Je rebondis sur un billet de l'excellent blog Signal, où l'auteur se plaint des procédures « de sécurité » bizarres d'un site marchand qu'il fréquente, et qui lui demande d'envoyer par courrier une photocopie de sa carte bleue pour valider un paiement par Internet. Il m'arrive une mésaventure assez similaire, sauf qu'elle ne se restreint pas à un site, et ça me chagrine fortement.
Je dispose d'une carte Visa, qui me permet notamment de régler mes achats dans les magasins que je visite, mais aussi théoriquement d'effectuer des paiements par Internet sur des sites de commerce électronique. En général, ça marche, mais depuis peu les sites qui se targuent d'être “Verified by Visa” me sont fermés. Parce que le site demande à ma banque si ma carte est bien valide, et que ma banque répond que non. Il fut un temps où la banque disait tout le temps que oui, puis la « sécurité » a été « renforcée », et son approbation est devenue conditionnée à ma capacité à répondre correctement à une question. Jusque-là, ça allait, c'était juste désolant parce que ça n'augmentait en rien la sécurité du système (la réponse à la question était facile à trouver pour tout pirate en herbe). Mais maintenant, la banque a pris une mesure énergique, et elle a décidé de n'accepter la transaction qu'après… une vérification par téléphone. Donc il faut, petit 1, que j'enregistre un numéro de téléphone chez eux, petit 2, que je reçoive sur ce téléphone un code de sécurité pour chaque transaction.
Je reprends : pour faire un paiement par Internet, j'ai maintenant besoin d'être joignable par téléphone. L'Internet… ne suffit plus.
Pour prévenir les procès d'intention : je ne râle pas uniquement parce que je n'ai pas envie de laisser traîner mon numéro de téléphone n'importe où (même si ça joue aussi). Je râle parce que je trouve débile d'imposer une restriction arbitraire et irréaliste sur une opération aussi courante en 2009 qu'un paiement sur un site marchand. Procédure de sécurité, OK, pourquoi pas, mais rien ne dit que je suis chez moi prêt à recevoir un appel. Rien ne dit non plus que j'ai un téléphone mobile, et même si j'en avais un, il y a encore en France des zones non couvertes par un réseau GSM, et où l'Internet est accessible quand même. Alors que si je suis en train de faire un paiement par Internet, où que je sois, j'ai forcément accès à Internet. Donc pourquoi ne pas me faire parvenir ce code de sécurité par ce biais ? Dans un e-mail, par exemple, ou sur le site sécurisé de gestion de mes comptes ? Ou pourquoi ne pas utiliser un système de codes préétablis, un peu comme les protections des jeux vidéo des années 80, genre quel est le troisième mot de la cinquième ligne de la page 18 d'un document qui n'a été communiqué qu'à moi ? Ou carrément un véritable dispositif sécurisé (genre un token RSA), comme ça se fait partout où les gens ont besoin de sécurité informatique et pas de farce ?
Bon, vous me connaissez, je râle facilement, donc j'ai contacté ma banque pour obtenir des précisions. J'ai pas été déçu du résultat. Ma question (après un exposé de ce que je viens de vous relater) : « et comment font les gens qui n'ont pas de téléphone sous la main ? » Première réponse : « oui, c'est pour augmenter la sécurité, donnez-moi votre numéro et je l'enregistre ». Non, merci, je veux justement m'en passer, parce que je ne suis pas forcément joignable par téléphone, répondez à la question siouplaît. Deuxième réponse, donc : « c'est une mesure imposée par Visa, et c'est tout ». Mes super-pouvoirs de geek (et des potes en qui j'ai tout lieu d'avoir confiance) me disent que c'est un gros mensonge, et que ce système est spécifique à ma banque. OK, je fais quoi maintenant ?
Maintenant, je cherche des alternatives, parce que les procédures « de sécurité » qui bloquent l'utilisation de ce qu'on cherche à sécuriser, ça ne correspond pas à l'idée communément admise de la sécurité des systèmes d'information, qui inclut, ne l'oublions pas, la confidentialité des données, leur intégrité, le contrôle d'accès, et la disponibilité du service. Si le service n'est plus disponible… la sécurité n'est pas là. Donc je suis preneur de toute information concernant des banques dont les informaticiens prennent en compte les contraintes des clients avant de développer des systèmes qui ne marchent pas. Par e-mail, ou sur carte postale, au choix.
Je note en passant que le système de carte bleue virtuelle (qui crée un numéro de carte à usage unique, et qui est censé pallier ce défaut) ne constitue pas une solution, parce que les gens qui ont mis en œuvre ce système pour ma banque n'ont pas jugé utile de m'autoriser à m'en servir, moi qui ai le mauvais goût de n'avoir ni Windows ni Mac OSX.
Quand j'étais étudiant (notamment en informatique), on ne parlait de l'informatique bancaire qu'à mi-voix, et avec l'immense respect dû aux gens qui font des systèmes quasi-invulnérables, avec des taux de disponibilité de 99,999 %, etc. Dans la vraie vie : le site de gestion de mes comptes est, parmi ceux que je fréquente, le deuxième site le plus fréquemment en carafe (celui de la SNCF est intouchable), je ne peux plus faire de paiements par Internet, je ne peux plus non plus faire de virements par Internet (il faut que je passe d'abord au guichet)… Je sais bien qu'on ne voit que les problèmes et pas le reste du temps quand tout fonctionne, mais quand même. Force est de constater que le mythe en a pris un sacré coup, et la tendance ne me semble pas en voie de renversement. Hélas.
Posted Tue 22 Dec 2009 18:00:06 CETNote pour plus tard : quand à la suite de circonstances indépendantes de sa volonté on se retrouve avec une moto neuve, on a du rodage à faire. Au début, on va donc doucement, mais ensuite, on peut avoir l'impression de continuer à aller doucement, même quand on ne se limite plus aux plages de régime autorisées pendant les quelques premières centaines de kilomètres. Il convient donc, quand on retourne chez le gentil concessionnaire pour faire faire la révision de fin de rodage, de lui demander gentiment de vérifier s'il n'aurait pas malencontreusement omis d'enlever le bridage « jeunes permis » lors de la livraison de la moto.
Ce week-end, j'ai donc testé mon nouveau nouveau moteur. Et force est de constater que 85 chevaux, c'est mieux que 34. Quand en plus la route est belle et que la montagne d'automne est multicolore gris-vert-jaune-rouge…
Posted Sun 15 Nov 2009 22:35:04 CETPour ceux qui n'ont pas suivi : ma moto a servi de frein de secours à plus gros qu'elle, et elle est donc en voie de remplacement. Comme je vais reprendre la même mais en plus moderne, ça va être une moto neuve, donc soumise au nouveau système d'immatriculation des véhicules, qui n'est plus géographique mais national (et même européen, c'est dire). Chouette me disais-je, je vais pouvoir me débarrasser d'un numéro de département qui ne reflète pas grand-chose.
Eh ben non, apparemment cette indication de département reste obligatoire. On met ce qu'on veut, mais c'est obligatoire. Quelqu'un peut m'expliquer à quoi ça sert, du coup ? Et, accessoirement, quel a été le raisonnement derrière le choix de rendre obligatoire le fait de mettre un numéro quelconque qui ne représente rien ?
Mais surtout, se pose la question de ce que je vais y mettre. Y mets-je le numéro de là où j'habite actuellement ? Là où j'habitais quand j'étais petit ? Y a-t-il une convention déjà utilisée par les réfractaires ? Peut-être l'Ain (01), ou la Lozère ou la Creuse, peut-être, ou le Lot (département de Montcuq) ? Est-ce que je choisis un département au hasard ? Est-ce que je choisis le plus obscur possible ? Est-ce que je choisis un département d'Outre-Mer ? Est-ce que je choisis au hasard et que je change régulièrement ? Est-ce que j'y mets mon âge et que je le change chaque année ?
Vos suggestions sur carte postale ou par mail, merci.
Mise à jour : C'est plus la peine de me suggérer la Loire (42), ça a déjà été fait (plusieurs fois même).
Posted Tue 01 Sep 2009 19:01:07 CESTBoulet le fait, Gally le fait, Mélaka le fait, Vinvin le fait, d'après mes calculs Maliki devrait pas tarder, et Thomas un peu après. C'est la saison de l'autosatisfecit, alors allons-y gaiement : youpi youpi tralala, ce blog a maintenant cinq ans (et il est toujours aussi ce-que-vous-voulez).
Au bout de cinq ans, je peux bien vous dire maintenant pourquoi je l'ai créé. Parce qu'on me pose la question, et que des fois on ne me la pose pas mais on prête des motifs fantaisistes. J'ai créé ce blog parce que (accrochez-vous) je suis une feignasse. Et qu'en août 2004, j'avais déjà dans l'idée de faire un tour du monde, et que je pressentais déjà que j'aurais la flemme d'envoyer des mails personnalisés à tout le monde. Avec un blog, y'a toujours besoin de raconter, mais une seule fois, et je pouvais ne faire des mails que ponctuellement. On me dira que le tour du monde n'est arrivé que plus d'un an après, mais j'avais prévu du temps pour me familiariser avec le machin (rigolez, rigolez, mais rappelez-vous qu'en 2004, les blogs, c'était encore un peu expérimental).
Depuis, y'a eu d'autres voyages, mais je me suis surtout servi de ce blog comme d'une chaise sur laquelle monter pour dire mes bêtises à qui voulait bien les entendre, avec des nouvelles de mon nombril et de ce à quoi j'occupe mes journées. Certains billets ont eu un peu de gloire, que je veux croire méritée (même si les données sont faussées par le nom de domaine, qui attire toutes sortes de fétichistes). D'autres sont restés dans l'obscurité qu'ils méritaient. Ni les uns ni les autres ne m'ont empêché de dormir, et je vais donc probablement continuer comme ça jusqu'à ce que j'en aie marre. Et comme le système de commentaires est habilement dissimulé derrière le « Contact » écrit en rouge, personne (ou presque) ne vient me courir sur le haricot, donc ça peut durer longtemps comme ça.
On verra bien si je tiens cinq ans de plus.
Posted Wed 26 Aug 2009 22:15:02 CESTAnnonce rapide : sauf si des éléments d'information nouveaux viennent me convaincre du contraire, je vais prochainement me désinscrire des sites dits de « réseaux sociaux » où j'étais jusqu'à présent. Je m'y étais inscrit sous la pression populaire pour faire comme tout le monde, mais l'usage me confirme mes soupçons : ça sert finalement pas à grand-chose.
Maintenant, l'explication (curieuse, cette manie que j'ai de toujours vouloir me justifier).
J'avais commencé à m'inscrire sur Six Degrees (ouais, je sais, ça date pas d'hier). Ça n'allait pas chercher bien loin, mais ça n'avait pas grande prétention, et ça a fermé depuis de toute façon. Les sites modernes semblent ne pas avoir fait beaucoup de progrès dans l'utilité : en cinq ou six ans de LinkedIn, j'ai eu une offre d'emploi (pour laquelle les recruteurs n'avaient visiblement pas lu mon profil, d'ailleurs). En revanche, pour ce qui est des désagréments… Le même LinkedIn me sollicite régulièrement pour que je passe au service payant (donc ça sert toujours à rien mais en plus c'est plus cher ?), Viaduc (puis Viadeo) faisait rien qu'à m'envoyer de la pub, et dans tous les cas y'a toujours des « invitations » de gens qui cherchent à avoir la plus grosse liste de contacts/amis/relations, etc. Et si vous avez lu les conditions générales d'utilisation de Facebook, vous savez pourquoi je ne suis pas inscrit (d'autant que deux sources indépendantes m'ont dit que le principal effet de Facebook était de faire perdre son temps).
Antisocial, moi ? Je ne pense pas, non, je serais même plutôt pour. Mais les « réseaux sociaux » de l'Internette, je n'ai pas vraiment trouvé le rapport. Pour moi, la vie sociale, c'est ma famille, c'est les gens avec qui je travaille, c'est les copains avec qui je bois des bières, avec qui je fais du ski ou de la moto, avec qui je collabore sur des projets libres, etc. Ai-je besoin d'externaliser cette connaissance sur un site web ? Non. Si je le fais, le site va se souvenir de gens que j'ai oubliés, donc l'information sera périmée très vite (à la louche, il doit y avoir 10 % de mes relations LinkedIn sur qui je serais bien en peine de mettre des visages). Pour « rester en contact » même avec les gens que je ne rencontre pas très souvent dans la vraie vie, j'ai l'e-mail, les messageries instantanées, les blogs, etc.
Si donc vous « perdez » une « relation » sur un de ces sites (désolé de faire baisser vos statistiques), ce n'est pas que je ne vous aime pas, mais quand je compare l'intérêt aux désagréments occasionnés, l'avantage est clairement à l'élagage. Peut-être que je suis de la vieille école. Ça ne nous empêche pas d'aller boire un coup ensemble si vous passez dans la région.
Posted Tue 18 Aug 2009 11:30:04 CESTTrois quoi ? Trois clignotants de moto pétés en une fois. Record personnel battu, hier soir. Pour faire bonne mesure, le pneu explosé, la roue tordue et peut-être quelques menues broutilles supplémentaires genre le carénage, que j'ai pas examiné de près. Tout ça à cause d'un fort ralentissement sur la route, où la voiture devant moi s'est arrêtée, et moi aussi, et le Scenic qui me suivait aussi mais juste trop tard et en prenant appui sur ma roue arrière, en me faisant renouer avec l'époque où je faisais de l'acrobatie (mais j'étais pas trop attentif, donc je sais pas si j'ai effectué un flip ou une vrille).
La moto est repartie sur une dépanneuse (avec le Scenic, qui n'a pas résisté au choc : les bagnoles modernes, c'est de la camelote). Et le motard est rentré en tram avec un sparadrap sur le coude et des courbatures dans la nuque. Sans blouson ni pantalon blindé, y'aurait probablement eu un peu plus que du lave-glace et du liquide de refroidissement sur la route.
Moralité : les motards qui roulent en short et en chemisette font ce qu'ils veulent, moi je continuerai à porter mon armure même par 35 °C.
Posted Wed 12 Aug 2009 20:20:03 CESTLa dixième conférence Debian, cette année à Cáceres (Espagne), commence officiellement demain. Moi j'y suis arrivé depuis quelques jours déjà, après trois jours de moto avec deux membres de la cabale italienne (qui essaient d'infiltrer la française, d'ailleurs).
Donc ça fait quelques jours que je suis au Debcamp, le rassemblement des geeks Debian qui viennent pour travailler ensemble. Et même pour des gens habitués au mail et aux messageries instantanées, se retrouver autour d'une table constitue un gain énorme en productivité. Et ça marche bien : bientôt sur vos écrans, une annonce sur ce que j'ai fait de mon temps, mais visiblement de nombreux pans de Debian ont pas mal progressé aussi. Et ça n'empêche pas de boire une bière le soir, voire de jouer à des jeux qui nous font passer pour des malades.
Debcamp, c'était une centaine de personnes. La Debconf elle-même est prévue pour accueillir environ le triple. Donc une centaine de personnes sont arrivées aujourd'hui, et encore autant sont prévues pour demain. L'ambiance change du tout au tout, et l'énergie est presque palpable dans l'air. Ça parle un mélange de toutes les langues (en changeant au milieu des phrases quand un nouveau arrive dans une conversation), ça se retrouve après des années même s'il ne s'est écoulé que quelques jours depuis la dernière conversation électronique, ça s'échange des idées, ça les met en place, des trucs géniaux apparaissent en une heure, et les conférences elles-mêmes n'ont même pas encore commencé. Donc ça va être encore plus concentré quand tout ça devra se faire en-dehors des présentations.
Ma dernière Debconf remonte à la Debconf 6, et je me rappelle maintenant pourquoi je regrettais de ne pas avoir assisté aux suivantes.
Posted Thu 23 Jul 2009 23:00:04 CESTVoilà, c'est fait, j'ai enlevé mes lunettes. Et pas pour mettre des lentilles hein, l'expérience montre que depuis quelques années je ne les mettais qu'au ski (d'ailleurs, j'ai des stocks de produit de rinçage périmé, si ça intéresse quelqu'un). Non, je suis passé sous un laser.
Je vous épargne les détails de l'opération (si ça vous intéresse, cherchez « lasik » sur l'Internette multimédia mondiale, y'a même des vidéos, c'est magique), mais globalement c'est tout simple vu de l'opéré. Ça dure une demi-heure pour les deux yeux. Ça se fait en anesthésie locale (avec des gouttes). Promis ça fait pas mal, on sent juste qu'il se passe des trucs, un peu comme quand on se cogne l'orteil alors qu'on a la jambe ankylosée. On voit pas grand-chose non plus, à part la machine qui vient se mettre en place, pas mal de lumière pour que les chirurgiens voient ce qu'ils font, et des phosphènes genre ce qu'on voit après s'être mis le doigt dans l'œil. À l'ouïe, rien de particulier, le chirurgien, l'opérateur et les infirmières blaguent entre eux, à un moment y'en a un qui dit « 21 secondes, trois étapes », puis ça grésille pendant 21 secondes au total en trois fois, et c'est tout. Au nez, juste une vague odeur de cochon grillé à un moment, comme quand on se brûle les poils avec une torche, sauf que ça dure juste quelques secondes. Et au goût, juste un sucre pour éviter la baisse de tension.
Et à la fin, on se relève et on peut lire l'heure sur l'horloge murale. C'est magique.
J'en suis actuellement à la phase post-opératoire, où je me mets des gouttes dans les yeux plusieurs fois par jour et des coques protectrices la nuit pour éviter d'appuyer dessus. Je ressemble un peu à un vampire aux yeux injectés de sang, mais de toute façon je suis censé garder mes lunettes de soleil en permanence pendant une semaine donc ça se voit pas, à part que je suis une rock star photophobique (et comme je suis un geek qui bosse à la maison, de toute façon l'impact est minime).
Le seul effet secondaire pour l'instant est que j'ai un léger halo autour des lumières. Un genre de soft-focus à la David Hamilton. Mais ça a déjà commencé à s'estomper, et de toute façon y'a pas les filles nues.
Posted Thu 14 May 2009 11:50:03 CESTQuand j'étais petit, mon papy me racontait l'histoire du type qui était mort à 1000 ans et celle de celui né à 40 ans. Et ça me faisait beaucoup rire.
Eh ben aujourd'hui, c'est pas pour me vanter, mais j'ai à la fois 20 ans, 40 ans et 100000 ans. Et 32. Et c'est pas demain la veille que ça va se reproduire, donc fiesta !
(Le monde se divise en 10 catégories : ceux qui comprennent le binaire et ceux qui se creusent la tête.)
Posted Sat 11 Apr 2009 12:00:08 CESTSi vous n'avez pas passé les trois dernières semaines sous un caillou ou dans un monastère, vous savez déjà que la version 5.0 de Debian GNU/Linux, nom de code « Lenny », est sortie le 14 février dernier. Pour accompagner la publication de cette nouvelle version majeure de Debian, Raphaël Hertzog et moi-même avons également mis à jour le Cahier de l'admin Debian. L'édition portant sur Lenny est déjà disponible en version électronique sur Izibook, et la version papier sera chez les libraires le 19 mars. Elle ne constitue pas une révolution (on ne change pas une formule qui est devenue au fil des ans la référence en français), mais principalement une mise à jour, avec des ajouts pour combler quelques vides (par exemple, de nouvelles sections sur OpenVPN et les partitions chiffrées).
Pour certaines des précédentes éditions, il avait été lancé un concours où les personnes faisant la meilleure promotion étaient récompensées par des exemplaires du livre. Pour cette édition, nous avons gardé l'idée, mais l'objet du concours est différent : il s'agit non plus de faire la promotion du livre, mais de participer à la communauté Debian. Pas besoin d'être un super-développeur, il suffit d'apporter une contribution qui va faire progresser Debian d'une manière ou d'une autre, à condition que ce soit tangible. Raphaël écrit une série d'articles sur le sujet, vous pouvez donc aller y piocher des idées. J'en ajouterai deux, complémentaires :
- Publier un blog qui donne une visibilité aux évolutions récentes, en cours ou prévues de Debian unstable et/ou testing, voire experimental. Quelques exemples de ce qu'on pourrait y voir serait l'arrivée d'une nouvelle version majeure du noyau ou de Gnome, la disparition d'un paquet au profit d'un autre, l'arrivée de nouveaux paquets intéressants, leur migration vers testing, etc. Pas une liste de tous les changements de chaque bibliothèque mineure, mais juste une vue macroscopique de ce qui se passe de visible pour les utilisateurs.
- Dans un registre un peu différent, il serait intéressant de publier (peut-être aussi sous forme de blog) un baromètre de l'état actuel d'unstable, avec les migrations en cours, les paquets importants connus pour être cassés, etc. Le but est de faciliter l'usage d'unstable par des utilisateurs courageux-mais-pas-téméraires. Un exemple de ce que j'y verrais bien est une mention du bug 511009, assorti d'une mention que c'est pas une bonne idée d'upgrader CUPS pour l'instant (ça m'aurait évité quelques heures d'interrogations) ; et un autre billet quand c'est résolu. Là encore, trop de débit ne servirait à rien, il suffirait d'une vision macroscopique de l'état des différents sous-systèmes.
Bien entendu, ce ne sont que des idées, et les plus originales seront peut-être les meilleures, puisqu'elles seront celles que nous n'auront pas prévues et apporteront donc une réelle nouveauté.
Les juges du concours sont, devinez qui… Raphaël et moi. Nous essaierons bien entendu d'être impartiaux et de ne pas donner dans le copinage, mais il est évident que les contributions qui nous touchent directement seront appréciées. Pour trouver une justification noble à ce favoritisme, disons que c'est pour inciter les participants à s'impliquer dans la communauté et pas juste à un aride ensemble de bugs sans humanité : nos centres d'intérêt sont largement documentés sur la toile, et ça fera une excellente manière de se familiariser avec les différents outils et sources d'informations disponibles.
Le concours est doté de 10 éditions papier du livre pour les nouveaux contributeurs, et je pense qu'on peut le comparer à un genre de stage à sujet libre (à condition qu'il ait des résultats concrets et positifs). Trois exemplaires supplémentaires seront également remis à des contributeurs plus anciens au titre de récompense « pour l'ensemble de leur œuvre ».
Références :
- Titre : Debian Lenny
- Auteurs : Raphaël Hertzog et Roland Mas
- ISBN13 : 978-2-212-12443-9
- Site web : chez Raphaël et chez Eyrolles
