Le plagiat du blog de Cyrille Borne

Le plagiat est une faute morale, civile, commerciale et/ou pénale consistant à copier un auteur ou créateur sans le dire, ou à fortement s'inspirer d'un modèle que l'on omet délibérément ou par négligence de désigner. Il est souvent assimilé à un vol immatériel.Plagiat sur Wikipedia

Dans un bille écrit récemment Cyrille Borne évoque le plagiat dont son blog a été victime (Le blog de Bastos où le malheureux croisement de cyrille-borne.com et de freewares-tutos.blogspot.fr/).

Il s'agit bel et bien d'un plagiat car il n'y a pas que la reprise du style, de la mention "Spécialiste du déréférencement", mais cela va jusqu'à un copier coller à l'identique de la liste des sites amis, de la configuration matérielle... Quiconque suit le blog de Cyrille le constatera de suite.

Les commentaires du billet expliquent qu'il faut porter plainte, les recours possibles. Comme le dit la définition du plagiat, c'est bel et bien une faute. Espérons pour lui qu'elle soit corrigée rapidement.

Cyrille n'a pas mis de licence particulière sur son blog donc c'est le droit d'auteur qui s'applique et on doit le respecter. Il n'a pas prévenu de la reprise de son blog, le plagiat est avéré. Il faut donc le dénoncer (Ce qu'il a fait via son billet et ce que je fais via celui-ci).

Et dans mon cas ?

Tout mes billets sont en licence Creative commons CC BY-SA 4.0. Ce qui veut dire que vous pouvez copier, modifier, redistribuer tout ce que je fais sous les conditions de me mentionner comme auteur originale et conserver la même licence. Si vous modifiez substantiellement mon travail, vous avez le droit, vous pouvez vous ajouter en tant qu'auteur. Vous ajoutez, mais il faut me mentionner. Vous pouvez copier à l'identique, mais il faut me mentionner et on pourra de nouveau copier votre copie.

Cette licence me permet d'avoir des miroirs / autoblog, que d'autres utilisent mes supports de conférences et qu'on partage les connaissances. Connaissances que j'ai moi même apprise d'autres avant de rédiger mes propres billets. Cela n'autorise toutefois pas le plagiat. Le plagiat, ce serait reprendre les billets sans me mentionner. La reprise sans m'informer est autorisé (vous pouvez quand même me le dire, ça fait toujours plaisir de voir que son travail plait, sert, est utile et diffusé), mais vous êtes dans l'obligation de mentionner.

Sur ce blog, il y a également des billets dont je ne suis pas à l'origine car ce sont des traductions. Toutefois une traduction est un effort et le droit d'auteur de la traduction lié à l'effort et au travail accomplit m'appartienne. De plus je cite la source du billet original.

Les images que j'utilise sont souvent des captures d'écrans que je fais moi même ou des reprises d'images trouvées sur le Net (sans mention de l'auteur original). Là encore, très gros flou sur le droit d'auteur, mais personnellement, quand je vois l'attitude des ayants droits, majors et autres qui vivent sur le dos des artistes... Les images n'étant qu'une illustration et n'ont pas le corps du billet, c'est acceptable.

Reste l'usage de l'image de Genma issu du manga/anime Ranma 1/2 et ça figure dans les mentions légales. Je n'en fais aucun usage commercial, ce blog n'est pas lié au manga et à l'animation, on est clairement dans l'hommage. Donc il y a là encore une tolérance.

Conclusion

J'ai saisi l'occasion du plagiat du blog de Cyrille Borne pour montrer deux approches différentes de la gestion des droits sur son travail. Celle de Cyrille, où il reste l'auteur et le droit d'auteur par défaut s'applique, interdisant toute rediffusion même partielle autre que la citation. Et mon choix, celui d'une licence Creative Commons assez permissive qui permet le partage, la diffusion, la reproduction... Deux approches différentes, deux choix différents, je pense que personnellement le mien est le bon, mais c'est et cela reste mon choix. A vous de vous faire votre avis :-)

En mai dernier, les 23 et 24 mai, c'était le Salon Geekopolis. La vidéo de ma Conférence intitulée "Les Geeks ont aussi une vie privée" est enfin disponible sur la chaine Youtube du salon et est donc visible ici : https://www.youtube.com/watch?v=0x34EE3gTo8 Ca dure 30 minutes questions incluses (15 minutes de conférence). Bien qu'il y avait un micro le son est celui de la salle, c'est un eu dommage...

Rappel du pitch Les geeks ont aussi une vie privéeEtre geek, c'est s'impliquer dans des communautés au sein desquelles on vit sa passion. C'est aussi avoir une activité en ligne, s'exposer comme un personnage publique, sur les réseaux sociaux… Quelle sont les limites entre la vie publique et la vie privée ? Quelles sont les risques liées à cette exposition ? Car oui, les geeks ont aussi des choses à cacher. L'objectif de la conférence est de sensibiliser à ces problématiques qui seront abordées tout au long des deux jours sur le stand "Café vie privée".

Le support de la conférence est visible et téléchargeable (ainsi que les sources au format PowerPoint et OpenDocument) sur mon Github

Je l'ai refaite à l'Ubuntu Party la semaine suivante, en 30 minutes cette fois ci avec 30 minutes de questions, mais la vidéo n'est pas encore disponible. Espérons qu'elle soit un jour mise en ligne avec un son de meilleur qualité.

Dans ce billet, je voudrais attirer votre attention sur le Le blog de Seboss666 http://blog.seboss666.info et plus particulièrement sur ces billets de vulgarisation informatique qu'il décrit comme étant un Décryptage de cet univers très dense et varié qu'est l'informatique.

Au moment de la rédaction de cet article, on trouve des billets comme :
MD5, SHA-1, mais qu'est-ce que c'est ?
Mais au fait, c'est quoi un SSD ?
Mais au fait, c'est quoi un flux RSS ?
Mais au fait, c'est quoi un pare-feu ?
Termes expliqués n°1 : les acronymes “matériels”/a>
Termes expliqués n°2 : Les acronymes “logiciels”
Termes expliqués n°3 : Les licences logicielles
Et ce n'est qu'une sélection, il y en a d'autres.

Moi qui mûrit mon projet J'explique tout dans mon billet A.I.2 Apprenons l'Informatique, Apprenons Internet, j'ai trouvé que ces billets entraient parfaitement dans le cadre / concept de ce que je cherche, veux faire et je trouve que Sébastien explique déjà pas mal de chose et de façon pédagogique.

Je ne peux donc que vous inviter à lire les billets, à les partager et les diffuser.

Qu'est ce qu'une machine air-gap ? A quoi ça sert ? En sécurité informatique, un air gap aussi appelé air wall est une mesure de sécurité consistant à isoler physiquement un système à sécuriser de tout réseau informatique. Air gap (informatique) sur Wikipedia. Formulé autrement cela correspond à une machine qui n'est jamais connecté à Internet.

Une machine air-gap est-ce utile pour moi ? Une machine air-gap, pourquoi faire ?

Tout dépend de votre modèle de menace qu'il faut clairement définir avant de se lancer, tant les contraintes que l'on va s'infliger peuvent être grandes/aller loin.

Avoir une machine air-gap, c'est avoir une machine que l'on ne connecte jamais à Internet.

L'intérêt est d'avoir une machine en laquelle on pourra avoir relativement confiance et sur laquelle on pourra faire des choses sensibles (là encore les dîtes choses sensibles dépendent du modèle de menace. Ce peut être l'édition de texte militant par exemple. Ou autre. A vous de définir.

Ce qu'il est important à retenir c'est que l'on ne connectera jamais cette machine à Internet. JAMAIS. Même pas une fois.

Une machine que l'on connait

Idéalement, on utilisera une machine que l'on aura monté soi-même (un PC fixe de type tour donc). Le fait de monter sa machine soi-même permet de connaitre les composants que l'on aura mis dans la machine, de vérifier (de façon relative) les composants... Là encore, cela dépend de son niveau/besoin de sécurité (un PC portable acheter par une entreprise sensible peut avoir des ajouts matériels de type keylogger ou autre). Monter sa machine soi-même veut aussi dire installer le système d'exploitation et donc avoir la maitrise sur ce qui est fait, installé, sur les services qui tournent etc.

Là encore, le but est de sécuriser la machine par défaut au niveau du système d'exploitation, en appliquant les règles de bases et avancées de sécurité (mots de passes, droits des utilisateurs etc.)

Mises à jour

On peut imaginer qu'elles sont relativement inutiles vu que la machine n'est pas connecté au réseau Internet. Mais l'application des mises à jour permet de corriger les failles de sécurité et les bugs des logiciels que l'on utilise, donc appliquer les mises à jour est une bonne chose.

Pour les faire, on passera par la mise à jour via un cd/dvd-rom de mise à jour et les commandes adéquates (permettant d'utiliser le CD comme source sous Debian par exemple).

Une machine chiffrée

Le chiffrement est une nécessité. Si on a le besoin d'une machine déconnectée du réseau pour des raisons de sécurité, le chiffrement du disque permet de protéger les données quand la machine n'est pas sous tension. Une machine cryptée On peut aller encore plus loin en mettant sa machine dans une chambre forte avec un accès limité... Le but étant là encore de limiter tout accès physique à la machine.

Comment déposer des fichiers sur une machine air-gap ?

Une machine air-gap, ça reste un ordinateur que l'on souhaite utiliser pour différents usages et donc de l'édition/manipulation de fichiers.

La communication et transmission de données vers cette machine se fera idéalement via un CD. Oui un CD. CD inscriptible.

Pour récupérer les fichiers, on pensera donc à mettre sur la machine un graveur de cd/dvd pour récupérer les documents que l'on aura créé / édité sur la machine.

On peut envisager le transfert de données via une clef USB mais là encore, tout dépend de la confiance que l'on a dans la clef USB que l'on utilise... Retour au pré-requis d'avoir défini son modèle de menace.

L'accès physique à la machine

Il faut bien comprendre qu'un accès physique à la machine permet de faire beaucoup de choses. L'accès physique à la machine permet de récupérer / voler le disque dur (d'où le chiffrement). Si l'attaquant peut démarrer la machine, il peut tenter d'exploiter une faille de sécurité (d'où la nécessité de faire les mises à jour), la mettre en réseau avec son propre ordinateur.... Tout dépend du temps qu'il a.

Donc une machine air-gap, elle est déconnectée du réseau mais aussi sécurisé physiquement. Elle n'est pas utilisée par n'importe qui, elle n'est pas accessible par n'importe qui...

Et les sauvegardes

Comme tout ordinateur, si on stocke des données sur la machine air-gap, il faut également envisager les problématiques de sauvegarde. Car si la machine ne marche plus, si on y stocke des documents importants, il faut également envisager et réfléchir sur comment les sauvegarder...

On pourra graver régulièrement des DVD chiffrés par exemple. Le branchement d'un disque dur ou d'une clef USB pour les sauvegardes renvoie à la partie transfert de données sur la machine (on est dans le même cas).

De plus il faudra gérer la sécurité de ces sauvegardes (chiffrement, stockage dans un autre endroit). Car si on a besoin d'une machine air-gap, c'est que l'on a des documents sensibles. Et ce n'est pas pour que ces documents sensibles se retrouvent dans la nature dès qu'ils sont sauvegardés.

Précisions par Aeris

Aeris a apporté via Twitter les précisions suivantes qui viennent compléter (voir remettre en cause) certains éléments de mon billet ci-dessus :-)

On ne met *JAMAIS* une machine air-gap à jour. On est offline, donc osef des failles. Et on fait avec les bugs. Les risques sont trop grands de faire une erreur lors de la maj et de compromettre l'air-gap. Donc on reste en vieux. Parce que même via CD, sauf à prendre what-mille précautions (CD-R et pas RW, session finalisée, CD petites capacités…). Tu peux choper un malware qui exfiltrera les données via ton support inscriptible. Une machine air-gap, moins elle voit le jour, mieux elle se porte :)

Il est aussi tout-à-fait déconseillé de monter sa machine soi-même. Parce que ça implique une machine tour/desktop. Et donc une machine qui risque de passer sa vie au beau milieu du bureau, à la vue de tous. Préférer un petit 11/13″ portable qu'on pourra du coup planquer au fond d'une cache quelque part. Et avec qui on peut disparaître rapidement en cas de soucis.

Niveau sauvegarde : nope. Pour les mêmes raisons que les mises-à-jour. Étant donné la criticité des documents stockées sur une machine air-gap, il est de toute façon très probable que ces documents soient répartis chez plusieurs personnes, sur autant de machines air-gap. La perte d'une machine ne doit dans tous les cas pas être critique pour la survie de l'information. (C'est aussi valable pour la disparition complète d'une personne d'ailleurs).

Conclusion

On a deux donc deux visions différentes de la machine air-gap. Tout dépendra donc, comme souvent, de votre modèle de menace.

La lecture d'un billet d'Alterlibriste Le nez sous le capot m'a inspiré la rédaction de celui-ci. Il y parle d'un boîtier qu'il faut brancher sur sa batterie pour payer moins cher son assurance qu'il doit installer sur la voiture de sa voisine à la demande de celle-ci.

Je connaissais déjà ce type de dispositif, je saisis juste l'occasion pour en parler sur ce blog (car je ne l'ai pas encore fait).

Le boitier pay as you drive

Le boîtier Pay as you drive enregistre et transmet automatiquement à amaguiz chaque mois le nombre exact de kilomètres que vous avez parcourus ainsi que vos trajets. C'est sur la base de ces éléments qu'est établie votre facturation mensuelle. Le boitier pay as you drive sur le site d'Amaguiz

Mon avis rapidement

Sous prétexte de payer moins cher son assurance (ce que je peux comprendre), on donne toutes les informations sur nos déplacements. Le nombre de kilomètres, soit. Mais les trajets... D'autres assurances proposent ce même type de mouchard GPS et c'est en train de se généraliser donc... Superbe idée. A relier à la surveillance d'Internet et à la loi Renseignement... Dans quelles société vivons nous et souhaitons nous vivre... A vous de vous faire votre propre avis, mais le mien est déjà fait depuis longtemps... Je n'ai pas de bracelet qui mesure mon nombre de pas et autres gadgets liés à la santé... J'ai déjà un ordinateur et un smartphone, c'est amplement suffisant.

Je m'arrête là sur le sujet mais je pense que j'aurai malheureusement d'autres occasions d'en reparler...