PROJET AUTOBLOG


Le blog de Seboss666

Site original : Le blog de Seboss666

⇐ retour index

Vous connaissez le Courrier du Hacker ?

mardi 9 juillet 2019 à 18:30

Carl Chenet est un acteur beaucoup plus impliqué que moi dans ce qu’on appelle encore la Communauté du Logiciel Libre, que ce soit via son blog, le site LinuxJobs pour les chercheurs d’emploi, et le Journal du Hacker dont j’ai déjà eu l’occasion de parler à maintes reprises, même si peu en détails. Il m’a recontacté récemment pour demander si je m’étais intéressé au Courrier du hacker; et si j’avais vu passer les annonces de loin, ça ne m’intéressait pas plus que ça. Pourtant, ça pourrait VOUS intéresser !

Au commencement, était le Journal du Hacker

Le constat de Carl, c’est qu’il n’existait pas de site à la Hacker News, site américain existant depuis fort fort longtemps, en langue française. En bon développeur et contributeur qu’il est, il a trouvé une base de code sur laquelle capitaliser pour lancer sont propre « Hacker News », d’abord appelé Journal du Pirate.

Le concept, ce sont les utilisateurs qui partagent les articles qu’ils trouvent intéressants, et peuvent voter pour augmenter la visibilité des articles postés par les autres, ainsi que les commenter. Le site de plus propose un flux RSS pour suivre les nouveaux liens, ce qui me plaît particulièrement puisque cette technologie est mon outil principal de veille. Il est donc vrai que je ne contribue que très peu, principalement par manque de temps, pourtant certains utilisateurs partagent volontiers mes articles dessus, et il n’est pas rare qu’il soit majoritaire sur Twitter en termes de sources de visites enregistrées par Matomo :

Ça c’est sur le mois de Juin 🙂

Ajoutez à ça un relai des articles sur Twitter, Diaspora* et Mastodon, et vous pouvez booster la visibilité d’un article de manière assez impressionnante. Le « JdH » va bientôt avoir cinq ans et son succès ne se dément pas, longue vie à lui 🙂

Le besoin de curation

Avec le succès grandissant, le nombre de liens quotidiens devient important, je ne lis pas tout, si le titre me plaît, soit j’ai le temps de le lire tout de suite, soit je le garde en « non-lu » dans FreshRSS le temps d’être à la cool (ou sur un écran confortable, plus que celui de mon smartphone). Mais ça fait encore beaucoup, et parfois, on aime avoir des outils qui feraient le tri.

Les votes sur le site sont déjà une forme de tri, mais ça casse un peu la temporalité, et un article sorti un peu trop tôt risque de ne pas être bien noté tout de suite, et quand sa pertinence sera totale, il ne sera pas remonté car trop ancien et déjà oublié, dommage. Cette notion de tri et de sélection, c’est ce qu’on appelle la curation.

C’est un peu ce que je fais déjà avec mes propres billets « Liens en vrac et en Français », pour ceux qui suivent le JdH il est évident que plusieurs des articles relayés ont été découverts par ce biais. Ça reste toutefois ma sélection, avec mes centres d’intérêts, et parfois une emphase volontairement mise sur un sujet en particulier quand le nombre d’articles le justifie. Et un point de vue unique n’est jamais bon pour nourrir un cerveau, ou plusieurs dans le cas d’une publication.

Carl opérait déjà lui aussi un début de curation, via ses propres billets de blog « Liens intéressants du Journal du Hacker », hebdomadaires, mais la diffusion n’est pas optimale, le blog n’a pas vocation à être un canal de diffusion prioritaire pour un contenu en lien avec le JdH.

Ah, cette bonne vieille newsletter

Le concept de newsletter remonte à loin, très loin, et même s’il a été dévoyé à des fins de marketing, de ciblage publicitaire honteux (qui n’a pas été agressé par un popup à l’arrivée sur un site vous demandant votre adresse mail pour recevoir des informations et/ou des bons plans par mail ?), il reste un outil qui s’avère particulièrement adapté pour l’exercice qu’effectuait Carl. Admirez plutôt : au lieu d’avoir à surveiller une publication sur un blog, vous recevez directement, dans votre boite mail, une sélection hebdomadaire des meilleurs liens du Journal du Hacker. En clair, vous n’avez plus à aller chercher le contenu, il vient à vous, et même si je n’en ai pas directement besoin, j’avoue que j’aime ce fonctionnement, qui me rappelle mon article sur les notifications.

Ajoutez à ça la possibilité de consulter les archives des précédents numéros sur un site web dédié, ainsi qu’un partage de ces mêmes archives sur les mêmes réseaux sociaux mentionnés plus haut, et vous avez là un outil très appréciable, et manifestement très apprécié si l’on en croit les chiffres remontés par Carl. Les archives sont notamment pratiques si on veut se faire une idée avant de s’inscrire, voire choper un ou deux trucs intéressants qui datent d’avant son inscription.

Mieux, je disais que le concept avait été dévoyé par les publicitaires, qui s’amusent à tenter de profiler un max et revendre les profils associés aux adresses, augmentant dès lors la probabilité de se faire inonder de merde dans sa boite mail. Ici ça n’est pas le cas, il n’y a donc aucun risque, le seul que vous aurez, c’est d’être hébergé chez Microsoft qui pourra facilement décider de placer le Courrier dans les spams, voire pire en quarantaine (et je peux vous dire que c’est merdique comme système, au boulot on a des mails clients qui finissent en quarantaine, on est prévenu que plusieurs jours après).

Ça ne coûte rien d’essayer, ni même de l’adopter

Pour l’instant je préfère continuer de fonctionner à ma manière, avec le flux RSS du JdH. Mais dans tous les cas, vous ne perdrez rien, ou vraiment pas grand chose à part du temps, à l’essayer si vous souhaitez aborder votre veille dans d’autres conditions : le mail sort généralement le vendredi, vous laissant le week-end pour découvrir les articles à la cool. Et la désinscription est aussi simple que l’inscription, pensez-y quand vous demanderez à un site X d’aller supprimer votre adresse et demander aux partenaires à qui elle a été vendue d’en faire de même… Un grand merci donc à Carl pour son implication à rendre notre consommation d’information plus agréable 🙂

PS : si vous cherchez encore le lien pour vous inscrire, autant que je le remette ici : Courrier du Hacker

Writeup #LeHACK 2019, StegCryptoDIY #1

mardi 9 juillet 2019 à 13:41

Autre challenge du wargame de LeHACK, dont j’avais perdu certains éléments mais que j’ai refait ce matin (j’avais gardé le matériau de base), un « simple » exercice de stéganographie, comme son nom l’indique. En deux parties, mais je n’ai validé que la première.

Voici donc l’image qui servait de base à ce challenge en deux parties :

Les couleurs auraient pu indiquer quelque chose au niveau des pixels, mais rien à noter quand on joue avec les outils de GIMP. Pareil dans les métadonnées, cependant, en repassant sur un basique strings, on découvre un truc :

$ strings leHACK19_chall.png
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

Et dans l’intitulé, on nous dit que Dumb et Dumby cherchent à communiquer de manière sécurisée. Ben voilà, on a un début de piste. Je stocke cette chaîne dans un fichier test.txt, et j’ai joué la carte de l’évidence, et tenté le base64 :

$ base64 -d test.txt > result.txt
$ cat result.txt
v�N = 11755068944142969498743245984761181325605304625286958721391766091283132398437645038349775898923465331260308064611167926187399384723360941883732174901666803 ,g1 = 3808819505564999545252623631192503212186598088555343738111165382623421720119837544658173822461834076347795159366593177669058705087266898444818926668584519, g2 = 8721787400327783748014849037626039397807612372804016643653047575976009827003447778861262036752326827613078346225192581708240820325867658742078694445677877 I use this functons for enciphering our skey : encipher(int.from_bytes(skey,'big'),g1,g2,N) with def encipher(m,g1,g2,N): s1=random.randrange(2**127,2**128) s2=random.randrange(2**127,2**128) return (m*pow(g1,s1,N))%N, (m*pow(g2,s2,N))%N and here is a flag: lehack2019{aef9556a575cc9de8fc9609bd034d63fe0a01470eb401378253f723bbc5cc16c}

Bon, lors de la validation du flag, il y a eu un léger couac, car en fait ils avaient paramétré les résultats pour que le plus évident, celui qu’on voit au bout de la ligne, soit la deuxième étape. Je suis allé voir les orgas, au début on m’a dit que non, surtout qu’on peut pas valider le deuxième tant qu’on a pas validé le premier, et pendant mon argumentation plusieurs compétiteurs sont venus se plaindre du même challenge. Ca a pris une seconde à faire la correction, et j’ai pu valider le challenge 🙂

Je n’ai par contre pas réussi à comprendre le fonctionnement pour la deuxième étape, c’est un algorithme mais comme je suis pas bon, et qu’il semble y avoir une composante random, je suis un peu perdu. Mais comme il semble que j’ai tous les éléments en ma possession, je pense me remettre dessus à froid pour voir si j’ai pas moyen de moyenner un truc.

Writeup #LeHACK 2019, 103spx

dimanche 7 juillet 2019 à 19:25

Autre challenge réussi à la sueur de mon front, ce challenge était beaucoup plus intéressant et m’a donné un peu de fil à retordre. Voyons donc comment je m’en suis sorti.

Le fichier à récupérer s’appelle « USB_a_analyser », sans extension, il fait 247Mo. File nous donne une première indication de ce à quoi on a affaire :

$ file USB_a_analyser 
USB_a_analyser: DOS/MBR boot sector, code offset 0x52+2, OEM-ID "NTFS    ", sectors/cluster 8, Media descriptor 0xf8, sectors/track 62, heads 8, dos < 4.0 BootSector (0x80), FAT (1Y bit by descriptor); NTFS, sectors/track 62, sectors 507903, $MFT start cluster 4, $MFTMirror start cluster 31743, bytes/RecordSegment 2^(-1*246), clusters/index block 1, serial number 06d84ef355f47cf91

On a vraisemblablement affaire à une image d’un disque, mais les choses se compliquent quand on tente de faire l’inventaire détaillé des partitions :

$ sudo fdisk -l ./USB_a_analyser 
Disque ./USB_a_analyser : 248 MiB, 260046848 octets, 507904 secteurs
Unités : secteur de 1 × 512 = 512 octets
Taille de secteur (logique / physique) : 512 octets / 512 octets
taille d'E/S (minimale / optimale) : 512 octets / 512 octets
Type d'étiquette de disque : dos
Identifiant de disque : 0x00000000

J’attaque un basique « strings », et je vois un message intéressant :

Si un jour je relis ce message, le mot de passe utilis
 pour chiffrer mon plus grand secret 
tait "vgrohhfyek0wkfi5fv13anexapy3sso6" et j'av
s utilis
 openssl.
En revanche, j'ai effac
 par erreur le fichier contenant mon plus grand secret (voir s'il existe des techniques de la mort pour le retrouver mon fichier secret.xz sha256(0fb08681c2f8db4d3c127c4c721018416cc9f9b369d5f5f9cf420b89ee5dfe4e) de 136 octets) et de toute fa
on, impossible de me rappeler de l'algo utilis
 -_- (donc si je le retrouve... il faudra aussi retrouver l'algo pour utiliser ce mot de passe).

Beaucoup d’informations ici, on sait donc qu’il faut récupérer un fichier qui a été chiffré avec openssl avec le mot de passe mentionné. Certes on a pas le nom du fichier, ni l’algorithme utilisé, mais on s’en préoccupera plus tard. Dans ma trousse à outils il y a donc binwalk et foremost, qui se font un plaisir d’analyser le contenu d’un fichier pour en extraire d’autres. J’ai déjà pu extraire des photos cachées dans d’autres photos. Ils me trouvent des pages web avec photos de mobylettes (le nom du challenge n’est pas là par hasard), mais rien qui ressemble à un fichier chiffré avec openssl. Rien d’autre dans les strings, ce qui implique que le fichier n’est pas stocké en clair.

Il paraît qu’elle a fait rêver pas mal de jeunes 🙂

Le fichier semble contenir une ou plusieurs partitions, j’entreprends alors de chercher comment faire pour les monter directement depuis le fichier dans un dossier temporaire. Comme je l’ai dit la difficulté c’est que fdisk ne me donne pas de détails sur les offsets à indiquer pour le montage, et toutes mes recherches pointent sur le fait qu’il faut cette information. C’est alors que Djerfy me glisse une suggestion : « t’as essayé volatility ? »

A là base c’est une suite d’outils en python pour extraire quantité d’informations sur des systèmes majoritairement Windows, ce qui n’est pas si con puisque le fichier contient des partitions NTFS et FAT32. Je ne connaissais pas, je m’empresse d’installer, lis un peu la doc et l’aide embarquée, et j’en viens à ça :

$ volatility -f ./USB_a_analyser mftparser --output=body -D ./vol_extract --output-file=extract.body
$cat extract.body
(...)
0|[MFT STD_INFO] message.txt (Offset: 0x14000)|64|---a-----------|0|0|0|1562415259|1562415034|1562415159|1562415159
0|[MFT FILE_NAME] Peugeot103SPXFILI.jpg (Offset: 0x14400)|65|---a-----------|0|0|0|1562415159|1562415159|1562415159|1562415159
0|[MFT STD_INFO] Peugeot103SPXFILI.jpg (Offset: 0x14400)|65|---a-----------|0|0|0|1562415159|1562370380|1562415159|1562415159
0|[MFT FILE_NAME] .Trash-1000\files\secret.xz (Offset: 0x14800)|66|---a-----------|0|0|136|1562415159|1562414956|1562415159|1562415159
0|[MFT STD_INFO] .Trash-1000\files\secret.xz (Offset: 0x14800)|66|---a-----------|0|0|136|1562415159|1562414956|1562415256|1562415159
0|[MFT FILE_NAME] Peugeot 103 SPX : tous les modèles de 1987 à 2003 | Actualités de la mobylette par Mobylette Mag_files (Offset: 0x14c00)|67|---a---------D-|0|0|0|1562415169|1562415169|1562415169|1562415169
0|[MFT STD_INFO] Peugeot 103 SPX : tous les modèles de 1987 à 2003 | Actualités de la mobylette par Mobylette Mag_files (Offset: 0x14c00)|67|---a-----------|0|0|0|1562415222|1562415170|1562415170|1562415169
(...)

Mais c’est gentil de lui donner un tel nom ! On a donc un fichier secret.xz, supprimé comme l’indiquait l’indice original car dans un dossier « .Trash-1000 », il a été mis dans la corbeille (l’auteur aurait donc pu le récupérer, mais ça serait moins drôle pour nous). Par contre, alors que je passe l’option -D je n’arrive pas à récupérer le moindre fichier, rien dans le dossier « vol_extract » créé pour ce besoin. Rageant…

J’en vient à tenter le tout pour le tout : je monte directement le fichier dans un dossier avec le type ntfs. Ma surprise fut totale quand j’ai vu la commande se terminer sans erreur :

$ l tmp/.Trash-1000/files/
total 201K
drwxrwxrwx 1 root root 4,0K 06.07.2019 14:14  ./
drwxrwxrwx 1 root root    0 06.07.2019 14:14  ../
drwxrwxrwx 1 root root 4,0K 06.07.2019 14:13 "CERT-FR – Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques_files"/
drwxrwxrwx 1 root root 4,0K 06.07.2019 14:12 'Peugeot 103 — Wikipédia_files'/
-rwxrwxrwx 1 root root  33K 06.07.2019 14:13 "CERT-FR – Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques.html"*
-rwxrwxrwx 1 root root 151K 06.07.2019 14:12 'Peugeot 103 — Wikipédia.html'*
-rwxrwxrwx 1 root root  136 06.07.2019 14:09  secret.xz*

Eh oui, notre secret.xz est bien là. Je le copie donc sur mon disque, et l’extrait. Le fichier a bien été chiffré avec openssl :

$ file secret
secret: openssl enc'd data with salted password

Nous voilà donc à la phase finale : identifier l’algo utilisé pour chiffrer le secret. Le souci, c’est que ça va être trop compliqué d’aborder ça de manière artisanale :

$ openssl help
Standard commands
asn1parse         ca                ciphers           cms               
crl               crl2pkcs7         dgst              dhparam           
dsa               dsaparam          ec                ecparam           
enc               engine            errstr            gendsa            
genpkey           genrsa            help              list              
nseq              ocsp              passwd            pkcs12            
pkcs7             pkcs8             pkey              pkeyparam         
pkeyutl           prime             rand              rehash            
req               rsa               rsautl            s_client          
s_server          s_time            sess_id           smime             
speed             spkac             srp               storeutl          
ts                verify            version           x509              

Message Digest commands (see the `dgst' command for more details)
blake2b512        blake2s256        gost              md4               
md5               mdc2              rmd160            sha1              
sha224            sha256            sha3-224          sha3-256          
sha3-384          sha3-512          sha384            sha512            
sha512-224        sha512-256        shake128          shake256          
sm3               

Cipher commands (see the `enc' command for more details)
aes-128-cbc       aes-128-ecb       aes-192-cbc       aes-192-ecb       
aes-256-cbc       aes-256-ecb       aria-128-cbc      aria-128-cfb      
aria-128-cfb1     aria-128-cfb8     aria-128-ctr      aria-128-ecb      
aria-128-ofb      aria-192-cbc      aria-192-cfb      aria-192-cfb1     
aria-192-cfb8     aria-192-ctr      aria-192-ecb      aria-192-ofb      
aria-256-cbc      aria-256-cfb      aria-256-cfb1     aria-256-cfb8     
aria-256-ctr      aria-256-ecb      aria-256-ofb      base64            
bf                bf-cbc            bf-cfb            bf-ecb            
bf-ofb            camellia-128-cbc  camellia-128-ecb  camellia-192-cbc  
camellia-192-ecb  camellia-256-cbc  camellia-256-ecb  cast              
cast-cbc          cast5-cbc         cast5-cfb         cast5-ecb         
cast5-ofb         des               des-cbc           des-cfb           
des-ecb           des-ede           des-ede-cbc       des-ede-cfb       
des-ede-ofb       des-ede3          des-ede3-cbc      des-ede3-cfb      
des-ede3-ofb      des-ofb           des3              desx              
idea              idea-cbc          idea-cfb          idea-ecb          
idea-ofb          rc2               rc2-40-cbc        rc2-64-cbc        
rc2-cbc           rc2-cfb           rc2-ecb           rc2-ofb           
rc4               rc4-40            seed              seed-cbc          
seed-cfb          seed-ecb          seed-ofb          sm4-cbc           
sm4-cfb           sm4-ctr           sm4-ecb           sm4-ofb

On le voit dans la partie « Cipher commands », y’a du monde, je ne me vois pas tout faire à la main un par un. Et rien dans le contenu du fichier ne permet de guider un type d’algo plutôt qu’un autre.

J’ai donc extrait la liste de ces cipher commands, organisées dans un fichier, et j’ai là aussi tapé un script à l’arrache pour faire le boulot :

cat script.sh 
#!/bin/bash +x
for i in $(cat cipherlist.txt); do openssl $i -in secret -out "secret.${i}" -d -k vgrohhfyek0wkfi5fv13anexapy3sso6 ; done

J’ai en résultat, un fichier par cipher. Alors y’a beaucoup de fichiers, et malgré une taille identique pour beaucoup d’entre eux, la somme de contrôle me dit qu’ils sont tous différents. Je me rabats donc sur un classique mais toujours efficace grep afin de pouvoir identifier mon vainqueur :

$ grep lh_ secret.*
secret.aes-192-ecb:flag : lh_6c31ba64e522b5f9326b7bee0abef6547f60d214

Et voilà 🙂

Writeup #LeHACK 2019, WorldGolfChampion

dimanche 7 juillet 2019 à 08:06

En cette année 2019 le niveau des challenges était bien plus équilibré que l’année dernière qui était particulièrement ardue de l’aveu même des organisateurs. On a terminé cinquantième sur un peu plus de trois cents avec un score supérieur à zéro, et j’ai quelques faits d’arme à mon actif 🙂 Je ne vais pas tout écrire, à la limite je partagerai ceux des confrères (et je sauvegarderai aussi), on commence donc par un petit exercice au pays de Wireshark et de Keepass.

l’exercice repose donc sur un fichier pcap. L’analyse de celui-ci montre la présence d’une session telnet. On filtre donc dessus et on admire :

Ouais le thème de Wireshark en sombre c’est pas encore ça

Oui, connexion serveur avec login, mot de passe, pas pour rien qu’ont dit qu’il faut préférer SSH. En regardant les commandes il tente d’ouvrir un coffre fort Keepass, sans grand succès, manifestement il ne se souvient pas de son mot de passe, c’est dommage parce qu’à cause de telnet on voit pas mal de choses en clair. Pire, pour une raison que j’ignore, il nous affiche un base64 du fichier, c’est magique, on peut le récupérer :

$ echo "A9mimmf7S7UBAAMAAhAAMcHy5r9xQ1C........." |base64 -d > keepass.kdbx
$ file keepass.kdbx
keepass.kdbx: Keepass password database 2.x KDBX

Il reste alors à l’attaquer, sans surprise les mots de passes présents dans la capture ne fonctionnent pas. Il y a donc eu un petit moment de flottement à bases de recherche de techniques de bruteforce, via keepass2john, mais je n’ai pas réussi à le faire fonctionner. C’est alors qu’un voisin de circonstance, Gabin a eu l’idée déterminante : il s’avère que tous les mots de passe testés ont le même format (ouais la fatigue faisait déjà son office à ce moment-là), à savoir « woods » suivi de quatre chiffres. Il n’en fallait pas plus pour écrire un petit script de bruteforce à base de kpcli pour tester les 10000 combinaisons possibles, et bingo :

$ cat script.sh
#!/bin/bash

source /etc/profile

for i in $(seq -w 9999); do echo -ne "${i}\n"; echo "woods$i" | kpcli --kdb=keepass.kdbx && exit 0 ; done

$ ./script.sh
(...)
0179
Please provide the master password: *************************
Couldn't load the file keepass.kdbx: The database key appears invalid or else the database is corrupt.
0180
Please provide the master password: *************************
WARNING: There is an entry with a blank title in /Root/!

KeePass CLI (kpcli) v3.2 is ready for operation.
Type 'help' for a description of available commands.
Type 'help <command>' for details on individual commands.

kpcli:/>

Il y a trois mots de passe dans le coffre-fort, le premier sans nom (le « blank title ») est le bon 🙂

kpcli:/> ls
=== Groups ===
Root/
kpcli:/> cd Root/
kpcli:/Root> ls
=== Entries ===
0.
1. My Best Friend
2. My best plan boards.4channel.org/sp
kpcli:/Root> show -f 0

Title:
Uname:
Pass: lh_{I1oVeG0lfAndSex..W4IT.MyWiFe}
URL:
Notes:

Encore merci Gabin pour le temps gagné 🙂

Quelques liens en vrac et en français, 37° édition

mercredi 3 juillet 2019 à 18:30

Décidément, en ce moment, les articles intéressants se multiplient, plus vite que je ne tente d’écrire les miens. Je prends donc quelques minutes pour (re)partager avec vous ces articles pas toujours techniques qu’il faut je pense avoir lu, pour se maintenir à jour, découvrir, réfléchir autrement.

IA Google bat des champions humains à Quake 3

C’est une évidence, s’il est possible d’apprendre à jouer à une intelligence artificielle, elle ne peut que nous battre une fois qu’elle s’est suffisamment entraînée. On le voit depuis vingt ans, avec d’abord Deep Blue aux échecs, puis Watson au Jeopardy, et plus récemment AlphaGo avec le Go (on constate que le rythme s’accélère). Les ingénieurs de Google se sont ensuite penchés sur un titre mythique et exigent, et sans surprise, nos réflexes forcément limités ne font pas le poids face aux transistors de silicium.

Débuter avec Git

Je vais être amené à utiliser beaucoup plus git qu’actuellement au boulot, et je pense que tout sysadmin devrait en avoir une bonne connaissance, qu’il le manipule pour lui ou pour ses clients (livraisons automatisées ou manuelles, par exemple). Qui de mieux qu’un développeur chevronné, j’ai nommé Carl Chenet (à quand la prochaine bouffe ?), pour vous faire un cours didactique sur cet outil magnifique, dont le cinquième épisode vient de sortir ?

J’ai fouillé dans les données que Google conserve sur moi depuis treize ans

Vincent Matalon est rédacteur pour FranceTVInfo. Il ne semble pas spécialisé dans un domaine particulier, mais récemment, il a fait une expérience avec le géant américain, en tant qu’utilisateur gratuit de ses services, et ce qu’il a découvert l’a vraiment fait flipper, et devrait en toute logique aussi vous mettre en garde contre la puissance qu’on lui a accordé au fil du temps, jusque dans les détails les plus intimes de nos vies trop connectées.

Pourquoi le béton romain antique dure des millénaires, tandis que le nôtre s’effondre en quelques décennies

Au fil de l’histoire, des savoirs se perdent, entre autres au gré des chutes de régime, des invasions, et la chute de l’empire romain n’échappe pas à cette règle. Avec une recrudescence des plaintes sur les malfaçons des constructions neuves, il est intéressant de voir comment nos ancêtres avaient pourtant trouvé certaines solutions.

Chômage, mirages, naufrages

Une des raisons qui font que je ne me reconnais plus dans le paysage politique actuel, est cette persistance, aussi bien « à droite qu’à gauche », à vouloir casser ce qui est déjà quelque chose de terrible pour les trois millions de personnes selon les chiffres officiels, qui subissent déjà une situation de chômage, à savoir sans emploi et sous perfusion de l’État après avoir cotisé pour ça. Situation que j’ai vécu moi-même, jusqu’à sortir du système sans pour autant avoir un job en poche. Et autant dire que ce condensé de situation par Datagueule devrait être injecté de force dans le cerveau des personnes qui passent leur temps à vouloir casser ce système qui selon eux créeraient des feignants profiteurs, mieux, on devrait les mettre eux même dans cette situation pour en comprendre la misère qu’ils ne veulent pas nommer.

Jeu libre : Minetest

C’est toujours amusant de lire quelqu’un qui redécouvre un jeu qu’elle vous avait déjà fait découvrir à l’époque lors d’une Ubuntu Party. Norore vous (re)fait donc découvrir la richesse d’un « clone » de Minecraft, sans le Java et sans la licence Microsoft. Avec une quantité de plugins qui vous permettront de transformer ce bac à sable en réel plaisir.

Les artisans d’Internet

Contrairement à ce qu’on pense, il ne reste pas que des gros industriels et géants américains et chinois sur Internet. Tout comme en France, il existe un paysage international d’artisans de l’Internet, qui font les choses à taille humaine, en remettant aussi parfois un vrai prix sur ce que vous utilisez gratuitement chez les géants avec un coût caché beaucoup trop élevé pour qu’on continue encore longtemps.

Comment survivre à ses utilisateurs ?

Zythom vient de changer de métier, pour passer responsable de la sécurité des systèmes d’information. Il nous raconte le problème de devoir gérer des humains au quotidien, humains qui ne veulent pas faire l’effort de retenir des conseils de bases, sous le faux prétexte de confort. Il passe par un petit inventaire non exhaustif des cas à traiter, sans forcément avoir toutes les réponses. Les interrogations sont déjà très intéressantes, à la fois pour les autres RSSI, mais aussi les utilisateurs eux-même.

Le fédiverse, c’est le bordel

Lors de l’apparition des réseaux sociaux alternatifs, et même avant l’apparition du sacro-saint ActivityPub, en regardant de plus près ça ne m’attirait pas plus que ça, pas tant dans l’usage que dans la technique en dessous et de certaines contraintes qui les accompagnent. Malheureusement, le temps et ces nouvelles capacités de fédération n’arrangent toujours pas les choses, à croire que le libre n’apprendra jamais de ses erreurs. Comportement volontaire ou pas, là est la question…

Grands fournisseurs du numérique : à quand un modèle d’affaires et des pratiques équilibrés ?

Le Cigref est une associations d’entreprises créés par des responsables informatiques de certains de ces membres, qui vient de nous gratifier d’une nouvelle sortie à propos des problèmes qui se posent entre les services de l’État et les gros acteurs notamment américain du numérique. Et pas compliqué de les comprendre, quand on voit la Défense et l’Education Nationale se prostituer chez Microsoft, la quantité de lobbyistes qui passent leur temps dans les couloirs de l’Assemblée Nationale ou du Sénat, et des choix toujours plus mauvais que font nos dirigeants en matière de stratégie numérique pas seulement pour la France, mais aussi pour nos voisins à l’échelle européenne.


Sur ce je suis rentré en France, je suis en vacances (ouais paradoxal hein), je vais pouvoir me concentrer pour vous faire quelques petits articles aux oignons. Image particulièrement adaptée quand on voit le ravissement culinaire que j’ai vécu pendant ces deux semaines à Maurice 🙂