PROJET AUTOBLOG


le hollandais volant

Site original : le hollandais volant

⇐ retour index

Retour sur un cas de piratage de Webmail

dimanche 18 juillet 2021 à 18:39

Photo d’une clé avec un logo de pirates.
Très récemment, j’ai été appelé à la rescousse pour un cas de « piratage » d’une webmail Orange.

La personne avait été appelée par sa banquière qui voulait savoir si sa demande par e-mail d’un virement de plusieurs milliers d’euros était bien légitime (ça ne l’était pas). Finalement, de ce côté-là, aucun dommage. Mais ça s’est joué à la vigilance de la banquière en personne. Pour le coup, bravo (et merci).

Dans la webmail d’Orange, on pouvait voir l’historique des connexions en provenance de France (connexions légitimes) mais aussi du Mali et d’Inde (totalement anormal). Par ailleurs, les contacts de la personne dont le compte a été piraté ont pour certains reçus un e-mail chelou de la part du pirate se faisant passer pour elle (je l’ai reçu également).

Voilà pour ce qui s’est passé.

Ce que j’ai fait

Premièrement : faire changer les mots de passe.
La personne avait déjà commencé : c’est très bien.

Les Webmails autorisent (généralement) le transfert des e-mail vers d’autres comptes, de façon automatique. Il a donc été vérifié que le pirate n’avait pas mis en place de redirection vers une adresse à lui. Ça n’était pas le cas, mais un compte « lié » d’un autre compte Orange a été trouvé. Ne sachant pas ce que c’était, il a été supprimé.

Et pas seulement sur la webmail : mais partout. Tous les comptes en ligne. Le pirate a eu accès à ses e-mails, il a pu voir quels sites on utilise. Il aurait pu utiliser cette webmail pour faire un changement de mot de passe partout.

Facebook, Amazon, Google, Apple/iCloud, mais aussi le site de son assurance, les impôts, l’Urssaf, le site de la sécurité sociale ainsi que tous les sites plus ou moins habituels.

Ceci fait, le pirate perd son accès au compte e-mail. Bien.

Que faire de plus ?

Activer la 2FA partout où c’est possible. Avec la 2FA (authentification à deux facteurs), on reçoit un SMS avec un code à usage unique lorsqu’on cherche à se connecter. Si ça avait été activé sur la Webmail d’Orange, la personne aurait reçu un SMS avec un code, et le pirate ne l’ayant pas reçu n’aurait pas pu se connecter. En plus, cela aurait alerté la victime que quelqu’un aurait demandé un changement de mot de passe.

Malheureusement, et là je dis honte à Orange, la 2FA n’est pas possible sur la webmail d’Orange si l’on n’est pas également client mobile chez Orange ou Sosh, ce qui n’est pas le cas ici (la webmail vient avec l’abonnement fixe, pas mobile).

Pour info, la webmail Orange n’est pas seule : chez Free c’est pas mieux a priori, Bouygues non plus. Quant à SFR, ils facturent cette option.
Bref, du n’importe quoi chez nos FAI français.

Comment tout ça est arrivé ?

Deux causes :

Comment on l’a vu ?

L’adresse e-mail apparaît dans les bases de données piratées.
Des services en lignes permettent de vérifier ça, comme ceux-là :

Voilà.

Donc c’est un site tiers qui s’est fait pirater : la base de données des e-mails + mots de passe s’est retrouvée dans la nature et un pirate a récupéré ça.
Ensuite, il a essayé une des adresses (celle de la victime) et a utilisé le mot de passe du site piraté, en espérant que la victime utilise la même partout : c’était le cas, bingo.

Ensuite, le pirate entre sur la webmail, fouille tous les mails à la recherche d’informations, comme les correspondances avec sa banque, des numéros de comptes, des noms de famille… Puis à utiliser la webmail pour écrire à la banque de faire un virement. Encore une fois : ici la banquière a eu la présence d’esprit de demander confirmation par téléphone à la victime. C’est ce qui a sauvé les meubles.

Comment faire pour ne pas que ces choses arrivent ?

Choses très simple à mettre en place :

Il faut mieux un SMS avec un code chiant à entrer à chaque connexion qu’un piratage.

Et dans le cas de la banque :

D’ailleurs, tout comme votre banque vous dit régulièrement qu’ils ne font rien passer par e-mail, mais toujours par courrier, vous pouvez très bien leur dire aussi que vous ne passerez jamais par e-mail et viendrez toujours passer par le guichet (pour ceux qui font ça).
Les banques ajoutent alors cette information à votre dossier et ils sauront qu’un virement inopiné sera forcément frauduleux (et soit l’annuleront, soit vous appelleront).

Ceci est aussi utile quand vous avez un gros virement à faire : prévenez votre banque, ça évitera qu’ils fassent obstacle en pensant à un virement frauduleux (je l’ai fait quand j’ai acheté une voiture, par exemple).

Choses plus avancées à mettre en place :

Choses à considérer dans l’idéal

Toutes considérations de vie privée et de l’hégémonie des GAFAM mis à part : préférez une GMail qu’une webmail de votre FAI. Idéalement, achetez-vous un nom de domaine chez un régistrar (comme Gandi ou OVH) : ils viennent avec une webmail suffisamment large pour n’importe quel usage perso. En plus d’avoir une adresse e-mail bien à vous, ça permet de ne plus dépendre de votre opérateur téléphonique, qui peut changer si vous changez de prestataire.
Et un nom de domaine peut se transférer d’un régistrar à un autre : il est à vous, donc si vous l’achetez chez l’un mais que vous voulez changer, transférez-le chez un autre régistrar. Ceci n’est pas possible avec une adresse chez Orange, SFR, Free…

Changez de temps en temps d’adresse e-mail pour les sites web. Rappelez-vous : si vous utilisez une adresse pour la correspondance et une pour les inscriptions, c’est celle pour les inscriptions sur les sites qu’il faut changer de temps en temps.

Des choses au niveau des sites web

Ici, vous n’y pouvez rien : vous n’êtes pas responsables si un site web se fait pirater. Du coup, ceci s’adresse aux éditeurs de services web : ne stockez pas les mots de passe en clair, bordel ! Un jour vous vous ferez pirater, et si vous les stockez en clair, tous vos clients seront victimes de ce genre de brèche, par votre faute.

Et n’utilisez pas un hashage MD5. Ce n’est plus sûr non plus.
Utilisez au moins du SHA256, voire SHA512, et avec un salt. Il existe des fonctions intégrées aux langages de programmation (comme PHP) pour utiliser tout ça d’un coup. N’utilisez pas des fonctions « maison » qui vous semblent meilleurs que ceux codés par les experts qui font les langages. Ça ne l’est probablement pas.

Pour terminer

Pour finir : la victime de cette mésaventure s’est promise qu’on ne l’y reprendra plus à utiliser le même mot de passe partout. Tant mieux.

Il faut maintenant aussi penser à surveiller l’activité du compte (une connexion depuis le Mali n’est pas normale dans notre cas), et, en cas de doute, changer immédiatement de mot de passe. Idéalement, il faudrait changer de mot de passe régulièrement, mais attention à ne pas tomber dans la simplicité et changer pour des mots de passes plus simples pour compenser les changements fréquents.

Le « régulièrement » va dépendre : rous les ans, tous les 6 mois, tous les mois… il en va du niveau de paranoïa de chacun et de l’importance du compte en question.
Perso, je pense que changer son mot de passe une fois tous les ans est un minimum, au moins pour ses comptes critiques (banque, etc.).

Donc vous savez ce qui vous reste à faire : allez vérifier vos comptes en ligne (Gmail, Facebook…) et vérifiez l’historique de connexion, et changez vos mots de passe en cas de doute ou d’activité suspecte.

Attention : si vous changez votre mot de passe e-mail sur votre ordinateur, vous devrez le mettre à jour sur votre téléphone également, et partout où vous êtes connectés.

image d’en-teête de Jacob Rosen

« vos droits ne peuvent être les mêmes »

samedi 17 juillet 2021 à 13:04

Le titre, c’est ce Tweet de FranceInfo, citant Macron :

Covid-19 : "Vos droits ne peuvent pas être les mêmes", répond Emmanuel Macron à ceux qui refusent la vaccination

Sauf que c’est tronqué, évidemment :

Vos droits ne peuvent pas être les mêmes parce qu’ils supposent des devoirs

Pour ma part ça reste maladroit. Il tombe dans le piège des antivax qui pensent que Macron veut leur retirer des droits comme ça, gratuitement.

Ce qu’il aurait fallu dire c’est :

La vie en société exige des droits, mais aussi des devoirs. En particulier celui de ne pas constituer un danger pour les autres.

Car le but ce n’est pas de retirer des droits ! Le but c’est revenir à une vie normale.

Or la situation actuelle — exceptionnelle — exige l’accomplissement d’un devoir exceptionnel. C’est incontestable : des vies sont en en jeu, et beaucoup trop ont déjà été perdues.
Par ailleurs, le vaccin fonctionne : il y a beaucoup moins de morts maintenant qu’il y a 6 mois, et moins de cas aussi (74 % des cas sont non-vaccinés, aux R-U, et même chose en France).

Sans ce devoir social accompli, on constitue un danger duquel on doit protéger la société.
C’est totalement normal. L’État a pour rôle de protéger la société.

Contre le crime, le terrorisme, les incendies, les comportements dangereux, et contre les maladies dont le Covid-19. Et pour cette dernière, ça passe par un vaccin. C’est comme ça. Comme c’est le cas pour d’autres maladies.

Et ce devoir sera levé quand la situation redeviendra normale. Et elle a une chance de redevenir normale si tout le monde se fait vacciner au plus vite. C’est une condition nécessaire (mais pas suffisante, malheureusement) pour un retour à une vie normale.

Alors oui, on peut ne pas pouvoir se faire vacciner, mais ça revient à ne pas pouvoir protéger les autres [de soi-même]. Et dans ce cas, effectivement, j’assume parfaitement le soutient à l’idée de ne pas laisser ces personnes déambuler en société parmi les autres. C’est du bon sens. Et c’est pas comme si le vaccin était cher et réservé à certains : il est gratuit et ouvert à tous désormais.


Plus généralement tous les droits appellent à des devoirs, et c’est normal.

Ça semble pourtant normal, car dans les cas contraires, il y a des risques plus élevés d’accidents et de provoquer des morts.

Pour le vaccin, c’est la même chose.


Pour ceux qui veulent des informations sur les vaccins et les virus en général :


Cette section est mise à jour régulièrement.

Quelques chiffres :

(Rappel : à la sortie de ces chffres, les USA ont une couverture vaccinale de 50 %, donc si le vaccin n’était pas efficace, les décès de non-vaccinés représenteraient 50 % aussi)


Donc si on résume à la lumière de tout ça…

Les pseudo-arguments qui disent :

Sont faux.

Ceux qui disent :

Ne sont pas forcément faux, mais n’empêchent pas au vaccin de fonctionner. Par conséquent il ne sont pas pertinents.

Ceux qui disent :

Sont dans le vrai, mais cela vaut aussi pour le virus. Qui lui, tue, rend malade, met ses proches en danger, expose au covid long, peut vous envoyer à l’hôpital.

En fait, à moins d’être suicidaire ou masochiste, ou de vouloir volontairement mettre ses proches en danger (ie : un terroriste ou un kamikaze), rien ne justifie de préférer le virus au vaccin.

Pourquoi les communes devraient installer des bornes pour voitures électriques

mardi 29 juin 2021 à 18:59

Deux Ioniq
Ça y est, je commence à regarder la présence de bornes de recharge pour savoir où je vais aller.

Même si je ne suis pas à quelques dizaines de kilomètres près, mais pouvoir recharger sa voiture pendant qu’on se balade à pied, qu’on boit un verre, qu’on fait ses courses, qu’on mange, qu’on dort à l’hôtel a quelque chose de satisfaisant.

Les bornes payantes avec tarification à la minute ne sont pas attractives pour une PHEV (qui chargent lentement et donc longtemps), mais le restent pour les EV. Vu que j’ai une PHEV, je reste donc uniquement sur les bornes gratuites quand il y en a.

Quoi qu’il en soit, je ne pense pas être le seul.

Et tant que les bornes sont rares, c’est un point d’intérêt pour ceux qui roulent en électrique. C’est aussi toujours une bonne surprise quand il y a une borne là où on va alors qu’on ne le savait pas, d’autant plus quand elle est gratuite.

Les aires d’autoroute ont désormais souvent des points de charge rapide, mais dès qu’on en sort, particulièrement à la campagne, c’est moins courant : il faut les chercher. Heureusement qu’il y a des applications comme ChargeMap, ou Alizée pour nous aider avec ça.

Y a 15 jours, j’en ai fait l’expérience : il restait un peu de temps et je voulais me balader, donc j’ai regardé les villages et activités alentour. Et j’ai donc choisi d’aller au seul village avec une station de charge, (qui était gratuite) pour aller voir.
Samedi dernier, je suis resté un peu plus longtemps dans un autre village, juste pour finir la charge et on a bu un verre.

Peut-être vous voyez où je veux en venir : installez une borne, et les gens viendront, et les gens dépenseront.

Le village où j’étais indiquait être excédentaire énergétique (c’est écrit sur la borne, avec un message du prestataire du service, etc.) : a priori donc, j’ai chargé ma voiture sur de l’énergie qui serait autrement parti « à la poubelle » ou dans du pompage hydraulique (et donc utilisé de façon moins efficiente).

Si je ne l’avais pas fait, j’aurais probablement brûlé un peu d’essence pour rentrer, ou j’aurais chargé ma voiture ailleurs, ni gratuitement, ni sur du courant excédentaire.

Un autre point, et ce n’est pas un mystère : les voitures électriques sont encore chères. Proposer un point de charge, c’est donc potentiellement attirer des personnes qui ont des moyens de dépenser. Y compris des touristes. Et un touriste qui vient dans un village il repart généralement avec des souvenirs, après un restau ou une nuit à l’hôtel du coin, bref, quelqu’un qui y injecte du pognon.

Sur les bornes de proximité, la recharge prend facilement une heure ou deux, c’est donc l’occasion de passer à table entre-temps.
Je sais que les points de charge coûtent cher (on parle de 3 000 à 6 000 € pour une borne de deux places), mais si ça s’amortit parce que ça attire du monde, pourquoi pas. Comme j’ai dit plus haut : ça attire une clientèle capable de dépenser.

D’un point de vue technique, une borne de 22 kW suffit pour la charger complètement une voiture de 50 kWh (soit une EV moyenne) en 2 heures, soit le temps d’un restau. Installez ça sur le parking du village, et on peut être sûr que celui qui passe pour charger viendra boire un verre ou casser la croûte sur place.

Dans le cas d’un hôtel, une borne 11 kWh ou 7 kWh suffiront amplement si le client y passe sa nuit. Ça rechargera la voiture tranquillement pendant qu’il dort. Et même sans ça, une prise murale renforcée (32 A) suffirait si le client a son chargeur avec lui (c’est le cas généralement).

Pour info, une borne 7 kW, c’est du 32 ampère monophasé (donc une ligne similaire à une ligne de camping « prise bleue », ou P17).
Le 11 kW, c’est du 16 A triphasé. Enfin, le 22 kW, c’est du 32 A triphasé : ça reste accessible techniquement, il faut juste le demander à EDF.

En tout cas, ce n’est pas du 50, 150 ou 300 kW qui demandent effectivement des installations (postes de transformation) très coûteuses, et qui ne sont utiles que pour les charges rapides, donc réservées pour les aires d’autoroute ou les stations EV à grand volume.

À titre d’exemple, Tesla est le seul constructeur qui possède son propre réseau de charge. C’est ce qui fait sa force devant tous les autres constructeurs (ces derniers ayant refusé de s’allier avec lui). Et peut-être remarquerez-vous qu’une grande partie des points de charge Tesla sont situés dans ces cours d’hôtels : ce n’est pas un hasard !
Tesla a créé des partenariats avec ces chaînes d’hôtels. Les conducteurs vont là-bas, boivent un café à la cafétéria de l’hôtel et après 20-40 minutes, la voiture est chargée et c’est bon.

Donc oui : si vous êtes Maire ou conseiller municipal en zone rural, et si votre village a un café, un restau ou 2-3 petits coins à visiter dans la ville, et si la question est sur la table : n’hésitez pas ! La borne sera rapidement visible dans les applications mobiles et on y voit aussi s’il y a des commodités (restos, etc.) à proximité.

Peut-être que je ne suis pas l’utilisateur moyen d’une EV, mais je ne suis sûrement pas le seul à aller à des endroits selon la possibilité d’y charger la voiture : entre deux villages inconnus à visiter, j’aurais bien plus tendance à aller explorer celui qui possède une borne pour EV…

Les interfaces déficientes dans la vie courante

dimanche 20 juin 2021 à 19:30

Je suis webdev à mes heures. Une partie du boulot consiste à savoir quels éléments utiliser dans l’interface des pages web pour avoir une interaction simple entre l’humain et la machine.

Pour une action « A », est-ce qu’il vaut mieux :

Tous les développeurs d’interface graphique font face à ça.

Exemples d’interfaces et comment choisir la bonne

Parfois, les choix sont simples. Par exemple, pour proposer de choisir un pseudo, il serait malvenu de proposer 15 menus déroulants de A à Z où l’utilisateur choisit son nom :

i
Cela serait la galère, non ? Oui, on est d’accord.

Maintenant, imaginez, vous avez question : « Que voulez-vous sur votre sandwich ? »

Lequel de ces sélecteurs est plus pratique :

i
i
Évidemment, il s’agit du second. Pourquoi ? Parce qu’il reflète la vraie vie. Dans une sandwicherie, un dialogue se passerait typiquement comme ça. Prenez l’exemple de chaîne « subway », où ça se passe exactement de cette façon :

« je vous met du fromage ?
— oui
— de la salade ?
— oui
— du jambon ?
— non merci
— du beurre ?
— non merci »

Il est donc normal qu’on fasse une interface qui retranscrive tout ça. L’interface humain-machine (IHM) doit idéalement refléter une interaction humain-humain.

Laissez-moi redire ça : une interface humain-machine n’est bien faite que si elle reflète une interaction naturelle entre deux personnes. Autrement, votre interface peut-être considérée comme globalement merdique. Point.

À l’inverse maintenant, s’il n’était pas possible de combiner les ingrédients, mais qu’on était limité à un choix unique, on aurait eu le dialogue suivant :

« je vous met du fromage, de la salade, du jambon, ou bien du beurre ?
— du fromage, s’il vous plaît ! »

… et dans ce cas, l’élément d’interface appropriée aurait été le menu déroulant à choix unique (ou bien une interface à bouton « radio »), mais sûrement pas les cases à cocher qui sont — par nature — à choix multiple.

Ça peut sembler simple, tout ça. Probablement trop. Pourtant, créer des interfaces permettant une expérience utilisateur convenable, c’est un métier, et ce n’est pas pour rien.

Dans les faits, c’est dingue comme il existe des cas d’interfaces tellement pourries qu’on se demande ce qui est passé par la tête de leur concepteurs… et dans celui des managers qui ont embauché ces personnes, et aussi dans celui des chefs de projets qui vont validé ça au cours de réunions « café-croissants-cravates »

Cas d’une interface limitée par contrainte

Parfois, les limitations techniques empêchent de prendre l’interface approprié et on doit faire au mieux.

Ainsi, une guirlande de noël « RGB » qui n’a qu’un seul bouton poussoir, propose les combinaisons « R », « G », « B », « RG », « RB », « GB », « RGB ». Cela correspond à une interface style « menu déroulant » cyclique, en bouclant sur toute les possibilités avant de revenir à la première. À l’utilisateur de s’arrêter à la combinaison qu’il souhaite.

Sur la guirlande avait eu un petit écran tactile pour choisir, il aurait pu proposer des cases à cocher pour permettre de cocher/décocher les couleurs voulues.

Ici, évidemment, on ne va pas mettre un écran tactile sur un câble de guirlande. Donc on fait au mieux.

Sur un appareil plus gros par contre, où l’on n’est pas limité à un seul bouton et qu’on peut virtuellement en mettre autant qu’on veut, on doit en mettre autant qu’il en faut, ni plus, ni moins.

Dans les exemples qui suivent, ce principe n’est pas respecté.

L’interface du système de chauffage d’une voiture

Le sélecteur de chauffage dans sa voiture permet de choisir où l’on envoie l’air chaud (ou froid) :

Et l’on a donc trois boutons bien séparés pour choisir :

Imaginez un peu la galère en revanche si on avait un sélecteur circulaire qui boucle entre « haut », « vitres », « haut + vitres », « pieds + vitres », « vitres + haut + pied », etc..

Comme ça :

Interface chauffage voiture.
Heu… mais c’est ce que font toutes les voitures !

Et oui, et je trouve que c’est du gros n’importe quoi.

Comment faire si je veux les vitres et le haut ? On peut pas.
Par contre, je peux avoir les vitres et les pieds. C’est à rien n’y comprendre.

Va-t-on me faire croire que ce n’est pas possible — techniquement — de faire 3 boutons on/off pour choisir où envoyer l’air ? Surtout dans les voitures actuelles qui ont des climatisations bi-, tri- voire quadri-zone, où l’on peut envoyer l’air chaud à gauche, l’air froid à droite, ou vice-versa et la même chose à l’arrière au gré de chacun des passagers.

Je ne connais pas une seule @#%µ& de voiture qui propose une interface correcte pour ce système.

La mienne, qui date de 2020, et qui a plus d’options que je n’utilise, a ce style de sélecteur merdique ! Pire, il s’agit même d’un bouton tactile cyclique qui empêche de voir où on en est dans la boucle et où les autres sélecteurs — clim, désembuage auto, bi-zone — entrent en conflit ou réinitialisent ce premier sélecteur.

C’est absolument ridicule, mais ce n’est pas un cas isolé.

L’interface des fours électriques

Dans ma cuisine j’ai un four électrique avec une grille en haut, une grille en bas et un ventilateur pour faire circuler la chaleur.
Pensez-vous qu’ils auraient fait trois boutons ?

Bien-sûr que non :

Interface bullshit de four.
Et je passe sous silence les interfaces abominables des fours à micro-ondes avec « réchauffer », « cuisson », « décongélation », et tout un tas de pré-réglages à la con qui ne suffisent qu’à 0,3 % des cas et qui ne fonctionne que 5 % du temps.

En règle général, pour ce genre d’appareil, on devrait se contenter de deux choses :

La chauffe d’un plat est conditionné par l’énergie thermique qu’elle reçoit de l’appareil.

Or vous savez-quoi ? L’énergie est le produit de la puissance par la durée d’exposition à cette puissance : E = W×t.
Deux boutons suffisent donc pour un four à micro-ondes, un four, une chauffe biberon, une plaque chauffante…

Les machines à laver

Et sur les machines à laver ?

Pourquoi devrait-il être simple de constituer son propre programme avec pré-lavage (oui/non), lavage (oui/non), essorage (oui/non) ?

Est-il écrit quelque part qu’il doit y avoir systématiquement un bouton circulaire avec N choix parmi toutes les possibilités, qui plus est sans ordre logique, et de surcroît où il en manque toujours une ou deux ?

Interface machine à laver.

Là aussi, de façon général, réservez les boutons circulaires à un choix qui permette de graduellement changer un paramètre : température, vitesse d’essorage… N’utilisez pas ça pour des options décorrélées entre-elles.

ÉDIT : quelques autres problèmes d’interface

Dans ma Hyundai Ioniq, il y a une multitude d’options, mais tous ne sont pas configurables au même endroit.

Pour ma part, je pense qu’il y a plusieurs types de fonctions :

Dans la Hyundai, tout est mélangé. Certains boutons physiques ne servent jamais. Pire, l’assistance de maintient de voie est accessible via un bouton ET via les menus.

Aussi, les boutons sont en on/off. Normalement leur état est enregistré quand on éteint la voiture. Certains oui. D’autres non, comme le auto-hold du frein. C’est incompréhensible. Ça c’est typiquement l’option qui devrait être dans la catégorie « accessible très rarement » : c’est une préférence de l’utilisateur, pas une option qu’on change tout le temps.
De même que l’assistance au maintient de voie et le détecteur d’angle mort : pas besoin de boutons physique pour ça.

Tesla la bien compris : tout est dans le système d’infotainment, et dans deux sections : les fonctions accessibles très vite, et les options de préférences. Pas de mélange.

Et, toujours dans la Hyundai, je ne parle pas des la disposition des boutons : il y en a au volant, dans le compteur (menus virtuels), sur la portière, sur la console centrale, autour du levier de vitesses, en bas à gauche du volant, en bas à gauche du volant mais un peu plus bas… Y en a partout. C’est pauvrement étudié.

Autres liens

Vivaldi après 1 mois… Retour sous Firefox

dimanche 20 juin 2021 à 15:45

i
Ça fait quelques semaines que j’utilise Vivaldi en navigateur principal sur mon ordi.

J’avais changé, car j’étais lassé de Firefox et quelques-unes de ses options qui partent, viennent, repartent, et de divers choix incompréhensibles faites par Mozilla sur ce navigateur, et dans l’espoir de trouver une solution plus « future-proof » que Firefox qui est virtuellement mourant et que Mozilla considère comme un fardeau plutôt qu’un fer de lance.

Vivaldi n’est pas officiellement libre, mais tous leurs composants le sont, même si en partie c’est porté par Google.
Vivaldi est le navigateur plein d’options pratique et qui reste utilisable. Du génie. Je n’ai rien à reprocher au travail que Vivaldi a fait avec ce navigateur : il est complet et pratique.

Juste un truc.
Blink.

Blink c’est le moteur de rendu (à l’origine un fork de Webkit) : le sous-programme du navigateur responsable de l’affichage des pages. C’est le même moteur de rendu que Chrome, Edgium, Chromium, Opera…

Ce qui différencie ces navigateurs, c’est tout le reste qui n’est pas le moteur de rendu, c’est-à-dire la partie visible du navigateur (menus, disposition, couleurs…).

Or :
Blink est lent.
Blink est mauvais.
Blink est lourd.
Mais Blink est utilisé par 80 % des navigateurs.

En bref, Blink c’est le nouveau IE6.

Pour l’affichage des pages, Firefox est plus fidèle aux standards.
Pour l’exécution des programmes web, Firefox est plus rapide.
Pour la gestion des ressources, Firefox est moins gourmand.

Firefox n’utilise pas Blink, mais Gecko/Servo (projet Quantum). Ce moteur est rapide, efficace, léger. Y a pas à dire. Ça n’a plus rien à voir avec le Firefox de 2015 où c’était un gros patapouf hyper-lent.

À ce jour, c’est la seule alternative au monstre Blink. Et c’est bien dommage, car même Mozilla semble délaisser le truc pour se lancer dans ses projets commerciaux (à coup de licenciements et plans de restructuration).

À l’époque d’Opera 12 (ancêtre spirituel de Vivaldi), Opera n’utilisait pas Blink/Webkit mais leur propre moteur de rendu : Presto. Il était plus rapide que Gecko et Webkit, mais Opera l’a laissé tomber pour se tourner vers Webkit (devenu Blink ensuite).

Quand Vivaldi est né, quelque temps après, ils ont fait le choix de prendre Blink et non Gecko.
Je ne suis pas là pour dire qu’il s’agisse d’une erreur, mais pour moi, ça reste un défaut et un reproche technique.

Après un mois sous Vivaldi, je le vois tous les jours : un clic droit dans un champ texte sous Vivaldi prend plusieurs secondes (c’est instantané sous Firefox). Les outils de dév sont bien plus complets et orientés utilisateur dans Firefox que dans Blink. Les éléments d’interface (input number/date/…) sont mieux pensés dans Firefox que dans Vivaldi/Chrome. Sans compter l’affichage des pages, les rendus graphiques…

Bref, Vivaldi est bon, vraiment très bon…
… si vous venez de Chrome/Opera/Edgium. Vraiment : essayez-le, vous ne verrez pas ces défauts et vous aurez un navigateur mieux foutu et mieux pour votre vie privée.

Mais si vous arrivez de Firefox, vous aurez un truc plus lent, plus lourd et les contrôles dans les pages seront ce que Firefox avait il y a 10 ans.

Si vous êtes web-dév, oubliez les outils de dév de Chrome/Vivaldi/Blink : c’est de la vraie merde. Ceux de Firefox sont plus complets, plus pratiques, même si un point plus bugué.


@Vivaldi : le jour où vous passez de Blink à Gecko, vous aurez le meilleur navigateur du monde.
En attendant, vous avez la meilleure interface avec le pire moteur de rendu.


ÉDIT : je dis bien qu’ici tout ça concerne mon ressenti après une utilisation représentative de mon usage, avec les modules, ma configuration… bref, des conditions réelles ; soit tout le contraire d’une « fresh-install » habituellement utilisée lors des benchmark et des tests journalistiques.

Ah et aussi sous Linux (Linux Mint).