• Hello,

     

    Voici le site qui vous permet de réparer tout ce que vous voulez dans le high-tech...avec les tutoriels...

    Le manuel de la réparation de vos petits objets préférés

     

    https://fr.ifixit.com/

     

    Bien à vous.

    PGR

    Partager via Gmail Delicious Technorati Yahoo! Google Bookmarks Blogmarks Pin It

    votre commentaire
  • Bonjour à tous,

     

    Vous avez toujours rêvé connaître le monde du Tech et être branché jeun's.

    Vous êtes Geek...

    La New Tech - Geek.com

    A vous les manettes... (comment je parle maintenant).

    https://www.geek.com/

     

    Bien à vous.

    PGR

    Partager via Gmail Delicious Technorati Yahoo! Google Bookmarks Blogmarks Pin It

    votre commentaire
  • https://phonebloks.com/Bonjour à tous,

     

    Voilà un site intéressant pour se faire aider pour retravailler son Smartphone.

     

    Faire renaitre son Smartphone

     https://phonebloks.com/

    Bien à vous.

    PGR

    Partager via Gmail Delicious Technorati Yahoo! Google Bookmarks Blogmarks Pin It

    votre commentaire
  • Bonjour à tous,

     

    Il me semblait que les rêves enchantés et les contes de fées étaient pour les enfants mais que nenni !

    Ils reviennent en force mais pas comme on l'attendait.

    En réalité, des personnages fictifs voire imaginaires sont nécessaires pour rêver mais dans le cas présent, il s'agit d'individu (s) peu scrupuleux, à tout le moins, qui profite de l'anonymat d'Internet pour polluer les débats voire les discussions virtuelles entre les internautes.

    Twitter est une des plus belles victimes mais pas que celle-là.

    Mais alors, cécoiuntroll ? traduction (c'est quoi un troll ?)

    Car il y a un langage codé (assez primitif) mais codé malgré tout qui signifie quelque chose pour l'émetteur malveillant.

    Généralement, on dit que l'on a affaire un "troll".

    "Le terme troll désigne, dans le jargon de l'internet, un personnage malfaisant dont le but premier est de perturber le fonctionnement des forums de discussion en multipliant les messages sans intérêt (ou, plus subtilement, en provoquant leur multiplication). Les extraits ci-dessous proviennent pour la plupart de www.uzine.net/article1032.html.

    Catégories de trolls

    Troll débutant

    Le troll débutant (appelé aussi troll qui s'ignore) est une manière de troller par ignorance de la nétiquette et du fonctionnement technique, sans véritable intention de nuire. Poster n'importe quoi n'importe où, par exemple : « Est-ce que vous avez le numéro de téléphone de Jacques Chirac ». On peut considérer comme un troll débutant toute personne qui répond au message d'un autre troll.

    Troll bête

    Persuadé d'avoir une opinion valable sur tout, d'être de bonne foi, et que sa diarrhée verbale intéresse quelqu'un d'autre que lui, le troll bête prend l'apparence d'un message véritable. Assez redoutable en ceci qu'il refusera la qualification de troll. Exemple : « Amha, bon j'y connais rien, et je ne sais pas de quoi vous parlez, d'ailleurs j'ai pas lu vos messages, c'était trop long ! :-))) mais il me semble que vous avez peut-être pas tout à fait tort ni raison ;o) ».
    Attention : le troll bête peut devenir méchant rapidement, puisqu'il est sûr de son bon droit. Comme le rappellent avec sagesse les vieilles légendes nordiques : « quand troll vexé, troll devenir encore plus chiant ».

    Troll méchant

    C'est le troll le plus connu, et pour lequel on trouve la littérature la plus abondante. Son but est, consciemment, de tuer les forums (déclencher des flame wars). Par amusement, parce que le sujet du forum lui déplaît, parce que les administrateurs du forum l'ont vexé, parce que dehors il pleut et qu'il s'emmerde au boulot. Ce qui, au final, nous donne le genre synthétique bien connu du « troll bête et méchant ». Il cumule tous les types détaillés plus haut. Un rapide profil psychologique de ce troll nous donne :

    • mauvaise foi à toute épreuve,
    • nullité conceptuelle,
    • auto dérision de façade,
    • tics de langage et smileys,
    • bassesse inimaginable.



    On retrouvera là les marques permettant de diagnostiquer que le sujet est atteint de « fufisme », décrit ainsi dans le Lexique des termes employés sur Usenet : « Maladie contagieuse d'origine virale (HFV : Human Fufismae Virus) dont les syndromes sont : mauvaise foi, perfidie dans les attaques "ad hominem", torpillage des processus de création de groupes, ergotage sans fin pour savoir s'il faut un "s" à maths, si un vote BLANC compte pour 1/4 de OUI ou 2/3 de NON, etc. »

    Caractéristiques et comportement à adopter

    La règle traditionnelle pour lutter contre un troll méchant consiste à ignorer ses messages. « Do not feed the troll » (Littéralement : "Ne nourrissez pas le troll"). Dans son refus d'aborder le fond, de privilégier la forme et de débattre sans fin de la gestion des forums, le troll a une propension inimaginable à se placer dans l'affectif. Ses messages deviennent un jeu subtil de connivences, de divisions, de recherche d'alliés et d'ennemis. Il se croit ou se prétend copain avec Untel, alors que Machin est méchant et le persécute, et Bidule est maqué avec Truc, puis Trucmuche s'est engueulé avec ses Bisounours. En fin de compte, on obtient des messages très constructifs sur le thème : « Machin a raison parce qu'il est gentil, Truc a tort parce qu'il est méchant ».

    Une fois parfaitement identifié, et ses thèmes de discussion épuisés, le dernier sujet du troll est de se prétendre victime d'atteintes inadmissibles à sa liberté d'expression. Sujet qui, lui-même, ne sera jamais abordé sur le fond, mais sur la forme, la gestion des forums par les méchants administrateurs qui ne l'aiment pas, le manque de politesse des intervenants.

    [...] Il semble que, si l'on veut maintenir des forums ouverts (les messages sont publiés dès qu'ils sont envoyés), face à un troll, la seule technique est la guerre des tranchées : plusieurs administrateurs surveillent quasiment en permanence les forums pour bloquer aussi rapidement que possible les dérives trollesques.

    Rien ne réjouit plus le troll que les contradictions entre administrateurs.

    • Ne jamais sembler donner raison au troll. Par exemple, proscrire tout message qui commence par « sur ce point tu as raison mais... » ; « la question est intéressante mais... ». Pour la bonne et simple raison que le troll ne suit jamais les règles de la discussion (définitions des termes, échanges d'arguments, réponses aux questions).

    Messages trollesques

    • Basique : la bonne grosse provocation et l'insulte. L'idéal, pour encore plus d'efficacité, consiste à utiliser une image qui insulte un autre groupe humain.
    • [...] Le troll du Web [...] conserve cet usage immodéré du message hors thème.
    • Les réponses systématiques. Toute réponse creuse à un message creux permet d'entretenir la dynamique du groupe. De fait, on constate le plus souvent que les victimes d'un troll, en répondant à son message et en se lançant dans d'interminables débats oiseux, deviennent à leur tour des trolls.
    • Les messages trollesques refusent systématiquement d'aborder le fond et privilégient la forme des messages : « mais pourquoi tu me tutoies... », « moi je ne t'ai pas agressé alors pourquoi tu m'agresses » ; « t'as vu comment il m'a causé l'autre... tu trouves pas qu'il exagère ? » ; « purée, les fautes d'orthographe ! » ; « c'est nul de critiquer ton interlocuteur parce qu'il fait des fautes »...
    • Très faciles, les messages qui commentent la gestion du forum au lieu de l'objet de la discussion : « on peut pas corriger ses messages ? » ; « je crois qu'on m'a sucré mon message, mais il est revenu » ; « ah ah, je vois comment vous fonctionnez sur ce forum ! ».

    Le troll ...

    • Le troll agit sur plusieurs sites, histoire de mieux agir !
    • Le troll veut toujours être modérateur
    • Le troll fait des fautes d'orthographe, de grammaire et de conjugaison
    • Le troll a toujours plusieurs comptes
    • Le troll casse toujours l'ambiance
    • Le troll agit souvent le soir
    • Le troll a souvent entre 8 et 11 ans
    • Le troll se fait toujours agresser par les autres membres
    • Le troll se plaint que le modérateur lui en veut
    • Le troll a des compétences dans tous les domaines
    • Le troll s'appelle aussi boulet
    • Le troll met toujours en fin de phrase : "pardon pour lé phote"
    • Le troll ne parle pas en SMS, non, il parle dans une langue plus primitive
    • Le troll se fait bannir tous les weekends
    • Le troll a un pseudo débile
    • Le troll insulte tout le monde
    • Le troll n'est pas drôle
    • Le troll est même chiant
    • Le troll est généralement fier de lui
    • Le troll est toujours un garçon
    • Le troll s'ennuie
    • Le troll n'écrit qu'en majuscules
    • Le troll lit les règles, si, mais ne les respecte pas
    • Le troll dit toujours que ça bug quand il n'y arrive pas
    • Le troll est contagieux
    • Le troll n'est jamais content
    • Le troll promet de ne plus revenir sur ce forum
    • Le troll flood
    • Le troll détourne les débats
    • Le troll aime parler des sujets qui fâche

    http://www.commentcamarche.net/faq/3610-qu-est-ce-qu-un-troll-informatique

     

    La presse récente relate des faits dramatiques et le PDG actuel de Twitter a fait son mea-culpa.

    "Dick Costolo, à la tête du réseau social depuis octobre 2010, a diffusé un message interne en forme d'autocritique. Il estime que Twitter a jusqu'alors très mal géré le harcèlement en ligne.

    Les «trolls», ces internautes sadiques et malveillants qui harcèlent leurs congénères, ont la belle vie sur Twitter. Dick Costolo, PDG de l'entreprise, le reconnaît lui-même en interne dans plusieurs messages dévoilés par le site spécialisé The Verge. «Nous sommes nuls pour gérer les abus et les trolls, et cela fait des années que c'est ainsi», a-t-il reconnu lundi sur les forums internes de la firme. «Ce n'est pas un secret et le reste du monde en parle tous les jours.»

    Auprès de ses employés, le patron de Twitter a tenu à assumer l'entière responsabilité de ces échecs. Ses termes sont d'une franchise surprenante: «J'ai franchement honte quand je vois à quel point nous avons mal géré ce problème depuis que je suis PDG», a déclaré Dick Costolo a ses employés.

    Ce mea culpa fait suite à une histoire particulièrement sordide dont a été victime Lindy West, auteure et critique féministe américaine très active sur les réseaux sociaux. Un «troll» a créé il y a deux ans un compte Twitter factice, prenant l'identité de son père alors récemment décédé, pour harceler la jeune femme. Alors qu'il est généralement recommandé de ne pas répondre aux «trolls», elle a décidé, dernièrement, de contacter cette personne afin d'échanger sur les raisons et les motivations de ces harceleurs. Elle a obtenu des excuses et l'a interviewé pour This American Life et The Guardian. Cette histoire a fait réagir un employé de Twitter, puis son PDG.

    Des mesures insuffisantes

    Aux manettes depuis octobre 2010, Dick Costolo s'est déjà attaqué au problème du harcèlement en ligne. En 2013, une journaliste anglaise a été la cible une campagne de harcèlement sexiste au seul motif qu'elle voulait que la romancière Jane Austen soit sur des billets de banque britanniques. Le réseau social avait alors annoncé un dispositif simplifié pour signaler les contenus abusifs. Mais cela est loin de suffire.

    Le mouvement GamerGate a initié, depuis août 2014, une des campagnes de harcèlement sexiste les plus importantes du réseau social. Des messages haineux et menaçants dirigés à l'encontre de personnes critiquant le sexisme dans les jeux vidéos déferlent quotidiennement sur Twitter. À un tel point que certaines victimes ont créé une «milice» de défense contre le harcèlement en ligne.

    En France, Bernard Cazeneuve veut aussi s'attaquer aux «trolls». Après les attentats du 7 et 9 janvier, le ministre de l'Intérieur s'est prononcé plusieurs fois sur la responsabilité des réseaux sociaux dans la propagation des discours haineux. À l'Assemblée nationale, il a dénoncé les «petites haines [qui] circulent et viennent ronger la République de l'intérieur, en opposant les Français les uns aux autres». Il doit se rendre aux États-Unis pour sensibiliser les grandes entreprises d'Internet à ce sujet."

    http://www.lefigaro.fr/secteur/high-tech/2015/02/05/01007-20150205ARTFIG00159-twitter-avoue-etre-nul-pour-gerer-le-harcelement-en-ligne.php

     

    Voilà, ce sera tout pour aujourd'hui, dans attention et relisez les saga scandinaves ce sera plus productif.

    Bien à vous.

    PGR and partners.

    Partager via Gmail Delicious Technorati Yahoo! Google Bookmarks Blogmarks

    2 commentaires
  • Bonsoir,

     

    Voici une vidéo et un PWP bien singulier.

    Nous sommes peu de chose au regard de l'univers mais également de l'infiniment petit.

    Cela peut paraître désuet car le film date des années 80 mais regardez bien.

    A méditer et reprendre sur la futilité des choses et nos maigres ennuis sur Terre.

     

    Télécharger « Puissance 10.pps »

    Bien à vous,

    PGR and Partner.

     

    Partager via Gmail Delicious Technorati Yahoo! Google Bookmarks Blogmarks

    votre commentaire
  • Bonjour,

    Non seulement la société de Cupertino délivre des records financiers et économiques mais elle donne également des gages pour redéfinir et conquérir finalement des parts de marché dans le domaine du langage informatique.

    Jugez plutôt...

     

    "Outil de programmation dédié à l’écosystème Apple, Swift a gagné 46 places en un trimestre parmi les langages les plus utilisés des développeurs.

    Introduit à l’occasion de la conférence WWDC 2014 d’Apple, le langage Swift est en train de se tailler une belle réputation auprès des développeurs. Selon Redmonk, qui établit un classement des langages de programmation les plus utilisés sur la planète, la technologie de Cupertino se classe en 22e position.

    Certes, Swift n’entre pas (encore) dans la liste des 20 premiers langages informatiques du classement. Mais, classé en 68e position au troisième trimestre 2014, il a sauté 46 places durant le quatrième. Alors que le gain de 5 à 10 places est généralement considéré comme « une croissance spectaculaire », selon Stephen O’Grady, confondateur de Redmonk en 2002. « En regard de cette ascension spectaculaire, il semble raisonnable de s’attendre à ce que Swift figure dans le Top 20 des langages au troisième trimestre de cette année », commente-t-il.

    Remplacer Objective-C ?

    Spécifiquement conçu pour l’écosystème iOS et Mac OS, Swift est amené à cohabiter avec l’Objective-C (voire même à le remplacer à terme), langage dédié aux plates-formes Apple et jugé souvent trop complexe pour les développeurs amateurs. Objective-C se classe aujourd’hui en dixième position dans le classement de l’analyste. Javascript, Java, PHP, Python et C# constituant, dans cet ordre, le top 5 actuel.

    La montée en puissance de Swift sera également soutenue par les développements communs qu’Apple et IBM entendent mener pour servir le monde de l’entreprise à travers un partenariat signé en juillet 2014 et qui s’est concrétisé, en décembre dernier, avec la livraison des premiers applications MobileFirst for iOS. Selon le Pdg d’Apple Tim Cook, il y aura, à terme, une centaine de ces développements propres à des segments industriels. Les besoins en compétences Swift sont donc appelés à se développer."


    http://www.silicon.fr/apple-swift-le-langage-qui-monte-qui-monte-106164.html#7Aw566y5fDmAk8VF.99

    Alors ?
    Bien à vous.
    PGR
    Partager via Gmail Delicious Technorati Yahoo! Google Bookmarks Blogmarks

    votre commentaire
  • Bonjour à tous,

     

    Je vous laisse le soin de lire cet article, édifiant sur la protection de notre vie privée...

     

    "Comment notre ordinateur nous manipule

    LE MONDE CULTURE ET IDEES | 10.04.2014 à 17h00 • Mis à jour le 13.04.2014 à 14h05 | Par Yves Eudes

    Pistés par les cookies.

    Tout a commencé avec une géniale invention, celle du cookie. Une simple ligne de code – par exemple MC1:UID = 6daa554691bd4 f9089dc9d92e5cdadf4 – déposée sur votre navigateur par les sites Web que vous visitez, et des publicités ciblées s’affichent sur votre écran.

    Appelé ainsi en référence aux biscuits que les restaurants offrent au moment de l'addition, le cookie apparaît dès 1994, l'année où le Web s'ouvre au public. Vingt ans plus tard, il reste le socle de la publicité en ligne, une industrie qui a réalisé en 2013 un chiffre d'affaires mondial de 102 milliards de dollars. 

    Fiché 108 fois en 3 clics

    Les cookies sont gérés par des sociétés spécialisées qui les déposent, les récoltent, les classent, les analysent, les agrègent et les revendent. Ils servent à vous identifier, à vous pister de site en site, à retenir vos mots de passe, à gérer vos paniers d'achat, à déterminer si votre navigation est lente ou rapide, hésitante ou déterminée, systématique ou superficielle...

    L'objectif est de vous « profiler », c'est-à-dire de créer des fichiers personnalisés, stockés dans des bases de données. En d’autres termes, de mieux vous connaître afin de vous présenter le bon message publicitaire au bon moment et dans le bon format. Vous pouvez effacer les cookies, mais de nouveaux arriveront dès que vous reprendrez la navigation. Et si vous les bloquez, la plupart des sites ne fonctionneront plus. Certains cookies ont la vie dure : ceux que dépose Amazon aujourd’hui sont conçus pour durer jusqu'en 2037. 

    Un exemple : dès la page d'accueil du site de e-commerce Priceminister, votre navigateur reçoit d'un coup 44 cookies provenant de 14 agences spécialisées – telles que RichRelevance, Doubleclick, Exelator… Rendez-vous à la rubrique « Téléphonie mobile », vous récoltez 22 nouveaux cookies. Et en cliquant sur la photo d'un smartphone Samsung, vous déclenchez une nouvelle rafale de 42 cookies provenant de 28 sources : en trois clics, vous voilà fiché 108 fois par une quarantaine de bases de données. Si vous commencez à acheter le téléphone mais abandonnez en cours de route, vous serez repéré par la société française Criteo, spécialisée dans le « reciblage ». Des publicités pour le produit que vous avez failli acheter s'affichent sur votre écran pendant des jours, et vous suivront sur tous les sites que vous visiterez. 

    Criteo a besoin de machines puissantes : pour identifier un internaute, contacter la plate-forme qui gère ses espaces publicitaires, proposer un prix, conclure l'affaire et lancer l'affichage de la bannière, elle dispose de 13 centièmes de seconde – faute de quoi l'espace sera vendu à un concurrent.

    Entreprise de taille moyenne, Criteo reçoit 20 teraoctets (vingt mille milliards) de données par jour, et touche 850 millions d'internautes par mois, certains des centaines de fois. On ignore le volume de données traitées par un géant comme Google, mais on sait qu'il possède plus d'un million de serveurs dans le monde. Pour rendre compte de cette réalité, les mathématiciens ont inventé une nouvelle unité de compte, le zettaoctet (mille milliards de milliards). 

    Profils détaillés

    Afin d’affiner le ciblage, les publicitaires croisent les cookies avec d'autres données récoltées sur Internet : votre adresse IP (Internet Protocol, qui identifie et localise votre ordinateur), votre langue usuelle, vos requêtes sur les moteurs de recherche, le modèle de votre ordinateur et de votre navigateur, le type de votre carte de crédit… Si vous avez livré des informations nominatives – en faisant un achat ou en remplissant un questionnaire –, elles seront également exploitées. Parfois, vos données Internet seront croisées avec d'autres, provenant du monde réel – relevés de cartes bancaires, tickets de caisse, déplacements de votre téléphone… 

    La société Acxiom, spécialisée dans le croisement des cookies et des données obtenues par d'autres moyens, vend aux annonceurs des profils triés selon 150 critères, parmi lesquels « fait de la couture », « héberge un parent âgé » ou « possède un chat ». Un fichier de mille personnes contenant des données de base est vendu en moyenne 60 centimes, mais le prix peut grimper à 250 euros pour des profils détaillés – comme, pour un laboratoire pharmaceutique, une liste d'adultes obèses ayant déjà acheté des produits amincissants. Ces données sont « anonymisées » car, pour vous cibler, les ordinateurs n'ont pas besoin de votre nom – il leur suffit de connaître vos revenus, vos envies, vos besoins, votre sexe, votre âge, votre métier, vos loisirs, votre origine ethnique, votre code postal, vos maladies, votre situation de famille, votre logement, votre voiture, votre religion, vos voyages… 

    Le web marchand vous surveille.

    Le ciblage va jusqu'à modifier le prix d'un produit en fonction du profil. Quand un site de voyage voit que vous venez de consulter un comparateur de prix, il baisse ses prix pour s'aligner sur ceux de ses concurrents, quitte à se rattraper sur les « frais de dossier ». Si vous vous connectez avec un ordinateur à 3 900 euros, le site affichera des chambres d'hôtel plus chères que si vous utilisez un portable à 300 euros. Le libre choix du consommateur, apparemment décuplé par la puissance de l'informatique, semble en fait amoindri. L'homme numérique aurait-il accepté de se laisserdominer par les machines dans le seul but de faire ses courses de façon moins fatigante ? 

    « Nous laissons les technologies nous façonner »

    Le philosophe William Bates, professeur d'histoire des technologies à l'université de Californie, à Berkeley, note que les professionnels du big data exploitent une caractéristique essentielle de l'être humain : « Ils nous font comprendre que nous ne contrôlons pas notre propre comportement et, en un sens, ils ont raison. Statistiquement, les humains réagissent de façon très prévisible à certaines situations, selon des mécanismes cérébraux qu’ils ne maîtrisent pas. »

    Une situation qu’amplifie l’accélération de l'innovation : « D'un côté, les technologies de l'information influent sur notre cerveau : nous ne pensons plus de la même façon que les générations précédentes, souligne William Bates. Mais par ailleurs, très peu d'entre nous, y compris les jeunes, comprennent comment fonctionne un ordinateur. Nous laissons les technologies nous façonner, mais nous n'avons pas encore créé les outils intellectuels pour nous aider à comprendre ce qui nous arrive. »

    Le philosophe relativise cependant cette angoisse existentielle : « Depuis les débuts de la civilisation, les humains sont construits par la culture dans laquelle ils évoluent, et donc par la technologie qui en fait partie. C'est ce qui nous distingue des animaux. Il serait naïf de croire que le cerveau humain était jadis plus “naturel” ou plus “libre”, et que les nouvelles technologies nous auraient dépossédé de quelque chose. »

    Pour influer sur nos cerveaux, les publicitaires disposent d'une énorme puissance de calcul. Ils emploient des mathématiciens pour concevoir les algorithmes, des développeurs pour les traduire en langage informatique, des ingénieurs pour construire l'architecture des bases de données, des analystes pour capter et exploiter des données… 

    Algorithmes auto-apprenants

    Or, le secteur vit déjà une nouvelle révolution grâce aux constants progrès techniques. La dernière mode est à « l'analyse prédictive » : au lieu de réagir au comportement des internautes, les publicitaires veulent les prévoir afin d’agir par anticipation. Pour cela, ils font appel à une discipline encore expérimentale : le machine learning, ou apprentissage automatique, une branche de l'intelligence artificielle. Il s’agit de doter les ordinateurs de la capacité à améliorer leurs performances sans intervention humaine. Selon Franck Le Ouay, directeur scientifique de Criteo, « le machine learning désigne la capacité d'un programme à s'adapter à une nouvelle situation. Nous mettons au point des algorithmes auto-régulés et auto-apprenants »

    Si un soir, vers 18 heures, le programme détecte que les Parisiens utilisent moins Internet que d'habitude, il modulera les affichages publicitaires en conséquence. Mieux : bientôt, le système pourra constater, en consultant un site de trafic routier, qu’un gros embouteillage bloque la capitale, et en déduire que les Parisiens arriveront chez eux en retard, ce qui décalera leur usage d'Internet… Criteo, qui emploie déjà 160 mathématiciens, va en embaucher une centaine en 2014. Franck Le Ouay place la barre très haut : « Nous devons réussir l'exploit de faire plus de prédictions avec la même masse de données. »

    Les expériences se multiplient. Le mathématicien Erick Alphonse, de l'université Paris-XIII, met au point un système baptisé Predictive Mix. Il étudie d’abord deux échantillons d'internautes : l'un verra une bannière publicitaire s'afficher sur son écran, l'autre non. En comparant le taux d'achat du produit dans chaque groupe, il quantifie l'efficacité du message.

    Armé de ces premiers résultats, Predictive Mix répartit les profils en quatre groupes. L'internaute qui achète un produit sans voir de publicité est un « captif » : inutile de gaspiller de l'argent pour le convaincre ; celui qui achète quand il ne voit pas de publicité, mais cesse d'acheter quand il en voit est un « réfractaire » : il faut le laisser tranquille ; celui qui n'achète jamais rien est à oublier – trop difficile à convaincre ; enfin, celui qui n'achète rien quand il ne voit pas de publicité mais se met à acheter quand il en voit est un « réceptif », la cible la plus digne d'intérêt. 

    Etape suivante, l'ordinateur compare l'échantillon des « réceptifs confirmés » avec la population générale contenue dans une base de données. Tous les internautes dont le profil est similaire à ceux des « réceptifs » seront à leur tour classés comme tels. Et l'annonceur éliminera de sa campagne les trois autres groupes. « Grâce à ce ciblage fin, explique Erick Alphonse, l'annonceur économise de l'argent, puisqu'il achète moins d'espaces tout en réalisant un meilleur retour sur investissement. » 

    Taxonomie du Web

    Une autre société française, Weborama, s'est lancée dans une aventure encore plus lourde : exploiter le « Web des mots ». Grâce à des programmes robotisés, elle collecte les textes publiés sur un vaste choix de sites et de forums. A partir de ces données brutes, les linguistes de Weborama ont extrait un lexique de six mille termes pertinents dans le contexte de la publicité. 

    Dans un second temps, les mathématiciens organisent le Web comme un « espace métrique » : ils calculent la distance relative entre les mots, selon qu'ils sont plus ou moins souvent associés dans la même phrase. Puis ils rassemblent ces mots associés en 177 groupes thématiques – assurances, jeux d'argent, nourriture, sport, animaux domestiques… Le patron de Weborama, Alain Levy, résume ainsi son approche : « Cette taxonomie devient notre vision du Web. La référence n’est plus le site, mais le mot. »

    On passe alors à l'exploitation commerciale. Grâce à des accords avec des agences, Weborama place des cookies sur des millions de navigateurs. Puis elle les piste à travers le Web, et collecte les mots publiés sur tous les sites qu'ils vont visiter : « Chaque profil se voit ainsi attribuer un nuage de mots qui lui est propre », explique Alain Levy. Les ordinateurs vont ensuite projeter ce « nuage » sur la base de données contenant les groupes de mots, et attribuer à chaque profil une note par catégorie.

    En croisant les notes – par exemple 13 sur 14 (le maximum) pour les mots associés à la mode, 12 pour le design, mais seulement 2 pour le sport, 1 pour les voitures – Weborama va pouvoirdire à l'annonceur qui se cache derrière chaque cookie: « Ce sera par exemple une femme de 34 à 49 ans, passionnée de mode, indifférente au sport, détaille Alain Levy. Elle sera sans intérêt pour certains annonceurs et très désirable pour d'autres. L'Oréal sera prêt à payer 2 euros pour afficher une bannière sur son écran. » Weborama possède à ce jour 62 millions de profils pour la France – il y a des doublons, car une même personne peut utiliser plusieurs appareils (PC, smartphone, tablette). La mise à jour est permanente, chaque clic provoquant de nouveaux calculs. 

    Espoir suprême

    L’analyse prédictive envahit tous les secteurs d'activité. Des start-up se créent pour faciliter la migration de ces nouvelles compétences vers les industries traditionnelles. En France, la société Dataiku a mis au point une suite logicielle qui permettra à des cadres sans formation informatique pointue de se lancer dans la gestion de bases de données et l'analyse prédictive : « Nos clients potentiels, affirme Florian Douetteau, patron de Dataiku, sont les entreprises industrielles qui possèdent des stocks de données dont ils ne font rien, et qui veulent les exploiter pour résoudre des problèmes de façon innovante. » Il cite comme exemple un gestionnaire de parcmètres souhaitant, à partir des données de stationnement, modéliser la circulation automobile dans des milliers de villes. 

    L'espoir suprême des chercheurs est que les ordinateurs donnent du sens à des données diffuses et chaotiques, livrées en vrac. En découvrant des modèles et des corrélations qu'aucun humain n'aurait imaginé, ils répondront à des questions que personne ne leur a posées.

    De ce fait, le débat sur l'existence d'une « intelligence » chez ces ordinateurs auto-apprenants est déjà obsolète. Pour les professionnels du secteur, l’important n'est pas de savoir si la machine fonctionne comme un cerveau humain, mais de constater qu'elle obtient, par des voies différentes, des résultats égaux ou supérieurs à celui qu'aurait obtenu un humain. 

    Quant au rapport entre l'homme et la machine, divers penseurs américains l'ont résumé en une question que chacun devra bientôt se poser : votre savoir-faire est-il complémentaire du savoir-faire de votre ordinateur, ou votre ordinateur fait-il un meilleur travail sans vous ? De fait, les mathématiciens ont commencé à détruire certains métiers de la publicité – analystes, media-planners, etc. Reste à savoir si la montée en puissance de ces techniques de plus en plus invasives va entraîner une réaction des populations visées. 

    Stratégie d’auto-défense

    Le philosophe William Bates rappelle que rien n'est jamais joué : « Le fait même que notre cerveau soit malléable signifie que la technologie ne nous prédétermine pas entièrement. A certains moments historiques, nous pouvons décider de ce que nous allons devenir. Mais pour cela, il faut réfléchir et agir. Or, c'est peut-être ce qui nous effraie le plus. Si nous décidons que l'innovation est devenue incontrôlable, nous nous déchargeons de toute responsabilité, c'est plus confortable. »

    De son côté, Melanie Swan, une créatrice de start-up californienne qui se définit comme une « philosophe de la technologie », remarque que de nombreux internautes commencent à déployer des stratégies d'auto-défense : « Ils éparpillent leurs données sur plusieurs sites – leurs photos chez un prestataire, leurs e-mails chez un autre, leurs requêtes chez un troisième – dans l'espoir qu'aucune de ces sociétés ne pourra établir leur profil complet. Ce comportement est l'indice d'une “proto-sensibilité” à ce problème. Ils sentent que quelque chose ne va pas, mais restent impuissants. Mais c’est en train de changer. »

    Selon Melanie Swan, on assiste aux Etats-Unis à la naissance d'un mouvement intellectuel visant à inciter les internautes à devenir des sujets actifs dans cette affaire : « Quand nous laissons une entreprise s’emparer de nos données personnelles, nous effectuons une transaction, nous livrons une matière première qui a de la valeur. Or, nous n’avons aucun pouvoir de négociation, nous acceptons les conditions imposées par l'industrie. » La solution est évidente : « Je pense que les internautes vont s'unir et s'organiser pour défendre leurs intérêts en tant que fournisseurs de données. Pour cela, ils vont s'inspirer des associations de défense des consommateurs, ou même des syndicats ouvriers. Seule une réponse collective et solidaire pourra rétablir l'équilibre.» Si les internautes parviennent à changer le rapport de force avec l'industrie, ils pourront exiger d'être payés pour leurs données, ou imposer des conditions et des restrictions à leur usage. Pour les penseurs de la Silicon Valley, cette stratégie sera sans doute plus efficace que des lois imposées par les Etats, souvent en retard d'une guerre.

    Yves Eudes
    Grand reporter"

    http://www.lemonde.fr/technologies/article/2014/04/10/big-brother-ce-vendeur_4399335_651865.html

     

     

    Attention, car en cliquant sur cet article, vous avez déjà récolté des dizaines de cookies ...

    Mais non, c'est une blague...

    Vous vous rappeler de Maman Cookie dans le premier opus de "Matrix", pour moi, c'est cela, c'est croustillant et sympathique et finalement, c'est une intrusion gustative dans notre vie privée...

    Donc, vous avez compris, supprimez autant que faire se peut vos cookies, parfois refusez certains sites, c'est votre liberté et surtout, ne nous laissons pas manger sans notre assentiment.

     

    Bien à vous.

    PGR

    Partager via Gmail Delicious Technorati Yahoo! Google Bookmarks Blogmarks Pin It

    votre commentaire
  • Bonsoir,

     

    Une nouvelle qui réjouit le coeur !!!

     

    "Faille Heartbleed : les sites pour lesquels il est conseillé de changer son mot de passe

    Le Monde.fr | 11.04.2014 à 04h48 • Mis à jour le 11.04.2014 à 18h30 | Par Michaël Szadkowski

    Le changement de son mot de passe est conseillé pour tous les sites qui ont annoncé avoir fait une mise à jour de sécurité, après la découverte du bug qui affecte le protocole OpenSSL.

    Deux jours après la révélation d'une faille de sécurité au sein du protocole OpenSSL, baptisée « Heartbleed », cette dernière est décrite par certains comme « le pire cauchemar » qui puisse arriver concernant la sécurité des échanges sur Internet.

    Le logiciel libre OpenSSL est installé sur les serveurs de très nombreux sites pour établir des connexions chiffrées et sécurisées entre ce dernier et ses utilisateurs. De très nombreux sites Internet utilisent OpenSSL pour sécuriser leurs échanges. Cette précaution est repérable, par exemple, lorsqu'un verrou s'affiche au moment d'un paiement en ligne, ou lorsque l'URL d'un site commence par « https » (le « s » signifiant « sécurisé »).

    Le bug Heartbleed (dont l'origine se trouve êtreune erreur de programmation d'un développeur allemand) permet, en théorie, à des pirates informatiques de pouvoir récupérer un grand nombre d'informations sur les utilisateurs des sites utilisant ce protocole de sécurité (leurs identifiants et mots de passe, leurs codes de cartes bancaires, etc.).

    Lire : Que sait-on de « Heartbleed », l'inquiétante faille de sécurité sur Internet ?

    L'ampleur des dégâts causés n'est pas connue, personne n'ayant réussi à dire pour le moment si des pirates ont découvert ce bug avant son identification par des ingénieurs et l'alerte mondiale lancée lundi 7 avril. Cette dernière précise que le bug est présent dans toutes les versions des logiciels OpenSSL sorties depuis mars 2012. Et que son exploitation par des personnes mal intentionnées ne laisse aucune trace.

    MISE À JOUR DE NOMBREUX SITES

    Beaucoup de sites concernés par le problème ont, depuis l'annonce, dit avoir effectué la mise à jour nécessaire pour combler la faille de sécurité. Cela signifie que les utilisateurs de ces sites, dont les données ont pu être avant cela accessibles aux pirates en raison de Heartbleed, peuvent désormais changer leurs identifiants et leurs mots de passe. Cela afin d'être sûr que personne ne puisse se servir des données qui auraient pu être obtenues en exploitant le bug, entre mars 2012 et le 7 avril.

    « Si des personnes se sont identifiées sur un de ces services pendant un moment où il était vulnérable, il y a un risque pour que le mot de passe ait été récolté. C'est une bonne idée de changer ses mots de passe sur tous les portails qui ont fait la mise à jour d'OpenSSL », assure un expert en sécurité informatiqueà la BBC.

    Parmi les sites ci-dessous, plusieurs ont d'ailleurs explicitement demandé à leurs utilisateurs de mettre à jour leurs informations d'identification. D'autres ont simplement dit avoir comblé la faille de sécurité, sans préciser s'il fallait ou non changer ses identifiants.

    Puisque, de l'aveu même des ingénieurs de Google ayant découvert Heartbleed, « l'exploitation de ce bug [par des pirates] ne laisse aucune trace anormale » et est indétectable, nous vous conseillons de créer un nouveau mot de passe (qui ne soit pas « motdepasse » ou « 123456 ») pour tous les sites ayant annoncé avoir fait une mise à jour d'OpenSSL.

    • Facebook. Selon la déclaration du réseau socialà Mashable : « Nous avons protégé notre protocole OpenSSL avant que le problème ne soit rendu public[grâce à des informations partagées directement par des ingénieurs de Google travaillant sur OpenSSL]. Nous n'avons pas détecté d'activités suspectes sur des comptes Facebook liées à ce bug. Néanmoins, nous encourageons les utilisateurs de profiter de ce moment pour mettre en place un nouveau mot de passe unique pour Facebook. »
    • Google, et plus précisément ses applications Gmail, YouTube, Wallet, Play« Nous avons évalué la vulnérabilité d'OpenSSL et avons décidé d'appliquer un patch de sécurité aux services-clés de Google, comme la recherche, Gmail, YouTube, Wallet, Play, Apps, et App Engine », déclarent les équipes de sécurité de Google sur leur blog.
    • Yahoo!, dont les services Yahoo Mail, Flickr et Tumblr sont concernés, dit que « les corrections appropriées ont été apportées à tout le portail ». Les équipes de Tumblr poussent leurs utilisateurs à changer tous leurs mots de passe sur tous les sites Internet.
    • Airbnb et Netflix.The Wall Street Journal rapporte que ces deux services ont mis à jour leur protocole OpenSSL après la publication de l'alerte lundi 7 avril.
    • Dropbox. Le service de stockage en ligne a expliquéavoir fait une mise à jour de sécurité pour tous ses services.
    • Pinterest. « Nous avons réparé le problème sur Pinterest.com et n'avons trouvé aucune preuve de fraude. Néanmoins, pour être prudent, nous avons envoyé à des utilisateurs qui auraient pu être concerné des e-mails pour qu'ils changent leurs mots de passe », ont expliqué les équipes du réseau social à Mashable.
    • Instagram. « Nos équipes de sécurité ont travaillé rapidement pour réparer le problème, et nous n'avons pas trouvé de preuves comme quoi un compte utilisateur avait été affecté. Mais, puisque cet événément a un impact sur de nombreux services, nous recommandons que vous changiez votre mot de passe sur Instagram, particulièrement si vous utilisez le même sur d'autres sites », peut-on liresur Mashable.
    • Twitter. Le réseau social assure que « ses serveurs et ses API n'ont pas été affectés par la vulnérabilité », mais a néanmoins déclaré à Mashable avoir mis à jour ses protocoles OpenSSL.
    • Ou encore, selon les informations récoltées par Mashable, les sites Etsy,GitHub, IFTTT, le jeu vidéo Minecraft, le service de rencontre OKCupid, SoundCloud.

    Note : cette liste est susceptible d'être mise à jour, des services comme WordPress ayant dit qu'ils étaient toujours en train d'appliquer les correctifs adéquats.

    http://www.lemonde.fr/technologies/article/2014/04/11/faille-heartbleed-les-sites-pour-lesquels-il-est-conseille-de-changer-son-mot-de-passe_4399564_651865.html

    Et pour les anglophones...

    "The Heartbleed Bug

    The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. This weakness allows stealing the information protected, under normal conditions, by the SSL/TLS encryption used to secure the Internet. SSL/TLS provides communication security and privacy over the Internet for applications such as web, email, instant messaging (IM) and some virtual private networks (VPNs).

    The Heartbleed bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versions of the OpenSSL software. This compromises the secret keys used to identify the service providers and to encrypt the traffic, the names and passwords of the users and the actual content. This allows attackers to eavesdrop on communications, steal data directly from the services and users and to impersonate services and users.

    What leaks in practice?

    We have tested some of our own services from attacker's perspective. We attacked ourselves from outside, without leaving a trace. Without using any privileged information or credentials we were able steal from ourselves the secret keys used for our X.509 certificates, user names and passwords, instant messages, emails and business critical documents and communication.

    How to stop the leak?

    As long as the vulnerable version of OpenSSL is in use it can be abused. Fixed OpenSSL has been released and now it has to be deployed. Operating system vendors and distribution, appliance vendors, independent software vendors have to adopt the fix and notify their users. Service providers and users have to install the fix as it becomes available for the operating systems, networked appliances and software they use.


    Q&A

    What is the CVE-2014-0160?

    CVE-2014-0160 is the official reference to this bug. CVE (Common Vulnerabilities and Exposures) is the Standard for Information Security Vulnerability Names maintained by MITRE. Due to co-incident discovery a duplicate CVE, CVE-2014-0346, which was assigned to us, should not be used, since others independently went public with the CVE-2014-0160 identifier.

    Why it is called the Heartbleed Bug?

    Bug is in the OpenSSL's implementation of the TLS/DTLS (transport layer security protocols) heartbeat extension (RFC6520). When it is exploited it leads to the leak of memory contents from the server to the client and from the client to the server.

    What makes the Heartbleed Bug unique?

    Bugs in single software or library come and go and are fixed by new versions. However this bug has left large amount of private keys and other secrets exposed to the Internet. Considering the long exposure, ease of exploitation and attacks leaving no trace this exposure should be taken seriously.

    Is this a design flaw in SSL/TLS protocol specification?

    No. This is implementation problem, i.e. programming mistake in popular OpenSSL library that provides cryptographic services such as SSL/TLS to the applications and services.

    What is being leaked?

    Encryption is used to protect secrets that may harm your privacy or security if they leak. In order to coordinate recovery from this bug we have classified the compromised secrets to four categories: 1) primary key material, 2) secondary key material and 3) protected content and 4) collateral.

    What is leaked primary key material and how to recover?

    These are the crown jewels, the encryption keys themselves. Leaked secret keys allows the attacker to decrypt any past and future traffic to the protected services and to impersonate the service at will. Any protection given by the encryption and the signatures in the X.509 certificates can be bypassed. Recovery from this leak requires patching the vulnerability, revocation of the compromised keys and reissuing and redistributing new keys. Even doing all this will still leave any traffic intercepted by the attacker in the past still vulnerable to decryption. All this has to be done by the owners of the services.

    What is leaked secondary key material and how to recover?

    These are for example the user credentials (user names and passwords) used in the vulnerable services. Recovery from this leaks requires owners of the service first to restore trust to the service according to steps described above. After this users can start changing their passwords and possible encryption keys according to the instructions from the owners of the services that have been compromised. All session keys and session cookies should be invalided and considered compromised.

    What is leaked protected content and how to recover?

    This is the actual content handled by the vulnerable services. It may be personal or financial details, private communication such as emails or instant messages, documents or anything seen worth protecting by encryption. Only owners of the services will be able to estimate the likelihood what has been leaked and they should notify their users accordingly. Most important thing is to restore trust to the primary and secondary key material as described above. Only this enables safe use of the compromised services in the future.

    What is leaked collateral and how to recover?

    Leaked collateral are other details that have been exposed to the attacker in the leaked memory content. These may contain technical details such as memory addresses and security measures such as canaries used to protect against overflow attacks. These have only contemporary value and will lose their value to the attacker when OpenSSL has been upgraded to a fixed version.

    Recovery sounds laborious, is there a short cut?

    After seeing what we saw by "attacking" ourselves, with ease, we decided to take this very seriously. We have gone laboriously through patching our own critical services and are in progress of dealing with possible compromise of our primary and secondary key material. All this just in case we were not first ones to discover this and this could have been exploited in the wild already.

    How revocation and reissuing of certificates works in practice?

    If you are a service provider you have signed your certificates with a Certificate Authority (CA). You need to check your CA how compromised keys can be revoked and new certificate reissued for the new keys. Some CAs do this for free, some may take a fee.

    Am I affected by the bug?

    You are likely to be affected either directly or indirectly. OpenSSL is the most popular open source cryptographic library and TLS (transport layer security) implementation used to encrypt traffic on the Internet. Your popular social site, your company's site, commerce site, hobby site, site you install software from or even sites run by your government might be using vulnerable OpenSSL. Many of online services use TLS to both to identify themselves to you and to protect your privacy and transactions. You might have networked appliances with logins secured by this buggy implementation of the TLS. Furthermore you might have client side software on your computer that could expose the data from your computer if you connect to compromised services.

    How widespread is this?

    Most notable software using OpenSSL are the open source web servers like Apache and nginx. The combined market share of just those two out of the active sites on the Internet was over 66% according to Netcraft's April 2014 Web Server Survey. Furthermore OpenSSL is used to protect for example email servers (SMTP, POP and IMAP protocols), chat servers (XMPP protocol), virtual private networks (SSL VPNs), network appliances and wide variety of client side software. Fortunately many large consumer sites are saved by their conservative choice of SSL/TLS termination equipment and software. Ironically smaller and more progressive services or those who have upgraded to latest and best encryption will be affected most. Furthermore OpenSSL is very popular in client software and somewhat popular in networked appliances which have most inertia in getting updates.

    What versions of the OpenSSL are affected?

    Status of different versions:

    • OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
    • OpenSSL 1.0.1g is NOT vulnerable
    • OpenSSL 1.0.0 branch is NOT vulnerable
    • OpenSSL 0.9.8 branch is NOT vulnerable

    Bug was introduced to OpenSSL in December 2011 and has been out in the wild since OpenSSL release 1.0.1 on 14th of March 2012. OpenSSL 1.0.1g released on 7th of April 2014 fixes the bug.

    How common are the vulnerable OpenSSL versions?

    The vulnerable versions have been out there for over two years now and they have been rapidly adopted by modern operating systems. A major contributing factor has been that TLS versions 1.1 and 1.2 came available with the first vulnerable OpenSSL version (1.0.1) and security community has been pushing the TLS 1.2 due to earlier attacks against TLS (such as the BEAST).

    How about operating systems?

    Some operating system distributions that have shipped with potentially vulnerable OpenSSL version:

    • Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
    • Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
    • CentOS 6.5, OpenSSL 1.0.1e-15
    • Fedora 18, OpenSSL 1.0.1e-4
    • OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
    • FreeBSD 10.0 - OpenSSL 1.0.1e 11 Feb 2013
    • NetBSD 5.0.2 (OpenSSL 1.0.1e)
    • OpenSUSE 12.2 (OpenSSL 1.0.1c)

    Operating system distribution with versions that are not vulnerable:

    • Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14
    • SUSE Linux Enterprise Server
    • FreeBSD 8.4 - OpenSSL 0.9.8y 5 Feb 2013
    • FreeBSD 9.2 - OpenSSL 0.9.8y 5 Feb 2013
    • FreeBSD 10.0p1 - OpenSSL 1.0.1g (At 8 Apr 18:27:46 2014 UTC)
    • FreeBSD Ports - OpenSSL 1.0.1g (At 7 Apr 21:46:40 2014 UTC)

    How can OpenSSL be fixed?

    Even though the actual code fix may appear trivial, OpenSSL team is the expert in fixing it properly so latest fixed version 1.0.1g or newer should be used. If this is not possible software developers can recompile OpenSSL with the handshake removed from the code by compile time option -DOPENSSL_NO_HEARTBEATS.

    Should heartbeat be removed to aid in detection of vulnerable services?

    Recovery from this bug could benefit if the new version of the OpenSSL would both fix the bug and disable heartbeat temporarily until some future version. It appears that majority if not almost all TLS implementations that respond to the heartbeat request today are vulnerable versions of OpenSSL. If only vulnerable versions of OpenSSL would continue to respond to the heartbeat for next few months then large scale coordinated response to reach owners of vulnerable services would become more feasible.

    Can I detect if someone has exploited this against me?

    Exploitation of this bug leaves no traces of anything abnormal happening to the logs.

    Can IDS/IPS detect or block this attack?

    Although the content of the heartbeat request is encrypted it has its own record type in the protocol. This should allow intrusion detection and prevention systems (IDS/IPS) to be trained to detect use of the heartbeat request. Due to encryption differentiating between legitimate use and attack can not be based on the content of the request, but the attack may be detected by comparing the size of the request against the size of the reply. This seems to imply that IDS/IPS can be programmed to detect the attack but not to block it unless heartbeat requests are blocked altogether.

    Has this been abused in the wild?

    We don't know. Security community should deploy TLS/DTLS honeypots that entrap attackers and to alert about exploitation attempts.

    Can attacker access only 64k of the memory?

    There is no total of 64 kilobytes limitation to the attack, that limit applies only to a single heartbeat. Attacker can either keep reconnecting or during an active TLS connection keep requesting arbitrary number of 64 kilobyte chunks of memory content until enough secrets are revealed.

    Is this a MITM bug like Apple's goto fail bug was?

    No this doesn't require a man in the middle attack (MITM). Attacker can directly contact the vulnerable service or attack any user connecting to a malicious service. However in addition to direct threat the theft of the key material allows man in the middle attackers to impersonate compromised services.

    Does TLS client certificate authentication mitigate this?

    No, heartbeat request can be sent and is replied to during the handshake phase of the protocol. This occurs prior to client certificate authentication.

    Does OpenSSL's FIPS mode mitigate this?

    No, OpenSSL Federal Information Processing Standard (FIPS) mode has no effect on the vulnerable heartbeat functionality.

    Does Perfect Forward Secrecy (PFS) mitigate this?

    Use of Perfect Forward Secrecy (PFS), which is unfortunately rare but powerful, should protect past communications from retrospective decryption. Please see https://twitter.com/ivanristic/status/453280081897467905 how leaked tickets may affect this.

    Can heartbeat extension be disabled during the TLS handshake?

    No, vulnerable heartbeat extension code is activated regardless of the results of the handshake phase negotiations. Only way to protect yourself is to upgrade to fixed version of OpenSSL or to recompile OpenSSL with the handshake removed from the code.

    Who found the Heartbleed Bug?

    This bug was independently discovered by a team of security engineers (Riku, Antti and Matti) at Codenomicon and Neel Mehta of Google Security, who first reported it to the OpenSSL team. Codenomicon team found heartbleed bug while improving the SafeGuard feature in Codenomicon's Defensics security testing tools and reported this bug to the NCSC-FI for vulnerability coordination and reporting to OpenSSL team.

    What is the Defensics SafeGuard?

    The SafeGuard feature of the Codenomicon's Defensics security testtools automatically tests the target system for weaknesses that compromise the integrity, privacy or safety. The SafeGuard is systematic solution to expose failed cryptographic certificate checks, privacy leaks or authentication bypass weaknesses that have exposed the Internet users to man in the middle attacks and eavesdropping. In addition to the Heartbleed bug the new Defensics TLS Safeguard feature can detect for instance the exploitable security flaw in widely used GnuTLS open source software implementing SSL/TLS functionality and the "goto fail;" bug in Apple's TLS/SSL implementation that was patched in February 2014.

    Who coordinates response to this vulnerability?

    NCSC-FI took up the task of reaching out to the authors of OpenSSL, software, operating system and appliance vendors, which were potentially affected. However, this vulnerability was found and details released independently by others before this work was completed. Vendors should be notifying their users and service providers. Internet service providers should be notifying their end users where and when potential action is required.

    Is there a bright side to all this?

    For those service providers who are affected this is a good opportunity to upgrade security strength of the secret keys used. A lot of software gets updates which otherwise would have not been urgent. Although this is painful for the security community, we can rest assured that infrastructure of the cyber criminals and their secrets have been exposed as well.

    Where to find more information?

    This Q&A was published as a follow-up to the OpenSSL advisory, since this vulnerability became public on 7th of April 2014. The OpenSSL project has made a statement at https://www.openssl.org/news/secadv_20140407.txt. NCSC-FI published an advisory at https://www.cert.fi/en/reports/2014/vulnerability788210.html. Individual vendors of operating system distributions, affected owners of Internet services, software packages and appliance vendors may issue their own advisories.

    References

    Page updated 2014-04-11 14:20 UTC."

    http://heartbleed.com/

     

    "Heartbleed", la faille sur le logiciel OpenSSL qui affole les spécialistes informatiques

    Un homme surfe sur internet à Pékin, le 15 juin 2009 (archives). AFP / FREDERIC J. BROWN

    Un homme surfe sur internet à Pékin, le 15 juin 2009 (archives). AFP / FREDERIC J. BROWN

    Des spécialistes informatiques ont mis en garde contre une importante faille dans un logiciel d'encodage utilisé par la moitié des sites internet, pour protéger ses mots de passe ou numéros de carte bancaire.

    Une faille, baptisée "heartbleed" ("coeur qui saigne"), affole les spécialistes informatiques. Elle a été découverte sur le logiciel de cryptage OpenSSL, qui est utilisé notamment pour protéger ses mots de passe et ses numéros de carte bancaire. Cette faille permettrait aux pirates de récupérer ces données en passant par la mémoire des serveurs de l'ordinateur, selon des spécialistes de la société de sécurité informatique Fox-IT.

    Le logiciel est utilisé par la moitié des sites web, mais la faille n'existe pas sur toutes les versions. "Le nombre d'attaques qu'ils peuvent effectuer est sans limite", indique Fox-It dans un billet recensant les procédures à suivre pour repousser les incursions. Parmi les informations susceptibles d'êtres récupérées par les pirates figurent le code source (instructions pour le microprocesseur), les mots de passe, et les "clés" utilisées pour déverrouiller des données cryptées ou imiter un site.

    Eviter d'utiliser internet pendant quelques jours

    "Ce sont les joyaux de la couronne, les clés d'encodage elles-mêmes", souligne le site heartbleed.com qui détaille les vulnérabilités de la faille. Ces clés "permettent aux pirates de décrypter tous les trafics, passés et à venir, vers les services protégés et d'imiter ces services".


    Grâce à cette faille, des chercheurs en sécurité informatique ont rapporté avoir été capables de récupérer des informations de mots de passe de Yahoo!, qui a précisé mardi avoir pu résoudre le problème. Selon Fox-IT, cette faille existe depuis deux ans environ.

    Un billet sur le site Tor Project, qui milite pour l'anonymat en ligne, exhorte ceux qui ont des besoins élevés en matière de protection en ligne d'éviter d'utiliser internet pendant quelques jours, afin de permettre aux sites et aux serveurs d'améliorer leur sécurité."

    http://www.rtl.fr/actualites/info/informatique/article/heartbleed-la-faille-sur-le-logiciel-openssl-qui-affole-les-specialistes-informatiques-7771055819

     

    Comme quoi...

    Bien à vous.

    PGR

     

     

    Partager via Gmail Delicious Technorati Yahoo! Google Bookmarks Blogmarks Pin It

    votre commentaire
  • Bonjour à tous,

     

    Qu'est ce que le "Cloud Computing" ?

    http://www.salesforce.com/fr/cloudcomputing/

    Partager via Gmail Delicious Technorati Yahoo! Google Bookmarks Blogmarks Pin It

    votre commentaire
  • Bonjour à tous,

    Une nouvelle rubrique pour une actualité encore davantage pertinent.

    "Qu’est-ce que le web 2.0 ?

    Par le 29/09/05 | 98 commentaires | 153,108 lectures | Impression

    Web 2.0. Voila le terme à la mode, la promesse d’un nouveau web, d’une révolution comme d’une nouvelle version de l’internet. Phénomène réel reposant sur un changement technologique et une rupture d’échelle liée la croissance du nombre d’utilisateurs ou récupération marketing de technologies anciennes rafraichies par un nouvel engouement public, comme le regrettent François Briatte, François Hodierne ou Olivier Meunier ? Le web 2.0 préfigure-t-il seulement une bulle 2.0 ?

    Difficile de comprendre également quel est ce web 2.0 dont tout le monde parle, tant les définitions semblent s’opposer. Comme le souligne l’animateur d’Homo-Numéricus : “On voit bien qu’il s’agit d’un même phénomène, mais aux multiples dimensions. Certains insistent sur la dimension technique, d’autre sur les pratiques éditoriales, d’autre encore sur la dimension sociologique.” D’un côté, il est vu comme le basculement des techniques vers des services, de l’autre il représente un nouveau réseau d’interaction sociale. Dans les deux cas pourtant, il replace l’utilisateur et ses relations avec les autres, plutôt qu’avec des contenus ou des machines, au centre de l’internet. Le web 2.0 est résolument relationnel.

    L’éditeur Tim O’reilly rappelle certainement le mieux d’où vient la formule : à son origine, le terme “web 2.0″ capturait le sentiment commun selon lequel il se passait quelque chose de qualitativement différent sur le web d’aujourd’hui. Pour lui, comme pour l’ancien rédacteur en chef de Wired, Kevin Kelly, la clef du succès dans cette nouvelle étape de l’évolution du web réside dans l’intelligence collective. “Le web 2.0 repose sur un ensemble de modèles de conception : des systèmes architecturaux plus intelligents qui permettent aux gens de les utiliser, des modèles d’affaires légers qui rendent possible la syndication et la coopération des données et des services… Le web 2.0 c’est le moment où les gens réalisent que ce n’est pas le logiciel qui fait le web, mais les services !”

    Vu par les techniciens de l’internet, le “nouveau” web a pour objectif de rendre les sites web compréhensibles par des machines via un ensemble de technologies (pour résumer, celles du “web sémantique”) qui permettent d’agréger ou de partager des services et des contenus, de refondre les interfaces, etc. Vu par les designers, le web 2.0 parle de l’amélioration de l’expérience utilisateur. Ainsi, pour Frédéric Cavazza, spécialiste d’utilisabilité et d’ergonomie, le web 2.0 combine, d’un côté, une amélioration des interfaces utilisateurs et de l’autre, des architectures plus flexibles, des protocoles de communication plus ouverts (web services), une interopérabilité plus poussée… Le web 2.0 repose sur une multitude de petites améliorations technologiques (la révolution AJAX, comme disait récemment encore Wired), ergonomiques (interfaces riches), sémantiques (micro-formats)… qui donnent des résultats d’une grande souplesse d’utilisation comme NetVibes par exemple, un agrégateur en ligne utilisant ces techniques.

    A qui s’adresse en définitive le Web 2.0, se demande alors le consultant en “usabilité” Peter Merholz ? Aux ordinateurs, comme le clame Jeff Bezos d’Amazon, ou bien aux utilisateurs auxquels il confère un pouvoir nouveau ? Joshua Porter se range résolument du côté des utilisateurs : technologiquement, rien d’essentiel n’a changé sur l’internet depuis 10 ans. L’essence du “nouveau web” réside dans ce qu’en font aujourd’hui les gens. Pour lui, le web 2.0 c’est le partage de l’information, fondé sur des bases de données ouvertes qui permettent à d’autres utilisateurs de les employer.

    Dannah Boyd, sociologue et chercheuse chez Yahoo!, s’intéresse moins à la distinction machines/humains qu’à la “glocalisation” : la glocalisation c’est quand un produit global est également adapté aux particularités locales, quand il restitue à la globalisation sa dimension sociale. En mettant en avant, par exemple, les Folksonomies qui permettent d’ajouter des mots clefs à des contenus, ou le rôle du remix, elle s’intéresse aux “nouvelles structures de réseau qui émergent des structures globales et locales”. Le web 2.0 donne aux gens la possibilité de trouver, organiser, partager et créer de l’information d’une manière à la fois personnelle et globalement accessible. Il est alors entendu comme une “variation structurale dans l’écoulement de l’information”.

    Pour Ian Davis, enfin, le web 2.0 est une attitude, une philosophie d’ouverture sociale dont le but est d’abandonner le contrôle individuel sur les choses au profit de la participation du plus grand nombre.

    Pour tous, le web 2.0 est une plate-forme d’innovation qui fait en quelque sorte du web un système d’exploitation. Richard Marcus, de Web 2.0 Explorer, met tout le monde d’accord : que ce soit celles des techniciens, des sociologues, des web designers, des philosophes, des éducateurs, des businessmen… toutes les définitions du web 2.0 comptent, comme le souligne aussi Richard MacManus qui en a répertorié beaucoup.

    “Le web 2.0 est social, est ouvert (ou il le devrait), il vous laisse le contrôle de vos données, il mélange le global au local. Le web 2.0 correspond à de nouvelles interfaces – de nouvelles manières de rechercher et d’accéder au contenu. Le web 2.0 est une plateforme – et pas seulement pour que les développeurs créent des applications comme Gmail ou Flickr. Le web 2.0 est une plateforme prête à recevoir les éducateurs, les médias, la politique, les communautés, pour pratiquement chacun en fait !
    [...] Le web 2.0 c’est tout cela et ne laissez personne vous dire que c’est l’une ou l’autre de ces définitions. Le web 2.0 parle des personnes, quand le web descend à eux.”

    Dans son excellent article “Web 2.0 : la puissance derrière le battage médiatique” (“Web 2.0 : The Power Behind the Hype”), le webdesigner Jared M. Spool va dans le même sens : le web 2.0 n’est pas une chose, mais une collection d’approches, qui toutes convergent sur un monde de nouveaux développements. Ces approches, y compris les API, RSS, Folksonomies, Réseaux sociaux…, proposent soudainement aux créateurs d’applications une nouvelle manière d’approcher des problèmes complexes avec des résultats étonnemment efficaces.

    Le web 2.0 n’est pas une révolution technique accessible aux seuls développeurs. Il repose sur des outils simples d’utilisation centrés sur l’utilisateur. J’ajouterais même, sur l’utilisateur en réseau. Car cet individu n’est pas atomisé, mais bien relié aux communautés qui sont les siennes.

    La souplesse du concept englobe un peu toutes les innovations actuelles du web en en régénérant l’attrait. Un peu comme les modernes chassent les modernes. Un peu comme l’internet nouvelle nouvelle génération chasse l’internet nouvelle génération, lui-même chassant l’internet… Tout en permettant à tous de coexister.

    Dans ce nouveau départ, dans cette nouvelle vague de réappropriation du web, ne faut-il pas voir tout simplement que l’internet devient enfin un horizon où projeter ses attentes. Que le web devient non plus une aventure technologique, mais bien une aventure humaine."

    http://www.internetactu.net/2005/09/29/quest-ce-que-le-web-20/

     

    Bonne lecture.

    Bien à vous.

    PGR

    Partager via Gmail Delicious Technorati Yahoo! Google Bookmarks Blogmarks

    1 commentaire


    Suivre le flux RSS des articles de cette rubrique
    Suivre le flux RSS des commentaires de cette rubrique