Blogue de Jean-Philippe Monette

Oh que je commence à être tanné du niaisage sans fin avec les serveurs de courriels. J’en ai plusieurs dans la mire desquels je pourrais jacasser pendant des heures à un point tel que vous ressentiez probablement le même découragement par lequel je suis passé. Je vais faire un petit décompte de tous les commentaires que j’ai à faire sur ceux qui ont fait l’actualité et sur mon expérience personnelle (je vais m’efforcer de vulgariser et de rendre le contenu le moindrement drôle pour garder votre attention d'ici la fin du message qui s'avère être très long après maintes lectures).

Sarah Palin et son courriel privé sur Yahoo

L’adresse courriel privée de Sarah Palin chez Yahoo a été piratée : c’est ce que l’on peut lire depuis environ une semaine sur la Toile et dans les journaux référençant les nouvelles Américaines. Ses adresses courriel, gov.sarah@yahoo.com ainsi que gov.sarah@yahoo.com, possédaient toutes deux des questions secrètes complètement bidonnes : « Où ai-je rencontré mon mari? ». Au début, le petit « pirate » ne réalisait pas que c’était le courriel véritable de la Vice-Présidente à l’investiture américaine représentant le parti républicain, mais après avoir balancé des captures d’écrans, des photos de ses enfants dans des pièces jointes et plusieurs adresses courriel importantes de son carnet d’adresses sur 4chan et WikiLeaks, la presse et le parti républicain ont confirmé que c’était bel et bien le courriel de madame Palin.

Figure 1.0: Courriel de Sarah Palin chez Yahoo

Bien que ça semble totalement anodin (pas le piratage, mais le côté légal de la chose), il est illégal aux États-Unis de discuter des affaires gouvernementales à partir d’un autre courriel que ceux fournis par le gouvernement : ceux-ci gardent tous les courriels en archive par sécurité, en cas de conspiration ou de mauvaise pratique et son bien évidemment plus sécuritaires… Palin pourrait bien se retrouver avec une poursuite au cul, mais malheureusement, on en semble très loin de là pour le moment. Bien entendu, c’est plus important retrouver l’auteur de cet acte crapuleux qui semble apparemment être un étudiant du Tennessee qui se serait apparemment très mal protégé durant la manoeuvre. Le FBI a visité la résidence de David Kernell, principal suspect, fils du politicien démocrate Mike Kernell… Attendez un instant… UN DÉMOCRATE?!? Oh mon Dieu! On arrive relativement loin avec toute cette histoire. Bien entendu, c’est bien plus important retrouver un « pirate » très expérimenté et capable de faire une vulgaire recherche sur le Web afin de répondre à une question secrète que de retrouver l’information qui a été récemment supprimée du compte Yahoo de Palin (possiblement très sensible à la sécurité) et d’entreprendre des mesures disciplinaires strictes en lien avec la législation actuelle. C’est probablement encore une fois les républicains qui gèrent l’affaire et qui veulent éloigner l’attention du public du vrai sujet… Ils sont bons là-dedans et réussissent pratiquement toujours…

Les serveurs de courriels non sécurisés du gouvernement canadien

Une autre histoire totalement ridicule : un « pirate » aurait utilisé la liste de diffusion du gouvernement Harper pour envoyer aux signataires du bureau du premier ministre deux faux courriels, l’un affirmant que la reconnaissance du Kosovo en tant qu’État pourrait mener à la souveraineté du Québec et un autre annonçant le démantèlement du système de santé publique et la jonction du Canada aux États-Unis en tant que 51^e État (au point où on en est, j’aurais peut-être pigé à blague). La GRC et la CSTC sont sur l’affaire très sérieuse.

Figure 1.1: Représentation typique d'un « script kiddie »

Ce qu’il faut comprendre dans l’ironie que j’applique ici même, c’est que n’importe qui aurait pu effectuer un truc semblable : pas besoin des « skills » d’un valeureux pirate informatique expérimenté et dialoguant uniquement en 0 et 1 pour répliquer l’approche.

Brièvement, une liste de diffusion, c’est une adresse de courriel utilisée pour distribuer un message à plusieurs autres courriels. Si j’étais par exemple le propriétaire du site banane.com (fictif), je pourrais créer une liste de diffusion afin d’envoyer un courriel à tous les membres du site. Le fonctionnement : envoyer un courriel à une adresse qui renvoie le tout tel que liste@banane.com. Du coup, si les administrateurs du serveur sont pourris en sécurité et qu’une personne tierce balafrée, avec un œil manquant, une barbe touffue et un sabre décide de « pirater » le serveur courriel, elle n’aurait qu’à envoyer un message à liste@banane.com pour contacter tous les membres du site. Dans le cas où le serveur serait sécurisé, ça ne serait pas possible, sauf si c'est Monsieur Norris qui effectue la manoeuvre.

Figure 1.2: Chuck Norris, le mec qui peut compter jusqu'à infini

Il est également très important de savoir qu’il est possible et très facile d’envoyer des courriels à partir de n’importe quelle adresse du Web (ou du moins, de se faire passer pour quelqu’un d’autre). Rien de plus simple que de programmer un petit code qui fait le travail d’envoyer un courriel avec l’adresse que l’on souhaite, ou même encore, plusieurs outils sur le Web existent (ou existaient) pour faire la job. La majorité des services ont fermé avec le temps, car des gens brillants s’en servaient pour envoyer des menaces ou des trucs similaires et c’était les propriétaires des services qui étaient automatiquement liés aux messages (l’adresse du serveur en question figure dans les messages) et qui mangeaient la merde. Une somptueuse recherche sur Google semble prometteuse. Encore une fois, on cherche le coupable de cet acte considéré frauduleux. Tout ce que j’en sais, c’est que n’importe qui aurait pu faire un truc similaire (ou même envoyer un courriel à cette adresse par accident). Faut-il vraiment chercher le coupable ou sécuriser la liste de diffusion du gouvernement? Si c’est ça la sécurité, c’est bien plus facile retrouver le coupable et laisser la faille de San Andreas en place…

Le serveur de courriels non sécurisé du cégep du Vieux Montréal

Voici un exemple similaire au précédent, mais réalisable avec les listes de diffusion du cégep du Vieux Montréal. Quand j’y étais étudiant, j’analysais toujours leur système informatique et j’ai toujours souhaité tester la sécurité de leurs listes de diffusion, mais je ne souhaitais pas avoir de représailles de la direction par la suite après avoir effectué un test bidon (si on peut mettre le FBI ou la GRC au cul de vulgaires « script kiddies » pour une pratique aussi anodine, j’aurais très bien pu être renvoyé du Vieux…).

Figure 1.3: Résultat du test de la liste de diffusion du cégep du Vieux Montréal

Étant maintenant un grand garçon à l’Université, j’ai décidé de me lancer les yeux fermés dans l’aventure en produisant un courriel de test et en l’envoyant à tous les étudiants du Vieux Montréal (environ 6000 étudiants). Résultat? Environ 300 réponses en moins de 24 heures dans ma boîte à courriels. Non seulement le cégep utilise une liste de diffusion et cette même adresse s’affiche dans toutes les boîtes des étudiants, mais elle n’est pas sécurisée du tout.

Où veux-je en venir?

C’est du niaisage, point final.

Dans le cas de Sarah Palin, elle aurait pu discuter d’informations très sensibles avec d’autres membres du gouvernement et le moindre gosse se tournant les pouces devant son ordi aurait pu arriver à mettre les mains sur de l’information sensible (ou une personne vraiment mal attentionnée). De plus, elle contourne complètement la loi en agissant de la sorte (et plusieurs autres membres du parti républicain utilisent des courriels privés, mais la justice semble fermer les yeux). La personne fautive selon moi, c'est elle et uniquement elle. Des milliers de comptes courriels gratuits se font soit disant pirater chaque jour, et entreprendre des mesures pour retrouver un coupable d'un crime aussi banal demeure complètement con, sauf si on a quelque chose à cacher...

Figure 1.4: Photo d'une carte de crédit avec style

Dans les deux autres cas, c’est très dangereux de laisser des listes de diffusion non protégées, autant pour la stature de l’organisation qui possède les listes que pour les membres des listes. Une personne mal attentionnée pourrait très bien envoyer un courriel demandant des informations de compte bancaire avec comme objet le paiement de frais de scolarité en cachant son identité avec un courriel officiel de l’organisation et en ajoutant une adresse de « reply-to » totalement différente (la boîte courriel du fraudeur par exemple). Il y en a probablement des gens qui vont me dire « Si c’est possible d’envoyer des courriels anonymes, à quoi bon sécuriser les listes de diffusion? ». Le simple fait d’avoir la possibilité de contacter tous les membres d’une organisation à l’aide d’une information non sécurisée est ultra-sensible (je commence à abuser du terme =D). Quelqu’un pourrait très bien envoyer des courriels anonymes à des étudiants ciblés afin de les frauder, mais cette personne aurait peut-être une réponse positive sur 20 courriels. Dans le cas où le fraudeur possède un accès direct aux 6000 (la liste de diffusion des professeurs est également très accessible), il aurait peut-être dans ses 6000 membres ciblés 2% des gens qui répondraient avec une réponse favorable en fournissant leurs informations bancaires. 2% de 6000, c'est énorme! 120 numéros de carte de crédit dans les mains d’un fraudeur, ça fait mal.

Je ne souhaite en aucun cas inciter un lecteur à effectuer la manœuvre qui demeure très simple dans son ensemble. Je croise tout simplement les doigts pour qu’un administrateur des serveurs en question sécurise le moindrement les serveurs ou qu’un membre de l’AGECVM se charge d’aller manifester devant la porte principale. Après tout, c’est le lien de confiance entre l’organisation et ses membres qui est utilisé pour frauder, et ce sont les deux partis qui y perdent. À quoi bon laisser la porte ouverte? Si vous cherchez la technique pour vous protéger, bah il n’y en a pas. C’est le Farwest sur Internet et ça le restera probablement toujours avec du calibre comme on en a derrière les serveurs dits « sécurisés » =)!

Lisez-vous les nouvelles? Mourrez-vous d'un dégoût monstre lorsque vous tombez sur un article à caractère scientifique? Avez-vous déjà vu le célèbre film « The Day After Tomorrow » (Le Jour d'après)? Aimez-vous la vie? Voici plusieurs questions dont les réponses pourraient être grandement bouleversées par la mise en marche du plus grand accélérateur de particules au monde aujourd'hui (je voyais le jour venir depuis une semaine…), qui était en construction depuis maintenant 20 longues et pénibles années de labeur. Avant de fermer votre onglet de navigateur par pur ennui face à la science et ses dérivées, je vous demanderais de rester un PETIT INSTANT, car je vous assure avec toute ma personne que je vais tenter de vulgariser avec la plus grande des tendresses à quoi va servir ce bidule de 27 km de diamètre et comment la Terre pourrait être anéantie par sa simple mise en marche.

Figure 1.0 : Vue extérieur du LHC

Si vous allez faire un tour sur le site de la CERN, vous allez pouvoir jeter un œil sur diverses photos des entrailles de ce monstre. L'appareil scientifique géant a été construit sur la frontière franco-suisse et dépasse en puissance tous les prototypes similaires construits auparavant. L'objectif scientifique principal visé avec cet appareil est de recréer les conditions existantes au moment du Big Bang. Juste le nom devrait sonner une cloche dans nos têtes =)! L'instrument géant servira à accélérer de petites particules (principalement des protons) et à les faire entrer en collision en faisant circuler deux faisceaux de chaque sens du cercle (imaginez des collisions frontales en voiture). Il existe plusieurs théories (et j'insiste beaucoup sur le terme théorie signifiant « connaissance spéculative ») sur l'effet provoqué (dont certaines plutôt catastrophiques et d'autres parfaitement inoffensives), mais l'envie insoutenable de connaissances que vivent actuellement des millions de physiciens ne peut plus attendre et doit être soulagée par la mise en marche de la bête. Comprendre la base de l'Univers, c'est bien, mais répéter les conditions au cours du Big Bang, c'est encore mieux pour eux. Si je comprends (en me référant à mon prof de physique qui en parlait l'an passé), la sensation d'une découverte semblable doit être similaire à celle produite lorsqu'un être humain rencontre une personne séduisante du sexe opposé ou à moi qui voit passer une Nissan Skyline dans la rue.

Vidéo 1.1: Fonctionnement d'un accélérateur de particules

Certains scientifiques ont relevé la crainte que les trous noirs produits durant l'expérimentation à la suite des collisions pourraient aspirer leur environnement et ainsi produire des conséquences catastrophiques. Les trous noirs sont reconnus pour être des objets qui aspirent tout sur leur passage dû à la concentration d'une énorme masse en un seul point. Les scientifiques du CERN, de leur côté, répliquent en disant que les trous noirs produits seraient beaucoup trop petits pour faire des dommages véritables et qu'ils s'évaporeront en moins d'une fraction de seconde, basés sur une prédiction faite par un scientifique en 1975 répondant gaiement au nom de Stephen Hawking. Plusieurs procès ont été intentés, dont plusieurs ayant comme argument la « fin du monde ». Cependant, qui est assez connaissant en la matière pour juger qui a raison ou tort? Personne, bien entendu, et c'est pour cette raison que selon l'éthique, on va le faire pareil… ?!?! Comme tout humain super hésitant confronté à l'amélioration possible de la vie et au chaos total (genre moi qui veux redimensionner une partition sur mon disque dur et qui fini avec une partition corrompue inaccessible quand c'est évident que l'opération est hyper risquée), les scientifiques du CERN préfèrent appuyer sur la touche OK en espérant réaliser leur plus grand rêve (un peu comme la série Lost le décrit si bien avec sa suite de nombres 0 – 4 – 8 – 15 – 16 – 23 – 42) , celui de repousser les limites de la science tout en croisant les doigts et en espérant dominer la nature à l'image d'un conquistador face à un taureau déchaîné. Jusqu'à maintenant, personne ne pourra les arrêter, mais la sécurité de la race humaine n'est pas en danger? Devrions-nous avoir un droit de vote sur cette décision un peu trop importante pour être prise uniquement par des physiciens assoiffés de connaissances scientifiques? (Wow, je m'impressionne de jour en jour dans mes formulations =)!)

Figure 1.2 : Quelque chose au CERN, par naezmi

Bonne ou mauvaise chose? De mon côté, je n'en ai aucune idée. À l'heure que j'écris l'article, ils ont testé pour la première fois l'instrument et les particules ont réussi à effectuer une révolution complète. À quoi s'attendre d'ici les premières collisions? Très difficile à dire… Ça peut sembler très extrême aux oreilles (et croyez-moi, quand j'en parle, je le réalise même pas), mais la fin du monde pourrait être à nos portes. On a bien essayé de nous en passer une petite vite avec le réchauffement climatique, comme quoi c'était n'importe quoi et que les scientifiques qui supportaient cette théorie étaient des fous complètement marginaux. Maintenant, on est confronté à une situation identique. Qui va avoir raisons? Les scientifiques financés par plusieurs pays membres de l'Union européenne ou bien les scientifiques marginaux? Les responsables vont-ils vouloir refuser d'appuyer sur un gros piton après 20 années de dur labeur et des milliards de dollars partis en fumée s'il y a une hypothèse qui dit que c'est dangereux contre un paquet d'autres disant le parfait contraire? Mon cul oui… La curiosité a quasi toujours le dernier mot sur la conscience humaine.

Figure 1.3 : Très petit segment du tunnel du LHC, par Rainer

Encore une fois, la survie de l'humanité repose entre les mains d'une poignée de scientifiques fous. On doit peut-être s'attendre à la fin du monde d'ici peu et à des propos préliminaires très rassurants de la CERN, tel que : « Les collisions qui se produiront dans le LHC généreront des températures de plus de 100 000 fois supérieures à celles qui règnent au centre du Soleil. ». Sachant que je me fais chier à 149 millions de kilomètres du Soleil en pleine canicule l'été, je n'imagine pas avoir une chaleur similaire « Live On Earth ». En faites non, j'oubliais, 100 000 fois supérieure. Ah oui, beaucoup mieux vu sous cet angle.

Figure 1.4 : Détecteur de particules utilisé au CERN, par µµ

D'ici là, je vais aller préparer ma liste de choses à faires avant de mourir, au cas où je n'aurais pas le temps de tout faire sur le coup. Je vais soit dit en passant aller prendre une bonne marche pas loin de mon appartement dans les montagnes sherbrookiennes et croiser mes doigts pour avoir le temps de retourner à Montréal et de revoir mes amis avant une éventuelle fin du monde. Mes propos dans ce message sont peut-être un avant-goût de la conclusion et nous sommes peut-être les personnages de cette histoire. Si vous voulez un conseil en lien avec « Mes dernières volontés », faites de même et réalisez tout ce dont vous avez toujours souhaité faire. Que ce soit de manger votre plat favori, dire à l'être élu que vous l'aimez depuis des milliards d'années, aller faire un bon tour aux toilettes ou remplir votre bouche de sous-vêtements usagés, si ce n'est pas la fin du monde à nos portes qui va vous « kicker » dans le cul pour réaliser vos plus grands rêves, probablement rien ne le fera (sauf moi avec un regard ultra méprisant). Sur ce, bonne soirée, bonne fête blé d'Inde et peut-être bonne fin du monde.

Je vous ai parlé de la conférence de presse en rapport au Google Phone il y a de ça une semaine, et je ne suis toujours pas revenu sur le sujet. En faites, Google a mis plusieurs informations au clair durant cette conférence en expliquant le but de la collaboration Open Handset Alliance entre plusieurs gros joueurs dans le monde de l'informatique, de la vente et de la téléphonie, tels que Intel, NVIDIA, Texas Instruments, eBay, Motorolla, Sprint ainsi que plusieurs autres.

Figure 1.0: Open Handset Alliance

L'Open Handset Alliance réunit plus de 30 compagnies ayant décidé d'innover dans le domaine de la téléphonie mobile, tant au niveau technologique qu'au niveau économique. Ensemble, ils ont développé Android, le premier système d'exploitation pour portable open source (ou libre), ce qui permettra à tous les développeurs à travers le monde de créer des applications facilement, gratuitement et simplement. C'est étonnant de voir un tel mouvement, quand on peut voir Apple avec son iPhone qui force les usagers à utiliser certaines applications et réseaux téléphoniques, du genre AT&T. Ce n'est pas pour rien que plus du 3/4 des iPhone sont débloqués et modifiés : c'est du vol! Le projet Open Handset Alliance vise plutôt à améliorer et à simplifier la vie aux futurs clients et développeurs, et non à leur mettre des bâtons dans les roues. Vous pouvez jeter un oeil à la vidéo de présentation du projet Android (en anglais).

Vidéo 1.1: Introduction à Android (Anglais)

Tout pour dire que Google c'est entouré de gros noms pour ne pas manquer son entrée dans le monde de la téléphonie mobile. Je crois que c'est une excellente chose, et qu'Android sera un concurrent majeur à la babiole de La Pomme, qui coute non seulement les yeux de la tête, mais qui limite grandement les utilisateurs. Justement, il est possible de télécharger un SDK (kit de développement de programmes) sur le site officiel de l'Open Handset Alliance, et ce, entièrement gratuitement. L'émulateur de l'Android vient dans le paquet, donc vous pouvez même tester vos applications en attendant la sortie des mobiles!

Figure 1.2: Android

Je crois que c'est un atout majeur pour les consommateurs en général d'avoir un tel consortium dans le monde de la téléphonie. Vous avez juste à regarder les tarifs pour les portables au Québec : les téléphones coutent un bras et les forfaits (tous réseaux confondus) empochent votre bras restant. Le pire dans tout ça, c'est que les clients n'en ont vraiment pas pour leur argent. Il y a déjà quelques systèmes d'exploitations plus ou moins intéressants pour les téléphones, mais rares sont ceux qui permettent aux utilisateurs de créer leurs propres applications. Windows a lancé son Windows Mobile qui est propriétaire et cher. Alors pour ceux qui attendaient une alternative, là voilà! Il ne reste plus qu'à patienter pour la suite...

Depuis un an, je m'empêche de m'acheter un téléphone cellulaire, car de un, je crois qu'on se fait littéralement voler par les compagnies téléphoniques au Québec pour ce que l'on reçoit; de deux, parce que j'attends avec impatience le Google Phone, ou bien Téléphone Google, pour les pro-francisés.

« Google est une compagnie américaine qui converge grandement vers la domination mondiale, un peu comme le fait Microsoft, mais avec beaucoup plus de classe, de propreté, tout en considérant leurs clients comme des humains, et non comme une vulgaire source de revenus. » - Inconnu

Sachant que c'est un produit de Google, on peut s'attendre à avoir un bien de qualité, donnant accès à leurs nombreux services : Google Mail, Google Search, Google Analytics (oui!), Picasa et tous les autres. Selon plusieurs rumeurs, le téléphone fonctionnerait sur Linux, un système d'exploitation libre et gratuit, qui diminuerait surement de beaucoup les couts de productions des combinés.

Figure 1.0: L'antre de Google

Aux États-Unis, on commence déjà à entendre que Verizon ou Sprint pourraient être les heureux élus à faire affaire avec le géant. On écarte donc AT&T de la course, qui distribue déjà le téléphone de Apple. Je n'aime pas AT&T, ni la majorité des produits très dispendieux de Apple (non, ne regardez pas mon iPod Nano, c'est une erreur de jeunesse). Pour le Canada, on n'en sait rien pour le moment...

Figure 1.1: Prototype 3D élaboré par des internautes salivant

Jusqu'à maintenant, Google n'a toujours rien confirmé. Le fait de garder ce projet en entier dans l'obscurité la plus totale pousse beaucoup l'imagination des gens, et c'est ce qui donne un « buzz » médiatique aux géants. C'est du bouche-à-oreille, des rumeurs et pleins d'autres primeurs incertaines qui font saliver les gens jusqu'à la dernière goute.

Chez Google, ce n'est pas l'argent ni la volonté qui manque pour faire un produit de taille et de qualité. Quand on a entendu pour la première parler du fameux Google Phone, Apple a décidé de diminuer le prix de son iPhone de 200 $ : très étrange me diriez-vous. Quand on sait que certains pays asiatiques ont accès à la télévision en haute-définition sur leur portable et divers autres fonctions à de très bas prix, on se demande pourquoi on doit payer la « maudique » somme de 1,00 $/page Web visualisée sur un portable au Québec. Bref, je crois que certaines compagnies commencent à craindre la bête qui sommeil en Google et qui va probablement révolutionner le domaine de la téléphonie en Amérique du Nord...

Ça faisait déjà un certain temps qu'on me conseillait d'essayer le système StumbleUpon, un outil qui sert à découvrir de nouveaux sites sur la toile de manière purement aléatoire.

Figure 1.0: Logo de StumbleUpon

Depuis maintenant une semaine, j'utilise un peu à chaque soir leur système pour découvrir des nouveaux sites ou simplement pour passer le temps entre des exercices de chimie ou de physique... Ce que je trouve bien, c'est que la majorité des sites que StumbleUpon renvoi sont intéressant. Le fonctionnement est simple: les utilisateurs de StumbleUpon peuvent ajouter des adresses Web à la base de données de et automatiquement, tous les gens qui utilisent la barre d'outils peuvent tomber dessus et lui donner une note. Les pages affichées sont sélectionnées selon le nombre de votes que les utilisateurs donnent (l'appréciation des gens) et sur vos préférences que vous entrez dans votre profil. Tous les sujets y sont:

• Photographie
• Politique
• Informatique
• Environnement
• Commerce
• Monde
• Jeux
• Santé
• Musique

Tout pour dire que vous serez grandement comblés au niveau de la qualité des sites! C'est aussi un excellent moyen pour faire connaitre votre site ou votre blogue! Vous n'avez qu'à vous ouvrir un compte sur le site, installer la barre d'outils et commencer à afficher des pages aléatoirement.