Que fait Firefox sur le réseau quand on le démarre et faut-il y remédier ?

En lien avec les évènements relatés dans mon article précédent « Une avalanche de FUD sur Mozilla et Firefox. » Oros a conduit une petite étude du comportement d’un Firefox fraîchement installé et en a tiré un fichier de configuration à appliquer pour le rendre complètement silencieux.

Cependant, je trouve non seulement que son analyse manque cruellement d’explications et que son fichier de configuration propose des valeurs qui vont beaucoup trop loin à mon goût, d’autant que ces choix ont pour seule justification le fait de faire taire Firefox. Cette approche est donc dommageable et on voit déjà des partages affolés de la part de gens pour qui « requête réseau » signifie que Firefox vends leurs données personnelles à des grosses corporations :

Je vais donc détailler un peu à quoi correspondent les requêtes listées ainsi que ce qui se trouve dans ce fichier de configuration et, quand c’est le cas, pourquoi j’estime qu’une telle désactivation est problématique.

Pour les requêtes réseaux, je n’ai pas leur contenu et ne pourrai donc pas en expliquer certaines mais les noms de domaine des autres sont pour la plupart assez parlants.

1 : www.mozilla.org.
1 : snippets.cdn.mozilla.net.
1 : geo.mozilla.org.
1 : location.services.mozilla.com.
1 : search.services.mozilla.com.
1 : self-repair.mozilla.org.
1 : aus4.mozilla.org.
3 : search.yahoo.com.
3 : ff.search.yahoo.com.
1 : ciscobinary.openh264.org.
1 : clients1.google.com.
1 : safebrowsing.google.com.
53 : safebrowsing-cache.google.com.
1 : ocsp.digicert.com.

geo.mozilla.org et location.services.mozilla.com correspondent de manière assez évidente à un service de géolocalisation. Mozilla connait donc l’emplacement approximatif de tel navigateur. Ces requêtes disparaissent en passant browser.search.geoip.url à false cela a donc à voir avec les fonctionnalités de recherche comme nous le verrons dans le détails des options.

search.services.mozilla.com, aus4.mozilla.org et self-repair.mozilla.org sont des domaines utilisés par Mozilla pour la maintenance de Firefox : des vérifications de mises à jour pour les deux premiers et le service Heartbeat pour le dernier. Heartbeat étant le service de feedback pour Firefox (ce panneau « Rate your experience with Firefox » qu’on voit s’afficher de temps en temps.) Il permet à Mozilla de savoir combien de personnes démarrent leur Firefox chaque jour pour avoir un suivi statistique.

search.yahoo.com et ff.search.yahoo.com sont là pour fournir à Yahoo des statistiques d’utilisation. Ils ont un contrat avec Mozilla pour être le moteur de recherche par défaut, ces appels servent à justifier l’utilité de ce deal.

ciscobinary.openh264.org a rapport avec le décodage des vidéos en h264 dans le lecteur HTML5. h264 est un codec brevet et les éditeurs de logiciel qui distribuent un codec h264 doivent payer une licence pour chaque codec distribué. Ça ne s’applique pas en Europe car (pour l’instant) les brevets logiciels sont encore considérés comme nuls mais aux États-Unis notamment, il faut passer à la caisse. Pour éviter à Mozilla de devoir mettre la plupart de ses économies dans le paiement de la licence à MPEG-LA, Cisco lui fournit gracieusement un codec nommé openh264. Cet appel réseau peut donc aussi bien être présent à des fins de statistiques mais aussi de mise à jour. (Si vous allez dans les Préférences – Modules – Plugins, vous verrez le codec en question.)

Le grand nombre d’appels à Google ont rapport au service SafeBrowsing de Google (Navigation Sécurisée en français). C’est une liste noire de domaines qui contiennent ou ont contenu divers malwares ou qui pratiquent le phishing. Cela permet au navigateur de bloquer la page avant même de la charger et d’afficher une alerte mais cela implique d’envoyer l’URL visitée au service. Et ce service est tenu par Google.

Le dernier, ocsp.digicert.com, concerne le protocole OCSP (Online Certificate Status Protocol) et sert à vérifier la validité d’un certificat chez son émetteur (ici, DigiCert) afin de s’assurer qu’il n’a pas été révoqué. Ni information personnelle, ni statistique, il s’agit d’un protocole de sécurité qui va de pair avec TLS.

On remarquera aussi que, contrairement aux cris d’horreur poussés par les détracteurs de Firefox Hello et de l’intégration de Pocket, strictement aucune requête réseau ne concerne ces fonctionnalités.

Voila pour les appels réseau que j’ai pu identifier, passons maintenant aux différents blocs du fichier de configuration.

Le rafraichissement automatique de certaines pages

user_pref("accessibility.blockautorefresh",true);

On commence bien avec un réglage de bon sens. accessibility.blockautorefresh bloque le rafraichissement automatique de certaines pages. Cette fonction était sensée avant la démocratisation d’AJAX pour mettre à jour une page qui disposait d’un nouveau contenu mais la technique est usée et abusée par les sites de presse qui profitent des onglets en arrière plan pour se booster les vues et rentabiliser leurs lecteur⋅ices. Pour plus d’infos : accessibility.blockautorefresh sur Mozillazine.

Des préférences sans lien avec le réseau

user_pref("browser.cache.disk.enable", false);
user_pref("browser.download.panel.shown", true);
user_pref("browser.newtab.url","about:blank");

Ces trois-là portent plus matière à controverse puisqu’il s’agit de préférence personnelle.

Pour le premier pas de cache sur le disque signifie potentiellement moins d’accès disques (et c’est bien) mais ça signifie aussi que le cache se vide quand on ferme Firefox. Il faudra donc charger à nouveau toutes les ressources sur chaque site web. Ça veut donc dire plus de trafic réseau, plus de charge sur les serveurs et des pages qui s’affichent globalement moins vite.

Pour le second, on force Firefox à nous demander où enregistrer les fichiers qu’on télécharge au lieu de les mettre d’office dans un dossier spécifié. C’est bien quand on apprécie ce comportement, c’est moins bien quand on préfère le comportement par défaut. De plus la présence de cette ligne empêche de modifier l’option dans Préférences – Général – Téléchargement.

Idem pour le dernier du bloc, afficher about:blank à l’ouverture d’un onglet n’est peut-être pas du goût de tout le monde. Alors que about:mozilla ou about:about valent le détour.

Google SafeBrowsing

// I remove all URL because I don't want to
// connecte my PC to Google
user_pref("browser.safebrowsing.appRepURL", "");
user_pref("browser.safebrowsing.downloads.enabled", false);
user_pref("browser.safebrowsing.downloads.remote.enabled", false);
user_pref("browser.safebrowsing.enabled", false);
user_pref("browser.safebrowsing.gethashURL", "");
user_pref("browser.safebrowsing.malware.enabled", false);
user_pref("browser.safebrowsing.malware.reportURL", "");
user_pref("browser.safebrowsing.reportErrorURL", "");
user_pref("browser.safebrowsing.reportGenericURL", "");
user_pref("browser.safebrowsing.reportMalwareErrorURL", "");
user_pref("browser.safebrowsing.reportMalwareURL", "");
user_pref("browser.safebrowsing.reportPhishURL", "");
user_pref("browser.safebrowsing.reportURL", "");
user_pref("browser.safebrowsing.updateURL", "");
user_pref("browser.trackingprotection.gethashURL", "");
user_pref("browser.trackingprotection.updateURL", "");
user_pref("services.sync.prefs.sync.browser.safebrowsing.enabled",false);
user_pref("services.sync.prefs.sync.browser.safebrowsing.malware.enabled",false);

Ici on s’attaque à SafeBrowsing de Google. Il y a des pour à propos de cette désactivation : On envoie pas les URLs visitées à Google, mais il y a des contres : on ouvre laisse plus de champs à une infection par Javascript ou à un Phishing. Bref, c’est quelque chose qu’il faudrait désactiver après réflexion et pas « parce que Firefox envoie des données mon dieu ! »

Ne vous leurrez pas non plus si vous utilisez GNU/Linux, pas plus tard que début août une faille dans PDF.js permettait à un script JS de récupérer des fichiers de votre ordinateur, l’exploit visait /etc/passwd, .my.conf (coucou le mot de passe MySQL) ou encore .bash_history.

Et en aucun cas ne faites ça chez un⋅e ami⋅e ou parent⋅e qui ne maîtrise pas l’outil informatique.

Le moteur de recherche par défaut

user_pref("browser.search.defaultenginename", "DuckDuckGo");

Sur le fait de forcer DuckDuckGo comme moteur de recherche par défaut, je n’y vois personnellement aucun inconvénient mais il faudra penser à cette ligne si vous préférez utiliser autre chose. Un méta moteur comme l’instance searx de Framasoft par exemple.

La géolocalisation

user_pref("geo.enabled",false);
user_pref("browser.search.geoip.url", "");
user_pref("geo.wifi.uri", "");

Ces règles de configuration désactivent la géolocalisation du navigateur. geo.enabled permet, quand sa valeur est true, d’autoriser certains sites à géolocaliser votre navigateur pour « améliorer » le service fourni. Ça va de Facebook Messenger qui le fait à des fins commerciales et qui fait fuiter l’info à vos amis à monprochainbus.eu qui indique les arrêts de bus les plus proches sans qu’on ait rien à saisir. Dans tous les cas, Firefox vous demande l’autorisation.

De son côté, browser.search.geoip.url aide le navigateur à identifier le pays dans lequel vous vous trouvez à l’aide de la technique GeoIP. Pour cela il effectue une connexion à l’adresse https://location.services.mozilla.com/v1/country?key=%MOZILLA_API_KEY% et reçoit le nom standardisé du pays. Vous remarquerez l’envoi d’un identifiant unique %MOZILLA_API_KEY% qui identifie une installation de Firefox. Il est possible que ce soit utilisé à des fins de limitations du nombre de requêtes. Conserver l’URL en enlevant ?key=%MOZILLA_API_KEY% ne perturbe pas plus Firefox que ça, empêche Mozilla de suivre votre instance particulière de Firefox mais cela fausse aussi certainement leurs statistiques d’usage par pays.

Enfin, geo.wifi.uri aide la géolocalisation de Firefox à se montrer plus précise en utilisant Google Location Services. Firefox envoie donc votre IP, la liste des réseaux Wifi environnants et un identifiant unique régénéré toutes les deux semaines à Google pour obtenir une localisation fiable au niveau de la rue au lieu de n’avoir que GeoIP qui est fiable au niveau de la ville (et encore, parfois on a que le pays). Sans cette option, la précision prend un sacré coup ce qui peut jouer des tours aux personnes qui en ont l’utilité.

De plus comme indiqué dans ce commentaire, il est possible d’utiliser Mozilla Location Service à la place de Google Location Service pour la préférence geo.wifi.uri.

D’autres préférences sans rapport avec le réseau

user_pref("browser.search.openintab",true);
user_pref("browser.search.showOneOffButtons",false);
user_pref("browser.startup.page", 0);
user_pref("browser.tabs.warnOnClose", false);
user_pref("browser.tabs.warnOnOpen", false);
user_pref("plugins.click_to_play",true);
user_pref("general.warnOnAboutConfig",false);
user_pref("browser.urlbar.trimURLs",false);

Ici on retrouve à nouveau des préférences qui n’impactent pas la « vie privée », browser.search.openintab force l’ouverture d’un onglet après une recherche dans la barre de recherche, browser.search.showOneOffButtons masque les boutons des moteurs de recherche installés qui s’affichent en bas du champ de recherche, browser.startup.page définit la page qui s’affiche au démarrage du navigateur (ici elle est à 0 donc une page blanche, par défaut c’est la page d’accueil. Du coup ça fait doublon puisque précédemment on a défini la page d’accueil à about:blank), les deux directives browser.tabs suppriment respectivement l’alerte du navigateur quand on le ferme et que plusieurs onglets sont ouverts et l’avertissement quand on ouvre un nouvel onglet alors qu’il y en a déjà 15 ouverts (browser.tabs.warnOnOpen va de pair avec browser.tabs.maxOpenBeforeWarn qui est par défaut à 15)

De son côté plugins.click_to_play force l’activation des plugins à « Toujours demander » ce qui est le cas par défaut depuis Firefox 31.

user_pref("general.warnOnAboutConfig",false); supprime simplement l’avertissement qui s’affiche en visitant la page about:config (comme quand on coche la case « Ne plus me demander » de cette même page d’avertissement.)

Le dernier force l’affichage de http:// ou de https:// dans la barre d’adresse puisqu’ils sont masqués par défaut depuis Firefox 7. À ça on pourrait rajouter le passage de browser.urlbar.formatting.enabled à false qui va empêcher d’afficher le domaine en noir et les autres parties de l’URL en gris.

Les rapports de santé de Firefox

user_pref("datareporting.healthreport.service.enabled",false);
user_pref("datareporting.healthreport.uploadEnabled",false);

Le service rapport de santé est un service qui enregistre divers statistiques d’utilisation comme les derniers crashes de Firefox ou le temps de démarrage moyen. Désactiver le service empêche purement et simplement la création de tels rapports et désactiver le partage fait que Mozilla ne reçoit plus les rapport générés. S’il est compréhensible de désactiver le partage du rapport, il peut par contre s’avérer problématique de désactiver la création de ces rapports qui peuvent servir à dépanner un Firefox bancal.

Les rapports en question sont accessibles via la page about:healthreport, en cliquant sur données brutes vous pouvez voir les rapports tels qu’ils sont envoyés à Mozilla, la page en question contient également un bouton pour désactiver le partage (même effet que datareporting.healthreport.uploadEnabled) et un lien vers une page d’explication assez bien faite : Bilan de santé de Firefox – comprendre vos performances navigateur

L’injection de contenu dans le presse-papier

user_pref("dom.event.clipboardevents.enable",false);

Cette préférence désactive les évènements JavaScript oncopy, oncut et onpaste qui permettent aux sites web de manipuler le contenu du presse papier. Désactiver cette fonction n’a que du positif puisque le site sur lequel vous faites un copier-coller ne pourra pas rajouter du texte arbitraire comme un lien promotionnel après le contenu désiré.

Les suggestions de recherche

user_pref("browser.search.suggest.enabled",false);

Cette option va désactiver les suggestions de la barre de recherche. C’est ce qui permet à DuckDuckGo de vous suggérer « Les hommes les plus riches du monde » quand vous saisissez « Les hommes » ou « Les femmes les plus belles du monde » quand vous saisissez « Les femmes » (On notera au passage l’influence du patriarcat sur les suggestions de recherche…).

Pour que ça fonctionne, Firefox envoie une requête à chaque lettre tapée dans le champ de recherche. Personnellement j’ai du mal à saisir l’intérêt de désactiver les suggestions que je trouve souvent pertinentes, d’autant que quand je tape une phrase, je me fiche de savoir que mon moteur de recherche sait que j’en ai saisi chaque lettre une par une.

Sans les suggestions, Firefox se rabat sur son historique interne.

Le User Agent et ses potes

// user-agent
user_pref("general.appname.override", "");
user_pref("general.appversion.override", "");
user_pref("general.oscpu.override", "");
user_pref("general.platform.override", "");
user_pref("general.useragent.override", "Mozilla/5.0 ()");
user_pref("general.useragent.vendor", "");

Le user-agent est une chaine de caractère identifiant les différents navigateurs, leur version et leur environnement. À titre d’exemple, celui de mon Firefox est Mozilla/5.0 (X11; Linux x86_64; rv:41.0) Gecko/20100101 Firefox/41.0 On retrouve l’environnement pour lequel Firefox a été compilé, sa version, la version de son moteur, etc. Ce bloc-là masque tout ce qu’il est possible de masquer dans cette chaine et force en plus sa valeur à une chaine arbitraire et je suis plus que dubitatif sur l’utilité de dissimuler cette information.

Par contre la conséquence la plus directe est de faire baisser les statistiques d’utilisation de Firefox puisque les sites qui recensent de telles statistiques ne sauront plus par quel navigateur ils sont visités. Les parts de marché de Firefox sont déjà en baisse plus ou moins constante au profit de Chrome et contribuer à les faire diminuer pour aucun bénéfice revient à confirmer Chrome dans sa position de nouvel IE6 (et on ne veut vraiment pas amplifier le mouvement).

Bref, masquer son user-agent, sauf cas spécifiques comme par exemple à des fins de tests ou encore quand on utilise Opera et que Google fournit délibérément une version inutilisable de ses application, n’a aucun intérêt.

Mise à jour : Visiblement Google aime bien faire n’importe quoi avec les user-agents et semble empêcher le plein écran sur Youtube si general.useragent.override ne contient pas Gecko, merci à un⋅e anonyme sur OpenNews pour le signalement. (Le lien vers la question, le lien vers la réponse)

La lecture HTML5 sous windows et les DRM

user_pref("media.directshow.enabled",false);
user_pref("media.windows-media-foundation.enabled",false);

Ces deux préférences n’ont d’intérêt que sous windows et vont désactiver le lecteur interne de Firefox en ce qui concerne les fichiers mp4 et mp3. Le problème qui se pose c’est que les sites proposant un lecteur HTML5 comme SoundCloud ou Youtube vont à présent utiliser la rétro-compatibilité et se rabattront sur Flash. Ce qui est un peu paradoxal quand on pense protéger sa vie privée.

user_pref("media.eme.enabled",false);
user_pref("media.gmp-eme-adobe.enabled",false);

Celles-là ont rapport avec le support des EMEs (Encrypted Media Extension) qui sont les DRMs standardisées de HTML5. Comme les DRMs c’est purement et simplement de la merde il parait logique de désactiver leur support. Néanmoins, les sites avec EME risquent une fois encore de se rabattre sur Flash qui a lui aussi son système de DRMs, non standardisé lui. Si vous voulez éviter à tout prix les DRMs il faudra donc vous assurer de désactiver Flash également. Et de garder à l’esprit que si votre navigateur ne lit pas les fichiers que tous les autres utilisateur⋅ices arrivent à lire, ce n’est pas de sa faute.

Des fuites d’information

user_pref("media.peerconnection.enabled",false);
user_pref("network.proxy.socks_remote_dns",true);
user_pref("network.http.sendRefererHeader",0);

La première préférence à rapport à WebRTC. Ce protocole sert à la communication directe entre deux navigateurs. C’est ce qui permet par exemple de jouer en réseau ou de faire de la conférence vidéo en web. Ici, WebRTC est désactivé de force car son implémentation actuelle expose les adresses IPs locales de l’ordinateur. N’importe quel site web est donc capable de récupérer la liste de vos IPs et est susceptible de contacter d’autres ordinateurs sur le réseau avec des appels AJAX depuis votre navigateur. (Il lui faut tout de même connaître les IPs de destination.) Les proxys et les VPN verront eux aussi leurs adresses exposées. Si vous n’utilisez pas WebRTC il est donc plus sûr de désactiver cette option. Le bug concernant cette faille est visible ici [meta] ICE candidate generation control and user authorization et les développements autour sont assez actifs.

À noter que Chrome y est également vulnérable car le problème provient d’un flou dans le standard WebRTC.

La seconde force Firefox à envoyer les requêtes DNS à travers le proxy si vous en utilisez un. Avec la valeur par défaut, les requêtes sont envoyées sur le résolveur DNS de l’ordinateur et le réseau que vous essayez de contourner à l’aide d’un proxy connait tous les domaines que vous visitez.

Finalement, la dernière bloque l’envoi du referer aux sites que vous visitez. Le referer est le site de provenance quand vous cliquez sur un lien. Par exemple si je visite le Shaarli de SebSauvage et que je clique sur un lien vers le blog de Kevin, ce dernier aura la possibilité de savoir que j’ai cliqué sur un lien chez Seb pour arriver chez lui. Ce n’est valable qu’en HTTP car en HTTPS le referer n’est jamais envoyé par Firefox.

Des requêtes en avance

user_pref("network.dns.disablePrefetch",true);
user_pref("network.http.speculative-parallel-limit",0);

Ces deux-là visent à améliorer le temps de réaction de Firefox au moment de cliquer sur un lien. Ainsi, le DNS Prefetch consite à lister les liens d’une page et de résoudre les noms de domaines associés pour s’épargner la durée de résolution au moment du clic. Ça fournit à votre résolveur DNS la liste des domaines liés sur une page et le désactiver augmente le temps de réponse de Firefox de quelques millisecondes (le temps de la résolution DNS). À la fin de la journée, le gain en vitesse cumulé est appréciable et le risque en terme de vie privée est pour le moins inexistant.

Activation de Firefox Hello

user_pref("loop.enabled",true);

Cette préférence active Firefox Hello, c’est la valeur par défaut donc on empêche sa désactivation. Ce qui ne mène à rien puisque Firefox Hello est basé sur WebRTC qui a été désactivé quelques lignes avant.

Les versions de TLS

user_pref("security.ssl3.dhe_rsa_aes_128_sha",false);
user_pref("security.ssl3.dhe_rsa_aes_256_sha",false);
user_pref("security.tls.version.max",3);
user_pref("security.tls.version.min",2);

Ces lignes concernent le protocole TLS qui définit la sécurité en HTTPS. La valeur de tls.version.min indique qu’on accepte au moins TLS1.1 et celle de tls.version.max indique qu’on accepte au plus TLS1.2 (la dernière en date). Les deux premières lignes ont rapport à SSLv3 et ne sont pas pertinentes puisque SSLv3 est antérieure à TLS1.0 et est donc désactivé.

Un bloqueur de traqueur intégré

user_pref("privacy.trackingprotection.enabled",false);

À partir de la version 35, Firefox intègre un bloqueur de traceurs basé sur la liste de Disconnect.me, il serait remarquablement efficace puisqu’une paire de chercheurs ont publié une étude à son sujet début 2015 indiquant une augmentation de 44% de la vitesse de chargement, une diminution de 39% du traffic réseau et une diminution de 66% du nombre de cookies. Cette fonction est désactivée par défaut et la valeur de cette préférence empêche ici son éventuelle activation (ce qui n’est pas très logique si notre but est d’améliorer la protection de notre vie privée avec Firefox).

La télémétrie : analyse des performances et des fonctions les plus utilisées de Firefox

user_pref("toolkit.telemetry.enabled",false);

La télémétrie permet à Mozilla de recueillir des informations importante sur le comportement de Firefox dans une vaste diversité d’environnements. Elle est désactivée par défaut dans Firefox Stable et ESR mais activée par défaut sur Beta, Developper et Aurora. La présence de cette préférence empêche son activation et on se retrouve donc à utiliser Firefox sans contribuer à son amélioration. Et c’est dommage.

Conclusion

S’il est tout à fait justifié de surveiller les usages réseaux de nos applications favorites pour veiller à ce qu’elles ne nous trahissent pas, chercher aveuglément à les bloquer est loin d’être une solution pertinente. Surtout quand cela amène à proposer une configuration à poser puis oublier présentée comme « Améliorant la vie privée » quand cette configuration mêle préférences personnelles, lignes obsolètes ou redondantes et valeurs exposant à plus de tracking ou de malwares, en dépit de quelques parties pertinentes.

Au vu du temps que m’a pris la simple recherche pour comprendre l’intérêt de ces options, je suis convaincu que la plupart des gens qui verront et appliqueront ce fichier ne feront que le survoler se retrouvant du coup avec un Firefox au fonctionnement modifié pouvant même être considéré comme défaillant (puisqu’il n’y a plus de WebRTC, plus de lecteur HTML5, plus d’optimisation du chargement de certaines pages) et j’estime qu’il y a une certaine responsabilité qui ne doit pas se limiter à une bête notice « Lisez le fichier avant de l’appliquer » quand on fournit une telle configuration sur internet. (Non, je n’aime pas trop la licence MIT non plus.)

Néanmoins, j’espère que cet article vous aura permis d’en apprendre plus sur le fonctionnement de Firefox et que vous mesurerez bien les tenants et les aboutissants des modifications de configuration que vous ferez à l’avenir.


Crédit photo: social network hub par Mathias Pastwa

 

Une avalanche de FUD sur Mozilla et Firefox.

Attention : Cet article est un peu technique et certaines notions risquent de vous échapper si vous n’avez pas quelques connaissances de base en développement web.

Depuis l’introduction d’un bouton Pocket dans Firefox il ne se passe pas une seule semaine (j’aurais pratiquement même tendance à dire « un seul jour » au point où on en est) sans que Mozilla se prenne un nouveau FUD dans la face.

Petite définition de FUD :

FUD est un acronyme signifiant « Fear, uncertainty and doubt » ou, en français : « Peur, incertitude, doute »

C’est généralement une stratégie marketing organisée par une entreprise pour dénigrer un concurrent en semant la peur, l’incertitude et le doute dans l’esprit des clients.

Il s’agit de manipuler une information pour la parsemer d’hypothèses et de conditionnel afin de la rendre angoissante. La répétition de cette manipulation ancre le FUD dans l’inconscient collectif et le rend plus efficace.

Les derniers FUD auquel Mozilla a du faire face :

Firefox Social API, ou Facebook dans mon Firefox

Celui là est assez vieux et il a fini par être oublié. En 2012, Mozilla active la Social API dans Firefox Beta et lance un appel à testeures pour essayer leur intégration de Facebook Messenger.

Cette API est très simple et se configure à l’aide d’une bête chaine en JSON passée au navigateur à l’aide d’un évènement Javascript. En gros, on indique un nom, quelques urls et l’emplacement de boutons et de cadres.

Ensuite Firefox demande confirmation aux utilisateurices pour l’activation du module et le navigateur se charge d’afficher le contenus des pages référencées dans les cadres définis.

Si vous voulez voir un exemple d’implémentation, j’ai participé en mai à l’ajout du module Social API sur Shaarli. Comme on peut le voir c’est très simple et très innocent.

Pourtant, dès cette annonce on a pu voir des inquiets s’agiter et répéter à tort et à travers que Facebook s’infiltrait dans un module propriétaire de Firefox, que c’était la fin de la protection de la vie privée par Mozilla, une pluie de pierre et de feu, sacrifices humains, copulation entre chiens et chats, etc.

En dépit du fait que Mozilla avait accompagné un article expliquant que les modules Social n’avaient accès à aucune information (à l’exception de l’URL et de la description de la page quand l’utilisateure cliquait sur « Partager » évidemment) : Being social with privacy in mind

This new functionality doesn’t give your social network access to any additional information from your browser. Again: it’s a lot like having a tab open to your social network.

Trois ans plus tard la Social API est largement tombée dans l’oubli, Facebook a supprimé la page d’activation du module et les gens ont heureusement oublié que « Facebook est intégré par défaut dans Firefox »

Firefox Hello

Un peu sur le même modèle mais beaucoup plus récent, fin 2014, Mozilla annonce l’arrivée de Firefox Hello. Un bouton permettant la discussion instantanée directement dans Firefox en utilisant le protocole WebRTC.

Pour l’occasion ils ont fait un partenariat avec TokBoxi (propriétée de Telefonica), spécialiste dans les communications WebRTC, pour utiliser leur plateforme.

Rebelote, Mozilla a vendu la vie privée de ses utilisateuricess avec une extension privatrice rendue obligatoire qui ralenti incroyablement Firefox et qui espionne leurs moindres faits et gestes.

Alors que le bouton ne fait strictement rien tant qu’on ne clique pas dessus, de même que son affichage ne ralenti par Firefox puisque les boutons de barre d’outils sont chargés de manière asynchrone.

Firefox Pocket integration

C’est cette fois en Juin 2015 que Mozilla annonce l’intégration d’un bouton Pocket dans Firefox. Pocket est un service de marque-page dont le principal intérêt est sa capacité à reformater le contenu des pages qu’on y enregistre pour qu’elles soient plus lisibles.

Ici encore, sacrifice de la vie privée, espionnage des utilisateurs, ralentissements du navigateur.

Je vais quand même faire une mention spéciale à Numérama pour le titre le plus imbécilement racoleur et mensonger qu’il m’ait été donné de voir parmis tous les articles alarmistes sur le sujet : « L’add-on Pocket imposé par Mozilla sur Firefox avait une faille »

Notez l’élément de langage : « imposé » quand le simple fait de masquer le bouton en deux clic désactive effectivement l’add-on en question. Et notez également que la faille dont il est question ici n’a absolument rien à voir avec cet addon mais plutôt avec l’infrastructure de Pocket. Pour preuve, on peut lire l’article expliquant les détails de la faille et on peut également utiliser son cerveau et réaliser que Mozilla n’a publié aucun correctif en rapport avec Pocket au moment où la faille a été corrigée.

Comme avec Firefox Hello, le bouton ne fait toujours rien tant qu’on ne clique pas dessus, son affichage ne ralenti toujours pas Firefox et le simple fait de l’enlever de la barre d’outil désactive l’exécution du code d’affichage du bouton (logique).

La signature obligatoire des add-ons

En février 2015, Mozilla annonce que Firefox refusera de lancer les add-ons qui n’ont pas été signés sur addons.mozilla.org (Aussi appelé AMO). Cette décision est motivée par la sécurité des utilisateurs et vise à analyser le code de toutes les extension Firefox afin d’interdire celles qui tenteraient des choses curieuses comme envoyer le contenu de vos fichiers ou la liste de vos mots de passe sur un serveur distant. (Oui, les add-ons peuvent faire ça.)

L’initiative vise aussi à diminuer le nombre de barres d’outils et de malware publicitaires installés par des programmes comme… Flash Player.

Si les utilisateurices de Firefox peuvent se satisfaire d’un add-on installé de base qu’il est possible de désactiver, avec la signature obligatoire on touche là au cœur même de la liberté des gens puisque la première plainte émise a été de ne plus pouvoir télécharger ses add-ons ailleurs que sur AMO, d’ouvrir la porte à la voie de la censure et de transformer Mozilla en dictature de la pensée unique (rien que ça).

Pourtant, rien de tout ça n’est fondé.

Les extensions qui sont déjà sur AMO sont déjà soumise à une procédure de vérification. Elle est manuelle, effectuée par des bénévoles, la vérification peut prendre plusieurs jours. Et ça fait bien longtemps que personne ne s’en est plain. Ces add-ons seront signés automatiquement.

Les extensions qui ne sont pas sur AMO, et là est la nouveautée, seront soumises à une vérification automatique puis signées. Si la vérification automatique échoue c’est une vérification manuelle qui aura lieu, la même que celle pour les add-ons de l’AMO. Après signature, le/la développeureuse récupère le fichier xpi de l’extension et est libre de le distribuer où bon lui semble.

Avant signature et pendant le développement de l’add-on il faudra utiliser Firefox Aurora ou Firefox Developper Edition pour lancer des add-ons non signés.

Le point faible de tout ça reste la procédure de review manuelle. À titre d’exemple ça fait 9 mois que HTTPS Everywhere est en review sur l’AMO, étant un add-on soutenu par l’EFF ils ont pu obtenir une signature rapide en demandant directement à Mozilla mais tout le monde n’est pas l’EFF.

Mozilla est bien conscient de ça et prévoit d’améliorer le processus de vérification automatique ainsi que d’augmenter la taille des équipes salariées et bénévoles pour la vérification manuelle.

La fin des add-ons XUL et SDK

Hier, le 21 Août 2015, Mozilla annonce l’obsolescence des add-ons classiques qui utilisent XUL, des add-ons jetpack et des add-ons SDK pour introduire une nouvelle API d’add-on qui sera majoritairement compatible avec celle utilisée par Chrome et Opera mais qui sera étendue pour maintenir l’existence d’add-ons populaires existants.

La raison avancée est que les add-ons dépendant d’interface bas niveau empêchent les évolutions du navigateur. Electrolysis qui doit apporter le support du multi-process et le sandboxing des onglets a largement été retarder à cause d’incompatibilité avec des extensions très utilisées. Il est impossible de remplacer le Gecko vieillissant par Servo pour les mêmes raisons.

Mettre en place une API limitera, certes, les possibilités de développement d’add-ons mais permettra en même temps de faire des changement profonds dans le fonctionnement de Firefox sans trop s’inquiéter de voir tous les add-ons crasher dans tous les sens.

Les réactions FUDesques ne sont sont pas fait attendre et le développeur de DownThemAll! a été le premier à s’enflammer en déclarant la mort de DownThemAll, NoScript ou Greasemonkey.

Bref, c’est la fin de la personnalisation dans Firefox qui achève une transformation en clone de Chrome, transformation entamée avec l’arrivée de l’interface Australis apparue dans les nightlies fin 2013.

Dans les journaux LinuxFR c’est la panique également puisqu’on apprend ceci :

L’impossibilité d’accéder au coeur de Firefox et de son interface mènera à la disparition d’extensions extrêmement appréciées et utilisées telles que, outre DownThemAll, TreeStyleTab, NoScript, FireGestures, Drag2Go, Greasemonkey, TabMixPlus, FireFTP, FoxyProxy, AllInOne Sidebar et beaucoup d’autres.

Comprenons-nous bien : on ne parle pas ici d’un classique cassage d’API qui requiert la réécriture de certaines parties de ces extensions pour les rendre compatibles. Non, on parle d’un changement qui rendra ces extensions impossibles à implémenter en tout ou en partie.

Ou encore que l’API n’est pas officiellement publiée alors qu’il reste 18 mois à vivre aux extensions old-school.

Là encore, rien n’est fondé puisque dans l’article même de cette annonce, Mozilla donne le lien vers la documentation actuelle : WebExtensions sur laquelle figure des liens vers les modules et fonctions supportées, les fonctions qui ne sont pas encore implémentées, une mention indiquant qu’elles le seront prochainement ainsi qu’une liste de fonctions non supportées par Chrome qui seront conservées dans Firefox pour garder des extensions en vie :

We plan to add our own APIs based on the needs of existing Firefox add-ons :

  • NoScript-type functionality. This would come in the form of extensions to webRequest and possibly contentSettings.
  • Sidebars. Opera already supports sidebar functionality; Chrome may soon. We would like to be able to implement Tree Style Tabs or Vertical Tabs by hiding the tab strip and showing a tab sidebar.
  • Toolbars. Firefox has a lot of existing toolbar add-ons.
  • Better keyboard shortcut support. We’d like to support Vimperator-type functionality.
  • Ability to add tabs to about:addons.
  • Ability to modify the tab strip (Tab Mix Plus).
  • Ability to take images of frames/tabs (like canvas.drawWindow)

On voit bien que contrairement à ce qui est colporté, Mozilla est conscient de la nécessité de préserver l’existence de nombreuses extensions et qu’ils ne se priveront pas d’aller plus loins que l’API de Chrome pour le faire.

En bref, les extensions Chrome seront facilement portables sur Firefox, les extensions simple de Firefox seront facilement portable sur Chrome et les extensions plus lourdes conserveront leurs fonctionnalités avancées.

Conclusion

Je suis prêt à admettre qu’une certaine inquiétude puisse se faire sentir devant tous les changements opérés par Mozilla cette année mais il me semble qu’une fois contextualisés ces changements deviennent soit compréhensibles même si pas idéaux, soit justifiés.

Hello et Pocket résultent de partenariats commerciaux. On le sait et elle était extrêmement critiquée pour ça, Mozilla dépendait grandement du financement de Google (85% en 2011) pourtant et pour s’en détacher, c’est Yahoo qui devient le nouveau moteur par défaut en Novembre 2014 et on imagine bien qu’ils n’ont pas la puissance financière d’un Google.

Mozilla se trouve donc obligée de diversifier ses partenariat et jusqu’à présent en parvenant avec succès à protéger la vie privée de ses utilisateurices.

Du côté des add-ons, il s’agit de choix techniques qui visent à diminuer le nombre de malwares infectant le navigateur et à permettre plus facilement la réduction de dette technique présente dans Gecko.

J’ai, en revanche du mal à saisir ce qui pousse des gens qui ont tout à perdre de la défection de Firefox à propager des articles alarmistes et infondés pour manifester leur inquiétude.

Le seul effet que ces critiques ont est de ternir l’image d’un Firefox qui n’en a pas besoin et d’affaiblir le seul navigateur Libre et indépendant, poussant les gens à… utiliser Chrome.

À suivre : Les requêtes envoyées par un Firefox tout neuf.

 

Les communications chiffrées faciles en Mai 2015

Il y a un peu plus d’un an, j’ai parlé de moyens pour sécuriser nos communications sur nos téléphones mobiles. J’avais parlé de TextSecure, Redphone et Telegram.

Avec le vote de la loi sur le renseignement qui autorise maintenant le gouvernement à surveiller tout un chacun sans passer par le moindre juge, il me semble pertinent de refaire un point sur ce qui a changé ou non et sur les nouveaux moyens disponibles.

Si vous n’y connaissez rien en chiffrement, ce n’est pas grave, vous pouvez continuer à lire. Je ne présenterai que des outils qui fonctionnent immédiatement après s’être installés parce que je fais parti de celleux qui pensent qu’une bonne sécurité doit être accessible à toutes et à tous, même si on ne sait pas ce qu’est le chiffrement à courbes elliptiques (et aussi parce que les arcanes de la sécurité ont tendance à me filer mal au crane.)

Comme d’habitude, la sécurité n’est possible que lorsqu’il est possible d’examiner le code source des applications qui la mettent en place afin de pouvoir contrôler que le logiciel ne dissimule rien. Exit donc Whatsapp, Skype, Facebook, Bleep, etc. Même si ils prétendent fournir de la sécurité, on est sensé les croire sur parole sans vérification possible. Et vous avez vraiment envie de croire sur parole une entreprise capitaliste vous ?

Les logiciels dont je vais parler sont Libres, donc open-source et gratuits. Le chiffrement n’est actif qu’avec les contacts qui utilisent le même logiciel que vous.

Les messages mobiles

Cette section concerne les SMS et équivalents et se compose de trois logiciels très proches : TextSecure, SMSSecure et Signals.

Textsecure

TextSecure, la sécurité simplifiée

Celui là c’est un peu mon préféré. Il était déjà opérationnel l’an dernier et je l’utilise quotidiennement depuis ce moment là.

C’est une application pour Android qui peut remplacer (sans obligation) l’application SMS standard. Si vous décidez de conserver votre application SMS, vous recevrez les messages TextSecure dans TextSecure et les SMS dans l’application SMS.

Elle permet également d’envoyer des MMS qui seront, eux aussi, chiffrés.

Au premier lancement elle demande de saisir votre numéro de téléphone et quelques secondes plus tard vous recevez un SMS spécial qu’elle utilise automatiquement pour s’activer.

Vous pourrez dès lors envoyer des messages chiffrés aux contacts qui l’utilisent, sans même y faire attention. Le chiffrement est simplement indiqué par un petit cadenas au bas de chaque message envoyé ou reçu.

Les SMS reçus sont en vert et les messages TextSecure sont en bleu.

Concernant le mode de transport il y a plusieurs choses à savoir :

  • Les messages transitent par internet, il vous faut donc un forfait compatible (mais de nos jours pratiquement tous les forfaits incluent au moins 20Mo de données par mois et TextSecure en consomme environ 600Ko)
  • Ils transitent par les serveurs de Google puis par les serveurs d’OpenWhisper (les gens qui développement TextSecure).
    Comme les communications sont chiffrées, Google pourra uniquement voir que vous utilisez l’application (mais comme vous l’avez installée, ils se savent déjà) et de son côté OpenWhisper ne verra que l’identifiant de la personne à qui vous envoyez un message (pour lui délivrer un message, il est logique que le transporteur en connaisse l’adresse)

Télécharger TextSecure sur Google Play

Néanmoins, pour ne pas passer par Google et OpenWhisper ou pour ne pas être obligé⋅e d’utiliser internet, il y a une alternative : SMSSecure.

SMSSecure

SMS Encryption made easy

SMSSecure est très proche de TextSecure puisqu’il partage une grande partie de son code source et donc la même méthode de chiffrement.

Cette application est apparue quand les développeurs et développeuses de TextSecure ont décidé⋅es d’arrêter le support du chiffrement pour les SMS en raison d’un trop grand nombre de correctifs nécessaire qui les empêchaient de se concentrer sur l’ajout de nouvelles fonctions.

D’autres personnes ont donc copié le code source et ont supprimé tout rapport avec Google et OpenWhisper pour ne développer que la partie SMS.

L’interface est donc très proche/identique à celle de TextSecure et pour recevoir des SMS chiffrés elle doit obligatoirement remplacer votre application SMS standard. (Vous pouvez toujours utiliser TextSecure à côté.)

Elle permet également d’envoyer des MMS qui seront, eux aussi, chiffrés.

Une fois installée, il n’y a qu’à sélectionner un contact qui vous a prévenu qu’ille l’utilise et cliquer sur le petit cadenas en haut à droite. Elle va alors lui envoyer un SMS de préparation auquel son téléphone répondra automatiquement et la suite de la conversation se déroulera de manière sécurisée.

Concernant le mode de transport il y a là aussi des choses à savoir :

  • Elle utilise les SMS ; comme un message chiffré prend plus de place qu’un message classique il est possible qu’un message de moins de 140 caractères soit automatiquement coupé en plusieurs parties et que votre forfait soit décompté de plusieurs SMS. Attention donc si vous n’avez pas de SMS illimités.
  • Contrairement à TextSecure où Google peut savoir que vous l’utilisez et où OpenWhisper peut savoir à qui vous écrivez, ici c’est votre opérateur mobile et toute personne qui écoute le réseau téléphonique qui peut savoir à qui vous écrivez. À vous de choisir à qui vous préférez exposer votre liste d’interlocuteur⋅ices.

Téléchargez SMSSecure sur Google Play

Get_it_on_F-Droid

Signal

Signal - Private Messenger

Il y a un an, aucune solution libre n’existait pour les personnes possédant un iPhone. Mais maintenant il y a Signal.

Signal est l’exact équivalent de TextSecure pour Android et comme il est développée par les mêmes personnes, les gens utilisant Signal peuvent discuter en toute transparence avec les gens utilisant TextSecure.

L’application utilise la même procédure d’activation que TextSecure : Au premier lancement on saisit son numéro, on reçoit un SMS d’activation et c’est prêt.

La seule différence est qu’Apple n’autorise pas les applications tierces à accéder aux SMS, vous ne pourrez donc pas récupérer tous vos messages dans une seule application et le seul mode de transport disponible sera le même que TextSecure, avec les mêmes points à retenir que ceux cités plus haut.

Téléchargez Signal sur l'App Store

Les appels mobiles

Pour ce point, il y a une solution pour Android : RedPhone, et une solution pour iPhone : Signal (oui, la même)

RedPhone

RedPhone, la sécurité simplifiée.

Développée par OpenWhisper (les mêmes qui font TextSecure et Signal, décidément), RedPhone permet de passer des appels chiffrés via Internet. Ce ne sera donc pas décompté de votre forfait voix, mais de votre quota de données (sauf si vous êtes en Wifi, ce qui permet de s’affranchir du même coup d’une mauvaise couverture.)

L’activation se déroule comme avec TextSecure et l’usage est ensuite transparent. La réception d’appel se fait sans manipulation particulière et au moment de passer un appel, si RedPhone détecte que votre correspondant⋅e est dans son annuaire, il vous offrira le choix de sécuriser l’appel ou non.

Comme pour TextSecure, les données transitent par Google et OpenWhisper, donc Google sait que vous utilisez RedPhone et OpenWhisper sait qui vous appelez. Encore une fois, sans RedPhone c’est votre opérateur mobile qui sait qui vous appelez mais il sait également ce que vous racontez.

Télécharger RedPhone sur Google Play

Signal

Signal - Private Messenger

Pour iPhone, OpenWhisper a choisi d’unifier les usages et Signal permet également de recevoir ou d’émettre des appels vers d’autres personnes utilisant Signal ou RedPhone.

L’activation se fait en même temps que l’activation des messages et pour appeler quelqu’un il suffit de se rendre dans l’historique des messages et de cliquer sur appeler.

Téléchargez Signal sur l'App Store

La messagerie instantanée et les conférences audio/vidéo

Maintenant on s’éloigne un peu du mobile pour s’attaquer à un gros morceau de la communication en ligne : Les conférences audio / vidéo et la messagerie instantanée.

On connait tous Skype, le leader sur le marché. Il appartient à Microsoft, propose des fonctions payantes et, en dépit de la sécurisation qu’il annonce, s’avère être aussi sécurisé qu’une passoire (lien en anglais).

Pour le remplacer, il n’y a pas grand monde. Mais l’alternative la plus aboutie est Tox.

Tox

Tox me maybe

Tox est un logiciel encore incomplet mais néanmoins déjà utilisable au quotidien.

Il permet de communiquer de plusieurs manières :

  • Message texte avec une ou plusieurs personnes.
  • Conversation audio avec une ou plusieurs personnes.
  • Conversation vidéo avec une personne. (Les conférences vidéos à plusieurs sont prévues mais les développeurs galèrent un peu sur la meilleure interface possible pour ce cas.)

Après installation, Tox génère un identifiant : le ToxId. Il n’y a qu’à le communiquer à votre contact et après avoir accepté sa requête vous voila prêt⋅es à communiquer.

La communication s’effectue sans passer par aucun serveur et sans moyen de lire ou d’altérer le message pendant qu’il transite.

Cependant, comme il n’est pas tout à fait terminé il y a quelques points noirs qui seront prochainement résolus (d’ici la fin de l’année) :
* Pour accepter une requête de contact il faut être connecté⋅e. Si vous êtes déconnecté⋅e au moment où votre contact l’envoie, il devra la réémettre.
* Il est impossible d’envoyer des messages à quelqu’un qui est hors ligne car ils disparaîtront dans l’oubli.
* Il est impossible de rejoindre spontanément une conversation groupée, le seul moyen est d’y être invité⋅e.

Pour le reste tout y est : Smileys, audio, video, transfert de fichiers,…

Il est disponible sur Windows (lien de téléchargement), sur MacOS (lien de téléchargement) et sur GNU/Linux.

Vous avez maintenant toutes les clés en main pour mettre des bâtons dans les roues de quiconque voudrait surveiller vos communications instantanées.

Ce n’est qu’en proposant à vos contacts de les utiliser que vos communications seront protégées puisqu’il n’y a qu’avec les contacts qui utilisent le même logiciel que vous que le chiffrement fonctionne. TextSecure et RedPhone sont compatibles avec Signal mais Tox ne fonctionne qu’avec les utilisateur et les utilisatrices de Tox et SMSSecure ne fonctionne qu’avec les personnes utilisant SMSSecure.

Alors n’hésitez pas, motivez vos contacts et sortez couvert⋅es !


Crédits : Lockpicking with the hackers. par Sally Crossthwaite

 

Jouer à Discworld sur un PC récent

C’est l’occasion de découvrir ou de redécouvrir ce point’n click de légende adapté de l’univers de ce grand monsieur et doublé par Eric Idle.

tumblr_mlme6myVhA1s9677oo1_500

Pour y jouer il nous faut trois choses :

  • L’émulateur de point’n click ScummVM. Si vous êtes sous GNU/Linux, il y a probablement un paquet dans le dépôt de votre distribution. Sinon, trouvez votre plateforme sur la page de téléchargement et lancez l’installation.

  • Les fichiers du jeu, que l’on peut trouver ici : LTF Abandonware France, Discworld (Prenez la version CD, pas la version automatique)

  • La musique haute qualité réalisée par James Woodcock : Discworld Enhanced SoundTrack (Vous pouvez prendre la version FLAC si vous avez de la place à perdre sur votre disque dur, sinon prenez la version OGG)

Après avoir installé ScummVM et décompressé le fichier jeu-00691-discworld_cd-pcdos.7z on obtient un fichier Discw.iso qu’il faut, lui aussi, décompresser. Ce qui nous intéresse est le dossier DISCWLD qui contient les données du jeu. Prenez ce dossier et placez le dans un endroit où vous saurez le retrouver facilement.

Prenez également les fichiers présents dans l’archive musicale (track01.ogg, track02.ogg, etc.) et placez les dans le dossier DISCWLD.

Maintenant, on va démarrer et configurer ScummVM. Une fois la fenêtre ouverte, cliquez sur option et cochez la case « Correction du rapport d’aspect », cliquez sur « OK » puis sur « Ajouter »

Vous devez maintenant chercher le dossier DISCWLD dans la liste de chemins, quand vous y êtes cliquez sur choisir, puis sélectionnez la langue avec laquelle vous voulez jouer (ce ne sont que pour les sous-titres) et terminez par « Ok. »

scummvm-ajouter

Vous êtes maintenant prêt⋅e à cliquer sur démarrer et à passer quelques heures d’amusement dans l’univers unique du Disque Monde.

Précision supplémentaire : Il est probable que vous trouviez la taille de la fenêtre un peu réduite. À l’époque on jouait à des jeux en 320×200 maintenant on a plutôt des écrans FullHD en 1920×1080, la différence de taille est… conséquente. Il est possible d’améliorer l’affichage en allant dans les options graphiques et de changer le « mode graphique. »

Le choix sera surtout une question de goût, personnellement j’aime bien le mode « HQ3x » que je trouve adapté au style cartoon du jeu mais certaines personnes le trouvent trop lissé et préfèrent une expérience plus authentique.

Amusez vous bien !

 

Fuck you ownCloud. Fuck you.

/!\ Ce billet contient un certain niveau de rage et de frustration envers un logiciel non coopératif et bugué. Merci d’en tenir compte lors de votre lecture. /!\

Mise à jour du 09 décembre 2014, 14h

J’ai reçu un mail d’un lecteur qui m’explique comment il a laissé tombé Owncloud devant le manque constant de fiabilité et est passé à SeaFile. Il donne plus de détails sur son blog : « Ownbutt, SparkleShare, Git-Annex, Seafile… Quelle solution libre pour héberger et synchroniser ses fichiers ? » et a rédigé une dépêche sur LinuxFR pour présenter la version 3 : « Seafile, un Dropbox-like libre à héberger sort en version 3 »

Effectivement ça a l’air alléchant, mais SeaFile ne propose pas encore de service CardDav, ni CalDav pour synchroniser des contacts ou des calendriers. Ayant laissé tombé mon instance Baïkal pour passer à OwnCloud, ça m’embêterai de séparer à nouveau ces services là.

Article d’origine

ownButt est un logiciel en PHP qui sert à héberger son propre service de partage de fichiers. Globalement c’est un équivalent libre de Dropbox qui fait aussi de la synchro de contacts et de calendriers.

Il y a quelques temps maintenant, les gestionnaires du projet ont annoncé en grande pompe le module de chiffrement côté serveur qui permet aux utilisateurices de s’assurer que leur hébergeur ne pourras pas voir le contenu des fichiers envoyés. (À ce point là, il est important de noter que la personne en charge de l’administration dispose d’une clé de récupération, au cas où.)

Même si je suis mon propre hébergeur, je me suis empressé d’activer ce module lors de l’installation de mon instance il y a deux ou trois mois, imaginant déjà libérer mes potes du joug de Dropbox en les rassurant sur le fait que je ne pourrais pas accéder à leurs dick- ou clit-pics sans qu’illes soient au courant.

Si vous êtes pressés je vous la fait courte : J’aurais pas du.

yjt6EZL

J’ai donc commencé à utiliser le client de synchronisation d’abord en transférant toute ma dropbox, puis en activant l’envoi automatique de mes photos prises sur mon téléphone, puis en y mettant mes dotfiles pour y avoir accès de partout.

Jusqu’au jour où, pour une raison inconnue, le client de synchronisation d’ownButt a merdé pendant la synchro de mon dossier .atom (l’éditeur de github) et je me suis retrouvé avec MariaDB qui râlait à la DUPLICATE ENTRY dans une table.

Évidemment à ce point il y a trop de fichiers en erreur pour corriger à la main et ça me semble trop aléatoire pour être scripté rapidement.

Après recherches, des pistes semblent indiquer que c’est du à la manière dont le module de chiffrement gère (mal) les noms de fichiers. Je me suis donc dit que j’allais juste le désactiver, qu’ownButt déchiffrerait mes fichiers au fil des accès et que j’aurais juste à supprimer mon dossier pourri et à le renvoyer.

Hahaha, naïf que je suis. Il faut lancer manuellement une requête de déchiffrement dans les options et évidemment ça prend un temps fou. Firefox laisse tomber la requête AJAX au bout d’une demi heure, mais ça continue de tourner et c’est le max execution time de PHP qui détermine le temps avant plantage (En l’occurrence, ce fut une heure)

Je ne me laisse pas démonter et je met un petit set_time_limit(0) au début du script histoire d’être sûr et je le relance en gardant un œil sur les logs dans un tmux. Deux heures plus tard il plante à nouveau Calling method ->machintruc() on a non-object

Je commence un peu à m’échauffer parce que quand on utilise des fonctions qui renvoient nulll ou un objet, la moindre des choses c’est de vérifier qu’on a bien un objet après l’appel à cette fonction… J’ajoute cette vérif en loguant bien les erreurs et je relance le bouzin.

Après cinq heures à mouliner1 c’est au tour de MariaDB de se plaindre : General error: 2006 MySQL server has gone away Parce que oui, le timeout il est par défaut à 300 secondes. Donc on ouvre la connexion et cinq heures plus tard il y a plus personne au bout du fil. Nouvel essai.

Après 6 heures, les logs s’arrêtent de défiler (j’ai rajouté le log du chemin de chaque fichier déchiffré histoire de voir quand ça s’arrête parce que sinon c’est le noir complet) et comme il n’y a pas d’erreur je commence à me dire que ça y est, peut-être mes galères sont terminées. Je me connecte donc à l’interface web pour voir et… « Le chiffrement était désactivé mais vos fichiers sont toujours chiffrés. Veuillez vous rendre sur vos Paramètres personnels pour déchiffrer vos fichiers. » cette cochonnerie de message est toujours là. MAIS IL Y A PAS D’ERREUR ! APACHE SE TOURNE LES POUCES !

Évidemment après vérification, une grande partie de mes fichiers est toujours chiffrée, j’ai beau relancer leur script de merde ça ne change absolument rien et le client de synchro râle toujours qu’il n’a pas pu synchroniser * fichiers en raison d’une erreur inattendue sur le serveur.

Bref, je suis bon pour tout supprimer et tout renvoyer. Ce qui avec mon accès ADSL va prendre environ… 130 heures à vitesse maxi. (ノಠ益ಠ)ノ

N’activez pas le module de chiffrement d’ownButt. Sauf si vous voulez vous prendre la tête pour rien.


  1. J’ai 7Go de données, je veux bien que ça prenne du temps, mais c’est rageant quand ça plante pour des conneries… 
 

Un troll ? Ou pas un troll ? Différentes lectures d’une capture des Simpsons

Cette après-midi je suis tombé sur un partage trollesque d’un gros malin qui voulait se payer une bonne tranche de rigolade au détriment de ces imbéciles de féministes qui prennent la tête (cliquez sur la miniature pour le lire en entier) :

L'homme et la femme sont égaux...ou pas...enfin si !

L’homme et la femme sont égaux…ou pas…enfin si !

Ce truc est « intéressant » à plusieurs égards.

D’abord parce qu’il est partagé par des gens qui généralement s’érigent contre « la dictature de la pensée unique » et qui soudain, devant des femmes qui émettent des opinions à l’évidence contradictoires, sont tellement troublés qu’ils ne peuvent plus répondre que « Lol, ces connasses arrivent même pas à être d’accord. » et que ça me fait doucement ricaner.

Ensuite parce qu’il enchaîne des arguments pouvant être vus différemment selon le contexte où ils sont énoncés.

- Hommes, femmes, c'est la même chose. - Êtes-vous en train de dire que les hommes et les femmes sont identiques ?

– Hommes, femmes, c’est la même chose.
– Êtes-vous en train de dire que les hommes et les femmes sont identiques ?

Quand cette phrase provient d’une personne identifiée comme féministe, il est évident qu’on se place dans un contexte militant énonçant les choses comme elles devraient être (selon le point de vue de la personne.)

Mais elle peut aussi être prononcé par quelqu’un de non engagé, éventuellement plein de bonne volonté qui considère que l’égalité est d’ors et déjà acquise.

On appelle ça être gender-blind et il existe un équivalent raciste : color-blind. Ce sont ces gens qui refusent de voir les inégalités et les discrimination et s’en justifient par le fait que EUX, personnellement, traitent tout le monde sur un pied d’égalité.
Par conséquent, il serait formellement impossible qu’ils puissent bénéficier du moindre privilège ou qu’ils puissent être sexistes ou racistes.

Alors que non seulement leur comportement individuel importe peu quand on parle de systèmes oppressif (et très souvent ce comportement n’est même pas remis en cause), mais en plus, à moins de vivre dans une bulle isolée il est absolument impossible de ne pas prendre part à de tels systèmes.

Réduire les problèmes systémiques à un problème de personnes est un moyen facile des les faire disparaître sous le tapis. On appelle ça la dépolitisation et, si c’est malheureusement une des pratiques courante chez celles et ceux qui ne luttent pas pour l’égalité, elle est encore plus présente chez celles et ceux qui luttent CONTRE.

Dans ce cas, c’est là que les féministes arrivent et expliquent que la situation est loin d’être égalitaire, qu’il existe des différences entre les hommes et les femmes comme par exemple dans le partage inégal des tâches ménagères, la valorisation inégales entre les activités traditionnellement dévouées aux hommes ou aux femmes, ou encore dans les différences de salaire à poste et compétences équivalentes.

C’est là aussi que des gens comme (par exemple) les anti-gender de la manif pour tous arrivent (mais ils ne sont pas les seuls) et protestent puisque selon eux les hommes et les femmes étant biologiquement différents, il est donc naturel que les unes soient traitées différemment des autres. Ils en profitent au passage pour passer sous silence que ce qui est « naturel » n’est pas si évident et intuitif à définir que ça mais aussi que nos comportements et nos actes sont très largement influencés par notre culture.

- Les femmes sont uniques dans tous les sens du terme. - Et maintenant il dit que les hommes et les femmes ne sont pas égales !

– Les femmes sont uniques dans tous les sens du terme.
– Et maintenant il dit que les hommes et les femmes ne sont pas égales !

On peut retrouver ce point de vue dans « Women are unique in every way » puisque si les femmes sont uniques mais ont toujours pour point commun d’être des femmes, elles sont bien à traiter différemment (on peut même y voir le sexisme bienveillant du galant homme qui traite chaque femme de manière exceptionnelle.) D’où la protestation : « Now he’s saying women and men aren’t equal. »

Mais en même temps, rappeler que les femmes sont chacune uniques et ne peuvent pas se cantonner à ce que la société voudrait leur imposer c’est aussi et surtout ce que disent les « social justice warriors », en généralisant aussi aux hommes, puisque selon nous, chaque unique individu a ses réactions, ses envies, ses préférences propres et il serait beaucoup plus intéressant de vivre dans une société où on ne force pas les gens à rentrer dans un moule qu’ils n’ont pas choisis pour mieux les exploiter.

Bref, ce petit extrait des Simpsons montre bien que contrairement à ce que certaines personnes aiment bien ânonner ad nauseam (« Moi je regarde les idées, pas les personnes. ») une même phrase peut vouloir dire tout et son contraire selon les intentions de son auteur.

 

Le support de Windows XP est fini, passer à GNU/Linux réclame un accompagnement

Le support de Windows XP arrive à son terme dans 3 jours. Après 13 ans, un support étendu de 5 ans, il va enfin entrer dans les archives de l’histoire et on en parlera plus. (En fait pas vraiment, la quasi-totalité du parc de distributeurs bancaire est sous XP et les banques n’ont pas assez d’argent — lol — pour le renouveler, donc Microsoft a annoncé qu’il développerait des patchs payant sur mesure.)

Depuis quelques jours, les personnes qui ont encore ce système d’exploitation voient s’afficher un message leur annonçant la nouvelle et les redirigeant vers une page de la boutique de Microsoft.

fin-support-windows-xp-1

Ces personnes se tournent donc vers leur proche « qui s’y connait® » pour lui demander conseil. Pour peu que ce proche soit un libriste, il y a de grandes chance pour que la réponse ressemble un peu à ceci :

Si tu es prêt à faire quelques efforts, je te conseille de passer à Linux.

Windows est mal pensé et lourd. Il y a aussi plein de failles d’où la nécessité d’installer des antivirus et des anti-malwares etc.

De toute façon ce qu’il y a de mieux c’est Linux parce que le code est ouvert, ça veut dire qu’on peut aller voir ce qui se passe dedans et le modifier si il nous convient pas. C’est formidable ! Microsoft et Apple sont méchants, leur code est fermé, on sait pas ce qu’ils font, d’ailleurs la NSA a sûrement des porte dérobé pour prendre le contrôle de ton ordinateur, avec les logiciels libre c’est pas possible de faire ça.

Il y a 4-5 ans Linux c’était compliqué mais plus maintenant1, il y a des interfaces graphiques pour tout. Et tout les logiciels de base dont on a besoin sont installés. Et pour en installer de nouveau c’est très simple. En plus l’installation est signée pour être bien sûr qu’on installe la bonne version et pas une version modifiée par quelqu’un de malveillant.

J’ai passé ma grand-mère à Linux il y a 3 ans2 et elle en est très contente. Bref, Linux c’est cool.

Par contre, je n’assure pas le support technique :P

Objectivement, on a raison quand on dit ce genre de chose. Mais on rate complètement notre cible. Pourquoi ?

Le problème avec ce discours, c’est qu’il est complètement idéologique. Pas étonnant qu’il passe à mille lieues au dessus de la tête de notre auditoire.

On est face à quelqu’un qui est inquiet de l’avenir de son vieux PC de 10ans, qui est resté sous XP par peur du changement parce qu’à l’époque de Vista tout le monde lui disait que Vista c’était nul. Ensuite, confortable sur son XP qui marchait très bien, ille est passé à côté de 7. Maintenant que 8 est sorti, tout le monde lui dit que 8 c’est nul[^3].

Et nous en face on débarque avec nos grandes théories sur le logiciel libre, la sécurité offerte par l’open-source, l’éthique, la merveilleuse communauté prête à aider son prochain. Le résultat, c’est qu’on a l’air de ça :

Alors qu’au fond de nous, on sait très bien qu’une transition vers GNU/Linux c’est pas aussi simple que ça. La preuve, on commence par commence par « Si tu es prêt à faire quelques efforts » et on termine par « Par contre, je n’assure pas le support technique :P » qui sonne comme un « T’es très con d’utiliser Windows, mais si tu veux passer à Linux, tu te démerdes hein. »

On sait très bien que parfois, ce foutu update-manager va planter sans raison. Que le PC va se mettre en veille mais OUPS, c’est une carte graphique AMD et on a installé catalyst parce que radeon a des perfs ridicules sur ce GPU donc il va freezer au démarrage. Qu’il va y avoir une mise à jour de xserver-xorg un peu foireuse et que tout ce que le PC affichera au prochain reboot c’est :

Ubuntu 13.10 (tty1)
login: _

Et que fatalement, on aura un coup de fil affolé : « Mon PC il marche plus, j’ai rien fait, Linux c’est de la merde »

gollum-scream

On voudrait que les gens soient aussi passionnés d’informatique que nous et acceptent de passer 2 heures à chercher dans des wikis comment installer cette fichue imprimante multifonction en wifi. Mais ils le sont pas. Et ils le seront jamais.

Mais alors, tout est perdu ?

Non, tout n’est pas perdu. Le saut entre XP et 8 est à peu près aussi énorme — sinon plus — que le saut entre XP et n’importe quel dérivé d’Ubuntu. Et il nous faut sauter sur cette occasion.

Est-ce que nous préférons voir nos proches nous demander de l’aide parce qu’ils ont un peu de mal à utiliser GNU/Linux ou est-ce que nous préférons les voir entrer à la FNAC pour renouveler leur PC de bureau et en sortir avec un portable surdimensionné, une licence OEM de Windows 8 pleine de crapwares et un SecureBoot impossible à désactiver ?

De toute façon il vont pester et galérer parce qu’ils ont perdus leurs marques et que cette fichue interface fait pas ce qu’ils attendent. Autant qu’ils le fasse sur un système qui leur donnera le goût de la liberté.

Pour ça, il faut prendre nos responsabilités et assurer un vrai accompagnement derrière.

Oui, ça va être dur. Oui, tu vas perdre tes marques et t’auras l’impression de repartir de zéro. Mais ça arrivera aussi avec ce nouveau Windows. Et si tu prends GNU/Linux, je serais là pour te filer un coup de main quand tu en auras besoin.

independance

Étape par étape

Premièrement, il faut établir la liste des besoins et des particularités du matériel. L’imprimante est compatible ? (oui, elle l’est) Est-ce que le pilote est facile à installer ? Est-ce que ce logiciel obscur qui n’a pas d’équivalent fonctionne avec WINE ou mono ? Bref, là dessus on est rôdé c’est du classique.

Ensuite, il faut lever cette impression de voyage sans retour. C’est à dire ne PAS installer de dual-boot de but en blanc.

Installer une dérivée d’Ubuntu sur le PC, déjà ça prend une petite demi-heure, une heure avec les mises à jour si on est ni en Avril ni en Octobre, on peut rajouter le redimensionnement de partition (et donc la sauvegarde des données au cas où) etc. Ça fait peur à la personne qui assiste à ça et qui, à la fin, comprend pas pourquoi son PC a démarré tout seul sur Ubuntu alors qu’il fallait booter Windows3.

barney-why

Heureusement, on peut facilement installer un GNU/Linux sur une clé USB, non pas comme LiveUSB mais comme système complet et persistant :

Tiens, quand t’as besoin de faire un truc précis tu démarres ton PC normalement pour pas être perdu. Et quand tu veux juste glandouiller, surfer un peu, tu mets cette clé avant d’allumer ton PC comme ça tu t’habitues doucement. Et quand t’en aura marre de Windows, tu viens me voir et on fera ce qu’il faut.

Démarrer GNU/Linux devient aussi simple et indolore que d’insérer une clé USB dans un port et l’utilisateur/rice est rassuré⋅e parce que son disque dur est intact.

Pour finir, il faut rester disponible et à l’écoute. On vous fait déjà le plaisir de mettre cette foutue clé de temps en temps, s’il faut attendre 3 jours pour avoir du support ou se faire envoyer chier, elle va vite finir aux oubliettes.

Et comme convertir quelqu’un ça prend du temps, je déconseille de s’amuser à migrer 15 gus à la fois sous peine d’être rapidement débordé⋅e. Ne mettons pas la charrue avant les bœufs, une personne satisfaite c’est déjà pas mal (et bien assez de boulot.)

Bref, peut-être que si on arrive à dépasser nos réactions viscérales de « Windows c’est caca » et à remettre notre discours au niveau des besoins plutôt que de rester dans l’idéologie nébuleuse pour le/la néophyte, on arrivera à faire monter ce fichu taux d’utilisation qui stagne à 1.5% depuis bien trop longtemps.


  1. Ça va faire à peu près 10 ans que Linux était compliqué il y a 4-5 ans. 
  2. Ça fait 5 ans que j’ai passé ma grand-mère à Linux il y a 3 ans. 
  3. Allumer le PC, aller faire un tour, oublier le timeout grub. Oups 
 

Un peu d’intimité dans votre téléphone

En ces temps troublés de surveillance généralisée, les écoutes de la NSA, le scandale Amesys il ne fait plus aucun doute que tout ce qu’on dit ou écrit en clair sur Internet est enregistré et sera utilisé contre nous.

« La curiosité c'est mon péché mignon »

« La curiosité c’est mon péché mignon »

Et si vous pensez n’avoir rien à cacher, vous ne pourriez être plus dans l’erreur. Seriez-vous prêt⋅es, par exemple, à m’envoyer une copie de vos mails ? À me laisser lire vos SMS ou vos messages facebook ? Voire à me laisser installer de quoi en rediriger systématiquement une copie chez moi pour que cette consultation ne soit plus ponctuelle mais systématique et automatique ?

J’en doute, alors pourquoi accepter que d’autres le fassent sans vous en demander la permission ?

Le plus souvent, c’est parce que la cryptographie fait peur. C’est des maths compliquées, il y a plein de gens qui vous disent qu’on est de toute façon jamais protégés à 100% et ça utilise des concepts hyper obscurs.

Si vous vous êtes déjà retrouvé face à quelqu’un qui tente de vous expliquer le besoin de chiffrement en décrivant dans le détail un échange de clé Diffie-Hellman, vous savez sûrement qu’on en ressort avec le cerveau en bouillie et l’impression que c’est se donner beaucoup de mal pour que la NSA ne sache pas que vous aurez un quart d’heure de retard en rentrant du boulot.

C’est pour ça que je vais tenter de procéder autrement en présentant quelques exemples de solutions simples à mettre en place sur votre ordiphone pour que vos communications gagnent un peu en confidentialité.

Parce qu’il faut bien l’avouer, pour l’instant, passer un appel c’est comme crier dans la rue en espérant que personne d’autre que votre correspondant n’écoute et envoyer un sms ou un mms, c’est brandir une pancarte en espérant que personne d’autre ne regarde.

Ces solutions sont toutes libres, c’est à dire que le code source des logiciels et les protocoles de sécurité sont publics afin que toutes celles et ceux qui le veulent et qui le peuvent puissent vérifier qu’il n’y a pas anguille sous roche. Ce n’est pas un gage d’infaillibilité, mais c’est un gage de confiance puisque c’est le seul moyen d’être sûr qu’aucune action malveillante ne sera entreprise volontairement par le logiciel et ses développeurs.

En revanche, elles ne sont pas anonymisantes. Un observateur sera capable de voir avec qui vous discutez, mais il lui sera tout de même impossible de savoir de quoi vous discutez.

Pour sécuriser ses appels : RedPhone

RedPhone, la sécurité simplifiée.

RedPhone, la sécurité simplifiée.

RedPhone est une solution libre de VoIP chiffrée. Concrètement, ça veut dire que vous allez passer des appels qui passeront par la 3G (et seront comptés dans votre consommation « data ») ou WiFi au lieu d’être décomptés de votre forfait voix et que le flux audio sera chiffré pour que seul votre correspondant puisse entendre ce que vous dites.

Son utilisation est enfantine : Une fois que vous avez téléchargé et installé RedPhone, le logiciel va vous demander votre numéro de téléphone et va vous envoyer un SMS de confirmation qu’il récupèrera automatiquement. Voila, vous êtes prêt.

À partir de maintenant, quand vous voudrez passer un appel sécurisé, lancez RedPhone, choisissez un contact. Si il utilise RedPhone, l’appel sera chiffré, si il n’utilise pas RedPhone vous pourrez lui envoyer un message lui demandant de l’installer.

Note technique : Vous avez peut-être froncé les sourcils, à raison, au moment de lui indiquer votre numéro de téléphone. C’est nécessaire pour établir l’annuaire des numéros disponibles sur RedPhone et savoir facilement si votre correspondant peut recevoir les appels et c’est également la solution la plus fiable pour répondre à une contrainte technique appelée « NAT Traversal. »

En effet, quand vous utilisez votre smartphone, vous êtes probablement en WiFi derrière une box, ou dans le réseau privé de votre opérateur mobile, bref vous n’avez pas un accès direct à internet. Et dans ce cas, il est très compliqué d’établir une connexion avec un tiers situé lui aussi derrière une box ou dans un réseau privé sans passer par un intermédiaire. Toutefois, dans le cas de RedPhone, cet intermédiaire ne sert que de relais et ne peut pas écouter la conversation.

Sécuriser ses messages

Nous avons vu à quel point il était aisé de passer des appels sécurisés, maintenant voyons comment échanger des messages et des documents. Vous verrez, c’est tout aussi simple.

La sécurité sans concession : TextSecure

TextSecure, la sécurité simplifiée

TextSecure, la sécurité simplifiée

TextSecure est une solution libre d’envoi de SMS chiffrés. Concrètement, cela veut dire que vous allez envoyer des SMS chiffrés qui seront traités comme n’importe quel SMS par votre opérateur et qui seront déchiffrés sur le téléphone de votre correspondant⋅e. Depuis la version 2 il est également possible de passer par les serveurs de TextSecure (qui ont le même rôle que ceux de RedPhone) afin que votre opérateur soit dans l’incapacité de savoir avec qui vous communiquez.

Si vous avez une impression de déjà vu, c’est normal, elle est développée par la même communauté que RedPhone.

À l’utilisation, c’est tout aussi enfantin. L’application se présente comme une application de SMS classique. Elle est d’ailleurs en passe de devenir l’application SMS par défaut de la célèbre ROM pour Android : « Cyanogen »

Après avoir téléchargé et installé TextSecure l’application vous demandera si vous souhaitez créer un mot de passe pour protéger vos messages au cas où votre téléphone tomberai entre de mauvaises mains, puis elle vous demandera si il faut importer les SMS déjà existants dans le téléphone vers sa propre base. L’intérêt de cette opération étant que vos SMS se retrouvent chiffrés sur votre téléphone et que pour les lire il faudra entrer le mot de passe créé précédemment.

Vous pourrez tout de même réaliser un export chiffré ou en clair de la base de messages en guise de sauvegarde.

À partir de maintenant, si vos contacts utilisent eux aussi TextSecure, l’application vous proposera de chiffrer vos échanges. Cela se matérialise par un premier échange de clé (celui dont l’explication technique donne mal à la tête) automatique puis les SMS seront chiffrés automatiquement sans autre action nécessaire de votre part et sans aucun intermédiaire impliqué.

Notez tout de même que si vous créer un mot de passe au démarrage de l’application et que vous même l’oubliez, il vous sera impossible de lire les messages présents dans la base, ils seront alors perdus à jamais. Vous devrez supprimer l’application et la réinstaller pour pouvoir régénérer un nouveau mot de passe et recommencer avec une base vide.

La sécurité pratique : Telegram

Telegram

Dans la première édition de cet article, je présentais Telegram comme une alternative moins sécurisée mais plus pratique à TextSecure, toutefois depuis la sortie de TextSecure V2 il n’y a plus davantage à utiliser Telegram puisque l’écart de fonctionnalité est inexistant et la sécurité est bien meilleure.

Simple comme bonjour

Montessori-game-Baby-educational-toys-children-old-thirteen-hole-intelligence-box-shape-building-block-toy-gift

Après de longues années où le besoin de confidentialité croissait et où les solutions pour en profiter à un niveau suffisant étaient particulièrement rebutantes, nous voyons à présent arriver de nouvelles applications qui s’installent en un clic et sont aussi simple d’utilisation et pratique que n’importe quelle autre application non sécurisée.

Il ne vous reste plus qu’à sauter le pas.

Diffie-Hellman

Et comme je ne peux décemment pas vous laisser comme ça en évoquant Diffie-Hellman tout le long de l’article ainsi que les maux de tête qu’il engendre chez les personnes qui ont des boutons dès qu’ils entendent « Arithmétique » voila une petite vidéo en anglais qui vulgarise ce fameux échange de clés en utilisant des couleurs, de la peinture, une corde et une horloge.

 

Le nouvel album d’Arcade Fire et Youtube

C’est tellement ridiculement pathétique que mes côtes me font encore mal à force d’hilarité. Voyez donc :

Le groupe Arcade Fire sort prochainement un nouvel album nommé Reflektor, pour en faire la promo, ils l’ont envoyé dans son intégralité sur Youtube avec leur compte officiel :

2013Reflektor2_Instargram_060813

Rien ne vous choque ?

Et oui ! Il n’y a pas de son ! Pourtant en lisant les commentaires on voit des gens s’étonner, visiblement la vidéo était bien sonorisée au moment de sa publication. Mais alors pourquoi ?

La réponse est très simple et tient en un mot : « Ayant-droits »

En effet, Youtube permet aux maisons de disques de lui fournir des signatures de bandes sons que les gens n’ont pas le droit d’utiliser dans leurs vidéos. Cette signature s’appelle Content-ID. Chaque vidéo est donc automatiquement analysée et si quelqu’un a le malheur d’utiliser une bande son « protégée » par la couleuvre qu’on essaye de nous faire prendre pour le droit d’auteur, la vidéo se retrouve simplement insonorisée.

Pour les majors et pour Youtube qui rampe à leurs pieds, les membres d’Arcade Fire n’ont visiblement pas le droit de disposer de leurs œuvres comme ils l’entendent. Ils en sont dépossédés.

Bien joués messieurs du copyright, vous êtes sur la bonne voie, c’est sûr.

 

« Si on mettait des meufs dans nos jeux vidéos ? »

C’est une bonne idée ça non ? Mettre des meufs dans un jeu. Ça devrait faire plaisir à tout le monde. Les joueurs ils vont kiffer de pouvoir mater et les gonzesses elles vont pouvoir s’identifier plus facilement. En plus comme ça, les féministes peuvent pas dire qu’il est que pour les mecs et que les créateurs sont des connard sexistes.

Sauf qu’en vrai ça marche pas vraiment comme ça

En effet, si il suffisait de rajouter un personnage féminin dans un jeu pour le rendre irréprochable, on serait en droit de se croire au pays des bisounours et les féministes pourraient simplement se détendre en allumant leur console et profiter paisiblement de cette incroyable bulle sans sexisme.

Zone sans sexisme explosant suite à l'intrusion du premier individu venu

Zone sans sexisme explosant suite à l’intrusion du premier individu venu

Dans la vraie vie justement la partie « Les joueurs ils vont kiffer de pouvoir mater » est prépondérante et la quasi totalité des personnages féminins dans les jeux vidéo sont là pour être reluqués. L’esprit humain est même tellement fort qu’il trouve moyen de le faire partout, y compris là où on ne s’y attend pas forcément.

Rayman et les filles

Rayman 1

Il y a fort fort longtemps (dans le 1er opus) il y avait 2 personnages féminins: La fée Bétilla et Space Mama. Deux femmes qui semblaient appartenir à la même espèce que Rayman, à savoir un tronc, une tête, des mains et des pieds mais ni cou, ni bras, ni jambes. Et, cible enfantine oblige, zéro sexualisation.

Rayman 2

Dans le second épisode, les choses diffèrent un peu. Il y a bien de nouveaux personnages féminins: Uglette, la femme de Globox dont le nom rappelle fortement le mot anglais « Ugly » ainsi que Carmen la… baleine.

Bétilla est absente de cet épisode et est remplacée par Ly, une autre fée qui n’a plus grand chose de Rayman-esque, qui se rapproche beaucoup plus d’une humaine :

Curieusement, dès qu’une relation sentimentale a été envisagée1 l’ancien design des fées ne convenait plus et il a fallu revenir à quelque chose de moins ambigu. Oui les fées sont des femmes et pas des entités féminines asexuées.

Rayman 3

Le troisième opus comprend deux personnages féminins. Une Ludiv, un genre de fée, ayant une apparence de toute jeune fille avec un chapeau et la sorcière Bégoniax dont l’apparence est très stéréotypée sorcière :

De 1995 à 2003, on observe donc une certaine diversité chez les personnages féminins importants de l’univers de Rayman. Toutefois, on voit déjà une tendance à faire en sorte que chacune soit la seule représentante de sa race. Comme si la palette de leurs comportements ne pouvait être représentée que par le biais de différences physiques majeures.

À contrario, les ptizêtres, ont directement été envisagés comme étant des variations comportementales d’une même base:

TeensiensCA

Les Rayman suivants

Tu as beaucoup changé Bétilla…

Tu as beaucoup changé Bétilla…

Ce qui nous amène à Rayman Origins et Rayman Legends qui sont les deux opus où la différence de traitement est la plus flagrante.

Tout d’abord, nous voyons apparaître de nouvelles fées. Cependant, loin d’être des personnages uniques ayant leur propre personnalité, nous pouvons les résumer à un seul personnage qui change de vêtements.

Toutes sont emprisonnées, toutes ont le même physique2, toutes sont court vêtues3, toutes poussent les mêmes gémissements4 au moment de leur libération et font le même geste d’encouragement en donnant un nouveau pouvoir à Rayman.

C’est particulièrement flagrant dans la vidéo suivante qui met bout à bout les libérations des Fées :

Rayman_Origins_Nymphs

Et de ce qu’on sait de Rayman Legends, il n’y a pas vraiment de quoi se réjouir non plus puisque si nous verrons l’introduction d’un nouveau personnage féminin jouable5 il est lui aussi loin d’être idéal : Barbara la barbare

Une viking balaise qui va tout défoncer avec une hache, cool vous dites ? Moi aussi.

Une viking balaise qui va tout défoncer avec une hache, cool vous dites ? Moi aussi.

Ça c'est une viking. Barbara, c'est ce qu'imagine un développeur de Jeux vidéo qui pense avec ses couilles.

Ça c’est une viking. Barbara, c’est ce qu’imagine un développeur de Jeux vidéo qui pense avec ses couilles.

Mais en tant que guerrière, pourquoi est-elle aussi court vêtue ?

Pourquoi avoir accordé une attention toute particulière aux mouvements de ses seins qui manquent de jaillir de son haut ?6

Pourquoi utilise-t-elle sa hache comme une arme contondante ?

Et d’ailleurs, pourquoi est-elle la seule avec une arme ? Les autres mettent des baffes et des coups de pied, ses bras à elle sont pas assez musclés ?

D’une diversité toute relative jusqu’à Rayman 3, on en arrive à plus aucune diversité du tout depuis Rayman Origins.

Les seuls personnages féminins présent dans Origins et Legends7 sont aussi les seuls personnages à forme humaine et leur seul intérêt réside dans le fait qu’elles sont bien foutues et que mater des seins ou soulever la jupe des filles hihihi c’est trop rigolo alors que les personnages masculins offrent une grande diversité de caractères et d’apparence.

Super Tux Kart : Quand un jeu libre se fait prendre la main dans le sac

Mon second exemple est l’alternative libre à Super Mario Kart, le jeu Super Tux Kart.

SuperTuxKart

De base, le jeu propose 15 personnages différents, tous des mascottes de projets libres comme Tux, eMule, Mozilla, GNU etc. Uniquement des animaux donc et pas forcément masculins (on retrouve ainsi la chimpanzé Suzanne qui vient de Blender)

Les développeurs ont toutefois trouvé judicieux d’intégrer une femme comme personnage jouable dans la prochaine version, une magicienne provenant du projet Open Game Art

Sara-Wizard

Ici encore, ce qui part d’un bon sentiment va complètement taper à côté à cause de la lorgnette sexiste qui pousse les gens à ne voir les femmes que comme des objets de désir.

Dès le premier modèle présenté, Sara se voit privée de son pantalon et devra conduire son kart en robe et en talons :

Pourquoi ne pas avoir conservé un modèle plus fidèle au sprite d’origine comme celui déjà disponible sur le site d’Open Game Art ? Est-ce vraiment comme ça qu’il faut mettre sa robe quand on roule en Moto des neiges ? Faut-il seulement faire de la moto-neige en robe8 ?

Mais loin de s’arrêter en si bon chemin, les développeurs ont également imaginé qu’en retombant après un saut, le vent soulèverait sa robe et nous laisserait apercevoir sa culotte. Pour ce faire, ils vont devoir faire des modifications dans le moteur du jeu afin d’intégrer des animations de chute.

Évidemment, l’auteur du modèle fait l’autruche, ne voit pas le problème qu’il y a à prendre une combattante, remplacer sa tenue de combat par une tenue « de princesse »9 complètement inadaptée à la conduite d’une moto-neige et à satisfaire le besoin irrépressible de regarder sous sa robe10 pour en faire la seule femme d’un jeu vidéo.

Bien sûr, vous pouvez vous soulager la conscience en considérant que ce ne sont que deux exemples mineurs et pas représentatifs, mais ce serait sans compter les centaines de cas sur lesquels on tombe dès qu’on s’interroge un peu sur la place des femmes dans notre société. Je vous recommande d’ailleurs un tumblr assez connu sur le sujet : EscherGirls qui se concentre sur ce qui touche à la culture du gaming ou des comics.


  1. La première image est un concept-art sans équivoque. 
  2. Cheveux longs, visage rond, des gros seins qui remuent, une taille de guêpe, des hanches larges et des petits pieds. 
  3. Un chapeau, un cache tétons, une bande de tissu en guise de jupe et des bas. 
  4. Avec la même voix
  5. Le premier de la série à ma connaissance (hors spin-offs.) 
  6. Mention spéciale à son atterrissage à la 25ème seconde de la vidéo ci dessus. 
  7. Si il y en a d’autres dans Legends, Ubisoft ne juge pas bon de communiquer dessus. Peut-être n’ont elles pas le même… charisme ? 
  8. Je rappelle que Peach et Daisy, quand elles sont en moto, ont la présence d’esprit de se mettre en combinaison 
  9. Ce sont ses mots : http://forum.kubuntu-fr.org/viewtopic.php?pid=14028081#p14028081 
  10. Si vous êtes du genre à penser que « ce n’est rien, après tout c’est pas grave », demandez-vous alors pourquoi il y a une si grande résistance face aux critiques.