Archive pour octobre 2006

CAPTCHAs : le pourquoi du pourquoi

mardi 31 octobre 2006

Certains de mes lecteurs ont peut-être remarqué la présence de ce que les connaisseurs appellent “CAPTCHA”, en bas de chacune de mes notes, au niveau des champs de saisie des commentaires. Il s’agit de ces images affichant un mot qu’il vous est demandé de restituer afin d’authentifier votre prose et lui permettre d’être affichée sur mon site. Vous en avez sûrement vu sur d’autres blogs ou sur des sites où il faut s’inscrire. Ils ne sont pas là pour vous embêter mais bien pour empêcher l’usage de robots remplissant les formulaires de façon automatisée pour générer du spam ou des perturbations de service.

CAPTCHA, c’est l’acronyme de “Completely Automated Public Turing test to tell Computers and Humans Apart“, ou en français : test de Turing entièrement automatisé afin de distinguer les hommes des ordinateurs.

Alan Mathison Turing était un mathématicien britannique qui est à l’origine de beaucoup des principes fondamentaux de l’automatisation des calculs et de l’intelligence artificielle. Le test éponyme est, à l’origine, un protocoles de confrontation verbale entre des machines et des humains : si l’ordinateur arrive à convaincre l’humain qu’il est lui-même un humain, la machine est déclarée avoir réussi le test. Chaque année, le meilleur “chatbot” ainsi créé reçoit le “Turing Award”.

Les CAPTCHAs tels que nous les connaissons (des filtres anti-robots pour formulaires en ligne) sont donc en réalité une des multiples facettes des tests de Turing, qui ont pour base l’intelligence artificielle. En l’occurence, l’idée est d’utiliser l’intelligence instinctive chez l’homme de reconnaissance des formes. Car oui, soyez-en assurés, l’humain est fort bien doté de ce point de vue : si reconnaitre des lettres quelles que soient leur style, leur taille et leur couleur est immédiat pour nous, l’informatique même moderne n’arrive pas à un tel degré d’exactitude à une vitesse approchant la nôtre.

Ces CAPTCHAs sont-ils donc infaillibles ? Ceux qui suivent un peu l’actualité technologique ont peut-être entendu parler de “proof of concept” prometteurs dans la reconnaissance de caractères, il ne s’agit pour l’instant que de moteurs réalisés en laboratoire, c’est à dire avec des ressources quasi-infinies. Des amateurs auraient également réussi à développer des algorithmes pour déjouer les CAPTCHAs de certains grands sites commerciaux… Mais chacun ayant sa propre façon de présenter leurs textes à reproduire, il faut se ré-adapter à chaque site. Opération difficile, surtout lorsqu’on sait que modifier le style d’affichage (ajouter des déformations, des lignes ou des points un peu partout, etc.), est très facile pour le webmaster.

Or, que recherchent les spammeurs ? A abuser de ce qui ne coûte rien : le spam existe principalement à cause de la gratuité du courrier électronique. Les CAPTCHAs, de par leur côté personnalisable, touchent donc les spammeurs à l’endroit où ils sont le plus sensibles : le portefeuille. Et on peut légitimement penser qu’ils ne s’amuseront pas à s’attaquer à un blog comme le mien. Et l’histoire le confirme : depuis leur introduction en 1997 par le moteur de référencement de sites d’AltaVista jusqu’aux formulaires d’inscriptions aux grands sites modernes de Google, Yahoo ou Hotmail, l’efficacité du concept reste dissuasive.

Voilà pourquoi, après divers essais d’outils anti-spam pour WordPress aux résultats variables, j’ai décidé qu’un système de CAPTCHAs serait la meilleure solution : en échange d’un seul mot supplémentaire à saisir pour chaque commentaire, une tranquillité absolue, sans risque de faux positif et des dizaines de minutes par semaine à vérifier/trier le spam de gagnées !

Mode d’emploi pour truquer un vote électronique

jeudi 26 octobre 2006

Un Article extrêmement intéressant est à lire aujourd’hui sur Ars Technica. Très bien expliqué et détaillé, il explique les multiples moyens existants de truquer les machines à voter électroniques qui se sont multipliées ces dernières années aux Etats-Unis, et notamment le modèle Diebold AccuVote TS.

Bon nombre de failles de sécurité sont connues et certaines ont été consciencieusement documentées, comme par exemple sur ce site. Citons notamment :
– un rapport de CompuWare décrit ainsi comment prendre le contrôle d’une de ces machines grâce à un PDA équippé d’une SmartCard ;
– le code PIN ne contient que 4 (!) chiffres permettant l’accès en mode administrateur (avec tous les droits) et sa valeur par défaut est 1111 ;
– le verrou empêchant l’accès au slot PCMCIA (permettant de contrôler et modifier intégralement le logiciel de la machine – y compris installer des logiciels supplémentaires !) est identique pour toutes les machines, des copies des clés circulent largement et de toute façon ledit verrou est crochetable par un amateur en moins de 10 secondes.

La chaîne de prise en compte du vote semble bien être compromissible à chaque étape : au moment de la saisie par le citoyen, lors de l’enregistrement sur carte mémoire, et au cours du transfert vers le centre de comptage et d’archivage. Altération du processus de vote ou du comptage des votes, vote multiple, effacement de votes, mise hors d’état de la machine ou forçage de l’invalidité des votes… autant d’actes qu’un individu mal intentionné et suffisamment informé serait dès lors capable d’effectuer pour favoriser un candidat.

Le moins qu’on puisse dire, c’est que la sécurité de ces outils a été plus que négligée, mais aucune instance du gouvernement américain ne s’en inquiète. Souvenez-vous, des problèmes ont été rapportés dans certains états au cours des élections de 2004, notamment suite à la découverte de nombreuses machines rendues inopérantes ou dont le résultat des votes ne pouvait être considéré comme viable.

Même en faisant fi des détails techniques, une chose est claire : la difficulté de truquer des élections libres a toujours résidé dans la droiture des intermédiaires, mais surtout dans leur grand nombre. Or, en mettant en place un système de gestion informatisé, on diminue le nombre d’intervenants humains dans la chaîne de confiance : les intermédiaires ne sont plus des citoyens bénévoles mais des machines dont les clés sont détenues par des entreprises privées et quelques agents gouvernementaux liés au gouvernement en place, lequel qui souhaite généralement à la victoire de son parti…

Avant qu’une telle idée ne tente de s’installer dans notre pays (ce qui ne devrait pas tarder), posez-vous la question : voudriez-vous vraiment d’une telle chose en France ?

Musique en ligne : revirement en vue ?

mardi 24 octobre 2006

La semaine dernière, Virgin et la Fnac, deux gros distributeurs de musique en France, ont cherché à attirer l’attention sur la musique sans DRM, autrement dit sans verrous. Le premier a ainsi annoncé vouloir “l’ouverture d’un débat sur le téléchargement payant sans DRM” tandis que FnacMusic a mis en vente le temps du week-end deux morceaux au format MP3 (issus de la bande originale du film “Tout va bien, ne t’en fais pas”). Pas de nombre limité de lecture, pas de péremption dans le temps, pas d’asujétion à un abonnement, copie privée et gravure garanties, compatibilité totale avec tous les baladeurs du marché, ces fichiers ne manquent pas d’atout.

Certes, ils sont contraires à la volonté actuelle des majors, qui ont bien fait comprendre leur point de vue de tout leur poids l’élaboration de la loi DADVSI. Les certitudes des éditeurs de musique seraient-elles en train de s’effriter ?

C’est que les disquaires français se retrouvent de plus en plus pris en sandwich entre, d’un côté, les nouveaux arrivants sur le marché de la musique (Apple en tête, mais aussi Sony et Microsoft) se servant de la musique en ligne “protégée” pour vendre du matériel, et de l’autre côté, de nouveaux procédés de distribution comme le financement par la publicité (expérimentée aux Etats-Unis par EMI et par Universal).

Et tout ça sur fond de téléchargement massif de fichiers déverrouillés via les réseaux peer-to-peer qui ne diminuent pas malgré les procès très médiatisés. La conséquence de tout cela est donc que c’est l’utilisateur honnête – qui paye pour sa musique – qui se coltine les effets pervers de la protection, tandis que le pirate, lui, fait ce qu’il veut de ses fichiers.

Gageons également que le succès de eMusic, plate-forme de fichiers musicaux indépendants et non-protégés, y est pour quelque chose. Apparemment second derrière iTunes aux Etats-Unis et en Europe, le pionnier de la tendance a peut-être vu juste. Et si c’est le cas, comment vont réagir les “grands” de la musique en ligne protégée, et notamment Apple dont la possibilité de piocher dans les répertoires est entièrement conditionnée à ses DRM ? Les mois à venir promettent d’être très intéressants.

Ce serait donc l’instinct de survie qui a provoqué les initiatives présentées en introduction de ce billet. Mais on serait tenté de qualifier ceci à un début de retour à la raison poussé par la force des choses : le devoir de différenciation, grâce au respect de l’utilisateur, par rapport à un art marchandisé. Bien sûr, il faut protéger les artistes et les producteurs. Mais ce n’est certainement pas en dégoûtant le public que ce sera possible.

Je ne sais pas pour vous, mais moi je compte bien acheter ces deux morceaux, rien que pour faire acte de militant et garder en tête que si des mains nous sont tendues, il faudra veiller à ne pas en abuser. Après tout, si une chance nous est donnée d’être libres, un effort d’honnêteté sera le prix de la conservation de cette liberté.

Bully contre les grands sires

jeudi 12 octobre 2006

Surfant sur l’énorme succès de la série GTA depuis son 3ème opus, Take Two Interactive semble bien décidé à suivre son filon de jeux vidéos où le joueur incarne un bad guy. Ainsi, sa dernière réalisation en date, nommée “Bully” vous met dans la peau d’un élève de collège qui devra progressivement passer de l’état de souffre-douleur de sa classe à celui de racaille en chef de l’établissement.

Or, il est un avocat exerçant en Floride qui a décidé, pour sa part, de mener sans relâche une croisade contre ce genre de jeu qui, selon lui, ne font qu’attiser les pulsions délinquantes des enfants sensibles à l’image. Jack Thomson, puisque c’est son nom a ainsi déposé la semaine dernière un recours auprès de la cour de justice de Floride pour faire interdire la sortie dans le commerce de “Bully”, qu’il considère comme un “simulateur de Columbine” (du nom de ce lycée de Littleton où deux adolescents avaient tué 13 personnes et blessé 24 autres avec des armes à feu).

Jusque-là rien de particulièrement palpitant. Sauf qu’aujourd’hui, la réaction du juge est pour le moins originale : au lieu de donner un “oui” ou un “non” après une séance de plaidoiries, il a demandé à pouvoir examiner le jeu lui-même. Non, le juge n’y jouera pas de ses mains (dommage, on aurait bien voulu voir ça), mais il a exigé qu’un employé de Take Two soit détaché à la cour dans les 24 heures pour une démonstration d’environ 100 heures. Une fois ceci fait, il envisagera alors ou non l’interdiction de vendre ce jeu aux mineurs.

Le jeu étant normalement prévu pour sortir mardi prochain, la question qui se pose maintenant est donc de savoir comment cette centaine d’heures de démonstration vont bien pouvoir s’organiser en l’espace de… quatre jours. De la part d’un magistrat, voilà bien une charge de travail volontaire qui pourrait même impressionner un Nicolas Sarkozy.

Free lance le réseau téléphonique solidaire

vendredi 6 octobre 2006

Free est décidément un opérateur internet pas comme lesa autres : quelques semaines après l’annonce par Orange et par Neuf d’une solution de téléphone mixte portable-fixe, Free lance sa propre vision de la chose.

Le téléphone mixte est une idée assez simple : quand vous n’êtes pas chez vous, le téléphone utilise le réseau GSM, et quand vous êtes dans le champ d’action de votre “box” internet, le WiFi et la VoIP prennent le relais pour vous faire bénéficier de la téléphonie illimitée (ou presque) de votre fournisseur d’accès. Techniquement, le “roaming” (basculement d’un réseau à l’autre sans coupure) est même possible. Une bonne idée pour les gens qui aiment téléphoner.

Arrive Free qui, fort de ses quelque 300 000 Freebox HD (version 5 de la box de l’opérateur), propose d’aller encore plus loin :

Dès qu’un abonné est à proximité de sa Freebox HD ou de celle d’un autre Freenaute, son téléphone se connecte automatiquement à son compte personnel de téléphonie Freebox : il bénéficie alors de tous les services et de la grille tarifaire (y compris de la gratuité vers 28 destinations dont les postes fixes en France Métropolitaine) proposés par Free.

Ceci signifie que le mode WiFi sera utilisable via n’importe quelle Freebox HD, pas seulement celle de l’abonné. Concrètement, si en vous promenant dans la rue vous parvenez à accrocher une Freebox HD, vous pourrez téléphoner gratuitement. D’où corrolaire : si vous avez une Freebox HD chez vous, les gens qui se ballaront dans votre rue avec un de ces nouveaux mobiles Free pourront téléphoner. En utilisant votre réseau sans fil. Votre Freebox. Votre accès internet. Votre bande passante. Oh ? Votre beau réseau sans fil bardé de cryptages pour le rendre inaccessible ? Ils ont le droit de faire ça ?

Le communiqué officiel décrivant l’offre ne donne hélas pas beaucoup de détails, donc on ne peut que conjecturer. J’imagine donc qu’étant donné la tendance actuelle à protéger son réseau sans fil (et à juste titre), ces téléphones doivent s’affranchir de ces protections. On en déduit donc que ces mobiles Free sauront :
– détecter et se connecter à un réseau sans fil même protégé (clés WEP ou WPA) ;
– s’identifier auprès de votre Freebox
– utiliser votre accès internet – et votre bande passante – pour établir des connexions téléphoniques à leur nom (et peut-être payantes pour les numéros surtaxés ou étrangers)
…et tout ça sans que vous n’ayiez un moyen de le savoir. Je ne suis pas Nostradamus, mais j’imagine qu’il y a des gens qui ne vont pas être très d’accord avec ça.

Maintenant, on imagine difficilement Free ne pas avoir pensé à ce problème. Et il est peut-être bon de se souvenir d’un détail important : Free reste propriétaire de tout ce qu’il met à votre disposition pour vous permettre d’accéder au net. Ainsi :
– la freebox vous est louée (son coût fait partie du forfait de 29,90 euros) ;
– votre réseau sans fil est permis par cette freebox et fait partie de la prestation de service ;
– votre accès internet idem ;
– la bande passante itou.

Cela dit, il demeure un questionnement plus technique : si un dispositif peut ainsi pénétrer un réseau sans fil sans y être invité par le freenaute qui l’a installé, on se trouve en présence d’une “faille intentionnelle”, autrement dit une “backdoor”. Et si des petits malins arrivaient à détourner cette entrée de service pour attaquer les ordinateurs reliés aux Freebox HD ? Espérons pour Free que la protection (très probablement) mise en oeuvre sera à la hauteur de ses ambitions.