Et Linux restera toujours à moins de 1% de part de marché sur le desktop tellement les linuxiens refusent d'essayer de comprendre les 99% autres pourcents.
Mais pourquoi
1) Croire que Linux est une entité unique comme Microsoft ou Apple, et que ses utilisateurs sont responsables des choix des autres utilisateurs.
2) Oublier que "dans le « libre », l’argent n’est plus le moteur principal. Il cède la place à la motivation et à la passion, deux valeurs en chute libre dans le modèle consumériste." (J'ai repris la citation d'ici, car je trouve que c'est bien dit.)
Encore une fois je ne vois pas l'intérêt de l'insulte personnelle, ça ne me dérange pas outre mesure, mais ça pollue un peu le débat.
J'essaie de mettre les choses en perspectives, sans dire qu'aucun système n'est parfait, et que pour appréhender le monde, il est toujours intéressant de le comprendre un peu. Plus un système est simple en apparence, plus sa mécanique interne peut s'avérer exponentiellement complexe, et qu'il est intéressant de se trouver à un point ou on profite des avantages que les outils modernes peuvent apporter, sans perdre complètement le contrôle sur ces outils. L'exemple de la voiture est que si on n'a pas une simple compréhension de son véhicule, évidemment il paraît extrêmement compliqué pour Tante Marthe de rajouter du liquide de refroidissement. Il y a des voitures modernes tellement "simples" et automatisées qu'on ne peut même plus remplacer soi-même les ampoules, on doit le faire faire chez le concessionnaire. Et certains s'en accomodent très bien, trouvent ça super. D'autres moins. Mais certains, dans ce même journal arrivent semble-t-il à mieux expliquer la notion de compromis simplicité/indépendance que moi.
Ensuite tu as l'air de dire que la gestion d'un certificat X.509 est ultra-simple, non, la simplicité est telle qu'une fois installé, tu n'as plus rien à faire, sauf retaper ton mot de passe, ou insérer ta clef et taper ton PIN, car tu fais entièrement confiance au CA, voire aux chaines de CA. Mais la démarche pour obtenir son certificat est malgré tout complexe, car il faut choisir un CA (les comparer), souvent payer, choisir les services associés (ce qu'on veut être capable de signer/chiffrer), prouver son identité, récupérer en main propre ses certificats ou par une autre façon sécurisée (si c'est un bon CA qui fait bien son travail), configurer les paramètres de sécurité de son poste de travail notamment en installant le certificat racine de l'autorité (essaie de le faire sans doc, tu vas vite considérer selon tes normes que c'est un "mauvais" produit). Ensuite, il faut bien sûr convaincre l'oncle Bill de faire la même procédure pour effectuer un échange signé/chiffré avec lui. En passant, je ne sais pas après si la procédure aussi "facile" à faire en Tunisie ou en Iran. Tu peux bien sûr concevoir ta propre PKI, mais tu ne pourras échanger qu'avec ceux inscrits dans cette PKI (vu qu'il ne fait pas partie des chaines de CA, sauf si tu réussis à valider toutes les étapes complexes et coûteuses de certification). Donc X.509 c'est un certificat certainement pratique pour une entreprise, mais pas forcément pour l'ensemble des utilisateurs, et très loin du "1 click install". Encore une fois, il s'agit d'une mise en perspective. Concernant la sécurité, le problème du mot de passe reste le même, si on a volé/craqué le mot de passe de ton certificat, n'importe qui peut se faire passer pour toi, et les gens seront d'autant moins méfiant que c'est Verisign, Thawte, BNP/Paribas ou autre qui authentifie ton certificat. À l'opposé, se faire une clef OpenPGP sous Enigmail, kpgp, retroshare etc, c'est entre deux et cinq clics, et trois/quatre champs à remplir. Et le même problème que pour X.509, le mot de passe : trop simple, on peut le craquer, trop complexe, on peut l'oublier.
Ensuite je ne comprends pas trop ce que viennent faire les linuxiens dedans. On parlait bien de OpenPGP non ? Moi même je ne me considère pas comme un linuxien, même si c'est mon système de choix, et que j'ai bien conscience d'avoir laissé derrière moi une certains "avantages" techniques liés aux autres environnements, mais c'est un autre débat.
Je propose même la création d'un outil qui créerait ton adresse mail (chez gmail, what else?), son mot de passe, un compte utilisateur local et administrateur (root? nah linux trop compliqué) en un seul clic, plus un code pin, un compte facebook (what else?) et un certificat chez thawte ou verisign, toujours en un seul clic, sans avoir jamais besoin de vérifier ses paramètres ou retaper un mot de passe, voire s'en souvenir, et en plus envoie toutes les informations nécessaires à ses correspondants, et même configure leur compte à la volée pour qu'ils aient un beau cadenas vert dans outlouque quand ils reçoivent une message.
Tiens j'aperçois une une analogie avec les voitures à l'horizon, comme c'est original :)
Il faudrait des voitures sans manuel, qui vérifient la pression des pneus, les change si besoin, vérifie le niveau d'huile, de liquide de freins, lave-glace, liquide de refroidissement, l'état d'usure des pneus, fasse le plein et lave la voiture d'une simple pression sur un écran tactile. Parce que pour Michelle Michu, c'est bien trop compliqué.
On revient au truc de base : dit-moi ce dont tu as besoin, je te dirais comment t'en passer.
?
Je n'ai pas compris ton développement, ni la raison de cette citation surexploitée de Coluche. mais je suppose que tu n'as pas compris le mien : Si tu considères que tu as besoin de vérifier, tu vérifie (tu y prends un certain temps), si tu considères que tu n'as pas besoin tu ne vérifies pas (ou peu). Ça fait juste appel à une notion qui est malheureusement non automatisable, du moins pas encore, le bon sens. Pour utiliser une nimage, j'ai dis que si tu as besoin d'écraser une mouche, tu n'as pas forcément besoin de marteau-piqueur (et non que tu n'as pas besoin d'écraser de mouche), sauf si la mouche est Jeff Goldblum, mais là tu es aussi dans la merde avec un marteau-piqueur. Pour être plus dans le contexte, c'est que si quelqu'un t'envoie régulièrement un message avec des blagues powerpoint dedans, tu n'as peut-être pas besoin de vérifier que Jules de la compta est bien l'émetteur du courriel.
Par contre, si tu échanges souvent une conversation avec l'oncle Bill, c'est peut être déjà plus intéressant d'écrire sur skype à Tonton Bill en lui disant : "coucou tonton bill lol ta clef, c'est bien A832E12AC ? Oui, ok merci ^ je la tague niveau 5 top confiance alors ptdr"
Oui, donc en fait c'est "démerde-toi j'en ai rien à foutre que ce ne soit pas simple". Justement, c'est la critique faite à PGP.
??
Rien compris… Enfin si, mais je n'ai pas compris l'agressivité sous-jacente du message. Un principe de sécurité, c'est souvent le principe de double-confirmation. La même information provenant de deux canaux différents a plus de… raison, on va dire, d'être vraie (avec tout le bon sens qui est encore une fois de mise). Donc si tu reçois un mail de Tonton Bill avec la signature A832E12AC et qu'il te la confirme via un autre medium (par exemple la boîte de messagerie de sa société, par un twitt, la page de son site web ou son blog, par tout ce que tu veux (y compris les serveurs de clef GPG) tu as d'autant plus de raison d'y accorder une confiance plus importante. Si tu n'as pas d'autre moyen de vérifier, ben ça n'empêche pas la clef de fonctionner, il faut juste se dire que son niveau de confiance soit considérée moindre, c'est tout. Si le fait d'avoir plein de mediums, tu le considère comme un "démerdes-toi" pédant, soit. Pour moi, il s'agit de trouver le plus adapté sans se prendre la tête. Comme on ne peut pas connaître toutes les situations, sauf si on s'appelle Chuck Norris, une liste non exhaustive me semble un bon début plus que correct.
Pour finir sur le "C'est dur". C'est moins simple, à priori, que d'acheter un certificat. Mais certains outils, comme enigmail, on vraiment simplifié le processus. Pour moi, c'est assez simple pour que j'aie pu l'expliquer aux employés de la mairie ou je travaille, afin qu'ils l'utilisent régulièrement, avec une bonne doc et de jolis dessins explicatifs. Pour finir, la notion de dureté est toujours relative. Pour certains c'est dur de vérifier le niveau d'huile de leur voiture, et ils ne le font jamais ou le font faire par d'autres.
En fait il s'agit d'une hygiène de vie, si tu signes tout le temps avec la même clef (enfin pas non plus trop longtemps, car plus une clef est utilisée depuis longtemps, plus elle a des risque d'être compromise ou que son utilisateur en ait oublié le mot de passe, il m'est arrivé la même chose que ploum, c'est désagréable, mais j'utilise beaucoup plus mes mails pour signer, et rarement pour chiffrer, sauf quand il s'agit d'envoyer des informations de type mdp+pass par ex), tes correspondants pourront y attribuer un certain niveau de confiance, et ça sera utile pour le jour il deviendrait vraiment intéressant voire nécessaire de signer.
Mon idée est qu'il est judicieux d'avoir une durée de vie de deux ans, cinq max de validité de la clef. Car on a toujours un risque non négligeable de perdre sa clef de révocation.
Comme dit plus haut ou plus bas, il faudrait que cette hygiène de vie soit applicable aux webmails, de plus en plus utilisés, et peut-être que GPG4browser sera une solution.
Sinon pour répondre à la question de ploum, GPG est aussi utilisé, par exemple, dans retroshare.
Ne vérifie pas ce qui ne nécessite pas d'être vérifié. Aujourd'hui, quelqu'un qui envoie une clé pgp pour signer ses messages est tellement rare que tu peux lui augmenter son niveau de confiance (tu peux attribuer un niveau de confiance à une clef gpg)
Si la personne signe avec la même clef depuis des mois voire des années, tu peux logiquement lui augmenter son niveau de confiance. Mais encore une fois, avoir confiance absolue en une clef n'est utile que si tu veux être vraiment sûr de la personne avec qui tu es en contact, par exemple si tu veux chiffrer un mail pour pas qu'un voisin (ou un curieux) le lise, ou si tu veux envoyer une info confidentielle. Il suffit déjà de confirmer la clef par n'importe quel autre medium : IRC, messagerie instantannée, gmail, courrier, signaux de fumée et imaginer quelle raison aurait quelqu'un d'usurper une identité si vraiment c'est très important.
D'ailleurs je viens de lire le journal en question, ça ne marchera jamais l'iPad, un truc qui n'est ni un ordinateur ni un téléphone, personne ne va mettre plusieurs centaines d'euros là dedans…
Si on considère que Mandriva est, du moins pour l'instant, entièrement récupérée par la Russie sous le nom de Rosa (et que ça marche plutôt bien là bas), et que SUSE (je ne parle pas d'OpenSuse) appartenant à Novell puis Attachmate n'a plus d'allemand que ses origines, on peut dire que c'est toute l'europe qui se reçoit une branlée. À moins qu'on considère Canonical comme européenne.
Mais a-t-on vraiment autant besoin de cet écosysteme ? je veux dire c'est vrai que c'est bien, c'est confortable, cette ultra-interconnexion des données risque parfois de se faire au détriment des inter-connexions de données réalisées dans notre propre cerveau. Enfin, je fais une généralité de mon cas, peut-être pas pour tout le monde :)
C'est malgré tout sur cette hypothèse que j'essaie de minimiser, non pas mon utilisation des outils informatique, mais l'interconnexion des données. (oui je sais, je me répète :p).
- J'utilise des clients locaux (bon ça n'a rien à voir, mais ça me permet d'utiliser gpg, plus pour signer les mails que pour les chiffrer d'ailleurs)
- Je nettoie/archive mes mails quand j'atteins le Go de données (donc l'autre net ça pourrait m'intéresser)
- Je fais en sorte de me déconnecter de tous mes comptes systématiquement (je vais entre autre sur facebook et google plus de temps en temps (bouh, c'est pas bien) pour être sûr j'ai ajouté les modules disconnect dans firefox), et je demande à kde wallet (ou seahorse en fonction de la machine que j'occupe), et master passowrd+ de me déconnecter au bout de 5 minutes d'inactivités.
- J'ai une boite mail qui ne me sert qu'à la création de comptes. Je la vide régulièrement.
- J'utilise trois systèmes de mots de passe qui me permettent d'avoir un mot de passe différent par service, c'est un peu long à expliquer en une phrase, en gros ça me permet d'avoir trois types de sécurités (de "je peux le refiler à quelqu'un si besoin" à "Strictement personnel, ne pas donner") juste pour éviter que quelqu'un ne comprenne mon système, qui même si il n'est pas simple, peut être compris par quelqu'un d'habitué, à partir de deux ou trois mots de passes de même catégorie. De même chaque mot de passe à trois variantes en fonction du fait que certains sites acceptent plus de dix caractères, d'autres non, d'autres n'acceptent pas les caractères spéciaux etc. Dans mes mot de passe, une partie sert à indiquer la péremption du mot de passe, ainsi je sais si je dois le changer ou pas (ça nécessite d'être assez rigoureux, et de devoir tester deux ou trois si le compte à plus de 2, 4 ans etc.). Je connais par cœur les mots de passe les plus fréquents, et je dois rechercher "logiquement" ceux que j'utilise le moins. Le désavantage c'est qu'il m'arrive, rarement, de ne plus le retrouver (obligé de passer par le oneshot). Aussi, je n'ai pas pris en compte les cas particuliers, comme ma banque qui me demande 6 chiffres :/
- Si j'ai une info vraiment particulière à retenir, je m'envoie un mail chiffré avec gpg. Et j'ai ma clef privée Gpg sur dossier chiffré (encfs) envoyé sur dropbox et ubuntu one.
- J'utilise un petit agenda, un calepin et un critérium pour gérer mes rendez vous et trucs à faire. Bon pour un gars bordélique comme moi, ça a été un gros effort, mais je sens que ça m'aide à être plus organisé dans ma tête, moins dépassé par les évènements. j'utilise quand même un agenda pour les quelques rendez vous que je ne dois absolument pas rater (ou que je suis sûr que si je n'ai pas d'alerte, c'est « obligé », je l'oublie)
Avantages : je minimise mes connexions aux services, donc je les utilise avec un meilleur rendement, je perds moins de temps à me connecter sur des sites chronophages, je consulte mes mails à certaines heures, j'ai une boite mail assez peu remplie.
Inconvénients : je me prive de certains services, parfois je me fais des nœuds au cerveau, je ne suis pas encore certain de l'intérêt réel de cette manière de faire, mais elle me plait bien.
PS : je m'aperçois que alt-gr + o sous opensuse me donne ø et non œ, grrr heureusement qu'il y a les caractères spéciaux à copier-coller dans l'éditeur linuxfr.
J'ai l'impression que le but des logiciels n'est pas le même, Retroshare est du F2F, il faut faire partie d'un réseau pour accéder aux fichiers des relations dans le réseau, alors que Tribler est du "vrai" P2P.
Euh, mandriva, si elle survit, remplace progressivement tous ses outils Gtk par des outils Qt, elle avait déjà commencé avec la 2011 (y compris l'installateur en Qt). Rosa, en tout cas continuera semble-t-il sur cette voie.
Gnumdk avait fait un journal ou il parlait des problèmes de gestion des menu (fichier/edition etc...)
Personnellement j'ai essayé de faire un environnement comme Unity tout en plasma, mais j'ai eu plusieurs problèmes : afficher les boutons fermer/réduire dans la barre du haut lorsque la fenêtre est maximisée. La seule technique que j'ai trouvée pour cela est de faire passer la barre de haut sous un panel qui contient les boutons fermer et réduire. Je n'ai pas trouvé d'équivalent au launcher (ou je ne sais pas comment ça s'appelle) de Unity. Le truc qui s'en rapproche le plus que j'aie trouvé est le SimpleWelcome de Rosa Labs, intégré par défaut dans Mandriva 2011, mais bon c'est pas aussi joli et aussi bien intégré. Ou alors le plasmoide netbook vraiment classieux, mais difficilement configurable, et n'incluant pas d'options aussi évoluées (comme la recherche d'applications installables)
Pareil, je n'ai pas trouvé comment avoir un menu personnalisé, un menu de changement d'utilisateur etc.
Ah, et puis la rapidité de lancement, je ne sais pas si ça va s'améliorer avec kde 4.8 avec kde-lowfat-settings, mais ce que c'est pénible cette lenteur de démarrage comparé à celle de Unity :/
Une vision serait, justement, ainsi que je le disais plus haut (ou plus bas je ne sais plus), que Ubuntu et Kubuntu ne sont plus seulement la même distribution linux, mais deux desktops Linux à part entière (avec l'intégration, la cohérence de l'environnement etc)
[^] # Re: Horrible interface
Posté par Bruce Le Nain (site web personnel) . En réponse à la dépêche Nouvelles Mozilla : Marketplace, Metro, Persona, B2G, Add-on, API web. Évalué à 7.
Mais pourquoi
1) Croire que Linux est une entité unique comme Microsoft ou Apple, et que ses utilisateurs sont responsables des choix des autres utilisateurs.
2) Oublier que "dans le « libre », l’argent n’est plus le moteur principal. Il cède la place à la motivation et à la passion, deux valeurs en chute libre dans le modèle consumériste." (J'ai repris la citation d'ici, car je trouve que c'est bien dit.)
[^] # Re: Utile, pas plus compliqué qu'autre chose
Posté par Bruce Le Nain (site web personnel) . En réponse au journal À propos de GPG et de son avenir. Évalué à 6.
Encore une fois je ne vois pas l'intérêt de l'insulte personnelle, ça ne me dérange pas outre mesure, mais ça pollue un peu le débat.
J'essaie de mettre les choses en perspectives, sans dire qu'aucun système n'est parfait, et que pour appréhender le monde, il est toujours intéressant de le comprendre un peu. Plus un système est simple en apparence, plus sa mécanique interne peut s'avérer exponentiellement complexe, et qu'il est intéressant de se trouver à un point ou on profite des avantages que les outils modernes peuvent apporter, sans perdre complètement le contrôle sur ces outils. L'exemple de la voiture est que si on n'a pas une simple compréhension de son véhicule, évidemment il paraît extrêmement compliqué pour Tante Marthe de rajouter du liquide de refroidissement. Il y a des voitures modernes tellement "simples" et automatisées qu'on ne peut même plus remplacer soi-même les ampoules, on doit le faire faire chez le concessionnaire. Et certains s'en accomodent très bien, trouvent ça super. D'autres moins. Mais certains, dans ce même journal arrivent semble-t-il à mieux expliquer la notion de compromis simplicité/indépendance que moi.
Ensuite tu as l'air de dire que la gestion d'un certificat X.509 est ultra-simple, non, la simplicité est telle qu'une fois installé, tu n'as plus rien à faire, sauf retaper ton mot de passe, ou insérer ta clef et taper ton PIN, car tu fais entièrement confiance au CA, voire aux chaines de CA. Mais la démarche pour obtenir son certificat est malgré tout complexe, car il faut choisir un CA (les comparer), souvent payer, choisir les services associés (ce qu'on veut être capable de signer/chiffrer), prouver son identité, récupérer en main propre ses certificats ou par une autre façon sécurisée (si c'est un bon CA qui fait bien son travail), configurer les paramètres de sécurité de son poste de travail notamment en installant le certificat racine de l'autorité (essaie de le faire sans doc, tu vas vite considérer selon tes normes que c'est un "mauvais" produit). Ensuite, il faut bien sûr convaincre l'oncle Bill de faire la même procédure pour effectuer un échange signé/chiffré avec lui. En passant, je ne sais pas après si la procédure aussi "facile" à faire en Tunisie ou en Iran. Tu peux bien sûr concevoir ta propre PKI, mais tu ne pourras échanger qu'avec ceux inscrits dans cette PKI (vu qu'il ne fait pas partie des chaines de CA, sauf si tu réussis à valider toutes les étapes complexes et coûteuses de certification). Donc X.509 c'est un certificat certainement pratique pour une entreprise, mais pas forcément pour l'ensemble des utilisateurs, et très loin du "1 click install". Encore une fois, il s'agit d'une mise en perspective. Concernant la sécurité, le problème du mot de passe reste le même, si on a volé/craqué le mot de passe de ton certificat, n'importe qui peut se faire passer pour toi, et les gens seront d'autant moins méfiant que c'est Verisign, Thawte, BNP/Paribas ou autre qui authentifie ton certificat. À l'opposé, se faire une clef OpenPGP sous Enigmail, kpgp, retroshare etc, c'est entre deux et cinq clics, et trois/quatre champs à remplir. Et le même problème que pour X.509, le mot de passe : trop simple, on peut le craquer, trop complexe, on peut l'oublier.
Ensuite je ne comprends pas trop ce que viennent faire les linuxiens dedans. On parlait bien de OpenPGP non ? Moi même je ne me considère pas comme un linuxien, même si c'est mon système de choix, et que j'ai bien conscience d'avoir laissé derrière moi une certains "avantages" techniques liés aux autres environnements, mais c'est un autre débat.
[^] # Re: Utile, pas plus compliqué qu'autre chose
Posté par Bruce Le Nain (site web personnel) . En réponse au journal À propos de GPG et de son avenir. Évalué à 1.
De quelle fonctionnalité parles-tu ?
[^] # Re: Horrible interface
Posté par Bruce Le Nain (site web personnel) . En réponse à la dépêche Nouvelles Mozilla : Marketplace, Metro, Persona, B2G, Add-on, API web. Évalué à 3.
oulah, ça a l'air d'un très bon réquisitoire, mais je n'utilise que des WM et DE sous Linux :)
Moi je disais juste ça au premier coup d'œil, comme ça.
[^] # Re: Utile, pas plus compliqué qu'autre chose
Posté par Bruce Le Nain (site web personnel) . En réponse au journal À propos de GPG et de son avenir. Évalué à 1.
Merci pour tes mots qui semblent expliquer ceci bien plus clairement que je n'arrive à le faire à moi même (malgré plusieurs essais différents) :)
[^] # Re: Ayatollah nazi de la forme: quid du public?
Posté par Bruce Le Nain (site web personnel) . En réponse au journal Commentaires sur Windows 8 béta. Évalué à 2.
J'en profite pour demander à Renault, l'auteur du Journal, on conduit un ou une Espace ?
[^] # Re: Horrible interface
Posté par Bruce Le Nain (site web personnel) . En réponse à la dépêche Nouvelles Mozilla : Marketplace, Metro, Persona, B2G, Add-on, API web. Évalué à 5.
Objectivement, windows 7 est une nette amélioration.
[^] # Re: Utile, pas plus compliqué qu'autre chose
Posté par Bruce Le Nain (site web personnel) . En réponse au journal À propos de GPG et de son avenir. Évalué à 0.
Je propose même la création d'un outil qui créerait ton adresse mail (chez gmail, what else?), son mot de passe, un compte utilisateur local et administrateur (root? nah linux trop compliqué) en un seul clic, plus un code pin, un compte facebook (what else?) et un certificat chez thawte ou verisign, toujours en un seul clic, sans avoir jamais besoin de vérifier ses paramètres ou retaper un mot de passe, voire s'en souvenir, et en plus envoie toutes les informations nécessaires à ses correspondants, et même configure leur compte à la volée pour qu'ils aient un beau cadenas vert dans outlouque quand ils reçoivent une message.
Tiens j'aperçois une une analogie avec les voitures à l'horizon, comme c'est original :)
Il faudrait des voitures sans manuel, qui vérifient la pression des pneus, les change si besoin, vérifie le niveau d'huile, de liquide de freins, lave-glace, liquide de refroidissement, l'état d'usure des pneus, fasse le plein et lave la voiture d'une simple pression sur un écran tactile. Parce que pour Michelle Michu, c'est bien trop compliqué.
[^] # Re: Utile, pas plus compliqué qu'autre chose
Posté par Bruce Le Nain (site web personnel) . En réponse au journal À propos de GPG et de son avenir. Évalué à 2.
C'est en effet un désavantage, l'avantage c'est que tu n'es pas dépendant d'un fournisseur tiers et que c'est gratuit :)
[^] # Re: Utile, pas plus compliqué qu'autre chose
Posté par Bruce Le Nain (site web personnel) . En réponse au journal À propos de GPG et de son avenir. Évalué à 3.
?
Je n'ai pas compris ton développement, ni la raison de cette citation surexploitée de Coluche. mais je suppose que tu n'as pas compris le mien : Si tu considères que tu as besoin de vérifier, tu vérifie (tu y prends un certain temps), si tu considères que tu n'as pas besoin tu ne vérifies pas (ou peu). Ça fait juste appel à une notion qui est malheureusement non automatisable, du moins pas encore, le bon sens. Pour utiliser une nimage, j'ai dis que si tu as besoin d'écraser une mouche, tu n'as pas forcément besoin de marteau-piqueur (et non que tu n'as pas besoin d'écraser de mouche), sauf si la mouche est Jeff Goldblum, mais là tu es aussi dans la merde avec un marteau-piqueur. Pour être plus dans le contexte, c'est que si quelqu'un t'envoie régulièrement un message avec des blagues powerpoint dedans, tu n'as peut-être pas besoin de vérifier que Jules de la compta est bien l'émetteur du courriel.
Par contre, si tu échanges souvent une conversation avec l'oncle Bill, c'est peut être déjà plus intéressant d'écrire sur skype à Tonton Bill en lui disant : "coucou tonton bill lol ta clef, c'est bien A832E12AC ? Oui, ok merci ^ je la tague niveau 5 top confiance alors ptdr"
??
Rien compris… Enfin si, mais je n'ai pas compris l'agressivité sous-jacente du message. Un principe de sécurité, c'est souvent le principe de double-confirmation. La même information provenant de deux canaux différents a plus de… raison, on va dire, d'être vraie (avec tout le bon sens qui est encore une fois de mise). Donc si tu reçois un mail de Tonton Bill avec la signature A832E12AC et qu'il te la confirme via un autre medium (par exemple la boîte de messagerie de sa société, par un twitt, la page de son site web ou son blog, par tout ce que tu veux (y compris les serveurs de clef GPG) tu as d'autant plus de raison d'y accorder une confiance plus importante. Si tu n'as pas d'autre moyen de vérifier, ben ça n'empêche pas la clef de fonctionner, il faut juste se dire que son niveau de confiance soit considérée moindre, c'est tout. Si le fait d'avoir plein de mediums, tu le considère comme un "démerdes-toi" pédant, soit. Pour moi, il s'agit de trouver le plus adapté sans se prendre la tête. Comme on ne peut pas connaître toutes les situations, sauf si on s'appelle Chuck Norris, une liste non exhaustive me semble un bon début plus que correct.
Pour finir sur le "C'est dur". C'est moins simple, à priori, que d'acheter un certificat. Mais certains outils, comme enigmail, on vraiment simplifié le processus. Pour moi, c'est assez simple pour que j'aie pu l'expliquer aux employés de la mairie ou je travaille, afin qu'ils l'utilisent régulièrement, avec une bonne doc et de jolis dessins explicatifs. Pour finir, la notion de dureté est toujours relative. Pour certains c'est dur de vérifier le niveau d'huile de leur voiture, et ils ne le font jamais ou le font faire par d'autres.
[^] # Re: Utile, pas plus compliqué qu'autre chose
Posté par Bruce Le Nain (site web personnel) . En réponse au journal À propos de GPG et de son avenir. Évalué à 3.
En fait il s'agit d'une hygiène de vie, si tu signes tout le temps avec la même clef (enfin pas non plus trop longtemps, car plus une clef est utilisée depuis longtemps, plus elle a des risque d'être compromise ou que son utilisateur en ait oublié le mot de passe, il m'est arrivé la même chose que ploum, c'est désagréable, mais j'utilise beaucoup plus mes mails pour signer, et rarement pour chiffrer, sauf quand il s'agit d'envoyer des informations de type mdp+pass par ex), tes correspondants pourront y attribuer un certain niveau de confiance, et ça sera utile pour le jour il deviendrait vraiment intéressant voire nécessaire de signer.
Mon idée est qu'il est judicieux d'avoir une durée de vie de deux ans, cinq max de validité de la clef. Car on a toujours un risque non négligeable de perdre sa clef de révocation.
Comme dit plus haut ou plus bas, il faudrait que cette hygiène de vie soit applicable aux webmails, de plus en plus utilisés, et peut-être que GPG4browser sera une solution.
Sinon pour répondre à la question de ploum, GPG est aussi utilisé, par exemple, dans retroshare.
[^] # Re: Utile, pas plus compliqué qu'autre chose
Posté par Bruce Le Nain (site web personnel) . En réponse au journal À propos de GPG et de son avenir. Évalué à 1.
Ne vérifie pas ce qui ne nécessite pas d'être vérifié. Aujourd'hui, quelqu'un qui envoie une clé pgp pour signer ses messages est tellement rare que tu peux lui augmenter son niveau de confiance (tu peux attribuer un niveau de confiance à une clef gpg)
Si la personne signe avec la même clef depuis des mois voire des années, tu peux logiquement lui augmenter son niveau de confiance. Mais encore une fois, avoir confiance absolue en une clef n'est utile que si tu veux être vraiment sûr de la personne avec qui tu es en contact, par exemple si tu veux chiffrer un mail pour pas qu'un voisin (ou un curieux) le lise, ou si tu veux envoyer une info confidentielle. Il suffit déjà de confirmer la clef par n'importe quel autre medium : IRC, messagerie instantannée, gmail, courrier, signaux de fumée et imaginer quelle raison aurait quelqu'un d'usurper une identité si vraiment c'est très important.
# IPoT Duplex ?
Posté par Bruce Le Nain (site web personnel) . En réponse au journal Nouveau coup de tonnerre attendu. Évalué à 5.
En tout cas ça a fait remonter ce journal tout en haut des flux atom des journaux
D'ailleurs je viens de lire le journal en question, ça ne marchera jamais l'iPad, un truc qui n'est ni un ordinateur ni un téléphone, personne ne va mettre plusieurs centaines d'euros là dedans…
[^] # Re: webmail
Posté par Bruce Le Nain (site web personnel) . En réponse au journal À propos de GPG et de son avenir. Évalué à 2.
C'est encore à l'état de prototype, et déconseillé si la sécurité est vraiment importante. Le support de browsers multiples est prévu par la suite.
[^] # Re: SUSE
Posté par Bruce Le Nain (site web personnel) . En réponse au journal SUSE Linux Enterprise 11 Service Pack 2 disponible. Évalué à 3.
Si on considère que Mandriva est, du moins pour l'instant, entièrement récupérée par la Russie sous le nom de Rosa (et que ça marche plutôt bien là bas), et que SUSE (je ne parle pas d'OpenSuse) appartenant à Novell puis Attachmate n'a plus d'allemand que ses origines, on peut dire que c'est toute l'europe qui se reçoit une branlée. À moins qu'on considère Canonical comme européenne.
[^] # Re: Gmail pour l'instant mais sur la pointe des pieds
Posté par Bruce Le Nain (site web personnel) . En réponse au sondage Quel fournisseur de courrier électronique utilisez-vous ?. Évalué à 9.
Mais a-t-on vraiment autant besoin de cet écosysteme ? je veux dire c'est vrai que c'est bien, c'est confortable, cette ultra-interconnexion des données risque parfois de se faire au détriment des inter-connexions de données réalisées dans notre propre cerveau. Enfin, je fais une généralité de mon cas, peut-être pas pour tout le monde :)
C'est malgré tout sur cette hypothèse que j'essaie de minimiser, non pas mon utilisation des outils informatique, mais l'interconnexion des données. (oui je sais, je me répète :p).
- J'utilise des clients locaux (bon ça n'a rien à voir, mais ça me permet d'utiliser gpg, plus pour signer les mails que pour les chiffrer d'ailleurs)
- Je nettoie/archive mes mails quand j'atteins le Go de données (donc l'autre net ça pourrait m'intéresser)
- Je fais en sorte de me déconnecter de tous mes comptes systématiquement (je vais entre autre sur facebook et google plus de temps en temps (bouh, c'est pas bien) pour être sûr j'ai ajouté les modules disconnect dans firefox), et je demande à kde wallet (ou seahorse en fonction de la machine que j'occupe), et master passowrd+ de me déconnecter au bout de 5 minutes d'inactivités.
- J'ai une boite mail qui ne me sert qu'à la création de comptes. Je la vide régulièrement.
- J'utilise trois systèmes de mots de passe qui me permettent d'avoir un mot de passe différent par service, c'est un peu long à expliquer en une phrase, en gros ça me permet d'avoir trois types de sécurités (de "je peux le refiler à quelqu'un si besoin" à "Strictement personnel, ne pas donner") juste pour éviter que quelqu'un ne comprenne mon système, qui même si il n'est pas simple, peut être compris par quelqu'un d'habitué, à partir de deux ou trois mots de passes de même catégorie. De même chaque mot de passe à trois variantes en fonction du fait que certains sites acceptent plus de dix caractères, d'autres non, d'autres n'acceptent pas les caractères spéciaux etc. Dans mes mot de passe, une partie sert à indiquer la péremption du mot de passe, ainsi je sais si je dois le changer ou pas (ça nécessite d'être assez rigoureux, et de devoir tester deux ou trois si le compte à plus de 2, 4 ans etc.). Je connais par cœur les mots de passe les plus fréquents, et je dois rechercher "logiquement" ceux que j'utilise le moins. Le désavantage c'est qu'il m'arrive, rarement, de ne plus le retrouver (obligé de passer par le oneshot). Aussi, je n'ai pas pris en compte les cas particuliers, comme ma banque qui me demande 6 chiffres :/
- Si j'ai une info vraiment particulière à retenir, je m'envoie un mail chiffré avec gpg. Et j'ai ma clef privée Gpg sur dossier chiffré (encfs) envoyé sur dropbox et ubuntu one.
- J'utilise un petit agenda, un calepin et un critérium pour gérer mes rendez vous et trucs à faire. Bon pour un gars bordélique comme moi, ça a été un gros effort, mais je sens que ça m'aide à être plus organisé dans ma tête, moins dépassé par les évènements. j'utilise quand même un agenda pour les quelques rendez vous que je ne dois absolument pas rater (ou que je suis sûr que si je n'ai pas d'alerte, c'est « obligé », je l'oublie)
Avantages : je minimise mes connexions aux services, donc je les utilise avec un meilleur rendement, je perds moins de temps à me connecter sur des sites chronophages, je consulte mes mails à certaines heures, j'ai une boite mail assez peu remplie.
Inconvénients : je me prive de certains services, parfois je me fais des nœuds au cerveau, je ne suis pas encore certain de l'intérêt réel de cette manière de faire, mais elle me plait bien.
PS : je m'aperçois que alt-gr + o sous opensuse me donne ø et non œ, grrr heureusement qu'il y a les caractères spéciaux à copier-coller dans l'éditeur linuxfr.
# Autre idée
Posté par Bruce Le Nain (site web personnel) . En réponse au journal Recherche d'encore un autre terme pour l'opposé d'un logiciel libre. Évalué à 2.
Peut être plus parlant, toujours en accord avec le mot libre, et qui accuse moins le logiciel en lui-même que celui qui le produit :
logiciel asservi
logiciel esclave
[^] # Re: remote display
Posté par Bruce Le Nain (site web personnel) . En réponse à la dépêche Pourquoi Wayland veut remplacer X. Évalué à 8.
Juste pour être sûr, ce qui est appelé Affichage déporté c'est ce qui s'appelle X forward dans certains clients SSH (ou l'option -Y de ssh) ?
[^] # Re: Retroshare
Posté par Bruce Le Nain (site web personnel) . En réponse au journal Tribler ou le Bittorrent en full P2P. Évalué à 2.
J'ai l'impression que le but des logiciels n'est pas le même, Retroshare est du F2F, il faut faire partie d'un réseau pour accéder aux fichiers des relations dans le réseau, alors que Tribler est du "vrai" P2P.
# Juste par curiosité
Posté par Bruce Le Nain (site web personnel) . En réponse à la dépêche Fossil, une forge pour DVCS. Évalué à 7.
C'est quoi ton abonnement bridé au delà de 12 Go par mois ?
[^] # Re: interface en base 4 ?
Posté par Bruce Le Nain (site web personnel) . En réponse à la dépêche Mageia et Creolinux fork ever !. Évalué à 8.
Ou alors c'est une interface GA-BU-ZO-MEU.
« Pour éviter de repomper, n'arrêtons pas de pomper »
[^] # Re: Comment qu'on installe
Posté par Bruce Le Nain (site web personnel) . En réponse au journal Tribler ou le Bittorrent en full P2P. Évalué à 4.
Tu saurais pas ce qu'il en est pour openSuse ? (très intéressant au passage Calculate Linux)
[^] # Re: KDE version de base
Posté par Bruce Le Nain (site web personnel) . En réponse à la dépêche Canonical abandonne Kubuntu. Évalué à 2.
Euh, mandriva, si elle survit, remplace progressivement tous ses outils Gtk par des outils Qt, elle avait déjà commencé avec la 2011 (y compris l'installateur en Qt). Rosa, en tout cas continuera semble-t-il sur cette voie.
[^] # Re: KDE version de base
Posté par Bruce Le Nain (site web personnel) . En réponse à la dépêche Canonical abandonne Kubuntu. Évalué à 2.
Gnumdk avait fait un journal ou il parlait des problèmes de gestion des menu (fichier/edition etc...)
Personnellement j'ai essayé de faire un environnement comme Unity tout en plasma, mais j'ai eu plusieurs problèmes : afficher les boutons fermer/réduire dans la barre du haut lorsque la fenêtre est maximisée. La seule technique que j'ai trouvée pour cela est de faire passer la barre de haut sous un panel qui contient les boutons fermer et réduire. Je n'ai pas trouvé d'équivalent au launcher (ou je ne sais pas comment ça s'appelle) de Unity. Le truc qui s'en rapproche le plus que j'aie trouvé est le SimpleWelcome de Rosa Labs, intégré par défaut dans Mandriva 2011, mais bon c'est pas aussi joli et aussi bien intégré. Ou alors le plasmoide netbook vraiment classieux, mais difficilement configurable, et n'incluant pas d'options aussi évoluées (comme la recherche d'applications installables)
Pareil, je n'ai pas trouvé comment avoir un menu personnalisé, un menu de changement d'utilisateur etc.
Ah, et puis la rapidité de lancement, je ne sais pas si ça va s'améliorer avec kde 4.8 avec kde-lowfat-settings, mais ce que c'est pénible cette lenteur de démarrage comparé à celle de Unity :/
[^] # Re: J'ai du mal à comprendre le raisonnement des *buntu
Posté par Bruce Le Nain (site web personnel) . En réponse à la dépêche Canonical abandonne Kubuntu. Évalué à 2.
Une vision serait, justement, ainsi que je le disais plus haut (ou plus bas je ne sais plus), que Ubuntu et Kubuntu ne sont plus seulement la même distribution linux, mais deux desktops Linux à part entière (avec l'intégration, la cohérence de l'environnement etc)