Carnet de notes

Liens

  • Fuku­shima: Le début de la catas­trophe, c’est main­te­nant

    Personne n’a envie de parler de ça. Il y a eu indi­ges­tion, du n’im­porte quoi de tous les côtés, mais il est impor­tant de rappe­ler que l’ac­ci­dent de Fuku­shima n’est pas encore derrière nous.

    Ça s’ap­pelle Fuku­shima: Le début de la catas­trophe, c’est main­te­nant. C’est comme toujours à lire avec un sens critique et en véri­fiant les chiffres donnés sur plusieurs sources, mais c’est proba­ble­ment une lecture néces­saire.

    Pensez bien : Si tout était résolu, on en enten­drait parler régu­liè­re­ment à chaque fois qu’on aborde la ques­tion du nucléaire. Il est facile de jeter la pierre au gouver­ne­ment japo­nais mais il y a des compro­mis à faire et un équi­libre à trou­ver entre les risques sani­taires et les mesures à prendre. Dépla­cer la moitié de l’île n’est pas une solu­tion utile ou propor­tion­née. Ça ne veut pas dire pour autant que la situa­tion est bonne ou même accep­table.

  • What’s Your Geek Number? My Points System To Rate Soft­ware Engi­neers (without a full tech­ni­cal inter­view)

    Recru­ter est diffi­cile. Les candi­dats que je reçois sont parfois surpris du fait que je fais passer peu de tests tech­niques. J’ai appris à m’en méfier et que la réponse à des ques­tions simples est beau­coup plus signi­fi­ca­tive. La curio­sité, la connais­sance de l’état de l’art, l’état d’es­prit, sont fina­le­ment beau­coup plus impor­tantes.

    Et derniè­re­ment je tombe sur « What’s Your Geek Number? My Points System To Rate Soft­ware Engi­neers (without a full tech­ni­cal inter­view) ». La première impres­sion est de dire que c’est quand même irréa­liste comme façon de faire, puis en regar­dant de plus près et en tentant de forma­li­ser mes critères subjec­tifs, je me rends compte qu’ils n’en sont pas si éloi­gnés que ça.

    J’ajoute d’autres choses sur l’état d’es­prit et l’in­té­gra­tion à l’équipe, mais fina­le­ment c’est peut être sur ce types de critères que je fais le premier filtre.

  • Sarkozy à la Concorde: Y’a quelqu’un?

    Vive la commu­ni­ca­tion ! Sarkozy à la Concorde : Y’a quelqu’un ?

    La commu­ni­ca­tion démon­tée : On nous annonce 150 000 personnes à la Concorde. Photos à l’ap­pui, c’est entre 25 et 30 000 au maxi­mum, soit 5 fois moins.

    Oh, l’exa­gé­ra­tion il en va dans toutes les mani­fes­ta­tions et parfois le ratio entre la police et les orga­ni­sa­teurs est de plus de 5, mais il est toujours appré­ciable de pouvoir faire une petite compa­rai­son avec la réalité et démon­ter les montages photos.

     

  • Coup de filet anti-isla­miste : la colère d’une famille humi­liée

    La vie des gens, leurs droits, leur liberté, sont utili­sés dans de simples visées élec­to­ra­listes.  La commu­ni­ca­tion du gouver­ne­ment passe au dessus des liber­tés civiles. Et comme on ne casse pas d’ome­lette sans casser d’oeuf, tant pis pour les musul­mans en ques­tions. C’est leur faute aussi, ils n’avaient qu’à être chré­tiens ou juifs comme les français de chez nous. non ?

    Coup de filet anti-isla­miste : la colère d’une famille humi­liée. Si ça peut sembler n’être rien, c’est de la trahi­son pure et simple du rôle des auto­ri­tés et de l’État.

  • Réfé­ren­dum en Islande : seconde torgnole à la finance mondiale

    On peut le juger irres­pon­sable, même si le cas est loin d’être celui de la Grèce (il s’agit de la dette d’un établis­se­ment bancaire privé et pas celle de l’État), je ne peux m’em­pê­cher de repen­ser à chaque fois à la maxime « ils ne savaient pas que c’était impos­sible, ils l’ont fait ».

    Les pays pauvres sont complè­te­ment assujet­tis aux pays riches par la dette. Ces derniers sont complè­te­ment assujet­tis aux banques et orga­nismes de crédit, qui eux même sont finan­cés par de la monnaie virtuelle ou des aides des États.

    Au final tout le monde est écrasé par des inté­rêts et dettes à rembour­ser, sur une part fran­che­ment impor­tante du budget. Sans ces dettes nous aurions bien moins de problèmes. Au point où nous en sommes nous savons que nous n’en sorti­rons pas avant la prochaine révo­lu­tion : Il faudra plus de temps pour rembour­ser tota­le­ment les dettes que n’a d’an­cien­neté aucun de nos systèmes poli­tiques.

    Au final ils ne sont que quelques uns à en profi­ter. On peut les appe­ler les banquiers, mais le terme est impropre. Disons qu’ils sont les déten­teurs du capi­tal, souvent rentiers par héri­tage.

    Et si nous envi­sa­gions les solu­tions impos­sibles ? Elles sont proba­ble­ment une mauvaise idée, mais elles valent le coup d’être mises sur la table. Le risque n’est peu être pas si grand : Réfé­ren­dum en Islande : seconde torgnole à la finance mondiale

  • Fraude, para­dis fiscaux… guerre des mondes au Sénat

    Parler fraude, para­dis fiscaux… guerre des mondes au Sénat, c’est sur Media­part (donc payant, mais encore une fois je vous incite à vous abon­ner, ce média vaut 10 fois TF1, Le Monde, Le Figaro, Libé­ra­tion et France Tele­vi­sion réunis).

    Pour un petit avant-gout, Bloom­berg a une superbe anima­tion sur la circu­la­tion finan­cière des multi­na­tio­nales améri­caines. L’exemple est avec Google mais Yahoo! utilise un système assez proche.

  • Properly Salting Pass­words, The Case Against Pepper

    Bon, tout le monde devrait le savoir, même si mon expé­rience récente me montre qu’un rappel n’est pas inutile :

    • On ne stocke pas les mots de passe en clair, on les crypte
    • On n’uti­lise pas un chif­fre­ment réver­sible mais une fonc­tion de hachage
    • Un simple hachage ne suffit pas, il faut y ajou­ter un salage
    • Le salage doit être diffé­rent pour chaque mot de passe
    • L’al­go­rithme utilisé doit être lent, comme blow­fish par exemple

    Croyez moi, j’ai encore décou­vert il y a peu que non seule­ment ce n’était pas évident pour tout le monde mais que certains refusent de consi­dé­rer un simple stockage sous forme md5 sans salage comme une erreur et un problème poten­tiel de sécu­rité.

    Mais plus que tout ça, pour moi la règle de base c’est « ne jouez pas avec la sécu­rité ». Si vous n’êtes pas un expert dans la ques­tion : ne créez rien et n’im­plé­men­tez rien vous-même, utili­sez des biblio­thèques de codes toutes faites.

    Et par pitié, ne tentez pas d’amé­lio­rer les choses

    En jouant sur l’in­tui­tion, vous avez toutes les chances d’ar­ri­ver à un résul­tat opposé à celui que vous espé­rez.

    Dans le texte du jour à lire, Properly Salting Pass­words, The Case Against Pepper, nous avons un superbe exemple que je tente d’ex­pliquer en vain à chaque fois qu’on lève le sujet :

    Pour « amélio­rer » la sécu­rité, en plus du salage géré par l’al­go­rithme, propre à chaque mot de passe, certains cherchent à ajou­ter un second salage, global à l’ap­pli­ca­tion. L’idée est que le salage présent à côté du mot de passe dans la base de données ne suffit pas, il faudrait en plus connaitre le salage global utilisé par l’ap­pli­ca­tif, et donc profi­ter d’une faille de sécu­rité plus impor­tante afin d’ex­ploi­ter quoi que ce soit.

    L’idée semble bonne, intui­ti­ve­ment. Malheu­reu­se­ment vous n’êtes proba­ble­ment pas un expert sur l’al­go­rithme blow­fish. Vous ne *savez* pas si ajou­ter le même salage en début ou en fin du mot de passe avant de l’en­voyer à blow­fish ne risque pas de réduire la sécu­rité du résul­tat. Oh, vous avez proba­ble­ment l’in­tui­tion que ce n’est pas le cas, voire vous en êtes certains, mais aucune docu­men­ta­tion de sécu­rité recon­nue comme étant d’au­to­rité ne le précise expli­ci­te­ment.

    Vous en êtes à l’in­tui­tion et vous avez une chance sur deux de vous plan­ter. Au final, est-ce vrai­ment un bon pari ? Ça pour­rait l’être si l’état de l’art du stockage des mots de passe était fran­che­ment insuf­fi­sant et s’il n’y avait aucune méthode stan­dard pour l’amé­lio­rer. Ici il est probable que vous ne soyez pas encore à l’état de l’art (n’uti­li­se­riez-vous pas sha1 ou md5 ?) et cet état de l’art est proba­ble­ment suffi­sant si vous utili­sez suffi­sam­ment d’ité­ra­tions.

    Mais plus que cette ques­tion du double salage, qui est une mauvaise idée pour ce que vous et moi en savons, c’est toute l’im­plé­men­ta­tion que vous ne devriez pas toucher. Utili­sez une biblio­thèque de code éprou­vée, ou mieux : une fonc­tion prévue pour. En PHP nous avons « crypt », qui avec avec l’al­go­rithme blow­fish et suffi­sam­ment d’ité­ra­tions, rendra votre stockage des mots de passe bien plus solide que tout le reste de votre appli­ca­tion.

  • Le logi­ciel de télé­pho­nie mobile qui défie le contrôle des États

    On avance lente­ment, lente­ment. Côté infor­ma­tique cela fait des années que tout devrait être chif­fré et décen­tra­lisé. On sait faire, il ne reste qu’à passer quelques limi­ta­tions admi­nis­tra­tives désuètes et mettre un peu de promo­tion.

    Serval est inté­res­sant mais fina­le­ment il y aurait plus effi­cace à mettre en œuvre à court terme : un chif­frage de bout en bout de la commu­ni­ca­tion.

    Mail, messa­ge­rie, télé­pho­ne… plus rien ne devrait être sans chif­frage. Les risques de dérive on les connait et on les a subit maintes et maintes fois. Les « terro­ristes » eux, savent déjà faire, ce n’est pas le problème.

    Le logi­ciel de télé­pho­nie mobile qui défie le contrôle des États

  • La direc­trice de cabi­net de Frédé­ric Mitter­rand à la FNAC : conflit d’in­té­rêts ?

    Le 12 mars 2012 était promul­guée une loi qui inter­dit de revendre de façon régu­lière des billets de spec­tacles sans y être auto­risé par les produc­teurs ou orga­ni­sa­teurs. Un mois plus tard, la direc­trice de cabi­net de Frédé­ric Mitter­rand quit­tait le minis­tère pour prendre la direc­tion de France Billet au sein de la FNAC et du groupe PPR.

    Fran­che­ment la ques­tion n’est pas que ce soit lié ou non. Le problème c’est que ça casse toute notion de confiance dans les insti­tu­tions. Tant qu’on n’aura pas plus de trans­pa­rence, il est simple­ment impos­sible d’ac­cep­ter ce genre de faits.

    Dans la notion de conflit d’in­té­rêt le problème ce n’est pas que quelqu’un ait abusé de sa posi­tion, sinon c’est de l’abus de confiance, de la corrup­tion ou que sais-je encore. Il s’agit unique­ment d’avoir des inté­rêts diver­gents ou une situa­tion qui rend diffi­cile l’exer­cice d’un poste. Il m’est diffi­cile de dire si ce cas est inter­dit ou pas, mais il devrait l’être.

    La direc­trice de cabi­net de Frédé­ric Mitter­rand à la FNAC : conflit d’in­té­rêts ?

  • La protec­tion du droit d’au­teur, fossoyeur de la liberté d’ex­pres­sion ?

    Pour la deuxième année consé­cu­tive, la France est le seul pays d’Eu­rope, le seul pays occi­den­tal (avec l’Aus­tra­lie), où RSF consi­dère qu’il y a de graves problèmes de liberté sur Inter­net.

    La carte est éclai­rante. Si elle ne vous fait pas hurler, je ne peux plus rien faire.

    La protec­tion du droit d’au­teur, fossoyeur de la liberté d’ex­pres­sion ?