu’à 1 mois de salaire par année d’ancienneté. Tout compris. En gros c’est une prime de 8,3% de salaire pour compenser l’abus de licenciement.

Si vous prenez quelqu’un en CDD et que le contrat va légalement jusqu’à sa fin, vous devez lui verser en fin de période une prime de précarité de 10% de son salaire sur la période.

À la place de l’employeur vous feriez quoi ?

* * *

Oui, ce petit calcul n’est vrai que si on licencie au bout d’un an ou deux ans pile. Ça reste intéressant dans les deux à trois mois avant la date anniversaire, beaucoup moins sinon.

Maintenant, considérant que les deux premiers mois (au moins) sont couverts par la période d’essai et son renouvellement, et qu’en échange vous n’avez aucune contrainte de renouvellement, de durée fixe, de motivation à donner pour employer en CDD… et que cette prime couvre tout ce qui peut se passer : Au pire vous licenciez plus tôt que prévu, sans être tenu à quoi que ce soit.

J’ai aussi pris le cas marginal. Dans la réalité tous les salariés n’oseront pas ou n’auront pas la force d’aller aux Prud’hommes. Tous n’obtiendront pas non plus le montant maximum, surtout s’ils ne sont pas au maximum d’ancienneté de la case qui s’applique à eux, ou si l’employeur arrive à motiver un prétexte qui atténue l’arbitraire du licenciement. La moyenne réelle sera certainement bien en dessous de ce maximum, qui resterait toutefois intéressant pour l’employeur.

Sérieusement, sauf pour des contrats courts, autant prendre un CDI et licencier sans cause réelle ni sérieuse.

On vient de tuer le CDD… et le CDI par la même occasion.

4 septembre 2017
Et si on imprimait des photos ?

Une modèle veut imprimer deux des photos que je lui ai proposé – une noir et blanc et une couleur. Pour l’instant je me suis contenté de viser l’écran et je crains un peu.

D’une part je crains que mes traitements ne soient pas assez qualitatifs et que la définition des photos soit trop pauvres. Auriez-vous des recommandations sur les choses à vérifier et pièges à éviter lors d’un passage écran -> papier ?

Une fois le fichier à peu près prêt, auriez-vous des introductions sur les types de papier et types d’impressions, ce que ça veut dire, ce qu’il faut en penser, ou une quelconque autre recommandation ?

Je prends tout, même le plus basique. Considérez moi plus que totalement ignorant sur le sujet et j’aimerais faire bien.

3 septembre 2017
Demain ce sera backup day !
Crashplan arrête les offres pour particuliers. C’est bien dommage parce que je vais devoir trouver un remplaçant. Au niveau de la famille j’ai :
- Deux laptop mac, essentiellement pour les documents (pas la config)
- Un NAS Linux avec plus de 1 To mais des documents qui bougent peu
- Un serveur Linux avec des services web (bdd, données, config…)
- Peut-être un ou deux PC Windows pour les grands parents
Au total il doit y avoir de l’ordre de 1.5 à 2 To (photos, vidéos, archives diverses). J’aimerais pouvoir accéder aux anciennes versions sur de longues périodes mais il y a globalement peu de modifications.

À priori je cherche plutôt un démon qui surveille les modifications disque. Une exploration quotidienne ne sera ni adaptée pour les laptops (allumés par épisodes, jamais la nuit ou hors activité) ni pour le NAS (le disque lent dans un boitier sans ventillateurs ne sont adaptés à une exploration de plus de 1 To ni côté performance ni côté chaleur)

Il faut aussi probablement que le système accepte des comptes séparés (pour que les utilisateurs d’un poste n’aient pas forcément accès aux autres) ou au moins un compte administrateur qui verrouille l’accès aux fichiers sauvegardés en ligne.

Qui saurait me conseiller un set-up ?

J’aimerais éviter toutes les solutions bricolées qu’il faut surveiller régulièrement ou qui nécessitent beaucoup de boulot pour récupérer un petit fichier suite à une fausse manip, les scripts à maintenir à la main, etc.
22 août 2017