Author Archives: Paul

DAVDSI

Posted on by
Reply

Bon, tout d’abord, je pense que cette loi a du bon, du moins par rapport à la licence globale : je ne vois pas en effet pour quel raison l’on devrait tous payer une licence, y compris si l’on ne télécharge pas… comme nous le faisons sur les CD. Ceci évite par le fait une licence sur le téléchargement ou l’upload qui reviendrait à ce que je paye des auteurs compositeurs que je n’écoute pas pour vous diffuser ces quelques lignes sur ce site !
Ce système reviendrai à ce que je dénonce dans la taxe sur la copie privée à savoir que l’enregistrement de données resultant d’un travail bénévol (comme l’est une distribution GNU / Linux par exemple) se traduise en un dont auprès d’artistes déjà riche et qui ne font pas grand chose gratuitement. Bref c’est imoral. Etendre ce système aux connexion internet revient à payer des droits d’auteur à d’autre sur mes emails, les articles que je met à disposition au travers de ce site, mes cours… bref ma propre oeuvre.

Enfin, heureusement cette nouvelle loi ne va pas en ce sens et c’est une bonne chose. La lois DADVSI nous promet donc des prunes sur mesures pour les méchants pirate voleurs de droit d’auteur, pour peu qu’ils soient pris sur le fait. Alors, ma question est, comment prouve-t-on que l’internaute est fautif ??

  • On condamne tous les utilisateurs de P2P : seul hic, le P2P, même s’il est associé aux mp3 et divx sert aussi de système d’echange de distributions linux par exemple … ca ne marche donc pas
  • On met des fichiers à disposition et l’on attend que les Internautes les téléchargent pour les pieger. Pourquoi pas, mais la mise a disposition est un délit, à partir de celà ca pose un problème. Par ailleurs, il sera difficile de prouver que l’Internaute savait ce qu’il téléchargait puisque le nom n’a que peu de valeur dans le domaine du P2P. Et par ailleurs, les reseaux type freenet ont résolu se problème depuis longtemps : tout fichier est copié en diférent point du réseaux et téléchargé depuis ces points sans que celui qui héberge le fichier n’ai la moindre idée de l’avoir … bref, pagaille juridique en perspective.
  • Enfin, il est toujours possible de mettre des sondes sur le réseau pour analyser tout ce qui passe … bonjour les libertés publiques

Bref, la loi est juste… mais juste inaplicable de façon égalitaire, ca restera sans doute un piège à con qui attrapera dans ses filets quelques internautes égarés.

Ca c’était pour le coté téléchargement, pour ce qui est de la mise à disposition, c’est autre chose : il est en effet plus simple de savoir qui met quoi sur le réseau P2P classique, mais comme je l’ai dit les solutions rendant tout ceci anonyme existent dejà. Et de toute façon, la loi Française s’arrêtera aux limites de nos frontières, la musique est internationnale, les films souvent issus d’autres pays francophone. Je ne m’attends pas vraiment à une rarification de ce que l’on trouvera sur Internet.

Enfin, il y a les auteurs de logiciels de P2P à enfermer immédiatement, ces PIRATES, Ces HACKERS (messieurs, le hacker n’est pas un hors la loi mais au contraire un gars bien qui veille à notre sécurité et fait progresser l’informatique en général …). Bref, tout ces gens qu’il faut arrêter. A commencer pas Skype, voix sur IP en P2P par exemple… les exemples sont nombreux ..; où comment dire que la meilleur arme contre la copie serait tout simplement de supprimer les ordinateurs… L’idée a raison d’exister mais son existance n’a aucun sens, la jurisprudence s’en rendra sans doute compte : l’usage malveillant d’un outil ne rend pas son concepteur responsable. Je m’explique, on ne poursuit pas un armurié donc l’un des produit à bléssé une personne mais bien celui qui s’en est servi.

La dernière phase de cette loi concerne les DRMs, ces petits bouts de code permettant de vous autoriser à accéder à la musique ou au film que vous venez d’acheter. Ils représentent de multiples risques : vous tracer et suivre ainsi l’usage que vous faite de l’oeuvre : qui écoute quoi, à quelle heure … Vous écoutez Marylin Manson le matin au reveil … Ne seriez vous pas un tueur psychopat en puissance ? si en plus vous avez regardé tueur né dans les 5 dernères années alors gaffe !
Mais il n’y a pas que celà, avec les DRM, ne pourront lire vos film / musique que des lecteurs autorisés, Linuxien, Macistes, attention, si le grand marché ne vous reconnait pas comme un cible potencielle, vous voila menacé par la fracture culturelle !! Certe la loi indique que vous avez le droit de contourner le système si vous ne pouvez faire autrement (il me semble). Que cela signifie-t-il si je n’ai pas installé les outils adéquats ou s’ils n’existent pas …. compliqué à mettre en oeuvre d’autant que dans tous les cas on risque une amende pour avoir regardé un DVD que l’on a acheté… fort non ?

Alors que faire ? Franchement je ne sais pas trop, mais malgrès toutes ces questions en suspent et le fait que je reste très dubitatif sur la mise en oeuvre, il me semble que le compromis choisi est pas mal… DRM en trop, car si les lois précédentes sont appliquées les DRM ne sont d’aucune utilitée.

Il me reste donc enfin une dernière question : maintenant que la copie est illicite, que le droit de copie privé est restreint et numériquement protégé, pourquoi continuons nous à payer la taxe sur la copie privée qui ne se justifiait que par les pertes (lol voir précédent article) duent au P2P.
Cette loi acquise, la taxe doit être remise en cause immédiatement ! Et je suis sûr d’une chose, dans ce cas, les grands perdant de DADVSI seraient enfin les Majors.

Configuration impression avec mozilla et KDE

Posted on by
Reply

Comme il arrive que l’impression par défaut configurée par Mozilla déconne un peu, il est possible d’utiliser l’impression KDE.
Pour ce faire, afficher l’écran de propriété de l’imprimante sous Mozilla (après avoir obtenu la fenetre d’envoie d’un impression) puis remplacer la ligne lpr ${MOZ_PRINTER_NAME … par kprinter –stdin

Lucca : une solution Ajax de réservation de salles

Posted on by
Reply

Lucca, une société Française propose une solution basée sur Ajax pour la réservation de salles de réunion. Là encore, la technologie est mise en valeur : descriptions dynamiques, saisie de rendez-vous graphique digne d’un client lourd ou riche !

Le site lucca.fr propose une démo de son application de réservation de ressources en mode connecté basée sur Ajax. La solution est plutôt esthétique avec un affichage dynamique des informations de la ressource de type tooltips et la présentation graphique des disponibilités. La technique Tooltip est d’ailleurs réutilisée un peu partout pour le zoom sur les réservation … solution plutôt propre, rapie et simple d’emploi.

Mais le plus intéressant concerne le module de réservation qui permet la sélection graphique d’un créneau horaire ; solution qui n’a pas grand chose à envier aux PalmDesktop et autres Outlook. Reste le prix … a mon gout un peu élevé même pour le niveau technique mis en oeuvre mais ce doit être le prix du marché.

 

En temps qu’utilisateur de solutions de ce type, basée sur lotus Notes, cet outil me semble vraiment plus ergonomique, l’ajax apporte une ergonomie d’utilisation indéniable et les temps de réponses sont parfait. L’utilisation de tooltips permet d’éviter le chargement d’une page lors de la visualisation détaillée des réservations d’un salle, c’est super. Seul reproche : le chargement initial un peu long, je les soupçonne de charger toutes les informations de réservation lors de l’ouverture. Dans ce cas, Ajax aurait pu être utilisé pour ne charger les informations de réservation que lors du survol : c’est à dire lors de l’affichage du tooltips.

Encore un nouveau démonstrateur de qualité pour Ajax.

Parsing XML à l’aide de la commande sed

Posted on by
Reply

Suite un petit problème pour traiter une flux xml avec sed, je vous livre une solution …
Le problème est le suivant : lorsque l’on a une suite de champs que l’on souhaite remplacer comme suite: (le < > sont remplacés par % pour simplifier l’ecriture de l’article)
de:
%tag1% valeur1 %etag1% %tag1% valeur2 %etag1%
à:
valeur1 valeur2

On pourrait avoir l’approche suivante :
sed -e ‘s/%tag1%(.*)%etag1%/1/g’
Mais le résultat est le suivant:
valeur1 %etag1% %tag1% valeur2

En effet, sed va matcher la plus longue pattern possible ce qui va donner le résultat précédent. Ce qui évidemment n’est pas adapté au traitement de flux XML. La solution est de ne pas utiliser sed mais perl qui va prendre, elle, la plus petite pattern possible pour peu qu’on le lui precise de la façon suivante:
perl -p -e ‘s/%tag1%(.*?)%etag1%/1/g’
Le résultat sera alors:
valeur1 valeur2
C’est l’ajout du “?” à la suite de .* qui précise que perl doit chercher le motif le plus court.

Création d’espace crypté sous Linux

Posted on by
Reply

Lorsque l’on souhaite crypter des données avec Linux, il est assez simple de créer une partition cryptée, celle-ci est montée au démarrage ou à la demande ; le disque seul, sans mot-de-passe, devient inutilisable.
Toutefois, cette solution ne permet pas bien, ni la sauvegarde des données cryptées, ni le déplacement physique de ces données, ni leur copie lors d’une réinstallation qui devient alors une étape critique.

La solution à ces problèmes est l’utilisation d’un fichier crypté plutot que d’une partition cryptée. Le fichier en question sera une parition logique cryptée ou cryptofile. La partition logique ainsi crée est en réalité un fichier qui pourra donc être manipulé comme tel.
La création passe par plusieurs étapes :

  • Créer une partition logique initialisée aléatoirement de sorte à faire du bruit.
    dd if=/dev/urandom of=systFile1 bs=1k count=300000
    Cette commande initialise un fichier systFile1 de 300000 blocs de 1ko. Le nombre et la taille des blocs est à votre discretion.
  • Il faut ensuite associer ce fichier à un périphérique loop qui va permettre, non seulement de considérer le fichier comme un périphérique et de le traiter, donc, comme une partition physique, mais aussi de gérer le cryptage / décryptage des informations.
    losetup -e twofish256 -T /dev/loop0 systFile1
    twofish256 est le cryptage retenu, l’option -T va demander 2 fois la saisie du mot de passe, /dev/loop0 correspond au périphérique loop, il est possible de choisir loop1, loop2… enfin on trouve le fichier précédemment créé.
  • Il reste à formater la partition :
    mkfs -t ext2 /dev/loop0
  • Enfin, la partition peut être montée comme n’importe quelle autre à l’aide de mount :
    mount -t ext2 /dev/loop0 mnt/

Cette solution fonctionne parfaitement, toutefois, en cas de saisie d’un mot de passe erroné, le système à tendence à bloquer n’arrivant pas à monter la partition. Des options permettent sans doute d’eviter cela… si vous le connaissez, donnez-les mois ;o).
Petite remarque enfin, n’oubliez pas de monter le module loop_fish2

Mots de passe, attaque brute force, sécurité

Posted on by
Reply

A la question votre mot de passe est-il sûr, la réponse est … vérifiez-donc !

Je me posais cette question depuis quelque temps ce qui est l’occasion de faire un petit article sur la chose. La recherche de mots de passe ne se déroule pas comme dans les films, en testant sur le site tous les mots de passe possible ; on ne trouve pas non plus les digit un à un ; effet cinématographique mais mathématiquement idiot …
La recherche de mots-de-passe est généralement possible à partir du moment où celui qui veut le cracker va le posséder. Pas évident me direz-vous mais combien t’entre nous utilisent le même password pour la maison, le travail, l’internet… autant d’opportunités pour un pirate éventuel de se le procurer. D’où la première règle : à son environnement son propre mot-de-passe ; ou en posséder plusieurs par classe de sécurité.

Bref obtenir des passwords n’est pas très compliqué, toutefois, ceux-ci sont cryptés selon des méthodes non réversibles, c’est à dire qu’il ne sera pas possible de décrypter le mot de passe lu. Par ailleurs, la version cryptée ne permet pas de présager du nombre de lettres ni du type de lettres. Le décryptage se fait donc par comparaison, il suffit donc d’essayer toutes les combinaisons possibles, de les crypter et de comparer le résultat obtenu avec celui recherché. Si les deux chaines cryptées sont identique le mot-de-passe courant sera le bon. Simple donc !

C’est là que les math entre en jeu. Combien de temps faut-il pour trouver la chaîne initiale ? Tout celà dépend du nombre de combinaisons possibles, lors d’une attaque brutale c’est le nombre de [caractères différents] à la puissance [nombre de caractères de la chaîne]. Le temps est donc fonction de la taille de la chaine et des caractères utilisés. Voici quelques exemples :

Sur un Athlon XP 2400@1.5GHz :
Chaine numérique pure :

  • 7 digits : 5 secondes
  • 8 digits : 1 minute

Chaine alphabétique en minuscules:

  • 6 digits : 6 secondes
  • 7 digits : 2 minutes
  • 8 digits : 14 minutes

Chaine alpha_num minuscules/majuscules:

  • 4 digits : 7 secondes
  • 5 digits : 8 minutes
  • 6 digits : 84 minutes

Chaine tous caractères:

  • 4 digits : 38 secondes
  • 5 digits : 1 heure
  • 6 digits : 100 heures

Suivant ses résultats, je tire deux conclusion, l’usage de chaines composée d’une maj, d’un symbol spécial suffit pour obliger l’usage d’une recherche tous caractères et c’est dans ce cas que les performances sont vraiment amoindries. Car la logique veut que l’attaquant essayes les combinaisons les plus simples en premier avant le mode tout caractère vu l’ecart significatif dans les temps de traitement.
La seconde conclusion concerne la taille, il est evident qu’une chaîne avec une longueur inférieur à 5 est une pure folie !

Suis-je alors sauvé si mon mot de passe fait plus de 8 digits ?
Et bien non, tout simplement car l’usage veut que l’on utilise des mots de passe simplement mémorisable, souvent nom, prenoms, date de naissance, nom commun… Cet usage est facilement compréhensible, la mémoire humaine ayant ses liminites. Les outils de recherche ont donc pris en compte cet aspect de la nature humaine et utilisent des dictionnaires. C’est une simple liste de mots communs qui servira de référence : plutot que de chercher parmi toutes les chaînes, cherchons parmi celles que notre mémoire nous conduira à favoriser. Le programme sera capable de composer des variantes classiques à partir de cette liste : ajout de majuscules, chiffres, caractères spéciaux. Alors, combien de temps faut-il pour trouver un mot de passe commun ?

Sur un Athlon XP 2400@1.5GHz, avec un dictionnaire de 237000 mots français et des règles de transformation standard, comptez moins de 5 minutes pour tester toutes les possibilités.

Et ce, bien sure, quelque soit la taille de la chaîne choisie. Cette méthode étant la plus efficasse, c’est la principale utilisée.

Donc, que va faire (logiquement) un pirate qui souhaitera connaitre votre mdp ?

  • 1. Lancer une attaque par dictionnaire
  • 2. Lancer une attaque par date (8 digits)
  • 3. Lancer une attaque alpha lower (7 digits)<.LI>
  • 4. Lancer une attaque alpha upper (7 digits).
  • 5. Lancer une attaque alpha (5 digits)

Un pirate qui ne vous en veut pas particulièrement à vous devrait grosso-modo s’en arrêter là car il trouvera sans doute 30 à 40% de mots de passe en suivant ces règles. Et ce dans un temps d’environ 10 minutes. Pour éviter ce genre d’attaque, les règles pour choisir un bon mot de passe sont donc les suivantes :

  • Utiliser au moins 1 digit + 1 symbol spécial + 1 majuscule.
  • Utliser une logueur d’au moins 8 caractères
  • Banir les mots usuels

Alors comment avec celà tourver un mot qui soit mémorisable facilement … Je vous propose une solution simple : utiliser la phonétique choisissons par exemple le prénom paulcomme base :

  • Ne pas le trouver dans le dico : pol
  • Augmenter la taille et complexifier : pPoOlL
  • Ajouter des carcatères spéciaux : [pPoOlL]

Voila 8 digit plutot simple à mémoriser surtout si le mot de base est familier. Pour augmenter la taille il suffit de choisir un mot plus long. Votre cerveau doit alors mémoriser la méthode et non le mot-de-passe en lui même.

Si maintenant vous devez vous protéger de quelqu’un qui cherche à vous ataquer personnellement, le choix du mot de passe est plus compliqué, mais basé sur le même principe, toutefois, il y a des règles supplémentaires à prendre en compte tout d’abord imaginez : le temps qu’il pourra y consacrer et ses ressources : s’il me faut 100h pour trouver un mot quelconque de 6 caractères, ce calcul peut etre très simplement distribué permettant de transfomer ces 100h en 100 fois 1 heure en utilisant 100 machines… Par rapport à celà, vous devez donc prévoir de modifier votre mot de passe au moins 1 fois dans ce temps de calcul qui dépend donc des ressources du pirate. Si vous ne le changez que tous les mois, il aura un mois pour calculer. A partir de là, 8 digits quelconque est à peine fiable ; 10 ou 12 semblent être une meilleure solution. Reprenons un exemple simple à mémoriser : vacances devient : [vVaAcCaAnNcCeEsS] avec 18 caractères ; plutot simple à retenir non ?!?

Face à celà, vous n’etes cependant pas à l’abrit, la dernière methode employable et l’analyse sociale : si vous utilisez la méthode ci-dessus, votre mot-de-passe ne vaudra rien : étant publié, il peut être employé comme motif dans une attaque par dictionnaire. Plus généralement, si vous passez ou avez reçu des consignes dans votre entreprise pour la création de mot-de-passe, il suffira au pirate de se renseigner sur ces consignes, les exemples donnés pour appuyer sa recherche. Bref, la methode de construction étant la clef, elle doit vous être propre. L’avantage ensuite et que vous pouvez changer le mot chaque mois sans changer la methode… par éxemple : janvier2006 devient *janvieR!2006, simple et correct ; adaptable chaque mois.

Les erreurs à ne pas commettre :

  • Les mots-de-passe aléatoires qui finissent sur un post-it sous le clavier
  • Le donner à qui que ce soit : la méthode (clef du mot-de-passe) devient publique
  • Ne pas diffuser un mot de passe critique sur un autre média que celui pour lequel il est prévu : ne pas utiliser le mdp du travail pour s’inscrire sur un site Internet : c’est rendre public le mot de passe ET la methode

Bref, il faut des methodes différentes selon les contextes. Ensuite, il existe des tas d’autre façon de générer/utiliser de très long mots de passe : biometrie ou classeur de mdp sur carte à puce …

Pour finir, vous pouvez tester vous même la fiabilité du mot-de-passe choisi avec des outils comme John-The-Ripper (JTR) avec ou sans KMD5, unhash … facilement téléchargeables sur internet, dictionnaires y compris.

Kézako l’Ajax ?

Posted on by
Reply

Non ! Ajax n’est ni un nouveau produit révolutionnaires permettant de nétoyer votre navigateur Ouaib en un clin d’oeil, ni la nouvelle cyber-équipe de foot d’Amsterdam …

C’est en fait beaucoup mieux que tout cela réuni ! Ajax est une méthode permettant de développer des interface Ouaib interactive sans qu’il soit nécessaire de recharger entièrement la page. Cette méthode est basée sur l’usage de la commande Javascript XMLHttpRequest qui permet aux navigateurs de soumettre et recevoir des données depuis le serveur. Les échanges sont généralement effectués en XML. Les données sont traitées par des Javascripts qui s’exécutent sur le client, en tâche de fond. Les échanges sont asynchrones : il est possible de rafraichir plusieurs partie distinctes d’une page Web sans se soucier de l’ensemble.

Ajax cache sous son doux nom l’acronyme Asynchronous Javascript And Xml. Bien que cette technologie soit très nouvelle, elle emploie des techniques anciennes déjà éprouvées : la méthode XMLHttpRequest date de plusieurs années et les JavaScripts remontent aux premières heures de l’Internet. L’usage très fort des CSS (feuilles de style) s’est lui aussi démocratisé.

L’usage conjoint de ses 3 technologies permet la réalisation de site Web permettant la manipulation dynamique d’objets comme des fenêtres, les listes, des tableaux, des arbres… rafraichis dynamiquement,  l’ergonomie d’un client lourd peut être ainsi recrée sur une application en ligne.

Ajax or not Ajax ?

Posted on by
Reply

Celà fait plusieurs jours que je voulais écrire un post à ce propos. Après la lecture de cet article et différentes remarques que l’on m’a faites, je souhaite donner mon opinion.

Rappelons brièvement les faits. L’utilisation des technologies Ajax apporte son lot de bonnes choses mais aussi les inconvénients qui vont avec. Essayons de faire la synthèse de tout ça.

Nous avons vu qu’Ajax permet l’appel de code distant, et la récupération de valeurs permettant leur affichage sans rechargement de page et ceci à l’aide de javascript. Le premier soucis qui pointe le bout de son nez est bien sûr l’utilisation de javascript. Il y aurait 78% de navigateurs compatibles avec Ajax ce qui est toutefois pas mal. Cependant au niveau accessibilité l’utilisation abusive de javascript est plus que dangereuse. Une personne non voyante ne pourra pas accéder à une information affichée suite à un appel javascript. Or je tiens beaucoup à l’accessibilité des sites web.

Pourquoi prôner Ajax alors ? Je pense que cette technologie a de nombreux mérites. Là aussi on l’utilise parfois à des fins qui ne sont pas très utiles. Ergonomiquement parlant, il est souvent aussi pratique de charger une autre page plutôt que d’avoir l’information directement. De plus les moteurs de recherche ne sont pas du tout friands de javascript. Malgré tous les points négatifs dont je viens de faire part, je reste convaincu qu’Ajax a de l’avenir. Avez-vous testé le service Meeboo ? Il vous permet de vous connecter à la plupart des messageries instantanées avec un client Web superbe. Voilà une application où Ajax a de l’intérêt par exemple.

Mes convictions personnelles sont donc l’utilisation de cette technologie à des endroits bien particuliers d’un site Internet. La partie administration ( Backoffice ) est très souvent simplifiée grâce à ce genre d’outils. Ajax offre aussi l’opportunité de créer des applications au sein d’un site et c’est une autre de ses grandes qualités.

Pour conclure je dirais donc que la navigation sur un site public doit rester ergonomique, simple et accessible mais qu’il ne faut pas oublier Ajax pour la création d’une application WEB poussée ou la gestion du backoffice.