rakoo a écrit 934 commentaires

C'est aussi le nom d'un protocole qui se veut être le remplaçant de Bittorrent.

Et ben il a rien compris.

il n'a pas compris la révolution que préparait la discipline

Mouarf. Tout le monde (libristes inclus) se fout de sa gueule depuis 30 ans parce qu'il prétend que tout ce qui n'est pas libre est écouté par les méchants. 30 ans qu'il refuse d'utiliser des applications propriétaires parce qu'il ne veut pas être suivi, et qu'il prévient tout le monde que c'est ce qu'il se passe quand on utilise ces logiciels propriétaires.

30 ans plus tard, Edward Snowden révèle à tout le monde l'ampleur de l'écoute de la NSA au travers (entre autre) des plus grands éditeurs de logiciels propriétaires. L'auteur peut-il prétendre utiliser un service dans le cloud en restant anonyme ?

Non, c'est sûr, RMS n'a rien prévu.

Parce que ce qui nous intéresse dans l'informatique, ce n'est pas l'informatique en soi, c'est le service […] Mais franchement, avoir les plans du train d'atterrissage d'un avion en 'open source' ne me sert à rien. Je ne vais pas construire mon propre avion, je ne vais pas aller bidouiller les avions existants, je ne vais même pas refuser d'embarquer juste parce que le train d'atterrissage du modèle d'avion de mon vol est moins performant que celui d'autres avions. J'accepte la délégation et le risque qui va avec car ce qui m'intéresse en fin de comptes est le service.

Et ben voilà. L'auteur aurait du fouiller un peu plus les raisons d'être de la FSF et de RMS en particulier pour comprendre ce dont il parle. Leur combat n'est pas du tout dans la démocratisation ou la compréhension du logiciel par tous. Il n'est pas dans la maximisation du rapport service/coût.

Le combat de RMS est pour la liberté de l'utilisateur. L'utilisateur doit rester maitre de ce qu'il fait et de ce qui est fait de lui. Un avion, libre ou pas, n'a aucune influence sur la liberté de l'utilisateur (si ce n'est la liberté de ne pas être suivi). Malheureusement, la complexité des logiciels fait qu'il est impossible de savoir ce qu'il se passe dedans sans avoir à la fois le code source et les instructions de compilation pour utiliser sa propre version. Le Logiciel Libre est une conséquence du combat de RMS, et c'est déjà bien assez vaste (en plus d'être proche de ce qu'il connaît et sait faire) pour qu'il s'y consacre totalement. Mais la liberté des utilisateurs ne s'arrête pas aux logiciels, bien au contraire: la culture Libre ou les éoliennes Libres sont dans la même veine.

Et pourquoi ne pas leur installer Debian directement, alors ?

Je pose une vraie question, parce que ça fait un bail que je n'ai pas utilisé ces distributions: Ubuntu Gnome est-il meilleur/plus stable que Debian ?

Freenet se "contente" de stocker les fichiers que les pairs veulent, de manière à garantir la redondance et s'assurer que personne ne sache qui lit quoi et qui stocke quoi. C'est plus une sorte de système de fichiers distribué et "sécurisé. Fonctionnellement, c'est une sorte de Bittorrent chiffré et anonyme. (En gros, hein)

Gnunet est un framework: en soi il ne fournit rien, mais des services peuvent s'appuyer dessus pour fournir une couche d'anonymisation et de sécurité. Fonctionnellement, ca ressemble plus à Tor.

Pour choisir son thème GTK, j'utilise lxappearance, le sélecteur de LXDE. Peu de dépendances, et permet de choisir sa police, son thème d'icônes, …

Bon mais ça sert plus à rien puisque tu as déjà changé de DE :)

Ben moi, je ne fais pas confiance aux gouvernements.

Ben ouais mais ça c'est pas le problème de Microsoft.

Et puis, surtout, ce sont les gouvernements, dans leur bureaucratie la plus complète, qui font les choses, pas les citoyens. Donc cibler les gouvernements plutôt que tout le monde a plus de sens de ce point de vue.

un autre outil que tout le monde sait foireux

Euh ?

Bitlocker est closed-source et on suppose que Microsoft (et par ce biais la NSA) a accès aux données; pour la plupart des personnes c'est impossible de faire confiance à Bitlocker dans ces conditions. Mais

• Pour les personnes qui travaillent chez Microsoft ou chez la NSA, c'est pas un problème
• A ma connaissance, aucune analyse externe n'a été faite sur Bitlocker

Du coup, comment sait-on que ce logiciel est foireux ?

Ouais mais c'est un esclave qui se libère, donc cépapareil^tm

j'ai bonne espoir

hôpital, charité, toussa :)

Le vrai problème c'est surtout que cette erreur peut se comprendre a l'oral, quand le discours n'est pas préparé ou relu. A l’écrit par contre c'est inexcusable.

la plupart (tous les ?) des clients qui prennent en charge OTR prennent ça en charge également

De mémoire, Jitsi ne permet pas d'associer un contact avec plusieurs empreintes. Mais j'ai teste ça ya un bout de temps, ça a peut-être change depuis.

Sinon tu as raison, on est plus ou moins dans le même problème que les conversations OTR a plusieurs, qui est toujours non résolu.

ça veut dire quoi multi resources non synchronisées sur la même adresse ?

A mon avis ça veut dire que XEP-313 (Recuperation des messages stockés sur le serveur) et XEP-280 (Envoi du message a toutes les ressources connectées) ne sont pas suffisamment déployés: moi-même j'ai choisi yaxim plutôt que Chatsecure parce que ce dernier ne supporte pas la XEP-280, ce qui fait que j'avais des bouts de conversation a droite que j'avais pas a gauche.

Il ne sera même pas possible de commencer une conversation OTR.

Pour en commencer une, il faut deux clés: la clé long-terme (celle que tu vérifies et valide) et la clé court-terme, qui est créée pour chaque échange. Puisque l'autre est hors-ligne, tu n'auras pas cette clé.

OTR, c'est le truc révolutionnaire qui plante quand on change de client

Ça c'est parce que les implémentations n'ont pas pris ce détail en compte: rien n'interdit un même JID d'avoir plusieurs empreintes OTR différentes. C'est pas un problème lié seulement au protocole.

OTR, c'est sûrement bien d'un point de vue crypto mais ca ne s'applique pas très bien au multi client asynchrone.

Et justement, Moxie Marlinspike et sa clique ont développé un OTR avec un protocole un peu different, qui a plusieurs vertus intéressantes:

• meilleure deniabilité
• initiation de la conversation plus simple
• utilisation possible en asynchrone

C'est utilisé dans TextSecure et même dans Pond, mais malheureusement personne n'a encore fait quoi que ce soit pour essayer d'importer ça dans XMPP…

Pour contrebalancer, personne ne nous oblige à rester avec Firefox si on est pas content de leur politique.

Ouais mais la le problème n'est même pas qu'ils ont une mauvaise politique, mais qu'ils fourvoient sur la politique. C'est un peu comme Google qui dit avoir comme fil conducteur do no Evil, et qui ne se gênent pas pour vendre l'ensemble des informations qu'ils ont sur toi aux plus offrants.

Alors bien sur ils ont leurs raisons, et on est tous quelque part fautifs parce qu'on donne pas assez pour assurer l’indépendance (comme OpenSSH, comme OpenSSL, et tous les autres). Mais ça c'est pas une excuse, c'est une explication.

La source, déjà: Google + is walking dead. Beaucoup de rumeurs et de bruits de couloirs, rien de concret à part le chef de la division qui quitte Google. Bref, du vent.

Je vous invite maintenant à lire une autre lecture de la nouvelle, extrêmement critique, et offre une nouvelle vision de ce qui risque d'arriver: Google+ ne sera pas "fermé", bien au contraire. Il sera moins visible, mais liera tous les services ensembles.

• Vous avez un compte Youtube ? Paf, vos commentaires se retrouvent sur votre mur
• Vous avez un Android ? Paf, vous retrouvez vos contacts sur votre page Google+
• Vous avez Chrome ? Paf, vos favoris sont visibles sur votre page Google+

Google+ va peut-être arrêter d'être un produit qui vit sa vie en tant que tel, mais il est possible qu'il devienne une plateforme pour lier tous les autres produits. Pas forcément de quoi se réjouire.

Tu vas être content d'apprendre qu'il y a une implémentation de référence libre du protocole, alors.

Tahoe-LAFS: la cible est plus le stockage distribué et sécurisé que le partage facile.

Je pense que c'est vrai, mais en plus d’être distribué et chiffré c'est quand même super simple pour le partage.

Par défaut tout ce que tu mets dans Tahoe-LAFS est immuable; lorsque tu donnes la référence d'un fichier a quelqu'un, tu lui donnes une identité immuable. Il peut uploader une autre version mais elle aura une autre identité et il faudra alors convaincre les autres que sa version est la bonne.

Les dossiers sont (en général) mutables, c'est-a-dire que tu peux modifier leur contenu et garder la même identité. Cette identité mutable est basée sur une bête paire de clés asymétriques (RSA pour le moment). Lorsque tu as créé le dossier tu as 2 identités: une qui contient la clé privée et une qui ne la contient pas. Tu peux choisir de donner la première, et tout ceux qui ont cette référence pourront modifier la valeur pointée par cette référence (puisqu'ils ont la clé privée), ou tu peux donner la deuxième, que les autres pourront seulement lire.

Et tout ça se fait de manière transparente pour l'utilisateur: tout ce qu'il voit c'est une URI qui peut pointer sur n'importe lequel des nœuds qui servent du HTTP.

Ah et en plus de ça, pour l'installation, tu galères peut-être un peu (ou pas) pour installer les dépendances python, mais après ça marche nickel.

En même temps c'est pas détectable: je crois que personne ne logue la requête de heartbeat, et personne ne logue les réponses; impossible de savoir que la fonctionnalité (ou la faille, selon le point de vue) a été utilisée.

J'ai oublie de mettre ça dans le 'nal, mais c'est intéressant: le commentaire de miod@ sur "quel nom choisir"

Il explique très clairement que le nom de cette nouvelle librairie n'avait aucune importance, que la roadmap était assez standard:

• Enlever tout ce qui dépasse
• Ajouter des features
• Faire une release stable pour OpenBSD
• En faire un projet a part, qui pourra être porté sur d'autres environnements, et en profiter pour trouver un nom
• Le tout en s'assurant de ne rien casser

Donc oui, ils ont prévu de ne supporter qu'OpenBSD dans un premier temps, ce qui est normal puisqu'ils font ça d'abord et avant tout pour eux, mais que dans la tradition OpenBSD ils feront du code suffisamment portable pour que n'importe qui puisse adapter ça a sa plateforme. Ils te disent pas juste merde, ils te disent "merde pour le moment, reviens dans 6 mois. Oh et la page de dons c'est par la".

Bon, au final ils ont fait les choses a l'envers (ils ont trouvé un nom), j’espère qu'ils se travestiront pas plus que ça.

C'est quand même un peu ballot. Tu quittes Dropbox pour son œil qui s'attarderait potentiellement un peu trop sur tes données, pour te réfugier chez Bittorrent Sync qui ne t'offre pas plus de garanties de ce côté. C'est dommage. Malheureusement, comme tu dis, il n'y a pas d'alternatives libre à la hauteur…

Et pour comprendre pourquoi le système actuel est naze mais qu'il est difficile d'en changer, je te conseille une présentation de Moxie Marlinspike, quelqu'un qui bosse dans la cryptographie.

La deuxième partie présente l'une de ses solutions, qui a peu de chances d’être déployée (il promeut lui-même quelque chose d'encore différent) mais la première partie explique bien le problème.

Autopub: viendez essayer sup. C'est l'ancêtre de notmuch, abandonné pendant un temps, mais qui est maintenant bien vivant. C'est du terminal, certes, mais je pense que ça peut en intéresser certains. Le plus intéressant est qu'il est basé sur les mêmes principes que GMail:

• les messages sont la ressource principale, les threads sont créés dynamiquement en suivant les guidelines standards
• pas de dossiers, mais des labels
• tout est recherche

et le mieux, c'est que la ui est complète, contrairement à notmuch qui demande un logiciel à part pour l'utilisation au quotidien de ses emails.

Je l'utilise quotidiennement avec offlineimap pour avoir une copie locale de mes mails (au cas où je suis déconnecté, je peux toujours lire mes mails) et opensmtpd pour envoyer les mails, mais msmtp marche très bien aussi. Le chiffrement s'intègre directement avec le trousseau de clefs du système: la seule interaction que vous verrez est l'agent qui vous demandera le mot de passe pour chiffrer/déchiffrer les messages à la volée.

Il y a un utilitaire de configuration qui permet de débuter, avec suffisamment de questions pour aider les débutants complets. Et s'il le faut, la mailing-list est disponible et accueillante.

Car un article qui dès le titre établit une relation possible avec la NSA ne peut augurer que du bon.

Bon, c'est vrai que j'évite de tomber dans la parano quand je peux. Mais là, en l’occurrence, il est difficile de croire que la NSA n'avait pas cette info et n'en avait pas profité.

Tiens, d'ailleurs, on commence à voir des articles qui accusent la NSA d'avoir su.

C'est par ici.

Tiens, sur le sujet, j'ai vu fpm l'autre jour, peut-être que ça t'intéressera.