Journal Pass Navigo et Linux ... Grmbl ...

Posté par . Licence CC by-sa
21
31
mar.
2015

Cher journal,

Ça fait longtemps que je n'ai pas pris ma plume sur linuxfr … (oui je suis un vieux). Mais là je fulmine, je cherche dans tout les sens un moyen de dire au Stif tout le bien que je pense de son action pour limiter les utilisateurs linuxien (comme moi) à utiliser son très joli site https://rechargercommandernavigo.fr la veille au soir pour le lendemain.

Voila c'est pas le 1er avril (mais presque) mais pour celles et ceux qui veulent recharger leur passe de chez eux, il faut tricher pour dire au site que son ordinateur est sous Mac OS X 10.9 et que sa version de Firefox est bien supérieure à la version 35.0 … Oui c'est nouveau, avec de belles animations maintenant. Avant le simple fait de se déclarer Mac OS X suffisait, mais maintenant … Il faut aller plus loin pour contourner les regex que les devs de Netapsys Conseil s'évertuent à ajouter pour des effets kikoo lol. Ok pourquoi pas, mais laissez-nous un moyen simple d'acheter (de payer quoi) notre carte orange mensuelle ou à la semaine … sans devoir se prendre la tête à 23h parce que le site vient de sortir.

Bon pour ceux qui en auraient besoin, sous une vieille Debian et un vieux Firefox (31.5.3) je suis obligé pour contourner un bug de FFx (ben oui sinon ça serait trop simple !) de remplir le general.useragent.override avec Mozilla/5.0 (X11; Linux x86_64; rv:35.0) Gecko/20100101 Firefox/35.0 Iceweasel/35.2.0 Mac OS X 10.9 (ça c'est pour les trolls du 1er Avril).

Si quelqu'un sait comment demander au Stif de ne pas empêcher «bêtement» les gens de faire fonctionner leur site sur des vieux navigateurs sous de vieux OS qui marchent très bien, je suis preneur !

Caeies, vieux fou.

PS: Oui j'aimerais pour une fois avoir une réponse du Stif à ce propos !

  • # ya des bornes

    Posté par (page perso) . Évalué à 5.

    si, comme moi, tu as un pass navigo mensuel, il y a des bornes en gare disponibles

    mais pour celles et ceux qui veulent recharger leur passe de chez eux

    o_O j'ai pris un navigo découverte, c'est pas pour qu'ils aient mon adresse ?! (ne serait-ce qu'IP !)

    oui, cela me prive d'un mois d'économie, cela est le prix de ne pas associer un nom à mes trajets, seulement un n° qui leur suffit, il faudrait bien plus qu'un mois de rétribution pour leur indiquer tous mes trajets directement, sans qu'ils portent atteinte à mon identité et ce que je fais. Je ne suis même pas sûr que pour des transports gratuits à l'année je serais prêt à le faire, il vaudrait mieux me rémunérer plus : de l'ordre de 1,2 k€/an, soit moins de 100 €/mois je ne suis même pas sûr de commencer à me poser la question d'accepter… (même en multi-zone, les transports en commun devant par nature être gratuits àmha, ce qui générerait des économies sur les contrôles pouvant être reportés sur la sécurité).

    • [^] # Re: ya des bornes

      Posté par . Évalué à 10.

      fais gaffe je crois que tu as choppé une stalmanïte aiguë

    • [^] # Re: ya des bornes

      Posté par . Évalué à 7.

      Disclaimer : comme toi je suis sensible à la protection de la vie privée mais je connais un peu le milieu et je pense qu'il est toujours intéressant d'avoir le point de vue de « l'autre camp ».

      Pourquoi les transporteurs poussent-ils leurs clients à prendre des abonnement annuels nominatifs?

      La principale raison est en fait financière. Avoir les clients « en base » permet de les passer en prélèvement automatique pour le paiement des abonnements annuels et donc de sécuriser les recettes (et ça a le bon goût d'être prévisible).
      Une bonne raison du point de vue de l'usager est que cela permet facilement de lui reconstituer sa carte s'il la perd ou se la fait voler.

      Les transporteurs fliquent-ils leurs clients ?

      À ma connaissance, non (mais je n'exploite pas une de ces BDD personnellement). La CNIL impose d'ailleurs des contraintes strictes sur ce qui peut être fait avec les données de validation récoltées (source). Je cite :

      Dans le cadre des traitements mis en œuvre, les données de validation font l'objet d'une anonymisation à bref délai. Cette anonymisation est réalisée soit par la suppression complète du numéro de carte, soit par la suppression conjointe de la date, de l'heure et du lieu de passage, soit encore par l'application au numéro de carte d'un algorithme cryptographique de « hachage » public réputé fort. Toutefois, les données de validation contenant des informations relatives aux déplacements des personnes, associées au numéro de carte ou de l'abonné, élément renvoyant indirectement à l'identité d'un usager, pourront être conservées pendant quarante-huit heures au maximum et aux seules fins de lutter contre la fraude technologique.

      L'algorithme de hachage public réputé fort, à ma connaissance ça veut dire HMAC et il faut changer la clé au bout de 12 mois max.

      • [^] # Re: ya des bornes

        Posté par (page perso) . Évalué à 10.

        La CNIL impose d'ailleurs des contraintes strictes [..]

        Trop gros passera pas…

        • [^] # Re: ya des bornes

          Posté par . Évalué à 2.

          La CNIL n'a certes pas un grand pouvoir de coercition mais je peux en tout cas t'assurer que les contraintes que j'ai évoquées sont reprises dans les cahiers des charges utilisés pour consulter les fournisseurs de ces systèmes et intégrées dans les spécifications de ces mêmes systèmes.
          Je n'ai jamais pu vérifier par moi-même leurs stricte application mais rien de ce que je connais ne laisse penser le contraire.

          • [^] # Re: ya des bornes

            Posté par . Évalué à 0.

            C'est pas le genre de réponse qu'on avait quand on parlait des grandes oreilles de la NSA avant qu'Edward Snowden nous sorte des preuves du contraire ?

            • [^] # Re: ya des bornes

              Posté par (page perso) . Évalué à 3.

              La NSA a fait l'essentiel de ses opérations cachées de manière légale, sous la protection de la loi. Cela n'est pas possible actuellement en France de faire légalement tout ce que la NSA a pu faire aux USA.

              Alors bien sûr, la DGSE peut aussi le faire de manière illégale, mais ça réduit pas mal les risques (et ils peuvent être condamnés si c'est avéré alors qu'aux USA, rien ne peut se faire).

              Après, chacun prend ses propres responsabilités.

              • [^] # Re: ya des bornes

                Posté par (page perso) . Évalué à 2.

                Après, chacun prend ses propres responsabilités.

                sans vouloir être parano(*), c'est pas comme si ceux qui peuvent faire passer des lois oubliaient de les rendre rétro-actives, lorsque ça les arrange…

                il n'y a que le rainbow warrior comme contre-exemple AFAIK (même s'il y a eu un sacré enfumage à l'époque).

                le secret défense reste tout de même un bon moyen de dédouaner certains projets ratés ou trop largement hors-budget (et la facture qui va avec).

                Dans la plupart des cas, cela se passe correctement, mais il vaut mieux être prêt à accepter que les citoyens ne sauront jamais la répartition des valises de billet "à la discrétion" de ministres à une époque (payer leur(s) secrétaire(s), la plupart du temps…).

                (*) de toute façon, ce n'est pas parce que je ne suis pas parano qu'ils ne sont pas après moi…

                • [^] # Re: ya des bornes

                  Posté par (page perso) . Évalué à 3.

                  c'est pas comme si ceux qui peuvent faire passer des lois oubliaient de les rendre rétro-actives, lorsque ça les arrange

                  Les lois rétroactives, c'est quand même assez rare.

                  • [^] # Re: ya des bornes

                    Posté par (page perso) . Évalué à 3.

                    La rétroactivité existe dans certains cas précis :
                    * Si c'est pour supprimer une interdiction, par exemple si tu es en prison pour un acte qui n'est plus réprimandé, tu seras libéré immédiatement. Ou tu ne seras plus poursuivie si la procédure est en cours.
                    * Normalement tout ce qui touche aux délais de prescription ça a effet même pour les actes ayant eu lieu avant le passage de la loi.

                    Mais en effet, de manière classique, la loi n'est pas rétroactive. C'est quelque chose d'essentiel pour assurer le bon vivre ensemble.

                    • [^] # Re: ya des bornes

                      Posté par . Évalué à 3.

                      Si c'est pour supprimer une interdiction, par exemple si tu es en prison pour un acte qui n'est plus réprimandé

                      Ça m'étonnerait, ça. Quand Le CC a abrogé le délit de harcèlement sexuel, ce n'est pas pour autant que tous les délinquants condamnés pour ça ont été libérés (d'ailleurs l'inverse est explicitement mentionné dans la décision).

                      Ou tu ne seras plus poursuivie si la procédure est en cours

                      Ca c'est vrai par contre. Si changement dans le CP ou le CPP, c'est toujours la peine plus clémente qui s'applique et ce pour toute la procédure, tant que ce n'est pas jugé (et j'imagine tant que les voies de recours n'ont pas été épuisées).

                      Mais en effet, de manière classique, la loi n'est pas rétroactive.

                      Principale exception, les dispositions fiscales.

                      • [^] # Re: ya des bornes

                        Posté par (page perso) . Évalué à 3.

                        Principale exception, les dispositions fiscales.

                        oui, j'avais en tête les abus de biens sociaux via l'utilisation pour leur propre intérêt de lois, ensuite révoquées, mais avec dépénalisation des abus effectués entretemps… et j'étais retombé sur ton lien qui reste néanmoins peu disert en exemples concrets et factuels :/

            • [^] # Re: ya des bornes

              Posté par . Évalué à 2.

              Je précise juste que d'après ce que je peux voir, les contraintes édictées par la CNIL sont respectées. Libre à vous de penser le contraire mais vous en avez encore moins de preuves. Le doute (au sens « scientifique » du terme) est sain mais il ne faut pas non plus verser dans la parano.

              Quant au parallèle avec la NSA, on ne joue pas tout à fait dans la même cour. Tout ce que l'on peut savoir en conservant les données de validation c'est où et à quelle heure tu es monté dans les transports en commun (on ne sait même pas où tu descends). Point de vue flicage et rentabilité pour la DGSE, il me semblerait plus efficace de tracer ton téléphone portable (avec la complicité de ton opérateur télécom par exemple).

              • [^] # Re: ya des bornes

                Posté par (page perso) . Évalué à 3.

                on ne sait même pas où tu descends

                cela dépend des points de sortie : à La Défense, la sortie requière de valider et c'est assez souvent le cas.

                plus efficace de tracer ton téléphone portable

                en 2001 avec l'avènement du GPRS, il était question d'ajouter la fonctionnalité de géolocalisation aux BTS (antennes) et de remonter cette information jusqu'au HLR (base de gestion des abonnés). J'imagine que depuis les marketeux ont cédé à la tentation et l'ont fait effectivement mettre en place (pour l'exploiter dans les services de gestion du trafic par exemple, pour identifier les ralentissements sur le périph'…).
                De toute façon, pleins d'applis sur ton téléphone proposent de remonter ta géolocalisation directement via le GPS de l'ordiphone, même à des sites web o_O (bon, je fais partie de ceux qui n'acceptent jamais, hormis pour Mozilla Stumbler et OsmAnd…).

                Pour ce qui est de la complicité de l'opérateur telco, soit-disant l'interception n'était possible que sur demande ciblée expresse et nécessitant l'intervention de personnes physiques dans l'auto-commutateur concerné pour l'activer : pourtant il a été avéré par la suite que cela était possible de manière généralisée et sans déplacement effectif sur site, à distance…

                Après, je rejoins ton raisonnement optimiste (mais naïf) : à quoi bon ? en quoi serais-je concerné voire ciblé ? Je suis d'accord, mais rien que le fait que cela soit possible de manière généralisée et mis en œuvre me dérange. En outre, par principe d'économie : à quoi bon mettre en place quelque chose pour lequel il n'y a pas de budget ni d'utilité rapportant un chiffre d'affaire ? Un service "obligations légales" est mis en place par un opérateur telco parce que c'est rémunéré, sinon il ne serait pas disponible avec ce niveau d'informations… (ou seulement indirectement et potentiellement pas en temps réel).

    • [^] # Re: ya des bornes

      Posté par (page perso) . Évalué à 5.

      Mouai, et tu le payes comment ton pass navigo decouverte ?

      Je parie avec ta carte bleue.

      Qui contient des informations comme ton nom, prenom, numero de compte bancaire etc…

      Simple pour eux donc de lier numéro pass <-> numéro carte <-> nom, prénom <-> liste probable d'adresses via un annuaire

      Maintenant, ça ne veut pas dire qu'ils font ces rapprochements.

      Mais techniquement, avoir un pass navigo découverte ne te protège pas contre un éventuel "fichage".

      • [^] # Re: ya des bornes

        Posté par . Évalué à 3.

        Simple pour eux donc de lier numéro pass <-> numéro carte <-> nom, prénom <-> liste probable d'adresses via un annuaire

        Et sinon, la machine, elle avale la carte? Parce que si oui, y'a plus simple que de faire des recoupements techniques avec d'autres entités: appareil photo dans la machine, reconnaissance des caractères :)
        Bref, suis d'accord avec ton anti-paranoïa. La parano ça à du bon, mais il faut faire attention à l'être intelligemment.

    • [^] # Re: ya des bornes

      Posté par (page perso) . Évalué à 3.

      Tu devrais acheter des carnets de 10 tickets, encore plus dur à tracer…

      Python 3 - Apprendre à programmer en Python avec PyZo et Jupyter Notebook → https://www.dunod.com/sciences-techniques/python-3

      • [^] # Re: ya des bornes

        Posté par (page perso) . Évalué à 2.

        tout dépend ce qu'il y a comme information sur la piste magnétique du ticket.

        • [^] # Re: ya des bornes

          Posté par (page perso) . Évalué à 3. Dernière modification le 01/04/15 à 19:47.

          Le ticket n'est valable que pour un voyage… donc on doit pouvoir tracer que tel ticket est passé ici, puis là, puis là.

          Si tu es vraiment parano, tu les achètes à divers endroits, tu paye en liquide, et tu les utilises de façon aléatoire. Mais alors qu'est-ce que tu trafiques?

          Python 3 - Apprendre à programmer en Python avec PyZo et Jupyter Notebook → https://www.dunod.com/sciences-techniques/python-3

          • [^] # Re: ya des bornes

            Posté par (page perso) . Évalué à 2.

            Notons par ailleurs que la bande magnétique d'un ticket de train SNCF comportait il y a quelques années les données telles que : nom, prénom, numéro de carte bancaire si c'était le moyen de paiement, etc.
            Je ne sais pas s'ils ont changé depuis. Mais très clairement, tant d'informations en clair facilement accessible c'est à éviter.

  • # Mentions légales

    Posté par . Évalué à 2.

    Netapsys Conseil a fait le site www.navigo.fr (sous SPIP visiblement) et non rechargercommandernavigo.fr.

    La différence est de taille ;)

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.