Le Blog Utux

HTTP 200 GET /

Le navigateur Vivaldi n'est pas libre

Rédigé par uTux 22 commentaires

Vivaldi est un nouveau navigateur web fraîchement disponible dans sa première version stable. Le projet est mené par l'un des anciens fondateurs de Opera et ça tombe bien car leur objectif est justement de refaire plus ou moins Opera. Vivaldi ne vise pas seulement à être performant, mais proposera également a terme plusieurs fonctionnalités utiles pour les power users (par exemple un client mail).

Malheureusement les power users y voient un navigateur "webkit based" de plus, ce qui n'est pas très excitant, et qui en plus n'est pas libre. Les utilisateurs de Opera n'ont donc aucune raison de migrer vu que la différence entre les deux est minime. Pire, si on en croit cette interview du PDG de Vivaldi, le bouche à oreilles et l'aspect commentaire seront décisifs pour convaincre les gens de migrer. Mais pourquoi devrions-nous utiliser et recommander Vivaldi ? En quoi Vivaldi se démarque-t-il réellement ? En rien.

Opera, malgré ses qualités et sa force d'innovation par le passé, n'a jamais dépassé les 1% de parts de marché. Dès lors, si Vivaldi copie sa stratégie, il n'a aucune chance de faire mieux, surtout face à Chrome qui cannibalise tout avec ses installations parasitaires, et Firefox qui reste (malgré les bavures de la fondation Mozilla) la référence en terme de liberté et de défense des standards du web.

En conclusion, si Vivaldi veut se démarquer et avoir une bonne réputation - ce qui faciliterait le bouche à oreille - il doit devenir libre. Autrement il y a fort à parier que d'ici 2 ou 3 ans il disparaîtra.

Chiffrement : merci Apple

Rédigé par uTux Aucun commentaire

Avec quelques jours de retard, je livre aussi mes réactions sur le déchiffrement de l'iPhone par le FBI. En résumé ils ont été contactés par une entreprise (dont le nom n'a pas été révélé) qui leur a "vendu" les détails d'une faille permettant de casser ou contourner la sécurité de l'appareil. Donc le FBI a accès aux données et n'a plus besoin de Apple. Beaucoup de gens y voient donc l'échec de la firme à la pomme car le système ne serait pas infaillible.

Et pourtant c'est faux, cela prouve encore une fois qu'on se focalise sur cette affaire bien précise alors que l'enjeu c'est le chiffrement. Apple n'a jamais voulu défendre un terroriste, ni même bloquer une enquête du FBI par plaisir. Non, leur but était de préserver leur système de chiffrement en refusant de l'affaiblir car cela aurait eu des conséquences néfastes pour tout le monde.

Le fait que le chiffrement ait été cassé/contourné n'est pas une première : les failles ça existe depuis toujours, sur tous les systèmes. Le fait que le FBI en ait acheté une prouve d'ailleurs que c'est un véritable business. Il est probable que le mystérieux interlocuteur connaissait cette faille depuis longtemps et attendait de la vendre au plus offrant.

La pression est donc retombée mais il est peu probable que cette affaire soit terminée pour autant. Attendons de voir la suite.

Connaître le tarif d'un numéro

Rédigé par uTux 1 commentaire

Il ne s'agit pas d'un article pour attirer votre click (d'ailleurs je n'y gagne rien, au contraire ça consomme de la bande passante !), mais comme je travaille dans le domaine des télécom, je me suis dit que cela pourrait intéresser certaines personnes. Petite astuce en vrac : pour connaître le propriétaire et le tarif d'un numéro de type SVA (Service à Valeur Ajoutée), vous pouvez utiliser le site infosva.org :

Exemple avec un 08 de la SNCF

Grâce à ce site vous savez qu'à la SNCF il faut payer 0,70€/min pour avoir l'honneur d'acheter un billet. Et ça marche aussi avec les numéros courts :

Encore un de la SNCF

Une réforme de l'ARCEP a été mise en place le 1er Octobre 2015 afin de réglementer le marché des SVA. Il n'est plus possible de facturer la mise en relation (Accès) et le temps d'utilisation (Durée) du service simultanément (hors 118), c'est l'un ou l'autre. Par ailleurs les tarifs doivent être affichés de manière claire sur des étiquettes soumises à un code couleur (en vert c'est totalement gratuit, en gris c'est gratuit hors coût opérateur, en violet c'est surtaxé). Si le sujet vous intéresse, un petit récapitulatif est disponible ici.

Et sachez enfin que vous pouvez signaler les abus (publicité SMS ou ping call) au 33700, soit en envoyant un SMS, soit en remplissant le formulaire sur leur site.

La gratuité du web

Rédigé par uTux 7 commentaires

Je suis un vieux, je ne suis pas inscrit sur facebook et j'utilise encore les flux RSS pour suivre mes sites favoris. Un agrégateur de flux RSS permet, comme son nom l'indique, de vérifier l'existence de nouveaux éléments et les notifier a l'utilisateur. L'effet intéressant c'est que cela permet de mesurer la masse d'information que l'on reçoit. Par exemple certains utilisateurs ont tellement de flux qu'ils sont notifiés de plusieurs milliers d'éléments par semaine, ça fait beaucoup.

En ce qui me concerne je suis abonné à plusieurs sources. Longtemps "suiveur" de Phoronix j'ai fini par laisser tomber pour deux raisons :

  1. Ce site inonde mon agrégateur de flux RSS, parfois plusieurs dizaines d'articles par jour.
  2. Le manque de pertinence de l'information proposée. Pour illustrer mon propos voici un article exemple : Sarah Sharp Steps Down As Linux Kernel Developer. Reprise d'une mailing list, aucune analyse, aucune critique, juste les polémiques inutiles en commentaires.

Pourquoi une telle dégradation de la qualité de l'information ? Selon moi c'est simplement pour survivre.

L'économie gratuite du web est en crise car le modèle de financement par la publicité est à bout. A la télévision ou à la radio on peut zapper mais ce n'est pas mesurable, entendez par là que les annonceurs ne savent pas combien de personnes ont effectivement écouté la publicité. Par contre sur le web, avec les bloqueurs de publicité c'est possible, les annonceurs savent combien de fois la publicité a été vue. Cela leur permet de rémunérer plus ou moins le site qui les affiche, et c'est ça le problème car plus il y a d'utilisateurs d'AdBlock/uBlock, moins il y a d'argent. C'est donc le prétexte rêvé pour accuser les internautes de tuer les sites qu'ils visitent en bloquant la publicité.

La culture du financement par la pub, fléau du XXIe siècle et solution par défaut à tous les problèmes me tape sur le système. Un web sans bloqueur de publicités est simplement inenvisageable pour moi. Tuxicoman a mesuré le nombre de requêtes HTTP, le volume et le temps de chargement des pages sur des sites connus avec et sans bloqueur de publicité, son constat est le suivant : ~90% du temps d’affichage des articles de ces sites est dépensé par l’utilisateur pour quelque chose dont il se fout : la publicité et l’espionnage de son comportement.
La solution ne passe donc pas par la culpabilisation ou le rejet des utilisateurs d'AdBlock/uBlock mais par un changement sérieux de politique de la part des annonceurs, ou de modèle économique pour les acteurs du web.

Beaucoup de sites d'information proposent déjà des abonnements payants aux visiteurs, leur permettant ainsi de ne pas avoir de publicité. Phoronix en fait partie et pour convaincre les visiteurs de débourser de l'argent, il faut se démarquer. Pour cela soit il faut faire de l'information de qualité, soit mitrailler à longueur de journée des contenus courts. C'est visiblement la seconde option qui a été choisie et c'est regrettable. A l'inverse, Nextinpact mise sur l'information de qualité. En effet les articles sont plus long et surtout l'information est analysée et critiquée. Le journaliste Marc Rees par exemple lit les textes de loi pour nous en expliquer le principe et grâce à lui nous avons suivi l'arrivée de la Loi sur le renseignement, avec une analyse plus pertinente que beaucoup de media qui se contentaient de dire "cette loi va régulariser ce qui se faisait avant, c'est pour votre sécurité, faites pas chier, vous n'allez pas en mourir, lol". Coluche disait : Les journalistes ne croient pas les mensonges des hommes politiques, mais ils les répètent, c'est pire !. NextInpact fait exception et c'est pourquoi je me suis abonné (payant).

D'autres sites suivent la voie du rachat et de la centralisation. Jeuxvideo.com par exemple s'est fait racheter par Webedia, grand annonceur de contenus publicitaires. Cette dépendance est risquée car quid de la liberté de publication des journalistes quand celui qui donne le chèque a tout intérêt à placer un maximum de publicité et de contenus sponsorisés. Le journaliste est-il libre de dire que le gros jeu du moment est une bouse sachant que le site sur lequel il publie diffuse de la publicité pour ce même jeu ? Non. Real Myop, co-auteur d'une émission vidéo à succès (Speed Game) diffusée sur jeuxvideo.com, dénonce la dégradation de l'ambiance et des conditions de travail depuis leur rachat par Webedia ayant même poussé plusieurs chroniqueurs à la démission : article à lire ici. De plus, que se passera-t-il si la majorité des sites d'information finissent dans les mains d'un seul groupe et que ce dernier décide d'imposer un abonnement payant aux visiteurs ?

En conclusion, on constate que la roue tourne. En effet les sites gratuits d'information qui ont tué les journaux papier sont à leur tour en train de mourir et cherchent comment être rentables ou simplement comment survivre. La croissance explosive du web a atteint son maximum, et tout comme la crise des jeux vidéo de 1983, beaucoup d'éditeurs disparaîtront, ceux qui survivront changeront de modèle économique ou le conserveront et auront le monopole.

Récit d'une attaque portmap

Rédigé par uTux 3 commentaires

Tout a commencé avec des problèmes de lenteur sur notre connexion à internet au bureau. Un petit tour dans l'interface d'administration de la Freebox a montré une utilisation importante de la bande passante en upload même la nuit lorsque toutes les stations de travail sont éteintes. Heureusement derrière la Freebox il y a un routeur sous Linux par lequel tout le trafic passe, nous avons donc des outils plus poussés pour analyser ce qui transite.

iptraf a montré que le trafic n'était pas émis depuis une station de travail mais était généré en local (par le routeur lui-même) : était-il compromis ? Présence d'un rootkit ? Une petite vérification des processus avec ps et top semble indiquer que non, rien d'anormal. J'ai également vérifié à coup de md5sum que les binaires bash, ps, w, who, top n'avaient pas été altérés (en comparant avec une version sauvegardée il y a 1 mois).

Donc le routeur génère le trafic mais ne semble pas compromis, d'où vient donc le problème ? Sortons l'artillerie lourde : tcpdump. On sniffe 10secondes de trafic puis on récupère notre fichier pour l'ouvrir dans wireshark, c'est plus simple à lire. L'analyse montre un trafic composé exclusivement de paquets UDP / protocole Portmap. Une petite recherche rapide sur Google "high portmap trafic" me mène vers des articles d'Aout 2015 détaillant une forme de ddos basée sur portmap. C'est un ddos par amplification, c'est à dire que nous recevons des requêtes forgées qui font que nous générons ensuite des attaques vers d'autres serveurs. Or il se trouve que suite à un lourd historique (dette technique) la configuration du pare-feu était incorrecte et le port 111/UDP (portmap) du routeur était accessible depuis internet. La fermeture de ce port a mis fin aux attaques.

tcpdump / wireshark sont les meilleurs amis du sysadmin, et j'ai découvert également iptraf qui permet d'avoir une vue d'ensemble du trafic ce qui permet d'établir un premier diagnostic. Un pare-feu bien configuré est indispensable car même si des services ne sont pas utilisés ou sont censés répondre uniquement en local, des failles sont toujours possibles.

Fil RSS des articles