Un très bel article sur le blog technique de Netflix sur leur méthode pour s'assurer que la localisation ne cassent pas l'interface de leur application.

Ce blog est d'ailleurs une mine d'or pour la veille technique, dans la mesure où ils y partagent pas mal de leurs pratiques. Très intéressant, surtout au regard de la complexité technique d'une plateforme VOD.

Je passe exceptionnellement par Archive.org pour partager ceci, étant donné que le ticket a été fortement altéré par le mainteneur de la librairie.

Apparemment, la librairie JavaScript node-ipc (utilisée par plus de 300 paquets, elles-même certainement en dépendance de beaucoup d'autres, vu que la plupart sont des librairies) a ajouté récemment un morceau de code offusqué qui s'active dans le cas où il est exécuté depuis une adresse IP russe ou biélorusse, et écrase tous les fichiers (au moins de l'application, peut-être du système entier) avec un message de protestation contre la guerre en Ukraine.

Faites donc très attention si cette librairie se trouve dans vos dépendances (directes ou non), car elle pourrait provoquer des dommages irréversibles pour vos utilisateurs.

Édit : un article ici qui explique la situation de façon un peu plus claire.

Microsoft continue de pourrir son OS avec des publicités affichées directement dans son interface. Après les notifications invitant à utiliser Edge dès qu'on ouvre Firefox ou Chrome et le message gigantesque appelant à sauvegarder dans OneDrive quand on ouvre son dossier personnel, voici donc la petite barre dans le gestionnaire de fichiers invitant à utiliser divers logiciels de Microsoft. L'histoire ne nous dit pas si le message publicitaire s'affichera en fonction des types de fichiers rencontrés pendant la navigation. :)))))

Vous vous souvenez de l'époque où Windows était un système d'exploitation et non un panneau publicitaire à 150€ (pour l'édition Famille) ?

Je découvre cette petite anecdote sympathique sur une voiture qui refusait de démarrer lorsque vous achetiez de la glace à la vanille.
Je l'aime beaucoup, car elle rappelle l'importance de prendre un peu de distance face à une situation sans aucune logique au premier abord.

Merci à Sébastien Sauvage pour la découverte !

Edit : je n'avais pas fait attention au lien vers l'article de Snopes en bas de la page, qui indique que cette anecdote est une légende urbaine et n'a donc jamais eu lieu.
Bien que fausse, je l'aime bien quand même pour le fond :)

Vous vous souvenez quand Microsoft a sauté Windows 9 en disant que Windows 10 était « le renouveau du système d'exploitation », et que quelques mois plus tard on s'est rendus compte que la vraie raison était que ça aurait cassé plein d'applis qui recherchaient la chaîne Windows 9 dans le nom de l'OS pour détecter Windows 95 et 98 ?

Eh bah surprise (non) : Firefox et Chrome vont bientôt arriver à la version 100.0… et ça va casser des sites qui vont se croire sur Firefox/Chrome 10.0 ! 🙃

L'authentification en deux étapes est devenue un incontournable aujourd'hui, et c'est tant mieux. Mais cela crée de nouvelles problématiques en terme d'UX, qu'il est bon de garder en tête.
Il se trouve qu'à l'aide d'une simple balise HTML <input />, sans la moindre ligne de JavaScript, il est possible de rendre cette étape (pas forcément plaisante pour l'utilisateur, bien que nécessaire) un peu moins désagréable, en particulier sur les appareils mobiles.

Je découvre ce site de la Fondation Mozilla, une sorte de catalogue de la confidentialité des objets connectés. Clairement un indispensable pour bien choisir un produit sans sacrifier sa vie privée !

Et ce genre de dark pattern sur le consentement du profilage continuera de pulluler tant que rien ne sera fait par la CNIL pour les sanctionner.

Les noms de domaine en .xyz, popularisés par Google lors de la création de leur holding Alphabet en 2015, semblent avoir acquis une réputation suffisamment mauvaise pour que le simple fait d'envoyer un e-mail à partir d'un tel nom de domaine suffit à le voir partir immédiatement en spam. Pire, il semblerait que le fait d'envoyer un lien avec un nom de domaine en .xyz par SMS provoque un échec d'envoi sans notification de l'émetteur. Dit autrement, le destinataire de votre SMS a de bonnes chances de ne jamais le recevoir.

Cette situation me fait beaucoup penser aux domaines gratuits en .tk qui ont reçu une mauvaise réputation après avoir été massivement utilisés pour réaliser des campagnes de phishing…

Il y a à peu près deux mois, j'ai publié un coup de gueule concernant l'annonce de Windows 11, et notamment le fait qu'il rendait obsolètes de nombreux ordinateurs. Après quelques recherches récentes, il semble que j'aie parlé un peu vite et que le TPM 2.0 (qui est celui imposé par la prochaine version de Windows) permet de se passer de la fameuse puce. En effet, cette version permet aux constructeurs d'inclure ce standard dans d'autres éléments de configuration matérielle de l'ordinateur, et ils ne s'en privent pas, puisque AMD et Intel fournissent, chacun de leur côté, leur propre implémentation, directement dans leurs processeurs. Il suffit alors de l'activer dans sa configuration UEFI.

Ainsi, de mon côté, après activation, l'outil de Microsoft m'indique enfin le précieux message.

Reste à savoir pourquoi cette fonctionnalité n'est pas activée de base...

J’ai remarqué récemment que Carglass s’est mis à insister un poil lourdement dans ses publicités à la télé et à la radio pour que ses prospects tapent bien le nom de domaine carglass.fr plutôt que de taper simplement le nom de l’enseigne sur leur moteur de recherche préféré.
J’ai pensé tout d’abord à un nom de domaine qui aurait été squatté par des personnes malintentionnées (et j’ai remarqué au passage que carglass.com mène au site de la maison mère, ce qui est déjà en soi pas hyper propre en terme d’UX), mais en fait la raison est un peu plus insidieuse que ça…

C'est une info que j'avais complètement loupée, mais apparemment Audacity (un logiciel de montage audio très populaire) a été récemment racheté par Muse Group (la société derrière MuseScore, un logiciel de composition musicale), qui a apparemment publié une nouvelle politique de confidentialité très inquiétante stipulant que le logiciel peut désormais collecter des informations très sensibles comme l'adresse IP ou des  « données pouvant servir pour des procédures légales, des litiges ou des requêtes d'autorités » (???).

De plus, la nouvelle politique indique clairement que les données personnelles collectées peuvent être partagées auprès de publicitaires ou encore d'« acheteurs potentiels ». Dit autrement, l'acquéreur d'Audacity se donne littéralement le droit de revendre vos données personnelles, sans qu'il soit totalement clair desquelles il s'agit.

Le document en profite pour décourager fortement les personnes en dessous de l'âge de 13 ans d'utiliser Audacity, ce qui, en plus d'être très étrange pour un logiciel de ce type, est totalement contraire à la licence GNU GPL qui stipule que le logiciel doit être disponible à toutes et à tous sans aucune restriction.

La communauté a évidemment immédiatement levé les boucliers, et un fork est apparu rapidement et est à la recherche de contributeur⋅rice⋅s pour reprendre le projet en main (il y a notamment des discussions sur le nom du fork). En attendant qu'il se pérennise, dans la mesure du possible, il est recommandé de désinstaller totalement Audacity et de se tourner vers une des alternatives existante.

Oh mon dieu, quelle surprise !…

Cette semaine, Microsoft a annoncé une toute nouvelle version de Windows qui sera donc la version 11 du système d'exploitation.
Globalement, ce que j'en ai retenu, c'est que ce sera surtout un Windows 10 relooké avec de nouvelles fonctionnalités peu nombreuses et pour la plupart assez anecdotiques : suppression des tuiles héritées de Windows 8 et résurrection des widgets (qui avaient été supprimées sous Windows 8, justement), possibilité de gérer plus finement les fenêtres ouvertes (probablement la fonction plus intéressante à mon avis), intégration de Microsoft Teams, ajout d'une couche de compatibilité pour les applications Android… bref, rien qui ne justifie vraiment la sortie d'une nouvelle version commerciale, donc.

Et pourtant, il semblerait, selon l'outil fourni par Microsoft que mon PC ne soit pas compatible, sans qu'il soit vraiment capable de m'expliquer pourquoi. Une des raisons possible qui m'a été soufflée sur Twitter pourrait être que mon PC ne supporte pas une obscure technologie nommée « PTT » qui, de ce que j'en ai compris, remplace une puce dédiée nommée « TPM » (dont j'ignorais l'existence jusqu'ici) permettant apparemment de stocker de façon sécurisée des informations cryptographiques.

Problème : si j'en crois la fiche technique de ma carte mère (pourtant récente, elle date de 2019), celle-ci ne possède pas de puce TPM et, étant une carte mère dédiée aux processeurs AMD, elle n'est donc pas non plus compatible PTT.

Je me retrouve donc dans une situation improbable où mon ordinateur, tout juste terminé (je l'ai construit en début d'année), n'est déjà plus compatible avec les versions la future version de Windows pour la simple raison que je n'ai pas la petite puce que Windows est supposé utiliser pour chiffrer mon disque dur, alors même que toute la configuration matérielle restante (processeur, carte graphique, mémoire vive) est largement au dessus de la configuration minimale requise.

Il est apparemment possible de se procurer cette puce pour pas trop cher (maximum 20€ de ce que je vois, encore faut-il qu'elle ne soit pas en rupture de stock), mais le TPM reste tout de même un détail technique qui ne devrait pas être un prérequis pour utiliser un système d'exploitation : si elle est présente, tant mieux et on l'utilise, sinon, tant pis et on utilise une méthode de chiffrement alternative (et il en existe quelques uns, largement éprouvés sur Linux).

Cette situation est inadmissible, puisqu'elle incite (une fois de plus) le grand public à renouveler son matériel entier pour pouvoir utiliser un système à jour et sécurisé, Windows 10 étant condamné à une fin de support pour octobre 2025. Ce qui mènera donc de nouveau vers un grand nombre d'appareils qui resteront sur une version périmée, et donc vulnérable, de Windows, comme nous l'avions déjà vu avec Windows XP et Windows 7.

Une situation qui aurait dû ne plus arrivé si Microsoft avait respecté sa promesse d'une ultime version.

Apple est connu pour son excellent service iCloud, qui permet de synchroniser à peu près n'importe quoi entre tous ses appareils, notamment les données d'une application éditée par le géant de la tech, telle que Notes. Cependant, il peut arriver (très rarement, heureusement) qu'il y ait des ratés dans la synchronisation, et que cela ait des conséquences pour le moins catastrophiques : suppression pure et simple de la note, sans aucune possibilité de restauration, puisqu'elle est absente de la catégorie Récemment supprimé.

Dans ce genre de situation, et puisque l'application ne semble conserver aucune sauvegarde locale des notes supprimées à la suite d'une synchronisation (ce qui est, à mon sens, un choix scandaleux), une solution peut se trouver dans le mécanisme de restauration d'iOS : en effet, si vous avez activé la sauvegarde iCloud, il vous est possible de revenir à un état antérieur de votre appareil, et ainsi retrouver les données perdues. Voici comment faire.

Attention : la restauration d'une sauvegarde antérieure n'est pas sans risque et peut amener à la perte d'informations qui n'ont pas été sauvegardées. Avant de commencer, assurez-vous que vous possédez bien une copie des données ultérieure à la sauvegarde que vous vous apprêtez à restaurer. Ce serait dommage d'empirer la situation…

1. Sur l'iTruc qui possédait la version la plus récente de la note, vérifiez tout d'abord que vous possédez bien une sauvegarde récente en ouvrant l'application Réglages, section (Votre nom) → iCloud → Gérer le stockage → Sauvegardes, puis en sélectionnant votre appareil.

   Si vous ne voyez pas de sauvegarde à ce point, n'allez pas plus loin, vous ne pourrez pas récupérer votre note (désolé).

2. Toujours dans l'application Réglages, rendez-vous maintenant dans la section Général → Réinitialiser, et choisissez Effacer contenu et réglages. Une alerte vous proposera de faire d'abord une sauvegarde, je vous conseille d'accepter par sécurité. Deux alertes succéderont afin de demander si vous voulez réellement continuer, validez deux fois, puis saisissez votre mot de passe.
3. Votre iTruc va redémarrer, cela peut prendre quelques minutes.
4. Une fois l'appareil redémarré, suivez les instructions.
5. Sur l'écran Apps et données, choisissez Restaurer à partir d'iCloud et reconnectez-vous à l'aide de votre identifiant Apple.
6. Sélectionnez la sauvegarde la plus récente précédant la disparition de la note, puis suivez les instructions de réglage d'iOS.
7. La restauration commence, elle peut prendre plusieurs minutes pendant lesquelles votre iTruc redémarrera.
8. Une fois l'appareil prêt, passez immédiatement en mode Avion afin de couper toute communication pouvant provoquer une synchronisation iCloud.
9. Ouvrez l'application Notes et vérifiez la liste des notes disponibles : si vous retrouvez celle qui manquait, ouvrez-la, copiez-en l'intégralité du contenu et collez-la dans une autre application (par exemple dans un brouillon d'e-mail).
10. Désactivez le mode Avion et laissez Notes se synchroniser : la note disparaîtra à nouveau, il ne vous reste plus qu'à copier-coller à nouveau son contenu et à vous assurer que la synchronisation se fait cette fois correctement.

Merci à Clément pour l'astuce qui a sauvé un de ses amis d'une crise d'angoisse récemment !

Google a récemment annoncé le déploiement très prochainement de la technologie FLoC, qui doit servir, dans les grandes lignes, à tracer les utilisateurs de Chromium et ses dérivés (dont Google Chrome) pour leur servir de la publicité ciblée sans passer par les cookies. Je ne reviendrai pas sur la question du pourquoi c'est une terrible nouvelle pour les utilisateurs et pour le Web ouvert, d'autres l'ont fait mieux que moi :

• en anglais, sur le blog de l'Electronic Frontier Foundation : Google’s FLoC Is a Terrible Idea ;
• en français, sur le blog des Tilleuls : Pourquoi Google FLoC est problématique pour la sécurité des utilisateurs du web.

Étant donné que cette fonctionnalité est activée par défaut, et qu'on peut être à peu près certains que les utilisateurs ne penseront probablement pas à la désactiver, souvent parce qu'ils ignoreront son existence (Google s'étant arrangé pour communiquer surtout auprès de la communauté tech ainsi que ses annonceurs), et en attendant que les CNIL européennes s'y intéressent, il est possible également de « désactiver » le traçage de nos visiteurs sur nos sites en ajoutant un entête supplémentaire au retour des requêtes HTTP :

Permissions-Policy "interest-cohort=()"

Je mets des guillemets autour de « désactiver », car en réalité, ça ne désactive rien, ça se contente de dire au système de traçage de mettre le visiteur dans la « cohorte » commune à tous les utilisateurs de Chromium. Donc filtrage minimal, mais traçage quand même.

Si vous avez un serveur sur lequel vous hébergez plusieurs sites, sachez que vous n'avez pas besoin d'ajouter manuellement cet entête à chacun de vos sites, il existe une solution qui tient en une ligne et qui influera sur la totalité de vos sites actuels et futurs :

• sur Apache, ajoutez cette ligne dans le fichier /etc/apache2.conf :

  Header set Permissions-Policy "interest-cohort=()"

• sur Nginx, ajoutez ceci dans la section http du fichier /etc/nginx.conf :

  add_header Permissions-Policy 'interest-cohort=()';

Enfin, relancez le serveur Web pour qu'il en tienne compte (service (apache2|nginx) reload).
Si vous allez voir sur vos sites, vous pourrez voir que les entêtes contiennent désormais le champ adéquat.
Vous pouvez aussi vérifier que votre site est correctement configuré à l'aide de l'outil Am I FLoCed? proposé par l'EFF.

Évidemment, une solution encore meilleure serait d'arrêter d'utiliser Chrome, mais étant donné sa part de marché, ça se fera difficilement du jour au lendemain…

Si vous utilisez PostgreSQL et que vous avez des erreurs du type _missing chunk number 0 for toast value 123456 in pg_toast7890, c'est que votre base a été corrompue, probablement à la suite d'un souci matériel. Voici une solution qui a fonctionné pour moi :

1. Tout d'abord, arrêtez tous les services qui utilisent la base de donnée concernée.
2. Accédez à votre base en ligne de commande :

   pg -U votre_user votre_base

3. Supprimez l'ensemble des données de la table pg_catalog.pg_statistic (elle est gérée en interne par PostgreSQL et peut être regénérée) :

   DELETE FROM pg_catalog.pg_statistic;

4. Lancez une analyse de votre base de données pour regénérer le contenu de la table :

   ANALYZE;

La proposition de loi prévoit également la mise en place d’un grand concours scientifique pour créer la backdoor parfaite, celle qui serait capable d’assurer la sécurité des utilisateurs tout en garantissant un accès aux forces de l’ordre. Les lauréats recevraient une récompense d’un million de dollars au maximum. Le concours disposerait d’un fond total de 50 millions de dollars.

Ce paragraphe à lui seul montre à quel point le pouvoir législatif manquent d'information sur ces technologies qu'ils veulent pourtant contrôler… Il serait grand temps que les États (et pas que les USA) mettent en place des moyens pour former les décideur⋅se⋅s !

Si vous travaillez avec Symfony sur un projet avec beaucoup d'historique, ce petit bundle pourrait vous permettre de faire pas mal de ménage.

Avec ces 500 millions, Bill Gates aurait probablement pu investir dans le développement de la technologie du dihydrogène liquéfié susdit, pour en améliorer le procédé de fabrication dont l'article dit clairement qu'il s'appuie actuellement majoritairement « sur des combustibles fossiles et produisent du dioxyde de carbone ».

Mais bon, ça aurait privé un pauvre milliardaire de son yacht.