Mon Havre de Liberté

Annonce:
cet article est le premier d’une suite d’articles de vulgarisation tentant de répondre à ces questions:

Quand ma connexion sur un site web est-elle sécurisée? Que signifie “sécurisé”? Puis-je transmettre des données personnelles sans crainte sur le web? Et mon numéro de carte bancaire ne sera-t-il pas intercepté?

Récemment je me suis rendu compte que le rôle et le fonctionnement de la sécurisation d’une connexion entre deux machines distantes n’étaient pas clairs pour tous, pas même pour certains informaticiens. Si vous êtes déjà perdu, restez tout de même, cet article est justement là pour éclaircir les mystères qui font que vous pourrez ou non vous sentir en sécurité sur internet, notamment lors de transactions financières sur des sites marchands. Car au final nous travaillons pour vous, utilisateurs, pas seulement pour nous, informaticiens.

Je prendrai en particulier des exemples du web (la plupart des pages que vous lisez dans votre navigateur web, comme Mozilla Firefox, Konqueror, Safari, Internet Explorer, Google Chrome…), car c’est probablement ce qui parle le plus à tous.^[1]

Pour avoir une idée de ce dont je parle, vous avez sûrement tous vu (bien que pas forcément fait attention) sur des sites marchands, ou le site de votre banque, des détails indiquant si la connexion est sécurisé (seul un navigateur récent vous le « dira »). Dans Mozilla Firefox, cela se traduira par deux signes distinctifs:

1. un dessin de cadenas en bas à droite de votre page
2. un bandeau bleu dans la barre d’adresse indiquant le nom sous lequel le site est “certifié”^[2].

Au contraire certains sites mal certifiés provoqueront un avertissement par votre navigateur.

Mais qu’est-ce que tout cela signifie? Pourquoi et comment sécurise-t-on les connexions? Je vais donc tenter ici un exercice difficile: expliquer ce qu’être sécurisé sur internet, avec des termes et des exemples compréhensibles. Je parsèmerai l’article de copies d’écran empruntés à Mozilla Firefox (mais tout navigateur récent devrait avoir un équivalent) dans l’espoir que cela vous permettra d’améliorer votre propre sécurité.
Cet article sera décomposé en trois billets:

1. Dans le présent billet, je mets en avant les problèmes de la communication informatique distante. Pourquoi n’est-ce pas fiable? Quels sont les dangers?
2. Dans mon prochain billet, je vous expliquerai la solution la plus répandue actuellement dans un langage commun et des exemples quotidiens.
3. Enfin je développerai les bonnes pratiques vis à vis de telles technologies.
   Les risques, les précautions, la dose de paranoïa associé et les exemples réels seront de la partie.

(more…)

Edit d’après-coup: ce billet était un poisson d’avril. Si vous tombez sur ce journal après-coup, n’allez pas croire ce qu’il raconte comme source fiable d’information s’il vous plaît.

Grande nouvelle! Après plusieurs mois de discussions et de négociations secrètes entre la XMPP Standards Foundation, Microsoft et Gadu-Gadu (leader de la messagerie instantanée polonaise), un accord a été mis en place. Le communiqué de presse officiel ne devrait pas tarder mais j’ai trouvé important de relayer cette formidable information dès que possible. Il a donc été convenu de fusionner les trois réseaux selon les bases fondatrices suivantes:

• Le protocole reste ouvert, soit librement et gratuitement implémentable. La base technique sera celle de XMPP, néanmoins certaines fonctionnalités seront importées de nos — désormais — protocoles-partenaires, sujets à certains brevets logiciels. Par conséquent un « accord de non-divulgation » devra désormais être signé par les développeurs qui les protège à vie de toutes attaques judiciaires de la part de nos partenaires, à partir du moment où ces technologies hautement sophistiquées ne sont pas utilisées en dehors d’un développement impliquant XMPP, ni ne font l’objet de publications non approuvées par la XSF. Les détails de « l’accord de non-divulgation » sont cependant en cours d’écriture par le — récemment créé — service juridique de la XSF.
• La XSF garde le contrôle et le pouvoir décisionnel sur le protocole. Chacun de nos partenaires aura néanmoins désormais un membre au Conseil XMPP et un autre au Bureau Directorial (avec ni plus ni moins de pouvoirs que les autres membres).
• Une nouvelle XEP va voir le jour, permettant l’envoi de publicité ciblée (grâce à l’analyse automatique — tout en restant respectueux de la vie privée bien évidemment — des discussions) par les serveurs hôtes, nativement à travers le protocole. Nous créons ainsi enfin un environnement économique viable pour les services XMPP. Évidemment comme toute XEP, il n’est pas obligatoire de l’implémenter, bien qu’il convienne de noter qu’un client XMPP n’affichant pas les publicités ne pourra être considéré comme complet (la XEP est d’ailleurs soumise à l’IETF pour devenir une RFC) et ne pourra plus être affiché sur la liste officielle des clients.
• Jingle, décevant après la première période d’euphorie, va être abandonné au profit de la technologie VOIP plus fiable de Microsoft.

Ces changements devraient être effectifs d’ici fin 2010. Des négociations similaires sont en cours avec d’autres réseaux actuellement privés comme Yahoo! et AIM (Skype par contre semble vouloir refuser toute discussions, bien que nous aurions plutôt aimé utiliser leur technologie secrète VOIP). Restez donc dans le coin pour être les premiers au courant dès que les nouvelles arrivent! Ceci est un grand pas vers notre rêve d’avoir enfin notre réseau libre de discussion, sans barrière, utilisable et utilisé par tout le monde. Bien sûr, de légères concessions font partie de ce grand projet, mais la liberté est à ce prix. Non?

Comme je l’annonçais, je reprends lentement mais sûrement un peu d’activité visible sur ce journal public. Et pour bien commencer les choses, voici une nouvelle version de Jabber Feed, la 0.5, plugin pour le système de publication Wordpress, permettant de publier aussi bien les articles que les commentaires dans des nœuds pubsub XMPP. C’est loin d’avoir encore toutes les fonctionnalités que je prévois, mais ça avance tout de même. Et comme de toutes façons, soyons honnête, ce n’est pas comme si les clients XMPP spécialisés pubsub couraient les rues, eh bien, on n’est pas pressé, non?

Hormis quelques détails, corrections mineures et autres, il n’y a donc que trois vraies nouveautés ici:

• Ajout d’un widget Wordpress qui permet d’ajouter les liens de publication XMPP dans les barres latérales d’un site Wordpress par un simple glisser-déplacer dans l’interface d’administration. Cela rend le plugin encore plus simple d’utilisation pour un administrateur Wordpress non versé dans la technique. Vous pouvez voir le résultat dans la barre latérale sur ce site, partiellement l’une des raisons du nouveau design avec un thème permettant les widgets (mon ancien thème venait d’une époque fort lointaine où telle technologie était condamnée par le feu!).
• Retrait de la dépendance PHP NET_DNS pour avoir le SRV (la librairie était déjà optionnelle, mais alors le SRV records ne fonctionnait pas). Pour être exact, le SRV fonctionnera dorénavant sans librairie additionnelle sur un serveur Windows utilisant PHP 5.3.0 ou ultérieur ou un serveur GNU/Linux (quelque soit la version de PHP). Par contre NET_DNS est toujours nécessaire pour avoir SRV sur un serveur BSD (Mac compris). Le plugin gère donc intelligemment cela, à savoir qu’il utilisera NET_DNS si la librairie est installée, sinon les fonctions de base PHP si disponible, ou désactive le SRV dans le dernier cas.
• Implémentation de l’algorithme de gestion des priorités et poids des cibles SRV, tel que décrit dans la RFC 2782. L’implémentation du protocole SRV est donc presque complet (il ne reste plus que la gestion du TTL à implémenter).

Mes tests fonctionnent, mais comme d’habitude, tout retour et rapport de bug est plus que bienvenu.
Je voulais aussi signaler qu’il existe en fait maintenant un lecteur de flux pubsub XMPP nommé OneChannel, publié par Process One, à ma connaissance, le premier officiellement et publiquement divulgué. Je ne peux malheureusement pas l’essayer, utilisant une machine MIPS sur laquelle le support flash est plus que limite (or ce produit utilise la technologie AIR d’Adobe). Je n’ai eu qu’un retour assez mitigé par quelqu’un pour l’instant. Je suis évidemment fortement intéressé par savoir comment ce programme réagit à mes messages pubsub. À plus!

Avec environ 10 mois de retard, voici mon compte-rendu de la journée anniversaire du protocole XMPP, historiquement connu et introduit comme Jabber. Parce que tout de même, cet évènement mérite d’avoir une “fin” qui soit plus classe qu’un silence et que je m’en suis voulu donc d’en avoir entretenu un si longtemps (même si j’ai une excuse valable). Désolé donc si ce billet fait un peu hors sujet après tout ce temps.

Tout d’abord, c’était très sympa “techniquement”. Les présentations se sont faites assez fluidement je dirais, et elles étaient toutes extrèmement intéressantes. Et je ne dis pas ça pour mettre de la paumade: c’est vrai. D’ailleurs c’est moi qui ai choisi en majeure partie les intervenants, alors… forcément, c’est bien.
On a même eu certaines présentations qui ont soulevé pas mal de cris d’étonnement d’ailleurs (je pense notamment à la présentation des bots de Kael. Et dire que j’ai dû le forcer à participer, jusqu’à la dernière minute… au déjeuner, j’essayais encore de le convaincre de monter sur l’estrade!).

Pour l’organisation, je voudrais remercier plus particulièrement le Carrefour du Numérique pour leur accueil très sympathique et professionnel. On a même eu le droit à des énormes étendards super pros qui indiquaient l’évènement à l’entrée, faits à partir de notre affichette de l’évènement (celle faite par Johann Dréo que je veux aussi remercier chaleureusement car je ne crois pas l’avoir vraiment bien fait. N’hésitez pas à aller lire ses Geekscottes.).

Et surtout je voudrais une mention spéciale à Ubikod et à la personne physique les représentant, à savoir Laurent Lathieyre. Je ne dis pas cela seulement pour sa présentation très intéressante, mais aussi car ce fut le seul sponsor sur trois à ne pas nous avoir lâché, d’une part pour la présentation, mais aussi financièrement (y avait certes peu à payer… mais ce peu, ils l’ont financé!). Attention, je n’ai pas la moindre rancœur contre les autres: ils avaient des bonnes raisons qu’ils m’ont expliquées (leur absence fut donc malheureuse car non voulue). Et je garde de bonnes relations avec eux (aux dernières nouvelles et j’espère que ça va pas changer car j’aime bien ce qu’ils font). Mais Ubikod mérite clairement que ce point soit soulevé car ils ont été particulèrement cool, et donc… eh bien, je le soulève.

Enfin au niveau du public, ce fut relativement décevant, avec environ une vingtaine de personnes (je n’ai plus le compte exact), ce qui est déjà bien, mais j’espérais bien plus. Néanmoins je prends la responsabilité sur ce point car c’est moi qui n’ai pas fait suffisamment bien la communication (ce n’est pas mon point le plus fort). Je peux même l’avouer maintenant: j’ai à certains moments failli abandonner tellement j’avais parfois le sentiment de me cogner à des murs pendant l’organisation de l’évènement. En plus (loi de Murphy oblige), mon présent site qui donnait le plus de détails sur les horaires, le lieu et le programme a été down le jour-même de la présentation et je ne m’en suis pas rendu compte immédiatement! J’ai eu vent qu’au moins une personne n’est pas venue à cause de cela, car il n’a pas trouvé les dernières informations. Ce fut donc vraiment une énorme boulette.
Au moins, si je devais à nouveau organiser un tel évènement, je serai un peu mieux préparé.

Néanmoins aucun regret: je me suis battu pour organiser cette journée, et elle reste globalement réussie. Donc ce fut une autre bonne journée à rajouter à la très longue liste des bonnes journées de ma vie.
Merci à tous (participants comme visiteurs)!

Bonjour à tous,

comme promis, voici quelques informations au sujet de l’évènement anniversaire de Jabber/XMPP. Cela se passera donc au Carrefour du Numérique, Cité des Sciences et de l’Industrie, dans la salle Agora (pour les conférences) et la salle d’atelier, samedi prochain, à savoir demain, le samedi 28 février 2009, de 11h à 18H.

Nous vous attendons nombreux lors de cet évènement, n’hésitez pas à venir, l’entrée est gratuite, tout le monde est accepté, et le public visé est aussi varié que possible, quel que soit l’âge notamment (car on m’a demandé si on pouvait emmener des enfants. Oui il n’y aura rien de choquant pour les enfants. Au contraire la messagerie instantanée est un sujet qui touche notamment beaucoup certains jeunes, bien que pas seulement!).

L'anniversaire des 10 ans de XMPP*

Alors… à samedi!

Les détails pour en savoir plus se trouvent ci-dessous.
(more…)