Plus rien ne marche, qu’est-ce qu’on fait ?

Temps de lecture 27 min

image_pdfimage_print

Désormais conscients et informés que nos actions et nos données en ligne sont faciles à espionner et l’enjeu de monétisation en coulisses, il nous restait l’espoir que quelques pans des technologies de sécurité pouvaient encore faire échec à la surveillance de masse et au profilage commercial. Pas facile pour les utilisateurs moyens d’adopter des outils et des pratiques de chiffrement, par exemple, cependant de toutes parts émergent des projets qui proposent de nous aider à y accéder sans peine.

Mais quand les experts en sécurité, quittant un moment leur regard hautain sur le commun des mortels à peine capables de choisir un mot de passe autre que 123AZERTY, avouent qu’ils savent depuis longtemps que tout est corrompu directement ou indirectement, jusqu’aux services soi-disant sécurisés et chiffrés, le constat est un peu accablant parce qu’il nous reste tout à reconstruire…

Plus rien ne fonctionne

article original  : Everything is broken par Quinn Norton

Traduction Framalang  : Diab, rafiot, Omegax, Scailyna, Amine Brikci-N, EDGE, r0u, fwix, dwarfpower, sinma, Wan, Manu, Asta, goofy, Solarus, Lumi, mrtino, skhaen

Un beau jour un de mes amis a pris par hasard le contrôle de plusieurs milliers d’ordinateurs. Il avait trouvé une faille dans un bout de code et s’était mis à jouer avec. Ce faisant, il a trouvé comment obtenir les droits d’administration sur un réseau. Il a écrit un script, et l’a fait tourner pour voir ce que ça donnerait. Il est allé se coucher et il a dormi environ quatre heures. Le matin suivant, en allant au boulot, il a jeté un coup d’œil et s’est aperçu qu’il contrôlait désormais près de 50 000 ordinateurs. Après en avoir pratiquement vomi de trouille, il a tout arrêté et supprimé tous les fichiers associés. Il m’a dit que finalement il avait jeté le disque dur au feu. Je ne peux pas vous révéler de qui il s’agit, parce qu’il ne veut pas finir dans une prison fédérale  ; et c’est ce qui pourrait lui arriver s’il décrivait à qui que ce soit la faille qu’il a découverte. Cette faille a-t-elle été corrigée  ? Sans doute… mais pas par lui. Cette histoire n’est en rien exceptionnelle. Passez quelque temps dans le monde des hackers et de la sécurité informatique, et vous entendrez pas mal d’histoires dans ce genre et même pires que celle-là.

Il est difficile d’expliquer au grand public à quel point la technologie est chancelante, à quel point l’infrastructure de nos vies ne tient qu’avec l’équivalent informatique de bouts de ficelle. Les ordinateurs et l’informatique en général sont détraqués.

Quand c’est codé avec les pieds, bonjour les vautours

Pour un bon nombre d’entre nous, en particulier ceux qui ont suivi l’actualité en matière de sécurité et les questions d’écoutes sauvages, rien de surprenant dans toutes les dernières révélations. Si nous ne connaissions pas les détails, nous savions tous, dans le monde de la sécurité, que la technologie est vacillante et malade. Depuis des années nous voyons tourner les vautours qui veulent profiter de cet état de fait. La NSA n’est pas et n’a jamais été le grand prédateur unique fondant sur Internet. C’est simplement le plus gros de ces charognards. S’ils arrivent à aller aussi loin, ce n’est pas parce que leurs employés sont des dieux des maths.

Si la NSA s’en sort si bien, c’est parce que les logiciels en général sont merdiques.

Huit mois avant que Snowden ne fasse ses révélations, j’ai twitté ça  :

tweetQuinnNorton.png

«  alerte de sécu  : tout a une faille 0 day, tout le monde est suivi à la trace, toutes les données fuitent, tout est vulnérable, tout est compromis jusqu’à l’os.  »

J’en étais arrivée à cette conclusion un peu désespérée  : chercher des logiciels de qualité est un combat perdu d’avance. Comme ils sont écrits par des gens n’ayant ni le temps ni l’argent nécessaires, la plupart des logiciels sont publiés dès qu’ils fonctionnent assez bien pour laisser leurs auteurs rentrer chez eux et retrouver leur famille. Pour nous le résultat est épouvantable.

Si les logiciels sont aussi mauvais, c’est parce qu’ils sont très complexes, et qu’il cherchent à parler à d’autres logiciels, soit sur le même ordinateur, soit au travers du réseau. Même votre ordinateur ne peut plus être considéré comme unique  : c’est une poupée russe, et chaque niveau est fait de quantité d’éléments qui essaient de se synchroniser et de parler les uns avec les autres. L’informatique est devenue incroyablement complexe, alors que dans le même temps les gens sont restés les mêmes, pétris de la même boue grise originelle pleine d’une prétention à l’étincelle divine.

Le merdier qu’est votre ordinateur sous Windows est tellement complexe que personne sur Terre ne sait tout ce qu’il fait vraiment, ni comment.

Maintenant imaginez des milliards de petites boites opaques qui essaient en permanence de discuter les unes avec les autres, de se synchroniser, de travailler ensemble, partageant des bouts de données, se passant des commandes… des tous petits bouts de programmes aux plus gros logiciels, comme les navigateurs – c’est ça, Internet. Et tout ça doit se passer quasi-simultanément et sans accrocs. Sinon vous montez sur vos grand chevaux parce que le panier de la boutique en ligne a oublié vos tickets de cinéma.

On n’arrête pas de vous rappeler que le téléphone avec lequel vous jouez à des jeux stupides et que vous laissez tomber dans les toilettes au troquet du coin est plus puissant que les ordinateurs utilisés pour la conquête de l’espace il y a de cela quelques décennies à peine. La NASA dispose d’une armée de génies pour comprendre et maintenir ses logiciels. Votre téléphone n’a que vous. Ajoutez à cela un mécanisme de mises à jour automatiques que vous désactivez pour qu’il ne vous interrompe pas au beau milieu d’une séance de Candy Crush…

À cause de tout ça, la sécurité est dans un état effrayant. En plus d’être truffés de bugs ennuyeux et de boîtes de dialogue improbables, les programmes ont souvent un type de faille piratable appelée 0 day («  zéro jour  ») dans le monde de la sécurité informatique. Personne ne peut se protéger des 0 days. C’est justement ce qui les caractérise  : 0 représente le nombre de jours dont vous disposez pour réagir à ce type d’attaque. Il y a des 0 days qui sont anodins et vraiment pas gênants, il y a des 0 days très dangereux, et il y a des 0 days catastrophiques, qui tendent les clés de la maison à toute personne qui se promène dans le coin. Je vous assure qu’en ce moment même, vous lisez ceci sur une machine qui a les trois types de 0days. Je vous entends d’ici me dire  : «  Mais, Quinn, si personne ne les connaît comment peux-tu savoir que je les ai  ?  » C’est parce que même un logiciel potable doit avoir affaire avec du code affreux. Le nombre de gens dont le travail est de rendre le logiciel sûr peut pratiquement tenir dans un grand bar, et je les ai regardé boire. Ce n’est pas rassurant. La question n’est pas  : «  est-ce que vous allez être attaqué  ?  » mais  : «  quand serez-vous attaqué  ?  »

Considérez les choses ainsi  : à chaque fois que vous recevez une mise à jour de sécurité (apparemment tous les jours avec mon ordi sous Linux), tout ce qui est mis à jour a été cassé, rendu vulnérable depuis on ne sait combien de temps. Parfois des jours, parfois des années. Personne n’annonce vraiment cet aspect des mises à jour. On vous dit «  Vous devriez installer cela, c’est un patch critique  !  » et on passe sous silence le côté «  …parce que les développeurs ont tellement merdé que l’identité de vos enfants est probablement vendue en ce moment même à la mafia estonienne par des script kiddies accrocs à l’héro  ».

Les bogues vraiment dangereux (et qui peut savoir si on a affaire à eux lorsqu’on clique sur le bouton «  Redémarrer ultérieurement  »  ?) peuvent être utilisés par des hackers, gouvernements, et d’autres horreurs du net qui fouillent à la recherche de versions de logiciels qu’ils savent exploiter. N’importe quel ordinateur qui apparaît lors de la recherche en disant «  Hé  ! Moi  ! Je suis vulnérable  !  » peut faire partie d’un botnet, en même temps que des milliers, ou des centaines de milliers d’autres ordinateurs. Souvent les ordinateurs zombies sont possédés à nouveau pour faire partie d’un autre botnet encore. Certains botnets patchent les ordinateurs afin qu’ils se débarrassent des autres botnets, pour qu’ils n’aient pas à vous partager avec d’autres hackers. Comment s’en rendre compte si ça arrive  ? Vous ne pouvez pas  ! Amusez-vous à vous demander si votre vie en ligne va être vendue dans l’heure qui suit  ! La prochaine fois que vous penserez que votre grand-mère n’est pas cool, pensez au temps qu’elle a passé à aider de dangereux criminels russes à extorquer de l’argent à des casinos offshore avec des attaques DDoS.

Récemment un hacker anonyme a écrit un script qui prenait le contrôle d’appareils embarqués Linux. Ces ordinateurs possédés scannaient tout le reste d’Internet et ont créé un rapport qui nous en a appris beaucoup plus que ce que nous savions sur l’architecture d’Internet. Ces petites boîtes hackées ont rapporté toutes leurs données (un disque entier de 10 To) et ont silencieusement désactivé le hack. C’était un exemple délicieux et utile d’un individu qui a hacké la planète entière. Si ce malware avait été véritablement malveillant, nous aurions été dans la merde.

Et ceci parce que les ordinateurs sont tous aussi inévitablement défectueux  : ceux des hôpitaux et des gouvernements et des banques, ceux de votre téléphone, ceux qui contrôlent les feux de signalisation et les capteurs et les systèmes de contrôle du trafic aérien. Chez les industriels, les ordinateurs destinés à maintenir l’infrastructure et la chaîne de fabrication sont encore pires. Je ne connais pas tous les détails, mais ceux qui sont les plus au courant sont les personnes les plus alcooliques et nihilistes de toute la sécurité informatique. Un autre de mes amis a accidentellement éteint une usine avec un ‘“ping”’ malformé au début d’un test d’intrusion. Pour ceux qui ne savent pas, un ‘“ping”’ est seulement la plus petite requête que vous pouvez envoyer à un autre ordinateur sur le réseau. Il leur a fallu une journée entière tout faire revenir à la normale.

Les experts en informatique aiment prétendre qu’ils utilisent des logiciels d’un genre complètement différent, encore plus géniaux, qu’eux seuls comprennent, des logiciels faits de perfection mathématique et dont les interfaces semblent sortir du cul d’un âne colérique. C’est un mensonge. La forme principale de sécurité qu’ils offrent est celle que donne l’obscurité – il y a si peu de gens qui peuvent utiliser ces logiciels que personne n’a le moindre intérêt à concevoir des outils pour les attaquer. Sauf si, comme la NSA, vous voulez prendre le contrôle sur les administrateurs systèmes.

Une messagerie chiffrée et bien codée, il ne peut rien nous arriver, hein  ?

Prenons un exemple que les experts aiment mettre sous le nez des gens normaux qui ne l’utilisent pas  : OTR. OTR, ou Off The Record messaging, ajoute une couche de chiffrement aux échanges via messagerie instantanée. C’est comme si vous utilisiez AIM ou Jabber et que vous parliez en code sauf que c’est votre ordinateur qui fait le code pour vous. OTR est bien conçu et robuste, il a été audité avec attention et nous sommes bien sûrs qu’il ne contient aucune de ces saloperies de vulnérabilités zéro jour.

Sauf que OTR n’est pas vraiment un programme que vous utilisez tel quel.

Il existe un standard pour le logiciel OTR, et une bibliothèque, mais elle ne fait rien par elle-même. OTR est implémentée dans des logiciels pour des neuneus par d’autres neuneus. À ce stade, vous savez que ça va se terminer dans les pleurs et les grincements de dents.

La partie principale qu’utilise OTR est un autre programme qui utilise une bibliothèque appelée ‘“libpurple”’. Si vous voulez voir des snobs de la sécurité aussi consternés que les ânes qui ont pondu leur interface, apportez-leur ‘“libpurple”’. ‘“Libpurple”’ a été écrit dans un langage de programmation appelé C.

Le C est efficace dans deux domaines  : l’élégance, et la création de vulnérabilités jour zéro critiques en rapport avec la gestion de la mémoire.

Heartbleed, le bogue qui a affecté le monde entier, permettant la fuite de mots de passe et de clés de chiffrement et qui sait quoi encore  ? – Du classique et superbe C.

La ‘“libpurple”’ a été écrite par des gens qui voulaient que leur client de discussion open source parle à tous les systèmes de messagerie instantanée du monde, et se foutaient complètement de la sécurité ou du chiffrement. Des gens du milieu de la sécurité qui en ont examiné le code ont conclu qu’il y avait tellement de façons d’exploiter la ‘“libpurple”’ que ça n’était probablement pas la peine de la patcher. Elle doit être jetée et réécrite de zéro. Ce ne sont pas des bugs qui permettent à quelqu’un de lire vos messages chiffrés, ce sont des bugs qui permettent à n’importe qui de prendre le contrôle total de votre ordinateur, regarder tout ce que vous tapez ou lisez et même probablement vous regarder vous mettre les doigts dans le nez devant la webcam.

Ce magnifique outil qu’est OTR repose sur la ‘“libpurple”’ dans la plupart des systèmes où il est utilisé. Je dois éclaircir un point, car même certains geeks n’en ont pas conscience  : peu importe la force de votre chiffrement si celui qui vous attaque peut lire vos données par-dessus votre épaule, et je vous promets que c’est possible. Qu’il sache le faire ou pas encore, cela reste néanmoins possible. Il y a des centaines de bibliothèques comme ‘“libpurple”’ sur votre ordinateur  : des petits bouts de logiciels conçus avec des budgets serrés aux délais irréalistes, par des personnes ne sachant pas ou ne se souciant pas de préserver la sécurité de votre système.

Chacun de ces petits bugs fera l’affaire quand il s’agit de prendre le contrôle de tout le reste de votre ordinateur. Alors on met à jour, on remet à jour, et peut-être que ça mettra les intrus dehors, ou peut-être pas. On n’en sait rien  ! Quand on vous dit d’appliquer les mises à jour, on ne vous dit pas de réparer votre navire. On vous dit de continuer à écoper avant que l’eau n’atteigne votre cou.

oldSchoolSecurity.jpg (Crédit image  : sridgway, licence CC BY 2.0)

Pour prendre un peu de recul par rapport à cette scène d’horreur et de désolation, je dois vous dire que la situation est tout de même meilleure que par le passé. Nous disposons aujourd’hui d’outils qui n’existaient pas dans les années 90, comme le ‘“sandboxing”’, qui permet de confiner des programmes écrits stupidement là où ils ne peuvent pas faire beaucoup de dégâts. (Le «  sandboxing  » consiste à isoler un programme dans une petite partie virtuelle de l’ordinateur, le coupant ainsi de tous les autres petits programmes, ou nettoyant tout ce que ce programme essaie de faire avant que d’autres puissent y accéder).

Des catégories entières de bugs horribles ont été éradiqués comme la variole. La sécurité est prise plus au sérieux que jamais, et il y a tout un réseau de personnes pour contrer les logiciels malveillants 24h sur 24. Mais ils ne peuvent pas vraiment garder la main. L’écosystème de ces problèmes est tellement plus vaste qu’il ne l’était ne serait-ce qu’il y a dix ans, qu’on ne peut pas vraiment dire que l’on fait des progrès.

Les gens, eux aussi, sont cassés

«  Je vous fais confiance…  » est ce que j’aime le moins entendre de la part des mes sources Anonymous. C’est invariablement suivi de bribes d’informations qu’ils n’auraient jamais dû me confier. Il est naturel de partager quelque chose de personnel avec quelqu’un en qui on a confiance. Mais c’est avec exaspération que je dois rappeler aux Anons qu’avant d’être connectés à un autre être humain ils sont d’abord connectés à un ordinateur, relayé à travers un nombre indéterminé de serveurs, switches, routeurs, câbles, liaisons sans fil, et en bout de chaîne, mon ordinateur parfaitement ciblé par les attaques. Tout ceci se déroule le temps d’une longue inspiration. Cela semble une évidence, mais il est bon de le rappeler  : les humains ne sont pas conçus pour penser de cette manière.

Personne n’arrive à utiliser les logiciels correctement. Absolument tout le monde se plante. OTR ne chiffre pas avant le premier message, un fait que des éminents professionnels de la sécurité et des hackers qui subissent une chasse à l’homme dans une vingtaine de pays oublient en permanence. Gérer toutes les clés de chiffrement et de déchiffrement dont vous avez besoin pour garder vos données en sûreté sur plusieurs appareils, sites, et comptes est théoriquement possible, de la même façon que réaliser une appendicectomie sur soi-même est théoriquement possible. Il y a un gars qui a réussi à le faire en Antarctique, pourquoi pas moi, hein  ?

Tous les experts en programmes malveillants que je connais ont un jour oublié ce que faisait là un certain fichier, ont cliqué dessus pour le voir et ensuite compris qu’ils avaient exécuté un quelconque logiciel malveillant qu’ils étaient censés examiner. Je sais cela parce que ça m’est arrivé une fois avec un PDF dans lequel je savais qu’il y avait quelque chose de mauvais. Mes amis se sont moqués de moi, puis m’ont tous confessé discrètement qu’ils avaient déjà fait la même chose. Si quelques-uns des meilleurs spécialiste de rétro-ingénierie de logiciels malveillants ne peuvent surveiller leurs fichiers malveillants, qu’espérer de vos parents avec cette carte postale électronique qui est prétendument de vous  ?

Les pièces jointes exécutables (ce qui inclut les documents Word, Excel, et les PDF) des emails que vous recevez chaque jour peuvent provenir de n’importe qui (on peut écrire à peu près ce que l’on veut dans le champ «  De :  » d’un email) et n’importe laquelle de ces pièces jointes pourrait prendre le contrôle de votre ordinateur aussi facilement qu’une vulnérabilité jour zéro. C’est certainement de cette façon que votre grand-mère s’est retrouvée à travailler pour des criminels russes, ou que vos concurrents anticipent tous vos plans produits. Mais dans le monde d’aujourd’hui, vous ne pourrez sûrement pas conserver un emploi de bureau si vous refusez d’ouvrir des pièces jointes. Voilà le choix qui s’offre à vous  : prendre en permanence le risque de cliquer sur un dangereux programme malveillant, ou vivre sous un pont, laissant sur la pelouse de votre ancienne maison des messages pour dire à vos enfants combien vous les aimez et combien ils vous manquent.

Les experts de la sécurité et de la vie privée sermonnent le public à propos des métadonnées et des réseaux d’échange de données, mais prendre en compte ces choses est aussi naturel que de se faire une batterie de tests sanguins tous les matins, et à peu près aussi facile. Les risques sur le plan sociétal de renoncer à notre vie privée sont énormes. Et pourtant, les conséquences pour chacun de ne pas y renoncer sont immédiatement handicapantes. Il s’agit au final d’un combat d’usure entre ce que l’on veut pour nous-mêmes et nos familles, et ce que l’on doit faire pour vivre dans notre communauté en tant qu’humains – un champ de mines monétisé par les entreprises et monitoré par les gouvernements.

Je travaille en plein là-dedans, et je ne m’en sors pas mieux. J’ai dû une fois suivre un processus pour vérifier mon identité auprès d’un informateur méfiant. J’ai dû prendre une série de photos montrant où je me trouvais ainsi que la date. Je les ai mises en ligne, et on m’a permis de procéder à l’interview. Au final, il se trouve qu’aucune de ces vérifications n’avait été envoyées, parce que j’avais oublié d’attendre la fin du chargement avant d’éteindre nerveusement mon ordinateur. «  Pourquoi m’avez-vous quand même permis de vous voir  ?  » demandais-je à ma source. «  Parce qu’il n’y a que vous qui pourrait faire une chose aussi stupide  », m’a-t-il répondu.

Touché.

Mais si cela m’arrive à moi, une adulte relativement bien entraînée qui fait attention à ce genre de sujets systématiquement, quelle chance ont les gens avec de vrais boulots et de vraies vies  ?

Finalement, c’est la culture qui est cassée.

Il y a quelques années, j’ai rencontré plusieurs personnes respectées qui travaillent dans la confidentialité et la sécurité logicielle et je leur ai posé une question. Mais d’abord j’ai dû expliquer quelque chose  : «  La plupart des gens n’ont pas de droits d’administration sur les ordinateurs qu’ils utilisent.  »

computerClassBolts.jpg (Crédit image  : amelungc, licence CC BY 2.0)

C’est-à-dire que la plupart des gens qui utilisent un ordinateur dans le monde n’en sont pas propriétaires… Que ce soit dans un café, à l’école, au travail, installer une application bureautique n’est pas directement à la portée d’une grande partie du monde. Toute les semaines ou toutes les deux semaines, j’étais contacté par des gens prêts à tout pour améliorer la sécurité et les options de confidentialité, et j’ai essayé de leur apporter mon aide. Je commençais par «  Téléchargez le…  » et on s’arrêtait là. Les gens me signalaient ensuite qu’ils ne pouvaient pas installer le logiciel sur leur ordinateur. En général parce que le département informatique limitait leurs droits dans le cadre de la gestion du réseau. Ces gens avaient besoin d’outils qui marchaient sur ce à quoi ils avaient accès, principalement un navigateur.

Donc la question que j’ai posée aux hackers, cryptographes, experts en sécurité, programmeurs, etc. fut la suivante  : quelle est la meilleure solution pour les gens qui ne peuvent pas télécharger de nouveau logiciel sur leurs machines  ? La réponse a été unanime  : aucune. Il n’y a pas d’alternative. On me disait qu’ils feraient mieux de discuter en texte brut, «  comme ça ils n’ont pas un faux sentiment de sécurité  ». À partir du moment où ils n’ont pas accès à de meilleurs logiciels, ils ne devraient pas faire quoi que ce soit qui puisse déranger les gens qui les surveillent. Mais, expliquais-je, il s’agit d’activistes, d’organisateurs, de journalistes du monde entier qui ont affaire à des gouvernements et des sociétés et des criminels qui peuvent vraiment leur faire du mal, ces gens sont vraiment en danger. On me répondait alors que dans ce cas, ils devraient s’acheter leurs propres ordinateurs.

Et voilà, c’était ça la réponse  : être assez riche pour acheter son propre ordinateur, ou bien littéralement tout laisser tomber. J’ai expliqué à tout le monde que ce n’était pas suffisant, j’ai été dénigrée lors de quelques joutes verbales sans conséquences sur Twitter, et je suis passée à autre chose. Peu de temps après, j’ai compris d’où venait l’incompréhension. Je suis retourné voir les mêmes experts et j’ai expliqué  : dans la nature, dans des situations vraiment dangereuses – même quand les gens sont traqués par des hommes avec des armes – quand le chiffrement et la sécurité échouent, personne n’arrête de parler. Ils espèrent seulement ne pas se faire prendre.

La même impulsion humaine qui nous pousse vers le hasard et les loteries depuis des milliers d’années soutient ceux qui luttent même quand les chances sont contre eux. «  Peut-être bien que je m’en sortirai, autant essayer  !  » Pour ce qui est de l’auto-censure des conversations dans une infrastructure hostile, les activistes non techniques s’en sortent de la même manière que les Anons, ou que les gens à qui l’on dit de se méfier des métadonnées, ou des réseaux d’échanges de données, ou de ce premier message avant que l’encodage OTR ne s’active. Ils foirent.

Cette conversation a été un signal d’alerte pour quelques personnes de la sécurité qui n’avaient pas compris que les personnes qui devenaient activistes et journalistes faisaient systématiquement des choses risquées. Certains ont rallié mon camp, celui où on perd son temps à des combats futiles sur Twitter et ils ont pris conscience que quelque chose, même quelque chose d’imparfait, pouvait être mieux que rien. Mais beaucoup dans le domaine de la sécurité sont toujours dans l’attente d’un monde parfait dans lequel déployer leur code parfait.

Alors apparaît l’Intelligence Community (Communauté du renseignement), ils s’appellent entre eux le IC. Nous pourrions trouver ça sympathique s’ils arrêtaient d’espionner tout le monde en permanence, et eux aimeraient bien que l’on cesse de s’en plaindre. Après avoir passé un peu de temps avec eux, je pense savoir pourquoi ils ne se préoccupent pas de ceux qui se plaignent. Les IC font partie des humains les plus surveillés de l’histoire. Ils savent que tout ce qu’ils font est passé au peigne fin par leurs pairs, leurs patrons, leurs avocats, d’autres agences, le président, et parfois le Congrès. Ils vivent surveillés, et ne s’en plaignent pas.

Dans tous les appels pour augmenter la surveillance, les fondamentaux de la nature humaine sont négligés. Vous n’allez pas apprendre aux espions que ce n’est pas bien en faisant encore plus qu’eux. Il y aura toujours des failles, et tant qu’elles existeront ou pourront être utilisées ou interprétées, la surveillance sera aussi répandue que possible. Les humains sont des créatures généralement égocentriques. Les espions, qui sont humains, ne comprendront jamais pourquoi vivre sans vie privée est mal aussi longtemps qu’ils le feront.

Et pourtant ce n’est pas cela le pire. La catastrophe culturelle qu’ils provoquent rend plus facile leur boulot d’épier le monde. Les aspects les plus dérangeants des révélations, ce sont le marché des failles 0 day, l’accumulation des moyens de les exploiter, l’affaiblissement des standards. La question est de savoir qui a le droit de faire partie de ce «  nous  » qui est censé être préservé de ces attaques, écoutes et décryptages et profilages. Quand ils ont attaqué Natanz avec Stuxnet et laissé tous les autres centres nucléaires vulnérables, nous avons été tranquillement avertis que le «  nous  » en question commençait et finissait avec l’IC lui-même. Voilà le plus grand danger.

Quand le IC ou le DOD ou le pouvoir exécutif sont les seuls vrais Américains, et que le reste d’entre nous ne sommes que des Américains de deuxième classe, ou pire les non-personnes qui ne sont pas associées aux États-Unis, alors nous ne pouvons que perdre toujours plus d’importance avec le temps. À mesure que nos désirs entrent en conflit avec le IC, nous devenons de moins en moins dignes de droits et de considération aux yeux du IC. Quand la NSA accumule des moyens d’exploiter les failles, et que cela interfère avec la protection cryptographique de notre infrastructure, cela veut dire qu’exploiter des failles contre des gens qui ne sont pas de la NSA ne compte pas tellement. Nous sécuriser passe après se sécuriser eux-mêmes.

En théorie, la raison pour laquelle nous sommes si gentils avec les soldats, que nous avons pour habitude d’honorer et de remercier, c’est qu’ils sont supposés se sacrifier pour le bien des gens. Dans le cas de la NSA, l’inverse s’est produit. Notre bien-être est sacrifié afin de rendre plus aisé leur boulot de surveillance du monde. Lorsque cela fait partie de la culture du pouvoir, on est en bonne voie pour que cela débouche sur n’importe quel abus.

Mais le plus gros de tous les problèmes culturels repose toujours sur les épaules du seul groupe que je n’aie pas encore pris à partie – les gens normaux, qui vivent leurs vies dans cette situation démentielle. Le problème des gens normaux avec la technologie est le même qu’avec la politique, ou la société en général. Les gens pensent être isolés et sans pouvoir, mais la seule chose qui maintient les gens seuls et sans pouvoir est cette même croyance. Ceux qui travaillent ensemble ont un énorme et terrible pouvoir. Il existe certainement une limite à ce que peut faire un mouvement organisé de personnes qui partagent un rêve commun, mais nous ne l’avons pas encore trouvée.

Facebook et Google semblent très puissants, mais ils vivent à peu près à une semaine de la ruine en permanence. Ils savent que le coût de départ des réseaux sociaux pris individuellement est élevé, mais sur la masse, c’est une quantité négligeable. Windows pourrait être remplacé par quelque chose de mieux écrit. Le gouvernement des États-Unis tomberait en quelques jours devant une révolte générale. Il n’y aurait pas besoin d’une désertion totale ou d’une révolte générale pour tout changer, car les sociétés et le gouvernement préfèreraient se plier aux exigences plutôt que de mourir. Ces entités font tout ce qu’elles peuvent pour s’en sortir en toute impunité – mais nous avons oublié que nous sommes ceux qui les laissons s’en sortir avec ces choses.

Si les ordinateurs ne satisfont pas nos besoins de confidentialité et de communication, ce n’est pas en raison d’une quelconque impossibilité mathématique. Il existe un grand nombre de systèmes qui pourraient chiffrer nos données de façon sécurisée et fédérée, nous disposons de nombreuses façons de retrouver la confidentialité et d’améliorer le fonctionnement par défaut des ordinateurs. Si ce n’est pas ainsi que les choses se passent en ce moment c’est parce que nous n’avons pas exigé qu’il en soit ainsi, et non pas parce que personne n’est assez malin pour que ça arrive.

C’est vrai, les geeks et les PDG et les agents et les militaires ont bousillé le monde. Mais en fin de compte, c’est l’affaire de tous, en travaillant ensemble, de réparer le monde.

Suivre Goofy:

je lis des livres et mange des nouilles.

33 Responses

  1. ANDRE Ani

    Très intéressant, et flippant.
    Que fait-on alors ? Comment arranger les choses ?

  2. 13Atg

    @Andre.

    On maintient le cap sur la simplicité et l’ouverture. On n’utilise que ce qu’on peut comprendre, ce qui se réduit souvent à peu de choses, mais ce peu suffit presque toujours.

    Comme tout le monde, il m’arrive de travailler sous Windows (un peu) et sur OSX (beaucoup), c’est ingérable.

    A contrario, j’utilise souvent des linux minimalistes (du type TinyCore) où l’on n’installe les modules qu’avec parcimonie. Cette contrainte est divertissante : on se rend compte qu’il est possible de se passer de beaucoup de choses.

    Je suis toujours surpris de l’engouement pour les logiciels bureautiques. Installer OpenOffice, donc installer Java plus un logiciel obèse et lent, alors qu’un simple éditeur + html ou mardown suffit la plupart du temps…

    C’est un travers qui existe à dans toute la sphère de consommation des objets. Utiliser un robot mixer alors qu’un couteau fait l’affaire, un remonte vitre automatique alors qu’une manivelle suffit.

    La simplicité n’est pas la panacée. Même un système d’apparence simple est très complexe. Et peut donc être susceptible d’attaques et d’espionnages en tout genre. Mais il faut avouer qu’en acceptant une technologie lourde et inutile, on donne tout de même le bâton pour se faire battre.

  3. Axelos

    13Atg n’est ce pas contradictoire avec ce passage ?

    « Donc la question que j’ai posée aux hackers, cryptographes, experts en sécurité, programmeurs, etc. fut la suivante : quelle est la meilleure solution pour les gens qui ne peuvent pas télécharger de nouveau logiciel sur leurs machines ? La réponse a été unanime : aucune. Il n’y a pas d’alternative. On me disait qu’ils feraient mieux de discuter en texte brut, « comme ça ils n’ont pas un faux sentiment de sécurité ». À partir du moment où ils n’ont pas accès à de meilleurs logiciels, ils ne devraient pas faire quoi que ce soit qui puisse déranger les gens qui les surveillent. Mais, expliquais-je, il s’agit d’activistes, d’organisateurs, de journalistes du monde entier qui ont affaire à des gouvernements et des sociétés et des criminels qui peuvent vraiment leur faire du mal, ces gens sont vraiment en danger. On me répondait alors que dans ce cas, ils devraient s’acheter leurs propres ordinateurs. »

    À moins que la traduction soit imprécise, je noterais que l’individu m’a un peu insulté de neuneu.

  4. 13Atg

    L’impossibilité de télécharger ou d’utiliser des outils plus sûrs serait en contradiction avec le principe de simplicité ?

    Je ne sais pas. Chaque semaine on apprend qu’un logiciel « plus sûr » est en fait faisandé jusqu’au trognon. Et qui plus est, que l’application ou le système d’exploitation ne jouent finalement qu’un rôle mineur dans la fuite des informations, le bios se révélant bien plus dangereux. D’où la hantise de Stallman préférant un ordinateur chinois poussif mais (apparemment) plus « transparent » au niveau du bios.

    La (relative) simplicité des logiciels permet peut-être un repérage plus facile des pièges, surtout si cette simplicité rejoint une certaine ancienneté, compte-tenu du nombre de programmeurs qui ont la compétence pour se pencher sur leur élaboration et fouiller le code;

    Avec des usines à gaz, je ne vois pas comment cela est jouable. Sans compter qu’il y a une frénésie dans l’accumulation de ces monstres sur les ordinateurs.

    Mais la protection concernant les ordinateurs me semble déjà relever en bonne partie du passé. Le smartphone devient maître et il le sera chaque jour davantage. Et là, on a la totale : opacité totale sur les composants, sur l’OS et sur les applications… Sans compter l’inévitable frénésie de l’utilisateur qui bourre son smartphone jusqu’à la gueule d’applications dont l’utilité reste toujours un peu critiquable.

    On se moque toujours de Stallman quand il prétend n’en point posséder (c’est vrai que ça fait un peu paysan) mais c’est cohérent. A condition qu’il fasse gaffe à sa bagnole qui est une donneuse aussi !

  5. tchibeck

    En 1982 je découvrais les rudiments du BASIC sur un Commodore PET/CBM 2001 acheté d’occasion à un IUT d’informatique. Intéressé par la « chose informatique » je n’ai jamais cessé depuis. Les années ont passé, les ordis aussi, les BBS, puis France-Teaser (pour les anciens), qui fut la première société en France à fournir 8000 hiérarchies Usenet.us, sur abonnement, par Minitel (c) avec modem retourné en mode ANSI 80 colonnes.

    En 1997, au cours d’une très longue « flame-war » sur la hiérarchie FR de Usenet (plusieurs mois), je me fis cette réflexion : « La faute de l’homme contre l’omnipotence de Dieu a été la tour de Babel, celle contre l’omnsiscience de Dieu est ‘l’Internet ».

    On peut parfaitement être athée, agnostique ou croyant, ou simplement s’en foutre, ou encore considérer de façon philosophique que le fait religieux est une composante incontournable de l’histoire humaine, ça n’a pas d’importance. Cette phrase résume en quelque sorte l’incroyable propension de l’être humain à foutre le bordel quand il assemble des « trucs » dont la maitrise et la complexité lui échappent.

    Qu’on songe simplement à la tour de Babel, Tchernobyl ou Fukushima (et celles à venir) ! Ou qu’on songe à la somme des compétences, des synergies et des métiers pour faire voler un avion, faire en sorte qu’il n’en percute pas un autre, ou pour faire en sorte qu’un satellite parvienne sur son orbite sans que rien ne foire entre temps… Je vous passe les détails… Que ce soit le cockpit d’un avion de ligne, un centre de contrôle aérien, la base de lancement de Kuru, la gestion des rames de métro parisiennes, ou la gestion des centrales nucléaires, on appelle ça des « systèmes ultra-sûrs ».

    Très logiquement la gestion d’un système ultra-sûr consiste avant tout en la gestion des erreurs humaines. Et en la mise en place de redondances de sécurité et de cross-check pour faire en sorte que dans la quantité de choses qui foirent, elles ne foirent pas toutes en même temps et que le pire ne se produise pas. Je le sais c’était mon métier.

    Mais on voit bien que passé une certaine démesure (tour de Babel) ou une certaine complexité (informatique connectée) la quantité de paramètres devient totalement ingérable. D’où ma réflexion ci-dessus sur la nature de l’Internet.

    C’était il y a seulement 17 ans. Certains d’entre vous en étaient peut-être seulement à la gameboy à cette époque ?

    Imaginez-vous qu’aujourd’hui sur une « fresh-install » d’Ubuntu 14.04 LTS, rkunter et chkrootkit, deux softs antirootkits open-source, me trouvent chacun 2 rootkits sur mon Ubuntu juste installé et mis à jour !? Après formatage et sans dual-boot !

    Je ne suis qu’un utilisateur averti, pas un codeur. Je cherche plus la stabilité d’un outil informatique connecté que la préservation de ma vie privée (je sais, j’ai tort…) Mais quelque part, j’ai le sentiment qu’après toutes ces années à voir évoluer les ordinateurs, de toutes ces machines 8 bits à OS propriétaires, au PC MS-DOS, puis Windows, puis Linux, de voir MacOS, après avoir travaillé sur NextStep-NextStations, en 1995, j’ai l’impression amère que le jour où quelqu’un à « abaissé le levier » qui connecta toutes ces machines plus ou moins stables et vulnérables, il se produisit quelque choses de catastrophique « en puissance », inéluctable, irréversible, de l’ordre de la Tour de Babel, de Tchernobyl ou de Fukushima. Quelque chose que plus personne ne maitriserait plus, jamais.

    Depuis, devenu grand-père, je commence à rentrer en décroissance. Je suis de l’avis du contributeur plus haut : les vitres électriques sont sources de panne et mieux vaut des manivelles. Mais les crémaillères peuvent quand même se bloquer (je le sais ça m’est arrivé ^^ ). Je roule en Dacia parce que Citroën ne produit plus de 2CV. Ma vieille Peugeot a 15 ans et je ne la remplacerai pas quand elle crèvera.

    Je pense de plus en plus à me déconnecter. J’y songe chaque jour. Je me demande si c’est possible et comment. Car il faut bien dire que l’univers virtuel est une drogue, en plus du reste…

    Les machines ont toujours eu pour but affiché de soulager l’homme des tâches pénibles ou de faire plus vite et mieux que lui ce qu’il faisait à la main. Et même ce qu’il est incapable de faire en matière de capacité de calcul.

    Jadis amateur de SF, j’ai lu quelques romans où les « machines évoluées » se retournaient contre leurs créateurs. La réalité est infiniment plus pernicieuse : aujourd’hui j’ai le sentiment que l’humain a créer une sorte de gigantesque « idole », l’Internet, qui lui rend finalement beaucoup moins de services que la contrepartie qu’il lui donne. Ne sommes nous pas devenus les esclaves du réseau des machines connectées ?

    Et tout ce temps passé à les mettre à jour, à les paramétrer, à les configurer, à les stabiliser, à remettre de l’ordre dans leur systèmes d’exploitations, dans les applicatifs…. Tout ce temps devient une sorte de servitude, un culte rendu à l’idole suprême.

    Prenez-le comme une image, selon votre degré d’implication dans les choses spirituelles, mais vraiment je le crois, Babel était la faute des premiers temps, Internet sera celle des derniers temps.

  6. AucuneImportance

    Sur FramaBlog, il n’est pas rare que je sois obligé de vérifier la date pour vérifier que la date est différente du 1er avril…

    Pourquoi l’outrance donne-t-elle l’illusion de la claire-voyance… Mystère…

  7. Goofy

    Sur les commentaires d’AucuneImportance, il n’est pas rare que je sois obligé de vérifier la phrase pour vérifier que la phrase est différente de l’inanité…
    Pourquoi l’amphigouri lui donne-t-elle l’illusion d’une distance critique… Mystère…

  8. tizef

    Argh, c’est beau comme du Philip K. Dick, bien qu’un peu court sur la théorie du complot. C’est un peu juste (litote) sur le plan des références aussi, et n’était la dernière partie, l’impression serait celle d’un article sensationnaliste de plus (tout à fait le genre que semble priser Stéphane Bortzmeyer, hi hi hi). Au fait, finalement on en fait quoi de GnuPG, OpenSSL ou autre tag « Chiffrement » ?

  9. tizef

    @goofy : j’avais eu la curiosité de cliquer sur le lien kivabien et comme je l’ai écrit plus haut, la dernière partie me semble plus intéressante que le reste. Après, ben c’est un peu yakafokon : réparer — ou éradiquer ? — Microsoft et Apple ; Amazon, Facebook et Google ; la NSA et consorts… Déjà que « les gens normaux » ont la flemme de chiffrer leurs courriels dans l’état actuel des choses, il ne faut peut-être pas trop compter sur eux pour mettre les mains dans le cambouis. Mais bon, je me trompe peut-être ?

  10. AucuneImportance

    @goofy : Justement ! c’est loin d’être une débutante et les techniques sont bien maîtrisées…

    On joue les Cassandre, on tape sur tout le monde, et on finira bien par avoir raison quelque part… Entame de l’article : « Huit mois avant que Snowden ne fasse ses révélations, j’ai twitté ça »… Ben voyons…

    On pourrait avoir le début de l’ombre d’un commencement d’explication sur (au hsard) « Facebook et Google semblent très puissants, mais ils vivent à peu près à une semaine de la ruine en permanence. » Parce que ça doit faire un bon millier de semaines que cela dure… Inutile, l’auteur possède une page wikipédia … ah bon, excusez…

    Et je pense qu’elle sait exactement à quel genre de public elle s’adresse et exactement ce qu’il y a dire (même si c’est invérifiable), pour se faire une réputation pour pas cher. Elle dénonce dans son article des tas de dérives intellectuelles, ok, admettons. Mais elle est tombée elle-même dans celle qui consiste à faire dans l’outrance / l’exagération pour se retrouver en tête de gondole…

  11. Gamamoto

    Bonjour,
    Si je peux me permettre j’aurais traduit :
    “Because only you would have been that stupid,” par =>
    « Parce qu’il n’y a que vous qui pouviez faire une chose aussi stupide »
    au lieu de « Parce qu’il n’y a que vous qui pourrait faire une chose aussi stupide »
    cela me parait plus correct.

  12. Goofy

    @Gamamoto ah ben non, le verbe de la relative hérite de la personne (ici 2e du pluriel de « politesse ») de l’antécédent du relatif.

  13. Gamamoto

    Ou sinon « il n’y a que vous pour faire une chose aussi stupide »
    Désolé de vous embêter avec ça mais la traduction me « choque » ça ne sonne pas français dans mes oreilles.

  14. goofy

    « Mais elle est tombée elle-même dans celle qui consiste à faire dans l’outrance / l’exagération pour se retrouver en tête de gondole… »

    Oui, c’est peut-être ça, admettons. Ou bien on peut voir les choses ainsi : aujourd’hui pour être entendu/lu il faut mettre le paquet pour franchir le mur de l’indifférence et émerger du flux continu des messages urgents d’importance nulle.

  15. 13Atg

    @tizet

    Pour OpenSSL et GnuPG, ben c’est mal barré : on ne fait que découvrir des failles…

    Quoique, dans une vision optimiste, un logiciel dans lequel on découvre des failles, ce n’est pas si mal. Le problème résidant dans les softs « réputés » sans failles.

  16. 13Atg

    @tizef

    Les gens s’en foutent-ils de ces histoires ?

    Pas dans les discours sans doute, mais dans les faits très certainement.

    Si on comptabilise les comptes FB et autres réseaux sociaux, les gmail et requêtes Google, les systèmes d’exploitation pourris, on doit taper dans les 99,99% de la population (friquée) planétaire.

    Chez les fanas de Linux, si c’est pour installer des distributions « gros culs » comme Ubuntu (ils veulent du Linux qui fonctionne immédiatement aussi bien qu’OSX en fait), ça me semble mal parti !

    Ne rêvons pas. La belle-soeur qui veut un linux « convivial », pour laquelle on installe Ubuntu, il suffit de lui offrir un Mac avec OSX. Au bout d’une semaine, adieu Ubuntu, adieu le libre, adieu les grands principes, bonjour la prison dorée.

  17. 13Atg

    @tchibek

    Internet est indétrônable car il gère… l’ENNUI !

    Il est une façon relativement modérée de dire à l’autre ou aux autres qu’on s’emmerde grave avec eux.

    Quand on a une tâche palpitante à effectuer ou lorsqu’on tombe amoureux, c’est fou comme internet perd soudainement de son intérêt. Ca n’arrive visiblement pas tous les jours.

  18. tchibeck

    @13Atg

    C’est pas faux 🙂
    En un sens, devenu invalide, j’en fais un peu l’expérience.
    Mais Dieu que je préfèrerais pouvoir courir :-/

    Ce qui ne change rien à mes réflexions d’observateur lambda ayant vu naître la première calculatrice à 4 opérations, 4 ans après avoir assisté abasourdi au premier pas sur la lune (pas tout à fait comme dans Tintin..).

    Lequel observateur lambda à vu poindre les premiers ordinateurs personnels (un TO7 chez un voisin d’une copine quand j’étais jeune et beau)

    Puis la banalisation des ordinateurs personnels… Jusqu’à ce qu’un « savant fou » les connecte tous ensemble.

    Je conviens qu’on peut critiquer mon billet  » d’humeur  » sur l’Internet, mais je persiste à penser qu’il en sortira plus de mal que de bien.

    Quant au fond de l’article, d’un mien neveu, brillant programmeur pour une entreprise aéronautique, j’ai reçu ce commentaire :

    « Oui parfaitement, et ce sans compter la future crise informatique que je prédis depuis près de 10 ans, voyant les technologies se succéder de manière encore plus bancale que la précédente étant basée sur elle qui elle même est encore plus bancale etc… A chaque étage du mur on interpole chaque fois plus de briques pour que l’ouvrage puisse monter. Pour moi une brique interpolée c’est du vent non du palpable. Il y a un moment où, comme en sciences fondamentales, [il faut que ?] on ait l’honnêteté de dire qu’on fait de la merde depuis trop longtemps et que l’on se doit de revenir aux racines et tout reconstruire dans le dur et s’inscrire dans la durée. »

    C’est du brut de fonderie, je n’ai pas remis ça en français correct 🙂

    A l’inverse de lui je crois qu’il n’est absolument pas possible de construire une informatique évoluée qui soit stable et propre, même en faisant table rase du passé, en repartant de zéro, même à crédits illimités.

    Pour la simple raison maintes fois constaté dans mon travail que j’évoque : dans un système expert ultra-sûr, quand trop de paramètres sont présents, plus personne ne contrôle rien. On met donc en place une gestion des erreurs humaines très évoluées et on multiplie les redondances de sécurité.

    En matière de développement informatique, ces « boites » que sont les librairies, les morceaux de codes sur lesquels on s’appuie, etc… On dépasse déjà de beaucoup le nombre des paramètres au-delà duquel plus personne ne gère la totalité du concept.

    Dès l’instant où le « savant fou » connecte les machines, on entre dans un système expert complètement fou dans lequel personne ne contrôle rien.

    Et comme personne n’a VRAIMENT compris la nécessité de protéger les systèmes vitaux qui sont connectés à l’Internet (qui LUI n’est PAS un système ultra-sûr), on vit dans l’aberration.

    Jadis (15 ans..) un ami dont le métier était (après signature d’un protocole) d’attaquer les entreprises puis de débriefer toutes les failles et vulnérabilités trouvées, me disait à propos des images radars élaborées dans les centres de contrôles, tours et salles d’approche :  » La prétention de l’aviation civile a utiliser un soi-disant réseau sécurisé pour véhiculer les messages « plots » des antennes radar aux centres qui élaborent l’image est mensongère.
    Soit c’est du Transpac soit c’est de l’IP. Et si j’ai un point d’accès je rentre et je fais ce que je veux  » .

    Il est bien évident qu’il en est de même pour tous les systèmes experts et tous les systèmes vitaux.

    Babel ! La tour de Babel, vous dis-je !

  19. tchibeck

    Voilà qui illustre le propos :
    http://www.frandroid.com/applicatio

    « La faute à certains SDK qui… etc… etc… »

    Quand c’est pas des DLL ou des SDK ce sont des API ?

    Bref, à force de ne pas vouloir réinventer la roue à chaque développement, l’informatique est bien un empilement, une imbrication de « boites » foireuses…

  20. 13Atg

    Quand j’étais môme, on nous vendait l’idée de rationalité dans l’organisation du corps humain et dans tous les organismes de manière générale. On s’extasiait devant cette merveilleuse mécanique cartésienne. Voire, on tombait encore un peu dans le lamarckisme.

    Plus tard, quand c’est devenu mon boulot, je n’ai cessé de repenser à François Jacob et son image du bricoleur farfouillant dans une décharge. Les organismes, loin d’être « rationnels » ne sont qu’un bric à brac plus ou bien agencés, chacun se démerdant pour rester plus ou moins adapté à son environnement.

    L’informatique me semble depuis toujours aller dans ce sens du bordel plus ou moins organisé. Au début, n’y connaissant rien, je croyais à un univers plutôt soviétique, planifié tant bien que mal, mais avec une volonté d’organisation bien réelle.

    Si le bordel dans le biologique correspond à des pressions hasardeuses de l’environnement, de ratés divers dans la réplication de cellules et autres joyeusetés, on est encore dans le « besoin ».

    Dans l’informatique, on est dans le besoin et le désir, confondant l’un avec l’autre. Et la compétition pour la vie n’est rien à côté de la férocité économique de l’informatique et de ce qui lui est lié.

    Parvenir à organiser une rationalité technique dans l’informatique me semble déjà un travail titanesque. Et je pense qu’on pourrait écrire des volumes sur les défaillances de cette organisation, alors qu’elle aussi se présente sous un jour rassurant.

    Mais quand la dimension économique est devenue écrasante, quand le concepteur de logiciels n’a eut de cesse de « faire plaisir », quand il a dû gérer des désirs et des modes toujours plus fous et contradictoires, on s’est mis à surpasser le bricolage du « vivant ».

    Quand je me suis mis à programmer (c’était pour faire plaisir, le boulot des autres étant toujours reposant), les contraintes ont toujours été la gestion des désirs, des pouvoirs, des « effets parapluie » et accessoirement une très relative efficacité technique. Je me suis vu, insidieusement, surpayé pour construire de la merde. De la merde qui fait plaisir certes.

    Aujourd’hui c’est la grande fête pour la sortie de Swift. Un truc archi propriétaire programmable avec une bouse nommée Xcode, censé remplacer à terme un machin nommé Objective-C. On est en plein délire…

    Alors, la « sécurité » et la « fiabilité » là-dedans, ça me fait doucement rigoler. Autant demander à tous les participants d’un partouze dans une ambiance Woodstock de prendre quelques précautions !

  21. AucuneImportance

    @goofy : aujourd’hui pour être entendu/lu il faut mettre le paquet…

    Pari risqué. Proverbe à méditer : Ce qui est excessif est insignifiant.

    Quand je lis des trucs du genre « à chaque fois que vous recevez une mise à jour de sécurité […] tout ce qui est mis à jour a été cassé, rendu vulnérable depuis on ne sait combien de temps. » Ok, j’ai compris. Poubelle.
    Encore une personne qui n’a pas pris le temps de lire le descriptif des « failles » (la grosse majorité ne sont que des potentialités, probabilités négligeables), et qui fait de l’esbrouffe à bon compte.

    Un peu comme celui qui n’a pas pigé qu’il existe des faux-positifs en matière de (détection de) rootkit…

    On constate que visiblement, chez certains, ce genre polémique à deux balles, ça fait démarrer au quart de tour… Comme prévu.

  22. goofy

    @AucuneImportance « Ok, j’ai compris. Poubelle. » Tu es trop fort !

  23. 13Atg

    @tchibeck

    J’ai lu le texte du lien. On comprend que ces squales n’entendent pas faire subir à leurs enfants ce qu’ils font subir aux autres !

    Je me suis farci pendant environ 8 ans des étudiants (je le fais encore, mais rarement). L’informatique ne leur sert strictement à rien ! A une exception notable : quand ils sont obligés de programmer.

    Sinon, ces merdeux te font chier avec leurs Powerpoint, leurs docx, leurs zolies zimages (ils adorent ça !) et leurs vidéos à la con (de plus en plus, les cours en mpeg, c’est leur truc). En fait, ils adorent la bureautique. L’informatique, un peu moins…

    Ils flippent dès qu’ils ne se saturent pas d’informations (ils accumulent des Go de docs piochés sur le net) et si le réseau est par terre, tu as l’impression d’avoir des traders qui vont perdre tout leur fric en face de toi.

    En fait, ils ont beaucoup de mal à accepter le fait que l’info, c’est dans le crâne qu’elle doit être et nulle part ailleurs.

    Pour contrer, on les met en situation « urgentistes » le plus souvent : le mec fait un infarctus, tu fais quoi ? Tu cherches sur ton DD l’info ? Tu poses une question à tes potes sur FB ? Tu te connectes sur Wikipedia ? Trop tard, il est mort…

    En revanche, les étudiants qui sont bidouilleurs et qui aiment taper du code sont souvent beaucoup plus réactifs et contestataires, ce qui est très bien. On peut ruser et les faire travailler des trucs passe-partout, genre IA et systèmes experts (Prolog, Lisp). Ils gueulent mais le but c’est qu’ils abandonnent leur fichue bureautique et leur Photoshop.

    Sur les ados, je ne connais pas sauf les miens. Et je ne décolère pas. Ordis du Conseil Régional avec Seven et quelques trucs libres dont les profs ne veulent pas. Les profs veulent la suite MS ou rien. On peut ruser quand ils sont encore jeunes : UCBLogo, un dialecte de Lisp, ça peut être sympa.

    Mais vers 15-16 ans, c’est la merde habituelle : smartphone, FB etc.

    C’est dur à dire, mais je crois que pour un ado, la seule solution, c’est de lui apprendre à pirater ou hacker ! Ton prof est sur XP, il va aux gogues pendant trois plombes, lance 0phcrack en liveusb sur sa tondeuse et tu auras les solutions de tes calculs de dérivées !

    Non, faire comprendre que les chiottes sont bouchées avec un simple mot écrit à la main, ça devient difficile. Ils veulent sortir un logiciel Adobe pour faire un joli dessin.

  24. 13Atg

    @AucuneImportance

    Sur les MAJ, on a beaucoup souffert tout de même !

    Je me suis tapé pas mal de versions de Windows (95,95,NT, etc…), quel merdier !

    Sur OSX, c’est plus cool. Faut juste racheter quelques logiciels, la routine Apple quoi…

    Avec IOS, à la fin de la MAJ, tu te rends compte qu’il faut TOUT racheter.

    Je ne me souviens pas avoir été spécialement emmerdé sur Slackware ou FreeBSD.

    Quand aux distribs « gros cul » style Ubuntu, avec des monstruosités installés par défaut comme KDE ou Gnome, j’irais à Lourdes avant toute MAJ…

  25. AucuneImportance

    @13Atg : La mise à jour est un (vrai) problème informatique que tout le monde sous-estime en général.
    C’est un problème théorique et pratique très complexe, et il n’y a pas de bonne solution.

    Malheureusement, une certaine propagande (même chez les libristes) « oublie » d’en faire mention et cela génère énormément de frustration ou mauvaises surprises.

    Ma première manip après une install c’est de virer tout ce qui a tendance à suggérer à l’utilisateur une mise à jour (même mineure).

  26. AucuneImportance

    @13Atg : Je n’ai pas dit que tout était rose dans le monde du logiciel. Certes non.

    Mais quand je lis autant de stupidités sur l’état réel des machines, des logiciels, je *sais* qu’il est inutile de lire plus loin.

    Cela vise à l’évidence une certaine population friande de parano-catastrophisme… (ne manque plus que le complot global).

    Ce n’est pas pour moi. J’ai passé l’age.

  27. Sergio

    « Le C est efficace dans deux domaines : l’élégance, et la création de vulnérabilités jour zéro critiques en rapport avec la gestion de la mémoire. »

    Moi qui suis un vieux croûton qui a connu, entre autres : Pascal, Ada, mais aussi de l’assembleur sur des DPS6 dépourvus d’unité de gestion de mémoire…

    Je dirais… Que C est effectivement efficace pour le second point, par contre pour l’élégance, bof, on a vu mieux…

    Je suis perpétuellement sidéré, ça ne se calme jamais, par le fait que probablement 95% des failles sont dues à l’utilisation d’outils de développement pourris… Stack overflow, buffer overflow, everything overflows…

    L’autre grand contributeur c’est Internet lui-même. Je me souviens encore d’une version d’Office fournie sous forme de douze disquettes. J’aime autant vous dire que s’il y avait un bug à corriger, bonjour la logistique pour distribuer la mise à jour… Aujourd’hui c’est tellement facile, on trouve un bug, on fait le patch, on le met à disposition. Du coup on se permet de rendre publics des programmes complètement buggés, puisqu’on sait qu’on pourra corriger derrière.

  28. 13Atg

    La série des disquettes d’Office dont l’une merdait TOUJOURS, cela devait être 95-97. Et W95, cela devait faire dans les 20 disquettes facile.

    Je me souviens avoir découvert le principe de l’obsolescence fourbe en recherchant un runtime pour Access 95 : MS refusait de vendre 2 ans plus tard ce fichu runtime, même avec force suppliques.

    J’ai redécouvert ce joyeux principe avec Apple et ses smartphones, les applications ayant tendance à se consumer dans leur store dès qu’une nouvelle version sort !

  29. RakamLeNoir

    @goffy,
    «@AucuneImportance « Ok, j’ai compris. Poubelle. » Tu es trop fort !»

    Non, il est excessif.

  30. AucuneImportance

    @goffy & Rakam : D’autant plus qu’en fait j’ai bien lu jusqu’au bout… Mais je savais déjà que cela ne m’apporterait rien de nouveau/intéressant…

    Et après tout, c’est bien le ton que l’on adore ici non ? Extrait :
    «Voilà le choix qui s’offre à vous : prendre en permanence le risque de cliquer sur un dangereux programme malveillant, ou vivre sous un pont […]».

    Que voulez-vous apprendre de pertinent, constructif d’une personne qui pense comme ça ?

  31. Ginko

    @AucuneImportance,

    Yep, Q. Norton est dans un mode exagération/binaire/y’a pas d’autre issue…

    Mais bordel, ose me dire que « tout n’est pas cassé »…
    Tout est réellement cassé.

    On imagine souvent les experts en sécurité comme des petits génies mathématiciens qui manipulent des fonctions cryptographiques hyper complexes de manière inédite. Ben en vrai ces gens là doivent représenter moins de 5% de la profession.

    Le reste c’est juste des gens de « classiquement » à « modérément » intelligents (comme n’importe quel ingénieur), bien que peut-être un peu plus fourbes…

    Bref, ils font pas de la magie et sont aussi faillibles que les autres.

    Et pour travailler spécifiquement dans le domaine du développement, ben c’est encore moins joli :
    – quand c’est du propriétaire, faut tout de suite oublier toute notion de qualité de code. Imaginer que le code source est un tas de glu entre des librairies plus ou moins douteuse pondu par un stagiaire en mode quick’n’dirty (parce que vous comprenez… le planning est serré !), +/- testé (c’est vrai quoi, les tests unitaires automatisés, faut les écrire, ça tombe pas du ciel !) et non documenté (on documentera quand le code marchera… pas vrai ?) est la plupart du temps vraiment pas loin de la vérité.
    – quand c’est de l’open source, y’a 2 cas :
    * le gros projet soutenu professionnellement : là y’a en général une doc technique vaguement à jour, du code relativement mutualisé et modularisé, de la relecture, des tests unitaires automatisés assez couvrants. Bon après ça protège pas de l’accumulation débordante et crade (OpenOffice ?) ni de l’injection de failles par la NSA et consorts (cf. tout ce qui tente de chiffrer quelque chose ou qui a des droits d’exécution étendus sur la machine !).
    * le petit projet mono-développeur : ben là, c’est hyper variable, mais sachant que la plupart de ces projets sont développés sur le temps libre des auteurs, il y a *forcément* des failles par pelletés.

    Bref, la priorité, c’est le besoin « métier » : les fonctionnalités expressément demandées par l’utilisateur. C’est moche à dire, mais la sécu, c’est juste la noix de chantilly sur la cerise sur le gâteau… (Q. Norton cite l’exemple de libpurple, mais c’est partout comme ça…)

    En tous cas, moi j’attends impatiemment quoique ce soit de constructif de tes commentaires, mais pour l’instant… y’a pas. Mais je ne désespère pas, hein !