Tous les billets
2024
Derrière ce titre un brin provocateur, et parce que les gens me reprochent souvent de ne pas laisser de trace en dehors des réseaux sociaux, faisons un article de blog rapide sur les deux problèmes finalement communs que j’ai abordé récemment : le Health Data Hub et le Play Integrity de Google.
2023
J’avais promis de rédiger un article de blog sur ce sujet, et malheureusement l’actualité me contraint à avancer un peu mes projets !
2022
Après les 4 articles précédents posant les bases de ce que devrait être le
respect du RGPD, une analyse plus personnelle du problème pour répondre à la
question du « mais pourquoi le RGPD est si peu respecté ».
2020
Un petit article mémo technique sur comment déployer un projet Ruby-on-Rails.
2019
Depuis le 07 novembre se déroule une nouvelle bataille contre le tracking publicitaire. Au cas où vous seriez passé à côté, vous trouverez un peu de détails ici, là et là.
Cet article a vocation à éclaircir les choses de manière un peu plus posée et technique.
Déjà 2 ans sans article de blog… On va corriger ça du coup !
2017
Un petit billet rapide pour vous signaler que le projet Tor a besoin de vous !
Vous n’aurez pas ma liberté de chiffrer (ni mes données) !
Après ma grosse réflexion autour du logiciel libre, une nouvelle réflexion autour de l’hébergement.
Une nouvelle fois, elle a été initiée suite à la publication d’un billet de blog et d’un flux twitter
Ce post de blog pour exprimer mon sentiment de manière plus posée et réfléchie sur ce qui a pu se passer sur Mastodon et l’affaire « witches.town ».
Vous en penserez ce que vous voudrez, et si vous voulez me considérer comme la pire raclure de l’Univers suite à ça, c’est votre droit, et je pense qu’on n’aurait du coup rien en commun à partager, donc autant s’éviter.
Ce billet risque d’en surprendre plus d’un. Et pourtant.
2016
Docker. Une technologie si jeune (2013) et pourtant dorénavant vendue un peu partout comme la technologie miracle qui va résoudre tous les problèmes de déploiement, vous rendre riche et vous ramener l’être aimé.
Discourse est un moteur de forum nouvelle génération, vraiment excellent comparé aux autres moteurs vieillissants comme PHPBB ou Simple Machines Forum.
Du (mauvais) usage de l’agent SSH et du transfert d’agent
Note préliminaire :
Un petit billet rapide pour expliquer comment installer un serveur dédié sous FreeBSD avec votre partition racine sur un raidZ ZFS.
En effet, par défaut, l’installeur automatique proposé par OVH permet un root ZFS, mais le raid est en raid1, ce qui réduit drastiquement l’espace disque final (avec 3 disques de 4To, vous obtenez 4To utilisables en raid1, contre 8To en raidz).
Un petit billet pour vous présenter un projet qui me tient à cœur mais qui malheureusement traîne un peu faute de temps libre, mon projet de « Tor Box ».
(J’aurais bien intitulé ce post « BlindEagle, charlatanisme ou charlatanisme ? », mais il paraît que c’était déjà pris :D)
Après avoir vu comment stocker ses mots de passe, voyons comment gérer le chiffrement de vos données.
Disclaimer :
Les scans réseau décrits ci-dessous sont tous sauf anodins et engagent votre responsabilité pénale et civile.
Ne les reproduisez sous aucun prétexte et en tout état de cause sans être parfaitement conscients des risques encourus et sans prendre les mesures nécessaires à ne pouvoir causer aucun dommage aux systèmes scannés.
Ne communiquez en aucun cas les adresses réseaux des machines détectées et veillez à anonymiser les données en cas de publication.
Si vous découvrez un système que vous jugez sens...
2015
Les autorités de certification, cette plaie de HTTPS…
Comme promis à plusieurs personnes, un petit billet sur les extensions que j’utilise pour tenter de protéger ma vie privée.
Après avoir vu comment gérer proprement ses mots de passe, allons un peu plus loin et regardons comment gérer de l’authentification sans mot de passe (ou presque) !
Le 6 mars 2015, TextSecure a annoncé la fin du support des SMS/MMS au profit unique d’un transport custom via Google Cloud Messaging et votre forfait data.
La gestion des mots de passe est sûrement une des choses les plus difficiles à réaliser et pourtant la plus critique quand on parle de sécurité et d’hygiène numérique.
Histoire d’être plus précis pour les utilisateurs qui pourraient se poser des questions et être plus constructif, un dernier billet pour bien préciser la chose.
Déjà que ma position est partagée par beaucoup de monde, j’ai parlé de mon étude à mon entourage touchant au milieu en question (journalistes traitant de la surveillance de masse, développeurs crypto, animateurs café-vie-privée…) et tous
partagent ma vision des choses.
Ensuite, je ne demande pas à Own-Mailbox d’être parfait, la perfection n’existant mal...
Suite à mon article, Own-Mailbox m’a répondu.
Et vu qu’ils ne semblent avoir rien compris aux problématiques exposées, je me permets une réponse à leur réponse.
Own-Mailbox est une solution se présentant comme « La boîte mail 100% confidentielle ».
Surf sur la vague de la vie privée, quitte à faire du bullshit ou vraie solution de protection, une petite analyse rapide de ce nouveau projet.
Le projet Tor vise à construire un réseau d’anonymisation, géré par la communauté et donc très robuste à la plupart des attaques courantes.
La seule véritable attaque à laquelle ce réseau soit faillible est une attaque sibylle, c’est-à-dire qu’un attaquant parvienne à infester le réseau de nœuds sous son contrôle et à dépasser les 66% de présence, ce qui d’un point de vue probabiliste lui permet de s’assurer que tout utilisateur va passer par au moins 2 de ses nœuds
sur les 3 que constitue un circuit Tor et ain...
Si vous fréquentez régulièrement ce blog ou mes comptes sociaux, il ne vous aura pas échappé que ma préoccupation du moment, c’est essentiellement TLS et HTTPS.
J’ai même fini dans un article sur ZDNet à cause de ça :)
Certains l’auront peut-être remarqué, mais une « bataille » interne s’est déclenchée parmi les participants aux Cafés Vie Privée.
Certains ont été taxés d’extrémistes, ne cherchant qu’à convertir les « n00b » à la Vérité Vraie, des ayatollahs barbus, j’en passe et sûrement des meilleures.
On continue aujourd’hui sur de l’infrastructure, avec de la virtualisation.
Online propose des serveurs assez sympas avec des prix raisonnables pour faire du self-hosting comme un grand.
Problème, la procédure d’installation automatique de Debian n’est franchement pas top, surtout au niveau du partitionnement.
On ne peut pas profiter d’un partitionnement full LVM, d’un /var séparé, etc.
Debian et Online étant tous les deux très bien fait, on peut quand même s’en sortir en faisant tout à la main !
Le DNS, annuaire de l’Internet
2014
J’avais l’intention de publier quelque chose sur le sujet prochainement, mais Okhin me donne l’occasion d’activer un peu les choses.
J’ai fait le rêve qu’en 2017, tous les pronostics et sondages actuels se soient lamentablement fourvoyés.
Et qu’un·e parfait·e inconnu·e arrivait à la tête de notre très chère France.
Cet·te inconnu·e serait arrivé·e là sans avoir dépensé des millions d’euro en frais de campagne, sans avoir dû user de divers stratagèmes de bas étages pour récolter quelques centaines de signatures et fait des alliances politicardes pour attendre péniblement la moitié des votants et bien moins de notre représentativité réelle.
Jus...
Depuis plusieurs années, les technologies de virtualisation (KVM, LXC, Virtualbox, Xen, VMWare…) se sont bien développées et sont maintenant présentes partout.
Avec elles, on s’est très vite retrouvé avec moultes et moultes machines virtuelles dans nos infrastructures, complexifiant le déploiement et la configuration de tout ce beau bordel…
Pas Sage en Seine
NSA, Snowden, Heartbleed, TrueCrypt… Ce début d’année est tellement riche en évènements cryptographiques que ça en devient presque difficile à suivre…
C’est surtout tout ce qui en a découlé qui est devenu très intéressant, de « Everything is broken » par Quinn Norton en passant par « Lettre aux barbus » par Laurent Chemla (ainsi que la réponse de Vigdis), ou encore « OpenSSL Valhalla Rampage » sur la
vaste blague qu’est OpenSSL (je tiendrais d’ailleurs une conférence sur le sujet durant PSES)…
Génèse
On continue dans les petits tutoriels cette semaine !
Présentation
On doit vraiment être très très méchants pour mériter tout ça
2013
J’ai été absent sur ce blog depuis début octobre car j’étais (très) occupé à organiser pas mal de choses.
Cette semaine, une petite digression sur quelque chose que je remarque de plus en plus et qui me pose aussi de plus en plus de cas de conscience.
Est-il réellement possible de faire un code à peu près propre tout en respectant les besoins parfois même très élémentaires du client ?
On est reparti dans notre panorama des solutions de cryptographie.
Après cette introduction théorique à la crypto-anarchie, passons un peu à la pratique, avec les différents outils utilisables par le commun des mortels avec un peu de bonne volonté.
Sauf à avoir hiberné ces six derniers mois ou à être un Michu complètement standard (mais je suis heureux que vous soyez arrivé ici alors !), vous n’avez pas pu ne pas entendre parler du programme PRISM, mis en place par la NSA pour surveiller la vie numérique de tous les citoyens de ce bas-monde et révélé par Edward Snowden, aujourd’hui réfugié en Russie.
Les tests unitaires ont mauvaise presse dans le monde du développement. Généralement, ils sont vus comme du temps perdu, des choses inutiles, et sont vécus comme une contrainte plutôt que comme un avantage.
Les développeurs, des (ré)inventeurs de roues (carrées) en série ?
Aller, au programme cette semaine, comment installer un environnement de développement.
Les méthodes agiles, le grand sujet du moment dans le monde du développement !
Arrivées au début des années 2000, ces méthodes de travail ont été un véritable séisme par rapport aux méthodes précédentes.
Aujourd’hui, un article un peu plus technique, avec de vrais morceaux de code dedans !
Au programme, l’inversion de contrôle ou IoC, qui est la clef-de-voûte d’une application bien construite.
Récemment, une nouvelle école a été fondée par Xaviel Niel, 42.
L’ambition annoncée de cette école est d’enfin en finir avec les problèmes de l’éducation actuelle en France et de former de vrais développeurs à même de survivre dans le monde actuel.
Le programme de cette nouvelle école est assez clair : former des warrior développeurs, des bêtes entraînées à survivre dans les environnements de dev les plus arides, engloutissants chaque jour des millions de lignes de code et anéhantissant tout bug osant se dresser...
Introduction
Allez, cette semaine, un tour d’horizon de ce qu’est l’intégration continue et quelques conseils et bonnes pratiques pour se faciliter sa mise en place.
En route pour la dernière journée à DevoxxFR 2013 !
Au programme aujourd’hui, de la technique mais aussi beaucoup de méthodologie pour être plus productif.
Nouvelle journée à la Devoxx, toujours aussi chargée !
Certains l’ont peut-être oublié, mais la Devoxx se tient actuellement sur Paris du 27 au 29 mars.
Introduction
Introduction