Carnet de notes

Auteur/autrice : Éric

  • [Photo] Vassi­lis Tangou­lis

    C’est présenté comme simple­ment des temps de pause longs, mais certaines sont juste magiques… À décou­vrir dans la gale­rie de Vassi­lis Tangou­lis.

    soul_IIIsec

  • [Vidéo] Public key cryp­to­gra­phy – Diffie-Hell­man Key Exchange

    J’ai déjà vu l’ex­pli­ca­tion des pein­tures, mais là on va plus loin, et l’ex­pli­ca­tion de Diffie-Hell­man est juste excel­lente.

  • [Photo] dragon tamer

    J’adore ces gens qui arrivent à faire de superbes auto-portraits.

    Moins graphique, sur une démarche qui me parle beau­coup dans ses noirs et blancs mais que je n’ose pas encore, Hélène Lu conti­nue encore son chemin quoti­dien.

  • [Lecture] Most soft­ware already has a “golden key” back­door: the system update

    Réflexions à partir d’un article sur Ars Tech­nica

    Q: What does almost every piece of soft­ware with an update mecha­nism, inclu­ding every popu­lar opera­ting system, have in common?

    A: Secure golden keys, cryp­to­gra­phic single-points-of-failure which can be used to enable total system compro­mise via targe­ted mali­cious soft­ware updates.

    Mine de rien, la plupart de nos appa­reils modernes ont un système de mise à jour, souvent auto­ma­tique. Celui qui détient les clefs peut injec­ter ce qu’il veut, ou simple­ment attendre que vous le fassiez vous-même en croyant mettre à jour.

    On parle de Google, Samsung, Apple, Nokia, Micro­soft et les autres. Des gens parfois recom­man­dables, toujours avec leurs propres inté­rêts.

    On parle aussi des États qui, offi­ciel­le­ment ou non, auraient pu avoir accès à ces clefs. Main­te­nant qu’on connait un peu PRISM et l’éten­due des griffes USA, et l’en­vie de la plupart des pays de les imiter, par la force ou par la loi, ce n’est pas rien.

    On parle ensuite de tous les indi­vi­dus qui ont pu avoir accès à ces clefs et les faire fuiter, volon­tai­re­ment ou non.

    This problem exists in almost every update system in wide use today. Even my favo­rite opera­ting system, Debian, has this problem. If you use Debian or a Debian deri­va­tive like Ubuntu, you can see how many single points of failure you have in your update authen­ti­city mecha­nism with this command:

    sudo apt-key list | grep pub | wc -l

    For the compu­ter I’m writing this on, the answer is nine. When I run the apt-get update command, anyone with any one of those nine keys who is sitting between me and any of the webser­vers I retrieve updates from could send me mali­cious soft­ware and I will run it as root.

    Et si je fais rela­ti­ve­ment confiance à la PKI de Apple, Google et Micro­soft, c’est bien moins vrai pour la plupart des indi­vi­dus isolés derrière les logi­ciels open source.

    Person­nel­le­ment mon Debian perso fait confiance à 14 clefs, certaines proba­ble­ment mal sécu­ri­sées, d’autres parta­gées par plusieurs acteurs, et proba­ble­ment toutes sans le niveau de sécu­rité d’un Apple face aux incur­sions des États.

    La sécu­rité c’est défi­ni­ti­ve­ment trop compliqué pour le monde réel dès qu’il s’agit de se proté­ger contre les très gros acteurs.

    Je ne suis même pas certain que ces très gros acteurs le puissent entre eux. La France utilise des postes sous Micro­soft Windows pour l’ar­mée. Même les postes sous Debian, à ma connais­sance la France n’a pas son armée de déve­lop­peur pour faire une revue de tout le code source et le compi­ler eux-même (et même là, on tombe sous le problème du compi­la­teur qui a lui-même une porte déro­bée qu’il repro­duit dans ce qu’il compile, ça s’est déjà vu dans l’his­toire). En cas de vrai conflit, nous sommes tota­le­ment à genoux.

  • [Photo] Trans­pa­rence

    Je cherche ce corps brut mais en vision indi­recte. Ce peut être un miroir ou une silhouette mais j’ai l’im­pres­sion de recréer des lieux communs. La trans­pa­rence me semble permettre plus de choses mais je tâtonne encore.

    DSC_7435

    Cette photo semble quel­conque mais elle me parle sur ce qu’elle montre. La cour­bure du dos créé le corps sans pour autant reti­rer la cara­pace que forment les vête­ment.

    La séance complète

  • Quota­tion marks in Europe

    Pour les typo­geeks d’entre vous

  • [Photo] Ambiance

    Le noir et blanc est un choix dès le départ mais parfois j’hé­site à garder la couleur lors du trai­te­ment. Systé­ma­tique­ment, le temps me fait garder le noir et blanc. Quelques excep­tions, où la couleur est un élément essen­tiel. Celle-ci en fera peut-être partie.

    DSC_7741

    Je me demande si ce n’est pas aussi par faci­lité, pour rester dans une zone qui pardonne plus certaines erreurs. Ou par habi­tude.

    La séance complète

  • [Lecture] Let’s Make Work Better.

    We believe that work can be desi­gned to actually make people happier, heal­thier, and more produc­tive. This is possible when orga­ni­za­tions put their employees first, trust them and treat them like owners, and use data to drive people deci­sions. Research tells us that orga­ni­za­tions are more success­ful when they invest in people prac­tices like these.

    re:Work, Prac­tices, research, and ideas from Google and other orga­ni­za­tions to put people first.

    Je n’ai qu’à peine survolé. Il y a bien entendu des lieux communs qu’il n’est en rien facile de mettre en pratique, mais j’y ai vu des rappels ou des choses inté­res­santes.

    Par exemple sur les équipes :

    We lear­ned that there are five key dyna­mics that set success­ful teams apart from other teams at Google:

    1. Psycho­lo­gi­cal safety: Can we take risks on this team without feeling inse­cure or embar­ras­sed?
    2. Depen­da­bi­lity: Can we count on each other to do high quality work on time?
    3. Struc­ture & clarity: Are goals, roles, and execu­tion plans on our team clear?
    4. Meaning of work: Are we working on some­thing that is perso­nally impor­tant for each of us?
    5. Impact of work: Do we funda­men­tally believe that the work we’re doing matters?

  • [Photo] Lumière

    J’ai toutes les peines du monde à gérer la pénombre. Le papier a cet avan­tage qu’il sera vu par tous de la même façon. Ici chaque écran, même cali­bré, donnera un rendu très diffé­rent suivant les condi­tions ambiante.

    DSC_7753

    Je suis rési­gné sur cette photo. Je n’ai pas deux fois le même ressenti. Lumi­no­sité de l’écran ou de la pièce, même si j’ar­rive à cali­brer et repro­duire les condi­tions, elles ne seront jamais iden­tiques chez vous. Si vous voulez voir ce que je cherche, il ne vous restera plus qu’à venir chez moi pour que je vous montre.

    La séance complète

  • Archaïsme des lois du travail

    On oppose une vision réfor­ma­trice du XXIe siècle à l’ar­chaïsme du XXe et du XIXe. J’ai­me­rai bien qu’il en soit si simple.

    Le XIXe c’est l’in­ter­dic­tion du travail des jeunes enfants et la limi­ta­tion horaire pour les plus grands. C’est le droit de grève, l’in­dem­ni­sa­tion et la respon­sa­bi­lité patro­nale des acci­dents du travail. C’est l’ins­pec­tion du travail et la liberté syndi­cale – rien que ça.

    Le XXe c’est la jour­née de repos hebdo­ma­daire obli­ga­toire, les congés payés, la sécu­rité sociale, des ampli­tudes raison­nables de travail, les allo­ca­tions fami­liales, la consti­tu­tion­na­li­sa­tion du droit de grève…

    S’il y a bien deux siècles réfor­ma­teurs au niveau du droit du travail ce sont bien ces deux là. Tout a été créé, tout ce qui nous semble non seule­ment évident mais aussi fonda­men­tal.

    À l’époque on luttait contre le conser­va­tisme et l’ar­chaïsme libé­ral, contre ceux qui parlaient d’as­sis­ta­nat, de liberté d’en­tre­prendre bafouée, de règles inap­pli­cables.

    Aujourd’­hui, comme à l’avant-guerre, les libé­raux reviennent avec les mêmes argu­ments, pour reve­nir à l’ex­ploi­ta­tion des masses via le travail comme au XIXe siècle, juste­ment.

    Quand on veut permettre de dépas­ser les 11h par jour de travail, on souhaite ni plus ni moins retour­ner aux règles d’avant 1900. Rien que ça. L’ar­chaïsme n’est pas où l’on croit.

    Media­part a aussi un bel article sur ce sujet.