Ma yubikey étant enfin arrivée et ayant pris le temps de la configurer, ce qui fera l'objet d'un prochain billet, j'ai déplacé tous mes comptes 2FA sur l'appli Yubiko associée.

Etant d'un naturel relativement prudent, surtout que la Yubikey est mine de rien un SPOF, j'ai téléchargé tous les codes de secours des divers services que j'utilise (Github, Google entre autres)

Mais je me retrouve maintenant avec un certain nombre de fichiers texte, que je ne devrai pas sécuriser dans ma base Keepass, elle-même protégée par ma Yubikey.

Pourquoi ? Je n'ai pour le moment qu'une seule clef physique. Si celle-ci casse pour une raison quelconque, je me retrouve globalement verrouillé hors de mes comptes et seuls les codes de secours me permettront, le cas échéant, de reprendre la main.

Il en va de même pour ma base Keepass, l'intégration avec la Yubikey passant par un secret partagé qui sert aussi à déverrouiller la base en cas de problème majeur.

Le serpent se mord la queue : je peux protéger les codes de secours 2FA dans ma base keepass au besoin. Cependant, je dois toujours avoir au moins le secret de ladite base hors de celle-ci. Cela fait donc un fichier important qui ne peut être sécurisé...

Comment faire ?

Il y a quelques jours, suite à une manipulation sur un proxy sortant, l'accès au site de Pocket a été bloqué pendant plusieurs jours.

Etant un grand utilisateur de ce type de produit tant pour ma veille personnelle que professionnelle, je me suis donc mis à la recherche d'un outil OSS équivalent. Cela existe et l'outil s'appelle wallabag. L'installation est simple, c'est du PHP; et l'import des données de pocket se fait facilement par un import de fichier. Les fonctionnalités ne sont pas toutes au niveau de pocket mais il fait le boulot. Puis Pocket a été débloqué et je me retrouve avec deux outils qui font le même job.

De fil en aiguille, j'en viens à me poser la question d'un puits de données personnel, un endroit sous mon contrôle qui me permettrait de déposer en automatique les données que je génère sur les différents services que j'utilise, ouverts ou propriétaires, et qui me permettrait d'extraire lesdites données dans tout format que j'estime nécessaire, par exemple : dans le cas d'un changement d'outil de pocket vers wallabag.

Idéalement, ce service serait notifié quand j'ajoute un élément dans un de mes silos et n'aurait pas besoin d'une interface complete, seulement d'un affichage synthétique du puits associé à un type de données (lien, image, fichier)

Des solutions approchantes existent, les quelques projets de cloud personnel portent des bases de cette idée. Cependant, en y réfléchissant, elles ne sont que de nouvelles interfaces de consultations de données.

Pas besoin d'une interface de consultation complète. Presque un DataWarehouse personnel.

En complément du programme, un des points assez important de Paris Web est toute l'infrastructure en place pour assurer la diffusion en salle et sur internet.

Comme vous pouvez le voir dans l'image ci-contre, le matériel présent en régie (oui, nous étions derrière l'écran, bien cachés) était relativement important (5 portables plus le mélangeur et les grosses boîtes de streaming de Veodem) mais il était globalement plus réduit qu'en 2014, et tant mieux !

Pour ceux qui étaient présent, vous avez pu voir entre les conférences et pendant les pauses divers écrans de remerciement, de sponsoring et d'annonce de programme. En plus de remplacer proprement les écrans vides et la vélotypie qui n'avance pas, ceux-ci avaient un rôle utilitaire bien sympathique.

Sauf que offrir cette diffusion nécessitait d'avoir au moins deux ordinateurs en plus pour afficher ces images... Pas simple ni pratique à installer ni à gérer, vous en conviendrez.

C'est comme cela que je me suis retrouvé le samedi précédent les conférences à jouer sur un de mes raspberry pi et à mettre en place un système, suivant la méthode Rache bien connue, pour afficher ces images avec un pilotage par une interface web.

C'est ainsi qu'est né piTitle, un petit truc à base de fbi et de Silex qui nous a permis d'afficher plusieurs images (une par écran) à partir d'un seul navigateur et surtout avec un encombrement et une consommation électrique réduits.

Le bouzin est jeune, se base sur des prémisses foireuses, genre utilisation obligatoire du sudo, mais si vous voulez l'utiliser/l'améliorer/whatever, n'hésitez pas à forker !

Être dans le staff de Paris Web, c'est une aventure au long cours. Des moments de joie mais aussi de fatigue.

Donc quand je vois ce type de tweet, je suis fier de participer à cette aventure qui permet au plus grand nombre d'accéder aux connaissances des pros du web !

10 éditions de #ParisWeb Félicitations ! L'équipe du W3C reconnaissante pour votre excellence et votre engagement ! pic.twitter.com/jWntpRDkCO

-- W3C (@w3c) October 2, 2015

Dans tous les bureaux et toutes les comptabilités parisienne, c'est l'effervescence comme à chaque mois de septembre : la réévaluation des forfaits Navigo. Et encore plus cette année avec le lissage général des forfaits.

J'ai donc reçu un mail de ma comptable pour lui transmettre l'attestation Navigo. Et en bon geek/webeux, je suis allé sur le site de la RATP faire ma demande. Il y a deux semaines. Et je n'ai toujours rien reçu.

Par contre, en envoyant un mail avec les mêmes informations, j'ai reçu ladite attestation sous... 2 heures.

Comment dire.

D'un côté nous avons le syndicat des auteurs américains qui explique, chiffres à l'appui, la paupérisation des auteurs mais indique aussi que ceux-ci ont relativement bien pris le virage tant du numérique en lui-même, les ebooks, que des possibilités offertes par la technologie, l'autopublication rendue plus facile. Le même syndicat indiquant que le droit d'auteur, américain, doit être mis à jour pour correspondre aux usages de maintenant.

De l'autre côté, nous avons cette pantalonnade, publiée sous un masque par le syndicat des éditeurs français, sans aucun chiffre, une belle dose de FUD, un livre de commande et surtout quasiment aucun soutien de la part des auteurs français. Ledit syndicat dénigrant l'eurodéputée Juia Reda sur sa jeunesse qui, selon eux, ne lui permet pas de comprendre les tenants et les aboutissants d'un droit d'auteur européen globalement bon mais nécessitant lui-aussi des mises à jour.

Deux visions d'un même métier, la première des représentants de ce métier et la seconde d'une entité dépendant d'eux.

Une vision progressiste et une vision parasitique.

*[FUD]: Fear, uncertainty and doubt

Cela me trotte dans la tête depuis quelques temps.

Au début, je voulais en faire une application sous Android, histoire de me dérouiller sur le sujet et surtout de passer à Groovy sous Android. Sauf que je suis salement rouillé sur ce sujet. Résultat, cela devient une microapplication en HTML/JS.

Mais de quoi vous parle-je ?

De SpeechTimer !

Un bout de code pour aider tout présentateur à respecter son temps de parole & surtout à être prévenu quelques minutes à l'avance de la fin de sa session. Oui, j'ai fortement pensé à nos chers orateurs de Paris Web, mais cela peut être utile à toute personne qui doit parler devant un auditoire.

Le concept est simple :

• Des timers constitués d'un nom, d'une durée maximale et d'un délai de prévention avant la fin. On peut en avoir plusieurs bien entendu
• Un stockage en LocalStorage pour un mode déconnecté
• Un clignotement de l'affichage quand le délai expire

Si vous voulez participer à ce tas d'octets, forkez, pullez et venez aider :) Je suis parti sur jQuery Mobile/Lockr mais rien n'empêche de changer de framework. Personnellement, j'apprendrai beaucoup de ce projet !

La carte GitHub du projet :

Plus je joue/bosse/bidouille avec, plus j'aime ce langage par sa concision et sa précision. Du scripting propre couplé à la puissance et la qualité de l'écosystème Java, des choses compliquées deviennent simple & belles en Groovy.

J'avais besoin de tester une URL et de remonter rapidement si oui ou non la page existe :

Et voilà ! Quelques lignes grace à Groovy et la librairie HTTPBuilder !

Dans un mini-site à venir, j'aimerai proposer aux visiteurs la possibilité d'imprimer une version haute qualité des photos qui seront présentées. En gros, de pouvoir imprimer la photo sur du papier photo.

Donc, cher visiteur, connais-tu un service en ligne qui propose cela à partir d'un site ? Idéalement, ce sera un lien sur la page de détail de la photo qui permet de l'ajouter au panier chez le prestataire d'impression. Le processus de commande et paiement étant sur le site du prestataire.

Sur la partie financière, je ne suis pas intéressé par une commission : mon but est de proposer aux gens un moyen propre d'impression.

Vous avez une idée ?

Je serai honnête, moi-même j'ai désactivé la grande majorité des transmissions & télémétrie associées; surtout celles liées à la publicité. De même, alors que j'ai retrouvé mon compte hotmail pour la connexion au windows store, je suis sur un compte local et non hotmail.

Au delà de cette politique relativement intrusive et de fonctionnalités dangereuses (telles que le partage des mots de passe wifi avec les "amis"), se pose la question de l'appropriation.

Comment expliquer cette levée de boucliers contre Microsoft alors que nous avons déjà, pour la grande majorité, ouvert la porte vers nos données à Apple & Google au travers de nos smartphones et tablettes ?

Prenez Android : quand vous changez votre vénérable smartphone pour le dernier modèle de votre fabricant préféré, vous ne vous inquiétez pas. Vous saisissez uniquement votre compte Gmail lors du premier démarrage et laissez ensuite le système télécharger vos mails, vos applications, vos mots de passe wifi (et oui !) et retrouvez ensuite votre environnement habituel mais sur un nouvel appareil. De même, et ce quelque soit votre appareil, celui-ci envoie régulièrement au constructeur des informations sur son état, le statut du système (sinon comment vous proposerait-il les mises à jour des applis où du système ?)

Cela ne choque quasiment plus personne et tout le monde est bien content de retrouver facilement ses données quelque soit le support. Alors pourquoi cela gêne-t-il sur un PC ? Quel est ce facteur différenciant qui nous fait accepter ces envois sur nos smartphones et non sur nos machines ?

Es-ce à cause de la réputation, de moins en moins justifiée, de Microsoft de toujours en vouloir plus pour mieux vous le revendre ensuite ? Est-ce parce que nous ne voulons pas divulguer nos informations (trop tard, vous avez un smartphone) ? Est-ce parce que le passage de Windows Update d'un schéma optionnel à obligatoire nous fait peur ?

Ou plus simplement, est-ce parce que le passage d'un PC géré par nos soins à un PC géré par Microsoft sur le modèle des smartphones nous fait peur malgré certains avantages non négligeables ? Depuis l'arrivée de l'informatique personnelle, nous avons pris l'habitude de choisir nos PC selon nos envies, voire de les construire entièrement en achetant directement les composants. De même pour l'installation du système où nous choisissons nous- même comment nous voulons l'installer.

Cette levée de boucliers est dûe à un sentiment de perte de contrôle sur nos ordinateurs; comme à l'époque de la mise en place des domaines dans les infrastructures professionnelles. Ce n'est plus "mon ordinateur" mais "mon ordinateur sous monitoring de Microsoft" à l'image des smartphones et autres tablettes.

Est-ce si mal que cela ? Pas nécessairement et si les équipes de développement de Windows utilisent les données renvoyées à bon escient :

1. Une sécurité renforcée : les correctifs sont plus facilement développés à partir des données fournies par la télémétrie et surtout plus rapidement déployés sur les machines.
2. Une optimisation du système selon les cas d'usage remontés : si tout le monde décoche une option, celle-ci est-elle réellement nécessaire ?

Echanger ma liberté contre de la surveillance est inacceptable. Cependant, échanger des informations sur mon usage d'un outil indispensable au quotidien contre une optimisation de celui-ci, à l'image de mon smartphone et dans des conditions raisonnables, je suis prêt à faire ce pas.