Publié le

NoCode : ou la promotion de l’illettrisme numérique

Sur Internet, on voit régulièrement débouler une personne avec un « concept disruptif kivatoutniker® » : le cloud quantique, MultiDeskOS, Phoenix… et le nouveau cyberbidule digital du jour c’est le NoCode. Alors rassurez-vous car comme souvent, il n’y a rien de bien nouveau, en dehors du business model et de la communication qui elle non plus n’est pas bien neuve mais tellement biaisée qu’il me paraît intéressant de vous en parler.

NoCode ?

Je connais ! c’est un super album (à la fin de ce billet)… Ah non, c’est sur le JDN, ça doit pas causer grattes… allons lire. Après quelques minutes de méditation en position de l’hirondelle et un grand verre d’eau, discutons-en.

C’est l’histoire d’un BTTWTF

Kitetoa appelait ça le BTTF (back to the futur), mais là nous sommes plutôt face à un Back To The What The Fuck… Ce qui est ici qualifié de « NoCode » c’est en fait un générateur de code comme le fait Eclipse en Java… On fait un joli diagramme UML, puis on le donne à manger à Eclipse et paff … un fart in .jar. Parce que c’est tout simplement inutilisable en production, c’est buggué, le code est laid etc… Spoiler alert : avec les copains d’Emencia on avait fait un truc du genre, ça s’appelait Zwook et ça se cantonnait à générer un code html relativement propre avec lequel vous pouviez générer vos templates à la souris. Pour l’époque, il y avait de l’artillerie lourde sous le capot (le serveur applicatif Zope et sa base de données transactionnelle). Il s’agissait évidemment d’un outil libre et opensource… et ça c’était il y a 20 ans. Il subsiste une communauté qui le fait vivre chez nos amis suisses de ZwookEdu que j’en profite pour saluer au passage. Le NoCode, c’est donc un buzzword qui décrit le mythe du « tu cliques, ça compile et c’est bon pour la prod ». Bref, du déjà vu depuis au moins 20 ans.

Autant vous dire que j’ai eu un petit sourire en coin quand j’ai commencé à gratter sur cet article, qui présente toutes les caractéristiques d’un infomercial ne portant pas son nom. Je veux bien croire à la bonne foi du Journal du Net quand ils m’ont confirmé que tout le monde pouvait écrire un article chez eux et qu’ils ne prenaient rien pour cet espace publicitaire extraordinaire qu’est ce site quand on a un truc à vendre.

Il est relativement aisé quand a une petite culture Internet, n’en déplaise à ce monsieur qui déclare quand même qu’il codait avant que je sois né, puis de me traiter de lâche anonyme (confondant au passage les notions de pseudonymat et d’anonymat… cours de rattrapage), de reconnaitre le discours du marketeux qui vient expliquer sans trembler des genoux qu’il n’est plus la peine de coder, puisque vous savez quoi … il a la solution (ça tombe quand même rudement bien).

You did it wrong!

J’ai bien entendu proposé de m’entretenir avec lui par téléphone en lui communiquant mon numéro, il a assez naturellement rejeté mon invitation préférant poursuivre son argumentation lunaire en public. Vu que je n’ai pas la patience de reprendre tout ses tweets un par un et afin de vous présenter un résumé plus lisible que de multiples threads, c’est finalement ici que je vais vous donner ce qui n’est que mon modeste sentiment.

Le monsieur présente bien, col roulé noir d’inspiration Steeve Jobs, on lui donnerait le bon dieu sans confession. Il semble relativement peu connu dans la tech mais comme le monde est très petit, nous avons par rebond des connaissances en commun qui se sont empressées de confirmer mon premier à priori.

Nous sommes donc ici sur une solution propriétaire, en SaaS (que vous ne pouvez pas installer chez vous)… c’est à dire une boite noire : le truc que n’importe quel DSI digne de ce nom fuirait. Mais comme il faut bien la vendre, on se cherche un espace promotionnel, en évitant soigneusement de se présenter. On croirait naïvement à une véritable révolution, vous rendez-vous compte, il existe un truc, le NoCode… qui va tuer le DevOps tellement c’est super.

Comme vous devez vous en douter, avec ce type de solution, ça ne doit pas se bousculer au portillon. En 2022, ça devient dur de faire croire à un décideur qu’utiliser un générateur de code va produire quelque chose de maintenable, sécurisé, performant et scalable, quatre préoccupations centrales quand on lance un projet. Ce genre de solutions sont à peine bonnes à faire du prototypage rapide.

Qu’à cela ne tienne, on va créer une académie et attaquer le marché de l’éducation nationale… et c’est à ce moment précis qu’on entre dans le charlatanisme numérique.

« Non, nos enfants ne seront pas codeurs mais « no codeurs »… rien qu’à la lecture du titre, on se dit qu’on est pas dans la merde si cette prédiction s’avère exacte. À l’heure ou de nombreuses entreprises ont du mal à trouver des compétences, on sent que ce calcul est un peu hasardeux, pour ne pas dire dangereux.

On enfonce aussitôt le clou « sauf que l’urgence n’est plus à la formation au code mais au no code. ». Rien qu’à ce stade de l’article, je ne vois pas par quel procédé intellectuel honnête, on peut déclarer sans trembler des genoux qu’il est urgent que nos enfants soient e-gnares. Que seraient nos philosophes si on avait décidé qu’il était urgent qu’ils soient formés au NoAlphabet ? Nous serions passés du siècle des lumières à celui de la lumière à pas tous les étages… ni plus ni moins.

On enchaine ensuite en citant Steeve Jobs (oh quelle surprise !), pour en conclure qu’apprendre le code c’était bien en 1984, mais plus en 2022… vous devinez pourquoi ? Et bien parce qu’il y a maintenant le NoCode, une révolution !

« car une nouvelle révolution a pointé le bout de son nez : le no code.  »

On passe maintenant à l’argument « scientifique » et on troc le col roulé noir pour la blouse blanche : figurez-vous qu’on forcerait nos enfants à une « alphabétisation numérique » et que ceci aurait de graves conséquences sur leur développement. Le code leur gaverait tellement le crâne que ces derniers n’auraient plus assez de RAM pour apprendre d’autres formes d’art ou des langues étrangères, et pire, nous dégoûterions nos enfants de l’informatique. Cette affirmation ne se fonde évidemment sur absolument aucune étude, on navigue au mieux au doigt mouillé… au pire, on affirme n’importe quoi qui puisse servir un discours plus marketing qu’il ne s’en donne l’air.

On enchaine ensuite sur cet exemple qui devrait terroriser tous les parents et les dissuader de dispenser un enseignement informatique à leurs enfants : Eliott Anderson, le héro du Mr Robot, surdoué du code mais complètement sociopathe, et drogué. Qui voudrait d’un enfant comme ça ? Il devient naturellement urgent de faire du … NoCode (ça va vous suivez).

« Celui d’avoir sacrifié sa vie à l’apprentissage du code, au détriment de tout ce qui l’entoure »

La réalité, c’est que pour l’immense majorité des développeurs, le code est un élément de sociabilisation, un vecteur d’échange avec le monde.

« Les futurs entrepreneurs de demain seront tous no codeurs, pas codeurs »

Et bien on est pas dans la merde si cette punchline devient réalité… Mais voilà, le monsieur en est convaincu, les entrepreneurs de demain qui créeront nos pépites numériques seront des NoCodeurs, c’est certain. Et ils utiliseront évidement son bidule propriétaire en SaaS chez AWS (FrenchTech quand tu nous tiens), vu qu’ils ne sauront même pas faire la différence entre le local et le remote.

Est ensuite mise en avant la seule chose pour lequel le NoCode serait éventuellement utile, le PoC… il faut aller vite. On revient donc au discours marketing, car oui on voyage beaucoup dans cet article. Et alors attention celle-ci elle est magique :

« Afin de pallier (à) leur manque de connaissance ou de développeurs recrutés pour sortir un PoC ou un MVP dans le time to market« 

Là c’est quand même bien tordu d’oser poser le constat du manque de développeurs pour en conclure qu’il faut former des « no codeurs ». C’est bien connu, quand on crève de chaud, on enfile des Moonboots et des mouffles.

Qu’en est-il du coût ? Pas d’inquiétude, là encore le No Code… c’est beaucoup moins cher.

« n’importe quel entrepreneur avancera plus vite et pour moins cher dans ses projets« 

On oublie juste de vous signaler que ce qu’on vous propose ici, c’est de payer quelque chose qui ne vous dispensera pas de payer de vrais développeurs quand il faudra un truc sérieux qui ira en production.

« No code = temps gagné + économies »

Là, l’équation est tout simplement mensongère puisqu’il manque quelques variables (vous vous souvenez : maintenabilité, performance, sécurité, scalabilité…) et bien le résultat c’est que ça vous coûtera un rein de refactorer le code généré par une boîte noire propriétaire. C’est un coup à tuer votre projet prématurément, grâce au NoCode.

Je passe sur le discours « c’est magique ça marche avec tous les secteurs d’activité tellement c’est bien« , mais je suis plutôt tenté de croire que non, on ne design pas une application lourde complexe, haute disponibilité, performante et sécurisée avec ce genre de solutions. Un code auto-généré est tout sauf performant, puisqu’il n’est par définition pas optimisé.

« No code + Idée géniale = Produit révolutionnaire »

Oui, le NoCode, c’est comme le référencement sur Internet, il faut s’en remettre à la magie et faire une confiance aveugle à son marabout, c’est comme ça qu’un projet cartonne.

La preuve…

On a ensuite un petit instant de répit :

« Bien entendu, nous aurons toujours besoin de développeurs traditionnels. »

Ouf, nous voilà rassurés, nous aurons donc toujours besoin de développeurs à l’ancienne, « des qui savent lire » le code imbitable généré par une boîte noire et l’esprit torturé d’une personne qui n’a aucune notion d’algo mais qui va conquérir le monde avec sa startup.

On repart ensuite chez madame Irma en citant le Gartner Group :

« Mais selon Gartner, d’ici quatre ans, 80% des applications créées le seront en no code. « 

Si Gartner le dit… sauf que je ne trouve pas où ils racontent ça. Il y a bien ce papier qui explique qu’il y a eu une croissance en 2021 de l’utilisation du LowCode (et non NoCode, la différence est subtile mais elle a son importance.. puisqu’elle implique tout de même des développeurs). Bref si vous me trouvez la référence de ce chiffre de 80% qui me semble tout droit sorti du chapeau, je suis preneur.

« Ces outils sont des alternatives indispensables et demandées par les entreprises innovantes et celles qui souhaitent se digitaliser. »

Une entreprise qui souhaite se « digitaliser », je ne sais pas si c’est douloureux. Mais quand on se rend compte qu’on est en train de nous vendre une NoCode Academy pour nos enfants, c’est un coup à me décider à les déscolariser.

La conclusion remet une petite couche d’émotionnel pour nos pauvres petits enfants qui risquent de passer à côté de cette chance offerte d’apprendre le Nocode (c’est à dire apprendre à ne surtout pas apprendre le code)… et à aucun moment l’auteur ne daigne révéler sa qualité… celle d’un startupper venu vendre sa NoCode Academy.

Bravo l’artiste !

Ce billet a été rédigé en écoutant ce superbe album de Pearl Jam, intitulé… No Code, le seul No Code que je vous recommanderais chaudement.

Publié le

Fuite de données chez Pôle Emploi : la base de données n’aurait finalement pas été vendue

Ce n’est certainement pas l’épilogue, mais c’est une bonne nouvelle si l’on en croit le dernier post de l’auteur de la mise en ligne et de la mise en vente d’une base de données de 1,2 millions de demandeurs d’emploi : cette base avait été retirée assez rapidement du forum où elle était en vente n’aurait pas été revendue.


Il explique dans un post daté d’hier avoir reçu pas mal de sollicitations et qu’on lui aurait expliqué d’où provenait cette base de données,. Ainsi, par empathie, il aurait finalement décidé de la retirer. Il en profite pour dénoncer le traitement médiatique spéculatif (et j’aurais moi même d’ailleurs à en redire puisque j’ai pu lire dans quelques média en ligne des citations de phrases que je n’ai jamais prononcé). Il en remet une couche en expliquant qu’il exploite des trous assez triviaux. Un post qui démonte totalement les absurdités que j’ai pu lire à droite à gauche sur une attaque supply chain par exemple, puisque si c’est Pôle Emploi… too big to fail… c’est forcément un tiers.

J’en profite au passage : Non Le Monde Informatique je n’ai jamais dit que l’auteur avait préalablement vendu une base de données d’une chaîne de supermarchés vietnamienne, vous me l’avez appris en me prêtant ces propos, sauf qu’ils ne sont pas de moi (et d’ailleurs mon nom c’est LAURELLI sans e à la fin), et il ne me semble même pas avoir échangé avec vous.

Et non, rien dans ce que j’ai vu ne peut faire penser à l’instant à une attaque supply chain… pas plus que du scrapping … la vérité, c’est que toute explication sur le comment, c’est de la spéculation.
A moins d’avoir des éléments concrets à analyser, ou qu’on nous autorise à pentester la plateforme et sa myriade de sous domaines pour trouver une ou plusieurs portes d’entrées… ça restera un mystère et pôle emploi se sentira légitime à ne pas communiquer sur le fait qu’il s’est fait déboîter…. dormez tranquilles, tout va bien on s’occupe de tout.

Ce n’est pas l’épilogue donc, car une enquête interne est en cours chez Pôle Emploi et que l’ANSSI va probablement elle aussi mettre son nez dedans, comme c’est souvent le cas quand il s’agit de défendre les OIV… Et ne nous réjouissons pas tout de suite, car s’il y a eu exfiltration de données, c’est que le trou est probablement toujours là.
Ce trou c’est probablement plus une bête injection SQL, ou une configuration trop permissive, qu’un truc super élaboré ou un scrapping sur 6 mois à aspirer le web pour tout reformater convenablement et le revendre 1000$. C’est d’ailleurs ce que l’auteur semble lui-même dire en parlant d’exploitation d’erreurs de programmation triviales.

Enfin sans avoir à pentester le frontal de pôle emploi, il suffit d’afficher le source de la home ou de la page d’authentification pour se dire qu’il y a forcément 2 ou 3 choses, qui sont perfectibles… comme des calls sur des urls en .intra sans https…

Publié le

Debian Bullseye RC1 et Lenovo X1 Carbon Gen9 installation et prise en main

Debian Bullseye RC1 with Mate

Après trop d’années au quotidien sur Mac, exception faite de mon desktop, un petit mediacenter sur Debian et d’une ParrotSec sur un autre Laptop pour le pentest, j’avais jusque là quelques réticences à travailler au quotidien sur un laptop sous Linux.
Mes expériences passées (sur des modèles assez cheap il faut l’avouer), m’avaient plutôt refroidit… Des Asus pour ne pas les nommer : claviers et pads horribles, une ergonomie à rendre fou, châssis en carton, une compatibilité plus que limite (recompiler un noyau pour avoir les 4h d’autonomie très théoriques par exemple), j’ai été plutôt déçu par ces expériences sur laptop, jamais sur Desktop… le problème était strictement matériel.

Macbook ou Lenovo X1 ?

J’aime beaucoup avoir de l’autonomie et je confesse m’être habitué à l’ergonomie Apple ces 15 dernières années… et je parle du hardware car l’OS lui même m’a rendu fou plus d’une fois.
Bien que les nouveaux mac équipés du M1 puissent en coller une demie molle à tout geek, les derniers CVE de Big Sur m’ont pas mal refroidi. C’est le marketing d’Apple qui a terminé de me convaincre notamment avec le chip d’IA qui apprend plus vite qu’un enfant de 5 ans. Un nouveau truc propriétaire, une nouvelle boite noire, qui traite mes données alors que ne lui demande rien et dont je n’ai pas besoin, vendu comme une révolution, je trouve ça suspect…. donc non merci.

Me voici comme mes collègues ours de Bearstech passé chez Lenovo avec ce X1 Carbon de 9e génération

Unboxing et choix (évident) de distro

C’est beau, très qualitatif, le nez rouge au milieu du clavier rappelle évidemment la nostalgie des Thinkpad IBM du 20e siècle. C’est léger, avec une bonne connectique mais pas folle (un slot SD ça aurait été cool), le clavier est agréable et il a même un slot pour une puce 4G. Le revêtement est super agréable au touché (c’est important quand on passe la journée dessus), mais on notera qu’il a une tendance à marquer un peu, pensez donc à vous laver les mains après la pizza. Pour le reste de la review design, vous trouverez ça sur d’autres sites, ce n’est pas ce qui nous intéresse ici.

Le bouzin m’a été livré avec Windows 10 (pas taper, sinon c’est plus de 6 semaines de délai actuellement pour en obtenir un préinstallé avec un Linux). Ce Windows servira donc à télécharger un iso tout chaud Debian (le full ou une netinstall, peu importe), strictement à rien d’autre, éventuellement flasher une clé USB avec notre iso mais même ça, j’avoue avoir transpiré devant l’écran.

Show me your kungfu

Je vous évite tout de suite la bêtise à ne pas faire, ne téléchargez pas la Buster, soyez joueur, allez directement sur une Bullseye RC1 (il y a une raison à cette recommandation d’opter pour une Debian testing au lieu de la stable… on va y revenir). Et comme vous le savez, une RC, ce n’est plus une alpha ni une beta mais comme son nom l’indique, une Release Candidate, première du nom à l’heure où ces lignes sont écrites… on en est pas encore au freeze mais ça commence à sentir bon pour Debian 11.

Premier truc un peu moyen, quand on est habitué aux bios du 20e siècle, l’accès à l’UEFI est un peu « pain in the ass » pour arriver au bootmenu, par ailleurs très bien fourni… ce Lenovo doit même pouvoir booter à partir d’un allume cigare. Notez au passage que la documentation en ligne chez Lenovo est bien fichue, on trouve ce qu’on cherche très rapidement, et il y a quelques fabricants qui devraient s’en inspirer.

Seconde déconvenue, celle ci bien plus gênante si vous ne m’avez pas écouté et que vous avez quand même téléchargé une Buster, le wifi ne va pas fonctionner… il faut le kernel qui va bien, et le « kivabien », c’est un 5.1 ou supérieur. Et oui ce X1 Carbon embarque un chipset Wifi 6 (ax pour les intimes), il s’agit d’une carte Intel avec un driver propriétaire… évidemment. Il s’agit de iwlwifi, non proposé sur Bullseye mais disponible sur Debian Sid. Il vous suffira de le télécharger et le donner à manger à l’installation sur un support amovible ou même à la racine de votre média d’installation.

# dmesg |grep wifi
[ 17.922988] iwlwifi 0000:00:14.3: enabling device (0000 -> 0002)
[ 17.927652] iwlwifi 0000:00:14.3: firmware: direct-loading firmware iwlwifi-QuZ-a0-hr-b0-59.ucode
[ 17.927660] iwlwifi 0000:00:14.3: api flags index 2 larger than supported by driver
[ 17.927669] iwlwifi 0000:00:14.3: TLV_FW_FSEQ_VERSION: FSEQ Version: 65.3.35.22
[ 17.927885] iwlwifi 0000:00:14.3: loaded firmware version 59.601f3a66.0 QuZ-a0-hr-b0-59.ucode op_mode iwlmvm
[ 17.927898] iwlwifi 0000:00:14.3: firmware: failed to load iwl-debug-yoyo.bin (-2)
[ 18.322009] iwlwifi 0000:00:14.3: Detected Intel(R) Wi-Fi 6 AX201 160MHz, REV=0x354
[ 18.517297] iwlwifi 0000:00:14.3: base HW address: 28:d0:ea:cc:1e:4c
[ 18.710678] iwlwifi 0000:00:14.3 wlp0s20f3: renamed from wlan0

Une fois le firmware en place, l’installer vous demandera aussi iwl-debug-yoyo.bin que je n’ai pas pris soin d’installer, il n’est pas vital à ce stade, vous pourrez aisément poursuivre l’installation sans.

Oops c’est pété


J’avais déjà vécu ça avec la testing de Sarge, l’installeur graphique était cassé au moment où j’ai fait cette installation (c’est assez commun sur une pré-version). Ici le symptôme c’est que la copie des fichiers du système de base échoue alors que le média est parfaitement correct. Il faut donc choisir l’installation en mode expert, mais pas de panique, avec l’installeur Debian, tout le monde est expert, vous vous en sortirez aisément… et si vous avez un doute, validez le choix par défaut.

Lors du choix des miroirs, attention http://ftp.fr.debian.org/debian/ est cassé : la récupération des packages casse vers la fin et pourtant, pas d’extravagance dans le choix de base des packages, j’ai laissé Gnome pour voir comment il a pu aussi mal tourner, mais j’ai choisis Mate (un fork de Gnome 2), et sshd… rien d’autre à ce stade, on bidouillera des trucs par la suite. Choisissez un autre miroir, celui de Proxad est passé crème chez moi.

Allo Houston ? On ne vous entend pas

Post installation, on se sent à la maison… sauf pour le son. Il y a plus de sons qui arrivent de Mars qu’il n’en sort de ce laptop. Le coupable, c’est encore un driver propriétaire Intel, mais ça ne nous empêchera pas dans un premier temps de pointer du doigt pulseaudio que l’on aime toujours détester, un peu comme systemd. Mais pas de panique.

# dmesg | grep -i audio
[ 0.296422] ACPI: Added _OSI(Linux-Lenovo-NV-HDMI-Audio)
[ 18.065371] sof-audio-pci 0000:00:1f.3: DSP detected with PCI class/subclass/prog-if info 0x040380
[ 18.065390] sof-audio-pci 0000:00:1f.3: Digital mics found on Skylake+ platform, using SOF driver
[ 18.065645] sof-audio-pci 0000:00:1f.3: DSP detected with PCI class/subclass/prog-if 0x040380
[ 18.065772] sof-audio-pci 0000:00:1f.3: bound 0000:00:02.0 (ops i915_audio_component_bind_ops [i915])
[ 18.095371] sof-audio-pci 0000:00:1f.3: use msi interrupt mode
[ 18.181107] sof-audio-pci 0000:00:1f.3: hda codecs found, mask 5
[ 18.181109] sof-audio-pci 0000:00:1f.3: using HDA machine driver skl_hda_dsp_generic now
[ 18.181112] sof-audio-pci 0000:00:1f.3: DMICs detected in NHLT tables: 4
[ 18.181130] sof-audio-pci 0000:00:1f.3: firmware: failed to load intel/sof/sof-tgl.ri (-2)
[ 18.181166] sof-audio-pci 0000:00:1f.3: Direct firmware load for intel/sof/sof-tgl.ri failed with error -2
[ 18.181168] sof-audio-pci 0000:00:1f.3: error: request firmware intel/sof/sof-tgl.ri failed err: -2
[ 18.181197] sof-audio-pci 0000:00:1f.3: error: failed to load DSP firmware -2
[ 18.181511] sof-audio-pci 0000:00:1f.3: error: sof_probe_work failed err: -2

Maintenant que nous avons le noms du coupable, on sait quoi installer pour que ça tombe en marche :

# apt-get install firmware-sof-signed

Et voilà, le temps de découvrir un peu ce que propose cette machine et si je trouve des trucs sympas ou un peu moins sympas et que le partage de cette petite expérience peut vous être profitable, il y aura une suite.

Happy hacking…
/b/

Publié le

Pourquoi et comment les clients victimes de la boulette du Crédit Lyonnais pourraient être poursuivis par leur banque… et condamnés ?

Il y a des actualités comme ça qui font sourire, puis méditer. Les clients du Crédit Lyonnais utilisant l’application mobile ont eu la surprise d’accéder à des comptes qui n’étaient pas les leurs. Au moment où ces lignes sont écrites, on ne sait pas si l’incident est circonscrit à l’application ou s’il a impacté l’ensemble du service en ligne, la communication de la banque étant, comme il est de rigueur dans cette situation, la plus succinctement embarrassée possible.

Très rapidement, sur les réseaux sociaux, dont Twitter où j’ai découvert cette information, la nouvelle fait le tour du Net… les témoignages de clients du Crédit Lyonnais, pour le moins surpris, se multiplient. On rigole bien puisque l’impact d’une telle boulette demeure théoriquement limité, attendu qu’on ne peut pas faire un virement sans qu’une autre vérification que cette authentification « par erreur » sur le compte d’un tiers soit réalisée (par l’entremise d’un smartphone ou par le biais d’un autre dispositif… bref une authentification à facteurs multiples est nécessaire si vous voulez transférer des fonds, il me semble bien qu’il s’agit d’une norme bancaire de nos jours, mais je suis loin d’être un spécialiste du sujet).

On sent que la soirée va être longue, on peut sentir l’odeur de la sueur sous les aisselles de l’admin ou du développeur responsable du déploiement en production qui a mené à cet incident, on se prépare un énorme bucket de popcorn et on attend donc avec l’impatience d’un enfant de 6 ans devant un sapin le 24 décembre, que le Crédit Lyonnais communique.

Dramatiquement prévisible, ce communiqué tombe très, trop rapidement. Il est notamment relayé sur Twitter par BFM Business qui le relaie probablement lui aussi très… trop rapidement. Il minimise tant que faire se peut la portée de l’incident en assurant qu’il n’a concerné que quelques centaines de clients, une information invérifiable pour le moment. Le communiqué nous apporte une information plus suspecte, le Crédit Lyonnais assure qu’aucune donnée n’était nominative. En clair que les personnes qui ont accédé à des comptes qui n’étaient pas les leurs ne peuvent en aucun cas identifier les propriétaires légitimes de ces comptes. N’étant moi-même pas client de cette banque, je ne vais pas m’aventurer à expliquer qu’il doit probablement y avoir un moyen de lever cet anonymat relatif, mais des témoignages, toujours sur les réseaux sociaux semblent indiquer le contraire. Peut-être pas simplement pour le propriétaire du compte courant (et des comptes épargne … vous me voyez venir), mais probablement plus simplement pour les bénéficiaires de virements, qu’il faut généralement déclarer et autoriser de manière formelle.

Là où l’histoire devient moins drôle maintenant, c’est que selon l’arrêt de la cours d’appel de Paris du 5 février 2014, dit « Affaire Bluetouff », les clients du Crédit Lyonnais qui ont accédé à des comptes qui n’étaient pas les leurs, et qui se sont baladés sur l’application après avoir compris qu’il y avait quelque chose d’anormal, qui se sont rendus sur ces pages de comptes épargne par exemple, ou pire qui ont exporté des données bancaires en PDF qui n’étaient pas les leurs… se sont rendus coupables de maintien frauduleux dans un système d’information, et en cas d’export de ces données… de vol de données, données fixées sur plusieurs supports dont certains librement accessibles au public, c’est à dire de diffusion de ces données à caractère personnel !

J’invite maintenant tous les juristes qui ont largement commenté cet arrêt avec des analogies foireuses de maison avec des fenêtres, des murs et d’autres bidules dedans, à méditer l’impact de ce même arrêt avec ce cas bien concret…

À votre avis, si le Crédit Lyonnais venait à déposer une plainte contre x, qu’arriverait-il aux clients à la fois victimes et coupables qui :

  • ont accédé sans intrusion à un STAD en pensant accéder à leur espace ;
  • se sont maintenus frauduleusement sur des comptes qu’ils savaient ne pas être les leurs ;
  • ont volé des données en les exportant ou en prenant des captures d’écran qu’ils ont ensuite diffusé publiquement (même caviardées) ;
  • ont donné l’alerte sur les réseaux sociaux… ?

Question subsidiaire : que risque le Crédit Lyonnais (en vrai) ?

Bisous et bonne nuit.

/b/

Publié le

Dans la tête d’un Apple Fan Boy, et de l’inutilité de chercher à argumenter

Il y a quelques temps maintenant, j’ai blasphémé. J’ai osé émettre un commentaire sur l'(in)utilité d’investir 1200 euros dans un smartphone. Vous devinez probablement lequel. Je vais avoir la courtoisie de ne pas vous embarquer dans une lecture trop longue en vous le confirmant : oui c’est un énième troll Android vs Apple. Tout est parti d’un post d’un pote sur un réseau social bien connu (NB : le thread a été supprimé). Venant du monde Android, il est passé sur un iPhone X. Les 12 premières vagues d’Apple fan boys (AFB) le félicitant passées, ivre, je poste un avis un peu plus critique sur Facebook (oui, j’ai blasphémé, par deux fois et j’expie). Cet avis, que j’ai eu le malheur d’argumenter un peu, se résumait en 3 points :

  • l’obsolescence programmée ;
  • la confidentialité douteuse ;
  • la fermeture.

Bref, on a un truc dont on peut parfois sortir, on y perd son intimité, c’est fermé et cher… à vue de nez, on parlerait presque d’une cellule pénitentiaire au tarif horaire d’une suite impériale au Ritz.

De l’obsolescence programmée

Mon postula est de partir du fait que l’on garde en moyenne un téléphone entre 2 et 3 ans⁽¹⁾, ce qui en fait donc un bien de consommation, jetable (ou recyclable). Qu’il s’agisse d’un téléphone coréen, (ex. un Samsung à 800 euros), chinois (de la marque que vous voulez, basé sur un chip Mediatek, Qualcomm ou un Kirin de Huawei plus ou moins récent) à moins de 300 euros, ou re chinois à 1200 euros mais avec une pomme « designed in the US » dessus. L’un des participants à la conversation, utilisateur d’iPhone convaincu, confesse lui même dans l’un des commentaires qu’il change d’iPhone tous les deux ans et qu’il revend son smartphone à 50% de son prix d’achat. Il existe plusieurs facteurs pouvant expliquer cette durée de vie relativement courte (ne vous souvenez vous pas avoir conservé votre Nokia 3310 4 ou 5 ans ?) :

  • Un smartphone est plus fragile que nos anciens GSM (écrans plus grand, composants internes plus nombreux, plus petits et donc globalement plus fragiles) ;
  • le smartphone est devenu un objet hype (presque) sans distinction d’âge, que nous avons intégré dans notre quotidien, et comme tout doudou numérique accessoire de mode, on est souvent facilement tenté d’en changer. J’ai même eu vent de personnes capables de faire la queue pendant des dizaines d’heures devant un pomme’store pour être le premier à tenir le Saint Graal entre ses mains. Une curieuse pratique que l’on ne retrouve pas (encore) dans le monde Android… faire la queue pendant des heures pour se faire soulager de 1200 euros, seul Apple y parvient.
  • on ne va pas se le cacher, ce qui tire par le haut le « besoin » de ressources en terme de puissance CPU, GPU ou de RAM, ce n’est pas le fil d’actualité, la météo, les emails, les MMS ou passer un coup de fil à tata Jacqueline… les jeux et autres applications gourmandes en ressources (comme se transformer en caca emoji dansant), sont rarement indispensables au quotidien pour une immense majorité des utilisateurs. Que ce soit chez Google ou Apple, on aura une tendance naturelle à optimiser son OS  pour une architecture à venir, pas même encore commercialisée, peu importe si ça rame un peu sur une configuration qui a 18 mois⁽²⁾.

De la confidentialité douteuse

Un AFB vous le jurera, Google c’est le diable (jusque là on est sensiblement sur la même ligne), mais Apple ça c’est le bien, parce que Apple lui il respecte ta confidentialité, ne récupère aucune données personnelles. Évidemment, un AFB a rarement conscience de l’écosystème qui gravite autour de son jouet, notamment les développeurs d’applications qui sont eux friands de données biométriques puisque je cite « Apple n’a pas ces données et ne les partage puisque tout est stocké crypté dans mon iPhone« … ben voyons. Comme l’écrit le Washington Post, non seulement Apple accède à vos données biométriques quand vous vous transformez en caca emoji qui danse le twerk, mais en plus de ça, il les partage avec des développeur tiers.

Il existe cependant une différence notable entre les approches de Google et d’Apple. Le premier est un aspirateur à données personnelles qui est logiquement tenté d’en faire commerce et qui en tire la majeure partie de ses revenus, le second dont le core business est concentré sur le hardware et qui est en toute logique moins tenté de faire commerce de ces données personnelles, et depuis Siri, biométriques. Sauf que tout ça, c’est de la théorie. Si Google en assume la pratique, du côté d’Apple, ce sont les développeurs d’applications qui sont tentés d’exploiter ces données. Vous vous souvenez l’écosystème. Pire, ces écosystème, bien que concurrents, sont intimement liés. Et soyez en convaincus : toutes les erreurs que fait l’un, l’autre les fera (et les amplifiera)

Car oui… toi aussi utilisateur Android tu auras un jour ou l’autre un smartphone coréen ou chinois qui te transformera en caca emoji qui gigote sur ton écran, toi aussi tes données biométriques seront partagées (ou vendues) à des développeurs d’applications tierces. Et toi aussi AFB, tu te feras aspirer plein de données personnelles par Google. Ah non, pardon, ça c’est déjà le cas. Quel est le dernier iPhone n’utilisant pas au moins un service Google que vous avez croisé vous ?

Les deux stratégies, d’apparence bien distinctes, convergent miraculeusement sur un point : vos données personnelles. L’un introduit toujours « l’innovation hardware du siècle » qui va créer une brèche que son propre écosystème et que le second exploiteront. Grâce à nos deux frères « ennemis », nous arrivons à cette époque charnière où vos données de géolocalisation, de santé, biométriques, politiques ou sexuelles s’entremêlent dans les tuyaux et finissent toujours par copuler dans le cloud de l’un ou de l’autre, pour être cédées à des tiers qui les referont copuler dans un autre cloud avec d’autres données… bref ils vécurent heureux et eurent beaucoup de big data.

De la fermeture : cachez ce code libre et ouvert que je ne saurais voir, c’est pour votre sécurité

Il existe autant d’AFB que d’utilisateurs, je n’ai pas spécialement envie de rentrer dans une catégorisation insultante pour les uns et les autres, on va dire que c’est généralement un utilisateur qui n’aime pas ou n’a pas le temps d’administrer correctement et de comprendre en profondeur son système d’exploitation. Comme sur tous les OS, il y a des gens qui aiment avoir une compréhension intime de leur système, d’autres qui pensent avoir cette compréhension intime et enfin encore d’autres qui s’en cognent et qui veulent que ça fonctionne quand ils cliquent partout. Et quand un AFB se délecte à railler un Android, GNU Linux ou un Unix libre, vous pouvez être convaincu qu’il s’agit du second type d’utilisateur, celui qui a un copain qui bosse chez Kaspersky (et un beau frère flic).

L’argument avancé qui m’a laissé pantois est un grand classique d’il y a 15 ans : « un code source accessible à tous, oui une passoire quoi« … Et oui, en 2018, il y a encore des personnes qui sont convaincues qu’un OS libre ne peut pas être un OS sécurisé. Ignorance étant mère d’absurdité, on saupoudre avec le bon mot emplis d’assurance qui tue « la preuve regarde tous les antivirus qu’il y a sur Android« .

Alors attention démonstration (sans parler du paramètre de criticité) sur le sempiternel troll « IOS c’est plus secure qu’Android » :

Vous allez voir, ici c’est encore plus flagrant

L’open source, hérésie sécuritaire ? Vraiment ? Mais dans ce cas, pourquoi l’immense majorité des architectures critiques tournent sur des OS libres (avec une immense majorité de GNU Linux) ? Pourquoi quand un AFB appelle tata Jacqueline il a 99% de chances que son appel soit routé par GNU Linux et non par Windows ou OSX ?

⁽¹⁾ Selon une infographie de l’UFC-Que Choisir datée de juillet 2016, les 67% des utilisateurs qui disposaient précédemment d’un smartphone, une majorité a déclaré en avoir changé au bout de 3 ans. NB : depuis la déferlante des smartphones chinois low cost, ce durée de renouvellement pourrait tendre à être revue à la baisse… ou pas. Les prochaines études risquent d’être intéressantes.
⁽²⁾ Toujours selon l’infographie de l’UFC-Que Choisir, 31% des personnes qui avaient renouvelé leur smartphone l’ont fait pour des raisons liées à ses performances et/ou pour acquérir de nouvelles fonctionnalité comme la 4G.

 

Publié le

Deux ans plus tard…

More lolcatz to come…

Après deux années de désertion, deux déménagements, un retour à l’ADSL après deux ans de fibre, un bout de plastique qui en gros me définit « officiellement » comme un journaliste, un nouveau procès à mon encontre, cette fois ci pour full disclosure… et que je vous raconterai, juste histoire de me payer ouvertement la tête du fonctionnaire de police qui a pris mon « témoignage » et d’une justice qui a mis 4 ans à me retrouver (alors que dans le même temps cette même justice me trouvait sans problème pour l’affaire ANSES), pour me condamner sans que je ne puisse me défendre, décision que j’ai fait annuler pour finalement gagner en première instance… je suis accidentellement tombé sur une archive de backup contenant… ce blog. C’est un peu par nostalgie que je l’ai d’abord restauré sur mon desktop, puis j’ai fini par le pousser sur ce serveur, et le voici ouvert, même si il y a encore quelques travaux de peinture prévus.

Mon downgrade de connexion ne me permettant plus d’home’ hoster comme j’en avais pris l’habitude quelques services sur Tor, l’idée de revenir sur le ‘ternet « des gens », s’est naturellement imposée. Je m’étais également quelque peu publiquement éclipsé, ce pour plein de raisons sur lesquelles je ne m’étendrai pas, disons qu’en gros j’avais piscine, même si j’officiais toujours, mais dans l’ombre… et bien terminé la piscine !

Vous risquez donc de me recroiser sur Reflets comme ici, et si le coeur vous en dit, nous allons encore faire un long bout de route.

  • Un planning ? Oui.
  • Des idées de publications à venir ? Oui, avec en guest star de vieilles connaissances.
  • De gros dossiers ? Oui… des dossiers qui justifient un internet un peu plus lumineux que le l’internet sombre en hoodies avec une lampe frontale.
Publié le

Je suis content de mon FAI… si, si, je vous assure

ob_46dda2557542a1114413b39769be9675_alsatis-logoJe crois que ce ne m’était pas arrivé depuis l’époque où j’avais une connexion DSL chez Nerim. Je suis content de mon FAI, Alsatis. Oui c’est dingue… oui c’est un billet où pour une fois je ne tape sur personne, mais quand un service fonctionne bien c’est aussi important de le souligner, d’autant que les débuts ont été un peu compliqués.

Pour l’anecdote sachez que le lendemain de ces mésaventures, à la première heure, un vrai sysadmin me recontactait. Alsatis disposant d’un pool IP sur le réseau dont je dépends, ce dernier m’attribuait une IP fixe. Mieux, la petite incongruité que j’avais relevé concernant les équipements d’Alsatis accessibles depuis des IP locales sur une plage correspondant à celle de mon réseau domestique était réglée 3h plus tard. Un modèle de réactivité assez rare pour qu’on le souligne.

J’ai réglé le problème du routeur wifi / sip anecdotique en le remplaçant par un routeur à la norme AC qui colle un peu mieux aux performances d’une connexion FTTH et je profite, enfin, d’une connexion confortable en filaire comme en wireless… c’est le genre de confort qui change un peu la vie, tout particulièrement pour la question de l’upload, je peux enfin envisager certains dev en local pour les pousser ensuite sur un serveur.

Bref, voilà, je suis content de mon FAI, et si vous le pouvez, je ne peux que vous inviter à vous tourner vers ce genre de FAI à taille humaine, privés ou mieux encore des FAI associatifs de la fédération FDN si vous avez la chance d’en avoir un actif dans votre zone.

Publié le

Paranormal connectivity

Voilà, ça y est, je suis enfin rentré dans les intertubes du futur, je dispose d’une connexion FTTH, d’un upload qui me permet enfin d’envisager de travailler confortablement, d’un download qui me permet de regarder 4 flux simultanés de p0rn en HD et de coucher ma GeForce 210 (on ne se moque pas je voulais une carte graphique sans ventilo), ainsi que d’un ping me permettant de fragger pas grand monde vu que je ne suis pas gamer. Tout irait pour le mieux dans le meilleur des mondes si je n’avais pas découvert avec un étonnement de circonstance des pratiques un peu paranormales sur l’offre dont je dispose.

Tout d’abord, il faut comprendre un peu le contexte. Si mon nouveau FAI est Alsatis, le réseau physique appartient à REG.I.E.S. L’opérateur donne donc accès à Alsatis et Kiwi, deux opérateurs qui eux gèrent les abonnés professionnels et particuliers. REG.I.E.S fournit un routeur optique Inteno… un vrai, avec une prise optique et tout… pas comme sur une BBox fibre sans port optique

Le réseau est configuré comme suit :

  • Gateway 92.245.140.1 (Alsatis)
  • DNS Primaire : 194.2.0.20 (Oleane)
  • Secondaire : 8.8.8.8 (Google)

REG.I.E.S dispose de l’accès Admin sur le routeur Inteno (non accessible depuis le Net).
Il vous est gracieusement laissé un accès user/user avec mot de passe non changeable. Cet accès vous permet de régler le NAT, le Wifi, de faire du filtrage d’url… et voilà. Il ne vous est par exemple pas possible de configurer sur ce routeur les DNS de votre choix. Si vous laissez quelqu’un se connecter en wifi sur votre réseau, ce dernier peut donc naturellement accéder à la configuration du NAT et du wifi…

Si vous m’avez suivi jusque là, vous vous souvenez donc que je me suis abonné chez Alsatis et peut-être commencez-vous à vous demander à quoi ils servent dans l’histoire vu que le réseau n’est pas le leur et qu’ils ne fournissent pas le routeur permettant de vous connecter au net.

Et c’est là que je n’ai pas encore de réponse à cette question… voici pourquoi.

Alsatis fournit un routeur pour l’option téléphonie à 5 euros par mois. Il s’agit d’un Cisco WRP400 avec un firmware qui baigne dans son jus, daté de 2011 et dont le support a été interrompu en 2013, date du dernier update firmware… qui de toutes façons ne vous sert à rien puisqu’aucune config ni aucun upgrade firmware n’est persistant une fois connecté au net.

ciscofirmwareC’est donc là que ça commence à devenir fun. Je découvre alors que changer le mot de passe du Cisco est là encore mission impossible, tout comme changer le nom du réseau wifi… le routeur ne veut rien entendre, il me force une configuration Alsatis dont je ne veux pas dés que je le relie au Net.

Bref ce routeur, il dégage de mon réseau. J’aimerais au minimum avoir la main sur mon LAN, mais ça ne semble pas possible chez ce FAI avec l’équipement qu’il fournit.
Ce routeur Cisco WRP400 est normalement accessible sur l’ip locale 192.168.15.1.

Vieil automatisme, je me plante justement d’IP locale en voulant le configurer, et je rentre machinalement l’IP 192.168.0.1. Et voici sur quoi je tombe.

Capture du 2015-06-24 14:02:58

Un équipement embarquant une board Mikrotik qui n’a strictement rien à voir ni avec mon routeur optique, ni avec le Cisco fournit par Alsatis. Me demandant un peu ce que cet équipement fout sur mon LAN, je contacte alors le service technique d’Alsatis. Ce dernier me répond qu’il faut que je m’adresse au service commercial. C’est bien connu, quand le service technique sèche sur la nature d’un équipement réseau, rien de tel qu’un commercial pour répondre à vos questions.

Et c’est pas fini

Alsatis, comme tout fournisseur d’accès vous attribue une IP publique de son range. L’attribution des IP peut être fixe ou dynamique, mais la règle quand on est un FAI digne de ce nom, c’est un abonné = une IP publique… mais voilà, chez Alsatis, ton IP publique, et bien c’est pas la tienne. Tout de suite on se dit que ça va vite être le bordel. Je précise qu’à ce jour je n’ai pas encore vu de contrat de la part d’Alsatis, mon inscription s’étant réglée par téléphone. Du coup je me demande pour quel type d’Intranet j’ai pu signer… un début de réponse se trouve ici, dans les CGV, mais c’est tellement elliptique qu’au final, je ne sais toujours pas si j’ai à faire à une offre Internet ou un accès au LAN d’Alsatis, comme à l’époque d’AOL.

4.1– Le Service Internet Haut Débit :
Selon l’offre souscrite, le Client dispose pendant la durée de l’abonnement au Service Internet d’un nombre défini d’adresses emails,
d’un espace abonné et, en outre dans le cas d’une offre professionnelle, d’une adresse IP publique fixe.

J’en déduis donc que l’IP fixe, c’est pour les pros, en toute logique je devrais donc bénéficier d’une IP dynamique, ça ne m’arrange pas mais il y a des services pour gérer ça, comme DynDNS, je pourrais m’en accommoder.

L’IP publique visible qui m’est alors attribuée par Alsatis est 92.245.140.12. Vu qu’avec 100 mégas d’upload la moindre des choses c’est d’avoir un petit serveur à la maison, je me dis que je vais ouvrir deux ou trois ports. Comme j’aime quand même un peu savoir ce que mon routeur, qui marque la frontière entre mon LAN et Internet, laisse entrer et sortir, je lance un petit scan sur ce que je pense alors être mon IP publique. Et voilà que je découvre un serveur http, un accès ssh et un serveur FTP… ce alors que je n’ai à ce moment précis ouvert aucun port et que l’interface du routeur ne présente aucune règle sur l’ouverture de ces ports… conclusion, y’a comme une couille. Il est évidemment impossible d’ouvrir des ports sur mon routeur afin de rendre un serveur joignable depuis l’extérieur. En fait je peux ouvrir tous es ports que je veux, mais cette IP publique ne pointant pas sur mon routeur, il ne faut pas que je compte accéder au moindre service hosté à la maison… En fait je soupçonne Alsatis de « crowder » plusieurs clients sur la même adresse ip publique, bref le truc très bien pour sortir, mais vachement moins bien pour tomber sur son lan quand on lance un SSH sur son IP publique.

Renseignement pris au service technique, réponse épique « le service qui s’occupe des ouvertures des ports » va me recontacter… mouais enfin si « le service qui s’occupe de l’ouverture des ports » me filait tout simplement une ip publique, ça nous épargnerait à tous des maux de tête.

Pour le moment je suis dans l’attente d’Alsatis d’une réponse à mes deux questions :
1° pourquoi j’ai pas d’IP publique à moi (mon opérateur téléphonique n’attribue pas mon numéro de téléphone à plusieurs de ses abonnés et rien ne justifie ici une telle pratique)
2° pourquoi y a t-il un routeur qui ne m’appartient pas sur mon LAN…

Une IP publique qui ne pointe pas chez moi, des routeurs « minitélisés » et un équipement ISP sur mon LAN alors qu’il n’a rien à y faire… c’est un peu space le FTTH vu d’ici.

Publié le

Oups ce banc public n’était pas public

11fa4ce2299ea951eeb8df523cfcefaaJ’ai lu avec attention l’article de Maître Emmanuel Daoud tentant de comparer l’acte qui m’a valu condamnation avec des exemples de « la vie réelle ». Evidemment ce genre de comparaisons est forcément bancales d’un point de vue technique, même si elles tiennent parfaitement la route d’un point de vue juridique. Mais à force d’évacuer toute considération technique, on passe à côté des bases, de l’essentiel.

Dans notre cas l’essentiel, c’est la nature d’Internet, un réseau public. On le comparerait plus logiquement à un espace public, comme la rue.

Un site web, une application en ligne, sur un espace public, destiné à servir des fichiers au public, c’est donc plutôt comme un banc public dans la rue, quelque chose de bien visible, destiné à l’usage de tous qu’il faut le voir, et non une maison (dont on sait forcément qu’elle appartient à quelqu’un, ou une voiture ou encore un ordinateur).

Pour que les comparaisons de Maître Daoud soient fidèles à notre cas, il aurait fallut parler d’un banc public dans une rue. Il aurait fallu que je devine que ce banc public n’était pas public. C’est là tout le problème.

Pire… si le tribunal a considéré qu’il y avait une faille de sécurité, ce n’était pas le cas. La fonction d’un serveur web, c’est de servir des fichiers. Si on veut en restreindre l’accès, il faut une intervention humaine. La faille n’était donc pas technique mais humaine.

Comme si  on avait voulu restreindre l’accès à un banc public dans une rue on y aurait placé un panneau « propriété privée »… ou coller du barbelé autour…

Je passe sur les interprétations de la cour d’appel et de l’amalgame crétin entre authentication et permissions, je viens de l’expliquer ici… mais par pitié, comprenez une bonne fois pour toute que ce n’est pas parce que j’avoue qu’il y a une authentification sur la page d’accueil qu’il faut impérativement en déduire que tout est privé, c’est techniquement totalement absurde.

Oups ! Ce n’est pas ma voiture

Mû par la curiosité, je fouille le véhicule et trouve des santiags qui me plaisent et décide de les conserver.

Il s’agit là d’une soustraction de la chose d’autrui… un vol. Mon crime est d’avoir copié des documents publics sur des questions de santé publique qui se trouvaient dans un espace public… J’ai pris une photo de quelque chose sur un banc public qui n’était privé que dans la tête de son propriétaire, sans rien pour le signaler, au beau milieu d’une rue. Je n’ai pas été poursuivi pour contrefaçon, mais pour « vol ».

Oups ! Ce n’est pas mon ordinateur

Dans un ordinateur, il y a de fait des données à caractère personnel. ce n’était pas du tout le cas du dossier auquel j’ai accédé. En outre pour Xe fois, il a été expliqué que ces documents n’étaient PAS confidentiels comme on peut le lire ici ou là.

Oups ! Ce n’est pas ma maison

La maison est un espace fermé. Il y a des murs, des fenêtres, des portes. Il y a quelque chose qui délimite clairement l’espace public et l’espace privé. Ce n’est pas le cas d’une application web sur un réseau public quand des permissions claires ne sont pas appliquées et quand rien ne le signale.

.. Donc : oups, ce banc public n’était pas public.

D’ailleurs, imaginez que je décrète dans ma tête que l’article que vous venez de lire est privé… ça me donnerait le droit de porter plainte contre vous pour accès et maintien frauduleux à cette page ?

Publié le

Ça devient fatigant…

Oui, ça devient fatigant d’avoir à ré-expliquer 50 fois les mêmes choses…

NON NON ET NON
NON NON ET NON

Non, les documents de l’ANSES n’étaient pas confidentiels .. ceci est consigné dans les PV, l’ANSES n’était même pas partie civile en première instance ! Ces documents n’avaient rien de confidentiels. L’ANSES a bien cru à un piratage, mais après vérification, elle a parfaitement compris qu’il n’y avait ni piratage ni documents « confidentiels ». Il s’agissait d’études, pleines de chiffres pour la plupart, difficilement interprétable pour des non chercheurs.

Et encore NON !
Et encore NON !

Et bien non et encore non… je ne suis pas arrivé au « coeur de l’extranet », d’ailleurs c’est quoi le coeur de l’extranet ? Pour moi le coeur de l’extranet ça aurait été la base de données, contenant mots de passes et toutes les données … mais voilà, ce n’est pas ce que je cherchais, et heureusement car j’aurais par exemple pu tomber au piff sur un répertoire /backups avec des données peut-être autrement plus sensibles…

Je suis arrivé dans un répertoire nommé xxxx/DOCS ne contenant NI DONNEES PERSONNELLES, NI FICHIERS SYSTEMES pouvant me laisser penser que je me trouvais dans un espace « sensible »… ce n’est pas comme si je m’étais trouvé par exemple ici (oui ils sont prévenus depuis plusieurs semaines, voir mois, mais je pense qu’ils s’en foutent, et puis un jour on met des documents « confidentiels » qui se retrouvent indexés par Google hein…)

Je n’étais pas dans  /DOCSCONFIDENTIELS

non… juste /DOCS

… Sans aucune indication sur le caractère privé ou confidentiel de ce répertoire.

Et depuis quand le fait d’arriver sur une page d’accueil avec un champs d’identifiant et de mot de passe a une influence automatique et absolue sur les permissions de tous les sous-répertoires ?

Je n’ai pas su expliquer au juge la différence entre authentification et permissions des sous-répertoires, il faut dire qu’ayant déjà du mal à prononcer correctement Google, tenter une explication était de toutes façons voué à l’échec… ou peut-être n’a t-il tout simplement pas voulu entendre que s’il y a bien un champs d’identifiant et de mot de passe sur Facebook et Twitter par exemple, ceci ne veut pas dire que tout ce qu’il y a sur ce site est privé ou confidentiel.

Mais là où cet article de France 3 va encore plus loin que le juge, c’est quand il affirme

Le fait d’avoir téléchargé les 8000 documents ne plaide pas en sa faveur car cela tend à prouver qu’il craignait de ne pas pouvoir accéder à nouveau à ces documents.

C’est quelque chose que j’ai maintes fois expliqué, si j’ai téléchargé ces documents, c’est pour pouvoir chercher dans leur contenu en utilisant l’indexation de ma machine.

Oui dans la tête d’un juriste qui ne sait pas ce qu’est une authentification et une permission, c’est « normal » de me condamner, oui dans la tête d’une personne qui préfère ouvrir un par un des documents pour chercher des mots dedans au lieu de lancer un cat *.doc |grep foo c’est normal de me condamner… Et après ? Et après j’ai envie de mettre ça sur le compte de l’e-gnorance, mais même ça j’ai un peu de mal.