Girl Talk, de son vrai nom Gregg Gillis n’est pas totalement inconnu du Framablog puisqu’il est le co-producteur du film Rip : A remix manifesto du canadien Brett Gaylor, auquel ont également participé Lawrence Lessig, Cory Doctorow et Gilberto Gil ^[1], et dont nous parlions récemment dans l’article de Nina Paley sur les confusions à éviter avec les licences Creative Commons.

Toutefois, l’activité principale de Girl Talk n’est pas le cinéma, mais la musique. En effet, cette semaine est sorti le 5e album de Girl Talk, nommé All Day ^[2] et librement téléchargeable sur son site web (vu l’affluence, nous recommandons de passer par BitTorrent pour ce téléchargement légal de musique en libre diffusion). Comme tous les travaux de Girl Talk, cet album est couvert par une licence Creative Commons By NC, ce qui ferait bondir Nina Paley, mais permet tout de même à tout le monde de télécharger et d’écouter gratuitement les 12 titres de l’album chez soi.

La musique de Girl Talk est particulière, à la fois novatrice et déjà connue du plus grand nombre, il s’agit d’un patchwork d’extraits musicaux d’une quantité invraisemblable de morceaux d’autres artistes, parfaitement imbriqués et se répondant harmonieusement.

Tout y passe, du titre de Beyoncé qui inspira cette BD XKCD de Randall Munroe ^[3], au morceau de rap qui accompagne les exactions de l’armée américaine dans l’épisode Rap News 4 du billet précédent ! Ça part tous azimuts et ça forme pourtant un tout qui coule de source…

OVNI acoustique rafraîchissant en ces temps d’offre labélisée, de culture officielle et de nullité en mouvement ou en tube, le dernier Girl Talk vous offrira une bouffée d’oxygène et un défi presque sans fin pour retrouver tous les extraits !

Pour la traduction de la BD en français, c’est ici. XKCD a son site de fans français qui traduisent les BD au fur et à mesure de leur sortie.

« Une semaine tous frais payés dans la petite Venise du nord… » c’est le cadeau qu’ont gagné les quatre projets retenus par l’EPPLUG ^[1] pour la deuxième édition des H@ckWeeks qui se déroulera la semaine prochaine à Amiens.

Les membres de ces quatre projets se retrouveront donc dans le nord dès lundi prochain, confiés aux mains expertes des bénévoles de l’EPPLUG, qui, à la suite de l’organisation de l’édition 2007 des RMLL dans la préfecture de Picardie ont imaginé une variante hebdomadaire des barcamps, ces réunion de travail et d’ateliers.

Le principe est simple : se retrouver tous en vrai (souvent pour la 1ère fois) et n’avoir rien d’autre à penser pendant une semaine que l’avancement du projet libre en question.

L’évènement en étant seulement à sa 2e édition, il suffit aux heureux gagnants de déposer dans les temps une candidature auprès de l’EPPLUG, détaillant le nombre de participants et les objectifs fixés pour cette semaine de travail intensif.

Les quatre projets de cette 2e édition sont :

• Domogik
• Seeks
• Nobjet
• Dolibarr

Et nous aurons l’occasion de revenir en détail sur chacun d’eux plus tard. Toutefois, les lecteurs consciencieux auront d’ores et déjà remarqué que « Nobjet », présenté aux RMLL 2010, est davantage un projet artistique qu’un projet logiciel. Et c’est bien là le deuxième aspect des H@ckWeeks d’Amiens. En effet, la manifestation ne se limite pas à enfermer des codeurs ensembles avec des machines, mais s’accompagne de tout un programme embrassant la culture du libre ^[2] dans tous ses états. Projections de films libres ^[3], conférences sur l’art ou la cuisine libre, concerts de musique libre et ateliers permettant au public d’aller à la rencontre des développeurs de chaque projet rythmeront cette semaine intense.

Enfin, cerise sur le gâteau, vous allez pouvoir vivre ces H@ckWeeks hiver 2010 au quotidien, grâce au Framablog ! Ce ne sera pas exactement comme si vous y étiez certes, mais ça sera par contre vraiment comme si j’y étais 🙂

Il y a tout juste un mois, nous lancions ici même une audacieuse et indispensable campagne de soutien.

Aujourd’hui, plus de 600 personnes ont soutenu Framasoft suite à cet appel et plus de 250 ont décidé de participer à l’opération en nous assurant d’un soutien régulier et mensuel. Nous tenons donc, en premier lieu, à les en remercier très sincèrement.

Toutefois, comme l’illustre Harrypopof ^[1] avec humour et talent, si un quart de l’objectif a déjà été atteint, la route est encore longue… ^[2]

Depuis sa création, Framasoft n’a cessé de mener à bien des projets visant à promouvoir le logiciel libre et sa culture. Au-delà de Framasoft.net, le grand annuaire francophone et collaboratif de logiciels libres, des bénévoles sont venus apporter toujours plus de bonnes idées et de bonne volonté pour réaliser de nouveaux projets, rencontrant à leur tour des succès encourageants. On retrouve ainsi les forums Framagora et leurs 250 000 messages, les logiciels francophones adaptés pour clé USB de Framakey.org, téléchargés et distribués par centaines de milliers, les livres libres de la collection Framabook, les compilations d’œuvres libres des FramaDVD, les 100 000 logiciels libres installés via Framapack, le Framablog, ses 850 billets, ses traductions Framalang et ses vidéos Framatube, le tout consulté plus de 80 000 fois par mois…

Toutefois, cela n’aurait pas été possible sans un premier permanent, Pierre-Yves Gosset, assurant l’administration des serveurs, le suivi des projets, les relations publiques, les tâches administratives et le support… (plus de détails sur LinuxFR.org)

Pour continuer à accompagner les projets de l’association et répondre à la charge croissante, Framasoft a décidé en juin dernier d’embaucher un second permanent, Simon Descarpentries, pour épauler le premier dans ses semaines à plus de 50h et lui permettre de prendre ses premières vacances depuis deux années passées sur les chapeaux de roues.

Cette décision est aujourd’hui menacée par manque de financement, ce qui nous amène à une question simple :

« Souhaitez-vous que Framasoft continue à créer de nouveaux projets, tout en consolidant les précédents succès ? »

Framasoft a besoin de vous aujourd’hui pour continuer, en toute indépendance, à soutenir le logiciel libre et sa culture, et à créer des projets qui mettent du libre entre toutes les mains.

Nous avons ainsi mis en place une campagne intitulée « 1000 10 1 », qui vise à réunir 1000 personnes donnant 10 € par mois pendant au moins 1 an, afin de proposer une solution franche et durable qui permettra à l’association de consacrer plus de temps au développement des projets et moins à la recherche de financement. Grâce à la reconnaissance d’intérêt général dont bénéficie l’association Framasoft, l’opération ne coûtera au final qu’un peu plus de 3 € par mois, soit 40€ au total aux contribuables français, soit 2 DVD en grande surface ou 4 albums en MP3 DRMisés sur Fnac.com 🙂 Enfin, si 1000 personnes permettraient d’assurer le fonctionnement de l’association sur une année, la moitié de cet objectif est nécessaire d’ici la fin de l’année pour le maintien du poste de notre second permanent.

Pour l’heure, nous avons eu le plaisir d’annoncer le lancement de nouveaux projets tels que le FramaDVD École, ou encore les Framabooks « Simple comme Ubuntu », « Le C en 20 heures » et « Pour aller plus loin avec la ligne de commande sous Unix » tous trois librement disponibles sur le site de la collection Framabook ^[3], ou encore de tenir conférences ^[4] et ateliers lors de la dernière Ubuntu Party et au centre de formation de la librairie Eyrolles avec l’April. Sans détailler l’effort tout particulier qui se poursuit encore quant à la mise à jour 10.10 Maverick Meerkat de la Framakey Ubuntu-fr Remix, bientôt disponible sur notre boutique EnVenteLibre.

Pour que Framasoft reste à vos côtés encore longtemps, répondez à l’appel de l’April, de LinuxFr, de Benjamin Bayart (président de FDN), de Jérémie Zimmermann (Co-Fondateur de La Quadrature du Net) ou encore de Tristan Nitot (président de Mozilla Europe).

Soutenez Framasoft sur : http://soutenir.framasoft.org

Dans notre exploration de la « culture du libre » et de son expansion, nous avons déjà longuement parlé d’une encyclopédie libre, d’un atlas géographique communautaire, d’un long-métrage d’animation insurgé contre l’avidité d’héritiers ayant droit, d’un opéra libre illustré en BD, du mouvement des bidouilleurs d’électronique libre, et même d’un concept de téléphone portable réaliste et novateur, à peine en avance sur son temps, émanant d’un forum sur Internet…

Nous continuons aujourd’hui cette exploration avec un projet quelque peu insolite : l‘Open Prosthetics Project, ou littéralement « Projet pour des Prothèses Libres ». Au regard de l’éthique propre à la profession médicale, on pourrait presque s’étonner que le libre n’y soit pas encore en pointe, en particulier si l’on oppose le fait que les bourses du monde entier s’y soient déjà mises. Toutefois, si les logiciels libres dédiés commencent à arriver dans ce secteur, il était moins évident d’afficher son optimisme quant au matériel médical.

Et pourtant, avec le foisonnement et la créativité propre aux projets libres, ouverts à tous et montés sur Internet, l’OPP remporte progressivement son pari de faire évoluer le monde des prothèses, passant d’une assistance en plastique gris à un carnaval de fonctionnalités intégrées à ce qui devient alors un atout pour son porteur.

Enfin, au delà du sujet de fond, cette traduction d’OpenSource.com (effectuée par Framalang) est également un témoignage candide mais juste de la réussite d’un projet, a priori pas grand public, dans le rassemblement d’une communauté en ligne de contributeurs.

Se prendre au jeu des prothèses libres

Getting hooked on open source prosthetics

Jason Hibbets – 3 novembre 2010 – OpenSource.com
Traduction Framalang : Zitor, RaphaelH, Goofy, Siltaar

Il y a quelques mois, je me suis posé la question : Est-ce que le libre peut permettre la création de meilleures prothèses ? J’avais aujourd’hui l’intention de revenir sur le sujet pour constater les progrès accomplis par le projet. Lors de la rédaction du premier article, j’avais appris que les développeurs principaux du projet éprouvaient des difficultés avec les outils de collaboration et les multiples projets disséminés sur le web. Qu’ont-ils fait pendant ces derniers mois afin de se regrouper et de focaliser les efforts et la motivation dans la bonne direction ? C’est ce que nous allons découvrir.

L’Open Prosthetics Project (OPP) est maintenant plus organisé, et prêt à encourager une collaboration mondiale autour de leurs efforts. Ils utilisent le site principal comme un portail permettant d’orienter les visiteurs vers les différentes possibilités de participation. Mais ce n’est pas tout. L’OPP utilise également un wiki pour héberger les différents projets actifs, ainsi qu’un réseau social personnalisé pour la communication et le partage d’informations.

C’est la participation de ses membres qui définit une communauté. Une des meilleures façons d’inciter les gens à participer est de fournir une liste de choses à faire. Focaliser l’énergie des gens sur un sujet qui les passionne, ou demander de l’aide à ceux qui ont les compétences spécifiques nécessaires pour atteindre un but en particulier. Le projet OPP a travaillé sur la façon de présenter les différentes façons d’aider, et a astucieusement détaillé sur son site dans quels domaines un besoin a été défini. Que vous soyez un nouveau ou un habitué de la communauté, il est facile de comprendre par où commencer. Sur leur site web, on peut participer très facilement, que ce soit en tant qu’utilisateur, donateur, rédacteur de demandes de subventions, fournisseur de services, chercheur ou membre de l’équipe juridique.

Je ne peux terminer cet article sans mentionner un projet qui a retenu mon attention : Pimp my arm (littéralement Arrange ton bras). Que diriez-vous d’une prothèse qui pourrait diffuser de la musique et des vidéos ? Envoyer et recevoir des SMS ou se connecter en Bluethooth ? Pimp my arm est le projet où les bénévoles et les gens qui ont des besoins spécifiques pour leur prothèse peuvent échanger leurs idées et envisager des solutions.

Je pense que c’est un endroit où le brassage d’idées peut profiter d’expertises et d’intérêts variés, en réalisant ainsi des progrès rapides dans le domaine des prothèses libres. C’est le genre de projet qui permet à des bénévoles (n’ayant pas nécessairement besoin d’une prothèse) de mettre en pratique leurs compétences et leur passion pour le bidouillage et le perfectionnement de bras, leur ajoutant des accessoires modernes et sympas pour les rendre plus fonctionnels.

Même si la conception de prothèses ne vous intéresse pas, je pense que ce projet montre clairement comment il est possible de développer une communauté en étant transparent sur ses besoins. Il montre comment donner de l’ampleur à une communauté, comment explorer de nouvelles voies pour tirer profit de la base de connaissances existante, et comment tisser davantage de liens avec les groupes qui pourront apprécier le travail que vous vous efforcez de mener à bien.

Ressources :

• Site officiel : OpenProsthetics.org
• Wiki du projet : OpenProsthetics.Wikispot.org
• Réseau social : OpenProsthetics.Ning.com

Comme nous l’apprenait Lea-Linux le mois dernier :

GNU/Linux progresse sur les environnements dits critiques. On savait qu’il était utilisé sur les serveurs sensibles des militaires, des grands organismes de recherche, de la NASA et de nombreux industriels, ajoutons désormais le monde de la finance à cette liste. En effet, Computer World UK nous apprend que la Bourse de Londres mettra en production le 15 novembre prochain sa nouvelle plate-forme à base de GNU/Linux et Solaris, pour remplacer la plate-forme boguée « TradElect » basée sur Microsoft Windows, et la technologie .Net manifestement trop lente.

GNU/Linux a notamment été choisi par les britanniques pour ses performances (des temps de transmission de 0,125 milliseconde ont été enregistrés lors des tests). Le fait que le Chicago Mercantile Exchange, la Bourse de Tokyo et le NYSE Euronext soient déjà passés à GNU/Linux (Red Hat) n’y est sans doute pas pour rien non plus.

^[1]

La Bourse de Londres a réalisé un premier test de sa plateforme « Millennium Exchange » basée sur Linux

London Stock Exchange completes first live Linux test

Leo King – 13 octobre 2010 – Computerworld UK
Traduction Framalang : Pablo, Barbidule, Siltaar, Kootox, Goofy, Petrus6, Martin, Don Rico, Daria

La Bourse de Londres a fait le premier test grandeur nature, avec des clients en ligne, d’un nouveau système fondé sur Linux et destiné à remplacer l’architecture actuelle basée sur des produits Microsoft et qui permettra d’échanger à la vitesse de 0.125 millisecondes.

Le système « Millennium Exchange » fonctionnant sur Linux et sur Unix (Sun Solaris) et utilisant les bases de données d’Oracle, remplacera le 1er novembre la plateforme TradElect, reposant sur Microsoft .Net, pour la plus grande bourse au monde. Il promet d’être le système d’échanges le plus rapide du monde, avec un temps de transaction de 0.125 milliseconde. La Bourse a terminé la migration de son système de gestion des transactions stagnantes/dormantes, ou anonymes, Turquoise, depuis différents systèmes, plus tôt ce mois-ci.

La BDL (Bourse De Londres) a refusé de dévoiler le verdict du test en avant-première du « Millenium Exchange », qui s’est déroulé samedi après plusieurs mois de tests hors ligne intensifs. Cependant, des sources proches de la Bourse ont indiqué qu’il se serait déroulé avec succès.

Une autre répétition générale aura lieu le 23 octobre, un peu plus d’une semaine avant le lancement dans le grand bain. La Bourse pousse pour lancer le service le 1er novembre, mais si les clients, les traders, ne sont pas prêts ou si des problèmes techniques apparaissent, une date de lancement alternative a été prévue au 15 novembre.

En attendant, la Bourse va continuer à travailler avec le système TradElect, basé sur une architecture Microsoft .Net et mis à jour par Accenture en 2008 pour 40 millions de livres (46 millions d’Euros). En juillet, elle a réservé 25,3 millions de livres (29,2 millions d’Euros) en coûts d’amortissement sur TradElect.

TradElect, sujet de nombreuses controverses ces dernières années, avait subi une série de pannes de grande envergure, la pire étant un arrêt de huit heures en 2008. À l’époque, la BDL avait maintenu que TradElect n’était pas responsable de la panne, mais a néanmoins, tenté de remplacer la plateforme depuis, en faisant l’acquisition de la société MilleniumIT, le fournisseur de ce nouveau système.

Les vitesses réseau sont aussi une des raisons principales de ce changement. La BDL a tenté désespérément de descendre les temps de transaction sur TradElect en-dessous des 2 millisecondes, une vitesse léthargique comparée à la concurrence comme Chi-X qui annonce des temps de moins de 0,4 millisecondes.

La BDL annonce que sa nouvelle plateforme d’échange aura des temps de réponse de 0,125 millisecondes, ce qui pourrait en faire une des plateformes d’échange les plus rapides du monde. Le changement est particulièrement important étant donné la progression des transactions algorithmiques, où des ordinateurs placent automatiquement des millions d’ordres d’achat et de vente alors que les prix des actions changent.

Lors d’une interview cette semaine dans le Financial Times, le directeur général de la Bourse de Londres, Xavier Rolet a déclaré que la Bourse avait « déjà prévu » la prochaine génération d’améliorations technologiques pour maintenir la plateforme Millenium à la pointe de la technologie en terme de vitesse de transaction.

Les jours fériés, on les consacre à ses passions non ? Alors après le rap militant de Dan Bull contre ACTA, laissez moi vous présenter Rap News ^[1], ce journal vidéo reprenant les codes du JT pour diffuser, en rythme et en rimes, de l’actualité comme on en voit rarement à la télé.

En effet, pour accompagner les deux dernières publications massives de télégrammes américains des guerres en Afghanistan et en Irak par WikiLeaks, le collectif TheJuiceMedia, un média australien indépendant, a réalisé deux vidéos pertinentes et humoristiques, plantant le décor politique de ces fuites, sur fond de défense de la neutralité du net ^[2].

Bourrées de références ^[3], ces vidéos valent autant par les prouesses de l’acteur que la finesse des textes, et c’est pourquoi, avec l’ami Koolfy de la Nurpa.be, croisé sur le canal IRC de La Quadrature du Net ^[4], nous avons souhaité offrir une version sous-titrée de ces vidéos pour les francophones de tous pays (même la Belgique !).

Après plusieurs heures de temps libre ^[5] bien employé, nous proposions donc nos sous-titres à l’adresse de contact du collectif TheJuiceMedia qui les accueillit avec enthousiasme et les ajouta directement aux vidéos « officielles », déjà visionnées respectivement plus de 80 000 et 100 000 fois sur YouTube ^[6].

Toutefois, les voici reproduites ici pour vous avec l’accord des auteurs, servies et sous-titrées librement, stockées dans Framatube, et passées à travers Universal Subtitles. Ne manquez pas l’invité de prestige dans la deuxième vidéo.

Rap News contre le Pentagon

Rap News vs The Pentagon

—> La vidéo au format webm
—> Le fichier de sous-titres

Rap News contre Nouvelles Ordre Mondial

Rap News vs News World Order

—> La vidéo au format webm
—> Le fichier de sous-titres

Se connecter à un Wifi public dans un parc, une gare ou un café ^[1] pour accéder à Internet, c’est un peu comme passer par la salle d’attente du médecin avant une consultation. Dans les deux cas, vous avez confiance en votre destination ^[2], mais vous êtes au préalable enfermé dans un espace avec des étrangers, tous plus ou moins malades.

En effet, le WiFi d’un café vous connecte, comme la salle d’attente, avec votre entourage direct, sans que vous ayez rien demandé. Or, si votre dossier médical est confidentiel, il suffit de faire tomber ses papiers dans une salle d’attente pour que toutes les personnes présentes puissent les lire, et il suffit de se connecter (via un WiFi public) à un service qui n’utilise pas le protocole HTTPS pour que votre entourage connecté puisse s’immiscer dans votre session et votre intimité.

Les coupables ? Les sites conservant à votre place des éléments de votre vie privée d’une part, et proposant d’autre part et sans la protection du petit cadenas qui dénote de l’utilisation du protocole HTTPS, de « garder votre session ouverte » grâce à un cookie. Si vous y prenez garde, ce n’est pas le cas des services en ligne de votre banque.

Toutefois, si l’auteur est assez pessimiste dans son petit billet complémentaire (reproduit ici à la suite du premier) face aux moyens de protection à notre disposition, il existe plusieurs extensions Firefox pour limiter les risques sans trop se compliquer la vie, citons (sur les bons conseils de Goofy) HTTPS Everywhere, et Force-TSL. De plus, il me semble également assez simple de se connecter, où qu’on soit, d’abord à un VPN personnel, ou directement en SSH sur son serveur à soit (voir l’extension Foxyproxy de Firefox), pour surfer ensuite l’esprit tranquille et sans laisser de traces locales, comme si on était à la maison. D’ailleurs, votre WiFi chez vous, il est protégé comment ?

Quand le berger prévient les moutons à New York City

Herding Firesheep in New York City

Gary LosHuertos – 27 octobre 2010 – TechnologySufficientlyAdvanced.blogspot.com
Traduction Framalang : Goofy, Pablo, cheval_boiteux

On a beaucoup parlé de Firesheep ces derniers jours. Cette extension gratuite pour Firefox récolte pour vous les cookies qui sont envoyés depuis un réseau WiFi non protégé n’utilisant pas le protocole SSL. Vous la mettez en route, elle collecte les cookies de Facebook, Twitter et de 24 autres sites (par défaut). Ensuite, vous pouvez voler l’identité d’un compte et obtenir l’accès sous cette identité.

L’extension n’a rien de scandaleux en elle-même. Si vous êtes un développeur un peu compétent, vous savez depuis longtemps que cette faille existait, n’est-ce pas ? Mais quid du reste du monde ? Tous ces gens qui n’ont jamais entendu parler de cette nouvelle menace si facile d’accès, qui n’ont pas été alertés par leurs amis, qui ne regardent pas Engadget, ni Slashdot, ni ABC Pronews7 à Amarillo ?

Je me suis dit que j’allais faire passer le message et aider les béotiens après leur travail, puisqu’il y a un grand Starbucks tout près de chez moi. J’y suis allé, j’ai acheté un peu de nourriture malsaine, j’ai ouvert mon portable et lancé Firesheep. Moins d’une minute plus tard, j’avais cinq ou six identités disponibles dans le panneau latéral. Trois d’entre elles étaient sur Facebook.

Absolument rien de surprenant ; Firesheep n’est pas magique, et tous ceux qui vont au Starbucks savent qu’un tas de gens y mettent à jour leur statut Facebook sans faire attention, tout en sirotant leur café au lait. J’ai pensé que j’allais y passer un peu plus de temps, j’ai donc écouté un peu de musique, parlé à quelques amis, et le plus important (mais pas le plus simple) je n’ai navigué sur aucun site avec le protocole standard HTTP (et surtout pas sur Facebook évidemment).

Environ une demi-heure plus tard, j’avais récolté entre 20 et 40 identités. Puisque Facebook était de loin le service le plus représenté (et qu’il détient plus d’informations personnelles que Twitter) j’ai décidé d’envoyer aux utilisateurs des messages depuis leur propre compte, pour les avertir des risques auxquels ils s’exposaient. J’ai fait un modèle de message sympa qui précisait la localisation du Starbucks, la nature de la vulnérabilité, et comment y remédier. J’ai envoyé des messages aux 20 personnes autour de moi.

J’ai nettoyé le panneau latéral, retiré mes écouteurs, et j’ai attendu. J’ai entendu quelqu’un marmonner un juron pas très loin, et me suis demandé si mon message en était la cause. Pendant le quart d’heure suivant, je n’ai entendu strictement personne parler de ce qui venait se passer (pourtant ceux qui fréquentent les Starbucks ne sont le plus souvent pas du genre à tenir des conversations discrètes). Pourtant, j’ai pu vraiment constater une nette chute du nombre d’identités que je pouvais récolter quand j’ai relancé Firesheep.

C’était un soulagement — en voilà qui avaient compris le message. Avec un peu de chance, ils allaient alerter leurs amis, mettre à l’abri leur femme et leurs enfants. J’ai de nouveau nettoyé le panneau latéral, et après une vingtaine de minutes de conversations impromptues j’ai vu que cinq identités que j’avais déjà croisées étaient revenues dans mon troupeau.

C’était assez surprenant. Avaient-ils reçu le premier message ? Je me suis mis sur leur compte avec leurs identifiants, et en effet ils l’avaient reçu. L’un d’entre eux était même sur Amazon.com, site contre lequel j’avais mis en garde dans mon premier message. Je l’ai choisi pour première cible : j’ai ouvert sa page perso sur Amazon, j’ai repéré un truc sur lequel il avait récemment jeté un coup d’œil et lui ai envoyé un mot : « non, c’est pas sérieux » sur Facebook depuis son propre compte, avec un clin d’œil sur ses goûts musicaux.

J’ai encore une fois effacé les identités, attendu dix minutes, et lorsque j’ai à nouveau rassemblé mon troupeau avec Firesheep, il était parti. Mais il y en avait encore quatre qui restaient là. Peut-être, me suis-je dit, qu’ils ont cru que c’était un message d’avertissement automatique les ciblant au hasard (bien que j’aie mentionné leur localisation dans un rayon d’une trentaine de mètres). Donc, un dernier message était nécessaire.

J’ai bricolé un très court message (le premier était peut-être trop long ?) et je l’ai envoyé aux quatre, une fois encore avec leur propre compte :

« C’était vraiment pas une blague l’avertissement sur la sécurité. Je n’enverrai plus d’autre message après celui-ci –– à vous de prendre sérieusement en main votre propre sécurité. Vous êtes au Starbucks XYZ connecté de façon non sécurisée, et absolument n’importe qui peut accéder à votre compte avec l’outil approprié nécessaire (et disponible à tous). »

Vingt minutes ont passé, et tous les quatre utilisaient encore Facebook frénétiquement. Encore une fois, j’ai envisagé qu’ils auraient pu ne pas recevoir le message, mais en vérifiant leur compte j’ai vu qu’ils l’avaient bel et bien reçu.

Voilà ce qu’il y a de plus choquant à propos de la sécurité sur Internet : ce n’est pas que nous soyons tous scotchés sur un réseau global qui tient avec des bouts de sparadrap et laisse béants d’horribles failles de sécurité ; ce n’est pas non plus qu’un outil librement disponible puisse récolter des cookies d’authentification ; et ce n’est toujours pas qu’il y ait des gens pas du tout au courant de l’un ni de l’autre. Ce qui est absolument incompréhensible, c’est qu’après avoir été averti d’un danger (et sur son propre compte !) on puisse tranquillement ignorer l’avertissement, et reprendre le fil de ses activités.

Mais enfin j’ai tenu parole et n’ai pas envoyé d’autre message. J’ai rangé mon matériel, fait un petit tour dans le café, et reconnu plusieurs personnes auxquelles j’avais montré leur vulnérabilité. Je n’avais pas laissé d’indices sur ma propre identité, moins par crainte de rétorsion que parce que l’intrusion dans la vie privée est encore plus traumatisante quand elle est commise par un étranger complet, dont on n’a pas la moindre chance de découvrir l’identité.

En revenant chez moi, j’ai réfléchi à ce que cette expérience révélait de notre société. Peu importe le nombre de mesures de sécurité que nous procurons au monde entier, il y aura toujours des gens qui laisseront la porte ouverte, même s’ils ont été victimes d’une intrusion. Le maillon le plus faible de la sécurité c’est et ce sera toujours la décision de l’utilisateur.

De retour dans mon appartement, j’ai commencé à m’installer — et c’est le moment où je me suis rendu compte que pendant toute la soirée j’avais eu la braguette grande ouverte. La preuve par neuf finalement : nous nous baladons tous avec des vulnérabilités qu’il nous reste à découvrir.

Addendum

Herding Firesheep Addendum

Gary LosHuertos – 04 novembre 2010 – TechnologySufficientlyAdvanced.blogspot.com
Traduction Framalang : Siltaar, RaphaelH, Goofy

À la suite du billet précédent, je me suis dit qu’en voulant faire court j’avais omis quelques informations. Ceci sert donc d’addendum à mon précédent billet, et a été rédigé de la manière la plus courte possible.

Le message original envoyés aux clients était le suivant :

Comme vous utilisez Facebook sans chiffrement dans un Starbucks, votre compte a été compromis. Je ne suis qu’un amical client du Starbucks qui a souhaité vous prévenir de cette vulnérabilité.

Vous pouvez en apprendre davantage en cherchant des informations sur « Firesheep ». Il n’y a pas vraiment de solutions disponibles pour protéger votre compte Facebook lorsque vous êtes connectés à un réseau public, et je vous recommande donc simplement de ne pas vous y connecter lorsque vous êtes dans un Starbucks. Cette faille affecte également Twitter, Amazon.com, Google (mais pas Gmail), et quantité d’autres services.

Votre mot de passe n’a pas été compromis. Vous déconnecter de Facebook est tout ce que vous avez besoin de faire.

Pour préciser mes motivations, laisser un compte Facebook sans protection ne signifie pas seulement que quelqu’un peut regarder vos photos, vos coups de cœurs et messages. Un compte Facebook compromis donne à quelqu’un d’autre l’accès à votre identité, lui permettant de se faire passer pour vous auprès de vos amis, ruinant potentiellement des relations. S’il est possible de rattraper les choses ensuite, le temps et l’énergie que ça demande sont importants, surtout pour quelqu’un qui a beaucoup d’amis. Quelqu’un envoyant un faux message à l’un de vos amis n’est peut être pas un gros problème, mais un faux message envoyé à 500 de vos amis est déjà plus gênant. D’autant plus qu’il peut y avoir des collègues de travail, des membres de votre famille, ou des clients dans ces 500 personnes.

Concernant la légalité de mes actions : ça n’était pas l’objet de mon article. On peut toujours spéculer sur fait que je finisse en prison, mais c’est hors sujet par rapport à ce dont je parle dans mon billet : les sites non protégés comme Facebook et Twitter sont dangereux pour leurs utilisateurs. Il semble plus intéressant de consacrer son énergie à faire passer le mot plutôt que de troller sur mon éventuelle incarcération.

Enfin concernant ce que les utilisateurs peuvent faire, la meilleure réponse à l’heure actuelle est : rien. Ne vous connectez pas aux réseaux non protégés pour utiliser ces sites web, ou bien utilisez une application qui n’utilise pas d’authentification par cookie non protégée (pour ce que j’en sais, l’application Facebook pour iPhone ne le ferait pas). Assurez-vous que votre réseau WiFi domestique est chiffré en WPA, voire en WPA2 (le WEP est trivialement déchiffrable). Si vous utilisez Facebook au travail sur une connection sans-fil, vérifiez le chiffrement du réseau. La faille de sécurité ne vient pas seulement de Firesheep, elle vient du manque de protection des connexions. La menace la plus grande vient des outils automatisés qui existent depuis des années ^[3].

Sur le Framablog, on ne manque pas une occasion d’agir contre la censure, ou de publier le témoignage d’un citoyen s’élevant contre les menaces et restrictions faites à nos libertés fondamentales ^[1]. Parce qu’après tout, et comme me le fit un soir remarquer Benjamin Bayart, qu’est-ce qui nous motive tous dans le mouvement du Logiciel Libre ? Et dans la défense de la neutralité du réseau qui lui est indispensable ? Qu’est-ce qui nous réunit, si ce n’est la liberté d’expression ? Cette petite flamme fragile et dangereuse qui vacille au souffle du pouvoir et nécessite, pour être entretenue, notre attention constante.

Le témoignage que nous vous proposons aujourd’hui est celui de Theocrite, un « administrateur système » engagé pour le Logiciel Libre, qui nous explique comment TF1 ^[2] a silencieusement fait censurer par Google un extrait vidéo de débat à l’Assemblée Nationale.

On savait déjà que certains n’hésitent pas à attaquer, en vertu du Copyright de sa bande son, une vidéo compromettante, au mépris du « fair-use » largement accordé aux vidéos de lolcats. Mais cet extrait, posté par La Quadrature du Net, n’a lui pour seule bande son que le discours à l’Assemblée des députés de la République. Cela n’a pourtant pas arrêté TF1 ^[3] dans son coup de poker, son nouveau coup de poignard dans le dos de l’éthique et de notre liberté d’information.

Cette vidéo, c’est celle du rejet intégral par l’Assemblée Nationale du projet de loi HADOPI 1 le 9 avril 2009, et, pour illustrer le principe selon lequel une tentative de censure s’avère toujours contre-productive pour le censeur, la voici, archivée dans notre collection Framatube :

—> La vidéo au format webm

TF1 censure des vidéos HADOPI sur YouTube

Et Google ne vérifie pas la véracité des accusations

Theocrite – 1er novembre 2010

En me promenant sur le compte YouTube de la Quadrature du Net, j’ai découvert récemment dans les paramètres du compte que certaines vidéos étaient listées comme pouvant « comporter un contenu appartenant à un tiers ».

Hm, c’est possible… Intrigué, je clique sur le lien proposé et je m’aperçois que la vidéo en question est la vidéo du rejet de la loi HADOPI l’Assemblée Nationale.

Bigre ! Voilà que des vidéos contenant des discours « prononcés dans les assemblées politiques » serait en contradiction avec le droit d’auteur. Voilà qui est bien étrange.

Pour en savoir plus, je clique sur « Afficher les informations sur les droits d’auteur ».

On y apprend des choses très intéressantes… Comme le fait que les vidéos produites dans l’hémicycle seraient la propriété de « lgl_tf1 ». Un peu présomptueux de la part de la vieille chaîne qui descend.

Bon, portons réclamation. Après avoir lu une page chiante à mourir, on accède à un formulaire de réclamation, fortement limité, mais je suis décidé à faire avec.

Je fais alors subtilement remarquer que dans la législation française, les débats politiques sont publics… Puis je valide l’envoi du formulaire.

Le lendemain, je constate que j’ai obtenu gain de cause : la vidéo est débloquée. Mais pour combien de temps ? Google n’a pas pris la peine de nous notifier que la vidéo était à nouveau disponible. On pouvait toujours attendre en relevant notre boîte mail.

Bilan

Google est réactif, mais pas spécialement poli. Pas de notifications lors du blocage de la vidéo, ni lors du déblocage.

La vidéo a été bloquée pendant un certain temps. Combien de temps ? Aucune idée. Mais TF1 a tenté et a réussi à faire censurer la vidéo, peu importe combien de temps, et ce sans rien risquer. C’est un jeu permanent dans lequel les plaignants ne peuvent pas perdre et les internautes ne peuvent pas gagner.

Ce n’est pas une nouvelle, pour TF1 quand il s’agit d’HADOPI, tous les moyens sont bons pour supporter la loi. Que ce soit en inventant un plébiscite lors d’un vote, en censurant son rejet comme nous venons de le voir ou encore en s’occupant des « salariés qui, manifestement, aiment tirer contre leur camp. »

Mais sur YouTube, TF1 ne s’arrête pas à HADOPI. TF1 sort le bulldozer. Je vous invite à rechercher lgl_tf1 dans un moteur de recherche. Celui de nos amis possesseurs de YouTube par exemple, ou bien sur un moteur de recherche libre, vous y trouverez des réactions unanimes d’Internautes énervés, soit parce que lgl_tf1 a bloqué des vidéos de France 2. Soit parce que TF1 a bloqué des vidéos sur lesquelles elle a acquis les droits de diffusions pour une certaine partie du monde, et se passe de demander aux auteurs s’ils autorisent cette rediffusion.