PROJET AUTOBLOG


sebsauvage.net

Site original : sebsauvage.net

⇐ retour index

Mes applications Android du moment

Monday 26 December 2011 à 14:16

Voici ma sélection actuelle d'applications Android, si ça peut aider.

Je privilégie les applications légères (je n'ai qu'un HTC Wildfire, donc avec une faible puissance de processeur), gratuites (je n'ai pas trop envie de payer) et qui suivent si possible le principe du KISS (c'est à dire: simples et qui ne font pas chier leur monde).

Voici donc la liste:

Juste une remarque en passant: Le niveau des commentaires sur l'Android Market est tout simplement atterrant.

L'effrayante histoire de Matthieu Amiguet

Thursday 22 December 2011 à 09:13

Je voulais relayer l'info qui m'a été donnée par l'intéressé, parce que c'est assez cocasse.

Les passeports biométriques sont censés améliorer la sécurité (même s'ils améliorent surtout le flicage et représente un business juteux), mais l'un des buts premiers est d'empêcher les faux. Raté, il y en a déjà plein en circulation: D'après le Parisien, 10% des passeports biométriques seraient des faux. Je trouve cela énorme.

Mais tout ça n'est rien face à l'ironique mais effrayante histoire de Matthieu Amiguet. Voulant renouveler son passeport, il en a reçu deux chez lui, tous les deux à son nom, mais avec deux photos différentes: L'une de lui, et l'autre d'un inconnu. Erreur informatique ou humaine ? Peu importe, le résultat est là: Le système a produit un faux passeport biométrique qui sera reconnu comme valide partout.

Si c'est l'inconnu qui avait reçu ces passeports, il aurait pu commettre des crimes et se faire passer pour le vrai Matthieu Amiguet. Ça fait froid dans le dos.

Je l'ai déjà dit, mais il est important de ne surtout pas faire une confiance aveugle en la technologie. Mais comme toujours, l'esprit critique tend à s'effacer devant la technologie. Attention danger.


EDIT: Makhno me signale également cette action d'un collectif tchèque qui ont vécu sous une fausse identité pendant des mois, en faisant faire des papiers d'identité comportant des photos fabriquées à partir du mélange de deux visages. Leur but était d'attirer l'attention sur le contrôle omniprésent exercé par les autorités. Notez que ce sont eux qui sont à l'origine de la fantastique blague digne de George Orwell: Ils avaient inséré la vidéo d'une explosion nucléaire dans les images de la météo d'une télé tchèque. Énorme. (Le site du collectif est .)


Mise à jour 9 février 2012: Épilogue de l'histoire sur le site de Mathieu.

Encore un brevet pour une idée triviale

Thursday 22 December 2011 à 08:40

Apple a obtenu l'interdiction des téléphones HTC aux USA. Énorme. Bon, HTC a trouvé une parade, mais le simple fait que Apple ait obtenu gain de cause est ahurissante, surtout au vue du brevet.

L'idée brevetée ? Le fait de transformer certaines partie d'un message textuel en liens cliquables. Une adresse email ? Cliquez dessus pour envoyer un email. Une URL ? Cliquez dessus pour ouvrir la page. Un numéro de téléphone ? cliquez dessus pour composer. Oui, c'est quelque chose de trivial, mais c'est sur cette base qu'Apple a gagné.

En fait, Apple pourrait même me faire un procès puisque c'est exactement ce que je fais dans Shaarli (quand vous mettez une URL dans la description, Shaarli la transforme en lien clickable). On retrouve également ce comportement partout (webmails, wikis...). Comment voulez-vous que les ingénieurs aient le moindre respect pour le système des brevets quand on en arrive à breveter quelque chose d'aussi simple ?

En fait, Apple s'en fout bien, du brevet. On ne va pas me dire qu'Apple a investi des sommes folles pour "inventer" ce système de lien cliquable. C'est une idée qui vient naturellement à l'esprit de n'importe quel développeur. Tout ce qu'ils veulent, c'est trouver des prétextes pour bloquer la concurrence.

Ah tiens tant que je suis sur Apple, je vous encourage à jeter un coup d'œil sur cette vidéo chez TED qui montre comment les entreprises privées orchestrent souverainement la censure. Si vous n'avez pas le temps, regardez juste les 3 premières minutes: ça vous rappellera un article que j'ai écrit récemment.


Il y a quelques années, si on m'avait dit que j'en viendrais à taper plus sur Apple et Google que sur Microsoft, je n'y aurais pas cru.

Le nouveau projet de l'auteur de reCaptcha

Wednesday 21 December 2011 à 08:50

Vous connaissez les captchas ? Ce sont des images contenant du texte qu'il faut retaper pour prouver que vous êtes bien un humain (et non un système automatisé). C'est utilisé par exemple pour réduire le spam. Ça utilise le fait que la reconnaissance de caractères est quelque chose de très difficile pour un ordinateur, mais facile pour un être humain.

L'inventeur des captchas a eu une idée: Utiliser la puissance de calcul de nos cerveaux, utiliser des millions de captchas résolues chaque jour pour numériser des livres. Côté utilisateur, chaque fois que vous résolvez une reCaptcha, vous aidez à numériser des mots. Côté webmaster, cela vous fournit un système de captcha gratuit pour votre site. L'idée est brillante et fonctionne: Grâce à reCaptchas, ils numérisent l'équivalent de 2,5 millions de livres par an.


En dehors de la reconnaissance de caractères, il y a une autre tâche à laquelle l'ordinateur est très mauvais: La traduction de textes. Or une vaste partie d'internet est en anglais, et donc inaccessible à ceux qui ne parlent pas anglais. De même, certains contenus dans des langues spécifiques ne sont pas accessible du reste du monde. Luis von Ahn et son équipe ont donc réfléchi sur la manière de faire travailler collectivement nos cerveaux pour résoudre ce problème. Et ils sont arrivés à une solution.

Il se trouve que des millions de personnes à travers le monde veulent apprendre une nouvelle langue. Il y a donc des gens motivés. Le site duolingo.com (encore en bêta fermée) vous propose d'apprendre une nouvelle langue en vous exerçant à traduire des phrases de difficulté croissante. Histoire que ça soit plus motivant, ce ne sont pas des phrases construites pour l'occasion, mais du vrai contenu: Des phrases tirées de sites d'actualité ou de Wikipedia.

Certes vous allez faire des erreurs, mais ce n'est pas grave. Leur système combine les multiples réponses et parvient à obtenir des traductions aussi bonnes que des traducteurs professionnel. Impressionnant, non ?

Mais il y a un autre avantage: L'auteur estime qu'apprendre une nouvelle langue coûte en moyenne 500 dollars. 95% de la population n'a pas les moyens de débourser cette somme. Duolingo étant gratuit, cela permet d'aider même les gens sans moyens à apprendre une nouvelle langue.

Comment se finance Duolingo ? En traduisant des textes, vous créez de la valeur. C'est cette valeur qui sert à financer Duolingo: En fait vous payez le service avec le temps que vous passez à traduire. Mais le plus beau c'est que le temps que vous passez à créer de la valeur est en fait le temps qui vous sert à apprendre. C'est donc rentable pour eux comme pour vous.

A titre d'exemple, le wikipedia espagnole contient 849 000 articles, soit seulement 20% de la version anglophone. Pour traduire les 80% restant (soit environ 2,9 millions d'articles), cela coûterait - avec des traducteurs professionnels - près de 50 millions de dollars. Et encore, en utilisant la main-d'œuvre la moins chère. Avec Duolingo, cela ne couterai rien.

Est-ce que c'est long ? D'après leurs estimations, avec 100 000 utilisateurs, il leur faudrait 5 semaines pour traduire ces 80% restants. Ou 80 heures avec 1 million d'utilisateurs actifs.


Je trouve l'idée formidable:

Si vous souhaitez voir la présentation complète de l'auteur dont mon article est le résumé, c'est . (Elle est en anglais, et les sous-titres français ne sont malheureusement pas disponibles. Toute fois la transcription est disponible en haut à droite de l'écran ("Interactive transcript")).

Vraiment, les conférences TED sont une source d'inspiration.

TOR est cassé, vraiment ?

Monday 19 December 2011 à 12:57

(Attention, cet article est technique.)

Il paraît que TOR est cassé. Hum ?

Même si je suis probablement moins pointu en crypto que Mr. Filiol, je trouve que ça sent un peu le pâté, son prétendu "hack" de TOR. Je ne dis pas qu'il a n'a pas trouvé de faiblesses dans TOR, mais de là à dire qu'il est cassé, je doute fortement.

Il suppose que AES est toléré car les gouvernement savent le casser:
« Peut-on imaginer un seul instant que les États autoriseraient des technologies pareilles s’ils ne les contrôlaient pas d’une manière ou d’une autre ? »

Je dis: Bullshit. Les gouvernements ne contrôlent pas OpenPGP, gnupg ou TrueCrypt et n'ont aucun moyen de les casser facilement. Et ils ne sont pas interdits pour autant. Je cherche encore une preuve quelconque qu'un gouvernement ai pu casser des clés OpenPGP ou ouvrir un volume TrueCrypt sans connaître le mot passe. Ça suffit, la théorie du complot. Il n'a pas un seul argument pour étayer sa théorie.

« un système de chiffrement comme l’AES serait une violation directe des lois concernant le contrôle de l’export et de l’arrangement Wassenaar s’il n’existait pas un moyen de le contrôler. Cela les gens ne le savent pas. »

Il a trop regardé "Complots" et "Die hard 4". En plus, il n'a rien compris à l'arrangement de Wassenaar: Cet arrangement interdit l'exportation des techniques de crypto fortes vers les états "ennemis". En aucun cas il n'interdit l'utilisation de crypto forte dans les pays ayant signé cet arrangement. Et les gens LE SAVENT. Il n'y a pas d'arrangement secret, de complot interdisant ces technos: Cet arrangement est public. C'est de la mise en scène.

Et puis soyons cohérents: Pourquoi auraient-ils imposé des restrictions à l'exportation si - comme il le prétend - ils savent casser ces algos ?

« Seule la stéganographie est vraiment incontrôlable »

Ah bon ? Il peut m'expliquer comment le gouvernement contrôle actuellement la version de TrueCrypt et GnuPG que j'utilise ? Bullshit.

« Pour ma part, je conseillerais plutôt de protéger des messages avec des technologies comme Perseus »

Comme par hasard, la techno qu'il conseille est celle développée dans son école supérieure. Quel hasard.

« Je préconiserais également de communiquer en 3G, ce que font certaines personnes en ce moment en Syrie. »

C'est sûr, la 3G c'est plus sûr. Il n'y a presque pas de contrôle sur la 3G. Juste des opérateurs GSM qui font du DPI à mort et du trafic-shaping. Et puis c'est pas comme si les téléphones GSM ou clés 3G n'étaient pas de petits cafteurs et donnaient à tout moment leur numéro d'identification unique IMEI à toutes les bornes GSM aux alentours. C'est bien mieux pour l'anonymat. Les barons de la drogue qui se sont faits arrêter grâce au signal de leur GSM peuvent en témoigner.

« Mais la principale faiblesse [de TOR] est conceptuelle : utiliser de la cryptographie. »

Hein ?

« Quand vous chiffrez, vous envoyez du bruit. Cela se repère facilement. TOR est en quelque sorte un pot de miel de tous ceux qui ont quelque chose à cacher, à tort ou à raison. »

Vieil argument. Oui ça se repère, mais c'est de plus en plus noyé dans la masse. Au contraire, il faut tout chiffrer, justement pour noyer le poisson. Moins vous utilisez de crypto, plus elle est évidente quand elle est utilisée. De plus, utiliser de la crypto ne signifie pas qu'il y ait crime. Vous connecter sur votre webmail en chiffré est-t-il le signe d'un crime ? Consulter votre compte bancaire en chiffré, c'est le signe d'un crime ? Se connecter sur WOW, c'est un signe de crime aussi ?

« Et de ce point de vue, seule la stéganographie (en partie Perseus aussi) est capable de le faire. »

Est-ce qu'il a seulement conscience que la bande passante permise par la stégano ne permet pas de surfer correctement ?
Est-ce qu'il a conscience que la stégano sans la crypto, ça ne vaut absolument rien ? Même si vous mélangez votre message dans des communications plus larges, si votre message est en clair, vous êtes foutu.

« À ce jour, « aucun universitaire pointu » n’est capable de prouver la sécurité de RSA ou de l’AES »

Oups... oulà. Non non non. Le domaine de la crypto ne marche pas comme ça. Personne n'a à prouver que ces algos sont "forts". Au contraire, tant que personne n'a prouvé qu'ils sont faibles, ils sont parfaitement viables. A moins qu'il pense prouver qu'il peut résoudre un problème mathématique majeur (factorisation de grands nombres).

« RSA ou de l’AES,deux « productions « typiquement universitaires, »

Pardon ? L'algo RSA est à la base d'une grosse entreprise qui fait un fric monstre avec. Quant à AES, ça a été validé par des corps de standardisation industriels et gouvernementaux. Typiquement universitaire ? Il a une seule idée du nombre d'applications commerciales, techniques et industrielles sur la planète qui utilisent RSA et AES ? Ce ne sont pas juste des joujoux d'universitaires. AES a 13 ans, RSA a 33 ans, et ils ne sont toujours pas cassés.

Et puis - ahum pardon - son projet Perseus c'est pas un projet universitaire, justement ? C'est pas un peu l'hôpital qui se fout de la charité ?

« Une belle vision de bisounours concernant un domaine dans lequel on sait que les choses pertinentes et efficaces sont très rarement publiées, intérêt stratégique oblige. »

...ou commenter pisser à la raie de tous les spécialistes en crypto du monde. Message: Votre travail, vos publications, c'est de la merde. En revanche, écoutez-moi !

« Maintenant, pour un autre darknet, ...  »

Tiens je croyais que tu venais de dire que les "darknet", c'était nul ?

« ...je pense que notre projet à base de stéganographie, avec l’université de Cambridge devrait être aussi une solution intéressante »

Ça y est, t'as fini de faire la promo de ton projet ? En plus, pardon du peu, mais son projet "Perseus" (dont il fait la promotion) a dans ses buts initiaux, ouvertement, de permettre l'écoute par les autorités:

PERSEUS enables to provide at the same time users' needs for privacy and confidentiality while preserving the ability of security agencies (police, defense, national security...) to eavesdrop communications of really bad actors (terrorists, child pornographs...)

Je laisse à l'appréciation de chacun l'interprétation des "really bad actors" que fait chaque gouvernement de cette planète. Ce type blague, non ? Il est vraiment sérieux ? Il pense vraiment qu'on va abandonner un TOR relativement décentralisé pour utiliser un Perseus qui est ouvertement conçu pour être écouté ?


C'est assez incroyable d'entendre quelqu'un censé avoir de grandes connaissances en crypto sortir des trucs pareils. Mon avis ? Son attaque contre TOR est sans doute réelle, mais à mon avis loin d'avoir les impacts qu'il annonce. Le gars est surtout là pour faire du buzz sur lui et son projet en attaquant TOR.

D'aucuns me rétorqueront que je n'ai pas le niveau en cryptographie du monsieur. Je ne suis pas un chef étoilé, mais je suis capable de sentir quand un plat a un goût bizarre.


EDIT: Il y a encore des choses qui me paraissent bizarre dans sa présentation. Il dit que l'attaque ne marche pas avec les modes EBC et CBC... Pour cela, il force les logiciels à passer dans d'autres modes (OFB/CFB/CTR)... en infectant les machines. Et précise bien qu'il faut que Alice et Bob soient tous les deux infectés pour pouvoir faire ce changement de mode, sinon la communication ne marche pas. Mais s'ils sont infectés, on peut déjà les espionner, non ? Un troyen qui diminue les capacités crypto des logiciels, forcément ça rend leur protocole plus facile à déchiffrer, non ? C'est une évidence ou j'ai raté quelque chose ?
EDIT: J'ai raté quelque chose: L'infection d'Alice et Bob ne concerne que la partie 2 de ses slides (affaiblissement de la crypto des logiciels en altérant la mémoire). Ces slides ne concernent pas l'attaque sur TOR (où l'affaiblissement de la crypto est effectué uniquement sur des nœuds compromis, pas sur les clients).

TOR a sans aucun doutes des faiblesses, mais je trouve l'angle d'attaque plutôt curieux. Et la stégano n'est pas la "silver bullet" qu'il veut bien nous faire croire (la stégano aussi se détecte).

EDIT: J'ai eu une discussion par email avec Raphi qu'il a publiée.

EDIT 8 mars 2012: Une autre analyse de l'attaque de Filiol sur TOR.