Comme je l’avais indiqué dans mon article précédent intitulé “Que penser de la sécurité apportée par un antivirus?“, la sécurité d’une machine dépend grandement de la sécurité apportée par le système d’exploitation lui même (avec ses applications de base) ainsi que des connaissances des utilisateurs.

Cet article s’intéresse aux différences qu’il peut y avoir concernant la sécurité sous deux systèmes d’exploitation Microsoft Windows et GNU/Linux, sur l’exemple précis du branchement d’un périphérique de stockage USB (clé USB, disque dur externe). Le titre est une référence à l’opération de FUD orchestrée par Microsoft auprès des commerciaux de Best Buy dont un des supports de formation indique “Linux is safer than Windows” : “Myth”.

Retour sur l’opération de FUD

Selon Wikipédia, le FUD est une “technique rhétorique utilisée notamment dans la vente, le marketing, les relations publiques et le discours politique” qui “consiste à tenter d’influencer la perception de son audience en disséminant des informations négatives, souvent vagues et inspirant la peur”.

Bref c’est un procédé malhonnête, plutôt du côté de la manipulation et du dénigrement caché. C’est tout simplement le contraire d’une argumentation basée sur des faits objectifs.

Microsoft est plutôt connu pour l’usage répété de ce procédé. On pensera notamment à la campagne publicitaire honteusement nommée Get The Facts. Sinon Tristan Nitot, responsable de Mozilla Europe, rapporte également un autre excellent exemple sur son blog.

Bref, pour en revenir à la campagne en question (liens en début d’article), c’est de la vraie désinformation. Elle contient pas mal de comparaisons malhonnêtes et comme indiquée précédemment, l’une de ces comparaisons laisse sous-entendre que le fait que Linux est plus sûr que Windows serait un mythe. Je reviendrais peut-être d’ailleurs dans un prochain article sur les faiblesse de l’argumentation de Microsoft sur les points choisis par Microsoft (qui sont en eux-même plus qu’insuffisants pour juger de la sûreté d’une machine).

Je pense sincèrement qu’un arrêt du FUD répétitif est une condition plus que nécessaire pour que Microsoft puisse être correctement accepté par la communauté du libre (problématique mentionnée sur un des articles du blog de Philippe Scoffoni).

Brancher une clé de façon sûre sous Microsoft Windows : débutants s’abstenir!

Comme je l’ai indiqué précédemment, la sécurité repose en grande partie sur la connaissance et la conscience des utilisateurs.

Quand un programme est lancé, cela doit soit se faire suite à une “demande” qui précède de la part de l’utilisateur, soit être le résultat prévisible d’une manipulation consciente de l’utilisateur exercée quelque temps auparavant. On conçoit ainsi que des “programmes” indispensables puissent automatiquement être lancés (discrètement ou non) s’ils font parti du système (l’utilisateur a a priori choisi d’utiliser le système, ce n’est pas anormal que l’écran de connexion ou le pare-feu soient lancés automatiquement) ou s’ils résultent d’un choix conscient de paramétrage (on peut par exemple décider de lancer automatiquement une application qui rappelle les rendez-vous).

Or, dans l’esprit d’un utilisateur d’un niveau moyen, brancher une clé USB ne veut certainement pas dire “je suis prêt à lancer le programme sur la clé, peut importe ce qu’il fait”. Souvent d’ailleurs un utilisateur veut pouvoir observer le contenu de la clé (documents, images, textes) sans exécuter le moindre programme.

Cependant, Windows a une très forte tendance à lancer sans le consentement de l’utilisateur tout programme présent sur la clé (que ce soit un utilitaire ou du code malveillant), pour peu que la clé contienne également un fichier spécial (”AUTORUN.INF”, fichier éventuellement caché) qui indique quel programme ouvrir.

Suivant les versions de Microsoft Windows il peut y avoir quelques différences mais dans tous les cas la manipulation pour supprimer totalement la menace est loin d’être une manipulation aisée (en fait il y a plusieurs types d’exécution automatique, se débarrasser de celle liée à la boîte de dialogue ne suffit pas).

Il vous faut en effet vous assurer que le fichier AUTORUN.INF ne sera pas utilisé qu’il soit situé sur une partie de la clé au format CD/DVD ou non (modifications dans le registre, pas pour les débutants) , renoncer à accéder à la clé à l’aide d’un double-clic, ne jamais utiliser l’option de type “Ouvrir le dossier de la clé” / “Ouvrir à l’aide de l’explorateur” car dans les dernières versions de Windows (Vista et peut être Seven) c’est un dialogue qui peut être contrefait (AUTORUN.INF configuré pour afficher la même icône et le même texte qui si c’était une ouverture “normale”), et être très prudent dès qu’un invité non initié s’approche de votre machine. Bref c’est pas la joie…

Pour ceux qui veulent un peu plus de détails, je conseillerais entre autre le numéro 45 du magazine MISC que j’ai survolé en kiosque. À compléter avec au moins trois pages différentes d’un guide du registre (ici celui sur pctools.com), trois autres lectures sur us-cert.gov, une sur cert.org et pleins d’autres lectures que j’oublie tellement l’autorun sous Windows semble avoir des points communs avec l’Hydre de Lerne…

Mal au crâne, pensez GNU/Linux et ça s’arrange tout de suite…

Autorun sous GNU/Linux

Bon tout d’abord un rappel essentiel, LInux ce n’est qu’un noyau de système d’exploitation. Le comportement au final de votre machine dépend de tout ce qu’il y a autour, autrement dit ça dépend de votre distribution (Ubuntu, Fedora, etc.).

À une époque, la mode était de ne même pas proposer le montage de la clé : il fallait le faire manuellement pour accéder à son contenu. Quoiqu’on en dise question simplicité, je préfère ça à Windows… Enfin passons, les temps ont changés et c’est souvent bien plus simple.

La plupart des distributions vous proposent en effet une liste d’actions types lorsque vous branchez votre clé, ce qui est en soit utile. Et dans tous les cas que je connais, aucun programme de la clé n’est lancé par défaut sans un choix préalable de l’utilisateur.

Bref, sur cet exemple la sécurité élémentaire devient tout de suite plus simple…

Conclusion

En conclusion je suis plus que tenté de dire que la campagne de propagande de Microsoft, ce fut du grand n’importe quoi.

Tout d’abord, j’espère en avoir convaincu beaucoup que la sécurité élémentaire sous Windows n’est pas accessible à l’utilisateur type de niveau moyen. La gestion de l’exécution automatique sur les clés USB est bien entendu un point que Microsoft n’a pas eu idée de mentionner dans sa campagne de FUD auprès de Best Buy.

Mais si l’on veut on peut même aller plus loin : les arguments ciblés, déjà choisis arbitrairement par Microsoft, sont en plus à la fois un tissu de mensonge et de formulations trompeuses.

Peut-être que cela fera l’objet d’un nouvel article dans la série “Linux plus sûr que Windows : Un mythe ou pas?”, mais au cas où que l’envie me manque, je vais évoquer de façon très brève la vérité sur un des points évoqués par Microsoft.

Il est évoqué en parlant de GNU/Linux : “There’s no guaranty that when security vulnerabilities are discovered, an update will be created. Users are on their own.”. Cela signifie que les utilisateurs n’ont aucune garantie de la création d’une mise à jour en cas de vulnérabilité.

Premièrement, et argument qui casse tout : c’est le cas avec Windows. Selon theregister.co.uk, il est connu depuis juillet qu’une faille dans une bibliothèque logicielle Microsoft rend caduque la protection apportée par https et SSL (en gros les pages sécurisés avec “un cadenas”) : les windowsiens utilisateurs d’Internet Explorer, Google Chrome et Safari sont touchés et auront du mal à reconnaître une vrai page d’un phishing bien élaboré. Selon l’article, en date du 5 octobre, la faille (pourtant critique) n’est toujours pas corrigée. Bref, après on se demande comment Microsoft peut parler de sécurité… Et ne pensez pas que les autres exemples manquent…

Au contraire parlons de GNU/Linux, cible de l’attaque de Microsoft : bien qu’il n’y ait aucune “garantie” de création d’une mise à jour, il est évident que dès qu’une vulnérabilité sera connue, une bonne quantité de personnes passionnées s’intéresseront à la création d’un patch (enfin ça a l’air pour l’instant d’être comme ça…). Et la force de la communauté me parait de ce côté là plus convaincante que le discours de Microsoft.

De plus, même si ce n’était pas le cas, vous pourriez embaucher quelqu’un pour bosser sur le problème (si vous ne savez pas le faire vous même) : bien sûr ça ne risque pas en pratique de concerner beaucoup de monde, mais vous pouvez le faire dans de bonnes conditions (contrairement à Windows), car GNU/Linux est un logiciel libre et opensource.

Linux plus sûr que Windows : Un mythe ou pas? (1) L’exemple des clés USB
(fr) Commenter cet article - Partager - Lire un autre article (Blog de David Dallet)
(en) Comment this post - Share It - Read another post on David Dallet's Weblog

J’ai récemment effectué une “libération” de fonera (premier modèle, ou “2100″), c’est à dire que j’ai tout simplement outrepassé les verrous présents à l’origine pour y installer un autre firmware de mon choix.

Ce post donne quelques tuyaux utiles pour “hacker” la fonera, ainsi que quelques autres qui peuvent être utiles pour libérer d’autres types de routeurs.

La fonera

(Robot fonera : une utilisation peu commune que l’on peut faire d’une fonera. Enfin sur la photo c’est pas la mienne… Credits photo : Gerardo Barbarov, image sous licence Creative Commons CC-BY-SA 2.0)

La fonera, c’est tout simplement le routeur wifi distribué par FON, une entreprise visant à créer une communauté d’internautes (les foneros) partageant leur connexion par wifi.

Il existe différents modèle de fonera. La première fonera ne dispose que d’un port ethernet. La fonera+ offre une seconde prise réseau, et la fonera 2.0 fournit même un port USB.

Je ne rentrerais pas dans le détail en ce qui concerne les caractéristiques complètes des foneras, vous en trouverez d’avantage sur Wikipedia, ainsi que sur pas mal d’autres sites (invitation à “googler”).

Les foneras sont livrés d’origine avec un logiciel interne (firmware) conçu par FON. C’est basé sur un Openwrt, quelque peu adapté mais malheureusement surtout quelque peu verrouillé en ce qui concerne les fonctionnalités. (Par exemple, FON rend par défaut impossible la connexion SSH à la fonera, la désactivation du wifi communautaire ainsi que bien d’autres choses.)

Bref, on peut avoir envie de le changer ce firmware, y compris pour y mettre un vrai openwrt non modifié par FON…

Procédure détaillée pour “hacker” la fonera, sur FoneraHacks

La procédure détaillée pour hacker la fonera est disponible (en anglais) sur le site FoneraHacks. Cela inclut notamment :

• le passage à une version antérieure du firmware (0.7.2 r3 vers 0.7.1 r1), pour pouvoir profiter d’une faille qui permet d’activer SSH
• l’activation de Redboot
• l’accès à redboot pour ensuite pouvoir flasher dd-wrt

Je ne rentrerais pas dans le détail de la procédure (FoneraHacks le fait plutôt bien), mais la suite de ce post fournit quelques précisions qui auraient pu me faire gagner un peu de temps.

Mes tuyaux concernant le hacking de la fonera

Pour commencer, je précise que je passe les conseils très généraux, que je n’insiste pas sur le fait que si vous ne savez pas ce que vous faites vous pouvez facilement bloquer votre fonera, etc… Hacker et reflasher votre fonera se fait à vos risques et périls! (En cas d’erreur vous êtes seul responsable…)

Bon rentrons dans le cœur du sujet!

Downgrade du firmware de la fonera et activation de SSH

Pas grand chose à préciser, c’est assez bien décrit, à part le fait que le DNS à utiliser est celui pointé par kolofonium.datenbruch.de (à la date de l’écriture du post 188.40.206.43 au lieu de 88.198.165.155).

Si vous échouez sans savoir pourquoi avant d’obtenir SSH de façon permanente, n’hésitez pas à réessayer depuis le début. Une erreur de manip’ n’est pas toujours facile à détecter…

Activation de Redboot, et usage de wget

Pour cette étape, pas grand chose à dire à part de ne pas s’inquiéter si vous n’arrivez pas à faire wget.

Si l’erreur est “unknown host”, vous pouvez (si vous y connaissez un minimum en manipulations réseau en ligne de commande) essayer de résoudre le problème sous SSH, redémarrer la fonera (ça peut marcher) ou alors tout simplement démarrer un serveur HTTP sur votre propre PC. Vous adapterez ensuite en remplaçant les noms de domaines par l’IP de votre PC et en adaptant si besoin est les chemins. Inutile de préciser qu’il faut penser à télécharger les fichiers et à les rendre accessibles…

Accès à Redboot via telnet (partie utile également pour d’autres routeurs)

Là encore, FoneraHacks dit presque tout.

Par contre, vous aimerez sûrement pouvoir ré-accéder à Redboot après avoir reflashé le firmware. Si votre PC est sous GNU/Linux et que vous utilisez telnet, vous pourrez avoir des “difficultés très importantes” à faire le ^C (Control-C), même en étant très rapide.

En fait, il vous faut activer le mode line. Voici ce que j’ai mis dans le ~/.telnetrc sur mon pc (attention à préserver l’identation de la seconde ligne):
192.168.1.254 9000
        mode line

Je dois avouer que pour la mauvaise transmission du ^C, j’ai mis quelque temps avant de trouver l’origine du souci…

Serveur tftp sous GNU/Linux (partie utile également pour d’autres routeurs)

Une fois Redboot lancé, si vous souhaitez transférer un nouveau firmware de votre PC vers le routeur, cela se fait par le protocole tftp.

Le package que j’ai choisi d’installer pour avoir un démon tftp sous Ubuntu est tftpd.hpa.

La commande que j’ai utilisé en root pour lancer le démon tftp est :
in.tftpd -L -s dir

À noter que des petits écarts dans la commande peuvent causer des messages d’erreurs peu compréhensible du côté de Redboot. Une erreur facile à commettre est de conserver le chemin absolu du répertoire partagé plutôt que de mettre les fichiers à la racine du serveur tftp (voire éventuellement de cumuler ça avec un souci de permission d’accès…). L’option “-s” a donc un rôle crucial.

C’est tout!

Comme je l’ai dit pas de tutoriel complet pour l’instant. J’espère néanmoins que ces petits tuyaux arriveront à aider efficacement ceux qui veulent rendre la liberté à leur fonera.

Happy fonera flashing!

Pour l’instant, je peux entrer des emails sur le formulaire de l’opération “fonero gets fonero” : les invités peuvent avoir la fonera+ neuve pour 20€ en plus des frais de ports (si mes estimations sont bonnes, moins de 9€ pour la France). Si jamais vous êtes intéressés, dites le en commentaire en laissant une adresse de courriel valide (vous pouvez utiliser un pseudo) : j’essaierais de vous recontacter rapidement pour vous demander les infos nécessaires.

Notes:
* Pour l’instant ça semble valable uniquement sur la fonera+ (pas la fonera 2.0, ni la 2.0n).
* Je dispose de 20 invitations à l’heure actuelle, si jamais mon compteur tombe à 5 je n’en distribue plus via le blog.

Redboot, libération de fonera et tuyaux divers
(fr) Commenter cet article - Partager - Lire un autre article (Blog de David Dallet)
(en) Comment this post - Share It - Read another post on David Dallet's Weblog

Le plugin Wordpress Better Feed par Ozh permet de compléter votre flux RSS en ajoutant à la fin de chaque article du flux le contenu que vous souhaitez.

Cet article décrit brièvement les fonctionalités de ce plugin, que ce soit pour ajouter du texte fixe, des mentions liés au post ou même le résultat d’un script php quelconque.

Paramétrage de base de Better Feed, ajout de texte fixe et d’informations liées au post

Je présuppose que vous êtes capable d’installer et d’activer le plugin Wordpress comme un grand.

En ce qui concerne le paramétrage, la plupart du paramétrage de base semble intuitif, cependant je vous conseille fortement de penser à décocher la case Cut the Feed on “Read more” links (<!–more–>) ainsi que la case Cut the Feed on “Next page” links (<!–nextpage–>) à moins que vous souhaitez proposer un flux tronqué en connaissance de cause ce que de nombreux lecteurs n’apprécieront pas.

Ensuite, le gros du paramétrage consiste à choisir ce que vous ajoutez en bas de chaque élément du flux. Tout cela se place bien entendu dans la zone de saisie Feed Item Footer. Pour du simple texte invariant, entrez le tel quel dans la boîte de la même façon que si vous saisissiez un nouveau post à l’aide de l’éditeur html.

Pour saisir du contenu variable lié au post, il vous faut utiliser une notation spéciale. Les deux principales chaînes reconnues sont :

• Enrichissez votre flux RSS/Atom de Wordpress avec le plugin Better Feed d’Ozh (ajout de texte quelconque, d’informations liés au post et liens de partage) pour le titre de l’article
• http://www.daviddallet.com/weblog/posts/2009/08/08/wordpress-better-feed-ozh-code-php-lien-partage-social-share/ pour sont URL (permalink)

Pour savoir la signification du reste des tokens reconnus (dont je ne ferais pas la liste exhaustive), utilisez simplement l’éditeur de plugin de Wordpress pour consulter le contenu de ozh-better-feed/inc/feed.php. La liste de ce qui est reconnu figure en commentaire en haut de ce fichier.

Si vous avez besoin de tester votre flux RSS rapidement sans agrégateur, le convertisseur RSS to HTML d’ozh vous aidera probablement.

Idées d’utilisation de ce plugin

Les utilisations courantes de ce plugin incluent l’ajout d’une notice de droit d’auteur/copyright, l’indication de la licence (comme par exemple une Creative Commons CC-BY-SA), l’indication dans le flux du nombre de commentaires (et ce sans avoir besoin de feedburner) ainsi que des liens pour promouvoir le post sur del.icio.us, digg, StumbleUpon, twitter ou facebook (ou ailleurs, bien évidemment).

Ozh’s Better Feed avec du code php : exemple avec un lien pour partager via addtoany.com (sans javascript)

Addtoany est un service pour partager simplement vos liens en utilisant un seul bouton pour pouvoir après choisir vos sites de partage préférés parmi la liste assez exhaustive (voir cette liste).

Pour ceux qui publient du contenu cela veut traditionnellement dire un bouton de partage en javascript et pour les autres utilisateurs un bookmarklet (script qui se range dans vos favoris et qui permet de partager la page en cours de consultation).

Il est cependant possible de se passer de javascript en utilisant un simple lien vers “http://www.addtoany.com/share_save” mais par contre je vous conseille vivement de passer à cette page les bons paramètres (faute de quoi le lien ne fonctionnerait pas correctement avec les visiteurs dont le navigateur ne transmet pas le Referrer).

Il vous faut donc utiliser un lien vers une adresse de la forme “http://www.addtoany.com/share_save?linkname=Page%20Name&linkurl=http%3A%2F%2Fsite.example.net%2Ffull-url.html” en encodant correctement le nom de la page et son url.

Sous Wordpress avec le plugin Better Feed d’Ozh, c’est facile à faire avec un peu de php.

Pour inclure du code php avec Better Feed, il suffit d’utiliser la syntaxe :

%%<?php /* code php ici */ ?>%%

Pour inclure un lien correct vers le service addtoany.com, voici donc à quoi le code ressemble :

<a href="%%<?php echo("http://www.addtoany.com/share_save?linkurl=" . rawurlencode(post_permalink()) . "&linkname=" . rawurlencode(get_the_title() . " | Nom de votre blog"));?>%%">Partager</a>

La fonction rawurlencode est la fonction php s’occupant du nécessaire encodage des paramètres tandis que post_permalink et get_the_title sont des fonctions définies par Wordpress (voir cette page, en anglais).

Conclusion

Sous Wordpress, il est donc facile d’enrichir votre flux pour peu que vous installiez le plugin Better Feed.

Le contenu rajouté en footer à vos éléments du flux n’a pour limites que celles de votre imagination : il est en effet possible de déterminer ce contenu dynamiquement en insérant du code php.

Et vous, enrichissez vous le flux rss/atom de votre blog? Utilisez vous la fonction d’ajout de code php d’une façon particulièrement originale? Si oui à l’une de ces deux questions n’hésitez pas à en faire part en commentaire. N’hésitez pas aussi à préciser si vous avez des difficultés sur les points sur lesquels j’ai été bref.

Enrichissez votre flux RSS/Atom de Wordpress avec le plugin Better Feed d’Ozh (ajout de texte quelconque, d’informations liés au post et liens de partage)
(fr) Commenter cet article - Partager - Lire un autre article (Blog de David Dallet)
(en) Comment this post - Share It - Read another post on David Dallet's Weblog

Cet article s’intéresse à la sauvegarde des données essentielles de Mozilla Firefox, et plus particulièrement à la sauvegarde des mots de passe (passwords) et marques-pages (bookmarks).

Il ne s’intéresse qu’à la sauvegarde des données contenues dans le Profil Mozilla Firefox, et non à la sauvegarde complète de votre installation de firefox et de tous vos plugins (le cas échéant, c’est souvent facile à refaire depuis le début sans grosse perte).

Pourquoi faire des sauvegardes de votre Profil Firefox ou d’une partie de celui-ci

De façon rapide, je vois trois raisons principales de faire des sauvegardes des données de votre profil Mozilla Firefox :

• pour faire face à une catastrophe due à un bug éventuel dans le logiciel,
• pour faire face à un souci avec votre matériel,
• pour faire face à une erreur humaine de votre part (ou de la part de quelqu’un d’autre utilisant votre pc et le navigateur).

Pour ces trois raisons, et si votre profil stocke des données qui vous sont précieuses, le principe de précaution implique de faire une sauvegarde des données qui vous sont vitales.

Pour ce qui est d’une catastrophe due à un bug dans le logiciel ayant résulté en une perte de tous les mots de passes enregistrés, je crois (sans en avoir la certitude) que cela m’est arrivé une ou deux fois dans le passé.

Pour les conséquences des problèmes matériels, cela ne prévient pas toujours à l’avance et les soucis avec le matériel peuvent parfois avoir des effets assez pervers dont les conséquences ne sont parfois aperçues que bien après. J’ai par exemple le cas d’un disque dur qui me fait parfois des erreurs de lecture/écriture à des emplacements variables mais qui donne la plupart du temps l’impression de bien fonctionner.

Pour les défaillances humaines, il peut (selon le cas) être trop facile de cocher accidentellement la case pour effacer les mots de passes lorsque la boîte de dialogue qui sert aussi à l’effacement de l’historique des cookies à la fermeture du navigateur s’affiche (surtout avec un touchpad).

L’importance de pouvoir être sûr de conserver les données stockées dans votre profil est variable suivant les personnes : certains stockent leurs mots de passe sous Firefox, d’autres non, de même pour les marques-pages.

Sauvegarde du profil complet

Le profil Mozilla Firefox stocke un ensemble d’informations variables telles que les préférences, les mots de passe, les marques-pages, les dernières pages visitées, mais aussi le cache et pas mal d’autres choses.

Cela prend un peu de place donc vous ne verrez pas forcément un intérêt à conserver trois ans de sauvegardes journalières du dossier de profil mais il reste bon de faire une sauvegarde de temps en temps.

Trouver le dossier d’un profil Mozilla Firefox

De façon générale, il y a un dossier global pour stocker les données des applications mozilla qui contient un dossier pour stocker les données de Mozilla Firefox qui contient les dossiers des différents profils de l’utilisateur.

L’emplacement du “dossier Mozilla” est variable suivant le système d’exploitation (et l’utilisateur en cours).

Sous GNU/Linux, il s’agit de “~/.mozilla/” (“~” représente le répertoire personnel de l’utilisateur, très souvent cela prend la forme “/home/nomdutilisateur/“). Pour les autres systèmes d’exploitations (Windows, Mac OS X), le tableau de la MozillaZine Knowledge Base vous renseignera (si vous ne comprenez pas l’anglais, contentez vous de regarder le tableau, et si vous vous trouvez dans le méchant cas où il y a %APPDATA%, utilisez la fonction exécuter de votre système d’exploitation pour trouver l’emplacement de %APPDATA%).

Le “dossier Mozilla” contient les dossiers de différentes applications Mozilla. En règle général le dossier de Firefox s’appelle tout simplement “firefox”, mais il peut y avoir des exceptions (surtout si vous avez ou avez eu plusieurs versions installées). J’ai par exemple installé Mozilla Firefox 3.5.2pre (”nom de code” : Shiretoko) depuis les dépôts backports d’ubuntu 8.04 LTS Hardy Heron (en fait j’utilise kubuntu avec kde 3.5), et j’ai depuis le droit à un dossier “~/.mozilla/firefox-3.5/” en plus de “~/.mozilla/firefox/” (logique j’ai deux versions différentes de firefox installées sur le même système).

Enfin le dossier des données de firefox contient lui-même différents dossiers : un pour chaque profil. Ces dossiers de profil peuvent avoir des noms tels que “vw9u87cq.default” ou “7r4m7slt.profile2″. Chaque dossier correspond à un profil différent, mais il se peut que vous n’en ayez tout simplement qu’un seul (c’est le cas de la plupart des gens qui ont un seul profil sélectionné par défaut au démarrage).

Sauvegarder le où les profils

L’opération de sauvegarde est simple : il suffit d’avoir une copie intégrale du dossier de profil (voire du dossier contenant tous les profils).

Vous pouvez faire une simple copie de dossier, ou créer une archive. Sous GNU/Linux, évitez toutefois de faire une copie brute vers un support au format FAT : ce type de système de fichier est totalement incapable de se souvenir des différents droits d’accès. Si vous utilisez une archive de type .tar (ou .tar.gz, .tgz, .tar.bz2, etc.) vous n’aurez pas de soucis.

Pensez également qu’une sauvegarde de profil contient pas mal d’informations (dont éventuellement des mots de passe) : vous ferez donc attention à ne pas mettre ça sur un supporta accessible par le premier venu à moins de prendre des précautions en chiffrant les données (voire suite).

Restauration de profil

C’est toujours bien de faire la sauvegarde de ses données vitales, encore faut-il être capable de les restaurer.

Si vous n’avez que peu d’expérience ou si vous êtes hésitant, je vous conseille de faire une autre sauvegarde avant la tentative de restauration, pour être sûr de ne rien empirer.

Vous pouvez tenter la restauration du profil complet, ou bien ne prendre que certaines parties (voire suite) en n’utilisant judicieusement que certains fichiers de la sauvegarde de départ.

Pour plus de sécurité, si vous choisissez la restauration complète, je vous conseille de la faire de la manière suivante :

• création d’un nouveau profil depuis firefox (démarrage de firefox en ligne de commande si nécessaire avec les options “-no-remote -P”, et création du nouveau profil depuis l’interface de sélection)
• identification de l’emplacement du nouveau profil (vous aurez noté le nouveau dossier qui apparaît dans le dossier contenant les différents profils, en cas de doute/fausse manip supprimer le nouveau profil depuis l’interface et recommencer à l’étape précédente)
• fermeture de toute instance de firefox
• vidage intégral du nouveau dossier de profil (et pas d’un autre)
• recopie du contenu du dossier de profil sauvegardé dans le dossier que vous venez de vider

Cette méthode est présentée en Anglais dans un article de la MozillaZine Knowledge Base.

Pour la restauration sélective, plus de détails dans la suite…

Sauvegardes/restaurations sélectives depuis l’interface graphique

En ce qui concerne les réglages, au pire pour les personnes inexpérimentées il reste la bonne vieille méthode : tous les recopier sur papier, ou utiliser copies d’écrans+copier/coller.

Les marques-pages (bookmarks) peuvent eux être sauvegardés et restaurés avec les fonctions d’exportation et d’importation du gestionnaire de marques-pages. Suivant la version, Firefox peut même effectuer de façon automatique une sauvegarde (en local, dans le dossier de profil) de vos bookmarks que vous pouvez ensuite réutiliser aisément.

Pour les mots de passe, cela se complique : il n’y a pas de façon native des fonctions d’import/export facilement accessibles. Il est toujours possible de regarder la liste et de copier ça sur une feuille de papier (attention toutefois à la sécurité… personnellement je préfère ne jamais le faire) ou de faire des copies d’écran (même remarque et toujours peu pratique à la “restauration”).

Il existe aussi des extensions (Add-ons) permettant d’exporter les mots de passe dans un fichier CSV ou XML, puis de les restaurer, le tout depuis fierefox avec une interface conviviale : par exemple Password Exporter.

Ceci-dit, aussi agréable que peut être une belle interface par rapport à une ligne de commande, cela a un gros inconvénient : une succession de clics de souris ça prend du temps et ça se scripte (s’automatise) très mal.

Sauvegardes et restaurations judicieuses des bons fichiers

Au contraire de la méthode consistant à passer par l’interface, la méthode consistant à aller chercher les bons fichiers est naturellement moins intuitive, à déconseiller au débutants, et pire, un changement de version peut impliquer des changements dans les fichiers à sauvegarder.

Cela dit, au final, cela peut permettre de réaliser des scripts simples qui peuvent se révéler beaucoup plus efficaces et agréables (dans une utilisation courante) que la méthode des clics successifs depuis l’interface.

De plus, il devient même possible d’effectuer les sauvegardes sans même y penser (en planifiant l’exécution du script de sauvegarde).

La page de référence (en Anglais) pour les manipulations décrites ci dessous est l’article “Transferring data to a new profile – Firefox” de la MozillaZine Knowledge Base.

Sauf indication contraire, les fichiers décrits ci-dessous se trouvent à l’intérieur du dossier de profil (voir indications précédentes).

Fichier(s) contenant les marques-pages (ou bookmarks) de Mozilla Firefox

Les marques-pages de Mozilla Firefox sont contenus dans un fichier dont le nom varie suivant les versions du navigateur :

• Sous firefox 2 : le fichier contenant les marques-pages est logiquement nommé bookmarks.html : il ne contient que les marques-pages (l’historique de navigation de firefox est conservée dans le fichier history.dat).
• Sous firefox 3, marques-pages et historique de navigation sont conservés dans le même fichier places.sqlite. Si vous ne souhaitez sauvegarder que les marques-pages, il vous faut vous assurer que l’historique de navigation est vide au moment de faire la copie du fichier.

(Notez que bookmarks.html peut continuer à exister en plus sous firefox 3 mais il n’est à priori pas mis à jour.)

En plus du fichier principal contenant les marques-pages, firefox conserve des copies de secours éventuelles en cas de problème.

Ces copies de secours sont conservées dans le sous-répertoire bookmarkbackups. Si vous souhaitez simplement restaurez les marques-pages depuis une sauvegarde faite par vos soins, il n’est pas indispensable d’avoir le contenu de ce dossier.

La sauvegarde ou la restauration des données se fait de façon simple, respectivement en copiant le fichier ailleurs ou en écrasant le fichier actuel avec la version que l’on veut récupérer.

Si vous avez besoin de ne restaurer qu’une partie ou de conserver les marques-pages présents avant restauration, créez simplement un nouveau profil et déplacez-y le fichier contenant le contenu à restaurer. Ensuite, utilisez des deux côtés (par sécurité) les fonctions d’export intégrés à firefox et importez au profil cible le contenu manquant.

Fichiers contenant les mots de passe de Mozilla Firefox

Pour sauvegarder les mots de passe de Mozilla Firefox, il vous faut sauvegarder un couple de fichier : key3.db et soit signons2.txt, soit signons3.txt (ou même signons.txt, suivant les versions).

Le fichier key3.db contient une clé avec laquelle les mots de passe contenus dans le fichier signons(num).txt sont chiffrés. Si vous n’avez pas les deux fichiers vous êtes coincés. Il vous faut bien sûr en plus la connaissance du mot de passe maître (ou Master Password) qui garantit la sécurité de l’ensemble des mots de passe stockés par firefox.

Lorsque vous sauvegardez, vous sauvegardez le tout, et de façon logique lorsque vous restaurez vous restaurez le tout.

Considérations diverses

Fiabilité des sauvegardes

Prennez toutes les précautions qui vont de soit concernant la fiabilité nécessaire à vos sauvegardes.

La première règle avec les sauvegardes est probablement de penser à les faire (et de les faire).

Ensuite, il va de soit que vous devez toujours avoir une sauvegarde récente sur un support à l’extérieur de votre PC. Le reste dépend surtout de votre niveau d’exigence et de la valeur que vous accordez à vos données.

Assurer que vos données restent connues de vous seules

Vos sauvegardes peuvent contenir des données qui doivent rester exclusivement entre vos mains (en particulier pour les mots de passe).

Le mieux à mon sens reste de chiffrer vos sauvegardes avec un système de chiffrement réputé fiable.

À titre personnel, dans mes scripts, j’utilise la commande tar les données sauvegardées ne vont pas directement vers un fichier mais vers un tuyau (ou pipe) qui est reçu par la commande gpg. Les données sont donc chiffrés à l’aide de ma clé publique (et j’ai bien entendu à plusieurs endroits des sauvegardes de ma clé privée, chiffrés à l’aide d’un chiffrement cette fois-ci symétrique contrôlé par passphrase).

Dans vos scripts (sous bash, interprétateur de commande courant sous GNU/Linux) la ligne faisant le gros du travail de sauvegarde des mots de passe peut ressembler à :

pushd ~/.mozilla/firefox/ \
&& tar -cvvz */signons* */key* \
| gpg \
-ae -R KEY_ID -o \
/path_to_backup_dir/firefox_passwords_$(date_ok_in_filenames.sh).tar.gz.asc \
&& popd

Il vous faut remplacer KEY_ID par l’identifiant de votre clé publique. $(date_ok_in_filenames.sh) est simplement un de mes scripts qui renvoit la date et l’heure courante sous un format qui convient pour les noms de fichiers.

Vous pouvez simplement remplacer cette partie par $(date +%Y%m%d_%H%M%S).

Bien entendu ceci n’est qu’un exemple qui doit être adapté.

Vérifiez que vos scripts fonctionnent (et ce régulièrement)

Si vérifier une première fois que ce que vous faites fonctionne parait une évidence, ici il faut même le faire assez régulièrement.

En particulier :

• vérifiez que le nom des fichiers contenant les données voulues ne changent pas avec une mise à jour de firefox (voir la référence (en anglais) sur kb.mozillazine.org)
• si vous réinstallez une autre version de firefox en plus, il se peut que le dossier contenant les données change, voire qu’il y en ait plusieurs (ce fut le cas pour moi lorsque j’ai installé firefox 3.5 depuis les dépôts backports).

Conclusion

Avec un tout petit peu de travail à la base, la sauvegarde de vos données importantes de vos profil Mozilla Firefox devient un jeu d’enfant.

Rassurez-vous cependant, mettre en place mes scripts que j’utilise pour faire la sauvegarde m’a pris bien moins de temps que d’écrire cet article.

Et vous, avez-vous déjà eu besoin de restaurer une sauvegarde des données de Mozilla Firefox? (Et le cas échéant, la question qui peut faire mal, avez vous bien eu une sauvegarde récente à votre disposition?)

Pourquoi et comment sauvegarder les données vitales de votre Firefox (mots de passes et marques pages)
(fr) Commenter cet article - Partager - Lire un autre article (Blog de David Dallet)
(en) Comment this post - Share It - Read another post on David Dallet's Weblog

Les logiciels libres associent souvent valeurs et efficacité. Certains connaissent par ailleurs un grand succès, c’est par exemple le cas de WordPress.

Ce post traite de la façon d’optimiser simplement le référencement d’un site, en utilisant WordPress et ses plugins.

WordPress

Le logiciel libre WordPress (site officiel WordPress.org, en anglais) est un système de gestion de contenu (Ou CMS en anglais pour Content Management System). Son usage le plus courant est de servir de moteur de blog, mais il est tout à fait envisageable de s’en servir pour créer des sites ne ressemblant pas vraiment à des blogs.

WordPress est très probablement le moteur de blog le plus utilisé par ceux qui gèrent eux-mêmes leur blog sans passer par une plate-forme (telle que blogspot, typepad, et souvent pour les très très jeunes skyblog). Toutefois, certaines plateformes d’hébergement de blog utilisent également le logiciel libre WordPress (ou sa version WordPress MU) : c’est bien sur le cas de WordPress.com, mais aussi le cas des blogs offerts aux abonnés du journal Le Monde, et de bien d’autres. De nombreux hébergeurs Internet proposent souvent également une installation de WordPress en quelques clics.

WordPress fournit, en intégré, une richesse énorme en terme de possibilités et de fonctionnalités. Toutefois, il arrive que l’on souhaite un peu plus : pour cela on utilise des plugins. Grâce à ces plugins, vous pourrez par exemple disposer de fonctionnalités spécifiques qui ne sont pas forcément utiles à tous les utilisateurs de WordPress.

Parmi les logiciels libres concurrent de WordPress, le plus connu est probablement DotClear, surtout utilisé pour des blogs francophones.

WordPress (de base) et SEO

L’acronyme SEO (Search Engine Optimization) désigne l’optimisation d’un site ou de pages afin d’être facilement trouvé par un moteur de recherche (en particulier Google).

Sans même à avoir à installer le moindre plugin, il est possible de faire quelques optimisations.

Le pré-requis indispensable : autoriser l’indexation

Il vous faut bien sûr vérifier que vous n’avez pas de fichier robots.txt (statique ou généré dynamiquement par le serveur) pouvant faire obstacle à l’indexation de votre blog.

Ensuite, vérifiez que l’option d’autoriser l’indexation par les moteurs de recherche (”Settings/Privacy”) est activé. Dans le cas contraire, des balises meta pourraient empêcher l’indexation de votre blog.

Ping XML RPC

Ce réglage permet de notifier certains services que des nouveaux posts sont présents. Un lien vers votre post pourra apparaître dans des sites comme weblogs.com et cela peut aider quelques robots d’indexation à prendre connaissance de votre site.

Néanmoins, les effets en terme de visites apportées ou d’indexation par Google sont souvent très limités. Cela semble donc être un plus à prendre sans pour autant être une optimisation majeure.

Un réglage courant pour prendre ce plus est d’avoir http://rpc.pingomatic.com/ dans “Settings/Writing/Update Services”.

Titres et contenu

Cela va sans dire, mais le titre et le contenu auront une influence capitale sur le référencement naturel et sur la capacité à être trouvé par un visiteur.

Même si il est possible d’utiliser certains outils pour améliorer les termes employés (le générateur de mots clés de Google Adwords ou Google Keyword Tool est par exemple souvent utilisé à des fins de SEO), je vous conseille néanmoins de faciliter la lecture par des humains. Essayer d’être “bien vu” par des robots est certes utile, mais au final vos lecteurs ciblés restent humain. Ce sont souvent ces lecteurs humains qui, si ils sont satisfaits, pourront être la cause de liens entrant sur des pages à bon PageRank, et bénéficier de ces liens accroîtra vos résultats.

Ne sacrifiez donc pas la qualité de ce que vous créez pour rajouter une tonne de mots clés.

Par ailleurs, votre contenu doit de préférence être original : lorsque Google a plusieurs fois le même texte, il a une forte tendance à ne l’indiquer qu’une seule fois dans les résultats. Ce phénomène est connu sous les termes de Duplicate Content(terme anglais signifiant contenu dupliqué). N’hésitez pas toutefois à placer votre contenu sous licence libre : Google semble bien s’en tirer pour indiquer très souvent le contenu original en bonne position (et vous y gagnerez en lien entrants).

Optimiser les URLs de vos posts (permalinks)

Voici quelques exemples possibles pour l’URL (fictive) d’un post :

• (1) http://www.example.net/blog/index.php?p=1984
• (2) http://www.example.net/?p=1984
• (3) http://www.example.net/blog/2010/12/25/creer-vos-cartes-de-voeux
• (4) http://www.example.net/blog/2010/12/creer-vos-cartes-de-voeux
• (5) http://www.example.net/blog/2010/12/25/p1984-creer-vos-cartes-de-voeux
• (6) http://www.example.net/creer-vos-cartes-de-voeux
• (7) http://www.example.net/p1984-creer-vos-cartes-de-voeux

Il va sans dire que la première URL a moins belle allure que les URLs (3) à (7).

Bien choisir le réglage permet d’aider à ce que les moteurs de recherche perçoivent bien quels mots vous souhaiter cibler. Cela a également une influence sur le visiteur humain lorsqu’il voit l’adresse (dans les résultats de Google ou même en dehors de tout moteur de recherche).

Le choix d’inclure ou non la date est également un choix stratégique : d’un côté cela donne au visiteur une information utile avant même qu’il visite votre site, de l’autre en incluant la date vous prenez le risque de dissuader (consciemment ou inconsciemment) certains visiteurs potentiels de jeter un coup d’œil à des posts jugés trop anciens.

Suivant les versions de WordPress, et le nombre de post, il peut toutefois être conseillé (dans des buts de performance du serveur) d’inclure autre chose que le titre dans le permalink.

Bref, ce choix est complexe, et la référence (en anglais) vous aidera à bien choisir le réglage dans “Settings/Permalinks”. N’oubliez pas de vérifier que les réglages de votre serveur web sont bien compatibles avec votre choix.

Pingbacks/Trackbacks

Cela n’est pas souvent du SEO à proprement parler (à moins que les sites les recevant ne pratiquent pas le “nofollow”), mais bien utilisé cela peut vous permettre d’avoir un peu de trafic en plus sur votre site.

L’usage général et approprié est d’indiquer votre post comme une réponse à d’autres posts (un peu comme les commentaires, sauf que vous répondez sur votre propre blog et que sur le post auquel vous répondez on ne voit en général qu’un court extrait).

N’en abusez pas toutefois : le “spam” est toujours mal vu et avoir une réputation de spammeur ne vous aidera pas à obtenir spontanément des liens externes provenant de sites et blogs “influents” en terme de PageRank.

Indexation : WordPress seul c’est bien, avec plugin c’est mieux…

Comme indiqué plus haut, il y a pas mal de paramètres influençant l’indexation avant même d’installer le moindre plugin.

Toutefois, pour aller (beaucoup) plus loin, les plugin vous seront utiles.

Titres et balises meta : un coup de pouce avec All In One SEO

Bien choisir le titre (balise title en html/xhtml) et le contenu de la balise meta description est sûrement une des mesures les plus efficace en terme d’optimisation pour les moteurs de recherche.

Notez qu’il ne faut pas confondre titre de l’article avec titre de la page html générée (ou balise title). Par exemple, la balise title contient en général également le nom de votre blog. Ce n’est pas forcément les grosses lettres en haut du post mais plutôt ce qui est souvent ajouté à la barre de titre de votre navigateur. Le contenu de la balise title est généralement le titre dans les résultats Google.

La description s’affiche souvent sous Google à la place d’extraits correspondant aux termes recherchés. Bien soigner votre description permet d’indiquer aux moteurs de recherche les termes sur lesquels votre article accorde de l’importance.

N’en faites cependant pas une soupe de mots-clés : non seulement ça peut être mal vu (et pénalisé) par Google, mais en plus une description naturelle et agréable à lire peut attirer le clic et permettre de se distinguer des autres résultats.

Pour tout cela, le plugin All In One SEO vous sera d’une aide précieuse.

Plugin XML Sitemaps : indexation rapide (même sans lien entrant)

Vous connaissez le principe des Sitemaps XML?

En gros cela consiste à avoir un fichier recensant (pour un site quelconque, pas forcément un blog) la liste des pages présentes (enfin leur URL), leur date de dernière modification, leur valeur relative (par rapport aux autres pages du site), etc…

Cela aide considérablement les moteurs de recherche, car dès qu’ils accèdent au fichier Sitemaps, ils peuvent déterminer quelles pages méritent le plus d’être visitées (par le moteur) : ainsi ils peuvent raréfier les visites des pages non modifiées et découvrir facilement une liste de pages nouvelles ou mises à jour.

Mais cela n’est pas tout : vous pouvez aussi “pinger” les principaux moteurs de recherche avec l’adresse de votre ou vos Sitemaps : cela permet de leur signaler des Sitemaps qu’ils ne connaissent pas encore, ou de leur dire que le Sitemaps a été mis à jour.

N’espérez pas manipuler le PageRank d’une page grâce à votre ou vos Sitemaps, mais en revanche vous pouvez espérez avoir plus de pages indexées (car les robots d’indexation savent où les trouver).

Donc en gros, ce n’est pas la peine d’espérer être premier sur un mot-clé ultra visé uniquement à l’aide d’un fichier Sitemaps, mais si vous produisez du contenu textuel unique, vous pourrez probablement obtenir quelques visites d’internautes ayant cherché une expression un peu plus complexe pour peu que votre texte s’en rapproche bien.

Pour gérer facilement les Sitemaps sous WordPress, n’hésitez pas à installer le plugin Google XML Sitemaps Generator for WordPress créé par Arne Brachhold.

Il gère de façon native la construction du Sitemaps (compressé ou non, en plus il y a une feuille de style associé au fichier XML), et la soumission à Google (semble OK tout le temps), Yahoo (sous réserve de s’inscrire gratuitement au service Yahoo pour avoir une clé), Bing (ex. Live Search, le malheureux moteur de recherche de Microsoft qui change souvent de nom) et Ask.com (pour des raisons que j’ignore, la soumission me semble échouer une fois sur deux sur ce moteur, néanmoins c’est mieux que rien).

En ce qui concerne les réglages de ce plugin, n’hésitez pas à désactiver la construction en arrière plan (”background process”) si vous constatez des erreurs avec votre hébergement. Par ailleurs, je conseille de désactiver le calcul automatique de priorité des posts, sauf si le nombre de commentaire reflète vraiment l’importance de vos posts. (Vous pouvez aussi le laisser activer mais en augmentant la priorité minimale pour réduire l’influence du nombre de commentaire…)

Pour avoir fait quelques tests, j’ai pu constater qu’il est possible d’indexer ainsi rapidement (dans les heures qui suivent) un blog totalement nouveau et sans aucun lien entrant.

De plus, bien qu’il y ait des similarités de principe, cela semble être d’une efficacité bien supérieure à celle de la fonctionnalité intégrée à WordPress de ping XML RPC (voir plus haut).

Conclusion

WordPress (tout comme d’autres logiciels libres comme DotClear, Drupal, etc) dispose de pas mal d’atout en terme d’optimisation pour les moteurs de recherche.

Choisir les bons réglages et utiliser les bons plugins vous facilitera la vie si vous souhaitez indexer au mieux votre site.

Néanmoins, puisqu’on parle de SEO, je rappelle qu’il existe des pratiques mauvaises et peu recommandables (ayant surtout pour but d’augmenter le PageRank). Ne les utilisez pas et respectez les conseils de qualité fournis par les moteurs de recherche, cela diminuera grandement le risque de vous prendre des pénalités que peuvent infliger les moteurs de recherche. Par ailleurs méfiez vous de tout prestataire vous promettant des résultats en terme de Ranking (classement) : les bons professionnels proposent généralement audit de référencement et suggestions de modifications de votre contenu tandis que certains aux pratiquent douteuses suggèrent qu’ils peuvent vous obtenir un fort trafic et/ou une bonne place sans rien changer à votre site.

Si des optimisations (et une promotion correcte de votre site) peuvent aider, rappelez vous que le succès de votre site repose de façon conséquente sur son contenu.

WordPress + plugins : la bonne indexation simplifiée
(fr) Commenter cet article - Partager - Lire un autre article (Blog de David Dallet)
(en) Comment this post - Share It - Read another post on David Dallet's Weblog

Nombreux sont les webmasters ayant un site victime de hotlinking (associé souvent à un pillage sans vergogne de contenu).

C’est spécifiquement à la lutte contre le hotlinking (qui peut nuire à votre bande passante et à vos ressources serveur) que ce post s’intéresse. Les exemples donnés font référence à une configuration de serveur HTTP avec Apache+PHP.

Rappels sur le hotlinking

Hotlinking, direct linking, inline linking, kesako?

Selon Wikipédia (version à la création du post): “Le direct linking ou hotlinking consiste à utiliser l’adresse d’un fichier publié sur un site web, le plus souvent une image, pour l’afficher sur un autre site, sur un blog, dans un forum, etc. En d’autres termes, au lieu d’enregistrer l’image et de l’installer sur son propre serveur web, le hotlinkeur crée un lien direct vers le serveur d’origine.”

C’est par exemple si un webmaster gérant le site http://site1.example.net/ insère une balise de type <img src=”http://autre-site.example.com/picts/useful-picture.png” alt=”texte alternatif” /> pour insérer sur son site une image hébergée sur un autre serveur.

Ainsi, pour fournir l’image lorsqu’un visiteur est sur site1.example.net, c’est bien le serveur de autre-site.example.com qui donne sa bande passante et qui consomme des ressources (CPU, mémoire, etc…).

Est-ce correct d’hotlinker?

La réponse à cette question est variable suivant les situations.

Si vous n’avez pas l’autorisation (explicite ou implicite), vous devez considérer que cela n’est pas correct. C’est au minimum du vol de bande passante.

Notez qu’une licence libre n’autorise pas à hotlinker. Ce n’est pas parce qu’un site vous autorise à copier son contenu qu’il vous donne le droit d’utiliser de n’importe quelle façon les ressources de son serveur. Un exemple où cette distinction est clairement indiquée est Wikimedia commons (en anglais).

Par autorisation “explicite” j’entends les cas où un site vous autorise explicitement à hotlinker, par “implicite” je désigne les cas courants (bannières de soutien, etc…) où un site vous donne par exemple du code qui, utilisé sur votre site, fera du hotlinking.

Hotlinking et méthodes similaires

Il peut être mal vu également d’utiliser les cadres (frames, i-frames) pour afficher une page extérieure sans l’autorisation du propriétaire du site.

C’est très variable suivant les utilisations. Si vous pensez que votre utilisation est légitime, essayez au minimum de fournir un lien permettant d’afficher la page tierce en dehors de tout cadre (frame). Par ailleurs pour le visiteur il ne doit y avoir aucune ambiguïté.

(Des exemples d’utilisation corrects incluent certains moyens d’échange de liens sur réseaux sociaux. Le plus connu est volontairement non cité.)

Détection du hotlinking abusif

Certain vous diront que c’est simple…

Le hotlinking produit, dans la très grande majorité des cas, des traces aisément détectables sur le serveur sur lequel se trouve l’image ou la ressource accédée.

En effet, la grande majorité des navigateurs incluront dans leur requête au serveur, l’information “Referrer” qui indiquera quelle page a fait référence à l’objet. Notez que cette en-tête est le même que lorsque le visiteur accède à une page en utilisant un lien provenant d’une autre page.

La détection peut donc se faire très souvent en observant le champ referrer dès que la ressource accédée n’est pas une page web.

Dans un fichier de log provenant d’Apache, cette information est usuellement reprise dans une des colonnes (selon configuration). Pour le fichier .htaccess et les RewriteCond, il vous faudra utiliser la variable HTTP_REFERER.

RSS, Atom, et tant pis pour la détection automatique

Le souci avec ce qui est marqué au dessus, c’est que dès que vous avez un flux rss ou atom, les lecteurs de flux en lignes en ligne (ou web-agrégateurs, en gros Google Reader, Netvibes et les concurrents) feront aussi envoyer par le navigateur du visiteur un champ referrer faisant penser à du hotlinking.

Cependant, dans ce cas l’utilisation est légitime (il n’y a pas de raison de considérer déloyal le fait d’utiliser un lecteur de flux en ligne plutôt qu’une application spécifique).

De plus, on ne peut pas connaître la liste des sites faisant office de lecteurs de flux en ligne (pour la bonne raison que chacun peut en installer un sur son site si cela lui plaît).

Je ne peux donc que déconseiller (pour les sites ayant un flux) les méthodes qui visent à faire un filtrage brut (et ici, exemple du très connu blog presse-citron) pour contrer de façon automatisée les hotlinkers.

Donc au final, on fait comment pour détecter?

Je conseille de faire de la détection après coup, en examinant régulièrement les fichiers de logs.

Le schéma de la méthode est le suivant :

• Commencez par extraire de façon automatique les lignes correspondants à du possible hotlinking (avec le HTTP_REFERRER, uniquement pour ce qui n’est pas une requête de page web).
• Supprimez tout ce qui correspond à un lecteur de flux en ligne connu.
• Triez les cas par ordre décroissant de requêtes (ou de bande passante utilisée) : autant vérifier en priorité (ou uniquement) ce qui vous consomme le plus de ressources…
• Rendez vous sur les sites mentionnés pour vérifier manuellement.

Une fois que vous avez détecté du hotlinking abusif

Contacter, Vérifier, etc.

Souvent, le webmaster responsable de hotlinking ne le fait pas volontairement. Pensez donc à prendre contact et à vérifier qu’il s’agit vraiment de hotlinking abusif avant d’utiliser les méthodes les plus radicales…

Dans la suite on supposera que vous connaissez la source du hotlinking, et que vous avez fait les vérifications nécessaires.

Agir : Méthode 1 : Remplacement d’images

Je considère ça comme étant une méthode soft. Il s’agit de remplacer l’image par une autre pour avertir le lecteur de la page du site fautif. Le blog presse-citron donne un peu plus de détails à ce sujet…

Cette méthode étant classique et facile à mettre en œuvre, je ne la détaille pas plus.

Agir : Méthode 2 : Refus de délivrer l’image

Pareil : simple et classique. Ça a l’avantage d’économiser de la bande passante, par contre ce n’est pas très dissuasif…

Agir : Méthode 3 (quelque peu plus offensive) : Utilisation du statut HTTP 401 (lié à l’authentification)

Cette méthode est à la fois économe en bande passante et très dissuasive.

Au lieu de donner l’image (ou autre ressource), une autre image, ou de refuser directement de la donner, il est possible de demander au visiteur de la page du site fautif de “s’identifier” auprès de votre serveur (qui contient la ressource accédée de façon douteuse).

En fait, il ne s’agit pas d’attribuer un login+mot de passe à la ressource, mais simplement de faire afficher au navigateur une belle boite bien visible contenant un message de votre choix. Message qui bien entendu n’a aucune obligation d’être du goût du webmaster commettant des abus (enfin respectez la loi et n’insultez pas injustement non plus…).

Pour cela, il suffit de mettre dans votre fichier .htaccess une règle correspondant à l’accès interdit (correctement identifié) pour rediriger vers un fichier php contenant le code suivant (à modifier à votre guise) :

<?php
  header('WWW-Authenticate: Basic realm="Go to http://hotlinking.example.net/ (abusive use of our content/hotlinking issue)"');
  header('HTTP/1.0 401 Unauthorized');

L’effet est bien visible (au moins sur firefox) et est à mon avis quelque peu plus dissuasif qu’une image modifiée…

Vous pouvez voir une démo en visitant ce lien avec le mot de passe “iwanttotest” (sans guillemets).

Pensez bien entendu à créer sur votre site une page expliquant le problème du hotlinking et à pointer vers elle dans le code précédent modifié.

Conclusion

Le hotlinking abusif, c’est mal. Lorsqu’il est commis de mauvaise foi, il n’y a aucune raison d’hésiter à prendre les moyens nécessaires pour le contrer.

Plutôt que de prendre le risque de faire des victimes collatérales (ceux qui vous lisent à travers un lecteur de flux en ligne), je préconise de cibler après avoir vérifié manuellement. Par contre, je considère normal de taper fort lorsque c’est mérité. La méthode basé sur le statut http 401 (ci-dessus) me semble particulièrement adaptée pour cela.

Note: version (très résumée) en anglais.

Hotlinking / Pillage de contenu et de ressources : Méthode Apache+PHP radicale pour le contrer
(fr) Commenter cet article - Partager - Lire un autre article (Blog de David Dallet)
(en) Comment this post - Share It - Read another post on David Dallet's Weblog

OpenOffice.org est sans conteste un logiciel phare parmi les logiciels libres, un logiciel qui mérite certes largement que l’on en fasse la promotion. Cependant, on a pas tous les mêmes besoins, et à besoins differents, solutions potentiellement différentes… Pour faire simple je me limiterais dans cette discussion à la partie “Writer” (traitement de texte) d’OpenOffice.

Une petite parenthèse vite fait : il est hors de question de laisser une place déterminante dans cet article à des logiciels tels que Microsoft Word, MS Works, iWork ou d’autres logiciels propriétaire de ce genre. Merci d’en tenir compte en commentaire (la modération pourra être stricte…) et d’éviter les trolls. Si vous souhaitez (lire/faire) une comparaison rapide, voici une porte de sortie grande ouverte (———>[ ]), il y a une route “autres directions” pas loin… De toute façon, ces logiciels ne sont pas non plus l’idéal pour tout faire…

Donc, pour en revenir au sujet, le but de ce post est de donner d’autres idées de solution qu’OpenOffice, lorsque ce logiciel n’est pas le mieux pour vous, ou pour la personne à qui vous donnez conseil.

Pas besoin de mise en forme, pas besoin de traitement de texte!

(Update: Section rajoutée. Merci à OrelEagle pour m’y avoir fait penser)
Si vous n’avez besoin de n’enregistrer qu’une suite de lettres, chiffres, ponctuation, retour à la ligne (et quelques autres symboles) sans mise en forme majeur (sans gras, souligné, italique, changement de police et de taille…) alors vous n’avez pas besoin de traitement de texte! C’est un simple éditeur de texte qu’il vous faut.

C’est typiquement le cas si vous souhaitez enregistrer diverses informations plutôt que de les noter sur un bout de papier. (Ou si vous souhaitez l’équivalent du “Bloc Notes” de MS Windows.)

Les éditeurs de texte les plus courants sont “Text Editor” (”Editeur de Texte” ou gedit, pour ceux qui utilisent gnome), kate (pour ceux qui connaisent kde), et pour les non-novices éventuellement vim et emacs…

Note: Si pour vous la différence traitement de texte vs éditeur de texte est bien comprise, pensez à vérifiez qu’elle l’est aussi pour les personnes que vous aidez. Des gens qui avaient l’habitude d’utiliser systématiquement MS Word pour des infos copiées/collées, ça arrive plus souvent qu’on ne le pense.

Besoin d’un traitement de texte mais OpenOffice vous semble trop compliqué?

C’est typiquement le cas pour les gens qui n’ont besoin que de taper occasionnellement une lettre ou un petit document d’une ou deux pages.

Dans ces cas, on peut vouloir ne pas avoir à dépenser trop de temps à apprendre (ou à expérimenter). Une interface minimaliste est idéale, quitte à ne pas avoir toutes les fonctionnalités imaginables.

Il y a un logiciel libre qui convient parfaitement : AbiWord. À tout ceux qui se disent que je ne leur apprend rien, j’espère au moins que vous savez y penser lorsque c’est adapté. (Beaucoup connaissent le nom, peu utilisent/conseillent, mais au moins la plupart des utilisateurs sont satisfaits…)

Et si OpenOffice était ce qu’il vous fallait?

C’est typiquement le cas pour ceux qui font fréquemment de la bureautique ou qui doivent réaliser des documents assez conséquents (par exemples rapports, dossiers, etc…). OpenOffice Writer dispose de fonctionalités puissantes qui pourront vous rendre grandement service (ex: sommaire, index).

Il nécessite certes un “apprentissage” pour être utilisé au mieux mais c’est le prix à payer pour être productif…

OpenOffice trop simple? Pas assez “pro”?

Évidemment ce n’est pas ce que pense la grande majorité des gens… Néanmoins dans certains cas (publications scientifiques, réalisation d’ouvrages), il est préférable de se passer d’un logiciel Wysiwyg et de recourir par exemple, au LaTeX.

L’apprentissage peut sembler encore plus complexe, mais une fois encore il y a des avantages à en retirer…

Notez aussi que la conversion LaTeX vers html peut se faire sans trop de difficultés, à l’aide d’Hévéa par exemple.

Autres solutions non évoquées, en vrac

• (X)HTML+CSS
• AsciiDoc (peu connu mais très sympa,”syntaxe wiki”)
• DocBook (XML, SGML) et solutions plus ou moins proches
• Scribus
• pleins d’autres solutions/logiciels (liste non exhaustive)

Conclusion

OpenOffice est génial (affirmation gratuite que je ne démontrerais pas…), mais il ne faut pas oublier de penser aux autres solutions (libres). Évitez de noyer trop souvent votre esprit dans une comparaison OpenOffice vs MS Word, c’est un des moyens idéaux pour oublier le bénéfice de la pluralité des solutions dans le monde libre…

Et si OpenOffice (Writer) n’était pas fait pour tout le monde?
(fr) Commenter cet article - Partager - Lire un autre article (Blog de David Dallet)
(en) Comment this post - Share It - Read another post on David Dallet's Weblog

UPDATE Rapide (31/05/2009) : Finalement MS aurait décidé de laisser tomber cette limitation. Ce qui ne me surprend guère…

Je viens un peu au hasard de tomber sur diverses sources indiquant qu’une des version de Windows Seven (Starter Edition), aurait une limitation à trois applications à la fois…

Je vous laisse jeter un coup d’œil au deux liens pour voir en images ce que ça pourrait donner si on essaie d’ouvrir une quatrième application… Restons en au fond, même si il m’est difficile de garder un ton sérieux à la lecture d’une telle nouvelle…

Mon premier point de vue de libriste convaincu, à chaud

Vouloir implémenter des restrictions plus stupides les unes que les autres, pour faire acheter une version plus chère, c’est typique du logiciel propriétaire. Chez Microsoft, ils en arrivent visiblement à montrer ouvertement qu’ils font du travail pour rendre leur produit moins agréable. Mais est-ce si nouveau?

Si ces limitations devaient être spécifiques des versions pour “pays pauvres”, comme l’indiquent les rumeurs, ce serait encore plus pervers. Les utilisateurs de pays “en voie de développement” n’ont nulle besoin d’une efficacité bridée artificiellement, au contraire.

Mais bon, je ne vais pas épiloguer sur la partie idéologique (voir logique tout court) de l’absurdité d’une telle décision. Par contre, j’avoue que ça éveille quelque peu ma curiosité sur la façon dont ils vont réussir à monter cette usine à gaz, sachant que du logiciel libre pour Windows, ça existe encore…

Trois applications à la fois? Sans aucun privilège? Dur d’y croire

Tenter de (re)définir l’application…

Définir ce qu’est une vraiment application n’est pas forcément une chose évidente à faire. Lorsqu’on sait qu’il n’y en aura que trois à la fois, on se dit que forcément on ne compte pas tout… De plus, le système d’exploitation ne voit pas les choses du même point de vue conceptuel que l’utilisateur : les seules définitions qui peuvent valoir ici sont celles compatible avec un comptage par un algorithme.

La définition d’application sera probablement bancale : hors de question de compter tout l’éco-système qui tourne en tache de fond sous un PC sous Windows. On est donc tenté de dire forcément : exit le comptage bête et méchant des processus, limité à trois ça ne tient pas.

Mais que pourront donc compter les algorithmes stupides intégrés à cette version particulière de Windows Seven?

Je serais tenté de dire : seulement les processus associés à une entrée sur la barre des tâches (et “avec le titre, pas juste l’icône en bas à droite”). C’est la seule définition (tordue) que je vois pour que les applications puissent tenter de faire un ménage à trois sur un PC sous Windows au 21ème siècle.

Zut, ça ne tient pas…

Et là, c’est le drame. En apparence, et si l’on fait attention de ne pas penser à tout, ça peut “tenir”. Mais c’est vraiment oublier certains scénarios possibles de l’usage courant d’un PC, y compris par des non-geeks.

Mademoiselle Michu Junior est lycéenne et doit faire un beau rapport dans une des matières qu’elle étudie (à l’époque où j’étais lycéen, c’était le cas en E.C.J.S. : Éducation Civique Juridique et Sociale).

Pendant 20 minutes, elle a réussi à se contenter des trois applications au maximum dans la barre des tâches : une encyclopédie, le navigateur Internet, et bien sûr le traitement de texte. Voyez quoi? J’arrive même à faire semblant de penser comme un utilisateur lambda!

Et là, le cas redouté arrive : une application “en sommeil” se manifeste : un(e) ami(e) ou un membre de sa famille, vivant sur un autre continent, tente de joindre Mlle Michu Junior à l’aide de Skype (logiciel propriétaire douteux, enfin passons…). Supposons que Skype a besoin de se réveiller et d’afficher sa fenêtre immédiatement (après tout, “un coup de fil” n’attend pas forcément de trouver une solution propre de fermeture d’une autre application) : on rencontre là un premier problème, sans réponse évidente.

Soit il y a un système de passe-droit (genre bon, toi tu as le droit de te réveiller et on ne te compte pas, ou alors on bloque “le prochain”), soit Skype est compté dès le lancement du processus (même s’il est en sommeil) auquel cas où il faut composer avec uniquement deux autres applications.

Des problèmes similaires se posent avec des logiciels de messagerie instantanée de type Windows Live Messenger, Pidgin, et autres… Mais faire tourner de tels programme sera t-il qualifiable de “confort non adapté à la version économique”?

Bon après tout… Pourquoi se poser trop de questions sur les exemples précédents alors qu’il y aura des exemples plus flagrants! Scénario un peu modifié : avec ses trois “programmes ouverts”, Mlle Michu Junior reste à la limite. Mais là c’est l’antivirus ou le pare-feu qui a besoin d’afficher une fenêtre pour une décision qui n’attend pas… Toujours convaincu qu’il sera facile de définir la limite de façon rigide?

Personnellement, tous ces exemples peu recherchés me laissent penser qu’il y aura forcément un système de passe-droit : certaines applications pourraient passer instantanément au premier plan sans attendre une fermeture d’application parmi les trois déjà lancées. (Enfin je suppose qu’il y a des limites à la “mauvaise pub” que Microsoft peut se permettre d’obtenir volontairement…)

Et le développeur de logiciel libre, il fait comment?

Supposons que par nécessité il y ait ce système de passe-droit. On arrive à un autre problème : soit le système d’exploitation bridé doit compter sur la coopération des applications pour ne pas “crever le plafond” de façon malicieuse (enfin dans l’intérêt de l’utilisateur), soit le système doit définir une “liste blanche” d’applications autorisée (par exemple grâce à un système de signature numérique d’application).

Le procédé de la liste blanche – dès maintenant et rien que pour ça – serait quand même un peu gros, même si Microsoft et l‘informatique de confiance/défiance peuvent être bons amis…

Il reste la solution de faire confiance aux logiciels pour se plier volontairement à des règles absurdes. Et dès lors qu’un logiciel libre / open-source contient la recette pour dépasser la limite (on peut encore espérer que des logiciels libres de type antivirus, pare-feu ou messagerie instantanées arrivent à coexister avec cette version de Windows Seven), il est très difficile d’empêcher toute autre application se refuse à collaborer pour maintenir la limite.

Et si les solutions de contournement existaient déjà?

Petite note aux futurs commentateurs : même si l’on parle bien d’une future hypothétique usine à gaz déjà dépassée, les références au projet de loi HADOPI sont hors-sujets ;)

Revenons en aux choses sérieuses : il est possible de faire tourner Ubuntu depuis Windows (bien sûr je serais tenté de dire tant qu’à faire, passez vous de Windows). C’est légitime, et a priori pas trop compliqué. (Il est possible également d’utiliser des machines virtuelles…)

Le truc, c’est qu’il y a fort à parier que Windows Seven ne saura pas compter les applications réelles tournant sur ce Ubuntu. Il risque fort bien de considérer le tout comme étant une seule application, pour le plus grand bonheur de l’utilisateur.

Passons sur les éventuels problèmes de lourdeur et cela parait même un très bon choix : un bon nombre d’utilisateurs utilisent Firefox une bonne partie de leur temps, alors quitte à se faire “décompter” une application, il vaut peut être mieux que ça soit pour Firefox + l’ensemble des applications disponibles pour Ubuntu, non?

Pour conclure

Cette idée de limiter à trois “applications” me semble donc être non seulement une abération, mais également une source de gags. J’ai peut être passé un peu de temps à mettre en évidence quelques aspects, mais vous pouvez être sûr que chez Microsoft, le temps humain dépensé sera bien multiplié…

Windows Seven SE et ses 3 applications : Antivirus et clients IM en logiciels libres, possible?
(fr) Commenter cet article - Partager - Lire un autre article (Blog de David Dallet)
(en) Comment this post - Share It - Read another post on David Dallet's Weblog

Le droit de tous les artistes et créateurs à une rémunération juste doit être une des nombreuses préoccupations dans notre société.

En revanche, il va aussi de soi qu’une analyse neutre (et sans désinformation) des phénomènes doit être effectuée et que les moyens de réponse doivent être justes et mesurés (insérer le mot “graduée” à côté de “riposte” ne résout pas les problèmes…).

Stoppons les “pirates” dès aujourd’hui !

Avant de prétendre avoir des solutions, il convient d’analyser correctement le “problème”, et donc déjà d’en parler correctement.

Utiliser le terme “pirate” me parait être une abération, et souvent cela dénote une non neutralité.

Je ne m’attarderais guère sur les aspects historiques et maritimes liés au mot “pirate”, mais les mots ont un sens, les mots ont un impact, et il convient de choisir les bons termes pour faciliter la bonne compréhension des phénomènes.

L’intrusion sur des systèmes de traitement de données

Le terme “pirate” tend a être utilisé depuis pas mal de temps par certains journalistes faisant de la vulgarisation sur les phénomènes de délinquance informatique, en particulier pour désigner l’intrusion et la perturbation des systèmes de traitement de données.

Donc ce terme “pirate” désigne avant tout quelque chose n’ayant rien à voir avec la copie non autorisée et le non respect du droit d’auteur.

Utiliser le même terme pour des délits ou infractions bien différents, c’est souvent une réponse démagogique malhonnête. Il est scandaleux d’entendre régulièrement parler de terrorisme à tort ou trop rapidement (exemple de l’affaire Guillermito en ce qui concerne l’informatique ou bien l’exemple de personnes accuseés de retarder des trains). Il est aussi inadmissible de vouloir mettre tout le monde dans le même panier en ce qui concerne des infractions à la loi de gravité différente, même lorsqu’on fait cela seulement avec les mots.

Revenons en au “piratage” désignant l’intrusion informatique.

Il est normal que ce type de délit soit considéré comme grave, en particulier lorsqu’il s’agit de l’intrusion illégale sur le système informatique d’autrui avec altération des données. L’installation de rootkit, y compris pour tenter de prévenir un phénomène de copie de musique (ex. cas avec Sony) n’est pas anodine.

Notons que j’ai parlé d’intrusion sur le système d’autrui : il me parait normal que le propriétaire ou responsable d’un système informatique puisse avoir le contrôle de ce qui se passe sur sa propre machine. C’est une des raisons de mon attachement au logiciel libre et/ou open source.

La copie non autorisée et les infractions au droit d’auteur

Ce type de “pirate” n’a souvent rien à voir avec le type de “pirate” précédent. Même si on entend dire que des “pirates” auraient pu jouer un rôle dans la fermeture du site de propagande gouvernemental bien connu (j’ai d’ailleurs des doutes que d’autres partagent à ce sujet), la plupart de ceux effectuant des actes de copie illégale n’ont jamais commis la moindre intrusion sur un système informatisé.

Utiliser le même terme “pirate” n’est pas anodin. Utiliser des termes à fort impact dans des buts de communication auprès d’un public souvent non-initié, c’est surtout faire trop souvent le choix de la démagogie et de la propagande.

De la même manière qu’il est reconnu qu’il est malvenu d’utiliser de façon sélective des formulations de type “un homme d’origine (…)” lors des faits divers, il convient d’éviter de favoriser des rapprochements douteux dans l’esprit du public. Il parraitrait ridicule de dire “un homme portant des chaussures” à chaque fois que l’on parle d’une personalité critiquable, bien qu’on pourrait le faire souvent (point Godwin : même avec Hitler). De la même manière, évitons toute tentative de rapprochement douteuse avec le “piratage”.

Bref, revenons-en aux actes de copie non autorisée. En guise d’introduction à votre réflexion (ou reprise de réflexion), je vous invite à regarder la vidéo suivante (désolé pour le Flash, lien direct vers le .flv ou vers le .mp4 si cela peut vous aider, cela s’ouvre très bien avec VLC) :

Oui, malgré toute la désinformation, l’infraction au droit d’auteur n’est la plupart du temps pas du vol. Vous trouverez quelques notions de droit et de bon sens à ce sujet sur un article de Maître Eolas.

La qualification juridique rigoureuse semble donc être celle de la contrefaçon. C’est déjà un terme peu appréciable alors n’en rajoutons pas.

Pourquoi je n’aime pas ce terme : avant tout parce qu’il vise une fois de plus à mettre tout le monde dans le même panier. Bien souvent dans le cas de la copie non autorisée de films ou musique protégée par le droit d’auteur, il n’y a pas le même aspect de commerce illégal que l’on retrouve avec les autres types de contrefaçon. Il n’y a pas non plus le même aspect de tromperie sur ce dont il s’agit : les autres contrefaçons visent souvent à tromper soit l’acheteur (en le faisant payer pour quelque chose de moindre valeur), soit ceux percevant l’image de l’acheteur (exemple de ceux qui achètent des faux vêtements de marques, sacs à main ou répliques de montres Rolex en connaissance de cause).

Je serais donc tenté de dire que la faute en cas de copie non autorisée d’oeuvres protégées par le droit d’auteur c’est avant tout le non-respect de la loi.

Si l’on dépasse le raisonnement ridicule 1 téléchargement = 1 vente de DVD en moins, on peut éventuellement songer à des conséquences négatives pour les créateurs. Il ne faut cependant pas oublier qu’il y a aussi des conséquences positives en terme de publicité pour l’œuvre. Après quand à savoir quel effet est le plus fort, je ne me prononcerais pas (d’ailleurs la majorité des études sérieuses et indépendantes sur le sujet ne se prononcent pas non plus…). Une chose est sure, pour mieux rémunérer les artistes, il y a surement d’autres voies à explorer que la lutte massive contre le “piratage”.

(Petites questions à vous poser : Combien touche un artiste sur une vente de CD/DVD? Pourquoi la somme n’est pas sensiblement augmentée en cas de “téléchargement légal” alors que les couts de distribution ne sont pas les mêmes? Combien deezer tant promu à l’assemblée rémunère les artistes? Pourquoi continue t-on à tolérer que les gros majors s’en mettent encore plein les poches? Pourquoi de nombreux artistes préfèrent ils privilégier les concerts aux revenus issus de la vente de CDs? Quel est l’impact du téléchargement sur le succès des concerts?)

Bref l’impact du téléchargement illégal sur les revenus des créateurs est un phénomène complexe, qu’on ne peut régler avec démagogie ou en exploitant des “études” non neutres commandées par le gouvernement.

Le projet de loi HADOPI et les pirates

L’impact sur la copie non autorisée

Sur ce point, il y a relativement peu à dire. C’est un comble. Le projet de loi est reconnu dépassé avant même d’être sorti.

Les moyens de contourner sont déjà fort bien connus. Les termes vpn, friend-to-friend, newsgroups binaires usenet payants, hitnews.eu, astraweb, sites de téléchargements plus ou moins payants tels rapidshare n’ont aujourd’hui rien de mythique. Je ne présenterais pas ici ces solutions, mais l’on ne peut pas nier que le projet HADOPI est déjà connu comme étant dépassé.

Et si par hasard l’inquiétude devait gagner Madame Michu avant qu’elle ait eu le temps de s’informer sur les nouveaux moyens “sûrs”, l’échange d’œuvres sur clés USB haute capacité (on trouve facilement des clés 16Gb pour 30 euros) risque de se développer. L’échange illégal lors de LAN parties pourrait fort bien augmenter aussi.

Bref, pas grand impact à espérer…

L’impact sur le “méchant piratage”

Non seulement il est déjà connu que le projet de loi dit “HADOPI” présente des risques d’erreurs et d’injustices (sans compter les discriminations effectuées à l’encontre des utilisateurs de logiciel libre), mais en plus ces “erreurs” pourraient fort bien être volontairement provoquées.

Le projet de loin “Création et Internet” (nom rigoureux du projet HADOPI) risque en effet de donner toute puissance aux “méchants pirates”.

Je passe sur les risques aggravés de scam liés au projet de loi HADOPI (déjà en soi ça parait être une évidence, il risque d’y avoir nombre élevé d’affaires de scam), mais le pouvoir supplémentaire du “Black Hat Hacker” (ou cracker ou “méchant pirate”) de demain risque d’être l’utilisation de la commission de protection des droits de l’HADOPI pour priver une personne choisie de l’accès à Internet.

Et pour cela les moyens ne manquent pas :

• intrusion sur les réseaux Wifi mal sécurisés : il serait ridicule d’affirmer que tous les internautes seront capables de protéger lors réseau sans fil…
• intrusion à distance : certaines études parlent d’environ 1 pc sur 3 infecté et membre d’un botnet à l’échelle mondiale. Tout pc infecté peut bien évidemment servir à des téléchargements illégaux sans la connaissance de son propriétaire
• introduction de données erronnées dans les trackers et réseaux de P2P : il ne s’agit plus de prendre le contrôle d’une machine ou d’une connexion mais d’injecter des IPs dans les systèmes de Peer-To-Peer. Un agent des ayants-droits peu scrupuleux sur les vérifications devient une menace pour tout internaute. Ce type de procédé à déjà été testé avec succès aux Etats-Unis, ou des chercheurs de l’université de Washington ont réussi à faire accuser des imprimantes réseaux de “piratage” (lien vers le rapport, en Anglais)

Bref, les “méchants pirates” risquent demain d’avoir plus de pouvoir, grâce à HADOPI. Une catastrophe législative de plus que j’estime sciemment créé par le gouvernement…

À propos de cet article – Licence

Cet article a été écrit par David Dallet sur son blog .

Adresse de l’original : “http://www.daviddallet.com/weblog/posts/2009/03/31/lobby-gouvernement-pirates-hadopi/”

L’article est placé sous licence Creative Commons “CC-BY-ND 2.0″.
Pour faire simple si vous souhaitez me recopier intégralement et avec les liens, sans modification, ce passage y compris, c’est OK. (Bon sens : Je précise toutefois que je ne souhaite recevoir des commentaires que pour la version en cours, publiée à l’emplacement original indiqué.)
Pour tout autre usage, me contacter.

Lobbies, Gouvernement, “Pirates” et HADOPI
(fr) Commenter cet article - Partager - Lire un autre article (Blog de David Dallet)
(en) Comment this post - Share It - Read another post on David Dallet's Weblog

Pour créer un mot de passe héxadecimal aléatoire depuis bash (interpréteur de commande par défaut sous GNU/Linux et autres systèmes de type UNIX) :

echo -n $(date +%N; uptime; uname -a) chaine_secrete_alphanum_a_modifier | sha1sum | head -c 12; echo

L’argument “-c” de head correspond au nombre de caractères hexadécimaux que vous souhaitez obtenir (41 au plus en une seule fois).

Il est préférable de modifier la chaîne secrète à quelque chose de plutôt aléatoire, bien que le programme sha1sum a de fortes chances de fournir quelque chose de solide avec de telles informations en entrée…

Note : il est possible et facile de faire de bien meilleurs générateurs (en script shell ou autre), mais les commandes choisies ont l’avantage de fonctionner sur une grande majorité de distribution GNU/Linux ;)

Tuyau rapide : Génération de mots de passe aléatoires depuis le shell
(fr) Commenter cet article - Partager - Lire un autre article (Blog de David Dallet)
(en) Comment this post - Share It - Read another post on David Dallet's Weblog