Je découvre ce site de la Fondation Mozilla, une sorte de catalogue de la confidentialité des objets connectés. Clairement un indispensable pour bien choisir un produit sans sacrifier sa vie privée !

Et ce genre de dark pattern sur le consentement du profilage continuera de pulluler tant que rien ne sera fait par la CNIL pour les sanctionner.

Les noms de domaine en .xyz, popularisés par Google lors de la création de leur holding Alphabet en 2015, semblent avoir acquis une réputation suffisamment mauvaise pour que le simple fait d'envoyer un e-mail à partir d'un tel nom de domaine suffit à le voir partir immédiatement en spam. Pire, il semblerait que le fait d'envoyer un lien avec un nom de domaine en .xyz par SMS provoque un échec d'envoi sans notification de l'émetteur. Dit autrement, le destinataire de votre SMS a de bonnes chances de ne jamais le recevoir.

Cette situation me fait beaucoup penser aux domaines gratuits en .tk qui ont reçu une mauvaise réputation après avoir été massivement utilisés pour réaliser des campagnes de phishing…

Il y a à peu près deux mois, j'ai publié un coup de gueule concernant l'annonce de Windows 11, et notamment le fait qu'il rendait obsolètes de nombreux ordinateurs. Après quelques recherches récentes, il semble que j'aie parlé un peu vite et que le TPM 2.0 (qui est celui imposé par la prochaine version de Windows) permet de se passer de la fameuse puce. En effet, cette version permet aux constructeurs d'inclure ce standard dans d'autres éléments de configuration matérielle de l'ordinateur, et ils ne s'en privent pas, puisque AMD et Intel fournissent, chacun de leur côté, leur propre implémentation, directement dans leurs processeurs. Il suffit alors de l'activer dans sa configuration UEFI.

Ainsi, de mon côté, après activation, l'outil de Microsoft m'indique enfin le précieux message.

Reste à savoir pourquoi cette fonctionnalité n'est pas activée de base...

J’ai remarqué récemment que Carglass s’est mis à insister un poil lourdement dans ses publicités à la télé et à la radio pour que ses prospects tapent bien le nom de domaine carglass.fr plutôt que de taper simplement le nom de l’enseigne sur leur moteur de recherche préféré.
J’ai pensé tout d’abord à un nom de domaine qui aurait été squatté par des personnes malintentionnées (et j’ai remarqué au passage que carglass.com mène au site de la maison mère, ce qui est déjà en soi pas hyper propre en terme d’UX), mais en fait la raison est un peu plus insidieuse que ça…

C'est une info que j'avais complètement loupée, mais apparemment Audacity (un logiciel de montage audio très populaire) a été récemment racheté par Muse Group (la société derrière MuseScore, un logiciel de composition musicale), qui a apparemment publié une nouvelle politique de confidentialité très inquiétante stipulant que le logiciel peut désormais collecter des informations très sensibles comme l'adresse IP ou des  « données pouvant servir pour des procédures légales, des litiges ou des requêtes d'autorités » (???).

De plus, la nouvelle politique indique clairement que les données personnelles collectées peuvent être partagées auprès de publicitaires ou encore d'« acheteurs potentiels ». Dit autrement, l'acquéreur d'Audacity se donne littéralement le droit de revendre vos données personnelles, sans qu'il soit totalement clair desquelles il s'agit.

Le document en profite pour décourager fortement les personnes en dessous de l'âge de 13 ans d'utiliser Audacity, ce qui, en plus d'être très étrange pour un logiciel de ce type, est totalement contraire à la licence GNU GPL qui stipule que le logiciel doit être disponible à toutes et à tous sans aucune restriction.

La communauté a évidemment immédiatement levé les boucliers, et un fork est apparu rapidement et est à la recherche de contributeur⋅rice⋅s pour reprendre le projet en main (il y a notamment des discussions sur le nom du fork). En attendant qu'il se pérennise, dans la mesure du possible, il est recommandé de désinstaller totalement Audacity et de se tourner vers une des alternatives existante.

Oh mon dieu, quelle surprise !…

Cette semaine, Microsoft a annoncé une toute nouvelle version de Windows qui sera donc la version 11 du système d'exploitation.
Globalement, ce que j'en ai retenu, c'est que ce sera surtout un Windows 10 relooké avec de nouvelles fonctionnalités peu nombreuses et pour la plupart assez anecdotiques : suppression des tuiles héritées de Windows 8 et résurrection des widgets (qui avaient été supprimées sous Windows 8, justement), possibilité de gérer plus finement les fenêtres ouvertes (probablement la fonction plus intéressante à mon avis), intégration de Microsoft Teams, ajout d'une couche de compatibilité pour les applications Android… bref, rien qui ne justifie vraiment la sortie d'une nouvelle version commerciale, donc.

Et pourtant, il semblerait, selon l'outil fourni par Microsoft que mon PC ne soit pas compatible, sans qu'il soit vraiment capable de m'expliquer pourquoi. Une des raisons possible qui m'a été soufflée sur Twitter pourrait être que mon PC ne supporte pas une obscure technologie nommée « PTT » qui, de ce que j'en ai compris, remplace une puce dédiée nommée « TPM » (dont j'ignorais l'existence jusqu'ici) permettant apparemment de stocker de façon sécurisée des informations cryptographiques.

Problème : si j'en crois la fiche technique de ma carte mère (pourtant récente, elle date de 2019), celle-ci ne possède pas de puce TPM et, étant une carte mère dédiée aux processeurs AMD, elle n'est donc pas non plus compatible PTT.

Je me retrouve donc dans une situation improbable où mon ordinateur, tout juste terminé (je l'ai construit en début d'année), n'est déjà plus compatible avec les versions la future version de Windows pour la simple raison que je n'ai pas la petite puce que Windows est supposé utiliser pour chiffrer mon disque dur, alors même que toute la configuration matérielle restante (processeur, carte graphique, mémoire vive) est largement au dessus de la configuration minimale requise.

Il est apparemment possible de se procurer cette puce pour pas trop cher (maximum 20€ de ce que je vois, encore faut-il qu'elle ne soit pas en rupture de stock), mais le TPM reste tout de même un détail technique qui ne devrait pas être un prérequis pour utiliser un système d'exploitation : si elle est présente, tant mieux et on l'utilise, sinon, tant pis et on utilise une méthode de chiffrement alternative (et il en existe quelques uns, largement éprouvés sur Linux).

Cette situation est inadmissible, puisqu'elle incite (une fois de plus) le grand public à renouveler son matériel entier pour pouvoir utiliser un système à jour et sécurisé, Windows 10 étant condamné à une fin de support pour octobre 2025. Ce qui mènera donc de nouveau vers un grand nombre d'appareils qui resteront sur une version périmée, et donc vulnérable, de Windows, comme nous l'avions déjà vu avec Windows XP et Windows 7.

Une situation qui aurait dû ne plus arrivé si Microsoft avait respecté sa promesse d'une ultime version.

Apple est connu pour son excellent service iCloud, qui permet de synchroniser à peu près n'importe quoi entre tous ses appareils, notamment les données d'une application éditée par le géant de la tech, telle que Notes. Cependant, il peut arriver (très rarement, heureusement) qu'il y ait des ratés dans la synchronisation, et que cela ait des conséquences pour le moins catastrophiques : suppression pure et simple de la note, sans aucune possibilité de restauration, puisqu'elle est absente de la catégorie Récemment supprimé.

Dans ce genre de situation, et puisque l'application ne semble conserver aucune sauvegarde locale des notes supprimées à la suite d'une synchronisation (ce qui est, à mon sens, un choix scandaleux), une solution peut se trouver dans le mécanisme de restauration d'iOS : en effet, si vous avez activé la sauvegarde iCloud, il vous est possible de revenir à un état antérieur de votre appareil, et ainsi retrouver les données perdues. Voici comment faire.

Attention : la restauration d'une sauvegarde antérieure n'est pas sans risque et peut amener à la perte d'informations qui n'ont pas été sauvegardées. Avant de commencer, assurez-vous que vous possédez bien une copie des données ultérieure à la sauvegarde que vous vous apprêtez à restaurer. Ce serait dommage d'empirer la situation…

1. Sur l'iTruc qui possédait la version la plus récente de la note, vérifiez tout d'abord que vous possédez bien une sauvegarde récente en ouvrant l'application Réglages, section (Votre nom) → iCloud → Gérer le stockage → Sauvegardes, puis en sélectionnant votre appareil.

   Si vous ne voyez pas de sauvegarde à ce point, n'allez pas plus loin, vous ne pourrez pas récupérer votre note (désolé).

2. Toujours dans l'application Réglages, rendez-vous maintenant dans la section Général → Réinitialiser, et choisissez Effacer contenu et réglages. Une alerte vous proposera de faire d'abord une sauvegarde, je vous conseille d'accepter par sécurité. Deux alertes succéderont afin de demander si vous voulez réellement continuer, validez deux fois, puis saisissez votre mot de passe.
3. Votre iTruc va redémarrer, cela peut prendre quelques minutes.
4. Une fois l'appareil redémarré, suivez les instructions.
5. Sur l'écran Apps et données, choisissez Restaurer à partir d'iCloud et reconnectez-vous à l'aide de votre identifiant Apple.
6. Sélectionnez la sauvegarde la plus récente précédant la disparition de la note, puis suivez les instructions de réglage d'iOS.
7. La restauration commence, elle peut prendre plusieurs minutes pendant lesquelles votre iTruc redémarrera.
8. Une fois l'appareil prêt, passez immédiatement en mode Avion afin de couper toute communication pouvant provoquer une synchronisation iCloud.
9. Ouvrez l'application Notes et vérifiez la liste des notes disponibles : si vous retrouvez celle qui manquait, ouvrez-la, copiez-en l'intégralité du contenu et collez-la dans une autre application (par exemple dans un brouillon d'e-mail).
10. Désactivez le mode Avion et laissez Notes se synchroniser : la note disparaîtra à nouveau, il ne vous reste plus qu'à copier-coller à nouveau son contenu et à vous assurer que la synchronisation se fait cette fois correctement.

Merci à Clément pour l'astuce qui a sauvé un de ses amis d'une crise d'angoisse récemment !

Google a récemment annoncé le déploiement très prochainement de la technologie FLoC, qui doit servir, dans les grandes lignes, à tracer les utilisateurs de Chromium et ses dérivés (dont Google Chrome) pour leur servir de la publicité ciblée sans passer par les cookies. Je ne reviendrai pas sur la question du pourquoi c'est une terrible nouvelle pour les utilisateurs et pour le Web ouvert, d'autres l'ont fait mieux que moi :

• en anglais, sur le blog de l'Electronic Frontier Foundation : Google’s FLoC Is a Terrible Idea ;
• en français, sur le blog des Tilleuls : Pourquoi Google FLoC est problématique pour la sécurité des utilisateurs du web.

Étant donné que cette fonctionnalité est activée par défaut, et qu'on peut être à peu près certains que les utilisateurs ne penseront probablement pas à la désactiver, souvent parce qu'ils ignoreront son existence (Google s'étant arrangé pour communiquer surtout auprès de la communauté tech ainsi que ses annonceurs), et en attendant que les CNIL européennes s'y intéressent, il est possible également de « désactiver » le traçage de nos visiteurs sur nos sites en ajoutant un entête supplémentaire au retour des requêtes HTTP :

Permissions-Policy "interest-cohort=()"

Je mets des guillemets autour de « désactiver », car en réalité, ça ne désactive rien, ça se contente de dire au système de traçage de mettre le visiteur dans la « cohorte » commune à tous les utilisateurs de Chromium. Donc filtrage minimal, mais traçage quand même.

Si vous avez un serveur sur lequel vous hébergez plusieurs sites, sachez que vous n'avez pas besoin d'ajouter manuellement cet entête à chacun de vos sites, il existe une solution qui tient en une ligne et qui influera sur la totalité de vos sites actuels et futurs :

• sur Apache, ajoutez cette ligne dans le fichier /etc/apache2.conf :

  Header set Permissions-Policy "interest-cohort=()"

• sur Nginx, ajoutez ceci dans la section http du fichier /etc/nginx.conf :

  add_header Permissions-Policy 'interest-cohort=()';

Enfin, relancez le serveur Web pour qu'il en tienne compte (service (apache2|nginx) reload).
Si vous allez voir sur vos sites, vous pourrez voir que les entêtes contiennent désormais le champ adéquat.
Vous pouvez aussi vérifier que votre site est correctement configuré à l'aide de l'outil Am I FLoCed? proposé par l'EFF.

Évidemment, une solution encore meilleure serait d'arrêter d'utiliser Chrome, mais étant donné sa part de marché, ça se fera difficilement du jour au lendemain…

Si vous utilisez PostgreSQL et que vous avez des erreurs du type _missing chunk number 0 for toast value 123456 in pg_toast7890, c'est que votre base a été corrompue, probablement à la suite d'un souci matériel. Voici une solution qui a fonctionné pour moi :

1. Tout d'abord, arrêtez tous les services qui utilisent la base de donnée concernée.
2. Accédez à votre base en ligne de commande :

   pg -U votre_user votre_base

3. Supprimez l'ensemble des données de la table pg_catalog.pg_statistic (elle est gérée en interne par PostgreSQL et peut être regénérée) :

   DELETE FROM pg_catalog.pg_statistic;

4. Lancez une analyse de votre base de données pour regénérer le contenu de la table :

   ANALYZE;

La proposition de loi prévoit également la mise en place d’un grand concours scientifique pour créer la backdoor parfaite, celle qui serait capable d’assurer la sécurité des utilisateurs tout en garantissant un accès aux forces de l’ordre. Les lauréats recevraient une récompense d’un million de dollars au maximum. Le concours disposerait d’un fond total de 50 millions de dollars.

Ce paragraphe à lui seul montre à quel point le pouvoir législatif manquent d'information sur ces technologies qu'ils veulent pourtant contrôler… Il serait grand temps que les États (et pas que les USA) mettent en place des moyens pour former les décideur⋅se⋅s !

Si vous travaillez avec Symfony sur un projet avec beaucoup d'historique, ce petit bundle pourrait vous permettre de faire pas mal de ménage.

Avec ces 500 millions, Bill Gates aurait probablement pu investir dans le développement de la technologie du dihydrogène liquéfié susdit, pour en améliorer le procédé de fabrication dont l'article dit clairement qu'il s'appuie actuellement majoritairement « sur des combustibles fossiles et produisent du dioxyde de carbone ».

Mais bon, ça aurait privé un pauvre milliardaire de son yacht.

• Les cookies n'ont jamais été conçus au départ pour traquer les internautes. Ils ont été détournés de leur usage premier : stocker une information utile au site sur le navigateur.
• Un outil qui « permettrait […] de diffuser des messages ciblés, tout en évitant aux gens d'être suivis par ces cookies », c'est un outil qui traque par définition. Sauf que là, il est conçu pour cela.

Reste à savoir si l'élimination progressive de ces traceurs donnera à Google plus de contrôle sur sa publicité en ligne, un secteur qu'il domine pour l'instant aux côtés de Facebook.

Exactement la raison pour laquelle il ne faut pas laisser ce projet à Google, donc.

Ce dimanche 12 janvier 2019, Netflix a annoncé sur Twitter, non sans une touche d'humour, que la lecture automatique de l'épisode suivant sur Netflix passait de 15 secondes à moins de 6 secondes.

Personnellement, je n'ai jamais été intéressé par cette fonctionnalité qui favorise le binge-watching, une tendance qui consiste à s’empiffrer d'épisodes pour finir la saison, voire la série entière, le plus vite possible, et donc à l'opposé total de mon mode de consommation : je préfère prendre mon temps et savourer les épisodes, quitte à m'imposer un peu de suspense après un Cliffhänger, parce que je trouve que je les savoure mieux ainsi). Jusqu'ici, j'ai toujours ignoré simplement ces 15 secondes, largement suffisantes pour quitter l'épisode avant le début du suivant. Mais avec moins de 6 secondes, il faut être plus vif. Ou alors on désactive le passage automatique à l'épisode suivant. On va voir ici comment faire !

1. Passer la souris sur l'image de profil en haut à droite et choisir Compte
2. Dans la section Mon profil, cliquer sur Paramètres de lecture
3. Désactiver la case Lecture automatique de l'épisode suivant
4. En bas de la page, cliquer sur le bouton Enregistrer

Et voilà ! :)

Ce matin, j'ai eu la désagréable surprise de ne plus pouvoir accéder à certains sites, tandis que d'autres répondaient bien. Après une recherche rapide, je me suis rendu compte que je n'avais pas d'adresse IPv4 locale. Par conséquent, tous les sites qui ne possèdent qu'une adresse IPv4 me sont devenus inaccessibles. Pas cool.

Pour celles et ceux qui se retrouveraient avec le même souci sur leur Arch Linux, sachez que le problème est en fait dû au client DHCP interne de NetworkManager. Pour corriger cela, il vous suffit donc d'installer un autre client DHCP :

sudo pacman -S dhclient

puis d'informer NetworkManager qu'il doit l'utiliser :

# /etc/NetworkManager/conf.d/dhcp-client.conf

[main]
dhcp=dhclient

et enfin, de redémarrer NetworkManager pour qu'il prenne en compte la nouvelle configuration :

sudo systemctl restart NetworkManager

Vous devriez avoir de nouveau accès aux sites possédant uniquement une IPv4. 😉

Et c'est à cet instant qu'on se rend compte du retard qu'on a sur l'implémentation d'IPv6 😰

Si vous recherchez un nouveau fond d'écran, c'est ici !

Cette vidéo résume parfaitement tout ce qui m'attire dans l'astronomie 😍

Google et Apple ont (trop) peu communiqué là-dessus, mais depuis la version 7.0 d'Android et la version 10 d'iOS, il est possible d'inscrire nos informations importantes pour les secours vous concernant (groupe sanguin, allergies, médicaments que vous prenez...). Ces informations deviennent alors disponibles sans avoir besoin de déverrouiller le smartphone.
Ça prend 5 minutes à configurer et ça pourrait vous sauver la vie un jour ☺️