Introduire des backdoors dans les smartphones "n'est pas une bonne solution" - clubic

smartphone backdoor pistage institution

antistress : "L'idée d'obliger les constructeurs de matériel informatique à installer des portes dérobées, pour des motifs de sécurité est abandonnée. L'amendement en cause, examiné dans le cadre du projet de loi sur la République numérique, a été retiré."

---

Grosses images et petits débits - sebsauvage.net - Les trucs qui m'énervent

JPEG Web tips

antistress : Plaidoyer pour les JPEG progressifs :)

---

Retour d’un Linux-User - Le Hollandais Volant

migration

antistress : "Si je devais décrire mon passage de Windows à Linux, je dirais que je suis passé par trois étapes."

---

[EN] There are no secure smartphones - OSnews

Android Replicant GSM smartphone pistage

antistress : Tant que la pile GSM de nos téléphones repose sur du logiciel propriétaire, il est illusoire d'espérer posséder un téléphone sûr et ce quel que soit le système d'exploitation ou les logiciels installés dessus. C'est pourquoi le projet Replicant (http://www.replicant.us/), qui a pour objectif de fournir un système d'exploitation complètement libre basé sur Android pour une sélection de smartphones, se concentre sur les téléphones dont la pile GSM est supposée physiquement isolée du reste du téléphone (CPU, mémoire, etc.) : faute de pouvoir contrôler celle-ci, on peut au moins espérer limiter ses accès aux données du téléphone.

---

Original post of Planet Libre.Votez pour ce billet sur Planet Libre.

Un billet pour vous parler d’un jeu qui m’a bien plu : Frogatto & Friends
Il s’agit d’un jeu de plates-formes action-aventure en 2D à l’ancienne.
Je dois d’abord dire que j’avais installé le jeu il y a quelques temps pour mes enfants, mais en le démarrant, j’ai vraiment eu l’impression que c’était une vieillerie comme en trainent parfois sur les dépôts : mode fenêtré, pas d’options pour passer en plein écran et un look assez pixelisé, le premier contact était plutôt rebutant.

Commençons par l’installation, je suppose qu’il est présent dans la plupart des dépôts, c’est un jeu libre mais dont certains composants (dessins, musiques) ne le sont pas donc sur Debian, il est dans contrib et non-free (pour la partie data) qu’il faut avoir activé dans les dépôts. Ensuite, il suffit d’un :

sudo apt install frogatto

Bon, mes enfants ont finalement eu envie d’y jouer pour étrenner les manettes reçues à Noël. On commence donc par passer le jeu en plein écran avec l’option fullscreen et on peut même mieux faire pour les écrans larges, on ajoute l’option widescreen, la largeur et la hauteur ce qui donne chez moi :

frogatto --fullscreen --widescreen --width 1920 --height 1080

que j’ai modifié dans le lanceur en modifiant (remplacer mousepad par votre éditeur préféré) :

sudo mousepad /usr/share/applications/frogatto.desktop 

Ensuite, on peut commencer à s’amuser. Il y a deux niveaux de difficulté, sauf si ce type de jeu est pour vous une synécure, on commence par facile et c’est parti. Ca commence tout doux avec une maison à visiter, le patron qui vous dit d’arrêter de glander et on sort découvrir le monde. Un petit tutoriel vous met dans le bain en douceur pour comprendre les mécanismes du jeu et ensuite, c’est parti pour l’aventure. Rien de bien nouveau dans le principe, il faut sauter pour éviter les trous et les bestioles (ou les tuer), récupérer des sous, trouver des clés, augmenter ses pouvoirs, chercher des cachettes, accomplir des quêtes, tuer des boss, ... le tout dans des environnements différents : bord de mer, habitations, forêt, grottes, châteaux. Que du classique je vous dis.

Et pourtant, je trouve qu’il est super bien fait. Visuellement, déjà, c’est quand même assez plaisant, les bruitages et personnages sont sympathiques. Mais surtout, quel que soit le niveau que l’on a, on peut avancer dans le jeu. La barre de vie est constituée de coeurs que l’on va pouvoir augmenter au cours du jeu et si l’on meurt, on ne recommence pas au début mais juste un peu avant l’épreuve que l’on n’a pas réussi à passer. Ensuite, il y a des quêtes et explorations secondaires que l’on n’est pas obligé de faire pour continuer à avancer, mais pour ceux qui veulent colectionner les bonus et les trophées, il y a de quoi faire. Ainsi, j’ai pu évoluer dans le jeu parallèlement à mon fils de 8 ans dont c’était le premier jeu de plates-formes de ce type, moi, essayant d’explorer au maximum et lui, coupant au plus rapide.

La montée en difficulté est très bien dosée avec des ennemis de plus en plus nombreux et dangereux et des passages de plus en plus complexes à négocier. Les tableaux de la fin demandent pas mal de tentatives mais les réussir procure un sacré plaisir.
Bref, ce jeu nous a occupé une quinzaine de jours et c’était pour mon gamin la découverte d’un nouveau type de jeu et pour moi les souvenirs renouvelés des jeux découverts il y a 30 ans sur Amstrad.

Original post of alterlibriste.Votez pour ce billet sur Planet Libre.

Après cinq ans d'auto-hébergement (voir mon article de présentation), quelques services me sont devenus très vite indispensables. Mon top 3 est sans aucun doute celui-ci : Subsonic pour lire mes musiques depuis n'importe où (en particulier au boulot), un agrégateur de flux RSS (depuis deux ans, j'utilise Selfoss) et surtout, une page d'accueil perso. Cette page est la page de démarrage de tous mes navigateurs Web et c'est la page sur laquelle je vais en premier lors de n'importe quelle navigation, depuis n'importe où. Je vais vous présenter cette page et comment vous pouvez la récupérer dans cet article.

Genèse

Une page d'accueil perso a été un des premiers services que j'ai mis en place sur mon serveur, c'est tout de suite devenu un indispensable. Ma première page d'accueil (que j'ai utilisé pendant près de 4 ans) ressemblait à ça (j'avais trouvé l'idée de la mise en page sur le site de Hackurx) :

J'ai fait de petits ajout au fil du temps : les favicons, une réécriture des liens (à faire en fichier de conf, plus dans le code directement), l'ajout d'une todolist directement sur la page (comme un widget), etc.

Et maintenant

Il y a quelques mois, je suis tombé sur un super projet : AdminLTE, un "free bootstrap admin template". Entendez par là, tout plein d'outils pour faire sa propre page perso. En fait, il ne s'agit "que" d'un template, il a donc fallu mettre en place tout le code derrière pour transformer cette coquille vide en un outil super pratique : ma page d'accueil !

Après pas mal de creusage de tête et de code, voici ma page d'accueil dans le détail. Ce n'est plus une simple page avec des liens, c'est devenu un mini-site rebond avec une sidebar (menu latéral) qui me donne accès en un clin d’œil à tous mes services les plus utilisés.

Première page

Cette première page est celle sur laquelle je tombe en homepage. J'y retrouve les liens vers les principaux sites que je vais visiter ainsi que des formulaire pour de la recherche sur un moteur de recherche, sur Youtube ou pour la traduction d'un mot. J'ai aussi ajouté mon formulaire de todo list qui va écrire dans un fichier todo.txt (comme je l'avais expliqué dans mon précédent article).

Lecteur RSS

J'ai fait en sorte d'afficher le nombre d'actus RSS non lus dans l'icône de la sidebar correspondante à mon lecteur RSS. Ainsi, je vois tout de suite quand j'ai des news et je peux aller rapidement sur mon agrégateur en cliquant sur l'icône correspondante.

Transmission

J'ai également un lien vers l'interface web de mon logiciel de téléchargement. C'est simplement un iframe affichée (protégée par un login et mot de passe différent de ma page d'accueil).

Album photos

J'ai aussi un lien vers mon album photos. Là encore, il ne s'agit que d'une iframe affichée à côté de ma sidebar.

Subsonic

L'icône en forme de note de musique me redirige vers mon interface web de Subsonic. Ce n'est pas une iframe ce coup là, c'est juste un lien tout bête, je sors donc de ma page d'accueil.

Shaarli

Un lien vers mon instance Shaarli (en iframe, toujours).

Calendrier

J'ai utilisé le plugin full-calendar en javascript pour afficher mon calendrier de la semaine (fusionnant 3 calendriers différents). Je récupère les 3 fichiers ics correspondant toutes les heures en crontab et le rendu est fait automatiquement.

Munin

Un lien vers mon interface web de supervision (iframe, là encore).

Widgets

Une page de "widgets". Je ne sais pas trop quoi y mettre, j'ai mis une météo histoire de voir le rendu mais je n'ai pas d'autres idées pour le moment. Si vous avez des suggestions, n'hésitez pas :)

Logout

Et enfin, le lien vers mon logout.

Interface mobile

Un autre gros avantage d'AdminLTE est son interface bootstrap, adaptée aussi pour les smartphones/tablettes. Le rendu de ma page est parfait sur mon téléphone, qu'il s'agisse de la page d'accueil ou de mes flux RSS :

À vous maintenant

J'ai fait cet article suite à plusieurs mails que j'ai eu après mon précédent article de personnes qui me demandaient le code de ma page d'accueil (que j'avais brièvement évoqué). Parallèlement à ça, je travaille de plus en plus avec git au boulot et j'ai toujours un peu de mal à suivre, du coup, je me suis décidé à faire d'une pierre deux coups et à mettre ce code sur github !

Alors certes, tout le code n'est pas super génial. Je faisais au plus vite, selon mes besoins du moment (et ne prévoyait pas de publier ce code à l'origine). L'authentification par exemple est extrêmement simpliste (un pauvre cookie), mais ça me suffit en tout cas. Je sais qu'il y a beaucoup de choses à modifier, certains à ajouter, d'autres à supprimer : ne vous gênez pas, vous êtes libre de prendre le code et d'en faire ce que vous voulez.

Vous pouvez le récupérer à l'adresse suivante : https://github.com/bseclier/homepage

Si vous mettez cette page chez vous, ça serait cool de faire un petit screenshot, afin que je puisse voir l'étendue de vos idées (et peut-être en récupérer certaines). Si c'est une page publique, je pourrais l'ajouter en lien sur le github du projet. Dans tous les cas, si vous avez des problèmes avec ce code, si vous avez des idées d'amélioration, n'hésitez pas à me contacter (ici, sur github ou via mon formulaire de contact).

À bientôt

Original post of Génération Linux.Votez pour ce billet sur Planet Libre.

Et non, HTTPS ne se résume pas avoir avoir le cadenas vert dans votre navigateur ! De plus en plus de sites sont compatibles HTTPS, et cela ne va qu'augmenter avec l'arrivée de Let's Encrypt qui propose des certificats X.509 gratuits tout comme StartSSL. Et même si vous utilisez un certificat auto-signé, votre sécurité reste importante. Nous allons voir dans ce tutoriel tous les paramètres à ajouter dans votre configuration Nginx pour avoir un chiffrement au top. Certains en ont bien besoin !   Tous les paramètres ci-dessous seront à mettre dans votre server block (HTTPS), c'est à dire ici :

server {
# 
# Votre conf
#
}

Redirection et ports

Lorsqu'un visiteur va aller sur votre site web, il va demander à voir la page en HTTP par défaut. Il faut donc rediriger toutes les requêtes HTTP en HTTPS.

server {
       listen         80;
       server_name    domain.com;
       return         301 https://$server_name$request_uri; #Redirection 
}

server {
       listen         443 ssl;
       server_name    domain.com;
       [....]
       # conf HTTPS
}

IPv4 et IPv6

Écouter en IPv4 sur le port HTTPS :

listen 443 ssl;

Écouter en IPv6 sur le port HTTPS :

listen [::]:443 ssl;

SPDY et HTTP/2

SPDY est un protocole développé par Google dont le principal avantage est le multiplexage des connections, c'est à dire de pouvoir faire plusieurs requêtes HTTP à la fois. SPDY est présent dans sa version 3.1 depuis Nginx 1.5. Il suffit d'ajouter spdy à la directive listen :

listen 443 ssl spdy;

La version 4 de SPDY n'a pas été aboutie puisqu'elle a servie de base à HTTP/2, qui dispose des même avantages en HTTPS.   Le module HTTP/2 remplace le module SPDY depuis la version 1.9.5 de Nginx. Il suffit de remplacer spdy par http2 dans la directive listen :

listen 443 ssl http2;

Pour avoir un support complet de HTTP/2 avec ALPN, il faudra compiler Nginx avec OpenSSL 1.0.2, qui n'est pas encore présent dans toutes les distributions. Pour tester le support de HTTP/2 et de ALPN, vous pouvez utiliser l'outil de test de KeyCDN :

SSL et TLS

SSL et TLS sont deux protocoles qui permettent d'échanger des données de manière sécurisée. Ils garantissent :

• l'authetification du serveur
• la confidentialité des données
• l'intégrité des données

Plusieurs versions de SSL et TLS sont disponibles :

• SSL v1
• SSL v2
• SSL v3
• TLS v1.0
• TLS v1.1
• TLS v1.2
• TLS v1.3 (en cours de développement)

Toutes les version de SSL sont à proscrire. Elle sont complètement trouées et contiennent de très nombreuses vulnérabilités. TLS 1.0 et et 1.1 sont à proscrire également le plus possible. Il n'y presque aucune raison de les utiliser aujourd'hui puisque la quasi-totalité des navigateurs et OS modernes sont compatibles avec (même Windows XP avec Chrome ou Firefox). La conf est donc très simple :

ssl_protocols TLSv1.2;

Certificat et clé

Après avoir généré votre certificat ou après l'avoir obtenu auprès de votre autorité de certification, vous vous retrouvez avec plusieurs fichiers, dont votre clé et quelques certificats.

ssl_certificate /chemin/vers/cert.pem;
ssl_certificate_key /chemin/vers/key.pem;

Si vous utilisez un certificat obtenu auprès d'une autorité de certification, il faudra ajouter le certificat intermédiaire correspondant dans cert.pem. Je vous conseille de vous référer à la doc pour cette étape. Exemple pour Let's Encrypt :

ssl_certificate /etc/letsencrypt/live/domain.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/domain.com/privkey.pem;

Clé Diffie-Hellman (DH)

L'échange de clé DH est très impotant puisqu'il permet au serveur et au client de se mettre d'accord sur un secret commun sans qu'un tier puisse en prendre connaissance. La clé de base n'est que de 2048 bits, or la NSA recommande d'utiliser des DH d'au moins 3072 bits : Nous allons en créer une de 4096 bit :

openssl dhparam 4096 -out dh4096.pem

Puis l'ajouter dans la configuration :

ssl_dhparam /etc/nginx/dh4096.pem;

Elliptic curve Diffie–Hellman (ECDH)

L'échange de clés Diffie-Hellman basé sur les courbes elliptiques est une variante du protocole vu ci-dessus, plus performante et plus sécurisée. En effet, si l'on utilise ce paramètre :

ssl_ecdh_curve secp521r1;

La clé sera alors équivalente à une clé DH de 15360 bits. Cependant je ne vous conseille pas d'utiliser P-521 puisqu'il est incompatible avec un très grand nombre de navigateurs, notemment Chrome, ou la compatibilité a été mystérieusement retirée... Notre chère NSA recommande d'utiliser P-384 au maximum, sachant que P-256 n'a pas encore été cassé. P-384 fonctionne avec tous les navigateurs et OS compatibles avec TLS 1.2, on ne va donc pas s'en priver :

ssl_ecdh_curve secp384r1;

Pour info, ECDH P-384 équivaut à DH 7680 bits, ce qui est largement suffisant.

Cipher Suite

La suite cryptographique est... bon, on va citer Wikipédia ce sera plus clair pour tout le monde :D

Une suite cryptographique (cipher suite en anglais) est le nom de la combinaison des algorithmes d'échange de clés, d'authentification, de chiffrement par bloc et génération du code d'authentification de message (MAC) utilisée afin d'établir le paramétrage de sécurité pour une connexion réseau utilisant le protocole de communication Secure Socket Layer (SSL) et Transport Layer Security (TLS).

La Cipher Suite est très importante puisqu'elle va garantir que le client utilisera uniquement des paramètres dans cette liste s'il est compatible. Voici la Cipher Suite que je vous conseille :

ssl_ciphers ECDHE+AESGCM:EECDH+AES;

Elle est compatible avec quasiment tous les OS et navigateurs qui fonctionnent avec TLS 1.2. On peut ajouter ceci, pour s'assurer que le client utilisera bien nos ciphers en priorité :

ssl_prefer_server_ciphers on;

La NSA recommande d'utiliser AES 256 bits, or cette suite est compatible avec AES 256 bits et 128 bits. La cipher suite la plus sécurisée est donc :

ssl_ciphers ECDHE+AESGCM256:EECDH+AES256;

C'est cette suite qui vous permet d'obtenir 100% au chiffrement dans les tests HTTPS. Cependant je ne vous la recommande pas du tout puisque les navigateurs les plus utilisés aujourd'hui vont tenter de négocier l'établissement d'une connexion HTTPS en AES 128 bits. Dès lors, votre site ne sera plus accessible. La première cipher suite est donc la meilleure puisqu'elle est compatible avec un grand nombre de navigateurs et dans la plupart des cas, le chiffrement s'établira en AES 256 bits (on respecte quand même les conseils de la NSA du coup ;-) ) Par ailleurs vous remarquerez que l'on utilise ECDHE et non pas DHE (le dernier E est pour Exchange)

Online Certificate Status Protocol (OCSP)

OCSP est un protocole qui permet de vérifier si un certificat est valide ou révoqué. Pour cela, à chaque connexion, le client fait une requête à un répondeur OCSP, ce qui peut poser des problèmes de performance et de confidentialité. C'est pour cela que maintenant, on utilise OCSP Stapling, qui corrige les problèmes de OCSP. En effet c'est le serveur qui fait les vérifications, et une confirmation signée de l'Autorité de Certification est directement donnée dans le TLS handshake, avec un timestamp, soit une durée de validité du message. Pour cela rien de plus simple (ou pas), il faut d'abord ajouter un fichier contenant le certificat root et le certificat intermédiaire de votre autorité de certification. Évidemment, Le OCSP Stapling ne peut pas être utilisé avec un certificat auto-signé. Une fois que cela est fait, il faut rajouter cette directive :

ssl_trusted_certificate /chemin/vers/chain.pem;

Cela permettra à Nginx de savoir à quelle autorité de certification il devra causer. Pour Let's Encrypt ce sera ceci :

ssl_trusted_certificate /etc/letsencrypt/live/domain.com/chain.pem;

Ensuite, on active OCSP Stapling :

ssl_stapling on;
ssl_stapling_verify on;

Par défaut, Nginx résoudra les noms de domaines des répondeurs OCSP avec les serveurs DNS par défaut du système soit ceux dans /etc/resolv.conf. La plupart des sites recommandent les serveurs DNS publics de Google, mais on a aussi des serveurs DNS en France qui fonctionnent tout aussi bien : ceux du FAI Associatif FDN par exemple.

resolver 80.67.169.12 80.67.169.40 valid=300s;
resolver_timeout 5s;

Pour plus de rapidité et de confidentialité, vous pouvez utiliser un résolveur DNS local, et pourquoi pas le combiner avec un serveur DNS de la FDN pour la redondance :

resolver 127.0.0.1 80.67.169.12 valid=300s;
resolver_timeout 5s;

Vous pouvez vérifier que OCSP est fonctionnel avec la commande suivante :

openssl s_client -connect angristan.fr:443 -tls1_2 -tlsextdebug -status | grep "OCSP Response Status: successful"

Ou sur SSL Labs :

HTTP Strict Transport Security (HSTS)

HSTS est un header HTTP qui dit à un visiteur de se connecter directement en HTTPS à sa prochaine visite. Cela permet donc d'avoir une communication entièrement chiffrée, et d'éviter la redirection que l'on a vu au début de l'article. Il suffit d'ajouter un header à Nginx :

add_header Strict-Transport-Security "max-age=15552000; includeSubdomains; preload";

HSTS sera donc valide pendant 15552000 secondes soit pendant 180 jours, il sera aussi valable pour les sous-domaines. Faites donc attention, ils faut que tous vos sites sur ce domaine soit en HTTPS (certificat valide ou pas). Vous pouvez aller plus loin avec HSTS preload. Si vous avez ajouté le header ci-dessus, vous pouvez inscrire votre domaine sur cette liste. Comme le site l'indique, le domaine de votre site sera hardcodé dans les navigateurs suivant :

• Chrome
• Firefox
• IE 11
• Edge
• Safari

Cela signifie que le navigateur n'aura même pas besoin de communiquer avec votre serveur une seule fois pour qu'il sache qu'il doit communiquer avec vous en HTTPS-only. Attention, vous pouvez difficilement vous retirer de la liste, il faudra donc être sur que votre site restera à tout jamais en HTTPS ! ;) HSTS preload sera activé au bout de quelques jours. Vous pouvez le vérifier sur SSL Labs : Bien entendu, HSTS Preload n'est pas une obligation.

Cache de session

Ces directives définissent le cache et le temps qu'un client peut garder les paramètres HTTPS en cache :

ssl_session_cache shared:SSL:10m;
ssl_session_timeout 5m;
ssl_session_tickets off;

Ils sont détaillés sur la doc Nginx.

Tester sa configuration

Il existe de très bon outils pour tester sa configuration HTTPS. Le premier est le très connu SSL Lab de Qualys. Il est très complet, et détaillera tous les aspects de votre configuration : les Ciphers, OCSP, HSTS, HPKP (je n'ai pas parlé de ce dernier dans cet article puisque je ne l'utilise pas). Un des ses principaux avantages est qu'il vous permet aussi de voir avec quels OS et navigateurs votre configuration actuelle est compatible : Vous pouvez voir les protocoles et Ciphers Suites disponibles : Et bien sûr, notre super note ! :D Un autre super outil est CryptCheck fait par le fameux "crypto-terroriste individuel auto-radicalisé sur l’Internet digital" qu'est @Aeris22. Il est aussi super complet : PS : il est bien possible d'avoir 100% partout avec la Cipher Suite (à ne pas utiliser) dont je vous ai parlé plus haut. Enfin, il y a SSL  Decoder qui vous donnera tout un tas d'informations. Il ne vous donne pas de note mais est très complet en terme d'analyse. À utiliser pour les utilisateurs confirmés ;)

Sources et ressources

@Aeris22, alias Imirhil, est un pro en sécurité qui parle très souvent de chiffrement. Je vous conseille de regarder sa conférence SSL/TLS pour les nuls, et de lire ses articles sur CryptCheck ou encore Let's Encrypt. L'article étant un peu (très) long, voici un résumé de ma configuration HTTPS:

server {
 listen 80;
 server_name domain.com;
 return 301 https://$server_name$request_uri;
}
server {
 listen 443 ssl http2; #Nginx > 1.9.5
 listen 443 ssl spdy; #Nginx < 1.9.5
 server_name domain.com;
 
 [....]
 # Le reste de votre conf
 [....]

 ssl_certificate /etc/nginx/ssl/domain/cert.pem;
 ssl_certificate_key /etc/nginx/ssl/domain/key.pem;
 ssl_trusted_certificate /chemin/vers/chain.pem;
 ssl_dhparam /etc/nginx/dhparam.pem;
 ssl_protocols TLSv1.2;
 ssl_ciphers ECDHE+AESGCM256:ECDHE+AES256;
 ssl_prefer_server_ciphers on;
 ssl_ecdh_curve secp384r1;
 resolver 127.0.0.1 80.67.169.12 valid=300s;
 resolver_timeout 5s;
 ssl_stapling on;
 ssl_stapling_verify on;
 ssl_session_cache shared:SSL:10m;
 ssl_session_timeout 5m;
 ssl_session_tickets off;

 add_header Strict-Transport-Security "max-age=15552000; includeSubdomains; preload";
}

N'hésitez pas à tester les configurations des sites que vous visitez (leur cadenas vert n'est peut-être pas si vert que ça), et partagez vos jolis A+ pour qu'on ait un web plus sécurisé ! Je remercie particulièrement @HLFH_Space qui m'a énormément aidé et qui est (presque) une bible en la matière. ;) Sources :

• https://blog.imirhil.fr/2015/09/02/cryptcheck-verifiez-implementations-tls.html
• https://cipherli.st/
• http://nginx.org/en/docs/http/configuring_https_servers.html
• https://raymii.org/s/tutorials/OCSP_Stapling_on_nginx.html
• https://letsencrypt.readthedocs.org/en/latest/using.html#where-are-my-certificates
• https://raymii.org/s/tutorials/HTTP_Strict_Transport_Security_for_Apache_NGINX_and_Lighttpd.html
• https://www.nsa.gov/ia/programs/suiteb_cryptography/
• http://security.stackexchange.com/questions/14731/what-is-ecdhe-rsa
• http://security.stackexchange.com/questions/100991/why-is-secp521r1-no-longer-supported-in-chrome-others

L'article Configurer HTTPS sur Nginx a été publié sur Angristan

Original post of Angristan.Votez pour ce billet sur Planet Libre.

Où en est le projet One Laptop Per Child ? Que devient le XO ce petit ordinateur vert révolutionnaire ? Que devient Sugar, la plate-forme pédagogique qui anime l’ordinateur ?
A l’heure où le projet ne fait plus les grands titres de l’actualité, cet article a pour vocation de faire un petit état des lieux et d’évoquer les perspectives d’avenir que ce soit sur le plan matériel et sur le plan logiciel.

OLPC et Sugar aujourd’hui

Pour être complètement honnête il faut d’abord reconnaître que la promesse de départ n’a pas été tenue. L’ambition folle de Nicholas Negroponte était que des millions d’ordinateurs XO se diffusent dans le monde à un rythme effréné: 1 million de machine par mois dans certaines prévisions (!) et que cela permette de faire baisser son prix à 100$. D’où le fameux « Ordinateur à 100$ ».
Or, les chiffres actuels seraient plutôt de 3 millions à 3 millions et demi de machines déployées au total et à ce jour le prix de vente du XO reste aux alentours de 200$. Bien sûr entre temps le hardware de la machine a beaucoup évolué et la dernière évolution du XO, le XO-4, est une machine beaucoup plus puissante et mieux fournie (dual-core, écran tactile, micro-HDMI, …).
L’autre machine OLPC, la XO tablet initialement vendue à 150$ – maintenant bradée à 50$ -, et complètement ratée n’a eu aucun succès. Même si nous n’avons pas les chiffres exacts de vente, on peut estimer sa diffusion a à peine quelques dizaines de milliers d’exemplaires.
Les deux machines sont néanmoins toujours disponibles pour les déploiements qui le souhaitent et peuvent être produites sur demande.
S’il n’y a plus de déploiement de plusieurs milliers de machines comme nous avons pu le voir en Uruguay ou au Rwanda il y a quelques années, il y a toujours une petite activité de déploiement OLPC notamment en Amérique Centrale (par exemple récemment en République Dominicaine) et certains déploiement comme le Canada ou l’Australie restent très actifs.

Sugar, la plate-forme pédagogique libre installée sur le XO n’a eu de cesse d’évoluer sous l’égide du SugarLabs qui est une communauté séparée de la fondation OLPC. Animée par une distribution Fedora, Sugar continue à suivre les évolutions de celle-ci. La dernière version de Sugar, la version 0.106 s’appuie ainsi sur la toute récente Fedora 23. Chaque évolution de Sugar apporte également de nouvelles fonctionnalités et l' »App Store » de Sugar contient plus de 500 activités différentes dont de nombreuses proposées par des enfants ayant grandi avec l’ordinateur XO !

Sugar continue à être adapté pour l’ordinateur XO et fonctionne donc parfaitement sur toutes les déclinaisons du XO: XO-1, XO-1.5, XO-1.75 et XO-4.
Sugar est également accessible depuis les distributions Linux et depuis une clé USB bootable avec Sugar On A Stick.

Quelle machine pour demain ?

Au lancement du projet OLPC, l’ordinateur XO a été un réel tremblement de terre sur le marché du PC. Faire un ordinateur portable bon marché semblait une utopie. Le XO a même créé un nouveau marché celui de ces mini-ordinateurs appelés « NetBook » dont le plus célèbre dans le grand public fut le fameux petit Eee PC d’Asus.
Mais depuis, le marché du Netbook a complètement disparu car pour les particuliers, la petite machine pas chère qui évite d’avoir un PC lorsqu’on veut juste surfer sur Internet est devenue… la tablet. Le marché des tablets a effectivement explosé parce qu’il apporte cette simplicité d’utilisation et cette instantanéité qui manque à un ordinateur.
Et dans l’éducation, c’est la même chose, une espèce d’unanimité semble se faire pour considérer que la tablet est l’outil idéal pour l’éducation. C’est hautement discutable car c’est notamment nier l’importance du clavier pour la production d’écrit mais c’est à minima un phénomène de mode indiscutable. Quelle municipalité ne rêve pas d’équiper toutes ses écoles primaires d’une tablet pour chaque enfant ?

Le XO peut-il lutter contre cette vague de fond ? Fort judicieusement le XO-4 intègre un écran tactile et peut même être démarré sur Android (au lieu de Sugar) même si à notre connaissance, il n’y a pas de déploiement qui utilise cette fonctionnalité. Hélas, ce n’est pas suffisant, le XO-4 reste un PC et est hélas trop peu diffusé pour qu’il bénéficie d’un véritable engouement. Pire, la fondation OLPC n’a plus les moyens d’investir sur son évolution et il est fort probable que ce soit une machine qui n’ait pas de successeur. La stratégie de développement que la fondation OLPC a adoptée pour la XO Tablet – entièrement sous-traitée – confirme cette probabilité.
Bien évidemment, la très mauvaise XO Tablet, n’a également aucune chance de s’imposer non plus et son plus grand défaut – impardonnable à nos yeux – est en plus de proposer un système entièrement fermé à des années lumières du concept d’éducation libre et ouverte qui est dans les gènes du projet OLPC.

S’il n’y a donc pas grand-chose à attendre sur le hardware du côté de la fondation OLPC, un espoir est né l’année dernière grâce à une communauté locale, One Education (anciennement OLPC Australie). Le XO Infinity – rebaptisé « Infinity » tout court pour éviter les conflits avec la fondation – est une tablet/ordinateur modulaire destinée aux enfants.

L’Infinity reprend la forme du XO mais le clavier est détachable pour disposer d’une véritable tablet. Autre point fort du Infinity, comme le XO, il est modulaire. Via un intelligent mécanisme de hub micro-USB, la caméra, la batterie, le processeur et le clavier peuvent facilement être changés en cas de panne ou pour les faire évoluer.

Actuellement à l’état de prototype fonctionnel (j’ai pu personnellement assister à une démonstration de son fonctionnement), l’Infinity fait l’objet d’une campagne de financement participatif sur Indiegogo pour le grand public. Et parallèlement, One Education, fort de son expérience de déploiement de plusieurs milliers de XO dans les écoles en Australie collecte des promesses d’achat des écoles (plus de 350 000$ récoltés à ce jour) pour financer le développement de la machine.
L’Infinity est pour l’instant vendu 269$. Comme le XO-1, il fait même l’objet d’un programme Give One Get One pour recevoir une machine en finançant une autre pour un enfant défavorisé.
Il est intéressant de constater qu’à la différence du XO, l’Infinity a la vocation d’être accessible au plus de monde possible et est donc vendu au grand public, pas uniquement à des déploiements. Nous ne serions d’ailleurs trop vous conseiller de participer à la campagne de financement Indiegogo, c’est le cas pour OLPC France qui a d’ores et déjà commandé 10 machines.

Quelle plateforme pour demain ?

Il faut reconnaître qu’en étant limité au XO, Sugar est une plate-forme de niche. Son ouverture à toute distribution Linux le rend plus accessible, encore plus lorsqu’il s’exécute sur une clé USB bootable puisqu’il n’est alors pas nécessaire d’installer Linux sur la machine. Néanmoins cela ne le rend pas exécutable sur une tablet qu’elle soit Android ou sur iOS, cela ne répond donc pas au problème de l’évolution des plateforme matérielles aujourd’hui.
C’est cette fois d’OLPC France que vient l’espoir de résoudre le problème. En effet, en 2014 je me suis lancé dans le pari un peu fou d’imaginer que Sugar pourrait s’exécuter sur n’importe quelle machine. Deux ans plus tard, grâce à une dizaine d’autres contributeurs, le rêve commence à se concrétiser à travers Sugarizer. Sugarizer reprend les fondamentaux de Sugar mais les propose sous forme Web. Sugarizer intègre ainsi toutes les fonctionnalités qui font les spécificités de Sugar (une interface unique, le journal, la collaboration, …) et intègre également une vingtaine d’activités qui ont déjà fait la joie des enfants sur le XO (Memorize, Record, TurtleJS, Paint, Physics, TamTam, …). Sugarizer vous donne l’impression bizarre d’être sur Sugar sans être sur un ordinateur XO. Sugarizer est disponible pour tous les navigateurs et sur les principaux store du marché (App Store, Google Play, …): voir ici.

Mieux: les activités développées pour Sugarizer s’appuyant sur Sugar-Web, créé à l’origine sur Sugar, elles peuvent toutes être exécutées de la même manière sur Sugar et sur le XO.
Actuellement en béta, Sugarizer est amené à s’enrichir et se perfectionner dans les mois qui viennent.

Le futur c’est maintenant

L’espoir du projet OLPC était d’offrir une meilleure éducation à tous les enfants du monde. Cette utopie a abouti à la création d’une machine incroyable, l’ordinateur XO, et une plate-forme pédagogique unique, Sugar. Mais cette utopie a aussi réuni une communauté mondiale d’hommes et de femmes qui ont crû et continuent à croire qu’il est possible de changer le monde par l’éducation et les nouvelles technologies. C’est fantastique de constater que c’est de cette énergie qu’émergent aujourd’hui les projets matériels (le « XO » Infinity) et logiciels (Sugarizer) capables de faire vivre cette utopie au-delà du projet OLPC.
Vous pouvez faire partie de l’aventure vous aussi: soutenez ces projets avec nous.

Original post of OLPC France.Votez pour ce billet sur Planet Libre.