Récupération d'articles d'archives

2026-03-29 03:00:47 +02:00
parent 060119c91c
commit ecc25fe7cf
592 changed files with 17498 additions and 8153 deletions
--- a/content/interets/informatique/2016/01/31/a-propos-des-certificats/images/avertissement-ssl.jpeg
+++ b/content/interets/informatique/2016/01/31/a-propos-des-certificats/images/avertissement-ssl.jpeg
--- a/content/interets/informatique/2016/01/31/a-propos-des-certificats/index.md
+++ b/content/interets/informatique/2016/01/31/a-propos-des-certificats/index.md
@@ -0,0 +1,226 @@
+---
+comments_url: https://com.richard-dern.fr/post/544
+date: '2016-01-31 17:51:50'
+links:
+- lang: fr
+  name: Page d'origine sur LinuxFr
+  url: https://linuxfr.org/users/richarddern/journaux/a-propos-des-certificats
+tags:
+- Certificat
+- Sécurité
+- Let's Encrypt
+- Firefox
+title: À propos des certificats
+weather:
+  humidity: 97
+  illuminance: 0.0
+  precipitations: true
+  pressure: 1011.8
+  source:
+  - open-meteo
+  temperature: 8.4
+  wind_direction: 247
+  wind_speed: 25.0
+---
+
+_Un autre article publié initialement sur mon site, sur un sujet qui me tient particulièrement à cœur, et pour lequel j'espère avoir des avis._
+
+> Les certificats font régulièrement la une de l'actualité informatique ces derniers temps.
+> Ces petits fichiers ne contenant que du texte et valant leur poids (en kilo-octets) en dollars, sont censés être les garants de notre sécurité sur Internet.
+> Mais en simplifiant leur mise en oeuvre nous avons ouvert une brèche.
+> Une brèche dans un élément crucial de la chaîne de sécurité.
+
+## Qu'est-ce qu'un certificat ?
+
+Un certificat est un "simple" fichier texte.
+La suite de caractères qu'il contient sert à chiffrer des données.
+Pour le commun des mortels, cela signifie simplement que le numéro de carte bancaire qu'ils transmettent à un site tiers se fait de façon sécurisée, sans bien sûr comprendre tout ce que cela implique sur le plan technique.
+
+Dans la pratique, un certificat doit être signé, validé, par une autorité de certification.
+Il en existe un certain nombre, et il s'agit simplement d'un organisme habilité à émettre un certificat racine.
+
+Ce certificat racine est généralement présent au sein du système d'exploitation ou du navigateur web, dès son installation.
+C'est la partie publique d'une chaîne de chiffrement, dont la clé privée est - normalement - jalousement gardée par l'autorité de certification.
+
+Le but de ce certificat racine est notamment de s'assurer que les sites Internet que l'on visite sont effectivement sécurisés, et que la chaîne de confidentialité ne soit pas brisée, c'est-à-dire, que personne ne se soit intercalé entre le site en question et le visiteur.
+
+## Je ne vois pas le problème
+
+Il n'y a pas eu de raison de douter de ce fonctionnement, jusqu'à ce qu'on trouve un [certificat racine vérolé](http://www.nextinpact.com/news/93126-un-adware-livre-avec-machines-lenovo-pose-serieux-risque-securite.htm).
+Ce n'était qu'une question de temps de toute façon.
+D'après la [Wikipédia](https://fr.wikipedia.org/wiki/Certificat_%C3%A9lectronique#Vuln.C3.A9rabilit.C3.A9s):
+
+> Le système de certificats ne présente pas de vulnérabilité technique théorique sous réserve que toutes ses étapes soient correctement implémentées.
+
+"*[..]sous réserve que[..]*".
+C'est toujours inquiétant de lire ça.
+Surtout quand on parle de certificats racines.
+
+Concrètement, les certificats racines et les autorités de certification posent plusieurs problèmes, selon moi.
+
+### Les coûts prohibitifs
+
+Un certificat coûte au minimum une centaine d'euros.
+Quelques exemples de premiers prix:
+
+- 349 euros chez [Symantec](https://web.archive.org/web/20160311074126/http://www.symantec.com/fr/fr/ssl-certificates/)
+- 179 euros chez [GlobalSign](https://web.archive.org/web/20160513072057/https://www.globalsign.fr/fr/ssl/domain-ssl/)
+- 99 euros chez [Thawte](https://web.archive.org/web/20150419063308/https://www.thawte.fr/ssl/index.html)
+
+Ces prix sont **par an**.
+Pour un fichier texte qu'on peut générer à la maison.
+
+### L'insouciance
+
+C'est aussi à force d'œuvrer à la simplification de l'informatique qu'on scie la branche sur laquelle on est assis.
+Ce qui pousse les éditeurs de sites Internet à acheter un certificat, c'est **l'insouciance induite chez les visiteurs**.
+
+Avant d'arriver sur ce blog, vous avez fait face à une fenêtre vous informant de l'invalidité de mon certificat.
+En réalité, mon certificat est tout à fait valide.
+Il n'est juste pas signé par une autorité de certification racine, dont les certificats racines sont dans votre navigateur.
+
+Pour un visiteur non technicien, cette page fait peur.
+Ce n'est évidemment pas vendeur.
+Du coup, les éditeurs se tournent vers des autorités de certification pour que la visite de leur site ne soit pas entachée de cet avertissement.
+
+### Le fameux avertissement
+
+![La fenêtre d'avertissement de iceweasel/firefox](images/avertissement-ssl.jpeg "Source : https://www.athaliasoft.com/images/post/1cecd6eec207ca658b785f4ba5497a91/avertissement-ssl.jpeg")
+
+Lors d'une session sécurisée, le serveur réclame un certificat que le navigateur est censé trouver dans sa "base de certificats".
+S'il n'en dispose pas, il demande à l'utilisateur s'il veut réellement accepter le certificat émis pas le serveur.
+Sauf s'il est signé par une autorité de certification qui dispose d'un certificat racine inclus dans le navigateur ou le système d'exploitation.
+
+L'autre cas où le navigateur demande à l'utilisateur s'il veut réellement accepter le certificat, c'est lorsque le certificat attendu diffère de celui déjà dans la base de certificats du client.
+
+Le problème, c'est qu'un certificat peut tout à fait être légitime, sans pour autant être signé par une autorité de certification racine.
+Dès lors, le ton pris par le navigateur pour avertir l'utilisateur que le certificat du serveur est invalide est légèrement hautain, voire dédaigneux, semble-t'il à la botte des autorités de certification racines et de leurs dollars bien mal acquis.
+
+## Quoi faire ?
+
+Je tourne sous [Debian](http://www.debian.org/).
+Les certificats racines sont installés par le paquet [*ca-certificates*](https://packages.debian.org/jessie/ca-certificates).
+Il est impossible de le supprimer car bon nombre d'autres paquets dépendent de lui, chose que j'ai peine à expliquer.
+
+```
+# apt-cache showpkg ca-certificates
+Package: ca-certificates
+
+[...]
+
+Reverse Depends:
+  wordpress,ca-certificates
+  openssl,ca-certificates
+  0install-core,ca-certificates
+  wordpress,ca-certificates
+  wget,ca-certificates
+  w3m,ca-certificates
+  ubuntu-dev-tools,ca-certificates
+  python-txaws,ca-certificates
+  sympa,ca-certificates
+  sylpheed,ca-certificates
+  ssh-import-id,ca-certificates
+  software-properties-common,ca-certificates
+  sendmail-base,ca-certificates
+  rubygems-integration,ca-certificates
+  ruby-webmock,ca-certificates
+  ruby-excon,ca-certificates
+  python3-requests,ca-certificates
+  python-requests-whl,ca-certificates
+  python-requests,ca-certificates
+  libqt4-network,ca-certificates
+  libqca2,ca-certificates
+  python3-urllib3,ca-certificates
+  python-urllib3-whl,ca-certificates
+  python-urllib3,ca-certificates
+  python3-tornado,ca-certificates
+  python-tornado,ca-certificates
+  python3-pip,ca-certificates
+  python-pip,ca-certificates
+  python3-httplib2,ca-certificates
+  python-httplib2,ca-certificates
+  libpurple0,ca-certificates
+  php-guzzlehttp-ringphp,ca-certificates
+  php-guzzle,ca-certificates
+  osc,ca-certificates
+  openssl,ca-certificates
+  libopenconnect3,ca-certificates
+  nodejs-dev,ca-certificates
+  libneon27-gnutls,ca-certificates
+  mutt,ca-certificates
+  msmtp,ca-certificates
+  mew-beta-bin,ca-certificates
+  mew-bin,ca-certificates
+  mercurial-common,ca-certificates
+  libwww-perl,ca-certificates
+  liblwpx-paranoidagent-perl,ca-certificates
+  liblwp-protocol-https-perl,ca-certificates
+  libio-socket-ssl-perl,ca-certificates
+  libhttp-tiny-perl,ca-certificates
+  libgwenhywfar-data,ca-certificates
+  lava-dev,ca-certificates
+  kdelibs5-data,ca-certificates
+  igtf-policy-unaccredited,ca-certificates
+  igtf-policy-slcs,ca-certificates
+  igtf-policy-mics,ca-certificates
+  igtf-policy-iota,ca-certificates
+  igtf-policy-experimental,ca-certificates
+  igtf-policy-classic,ca-certificates
+  php-google-api-php-client,ca-certificates
+  gnustep-base-common,ca-certificates
+  glib-networking-tests,ca-certificates
+  gajim,ca-certificates
+  freeradius,ca-certificates
+  fetchmail,ca-certificates
+  esniper,ca-certificates
+  epiphany-browser,ca-certificates
+  libcurl3-nss,ca-certificates
+  libcurl3-gnutls,ca-certificates
+  libcurl3,ca-certificates
+  ca-certificates-java,ca-certificates 20121114
+  python-bzrlib,ca-certificates
+  boinc-client,ca-certificates
+  balsa,ca-certificates
+  aria2,ca-certificates
+```
+
+Mais c'est l'idée: j'aimerais supprimer tous les certificats racines de ma machine (on peut les supprimer un à un du navigateur ceci-dit).
+
+Vous l'aurez compris: cela impliquerait que la première visite sur chaque site sécurisé que je fréquente soit précédée du message d'avertissement sus-cité.
+Un certificat à vérifier et à valider une fois pour toutes - normalement - et par site.
+
+Je pense sincèrement qu'il s'agit là de la solution la plus raisonnable: forcer l'utilisateur à vérifier la chaîne de sécurité lors de sa première connexion à un site sécurisé.
+Ça prend quelques secondes, et peut éviter de grands problèmes.
+
+Par ailleurs, cette page d'avertissement devrait être nettement moins agressive.
+Par exemple, parler de certificat *inconnu* lors de la première visite, plutôt que de certificat invalide, et opter pour une mise en page évoquant l'*information* plutôt que l'avertissement.
+Et parler de changement de certificat lorsqu'on visite un site dont le certificat ne correspond plus à celui déjà accepté auparavant, en optant cette fois pour la mise en page traditionnelle, afin d'avertir l'utilisateur que, cette fois, il y a danger.
+Peut-être même afficher directement le certificat au lieu de devoir l'afficher dans une boîte de dialogue.
+
+En tout cas, je recommande plus que chaudement de [générer soi-même ses propres certificats](https://duckduckgo.com/?q=cr%C3%A9er+sa+propre+autorit%C3%A9+de+certification&kaj=m&k5=1&km=m&kac=-1&k1=-1&kw=s&kx=5a8952&kai=1&kz=-1&kal=-1&kp=-1&kak=-1&kk=-1&kd=1&kad=fr_FR&t=ffsb), avec sa propre autorité de certification, et déployer ses propres certificats "racines" dans les navigateurs qu'on utilise.
+C'est probablement coûteux en temps et en argent en entreprise, et présente sûrement peu d'intérêt pour un petit réseau à la maison (encore que...), mais qu'en serait-il du prix d'un dérapage incontrôlé ?
+
+## Le cas de Let's Encrypt
+
+En ce qui concerne le prix des certificats, il y a des solutions alternatives, et notamment [Let's Encrypt](https://letsencrypt.org/) qui déchaîne les passions.
+Sur le papier, c'est alléchant puisque Let's Encrypt permet de se procurer gratuitement des certificats signés par une autorité de certification racine.
+Donc pas de message d'avertissement dans le navigateur, et un cadenas vert pour rassurer l'utilisateur.
+
+### Pourquoi ce n'est pas aussi bien que ce qu'on croit
+
+En ce qui me concerne, je vais passer pour un paranoïaque comme d'habitude, mais j'ai tendance à ne pas faire confiance à un tiers, au moins pour ce genre de choses.
+D'autant qu'on peut parfaitement faire ses propres certificats à la maison, tout aussi gratuitement.
+
+Ma crainte me parait justifiée, en particulier quand on voit les sponsors de Let's Encrypt.
+Personnellement, j'ai du mal à admettre que l'[EFF](https://www.eff.org/) puisse être sponsor des mêmes initiatives que facebook (est-il nécessaire de préciser pourquoi ?)
+ou Cisco (connue pour ses backdoors dans ses routeurs).
+Et voir ces entreprises s'immiscer dans [un projet de la Linux Foundation](http://collabprojects.linuxfoundation.org/) me laisse tout aussi perplexe, mais c'est un autre débat.
+
+## Au final...
+
+Au final, je ne vois qu'un changement de philosophie vis-à-vis des certificats racines pour améliorer les choses.
+Je considère désormais chaque certificat racine comme une potentielle backdoor, permettant de faire tout et surtout n'importe quoi, sans le moindre contrôle de l'utilisateur.
+On place notre confiance dans des entreprises financées notamment par ces certificats.
+C'est contraire aux principes d'un Internet ouvert et décentralisé.
+Contraire même au principe de sécurité le plus élémentaire: ne jamais céder cette dernière à un tiers.
+Enfin, c'est une preuve de notre oisiveté qui tend à privilégier le confort à la sécurité.
--- a/content/interets/informatique/2016/01/31/test-du-framework-front-end-semantic-ui/images/semantic-ui-buttons.jpeg
+++ b/content/interets/informatique/2016/01/31/test-du-framework-front-end-semantic-ui/images/semantic-ui-buttons.jpeg
--- a/content/interets/informatique/2016/01/31/test-du-framework-front-end-semantic-ui/index.md
+++ b/content/interets/informatique/2016/01/31/test-du-framework-front-end-semantic-ui/index.md
@@ -0,0 +1,100 @@
+---
+comments_url: https://com.richard-dern.fr/post/543
+date: '2016-01-31 17:34:57'
+links:
+- lang: fr
+  name: Page d'origine sur LinuxFr
+  url: https://linuxfr.org/users/richarddern/journaux/test-du-framework-front-end-semantic-ui
+tags:
+- Frontend
+- Développement
+- Web
+- Semantic
+- UI
+- HTML
+title: Test du framework front-end Semantic UI
+weather:
+  humidity: 97
+  illuminance: 0.0
+  precipitations: true
+  pressure: 1011.8
+  source:
+  - open-meteo
+  temperature: 8.4
+  wind_direction: 247
+  wind_speed: 25.0
+---
+
+_Suite à une discussion récente [ici-même](https://linuxfr.org/forums/general-hors-sujets/posts/les-geeks-et-les-reseaux-sociaux), j'ai décidé de tenter le coup et de vous proposer un article initialement [publié sur mon site](https://www.athaliasoft.com/test-du-framework-front-end-semantic-ui).
+J'accueille avec grand plaisir vos remarques afin d'améliorer ce journal et les suivants._
+
+> Dans le domaine des frameworks front-end, il n'y a pas que Bootstrap.
+> Il y a aussi Semantic UI, qui, comme son nom l'indique, cherche à se différencier par sa syntaxe moins programmatique, plus naturelle.
+> Malgré une version 2.1 très réussie, il reste toutefois quelques écueils.
+
+Parmi les frameworks front-end, on connait surtout [Bootstrap](http://getbootstrap.com/) (notamment parce que ce sont les gars de chez twitter/github qui l'ont fait, le framework bénéficie donc d'une bonne image de marque).
+Il y en a [bien d'autres](https://usablica.github.io/front-end-frameworks/compare.html), et j'ai décidé de jeter mon dévolu sur [Semantic UI](http://semantic-ui.com/) pour une raison toute personnelle: l'esthétique des contrôle me plaît mieux qu'un autre grand framework: [Foundation](http://foundation.zurb.com/).
+
+![Semantic UI](images/semantic-ui-buttons.jpeg "Source : https://www.athaliasoft.com/images/post/d7bf8d87e9ae66f28ed6197b8fece94f/semantic-ui-buttons.jpeg")
+
+Le parti pris par Semantic UI m'a quelque destabilisé.
+En effet, les noms des classes CSS ont une cohérence linguistique.
+Par exemple, une image floatée à droite se verra attribuer les classes ```ui floated right image```.
+
+Quand j'ai commencé à développer avec Bootstrap, ce qui m'a le plus contrarié est de devoir garder la documentation à portée de main: impossible de me rappeler de toutes les possibilités et leur syntaxe.
+Finalement, j'ai accepté que c'était indispensable.
+J'ai eu le même cas en développant en back-end avec [CakePHP](http://cakephp.org/) puis [Laravel](https://laravel.com/): la documentation doit toujours être à portée de main pour pouvoir s'y référer rapidement.
+C'est chiant, mais on s'y fait.
+
+C'est exactement la même chose avec Semantic UI: bien que la syntaxe ait une cohérence linguistique, il faut tout de même utiliser constamment la documentation pour se rappeler de l'ordre des classes (qui semble avoir une importance, je n'ai pas vérifié pour confirmer) ou, surtout, la structure HTML des contrôles.
+
+Car c'est à mon avis là que réside le principal problème de Semantic UI: le markup.
+Dans la documentation, ils ont la fâcheuse tendance, comme beaucoup d'outils modernes, à détourner certaines balises HTML de leur utilité initiale.
+C'est notamment le cas de la balise ```<i></i>```.
+D'après [la documentation du W3C](https://www.w3.org/TR/html51/semantics.html#the-i-element):
+
+> The i element represents a span of text in an alternate voice or mood, or otherwise offset from the normal prose in a manner indicating a different quality of text, such as a taxonomic designation, a technical term, an idiomatic phrase from another language, transliteration, a thought, or a ship name in Western texts.
+
+La documentation fournit par ailleurs les exemples suivants qui montrent bien l'utilisation attendue de la balise:
+
+```
+<p>The <i class="taxonomy">Felis silvestris catus</i> is cute.</p>
+<p>The term <i>prose content</i> is defined above.</p>
+<p>There is a certain <i lang="fr">je ne sais quoi</i> in the air.</p>
+```
+
+Semantic UI (et d'autres, Bootstrap et [Font-awesome](http://fontawesome.io/) me venant à l'esprit) réutilisent cette balise pour insérer des icônes.
+
+C'est d'autant plus dommageable pour Semantic UI puisque contrairement à Bootstrap ou Font Awesome, [il n'est pas possible](https://github.com/Semantic-Org/Semantic-UI/blob/master/src/definitions/elements/icon.less) d'utiliser une balise ```<span></span>``` à la place.
+Utiliser la balise ```<i></i>``` dans la documentation des frameworks peut être considéré pour ainsi dire comme un abus de langage.
+Surtout que la balise ```<span></span>``` [n'a aucune signification particulière dans le markup](https://www.w3.org/TR/html51/semantics.html#the-span-element), il est donc plus cohérent de l'utiliser selon moi.
+De même, la documentation met en avant des listes structurées avec des balises ```<div></div>``` au lieu de balises ```<ul></ul>``` ou ```<ol></ol>```.
+
+On m'objectera bien sûr, avec raison, qu'on peut toujours modifier le code source pour résoudre le problème des icônes.
+
+Mais Semantic UI est truffé de qualités qui minimisent ce défaut syntaxique.
+Je ne suis pas encore allé jusqu'à fouiller les sources pour découvrir avec précision toutes les subtilités du framework qui n'apparaissent pas dans la documentation, mais mon tour d'horizon m'a déjà permis de voir ce qu'il était possible de faire, et surtout de comparer avec Bootstrap.
+
+Je l'ai dis plus haut, ce que j'apprécie avec Semantic UI, c'est [l'esthétique des contrôles](http://semantic-ui.com/examples/theming.html).
+Aujourd'hui, il faut reconnaître que Bootstrap [s'est pris un petit coup de vieux](https://web.archive.org/web/20160302122238/http://getbootstrap.com/examples/theme/).
+Certes, on est dans l'attente d'[une nouvelle version majeure](http://blog.getbootstrap.com/2015/08/19/bootstrap-4-alpha/) (la 4.0), mais ce passage ne s'accompagnera pas de réelles nouveautés sur le plan esthétique (du moins, pas avec le thème de base).
+Je ne vais pas me lancer dans un comparatif des deux frameworks, mais je vais évoquer quelques différences qui m'ont semblé importantes ou intéressantes.
+
+Je considère que l'utilité d'un framework (qu'il soit front-end ou back-end) est d'apporter un maximum de choses, et réduire au minimum le travail du développeur.
+Par conséquent, j'apprécie par exemple que Semantic UI fournisse un jeu de couleurs largement étendu par rapport à celui de Bootstrap.
+Avec ce dernier, il faut se contenter de cinq couleurs de base, alors que Semantic UI fourni une palette de treize couleurs.
+C'est probablement peu de chose, mais pour un développeur comme moi, qui préfère le code back-end que front-end, et qui n'a pas l'âme d'un artiste, c'est plutôt intéressant.
+
+Sur un tout autre sujet, j'apprécie la possibilité qu'offre Semantic UI d'avoir des menus déroulants sur plusieurs niveaux, ou encore la quantité de composants fournis (notamment le [dropdown](http://semantic-ui.com/modules/dropdown.html), [les tooltips qui peuvent contenir du code HTML](http://semantic-ui.com/modules/popup.html), [les étapes d'assistant](http://semantic-ui.com/elements/step.html), [les drapeaux](http://semantic-ui.com/elements/flag.html), etc.).
+Par ailleurs, certains choix techniques (par exemple, les sous-menus s'ouvrent sans clic sur l'élément parent) offrent une sensation de fluidité, de légèreté et de réactivité bienvenues.
+
+Je relativise cependant certaines fonctionnalités présentes dans le framework.
+Par exemple, l'intégration des drapeaux de [famfamfam](https://web.archive.org/web/20160304091840/http://famfamfam.com/lab/icons/flags/) est une bonne chose, parce que ces drapeaux changent extrêmement rarement.
+Par contre, l'intégration de Font Awesome est une moins bonne chose parce qu'actuellement, c'est la version 4.3 qui est intégrée, alors que la dernière en date est la 4.5.
+Il faut donc soit se contenter des icônes et fonctionnalités de la 4.3, soit charger à part la 4.5 et se passer de l'intégration avec Semantic UI.
+
+Ces petits défauts ne sont pas insurmontables, mais ils me laissent un petit goût d'inachevé.
+Encore une fois, il est tout à fait possible de corriger soi-même ces problèmes, ou peut être qu'ils le seront dans une prochaine version.
+
+Quoiqu'il en soit, je vais délaisser Bootstrap pour Semantic UI pour certains de mes nouveaux projets, parce que ce framework mérite toute notre attention.
+Il n'a peut être pas l'aura de Bootstrap ni même de Foundation, mais il a des qualités techniques indéniables qui, en sa version actuelle (2.1), laissent présager le meilleur pour l'avenir.