Nouveau DRM pour Ubisoft

Ubisoft a présenté il y a environ un mois un nouveau système DRM. En résumé, un DRM(Digital Rights Management) est un système qui permet de vérifier que le jeu ou l'application ne sont pas une copie. Ces systèmes permettent en théorie de réduire le taux de piratage, mais en pratique, ils amènent beaucoup de problèmes chez les clients.

Certains DRM étaient tellement restrictifs que beaucoup de clients qui avaient acheté des jeux légalement étant incapable de jouer avec leurs jeux nouvellement achetés. Le système avait des failles ou n'avait pas été testé assidument sur tous les systèmes d'exploitation. Un des systèmes qui avait été pointé particulièrement du doigt était Starforce parce qu'il simulait un lecteur CD-ROM pour faire ses tests de vérifications. Le lecteur CD-ROM virtuel est venu entrer en conflit avec certains lecteurs CD-ROM bien réel et rendait ces lecteurs complètement inutilisables. Le gamer devait donc tout simplement réinstaller Windows afin de pouvoir utiliser son lecteur. Le système a été piraté assez rapidement, au point tel que certaines personnes qui avaient acheté le jeu le pirataient afin d'éviter des problèmes.

Le nouveau système de Ubisoft a décidé de s'y prendre d'une autre façon. Plutôt que d'installer des trucs bizarres et qui vont peut-être entrer en conflit avec certains ordinateurs, ils ont décidé d'obliger l'utilisateur d'avoir une connexion sur internet s'il voulait jouer. Le jeu utilisant ce DRM ferait des vérifications périodiquement pendant que vous jouez (dans le jargon, on appelle ça Phoning home). Ubisoft a poussé la chose un peu plus loin en gardant sur leur serveur votre partie enregistrée.

Voici les principaux points négatifs soulevés :

• Vous devez toujours être en ligne... en d'autres mots, si votre connexion internet flanche, vous perdez votre progression dans le jeu.
  L'implémentation du jeu ici est cruciale. Les développeurs pourraient forcer le jeu à se fermer et vous perdriez votre progression, ou ils pourraient simplement vous donner un avertissement en attendant que votre connexion internet revienne. Vous pourriez perdre votre connexion à cause de votre ISP (Bell, Vidéotron, etc.) à cause de votre rooter ou simplement à cause d'un câble qui s'est fait manger par votre chien.
• Il deviendrait impossible de revendre votre jeu. Le jeu serait associé à votre compte Ubisoft, vous seriez donc obligé de vendre votre compte Ubisoft aussi, ce qui est impossible selon la condition d'utilisation (TOS) des comptes Ubisoft.
• Si les serveurs d'Ubisoft sont fermés pour réparation ou pour une mise à niveau, vous serez dans l'impossibilité de jouer, parce que les parties enregistrées sont sur leur serveur et l'authentification est impossible à faire.
• Possiblité de jouer sans CD/DVD, qui était le DRM par défaut de plusieurs jeux.

Les bons côtés maintenant :

• Si tout fonctionne, on pourrait rêver à une diminution du prix des jeux parce qu'il y aurait moins de piratage, mais j'imagine que le prix va rester le même et les profits seront redistribués sur d'autres franchises et le développement de nouveaux jeux.
• Possiblité de jouer chez un ami avec votre personnage sans avoir à amené votre partie enregistrée. Le fait d'avoir votre partie sur leurs serveurs vous permet de jouer de n'importe ou, pourvu que le jeu soit installé. En théorie c'est une bonne idée, mais en pratique, si vous allez chez ami, c'est pas pour qu'il vous regarde jouer et si vous le faites, vous amenez votre ordinateur. Pourtant, Ubisoft met l'emphase sur ce "très" bon côté.
• Possiblité d'avoir des amis et de parler avec eux pendant que vous jouer, un peu comme fait Steam ou Battle.net entre autres.

En en parlant avec Guillaume, nous avons trouvé des bons côtés qui malheureusement, n'ont pas été mentionnés par Ubisoft pour l'instant :

• Des marchants légendaires se promenant de joueur en joueur et vendant les items achetés/vendus par les autres joueurs. Nous aurions de vrais marchands itinérants!
• Des troupes ennemies légendaires se promenant aussi de joueur en joueur. Présentement les ennemis sont gérés au hasard ou reviennent toutes les X minutes.
• Rendre possible de switcher entre le jeu single player et multiplayer plus facilement et avec plus de transparence. Je vois particulièrement l'intérêt ici, vous êtes en train de jouer avec vos amis et tout à coup votre petit frère commence à télécharger un film en HD sur sa Xbox360, il serait possible de tomber en mode single player et continuer à jouer où vous étiez rendu. Le système d'authentification et d'enregistrement de partie demande beaucoup moins de bande passante qu'un jeu complètement en ligne.
• Avoir les bons cotés des MMO sans avoir les mauvais cotés : Système de vente aux enchères sans les serveurs trop lents par exemple.
• Avoir des émissaires ou des factions qui se promènent entre les joueurs, selon les missions accomplies et les choix faits par les joueurs, le monde diplomatique et ou physique du jeu pourrait changer. Par exemple, 60% des gens décident d'aider le scientifique fou et une ville complète disparaît de la carte pour tous les joueurs. Une ville se fait conquérir par le royaume ennemi parce que la majorité des joueurs ont décidé d'aider le royaume.

Beaucoup de bonnes (et mauvaises!) idées peuvent ressortir avec un système qui oblige le joueur à avoir une connexion internet constante. Les implémentations de ces exemples se font au niveau du jeu et non pas au niveau du DRM, mais si le DRM oblige l'utilisateur à être connecté, les implémentations deviennent beaucoup plus faciles à réaliser. Personnellement, j'espère que le système fonctionnera et qu'il profitera des ouvertures qu'il apporte, mais j'ai bien peur que beaucoup de pirates s'amuseront à faire planter les serveurs de Ubisoft pour les obliger à le retirer. Si les serveurs ne tiennent pas le coup devant les pirates, les gens vont commencer à poursuivre Ubisoft parce que les biens qu'ils ont achetés sont inutilisables.

La norme PCI DSS

Un chambardement dans le monde du paiement en ligne est en cours et il porte le nom de norme PCI DSS (Payment Card Industry Data Security Standard). La norme touche autant les marchands que leurs fournisseurs de services internet. En effet, les grandes marques de carte de crédit derrière la norme (Visa, Mastercard, American Express et quelques autres) imposent que toute compagnie qui stocke, traite ou transmet des données bancaires soit tenue de la respecter, sans quoi elle se porte responsable des fraudes. Les concepteurs de sites web avec paiement en ligne et les hébergeurs ont donc tout intérêt à prendre la norme au sérieux.  

Les critères à respecter
 
La norme définit d'abord une série de critères à respecter. Les grands axes sont les suivants (voir https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml pour les sous-critères):

1. Installer et gérer une configuration de pare-feu pour protéger les données des titulaires de cartes
2. Ne pas utiliser les mots de passe système et autres paramètres de sécurité par défaut définis par le fournisseur
3. Protéger les données des titulaires de cartes stockées
4. Crypter la transmission des données des titulaires de cartes sur les réseaux publics ouverts
5. Utiliser des logiciels antivirus et les mettre à jour régulièrement
6. Développer et gérer des systèmes et des applications sécurisées
7. Restreindre l'accès aux données des titulaires de cartes et aux seuls individus qui doivent les connaître
8. Affecter un ID unique à chaque utilisateur d'ordinateur
9. Restreindre l'accès physique aux données des titulaires de cartes
10. Effecter le suivi et surveiller tous les accès aux ressources réseau et aux données des titulaires de cartes
11. Tester régulièrement les processus et les systèmes de sécurité
12. Gérer une politique de sécurité des informations

Les mécanismes de vérification du respect de la norme

Somme toute, il s'agit d'une excellente liste de vérification qui aurait dû être suivie par tous depuis longtemps, norme ou pas. Maintenant, la norme EXIGE que les critères soient respectés et les compagnies de cartes de crédit ont pris soin de préciser des mécanismes de certification. Par exemple, les marchands et fournisseurs qui traitent un petit nombre de transactions (environ 20000 par année) n'ont qu'à remplir un questionnaire d'autoévaluation annuelle pour montrer qu'ils respectent la norme. On se fie sur leur bonne foi, ce qui n'empêche pas qu'ils sont tenus d'être conformes. Si le nombre de transactions est plus élevé, des tests de vulnérabilité doivent être exécutés trimestriellement, soit par le fournisseur, soit par un tiers accrédité. Si le nombre de transactions est encore plus élevé, les marchands doivent obtenir une certification de conformité auprès d'un tiers accrédité après inspection des lieux. Les obligations sont précisées dans les contrats signés par le marchand (exemple de niveaux d'obligations pour Mastercard).

Amélioration ou pas?
 
Cette norme est-elle une bonne chose? Oui et non. Elle permettra de rehausser la confiance que les consommateurs ont en le paiement électronique, ce qui est profitable pour toute la communauté du commerce électronique. On peut féliciter les compagnies de cartes de crédit de s'être mises d'acccord sur une seule norme car cela simplifie grandement le travail de ceux qui doivent s'y conformer. Par contre, elle déplace le fardeau des fraudes sur les marchands et les fournisseurs. Mais jusqu'à quel point peut-on rendre un fournisseur légalement responsable alors que ce n'est pas lui qui signe le contrat?

 
Si vous n'êtes pas encore au courant de la norme PCI DSS et que vous touchez au commerce en ligne, vous avez encore un peu de temps mais selon votre situation, vous pourriez être tenus de vous y conformer dès 2010.

Planète Facebook

Hier, aux Grands Reportages sur la chaîne RDI, il y avait le documentaire Planète Facebook (en rediffusion dimanche le 26 avril, 20 h). On y apprenait que le site compte déjà 150 millions de membres et qu'aucun gouvernement n'a jamais réussi à amasser autant de données personnelles sur des gens: leur allégeance politique, leur religion, leurs goûts, leurs fréquentations, des photos, etc.

Mais ce qui surprend vraiment, c'est à quel point certains membres sont tout simplement inconscients de la portée de ce qu'ils publient sur Facebook. De jeunes adolescentes françaises racontaient à la caméra, sans pudeur, que le chat de Facebook était le moyen le plus sûr d'informer leurs amis sur les « bons plans taz » (ou comment se procurer de l'ecstasy) puisque la communication était instantanée et personne ne pouvait l'intercepter... Une Anglaise s'est fait assassiner par son ex mari dès qu'elle avait changé son statut de « Mariée » à « Célibataire » sur Facebook... Un employé d'une firme américaine s'est fait congédier après qu'un collègue ait vu une photo de lui déguisé en fée à un party d'Halloween alors qu'il avait déclaré à son employeur être malade...

Les lois qui protègent la vie privée des Français, des Canadiens et autres ne valent rien: les serveurs sont aux États-Unis. Et aux États-Unis, les autorités ont accès à tout ce qu'ils veulent (à certaines conditions, mais sachez aux États-Unis il n'existe pas de politique uniforme sur la protection de la vie privée).

La divulgation de vos données sur Facebook à des tiers est-elle une menace hypothétique ou réelle? Des géants comme Bill Gates ont investi dans Facebook et cette dernière engendre des coûts d'opération énormes pour offrir au bout du compte un service gratuit. Le jour viendra où l'entreprise devra rentabiliser ses actifs et ce jour risque d'arriver assez tôt en période de crise économique, lorsque les revenus publicitaires sont décevants. Comment pensez-vous que le jeune fondateur Mark Zuckerberg s'y prendra pour rentabiliser un tel monstre?

Un laptop qu'on peut presque appeler...

La compagnie Lenovo qui produit des portables abordables "thinkpad" a annoncé une nouvelle fonctionnalité qui sort un peu de l'ordinaire (thinking out of the box). Certains "thinkpad" seront équipés d'une fonctionnalité qui vous permettra d'envoyer un message texte à votre ordinateur et qui va ainsi bloquer votre ordinateur. Cette fonctionnalité devrait permettre à une personne qui se fait voler son portable d'éviter que son ordinateur serve au voleur. Il reste à savoir maintenant si le disque dur sera aussi barré ou s'il est possible pour le voleur de récupérer les données qui y seront stockées.

Source

Saise de disques "blu-ray" en Chine

La MPA Asia Pacific (l'équivalent de la MPAA des États-Unis) a fait une saisie de 30,700 disques piratés à Shenzhen.

Parmi ces 30,700 disques, il y avait environ 800 disques en format "AVCHD". Le format AVCHD est un format haute-définition un peu inférieur à blu-ray qui permet de faire du 720p et il a une meilleure compression, permettant aux pirates de graver un dvd blu-ray sur un dvd normal. Donc, les pirates brisaient les protections blu-ray, réencodaient les vidéos et les gravaient sur DVD normaux.

Les pirates copiaient même les étuis blu-ray et le petit symbole holographique blu-ray. Les consommateurs ne pouvaient alors faire de différence entre un original est une copie (sauf le prix qui était de 7$ au lieu de 30$+ pour un blu-ray normal).

La Chine est reconnue pour les ventes illégales dans les rues de films ou de musique piratés, mais c'est la première fois qu'un entrepôt est trouvé avec autant de films haute-définition.

Les Canadiens achètent en ligne (malgré tout)

Tel que rapporté par Cyberpresse, de récentes données publiées par Statistique Canada indiquent que les Canadiens ont acheté pour près de 12,8 milliards de dollars sur Internet en 2007, c'est-à-dire 61% de plus qu'en 2005. De plus, 32% des Canadiens âgés de 16 ans et plus ont affirmé avoir acheté en ligne au moins une fois en 2007.

Ces chiffres sont très encourageants et devraient convaincre les commerçants qui hésitent encore à faire le saut en ligne et à s'ouvrir ce nouveau marché. Lorsqu'un marché compte 32% de la population, on ne doit pas faire la sourde oreille, il faut tenter d'aller le rejoindre; d'autant plus que les coûts pour faire du commerce électronique sont relativement bas.

L'article de Cyberpresse apporte cependant un bémol à tout cela: 77% des Canadiens se disent être « préoccupés » par les questions de sécurité entourant l'utilisation des cartes de crédit en ligne. Je crois qu'il est tout-à-fait normal d'être préoccupé par ces questions, sans quoi nous serions certainement nonchalants. Après tout, je suis également « préoccupé » par les questions de sécurité entourant le paiement par carte de débit et carte de crédit en magasin. Il ne faut toutefois pas qu'il s'agisse d'une barrière à l'achat. Qui vous dit que Vanessa, employée du mois chez Sears aux Promenades St-Bruno, ne conservera pas votre numéro de carte de crédit lorsque vous la lui présenterez ?

Une histoire de Spore...

Un nouveau jeu fait par EA Games qui s'appèle Spore à semer la contreverse sur internet il y a quelques semaines. Afin de protéger leur jeux contre les pirates, ils avaient limité l'installation du jeu sur un maximum de 3 ordinateurs, un compte par clef d'activation. Dès l'installation, une activation par internet est requise afin de pouvoir y jouer. Une fois l'activation faite, le jeu est débloqué et vous pouvez enfin joué. Si vous n'avez pas internet ou si votre ordinateur que vous vous servez pour jouer n'est pas connecté sur internet, vous ne pourrez jamais jouer à la version complète...

Une semaine avant la sortie, le jeu était piraté... Certaines personnes voyaient plus intéressant de télécharger le jeu piraté afin de pouvoir l'installer sur un poste sans internet...

Les joueurs se sont révoltés. Criant sur tous les blogs possibles les manières draconniènes de EA Games et l'inutilité de celles-ci. Même Amazon, le site de vente en ligne, a en été victime. Les joueurs donnant un cote de 1/5, invantant des virus qui seraient livré avec le jeux, n'importe quoi pour faire peur à monsieur tout le monde. Étant donné qu'Amazon a toujours crié sur les toîts que leur système de commentaires était démocratique et qu'en rien ils [Amazon] ne voudraient avantager une compagnie en "filtrant" les commentaires, hé bien ils ont maintenant l'obligation de laisser ces commentaires.

Dernièrement EA Games a eu une interview avec MTV Multiplayer. Ils annoncent une future patch au jeu qui va permette aux joueurs de désactiver le jeu (par exemple avant de formatter un ordinateur) vous permettant ainsi de le ré-installer sur un autre poste.

Une nouvelle patch lancée tout dernièrement par EA, permet d'avoir plusieurs comptes sur un même poste. Vous permettant ainsi de laissé votre petite soeur joué sans avoir peur qu'elle détruise votre espèce. Encore içi, c'est quelque chose que l'on devrait retrouver dans la version initiale du jeu mais bon...

C'est important pour tout le monde d'avoir des jeux/programmes bien protégés, mais il est important pour les développeurs de bien voir la limite afin de ne pas restreindre les utilisateurs... Par contre ca fait un bon coup de publicité!

Sécurité PHP

J'ai déjà fait un billet sur la sécurité en php, avec un lien vers un pdf qui présentait les principaux points d'attaques qu'un pirate pouvait faire afin d'abuser du site web. Le document était long mais celui que je vous présente aujourd'hui est beaucoup plus court, moins complet, mais présente, avec exemples, des manières originales d'utiliser les techniques vues dans le pdf que je vous ai présenté. On peut y voir par exemple, une injection xss via le url présent afin de tromper la variable PHP_SELF.
Si vous avez un petit deux minutes, ca vaut la peine!
Voir l'article
Voir le pdf original

La sécurité avec PHP

Je suis tombé par hasard sur un petit guide pour développeur sur la sécurité en PHP. Il parle des problèmes de sécurité les plus courants et explique clairement les manières les plus simples de les régler. L'article contient 14 pages et il est possible de le télécharger en pdf.

L'article sur PHPFreaks.

Bonne lecture!

Carte Opus

Je parlais tout récemment avec ma mère qui était un peu inquiète des nouvelles cartes (Opus) qui seront désormais la norme dans les systèmes en commun dans la grande région métropolitaine. Je lui disait que j'étais persuadé que d'ici quelque semaines, nous pourrions retrouver sur le marché des cartes clonées et modifiées.

Je dois avouer que je n'ai pas vu dans les journeaux des nouvelles étant reliées aux cartes du métro ayant été clonées ou piratées. Par contre, aux États-Unis, une équipe de trois étudiants du MIT ont décidés de pirater le métro de Boston et d'en faire une présentation au DEF-CON (un congrès pour professionnel).

Un juge fédéral a obligé les étudiants a annulé leur présentation parce que leur présentation présentait trop de vulnérabilité des métros et pouvaient éventuellement aider les téroristes.

Leur présentation a été annulée au congrès mais leur présentation en format pdf circule de plein gré sur Internet. Celle-ci explique comment se procurer l'équipement nécessaire (par e-bay), présice les stations du métro de Boston qui sont les plus propice à différent type d'attaque, comment lire les cartes qui sont similaires à ceux qu'on utilise ici, comment les remplir, les cloner, bref tout ce qu'un bon pirate doit savoir.

C'est un peu dommage pour les trois étudiants, le gouvernement aurait pus voir leur recherches d'une autre manière. Par exemple, le gouvernement aurait pus utiliser leurs recherches pour améliorer leur sécurité mais c'est évident que c'est plus facile de faire taire 3 étudiants.

Grâce à leur recherches, nous allons probablement voir très bientôt dans le journal que la carte Opus a été piratée...

Validation de champs...

Dans certaines occasions, en tant que programmeur, nous sommes tenus de faire des "validations de champ". Par exemple, lorsqu'il y a un champ "courriel : " nous devons vérifier que les données entrées soient vraiment un courriel. Les données doivent être de format "lettre(s)+@+lettres+extension (.com, .ca, etc.)".

À la demande du client, des validations supplémentaires peuvent être fait sur d'autres champs, par exemple le nom d'usager, le nom et le prénom du personne, etc.

Des compagnies, disont comme Verizon qui est un fournisseur d'accès internet aux États-Unis, demande des vérifications dans le nom et le prénom des clients lors de leur inscription afin de pouvoir éviter des demandes "bidons" qui pourraient être le résultat de jeunes adolescents qui avaient rien d'autre à faire ou encore des mauvais employés qui s'amuseraient à changer le nom des clients.

Verizon, dans ce cas bien précis, vérifie le nom de famille des nouveaux clients, autant à l'interne qu'en ligne.

Après cette bonne explication qui était peut-être un peu trop longue, je vais maintenant vous parler du problème du Dr. Herman I. Libshitz.

Monsieur Libshitz voulait s'abonner à Verizon pour avoir un accès internet à haute vitesse. Comme vous l'avez probablement déjà devinné, à cause de son nom "Libshitz" qui contient le mot "shit", il a eu beaucoup de difficultés à s'abonner.

Un autre problème qui a joué contre Verizon, c'est que leurs applications sont programmés en Inde. Donc pour une modification aussi petite que celle-ci, sa plainte devait passer par plusieurs niveaux hierarchiques avant d'être envoyée aux gestionnaires en Inde. En théorie, et je l'espère pour Verizon, ils avaient un accès direct à leur base de données et l'entrée aurait probablement put être mise à la main, dépendamment de la complexité de leur système.

Tout ça pour dire finalement que, oui la validation est importante, mais c'est vraiment important de bien cibler les endroits où elle doit être activée afin d'éviter des problèmes aux usagers et, dans ce cas-ci, aux employés.

L'image que vous voyez dans le coin est le logo de Verizon prise sur le site.
Cliquez ici pour avoir l'histoire du docteur Libshitz. Elle est racontée avec beaucoup "d'américanisme" du style : il a servit dans les forces armée avec ce nom, mais ça reste tout de même un bon article.

Passerelles

Voici un petit compte rendu de mes observations faites suite à la mise à l'essaie de quelques pare-feu.

Shorewall
Site web : www.shorewall.net
Frontend pour IPTables sur Linux. Shorewall nous amène le concepte de "zones". Il se configure à l'aide du bon vieux fichier .conf.

Points forts :

• Très flexible
• Concepte de zones intéressants
• Demande peu de ressources (486 minimum)

Points faibles :

• Facile de s'y perdre au début

m0n0wall
Site web : m0n0.ch
Solution minimalistique, mais efficace. m0n0 fonctionne avec pf sous FreeBSD.

Points forts :

• Très petit!
• Demande peu de ressources (P1 minimum)
• Fichier de conf XML

Points faibles :

• Pas d'option évoluée

pfSense
Site web : http://www.pfsense.org
Semblable à m0n0wall (aussi sur BSD), mais avec plus d'options. Possibilité de faire du load balancing et du traffic shaping. Disponible sou forme de ISO qu'on installe directement sur une machine comme un système d'exploitation. Permet de créer 3 types de VPN.

Points forts :

• Interface graphique impécable
• Demande moyennement peu de ressource (P2 minimum)
• Installation facile

Points faibles :

• Impossible de faire du multi-wan avec une connexion PPPOe :(

Untangle
Site web : www.untangle.com
Projet open source sur Linux mais commercial. Untangle offre une version gratuite qui n'a rien à envier au autre pare-feu. Solution très complète, mais malheureusement vous ne pourrez pas installer ce charmant logiciel sur votre vieu P1 ou P2 qui traîne dans votre garde-robe, car la configuration minimale est un processeur de 1000GHz (P3 minimum)

Points forts :

• Quantité abondante d'options
• Interface graphique très plaisante

Points faibles :

• Gourmand sur les ressources (P3 minimum)

Mon coup de coeur: pfSense pour le meilleur rapport simplicité/efficacité.

Un petit joint pour discuter sécurité informatique

AH le titre accrocheur... Ben non on n'utilise pas de drogue illicite, c'est cependant le sentiment que j'ai eu lorsque j'ai été confronté à la nouvelle sécurité mise en place sur le service en ligne d'AccesD de Desjardins. Le petit joint est pour représenter la créativité de l'équipe en charge de trouver la solution de sécurité informatique pour réduire les risques de fraude suite aux millions de pourriels envoyés chaque semaine, se faisant passer pour Desjardins, pour dépouiller les utilisateurs naïfs de leur argent.

La solution retenue surprend mais sera certes efficace, j'explique...

Non seulement Desjardins décide d'aller de l'avant avec le concept de 3 questions réponses que d'autres joueurs ont déjà implémenté auparavant, mais Desjardins en ajoute, et c'est là la partie créative!

Desjardins demande à l'utilisateur d'inscrire une phrase. Ensuite, le système assigne une image au hasard au compte de l'utilisateur et ces 2 informations s'affichent sur la page du formulaire de mot de passe lors d'une connexion ce qui permet de sonner les cloches de l'utilisateur que si sa phrase n'est pas la bonne ou l'image n'est pas la bonne, il est alors sur un site Web contrefait et il ne doit pas inscrire son mot de passe. Efficace, oui. Surtout si les gens prennent le temps de lire avant de procéder ce qui est régulièrement le principale problème des utilisateurs d'Internet, habitué par Windows au next, next next next ok, i agree, continue oui oui là là, on arrives tu à fin betôt!

Je serai curieux de voir des statistiques dans les prochains mois du nombre de fraudes qui diminuent suite à cette démarche. Bien sûr, ce n'est pas le genre de chiffre que Desjardins veut rendre public!

Bonne solution, mais je suis certain que dans la salle de conférence, la personne qui a soulevé l'idée, a dû passer son tour une couple de fois, gênée de proposer cette solution!

Reste à voir si des méchants hackers mettront des robots en place pour passer le premier formulaire avec une génération de # de carte pour aller chercher la fameuse phrase et l'image pour reconstituer la base de données de leur côté pour être encore en mesure de contrefaire AccesD, dans un tel cas, restera encore les fameuses 3 questions réponses!

Répercutions

L'autre soir, en parlant avec mon père qui est gérant/chef mécanicien d'un garage, j'essayais de le convaincre qu'une erreur de programmation, qui peut paraître stupide à première vue, peut engendrer des répercutions qui pourrait mettre la vie de certaines personnes en danger.

Vous devinez probablement son scepticisme. Il était en effet convaincu qu'une erreur majeure pourrait entrainer des problèmes majeurs, comme par exemple un mauvais calcul sur un système bancaire, mais jamais qu'une petite erreur de tous les jours pourrait causer la perte de vies ou les mettre en danger.

Bien franchement, je n'en étais pas complètement convaincu moi-même, mais hier après-midi, j'ai trouvé des preuves très concrètes.

La plupart des langages de programmation sont faits, à la base, pour servir une population anglaise. Ce n'est donc pas du tout surprenant pour nous de rencontrer des problèmes où un accent a été mal interprété, mal affiché ou simplement tronqué. C'est une erreur que la majorité des personnes considèreraient comme mineure et simplement agaçante.

L'histoire que je viens vous présenter est celle de Emmine et Ramazan Çalçoban qui habite Hurriyet en Turquie. Je vais vous faire un court résumé mais pour plus de détails, je vais vous laisser le plaisir de lire l'article.

Ramazan avait envoyé un message texte, par cellulaire, à son ex-femme. Ils étaient en instance de divorce. Dans son message, il avait utiliser la lettre "ì" qui est finalement arrivée en simple "i" chez la destinataire. Au départ le message n'était pas offensant, à la réception, simplement en interchangeant les deux "i", le message s'est transformé en une insulte. Le message reçu a engendré des évènements un peu farfelus mais quand même réels qui ont finalement résulté en 2 morts et 3 emprisonnements.

Il serait maintenant difficile de contredire qu'une simple petite erreur de programmation ne peut pas engendrer la mort...

Confidentialité absolue

Ayant travaillé comme technicien informatique pour quelques entreprises oeuvrant dans le domaine de l'assurance, on ma souvent demandé d'amener un solution pour répondre à leur besoin de confidentialité.

Bon technicien comme je suis, je me devais de me soucier du coût de cette implantation. Je me suis alors tourné vers l'open source et j'ai trouvé une solution miracle qui s'appelle TrueCrypt.

L'implantation de ce logiciel est simple. L'étape la plus dure reste toujours de former le personel pour qu'il en fasse bon usage... mais encore là, les procédure et règles sont simples et causent rarement problème.

TrueCrypt peut s'installer aussi bien sur une plateforme Windows (32bit) que Linux (32 ou 64bit).

TrueCrypt permet de créer un conteneur et d'y crypter son contenu avec un choix d'algorithmes prédéfinis. Le conteneur peut être une partition ou tout simplement un fichier (plus facile à déplacer si le besoin y est).

Le principe de fonctionnement est simple: vous devez fournir la clé secrète pour mounter la partition ou le fichier (qui deviendra lui-même une partition). Une fois mounté, vous pouvez y lire son contenu et/ou écrire à l'intérieur, et cela de manière transparante. Le seul downside, c'est que vous perdez un peu en vitesse (négligeable), mais vous gagnez en sécurité (non-négligeable!).

Une particularité vraiment géniale avec TryeCrypt est qu'il permet de cacher un conteneur DANS un conteneur pour ainsi créer un sous-conteneur. Ce qui nous amène à cette particularité intéressante:

Dans l'éventualité où on vous force de révéler la clé secrète, TrueCrypt vous apporte une déniabilité plausible.
Il est impossible d'identifier un conteneur crypté par TrueCrypt. Tant que la 2e clé n'est pas fourni, il est impossible de prouver l'existance de celui-ci.

Que ce soit pour sécurisé vos backups importants, votre clé USB ou tout simplement votre disque dur, TrueCrypt est une solution gratuite et excessivement efficace.

Site officiel : http://www.truecrypt.org