29 décembre 2008

Les anciens et la vitesse

Je participe à la commission déplacement de ma ville, et à ce titre, je suis amené à réfléchir sur les sens de circulation, les aménagements d'une rue, d'un carrefour, etc.

Lors d'un travail sur une rue toute droite où la vitesse des usagers était un peu trop grande, nous avons décidé de profiter de l'enfouissement des réseaux pour "restructurer" la rue en y plaçant des plateaux ralentisseurs.

Deux réunions de présentation aux riverains ont permis de finaliser le projet et quelques mois plus tard les travaux commencent.

La législation sur les plateaux ralentisseurs imposent de signaler aux usagers que leur vitesse doit être ramenée à 30 km/h avant le plateau, et de signaler juste après celui-ci que la limitation est terminée. Trois plateaux ralentisseurs impliquent dont douze panneaux car la rue est à double sens.

Comme je trouve que cela fait beaucoup pour une seule rue, je propose que la totalité de la rue soit limitée à 30 km/h (cela ferait donc quatre panneaux).

La discussion s'anime, avec les antis et les pros, l'idée principale étant que d'imposer une limite aussi basse, c'est quand même chiant.

Je fais alors remarquer que la rue principale de la commune (qui la traverse de part en part) est limitée à 30 km/h.

Pourquoi pas d'autres rues?

Et là, un ancien de la commune (les commissions sont chez nous ouvertes aux citoyens de base pourvu qu'il en fasse la demande et viennent à toutes les réunions) m'explique l'histoire suivante:

Il y a dix ans, la commune souhaitait que les usagers roulent moins vite lors de la traversée de son centre ville. Après enquête auprès de la maréchaussée, la police a informé les conseillers de l'époque qu'ils ne verbalisaient que si la vitesse était mesurée à plus de 20 km/h d'excès de vitesse. Si l'on voulait que les chauffards soient verbalisés au dessus de 50 km/h, il fallait donc placer des panneaux limitant la vitesse à 30 km/h. CQFD.

Et les panneaux sont restés, mais la police verbalise aujourd'hui à 30,001 km/h...

J'ai bien aimé cette histoire.
Elle est trop bête pour ne pas être vraie.

De coup mon avis a été minoritaire et nous avons décidé de placer douze panneaux pour que les voitures puissent foncer après chacun des trois plateaux ralentisseurs.

Heureusement, on a ensuite parlé pistes cyclables...

23 décembre 2008

Illusoire anonymat

Je reçois beaucoup d'emails me questionnant sur ce sujet, et je me rends compte que ce que je tiens pour évident, du fait de ma profession, ne l'est pas pour tout le monde.

Je tiens ce blog en utilisant le pseudonyme "Zythom".
Je m'en suis déjà clairement expliqué dans ce billet et dans celui-ci.

Mon anonymat n'est pas celui du dénonciateur anonyme.

Notre Maître à tous explique très bien les raisons de son anonymat. Je n'irai pas le paraphraser...

Aliocha, journaliste anonyme qui tient le blog "La Plume d'Aliocha", a très bien expliqué l'intérêt des masques pour l'écriture dans son billet "impérieux anonymat".

Néanmoins, j'ai parfaitement conscience que cet anonymat est tout relatif.
Qui mieux que moi est bien placé pour savoir qu'il suffit d'une demande officielle de la justice pour lever cet anonymat?

Quels sont alors les éléments techniques qui permettent à un expert judiciaire, ou à un officier de police judiciaire, de "remonter" jusqu'à la personne physique? Comment procèdent-ils?

Pour illustrer la démarche, je vais prendre mon propre cas.

En tout premier lieu, en copier/collant Maître Eolas, j'existe. J'ai vérifié ce matin auprès d'experts, médecins, juristes et philosophes, qui m'ont tous confirmé mon existence. Aucun doute n'est plus permis là dessus.

Je blogue principalement depuis la maison, ou depuis mon lieu de travail lors de ma pause repas-saladette. Accessoirement depuis un hôtel ou des amis. Plus rarement depuis un point d'accès Wifi en libre service (un bar, ou un banc public à Paris).

1) Depuis la maison.
J'utilise les services d'une entreprise de télécommunication qui relie mon domicile à Internet via un réseau téléphonique. Autrement dit un fournisseur d'accès internet (FAI). Lorsque je souhaite me connecter à Internet, cette entreprise doit me fournir un numéro qui identifie chaque machine connectée à Internet. Ce numéro s'appelle l'adresse IP. A un instant t, ce numéro est affecté à une machine unique, et le FAI a l'obligation légale de conserver l'historique précis des affectations "adresse IP / abonné".
Ainsi, lorsque vous surfez sur un site, vous y laissez la trace de votre passage sous la forme de votre adresse IP. Celle-ci identifie le FAI (car il dispose d'un paquet d'adresses IP qu'il est le seul à gérer) et il suffit de lui demander le nom de l'abonné à qui telle adresse IP a été affectée tel jour à telle heure.
Bien, mais comment faire pour accéder aux données de consultation du site http://zythom.blogspot.com pour y retrouver l'adresse IP de son auteur?
Et bien, il suffit de demander tout cela poliment à l'hébergeur du site, dont les coordonnées doivent apparaître de façon très claire sur le site. Dans le cas de ce blog, vous trouverez toutes ces informations (et plus encore) dans les mentions légales.
En résumé: fichiers de log des connexions du blog -> adresse IP utilisée par l'auteur -> FAI -> identité de l'abonné -> blogueur.

2) Depuis le lieu de travail.
La situation est la même puisque le lieu de travail vous connait et que l'informaticien de votre entreprise sait qui utilise l'accès internet. La loi lui demande de conserver également les fichiers de connexions afin de pouvoir remonter jusqu'au compte informatique utilisé.
En résumé: fichiers de log des connexions du blog -> adresse IP utilisée par l'auteur -> FAI -> entreprise -> fichiers de connexions internet -> compte informatique utilisé -> blogueur.

3) Depuis un hôtel.
La situation est la même que depuis le lieu de travail car l'hôtel vous connait et que la loi lui demande de conserver également les fichiers de connexions afin de pouvoir remonter jusqu'au compte informatique utilisé par le locataire de la chambre.
En résumé: fichiers de log des connexions du blog -> adresse IP utilisée par l'auteur -> FAI -> hôtel -> fichiers de connexions internet -> compte wifi utilisé -> blogueur.

4) Chez un ami.
Les choses commencent à se compliquer...
En effet, comme dans le cas du surf depuis la maison, il est facile de remonter jusqu'à l'abonné du fournisseur d'accès à internet (votre ami). Et là, c'est à lui d'expliquer à la maréchaussée qui a utilisé sa liaison internet tel jour à telle heure...

5) Depuis un accès Wifi public en libre service.
Dans ce cas, le côté "public" de l'accès rend le surf complètement anonyme. Sauf si le blogueur est habitué d'un bar précis (ou d'un banc de Paris particulier)...

6) Les problèmes.
Ils sont nombreux, et je n'en présenterai que quelques uns.
- l'adresse IP peut être modifiée dans les fichiers de log du blog, du lieu de travail ou du FAI;
- il peut y avoir un problème de datation (heure d'été/d'hiver, dérive de l'horloge du serveur, etc.);
- l'informaticien de votre entreprise ne connait pas nécessairement toutes ses obligations légales;
- remonter jusqu'à l'identité d'un abonné n'implique pas qu'il soit la bonne personne (famille, amis, borne wifi mal protégée utilisée par le voisinage, etc.);
- les comptes informatiques dans les entreprises sont parfois utilisés par plusieurs personnes, ou protégés par des mots de passe triviaux;
- les réseaux d'anonymisation brouillent sérieusement les pistes (Tor, Freenet, I2P, etc.) mais ne sont pas infaillibles.

Pour ma part, j'ai fait le choix d'une certaine transparence: je blogue sous pseudonyme, mais mon identité est facile à obtenir via une décision judiciaire.
Et comme je le mentionne ici, beaucoup de monde la connait déjà.

J'assume pleinement tous les billets que j'ai écrits.

Mais que mon masque ne vous empêche pas d'accepter mes vœux les plus sincères pour les fêtes de Noël et de fin d'année. Pour ma part, je vais hiberner quelques temps pour profiter de ma famille, tout en préparant quelques billets, entre autres sur les suites de ce billet. My God, what a teaser!

-------------------
Image via darkroastedblend.com

16 décembre 2008

Une taxe sur les blogs

Après l'idée d'une taxe sur le chiffre d'affaire des FAI pour financer l'arrêt de la publicité sur les télévisions publiques, l'idée d'une taxe visant les sites Web communautaires (Dailymotion, YouTube, MySpace, Kewego...), jugés en concurrence avec les services audiovisuels à la demande des chaînes, je lance l'idée d'une taxe sur les blogs pour aider les groupes de presse qui n'auraient pas encore basculé une partie de leurs activités sur internet.

Gare aux blogueurs qui publieraient des billets avec contenu multimédia et/ou analyse politique contestataire!

En attendant la régularisation généralisée d'Internet par le CSA, demandée par Frédéric Lefebvre (UMP) dans un discours à l'assemblée le 15 décembre 2008: "L’absence de régulation financière a provoqué des faillites. L’absence de régulation du Net provoque chaque jour des victimes! Combien faudra-t-il de jeunes filles violées pour que les autorités réagissent? Combien faudra-t-il de morts suite à l’absorption de faux médicaments? Combien faudra-t-il d’adolescents manipulés? Combien faudra-t-il de bombes artisanales explosant aux quatre coins du monde?"
Source PCImpact.

Combien faudra-t-il d'emails non sollicités pour que les autorités réagissent et mettent en place une régulation de chaque messagerie?

Combien faudra-t-il d'électeurs manipulés par des billets de blogs écrits par des analphabètes libertaires?

Je propose 30 euros par blog et par mois. Rien que pour les blogs de Skyrock (20 millions à l'heure d'écriture de ce billet), cela représente quand même 7,2 milliards d'euros.

Tiens, cela me rappelle la taxe de 1798 sur les Windows...

Le piratage

Il y a longtemps que je souhaite écrire un billet sur le sujet du piratage, mais je n'arrive pas à trouver le ton ou les mots justes (ou peut-être simplement un ton politiquement correct).

Mais quand ma fille a reçu de la part du papa d'un de ces copains d'école le cédérom gravé d'un chanteur à la mode, je me suis vraiment rendu compte que le phénomène apparaissait maintenant au grand jour sans complexe.

Comment expliquer à ses enfants que ce que font tous leurs copains est illégal?
Comment expliquer que regarder des clips TV sur YouTube est interdit?
Comment résister?
Comment rester incorruptible?

Je me sens un peu comme Eliot Ness, dans le film de Brian De Palma...

Surtout que je partage en grande partie les idées de Tim O’Reilly sur le sujet (son texte date de 2002!). Extraits sous forme de résumé, de la traduction de Philippe Aigrain:

------------------
- L’obscurité est une menace bien plus grave que le piratage pour les auteurs et créateurs.
Des dizaines de milliers de musiciens éditent eux-mêmes leurs CD. De rares élus ont un contrat d’enregistrement. Parmi ceux-ci, seuls un nombre encore plus petit voient leur disques atteindre des ventes significatives. Le fond de stock des éditeurs musicaux est inaccessible pour les consommateurs parce qu’ils n’atteint jamais les magasins. C'est l'obscurité.

- Le piratage, c’est un impôt progressif.
Pour tous les créateurs, qui travaillent pour la plupart dans l’obscurité, être assez connu pour être piraté serait le couronnement de leur carrière. Le piratage est une sorte d’impôt progressif, qui peut raboter quelques pour cent des ventes d’artistes connus, en échange de bénéfices massifs pour les créateurs bien plus nombreux à qui une visibilité plus grande peut apporter des revenus supplémentaires.

- Les consommateurs ne demandent pas mieux que de respecter la légalité, s’ils peuvent.
Piratage est un mot lourd de sens, que nous réservions autrefois à la copie/revente en gros de produits illégaux. L’application récente de ce mot par l’industrie musicale et cinématographique au partage de fichiers pair à pair fait obstacle au débat honnête.
Le partage de fichiers en ligne est l’œuvre de passionnés qui échangent leur musique parce qu’il n’y a pas d’alternative licite, à un juste prix.

- Le vol a l’étalage est une menace plus grave que le piratage.
Il n’y a pas de problème significatif de piratage aux Etats-Unis et en Europe. Le fait que les logiciels de Microsoft aient été accessibles depuis des années sur des sites de téléchargement ou plus récemment sur les réseaux pairs à pair d’échanges de fichiers n’a pas empêché cette société de devenir l’une des plus grandes et plus profitables du monde. Les estimations de « manque à gagner » supposent que les copies illicites auraient été payées ; à l’opposé on ne tient pas compte des copies qui sont vendues comme « mises à jour » à cause de la familiarité qu’ont permis les copies illicites.
Le problème réel est analogue, au plus, à celui du vol à l’étalage, qui représente une perte agaçante pour les activités commerciales.

- Les réseaux de partage de fichiers ne menacent pas les livres, la musique ou l’édition de films. Ils menacent les éditeurs existants.
Les nouveaux médias n’ont pas remplacé historiquement ceux qui leurs préexistaient, mais ont plutôt étendu les marchés, au moins à court terme. Il y a des occasions d’arbitrages renouvelés entre le nouveau média de distribution et l’ancien, et par exemple, la montée en puissance des réseaux de partage de fichiers a nourri l’échange de vinyles et CD (non disponibles par les canaux commerciaux classiques) sur eBay.
Dans le futur, il se peut que les services d’édition musicale en ligne remplacent les CD et d’autres médias de distribution physique, tout comme la musique enregistrée a relégué les éditeurs de partitions dans un marché de niche, et, pour beaucoup, ont transformé le piano domestique en un emblème nostalgique bien éloigné du centre familial d’accès à la musique qu’il constituait autrefois. Mais le rôle des artistes et des éditeurs musicaux ne disparaîtra pas. La question n’est pas alors celle de la mort de l’édition de livres, de l’édition musicale ou de la production de films, mais plutôt celle de savoir qui seront les éditeurs.

- Ce qui est gratuit finit par être remplacé par un service payant de meilleure qualité.
Pourquoi est-ce que vous paieriez un morceau que vous pourriez avoir gratuitement ? Pour la même raison que vous achèterez un livre que vous pourriez emprunter dans une bibliothèque publique, ou achèterez un film sur DVD que vous pourriez regarder à la télévision ou louer pour le week-end. Parce que ce sera pratique, facile à utiliser, à cause du choix, de la facilité de sélection, et pour les enthousiastes à cause du simple plaisir de posséder quelque chose auquel vous tenez.

- Il y a plusieurs façons d’y arriver.
C’est la leçon finale. Donnez au wookie ce qu’il veut! comme le disait Han Solo dans le premier Stars Wars. Donnez-lui d’autant de façons que vous pouvez en inventer, à un juste prix, et laissez-le choisir ce qui lui convient le mieux.
------------------

Tant que les politiques suivront les éditeurs qui s'accrochent à l'idée qu'ils font faillite à cause des réseaux peer to peer, ils voteront des lois liberticides.

Un peu comme si les autoroutes étaient fermées à la demande des banques, sous prétexte que les gangsters les "empruntent".

Mais pour autant, ces lois s'imposent à tous.
Si vous voulez les changer: aller voir votre député. Ou votez!

Vous l'avez compris, je me sens comme l'Eliot Ness de la dernière séquence du film, lorsqu'il répond à la question "Qu'allez-vous faire lorsque la prohibition sera terminée?"

"J'irai boire un verre!"

------------------------------------
Photo d'Eliot Ness: source wikipedia.

11 décembre 2008

La psychose du pédophile

Je reprends ici un billet publié sur Numerama sous licence Creative Commons par Guillaume Champeau. Mes commentaires suivent cet article.

--------------------------------------

Wikipedia censuré par la psychose du pédophile


Société 2.0 -

Les internautes britanniques n'ont plus accès à une page de Wikipedia reproduisant la pochette d'un album du groupe allemand Scorpions. Les fournisseurs d'accès, sur simple requête d'un organisme co-financé par l'Europe, ont bloqué l'accès à la page, démontrant les dérives et les limites d'un système de filtrage non contrôlé par l'autorité judiciaire.


Voici une affaire qui illustre bien les dérives que nous avions évoquées au sujet du filtrage des contenus pédopornographiques décidé sur simple décision administrative, ou par accord entre partenaires privés. "Où se situera le curseur entre les sites indéniablement pédophiles qu'il faut bloquer, et les sites qui prêtent davantage à interprétation ?", avions nous demandé à propos du projet du gouvernement français de permettre le filtrage des sites à contenus pédopornographiques. "La morale publique étant une donnée variable dans la société, que censurera-t-on demain au nom de sa protection ?". En Grande-Bretagne, une page de Wikipedia a été bloquée parce qu'elle reproduisait la pochette de l'album Virgin Killer de Scorpions (de 1976), sur laquelle une fillette pose nue, le sexe toutefois dissimulé derrière l'effet d'un éclat de verre :


Bien que sensible, le blocage est décidé sans contrôle du juge. L'Internet Watch Foundation (IWF) a simplement ajouté l'URL de la page de Wikipedia à sa liste noire des sites soupçonnés d'abriter des contenus pédophiles. L'organisme britannique, financé par l'Union Européenne et plus de 80 entreprises de télécoms, transmet régulièrement son listing aux FAI, qui bloquent immédiatement les URL sur simple requête. Sans vérification préalable.


Au moment où nous publions ces lignes, la page ne peut plus être éditée, mais après discussion les administrateurs de Wikipedia ont préféré maintenir l'image de la pochette. Ils ont eu raison.


Même si déjà en son temps la pochette avait fait scandale et avait été interdite dans certains pays, l'illustration de Virgin Killer n'est pas une image pédophile. C'est au mieux une oeuvre d'art provocatrice, au pire une image de mauvais goût. Mais aucune fillette n'a été violée pour sa réalisation, et l'on imagine mal que l'image puisse réveiller des pulsions chez les pédophiles en puissance. Et quand bien même il y aurait un doute, ça n'est pas à un organisme privé d'en décider.


Et l'on espère qu'un juge ne l'aurait pas censurée. Toute société doit savoir vivre avec la part de risque qu'induit la vie en communauté. Souhaite-t-on vraiment, pour se prémunir de tout risque, vivre dans une société totalement aseptisée ?


En France, le projet de filtrage du gouvernement vise à imposer aux fournisseurs d'accès une obligation de résultat pour le blocage des contenus pédophiles, qu'ils ne pourront contester. Faudra-t-il qu'ils censurent La Madone aux oeillets de Raphaël ou les images de la pièce Equus de Peter Shaffer ? Et si non, où faut-il tracer la ligne entre ce qui relève de l'image artistique et de l'image pédophile ? La question, simple en apparence, soulève des réponses toutes plus insatisfaisantes les unes que les autres.


Si les problèmes sont aussi nombreux, c'est que le filtrage n'est pas une solution. Ce n'est qu'une manière de cacher le problème. La lutte contre la pédophilie ne passera que par un combat judiciaire et médical contre les pédophiles, pas par la lutte technologique contre leurs contenus réels ou supposés.


L'affaire n'est pas sans rappeler celle du roman Adorations perpétuelles de Jacques Henric. En 1994, la police avait été dépêchée dans les librairies pour faire retirer des rayons des libraires l'ouvrage dont la couverture était une reproduction du célèbre tableau de Courbet, l'Origine du monde. Il avait fallu que quelques librairies fassent de la résistance pour que l'ouvrage ne soit pas interdit. Un an plus tard, le tableau faisait son entrée au Musée d'Orsay, où il est désormais une pièce emblématique de la collection.



Article diffusé sous licence Creative Common by-nc-nd 2.0, écrit par Guillaume Champeau pour Numerama.com


--------------------------------------

Depuis l'écriture et la publication de ce billet, la page incriminée est de nouveau accessible.

Les médias et les politiques traitent le thème de la pédophilie de façon très émotionnelle et instaurent un climat hystérique peu propice à une justice sereine et équitable.

Pourtant, Mona Chollet écrivait en 2001 au sujet des accusations de pédophilie portées contre Daniel Cohn-Bendit: "Toutefois, [cette] affaire s’inscrit dans le contexte bien plus large d’un nouvel ordre moral: l’étau se resserre; la liberté des individus, dont l’idéologie sécuritaire triomphante fait peu de cas, est de plus en plus ressentie comme une menace pour l’ordre établi.[...] Voilà un procédé que tous ceux qui tentent de promouvoir la liberté d’expression sur Internet connaissent bien. Un procédé qui revient à dire: quand on cherche la liberté, on trouve le crime. Mais de quelle liberté s’agit-il, au juste?". Je vous invite à lire son article sur uZine.

Noel Pécout écrit sur son blog Jadislherbe dans un billet intitulé "le pédophile surproduit et antihéros de la société marchande":
"On dirait que l’on découvre tout à coup l’existence d’une forme de sexualité depuis toujours ignorée. Pourtant, il n’y a pas si longtemps, la pédophilie, et même l’inceste, bénéficiaient dans le public d’un accueil neutre et parfois bienveillant. Il suffit pour s’en convaincre de se reporter à la presse des années 70 et 80. Qu’on me permette de rappeler l’indulgence amusée et admirative, avec laquelle critiques littéraires et présentateurs de télévision accueillaient les déclarations de Gabriel Matzneff ou de René Schérer, lequel écrivait dans Libération du 9 juin 1978: “L‘aventure pédophilique vient révéler quelle insupportable confiscation d’être et de sens pratiquent à l’égard de l’enfant les rôles et les pouvoirs”. Le cas de Tony Duvert, pédophile déclaré et militant, est encore plus remarquable. En 1973, son roman Paysage de fantaisie, qui met en scène des jeux sexuels entre un adulte et des enfants, est encensé par la critique qui y voit l’expression d’une saine subversion. Le livre reçoit le prix Médicis. L’année suivante, il publie Le bon sexe illustré, manifeste qui réclame le droit pour les enfants de bénéficier de la libération sexuelle que leur apporte le pédophile. En tête de chaque chapitre du livre, se trouve reproduite la photographie d’un jeune garçon d’une dizaine d’années en érection. En 1978, un nouveau roman du même auteur, intitulé Quand mourut Jonathan, retrace l’aventure amoureuse d’un artiste d’âge mûr avec un petit garçon de huit ans. Ce livre est salué dans Le Monde du 14 avril 1976: “Tony Duvert va vers le plus pur”. En 1979, L’île Atlantique lui vaut des éloges dithyrambiques de la part de Madeleine Chapsal.

Que s’est-il donc passé entre 1980 et 1995 pour que l’opinion connaisse un revirement aussi spectaculaire? Le phénomène est d’autant plus remarquable que nos sociétés occidentales contemporaines sont cimentées par l’idéal sacro-saint, mais purement imaginaire, de l’enfant-roi et par l’obsession corrélative de la protection de l’enfance.
"
Bertrand Lemaire dans un billet sur le populisme antipédophile écrit:
"Je ne suis pas pédophile mais je me préoccupe des libertés publiques pour chacun, y compris les pédophiles, les terroristes... et ceux qui sont accusés de pédophilie (comme à Outreau) ou de terrorisme (comme de pauvres bougres gardés à Guantanamo)."

Au delà des questions posées par Guillaume Champeau, Noel Pécout ou Bertrand Lemaire, interrogations dont je me fais ici l'écho, l'expert judiciaire ayant pour mission la recherche d'images à caractère pédopornographique est confronté à toutes sortes de problèmes, dont le principal est "Qu'est-ce qu'une image pédopornographique?".

Je vous renvoie à ce billet de juin 2007 qui reste toujours d'actualité.

Pour ma part, je classe à part, dans un premier dossier, les images et films particulièrement atroces mettant en scène en général un homme et une petite fille de moins de 10 ans.
Le deuxième dossier contiendra les images douteuses (a priori des mineurs de 18 ans).
Enfin le troisième dossier contiendra les images à interrogation: un visage d'enfant au milieu d'un dossier pornographique (un glissé/déposé malheureux?), une situation étrange avec des enfants. La photo de l'album de Scorpions aurait trouvé sa place dans ce dossier (car je ne connaissais pas cette couverture).

Le rapport d'expertise expliquant bien entendu toutes les interrogations et précautions d'usage. A charge pour l'enquêteur, et in fine le magistrat, de décider ce qui est illégal (ou pas).

On voit bien que l'on est aux antipodes d'un système automatique sans contrôle. En France, la justice est saisie, fait intervenir un technicien compétent (en général un OPJ spécialisé) pour extraire les images, pour finalement décider du caractère légal ou non du contenu.

Cela va-t-il durer?

Mais surtout, pourquoi ce type de dossier constitue-t-il la majorité des expertises judiciaires sur lesquelles je suis missionné depuis quelques années?

07 décembre 2008

Au bas de l'escalier

Je sors d'une réunion d'experts où j'ai eu à répondre à un feu nourri de questions. J'ai la tête en feu, et l'esprit vide.

Une bonne nuit de sommeil et me voilà en train de refaire mon exposé. Mais pourquoi n'ai-je pas présenté les choses comme cela, pourquoi n'ai-je pas dit cela? Je prépare même un discours que je n'ai pas tenu, tout en me faisant reproche de ne pas avoir été capable de le faire en direct.

Ce phénomène s'appelle "l'esprit de l'escalier", par référence à un texte de Diderot intitulé Paradoxe sur le comédien:
"Cette apostrophe me déconcerte et me réduit au silence, parce que l’homme sensible, comme moi, tout entier à ce qu’on lui objecte, perd la tête et ne se retrouve qu’au bas de l’escalier."

Seuls les esprits vifs et brillants peuvent, sans préparation aucune, écouter une question et y répondre immédiatement de la meilleure façon possible. Les autres, les esprits moyens ou médiocre comme moi, répondent du mieux possible, et se rendent compte le lendemain ou le surlendemain qu'ils auraient pu répondre autrement.

Wikipédia nous renvoie vers un autre auteur classique, Jean-Jacques Rousseau, qui écrit dans "Les Confessions" (livre III):
"Deux choses presque inalliables s'unissent en moi sans que j'en puisse concevoir la manière: un tempérament très ardent, des passions vives, impétueuses, et des idées lentes à naître, embarrassées, et qui ne se présentent jamais qu'après coup. On dirait que mon cœur et mon esprit n'appartiennent pas au même individu. Le sentiment, plus prompt que l'éclair, vient remplir mon âme; mais, au lieu de m'éclairer, il me brûle et m'éblouit. Je sens tout et je ne vois rien. Je suis emporté, mais stupide; il faut que je sois de sang-froid pour penser. Ce qu'il y a d'étonnant est que j'ai cependant le tact assez sûr, de la pénétration, de la finesse même, pourvu qu'on m'attende: je fais d'excellents impromptus à loisir, mais sur le temps je n'ai jamais rien fait ni dit qui vaille. Je ferais une assez jolie conversation par la poste, comme on dit que les Espagnols jouent aux échecs."

Je ferais une assez jolie conversation par la poste...

Il est plus facile d'écrire un billet de blog, bien assis chez soi devant son ordinateur, que de répondre en direct aux questions d'une assemblée curieuse.

Mais on apprend toujours beaucoup sur soi, à s'exposer ainsi.

05 décembre 2008

Vous êtes de Lille ?

Depuis la sortie du film de Dany Boon sur les gens du Nord, cette belle région est maintenant mieux connue de la France entière. Mais tout n'a pas été dit...





Vous savez que vous êtes de Lille quand:

- Petit vous aviez des crayons de bois et non pas des crayons à papier
- En voiture on vous dit "remonte le carreau", vous savez quoi faire!
- La ducasse n'est pas pour vous uniquement une bière (Ah bon ch't'une bière ??)
- Prononcer le « t » à la fin du mot « vingt » ne vous paraît pas bizarre
- Il ne pleut pas c'est qu'il fait beau !
- Vous savez ce qu'est de la cassonade
- Vous vous méfiez en voiture des "62"
- Pour le LOSC vous iriez loin... (Au moins jusqu'au grand stade de Villeneuve)
- Vous lavez par terre avec une raclette/un racleau et une wassingue
- Vous allez acheter l'essence et la bière en Belgique
- Vous dites « marcher à pied de chaussettes »
- Vous jugez la convivialité d'une ville au nombre de ses cafés
- Vous ne prenez pas les baraques à frites pour des gens du voyage
- Il drache... on sort couvert
- Eurostar, Thalys et TGV sont des mots courants
- Vous connaissez la rue de la soif à Lille
- Vous réalisez que Bruxelles est vachement mieux que Paris
- A chaque fois que vous partez en vacances vous trouvez qu'il fait bon
- Vous réalisez que vous êtes vachement plus musique électro que vos amis des autres régions
- La chanson d'Alain Souchon "le baiser" vous rappelle vos aventures à Bray-Dunes
- Au Tri Postal tu n'apportes pas ton courrier
- Vous confondez pas la voix du Nord avec une ligne de train
- Vous n'avez jamais prétexté une grève des conducteurs de métro quand vous arrivez en retard au taf.
- La définition du mot froid vous semble vraiment différente dans le sud
- Vous regardez A s'barraque de Dany Boon sans les sous-titres
- Vos doigts sentent la moule le premier week-end de septembre
- La pluie ne vous empêche pas de sortir
- Les frites avec de la mayo ça vous parait normal
- Vous vous offusquez des reportages dans le Nord sur les chaînes nationales... mais ça vous fait quand même bien rire
- Dès le moindre rayon de soleil, vous squattez les terrasses (même en plein hiver)
- Vous dîtes "s'il vous plaît" en tendant la monnaie pour payer vos achats
- Pour vous, le gris est une couleur
- Vous rêvez de vivre au soleil mais l'idée de quitter Lille est difficile
- Vous savez prononcer Pot'je vleech (mais vous savez peut-être pas l'écrire)
- Vous trouvez le clapotis de la pluie romantique
- Pour vous la métropole, c'est Lille et sa région... Pas la France entière
- Vous savez que Rijsel et Lille ne font qu'une
- Une semaine sans patate c'est impossible
- Pour vous, le carnaval à ne surtout pas manquer ce n'est ni Rio ni Nice mais celui de Dunkerque
- La phrase "je t'appelle et je te dirai quoi" n'est pas pour vous une bizarrerie mais un apport futur d'information

Et bien sur, il faut relire ce billet et celui-ci...

03 décembre 2008

La clef USB mystère

Je suis en pleine expertise informatique. Le magistrat m'a confié un ordinateur, des cédéroms, des disquettes et des clefs USB à analyser. Je sors toute ma panoplie d'outils d'investigation. Me voici enquêteur...

Je procède méthodiquement. Prise d'empreinte numérique avec HELIX à travers le réseau. Prise de notes sur un cahier d'écolier pour décrire chaque étape, tel un Gustave Bémont. Je note le nom du scellé, son numéro, sa description.

Un cédérom, une clef USB, un disque dur... Petit à petit tous les scellés y passent.

Vient le tour d'une petite clef USB sans inscription. Je la place dans ma machine de prise d'empreinte. Elle se met à clignoter. Bien. Seulement voilà, la machine d'analyse (sous Linux) ne voit pas la clef USB...

Ma machine d'analyse est sous GNU/Linux (HELIX) se qui veut dire que quasiment aucun périphérique ne lui résiste: toute la communauté open source se démène pour mettre au point des pilotes permettant d'exploiter tous les périphériques possibles et imaginables.

Par pure réflexe de Windowsien, je redémarre la machine. Toujours rien.

Je commence à transpirer: la clef USB est-elle grillée? Est-ce moi qui l'ai grillée? Aurais-je détruit une pièce à conviction?

J'essaye la clef sur tous les ports USB de tous les PC de la maison avec mon live-CD. Rien.

Je m'assois à mon bureau. Perplexe.
Mon regard tombe sur le cadre dans lequel j'ai placé ce dessin effectué par Monsieur Ucciani en dédicace.

Je prends une grosse loupe et regarde à travers le plastique de la clef USB pour voir si un composant a lâché. Je vois une minuscule inscription presque complètement effacée sur le dessus du plastique: Blue...tooth.

Cela fait une heure que je cherche à analyser le contenu d'une clef USB mémoire, alors que j'ai à faire à une clef USB radio...

Parfois je me félicite de bloguer sous pseudonyme.

01 décembre 2008

La banque alimentaire

Conseiller municipal, c'est aussi répondre à diverses sollicitations. Quand on m'a demandé si j'acceptais de consacrer deux heures de mon samedi pour aider à la collecte d'aliments, j'ai immédiatement accepté.

Samedi, 14h devant le magasin Netto, prévoir des vêtements chauds.

J'arrive à 13h45. Les "collègues" sont contents que la relève arrive. Ils me transmettent les consignes. Nous sommes deux: un côté entrée pour distribuer les sacs plastiques et répondre aux questions des clients, et moi côté sortie pour récupérer les dons des clients et les ranger dans des cartons. Très vite le rythme est rodé avec mon partenaire.

Les clients du magasin sont en général gentils. Moi qui suis plutôt "bourru", je suis souriant et détendu. Je remercie chaque personne avec discrétion. Il y a beaucoup de gène dans l'acte de faire un don en nature. Je pense que chacun imagine que le pire n'est pas toujours pour les autres.

Les dons doivent être des produits non périssables. Personne ne s'est trompé, ce qui prouve que tout le monde connait le principe. Certains prennent l'initiative de donner des produits pour bébé: lait en poudre 0-3 ans, petits pots, etc. Renseignements pris auprès des organisateurs, c'est une très bonne initiative.

Les deux heures s'écoulent lentement. Une de mes piles de cartons s'écroule car l'un d'eux a lâché sous le poids. J'évite la catastrophe de justesse et transfère le contenu de la pile vers les autres cartons. Un client vient me voir d'un œil goguenard et me félicite de ma discrétion. Il me raconte un peu sa vie "je suis un SDF de l'éducation nationale". Je ne comprends pas ce qu'il veut dire par là. Il ne répond pas à mes questions. Je comprends qu'il veut que je l'écoute. Une autre cliente vient me voir et me demande si elle peut me prendre un carton vide pour son caddie. Je suis un peu surpris et bredouille un acquiescement. Elle ne donnera rien en sortant.

Toutes les catégories de personnes donnent: des vieux, des moins vieux, des bien-habillés, des grands, des petits... Mon partenaire, un habitué de ce genre d'activité m'avait dit qu'il ne donnait pas de sac aux jeunes, car ils ne donnent jamais. Et pourtant, plusieurs fois, des jeunes sont venus me voir avec un paquet de pâtes ou une grosse boite de conserve dans les bras. Cela nous a donné du baume au cœur à tous les deux.

16h, la relève arrive. Deux heures passées debout dans le froid des portes d'entrée... cela fait réfléchir sur le métier d'hôtesse de caisse!

Je fais un petit tour dans le magasin pour récupérer les sacs plastiques abandonnés par ceux qui n'ont pas su les refuser à l'entrée, et qui n'ont pas pu les remplir.

J'en rempli un avec des plaquettes de chocolat et des pâtes de fruits.
C'est probablement ce que j'aimerais que l'on me donne si un jour je me trouve dans le besoin. Chacun son vice. La relève sourit quand je leur donne le sac. Pourvu qu'ils sourient toujours dans deux heures.

---------------------
Source image minimiam via Dark Roasted Blend.

27 novembre 2008

Service informatique

Je suis fan du dessinateur Jean-Michel Ucciani qui tient avec brio un blog BD perso, mais également un blog professionnel.

Quand je suis tombé sur ce dessin, je n'ai pas pu m'empêcher de penser à mon travail de responsable informatique.

Je le publie donc ici, avec l'aimable autorisation de son auteur.

24 novembre 2008

Véhicule électrique

Il y a parfois des moments magiques dans la vie d'un ingénieur.
La conduite d'un véhicule électrique en fait partie, du moins pour moi.

Il y a des villes en France où il est possible, pour une somme modique, de louer ponctuellement un véhicule électrique. Le principe de la location est simple: vous payez à la durée, en prenant le véhicule à un parking spécial (équipé de bornes électrique de recharge) et en le déposant éventuellement à un autre parking spécial. Comme un vélib' finalement.

La mise en charge du pack de batteries est gérée par un technicien qui branche (ou débranche) tous les soirs les véhicules qui en ont besoin. Vous ne pouvez pas emprunter un véhicule qui est en charge ou qui est déchargé (les portes ne s'ouvrent pas).

Me voici donc, avec un ami, dans le parking de mon point de départ. Le système est prévu pour fonctionner avec la seule compétence de l'usager. Je choisis une Peugeot 106 qui semble en bon état. Je présente la carte d'abonnement près du capteur situé sur la fenêtre et miracle, les portes se déverrouillent.

Nous voici assis dans la voiture. Première surprise: il n'y a pas de pédale d'embrayage, ni de levier de vitesse. Et comme je l'apprendrai par la suite, il n'y a même pas de boite de vitesses...

Je suis à la lettre les instructions indiquées sur le cadran et tape le code de sécurité lié à la carte d'abonnement de mon ami. Je tourne la clef de contact toujours présente dans le véhicule (on ne peut pas la retirer). Deuxième surprise: il n'y a pas de démarreur (évidemment me suis-je dit). Par la force de l'habitude, je cherchais à "lancer" le moteur. Dans le cas d'un véhicule électrique, il suffit de mettre le contact et hop, le moteur est sous tension, donc démarré... sans tourner.

Problème: le véhicule est garé face à un muret. Il me faut donc faire une marche arrière pour sortir du stationnement. Comment reculer avec un véhicule sans boite de vitesses? Je cherche un peu sur le tableau de bord et découvre un bouton "R" (probablement pour "Reculer" ou "Rear"). J'appuie dessus et effectivement, un voyant du tableau s'allume avec une flèche vers l'arrière. Je desserre le frein à main et appuie sur la pédale d'accélérateur. Avec douceur, le moteur se met à tourner et la voiture recule.

Me voici sur la route, et après une accélération fulgurante, je roule à la vitesse règlementaire de cinquante kilomètres par heure. Pas de vitesse à passer, la rotation du moteur électrique est "simplement" modulée par la position de la pédale d'accélérateur. Pour freiner, il me suffit de lever le pied de la pédale et le frein moteur joue pleinement son rôle. Pour freiner plus rapidement une pédale de frein est disponible mais très vite elle devient presque inutile.

J'arrive à un premier feu tricolore et m'y arrête puisqu'il est passé au rouge. Etrange sensation que celle d'avoir un moteur qui ne tourne plus parce que l'on n'avance plus. Finalement, c'est assez logique quand on y pense. C'est également étrange de savoir que la marche avant est enclenchée sans avoir à débrayer (puisque le moteur ne tourne pas). Le feu passe au vert et un simple appui sur la pédale d'accélérateur suffit à refaire avancer la voiture.

J'emprunte une voie rapide. Me voici à 90 km/h. Une autre surprise m'attend: le bruit. Comme le moteur ne fait aucun bruit (absolument aucun!), les seuls bruits que l'on entend sont celui du vent et... celui du roulement des pneus sur la route!

Nous voici à destination. Je gare le véhicule et coupe le contact. J'ai fait 20 km en une demi heure pour un coût de 3 euros. La jauge de carburant (l'indicateur de charge) m'indique une baisse de quelques %.

Il me reste à battre le record de vitesse de la Jamais contente qui a été le premier véhicule automobile à franchir le cap des 100 km/h... en 1899!

--------------
Source photo Wikimedia Commons

19 novembre 2008

Faire parler un appareil photo

Des chercheurs de l'Université Polytechnique de Brooklyn de New York ont mis au point une technique permettant de déterminer le modèle d'appareil photo numérique à partir une image numérique prise avec cet appareil [New Scientist via Gizmodo]

Extrait de l'article de Gizmodo:
Lorsque l’appareil photo numérique capture une photo, il crée chaque pixel grâce à une micro-puce constituée de millions de condensateurs dont la charge électrique dépend de l’intensité lumineuse en un point donné. Chacun de ces condensateurs a une lentille et un filtre de couleurs, permettant de créer un seul pixel à partir d’une mosaïque constituée de filtres rouge, vert et bleu.

Les couleurs et l’intensité lumineuse que nous pouvons voir dans nos photos numériques sont créées par un logiciel de dématriçage qui est spécifique à chaque modèle d’appareil photo. De ce fait, chaque appareil photo numérique génèrera des pixels particuliers que les spécialistes seront en mesure d’attribuer à un appareil donné.
Il me semble évident que si cette technique s'avère effective, elle pourrait permettre d'amener un élément de preuve liant un suspect (et le matériel saisi chez lui) et l'image numérique utilisée dans une affaire criminelle (un enlèvement par exemple).

Si elle est améliorée, elle pourrait permettre un lien non plus entre une image numérique et un modèle d'appareil, mais avec un appareil photo numérique précis et unique, comme pour les machines à écrire et les imprimantes.

Par contre, je suis plus réservé sur la conclusion de l'article du New Scientist:
"If we can identify the camera, then there is a possibility that we can identify who bought it and where."
[Si nous pouvons identifier l'appareil photo, alors nous pourrions peut-être savoir qui l'a acheté et où.]
Parce que pour l'instant, il ne s'agit que d'identifier le modèle d'appareil (et encore, à 90%).

Cela me rappelle que j'ai déjà beaucoup de mal à faire parler les mémoires des imprimantes...

--------------------
Crédit images darkroastedblend.com

Une aide pour vos recherches sur Google

Le moteur de recherche Google a fini par être un outil incontournable de recherche d'informations. S'il semble que la majorité des utilisateurs fasse des requêtes contenant moins de trois mots clefs, il m'apparait indispensable qu'un expert judiciaire en informatique maîtrise parfaitement ce moteur de recherche.

Il faut donc être capable d'en connaître tous les ressorts.

Exemple: je voudrais savoir si le livre "Candide" de Voltaire est disponible sur la toile. Je tape alors sur google la requête suivante:
-inurl:(htm|html|php) intitle:"index of" +"last modified" +"parent directory" +description +size +(.txt|.odt|.doc|.rtf|.pdf) "candide"

Me voici à la tête d'une dizaine de liens parmi lesquels je peux trouver cette œuvre magnifique. Il ne me reste plus qu'à vérifier la légalité de son téléchargement (et ça, c'est un autre problème!) avant d'entreprendre sa lecture sur mon écran d'ordinateur.

Bien sur, une telle capacité de maîtrise doit être associée au courage de la saisie de longue requête, sans faute de frappe... ainsi qu'à une bonne connaissance de la syntaxe du moteur de recherche.

Et comme ce n'est pas donné à tout le monde, Google a mis en place l'outil Google Hacks...

Cet outil "magique" permet de générer des recherches sur Google dont vous n'aviez même pas pensé l'existence! Cela permet de mieux connaître la syntaxe de ce moteur de recherche tout en réalisant des recherches beaucoup plus pointues et poussées.

Enfin, comme je le rappelai dans mon billet sur les mots de passe, il n’est pas inutile de rappeler que toute utilisation illégale de ce type de logiciel entraine votre responsabilité juridique.

PS: Si vous êtes sous Firefox, l'installation cherche à installer un plugin qu'il vous suffit de refuser pour ne pas modifier votre navigateur favori.

--------------
Source photo Dark Roasted Blend

16 novembre 2008

Closest book meme

* Grab the nearest book.
* Open it to page 56.
* Find the fifth sentence.
* Post the text of the sentence in your journal along with these instructions.
* Don’t dig for your favorite book, the cool book, or the intellectual one: pick the CLOSEST.
Elle était soudain tout efficacité.
"La mort blanche" de Frank Herbert.

From planetsuse, via devloop.

Le noir

En ce moment, le moral n'est pas au beau fixe. C'est un peu le yoyo (sans tata).

Je broie du noir pour plusieurs raisons que je ne livrerai pas maintenant.

Noir, noir, noir.

Et vous savez que j'aime la science-fiction.
Alors, le dark, j'adore.

------------------
Image de Robot Chicken Episode II

14 novembre 2008

Economiseur d'écran

Dans une démarche de développement durable et en vue de diminuer la facture d'électricité, j'ai décidé d'exploiter au maximum les possibilités de mises en veille des 350 écrans et ordinateurs de l'entreprise. Surtout que parmi les écrans, il y a de nombreux vidéoprojecteurs dont les lampes coûtent 1/3 du prix d'achat de l'appareil.

Bref, je cherche à faire de vraies éco-économies sans grands efforts.

En premier lieu, comme informaticien, je me suis donc penché sur le problème des écrans. Depuis des années, nous utilisons de superbes "économiseurs d'écran" qui consistent à remplacer l'affichage par un écran noir sur lequel se déplacent le logo de l'établissement. Certains vont même jusqu'à faire défiler des images de leurs vacances. Tout cela est très joli... Mais complètement obsolète!

En effet, les écrans CRT ont depuis longtemps améliorés leur revêtement de phosphore afin d'éliminer le phénomène de combustion interne qui gravait définitivement les pixels allumés en permanence (la barre windows ou l'écran de login par exemple). Sans compter que les écrans plats LCD ne connaissent même pas ce phénomène. La fonction de "screen saver" est donc devenue complètement inutile...

Par contre, la dépense énergétique est, elle, toujours bien réelle!
En effet, le rétro-éclairage des écrans plats est toujours actif sur un écran noir, malgré la légende urbaine des économies effectuées...
Ce n'est donc plus la fonction "écran de veille" qu'il faut installer, mais bien celle de mise en veille de l'écran permettant la mise hors tension de l'écran.

Extrait de Wikipédia:
Les écrans d'ordinateurs consomment la même quantité d'énergie lorsque l'économiseur d'écran est actif que lorsqu'il n'y en a pas. Cette quantité peut varier entre quelques watts pour les petits écrans LCD et plusieurs centaines pour les plus grands écrans plasma. Par contre l'utilisation d'économiseurs d'écran occasionne un surcroît de consommation d'énergie au niveau de l'ordinateur lui-même, via l'utilisation de calculs graphiques: cette surconsommation peut aller de quelques watts à plusieurs dizaines de watts supplémentaires!

Nous passons donc sur l'ensemble du parc pour effectuer les réglages nécessaires, tout en informant les utilisateurs des motifs de la décision. Je dois dire que tout le monde a compris et accepté la modification, avec parfois quelques soupirs lors de la disparition de belles animations photos...

C'est donc avec le sentiment du début du devoir accompli (il reste beaucoup à faire en terme d'économies... entre autre sur l'extinction des lumières et appareils) que j'ai pu faire un premier bilan positif: tout le monde a conscience que la somme de petits efforts aboutit à de réels progrès.

Et pourtant, il reste bien des efforts à faire, toujours sur le sujet des écrans en veille. J'étais en réunion de travail, avec cinq personnes, autour d'un vidéoprojecteur sur lequel était projeté une présentation. A la fin de la présentation, nous démarrons une discussion. Au bout de 10 mn, et alors que plus personne ne s'intéressait au visuel projeté sur l'écran, le vidéoprojecteur se met en veille.

Et immédiatement, celui qui avait la souris à portée de main l'a secouée pour faire sortir le vidéoprojecteur de son sommeil...

Beaucoup d'efforts encore, je vous dis.

Prochaine étape, extinction de tous les ordinateurs le soir, mise en place de détecteurs de mouvements dans les amphithéâtres, dans les salles de TD et TP...

13 novembre 2008

469 millions de spams pour la recherche

Je viens de lire un article d'Ars Technica indiquant que sept chercheurs américains avaient utilisé le botnet de spams généré par le ver Storm pour envoyer 469 millions de spams vantant entre autre des produits pharmaceutiques en vente sur de faux sites qu'ils avaient créés, afin d'étudier la rentabilité de ce type d'activité.

Je ne nie pas l'intérêt de leur article que vous pouvez lire ICI, mais je suis interloqué par la manière de procéder.

En tant que particulier, je souffre relativement peu du spam grâce à l'utilisation d'outils intelligents (Thunderbird et gmail) et les adresses emails jetables telles que yopmail.

Il en va totalement autrement en tant que responsable informatique, avec plus de 20.000 emails à traiter par jour et toutes les astuces que cela demande (greylisting, spamassassin, listes noires...)

Mon sang s'est donc mis à bouillir quand j'ai appris que nos sept chercheurs américains jouaient avec les outils du diable.

Extrait de l'article:
We conducted our study under the ethical criteria of ensuring neutral actions so that users should never be worse off due to our activities, while strictly reducing harm for those situations in which user property was at risk.

Traduction basée sur Google:
Nous avons mené notre étude dans le cadre de critères éthiques garantissant des actions neutres de façon à ce que les utilisateurs ne soient jamais dans des situations pires à cause de nos activités, tout en réduisant strictement les dommages pour les situations dans lesquelles la propriété de l'utilisateur était en danger.

Cela me fait quand même mal quelque part de savoir que mes serveurs d'emails ont peut-être reçu quelques milliers de spams éthiquement corrects pour le bien de la recherche...

Via futura-sciences.

Ils sont formidables

Il m'arrive d'avoir une baisse de moral. Je vois souvent la vie en noir (c'est pour cela que j'ai choisi cette couleur pour ce blog). Je rédige des rapports d'expertise sur des sujets éprouvants. Je dirige un service technique et un service informatique (ce qui veut dire que je dois gérer beaucoup de problèmes et de mauvaises humeurs tout en restant zen et diplomatique). J'essaye d'impulser des projets positifs, des changements d'habitudes, des changements tout courts, je tiens un blog qui parle (un peu) d'expertises, mais je rencontre beaucoup de résistance au changement.

Bref, la vraie vie quoi.
(l'expression "quoi" est typique du Nord et se prononce "koua")

Heureusement, je travaille dans une école d'ingénieurs avec des étudiants formidables: ils représentent la jeunesse, ils comprennent le besoin du changement, ils font des erreurs parce qu'ils font des essais, ils ont des projets et cherchent à les réaliser, ils posent des questions.

Tous les matins, ils me font aimer arriver au boulot.

12 novembre 2008

Craquer les mots de passe

Il y a de nombreuses circonstances où savoir craquer les mots de passe peut être particulièrement utile. Par exemple, lorsqu'un fournisseur a mis un mot de passe inconnu sur le compte administrateur d'une machine qui vous appartient.

Flashback:
L'entreprise de formation où je travaille a ouvert un centre au Maroc. Je dois en piloter toute l'informatique (achat, installation, maintenance...) sans personnel informatique sur place. J'ai donc choisi de procéder de la façon suivante:
- expressions des besoins par les utilisateurs et validation technique par mes soins
- achats par le directeur marocain (négociations avec les fournisseurs et choix)
- livraisons et déballages par un technicien du fournisseur
- installations par un professeur marocain du composant logmein pour prise de contrôle à distance (produit gratuit et très performant!)
- configurations et installations à distance des logiciels pédagogiques. Pour ce dernier point, j'ai mis en place cet été un serveur Citrix XenApps qui permet l'utilisation au Maroc d'applications installées en France dans ma notre salle serveurs. Les publications de nouvelles applications (fréquentes dans le monde de l'enseignement) ne nécessitent donc pas de déplacement au Maroc.

Back to the present:
Mais la mise en place d'un système informatique complet demande malgré tout de venir sur place de temps en temps. J'ai déjà décrit mes aventures une fois, deux fois, trois fois, quatre fois, pour trois missions à Casablanca (trois emménagements du centre de formation).

Et lors de la dernière intervention, il m'a fallu raccorder au réseau 10 PC dont le fournisseur n'avait pas indiqué le mot de passe administrateur. Le temps m'étant compté très juste, je ne pouvais pas procéder à la réinstallation complète des postes.

Comment trouver ces mots de passe?
C'est là où l'activité d'expert judiciaire en informatique fournit une aide appréciée lors de mon activité professionnelle: la connaissance de l'outil ad hoc pour ce genre d'intervention: ophcrack et son "live cd". Ophcrack est un craqueur de mots de passe Windows basé sur des tables arc-en-ciel. Il récupère 99,9% des mots de passe alphanumériques en quelques secondes. Le "live cd" permet de trouver les mots de passe sans rien installer sur la machine visée, alors que l'installation locale permet de personnaliser les tables arc-en-ciel.

En moins d'une demi-heure, j'avais les dix mots de passe des comptes administrateurs.

Lire aussi: liste d'outils de sécurité.

The future:
Pour les étudiants-administrateurs informatiques, voilà une bonne raison de configurer les postes de travail Windows de façon à ce qu'ils ne puissent pas démarrer sur cédérom (ni sur port USB) et de limiter les droits d'accès des utilisateurs.
Sans oublier bien entendu d'utiliser des mots de passe "administrateur Windows" différents de celui ceux utilisés en salle serveurs.

Il n’est enfin pas inutile de rappeler que toute utilisation illégale de ce type de logiciel entraine votre responsabilité juridique.

--------------------
Crédit images darkroastedblend.com

11 novembre 2008

Aide mémoire LVM

Après installation d'une distribution Debian netinstall 40r5, si l'on a fait le choix de monter un LVM sur plusieurs disques (3 fois 20Go par exemple) et que l'on s'aperçoit après installation que seul le premier disque est réellement utilisé (la commande vgdisplay retourne un "volume group size" de 20 Go au lieu des 60Go attendus), il faut:

1) étendre le volume logique aux trois disques:
lvextend -L+40Go /dev/grpvol/root

2) et redimensionner à chaud le système de fichier ext3
resize2fs -p /dev/grpvol/root

C'est la troisième fois que j'ai besoin de régler ce problème (je dois rater quelque chose dans la procédure d'installation. RTFM?) et je rame à chaque fois dans Google avant de retrouver ces deux commandes.
Je saurais où les chercher une prochaine fois:)

PS: C'est toujours amusant d'installer un serveur de 10 ans d'âge, biprocesseur Pentium II, 512Mo de mémoire vive et dont la carte mère n'accepte pas les disques durs IDE de plus de 20Go. Un serveur pour faire des tests bien sur...

08 novembre 2008

Commentaire sur l'ordonnance du mois d'avril 1667

Ou de la simplicité supposé du droit des anciens...

Article XIII de l'ordonnance
"Si les experts sont contraires en leur rapport, le Juge nommera d'office un tiers qui sera assisté des autres en la visite, et si tous les Experts conviennent, ils donneront un seul avis et par un même rapport, sinon donneront chacun leur avis."

Commentaire rédigé en 1776 par M. François Serpillon, Lieutenant-Général Criminel, et Conseiller-Civil au Bailliage et Siège Préfidial d'Autun:

Lorsque le tiers Expert s'accorde en partie avec l'un des Experts, quoique dans les autres parties il ne soit d'accord, ni avec l'un, ni avec l'autre, on homologue le rapport pour la partie sur laquelle il s'est accorde avec l'un des Experts, et on ordonne qu'à l'égard du surplus il sera nommé un autre tiers Expert qui sera tenu de se ranger du parti de l'un ou de l'autre des premiers Experts. C'est ce qui a été jugé au Parlement de Dijon le 7 Janvier 1755, sur la plaidoirie des Avocats Roche et Courbabon. Cette décision est fondée, sur ce qu'il n'est pas permis à un tiers Expert, d'élever un tiers avis. Il ne peut que lever le partage qui se trouve entre les premiers Experts. Voyez cependant ci-après.

Il s'agissoit d'un surtaux[1]; la Cour mit sur l'appellation, la demande en homologation du rapport à néant, en homologant à l'égard du surtaux de l'année 1749, et condamna la veuve Ratet en la moitié des dépens. Et à l'égard de l'année 1750, il fut ordonné, que par un autre tiers Expert qui seroit nommé, il seroit procédé à la levée du partage des deux premiers Experts, et qu'il seroit tenu de se ranger à l'avis de l'un ou de l'autre des deux premiers Experts, dépens réserves pour ce chef; présidant M. Languet de Rochefort.

Le 13 du même mois il y eut deux autres Arrêts rendus par la même Cour qui décidèrent pareillement cette question; l'un par assentement, et l'autre contradictoirement, encore sur la plaidoirie de l'Avocat Roche et de Chantepinot. M. Jousse, sur cet article, tire du même principe la même conséquence; il dit que quand un tiers Expert estime un ouvrage, il ne peut l'estimer plus haut que le plus haut prix, ni plus bas que le plus bas prix de la première estimation; il ajoute que plusieurs Arrêts ont annulé des rapports de tiers Experts qui avoient contrevenu à cette règle.

M. de Fromental Procureur du Roi au Présidial du Puy, dans son Dictionnaire de droit imprimé en 1740 in-fol. p. 299, au mot Experts, dit aussi que le tiers Expert doit se ranger à l'avis de l'un des Experts partagés, sans qu'il lui soit loisible d'ouvrir un nouvel avis, à peine de cassation de son rapport. Cet Auteur ajoute, que cependant cette Jurisprudence a changé par deux Arrêts de la Cour des Aides qu'il ne date pas, lesquels deux Arrêts ont jugé que les rapports des tiers Experts qui contenoient des avis particuliers, étoient valables.

Ces deux Arrêts de la Cour des Aides de Toulouse cités par M. de Fromental, sont conformes à l'usage présent en Bourgogne. Malgré les Arrêts du Parlement de Dijon, qui viennent d'être rapportés, on laisse au tiers Expert toute liberté dans son avis; nous le voyons pratiquer tous les jours; il a prêté serment d'estimer en conscience, il faut qu'il le fasse librement. Il en arriveroit de grands inconvénients; deux Experts d'intelligence, affecteroient d'estimer fort bas les choses, en mettant cependant quelque différence dans leurs avis, et par-là ils forceroient le tiers Expert à se ranger au plus haut, qui pourroit être fort au dessous du véritable prix de la chose à estimer. Il n'est pas vrai que le tiers Expert soit appelé pour lever le partage, il est nommé pour dire librement son avis, après cependant avoir médité sur celui des autres, et avoir pris d'eux des instructions.

------------------------
[1] Taux ou taxe supplémentaire, surtaxe (wiktionary).
Quand même ils seroient faits avec toute la fidélité imaginable, on en peut y apporter la même économie & le même soin, que des Négocians qui chercheroient leur intérêt personnel; d'où il s'ensuit un surtaux indispensable qui est payé par le Prince, ou par le Peuple. (Claude-Jacques Herbert, Essai sur la Police générale des Grains, 1753)

06 novembre 2008

Commission de sécurité

Lorsque j'ai fait le choix d'ajouter sur ma tête la casquette de responsable technique, je savais qu'il allait falloir que j'acquière rapidement des connaissances qu'un simple responsable informatique ne possède pas nécessairement.

La gestion d'un bâtiment ERP2 en fait partie.

ERP = Etablissement Recevant du Public, et non pas Progiciel de Gestion Intégré comme je l'ai pensé la première fois que l'on m'en a parlé.

Un ERP possède au moins un type et entre dans une catégorie: dans le cas de mes bâtiments, il s'agit d'un ERP de type R (Etablissements d'enseignement) de catégorie 2 (701 à 1500 personnes). La gestion technique d'un tel ensemble de bâtiments nécessite de respecter des règles de sécurité afin de prévenir les accidents.

Par chance, mon prédécesseur m'a laissé un (volumineux) dossier contenant la règlementation à suivre et une pile de dossiers à jour concernant la sécurité. Il faisait ainsi mentir l'adage "Mon prédécesseur, cet incapable; mon successeur, cet ambitieux". Et pour faire mentir cet adage à mon tour (vis à vis de mon futur successeur), je me suis plongé dans les abimes règlementaires des ERP2...

Ma première décision a été de faire venir un pompier pour qu'il inspecte rapidement les lieux. La présence d'un homme en uniforme a également permis de faire passer plus en douceur la décision n°2 issue de cette inspection: supprimer toutes les tables, présentoirs, chaises et autres mobiliers qui s'étaient gentiment invités dans les couloirs et les escaliers de l'établissement... Les axes de circulation ne sont pas des zones de stockage, et ces objets représentent un risque pour l'évacuation en cas d'incendie ET pour la progression des pompiers. Seuls les photocopieurs d'étage semblent tolérés.

Pour le reste, RAS: tous les éléments de sécurité (extincteurs, trappes de désenfumage, centrale du système de sécurité incendie, détecteurs, etc.) ou les éléments dangereux (charriot élévateur, palans, ascenseurs, etc.) sont opérationnels et font l'objet de contrôles réguliers par des sociétés agréées.

Il n'empêche.
Tout ceci doit faire l'objet d'un contrôle ultime, une fois tous les trois ans: LA visite de la commission de sécurité.

Sous son intitulé complet, la commission consultative départementale de sécurisé et d'accessibilité est l'organisme compétent, à l'échelon du département, pour donner un avis concernant la poursuite d'activité de l'établissement à l'autorité investie du pouvoir de police administrative.

Et il y a quelques jours, c'était la première visite que j'avais à gérer...

Je me suis donc retrouvé face à cinq personnes: un représentant du préfet, de la mairie, de la police, de la DDE et des pompiers. Cela m'a rappelé les oraux des concours d'entrée aux grandes écoles! Et pendant deux heures, ils ont épluchés les documents que je leur présentais à la demande: consignes de sécurité, bilans des exercices d'évacuation, registre de sécurité, PV de vérifications des installations électriques, des chaudières, du gaz, des extincteurs, jusqu'aux contrats d'entretien des portes coulissantes de l'entrée principale de l'établissement.

Puis a eu lieu la visite des bâtiments. Nous nous sommes promenés dans tous les laboratoires, toutes les salles de TP, de TD, dans les amphithéâtres... RAS.

Enfin est venue la visite du sous-sol: archives et locaux de stockage du mobilier. Le pompier me désigne la porte d'un local en me demandant de l'ouvrir. Et là, stupeur: enchevêtrement de câbles, de rallonges, de chaises, de tabourets, d'enceintes, d'amplis, de batteries, de moquettes, de caisses, de cartons, de jeux de lumières... Il s'agit du local de répétition des différents groupes de musique de l'école.

Un silence plane sur le groupe agglutiné à l'entrée de cette pièce à l'aspect improbable.

Le pompier me regarde et m'interroge: Monsieur le responsable technique, quels sont les problèmes que vous relevez dans cette pièce?

Moi, déconfit: Et bien... les appareils électriques sont branchés sur des rallonges multiprises cascadées (jusqu'à quatre multiprises!), la pièce est remplis d'objets encombrants et inflammables visiblement stockés là sur une longue durée (zone de stockage) alors qu'il s'agit d'une pièce de vie, le désordre ambiant devient un piège mortel en cas d'incendie, pour les occupants qui cherchent à sortir, comme pour les sauveteurs qui cherchent à entrer. Bref, un piège mortel.

Lui: Et que comptez-vous faire?

Moi: Fermeture immédiate de ce local et dès demain, nettoyage avec les étudiants puis mis en place d'une installation électrique correspondant à leurs besoins.

Lui: Bien.

Résultat: avis favorable.

PS: Le pompier est revenu quinze jours après pour une visite impromptue. Tout avait été fait. Je n'ai qu'une parole.

29 octobre 2008

Que faire quand vous découvrez une infraction?

En l'absence de poste effectivement dédié à la sécurité, je fais office de RSSI dans mon entreprise, c'est-à-dire que j'assure la responsabilité de la sécurité du système d'information.

En d'autre termes (dixit wikipedia), la sensibilisation des utilisateurs aux problèmes de sécurité, la sécurité des réseaux, la sécurité des systèmes, la sécurité des télécommunications, la sécurité des applications, la sécurité physique, la mise en place de moyens de fonctionnement en mode dégradé (récupération sur erreur), la stratégie de sauvegarde des données et la mise en place d'un plan de continuité d'activité «disaster recovery».

Bien.

Cela tombe assez bien car en tant qu'expert judiciaire, je suis amené plutôt souvent à me prononcer sur la validité des actions menées au sein des entreprises par les responsables concernés par ces problèmes (et ils sont nombreux, les problèmes potentiels).

Seulement voilà, RSSI, c'est un métier à part entière, qui demande des connaissances techniques particulièrement élevées, et dans des domaines très divers. Un métier d'Expert.

Donc, quand on se définit comme un informaticien généraliste devant intervenir sur tous les aspects de l'informatique (i.e. responsable-informatique-dans-une-école-d'ingénieurs-et-expert-judiciaire-en-informatique), il est bon d'avoir plus que quelques bonnes notions concernant la sécurité informatique.

Et heureusement, il y a la pratique, la théorie et le partage d'expérience.

Concernant le partage d'expérience, il y a les blogs: Sid, Bruno Kerouanton, Maître Eolas, et j'en passe d'autres et des moins bons, et il y a les conférences.

A propos des conférences, s'il est parfois difficile d'y aller (temps, distance, frais...), il est souvent possible d'obtenir les actes, et parfois même gratuitement! C'est le cas pour le Symposium sur la Sécurité des Technologies de l'Information et des Communications (SSTIC).

Du coup, il est possible d'accéder à des documents intéressants (quand on arrive à en comprendre le sens). C'est le cas de l'excellent "Recueil et analyse de la preuve numérique dans le cadre d'une enquête pénale" de Nicolas DUVINAGE.

Résumé: Au cours de l'enquête pénale peuvent être saisies et analysées de nombreuses pièces à conviction de toutes natures: traces d'ADN, empreintes digitales, armes, etc, mais aussi disques durs, clés USB, téléphones portables... La présentation portera à la fois sur les grands principes de la criminalistique (étude scientifique des éléments de preuve), qui s'appliquent indifféremment à tous les scellés quelle que soit leur nature, mais aussi sur les particularités du traitement de la preuve numérique (saisie, conservation, exploitation, présentation des résultats). Une conduite à tenir-type sera également conseillée aux RSSI et administrateurs-réseau d'entreprise en cas de découverte d'infraction dans leur périmètre de compétences.

Et parce que nous sommes tous maintenant des RSSI en puissance (je n'ai pas dit "compétents"), et grâce à l'aimable autorisation de l'auteur, je peux retranscrire ici les conclusions de ce document (pour votre bonheur je vous encourage à les lire dans le document original).

---------- extrait -----------
QUELQUES CONSEILS

«Les RSSI qui découvrent une infraction…»
Vous découvrez ce que vous pensez/supposez être une infraction… mais vous n’êtes pas magistrat!
• …ce n’est pas forcément une infraction.
• …et même si c’en est une, le suspect n’est pas forcément celui que l’on croit (ex.: poste de travail partagé, trojan, etc).
• …et même si c’est bien lui, il n’est pas forcément coupable (ex.: comportement involontaire).
• …et même s’il l’est pour tout le monde, il ne sera pas forcément condamné (ex.: absence de preuves suffisantes, vice de procédure, etc.).
De fausses accusations (même énoncées de bonne foi et sans intention de nuire) peuvent avoir de lourdes conséquences:
– Il est plus facile de détruire une réputation en 5 minutes que de la reconstruire… même s’il est prouvé que la personne est innocente («Il n’y a pas de fumée sans feu», les accusations de pédophilie sont souvent indélébiles…).
– Pour le suspect:
• Risque de mise à pied ou de licenciement;
• Risque de rupture conjugale, de suicide (pédophilie);
• Méfiance de l’entourage, de la famille, des amis, des collègues…

Conseil n°1: PRUDENCE et DISCRETION:
• Ne pas alerter toute l’entreprise (se contenter par ex du responsable juridique et du directeur du site, faire attention aux éventuelles complicités internes…).
• Laisser faire les spécialistes du droit (signaler les faits à la gendarmerie/police…).
• Ne pas porter de jugement hâtif sur l’intéressé (lui laisser le bénéfice du doute et la présomption d’innocence).
Conseil n°2: Pour autant, il faut réagir! …tout en respectant le droit du travail et les libertés fondamentales de la personne:
• Pas d’analyse des fichiers personnels privés du PC du suspect (cf. «arrêt Nikon» de la Cour de Cassation).
• Pas de «perquisition» dans son vestiaire, dans ses tiroirs en son absence.
Conseil n°3: Pour autant, il faut réagir! …et préserver les éléments de preuve:
• Remplacer le PC suspect par un autre PC (ex.: en prétextant une maintenance, une mise à jour, un problème de sécurité, ou au pire, en prétextant une infraction moins
infamante que la pédophilie [piratage, escroquerie…]).
• Extraire/graver les fichiers issus de serveurs (ex.: logs gravés sur CD).
• Si vous avez impérativement besoin de faire des analyses: réaliser une copie bit à bit des supports mis de côté et n’analyser que ces copies.
• Conserver les supports mis de côté dans un endroit sûr (ex.: coffre-fort) en attendant de les donner à la gendarmerie/police.
------- fin d'extrait --------

Et si je peux me permettre d'ajouter un conseil: contactez un expert judiciaire. Il saura réaliser les actions techniques préconisées...

On voit des choses et on se demande pourquoi elles existent. Moi je rêve de choses qui n’ont jamais existé et je me demande pourquoi pas?
George Bernard Shaw



--------------------
Crédit images darkroastedblend.com

26 octobre 2008

Canal moins

Comme beaucoup d'internautes, je dispose de plusieurs adresses emails, essentiellement pour échapper aux spammeurs.

Certaines de ces adresses emails ne sont utilisées que pour des opérations techniques particulières et ne sont fournies à aucun organisme (autre que le site de création de l'adresse email). C'est pourquoi j'ai été surpris de recevoir un message de canal+ sur l'une de ces adresses emails dont le sujet est le suivant: "Inscription à canalplus.fr".

----------------------
CONFIRMATION DE VOTRE INSCRIPTION
VOTRE INSCRIPTION A BIEN ETE ENREGISTREE.
VOICI VOTRE MOT DE PASSE POUR VOUS CONNECTER A VOTRE
ESPACE SUR LE SITE CANALPLUS.FR
E-MAIL °°°°°@gmail.com
MOT DE PASSE °°°°°
CONSERVEZ PRECIEUSEMENT CE MESSAGE. VOS IDENTIFIANTS
SONT NECESSAIRES POUR CONSULTER VOTRE ESPACE ET GERER
VOS DONNEES.

----------------------

Ma première idée a été qu'il s'agissait d'une tentative de phishing, mais avant de supprimer le message, je me suis dit qu'il était peut-être préférable de vérifier si je n'étais pas victime d'un vol d'identité numérique et qu'une personne mal intentionnée ne m'aurait pas inscrit à l'insu de mon plein gré à cette chaine cryptée.

Je vérifie donc le contenu de l'email, le lien intégré, et m'assure que le site existe bien et correspond à ce qu'il prétend être. RAS, le site existe et est bien celui de Canal+. Pas d'hameçonnage à l'horizon...

Je cherche l'espace abonné sur le site et entre les identifiants fournis par l'email. Et paf (le chien), cela marche! Mon cœur s'accélère: j'ai un compte d'abonné sur le site de Canal+ et je n'ai rien demandé!

Je vérifie les informations du compte et m'aperçois qu'il s'agit d'une autre personne, habitant en France, abonné depuis plusieurs mois à Canal+. Et cette personne vient juste d'ouvrir un compte web chez Canal+ en fournissant une adresse email erronée: la mienne. C'est donc moi qui ait reçu le mot de passe d'accès à ce compte web...

Problème: Comment rectifier la situation?

Je décide de contacter la personne par téléphone, puisque celle-ci a indiqué un téléphone portable dans les informations de son compte. Personne ne répond. Je laisse un message sur la boite vocale.

Résumons: je viens d'appeler un inconnu qui ne me connait pas pour lui dire qu'il s'est trompé d'adresse email lors de l'ouverture de son compte web Canal+. Je n'ai pas laissé mon téléphone, je ne lui ai pas donné le mot de passe que j'ai reçu à sa place car finalement je ne sais pas si je m'adresse à la bonne personne. La situation est toujours bloquée.

Je cherche sur le site de Canal+ un numéro de téléphone pour tenter d'expliquer la situation: je trouve un numéro (surtaxé). J'ai un automate au téléphone et après avoir jonglé avec les # et options, il me demande d'entrer un numéro d'abonné. J'ai bien le numéro de l'abonné qui a donné mon adresse email, mais je ne vais quand même pas me faire passer pour lui uniquement pour avoir un opérateur au téléphone qui va croire que j'ai piraté son compte... Je raccroche. La situation est toujours bloquée.

Je décide de répondre à l'email envoyé par Canal+:

----------------------
Bonjour,
Je ne suis pas abonné à Canal+ et pourtant je viens de recevoir cet email (voir PJ)!
J'ai d'abord pensé à du phishing, mais après vérification, les informations que vous m'avez transmise permettent bien de se connecter au compte d'un abonné MAIS CE N'EST PAS MOI (je ne suis pas abonné).
Il s'agit de l'abonné "°°°° °°°°° N° Client °°°°°°"
qui a semble-t-il ouvert un accès web à son compte canal+ EN UTILISANT UNE ADRESSE EMAIL ERRONEE (la mienne).
Merci donc d'aller lui corriger cela rapidement car j'accède à toutes ses données!!!
Cordialement

----------------------

Pour assurer le coup, j'envoie une copie de cet email par facsimilé au numéro du service technique de Canal+. J'ai maintenant une trace fiable de la promptitude de ma réaction et de mon honnêteté sans faille. Je peux dormir tranquille.

Une semaine plus tard, je vérifie que les identifiant/mot de passe ont bien été désactivés: le compte est toujours ouvert, et c'est toujours moi qui ait l'accès.

Personne chez Canal+ n'a corrigé le problème. La situation est toujours la même. C'est amusant et triste à la fois: il n'est plus possible de contacter une personne techniquement capable de résoudre ce problème. Il n'est même plus possible simplement de contacter quelqu'un par téléphone. Quand je dis "simplement", je veux dire sans me prendre la tête.

Si un lecteur de ce blog connait un numéro de téléphone permettant de contacter une personne compétente de Canal+, qu'il me l'envoie à mon adresse email.

Même s'il s'agit d'une vedette de la chaine!

Parce que pour l'instant, moi, j'ai un peu le sentiment d'être dans la 4e dimension cryptée. Sur Canal moins en quelque sorte.