Journaux sociaux de membres de Gulliver

La sécurité est un échec. C'est le titre qu'avait choisi Nicolas Ruff pour son talk à SSTIC en 2009. Depuis, il a entretenu sur son blog un certain nombre de billets étayant son propos. Si je suis de l'avis de ce maître es Ruff, je vais plus loin en affirmant que la sécurité informatique n'existe pas. En effet, quid du débordement de tampon si au moment de remplir son contenu on vérifie les entrées ? Comment avoir une injection SQL lorsque la requête est correcte et contenue dans sa sémantique ? Et qu'est ce qu'une politique de sécurité sinon un ensemble d'usage intelligent, de procédure de suivi et de tableaux de bords ? C'est dans cette approche que j'ai lu "So Long, And No Thanks for the Externalities".

Ce papier sort des laboratoires de Microsoft et se propose en un peu moins de douze pages d'analyser l'impact de la sécurité et de sa non applicabilité en terme de bénéfice ou, en des mots plus simples, pourquoi les utilisateurs choisissent (consciemment ou non) de ne pas appliquer les consignes de sécurité que les RSSI et leurs services tentent désespérément de faire comprendre et suivre. Ainsi, en quelques paragraphes, Cormac s'attaque à l'intérêt de la complexité des mots de passe, la détection du phishing par les utilisateurs, les certificats SSL et le danger de l'attaque par interception. À chaque fois il nous présente le coût, les bénéfices potentiels et les bénéfices actuels. C'est ainsi que sur la problématique du phishing, il sort l'équation simple, mais criante de vérité : sur 180 000 000 américains connectés, le coût du phishing est estimé à 60 000 000 de dollars sur une année. Il en fait alors un calcul simple, le coût du phishing revient à 33 cents par utilisateur. Il ramène ensuite cela au coût à l'heure d'un salaire de base, soit 7,25 $. En résultat, on obtient que si le temps dévolu à éduquer votre interlocuteur dépasse 2 minutes et 34 secondes, l'enseignement revient plus cher que le préjudice lui-même. Je n'évoquerai pas même ici l'entretien réccurrent nécessaire à la tâche. Si je vous laisse lire le contenu de l'article pour que vous en goûtiez la substantifique moelle, je dévoile une partie de l'intérêt de la conclusion. En effet, si le bilan peut sembler à la fois pessimiste et terriblement réaliste, il ouvre tout de même vers une note d'espoir. Si l'éducation n'est pas la panacée, apprendre en s'amusant peut être la voie de l'avenir.

Je ne vais pas jouer de fausse modestie : j'ai la joie de vous annoncer que mon mémoire « Les licences libres » a été primé au cours du concours de mémoires organisé par l'Association pour le Droit de la Création Intellectuelle (ADCI).

Le concours était ouvert aux étudiants ayant réalisé un mémoire dans le cadre d'un Master lié à la Propriété Intellectuelle. Gage de qualité, les travaux qui ont été sélectionnés et récompensés ont « tous obtenu l'une des deux meilleurs notes de leur promotion » selon le règlement de l'ADCI.

Mon mémoire s'est issé à la deuxième place et j'en suis vraiment heureux.

Réalisé au cours de la précédente année universitaire au CÉIPI, ce mémoire est notamment disponible dans la bibliothèque « papier » du CÉIPI (à Strasbourg donc ;-) ). Il est disponible sous forme électronique ici mais également sur le site Internet du CÉIPI ainsi que sur le site de l'ADCI.

Avec la sortie des extensions dans google chrome et la version 4, il me vient une idée : Et si pour synchroniser mes marques-pages je pouvais me passer des serveurs de google pour changer. Et mieux encore, et si, je pouvais synchroniser les deux meilleurs navigateurs du moment chrome et firefox.

J'en rếvais, Mozilla l'a déjà fait. Le projet dont je parle s'appelle Weave. Il est issu du Mozilla Labs, la pépinière d'innovation de mozilla. Il vise à permettre de fusionner ses marques-pages d'un poste à l'autre et plus encore, de manière sécurisée et in the cloud (Un buzzword, un).

D'un côté une extension firefox ou fennec (le firefox mobile) qui récupère les données et de l'autre un serveur qui les stockent et les rend disponible n'importe quand.

Ce type de fonctionnalités n'est pas nouveau, et google le propose dans chrome directement sans extensions. La grande différence avec les autres services du genre et celui de google est selon moi son ouverture. Le code est entièrement ouvert côté client (l'extension pour firefox) et, chose moins commune, côté serveur.

Résultat : rien n'empêche d'héberger son propre serveur weave pour plus d'indépendance vis à vis de google ou même de mozilla. C'est ce que j'ai fait grâce à la procédure du wiki de weave (attention la documentation a des défauts, à suivre avec précaution). Le serveur est en Php, ce qui simplifie grandement le déploiement.

L'outil est d'ores et déjà fonctionnel et la version 1.0 est en préparation.

Dans ces conditions, à quand une synchronisation des marques-pages et paramètres de chrome avec weave et mieux encore avec firefox. Le tout totalement indépendamment de google !

Je pense que ce n'est qu'une question de temps, sinon je m'intéresserais bien à l'écriture d'une extension pour chrome ;).

I recently installed an Ubuntu Karmic Koala (9.10) Linux distribution on an ASUS UL30A-QX090V laptop. The installation went rather smoothly. You'll find below the useful details.

Despite being in favour of reimbursement of software bundled with hardware, I decided to keep the pre-installed proprietary Windows 7 64 bits. It will allow me to test Windows 7, compare it with my Ubuntu system and test Free Software on Windows.

Under Windows 7: make room for Linux

One needs to make room for the Linux system on the 320 Gb hard disk. Fortunately, Windows is installed in a 74 GB partition and there is one 208 GB empty partition.

So, go to Windows icon -> Computer -> Right-click -> Manage -> Storage -> Disk Management. Three partitions are available:

• 14,65 GB: no name and not mounted, probably for system re-installation;
• 74,52 GB (C:) : Windows 7;
• 208,92 GB (D:) : DATA, empty partition.

One needs to remove DATA partition. Right-click on this partition and choose Remove volume.

If you have a different laptop with no free partition, it might be useful to know that Windows Vista and Windows 7 can resize partitions using the same pre-installed program.

Under my current Ubuntu computer: prepare the USB installation key

I download the ISO image of the latest Ubuntu Karmic Koala 9.10 in 64 bits version: the machine has 4 GB of RAM and you can only access 3 GB with a 32 bits system.

After download, I checked that the MD5 checksum is correct. In a terminal, do "md5sum ubuntu-9.10-desktop-amd64.iso" and search for the result in the UbuntuHashes web page.

I then use usb-creator to setup an USB key with this dowloaded image. Plug in your USB key. Start usb-creator from System -> Administration -> USB Boot Disk Creator. Select the ISO image you have just downloaded and chose the USB key you have just plugged in. Then press Create button. I chose to not use an area where data can be saved on the USB key.

By the way, usb-creator installs what is needed on the USB key and makes it bootable, but it keeps the FAT32 file system so the key can still be used as a regular USB key to share documents.

On the ASUS UL30A-QX090V Laptop: install Ubuntu

Plug in the USB key and power on the laptop.

By pressing F2 when the ASUS logo is displayed, go to the BIOS and configure it to boot on the USB key. The magic trick: the USB key is seen as a hard drive! So you must go to the hard drive boot order sub-menu to put the USB key in first position, before the real hard drive. Save and exit from the BIOS through F10.

The machine then reboots and should boot on the USB key (or do a cold start by powering off then powering on the laptop).

Install Ubuntu as usual. I used the biggest free space, letting Ubuntu chose the partitioning. As this is a laptop, I also chose to encrypt the user's home folder.

After a reboot, you now have a shiny new Linux system on your laptop! Enjoy! :-)

What's working

I haven't tested everything yet. Right now:

• Working: wired and wireless network (WiFi tested using WPA2), sound output, display at native screen resolution, extended touchpad (emulation of mouse scroll wheel and right-click), processor frequency scaling according to actual use, SDHC card reader;
• Not tested: sound input, webcam, battery autonomy, 3D acceleration^[1], hibernation, external display output (VGA and HDMI);
• Not woking: nothing yet! ;-)

Depuis quelques semaines, j'essaye, tant au travail que chez moi, d'avoir ma boite de courrier entrant toujours vide, ou du moins chaque soir.

Je ne sais plus où j'ai lu ce conseil, peut-être dans Get Things Done ou sur un blog. Cette contrainte à un avantage immédiat : se forcer à faire les choses et leur donner une priorité. Avant, bien souvent, je laissais un courriel dans mon dossier entrant pour une tâche ingrate ou quelque chose à-faire-quand-j'aurais-le-temps.^[1] Maintenant, puisque ce dossier doit être toujours vide, soit je fais les choses immédiatement ou du moins avant la fin de la journée (le soir avant de partir par exemple), soit je mets le courriel dans un dossier « À faire plus tard » qui, je le sais, ne sera jamais consulté ou très rarement. En d'autres termes, je classifie immédiatement les courriels vraiment important, nécessitant une action immédiate et ceux plus accessoires.

Pour l'instant, cette approche fonctionne. Parfois, j'ai un ou deux courriels que je garde non lu dans ma boite entrante, par ce que je me dis que je n'ai vraiment pas le temps là maintenant et que je dois le faire. Mais si au bout du deuxième jour je n'ai rien fait, je sais que ce courriel n'est pas si important que ça et je le relègue aux oubliettes... ou je fais ce que je dois faire sur ce courriel immédiatement. :-)

Un autre truc que j'utilise, c'est de marquer les actions urgentes ou importantes sur mes courriels en les gardant comme « Non lus ». Comme ça, à chaque fois que je regarde ma boite j'ai l'impression d'avoir du nouveau courrier et je re-regarde les tâches à faire sur ces courriels. C'est pour moi une très bonne incitation à faire les choses.

Et vous, vous avez d'autres trucs pour vous organiser avec le courriel et les autres outils de communication ?

At some point I helped keeping the OCaml packages on Ubuntu in good shape, especially for the Karmic 9.10 release.

Unfortunately, I have much less free time those days and can no longer monitor OCaml packages on Ubuntu. Is anybody willing to work on this?

The main job is to look at the Debian packages and check if they are currently available in Ubuntu, and rebuild them if necessary. When the OCaml compiler changes (fortunately not so often), one needs to trigger a rebuild of all packages and that can be a bit difficult, mainly because LaunchPad does not provide an interface to rebuild several packages, taking into account their dependencies.

Of course, I would help anybody willing to do that job (explain the needed scripts, issues I had, etc.).