Le blog

Se chauffer gratuitement grâce à des serveurs devient une réalité

Alors que la ville de Paris devrait inaugurer prochainement ses premiers logements sociaux chauffés par des serveurs de Free, le remplacement des radiateurs par des ordinateurs devient une réalité. Y compris bientôt pour les locataires et propriétaires de logements individuels, qui pourront se chauffer sans payer.

Les serveurs, ça consomme beaucoup en électricité, et une bonne partie de l’énergie est dégagée sous forme de chaleur, qu’il est donc pertinent de ré-exploiter pour d’autres besoins en redirigeant les flux d’air ou les circuits d’eau. C’est toute l’idée derrière un partenariat intelligent noué entre Free et Paris Habitat, qui a confirmé la livraison prochaine de 150 logements sociaux chauffés grâce à un datacenter de Free.

Alors qu’ils devaient être livrés en juin dernier, les logements ont pris quelques temps de retard, mais ce n’est a priori qu’une question de semaines.

Ces appartements réservés à des bénéficiaires en attente d’un logement social seront situés dans un immeuble de l’avenue Albert-Bartholomé, dans le 15e arrondissement de Paris. À quelques 200 mètres de là se trouve le data center DC4 de Free, au 58 boulevard Lefebvre.

Selon les estimations de Paris Habitat, les locataires devraient gagner en moyenne 500 euros sur leurs charges, en voyant environ 80 % de leur facture de chauffage et 50 % de leur chaude sanitaire diminuer grâce au réchauffement par les serveurs. La chaleur excédentaire du data center sera aussi utilisée pour chauffer une crèche pour 44 enfants.

free-hlm

L’utilisation des data centers pour chauffer des infrastructures n’est pas une idée tout à fait nouvelle. À Val-d’Europe, où se situent Euro Disney et quelques 1 700 entreprises, un projet a été lancé dès 2010 pour couvrir au total 600 000 mètres carrés de bâtiments grâce aux datacenters situés sur la zone. «  La chaleur dégagée par les équipements informatiques sera collectée pour chauffer les bâtiments de bureaux et d’activité du parc d’entreprises, ainsi que la future piscine intercommunale », avait expliqué l’établissement public en charge du développement.

D’autres projets sont aussi en cours à Paris, en particulier la piscine de la Butte aux Cailles (13e), qui sera en partie chauffée par les serveurs de la startup Stimergy. Cette dernière alimente déjà des chauffages d’une vingtaine de logements sociaux chez elle, à Grenoble. Un autre projet concerne également un quartier du 18e arrondissement de Paris, Chapelle International, installée sur un ancien site ferroviaire.

Et chez vous, à quand le chauffage gratuit ?

qrads

Au niveau international, Microsoft parle depuis 2011 de louer d’installer des serveurs-chauffages chez les particuliers, ce que font déjà plusieurs startups. C’est par exemple le cas de Qarnot Computing, qui propose ses « Q.Rad », des radiateurs très esthétiques qui renferment des serveurs de calculs. Plus ils sont sollicités, plus ils dégagent de la chaleur, comme n’importe quel ordinateur.

Le Q.Rad peut ainsi offrir jusqu’à 500 watts de chaleur, entièrement gratuitement. C’est le fournisseur qui paye la facture d’électricité associée, et qui se rembourse en facturant lui-même les résultats des calculs à ses clients qui ont besoin de data centers. Selon son site internet, « un Q.rad peut chauffer une pièce allant de 14 à 28 m2 d’un bâtiment respectant les normes d’isolation actuelles ». Les radiateurs sont en plus équipés de capteurs (température, CO², humidité, détecteurs de présence, micro, COV…), qui renseignent le possesseur sur la qualité de l’air et offrent des fonctionnalités d’interactions. Il peut aussi servir de lecteur audio grâce à ses enceintes stéréo, ou de chargeur de téléphone, par USB ou induction.

Pour le moment les radiateurs de Qarnot sont installés uniquement dans des bâtiments qui ont besoin d’au moins 20 radiateurs, mais la startup devrait les proposer à la vente d’ici la fin de l’année, à un prix encore inconnu. Une fois achetés, les clients n’auront plus à payer la note de leur chauffage.

numerama

Android 7.0 (Nougat) : les modèles qui seront mis à jour, comment l’installer

image dediée

Maintenant que Nougat est disponible, commence pour beaucoup l’attente du système sur leur terminal Android. Nous avons décidé de faire le point pour les différents constructeurs. Les informations, finalement assez peu nombreuses pour l’instant, seront mises à jour par la suite.

À chaque nouvelle édition majeure d’Android, l’officialisation par Google de la version finale démarre une longue série d’horloges. Les possesseurs de terminaux Android attendent ainsi de recevoir ces précieuses nouveautés. Rebelote avec Nougat (Android 7.0) : la longue valse des annonces constructeurs commence, certains ayant déjà donné des indications sur les calendriers envisagés.

La situation des mises à jour d’Android a longtemps été complexe. Même si beaucoup appliquent maintenant une période minimale de 18 mois pour l’entretien de leur téléphone, il s’agit surtout des versions mineures, qui ont le plus souvent trait à la sécurité. Une version majeure d’Android enrichit forcément le système, donnant à des appareils de nouvelles capacités et pouvant retarder l’achat de nouveaux terminaux. Les constructeurs ne réagissent pas souvent rapidement, certains appareils (notamment chez ASUS) n’ayant toujours pas reçu Marshmallow (Android 6.0).

Les derniers modèles de Google sont les premiers servis

Faisons donc le point sur les prévisions des constructeurs. À l’heure actuelle, peu d’informations ont filtré, cette actualité sera donc mise à jour au fur et à mesure que la situation s’éclarcira.

Comme d’habitude, les Nexus sont les premiers terminaux servis. Les modèles 6, 5X, 6P, 9 et Player sont déclarés compatibles, de même que la tablette Pixel C et le General Mobile 4G sous Android One. Comme nous l’avions vu, les Nexus 5 et 7 (2013) sont cette fois écartés et ne seront pas mis à jour. Pour l’instant, seuls trois modèles disposent réellement de cette nouvelle version : la Nexus 9, le Player et la Pixel C.

Android Beta à la rescousse

Il existe cependant plusieurs moyens d’installer Nougat sur ces terminaux : les images disques, la récupération du fichier de mise à jour OTA, ou le programme Android Beta. Chacun réclame évidemment une méthode précise, qui n’est parfois pas évidente pour le premier venu. Dans tous les cas, il est chaudement recommandé d’effectuer une sauvegarde complète des données avant de se lancer.

La méthode la plus simple est de loin de passer par Android Beta. Pour rappel, il s’agit d’un programme de test qui a été lancé pour accompagner le développement de Nougat. Il était en quelque sorte l’équivalent chez Google du programme Windows Insider chez Microsoft. Il a permis aux testeurs d’installer très facilement les préversions et à Google d’obtenir rapidement de nombreux retours.

Le gros avantage d’Android Beta est qu’il est non seulement toujours actif (il n’est plus censé s’arrêter), mais il diffuse déjà la version finale de Nougat. Tout ce que l’utilisateur doit faire, c’est s’inscrire au programme. Il recevra alors rapidement une mise à jour, qui sera dans un premier temps une bêta récente d’Android 7.0. Une fois celle-ci installée, une autre mise à jour apparaîtra : ce sera cette fois bien le véritable Android 7.0 final. La méthode passe donc par deux téléchargements et plusieurs redémarrages, mais elle ne requiert que très peu de manipulations.

Une fois que vous disposez de Nougat, vous n’avez aucune obligation de rester dans le programme Android Beta. Puisque celui-ci va se poursuivre, certains risqueraient de se retrouver dans quelques mois avec des versions instables et/ou cassant la compatibilité avec des applications.

Installation manuelle de la mise à jour OTA

Si la mise à jour OTA n’est toujours pas disponible par simple vérification de sa présence sur votre terminal, on peut en récupérer le fichier Zip pour l’installer manuellement. L’avantage est qu’on reste sur une mise à jour : les paramètres et données de l’utilisateur ne sont pas réinitialisés. Cette méthode est générale, mais elle ne s’applique pour l’instant qu’aux seuls Nexus concernés.

Il faut procéder comme suit, depuis un ordinateur :

  • Télécharger l’archive correspondant au modèle depuis cette page
  • Aller dans les Paramètres, puis À propos de la tablette et taper 7 fois sur le numéro de build
  • Revenir aux Paramètres, des Options pour les développeurs sont apparues
  • Dans le nouveau menu, activer le débogage USB
  • Brancher l’appareil à l’ordinateur via USB
  • Avec l’outil ADB (disponible avec l’installation du SDK Manager), exécuter la commande « adb reboot recovery »
  • En appuyant simultanément sur les boutons Volume « + » et « – », un menu apparaîtra, dans lequel il faudra sélectionner « Apply update from ADB »
  • Depuis le dossier contenant l’archive téléchargée, exécuter la commande « adb sideload (XXX.zip) », où XXX représente le nom réel du fichier
  • Choisir l’option « Reboot the system now » depuis l’appareil
  • Désactiver le mode débogage après redémarrage complet

Réinstaller son appareil

Si la procédure peut sembler complexe, elle reste plus simple que dans le cas de l’image d’usine. Cette solution conviendra à ceux qui veulent profiter d’une nouvelle version majeure pour repartir sur une base vierge puisque toutes les données seront effacées dans la plupart des cas.

  • Se rendre sur la page des images OTA et récupérer la version 7.0 pour l’appareil visé
  • Décompresser l’archive dans un dossier
  • Installer l’outil ADB (via le SDK Manager) et placer fastboot dans la variable d’environnement PATH
  • Brancher le terminal sur l’ordinateur
  • Passer l’appareil en mode fastboot en redémarrant puis en exécutant la combinaison de boutons spécifique à l’appareil, dont la liste est disponible ici
  • Ouvrir un terminal et se rendre dans le dossier contenant les fichiers décompressés et exécuter le script « flash-all »

La subtilité concernant l’installation des images d’usine est qu’il est souvent nécessaire de déverrouiller le bootloader de l’appareil. Auquel cas il faudra exécuter la commande « fastboot flashing unlock », ou « fastboot oem unlock » pour un appareil plus ancien.

Cette opération peut supprimer toutes les données présentes, d’où l’intérêt de la sauvegarde. Après installation de l’image, il est recommandé de verrouiller à nouveau le bootloader, avec les mêmes commandes mais en remplaçant « unlock » par « lock ».

Sony confirme la mise à jour de dix appareils

Sony est le premier constructeur à avoir dévoilé clairement un plan de bataille pour ses appareils existants. Nougat sera donc distribué sur les modèles suivants : Xperia Z3+, Xperia Z4 Tablet, Xperia Z5, Xperia Z5 Compact, Xperia Z5 Premium, Xperia X, Xperia XA, Xperia XA Ultra et Xperia X Performance.

L’entreprise ne donne par contre aucune information temporelle sur cette arrivée. Elle indique simplement dans son court communiqué que le travail avancera aussi « rapidement que possible ».

Samsung : du flou hors du Galaxy Note7

La situation devient déjà beaucoup plus floue chez le géant du smartphone Android. Samsung n’a pour l’instant confirmé qu’un seul modèle : le Galaxy Note7. Il sera mis à jour dans les deux mois, sans plus de précisions.

Qu’en est-il des autres modèles, particulièrement des Galaxy S7 et S7 Edge, relativement récents ? Il faudra patienter. Dans une réponse donnée à Digital Trends, Samsung a indiqué que les terminaux (smartphones et tablettes) sortis au cours des 18 derniers mois seront mis à jour. Ce qui devrait permettre à des modèles tels que les Galaxy S6, S6 Edge, Note 5 ou encore S7 Active d’en profiter.

Samsung prévoit de publier un calendrier de déploiement au dernier trimestre. L’attente se comptera donc en mois, ce qui ne devrait pas étonner les utilisateurs, les Galaxy S6 ayant reçu Marshmallow plus de cinq mois après sa diffusion par Google.

HTC : trois modèles confirmés

Chez HTC, la situation est plus claire. Le constructeur a déjà confirmé que Nougat serait disponible pour les modèles HTC 10, One A9 et One M9. Dans un tweet, on apprend ainsi que le premier recevra la mise à jour durant le quatrième trimestre, suivi plus par les deux autres.

HTC s’était déjà fait remarquer pour cette réactivité avec Marshmallow, le One M8 le recevant à peine deux mois après sa sortie.

LG : mystère en dehors du V20

Beaucoup de mystères chez LG pour l’instant. D’un côté, le constructeur est sur le devant de la scène puisque le premier smartphone bâti autour de Nougat sortira de ses fourneaux : le V20.

Pour les modèles existants, rien n’a cependant encore été dit. Ce n’est pas un grand risque que de prévoir une mise à jour en préparation pour le G5, actuellement le modèle le plus haut de gamme chez LG. Mais il faut encore qu’une communication soit faite sur le sujet, pour ce smartphone comme pour les autres.

Motorola confirme quelques modèles récents

Le constructeur, racheté par Lenovo en 2014, a confirmé que des mises à jour seraient faites pour les modèles Moto Z Droid, Z Force Droid, G4, G4 Plus et G4 Play. Il n’y a cependant aucun calendrier défini à l’heure actuelle. Les utilisateurs n’en sauront donc pas plus avant un moment.

Il est à noter que Motorola s’est exprimé de manière assez directe sur le thème des mises à jour chez Digital Trends : « Les mises à jour Android sont complexes, dévoreuses de ressources et, malheureusement, il n’est pas réaliste pour nous de fournir chaque mise à jour à chaque appareil de notre catalogue », avant d’indiquer que la décision se fait au cas par cas. Il n’est de toute façon pas la peine d’espérer pour tout appareil ayant plus de 18 mois.

Huawei promet Android 7.0 pour le Mate 8

Huawei est le constructeur du Nexus 6P, mais il est considéré comme faisant partie de l’offre Google, avec toujours l’avantage de la rapidité : sans aucune surcouche graphique ou modification particulière, il peut recevoir toutes les mises à jour rapidement.

Mais pour le reste de l’offre Huawei ? Pour l’instant, seul le Mate 8 est sûr de recevoir Nougat. Tous les autres modèles potentiels – notamment ceux de la gamme Honor – restent actuellement dans le flou. Là encore, on s’attend à ce que l’entreprise communique plus tard.

Silence radio chez ASUS

Grand mystère également autour d’ASUS, pour la simple et bonne raison qu’aucune communication n’a encore eu lieu sur ses modèles.

BlackBerry, la grande muette

Certains l’oublieront peut-être, mais BlackBerry est bien un constructeur Android depuis l’arrivée du Priv, un modèle haut de gamme largement tourné vers la sécurité. Il a depuis été rejoint par le DTEK50, plus abordable.

BlackBerry n’a pas encore communiqué sur l’arrivée de Nougat, mais on imagine que le constructeur diffusera bien une mise à jour pour ses smartphones. Il s’est ainsi fait par le passé une fierté de réagir plus rapidement que la concurrence sur les mises à jour, même s’il s’agissait surtout de sécurité. Par ailleurs, Android 7.0 apporte des améliorations dans ce domaine, et on imagine mal BlackBerry passer à côté.

OnePlus doit encore communiquer

Enfin, OnePlus fait figure de cas à part. les modèles commercialisés ne sont pas directement équipés d’Android mais de Cyanogen OS et Oxygen OS. Il s’agit de forks d’AOSP (Android Open Source Project), des versions dérivées. Ce qui n’interdit évidemment pas l’arrivée de Nougat, mais qui va réclamer nécessairement un temps de travail pour en incorporer les nouveautés. Une communication sur le sujet est donc attendue.

Pour les smartphones délaissés par leur constructeur, une solution pourra être de se tourner vers les firmwares alternatifs comme CyanogenMod. Pour le moment aucune « nightly » de CyanogenMod 14 n’est disponible, mais le travail a commencé et elles ne devraient plus tarder.

nextinpact

Linux fête ses 25 ans : retour sur un simple « hobby »

image dediée

Linux fête aujourd’hui ses 25 ans. L’occasion de revenir sur son histoire et sur des développements que son principal développeur, Linus Torvalds, aurait alors bien été incapable de prévoir. En tant que tel, Linux est pourtant devenu « l’actif technologique le plus partagé de l’histoire ».

Linux, au départ, n’était pas grand-chose. À vrai dire, il ne s’agissait que d’un petit projet personnel lancé par un étudiant qui avait alors 21 ans : Linus Benedict Torvalds. Dans un message publié le 25 août 1991 sur Usenet, Torvalds s’adresse aux utilisateurs de Minix, un clone d’Unix. Il y avertit la cantonade qu’il s’est lancé dans l’écriture d’un système d’exploitation pour l’architecture i386. Il indique simplement qu’il aimerait des retours et que ce projet, un simple « hobby », ne sera ni « gros » ni « professionnel ».

10 000 lignes de code

Le kernel, c’est-à-dire le noyau, tenait alors dans 10 000 lignes de code. Il était difficilement réutilisable car la géométrie du disque dur était alors codée en dur dans le kernel. En clair, il fallait un matériel très proche de la machine utilisée par Torvalds. Évidemment, la situation a évolué dans les années qui ont suivi, car le virus de ce hobby a contaminé un nombre croissant de développeurs.

Plus ils ont été nombreux, plus le travail a avancé. Le noyau est devenu petit à petit compatible avec un plus grand nombre de matériels et d’architectures. Peu de temps après, on a pu assister à l’une des grandes bascules de Linux : l’apparition des distributions. Les deux premières ont été Slackware et Debian, dont les versions 1.0 sont toutes deux arrivées en 1993. L’année suivante, c’était au tour de Red Hat Linux d’entrer en piste.

Premières tentatives d’entraves

Ces premières années, marquées par une explosion du nombre de développeurs et des initiatives autour de Linux, a signé également l’arrivée des premiers problèmes. L’un des plus emblématiques, et qui ne s’est pas démenti depuis, est la prolifération des distributions, environnements et projets attenants. Depuis bien entendu, de vastes travaux ont été entrepris pour établir une compatibilité transversale, via des projets comme la LSB (Linux Standard Base).

D’autres problèmes sont apparus avec le temps : les accusations de copie et les soucis d’ordre légal. Même dans les premières années, Linus Torvalds a été accusé d’avoir copié le code de Minix. Quand bien même le créateur de ce dernier a affirmé que ce n’était pas le cas, cette idée est restée ancrée chez certains. Parmi les grandes batailles juridiques, le cas le plus connu est celui de SCO, qui s’en est pris à de nombreuses distributions Linux en les accusant de violer son copyright. Techniquement, ce procès débuté en 2003 n’est toujours pas terminé, mais semble proche d’un dénouement assez négatif pour le plaignant.

Dans de nombreux domaines invisibles

Les années suivantes ont été marqués par d’autres défis, mais également par une attention toujours plus grande de l’industrie. Car le noyau Linux est protégé par une licence, la GPL, qui permet à n’importe qui de le prendre pour ses besoins, à conditions d’en publier les éventuelles modifications qui y ont été portées. Mais le nouveau code est alors lui-même sous GPL. Un fonctionnement de « teinte » qui a poussé Steve Ballmer à faire sa fameuse comparaison hasardeuse en 2001, quand il a parlé de Linux comme « un cancer ». Ces propos ont d’ailleurs marqué le début de « guerre » entre Microsoft et le monde Linux en général. Une tension qui a brusquement chuté depuis le départ de Ballmer et son remplacement par Satya Nadella.

Linux, aujourd’hui, est sur tous les fronts, mais pas vraiment là où l’attention a pu se concentrer par moments. Beaucoup veulent continuer à ne voir que le « desktop », où il serait frontalement en guerre contre Microsoft. En dépit de bien des années d’attente, la part de marché globale dans ce domaine reste située autour de 1 %. Par contre, les différents systèmes Linux ont remporté une longue suite de victoires dans d’autres domaines, particulièrement les serveurs, les centres de données pour le cloud et, bien entendu, l’univers mobile.

Quand bien même on ne peut pas dire réellement que les smartphones sont équipés de Linux, Android repose bien sur un tel noyau. Même si Google fournit ses propres technologies et qu’il n’est pas question par exemple d’installer des paquets RPM ou DEB, l’éditeur a pu se lancer dans son projet grâce à ce noyau, qui représentait une matière fortement malléable.

Adaptable pour à peu près tout et n’importe quoi

C’est d’ailleurs ce qui fait le succès de Linux aujourd’hui dans de nombreux domaines : son adaptabilité. On le retrouve pratiquement partout, et il s’est émancipé depuis bien longtemps du seul domaine du PC pour voguer vers les appareils mobiles, l’informatique embarquée, les robots, ou encore les grands datacenters. Il est surtout devenu une alternative crédible pour le monde professionnel, secteur que Torvalds était bien loin de viser à ses débuts.

Aujourd’hui bien sûr, le développement fait sur Linux n’a plus aucun rapport avec celui de 1991. L’ensemble est très structuré, seuls des développeurs chevronnés (et autorisés) intervenant sur le code. Dans son dernier rapport, la Linux Foundation indiquait ainsi que 85 % des changements réalisés depuis mars 2015 avaient été faits par des développeurs professionnels et payés. On a appris également que les dix entreprises ayant le plus soutenu Linux financièrement pendant cette période étaient Intel, Red Hat, Linaro, Samsung, SUSE, IBM, Renesas, Google, AMD, Texas Instruments et ARM. Preuve s’il en fallait encore que bien des partis veillent sur l’avenir de ce « hobby ».

nextinpact

HandyDV Linux, linux pour les non-voyants

Vous connaissez Handy Linux ?

Vous appréciez Handy Linux ?

Et bien un projet de financement Ulule est actuellement en cours pour sortir une version de cette même distribution pour les mal-voyants ou non-voyants.

Ce projet de financement arrive à échéance le 30 septembre 2016.

A l’heure de cet article ils ont collectés 2101€ sur les 3000€ d’objectif. Si vous souhaitez y contribuer, ne tardez plus !

Site du projet : handydv-linux

Données personnelles : un eurodéputé demande une enquête sur Pokemon Go

image dediée

« Pokemon Go viole la législation UE ! » Voilà l’affirmation toute en douceur claironnée par Marc Tarabella, eurodéputé du groupe de l’Alliance progressiste des socialistes et démocrates au Parlement européen.

Ce membre de la Commission du marché intérieur et de la protection des consommateurs estime que les conditions d’utilisation (CGU) du jeu développé par Niantics Labs, « sont truffées de clauses semblant être abusives qui créent un déséquilibre significatif dans les droits et obligations au détriment du joueur ». Un déséquilibre qui violerait, selon son analyse, le droit européen sur les données à caractère personnel.

Dans sa foulée, après avoir épinglé voilà quelques jours des applications notamment de rencontres pour des raisons similaires, il entend déposer une demande d’enquête à la Commission européenne dès cette semaine. « Tinder ou Pokemon : quoique vous chassiez cet été, il y a danger » avance avec classe l’eurodéputé belge.

La question du consentement explicite du consommateur

Dans le détail, il doute par exemple qu’un seul utilisateur de Pokemon « ait pris la peine de lire ces conditions, plus de 10.000 mots sur un téléphone portable donnent souvent envie de cliquer à l’aveugle ». Or ces CGU recèlent à ses yeux, de « surprises » :

  • « Jouer sur l’application équivaut à accepter la politique de confidentialité, politique qui se trouve sur un document tiers.
  • Niantic recueille votre adresse email Google, celle de votre compte Facebook, et/ou encore celle laissée dans le club des dresseurs de Pokemon ainsi que les paramètres de confidentialité que vous avez déterminés pour ces sites.
  • Des cookies sont placés sur votre appareil pour pister sa navigation. Rien n’est mentionné sur leur durée de vie et les désinstaller empêche le jeu de fonctionner.
  • L’entreprise peut aussi, via des web beacons, pister quelles pages web sont visitées par les chasseurs.
  • Niantic se réserve le droit de récupérer la position de l’utilisateur, son adresse IP, mais aussi la dernière page web ouverte par l’utilisateur ».

Contacté, le bureau parlementaire de l’eurodéputé nous indique que la demande d’enquête sera adressée vendredi à la Commission européenne. « Même si elle n’est pas toujours très partante pour de telles initiatives, elle a les ressources, les moyens et les enquêteurs pour le faire ». Il caresse ainsi l’idée de voir l’institution bruxelloise jouer un rôle moteur sur le sujet afin d’éviter « qu’un État membre parte seul à l’abordage des géants de l’informatique ». Le sujet sera par ailleurs lancé également en commission parlementaire cette fois, sans doute dans celle dédiée à la protection des consommateurs.

Mais quel est le problème exactement ? « Les utilisateurs peuvent faire ce qu’ils veulent de leurs données, mais ceci doit passer par une phase d’information claire et explicite. Le cas échéant, il n’y a aucun problème. Notre rôle n’est pas de dire que Pokemon Go est le mal absolu, simplement que l’usager soit correctement éclairé » poursuit notre interlocuteur.

Vers un RAPEX des applications à risque ?

Ainsi, pour résumer, trop d’éléments seraient glanés sans le consentement explicite et préalable de l’utilisateur. « L’application s’appuie donc sur un large accès aux données à caractère personnel, bien au-delà des besoins de son fonctionnement, et leur impose de nombreuses clauses considérées comme abusives ». Dans la lignée de ce long format de The Intercept, il alimente ses convictions avec le passé du CEO de l’entreprise. « Le fondateur de Niantic, John Hank, fut (…) aussi le directeur de Google Maps. Dans la description du brevet qu’il a déposé pour Pokemon Go, ses intentions sont claires : ‘le vrai challenge est de motiver les joueurs à donner constamment des données, même après l’excitation initiale de l’innovation technologique. Le processus de collecte de données doit être divertissant’ ».

Google, qui a soutenu Niantic « justifie sa participation à des fins de recherche et d’analyse, de profilage démographique et de buts similaires. À leurs yeux, la traque aux données intimes des gens est visiblement considérée comme un jeu et une source de recherche ou de revenus. En Europe, la protection de la vie privée reste un droit fondamental. Il faut réagir, avertir et condamner sévèrement ces fraudes massives ».

« Machine à collecter les données » ou à « violer l’intimité ou la vie privée de ses utilisateurs », bref, n’en cherchez pas : l’eurodéputé n’a pas de Pokemon dans sa tasse de thé. Inspiré par le RAPEX (Rapid Alert System for non-food Consumer Products), un système européen d’alerte sur les produits dangereux, il suggère au passage la mise en ligne d’une plateforme similaire pour les applications dites à risque. Une initiative que seule pourrait prendre la Commission européenne.

En France, la CNIL se contente d’un message d’attention

Ces propos certes fleuris rejoignent le message d’attention publié voilà quelques jours par la CNIL. La gardienne des données personnelles a regretté que trop d’utilisateurs n’aient « pas conscience de la quantité d’informations personnelles » susceptibles d’être envoyées à flux tendus chez ce genre d’éditeurs.

Or, « les jeux basés sur la localisation – comme Pokemon Go qui bénéficie d’une base importante d’utilisateurs – attirent les personnes vers des espaces physiques commerciaux (des magasins partenaires, des marques sponsorisant des lieux…). Concrètement, plutôt que de revendre les données de ses utilisateurs, l’éditeur du jeu préfèrera inciter ses joueurs à se rendre chez ses partenaires commerciaux. Ces derniers rémunéreront plus ou moins l’éditeur selon la qualité des profils qui franchiront leur porte. Ainsi, plus les données collectées par l’application sont précises, plus le profilage du joueur/consommateur est fiable, meilleure sera la rémunération de l’éditeur ».

nextinpact

On peut deviner qui se trouve dans une pièce grâce aux ondes Wi-Fi

Des chercheurs en informatique chinois ont développé une solution pour identifier des personnes grâce aux perturbations qu’elles provoquent dans le champs électromagnétique d’un réseau Wi-Fi.

L’une des clés du succès de la domotique auprès du grand public résidera dans la capacité des systèmes à comprendre avec une grande fluidité qui se trouve dans la maison ou qui l’a quittée, pour réaliser automatiquement les actions appropriées en anticipant les besoins de chacun. Mais jusqu’à présent, les méthodes utilisées sont soit trop exigeantes envers les utilisateurs (signaler sa présence par RFID, interfaces tactiles, etc.), soit trop invasives (caméras de reconnaissance faciale, géolocalisation permanente,…). Des ingénieurs cherchent donc de nouvelles méthodes plus transparentes.

C’est le cas de chercheurs en sciences informatiques de l’Université polytechnique Northwestern basée à Xi’an, en Chine, qui ont publié ce mois-ci des travaux visant à identifier grâce aux ondes Wi-Fi les individus présents dans une pièce. Le principe repose sur le fait qu’à l’instar des meubles, chaque corps humain perturbe la qualité du signal Wi-Fi émis sur les ondes hertziennes. Le corps influence différemment le signal, selon sa taille, sa corpulence ou sa manière de se déplacer.

Or il est possible de capter ces variations subtiles à travers le Channel State Information (CSI), un ensemble de données concernant les propriétés d’un canal de communication sans fil, qui varient constamment. Toute la tactique des ingénieurs chinois consiste donc à analyser finement les variations du CSI en fonction de chaque individu pour repérer les traits caractéristiques que provoque une personne lorsqu’elle se trouve dans le champs électromagnétique, et la reconnaître lorsque ces traits sont à nouveau détectés.

IDentification
La modification du CSI lorsque trois personnes (A, B et C) marchent sur un chemin prédéterminé

Pour tester leur idée, les chercheurs ont donc créé un appartement meublé fictif, en plaçant un émetteur et un récepteur de chaque côté de la porte d’entrée, à 2,5 mètres de distance l’un de l’autre. Le récepteur était un simple PC portable Lenovo X200 avec un module Wi-Fi Intel Link 5300 Wifi, sous Ubuntu 14.04. L’émetteur était un routeur TP-Link TL-WR1043ND, qui coûte moins de 60 euros en prix public. Le tout était configuré pour opérer en 802.11n AP sur la bande 2,4 Ghz.

Lorsqu’on ne lui laisse le choix qu’entre deux personnes, l’algorithme atteint une précision de 91,7 %

Ils ont ensuite demandé à 9 volontaires d’entrer dans l’appartement en suivant le chemin indiqué. Il a fallu répéter l’opération 40 fois pour que l’algorithme baptisé FreeSense saisisse les caractéristiques des perturbations qu’ils provoquent sur le CSI. Mais après cette étape d’éducation de l’algorithme, le système était capable de reconnaître qui des 9 personnes était présent dans l’appartement, avec une précision de 75 %.

Lorsqu’on ne lui laisse le choix qu’entre deux personnes — ce qui limite les risques de confusions entre deux individus de corpulence similaire, l’algorithme atteint une précision de 91,7 %.

precision
En toute logique, plus le nombre de possibilités connues est élevé, moins l’identification est précise.

Au final, les universitaires estiment qu’ils atteignent 88 % de précision pour reconnaître chacun dans une famille de 6 personnes, ce qui est déjà très satisfaisant. Ces sont des résultats impressionnants qu’il faut toutefois nuancer puisque les conditions d’analyse étaient ici parfaites, avec un chemin parfaitement identifié au sol qui exigeait même que les cobayes marchent sur la ligne en commençant d’abord par le pied gauche ou le pied droit, pour qu’ils aient toujours la même démarche. Mais c’est une base de travail encourageante.

À terme, les chercheurs espèrent améliorer la précision dans des conditions moins favorables, et être aussi capables de reconnaître des groupes d’individus dans une pièce (pour l’instant c’est une seule personne en même temps dans l’appartement).

nextinpact

Pokémon Go à l’aube d’un scandale mondial d’espionnage ?

pokemon-go-application

Vous l’aurez constaté, Pokémon Go suscite toujours autant d’engouement auprès des utilisateurs. Le jeu continue de battre tous les records tant en terme de téléchargements que de revenus.  Néanmoins, quelques voix commencent à se faire entendre pour tempérer un peu tout ça.

Ainsi, il y a quelques jours, un député a proposer de faire voter une « loi Pokémon Go » qui encadrerait le jeu qui mêle réalité et virtuel. En effet, face à des comportements dangereux, ce député propose de légiférer. Le hic, c’est que les lois actuelles suffisent à encadrer les comportements déviant. Il revient ensuite à chaque joueur de respecter ces lois lorsqu’ils jouent.

Autre évènement du genre cette semaine, le maire de la commune de Bressolles qui a demandé l’interdiction pure et simple du jeu sur son territoire. On frôle le ridicule car dans le fond il y a bien plus inquiétant.

Pokémon Go n’aurait été créé que pour récolter vos données

C’est en tout cas ce que révèle le journal The Intercept dans un bon papier publié cette semaine. Les journalistes se sont intéressés aux coulisses du jeu de Niantic et plus particulièrement sur le passé particulièrement trouble de son créateur : John Hanke.

John Hanke, avant de créer Niantic, était président de la branche Géo de Google. En 2010, alors  que les Google Cars se baladaient dans les rues d’Allemagne pour cartographier les chemins pour Google Maps notamment, le pays s’est inquiété des données récoltées par les voitures.

Après avoir mené l’enquête, l’Allemagne s’est alors rendue compte que les Google Cars ne se contentaient pas de cartographier les rues mais elles récupéraient en même temps les données WiFi des maisons alentours.

Evidemment, John Hanke, qui était aux commandes se retrouvait face à un scandale d’espionnage de la vie privée de grande ampleur. Google avait alors étouffé l’affaire en expliquant que la récolte massive de ces données n’était de la responsabilité que d’un seul homme : Marius Milner.

La FCC avait par la suite publié un rapport dans lequel Google était bien impliqué dans cette vaste supercherie. Mais là n’est pas la question. Revenons-en à notre cher Marius Milner.

Mais si, Marius Milner, ça ne vous dit rien ? Et oui, il s’agit bien du créateur de… Pokémon Go. C’est quand même presque bien fait le hasard non ?

Pokémon Go au coeur d’un scandale mondial d’espionnage ?

Les deux acolytes à l’origine de Pokémon Go seraient donc des passionnées de la récolte de données nous dit The Intercept. Toujours selon le journal, d’autres éléments le prouvent. Les deux compères ne s’en cachent même pas.

En effet, ceux qui suivent l’actualité doivent le savoir, Pokémon Go est basé sur un autre jeu de réalité virtuelle : Ingress. Et le brevet pour le concept d’Ingress a été déposé par qui ? Roulements de tambours… John Hanke et Marius Milner ! Et voici ce que dit ce brevet pour Ingress :

Le but du jeu est directement lié à la collecte de données ce qui inclut la collecte d’information dans le monde réel et ces informations acquises font partie de la condition pour progresser dans le jeu (…). Le réel challenge repose dans le fait de motiver les joueurs à fournir constamment des données, même après l’engouement provoqué par la découverte du jeu. La collecte d’information se doit d’être aussi divertissante que possible.

Inutile donc d’être un génie pour comprendre que le brevet d’Ingress, sur lequel repose également Pokémon Go, a pour principal but de récolter des données massivement.

D’ailleurs, si on s’intéresse de plus près aux conditions d’utilisation de Pokémon Go, on découvre que Niantic ne cache absolument pas ses intentions. En effet, il est mentionné que Pokémon Go se réserve le droit de récupérer votre localisation bien évidemment, mais également votre adresse IP ou encore toutes les caractéristiques de votre smartphone.

Et ce n’est que la partie disons la moins dérangeante de l’affaire. Car on découvre également que Niantic peut également savoir quelle page internet vous avez consultée en dernier.

Ce qui dérange et qui fait dire que tout ceci est un espionnage, c’est que toutes ces informations sont mêlées aux règles du jeu. Et Pokémon Go étant mis en avant comme un jeu, les utilisateurs ne s’attardent pas sur cette question de récupération des données. Comme dirait l’autre, « si c’est gratuit, c’est vous le produit ».

phonandroid

Android : une faille dans le noyau Linux touche 1,4 milliard d’engins

 

À l’occasion de la conférence de sécurité Usenix, tenue la semaine dernière, un groupe de chercheurs a levé le voile sur une faille du protocole TCP au sein de Linux. Conséquence directe : les communications de plus d’un milliard de terminaux Android peuvent être interceptées à distance.

Android Buzzdroid

La faille concerne la dernière version du protocole TCP, connue sous la référence RFC 5961. Elle permet, en substance, de repérer les échanges entre deux machines en ne disposant que de leur adresse IP et, bien plus problématique, d’intercepter et de modifier les paquets (injection de données). On parle, en général, d’attaque de type man-in-the-middle. Concrètement, cette brèche n’est pas un danger immédiat pour l’ensemble de la toile, car elle est très complexe à exploiter et ne touche “que” Linux — Windows et OS X n’intégrant pas le TCP en version RFC 5961. Néanmoins, rien n’empêche un pirate expérimenté d’en tirer profit pour une attaque ciblée. Et on peut dire que les proies potentielles ne manquent pas.

En effet, la faille est présente au sein du kernel Linux depuis la version 3.6. Or, il se trouve que ce dernier est aussi le noyau d’Android. De fait, le petit robot vert est donc vulnérable depuis un certain KitKat (Android 4.4 ; 2013). Et d’après les dernières observations, Nougat (Android 7.0) est toujours porteur de la faille. Cela signifie que les communications peuvent être traquées, voire interceptées et falsifiées, depuis au moins 1,4 milliard de smartphones et tablettes, soit tout de même près de 80 % du parc actif.

Naturellement, accéder aux communications est une chose, pouvoir les lire en est une autre. Dans le cas d’un flux bénéficiant d’un chiffrement de bout en bout, un hypothétique hacker ne pourra pas faire grand-chose à moins de disposer des ressources nécessaires pour décoder les fichiers. Cependant, le chiffrement est encore loin de protéger tous les échanges sur le Net. Ainsi, en l’état, le simple fait de surfer sur un site ne proposant pas de HTTPS depuis un smartphone Android ouvre la porte à une — très hypothétique — tentative de phising ciblé.

Détail notable, un patch a fait son apparition au début du mois de juillet dernier. On peut donc espérer que Google en tiendra compte au moment de livrer la version définitive d’Android 7.0.

 

Après le piratage d’Equation par Shadow Brockers, des failles critiques chez Cisco et Fortinet

image dediée

Un groupe de pirates, nommé Shadow Brockers, a mis à disposition le 15 août un lot de quelques 300 outils censés avoir été écrits par Equation Group, un groupe de pirates lié à des États. La fuite semble authentique, déclenchant de nombreuses interrogations sur l’identité et les motivations des attaquants.

Equation est le nom donné à un groupe de pirates possédant de sérieuses connaissances techniques et d’importants moyens. Kaspersky s’était penché sur ses activités en février dernier, montrant qu’il avait réussi à masquer son existence pendant 14 ans. L’éditeur avait trouvé alors des liens entre ses méthodes et des éléments retrouvés dans les plateformes d’espionnage Stuxnet et Flame. Ce qui laissait penser qu’Equation était soutenu par un ou plusieurs états, les États-Unis et Israël ayant été impliqués dans la conception des deux malwares.

Étonnement, scepticisme et signes troublants

Or, un autre groupe de pirates, se faisant appeler les Shadow Brokers, affirme depuis peu avoir obtenu un lot de 300 outils environ provenant d’un piratage d’Equation Group. Une affirmation accompagnée d’une ouverture de dépôt GitHub, depuis censurée, mais dont on peut encore trouver une version en cache. Le message, lui, est disponible sur Pastebin et se veut revendicatif : « Nous avons trouvé des cyberarmes conçues par les créateurs de Stuxnet, Duqu, Flame. Kasperksy les appelle groupe Equation. Nous avons suivi leur trafic. Nous avons trouvé leurs sources. Nous les avons piratés »

La publication des Shadow Brokers a immédiatement attiré l’attention, et ce d’autant plus que les pirates souhaitaient vendre les outils au plus offrant. Des captures d’écrans, toujours disponibles sur Imgur, montraient des dossiers censés contenir différents outils, malwares, kits d’exploitations et autres. Le premier dossier était « offert  », le reste étant livré aux enchères. Une adresse Bitcoin était donnée pour envoyer les sommes. Si l’enchère de l’un était dépassée par un autre, l’argent était perdu. Les pirates indiquaient cependant que si l’ensemble des enchères dépassait le million de bitcoins (plus d’un demi-milliard d’euros), d’autres fichiers seraient distribués, publiquement et gratuitement.

equation shadow brokers

Les déclarations comme les demandes invitaient à la plus grande circonspection. Pourtant, en s’y penchant de plus près, plusieurs chercheurs ont remarqué des signes troublants. L’un d’entre eux, The Grugq, a indiqué à Motherboard quelques heures après la publication des Shadow Brockers que s’il s’agissait d’un canular, il était particulièrement élaboré.

Les outils eux-mêmes se composent de plusieurs catégories de fichiers utiles, mais sont constitués en bonne partie de scripts batch et Python. On y trouvait également des références à des failles 0-day dans des produits Cisco, Fortinet et Juniper. Un sujet particulièrement sensible, tant les routeurs de ces constructeurs sont répandus dans le monde, le public ayant déjà été alerté des dangers sur les équipements réseaux par la découverte de portes dérobées dans des produits Juniper, supprimées depuis (de même que tout code lié à la NSA).

Les outils semblent bien être ce qu’ils sont

Kaspersky, d’abord sceptique, s’est penché sur le contenu de l’archive qui était alors encore en ligne. Ils y ont trouvé finalement des liens considérés comme forts avec Equation. En particulier, une implémentation spécifique des algorithmes de chiffrement RC5 et RC6, que l’éditeur décrit comme « hautement spécifiques ». Plus tôt dans l’année, Kaspersky avait souligné d’étranges ressemblances entre les méthodes utilisées par Equation et celles de la NSA, la société estimant que les deux étaient liés. Les éléments trouvés constituent désormais un faisceau pointant vers un ensemble d’outils créés pour le gouvernement américain.

Pour l’éditeur russe, l’archive (qui pèse près de 300 Mo), est le signe d’une campagne menée par des personnes particulièrement motivées, peut-être situées en Russie, et souhaitant avant tout jeter à bas le voile de mystère qui enveloppe Equation Group. Edward Snowden, dans une série de tweets, estime que la NSA a été directement visée et que ce piratage est à connecter à celui du Democratic National Committee américain en juin dernier (qui serait également l’oeuvre d’un groupe russe), même s’il avoue ne pas connaître les motivations précises.

 

Cisco et Fortinet confirment des failles 0-day

Mais si les questions autour de l’identité et des motivations sont importantes, elles ne masquent pas pour autant des réalités plus immédiates. L’archive des Shadow Brokers contenait des renseignements sur des failles 0-day, donc inconnues et encore moins corrigées. C’est notamment le cas de Cisco, qui a publié un bulletin de sécurité confirmant que la faille était réelle et serait suivie très prochainement d’un correctif.

Mis en ligne hier soir, le bulletin de Cisco précise que la faille concerne toute les versions du pare-feu ASA (Adaptive Security Appliance). Elle est visiblement présente depuis des années et peut être exploitée à distance pour prendre le contrôle de l’équipement, mais en passant obligatoirement par un ordinateur ayant déjà reçu l’autorisation de s’y connecter. Jugée critique, la brèche est d’autant plus dangereuse que l’archive contient une méthode pour l’exploiter.

Les outils semblent dater de 2013 et remettent en lumière un vaste trafic de failles : si l’archive vient bien d’Equation et que ce dernier travaille main dans la main avec la NSA, alors l’agence américaine de renseignement connait l’existence de la vulnérabilité depuis au moins trois ans. Cette possibilité rappelle immédiatement le cas Juniper, dont les produits comportaient un lot de 13 failles connues de l’agence depuis 2011.

D’autres conséquences à prévoir

Plusieurs autres constructeurs sont visés par les failles 0-day, dont la liste est désormais connue. Fortinet a ainsi publié de son côté un autre bulletin de sécurité, dans lequel il avertit que toutes les versions de son FOS sorties avant août 2012 sont touchées par une faille dans le parseur de cookies. Une enquête est en cours et il est recommandé aux concernés de mettre à jour le firmware des produits FortiGate.

D’autres bulletins de ce type pourraient être publiés très prochainement, Juniper étant lui aussi cité pour ses pare-feux NetScreen. Il y a bien sûr une possibilité pour que les failles fassent partie du lot déjà corrigé fin 2015. L’âge des outils fait en effet débat. Si les plus récents datent de 2013, les Shadow Brokers n’ont peut-être finalement pas piraté directement Equation, mais plutôt un serveur C&C (Command and Control), un relai pour la transmission des ordres et données entre les pirates et les malwares.

D’autres analyses sont en cours, notamment chez Wikileaks qui promet d’ailleurs d’en fournir une « copie immaculée » des fameux outils, sans toutefois préciser quand. Il faut en tout cas prévoir des révélations supplémentaires dans les jours et semaines qui viennent.

nextinpact

Microsoft Authenticator veut gérer toutes vos authentifications à facteurs multiples

image dediée

Microsoft simplifie ses applications de connexion en ne proposant désormais plus qu’un seul Authenticator unifié sous Android et iOS. La mouture pour Windows 10 Mobile n’est pas terminée, mais elle ira plus loin, pour une fois, que sur les plateformes concurrentes.

L’éditeur proposait jusqu’à présent des applications différentes selon que l’on voulait se connecter à des services grand public ou professionnels, notamment tout ce qui touchait à Azure. Il y a quelques semaines, Microsoft avait cependant prévenu qu’une nouvelle version unifiée serait disponible mi-août, dont acte.

Un nouvel Authenticator dans la danse

Le Microsoft Authenticator est donc disponible depuis hier, sur Android et iOS dans un premier temps, puis sur Windows 10 Mobile un peu plus tard. L’interface a été largement simplifiée et va à l’essentiel. Si l’objectif de base n’a pas changé – exploiter les authentifications à facteurs multiples (MFA) – l’ensemble se fait maintenant beaucoup plus rapidement.

L’Authenticator gère ainsi les demandes de connexion par simple réaction à une notification. Cette fonction permet de se passer du code de sécurité à six chiffres qu’il est souvent nécessaire d’entrer pour valider une double authentification. L’application de Microsoft se pose en fait en concurrente directe d’autres existant déjà, comme LastPass Authenticator. Elle prend en charge de nombreux services proposant une connexion avec MFA.

QR codes, empreintes digitales et notifications

Dans la pratique, et comme on l’a déjà vu, on ajoute des comptes en scannant un QR Code sur l’écran de son ordinateur. Chez Microsoft par exemple, il faut se rendre dans les paramètres de sécurité du compte maison et chercher la ligne « Applications de vérification d’identité ». On se laisse alors guider par les explications, l’ensemble ne prenant qu’une minute. Du côté de Facebook, on se rendra dans les réglages de sécurité puis dans « Générateur de code ». Le réseau social préfère mettre sa propre application, mais si vous ne voulez pas l’utiliser, c’est ici que l’on en déclarera une autre.

authenticatorauthenticatorauthenticator

Une fois les comptes renseignés, il n’y a plus rien à faire jusqu’à ce qu’une nouvelle connexion soit faite sur un appareil, par exemple en ouvrant l’un des sites pris en charge dans un nouveau navigateur. La notification qui survient doit simplement être ouverte puis validée dans l’application. Celle-ci prend d’ailleurs en charge certains éléments qui facilitent un peu le tout, notamment la reconnaissance digitale sur les appareils Android et iOS, ainsi que la compatibilité avec certains produits mobile comme l’Apple Watch et la Gear de Samsung. Sur ces dernières, les notifications se valident donc directement depuis le cadran.

En attente de la version Windows 10 Mobile finale

En l’état, l’application fait bien son travail et se révèlera un compagnon efficace pour gérer l’ensemble des authentifications à facteurs multiples. Si vous possédez par contre déjà un équivalent, le Microsoft Authenticator n’apportera pas réellement de bénéfices, sauf peut-être du côté de la facilité d’emploi et de la connexion avec quelques montres.

Précisons enfin que l’application est disponible sur Android et iOS pour l’instant, mais que la mouture Windows 10 Mobile est bien prévue. Elle ira même plus loin puisqu’il lui sera possible de déverrouiller les sessions Windows 10 des ordinateurs par le même genre de notification. Il faudra cependant disposer obligatoirement d’une connexion Bluetooth active.

nextinpact