Mise à jour de la base de données, veuillez patienter...

Il paraît que le CD a 30 ans.

Pourtant les industriels de la culture continuent à vouloir nous vendre des galettes en plastique pas pratiques du tout dans les étalages, à l'heure où tout le monde a un baladeur MP3, un smartphone ou une tablette. CD, DVD, puis BluRay: Ils sont vraiment trop attachés à ces petits bouts de plastique circulaires. Ils continuent à avoir peur des formats numériques, surtout non-DRMisé, et de ce qui permet de les distribuer efficacement (internet, p2p).

Et zut ! ça rentre pas.

Et tout le monde, logiquement, va chercher ses MP3 sur internet au lieu de les acheter aux majors. Ils n'ont que ce qu'ils méritent. C'est la loi du marché: Ils n'ont pas su répondre à la demande. Tant pis pour eux, je ne vais pas les pleurer.

Vous savez ce qui marcherait ? Des bornes dans les supermarchés: Branchez votre baladeur MP3 dessus, choisissez une chanson, insérez une pièce, et vous avez la chanson, sans DRM. C'est simple, et le bénéfice est direct. Je suis certain que malgré l'absence de DRM, les gens seraient prêts à payer pour avoir une chanson qu'ils ont en tête.

Ce matin, ayant fini mon gel de rasage habituel, je me suis rabattu sur le tube d'une autre marque qui avait été acheté par erreur. Bon sang, pourquoi est-ce qu'il faut que ça sente aussi fort ?

Tout comme je trouve idiots les produits roses pour les femmes (téléphone rose, ordinateur rose, carte de crédit rose...), autant je trouve tout aussi crétin la conformation des produits destinés au mâle moyen, en particulier les produits d'hygiène parfumés au mammouth laineux faisandé. Pourquoi est-ce qu'il faut que ça pue autant ?

Messieurs les industriels, il va falloir autre chose qu'une odeur forte pour flatter le mâle qui est en moi. Comme disait Desproges, on a pas besoin de pisser autour du lit pour marquer notre territoire.

C'est Jean-Christophe C. qui m'envoie ce lien. L'arnaque n'est pas bête du tout. Faites bien attention, ça pourrait vous arriver si vous achetez sur eBay ou autres sites similaires.

Quand un arnaqueur utilise une carte bleue volée, il se fera prendre s'il met sa propre adresse pour la livraison. Alors certains ont eu une idée: Ils "vendent" des biens sur internet.

Quand un client est intéressé, l'arnaqueur commande le bien sur un site marchand avec la carte volée, mais met l'adresse du client pour la livraison, pas la sienne. Le client reçoit le bien, il est content et paie l'arnaqueur.

Quand la plainte pour vol de carte bancaire arrive, c'est votre adresse de livraison (pour le bien acheté avec la carte volée) qui est dans la base du site marchand. Toc toc, c'est la police, vous avez effectué un achat avec une carte bleue volée. L'arnaqueur, lui, a déjà récupéré l'argent que vous lui avez envoyé.

Votre défense ? Le site marchand (et son prestataire de système paiement, souvent une banque) doit enregistrer l'adresse IP qui a effectuée la transaction. Et ce ne sera pas la vôtre. C'est votre seule ligne de défense.

Vous n'avez rien compris au titre ? Je vais vous expliquer:

Les PC infectés (zombie) ont besoin d'être commandés par celui qui les a infecté. Pour cela, ils prennent leurs ordres de centres de commande appelés "C&C" (Command and Control). Pour mettre un terme à l'infection de millions d'ordinateurs par un malware, il suffit de donc de prendre le contrôle du C&C ou de le faire fermer. Cette opération a déjà été effectuée de nombreuses fois par les autorités, avec la collaboration des éditeurs d'antivirus (Kaspersky, Microsoft...).

Les premiers malware prenaient leurs ordres d'une URL précise. Il était alors facile pour les autorités de contacter l'hébergeur pour faire fermer le centre de commande.

Les auteurs de malware, pour éviter la saisie des hébergeurs, sont donc passés au fast-flux (une technique pour attribuer à un même nom de domaine de nombreuses adresses IP), rendant le blocage d'un hébergeur unique inopérant. Mais les autorités sont montées un cran au dessus et ont commencé à saisir les noms de domaine.

Beaucoup de malwares sont passés à IRC, ce protocole de chat, parfois en utilisant des serveurs IRC connus. Une fois de plus, il suffit de demander aux administrateur de ces serveurs IRC de collaborer pour bloquer les canaux utilisés par ces malwares.

Du coup, certains malware comme Conficker ont adopté une stratégie intéressante: Ils contactent un nom de domaine différent chaque jour, calculé par un algorithme. Il suffit donc au pirate d'acheter le bon nom de domaine le bon jour pour pouvoir passer des commandes aux zombies. Mais les éditeurs d'antivirus sont parvenus à faire du reverse-engineering et en déduire l'algo. Les domaines ont ainsi pu être bloqués (par exemple chez OpenDNS).

Quelle est l'évolution logique ? Le P2P bien sûr ! Des malwares comme TDL4 ont alors adopté des protocoles P2P. Pas bête: Pas de nom de domaine ou de serveur central à bloquer ou saisir, puisque c'est décentralisé. L'auteur peut passer ses commandes depuis n'importe quel nœud du réseau infecté.

Mais les protocoles P2P posent problème: Ils sont rapidement repérés, et beaucoup d'entreprises les bloquent. Ça ne passe donc pas bien partout.

Comme constaté par l'éditeur d'antibirus G-Data, certains auteurs de malwares sont donc revenus à un centre de contrôle IRC classique... mais sous forme de service caché TOR. C'est très futé:

• TOR peut fonctionner en utilisant HTTP, ce qui permet au malware de traverser les proxy des entreprises et universités pour contacter le centre de contrôle.
• Le trafic TOR étant encapsulé dans HTTP, il ne lève généralement pas d'alerte.
• TOR étant chiffré, cela rend la détection par les IDS plus difficile.
• TOR a aussi des utilisations légales. Ce n'est pas donc pas forcément judicieux de le bloquer en totalité. Il est impossible de distinguer le trafic TOR légitime du trafic TOR généré par le malware.
• mais surtout, le système de service caché fait qu'il devient impossible de connaître l'adresse IP réelle du serveur IRC, et donc impossible de s'adresser à l'hébergeur pour le faire fermer.
• TOR n'ayant pas de système de nommage (DNS) centralisé, impossible de saisir un nom de domaine.

C'est très fûté.

J'espère juste que cela ne sera pas un prétexte supplémentaire pour les autorités pour bloquer TOR.

(YYeeeeahhh... vous avez vu ? Mon blog n'est pas mort !)

Qu'est-ce qu'un codec ? "Codec" est la contraction de "codeur/décodeur". Pour faire simple, disons que c'est une norme qui permet de compresser/décompresser des données numériques, afin de gagner de la place.

Vous connaissez tous le codec MP3 pour la compression audio. Il en existe bien d'autres, libres ou propriétaires, gratuits ou payants, conçus pour l'audio haute qualité (AAC, AC3, Vorbis...) ou la voix sur IP (G711, G722, Speex...). On ne les compte plus. Opus - un nouveau codec audio - vient de tous les tuer. Du moins techniquement.

Ce codec est assez hallucinant: Il est de meilleure qualité que tous les codecs existants, que ce soit dans les faibles débits (utiles en VOIP) ou dans les hauts débits (stockage de musique haute fidélité), le tout en consommant généralement moins de CPU. Plus besoin d'avoir de multiples codecs pour pouvoir couvrir tous les cas d'utilisation. Un seul suffit.

Le graphe suivante montre le résultat de tests perceptifs effectués à différents débits (Plus la valeur est élevée, mieux c'est):

Autre avantage: Il travaille avec une faible latence (20 ms) qui peut même être descendue à 2,5 ms, ce qui en fait un codec idéal pour l'audio en temps réel (VOIP, chat dans les jeux, PABX...).

Non seulement c'est un codec libre (opensource) et gratuit, mais il vient d'être adopté comme standard par l'IETF (RFC 6716). Il n'utilise (a priori) aucun brevet existant. Le seul "manque" d'Opus est de ne pas avoir de mode lossless (comme Flac), mais on lui pardonnera. L'IETF envisage également d'en faire le standard pour WebRTC, le projet conjoint avec le W3C pour créer un standard de communication en temps réel dans les navigateurs (pensez: chat audio et vidéo en temps réel directement dans le navigateur).

Broadcom (fabricant de puces électroniques), Xiph.Org (auteurs de OGG/Vorbis), Skype/Microsoft et Huawei ont participé à l'élaboration de ce codec.

Alors, ça y est le monde est beau et on mange des licornes au petit déjeuner ?

Pas si vite: Je ne suis pas aussi enthousiaste que cet employé de Mozilla. Non, Opus n'annonce pas la fin des codecs propriétaires et payants, loin de là. Une preuve ? Le format Vorbis a beau exister depuis 12 ans, être libre et de meilleure qualité que le MP3 propriétaire, ce dernier l'écrase complètement en parts de marché. Les appareils capables de lire le Vorbis se comptent sur les doigts de la main alors qu'absolument tout est capable de lire du MP3, même un appareil photo. De même, on est pas prêt de voir apparaître Opus sur les lecteurs de DVD/Bluray de salon, tous les fabricants ayant payé (cher) leur licence MPEG.

Mais ne râlons pas trop: Opus est techniquement magnifique. Il est déjà supporté par Firefox, Thunderbird, VLC, Foobar2000, GStreamer, Mumble, Icecaste et il est intégré à Skype même si actuellement pas utilisé. Il devrait également arriver prochainement dans les dépôts Debian, dans Opera, Rockbox et ffmpeg (libavcodecs).

Le site officiel est http://opus-codec.org/.

Cela fait plaisir d'avoir des codecs libres (Opus, Vorbis, VP8/WebM, Theora) dont certains battent des codecs propriétaires et hors de prix (rappelons que la licence de codecs vidéo comme H264 coûte plusieurs millions de dollars). C'est bénéfique au web ouvert et à la communication.

EDIT: J'allais oublier la bd xkcd obligatoire: