~bohwaz/blog/

Avec de vrais morceaux de 2.0 !

Pôle Emploi FAIL (premier épisode)

Comme vous le savez peut-être, je ne travaille plus à Skyrock.com, mon contrat a été rompu, comme plusieurs autres de mes collègues et néanmoins très compétent-e-s ami-e-s. Je n'ai jamais été inscrit au chômage. En effet quand j'étais sans emploi précédemment je n'avais pas assez cotisé (c'est ça de commencer sa carrière par des stages...) pour prétendre à quoi que ce soit, donc l'intérêt était nul. Aujourd'hui je me suis dis que j'allais pouvoir prétendre toucher les indemnités auxquelles j'ai droit après plus de quatre an de salariat, et pourquoi pas trouver un travail plus près de chez moi, en effet je ne réside pas à Paris mais à Dijon. Je me suis donc inscrit à Pôle Emploi au lendemain de mon dernier jour de travail. J'ai rempli le dossier d'inscription, en m'indiquant que je recevrais une lettre sous 72 heures (ouvrables) m'indiquant un lieu et une date de rendez-vous pour terminer l'inscription.

Au final j'ai reçu la lettre une semaine plus tard, me donnant un rendez vous pour fin juillet, soit déjà 20 jours après la fin de mon contrat. Une occasion de me rendre compte que sur le site de Pôle Emploi, cocher la case "J'accepte que mon adresse e-mail soit utilisée pour des échanges avec Pôle emploi", signifie en réalité que je ne recevrais jamais de courrier de pôle emploi et que je recevrais tout par e-mail exclusivement. Comme je l'avais interprété c'était plutôt que Pôle Emploi m'enverrait des choses triviales par e-mail mais que les courriers importants me seraient toujours adressés par voie postale. Hors ce n'est pas le cas, attention donc à leur interprétation plutôt nébuleuse de leur propre vocabulaire.

Je me suis donc rendu à cet entretien, que naïvement je pensais être individuel. Mais en réalité c'est un entretien d'abord collectif : tout le monde (une quinzaine de personnes dans mon cas) dans une salle de réunion, à charge à chacun de remplir son dossier. Bien penser à signaler que vous avez déjà rempli le dossier en ligne (ne pas oublier de l'imprimer et de l'amener, ils ne le font pas pour vous, il faudrait remplir un nouveau dossier), car ils ne vous le demanderont pas. Heureusement l'entretien final est individuel. Au cours de cet entretien vous élaborez votre dossier de projet d'emploi. On vous demande vos compétences, la région géographique où vous recherchez un emploi, un salaire, etc.

Et c'est là que se produit le premier FAIL de Pôle Emploi pour mon cas. La conseillère, visiblement perturbée par mon CV indiquant la liste de mes compétences techniques, sembla refuser d'inscrire dans ma fiche ces compétences-ci. Elle me déclara ainsi que tous ces sigles (par exemple : PHP5, ECMAscript, SVG, CSS3, etc.) étaient trop complexes et donc qu'elle préférait inscrire à la place "diverses compétences informatiques". Alors là je propose à ce moment-là de faire la même chose pour tous les métiers, par exemple vous êtes plaquiste ? Non, vous avez diverses compétences en bâtiment. Avec ce genre de logique on n'est pas prêt de trouver un nouveau poste. Au final après une remarque de ma part je pense qu'elle a dû corriger et inscrire plus de détails, mais je ne suis pas sûr de ça, n'ayant pas pu revoir ce qui était inscrit dans cette fiche, qui n'est d'ailleurs pas accessible sur le site Pôle Emploi (à quoi sert-elle donc ?). Enfin, information désagréable, mon métier n'existe pas vraiment pour eux, ils simplifient via des fiches de métier ROME, et donc pour eux développeur web est le métier ROME M1805 "Études et développement informatique" qui regroupe tout autant les chefs de projet, les analystes, les développeurs d'application desktop ou les responsables réseau. Du coup sur la poignée d'offres disponibles dans ma région correspondant à mon métier ROME, aucune n'est une offre pour du web. Je vais donc régulièrement recevoir des offres d'emploi qui n'ont aucun intérêt pour moi.

Après ce rendez-vous j'ai dû attendre deux semaines de plus (donc 5 semaines depuis la fin de mon contrat) pour avoir enfin un courrier (par e-mail) indiquant que j'étais accepté au titre de l'ARE (allocation de retour à l'emploi, l'indemnité chômage en termes plus simples). Et là surprise, le calcul me semble complètement faux, de plus de 30% inférieur à ce que j'avais pu calculer sur le site pole-emploi.fr. Sans compter un différé d'indemnisation totalement aberrant dû à priori à une mauvaise interprétation du règlement de l'assurance chômage (Unedic), qui retarderait mon indemnisation à mi-octobre au lieu de fin août selon le site pole-emploi. Donc second FAIL, et de taille, puisque s'ils ne corrigent pas je devrais vivre sans revenus deux mois de plus et que mon indemnisation ensuite serait presque insuffisante pour subvenir à mes dépenses courantes.

Mais je vous en reparlerais plus en détails dans les jours et semaines qui viennent, je travaille suite à cela à un programme de calcul de l'indemnité chômage dûe par Pôle emploi qui soit entièrement fiable. Ce qui n'est pas de la tarte croyez moi vu comme le règlement général est rédigé de manière relativement obscure voir incompréhensible sur certains articles, mais je soupçonne que la formulation étrange soit réalisée expressément pour décourager de comprendre le mécanisme. Et visiblement je ne suis pas le seul que ça rebute, car la simulation du site pole-emploi.fr fait l'impasse sur de nombreux points. J'ai évidemment d'ores et déjà adressé à Pole Emploi un courrier en recommandé indiquant que le calcul semble faux et dévalue complètement mes revenus. Je vous tiendrais au courant, en espérant qu'ils entendent raison assez rapidement, car nous sommes déjà à 5 semaines de la fin de mon contrat uniquement pour savoir quand j'aurais droit à l'ARE. Et l'indemnisation aurait dû commencer dans deux semaines selon la simulation du site pole-emploi.fr...

Enfin, aujourd'hui je reçoit à nouveau un courrier, c'est à dire comme d'habitude, un e-mail indiquant qu'il faut se connecter au site web pour télécharger un document reçu, c'est à dire un PDF, ça aurait été trop simple d'envoyer le PDF par e-mail... Ce courrier me semble assez illustrateur de l'état d'esprit de ce service au numéro surtaxé qui frôle l'amateurisme :

Donc cinq semaines après la rupture de mon contrat, j'ai enfin le droit de savoir le nom de la personne qui va s'occuper de moi. Mais le problème, comme vous pouvez le constater c'est que ce "conseiller personnel", mon "interlocuteur privilégié" qui doit m'aider dans mon "projet personnalisé", on ne me donne ni son numéro de téléphone, ni son adresse e-mail ni aucun moyen de le contacter. Il pourrait tout aussi bien ne pas exister, vu que je n'ai aucun moyen de même pouvoir demander un rendez-vous avec lui. Pôle Emploi vient de créer le conseiller personnel qui n'existe pas. Troisième FAIL.

Heureusement, le courrier indique un moyen d'avoir des réponses à mes questions (et elles sont nombreuses et techniques, suite à mon projet de calculer moi-même l'indemnité à laquelle je peux prétendre) :

Oui d'accord, je vais donc sur le site, je me connecte dans mon espace personnel et là faudra me dire où est-ce que Pôle Emploi me réponds :

Et oui il est impossible de contacter Pôle Emploi sur leur site. L'espace personnel "candidat" a bien une section "courriers électroniques", mais elle ne permet que de recevoir des messages, pas d'en envoyer. Le lien contact ne donne que l'adresse postale des Pôles Emplois locaux ou renvoie vers le 3949, numéro surtaxé où il est difficile d'obtenir un interlocuteur humain dans les multiples choix obscurs du menu audio... Tout cela donne une désagréable impression que tout est fait pour empêcher le candidat de rentrer en contact avec Pôle Emploi.

Pourtant, la convention tripartite Etat-Unedic-Pole Emploi du 2 avril 2009 spécifie bien dans son article 1.2 que "le demandeur d'emploi est informé dans les quinze jours suivant l'entretien d'élaboration du PPAE de la désignation de son conseiller personnel et des coordonnées permettant de le contacter". Pole Emploi ne respecte donc même pas sa propre convention.

A bientôt pour la suite de la saga chez Pôle Emploi avec, je l'espère, moins de FAIL que jusque là.

Mise à jour 16 août 2010 : Une petite boîte "Pôle emploi vous répond" est apparue aujourd'hui (finalement...) dans mon espace personnel, avec un lien unique "Accéder à votre foire aux questions" qui ne mène donc qu'à une FAQ, qui précise que je peux contacter mon conseiller au 3949 (non ce n'est pas possible), en me rendant à pôle emploi (lol), ou en utilisant le formulaire de contact de la FAQ. Sauf que le formulaire ne me propose que de remplir une réclamation sans me laisser le choix d'un autre thème... C'est pas gagné encore.

La musique en ligne : toujours un échec

Je vous ai déjà conté mes déboires avec Starzik et autres plate-formes d'achat de musique en ligne. En 2010, soit 11 ans après Napster, où en est la vente de musique en ligne avec un exemple : Les Ogres de Barback - Pitt Ocha Au Pays des Mille Collines

Étant fan des Ogres il était de mon devoir de poser mes oreilles sur ce nouvel album collectif, le premier Pitt Ocha étant déjà une réussite. Les Ogres étant un des groupes indépendant les mieux organisés avec leur label Irfan je pensais que pouvoir écouter et acheter l'album à prix raisonnable serait simple. Première étape : je veux écouter l'album pour voir, au cas où ça ne me plaise pas vraiment, et sur mon baladeur, étant plutôt nomade ces jours-ci. Je cherche donc le nom de l'album sur Google, je tombe sur la page myspace officielle. Rien n'y fait ce site sera toujours aussi horrible et inutilisable, et ne réponds à aucun de mes besoins, il y a bien quelques morceaux en écoute mais pas moyen de les télécharger, et je voudrais tout l'album. Second lien, le CD sur Amazon.fr. Tous les titres sont disponibles en écoute, mais seulement pour 30 secondes chacun, dans un format aujourd'hui désuet (Real), qui n'est pas lu par mon baladeur, et la qualité sonore est catastrophique. Ça donne pas envie. Troisième essai, le site de la fnac. Je clique sur le bouton lecture, rien à faire ça ne marche pas dans Chrome.

OK on va s'arrêter là, essayons autre chose que Google, par exemple le site officiel du groupe. Il propose une radio mais ce sont quelques titres de tous les albums, au hasard, sans possibilité de choisir ce qu'on veut écouter. Pas pratique du tout. Dans la discographie, ça renvois sur CD1D avec un bouton "Ecouter / Acheter". Ah, écouter c'est ce que je veut ! En cliquant sur les titres une popup s'ouvre, la qualité est suffisante, mais en grande majorité des extraits de 30 secondes... Et toujours pas possible de télécharger pour écouter sur mon baladeur.

Dépité, je décide de télécharger l'album sur un site méga rapide qui partage, je trouve rapidement l'album complet en qualité moyenne (MP3 128kbps), mais suffisante pour une première écoute. Si on m'avait proposé de payer 1 ou 2 euros pour avoir une telle archive je l'aurais fait sans hésiter mais voilà CD1D ne vends pas l'album complet sous forme digitale, uniquement titre à titre, à 0,50 euros l'unité, en MP3 sans préciser la qualité... Pas tentant.

Je décide donc qu'il me faut le CD, l'album est sympa comme tout. J'essaye amazon.fr, chez lequel je commande souvent (pratique, rapide, sérieux), mais le CD n'est pas disponible... Je retourne sur CD1D, en me disant que quitte à payer un album autant que l'argent aille dans les poches des Ogres plutôt que dans celles de la Fnac. 23 euros le CD avec son livret (il y a une option d'un CD à 17 euros sans livret, mais qui voudrait acheter un CD sans livret ?!), je me dis que c'est acceptable même si quand même assez élevé. Je continue la commande, et au lieu de me demander mon adresse, le site me demande de m'inscrire. Je peste face à cette logique stupide de devoir s'inscrire sur tous les sites qu'on visite mais soit je continue et là au moment de régler, la facture passe à 30 euros. Je me rends compte que les frais de ports n'étaient pas compris au prix déjà bien élevé du CD, mais qu'il faut rajouter 7 euros de frais de port. 30 euros le CD c'est bien trop ! A tout hasard je consulte le site de la Fnac et constate que pour le même album, il m'en coûtera 25 euros port compris chez eux... L'indépendance c'est bien mais là je dois avouer que c'est pas avantageux du tout.

Résultat je vais aller acheter l'album à la Fnac, où il m'en coûtera moins cher. Et encore une fois, le marché de la musique en ligne est à la ramasse, que ça soit chez les indés que chez les autres. Et surtout toujours l'obligation de choisir entre format physique et numérique. Pourquoi pas plutôt une formule ou en achetant le CD physique on reçoive avec le mail de commande la possibilité de télécharger tout de suite l'album en MP3 et en FLAC ? Pour ne pas avoir à attendre plusieurs jours avant de pouvoir écouter son achat. Une formule intéressante qui pour le moment est toujours inexistante.

Imprimer depuis Windows sur une imprimante CUPS

Sur la machine avec CUPS il faut éditer /etc/cups/cupsd.conf et y autoriser les machines locales à imprimer :

# Allow machines on local network to use printers
<Location /printers>
  Order allow,deny
  Allow 192.168.0.*
  Allow 192.168.1.*
  # Optional, for IPv6 network
  Allow [2a01:e35:2ca6::1e30::]/64
</Location>

Ne pas oublier de redémarrer cups par un /etc/init.d/cups restart. Ensuite sur le poste Windows, aller dans les imprimantes, ajouter une imprimante, puis Imprimante réseau, passer la détection automatique et dans l'adresse de l'imprimante mettre l'adresse de l'imprimante que vous pouvez obtenir dans la liste des imprimantes de l'interface web de CUPS (par exemple http://monserveur:631/printers/Samsung_Laser_Printer pour moi). Ensuite choisir comme pilote 'MS Publisher Color Printer' dans 'Generic'. Et hop !

Opera 10.60 released on Linux: don't upgrade!

I'm very happy that finally a new relase of Opera has landed on Linux platforms but it should really have been delayed. There is a lot of bugs and problems.

First, after upgrade my Opera was unable to reach any website. Strange. I had to try to delete my old operaprefs.ini and try to add each line until finding the one doing this. It was "Synchronous DNS Lookup=1" that I had to delete in order to be able to use my Opera.

Secondly, my Thinkpad trackpoint was not scrolling anymore on left and right, only up and down. Pretty weird too. I had to add those lines to my "standard mouse.ini" in order to make it work again:

Button6=Scroll left
Button7=Scroll right

That's a shame as it was already working without those lines in previous version. Finally the interface is really ugly and I'm unable to use Opera anymore on my computer:

What the fuck happened?! My only fault is to use a dark GTK skin (but btw the problem is the same with a black Qt skin). How the hell I'm I supposed to recognize the icons in the toolbar? Or reading my personal bar bookmarks? And I don't even speak of the forms in web pages which I just can't fucking read.

For information here how it looked like in Opera 10.11:

And there's a lot of regressions I noticed and reported on Opera Desktop team blog and Opera bug report wizard and almost none of the have been fixed for final release.

That's a shame, it's a really really bad news because I can't fucking use my browser anymore. I'm using Opera since its 3.5 version, and that's the first time I'm that much angry for a new release. It's rushed, it's buggy and it's not at all a software with the quality it used to have. My advice will be for any Linux user

Come on Opera, please make it what it used to be: the best browser on earth. Please!

Custom Geolocation API for Opera (replacing Google)

New Opera version comes with geolocation ability (based on W3C Geolocation API), which is an interesting feature, but as most of the web browsers, they get your location from Google. In other words, each time a page requests your location, the browser makes a request to Google with different datas (wifi networks around you, your IP address, and other stuff) to know where your are. Yeah that sucks, depending on Google for this simple feature is a shame. And you know that all the datas they gather through this service will be recorded and used by Google for various purposes. So, we need more privacy!

Another thing is that on a desktop computer (usually at work), you don't have wifi nor GPS, so your location will be based on your IP address which is not a very accurate way to give your location and most of the time your location will just be the center of the nearest big city. Not very useful. So, we need more accurate location!

Achieving both of those goals is actually very easy.

The first thing is to know what coordinates you want to send to the browser. To find the latitude and longitude you will send to the browser simply find a good location, like on this useful webpage. You can give any location, like for me I gave the location of Strahan in Tasmania. You don't have to give your real location, that's the cool thing.

The second thing is to create a PHP file on some web server you have, the best would be localhost or a web server on your local network. In this file you will copy this:

<?php
$latitude = '-42.16340';
$longitude = '145.31616';

echo '{"location":{"latitude":'.$latitude.',"longitude":'.$longitude.',"accuracy":10.0}}';
?>

Don't forget to replace the latitude and longitude values with the ones you found at step one. Save file.

Now is step three: instructing Opera to request your own geolocation API instead of the Google one. It's quite easy, go to opera:config#Geolocation and replace the Google URL with the one of your PHP script (for me it's http://localhost/geo.php). Hit the Save button.

And now each time a website will request your location, Opera will send him the location *you* gave. And your privacy will be protected from the evil Google company.

You can try and look at your location on the Opera live map.

Of course the best would be that the web browser itself allows you to specify one fixed location instead of requesting an online API... Maybe in the next release of Opera, Firefox and Chrome?

Un an avec Simyo

Pour faire court : je vais me casser, je viens de demander mon RIO, j'attends d'épuiser mon crédit en cours.

Il y a un an je quittais Orange et un forfait bloqué 1h + 1h soir et week-end à 20 euros / mois, où j'étais depuis déjà cinq ans. Au bout de ces cinq ans, ils ne me proposaient aucune offre plus intéressante, rien que des trucs plus chers, avec moins de temps, et un nouvel engagement de 2 ans... Autant dire ils me prenaient pour un con. Mon forfait était bloqué et rechargeable (pratique en cas de surconsommation) avec report des minutes. Le problème c'est que le report des minutes chez Orange c'est un peu du vol. Par exemple si en avril je consommais 10 euros, et qu'en mai je consommais 5 euros, en juin j'aurais au début du mois le forfait de 20 euros du mois et le report du mois précédent : 15 euros. Alors que j'aurais dû avoir 20+20+20-5-10=45. Et oui le report n'est que d'un mois sur l'autre, si on consomme peu (mon cas), on perds de l'argent. Je vous laisse imaginer qu'avec les années ça commençait à faire beaucoup d'argent qui atterrissait dans les poches d'Orange sans même l'avoir utilisé...

J'ai donc décidé de passer en avril 2009 chez Simyo qui semblait être une offre intéressante : pas d'engagement, la minute était à 19 centimes (contre 33 centimes avec mon ancien forfait Orange), crédit valable 3 mois (donc dépense minimale de ~15 euros tous les 3 mois), rechargement automatique quand le compte est bas.

Ma consommation sur un an, de juin 2009 à juin 2010 chez Simyo a bien montré que l'offre d'Orange me coûtait les yeux de la tête puisque je suis passé d'une consommation mensuelle moyenne de 24 euros à 13 euros. Sur un an ça fait tout de même près de 120 euros d'économies. Je suis donc un "petit" consommateur, car je dois consommer dans les 8 euros d'appels et le reste en SMS. Certains mois je consomme moins de 5 euros en tout.

Cependant Simyo ne sont quand même pas très compétents. Leur site a toujours été pété avec Opera, ils l'ont récemment refait et tout ce que ça apporte c'est qu'ils ont perdu toute trace des consommations plus anciennes que 6 mois... Les gros inconvénients sont les tarifs roaming qui sont toujours chers (mais bon c'est cher un peu partout, pour l'international j'ai pris une carte GO-SIM qui est très pratique et à des tarifs très bas partout dans le monde), un site à la masse, une infrastructure peu fiable (parfois le répondeur réponds que le numéro n'existe pas...), l'impossibilité d'envoyer des SMS depuis l'étranger (ça c'est quand même fort), et le réseau Bouygues qui est généralement de la merde en barre. Concernant la recharge auto elle survient parfois quand on ne s'y attends pas, l'alerte de seuil de consommation ne fonctionnant que rarement. Au début ça marchait pas trop mal mais depuis quelques temps je ne la reçoit plus, je reçoit juste le mail m'indiquant que la recharge a été faite.

Pour tous ces inconvénients, et particulièrement le réseau Bouygues ainsi que les SMS de l'étranger, je vais partir, probablement pour aller voir chez Zéro Forfait qui a des tarifs plus bas sur le roaming, pas de recharge automatique (post-paid, on paye ce qu'on a consommé à la fin du mois, je trouve le concept très bien, c'est dommage c'est peu répandu en France), des "packs" à prix imbattable si on veut consommer beaucoup (sans engagement), par exemple une option temps 4 heures pour 19,90 euros (soit 8 cents la minute) ou une option 3000 SMS pour 9,90 euros (0,3 cents le SMS).

Forum Mesdiscussions.net : A l'abri des pirates... Ou pas ?

Pour ceux qui ne connaissent pas le logiciel de forum "Mesdiscussions.net" c'est celui qui équipe de nombreux forums à forte audience (Doctissimo, Hardware.fr, Fluctuat...). Si au niveau performances ça semble remplir ses promesses (encore que sur Hardware.fr c'est parfois indisponible), au niveau de la sécurité c'est pas la même.

Voilà ce qu'ils promettent sur leur site :

A l'abri des pirates !

Les forums indisponibles pour cause de piratage ou submergés par les messages indésirables sont nombreux. Afin de protéger les données sensibles de votre forum et garantir son accessibilité, MesDiscussions.net a été développé dès l'origine par une seule et même équipe, avec le souci de garantir une sécurité maximale : vous bénéficiez ainsi d'un forum sûr, hermétique aux messages indésirables, et ne nécessitant pas de mise à jour hebdomadaire complexe pour corriger ses failles.

(L'emphase est de mon fait.)

Si on s'intéresse plus en profondeur au logiciel on va avoir de mauvaises surprises. D'abord au niveau du code, car le forum est fourni chiffré, il faut installer ionCube PHP Loader pour pouvoir exécuter le code. Si c'est ça qu'ils entendent par un forum "sûr" c'est pas des masses rassurant, la sécurité par l'obscurité n'étant jamais une bonne idée.

Au niveau sécurité je n'ai pu découvrir de failles d'injection SQL, mais je me suis arrêté avant la fin de l'audit sur un problème digne d'un débutant, actuellement (car mon audit date de 2007) toujours visible sur le forum hardware.fr (au moins, j'ai pas vérifié les autres) : le site n'utilise pas de sessions mais stocke à la connexion 2 cookies pour identifier l'utilisateur :

user: bohwaz
passs: 721a9b52bfceacc503c056e3b9b93cfa

Le mot de passe (ici 'coucou') est simple hashé en MD5, sans salt ni rien. Il est facile d'imaginer à partir de là de nombreux angles d'attaques :

  • On pourrait sniffer la connexion d'un wifi ou la sortie d'un n&#339;ud tor, récupérer les cookies et les rejouer dans son navigateur, permettant de se connecter à la place de l'utilisateur, poster à sa place, etc.
  • Idem en sniffant on peut aussi matcher le hash avec une base de données de hash existants (au hasard celle-ci) et retrouver le mot de passe de la personne. Ainsi on pourrait changer le mot de passe du compte, et utiliser ce mot de passe pour essayer de se connecter sur le compte mail associé au compte forum (vu que beaucoup de gens ont le même mot de passe partout).
  • Enfin on pourrait essayer de trouver le mot de passe d'un utilisateur par brute force de manière très simple vu qu'il suffit de renvoyer un hash différent en cookie.

Bref une erreur de base qui ne devrait pas exister. PHP propose un système de sessions tout à fait correct et s'il ne convient pas il est toujours possible d'en faire un soi-même. Stocker les données personnelles de l'utilisateur (même "cachées" comme ici) est une très mauvaise idée. Et l'image de forum sûr en prends directement un coup...

Notes rapides... ↓