J’ai écris ce matin un super long article sur le rachat de Github par Microsoft, prenant bien le temps de développer tous mes arguments. Malheureusement, suite à un crash de ma machine + auto-sauvegarde non fonctionnelle (ce que je n’avais pas vu) et bien j’ai tout perdu comme un couillon. Erreur de noob. Ouin.
Donc, comme ça m’a un peu dégouté, mais je vais quand même vous faire un résumé qui sera un peu plus brut de décoffrage, moins bien tourné, moins sourcé et argumenté mais tant pis.
Microsoft rachète Github. Ca fait hurler dans les chaumières parce que c’est « Microsoft ».
La communauté Github
Je comprends l’émoi mais il ne faut pas oublier le contexte :
Que Github est aussi une boite commerciale
Que Github est centralisé
Que Microsoft finance très fortement le logiciel open source depuis des années que ça n’a pas l’air de trop stresser la majorité des contributeurs open source
Que les employés de Microsoft sont les plus gros contributeurs sur Github, loin devant Google
Que Microsoft est avant tout une boite de dev qui conçoit des outils et des services pour les dev. (Azure, Visual Studio, et une tonne de SDK…)
Reproduire le drame Sourceforge avec Github (possible) ?
Intégrer Github (en conservant la marque ou pas) dans son panel de services pour les dev (fort probable) ?
Après si quelques développeurs se barrent du service, je pense que ça ne va pas trop inquiéter Microsoft qui de toute façon va pouvoir continuer à adresser un marché de professionnels qui ont des gros besoins techniques pour leurs équipes de devs.
Sur le coup, on peut dire que Microsoft a bien joué car ils récupèrent un outil aux fonctionnalités incontournables pour compléter leur gamme de services, tout en mettant la main sur une communauté ultra riche de développeurs, et une bibliothèque de codes tout aussi riche.
Maintenant les options qu’ont les développeurs qui utilisent Github :
Ne pas migrer et voir ce qui va se passer. (ce que la majorité va faire je pense)
Migrer sur un autre service commercial comme Gitlab ou équivalent (ce qui est en train de se passer…) mais je trouve ça un peu dommage car c’est tout aussi centralisé. Donc si Gitlab se fait racheter dans 2 mois, rebelote.
Passer sur un gitlab géré en mode associatif comme Framagit. C’est cool mais ça n’empêchera pas la centralisation.
S’auto-héberger avec un script open source comme celui de Gitlab, ce qui est cool mais on aura alors de la fragmentation et on perdra ainsi le côté « bibliothèque de codes » de Github
Enfin, la dernière option serait qu’émerge un Mastodon du Git qui offrira à la fois de la décentralisation mais aussi la possibilité de retrouver les contenus via des moteurs de recherches ou des sites. Cela pourrait par exemple se faire sur une base de Mango, un git décentralisé utilisant IPFS…
Ce serait l’idéal, c’est sûr.
Disons donc que les options pour ceux qui veulent fuir Microsoft restent pour le moment assez standards.
Heureusement, la résilience est une chose magnifique et je suis certain que dans quelques mois, tout le monde se sera un peu calmé sur le sujet à part une poignée d’anti-microsoftiens bloqués et en boucle depuis 1998.
Voilà pour le résumé express avec pas mal de listes à la place de jolies phrases et moins de pincettes. Mais globalement, ça résume bien ma pensée sur tout ça. Je comprends parfaitement les inquiétudes de certains utilisateurs de Github mais on reste dans une configuration assez simple d’une boite privée qui achète une autre boite privée.
Heureusement, Internet est grand et chacun trouvera rapidement son bonheur.
En tout cas, j’ai hâte de voir comment tout ceci va évoluer.
Le Xiaomi WiFi Homeplug est à la fois un répéteur et un routeur internet.
Composé d’une base centrale à brancher par ethernet à votre box internet, il peut communiquer avec pas moins de 7 plug disposés dans les différentes pièces de votre maison ou appartement pour étendre votre couverture réseau.
Compatible avec la plupart des routeurs du marché, le HomePlug de Xiaomi a une fréquece de 2.4GHz et une vitesse de transmission de 300Mbps.
Vous pouvez gagner jusqu’à 40% de wifi en plus dans les pièces les plus éloignées de votre box internet.
Et pour les grandes habitations, pour couvrir plus de pièces vous avez la possibilité d’étendre la couverture avec des Plugs supplmentaires.
Je viens de lire une réflexion intéressante sur le site de Daring Fireball concernant l’option d’iOS qui active un effacement total de l’iPhone après 10 entrées de mots de passe erronés.
En ce qui me concerne, ayant des enfants et un ou deux potes bien boulets, je n’ai jamais activé cette option de peur que cela efface toutes mes données après que ces êtres chers à mon cœur se soient emparés de mon téléphone.
Toutefois, j’ignorai qu’iOS imposait un délai d’attente de plus en plus long entre chaque saisie de mot de passe erroné. En effet, après le 5ème essai, iOS oblige à 60 secondes de pause avant d’entrer à nouveau un code. Après le 6ème essai erroné, c’est 5 minutes qui sont imposés. Puis après le 7ème essai, c’est 15 minutes… et ainsi de suite.
Ainsi, pour pouvoir entrer 10 codes erronés, il faudra (d’après les essais de John Gruber de Daring Fireball) patienter au total 3h. Autant dire qu’il y a peu de chance que votre enfant ait la patience ou l’opportunité de rester plus de 3h avec votre téléphone à tenter de le déverrouiller.
Ainsi, objectivement, il n’y a *pas* vraiment de raison de ne pas activer cette option qui peut servir dans certains cas un peu extrêmes à « protéger » votre vie privée. De plus, avec les sauvegardes qu’il est possible de mettre en place (iCloud ou en local avec iTunes), même si un effacement total de votre iPhone survenait, ce ne serait pas un drame.
J’ai donc décidé d’activer l’option tant redoutée quand on est parent.
Kaspersky protège vos comptes et vos informations personnelles … gratuitement
Comment les comptes Telegram sont piratés et volés ?
La réponse est courte : grâce à l’hameçonnage. L’utilisateur reçoit un message d’un compte Telegram avec un pseudonyme qui ressemble à un nom officiel, par exemple TelegramAdmin, indiquant qu’une activité suspecte a été détectée et que l’utilisateur doit confirmer son compte ou il sera bloqué. Un lien est fourni pour confirmer le compte.
Bien sûr, le lien renvoie à un site d’hameçonnage qui a une adresse qui semble digne de confiance. Ce peut être telegram-antispam.org, telegram-verification.site ou une adresse similaire.
J’ai voulu réinstaller TrueCrypt 7.1a sur mon macOS et après l’avoir téléchargé ici, je me suis heurté à l’erreur suivante :
TrueCrypt requires Mac OS X 10.4 or later.
Pas cool, sachant que la version actuelle de macOS est la 10.13.4.
Heureusement, il existe un moyen de contourner le problème. Voici comment.
Etape 1, copiez le fichier TrueCrypt7.1a.mpkg sur votre disque dur. Faites ensuite un clic droit dessus et faites « Afficher le contenu du paquet »
Rendez-vous ensuite dans le dossier « Contents » et éditer avec Textedit ou l’éditeur de texte de votre choix, le fichier distribution.dist.
Repérer ensuite les lignes que j’ai surligné dans la capture écran ci-dessous. Il s’agit du code qui vérifie la version de votre macOS et qui empêche TrueCrypt de s’installer. Vous pouvez supprimer tout ce que j’ai surligné ou simplement modifier les valeurs.
Sauvegardez le fichier, et relancez l’installation du package comme au début.
Vous n’avez peut-être jamais prêté attention à cela mais les webmasters qui utilisent Google Analytics, aiment souvent mettre des trackers dans les URLs de leur site.
Cela se matérialise par tout une série de tags que vous pouvez mieux voir lorsque par exemple vous partagez une URL via Twitter ou que vous la copiez collez. Ces trackers Made by Google, ce sont les suivants :
utm_source
utm_medium
utm_term
utm_campaign
utm_content
utm_cid
utm_reader
utm_name
Le webmaster peut mettre un peu ce qu’il veut dans ces paramètres mais globalement, cela lui permet de savoir dans le cadre d’une opération publicitaire depuis où vous êtes rentré (moteur de recherche, newsletter, Twitter…), la campagne publicitaire en cours, le type de contenu que vous êtes en train de consulter (dans le cadre de tests A/B).
En ce qui me concerne, je m’arrange pour les nettoyer dans de partager un lien sur mes rézosozios mais il m’arrive de zapper.
Heureusement, il existe une extension Chrome et Firefox qui s’appelle Tracking Token Stripper qui est capable de nettoyer automatiquement ces petits paramètres AVANT que l’URL soit appelée et le site chargé.
Pratique donc pour le côté esthétique de l’URL mais aussi pour la vie privée.
Fièr-e-s camarades, si vous utilisez Firefox et plus particulièrement le compte Firefox qui permet de synchroniser son historique, ses favoris, ses identifiants, ses onglets, ses préférences et ses plugins, voici une petite astuce qui va vous permettre d’augmenter grandement le niveau de sécurité de votre compte.
Cette astuce permet tout simplement d’activer la double authentification de votre compte Firefox, même si elle n’est pas encore officiellement proposée.
à la fin de l’URL, vous verrez apparaitre l’option « Validation en deux étapes »
Cliquez dessus, activer l’authentification, scanner le QR code avec l’application que vous utilisez pour la double authent, puis pensez bien à conserver dans un endroit sécurisé les clés de récupération fournies.
Et vous voilà avec un compte Firefox un peu mieux sécurisé.
Si vous rédigez des documents full text (genre des RFC ou trucs dans le genre) et que vous êtes mauvais en ASCII, je vous recommande d’utiliser ASCII FLOW pour faire vos schémas.
ASCII Flow est un site web qui propose une boite à outil minimaliste permettant de dessiner des boites, des lignes, des flêches et de dessiner librement, pour faire vos petits dessins, que vous pourrez ensuite exporter au format texte.
ASCII Flow propose une gomme, la possibilité de redimensionner certains objets (flêches, box…etc) et aussi d’importer de l’ASCII en provenance d’ailleurs.
Pratique donc pour illustrer basiquement certains de vos documents textuels sans passer trop de temps sur l’aspect artistique.
Vivatech est terminé, 3 jours debout à discuter avec vous (lecteurs du site) et personnes intéressées par le bug bounty de YesWeHack. Et les retours sont excellents alors tant mieux. De plus en plus de sociétés s’y mettent pour améliorer leur niveau de sécurité.
Autrement, j’ai aussi 2 autres excellentes nouvelles…
La première c’est que je serai aux Geek Faeries pour faire une conf sur la sécurité mais aussi pour enregistrer un épisode Live des Webosaures, et plus encore si affinité. J’avais vraiment adoré cet événement l’année dernière. Une vraie bouffée d’air frais. J’en avais d’ailleurs ramené cette vidéo qui je pense finira de vous convaincre de venir. En tout cas, j’ai hâte d’y être.
L’autre grande nouvelle, c’est que ça y est, j’ai ENFIN la fibre… Woohoo ! J’ai du Orange et je monte en DL à 900 Mbps ce qui est plutôt chouette. En tout cas, ça va me permettre enfin de faire des lives vidéo de qualité.
Sur ce, je vous souhaite une excellente semaine. Prenez soin de vous et j’espère vous croiser nombreux aux Geek Faeries.
MyDataRequest est un site gratuit qui rassemble environ une centaine de services bien connus tels qu’Amazon, Netflix, Tinder ou encore Snapchat et qui propose toutes les infos permettant de récupérer nos données personnelles.
Dans les 3/4 des cas, ce sont des adresses mails auxquelles il faut faire la demande grâce au modèle d’email fourni.
Mais dans d’autres cas comme celui de Snapchat, il s’agit simplement d’un lien sur lequel il faut se rendre pour pouvoir récupérer une archive de ses données.
Décrite dès 1979, le Shamir’s Secret Sharing (partage de clé secrète de Shamir) est une technique consistant à diviser un secret (un texte ou un fichier) en plusieurs morceaux chiffrés, à distribuer ces morceaux à différentes personnes, et exiger qu’un quorum (nombre minimin de personnes) soit constitué pour déchiffrer le secret.
Vous pouvez par exemple chiffrer l’un de vos documents, en distribuer les bouts à 8 personnes différentes mais exiger que 5 personnes mettent en commun leurs morceaux pour que ce secret soit déchiffrable.
Pratique pour fonctionner sur un principe de « confiance distribuée ». Après cela peut aussi être un moyen de renforcer la sécurité de certains secrets en distribuant le risque, ce qui exigerait d’un attaquant qu’il s’en prenne à x personnes / machines plutôt qu’une seule.
Pour mettre ce partage de secret en pratique, il existe un outil qui s’appelle Sunder disponible sous Mac et Linux. Son fonctionnement est simple. Vous choisissez un fichier ou écrivez un texte à protéger, puis vous indiquer le nombre de morceaux que vous souhaitez distribuer, ainsi que le nombre minimum de morceaux à rassembler pour déchiffrer le document.
C’est très simple. Et cela vous donnera ensuite les petits bouts à partager.
Ensuite, il suffit de disposer du minimum requis de morceaux du secret pour le récupérer en intégralité.
Un cas d’utilisation « amusant » serait de chiffrer en 2 parts un secret, d’en publier une sur votre site web et de ne révéler l’autre publiquement uniquement via votre testament.
Bah quoi ? 😉
Enfin, vous voyez le concept quoi. Bon, par contre, Sunder est encore en alpha, et n’a pas été testé par des experts ni audité. Il est donc à prendre pour ce qu’il est, un joli proof of concept dont la solidité reste à prouver.
Vendredi dernier, avec Remouk, nous avons fait un petit live Youtube pour vous expliquer comment nous faisons notre veille d’actu quotidienne et répondre aux questions des gens sur ce sujet.
Je partage donc avec vous cette vidéo. De mon côté la qualité vidéo est toujours pourrie mais cela risque de s’améliorer prochainement puisque Orange a prévu de m’installer la fibre bientôt 🙂 Woohoo !
