Génial ! Ça c'est du grand service de qualité, et vraiment rapide et efficace, même dans son minimalisme ; effectivement, le nombre de fonctionnalités est faible, il n'est pour l'instant pas possible de choisir des options, comme l'utilisation ou non d'autoroutes par exemple.

Remercions aussi les projets OSRM (Open Source Routing Machine), MapQuest et Graphhopper pour leurs moteurs de guidage, ceux utilisés par OSM.

Ce qu'il y a de bien pratique avec la distribution GNU/Linux Gentoo, c'est qu'elle nous fait découvrir des mécanismes cachés du système d'exploitation ; et récemment, ce fut encore le cas quand je voyais dans certains paquets le "USE flag" intitulé "pic", qui est donc l'acronyme[1] de “Position Independent Code”.

Dans cet article, il est ainsi question du “Position Independent Code” dans les bibliothèques partagées.
Du peu que j'ai pu comprendre (car n'ayant pas fini de lire cet article qui me semble compliqué), il s'agit d'un mécanisme de protection du code d'exécution des binaires ELF[2] en rendant les positions des liens des processus dans la mémoire de façon aléatoire, ce qui a pour but d'empêcher un programme malveillant d'accès à des zones de données, pour y copier ou manipuler des données.

Bref, ce n'est pas à la portée de tous, mais ça permet de mieux comprendre le fonctionnement d'un système GNU/Linux.

[1] un acronyme est un sigle qui se lit comme un mot https://fr.wikipedia.org/wiki/Acronymie
[2] ELF pour “Executable and Linkable Format”, le format des binaires sous GNU/Linux pour les architectures x86 https://en.wikipedia.org/wiki/Executable_and_Linkable_Format

EDIT 2015-03-01: D'autres infos :

• le man de gcc(1) (descriptions de -fPIC et -fPIE)
• encyclopédie Wikipedia https://en.wikipedia.org/wiki/Position-independent_code (anglais)
• la distribution Red Hat https://securityblog.redhat.com/2012/11/28/position-independent-executables-pie/

« et la firme a expliqué qu’il ne s’agit ni plus ni moins que d’un bug qu’elle s’apprête à corriger. »

Et la marmotte…

”The Raspberry Pi 2 is camera-shy.”

Le nouveau modèle de Raspberry Pi, le « Raspberry Pi 2 », est sensible à la lumière, en effet, un composant, le U16 [1] déterminé de façon empirique, engendre une décharge dans le câble d'alimentation lors qu'il reçoit une surcharge de lumière [2].
D'après le billet de blog, ce problème ne serait pas « fatal » pour le RPi, et il suffit de recouvrir dans un boîtier opaque le périphérique pour éviter ce problème.

[1] https://blog.adafruit.com/wp-content/uploads/2015/02/Pi_II_top_ORIG.jpg (Horizontalement du mot HDMI, à gauche)
[2] Why is the PI2 camera-shy? http://www.raspberrypi.org/forums/viewtopic.php?f=28&t=99042

Oh ! Un TRNG (True Random Numbers Generator) libre, sous forme de clef USB, pour 25$ (soient 22,15€).
Ce périphérique est libre, dans le sens où les pilotes sont aussi libres, et les plans pour monter son propre périphérique aussi. Il fonctionne à base d'un « générateur de sons ».

Une nouvelle faille dans les systèmes Unix a été détectée.
cette faille, nommée GHOST, se situe dans la bibliothèque glibc - un composant essentiel aux systèmes GNU/Linux - à cause d'un appel de la fonction oboslète gethostname() (dont son nom), qui permet de faire un dépassement de tampon (buffer overflow).

Cette faille est en principe moins touchée pour les version supérieur ou égale à la version 2.18, mais il est conseillé de mettre à jour, pour corriger pleinement cette faille (c.f le communiqué sur la liste FRsAG).

Voir aussi :
http://www.frsag.org/pipermail/frsag/2015-January/005722.html (français)
https://www.nextinpact.com/news/92886-ghost-nouvelle-faille-critique-qui-fait-trembler-linux.htm (français)
https://community.qualys.com/blogs/laws-of-vulnerabilities/2015/01/27/the-ghost-vulnerability (anglais)

Note : dans la section 4 de cette page, il y a un code à compiler soit même :

• copiez simplement la commande qui contient la ligne "cat > GHOST.c << EOF" et finit par "EOF",
• faites "gcc -o GHOST GHOST.c" puis "./GHOST",
• regardez le résultat, pour savoir si vous êtes vulnérable à cette faille ou non.

@TODO

Voir comment fonctionne la protection du code HTML d'une page par l'utilisation de JavaScript, et démontrer que ce n'est pas efficace (comme toutes protections se faisant uniquement côté client).

Par défaut, Microsoft Windows ne gère pas l'heure en UTC dans le BIOS, rendant la cohabitation difficile entre ce système d'exploitation et un autre.
Pour ma part, j'avais donc l'heure en UTC dans le BIOS, mais j'avais mis UTC dans Windows, ce qui du coup ne m'affichait pas l'heure correctement.

Et pourtant, il existe un « hack », une très simple modification à faire dans le registre pour résoudre ce problème :

• Exécutez l'éditeur de Registre en tant qu'administrateur,
  • détails : "Tous les programmes" → "Accessoires" → clic-droit sur "Invite de commandes" et cliquez sur "Exécuter en tant qu'administrateur", puis, dans la nouvelle fenêtre, tapez "regedit.exe" et appuyez sur "Entrée".
• une fois dans l'éditeur, suivez les dossiers "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TimeZoneInformation",
• dans ce dossier, créez une nouvelle entrée de type DWORD, nommez-la "RealTimeIsUniversal", et entrez-y la valeur "1",
• redémarrez, ça y est !

Profitez donc du redémarrage pour mettre l'heure en UTC dans le BIOS, indiquez ensuite le bon fuseau horaire, et c'est tout.

Source : un peu partout sur le web.

Quelques infos pour comparer à NextCoin et BitCoin et d'autres.

Les grandes entreprises ne se gênent de plus aucun obstacle avec leurs employés, de nos jours, et ce qui est présenté dans cet article, pour le plus grand bien du libéralisme, est une honte et d'un sans-gêne.
Au nom de « l'égalité des sexes », Apple et Facebook, qu'on ne présente plus pour leurs racines libéralisme et américaine, "proposent" à leurs employées de congeler leurs ovocytes dans le but de pouvoir procréer plus tard dans leur vie sans mettre une pause dans leur carrière ; j'ai écrit "proposent" avec les guillemets, car on sent bien que c'est sous la contrainte de ne pas atteindre les mêmes sommets que les hommes. Du coup, qui peut parler d'égalité, lorsque c'est fait sous la contrainte ?

Les grandes entreprises et le libéralisme ne répugnent, et je suis poli.

Encore une nouvelle faille découverte dans le monde de la cryptographie et des communications, qui touche SSLv3, un protocole de chiffrement de communications, en principe obsolète mais encore utilisé lors des échanges avec HTTPS avec d'anciens navigateurs ou serveurs web.

Cette faille, nommée POODLE ("Padding Oracle On Downgraded Legacy Encryption") ne touche pas une implémentation, mais le protocole SSLv3 lui-même, protocole créé en 1996, et rendu obsolète par TLS en 1999.
Cette faille est dû au fait que certaines informations lors des échanges ne sont pas définies, permettant à des personnes malveillantes de manipuler et de décrypter les données (« décrypter » = « déchiffrer sans la clef de déchiffrage »).

Alors, pas trop de soucis à ce faire, il existe le protocole TLS, qui le remplace et le surpasse même, et ce depuis sa création en 1999. Alors, pourquoi avons-nous encore SSLv3 ? En parti pour le support de Internet Explorer 6, qui ne supporte pas au dessus de SSLv3.

En prime, glaner dans les docs de Mozilla, voici comment faire pour forcer le support TLS dans le navigateur web Mozilla Firefox :

• tapez dans votre barre d'adresse "about:config",
• cliquez sur "promis, je ferai attention",
• cherchez l'entrée "security.tls.version.min",
• modifiez sa valeur (double-clic, ou clique-droit), et remplacez la valeur par défaut "0" par "1",
• voilà, les modifications sont enregistrées, vous pouvez donc vérifiez en testant sur l'adresse https://www.poodletest.com/

D'autres sources, en français :
https://www.nextinpact.com/news/90427-la-faille-poodle-sslv3-permet-decrypter-donnees-sur-connexion.htm
https://www.numerama.com/magazine/30934-poodle-google-devoile-une-faille-critique-dans-ssl-30.html

En plus d'avoir une autonomie désastreuse, moins d'une journée, cet "appareil" sera un véritable mouchard et un encart à publicités privilégié pour les régies, "grâce" à la technologie iBeacon intégrée dans tous ces montres.
En effet, iBeacon (https://fr.wikipedia.org/wiki/IBeacon) fonctionnant à base du bluetooth, permet de recevoir et d'envoyer des messages entre périphériques à courte distance. Et vu que ces montres doivent être appareillées à un iPhone pour fonctionner (car ne peuvent pas fonctionner de façon autonome), ces montres émettront continuellement. Et dans les magasins, il suffira de simplement mettre à proximité des rayons pour connaître le déplacement du client, un GPS d'intérieur, si vous voulez.

Vous le sentez, le Big Brother ?

Si vous avez besoin de bibliothèques en « 32 bits » (dites x86_32) alors que votre système est en x86_64 multilib (amd64), voici un petit tutoriel, très simple à utiliser et qui fonctionne :
1) commencez par exécuter : echo '-abi_x86_32' >> /etc/portage/profile/use.mask
2) lancez la compilation avec ABI_X86="32" en début de ligne :
ABI_X86="32" emerge -vaN1 libX libY libZ

S'il vous arrive souvent d'utiliser votre ordinateur alors qu'il fait nuit, et que vous resentez de la fatigue visuelle (ou même en tant que prévention), découvrez le logiciel RedShift.

Le but de ce petit billet n'est pas concrètement de vous faire découvrir ce logiciel, mais de vous aider à le configurer, pour être fonctionnel rapidement. Les infos sont bien sûr écrites dans le man, mais en attendant de le lire, vu que l'interface graphique est très loin d'être “user-friendly”, voici comment faire :

Avant d'écrire la configuration, il faut déterminer vos coordonnées ; c'est à partir de ces infos que le logiciel changera la « température » des couleurs pour s'adapter à votre environnement. Utiliser donc votre GPS, ou des cartes en ligne comme OpenStreetMap voir Google Maps pour trouver vos coordonnées, c'est à dire la longitude et la latitude.

Avec vos coordonnées, nous allons écrire le fichier de configuration. En se basant sur l'exemple du man, nous allons écrire notre configuration dans ~/.config/redshift.conf :
[redshift]
temp-day=6500
temp-night=3600
location-provider=manual

[manual]
lat=votre_latitude
lon=votre_longitude

Remplacez donc les valeurs votre_latitude et votre_longitude par vos coordonnées. Les valeurs de temp-day et temp-night sont comme elles l'indiquent les « températures » des couleurs de votre écran à utiliser respectivement pendant la journée et pendant la nuit. La valeur 6500K est la température par défaut, sans programme ; pour la soirée, par défaut la valeur est 3600K. Personnellement, je baisse cette valeur à 5700K en journée et à 2700K pendant la nuit.
Comme vous pouvez le remarquer, la valeur 2700K fait sortir visiblement la couleur orange sur les fonds clairs, et quand c'est chaud, c'est bleu. On pourrait penser que c'est contraire à la vie de tous les jours, or en haute température, le bleu est bien plus chaud que le rouge. c'est ce qu'on remarque avec les flammes des gaz.

Maintenant, vous pouvez exécuter le programme, et le mettre en démarrage automatique. Vos yeux vous remercieront.

Un billet de blog sur une vision du Web bien triste mais actuelle et réelle.

Il est question dans cet article de voir comment les grands groupes du Web ont peu à peu pris le monopole sur les acteurs locaux, à cause de ces plateformes qui s'érigent en tant que rempart entre le client et le vendeur (de biens ou de service).

Le Web 2.0, en somme.

Après, il faut être conscient que autrement, ce serait difficile :
L'exemple des hôtels est justement un bon exemple qu'il est utile d'avoir des plateformes. Il faut être conscient que pas tout le monde est informaticien dans l'âme. Vous êtes hôtelier, c'est un emploi à plein temps, vous n'avez pas le temps de faire la promotion de votre commerce en ligne ; c'est donc de ce constat que les plateformes sont nées.

Mais encore une fois, ce n'est pas le moyen qui est à remettre en cause, mais les acteurs du Web qui enferment les clients et les vendeurs, pour mieux s'enrichir (pareil pour les grands commerces, de nos jours, les intermédiaires pompent beaucoup). Il s'agit du fameux “Embrace, extend and extinguish” https://links.thican.net/?3A3Tog

Il est temps de se servir mieux du logiciel libre et des plateformes libres pour nos services !

Hahaha, ce commentaire de film est vraiment marrant, tout plein de petits détails auxquels on pense pendant le film et qui le rend pas crédible, mais ça, c'est la magie du cinéma :D

Voilà, je me suis lancé dans l'aventure NXT, et pour aider les nouveaux, je suis prêt (dans la limite du raisonnable) à envoyer 1 NXT, actuellement de la valeur de la "taxe" (fee), pour vous permettre de faire une transaction sortante et ainsi valider votre clef publique.

Pour cela, envoyez-moi simplement un courriel, avec votre "account ID" de la forme NXT-????-????-????-?????, ainsi que votre clef publique (car tant que le compte n'a rien envoyé, il n'existe pas sur le réseau et l'identifiant "NXT-..." ne sera pas trouvé).

Pour plus d'infos, en attendant que je détaille de mon côté, commencez par le wiki officiel https://wiki.nxtcrypto.org/

Voilà ce que j'ai à peu près répondu à Sebsauvage à ce sujet, avec des articles de wikipedia.

(lien de Sebsauvage : https://simhacks.github.io/defcon-21/)

--- début ---
Je viens de voir passer un de tes "liens" sur ton Shaarli, au sujet que
les cartes à puce ont un CPU et de la RAM, et exécute du code.
http://sebsauvage.net/links/?hjazZQ

C'est pourtant le cas, et ça n'a rien de secret :
https://en.wikipedia.org/wiki/Subscriber_identity_module#Design
https://en.wikipedia.org/wiki/Javacard

C'est un domaine qui m'intéresse énormément, mais je n'ai toujours pas
trouvé de postes ni de "formations" pour débuter dans ce domaine (même
l'ANSSI qui propose des offres de stage pour étudiants de troisième
année ignore mes courriels...).

Bon, il n'y a pas de quoi s'inquiéter, du peu que j'ai lu et compris.
Mais ça, c'était avant de découvrir l'article, je vais prendre le temps
de bien écouter et lire.
--- FIN ---