[31:31:1029/204029:ERROR:nss_util.cc(211)] Error initializing NSS without a persistent database: NSS error code: -8023
Here is the fix: just add the following line to /etc/chromium/default:
EXTRALIB=/usr/lib/xulrunner-24.0:/usr/lib/xulrunner-1.9.1
]]>
Ce qu'il faut se rappeler c'est que si certains pays ou noms sont un peu épargnés par cette fuite massive (dûe probablement à un Wordpress dépassé et troué de failles de sécurité !) c'est que ce n'est qu'un seul cabinet spécialisé dans ce business, mais il y en a des milliers dans le monde ! Et ça m'étonnerait fort que ce genre de pratique ne soit pas répandu chez une large majorité des 1% les plus riches, ceux-là même qui abusent des médias pour dire qu'il y a trop d'impôts et de charges, alors qu'ils ne payent qu'une infime partie de ce qu'ils devraient payer. Et pendant ce temps-là on nous rabache que le problème c'est la fraude des chômeurs et des allocations familiales, qui ne représente absolument rien par rapport à cette fraude massive, organisée et soutenue par les plus grandes entreprises.
Mais ce n'est pas là ce dont je veux parler. Ce qui m'étonne le plus dans tous ces montages fumeux c'est que ce sont vraiment des montages douteux. Comment peut-on être multi-millionnaire et être assez bête pour confier des dizaines de millions d'euros à une entreprise créée dans un pays où on a jamais mis les pieds et dirigée par un prête-nom qui gagne probablement à peine plus qu'un SMIC français ? Enfin je sais pas vous mais moi je vois bien la faille du dirigeant prête-nom qui se barre avec l'argent de la société-écran, disparaissant à jamais. C'est un risque énorme. Et si ça arrive vous faites quoi, vous allez porter plainte que l'argent que vous blanchissez a été volé ?
Pour illustrer cette chaîne de confiance complètement stupide on peut prendre pour exemple ce qui se passe dans le reportage de Cash Investigation où un journaliste se rend chez une société suisse pour créer une société offshore. Cette dernière est enregistrée au Delaware (USA), et il reçoit ensuite une carte bancaire et un compte d'une banque néo-zélandaise. C'est déjà assez suspect comme ça, mais c'est dommage que les journalistes n'aient pas cherché un peu plus loin sur cette fameuse banque, car quand j'ai entendu le nom ça m'a rappelé quelque chose… En cherchant j'ai retrouvé un article que j'avais lu sur un journal de Nouvelle-Zélande, et c'est accablant : cette banque (Breder Suasso) n'en est pas vraiment une. Elle n'a aucun client en Nouvelle-Zélande (et les refuse), et pire n'a aucun compte en Nouvelle-Zélande. Donc le compte du journaliste en Nouvelle-Zélande est en réalité soit dans les Iles Marshall ou en Pologne, on ne sait pas vraiment (selon cet article).
Vous avez donc envoyé de l'argent dans une société basée au Delaware, avec un compte dans une entité néo-zélandaise, mais l'argent serait en réalité dans un autre pays, vous ne savez pas vraiment lequel. Pour moi ça ressemble plus à un scam à large échelle qu'à un montage offshore. Et si Breder Suasso ne vous semble pas suffisamment douteuse comme ça, apprenez que son seul actionnaire et président est résident de l'Île Maurice. L'entreprise n'a pas vraiment de locaux en NZ, un simple bureau partagé avec plusieurs entreprises. Vous sentez venir le gag ? Et oui : la banque est en réalité elle aussi une société-écran, une coquille vide qui ne sert que de façade.
Franchement moi j'aurais peur de confier mon argent à des compagnies comme ça, ça n'inspire aucune confiance. Mais bon en même temps, je ne suis pas multi-millionnaire, alors je n'ai pas les même problèmes !
]]>Évidemment ça ne se voit pas trop sur un serveur qui ne sert qu'une seule application car le code et les fichiers restent en RAM, mais quand on est en mutualisé avec des milliers d'applis sur le même dédié, ça se ressent bien. D'abord car charger un fichier depuis le disque à un coût, et ensuite parce qu'une classe en PHP occupe pas mal d'espace mémoire, même si elle est vide (cf. notamment la conférence de Julien Pauli).
Prenons quelques exemples. En premier picoFeed de Frédéric Guillot, qui lui sert notamment pour miniflux, que j'apprécie beaucoup (même si c'est pas encore ça à mon avis). C'est un parseur de flux RSS/Atom qui se veut "simple" et "rapide" qui fait tout un tas de choses genre récupération du contenu des articles pour les flux qui ne fournissent rien, la possibilité de générer des flux, des filtres de contenu, etc. Mais ça reste un exemple quand même. Cette librairie (une fois supprimées les règles de récupération de contenu) fait 47 fichiers, dont 16 qui font moins de 200 octets. Prenons un exemple, de 125 octets, Parser/Rss92.php:
namespace PicoFeed\Parser; /** * RSS 0.92 Parser. * * @author Frederic Guillot */ class Rss92 extends Rss20 { }
Et toutes ces classes sont comme ça, elles ne servent à rien à part avoir un nom différent. Pourquoi ne pas faire un if/else ou switch case pour gérer ces cas plutôt que de créer des classes vides ? C'est moche.
Et ce n'est qu'une seule lib qui ne sert qu'à faire du RSS/Atom. Imaginez une appli complète avec des dizaines de libs de la même manière. Oh évidemment on ne charge pas tous les fichiers de toutes les libs (et donc toutes les classes) à chaque requête mais bon niveau perfs ça se ressent quand même.
Je suis aussi particulièrement admiratif quand je vois une lib (ou appli etc.) avec des dizaines ou centaines de classes pour gérer des exceptions (record : 450 !). Chaque classe ne faisant qu'étendre une autre classe d'exceptions. picoFeed est un peu victime de ça, même si vu la taille de la lib ça reste correct. On va dire que je me répète à force mais : à quoi ça sert d'avoir une classe pour chaque type d'exception imaginable ? Vous avez oublié que le second paramètre du constructeur d'une exception c'est $code ? Et à quoi ça sert $code ? Et bien à passer un code d'erreur !
Ainsi dans picoFeed on a ClientException (qui étend Exception), et des classes qui l'étendent : InvalidUrlException, InvalidCertificateException, MaxRedirectException, MaxSizeException, et TimeoutException.
Pourquoi ne pas avoir une seule classe/exception et un code d'erreur différent pour chaque situation ? Ces exceptions ne servent à rien, 99% des utilisateurs de la lib ne vont pas les récupérer individuellement. De même que ça n'aurait aucun sens que MySQL rejette une classe d'exception différente à chaque erreur différente, qui irait vraiment utiliser MySQLException_ER_CANT_CREATE_TABLE par exemple ? Quasiment personne, et c'est pour ça que ça a du sens d'utiliser le code d'erreur.
Je pourrais parler aussi de UA-Parser, une lib qui permet de parser l'User-Agent du navigateur. Bon je sais que c'est devenu compliqué de parser ce bordel d'UA avec le temps, mais quand même, 27 classes pour ça ? 130 Ko de code, et ça ne comprend même pas le fichier avec les regexs utilisées pour reconnaître l'user-agent !
Bref il y aurait de quoi simplifier ici, et tendre vers plus de légèreté et cesser un peu cette expansion lyrique qui n'a pas grande utilité, vous ne pensez pas ?
PS : pour ceux/celles qui demandent une alternative à picoFeed je ne peux que conseiller ma propre solution (modestie oblige ;-) ), FeedParser, issu du Framework KD2 (qui n'est pas un vrai framework structurant mais un ensemble de libs pratiques, légères et utiles, utilisables indépendamment les unes des autres). La stratégie de parsing est complètement différente : FeedParser n'utilise pas DOMDocument ou SimpleXML pour parser un document car les sites génèrent souvent du XML invalide. De ce fait FeedParser fait du parsing/lexing directement sur le flux, même s'il est invalide. Et ça marche ! Dans mes tests j'ai 100% de succès (aucun flux n'est illisible) sur plus de 20.000 flux, dont 15% de flux invalides. Et évidemment une seule classe, 17 Ko de code, contre pas loin de 400 Ko pour picoFeed par exemple.
]]>Cette nouvelle version 2.1.0 ajoute des options pour l'administration : stockage des adresses IP des uploaders (avec effacement automatique après la période légale de conservation), possibilité de bannir des IPs (ou des masques ou des ranges même, supporte IPv6), et la suppression de plusieurs images ou albums en même temps.
Toutes les infos ici : Fotoo Hosting
Et bien sûr toujours la démo : i.kd2.org
]]>Si vous avez développé des patchs ou autres modifs pour WikiKubbe (je sais qu'il y en a qui tournent sur PHP 5 notamment) n'hésitez pas à me contacter et envoyer vos modifs ou scripts et j'intégrerais ça au WikiKubbe "officiel".
Donc le site au passage : http://dev.kd2.org/wikikubbe/
]]>J'étais membre depuis 2000 ou 2001 je ne sais plus trop, je n'ai pas accès à mes mails datant d'avant 2002 de toutes façons. Ça fait donc quasiment quinze ans que j'étais membre de cet hébergeur auto-géré auquel j'ai participé à la hauteur de mes capacités, notamment en créant annuaire.lautre.net, en aidant les gens sur le forum d'aide et autres trucs du quotidien. Bon en réalité j'ai surtout participé à saturer le premier serveur de lautre.net à cause du succès imprévu de Journal Intime.com (qui continue, toujours quelques millions de visiteurs chaque mois).
On a combattu ensemble les lois qui s'attaquaient à la vie privée, au statut des hébergeurs, et par dessus tout on a démontré qu'un hébergeur web de masse, pas cher, indépendant, associatif et libre est une réalité possible. Et ce malgré les difficultés inhérentes à ce genre de projet. Aujourd'hui je ne suis plus d'accord avec les dernières décisions prises ainsi que le fonctionnement global de l'association qui ne correspond plus à ce que j'attends d'un projet auto-géré et collectif, c'est pour cela que je pars, car de plus je n'ai plus grand chose à apporter au projet, et je ne veux pas me retrouver à critiquer ce qui est fait sans pouvoir proposer de m'investir pour changer tout ça.
Malgré tout je me souviendrai avec beaucoup d'émotion de tout ce que nous avons fait, et des personnes rencontrées. Alors un grand merci à tout le monde, et plus particulièrement aux roots, passés, présents et futurs, notamment Benjamin, Olive, Rémi, Cédric, daffy, etc. Mais aussi en particulier un grand merci à Camille et Chantal qui m'ont hébergé ou payé le billet de train pour aller rencontrer les autres membres à Paris alors que j'avais à peine 15 ans ! Merci à toutes et tous, et à bientôt sur le grand internet !
]]>
This looks like a safe thing, practical and all, when you click on help, Air NZ assures you[archive] that this is a legit thing, and "you can use to safely pay for your flights directly from your bank account". Seems nice, why not try it. You don't know what this "POLi" thing is, but if it says it's safe, why not? It even tells you that "at no time are your personal banking login details disclosed to Air New Zealand or POLi". Sounds great. Let's do it!
First you have to chose your bank in a dropdown menu, fill a captcha code. If there is a captcha it must be secure. You click next and a nice popup show in the page, asking you... your online banking credentials. Oh. Wait. Didn't I read on every email and letter ever sent by my bank that I should never disclose my online banking credentials to anyone?
OK. This is where you should be stopping and never entering your banking details in that form and never trust POLi Payments. And you will see why.
So, what is POLi Payments[archive]? It is a private company, a subsidiary of Australia Post, that provides a "payment solution" for merchants so that Australian and New Zealanders customers can pay an order via their own bank account. You must think that this is a very serious business, and that they should have agreements with all the australian and NZ banks, and that they must be using some kind of banking API or back-end to make transactions.
Well, you are wrong. POLi Payments don't have agreements with the banks. They don't use a secure API or anything like that.
Do you remember the scam and phishing websites your bank tells you about? That you should be careful of not entering your banking details on any website other than the one of your bank? Well they work by doing something simple: they build a fake website asking your credentials, then they collect them, store them and use them to connect to your banks website and do fraudulent transactions.
And what does POLi exactly? They ask for your banking credentials, they collect them and use them to connect to your banks website and do a "legitimate" transaction, in fact they just do a wire transfer. Yup, pretty similar stuff.
The only difference is that POLi is supposed to be a legitimate business, and they tell you that it's really secure. OK, then would you write down on a paper your banking login and password to give to the cashier at the supermarket so that he could make a transfer to the supermarket account to pay for your groceries? Yes, probably not. Even if he assured you that he would destroy the paper after the transfer, you couldn't see him destroy it. This seems a bit unsafe no? Well, it's the same thing that POLi is doing. Yes. They are in fact doing a man-in-the-middle attack on your bank website, there is no other word for it.
Remember when the Air NZ website said: "at no time are your personal banking login details disclosed to Air New Zealand or POLi"? Well, obviously when you are entering your banking login details on the POLi pop-up, you are disclosing them! Even if they claim that they "do not capture or store usernames or passwords" (POLi Security overview[archive]), your login and password is transmitted to the POLi servers, stored in memory and transmitted to your banks website. Because POLi is in fact only a sophisticated "proxy" that navigates on the website of your bank with their servers.
This so-called "payment solution" is definitely misleading and a major security risk should you disclose your banking credentials to them. And I bet they get a number of credentials and transactions done as they seem to be doing everything to tell that they are really safe and secure and they are in fact just a proxy server, like Opera Mini. Which is true, but this is not really reassuring. And one of the many problems of POLi is the fact that they are using an iframe embedded in the merchant website. This means that even though you are disclosing your banking credentials on the POLi website, the fact that it is inside the merchants website means that the merchants website could access your banking credentials when you are entering them in the POLi frame, or even it could maybe exploit a security flaw in POLi proxy service and do other actions or transactions on your online banking using the POLi proxy server. And did you think about other resources used on the merchants website? Like for example a script for analytics, or an external javascript library sideloaded from another website, or ads. They all may access your banking credentials through the POLi frame as well.
The fact that the embedded frame displays a Comodo logo and a padlock is even more misleading, as it suggests that the frame is served over HTTPS, which you have no way of knowing for sure.
And it doesn't stop here, as POLi is using the access to your online banking to collect informations on your bank account, including past transactions or account balances, as it is written in their privacy policy[archive]:
We may also collect your financial information including bank account balances, bank account payment limits, a record of your previous banking transactions and information about your internet banking sessions.
Worse, their terms and conditions[archive] are deliberately wrong:
Your account access information such as usernames and passwords are not captured or stored by POLi™ or by our website.
And it is repeated on the FAQ of Air New Zealand[archive]:
During the course of your payment, Air New Zealand and POLi never have access to your internet banking identifier or password
This is blatantly false, as you can see when you check the requests made from the POLi frame, your login and password are in fact sent to the POLi server:
Not only their service is a terribly bad idea to begin with, but their own terms and conditions don't reflect the reality of what their service is actually doing.
So there is a lot of problems with POLi and in my opinion no one should use it. Why?
So: don't use POLi. Ever. And I'm not the only one saying it[archive]. No, really[archive].
And merchants shouldn't use it either as it just shows how bad they are at understanding the safety of their customers. If they accepted to use POLi as a payment option, you should really be worried as how they store and process other private informations. In the case of AirNZ I am really worried as they seem to process credit card numbers themselves. I do not want to know how they store them!
If you are not convinced check out what the banks are thinking below. I don't know why the POLi servers are not blocked by the banks, but it is clear that they don't like this idea:
KiwiBank (NZ)[archive]
We advise against using POLiPayments as it invalidates our internet banking guarantee & is not secure.
KiwiBank (NZ)[archive]
Providing your details through a third party is against terms and conditions and we very much advise against it.
Commonwealth (AU)[archive]
The Commonwealth Bank does not have any working agreement with POLi Payments. The Bank urges customers making online payments to do so via the Bank’s own NetBank site, which guarantees the customer’s security.
ASB (NZ)[archive]
we recommend that you do not use the POLi payment service due to the security risks involved
ASB (NZ)[archive]
Using POLi or Account2Account’s payment system requires users to input their username and password to a third party which breaches ASB FastNet Classic’s Terms and Conditions.
Westpac (AU)[archive]
POLI is not supported by the bank. If making online pymts, should do so via bank's own site which guarantees customer's security
ANZ (NZ)[archive]
ANZ reminds customers not to enter your ANZ Internet Banking log on information when using non-ANZ sites.
BNZ
Providing log in details to a third party presents serious security risks and contradicts both the New Zealand Code of Banking Practice and our terms and conditions.
Bank Australia[archive]
Unfortunately POLi payments don’t meet our security standards.
Bank of Queensland[archive]
We take your Internet Banking security very seriously and, for this reason, we do not support the use of 3rd party applications such as POLi. While it may seem that you are in complete control of the Internet Banking session whilst using POLi, we cannot guarantee the security of your logon credentials unless you access Internet Banking via the BOQ website.
The fact that an idea like POLi is allowed to legally exist is a major problem. How can you seriously educate people to never give out their banking details if you allow this kind of "service"?
]]>Ce film est donc l'exemple même de pourquoi le cinéma français est une honte, même quand il semble avoir tant de succès, couronné à Cannes et tout le tralala. En commençant par le tournage, qui a fait scandale pour les conditions de travail des techniciens et intermittents, invités à bosser gratos, sous prétexte que bon travailler sur un film de Kechiche ça fait bien sur le CV. Une rengaine que les graphistes et autres illustrateurs connaissent bien : « faites-moi mon logo et en échange ça vous fera de la pub ». Ben voyons. Il ne faut pas s'étonner ensuite que Kechiche fasse partie d'une tripotée de salopards qui s'opposent à une convention collective pour les techniciens du cinéma leur offrant de meilleures conditions de travail. Pour un réalisateur qui explique adorer parler des rapports de classe dans ses films, il faut dire qu'il connaît bien le sujet !
Mais passons la polémique, parlons du film. D'abord commençons par l'histoire, adaptée d'une bande dessinée magnifique (Le bleu est une couleur chaude). Mais si vous avez aimé la BD oubliez-là tout de suite : Kechiche ne l'a pas lue et s'est torché les fesses avec. Il ne l'a tellement pas aimée qu'il a refusé de discuter avec son auteure (Julia Maroh) après avoir obtenu les droits d'adaptation. Et le résultat est visible : la BD est intelligente, fine, touchante. Le film est lourd, sans délicatesse et cliché.
Le scénario, s'il y en a vraiment un, est écrit et découpé n'importe comment. Les dialogues sont à pleurer tellement ils sont horribles. Les personnages sont des clichés terribles. Emma a une famille riche, libérée, qui mange des huitres et boit du vin, accepte la relation homosexuelle de leur fille. Adèle a une famille modeste, qui pense que peintre n'est pas un métier sérieux, mange des spaghettis bolognese, et attendent de leur fille qu'elle soit normale. Les discussions lors des repas chez les deux familles sont à la limite de la parodie, on dirait que ça a été recopié dans un recueil des pontifs. Même une fan-fiction Twilight est mieux écrite.
Le scénar est simplement illogique : les personnages apparaissent n'importe comment, n'importe quand. D'un coup d'un seul Adèle a un meilleur ami (gay, forcément), qu'on n'avait jamais vu avant, mais c'est pas grave, car après dix minutes de présence dans le film on n'en entendra plus parler. Idem avec tous les autres personnages secondaires. Les familles d'Emma et Adèle ? Après les repas, elles disparaissent. Les potes d'Adèle, ouvertement homophobes ? À la trappe. Le mec avec qui Adèle trompe Emma ? On ne le verra plus jamais après qu'Emma ait quitté Adèle, alors qu'il bossait avec Adèle tous les jours à l'école ! Ce n'est plus un film, c'est un numéro de magicien sérieux ! C'est comme ça pour tous les personnages : ils sont introduits n'importe comment à l'arrache en deux-trois lignes de dialogues et disparaissent juste après. Même dans Street Fighter 2 les personnages apparaissent plus longtemps et ont une psychologie plus évoluée.
Le film repose donc sur ses deux principales interprètes, Adèle Exarchopoulos et Léa Seydoux. Adèle joue plutôt bien franchement, c'est une belle surprise, elle porte un peu le film sur ses épaules d'ailleurs, parce que sans elle je n'aurais pas tenu jusqu'au bout des 3 heures (oui oui !). Léa Seydoux par contre… Ils auraient pris une truite que ça n'aurait pas changé grand chose. Évidemment son rôle dans le scénario est bâclé, pour ne pas dire carrément charcuté, et même caricaturé, ce qui n'aide pas à développer une quelconque profondeur au personnage. Mais même sans ça, elle est inexpressive et à côté de la plaque dans la moitié des scènes. Du coup on ne croit pas un moment à l'histoire amoureuse entre les deux filles. La relation paraît toujours fausse. En même temps je veux dire elles passent de l'étape « on discute dans l'herbe et on s'embrasse » à « on baise violemment » en deux secondes (je ne mens pas). Car à chaque fois (sauf une) qu'Adèle embrasse quelqu'un dans ce film c'est suivi tout de suite par une scène de sexe. Ben oui, c'est complètement logique voyons !
J'en arrive donc au principal point polémique du film, les scènes de sexe. Oui car il y en a pas mal, elles sont assez explicites et longues. J'ai compté pour vous, il y a en tout 16 minutes de scènes de sexe à l'écran. La plus longue fait quand même sept minutes non-stop, et je peux dire que sept minutes de faux sexe lesbien tel qu'imaginé par un quinqua qui n'a aucune idée de la sexualité des lesbiennes, c'est long, très long. Ces scènes n'ont même pas un intérêt masturbatoire, ce n'est pas même excitant pour un mec, c'est juste du pur ennui. Alors la question pourquoi ces foutues scènes, comme si c'était le truc le plus important à mettre dans ce film ? Non, elles ne servent à rien, elles n'apportent rien aux personnages, à l'intrigue, à l'ambiance. Elles sont juste chiantes. Je suspecte qu'elles n'existent que pour faire parler du film, ce qui est réussi. Et encore, je m'estime heureux, car la plus longue scène fait sept minutes, mais il a fallut dix jours pour la tourner, et là je pense aux pauvres comédiennes obligées de refaire sans cesse cette scène pendant dix jours. Mais quelle horreur, sérieusement. On pourrait aussi parler longuement de comment elles sont filmées, c'est à dire mal, au point que même un porno est mieux foutu. Ensuite on est dans le fantasme masculin le plus total : alors qu'Adèle, personnage plutôt réservé, couche avec Emma pour la première fois, elle se comporte déjà comme une pornstar qui mangerait de la foufoune au petit déjeuner depuis quinze ans. Sérieusement.
Je pense que la sexualité du film (et la vision de la sexualité féminine par le réalisateur) est à l'image de l'intello à la con qui existe dans une scène du film et qui je pense est l'incarnation du réalisateur (quand je vous disais qu'il était mégalo) et qui raconte sans se démonter, avec tout le monde qui l'écoute religieusement : « moi à chaque fois que j'ai pu coucher avec une femme j'ai pu observer quelque chose qui (...) parlait dans un au-delà, en dehors de son corps (...) je suis persuadé que l'orgasme féminin est mystique (...) on le voit dans les yeux, vous [les femmes] avez des yeux qui regardent dans l'au-delà ». Oui, les femmes ces êtres mystiques, qui viennent de Vénus, incompréhensibles, si mystérieuses, et qui hurlent dans les bois les nuits de pleine lune. Voilà l'idée de la femme selon le film. Et ça se voit, et franchement c'est à pleurer pour un film qui parle de relations homosexuelles, c'est d'une pauvreté intellectuelle sans nom.
Et justement pourtant le film essaye de se targuer d'être intelligent, ou en tout cas intello. Et cela à travers un nombre de dialogues et scènes complètement chiantes où les personnages parlent de littérature, de philosophie, d'art et de choucroute alsacienne. Ah nan pas la choucroute pardon. Et à chaque fois, ces dialogues sont d'une pauvreté intellectuelle crasse, d'un ennui profond, d'une fausseté et d'un caricatural. Ça se voit tellement que Kechiche essaye de se la péter intello, mais ça tombe à plat comme une vieille crêpe recouverte de choucroute, parce que d'abord on s'en fout complètement, ensuite que ça n'a rien à voir avec le film et enfin que c'est n'importe quoi. Placer des références et citations de Marivaux, Sartre ou Klimt ne vous rend pas intelligent ou ne vous donne pas l'air intelligent, ils vous donne l'air d'un crétin qui veut se la péter. Je ne parle même pas de la visite d'Emma et Adèle au musée d'art où nous n'aurons droit qu'à des gros plans sur les culs des statues. Classe, on se croirait presque dans un Batman de Joel Schumacher : statues grecques et gros plans sur les fesses. Pas vraiment un film intello…
Et justement les pires scènes pseudo-intello sont ces horribles scènes de cours de français et de littérature. Qui sont tellement réalistes qu'on s'y ennuie autant qu'au vrai lycée. Ah donc un bon point pour le réalisme là ?
On en vient au réalisme et à la crédibilité du film. On vous le dira, pour que le public se passionne pour votre film, il faut qu'il soit un minimum crédible et cohérent dans son univers. Ce qui n'est pas le cas ici, et certains détails sont à pleurer. Au début du film Adèle est dans le bus avec son copain, et celui-ci lui dit « temps de merde aujourd'hui », et celle-ci répond « ouais t'as vu c'est fou ». Déjà bon le dialogue OK. Mais ensuite heu il ne pleut même pas, il ne fait pas moche, c'est n'importe quoi, au moins faites genre qu'il a plut, mettez de l'eau par terre ou des gouttes d'eau sur les vitres du bus ! Et je passe sur le fait que pendant tout le reste du film il fera soleil. À Lille. On y croit tous. Et aucun personnage n'a de téléphone portable dans ce film (sauf Emma), tout le monde s'appelle sur la ligne fixe de ses parents et laisse des messages sur des répondeurs à cassette. Ce qui est complètement anachronique avec le fait qu'Adèle chante et danse sur une musique de 2011 pour l'anniversaire des ses 18 ans.
Je mentionne au passage la musique mais rapidement car il n'y en a pas, seulement quelques fonds sonores (en boîte, dans les bars, etc.), rien de passionnant.
On en arrive enfin à l'horrible montage du film. Le film est long, lent, on a vraiment l'impression de jouer à un jeu vidéo bloqué à 0,5 FPS. C'est leeeennntt, on se fait chier sérieux. Il y a de nombreux plans qui ne servent à rien et durent juste pour faire durer. Mention spéciale sur les plans (fixes) sur Adèle (le plus souvent à poil, enfin sans poils) en train de dormir. Pendant 10 ou 20 secondes. Ah. Bon. Moi je vais pisser je reviens alors. Les plans fixes au passage ne sont jamais vraiment fixes, la caméra devait être tenue par un ancien opérateur de marteau-piqueur parce que ça tremble sec, c'est carrément désagréable à regarder. Peut-être que Kechiche ne sait pas ce qu'est un trépied ?
Tout cela est peut-être dû à un problème de budget ? Non parce que bon à deux reprises dans le film il y a des élipses temporelles de trois ans et personne n'a jugé utile de payer un sous-titre indiquant "trois ans plus tard". Bon on s'en aperçoit, parce que la scène d'avant Emma et Adèle couchent ensemble chez les parents d'Adèle après qu'elle ait eu 18 ans, et la scène suivante elle est devenue institutrice. Alors bon je sais bien qu'on embauche n'importe qui à l'éducation nationale (surtout comme ministre en fait), mais bon quand même.
Le film fait trois heures, et il y avait peut-être assez de matériel pour faire un film potable d'une heure et demie, le reste c'est du remplissage creux, vide, sans intérêt. Mais même si le film avait eu une version courte ça ne change rien au fait que la plupart des scènes sont filmées sans talent, sans recherche, sans intérêt pour le sujet, et sont d'un ennui total. Il ne se passe rien. Jamais. Même le « dénouement » final est creux. Creux et mauvais. Alors que la fin dans la BD de Julia vous fait pleurer, à on tombe sur une fin à la con qui vous fait vous demander pourquoi vous avez regardé ce putain de film en premier lieu. Mais rendez-moi ces trois heures de ma vie que vous m'avez volé pour les remplir avec du rien !
Et le pire ? C'est que Kechiche voudrait faire une nouvelle version plus longue de 40 minutes. Mais qu'est-ce que tu va bien pouvoir foutre dans 40 minutes de film en plus si tu n'avais déjà pas assez pour remplir un film de 90 minutes ? Des plans fixes tremblotants sur le cul d'Adèle ? L'intégrale d'un cours de philosophie de terminale ? Mais ce n'est pas fini, le film s'intitule « La vie d'Adèle chapitre 1 et 2 », ça veut dire qu'il prévoit de faire d'autres chapitres ? Mais comment ? Même une tarentule écrasée présente plus de suspense, de dialogues intéressants et d'intensité dramatique que tout ce film ! Au secours empêchez ce mec de faire des films.
Alors que dire de plus ? Un film long, ennuyeux, creux, mal écrit, mal filmé, pseudo-intello, carrément mégalo, avec du cul pour faire scandale et faire oublier l'abîme intellectuelle que représente le reste du film, des équipes mal ou pas payées, des conditions de tournage abominables mais c'est pas grave « c'est pour l'art et ça fera bien sur le CV ». Mais mais, mais oui, c'est bien un film français ! Un très bel exemple-type du pire que peut produire le cinéma hexagonal. Et on se demande encore pourquoi personne ne va voir des films français… Mais même Uwe Boll fait de meilleurs films, c'est dire !
Maintenant après avoir vu ce « truc » je vous invite à lire les critiques de la presse : 4,6 sur 5 sur Allociné. « C'est ça le grand cinéma » selon Télérama. Rassurez-moi ils parlaient de la taille de la salle de projection là ? « Intense, haletant, frappe par sa richesse et la subtilité des thèmes » mais mais mais même une grenouille sous un 38 tonnes est un thème plus subtile que n'importe lesquels du film ! Je ne vois qu'une possibilité : ces journalistes ont laissé leur cerveau d'huitre dans le repas des parents d'Emma.
]]>Ce protocole qui a bien 15 ans maintenant (!) fait exactement la même chose que Facebook Messenger, Whatsapp et autres Viber, avec en plus une interopérabilité avec XMPP/Jabber, AIM, ICQ, etc etc.
Ça permet de chatter avec ses contacts, de leur envoyer des images, sons, etc. et de voir quand ils sont en ligne. Le tout de manière unifiée avec le carnet d'adresses classique. Ça marche pas mal techniquement, et c'est présent sur des milliards (et oui !) de téléphones. Mais ça n'a quand même jamais vraiment bien marché.
Aujourd'hui le protocole n'est plus supporté par Android, Windows Phone ou iOS et je ne connais plus qu'un seul service encore en ligne, MobJab. Mais c'est un rappel que tout ce qu'on nous présente comme super-hype-top-nouveau n'a absolument rien de nouveau ou d'intéressant. La seule différence c'est que ce qui est populaire aujourd'hui ce sont des services centralisés, privateurs et espions.
]]>Pour configurer un compte SIP sur Nokia Symbian^3 (Belle) c'est pas compliqué. Prenons l'exemple d'OVH.
En premier il va falloir télécharger et installer un petit utilitaire Nokia qui permet de configurer en profondeur les comptes SIP. Pourquoi ce n'est pas intégré par défaut dans Symbian^3 je ne sais pas, ça me dépasse : SIP_VoIP_3_1_Settings_Symbian_3_v1_0_en.sis
Si vous avez installé le firmware custom Delight (fortement conseillé) normalement c'est déjà intégré, pas besoin d'installer ce patch.
Ensuite il faut créer un compte SIP : dans Paramètres sélectionnez "Connectivité", puis tout en bas "Param. administrateur" et "Paramètres SIP". Dans le menu choisissez "Nouveau mode SIP" puis "Utiliser mode par déf." et remplissez comme suit :
Appuyez sur la flèche de retour, le téléphone devrait se connecter au compte, et passer de "Non inscrit" à "inscrit" en face de "OVH" dans la liste des profils SIP. Si ce n'est pas le cas c'est qu'il y a un souci de connexion.
Maintenant que vous avez vu que ça fonctionnait bien vous pouvez configurer le téléphone pour qu'il ne se connecte pas au service SIP tout le temps : revenez dans la configuration du profil et passez "Inscription" sur "si nécessaire". Ainsi la connexion ne sera faite que lorsque vous ferez un appel SIP ou quand vous connecterez le profil SIP à la main (voir plus bas).
Mais ce n'est pas terminé, il faut encore indiquer à la partie téléphonie du téléphone qu'elle peut utiliser le profil SIP (me demandez pas, oui c'est tarabiscoté) : Paramètres, Connectivité, Param. administrateur, et choisissez cette fois "Paramètres internet" (explicite n'est-ce pas) puis "Advanced VoIP settings" et maintenant cliquez "Create new service" et sélectionnez "OVH" dans la liste.
Vous devriez maintenant avoir un nouvel onglet dans la gestion des contacts, un globe terrestre avec un téléphone, cliquez dessus. De là vous pouvez voir le statut des services SIP, et vous connecter ou déconnecter (via le menu en bas à droite). Quand le profil SIP est connecté et prêt à recevoir des appels une icône de globe avec combiné téléphonique aparaît dans la zone de notification. Dans les contacts vous aurez aussi une nouvelle option "Appel OVH". Et dans l'écran de composition de numéro le menu en bas à droite dispose d'une nouvelle option "Appel OVH".
Oui c'est un cheminement très bizarre et peu logique, mais une fois que c'est fait ça marche très bien.
(Inspiré du guide OVH pour Nokia S60.)
Si ça ne marche toujours pas, il est possible d'installer Tivi, un client SIP pour Symbian gratuit. L'interface est moche mais ça marche. Je déconseille Fring qui fait passer obligatoirement par son serveur Proxy (rajoute de la latence).
PS : il existe aussi S60voip en libre, que je n'ai pas testé.
Au passage si vous vous demandez ce que sont ces étranges "paramètres XDM" et paramètres de présence, lisez mon petit article sur cet ancien protocole de messagerie instantanée.
]]>Depuis je suis repassé sur mon propre serveur mail, à base d'Exim, dovecot et SpamAssassin. J'ai aussi mis roundcube comme webmail, mais ça ne me plaisait pas vraiment, j'ai donc développé mon propre webmail assez rapidement. Il ne passe pas par IMAP mais lit directement les dossiers Maildir. Du coup c'est plus rapide. Mais pas assez à mon goût, pour une utilisation intensive avec des milliers d'utilisateurs il fallait quelque chose d'autre, j'ai donc développé un serveur SMTP qui filtre directement les messages et les stocke en base de données et memcache. Puis un serveur IMAP pour voir tout ça. Et un webmail qui tape dans memcache et la base de données. C'est pas mal, c'est rapide, mais encore incomplet, je mettrais ça en open source quand ça sera plus avancé.
J'ai aussi développé un gestionnaire de liste de discussion/diffusion en PHP qui est appelé par EXIM, parce que bon mailman ça va bien 5 minutes mais c'est chiant et lourd.
Bref on n'est jamais mieux servi que par soi-même.
Mais là n'est pas le sujet, car aujourd'hui je vais vous parler de synchroniser ses mails en local pour pouvoir y accéder hors ligne. Oui je sais les clients mails ont souvent une option pour synchroniser les dossiers IMAP pour une utilisation hors ligne. Mais ils stockent souvent ces mails dans un format spécifique, ça prend de la place, c'est lent et peu pratique.
Alors que la bonne solution c'est d'utiliser OfflineIMAP pour synchroniser vos dossiers IMAP en local, ainsi vous disposez d'une copie exacte de votre compte IMAP, que vous pourrez donc restaurer en un rien de temps si le serveur perd vos mails, ou si vous décidez de changer de fournisseur de mails.
Je ne vais pas vous raconter ici comment configurer OfflineIMAP, d'autres l'ont déjà fait mieux que moi, genre saimon.org par exemple. Je peux juste dire que c'est super simple à faire et que ça marche au poil. N'oubliez juste pas de mettre "sep = /" dans le repository local, sinon vous allez avoir des problèmes. Mon ~/.offlineimaprc pour l'exemple :
[general] accounts = MyServer ui = Blinkenlights [Account MyServer] localrepository = Local remoterepository = Remote [Repository Local] type = Maildir localfolders = ~/Mail sep = / [Repository Remote] type = IMAP ssl = yes remotehost = ***** remoteuser = ***** remotepass = ***** spamfolder = Junk
Et ensuite pour accéder à vos mails depuis votre client mail il vous faut utiliser un serveur IMAP local, par exemple dovecot.
# apt-get install dovecot-imapd
Ensuite tout ce que vous avez à faire c'est d'indiquer à dovecot où sont stockés vos mails. Éditez la configuration locale de dovecot :
# nano /etc/dovecot/local.conf
Et inscrivez-y :
mail_location = maildir:%h/Mail:LAYOUT=fs
Évidemment il faut adapter "/Mail" à la localisation de vos mails dans votre home. Moi c'est dans ~/Mail donc.
Si vous voulez retrouver les répertoires "magiques" de GMail genre avec tous les mails ou tous les mails marqués, vous pouvez utiliser l'extension virtual en inscrivant dans la config ce qui suit :
mail_plugins = $mail_plugins virtual namespace { prefix = virtual/ location = virtual:%h/Mail/virtual }
Vous pouvez maintenant redémarrer dovecot :
# service dovecot restart
Et ensuite pour les dossiers virtuels il suffit de créer un répertoire dans votre dossier ~/Mail/virtual et d'y placer un fichier nommé dovecot-virtual contenant les règles. Par exemple si on veut tous les messages non lus sauf les spams, les listes et la corbeille on crée un dossier ~/Mail/virtual/new/ et on inscrit dans le fichier dovecot-virtual :
* -INBOX/Listes/* -Trash -Junk unseen
Pour les messages récents ça sera :
* -INBOX/Listes/* -Trash -Junk -Sent all younger 5184000
Et les messages marqués :
* -Trash -Junk flagged
Et voilà, vous pouvez maintenant faire pointer votre client mail sur localhost :)
]]>Tout est marqué sur le blog de Mozilla : ils veulent supprimer progressivement des fonctionnalités du navigateur Firefox pour les sites en HTTP (en clair), au profit des sites en HTTPS (chiffré). Par exemple ça sera la suppression du support Javascript, ou des images en SVG, puis des images tout court, avant de supprimer tout support pour le protocole HTTP. Si vous ne voulez pas vous voir bridé il faudra utiliser le protocole HTTP2 qui ne fonctionne qu'en HTTPS (chiffré). Une idée à l'évidence complètement stupide (déjà que HTTP2 est une horreur, mais c'est une autre histoire).
Évidemment, comme Mozilla ne fait que suivre Google, l'idée vient en fait de Chrome.
En 5 minutes je pense déjà à des tonnes d'arguments pour exprimer à quel point cette idée est profondément stupide :
Bref à mon avis Mozilla ne voit le web que comme un conglomérat de grosses boîtes et gros sites avec des budgets dédiés à tout et n'importe quoi, et n'en à rien à faire des millions de particuliers, assos, bénévoles et enthousiastes du monde entier qui font du web ce qu'il est : un gros bordel collaboratif, la plus belle invention de l'humanité.
Ce que veux Mozilla c'est un web propre et beau, et sécurisé (parce que bon c'est bien connu le SSL c'est la sécurité, ah ah), et tous ces gentils bidouilleurs ne sont qu'un obstacle à la productivité et à son objectif de marché. Donc il cherche à les éliminer. Si vous ne me croyez pas regardez un peu la modification du traitement des certificats auto-signés avec le temps… c'est devenu un enfer, et ce n'est pas pour "la sécurité".
Oui je suis énervé, mais même pas surpris, après avoir supprimé le "http://" de l'URL ce n'est qu'une étape logique, que j'avais déjà annoncée il y a quelques années. Ce qui m'énerve c'est d'avoir raison et de voir que Mozilla, le seul représentant du web non commercial (enfin logiquement) est en réalité un vendu et ne fait plus rien pour la communauté, mais ne travaille que pour son intérêt propre.
Bref encore une fois je répète mon refrain habituel : mais crève donc Mozilla, crève donc, tu fera de la place pour quelque chose d'autre. Et cette chose ne peut pas être pire que Mozilla.
Edit : un autre souci c'est OCSP, une techno qui permet au navigateur de demander au CA si le certificat est bon et encore valide. En théorie c'est super. En pratique ça veut dire que tout le monde qui visite un site fait une requête au CA, qui sait donc qui visite le site. Non seulement ça peut être un gros business, mais en plus c'est une sacré atteinte à la vie privée (et on peut risquer sa vie dans un pays non démocratique, si on va visiter un site interdit…). Dans HTTP, aucun mouchard n'envoie à un prestataire tiers le nom de tous les sites que vous visitez…
]]>Il permet de visualiser les cartes en ligne de pas mal de fournisseurs (Nokia Here, OSM, OpenCycleMap, LINZ en Nouvelle-Zélande, IGN, etc.), charger des traces GPX (gestion des tracés, routes et POI, avec couleur différente pour chaque tracé quand il y en a plusieurs dans le fichier), profil altimétrique, affichage des coordonnées d'un point sur la carte en notation "simple" (genre -37 44 6 N 144 55 50 E), recherche d'adresse et ajout de marqueurs sur la carte.
On peut ensuite exporter la carte sous forme de widget pour mettre sur son site web, elle contiendra les tracés GPX et les marqueurs qu'on a ajouté. Un exemple sur mon journal : Détour(s) d'Australie et d'ailleurs
Fonctionnalités prévues dans le futur : recherche d'itinéraire entre 2 points (vélo, voiture, piéton), édition et création de tracés GPX, export en GPX des données de la carte, impression de la carte et de l'itinéraire.
Le plus intéressant à mon avis est du côté technique : rien n'est stocké sur le serveur, donc aucune donnée personnelle n'est envoyée à travers internet, tout est fait depuis votre ordinateur en javascript.
]]>Ce nouveau baladeur de Sandisk gagne en autonomie par rapport aux précédents Clip Zip et Clip+, mais perd quelque chose de précieux : le support par Rockbox. C'est un firmware alternatif pour un grand nombre de baladeurs qui offre de nombreuses fonctionnalités, une plus grande autonomie, la lecture de tous les formats audio, et Doom !
Dommage du coup de perdre Rockbox, à cause d'une puce trop faible pour faire tourner autre chose que le firmware original, qui se retrouve d'ailleurs lui-même sérieusement handicapé, avec notamment une limite à 2000 fichiers indexés dans la base de données des tags (soit 8Go, alors que le baladeur peut utiliser des cartes microSD de 64 Go et plus), et des problèmes de tris dans les répertoires.
En effet comme un vulgaire baladeur de supermarché, le Clip Sport tri les fichiers dans l'ordre où ils sont déposés sur la partition FAT32, et non pas par ordre alphabétique. Les albums sont donc désordonnées, du genre la piste 15 suivie de la piste 3, suivie de la piste 22, etc. Une solution à ça :
$ sudo apt-get install fatsort $ fatsort /dev/sdX1
ou sdX1 est la partition du baladeur ou de la carte microSD. Et hop c'est réglé. C'est un peu gênant, mais au moins ça règle le souci.
Un autre souci sur les baladeurs Sansa c'est la limitation du volume de sortie à cause des lois européennes, du coup on n'entend rien (et non je ne suis pas encore sourd). Une solution simple : dans le baladeur aller dans réglages, réglages système et réinitialiser (pas formater), et quand il vous demande le pays indiquez "reste du monde". Et hop vous voilà avec le volume débridé et plus de message chiant sur l'écoute à plein volume bla bla bla.
]]>So, what do you do when you accidentally bought a DRM e-book? First you swear you'll never do the same mistake again, and next time you'll just download the book from The Pirate Bay, it will be faster, easier and you will be able to read the book without wondering why the hell did you pay for a file that you can't read. When that is done, you will actually get rid of the DRM following this simple procedure:
$ unzip DeDRM_plugin.zip
$ python k4mobidedrm.py -s YOUR_KINDLE_SERIAL_NUMBER Stupid_encrypted_DRM_book.azw ./
That's it. A new file called Stupid_encrypted_DRM_book_nodrm.mobi will be in the directory. Delete the old one.
What was this DRM thingy for?
]]>
We still want to be able to use the key to store some documents, and that way it will just look like an ordinary USB key. So we have to create an empty filesystem on the removable USB key:
# USB_KEY=/dev/sdX # fdisk $USB_KEY Command (m for help): o Building a new DOS disklabel with disk identifier 0xXXXXXX. Changes will remain in memory only, until you decide to write them. After that, of course, the previous content won't be recoverable. Command (m for help): n Partition type: p primary (0 primary, 0 extended, 4 free) e extended Select (default p): Using default response p Partition number (1-4, default 1): Using default value 1 First sector (2048-1974271, default 2048): Using default value 2048 Last sector, +sectors or +size{K,M,G} (2048-1974271, default 1974271): 1974270 Command (m for help): t Selected partition 1 Hex code (type L to list codes): b Changed system type of partition 1 to b (W95 FAT32)
Make sure that the last sector of the partition is minus one the last one of the disk. Here the last sector of the disk is 1974271, so (1974271-1) = 1974270.
Now write the partition table:
Command (m for help): w The partition table has been altered! Calling ioctl() to re-read partition table. WARNING: If you have created or modified any DOS 6.x partitions, please see the fdisk manual page for additional information. Syncing disks.
Now format the new partition:
# mkfs.vfat -F 32 -n Documents ${USB_KEY}1
Now comes the part of the crypto stuff. Create a random passphrase:
# dd if=/dev/urandom bs=1 count=256 > passphrase.bin
Write it to the end of the USB key:
# USB_SEEK=$(($(blockdev --getsize64 $USB_KEY)-256)) # dd if=passphrase.bin of=$USB_KEY bs=1 seek=$USB_SEEK
This way the passphrase won't be stored in a filesystem but directly on the disk, where overwriting it by mistake will be a bit more difficult. It's also a bit harder for an attacker to know that the disk actually contains an encryption passphrase (but just a bit).
You can check that the passphrase was correctly written to the disk with:
# sha1sum passphrase.bin; dd if=/dev/sdg bs=1 skip=$USB_SEEK count=256 2> /dev/null | sha1sum
The two SHA1 sums should match.
At this step I advise you to backup your passphrase, maybe by encoding it using Bubble Babble, printing it and hiding it somewhere. Or just put it in a wallet manager like KeePassX. As you wish.
If you already have an encrypted EncFS directory, you can skip to the next step. If you don't have an encrypted EncFS directory already here is how you can create one:
$ encfs ~/encrypted ~/decrypted Creating new encrypted volume. Please choose from one of the following options: enter "x" for expert configuration mode, enter "p" for pre-configured paranoia mode, anything else, or an empty line will select standard mode. ?>
Press p and Enter.
Paranoia configuration selected. Configuration finished. The filesystem to be created has the following properties: Filesystem cipher: "ssl/aes", version 3:0:2 Filename encoding: "nameio/block", version 3:0:1 Key Size: 256 bits Block Size: 1024 bytes, including 8 byte MAC header Each file contains 8 byte header with unique IV data. Filenames encoded using IV chaining mode. File data IV is chained to filename IV. File holes passed through to ciphertext. -------------------------- WARNING -------------------------- The external initialization-vector chaining option has been enabled. This option disables the use of hard links on the filesystem. Without hard links, some programs may not work. The programs 'mutt' and 'procmail' are known to fail. For more information, please see the encfs mailing list. If you would like to choose another configuration setting, please press CTRL-C now to abort and start over. Now you will need to enter a password for your filesystem. You will need to remember this password, as there is absolutely no recovery mechanism. However, the password can be changed later using encfsctl. New Encfs Password:
Enter (twice) a temporary password as we are about to change it. So enter something like abcd or stuff.
Now we will to change the current password of the encrypted directory to the passphrase we generated and wrote to the USB key before.
$ echo -n "Enter current password: " && read -s PASSWORD && (echo $PASSWORD && base64 -w 0 passphrase.bin) | encfsctl autopasswd ~/decrypted
Type in your current password (the temporary one if you just created the encrypted directory at the previous step), hit Enter, and then EncFS will change the password to the one contained in the file passphrase.bin, encoded with Base64. This encoding is useful as EncFS expects a one-line password and
Now unmount the encrypted directory so that we can try if mounting it with our key works:
$ fusermount -u ~/decrypted
Let's try if we can mount our encrypted directory with our key:
$ base64 -w 0 passphrase.bin | encfs -S ~/encrypted ~/decrypted
And it should work.
And finally we are ready to mount our encrypted directory using our USB key and this simple script:
#!/bin/sh if [ "$1" = "" -o "$2" = "" ] then echo "Usage: $0 rootDir mountPoint" exit 0 fi mountpoint -q "$2" && echo "$1 is already mounted" && exit 1 echo "Trying to get the key from USB keychain ..." >&2 for SFS in /sys/block/sd*; do DEV=`basename $SFS` if [ 0`cat $SFS/removable` -eq 1 -a 0`cat $SFS/size` -gt 1 ] then SKIP=$((512*$(cat /sys/block/${DEV}/size)-256)) KEY=`dd if=/dev/${DEV} bs=1 skip=$SKIP 2> /dev/null` echo "> Trying device: $DEV ..." >&2 echo -n "${KEY}" | base64 -w 0 | encfs -S "$1" "$2" \ && echo "Encrypted directory mounted from keyfile" && exit 0 fi done echo "FAILED to find suitable USB keychain ..." exit 1
The script is simply trying to use all the removable devices as decryption key for encfs. To use it you just have to run:
$ mount_encfs_usb.sh ~/encrypted ~/decrypted Trying to get the key from USB keychain ... > Trying device: sdg ... Encrypted directory mounted from keyfile
And that's the end of this HOWTO :)
This was inspired by this StackOverflow thread and How to setup passwordless disk encryption.
]]>So here is one quick PHP script based on my own PHP5 BubbleBabble library to do that: bubblebabble.php
Usage is pretty simple:
$ bubblebabble.php hello.txt xifok-mirid-bodik-nemyg-temyl-dipyd-cedyx $ bubblebabble.php -d - <<< xifok-mirid-bodik-nemyg-temyl-dipyd-cedyx Oh, Hi Mark! $ fortune | bubblebabble - > encoded.txt $ bubblebabble -d encoded.txt Big book, big bore. -- Callimachus]]>
Available from PHP 5.3.5.
This method returns true if a statement doesn't change the database. This is useful sometimes, like to make sure that a template engine is only reading data and not altering the databse. Another use would be providing a way for the user to make queries on the database to select any data he wants (yes you wouldn't want this to be available to any user).
One example to check if there is no injection:
$_GET['id'] = 42; $statement = $db->prepare('SELECT * FROM cooking_recipes WHERE id = '.$_GET['id'].';'); var_dump($statement->readOnly()); // bool(true)
And if there was an injection:
$_GET['id'] = 'NULL; DROP TABLE nuclear_warheads_locations;'; $statement = $db->prepare('SELECT * FROM cooking_recipes WHERE id = '.$_GET['id'].';'); var_dump($statement->readOnly()); // bool(false)
Of course you NEVER should insert any PHP variables straight in a SQL query. Instead you should use bindValue:
$statement = $db->prepare('SELECT * FROM cooking_recipes WHERE id = :id;'); $statement->bindValue(':id', $_GET['id']);
Another undocumented feature of the PHP SQLite3 object, available since 2009, is openBlob. Basically it's a function that will return a stream pointer to a blob value in a table. Very very useful when you are dealing with files stored in a SQLite3 database.
Source code says:
proto resource SQLite3::openBlob(string table, string column, int rowid [, string dbname])
Open a blob as a stream which we can read / write to.
But despite that it's not possible to write to the blob, only reading is implemented. The blob are always opened as read-only by SQLite, so if you try to write to the stream, nothing will be saved to the database.
One example of use:
$db = new SQLite3('files.sqlite'); $db->exec('CREATE TABLE files (id INTEGER PRIMARY KEY, filename TEXT, content BLOB);'); $statement = $db->prepare('INSERT INTO files (filename, content) VALUES (?, ?);'); $statement->bindValue('filename', 'Archive.zip'); $statement->bindValue('content', file_get_contents('Archive.zip')); $statement->execute(); $fp = $db->openBlob('files', 'content', $id); while (!feof($fp)) { echo fgets($fp); } fclose($fp);
You can also seek in the stream. This is pretty useful for saving large files from the database too, this way you can use stream_copy_to_stream, it will be faster and more memory-efficient than dumping the file in memory before writing it to the disk.
Please note that openBlob() won't work on VIRTUAL FTS4 compressed tables (but no problem with non-compressed virtual tables).
Available since 2009 (PHP version ??).
If set to true, then errors will be returned as exceptions instead of errors.
]]>On retrouve ici la talentueuse Emily Perkins et l'excellente Tatiana Maslany qui livrent une prestation extraordinaire dans des registres très différents. Le scénario prend un tournant inattendu avec le rapport entre lycanthropie et addiction aux stupéfiants et envoie le personnage principal dans un hôpital étrange et surréaliste, à moitié abandonné, rempli d'infirmiers corrompus, où elle rencontrera Ghost (Tatiana Maslany), une gamine totalement déjantée.
L'ambiance est campée et nous emmène dans un film d'épouvante relativement dérangeant et bien ficelé, de la musique à la réalisation en passant par les effets spéciaux « old school » (pas de CGI) jusqu'à une fin complètement tarée.
]]>Une fois arrivés, la demoiselle du groupe, trouvant que déféquer en pleine nature n'est pas très glamour, se dirige en direction d'un riche manoir au milieu de l'île, qui s'avère vide, et devant la porte se saisit de la clé sous le paillasson, entre, se balade dans la maison, et va déféquer dans les toilettes tout en savourant un bouquin piqué dans la bibliothèque. Bon déjà ça donne le ton, venir chier chez vous pendant que vous êtes partis faire les courses, ça montre un certain respect de la jeunesse. Mais vous allez voir que le film n'a pas finit de vous parler de chiottes.
Le soir, le couple blond est en train de roucouler sous la tente (leur pote doit dormir à la belle étoile, après tout faut pas trop se mélanger, et puis c'est un militaire il peut bien vivre à la dure), quand Tracy (la fille blonde) joue le scénario du "pas ce soir chéri j'ai la migraine". Craig, un peu déçu, se retourne en gromelant, quand Derek (le black) débarque en criant "vite vite il faut sortir y'a de l'orage". Oui tout à fait, quand vous faites du camping, et qu'il pleut averse avec de gros éclairs, il faut sortir de la tente en courant avec son sac à dos. Il doit en faire un beau de militaire celui-là quand même. Bref, passons sur cette incohérence pour suivre nos héros se diriger en courant vers le manoir, où ils entrent. Ici encore Tracy se révèle être une garce qui non contente de chaparder de la bouffe dans le frigo, se prends une douche, où Craig la rejoint et celle-ci le rembarre derechef sur le mode "nan mais tu fait quoi là ho !". Suite à quoi, tout le monde va joyeusement utiliser les toilettes, parce que ho hein quitte à squatter illégalement une maison autant laisser la cuvette relevée en sortant, on n'est pas punk pour rien !
Après une nuit de sommeil, pendant que nos héros se réveillent dans un bon lit douillet, la tente de ces campeurs du dimanche flotte sur le lac, ce qui effectivement nous en dit long sur leur QI. Mais oh du bruit réveille Craig, il regarde par la fenêtre, ce sont les propriétaires du lieu qui reviennent des courses, mais en hors bord (notez que pour se garer sur le parking du Carrouf c'est pas super facile). Vite, c'est la panique, nos trois jeunes se précipitent récupérer leurs affaires et effacer les traces de leur visite, et se cachent à la cave. Là, ils voient deux cadavres empaquetés dans du plastique, ils veulent appeler du secours, mais pas de chance leur iPhone ne capte pas (ils doivent être chez Free mobile). Pendant ce temps-là les proprios se rendent compte que quelqu'un s'est aventuré dans leur maison ("oh oh oh quelqu'un a dormi dans mon lit") et tendent une embuscade géniale consistant à attendre à la porte de la cave avec un couteau. Nos héros sortent de la cave et Tracy se fait immédiatement capturer. Sous la menace de lui trancher la gorge, les deux garçons acceptent, sans avoir l'air plus bouleversés que ça, de transporter les cadavres sur la plage et de les enterrer.
Une fois le trou creusé, les trois jeunes sont invités à rejoindre le trou, et c'est là qu'ils se rendent compte que les cadavres ont le même visage et corps que les deux propriétaires-méchants. Enfer, ce sont des clones méchants qui ont tué les originaux ! Et là, retournement de situation, les deux méchants clones se font mettre à terre par trois gentils-clones des trois jeunes (qui se baladent à poil).
De là pas grand chose, la clone de Tracy va séduire le vrai Craig, et le clone de Craig va séduire la vraie Tracy, pendant que le vrai Derek se barre chercher du secours (il reviendra à la fin du film car de l'autre côté du lac il aura croisé une voiture avec deux jumeaux dedans, donc il a eu peur ce neuneu et est revenu... au point de départ). Forcément ça couche ensemble, pendant que quand même on se demande, autour d'un Scrabble (si si), si ces gentils-clones sont vraiment gentils et pas de méchants qui feintent leur gentillesse (non pas possible !). Le vrai Craig et la vraie Tracy découvrent que l'île était auparavant occupée par un chercheur en physique nucléaire et tombent sur son laboratoire secret, où ils découvrent que son projet était de cloner les gens, mais que ça a mal tourné bla bla bla. Mais au fait d'où sortent-ils ces clones ? Comment ont-ils eu accès à l'ADN et les souvenirs des originaux ? Et bien de la fosse septique ! Et oui c'est quand nos héros ont fait caca que leur ADN a été transportée jusqu'à la fosse septique qui avait été mélangée avec de la potion magique nucléaire. Donc en fait si on suit le raisonnement la fosse septique devrait être en train de créer des millions de clones de mouches, asticots et autres vers de terre mais non elle est intelligente elle ne clone que les humains. Pratique.
Du coup, après de nombreuses péripéties inutiles (le labo ne servira jamais à rien fait à part expliquer à moitié d'où sortent ces clones tous nus), Derek et Craig tuent leurs clones, pendant que Tracy soulève une rame sur son clone et... noir. Inutile de vous dire quel sera le clone survivant que les originaux emmèneront avec eux en croyant que c'est l'original... Et voilà c'est la fin.
Et merde, j'ai perdu 1h30 de ma vie à me faire chier devant ce navet, où les acteurs, en plus de chier dans le film, se font chier comme des rats morts. Au secours, tirez la chasse !
]]>You can try and click on any number of opt-out links you wish, it doesn't change anything. At best you won't receive new spams from this specific announcer, but the spam provider often sells its database to hundreds of other announcers and will continue to relay spam through to you. When I actually tried to click as many opt-out links I could in a month, I actually got a huge increase of spam afterwards. It may seem incredible, but you can not trust those spam providers to actually stop sending spams. Weird. (Irony.)
There is a non-profit organization called "Signal Spam" which is supposed to fight spam, but a vast majority of its partners are actually spam providers like MailChimp or eCircle. Even the president of Signal Spam is the CEO of an « emailing » company called ExactTarget. I discuss the matter in details in this post about Signal Spam (in french). To this day Signal Spam doesn't seem committed at all to bring spam providers to justice or to lobby for a more protective law against spam.
A few years ago when I heard about SPF, and then about DKIM, I thought that would be a great idea to help fight spam. Now I can truly say that they are both very bad ideas. Even if they were actually working with real emails, which they don't, as they break most mailing lists and forwardings. But the worst is that out of the two thirds of emails my SMTP servers received who were using DKIM or SPF, more than half of those emails were actually spams.
Yes, spammers do use SPF and DKIM, and they do use them well. For this means that if an email does actually have a valid DKIM or passes the SPF test, there is more than a 50% chance that it is not a real email.
So when you are writing your spam filtering rules you should never trust that a message that passes the DKIM or SPF test is a legit email as it is often not the case.
The default rules for SpamAssassin for example are too not too optimistic if the mail passes the DKIM or SPF test, which is the right thing to do.
One thing that SpamAssassin didn't get right is that it trusts the whitelists. For example a valid DKIM domain which is in the SpamHaus Whitelist will get its spam score decreased by 3.5 points. That's a lot actually, as many spammers do manage to get listed in whitelists. One example is MailChimp, one of the largest spam provider out there, which is listed in ISIPP IADB.
As a result spams coming from MailChimp will get through your spam filter. What a shame.
I suggest to use those rules in your SpamAssassin local.cf file:
score DKIMDOMAIN_IN_DWL 0 score __RCVD_IN_DNSWL 0 score __RCVD_IN_IADB 0 score RCVD_IN_RP_CERTIFIED 0 score RCVD_IN_RP_SAFE 0
This will disable the whitelists completely, so that no request is made to those servers. It will save you some bandwidth and CPU, as well as rejecting more spams.
To help block more spams I will soon release a new DNS blacklist server which will help to reject emails from MailChimp, eCircle, MailJet and other "legal" spam providers.
]]>Si la réglementation Européenne est plutôt favorable aux particuliers (seul l'opt-in est autorisé), en France elle est carrément défavorable aux professionnels où c'est l'opt-out qui règne. Ce qui signifie en clair qu'une fois votre adresse dans leurs fichiers, vous êtes cuit. Vous avez beau cliquer comme un malade sur les liens pour se désabonner, cela ne change rien. Au mieux vous ne recevrez plus de messages de cet expéditeur-là, mais l'entreprise de spam qui a envoyé ce spam continuera de vendre votre adresse à d'autres expéditeurs. Au pire, comme un test personnel l'a prouvé récemment, cela confirmera au spammeur la validité de l'adresse et multipliera le nombre de spams reçus.
Et où les entreprises de spam vont-elles pécher leurs adresses ? Dans le fichier SIRENE vendu par l'INSEE bien sûr ! Quand vous avez créé votre association, que vous vous êtes enregistré en auto-entrepreneur ou avez ouvert votre EURL vous pensiez bien faire en mentionnant votre adresse e-mail pour faciliter vos communications avec l'administration ? Et bien pleurez maintenant : une fois votre adresse e-mail dans le fichier SIRENE, celui-ci est revendu à des dizaines de spammeurs qui revendent les fichiers à d'autres spammeurs, et ainsi jusqu'à l'éternité. En bonus vous recevrez même des catalogues et autres publicités dans votre boîte aux lettres postale, on sait jamais si vous manquiez de papier pour allumer le poêle cet hiver.
Et ce en toute légalité, c'est beau la loi quand elle protège les intérêts d'une minorité au détriment de la majorité.
Pourtant il existe en France une structure censée lutter contre le spam : Signal Spam. Fondée en 2007, cette association promettait des lendemains qui chantent si vous vous inscriviez sur leur site et que vous leur envoyiez vos spams. L'initiative est la seule à être d'envergure en France et à recevoir un soutien des pouvoirs publics. La CNIL et l'ANSSI conseillent de transmettre nos spams à Signal Spam, c'est donc que ça doit être sérieux.
Mais à quoi servent ces signalements ensuite ? Écoutons parler Thomas Fontvielle, secrétaire général de Signal Spam (interview du 16 juillet 2013) :
On peut dresser une brève typologie des actions autorisées par les signalements :
- La désinscription des listes de diffusion qui comprennent les adresses de l’internaute auprès des membres de l’association ;
Je. Hein. Quoi ? Les membres de Signal Spam ont des listes de diffusion ? Et on pourrait être amené à signaler leurs messages ? Mais pourquoi donc ? Est-ce que ça voudrait dire que les membres d'une association destinée à lutter contre le spam pourraient être des spammeurs ? Je suis dubitatif. Allons voir la liste des partenaires de Signal Spam. Que voyons-nous comme noms ?
Experian Marketing Services, ExactTarget, MailChimp, NP6 MailPerformance, MailUp, Ividence, Email Stratégie, DoList, Expert Sender, RapidMail, INXMail, Smart Focus, MailJet, SPLIO, Return Path, eCircle, Cabestan, etc.
En visitant les sites de ces « partenaires » on retrouve souvent les même phrases et mots qui reviennent : « délivrabilité », « e-mail marketing », « newsletter », « campagne marketing », « emailing ». Vous voulez ce que ça veut dire ? Toutes ces entreprises sont des spammeurs professionnels. Quelque soit le nombre de mots à la con qu'elles peuvent mettre sur leurs sites, ces boîtes sont les machines de guerre du spam et représentent plus de 90% du spam qui circule sur mes serveurs. Du spam que je n'ai évidemment jamais sollicité.
Signal Spam est si directement et intrinsèquement lié aux entreprises de spam que ça se voit jusque dans sa direction. En 2008 l'APRIL quittait Signal Spam, mettant en cause le coût prohibitif de l'adhésion, mais aussi le fait que le président de l'époque, Dominique Roux, était également administrateur de la société 1000mercis. L'activité de cette entreprise ? Les « campagnes d'emailing » bien sûr. Le lien entre Signal Spam et cette société était si fort que le siège de l'association était le même que celui de la société.
Bien sûr, depuis Signal Spam a peut-être appris de cette erreur de communication pour élire un président un peu plus « neutre » ? Et bien non, le nouveau président de Signal Spam, Jean-Philippe Baert, est aussi vice-président d'ExactTarget, un autre expert de « l'email marketing ».
Mais on pourrait décemment se dire que malgré les apparences Signal Spam pourrait fournir un service de qualité et réellement lutter contre le spam. En 2010, Arobase.org relevait déjà que « de fait, Signal Spam s’avère un échec », soulignant le manque de bilan concret de son action.
Depuis Signal Spam n'a toujours pas montré de résultats probants. Et pour cause. Prenons des extraits des derniers spams reçus sur un serveur mail pour montrer d'où ils proviennent :
from o16.p4.mailjet.com
MailJet, une entreprise partenaire de Signal Spam.
from mail161.us4.mcsv.net X-Mailer: MailChimp Mailer
MailChimp, un autre partenaire.
from a8-59.smtp-out.amazonses.com
Amazon SES, partenaire classique des spammeurs.
from evo1mta1a97.emstechnology2.net
Le WHOIS du domaine emstechnology2.net nous apprend qu'il appartient à Experian, encore un partenaire Signal Spam.
from oxim15.net
Domaine appartenant à la société OXEMIS, partenaire de l'entreprise Return Path, elle-même membre de Signal Spam.
from pl1kcca.choice-easy.net
Domaine appartenant à la société PKY Services, membre du SNCD (Syndicat National de la Communication Directe), qui est membre-fondateur de Signal Spam.
from smtp584.vtrtyuiu.info
Domaine appartenant à Ediware, signataire d'un accord avec Signal Spam.
Et je pourrais continuer longtemps comme ça… Vous remarquerez que les domaines expéditeurs concernés varient d'un spam à l'autre histoire de contourner les blacklist, un comportement typique des spammeurs.
On constate donc que non seulement Signal Spam est au mieux inutile, ne générant aucune poursuite ou condamnation contre les spammeurs, mais pire elle pourrait servir à ses « partenaires » à apprendre comment déjouer les filtres antispam. En effet l'un des services de Signal Spam, en partenarait avec les fournisseurs de webmail (dont Orange et SFR) est de remonter les IP et domaines les plus signalés. Si on faisait du mauvais esprit on pourrait dire que cela sert aux fournisseurs de spam de changer d'IP quand celles-ci deviennent trop signalées, et ainsi continuer à spammer sans limite.
Je travaille actuellement à la mise en place d'un nouveau serveur de liste noire DNS qui permettra de bloquer les mails provenant de ces entreprises qui envoient du spam « légal ». Il sera assorti d'un répertoire de règles SpamAssassin permettant un filtrage plus fin.
En attendant je vous propose quelques règles pour SpamAssassin qui bloqueront la plupart de ces messages, à mettre dans votre /etc/spamassassin/local.cf.
header __LR_LEGALSPAM_1 exists:X-EMV-CampagneId header __LR_LEGALSPAM_2 exists:X-Mw-Campaign-Uid header __LR_LEGALSPAM_3 exists:X-campaign-id header __LR_LEGALSPAM_4 exists:X-campaign_id header __LR_LEGALSPAM_5 exists:X-uid-id-m header __LR_LEGALSPAM_6 exists:X-Mailin-Client header __LR_LEGALSPAM_7 exists:X-rpcampaign header __LR_LEGALSPAM_8 exists:X-Campaign header __LR_LEGALSPAM_9 exists:X-MC-User header __LR_LEGALSPAM_10 exists:X-eCircle-Complaints meta LR_LEGALSPAM_HEADER (__LR_LEGALSPAM_1 || __LR_LEGALSPAM_2 || __LR_LEGALSPAM_3 || __LR_LEGALSPAM_4 || __LR_LEGALSPAM_5 || __LR_LEGALSPAM_6 || __LR_LEGALSPAM_7 || __LR_LEGALSPAM_8 || __LR_LEGALSPAM_9 || __LR_LEGALSPAM_10) describe LR_LEGALSPAM_HEADER "Legal" spam (emailing) score LR_LEGALSPAM_HEADER 4.0 header LR_AMAZON exists:X-SES-Outgoing describe LR_AMAZON Sent from Amazon spam network score LR_AMAZON 0.5 header LR_SUSPECT_MAILER X-Mailer =~ /(PHPMailer|php|mailing)/i describe LR_SUSPECT_MAILER Suspect mailer agent score LR_SUSPECT_MAILER 0.5 header LR_LEGALSPAM_MAILER X-Mailer =~ /(delosmail|cabestan|ems|mp6|wamailer|eMailink|Accucast|Benchmail|ACEM|Sendinblue|Streamsend|Edatis|Mailchimp)/i describe LR_LEGALSPAM_MAILER Mailer agent often used by "legal" spammers. score LR_LEGALSPAM_MAILER 4.0 header LR_CSA_SENDER exists:X-CSA-Complaints describe LR_CSA_SENDER Certified Senders Alliance (mostly spam) score LR_CSA_SENDER 0.5
Je conseille de compléter également avec les règles fournies par SaphirTech qui bloquent aussi pas mal de spams français.
]]>There is a belief that buying on those websites is dangerous. Like maybe you pay and the product is of bad quality (well yes sometimes, for the price don't expect the top quality stuff), or you don't even get the product at all, or the warranty service is non-existent. In my experience the sellers on eBay and AliExpress are really helpful, and they will refund you if you don't get the package after some time, or if the product breaks, no questions asked and no need to send the product back (as it would cost more than the product price!). This is a much better experience than having to deal with a European customer service, which often requires to send back the product to another country, at your own cost (with Sandisk you have to send the product back to Czech Republic, it costs around €10, and after 4 to 8 weeks you get a new product, that's a shitty service).
But sometimes the Chinese sellers are trying to earn some more money (not that I would blame them). AliExpress require sellers to send their parcels with a tracking number. But sending an untracked parcel is a bit less expensive. So what some sellers do? They send an untracked parcel and provide you with a fake tracking number and a fake tracking website. The website will show some dates and events which may appear to be kind of realistic. This is one recent example:
Shipping To - DIJON Shipping From - SZ, China 2014-11-15, 2014-11-15, Acceptance, CHINA 2014-11-18, Export of international mail, China 2014-11-23, Processing, left China 2014-11-24, Import of international mail 2014-11-27, Handed to customs 2014-11-29, Customs clearance completed 2014-12-04, Processing,, BourgogneSorting
You might think at first "Oh, my home town is mentioned and the package actually is moving, fine I just have to wait some more."
Well yes but all of this is fake. The website (ws-shipping.com) is completely empty, except for a field to enter the tracking number, and was registered on march 2014. There is no privacy policy, no information on the company or anything else. The tracking history may seem to be legit, but if you come back often you will see that it is appearing at some pre-determined intervals depending on the destination country.
The website actually knows how long an untracked parcel may take to get to this country, and fills in the gap with fake tracking history. That's clever really, as is the idea to include the destination address in the history. But it still is a complete fake tracking history that does not provide any real information whatsoever.
It doesn't mean your order won't be arriving or that it wasn't sent, it just means it is untracked. So don't trust this website (but there are others), and if the parcel never arrives you'll have to open a dispute on AliExpress or eBay to get your money back.
]]>So here is a short and useful script to convert a CBZ, ZIP or CBR comic file to a Kindle-compliant ZIP file: cbz2kindle.sh
Usage is easy:
$ cbz2kindle.sh My_Comic.cbr Unraring... Resizing, trimming and converting images... ............................ OK Re-zipping to My_Comic.kindle.zip...
You will need imagemagick, unzip and rar (part of the Debian non-free archive) to make this work.
The script is actually converting JPEG files to PNG while rotating them to fit best, resizing to 800x600 and converting to a 16 levels grayscale image.
Its works quite well with some comics, and the size is small (around 25MB for a 300 pages comic book). But some comics are intended for a larger format and the text is hard to read sadly. We really need a 12"-something color e-ink e-reader really. Where is it?!
]]>"E" means you can install an "E-type" front derailleur which is an uncommon kind. Wikipedia explains it like this: "This type front derailleurs do not clamp around the frame's seat tube, but instead are attached to the frame by a plate mounted under the drive side bottom bracket cup and a screw threaded into a boss on the seat tube. These derailleurs are usually found on mountain bikes with rear suspension components that do not allow space for a normal derailleur's clamp to go around the seat tube."
"K" means you can install a chain case.
"EK" means you can have both "E-type" front derailleur and chain case.
That's all!
]]>Voici à titre d'exemple un script très simple qui supprime le clavier virtuel du formulaire de connexion Hello Bank pour le remplacer par un simple champ de type mot de passe : hellobank.user.js
]]>La plupart des banques de nos jours sécurisent l'accès aux comptes de leurs clients à l'aide de plusieurs techniques.
Déjà il y a le paiement par carte bleue, qui a maintenant une procédure dite « sécurisée ». En réalité dans le meilleur des cas la banque vous enverra un SMS avec un code à usage unique qu'il vous faudra retaper sur le site. Au pire des cas le site de paiement vous demandera… votre date de naissance. Inutile de dire que si vous vous faites voler votre portefeuille, celui-ci contiendra sans aucun doute une carte d'identité, passeport ou carte Vitale qui fournira ladite date de naissance. Et même sans se faire voler son portefeuille, on ne peut pas dire que ce soit une information particulièrement secrète : elle figure sur votre compte facebook, sur votre CV, sur les dizaines de formulaires que vous remplissez chaque année, etc. Bref il n'y a aucune raison valable d'utiliser la date de naissance pour valider une transaction, cela ne prouve en rien que c'est bien vous, et c'est ridicule. Et même si la banque vous demande de confirmer la transaction par SMS, je vous laisse imaginer l'utilité de la manœuvre si vous vous faites voler portefeuille et téléphone en même temps. Sans même mentionner les risques qu'une application installée sur votre smartphone transmette tous vos SMS à un attaquant (vous savez le fameux jeu que vous avez utilisé 2 minutes qui demande à lire vos SMS ? Et bien il transmet tous vos SMS à un serveur distant.).
La seconde sécurité est la confirmation des opérations effectuées sur le site de la banque. Par exemple pour réaliser un virement ou ajouter un bénéficiaire de virement. C'est la même méthode que précédemment, avec un SMS contenant un code unique à retaper sur le site web. Et donc avec les même risques. Certaines banques ne demandent d'ailleurs que de ré-entrer son mot de passe, ce qui n'est pas non plus beaucoup mieux. Mais rassurez-vous, certaines banques exigent encore de leur envoyer un courrier papier pour ajouter un bénéficiaire. Et si, c'est possible, même en 2014. Visiblement ces banques pensent que falsifier une signature est plus difficile qu'intercepter un SMS. Laissez-moi rire. Si au moins ces banques vérifiaient les signatures d'ailleurs. Je vous laisse tenter l'expérience, la prochaine fois que votre banque requiert votre signature, de griffonner n'importe quoi. Vous serez surpris de constater que ça passe toujours. La logique est simple : vérifier ça prend du temps, donc ça coûte cher, donc ce n'est pas fait. Ça coûte moins cher de traiter les réclamations avec les clients qui se font abuser.
Enfin, certaines banques sont tellement incompétentes qu'après avoir mis en place l'ajout de bénéficiaire de virement par Internet, elles font marche arrière au prétexte pour revenir au papier, en prétextant que cela a occasionné des tentatives de fraudes. Sérieusement. « OK les gars on n'est pas doués pour sécuriser nos opérations en ligne, on va revenir aux opérations physiques, c'est la même merde mais au moins on a l'habitude. » Ah, ça bosse dur là-bas dites donc.
On pourrait se dire que logiquement que quand même c'est mieux dans le cas des virements d'avoir une confirmation par e-mail, car si on peut se faire voler son téléphone, on ne peut pas nous voler notre code client et mot de passe, donc pas d'accès aux comptes. Mais non, c'est la même chose, car l'accès aux comptes est lui-même complètement déficient à tous les points de vue. Et pour combler leur incompétence crasse, les banques essayent de vous faire croire qu'elles maîtrisent en vous montrant de jolies choses, et par exemple les claviers virtuels.
Commençons par le plus gros problème des banques françaises : la quasi-totalité d'entre elles donnent un mot de passe qui n'en est pas un. Ce n'est pas un mot, c'est un code. Le plus souvent à 6 chiffres seulement. Quand ce n'est pas 4 chiffres ! C'est ridicule, cela ne permet pas de choisir un mot de passe de qualité, et la plupart des gens utilisent leur date de naissance ou de mariage. L'identifiant ne vaut pas mieux, c'est souvent simplement le numéro du compte ou du client.
Il y a eu à une époque une psychose sur les keyloggers sous Windows qui enregistreraient les identifiants bancaires. Depuis cette époque toutes les banques ont réalisé que leur système d'authentification n'était pas sécurisé du tout. Mais au lieu de passer à quelque chose d'un peu plus sérieux comme du two-factor par exemple, elles ont simplement rajouté une horrible rustine sur le tout. Cette rustine c'est le clavier virtuel. Mais si vous en avez déjà vu : ce sont ces fameux claviers numériques où il faut cliquer sur les chiffres plutôt que de les taper au clavier. Les keyloggers ne peuvent donc plus enregistrer les touches tapées au clavier.
Niveau expérience utilisateur c'est une catastrophe : non seulement ces claviers sont inutilisables par les non-voyants ou mal-voyants, mais ils sont une véritable plaie à utiliser sur mobile où il est quasiment impossible de rentrer le code d'accès correctement dès le premier essai. Enfin on ne peut plus utiliser le gestionnaire de mots de passe de son navigateur ou OS, qui est probablement bien plus sécurisé que le site de la banque, et on doit donc perdre du temps à retaper son code d'accès à chaque connexion.
Enfin niveau sécurité, si le keylogger ne peut plus enregistrer votre frappe au clavier, n'importe qui jetant un œil sur votre écran (dans un cybercafé, au travail, sur son mobile dans les transports en commun) saura non seulement votre identifiant qui est affiché en clair, mais aussi votre code d'accès en regardant les mouvements de votre curseur de souris.
Et vous ne savez pas le pire ? En à peine quelques semaines, de nouveaux keyloggers sont apparus. Ceux-ci enregistrent donc maintenant également les clics de souris. Certains font de la reconnaissance de caractère pour décoder le chiffre que vous cliquez, mais d'autres vont au plus simple : ils enregistrent une capture d'écran de la zone de l'écran qui entoure le curseur au moment du clic.
Autrement dit, le gain en sécurité de ces claviers est simplement nul. Les seuls qui sont emmerdés sont les clients. Leur seule utilité est marketing : elle veut montrer aux clients que leur sécurité est en de bonnes mains. Tout comme au siècle précédent les banques devaient avoir de beaux bâtiments imposants, avec du marbre et de grands espaces. Tout cela pour que les clients aient confiance et mettent leur argent dans les banques, en ayant l'impression que la banque était riche et pouvait rembourser les avoirs déposés. Mais tout cela n'est que du bluff. Tout comme les banques ne sauraient rembourser les avoirs qui leur ont été confiées, elles sont incapable de garantir la sécurité de vos comptes.
Par curiosité j'ai analysé le code des claviers virtuels de plusieurs banques françaises, et je dois dire que c'est encore pire que ce que je pensais. Dans une très large majorité des cas le principe est très simple : une image contenant le clavier (le tableau avec les chiffres) est affichée, et quand on envoie le formulaire on envoie en réalité la position du clic. Parfois la position est de type coordonnées X/Y dans l'image, parfois c'est un chiffre qui reprend l'affichage des chiffres du clavier.
Dans tous les cas j'ai réussi à créer un court script qui détermine le chiffre cliqué et permet de retrouver le code d'accès entré. En quelques dizaines de minutes seulement. Et comme toutes les banques fonctionnent de façon similaire, il est très rapide de faire un script qui permettrait de décoder directement les chiffres cliqués. Pas besoin de keylogger, il suffirait d'une extension Firefox ou Chrome compromise… Et quand on sait l'absence de vérification sérieuse des actions et du code des extensions publiées sur les magasins d'extension de ces deux navigateurs, il y a de quoi sérieusement s'inquiéter.
Et si seulement le tableau s'arrêtait là… Mais en réalité il n'y a pas une procédure pour rattraper l'autre. Car si un attaquant ne s'attaque pas à votre machine pour récupérer votre code, il peut souvent générer un nouveau code d'accès via la procédure de « code perdu » qui n'est pas plus sécurisée. Souvent il suffit de la date de naissance, du numéro de téléphone, et éventuellement d'une autre information personnelle disponible sur votre carte d'identité comme le lieu de naissance ou l'adresse postale, et après un SMS de confirmation vous pourrez changer le code d'accès aux comptes du client. Certaines banques renvoient le code secret par courrier seulement, car comme on l'a vu, le courrier papier est la forme de communication la plus sécurisée qui soit…
Mention spéciale à certaines banques qui à cette occasion vous proposent (case pré-cochée) de recevoir du spam par email et SMS. Normal.
En conclusion je recommande de ne pas utiliser les claviers virtuels quand c'est possible (certaines banques permettent de le désactiver, mais parfois il faut utiliser un script GreaseMonkey) : ils n'apportent aucune amélioration notable de sécurité et emmerdent plus qu'autre chose. Si vous êtes réellement concerné par la sécurité de vos comptes en ligne, je vous invite à contacter votre banque afin de lui suggérer de mettre en place un système d'authentification réellement sécurisé. Il est incroyable que de nos jours l'accès au compte bancaire soit moins sécurisé que l'accès au compte Gmail !
]]>Donc en attendant que la France et les autres pays du monde réalisent qu'on est au XXIe siècle on peut toujours compter sur l'extraordinaire projet OpenStreetMap et ses merveilleux contributeurs (dont votre serviteur).
Mobile Atlas Creator (MOBAC pour les intimes, paquet mobile-atlas-creator dans Debian depuis Wheezy) est un petit logiciel (en Java hélas) qui permet de sélectionner une zone depuis une carte « en tuiles » en ligne et l'exporter en de multiples formats pour des nombreux logiciels, et même en PDF pour l'imprimer sur du papier. Il est fourni par défaut avec la configuration pour les différentes couches OSM et il est possible de le configurer pour qu'il gère aussi les cartes GéoPortail.
Sur Android le meilleur logiciel libre pour faire de la navigation avec OSM est le bien-nommé OsmAnd, ça marche pas mal, même si comme la plupart des logiciels Android (je vous reparlerais à l'occasion de l'horreur que représentent 99% des applications Android) il semble envoyer des données sur des serveurs distants sans vous en demander l'autorisation. Je vous conseille de l'installer en utilisant le magasin d'applications libres F-Droid, une bonne alternative à ce mouchard de Google Play Store.
OsmAnd permet de télécharger directement depuis l'application la cartographie vectorielle du monde entier (par pays ou région), ainsi que les courbes de niveau, des voix pour la navigation, etc. La navigation fonctionne correctement, même si c'est moins fiable que Nokia HERE. L'interface est par contre assez obscure, rien que rechercher une adresse est compliqué, il n'y a pas vraiment de champ texte libre où on peut rentrer ce qu'on veut. Pour la rando on peut visualiser la carte, mais ce n'est pas vraiment le plus adapté.
Poursuivons avec un logiciel qui n'est pas libre, mais qui est gratuit et qui ne contient pas de publicité. Il s'agit du véritable couteau-suisse de la cartographie sur Android : OruxMaps. Non content de permettre de visualiser des cartes à tuile en ligne depuis OSM et autres Google Maps (et de les télécharger directement pour un usage hors-ligne) il sait aussi lire de nombreux formats de fichiers cartographiques pour une utilisation hors ligne. Ça va du format OZF2 (utilisé par OziExplorer sous Windows), aux cartes fournies avec les GPS de marque Garmin jusqu'aux cartes vectorielles au format MapsForge. Ce dernier est particulièrement utilisé pour les cartes OpenStreetMap.
On peut ainsi télécharger des cartes OSM du monde entier au format vectoriel depuis le site OpenAndroMaps. Ces cartes incluent les courbes de niveaux sans rien avoir à faire de plus. Je conseille d'utiliser avec ces cartes le thème Elevate proposé sur le même site. Cela donne des cartes très claires et agréables à lire, sans compter l'utilité des sous-thèmes. Par exemple le sous-thème "Cycling" va afficher de manière plus visible les pistes cyclables et les itinéraires VTT (en orange). C'est franchement excellent.
Mais OruxMaps ne s'arrête pas là, il permet aussi de voir les cartes en 3D, de créer et afficher des itinéraires (GPX, KML et KMZ), mesurer la distance à vol d'oiseau entre deux points sur la carte, enregistrer et voir des POI, et encore des tonnes d'autres fonctions sans compter la possibilité de personnaliser l'intégralité de l'interface. Bref c'est à mon sens le meilleur logiciel pour visualiser et exploiter des cartes à pied, en vélo ou autre. L'interface est un peu austère et tarabiscotée au premier abord mais une fois qu'on a suivi un tuto c'est tout de suite plus simple.
]]>