All posts by admin

Les qrcodes de numerunique

Les objets de numerunique sont uniques.

Cette unicité est garantie par un code d’identification unique dont la validité est vérifiable sur le site de numerunique. Un qrcode propre à chaque objet facilite cette vérification, comme par exemple :

Ce qrcode n’a rien à voir avec les code-barres EAN qui identifient un type d’article produit à grande échelle en un nombre potentiellement infini d’exemplaires. Même les objets semblables de numerunique ont leur propre code d’identification unique !

De plus, le qrcode d’un objet de numerunique est traité de façon unique. Par défaut, il permet de confirmer l’authenticité de l’objet mais il peut tout aussi bien permettre d’accéder à un traitement spécial, défini pour chaque objet. Ainsi, certaines cartes de visite de numerunique ont un qrcode qui amène directement sur la page de contact du site Internet principal de numerunique, d’autres à la page d’accueil de celui présentant les objets de numerunique et le qrcode ci-dessus vous amène à cet article.

Et bien d’autres services offerts par ces qrcodes sont réalisés ou prévus.

Il est déjà possible de se déclarer le propriétaire d’un objet numerunique et même de l’acheter avec un paiement en ligne 🙂

Bientôt, on pourra le déclarer perdu. En flashant le qrcode, celui qui l’aura trouvé se verra proposer de le renvoyer à numerunique qui le restituera à son propriétaire.

Comment bloquer les spams téléphoniques

On reçoit tous des appels téléphoniques inopportuns en tous genres, au point qu’on en arrive à généraliser un accueil téléphonique glacial même à ses proches.

La solution la plus évidente est le recours à la liste noire.  Pour faciliter cela, numerunique partageait gratuitement un système de blocage en deux clics. Hélas, même avec 1044 numéros en liste noire, on est encore dérangé.

Une autre solution s’avère plus efficace : elle consiste à configurer un SVI (Serveur Vocal Interactif) minimaliste :

  • Message d’accueil : “Si vous êtes de la famille ou de nos amis, faites le 1 ; sinon faites le 2.”
  • 1 : ça sonne.
  • 2 : ça raccroche.

Enfin tranquille !

En pratique, ce sont des robots qui lancent les appels, automatiquement, à la place des employés des plateforme d’appels. Dès qu’une cible décroche, le robot fait sonner le poste d’un esclave disponible qui peut alors débiter son baratin en suivant les directives du discours commercial imposé. Les robots actuels sont incapables de comprendre l’annonce d’un SVI ni de taper 1. En bonus, cela épargne aux malheureux qui sont exploités sur les plateforme d’appels d’avoir leurs taux de conversion dégradés par un appel qui n’aboutira à rien.

Meltdown et Spectre, faut-il vraiment s’affoler ?

Noms judicieux, logos, timing (juste après les fêtes de fin d’année), site Internet dédié, matraquage médiatique, GIF montrant une démo de keylogger : le traitement marketing des dernières “failles” de sécurité informatiques est vraiment spectaculaire !

Ce qui l’est beaucoup moins c’est ce qui ressort de l’analyse du risque réel de ces menaces, avec les informations actuellement publiées.

Certes, le “risque” est confirmé par Intel ” software analysis methods that, when used for malicious purposes, have the potential to improperly gather sensitive data” mais juste comme potentiel. A la base, le risque serait induit par l’optimisation de traitement d’un processeur qui profite des temps d’accès à la mémoire pour tenter sa chance en exécutant un code probable sans dispositif de protection d’accès à la mémoire pour cette exécution spéculative.

Cependant les deux articles de référence qui décrivent Meltdown et Spectre indiquent clairement que ces failles nécessitent l’exécution d’un programme sur la machine cible.

Et là, il n’y a rien de nouveau, on sait depuis toujours qu’on a presque perdu la partie contre un pirate dès lors qu’il est capable d’exécuter ses programmes sur la machine que l’on défend. La première préoccupation d’un administrateur système est la fiabilité des utilisateurs de ses machines.

C’est donc logique que les hébergeurs tels qu’OVH ou Online mettent autant d’énergie à appliquer des correctifs, tout en précisant qu’à ce jour il n’ont aucune preuve que ces attaques pourraient se réaliser en vrai ” To date, OVH has not received any information demonstrating that the concerned vulnerabilities have been exploited outside of a research laboratory setting.” Les hébergeurs savent que parmi leurs centaines de milliers de clients qui ont accès à leur machines, il y a certainement plus d’une crapule.

Dans le papier “universitaire” qui décrit Spectre, sur lequel pas moins de 10 auteurs se sont agglutinés, l’assemblage des techniques utilisées pour exploiter la faille hardware est impressionnante au point qu’on peut se demander si la somme des conditions favorables à l’exploit ne le rendrait finalement très peu probable. Il y a au moins un aspect décisif facile à comprendre qui n’est pas clair : le succès de la technique dépend-il de la présence de certaines instructions particulières dans un programme cible dont on veut dérober les informations détenues en mémoire ? On y donne un exemple de code hallucinant qui peut être exploité :

if (x < array1_size) y = array2[array1[x] * 256];

C’est bien de vérifier si l’index x est dans les limites du tableau array1 mais alors pourquoi ne pas aussi vérifier que l’index (array1[x]*256) est aussi dans les limites de array2 ? Si ce code est celui écrit par le pirate, il fait ce qu’il veut mais a priori il n’aura accès qu’au contexte de son propre programme comme l’article le précise “The completed attack allows the reading of memory from the victim process.“. Si ce code doit figurer dans celui d’un autre programme exécuté sur la machine alors la probabilité qu’un tel code existe parait plus que très faible.

Il y a de nombreuses autres conditions ou réserves évoquées ou exprimées dans cet article telles que “Kernel mode testing has not been performed, but the combination of address truncation/hashing in the history matching and trainability via jumps to illegal destinations suggest that attacks against kernel mode may be possible.

Tout cela change complètement la réalité de la menace.

Malheureusement cela n’enlève rien aux conséquences qu’elle a déjà engendrées et qui sont irréversibles : un tsunami de mises à jour, une version plus qu’améliorée de l’obsolescence programmée 🙁

Meltdown and Spectre: the juiciest bug of 2018?

2018 starts wonderfully: a new kind of vulnerability has been disclosed, an hardware bug!

Documentation about this is available from sources with considerable authority, from university researcher or google official blog.

However, a closer analysis of the threats raises doubts about their seriousness. The risk to be affected by them seems rather low.

“...Meltdown allows an adversary who can run code on the vulnerable processor…” [https://meltdownattack.com/meltdown.pdf]. Thus for dedicated server, the vulnerability implies a logged attacker. Of course for VM or VPS, you don’t control who runs code on the physical host you share. But servers administrator core preoccupation is to keep attacker from logging on their systems.

As for “Spectre” [https://spectreattack.com/spectre.pdf], the so called proof of vulnerability – among other prerequisites unlikely to happen – relies on the “victim” code to have an instruction such as “if (x < array1_size) y = array2[array1[x] * 256];“! Who would write such a code and what for?

These two quoted papers remind of academic context where such unpractical conditions hidden behind well handled complexity are often observed. The underlying techniques are too complex to be easily understood but the presentation is convincing.

Even google (https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html) admits that “To take advantage of this vulnerability, an attacker first must be able to run malicious code on the targeted system.

Anyway, even if the risk is much lower that it is presented, the inevitable result will be a massive update frenzy: an ideal opportunity to deploy other vulnerabilities, spywares or backdoors and to motive hardware replacement…

First, the software fix will decrease performance: a motivation to invest in faster – and more expensive – systems. Eventually the hardware fix will require new computers. Thus it is not surprising that all CPU vendors happily admit that their products are affected.

Whatever dangerous Meltdown and Spectre may be, they are certainly a huge opportunity of profit.

Well done.

 

L’EURL Barme change de nom commercial…

… et s’appelle désormais numerunique :

En fait une société a trois identifiants :

  1. sa dénomination ou raison sociale,
  2. son nom commercial,
  3. son enseigne commerciale.

Ce nouveau nom commercial reflète davantage l’activité de numerunique. C’est la contraction de numérique et unique et justement, lorsque on fait le bilan de son activité depuis bientôt 10 ans, numerunique fourni des services numériques si personnalisés qu’il sont en fait uniques.

Ce changement – dans la continuité, car c’est toujours la même entité et elle conserve sa raison sociale – est renforcé par un nouveau logo, produit par numerunique.art, plus conforme lui aussi à l’activité de numerunique :

A gauche le 0 symbolise le numérique, à droite, le 1 symbolise l’unique et, au centre, les deux fusionnent dans un objet binaire en 3 dimensions qui symbolise la concrétisation des services numériques uniques de numerunique.

Comparaison de quelques types d’accès à Internet

Quelques tests de différents type d’accès à Internet donnent :

Type d’accès IP Réception max Envoi max Latence min gigue
Wi-Fi distant fixe 0.241 0.657 0.36 0.514 186.1 39 1060
Ethernet via CPL fixe 5.523 5.758 0.708 0.788 42.17 39.8 7.4
Wi-Fi Orange 3G variable 8.194 11.28 0.417 0.542 268.2 91.58 332.3
Wi-Fi proche fixe 11.89 12.28 0.791 0.84 80.91 38.91 171.2
Ethernet direct fixe 11.95 12.12 0.639 0.708 41.05 37.54 8.39
Wi-Fi Free 4G variable 70.87 77.5 7.28 8.988 129.5 54.17 158.2

Les débits de réception et d’envoi sont en Mb/s, la latence et la gigue en ms.

Pour la meilleure réception :

  1. Wi-Fi Free 4G
  2. Ethernet direct
  3. Wi-Fi proche
  4. Wi-Fi Orange 3G
  5. Ethernet via CPL
  6. Wi-Fi distant

Pour l’envoi le plus rapide :

  1. Wi-Fi Free 4G
  2. Wi-Fi proche
  3. Ethernet via CPL
  4. Ethernet direct
  5. Wi-Fi Orange 3G
  6. Wi-Fi distant

Pour la meilleure réactivité :

  1. Ethernet direct
  2. Ethernet via CPL
  3. Wi-Fi proche
  4. Wi-Fi Free 4G
  5. Wi-Fi distant
  6. Wi-Fi Orange 3G

Pour la meilleure stabilité :

  1. Ethernet via CPL
  2. Ethernet direct
  3. Wi-Fi Free 4G
  4. Wi-Fi proche
  5. Wi-Fi Orange 3G
  6. Wi-Fi distant

Synthèse (tous critères) :

  1. Ethernet direct
  2. Wi-Fi Free 4G
  3. Ethernet via CPL
  4. Wi-Fi proche
  5. Wi-Fi Orange 3G
  6. Wi-Fi distant

En bref :

  • La 4G est vraiment rapide à défaut d’être stable.
  • L’Ethernet direct et le wifi proche se valent.
  • Le pire est le Wi-Fi trop distant.

Ces conclusions sont juste indicatives : en pratique, les résultats des tests sont spécifiques à un lieu et un moment donnés.

Le plus petit SaaS ?

C’est “L’adpresse IP publique” : lip.ovh !

A voir tous les sites qui propose de vous révéler votre adresse IP publique, c’est un service très demandé. Mais lip.ovh se distingue de ses analogues à plus d’un titre :

  1. son nom est le plus court
  2. c’est le service le plus concis,
  3. il n’a aucune pub,
  4. c’est le moins cher.

On accède à lip.ovh en 7 caractères seulement ; on pourrait faire plus court sur un TLD de 2 lettres qui accepte des noms de domaine à moins de 3 lettres mais se serait plus cher.

Ce SaaS (Software as a Service) affiche uniquement l’adresse IP publique de celui qui l’utilise, et rien d’autre. Difficile d’en faire moins.

lip.ovh est hébergé sur un hébergement mutualisé gratuit ; son prix de revient est donc de 0.0825 € HT par mois. Qui dit mieux ?

A ce prix là, ce service est royalement offert par l’EURL Barme qui en profite pour illustrer l’approche minimaliste et économique qu’elle propose à ses clients.

L’EURL Barme entame sont 10ème exercice

Depuis le 1er juin 2017 l’EURL Barme est entrée dans sa 10ème année. Et 10 est un chiffre exceptionnel qu’il est courant de célébrer. C’est encore plus opportun pour un informaticien.

Un informaticien jongle forcément avec les bases binaire, décimale et hexadécimale. La base 2 est celle des ordinateurs et des circuits logiques. Elle utilise 2 chiffres, le 0 et le 1. 10, qui vaut 2 en binaire est donc un nombre particulier à plus d’un titre puisque les bases binaires et décimales y convergent.

A cette occasion, l’EURL Barme lance une nouvelle activité :
numerunique.art.

Au premier abord c’est une activité dont le modèle économique cumule les handicaps : les charges considérables de conception et l’absence d’économie d’échelle qu’apporte la production en masse.

Pourtant, c’est justement ce qui est au cœur de l’activité principale de l’EURL Barme : l’application de l’outil informatique pour un usage spécifique. C’est donc une niche à l’écart de laquelle se tiennent les sociétés dont l’objectif exclusif est la rentabilité mais c’est l’écosystème dans lequel l’EURL Barme d’épanoui depuis bientôt 10 ans, pour la plus grande satisfactions de ses clients.

Consommation électrique

A l’instar du système mis en œuvre pour visualiser la consommation d’eau, l’installation d’un capteur équivalent permet d’accéder à celle de l’électricité.

capteur_elec

Amélioration du tableau électrique

Légende :

  1. le capteur de consommation électrique avec une sortie numérique,
  2. la sortie numérique du capteur reliée au Raspberry Pi (tout comme pour le capteur de consommation d’eau),
  3. une alimentation 5V DC 2.4A,
  4. le branchement de l’alimentation sur le Raspberry Pi.

Attention, si en théorie l’ajout du capteur au tableau électrique est simple, en pratique il est nécessaire de la confier à un professionnel.

L’ajout d’une alimentation installée sur le rail DIN est optionnel mais tant qu’à faire déplacer un électricien pour l’installation du capteur de consommation électrique, autant en profiter !

Le captage des impulsions est identique à celui fait pour l’eau. La conversion en watt est différente et dépend (un peu) du capteur mais l’affichage est similaire :

ConsommationElectrique

La consommation instantanée

C’est vraiment pédagogique de voir sa consommation d’énergie en temps réel ! En vidéo, c’est plus démonstratif : https://youtu.be/WDUL1vy2zWc

Il ne reste plus qu’à exploiter l’information pour faire des économies et contribuer à lutter contre le réchauffement climatique.

Pour l’exemple du café de la vidéo, on a consommé environ 10 W/h pour faire le café, soit 1 cent TTC pour l’électricité. Il faudrait estimer les coûts d’eau et de grains de café pour avoir un prix de revient mais on peut raisonnablement penser que ce n’est pas en limitant le nombre d’expresso que l’on sauvera la planète. Ouf !

La spirale infernale des mises à jour

C’est désormais bien entré dans les mœurs : les matériels, systèmes et logiciels doivent être régulièrement mis à jour. Au point qu’il est fréquent d’entendre que tel ou tel logiciel ne vaut plus rien puisqu’il n’est plus mis à jour ! Ce genre de principe érigé en dogme est le plus souvent colporté par ceux qui cherchent désespérément à palier leur incompétence par des règles faciles à comprendre.

Le problème avec les mises à jour est qu’elles sont la plupart du temps (mais pas toujours) inutiles voire préjudiciables : certaines apportent davantage de bugs ou de failles de sécurité qu’elles n’en corrigent.

Le plus pénible avec les mises à jour de système d’exploitation est qu’elle impliquent en général la nécessité d’un changement d’ordinateur. Le plus horripilant est d’avoir à redécouvrir le nouvel accès à une commande, un service ou une fonctionnalité par ailleurs identique ou même dégradée…

Et si un programme qui n’est plus mis à jour était tout simplement arrivé à maturité ?

C’est encore pire pour les équipements.

Acheté il y a 2526 jours à la date ce cette photo, ce téléphone (un HTC desire 2010) suppliait d’être remplacé.
HTCdesire

Aujourd’hui on a un choix incroyablement riche pour un téléphone :

  1. Android
  2. iOS

Dans le premier cas, on confie toutes ses données personnelles à google, dans le second à Apple. Et en plus, on paye (cher) pour le faire, c’est quand même génial tout ça.

En l’occurrence, c’est le choix 2 qui a été fait. Il en résulte un problème intéressant pour un informaticien : transférer 419 contacts d’un téléphone Android vers un iPhone.

Pour pimenter un peu la chose, on veut éviter de passer par iCloud. A priori il n’y a rien d’ultra secret dans ces contacts mais c’est une question de principe, alors si c’est une question de principe…

L’extraction des contacts depuis un Android de 2010 est simple, en quelques touch on a un .vcf standard sur la carte SD que l’on peut même récupérer par Bluetooth.

L’import sur l’iPhone se présente moins bien : le modèle choisi n’est pas “résistant aux éclaboussures et à l’eau” mais il est parfaitement étanche à toute forme d’échanges de données, quel qu’elles soient, sauf à passer par iCloud ou iTunes, bien sûr.

Va pour iTunes, officiellement cela reste local. D’ailleurs, il faut même utiliser une connexion par câble pour une synchronisation avec iTunes. Les fonctionnalité Bluetooth supportées entre un Mac et un iPhone sont très économes… seule une connexion réseau est possible. Quelle valeur ajoutée !

Hélas, le MacBook air du propriétaire du vieux HTC et du nouvel iPhone réclame une mise à jour d’iTune en préalable à toute tentative de synchronisation. iTune étant à jour, il faudrait commencer par faire une mise à jour du MacOS. L’opération est risquée, le MacBook air en question est d’une autre époque (i.e. vieux de quelques années).

Alors on passe par un autre mac plus récent, sur lequel on crée un compte temporaire. Il faut quand même y faire une mise à jour d’iTunes. Et là ? On découvre que la synchronisation des contacts ne peut se faire désormais que par iCloud :-((

Moralité, lorsqu’on change de téléphone, il faut aussi changer d’ordinateur. Ils devraient proposer un lot.

Heureusement, il y a un moyen de contourner le blocage : un simple mail (d’une messagerie étrangère à Apple ou google) avec le .vcf en pièce jointe et hop, on récupère ces 419 contacts sur l’iPhone, sans passer par iCloud, comme promis.

PS : c’est impressionnant comme la touche i s’use plus vite lorsqu’on parle de Mac.