Certains vont être contents... D'autres bien déçus.

Si je vous parle de jeu vidéo japonais, d'eroge, d'un étudiant masculin (vous) et de pleins de jeunes filles célibataires à conquérir, vous devez déjà avoir une image assez précise formée dans votre esprit coquin. Si j'ajoute que le lycée en question est réservé à personnes souffrant de handicap physiques, la vous vous dite que je suis passé de l'autre coté de la barrière de la perversité. (Mais qui de vous ou de moi est en train d'imaginer des trucs ignobles la hein ? bande d'affreux !).

Quoi qu'il en soit, vous avez tout faux.

Alors de quoi on parle ?

Un peu d'histoire pour commencer. Il y a longtemps, un artiste japonais (probablement dessinateur de jeux "pour adulte" mais je n'ai pas vérifié), publie dans 4chan (/a) un dessin qui à plus tard été repris, colorisé, et traduit en anglais. Ce dessin esquisse plusieurs jeunes filles handicapées et l'auteur explique qu'il rêve d'un jeu permettant de draguer ce genre de fille. Les discussions ont du aller bon train sur le forum, jusqu’à ce qu'a véritable groupe de passionnés se forme pour créer le jeu en question. Sous la bannière Four leaf studio, ils leur faudra cinq longues années pour le réaliser et en proposer une version définitive en janvier 2012. Et encore un an pour qu'un(e) certain(e) "Jisa", membre de l'association KawaSoft (Que les forces du bien te protège toi et les tiens, que vos vies soient longues et heureuses) termine une traduction 100% française. Un travail absolument titanesque et pourtant remarquablement effectué. Le résultat est librement disponible (licence Creative Commons BY-NC-ND) pour toutes les plateformes.

Tu nous à toujours pas dit ce que c'était que ce jeu...

Oubliez tout de suite le mot "jeu". Il s'agit d'un roman. Une petite dizaine d'heures sera nécessaire pour atteindre l'une des cinq fins heureuses possible. (Choisissez un clavier avec une touche espace silencieuse et résistante...) Vous aurez bien quelques très rares choix à effectuer, mais quand je dis rare, c'est rare. Un choix par heure de lecture, grand max. Cela signifie aussi que chaque choix est très important. Il orientera l'histoire vers la fille que vous avez choisi... ou votre propre mort !

Tant qu'on y est, oubliez aussi l'aspect "eroge" (érotique). Totalement anecdotique, les rares scénettes un peu "chaudes" ne représenterons que quelques secondes de ces dix heures de lecture. Ces scène sont d'ailleurs totalement désactivables pour rendre le titre vraiment tout publique.

La réalisation

Les possibilités classiques des visuals novels (sauvegardes illimitées, avance rapide, consultation de l'historique des conversation...) sont bien sur implémentés. C'est joli, les musiques de fond sont belles, jamais lassantes, et s'adaptent parfaitement au contexte. Même si on est évidement pas en présence d'un titre AAA, j'ai vu des eroge commerciaux beaucoup moins bien réalisé que celui la. Vraiment, rien à dire.

L'histoire

Plus que le scénario (qui se résume au fait qu'on vous découvre une grave malformation cardiaque, ce qui vous obligera à prendre des tonnes de médicament pendant le reste de votre vie, et à poursuivre votre scolarité dans cette école spécialisé pour élèves handicapé), ce sont surtout les interactions entre les personnages qui font tout l’intérêt de Katawa Shoujo. Mais pas seulement.

Tu va donc enfin nous expliquer l’intérêt de ce truc !?

Ce qui frappe en premier lieu, c'est la qualité de l'écriture. C'est le réalisme des lieux, des personnages, des situations. C'est tout ce qui fait que l'identification au personnage principal fonctionne à 100%. Comme lui, on se pose beaucoup de questions sur le handicap. Comme lui on est gêné. Comme lui, on ne sais pas toujours comment réagir. Ce qu'il faut dire ou faire, ou ne pas dire, ou ne pas faire. Comme lui on s'habitue progressivement à des camarades de classes attachants, ayant des personnalités fortes, sans tomber dans la caricature.

Comme lui, on apprend des choses sur lesquelles on ne s'était jamais posé de question auparavant. (Vous saviez qu'il n'existe pas une langue des signes "universelle" mais des centaines ?) Katawa shoujo, c'est cinq belles histoires d'amour. C'est une leçon de vie. C'est aussi une nouvelle victoire du libre, une preuve que la passion et le temps donné sans compter, peuvent produire des choses merveilleuses. C'est la découverte de cinq personnalités de pure fiction, mais qu'aucun de ceux qui ont terminé ce visual novel n'oublieront.

J'ai nommé :

Emi

Hanako, (qui à la moitié du corps brulé)

Shizune, sourde et muette, accompagné de Misha qui traduit comme elle peu

Rin

Et enfin lily (aveugle)

Conclusion :

Katawa shoujo offre une vison probablement très optimiste du handicap. Mais si comme moi, après 10 heures de jeu, vous ne voyez plus ces personnages féminins que comme des "personnes normales" et pas des personnes handicapées, cela doit fonctionner aussi dans la vie réelle. Nous avons tous étés mal à l'aise au moins une fois face à une personne handicapée. Dites vous bien que cette personne à du apprendre à vivre avec cette différence. Elle à n'a pas eu d'autres choix que de l'accepter. Et si vous voulez avoir une relation "normale" avec elle, il ne vous reste plus qu'a faire la même chose.

Katawa shoujo ne m'a pas seulement réconcilié avec les visuals novels, mais peut être avec la vie elle même. Relativiser ses difficultés au quotidien, se rappeler que l'on ne sait pas ce que sera demain. Soyez bons avec autrui, et profitez de la vie comme elle vient. Oui, tout ça fait très cliché. Mais ça n'en reste pas moins vrai.

Captures supplémentaires

Kenji (lui son problème serait plutot dans la tête...)

Avec de la patience, on peut arriver à ce genre de chose. Même si, encore une fois, cela semble finalement bien anecdotique, et n'est absolument pas une conclusion à quoi que ce soit.

Vous trouverez sur le site de l'association qui à traduit Katawa Shoujo, d'autres histoires probablement tout aussi belles. A vous de cherchez, de lire et de nous en parler :)

EDIT : Je recommence en suivant la voie d'Emi. Et c'est TROP MIGON ! Suivez mon conseil, si vous commencez à lire et ne savez pas qui choisir, partez avec Emi. Je me demande si je ne vais pas finir par tester toutes les possibiiltés :)

Introduction inutile

Ayant trouvé un site undergroud offrant en téléchargement des vidéos de politiciens en train de se faire sodomiser. Vous avez donc décidé, amusé, de toutes les télécharger et de les stocker sur un disque externe. Mais voilà, doutant de leur légalités (surtout celles ou ils se font ensuite égorger par des terroristes nazis violeurs d'enfants), vous avez donc pensé à chiffrer vos données.

Ce disque est chiffré, c'est bien. Mais...

Avant même que vous ne lancier la moindre vidéo, votre système à déjà réalisé de nombreuses "vignettes" de chaque fichiers, dès l'instant ou vous avez ne serait-ce que parcouru le répertoire. Ces nombreux fichiers sont autant de preuves formelles que ces vidéos se sont trouvées sur votre disque, photo à l'appui. Il faut donc absolument répertorier la liste de toutes ces "méta données", tous ces raccourcis, toutes ses vignettes qui pourraient trahir la présence de ces vidéos et les chiffrer également. (Sous Linux, ne chercher pas, chiffrer tout le /home)

Les données sont chiffrés, mais les sauvegardes ?

Ok, les vidéos sont chiffrées, mais vous avez bien des sauvegardes de vos données !? (Si la réponse est non, vous avez mieux à faire en ce moment qu'a mettre au point une solution chiffrée, croyez-moi). Donc, si ces sauvegardes ne sont pas chiffrés avec un algorithme au moins aussi robuste, ce que vous venez de faire n'a servi à rien.

Les sauvegardes sont chiffrées aussi... vraiment ?

Attention, chiffrer les sauvegardes, c'est bien. Mais avez-vous pensé à la base d'index ? Si vous utilisez un logiciel de sauvegarde un peu sérieux, il tient à jour une base contenant l'ensemble des fichiers sauvegardés, ainsi que leurs attributs, leur position etc. Cette base pourrait largement suffire à vous inculper si les noms des fichiers sont un tant soit peu parlant. Si vous utilisez Linux, ce sera dans /var.

Cette fois ci tous les disques sont chiffrés, je suis peinard.

Raté. Toutes vos vidéos sont stockés sur votre ordinateur principal, ou tout est chiffré. Mais avez-vous pensez à tous ces équipements qui y accèdent plus ou moins discrètement ? La tablette, le raspberry pi sous openelec/xbmc, un autre ordinateur etc. Toutes ces machines vont elles aussi stocker des informations sur le contenu présent sur votre "serveur". Et vous allez de nouveau devoir batailler sec pour éviter qu'une base complète ne soit présente en clair dans ces équipements. (la désolé, c'est du cas par cas... Montage NFS vers des volumes centralisés et chiffrés, désactivation des scrapers etc)

Conclusion utile

Dès lors que l'on commence à chiffrer son disque, il faut augmenter son niveau de paranoïa, et penser à toutes les possibilités de "fuite" des données. Dites-vous bien que si vous abandonner à une étape, vous auriez surement mieux fait de ne rien chiffrer du tout. Car chiffrer ses données représente un risque réel (perte des pass phrases...) Un risque que je juge personnellement nécessaire pour défendre nos droits et nos libertés. A vous de voir si, en toute connaissance de cause, le jeu en vaut la chandelle. Mais si vous le faites, vous devrez le faire complétement. Autrement dit, faites le. Ou ne le faites pas :p

EDIT : Pour ceux qui veulent se lancer, je rappel qu'il y a quelques bases dans la section "partage de connaissances".

Le bug "Heartbleed" est parfaitement décrit par ce dessin provenant du site xkcd qui à déjà du faire plusieurs fois le tour de la planète. Pour le reste, voici ce que j'ai récemment appris.

Ok pour le dessin, mais en vrai ? Il se passe quoi ?

Et bien c'est vraiment ce qui est indiqué dans le dessin. Le bug vient d'un nouveau protocole ssl de keepalive "heartbit", conçu pour maintenir la session et éviter des renégociation de clef couteuses en cpu. Ce protocole (récent et conçu correctement d'un point de théorique) à été mal implémenté dans openssl. C'est pour cela que seuls les versions récentes sont touchées. Et il se passe exactement ce qui est indiqué par xkcd. Ca peut paraitre très con, mais c'est bien ce qui se passe.

Ce bug touche qui ou quoi exactement ?

Tous les serveurs web qui utilisent open ssl (apache...), les VPN ssl aussi... Tout ce qui utilise les librairies openssl. A contrario, cette faille NE CONCERNE PAS ssh, même si vous utiliser le mécanisme d'authentification par clef.

Quel est l'impact de ce bug ?

Tous les serveurs touchés ont pu être "surveillés". En dumpant régulièrement des portions de leur mémoire (64k maximum) les attaquants ont pu avoir accès à de nombreuses informations. login, mots de passe, clefs privées... Le problème est justement que personne ne peut vraiment savoir qui à volé quoi.

Ok mais moi, en tant que particulier, je fais quoi ?

Par mesure de précaution, un changement de mot de passe sur tous les sites web sur lesquels vous avez des comptes serait une très bonne idée. Voir ici pour l'état des lieux sur les principaux fournisseurs de services.

Comment savoir si un site web précis est toujours vulnérable ?

La plupart des sites webs importants ont étés très vite mis à jour. Mais ce n'est pas parce qu'ils ne sont plus vulnérables qu'ils ne l'étaient pas auparavant, raison pour laquelle il faut de même changer son mot de passe en cas de doute. Pour tester un site web, vous pouvez par exemple utiliser outil en ligne.

Il date de quand ce bug ?

Le "commit" de la mort aurait eu lieu dans la nuit du 30 décembre 2012. La faille aurait rapidement découverte par plusieurs acteurs mais : La NSA aurait préféré ne rien dire et utiliser cette faille a son avantage (source). Google, à préférer attendre qu'un correctif soit réaliser et soit près à être déployé partout avant de communiquer

Sources ?

http://www.denyall.com/heartbleed-fr.html

Merci le DLNA

J'avais déjà parlé du DLNA. Un truc foireux, sous ensemble de quelque chose de pire : l'upnp. Mais pour ceux qui aiment la bidouille, il doit vraiment y avoir moyen de s'amuser... Explications.

Du fun avec les téléviseurs

Toutes les télés avec une prise réseau sont des "renderers" dlna. Autrement dit, elles savent afficher ce qu'un "contrôleur" dlna leur demandera d'afficher. Bien sur, il existe un mécanisme de permissions, mais vous comprenez bien que ce serait trop compliqué pour le commun des mortels de gérer ce genre de chose. Du coup, sur ma télé comme sur probablement toutes les autres, tout est ouvert par défaut. A partir de la c'est facile, vous prenez un serveur/contrôleur dlna sur votre téléphone (par exemple BubbleUPnP), et en deux clics vous ordonnez à votre télé d'afficher n'importe quelle vidéo. Faites le test sur votre femme en train regarder tranquillement une chaine quelconque et balancer lui une vidéo d'Anonymous à la place, ça devrait faire son petit effet.

Du moins fun avec les routeurs

Problème, ce manque de sécurité se retrouve sur tous les appareils utilisant UPnP, et ils sont très nombreux, à commencer par tous les routeurs grand publique, les points d'accès etc. Et ne croyez pas qu'il faut être forcément être déjà connecté sur le réseau local pour profiter de ces vulnérabilités. Beaucoup sont exploitables à distance.

Parfois, ce n'est même pas une faille dans le protocole, mais juste l'équipement qui accepte de faire tout ce qu'on lui demande sans poser de questions. Je n'ai pas testé personnellement, mais la lecture de cette page à propos d'un petit utilitaire en ligne de commande permettant de modifier la configuration des routeurs ne m'a pas vraiment rassuré.

Il existe aussi des outils graphiques, ici UPnP Inspector :

Le top pour simplement scanner un réseau

Vous vous souvenez du temps ou il fallait lancer un nmap sur une plage d'ip et attendre des plombes avant de savoir ce qu'il y avait dans le réseau scanné ? C'est du passé. En utilisant le protocole SSDP (Simple Service Discovery Protocol), une couche d'UPnP, vous pourrez cartographier un réseau en une fraction de seconde, et de façon beaucoup plus précise qu'en utilisant le fingerprinting tcp de nmap.

Sous linux, installez le paquet "gupnp-tools". Puis lancez la commande : " gssdp-discover --timeout 5", ce qui lancera un scan du réseau pendant 5 secondes, et admirez le résultat. Chez moi il m'a tout de suite trouvé toutes les machines linux (demon avahi), windows, la freebox, le point d'accès wifi et l'imprimante. Tout ce qui était connecté. Avec en prime les urls d'accès aux services donnant encore plus de détail : Modèles, numéros de séries etc... C'est beau le progrès.

Conclusion

Au niveau des routeurs et des box adsl, vous devez absolument désactiver tout ce qui porte le nom d'UPnP ou de DLNA. Pour les autres équipements, vous faites comme vous voulez :p

Après la journée du samedi, voici ce à quoi j'ai pu assister la journée du dimanche. Je rappel que les conférences auxquelles j'ai assisté ne sont qu'une infime partie de tout ce qui était présenté.

Voiture automatique "open source"

Un employé de BMW est venu nous indiquer que techniquement, il n'y a plus rien qui bloque. Toutes les technologies nécessaires sont disponibles et suffisamment bon marché. Il n'y a plus qu'a (r)assembler le tout correctement. Jusqu’à présent les systèmes embarqués dans les voitures tournaient sur des micro contrôleurs. (plateforme actuelle : Autosar OS). Mais cette plateforme est ancienne et peu scalable. Il faut abandonner les micro controleurs et utiliser des vrais cpu digne de ce nom, avec un système d'exploitation complet capable de gérer beaucoup plus de choses que de simples systèmes mécaniques. Or, Linux couvrirait plus de 95% des besoins (tout le nécéssaire en terme de couches logiciels existe déjà). Ce qui manque vraiment à linux ce sont des retours d'experience d'utilisation en environnement critique. Il nous a donc parlé de la fondation OSADL, de Realtime Linux et de Safety critical Linux (SIL2LinuxMP).

Concrètement BMW est en discussion avec d'autres constructeurs automobiles (nous n'avons pas eu de noms) pour mettre en place une plateforme logicielle open source (OS + API) commune. Même si cette approche est évidement louable, j'ai un peu eu l'impression d'entendre "On est super à la bourre sur le sujet, on va tous se faire bouffer si on met pas vite nos ressources en commun !". Wait and see :)

Ganeti

J'ai plusieurs fois entendu parler de Ganeti. Ce système de gestion de machines virtuel dans un cluster physique fait beaucoup penser aux ESX de vmware. Ce truc à l'air extrêmement puissant. Je sais par exemple que ganeti est utilisé par l'APINC pour assurer une disponibilité maximum des services proposées. Dommage, le présentateur parlait vraiment trop rapidement pour que je puisse comprendre l'ensemble de sa présentation :(

OTR

OTR, que j'avais déjà eu l'occasion de tester, est un système permettant de discuter de façon sécurisé (chiffrer) avec autrui. Des modules existent pour la plupart des messageries instantanées, ainsi que pour pour certains clients irc (et donc pouvoir ouvrir un dcc chiffré avec votre correspondant). Les auteurs étaient plutôt fier du niveau de sécurité obtenu, et semblaient avoir toutes les raisons de l’être. En fait les problèmes sont plus liés à certains clients de messageries qu'aux librairies OTR. Je n'ai malheureusement pas pris de notes pendant cette présentation, donc je ne me souviens plus trop des logiciels qui étaient recommandés versus ceux qui au contraire étaient considérés comme de grosses usines à gaz qui mettaient la sécurité au second plan. J'attends de pouvoir télécharger leurs slides pour retrouver tout ça. C'est la seule présentation ou il y a eu de nombreux applaudissement avant le début de la conférence (et bien sur aussi après) :)

Capsicum

Il s'agit d'un modèle de sécurité utilisé dans Chromium et dans Freebsd. Un slide présentait les avantages de ce mécanisme par rapport à des systèmes plus connus (SE Linux, chroot etc). L'idée est de se protéger des applications qui ont besoin de droits étendus (un exemple clair est donné avec la commande tcpdump, qui lit et écrit avec les droits root). Si en matière de sécurité c'est surement très intéressant, il faut voir concrètement le temps supplémentaire nécessaire pour administrer des mécanismes de ce genre. Nous ne le saurons (enfin moi en tout cas) que lorsque il aura été porté sous linux, ce qui est en cours d’étude actuellement.

Gestion des SSD

Après quelques rappels concernant la stack I/O de Linux, l'orateur nous explique pourquoi cette stack doit être modifiée pour gérer correctement les SSD. Cette présentation était l'une des plus intéressante, et je vais avoir bien du mal à vous résumer tout ça, mais je vais essayer :

• historiquement, tout à été conçu pour améliorer les temps de réponses de disques dur qui étaient (sont) LENT.
• Avec les SSD, ce n'est plus le cas. (SSD branché sur PCI-Express etc).
• Pour atteindre X millions d'opérations par secondes, c'est la stack linux qui freine !
• On peut maintenant adresser des octets, et plus simplement des blocs
• L'état mémoire n'est plus perdu en cas de panne EDF
• Bref, plein de choses ont changés, et il y a beaucoup de boulot
• Actuellement, les développeurs du noyau discutent de tous ces sujets...

UEFI

Je vais résumé la présentation en listant les avantages et les inconvénients par rapport au bon vieux bios que tout le monde connait.

Avantages

• Accès à tous les devices
• Supporte les partitions GUID (GPT)
• Comporte des API (avec versioning)
• Capable de charger un driver spécifique pour une carte donnée
• Le système peut agir dessus (set de variables, mise à jour etc)
• Forcément plus libre que les anciens bios 100% propriétaires.

Inconvénients

• Les spécifications sont libres, pas les implémentations actuelles
• L'accès aux spécifications nécessite un enregistrement (gratuit)
• Le code source est une véritable horreur "windowsienne", avec nom de variables de 12 km etc.
• Tout est codé en UCS-2, pas en UTF8
• Les logiciels pour tester la conformité d'un logiciel au standard UEFI ne sont pas libres.

Conclusion

Onplus le choix. Il fallait trouver autre chose que nos vieux bios totalement dépassés et bourrés de limitations. La tentative de créer un truc open semble avoir globalement échoué et l'univers UEFI semble appartenir à Microsoft. Pourtant la base "libre" est bien la. A part le temps, (et les docs constructeurs bien sur pour les drivers etc) rien ne semble vraiment bloquant pour créer un firmware UEFI vraiment libre. Y a plus qu'a...

Beaucoup de questions ont étés posés à propos de la fameuse protection nécessitant une clef etc. La j'ai peur de dire des bêtises mais, dans mes souvenirs, le soucis est qu'on ne peut mettre qu'une seule clef, forcément signé par l'autorité de Microsoft. Heureusement, sur plateforme X86, on grade (pour le moment ?) la possibilité de désactiver cette "sécurisation". Sur les autres plateformes en revanches (tablettes arm...) c'est mort.

Rendez vous l'année prochaine

Voila, c'est tout pour cette année, mais cela m'a semblé déjà bien dense. Je prévois d'y retourner l'année prochaine. Et j'invite tous les libristes curieux qui voudraient retrouver un peu de l'ambiance étudiante (amphis etc) à s'y rendre également. Même si certaines salles étaient déjà bien pleines (parfois trop pour suivre une présentation quand on arrivais avec un peu de retard). Je ne suis pas certain que les organisateurs pourraient gérer un nombre beaucoup plus important de visiteurs :)