amoweb.fr

Article initialement paru dans la newletter de l'IUT de Valence.

Internet n’est plus réservé à une minorité d’informaticiens ou d’universitaires chanceux : depuis quelques années, il a pris une place très importante dans la vie de tous. Mais cette montée exponentielle n’est pas sans susciter l’inquiétude des internautes.

L’un des problèmes majeurs posés par Internet est sa neutralité. La simplicité et la spontanéité avec lesquelles nous l’utilisons nous donnent l’impression qu’il s’agit d’un simple fil nous reliant à une infinité de sites. Mais cette vision masque l’essentiel du mécanisme : entre notre ordinateur et un site Internet, il y a notre Fournisseur d’Accès Internet, ou FAI. Il est le principal garant de la bonne transmission des données : il a donc tous les pouvoirs sur celles-ci. Les faits ont montré que la modification des données dans un but commercial peut être rapidement démasquée, mais il s’agit plus d’une question de conscience que d’une question technique.

Il existe cependant quelques fournisseurs associatifs qui défendent la neutralité d’Internet. Ils se présentent comme des alternatives aux grands FAI en instaurant un dialogue et une proximité avec leurs membres. FDN (fdn.fr), pour French Data Network, est le plus vieux FAI français fournissant encore des abonnements. Il est entretenu exclusivement par des bénévoles et par des donations de serveurs. Il est maintenu par 450 adhérents, dont 200 abonnés.

Le prix des abonnements ADSL et fibre optique est plus cher que ceux proposés par les FAI lucratifs, mais il ne faut pas s’arrêter à une comparaison quantitative et technique car les intérêts sont multiples. L’intérêt éthique est la grande transparence imposée par le modèle associatif. Les membres ont donc le droit et la possibilité de connaître ce qui est fait de leurs données. Mais l’intérêt majeur réside dans la possibilité d’aider à la mise en place et à la maintenance de son propre accès Internet : cela peut être l’occasion de se former ou de parfaire ses connaissances en réseau, mais aussi en informatique en général, avec un but réel et palpable.

Les antennes de ces FAI associatifs n’existent pas dans toutes les régions, même si les abonnements peuvent être souscrits dans toute la métropole. Partant de ce constat, et voyant son nombre d’abonnés augmenter, FDN a mis en place la politique de l’essaimage, qui permet à tout le monde de créer son propre FAI en disposant de l’aide financière et technique de FDN. Alors, à vous ?

Depuis quelques temps il est possible de payer des petites sommes par Internet par report sur la facture. Ce service peut être très pratique mais a l’inconvénient d'être activé d'origine chez Orange.

Concrètement, vous surfez sur un site qui vous propose d'acheter la superbe sonnerie polyphonique du dernier tube du 49^ème artiste du top 50. Au moment du paiement vous êtes redirigé sur un site affilié à votre opérateur (w-ha.com, par exemple), la simple validation d'un formulaire reporte le prix de l'achat sur votre prochaine facture...
La procédure nous rappelle celle des numéroteurs des années 2000 qui faisaient payer les services en se connectant à un numéro Internet surtaxé.

Pour le désactiver, rendez-vous sur le site d'orange, espace client, mes services, internet + : paiement sur facture Orange, puis cochez la case désactiver.

J'ai participé pour la première année à la Nuit de l'Info avec l'équipe Ravioles Knights de l'IUT de Valence. Je ne savais pas du tout ce que c'était, mais le nom me plaisait. Hum, une LAN ? (j'ai cliqué sur le lien), des défis d'informatique ? Forcément j'ai cliqué sur répondre, et je me suis inscris...

Logo réalisé par Jessy.

Organisation

Pour l'organisation tout s'est passé très vite. Je suis allé faire différentes demandes auprès des ressources informatiques pour obtenir du matériel, puis auprès de la directions, enfin j'ai transmis un communiqué de presse à la dircom de l'IUT.

Le jour même, j'ai installé un XAMPP qui est un serveur Apache, MySQL, PHP déjà configuré (dans les grandes lignes) pour Windows et un serveur Subversion sur noter serveur.

La Nuit

• 16h41 : tous devant la vidéoconférence à attendre l'ouverture du sujet puis une élève de l'Université de Nice (les organisateurs) a lu le sujet : Gift4YourFriends : nous aider à choisir un cadeau pour nos amis en utilisant les réseaux sociaux.
• Pendant la nuit : Nous avons réalisé Gift4YourFriends en suivant différents défis proposés par des entreprises : Par exemple Google/Androïd et Sopra Groupe : faire une application pour Android. Mais aussi Microsoft/HTML4 pour réaliser la même application en utilisant ASP.net par exemple.
• 7h59 : Envoi des défis terminés et rangement.
• 9h20 : Rangement terminé et serveur déplacé. Direction la maison pour dormir quelques heures.
• 12h00 : Le réveil sonne, retour à l'IUT pour la visioconférence des résultats.

En conclusion, j'ai vraiment apprécié ce concours. Cela m'a permit de découvrir des technos comme le SDK d'Androïd et les API Facebook. J'ai aussi beaucoup apprécié l'implication de toute l'équipe dans l'organisation.

Je suis retourné hier sur le forum rapidq-france.org. C'était l'époque où j'ai commencé la programmation, en 2005. Je ne connaissais n'avais pas de méthode ce qui limitait la taille des projets, mais je cherchais, et me débrouillais. RapidQ me permettait de développer très rapidement des applications fenêtrées. Il y a des milliers d'exemples sur Internet : des jeux on 3D utilisant directx on été développés avec ce langage. La communauté a été très importante. Car il fonctionne sans DLL, ce qui le rend beaucoup plus simple à diffuser que le VisualBasic, qui fonctionne avec un tas de bibliothèques dont on ne possède jamais la bonne version...

RapidQ est né un peu avant 2000. Créé par William Yu, il a su conquérir beaucoup de monde par sa simplicité. Mais voilà qu'un jour son créateur a annoncé la fin du développement. RapidQ est gratuit, mais en aucun cas libre. William Yu a déjà publié un compilateur sous licence GNU, mais il a refusé de le faire pour RapidQ.

Quelques semaines plus tard, William Yu a publié une lettre sur sa liste de diffusion, où il expliquait son choix. William était confronté à un dilemme : vendre son travail à RealBASIC et se faire embaucher, ou continuer à distribuer RapidQ : "The facts are, I could have made more money working at McDonalds than the time spent on Rapid-Q and what Geoff has offered me to stop working on it", déclarait-il dans sa lettre d'Octobre 2000.
Il s'en est suivit une discussion assez mouvementée sur la liste. Certain en ont voulu à Geoff, le directeur général de RealBASIC, car il était très présent sur la liste de diffusion pour parler de sa société. Cela a été vu comme de la publicité gratuite. Certain on dit aussi que Geoff avait tout intérêt à faire disparaitre le langage, et son développeur avec. Lorsque l'on compare ces deux langages, ils se ressemblent en tout point. Il est même possible de créer des fenêtres avec l'éditeur de RapidQ et de compiler le code sans aucune modification sous RealBASIC (Real Studio).

C'était il y a 11 ans, la liberté de diffusion n'était pas encore un argument commercial pour les entreprises, et elle n'avait pas encore cette puissance chez les développeurs. Les amateurs de RapidQ diront que son rachat est une catastrophe car ils pensaient que RapidQ allait devenir un très grand langage. Mais avec un peu de recul, on se rend compte que la version de 2000 n'est pas buggée et qu'elle est toujours compatible avec les dernières version de Windows (et de Linux, puisqu'il existe des versions multiplateforme). Encore une fois, la puissance de ce langage réside dans sa simplicité : il est possible de faire appel très simplement à des DLL, ce qui rend ses possiblités presques infinies.

Biensûr, j'aurais aimé qu'il en soit autrement, que le langage soit publié en GNU. Mais l'informatique n'est-elle pas un secteur où l'on peut devenir célèbre ? Où son tallent (car c'est bien de cela qu'il s'agit pour William Yu) peut être reconnu, et permettre de s'élever socialement ?
Finalement, William Yu a gagné le respect de milliers de développeurs, et a trouvé un emploi dans une société implantée dans 7 pays. Une belle carrière dans l'informatique, non ?

Le 26/05/2011 à 15h

Connaissez-vous Dailybooth ?
Il s'agit d'un réseau social à la Twitter, sauf qu'il est centré sur les images. Il ne comptait pas moins de 3 millions de visiteurs uniques par mois en 2009.
Sur un compte, j'ai découvert une curieuse erreur dans la sidebar.

Je regarde donc le code source de la page pour en savoir plus :
Il se trouve que j'ai accès à un dump d'un certain nombre de variables, dont :

• Le nom d'utilisateur
• L'adresse email du compte
• Le hash du mot de passe (le mot de passe sous une forme crypté)

En a peine 3 minutes sur un moteur de recherche, je trouve le mot de passe. (allez-y, confiez vos infos personnelles à n'importe qui).

Et maintenant, je fais quoi ?

Je viens de contacter dailybooth par Twitter, et par courriel. J'espère qu'ils sauront être réactif. J'ai aussi contacté les utilisateurs concernés pour qu'ils changent les mots de passe de leur autres comptes (pas celui de Dailybooth, j'y ai accès).

Une erreur très critique qui touche plusieurs comptes

Je découvre d'autres comptes atteints. Ça frise la catastrophe.

Il faut attendre qu'ils corrigent la faille

Maintenant, il n'y a plus qu'une chose à faire : attendre qu'ils corrigent la faille. Il ne faut surtout pas alerter d'autres personnes. D'ailleurs, je pense que mon twit est de trop. J'écris cet article en attendant, mais le laisse bien sagement dans les brouillons.

Temps de réaction

• h+0h39 : Pas de réponse, le message d'erreur est toujours visible.
• h+1h00 : toujours rien. Si j'avais été black hat, qu'aurais-je eu le temps de faire ? Ça laisse rêveur, mais l'éthique vaut beaucoup plus.
• h+24h : Rien. Contact de deux employés par Twitter et about.me.
• h+29h : Le contact avec les deux employés semble avoir porté ses fruits. Voilà les erreurs ne s'affichent plus.
• h+33 : J'ai une réponse de Brian, le directeur général de Dailybooth me remerciant. Ils se chargent de corriger le problème.

Des conclusions ?

Encore un exemple de ce que tout le monde répète depuis des années : utilisez des mots de passes différents pour tous les services ! Il ne faut pas oublier que si on a le mot de passe d'une boite mail, on peut accéder à quasi n'importe quel service qui y sont reliés (facebook, youtube...).

Deuxième conclusion, j'aurai peut être fais gagner 24h à l'entreprise si j'avais contacté directement les employés, bien qu'après tout, ce n'est peut être pas à moi de faire ça : je n'ai même pas de compte sur ce réseau ! Mais c'est l'esprit white hat, que voulez-vous !