Articles

Publié le

Apple iPhone Vs Android … deux ans plus tard

En mars 2008, j’en étais venu à parler des stratégies qui opposaient Google Android à l’iPhone d’Apple sur les plans technologiques. J’y soutenais que Google, avec sa stratégie Android, allait parvenir à tuer l’iPhone en offrant un OS plus attirant encore que IOS. A l’époque, je pensais que ceci prendrai une année, ça sera plus long. Ça aura pris 2 ans avant que l’on commence à voir les développeurs se retourner vers Android… mais ça y est, on peut dire que Google est bien parti pour passer du stade de challenger à celui de leader sur le marché des smartphones, en tout cas, pour moi il l’est déjà. Certes, ce n’est pas encore fait l’iPhone 4 est surement un terminal très réussi et vu les connaissances que j’ai d’Android, je ne me risquerai pas pour le moment à comparer les deux OS sur le plan technique.

Je vais donc me cantonner à des faits observés à ma petite échelle :

  • Selon le Gartner Group, lors du 1er quart 2010, les ventes de téléphones Android ont dépassé en croissance celles de l’iPhone et du coup Android représente 9% du marché aux USA (contre 28% pour Apple) ;
  • Dans mon entourage, tous les développeurs qui possédaient un iPhone ont swichés sur Android… bon ok je connais que des libristes, n’empêche ils avaient un iPhone.. et ils n’en ont plus ;
  • Niveau terminaux, on a quand même plus de choix sur Android ;
  • Niveau applications, il y a plus de 200 000 applications sur iPhone contre un peu plus de 65 000 sous Android (dans les deux cas vous n’aurez pas assez de place pour toutes les installer…)

La sortie du Nexus One (le « Google Phone »… en fait un HTC de bonne facture avec un logo Google) est en soi une anecdote (même s’il s’agit d’un excellent téléphone de l’avis de pas mal de personnes qui en possèdent un). Ce que l’on retiendra surtout, c’est que Google est enfin parvenu à capter la communauté des développeurs avec un OS ouvert face à l’OS fermé d’Apple et c’est surtout que tous les développeurs qui ne supportent pas qu’Apple puisse dicter une morale établie dans la sélection des applications sur l’Appstore (en refusant par exemple la représentation d’un bikini ou d’autres choses plus « politiques » comme les applications mettant en scène des caricatures) ont finit par migrer… c’est une tendance lourde que personne ne peut aujourd’hui nier. La censure exercée par Apple sur son Appstore est une pratique qui en dit long sur la politique de la maison (et que dire de sa commercialisation et de sa politique d’exclusivité).

Android a fait le choix de l’universalité en choisissant GNU/Linux pour construire son OS.

Google a su passer outre le piège de proposer des applications principalement tournées vers ses propres services, si ces dernières sont bien présentes, Google n’ira pas censurer sur son store des applications tierces proposant l’accès à des services tiers concurrents avec pour seul argument son puritanisme et son porte-feuille… comme le fait Apple sans aucun complexe. L’ouverture est donc saine pour la concurrence et contrairement à Apple et sa politique de bridage, pour le moment Google joue le jeu.

Donc en ce qui me concerne mon choix est fait, Android est devenu stable, utilisable, le choix des terminaux commence à me convenir, ses applications couvrent l’intégralité de mes besoins :

  • téléphoner (le truc qu’on peut plus faire à chaque mise à jour avec un 3GS quand on a pas son SHSH sous la main)
  • utiliser le tethering (même jailbreaké c’est payant alors que ça fonctionne très bien et gratuitement sur Android),
  • avoir un shell avec ssh (possible uniquement avec un iPhone jailbreaké),
  • l’irc (un truc qui fonctionne à peu prêt sur iPhone quand on reste dessus … ah le multitache !),
  • une app twitter (le seul truc qui fonctionne correctement sur iPhone),
  • une application de mail décente (mail.app est vraiment ridicule)… ,

Et pour finir, les interfaces d’Android, même si elles ne sont peut être pas encore au niveau de l’iPhone me conviennent parfaitement, on trouve un max mods alternatifs… bref il est grand temps pour moi de passer à autre chose que l’iPhone.

JE VEUX UN ANDROID !%#@#!%$!@

Publié le

SACEM : ça bataille sec pour le cul de crémière

Sur une lointaine planète, loin de la crise, loin des retraites, mais pas si loin du ridicule de l’équipe de France en Afrique du Sud… il y a la SACEM. Je viens de lire avec attention l’article d’Electron Libre où Bernard Miyet évoque la larme à l’oeil l’insurmontable crise que la société d’auteur subit, à cause des pirates de l’internet qui pillent, brûlent et violent tout ce qu’ils peuvent downlader. Figurez vous que ses revenus sont en hausse, preuve s’il en fallait qu’à cause d’Internet la création se meure : +0,85% avec un total de droits collectés de 762,3 millions d’euros … putain de crise.

Mais voilà, Bernard il aimerait bien lui aussi croquer une petite part du gâteau des aides de l’Etat… c’est pas parce qu’on est en bonne santé qu’on va se priver d’une petite perfusion après tout ? Vous voilà prévenus, la taxe des FAI, ça sera pour lui.

« Pourquoi soutenir une catégorie et pas l’autre ? On exclut seuls les auteurs et compositeurs »

C’est peut être parce qu’ils se portent bien non ? C’est les majors qui vont mal pas les auteurs, même les chiffres de perception en attestent. Vous allez voir, dans pas longtemps, on va nous faire le coup de la hausse de la taxe sur la copie privée alors que cette dernière est désormais interdite. C’est pour financer la création on vous dit… pas les petites escapades caraibéennes de pontes de la SACEM hein… la création, la VRAIE, celle faite par des artistes !

Mais tout ceci n’arrête pas Bernard Miyet, qui sent quand même le bon filon.

Ça veut dire quoi déjà HADOPI ? Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet… ah oui vu comme ça … qui a parlé de protéger la création ? c’est les droits de certains qu’on protège en réduisant ceux des autres… t’as rien compris au film Bernard. Le truc c’est que dans la vraie vie les droits sont bien protégés, par contre sur Internet comme c’est le FarWest, il a fallu créer une milice qu’on peut qualifier à ce jour, tant qu’elle n’aura strictement aucune marge de manoeuvre pénale, de machine à spam la plus chère du monde. Je voulais me proposer pour vous aiguiller sur des boards russes qui auraient pu vous faire économiser quelques millions mais bon… De coup notre pauvre HADOPI est tellement ridicule qu’elle n’ose même pas envoyer ses premiers mails, on nous parle maintenant de septembre 2010 (comprenez août 2012 si nous n’arrivons pas à nous débarrasser du problème par les urnes). Quand on va faire les comptes de la blague de l’ami Nicolas, on va se prendre une sacrée douche froide.

Allez on y croit !

« la Sacem s’est étonnée qu’il ait fallu attendre 10 ans avant de voir un dispositif qui permettra de « responsabiliser« , les internautes »

Et là j’explose de rire, car la « responsabilisation des internautes » a bon dos quand l’ensemble de la filière n’a pas été fichue … en 10 ans… d’apporter une once d’intelligence pour proposer une offre légale cohérente… ce qui m’amène à penser que la SACEM n’est pas au bout de ses peines, que la HADOPI aujourd’hui aura beau agiter la matraque, elle restera une coquille vide. Faut il rappeler encore une fois qu’on attend toujours les décrets d’application, qu’on attend toujours les spécifications du logiciel de « sécurisation » … et qu’on attend toujours des positions cohérentes de la part des uns et des autres ?

Du coup quand je vois le monsieur applaudir des deux mains alors que la SACEM est le grand cocu de l’hisoire, je me dis que ceci ne laisse présager rien de bon, pour l’instant, depuis le passage éclair de Laurent Petitgirard dans les commentaires de ce blog… tout se passe exactement comme nous l’avions prévu. Donner un soutien aveugle à HADOPI alors que celle ci ne sert pas les auteurs… quand on est président de la SACEM… comment dire ça de manière courtoise…c’est comme être supporter de l’équipe de France après la coupe du monde 2010.

S’il faut l’attendre encore 10 ans cette licence globale, on l’attendra, ce n’est pas pour les internautes que ça presse, c’est pour les auteurs, les grands oubliés de la HADOPI dont le nom même est un mensonge éhonté (la haute autorité n’est pas « pour la diffusion des oeuvres sur Internet mais oeuvre pour la restriction de leur diffusion… examinez les faits, vous en viendrez à la même conclusion que moi… c’est la HADOPI qui tue les artistes, Internet ne tue que les majors). La SACEM n’aime pas Internet et les internautes lui rendent bien, il est surprenant de la voir s’étonner de peiner à y collecter quoi que ce soit… qu’offre t-elle en échange ?

Design thx to @MyGBB

Publié le

Jailbreak IOS4 : PwnageTool 4.0 est en ligne

Cette fois ça y’est, la DevTeam vient de releaser Pwnage Tool 4 mais attention ça ne marche pas avec tous les devices :

Ne sont pas supportés (car non supportés par IOS4) :

  • iPhone 2G
  • iPod Touch
  • iPod Touch 3G

Pour les iPhone 3GS, déception, il faut que le téléphone ai été déjà jailbreaké dans une version de firmware antérieure. Pour l’instant toujours pas de solution de downgrade et de récupération de blob SHSH valide

Pour les iPhone 3G restez à l’cart de cette version de PwnageTool si vous avez jailbreaké votre téléphone avec Spirit.Pour ce terminal redsn0w est donc la solution.

On attend donc encore du neuf du côté de la DevTeam, on nous promet encore quelques belles choses. Prenez soin de bien lire les indications du billet de la DevTeam avant de vous lancer dans un hack qui pourrait vous coûter votre terminal.

Publié le

IOS4 : la DevTeam annonce une nouvelle release imminente

IOS4 est en ce moment même déployé par Apple, la nouvelle mise à jour apporte de nombreuses nouveautés dont la plus attendue : le multitâche (il était temps car de ce côté là, Android avait une sérieuse longueur d’avance). Toujours est-il que la DevTeam est elle aussi quasiment prête à nous livre son Pwnage Tool pour cette version qu’ils sont encore actuellement en train de tester.

Des dizaines de millers d’utilisateurs sont suspendus au feed Twitter de la Team, et en attendant, cette dernière nous a gratifié d’une chouette chanson : All aboard the jailbreak train, un teasing fort sympathique.

On attend beaucoup de cette release de l’outil ultime de jailbreaking de la DevTeam, particulièrement les utilisateurs d’iPhone 3GS qui ont upgradé en 3.1.4 et qui se retrouve dans l’incapacité d’activer leur téléphone … grâce à la super politique de commercialisation exclusive d’Apple. Concernant ce terminal et la protection ajoutée par Apple dans les dernières séries, on a pour l’instant pas d’information précise, on ne sait par exemple pas s’il faudra toujours un blob SHSH de firmware 3.1.2 pour activer son téléphone

Vivement que j’ai un Android ….

Publié le

HADOPIPANPANCULCUL par France5

L’OMWF a encore frappé ! L’office de Minitellisation du Web Français sévit maintenant sur le canal 5 de votre téléviseur.

Aujourd’hui, comme HADOPI prend l’eau de tous les côtés, il faut bien que quelques propagandes viennent à sa rescousse.

C’est une mission que s’est fixé le service public, parait-il sans qu’on lui demande rien … une initiative de propagande, une super production financée avec de l’argent public ?  Acceptera t-elle un débat contradictoire ou s’agit-il vraiment d’une vidéo de propagande ?

Evidemment France5 se garde bien de faire de la pub à une plateforme de téléchargement légal et indépendante (faut dire qu’elles ne sont pas légion). La pédagogie ici passe par un message de type hadopipanpanculcul au vilain pirate, il était difficile de faire plus manichéen.

Clubic nous apporte une information assez intéressante également, même si le lien producteur de la vidéo virale nous aiguillait directement sur la HADOPI, cette dernière dément en être à l’origine, en fait, elle serait l’oeuvre de curiosphère (dont le lien de Clubic me fait étrangement penser à une curiopopup d’un curiocoldfusion… ).

Seul problème l’initiative est loin de recevoir un accueil très chaleureux sur le Net, ce genre de « pédagogie » ne trompe pas grand monde, on est aux frontières du ridicule… ça commence à devenir blasant.

Publié le

HADOPI et dérives commerciales (encore) : ZyXEL et son Hadopipohardware

Allez hop, on enchaine cette fois ci avec le fabricant hardware Zyxel. C’est The Inquirer qui nous avait débusqué ça il y a plus d’un an. Je suis particulièrement déçu par cette société dont je convoitais un AP Wireless, mais tant pis, après ce que j’ai vu je m’en passerai, le service commercial de Zyxel vient de réussir à m’en dissuader définitivement. HADOPI est devenue un argument de vente plutôt limite sur le concept bien connu de la peur du gendarme. Sauf qu’encore une fois, la Haute Autorité n’a pas encore été capable de fournir des spécifications claires sur un éventuel dispositif de sécurisation qu’elle pourrait agréer (voir le point sur le projet). On ne sait d’ailleurs même pas si ces spécifications ont une chance de voir le jour, la Haute Autorité et les ayants droits souhaitent envoyer les premiers mails en s’acquittant de cette mission… impossible. C’est donc à qui sortira sa solution « compatible HADOPI »… et là c’est un festival :

Puis en page 2 du même catalogue, on a droit à un super baratin qui est sensé faire très peur au chef d’entreprise afin que ce dernier achète ce qui est présenté comme une solution complète « Hadopi ». A3r0 me souffle dans l’oreillette que l’article L.121-1 du Code de la consommation procède par la négative et se borne à interdire toute publicité trompeuse à destination du consommateur ;

J’adore surtout le paragraphe sur « Les chefs d’entreprises seront responsables », ah celui -ci c’est c’est mon préféré. On peut le résumer par ceci : « si t’achètes pas mon firewall, la HADOPI va couper le Net de ton entreprise, tu n’auras plus de téléphone, plus de mail, tu vas perdre tous tes clients… si tu ouvres une connexion chez un autre FAI on te coupera une main donc ta boite va faire faillite, ta femme va te plaquer et ton poisson rouge va se pendre … tout ça parce qu’un con a téléchargé un MP3 et que t’as pas voulu acheter mon hadopipohardware« … Je sais pas vous mais j’attends de voir le jour où la Haute Autorité coupera le Net à une entreprise (ce paragraphe est au minimum un énorme FUD, au pire, un argument mensonger, la HADOPI prévoyant des dispositions spéciales pour une entreprise qui ne saurait voir sa connexion coupée sous menace de cessation d’activité et de chômage technique…).

Zyxel propose donc un pare-feu matériel, dont je ne doute pas de la qualité, le fabricant étant loin d’être le plus mauvais, mais dont la communication est maladroite et pourrait prêter à la confusion chez les consommateurs. Si Orange a pris, en terme de communication, quelques distances avec les références à la HADOPI, les 3 autres « solutions » s’affichent clairement comme des solutions à une problématique légale toujours pas énoncée. Chez Quadri Concept, un revendeur, on affiche aussi jusque dans l’URL ce baratin commercial (http://www.quadri-concept.fr/Filtrage_hadopi/zyxel.htm), laissant supposer qu’il s’agit bien d’une stratégie de vente sur laquelle le constructeur mise, comme le montre encore cette page ou les presque 2000 occurrences dans Google.

Le marketing, dés fois, c’est vraiment détestable… Pensez cenpendant qu’il reste une solution qui ne vous coutera pas un rond, qui est pour le moment tout aussi efficace pour ce dont elle prétend vous protéger ,et grâce à laquelle vous passerez un bon moment : le Firewall OpenOffice.

Suivant …

Publié le

Hadopiprotection : un Hadopipoware « professionnel » à 199 euros

Le domaine hadopiprotection.com propose, une solution de contrôle de téléchargement essayant de faire son beurre sur la peur des entreprises. Encore une fois RESTEZ A L’ECART de ces solutions qui n’en sont PAS. On nous a déjà fait ce coup là, c’était l’année dernière :

  • Zyxel avec un firewall soit disant compatible HADOPI ;
  • Bluesafe qui avait inventé sa solution matérielle compatible avec une loi qui n’était à l’époque pas même encore votée et qui apportait quelque chose qui n’a d’ailleurs pas été retenu : le concept des listes blanches pour les points d’accès sans fil.

On savait qu’on allait voir fleurir ce genre d’offres, en voici une, la première à ma connaissance qui vise un marché de professionnels. C’est PCInpact qui, alerté par un internaute, a découvert cette « solution » à une problématique technique qui n’est toujours pas définie.

L’éditeur de ce soft, Matisoft, nous régale. Vu d’ici, aucun doute possible, nous sommes face à un splendide Hadopipoware… décryptage :

  • Hadopiprotection est présenté comme une solution « professionnelle », à défaut de répondre à des critères légaux que l’on attend toujours, nous allons un peu plus loin étudier le professionnalisme très marketing de l’offre.
  • Elle promet, pour 199 euros HT (merci So0n de me l’avoir fait remarquer) d' »immuniser votre entreprise », elle est « garantie 100% efficace » (contre quoi ?), je sais pas vous, mais moi ça me rappelle un éditeur antivirus, Tegam… mais ne comptez pas sur moi pour pratiquer un audit gratuit de cette solution pour Matisoft.
  • Notre Hadopipoware propose, tenez vous bien, « un système de blocage intelligent et diplomate »… tout un programme.
  • Hadopiprotection n’est disponible que pour Windows.
  • Matisoft présente sur son site « plus de 4500 références » parmi lesquelles EDF, ou le ministère de la Culture … rien que ça.

Quand on gratte un peu

On trouve dans les premiers résultats de recherche Google ceci ce qui nous mène à ceci, une belle loop sur l’index. Les 17 résultats indexés dans Google quand on tape le nom de cette « solution » ne sont que la partie visible de l’iceberg. En se balandant sur les liens présent en bas de page, on se rend compte que nous sommes face à des spamindexers : vous trouverez dans ce repertoire non indexé toutes les pages avec des titres des requêtes bien racoleuses… les plus fréquentes utilisées (fautes d’orthographe comprises, par exemple avec un beau ADOPI qui perd son H).

Pourquoi rester à l’écart d’Hadopiprotection pour le moment ?

  • Ce logiciel, en dehors de vous amputer d’une partie d’Internet et de potentiellement vous ouvrir à d’autres vulnérabilités, ne garanti rien du tout. Tant que la HADOPI n’aura clairement spécifié ce que ce genre de solution est censé faire, aucune solution ne peut prétendre à être 100% efficace.
  • Ici c’est particulièrement sournois, le nom même de la HADOPI est utilisé à des fins mercantiles dans le nom de domaine, toujours en exploitant les peurs des personnes les moins informées et les moins aguerries techniquement. Je persiste et signe, cette pratique est détestable.
  • Le site où est commercialisé l’offre est codé avec les pieds, il fleure bon l’amateurisme et la sécurité douteuse, le formulaire de commande est le parfait exemple de ce qu’il ne faut pas faire.
  • EDIT : Dernier point et pas des moindres on me signale que l’utilisation du terme « Hadopi » dans le nom même du logiciel pourrait constituer une contrefaçon de la marque déposée Hadopi. Il friserait la tromperie si l’on observe les nombreuses références faites à la loi, alors que les spécifications d’un éventuel logiciel de protection ne sont pas encore définies.

Bref, cette solution n’en est toujours pas une et m’a fait perdre un quart d’heure… Enfin, si la solution est aussi pointue techniquement que les compétences du webmaster, il y a de quoi avoir la trouille pour votre entreprise … suivante SVP !

Publié le

Logiciel de sécurisation HADOPI : un point sur le projet

Comme tout le monde se demande ce que va devenir le logiciel de « sécurisation » HADOPI et que les informations sont particulièrement compliquées à obtenir, voici en exclusivité mondiale un document extrait d’Hadopileaks, le site qui défraie la chronique en publiant des images insoutenables et qui met sur les dents la NSA, le MI6, la DST, Interpol  …

Après des heures d’investigation, nous avons mis la main sur un document exclusif que nous diffusons ici.

Il s’agit d’un état d’avancement sur le projet de logiciel de sécurisation HADOPI labellisé par la HADOPI elle-même répondant scrupuleusement aux processus définis par une méthodologie qui a fait ses preuves depuis de nombreuses années et que tous les chefs de projets connaissent bien : la méthodololie à la R.A.C.H.E (Rapid Application Conception and Heuristic Extreme-programming).

Cliquez sur l’image pour l’agrandir

Crédit : IILaR (l’International Institute of La RACHE)

Greetz : Pollux pour le lien 😉

Publié le

Et si le Président pouvait couper Internet ?

On se calme ! L’idée ne vient pas d’un député français mais de sénateurs américains (… ah! Vous non plus ça ne vous rassure pas ?). En plus elle n’est pas vraiment nouvelle. Mais n’empêche quand on y pense, ça peut faire un peu peur.

On sait qu’Internet est au coeur de tous les systèmes d’information des entreprises, des administrations, des forces armées… cet état de fait rend vulnérable une nation à des attaques encore rares mais bien réelles, comme on a pu le voir avec la Georgie ou l’Estonie. Le Sénat américain propose donc que le président puisse avoir le loisir d’éteindre une partie du Net en cas d’attaque .. ou de diffusion d’une information pouvant mettre en danger la Nation. Typiquement la diffusion d’informations financières érronées destinées à faire plonger un cours de bourse en vue d’une OPA, ou, et là c’est plus sérieux, des informations classées défense.

« nous ne pouvons pas nous permettre d’attendre un cyber 11 septembre avant que notre gouvernement réalise l’importance de protéger nos ressources informatiques » (Susan M. Collins)

Le projet de loi est principalement porté par le sénateur  Joe Lieberman qui le décrit comme un ensemble de mesures visant « à préserver les réseaux actifs et de notre pays et de protéger notre peuple ». C’est un discours qui nous est assez familier en Europe, car la censure, c’est bien connu, c’est toujours pour « vous protéger ». TechAmerica s’inquiète de dérives possibles et d’un risque de contrôle absolu de l’État sur le Net qui s’octroi par exemple le pouvoir « d’arrêter ou de limiter le trafic Internet sur les systèmes privés ».

Concrètement, le président disposerait du droit de contrôler l’Internet… un terme qui revient de plus en plus sur la table et qui passera probablement les frontières dans peu de temps. Contrôler un flux d’information est fort complexe, la meilleure solution reste donc celle du blackout pur et simple et c’est bien ce qu’envisage le Sénat américain. Le projet implique que toutes les entreprises, les moteurs de recherche, les réseaux sociaux, les sites d’information… devront se plier aux directives du DHS (Department of Homeland Security) qui prend la menace Internet de plus en plus au sérieux.

Rappelons que contrairement à la stratégie politique qui se dessine en France, les fournisseurs d’accès américains n’ont aucun droit d’exercer une surveillance des citoyens américains.

Cette proposition intervient dans un contexte international assez tendu pour les USA qui traquent activement le fondateur de Wikileak, Julian Assange et l’arrestation de Bradley Manning qui est soupçonné d’être la source du plus gros buzz de Wikileaks, une video assez horrible que je n’ai pas vraiment envie de diffuser ici. Filmée à Bagdad au coeur des affrontements depuis un hélicoptère de l’armée américaine, on peut y voir groupe de personnes (en fait un journaliste et des civils … même deux enfants) sur lequel l’hélicoptère ouvre le feu. C’est un carnage. Wikileaks assure le teasing d’une prochaine vidéo à venir et les autorités américaines sont sur les dents car cette histoire plonge l’administration dans un sérieux embarras, on peut les comprendre.

Si cette loi venait à passer aux USA, nous aurions donc de fortes chances d’hériter dans nos contrées de projets de loi similaires (même si elle ne passe pas d’ailleurs), la grande inconnue maintenant est la définition exacte du périmètre de la main mise des États sur le Net.

Publié le

Orange : le logiciel de contrôle de téléchargement est retiré de la vente

Il s’est passé beaucoup de choses depuis dimanche dernier, je n’ai pas trop souhaité commenter quoi que ce soit tant qu’une réponse satisfaisante n’était pas apportée.

Aujourd’hui Orange a pris une décision courageuse dans un contexte particulièrement difficile. Dans un communiqué officiel, le fournisseur d’accès retire de sa boutique en ligne sa solution de contrôle de téléchargement.

Orange nous signale également que les données collectées par le dispositif n’étaient en aucun cas destinées à être transmises à la HADOPI. Elles restaient strictement chez le fournisseur d’accès. A ce sujet, je dois dire que même si j’ai eu des soupçons, je suis tout à fait disposé à croire Orange car je doute également que l’opérateur se compromette dans ce genre d’exercice de style qui serait une erreur sur les plans juridiques … et médiatiques.

Je voulais aussi vous parler du reverse du client lui même … Avec fo0 nous l’avons examiné, cherché à comprendre les motivations et ce que nous avons trouvé nous a plutôt rassuré. que vous dire sinon que je suis admiratif de la vitesse à laquelle ceci a été fait et de la qualité du billet posté sur fulldisclosure. L’exploit lui même est un modèle du genre, payload obfuscated, le packaging, la poésie Ruby… les personnes qui ont fait ça ne sont manifestement pas animées de mauvaises intentions, d’autres indices me poussent même à affirmer qu’il n’attaqueront pas et que cet advisory est à pur titre informatif… et ils sont définitivement trop doués pour être idiots.

Cependant, il faut être conscient qu’un risque subsiste pour les personnes qui ont installé le logiciel, Orange est en train de contacter la vingtaine de clients concernés depuis hier après-midi pour leur expliquer l’arrêt de l’offre et les aider à désinstaller le logiciel

  1. Si vous avez installé le logiciel, désinstallez le. Il est vulnérable à des attaques permettant d’exécuter du code malicieux.
  2. Si vous êtes abonné Orange et que vous recevez un mailing vous invitant à télécharger ce logiciel (même gratuitement), renvoyez aussitôt ce mail en pièce jointe avec ses en-têtes complets à [email protected] : il s’agit d’une tentative de phishing visant à infecter votre machine.

Mon sentiment profond, vous le connaissez surement. Ce genre de solution ne peut créer plus de sécurité pour les utilisateurs, l’histoire nous a maintes fois démontré le contraire. D’autres dispositifs existent, j’ai par exemple des soupçons de modules intégrés directement sur les DSLAM chez d’autres opérateurs… mais pas de preuves pour étayer cette hypothèse. J’espère simplement qu’ils auront l’honnêteté de communiquer sur le type de dispositif mis en place, les données collectées ainsi que leur traitement.

Pour conclure je retire un enseignement de tout ça qui me fait fait chaud au cœur, il y a une véritable communauté de hackers en France que je pensais morte. J’espère que les entreprises en prendront bonne note et tenteront de s’en rapprocher, pour ouvrir un dialogue sur les bons usages en termes de respect de la vie privée et de sécurité. Pourquoi ne pas par exemple nous donner tous rendez-vous pour le prochain Pas Sage en Seine ?