Sujets-libres.fr

Informatique, logiciels libres, internet, humeurs et… le reste !

Limites des réseaux sociaux

Rédigé par -Fred- / 21 septembre 2016 / Aucun commentaire

Les réseaux sociaux tels qu'on les connaît aujourd'hui ont vraiment modifié la manière de communiquer sur Internet. On pourrait aller jusqu'à dire qu'il y a un avant et un après. A une époque pas si lointaine encore, si l'on voulait communiquer sur Internet (et le web en particulier), on se construisait son propre site et on pouvait ensuite l'alimenter. Chaque site était différent et potentiellement géré par des acteurs différents eux aussi. Cette manière de faire fonctionne même si chacun propose des contenus dans son coin car des liens se tissent entre les pages. C'est à mon sens quelque chose de très important en fait car le système n'est pas centralisé.

Ils (les réseaux sociaux) fonctionnent sur le web mais pour autant, leur fonctionnement est un peu différent. Il faut les voir comme une couche intermédiaire entre l'utilisateur et le web. Lorsqu'il modifie sa page ou ajoute du contenu dans son profil de réseau social, l'utilisateur ne poste pas tant sur le web que sur la plateforme du réseau social qui lui est présent sur le web. La nuance est importante car bien que ce soit les utilisateurs qui apportent leur contenus au réseau social, c'est bien le réseau social lui même qui organise ces données ensuite et les met en valeur. Ces quelques sites sont tellement utilisés qu'ils sont à juste titre considérés comme des points de centralisation sur Internet. Si j'osais la comparaison, on pourrait dire qu'on est passé d'une démarche "artisanale" à une démarche "industrielle".

A l'heure où les blogs et autres page perso sont souvent remplacés par des simples pages facebook ou des comptes twitter, l'information y est donc concentrée. Cela va même plus loin car ces réseaux deviennent les canaux de communication principaux de bon nombre de communicants. Du côté de ceux qui recherchent l'information, ces médias deviennent vraiment incontournables et c'est ainsi que l'on rentre dans un cercle vicieux.

Dans leur recherche de confort, d'efficacité et de simplicité d'usage, bon nombre de communicants ont délégué à quelques entreprises la gestion des outils sur lesquels il s'appuient pour communiquer. On le constate vraiment à différents niveaux, depuis l'internaute lambda jusqu'aux politiques en passant par les journalistes. Globalement, ça peut concerner tout ceux ayant à un moment donné besoin de communiquer.

Ces plateformes centralisées posent plusieurs problèmes dont l'un concerne la censure. En fait, même si ce n'est pas leur but, les plateformes de réseaux sociaux doivent être à même de prendre des mesures permettant de retirer des contenus qu'ils hébergent lorsque ces contenus sont signalés comme posant un problème. Les raisons peuvent être multiples, violation de copyright, contenus violents, racistes, terroristes, etc ... Devant la masse d'informations gérées par ces sites, des procédures sont mises en place afin qu'il ne soit pas nécessaire d'engager une armée de modérateurs. Tout le monde peut ainsi remonter au réseau social des contenus inapproprié à faire enlever. Le site en question peut alors agir en écartant les contenus et en suspendant le compte de celui qui les a postés.

Ce qui est grave avec ce système, c'est que le fond n'est pas analysé immédiatement. C'est le ou les signalements qui ont de l'importance car c'est ce qui motive la suppression de contenus ou la suspension de compte (quitte à y revenir ensuite mais le mal est déjà fait). Ce procédé permet, au même titre qu'un DDOS mais en plus simple, de nuire à la capacité de communication d'une personne ou d'un groupe sur Internet. Voilà pourquoi il est important de ne pas dépendre uniquement des réseaux sociaux pour gérer sa communication sur internet. A ceux qui veulent faire passer des informations, prévoyez un site, une mailling list ou tout autre moyen neutre vous permettant de communiquer normalement. Les réseaux sociaux ne devraient être qu'un moyen parmi d'autre de communiquer et si vous en dépendez, vous devriez considérer que cela pose un problème. Accessoirement, amener les discussions à se dérouler via des outils neutres, ça permet à des olibrius dans mon genre de suivre un peu mieux ce qui se passe et se dit en marge des actus et autres billets de blogs.

Malgré cela, même ceux qui ont conscience du problème (les médias notamment) ne peuvent pas grand chose si ceux qui les suivent ne changent pas eux aussi leurs habitudes. Dernièrement, c'est le site Reflets qui a fait les frais d'une suspension abusive de deux comptes twitter (la Fachosphère ayant signalé des contenus inapproprié sur ces comptes ; twitter a réagit, sans autre forme de procès). Ni une ni deux, les administrateurs du site Reflets ont eu la bonne réaction en proposant une mailling list permettant à tout ceux qui le souhaitaient de pouvoir communiquer entre eux. Deux jours plus tard, les comptes twitter ont été réactivés et la mailling list ne vit pas beaucoup (je ne connais pas l'activité des comptes twitter mais ce serait intéressant de comparer, à titre indicatif). Ça me fait dire qu'on a beau avoir conscience des limites du système, on est pas près d'abandonner notre petit confort...

Ce que je n'hébergerai pas sur mon serveur

Rédigé par -Fred- / 12 septembre 2016 / 6 commentaires

Souvent, les auto-hébergés (comme moi) partagent leurs dernières trouvailles et en règle générale tout ce qui peut présenter un intérêt pour d'autres dans ce domaine. J'ai donc trouvé amusant de prendre un peu le contre-pied de cette approche et de parler de ce que je n'hébergerai pas (ou plus) chez moi.

Un webmail

Il n'y a pas si longtemps, j'en utilisais. D'abord Roundcube durant quelques années, puis ensuite Rainloop pendant quelques mois. L'un et l'autre faisaient le boulot. J'ai toutefois repensé un peu mon utilisation du mail et je suis arrivé à la conclusion que je n'avais pas besoin d'accéder à mes mails en dehors de chez moi. J'en reçois finalement assez peu et je n'ai jamais d'urgence à y accéder dans l'heure. Du coup, je n'y accède aujourd'hui qu'avec un client lourd, uniquement depuis un seul poste fixe chez moi. Ça peut sembler être très limité vu comme ça mais c'est très bien.

J'ajoute qu'avant, même si je n'avais pas un besoin vital de lire mes mails, je me connectais quand même à mon webmail depuis un peu partout. On se rend compte après coup que l'on consulte machinalement sa boite et que ça devient presque un TOC. Quelque part, c'est aussi une façon de montrer qu'on est pas l'esclave de ses mails.

Un CMS lourd

J'utilisais Wordpress précédemment mais là, ce dont je parle est plus global.

Ces outils offrent beaucoup de fonctionnalités, trop en tout cas par rapport à ce dont j'ai vraiment besoin. La question de leur pertinence vis à vis de mes usages propres s'est posée. Clairement, mon blog perso tel que je l'envisage, c'est pour y mettre du texte, quelques photos et de temps à autre, un petite vidéo ou deux. Pas besoin d'une usine à gaz pour le faire (ici par exemple, PluXML fait l'affaire sans soucis).

De base, ces outils sont complexes et donc plus sujets aux failles de sécurité (j'en ai fait les frais sur Wordpress). Constater qu'un outil qui se met à jour automatiquement et qui n'utilise que deux ou trois plugins officiels est tout de même piraté, c'est peu rassurant...

Un gros CMS peut devenir vraiment lourd, notamment si on lui ajoute de nombreux plugins ou quelques plugins mal configurés. L'intérêt d'un gros CMS tient pour beaucoup dans les grosses possibilités de configuration et de personnalisation qu'ils offrent. Le revers de la médaille, c'est que ces outils deviennent ainsi potentiellement plus sujets aux bugs, aux failles et plus consommateurs de ressources, ce qui peut dans ce dernier cas entraîner des lenteurs de chargement (dans certains cas extrêmes, ça peut rendre un blog totalement impraticable).

Des services, sur un coup de tête

On peut être tenté d'installer tout et n'importe quoi sur sa machine de prod, le temps d'essayer et de se forger un avis. Aujourd'hui, je peux faire mes tests sur une machine virtuelle dédiée, c'est plus propre et ne risque pas de mettre en péril l'activité des machines de prod.

En fait, si je décide de supprimer quelque chose que j'ai installé sur un coup de tête sur une machine en prod, je ne suis jamais certain que je retrouverai son serveur dans l'état exact d'avant installation. D'une part, je ne me fais pas à moi même une confiance absolue. Je suis un humain câblé à peu près normalement et je fais des erreurs. Je peux donc involontairement mal désinstaller une application ou laisser traîner un reliquat de configuration de l'application en question. D'autre part, si par le jeu des dépendances, l'installation d'un paquet a entraîné l'installation de d'autres paquets, je vais très probablement ne pas penser à les virer eux aussi lorsque j'aurai décidé de désinstaller le premier paquet. Ce n'est pas très propre.

Pour les services qui restent installés, il faut déjà penser à tous les tenir à jour. Plus il y en a, plus ça fait du boulot et plus ça augmente la surface d'attaque sur mon système auto-hébergé. Réduire la voilure n'est pas déconnant en fait..

Une connaissance

L'auto-hébergement, c'est en principe héberger ses propres données chez soit, sur un système qui est accessible depuis n'importe où sur internet. On le fait sur une machine qui est rarement exploitée à fond. Il est donc possible de fournir, à titre gracieux par exemple, un peu d'espace disque et des ressources diverses sur cette machine à d'autres personnes.

C'est ce que j'ai fait une fois il y a un certain temps et que je ne referai plus, tant cela s'est mal passé. En effet, cela demande parfois du temps (dont on ne dispose pas toujours) et de la patience (dont on s'aperçois qu'elle s'amenuise au fur et à mesure des demandes incessantes de la personne).

Dans le cas où ça se passe bien (ce qui doit quand même se passer en temps normal), l'idée même d'héberger quelqu'un d'autre sur mon serveur a fini par me poser un problème de principe. L'auto-hébergé, c'est moi, uniquement moi, pas celui que j'héberge. Conceptuellement, il n'y a presque pas de différence pour une connaissance entre héberger ses données chez moi ou chez un hébergeur ayant pignon sur rue. Enfin si, il y en a une de taille. Je peux le faire ponctuellement mais il est très probable que je connaisse déjà avant celui que j'héberge (IRL ou par un autre biais). Ce n'est pas le cas pour le fournisseur d'hébergement classique qui lui ne verra qu'un client comme un autre, noyé dans la masse. Tout le problème est là. Je peux avoir un intérêt particulier à accéder aux données de celui que j'héberge et même si je ne le fais pas, j'en ai techniquement la possibilité. Une connaissance que j'héberge ne peux pas avoir la certitude que je n'abuse pas de mon pouvoir. Cela donc n'est pas sain.

Conclusion

Ce que j'énumère ici n'est pas exhaustif mais à travers ça, je montre un peu mon approche de l'auto-hébergement. Je cherche à ne pas oublier que même si j'ai commencé à le faire de manière artisanale, cela reste un système en production, sur lequel j'ai les pleins pouvoir et que je dois conserver en état de fonctionnement.

Affaiblir le chiffrement ?

Rédigé par -Fred- / 23 août 2016 / Aucun commentaire

Le chiffrement est devenu la cible prioritaire de tous les décideurs politiques dans de nombreux pays alors que dans le même temps, les spécialistes sont unanimes : il est impossible d'affaiblir le chiffrement au seul bénéfice des "Gentils".

Deux visions s'opposent : d'une part, celle des décideurs, qui sont convaincu qu'une solution intermédiaire est trouvable entre le chiffrement actuel et pas de chiffrement du tout. Ces mêmes décideurs qualifiant d'irresponsables, voir de dangereux, ceux qui n'iraient pas dans leur sens. D'autre part, celle des spécialistes qui affirment que cela est tout bonnement impossible.

Où se situe les problèmes principaux ?

Je ne suis pas du tout spécialiste du chiffrement mais pourtant, les problèmes me semblent tout à fait simples à comprendre.

Tout d'abord, introduire volontairement une faille dans un protocole ou une application, ça fait baisser le niveau global de sécurité. Même en sachant que tel protocole ou application dispose d'une porte dérobée contrôlée par X, rien ne permet de dire que Y n'en a pas connaissance et ne l'utilise pas sans que X ne soit au courant.

Aujourd'hui, bien que cela ne se fasse officiellement pas, des failles sont régulièrement trouvées. Cela signifie que certains les cherchent sans même savoir si elles existent. Or, introduire volontairement des faiblesses dans des protocoles ou des applications, ça revient à envoyer un message disant : " Il y a au moins une faille là, elle ne demande qu'à être retrouvée ... ".

Si les outils de chiffrement venaient à être volontairement castrés de la sorte, quelles solutions resterait-il notamment pour les états et dans une moindre mesure, pour les entreprises ? Je passe volontairement outre les particuliers (lambda, journalistes, activistes, avocats...) car la sécurité qu'apporte le vrai chiffrement, ce n'est visiblement pas pour eux dans la mesure où c'est dans cette catégorie que se cachent les "terroristes". Comment les décideurs vont garantir leur propre sécurité et celle de leurs fleurons industriels si seuls des outils moisis sont utilisables ? Va-t-on se tourner vers un droit au chiffrement à deux vitesses ?

Est-ce qu'une application qui introduit une porte dérobée peut encore être libre ? La question n'intéressera pas grand monde à part les libristes mais elle me semble centrale. Si la faille se trouve au niveau de l'application, elle doit théoriquement être trouvable en analysant le code source (je ne prétend pas que ce soit simple mais je signale juste que c'est théoriquement possible) et cette anomalie peut être alors corrigée. Seule solution alors, ne pas fournir les sources des outils de chiffrement mais du coup, c'est moins libre, faut l'avouer.

C'est quoi un gentil ?

Comme ça, et sans trop réfléchir, je dirais que c'est quelqu'un avec qui on est d'accord sur l'essentiel. Au niveau des états, il y a au moins un groupe constitué des pays occidentaux. Sauf que même entre eux, on ne se dit pas tout et le copain veut parfois en savoir plus sur vous que ce que vous voulez bien lui dire. On a beau être amis, on ne peut pas tout se dire. Ceci n'est pas choquant, bien au contraire. Je ne déballerai pas non plus ma vie à mes voisins, même s'ils devenaient instants.

Rajoutons à cela que "Gentil" est un statut temporaire même si certains état on pris l'habitude de le rester entre eux sur de longues périodes. Aurions nous la même vision du monde si des extrêmes venaient à prendre le pouvoir en France ?

Donc en gros, on propose de brider volontairement les outils de chiffrement pour les "Gentils" alors même que la notion de "Gentil" est trouble et instable dans le temps. La seule solution dans ce cas est que chacun casse lui même le chiffrement dans son coin.

Et c'est quoi un terroriste ?

On doit pouvoir trouver une définition précise dans un bon dictionnaire. Toutefois, le mot "terroriste" et tout ce qui va avec est employé largement aujourd'hui dès qu'il a une menace sérieuse de trouble à l'ordre public. Je caricature probablement mais les premiers à faire les frais des premières mesures adoptées dans le cadre de l'état d'urgence sont des manifestants altermondialistes manifestant contre la COP21. "Si vous voulez vous débarrasser d'un chien, dites qu'il a la rage." Encore une fois, c'est caricatural mais l'idée est là à mon sens.

Et si affaiblir le chiffrement servait à autre chose qu'à lutter contre le terrorisme ?

L'affaiblissement du chiffrement ouvre la boîte de pandore. Une fois cela en place, c'est utilisable pour tout, ce n'est qu'une question d'imagination. J'évoquais ci-dessus la possibilité non nulle que des extrêmes (ou du moins leurs idées) arrivent au pouvoir en France prochainement. Ceux au pouvoir aujourd'hui, et intimement convaincu de le faire pour de bonnes raisons, ne seront probablement plus aux commandes une fois ces outils déployés. Les garanties qu'ils peuvent donner même de bonne foi aujourd'hui n'ont pas de valeur au delà des prochaines échéances démocratiques. Que feront les suivants avec un tel pouvoir ? Bien malin qui pourrait le prédire avec précision tant le champ des possibles est grand et tant le contexte peut évoluer. Une question d'imagination encore une fois.

En conclusion

En réponse à un problème bien réel, on propose une solution consistant à casser un outil largement utilisé y compris pour des usages tout à fait légitimes, ce qui en définitive pose plus de problèmes qu'il n'en solutionne.

À garder en tête :

" Si vous croyez que la technologie peut résoudre vos problèmes de sécurité, c’est que vous ne comprenez pas les problèmes et que vous ne comprenez pas la technologie. "
Bruce Schneier

Equipement TV/Hifi prêt à jeter

Rédigé par -Fred- / 21 août 2016 / Aucun commentaire

Évolution des normes de diffusion TV par voie hertzienne

Ces dernières années, les normes de diffusion des chaînes hertziennes ont beaucoup bougé. Quand on ne s'y intéresse pas vraiment, ce n'est pas forcement évident d'y voir clair immédiatement. Je suis d'ailleurs de ceux là.

Tout d'abord il y a eu l'arrivée progressive des premières chaînes numériques en parallèle avec la diffusion analogique (approximativement au milieu des années 2000). Peu après, entre 2009 et 2011, il y a logiquement eu l'arrêt de la diffusion en analogique. Ça, c'est le passage à la TNT (compression en MPEG2 et diffusion en DVB-T).

Progressivement, plusieurs chaînes ont commencé à émettre en HD (Haute Définition), certaines chaîne étant toujours diffusées en SD (Simple Définition). Récemment, en avril 2016, la TNT a complètement basculé en HD (compression en MPEG4 et diffusion en DVB-T).

Vers, 2020, il est prévu de basculer à la norme de diffusion DVB-T2.

Ces sauts technologiques s'expliquent par les besoins croissants en qualité, en services et en optimisation (les bandes de fréquence sont des ressources rares et il faut bien les utiliser). De ce point de vue, il est compréhensible que cela évolue. A ce propos, voilà un document intéressant à lire pour mieux comprendre ce sujet : Cons._passage_MPEG-4_bande_700_avenir_TNT.pdf

Toutefois, ces dernières années, je constate que moi ou mes proches avons été contraints de nous rééquiper uniquement à cause de ces sauts technologiques à répétition. Le matériel n'a plus le temps de tomber en panne puisqu'il devient obsolète. Plus encore que pour les téléviseurs, cela est flagrant pour les décodeurs externes qui ne sont plus d'aucune utilité dès qu'ils sont incompatibles avec la norme en vigueur. Là, j'envoi à la poubelle un décodeur TNT double tuner avec disque dur fonctionnel mais incompatible avec la TNT HD. J'ai un proche exactement dans ce cas là avec un appareil similaire.

Pour ce proche justement, il a été nécessaire de trouver une solution de remplacement en terme de fonctionnalités et la solution la plus simple d'usage est de passer par un lecteur blue ray avec double tuner et disque du intégré. Il n'y en a pas tant que ça mais on trouve les modèles les moins chers à un peu plus de 300€. Le plus drôle, c'est que la prochaine évolution prévue vers 2020 (diffusion en DVB-T2 donc) va rendre obsolète ce matériel. Donc en gros, au moment de l'acheter, je suis déjà en mesure de dire combien de temps le matériel sera pleinement utilisable et surtout quand il ne le sera plus. Il est loin le temps où un appareil cessait d'être utilisable quand il était HS.

Vis ma vie de bidouilleur

Rédigé par -Fred- / 17 août 2016 / Aucun commentaire

Lorsqu'on est curieux et que comme moi on adore bidouiller sur son temps libre, on finit par se lancer dans des projets divers et variés, ce qui n'est pas sans amener parfois quelques problèmes inattendus. Tous on peut être pour origine commune que l'on manque cruellement de temps pour tout faire. En effet, les problèmes intéressants sont nombreux mais la réciproque n'est pas vraie : tous les problèmes ne sont pas intéressants, loin de là. Le jeu donc, c'est de faire le tri en permanence pour que cela reste cool. Voici comment j'opère pour faire mes choix :

Le premier filtre que j'applique consiste à ne pas partir sur des technos fermées. Dépenser de sont temps, c'est en investir. Une techno qui aura réussi à capter massivement du temps va mieux évoluer qu'une autre moins utilisée. Comme je préfère voir des technos ouvertes évoluer, je vais vers elles, logique. C'est une forme de soutient en quelque sorte. Si après côté pro, je dois travailler sur autre chose, c'est différent dans le mesure où je suis payé pour ça.

Le second filtre consiste à partir le moins possible sur les problèmes des autres, sauf si ces problèmes m'intéressent. Il n'est pas rare que l'on me demande de regarder tel ou tel truc, sous prétexte que ça ressemble à quelque chose auquel je me suis déjà intéressé ou que je dois savoir faire. Typiquement, ça peut être de réparer ou d'aider à l'utilisation d'un ordi par exemple. En soit, ça peut potentiellement être marrant au début mais ça peut devenir vite répétitif et ça revient souvent à faire la maintenance de la machine à la place de l'autre. Un dialogue entre un passionné et quelqu'un qui veut juste que ça marche ne peut pas aboutir à grand chose si ce n'est à de l'incompréhension. Je passe sur le cas plus rare mais bien réel de celui qui travaille sur son propre projet mais qui ne semble pas trouver d'autre solution que de vous vampiriser votre temps pour avancer. En fait, je constate que la recherche d'un problème intéressant est avant tout une démarche personnelle même s'il peut y avoir parfois des exceptions comme pour le projet sur lequel je bosse en ce moment (une idée extérieure peut de manière inattendue venir en compléter une autre qui germait).

Le troisième filtre que j'applique consiste à ne pas repartir sur des problèmes que j'ai déjà traité. Passé la phase de découverte, une fois le problème traité et assimilé ce qui pouvait l'être, soit j'approfondis, soit je passe à autre chose. Si un problème proche survient, il faut que le delta avec celui que j'ai déjà traité m'apporte quelque chose de significatif. Plus ce delta est faible, moins il a de chance d'être intéressant et enrichissant. A voir au cas par cas donc.

Je tente aussi le moins possible de traîner certains sujets lorsqu'ils ont cessé de m'apporter quelque chose. Si je peux aboutir au moins partiellement, c'est déjà pas mal. Dans l'absolu, je souhaite terminer ce que je commence mais ce n'est pas tout le temps possible de suite (je pense à mon clone de Zelda3) donc dans ce cas, certains projets finissent par être mis de fait en sommeil. Paradoxalement, le temps passé sur un projet n'a pas d'importance. Le trucs rapides à faire sont tout aussi intéressants que les projets plus lourds qui demandent un investissement qui tienne sur la durée. Je trouve même intéressant de passer de l'un à l'autre car c'est aussi un bon moyen de diversifier un peu cette activité. L'idée générale, c'est que ce que je réalise sur mon temps de loisir reste un vrai plaisir et que ça me corresponde. Le temps que j'y consacre n'étant pas extensible à l'infini, je me dois de l'utiliser au mieux.

Un bon projet finalement, c'est quelque chose auquel je pense un bon moment sans oser franchir le pas (entendre par là, prendre un crayon et commencer à poser mes idées sur le papier). Je n'ose pas au début, d'autant que je me pose toujours la question du temps que je pourrai y consacrer. Cette période de réflexion me permet aussi d'y réfléchir de manière un peu dépassionnée, sans influences extérieures, et de mesurer un peu mieux la faisabilité de la chose (que cela ai déjà été réalisé par un autre ou non). Lorsque je me décide enfin, c'est que l'idée a déjà fait un bout de chemin dans ma tête et qu'elle me semble toujours aussi amusante ou intéressante. Elle s'impose progressivement à moi de sorte qu'il est naturel de la concrétiser. Quand je franchis le pas, je suis déjà relativement sûr de moi même si des imprévus surviennent ensuite. Les aléas font partie du jeu et c'est eux qui me font le plus progresser.