J’ai eu à changer ce mot de passe et j’ai bloqué longtemps sur le problème suivant. Et non, je n’ai pas essayé de contacter le support technique à ce sujet, des plans pour qu’ils me demandent de formatter mon PC.

En fait, c’est tout simple. Lorsque vous entrez votre mot de passe dans ce formulaire les majuscules sont converties en minuscules, tout simplement.:

Je me suis douté de quelque chose quand les mots de passe générés par Password Safe ne fonctionnais pas, mais les blasphèmes et insultes marchait tout le temps… Pas de majuscules !

Alors allez vous choisir un nouveau mot de passe SMTP, tout en minuscules. Nous savons tous qu’il n’a pas changé depuis 5 ans au moins !

Après vérification, le terme “désosser” est bien celui qu’il faut utiliser pour désigner, en français, le reverse engineering. Malheureusement, je n’aurai peut-être pas l’occasion d’apprendre de nouveaux mots avec eux, puisque le contrat de license stipule aussi ceci :

16.6    Québec :   En regard du Québec, les parties déclarent par les présentes qu’elles exigent que cette entente et tous les documents afférents, soit pour le présent ou l’avenir, soient rédigés en anglais seulement.

Too bad !

Billet bixi portant le code 21213

Ça semble bien peu, mais si les codes ne sont utilisables qu’au point de service où ils sont émis, et pour une durée limitée, avec peut-être une détection d’attaque en force brute, on devrais pouvoir dormir tranquille…

Je me suis rappellé une attaque mathémaitque sur des codes de ce genre. Avec une location de 24 heures à 5$, on peut prendre et remettre le vélo plusieurs fois, histoire de tester la théorie… Bonne nouvelle, Bixi n’est pas vulnérable. Mais j’écris quand même la démarche, c’est trop rare qu’on a l’occasion d’utiliser des math pour (tenter de) contourner les règles d’un système.

La vulnérabilité apparais lorsque l’implémentation utilise une fenêtre coulissante pour vérifier les codes entrés. Cette attaque a déjà été utilisée pour dévérouiller une porte de voiture à combinaison.

Pour les Bixi, les chiffres du codes de dévérouillage de vélo peuvent être 1, 2 ou 3. Le dictionnaire des valeurs possibles à une taille k=3. Il faut entrer 5 chiffres, on dit que n=5. Avec ces variables, une fenêtre coulissante fonctionne comme ceci :

1. On entre n chiffres (par exemple 12222)
2. Ce ne sera pas le bon code
3. On entre un chiffre supplémentaire, disons 3
4. Pour accomoder le chiffre supplémentaire, l’implémentation décale les chiffres déjà entrés pour faire de la place. Dans notre exemple, c’est le 1 qui disparaît à gauche à la faveur du 3 à droite.
5. L’implémentation vérifie le nouveau code dans la fenêtre, soit 22223.

On réussi ainsi à tester 2 codes en ne saisissant que 6 chiffres, au lieu de 10. Et ainsi de suite, à chaque fois qu’on ajoute un seul chiffre, on se trouve à tester un nouveau code de 5 chiffres. La première étape ne sert qu’à initialiser le processus, sans affecter la complexité de l’attaque.

C’est une vielle idée. Un mathématicien Hollandais, Nicolaas Govert de Bruijn, a formalisé une séquence de chiffres dans laquelle n’importe quelle séquence de n chiffres n’apparait qu’une seule fois. Autrement dit, si vous générez une séquence de Bruijn avec k=3 et n=5 (les codes Bixi) et que vous y cherchez votre code Bixi, il n’y sera qu’une seule fois. C’est la façon la plus optimale d’attaquer un système de codes comme celui de Bruijn.

Voici la séquence dans l’ordre. Elle se lit de gauche à droite, de haut en bas. 1111121111311…… Le 1111 de la fin de la séquence est en fait les premiers chiffres qui se répêtent.

11111 21111 31112 21112 31113 21113 31121 21121 31122 21122

31123 21123 31131 21131 31132 21132 31133 21133 31212 21212

31213 21213 31221 31222 21222 31223 21223 31231 31232 21232

31233 21233 31313 21313 31322 21322 31323 21323 31332 21332

31333 21333 32222 23222 33223 23223 33232 33233 33311 11

La protection contre cette attaque est heureusement toute simple : à l’étape 2, effacer tous les chiffres et en redemander n autres. C’est ce qu’on fait les designers de Bixi. L’histoire ne dit pas s’ils connaissaient l’attaque, ou s’ils ont été chanceux… Au moins il pourrons dire qu’il m’ont fais marcher et pédaler !

Je déteste les CAPTCHA. C’est comme de la mauvaise crypto.

Fondamentalement, le CAPTCHA ne fonctionne pas. La tâche d’analyse (le test de Turing) est complexe juste parce que personne ne s’est encore donné la peine d’écrire le code pour réussir. C’est aussi vrai pour la crypto classique, mais ces mathématiques sont soumises à des études formelles et continues. On sait à quoi s’en tenir : avec de la bonne crypto, on déplace le problème ailleurs (la gestion de clé, souvent). En intelligence artificielle, la segmentation est difficile, mais l’ordre de grandeur d’effort est à la portée des botnets actuels.

Trouver un éléphant ou un burger est faisable. Google ne trouve-t-il pas déjà les visages sur les photos ? La faiblesse de ce CAPTCHA, en particulier, c’est l’apprentissage (en supposant que l’implémentation est bonne). La mémoire d’un ordinateur est infinie. Il est possible d’avoir la base de données complète des images en relativement peu de temps. D’identifier ce qui s’y trouve et automatiser le tout. Bien sûr, il ne faut pas que l’image soit déjà dans l’index Google… Autre faiblesse, on sait toujours d’avance combien il y a de (chat-chien-burger-bébé-éléphant). Ça aide à prendre une décision automatisée.

Les attaques sur les CAPTCHA de Microsoft et Google a montré que l’analyse de CAPTCHA n’a pas un taux de succès de 100 %. Un petit pourcentage, multiplié par un bon botnet, ça fait beaucoup de captcha résolus!

On n’a qu’à ajouter de nouvelles images, non? Oui, mais combien coûtera toute cette mécanique, en développement mais surtout en entretien? Quel est le coût réel d’une utilisation abusive du service? Combien coutera l’analyse préalable des images, le classement en mots clés, etc.? On m’a demandé de compter 3 bébés, mais une image en contenait deux, faut-il filtrer ces images-là aussi?

Mais surtout, l’aspect économique de la sécurité est complètement évacué. Ce CAPTCHA est sur une page qui demande un numéro de carte de crédit, mais pas sur la page qui permet d’utiliser le service une seule fois, gratuitement. Et c’est sans compter qu’une ferme de Turing coute 8 $ pour 4000 CAPTCHA résolus. Combien coûte un client légitime dégoûté par toutes ces précautions?

Ce CAPTCHA est l’œuvre d’amateurs. Et j’ai même pas regardé l’implémentation des cookies, session, etc. En bref, implémenter correctement ce CAPTCHA par image coûte beaucoup trop cher.

Si j’étais forcé d’utiliser un CAPTCHA, j’utiliserais un simple encodage javascript des champs du formulaire, variable dans le temps, peut-être avec un hashcash en javascript aussi, et vraiment accolé au pied du mur, j’essaierais recaptcha. L’idée est de transformer tes utilisateurs en ta propre ferme de Turing. Pas fou!

Il est vrai, Monsieur le Président, que les Québécois ne seront pas appelés à revoter sur cette question dans l’avenir immédiat. Cependant, puisque rien de fondamental n’est résolu dans les rapports Québec-Canada, il n’est pas impossible que cela survienne pendant que vous présidez aux destinées de la France. Il n’est pas impossible que la démocratie québécoise ait besoin de l’appui de tous ses amis, de tous ses frères.

Le problème est surtout là. Les “querelles épuisantes” sont fondées sur des coups de force. De l’acte d’union au rapatriement de la constitution, les ententes ont toujours été imposées, politiquement ou par la force des armes selon l’époque. Loco Locass emprunte les mots de Pierre Falardeau dans la chanson Résistance pour résumer ce point.

Je ne sais plus si l’idée de souveraineté du MSA/PQ est encore la solution. Une fédération d’états peut-être ? Mais cette solution ne sera pas de simplement rentrer de rang, niant notre différence au lieu de la célébrer, sous prétexte qu’on a oublié les sources du malaise. Je m’en souviens.

–
Guillaume

Cette lettre d’opposition à l’introduction d’une législation DMCA canadienne n’est disponbile qu’en anglais. Voici ma traduction de la lettre.

Vous pouvez utiliser l’outil d’envoi de courriel en ligne du site ORC et copier-coller cette lettre à la place du texte anglais suggéré. Vous pourrez ensuite l’imprimer et l’envoyer par la poste.

Je vais faire suivre le texte aux responsables du site, en espérant qu’ils puissent l’intégrer directement à l’outil.

Objet : Soutien à la réforme équilibrée du droit d’auteur

Monsieur (Madame),

Je suis un citoyen qui se soucie de la politique culturelle du Canada, et je vous écris en ce qui concerne les propositions législatives de “réforme du droit d’auteur.” Au cours de la dernière session parlementaire, le projet de loi C-60 abordait ce sujet complexe de manière très raisonnable, mais il y a place à l’amélioration. Lors de votre réflexion sur la question de la réforme du droit d’auteur, j’espère que vous ferez en sorte que tout nouveau texte de loi ne sera pas une régression des politiques judicieuses énoncées dans le projet de loi C-60.

En particulier, les technologies de « gestion des droits numériques » (Digital rights management ou DRM en anglais) ne devraient pas empêcher les Canadiens de faire une utilisation licite de médias acquis de façon légitime. Les éditeurs qui utilisent les technologies DRM brisent l’équilibre délicat entre le droit d’auteur et les droits du public — un équilibre fixé en fonction d’une évaluation de l’intérêt public par le législateur — et le remplacent par des règles unilatérales qui ne tiennent compte que de leur propres intérêts. Plusieurs artistes sont même en désaccord avec l’utilisation de technologies DRM pour limiter les droits légitimes des consommateurs, comme en témoigne la formation récente de l’Alliance canadienne des créateurs de musique. C’est pourquoi, comme dans le projet de loi C-60, la réforme du droit d’auteur ne devrait pas rendre illégal le contournement des technologies de gestion des droits numériques à des fins licites.

Je suis également préoccupé par le fait que l’utilisation de DRM puisse menacer la sécurité informatique et la protection de la vie privée, comme ce fut le cas récemment avec le logiciel furtif (rootkit) introduit par Sony – BMG. Lorsque des producteurs de contenu utilisent des mesures technologiques pour contrôler la façon dont les gens bénéficient de divertissement dans l’intimité de leur foyer, je pense que nous avons besoin de nous protéger des technologies DRM beaucoup plus que nous avons besoin de protection pour elles.

Ces préoccupations sont partagées par un nombre important et croissant de citoyens canadiens. J’espère que vous en tiendrez compte lors de l’examen des modifications à la loi canadienne du droit d’auteur. Merci beaucoup de votre temps.

Cordialement,

Vous n’aurez qu’a choisir votre député et entrer votre nom ! Merci de votre appui !

L’ADQ propose une constitution Québecoise. Je veux bien, mais elle sera adopté sans élection ou référendum ? Tout ça ne fais aucun sens, peu importe l’allégeance politique.

Si vous vous posez les mêmes questions, je vous suggère ce billet de Lysiane Gagnon. Il illustre bien la dualité québécoise.

Il ne reste plus qu’à répondre à la question : “What does Quebec want ?“

Le WSDL n’est pas “sémantique”. Surtout pas pour un programme qui ira le lire. Autrement dit, il faut déjà savoir ce qu’on cherche pour le trouver. Il faut avoir une implémentation du client déjà prête. On peut générer un client on the fly à partir du WSDL, mais comment savoir dans quelle ordre appellé les services, que passer en paramètre ? Ainsi, si on a un client, on a probablement déjà le WSDL. Alors comme source de WSDL inconnus, on oublie UDDI.

UDDI pourrais alors à trouver différentes implémentations du service ? Oui, mais ça ne peut marcher qu’a deux conditions qui ne sont pratiquement jamais réunies.

1. L’implémentation doit être standardisée
2. Le service doit être gratuit

Disons que le point 1 arrivera bien un jour, en commençant par des domaines spécialisés et soumis à des réglementations internationale (de l’industrie) comme la réservation de billets d’avion par exemple. D’où le “waiting” de mon résumé UDDI.

Le point 2 est là où tout s’effondre. Si le service n’est pas gratuit, il y aura une entente contractuelle entre les parties avant le premier appel SOAP. Que cette entente prenne la forme d’un contrat écrit, d’un courriel ou même d’un service web d’abonnement, on ne s’en sauve pas. Il y a une étape “contractuelle”. Le WSDL (et le endpoint) seront donnés lors de l’établissement du contrat. Pourquoi retourner dans UDDI pour me faire dire ce que je sais déjà ? Le service déménage ? 302 Moved.

UDDI pourra peut-être un jour être la solution au problème qu’il cherche/invente (j’appelle ça la solution “consultant”). Avoir un standard d’établissement de contrat avec un service, c’est la pierre d’achoppement de l’établissement d’un modèle distribué dynamique où UDDI aurait un rôle à jouer. Dans ce modèle, le client cherche les providers de contrats (le service pourrais être son propre provider de contrat), on établis un contrat et on appelle le service. Des standards comme WS-Trust pourrais jouer un rôle dans un tel scénario.