Ergonomie, Rails et Architecture de l'information web (2.0)

Bonsoir à toutes et à tous,
Nous ne désirons pas vous spamer ou vous inonder de communiqués de presse mais il nous a semblé plus qu’évident que vous deviez avoir l’information en primeur… N’hésitez pas à me dire si vous ne souhaitez plus recevoir d’information sur chut chut pas de marque et je suis à votre disposition pour vous mettre en contact avec les fondateurs…

Suit un communiqué de presse non sollicité présentant de manière stéréotypée et insipide à souhait un quelconque service web comme il s’en ouvre des dizaines ces dernières semaines.

Évidemment qu’il ne s’agit pas de spam, pas plus qu’il ne s’agit d’un communiqué de presse ; c’est tout simplement un scoop sensationnel que l’auteur de ce mail m’adresse en exclusivité – ainsi qu’à un bon paquet d’autres blogueurs mis en copie carbone comme en atteste l’absence de mon adresse courriel dans le champ to de cet envoi non sollicité.

Ce qui aurait pu passer pour une bévue il y a encore trois ou quatre ans de la part d’une agence de relations publiques relève aujourd’hui de la connerie pure et simple au vu des nombreux précédents qui ont fait couler un paquet d’encre virtuelle ces dernières années. Il existe encore des agences qui imaginent les blogueurs tout juste bons à complaisamment relayer leurs envois massifs et pas sollicités pour deux sous sans la moindre réaction négative. Il en est visiblement des bons usages dans les boites de RP comme des standards du web chez les développeurs et les intégrateurs : on s’imagine qu’à force de coups sur les doigts, les bases sont acquises, et dès qu’on relève un peu la tête, on se rend compte que tout reste à faire.

Je ne donne généralement pas le nom des sociétés contre lesquelles je râle, je fais une exception pour cette fois. Il s’agit de Rescue Team Communications, à n’appeler qu’en dernier recours.

Je ne sais pas si c’est le printemps qui fait ça, ou simplement une conjoncture exceptionnellement favorable aux NTIC, mais je reçois quotidiennement quatre ou cinq “propositions de collaboration” de la part d’entreprises ou de SSII oeuvrant dans le nouveau web, comme elles aiment se définir.

Bien qu’actuellement en poste, j’aime bien recevoir ce genre de sollicitations : c’est bon pour l’ego, et, si ça se trouve, le job de ma vie va me tomber dessus, pouf, comme ça, sans prévenir. Malheureusement, tout n’est pas rose au pays du 2.0, et comme le montrent ces quelques chiffres pris sur les 20 dernières offres reçues :

• 15 admettent avoir trouvé mon profil sur ce blog mais 3 seulement affirment le lire régulièrement.
• 17 présentent plus de 5 fautes d’orthographe et de grammaire dans le corps du mail.
• 4 ont plus de 10 fautes de grammaire et d’orthographe.
• 11 oublient de me dire bonjour.
• 2 omettent de mettre un sujet à leur mail.
• 4 ont visiblement oublié qu’une phrase commençait par une majuscule et pouvait éventuellement contenir des signes de ponctuation.
• 9 font moins de 7 lignes signature comprise.
• 12 ne présentent pas leur société.
• 6 me disent travailler sur un projet faramineux qui va les emmener aux sommets du NASDAQ, mais une seule m’a vaguement dévoilé le sujet général du projet.
• 3 ont envoyé leur mail à eux même et à un certain “undisclosed recipients”.
• Une s’est prise une fin de non recevoir de ma part, et est tout de même revenue à la charge’
• Et j’en oublie certainement.

Que seraient des statistiques sans remarques ni interprétation ?

La première chose qui me vient à l’esprit est évidemment que ces gens là ont, pour la très grande majorité, appris le français sur Skyblog. Je sais bien que c’est un peu facile, mais cela pourrait expliquer pourquoi ils n’ont pas activé la correction orthographique de leur logiciel de courrier.

La seconde, qui pourrait expliquer pas mal de choses, est que, persuadés de devenir les futurs maîtres du monde, ils se permettent de prendre leurs futurs valets pour de la merde. Quand je vois l’attention que portent aujourd’hui les sociétés à la qualité orthographique et rédactionnelle des CV, je me dis que les offres d’emploi pourraient bien en faire autant.

Ma troisième pensée est quelque part un peu plus inquiétante. Il semblerait que la majorité des entreprises du web 2.0 amenées à me contacter aient été montées par des adolescents de 16 ans dans leur garage persuadés de se revendre quelques centaines de millions d’euros à Google dans quelques mois. Il risque d’y avoir des pleurs et des grincements de dents, sans compter une bulle 2.0 que je vois pointer à termes, encore que…

Et la quatrième va à I2BP. Vous avez un projet qui va révolutionner le web ? Vous pensez pouvoir faire fortune et voulez que nous collaborions ? Soit, mais dites m’en un peu plus alors. Si vous voulez que nous travaillions ensemble c’est que vous souhaitez nouer une relation de confiance avec moi. À vous de faire le premier pas pour que je vois qu’on peut vous faire confiance. Comme je le disais à un chef d’entreprise pas plus tard qu’aujourd’hui, je ne tiens pas à mettre le futur de ma famille entre les mains du premier abruti venu.

D’une manière plus générale, j’ai l’impression que les entrepreneurs 2.0 (en italique, pour ne pas choquer les entrepreneurs sérieux) confondent détente et je m’en foutisme, convivialité et impolitesse. Si vous souhaitez qu’on vous prenne au sérieux, et qu’on ne vous impute pas les erreurs de vos prédécesseurs, il serait bon, messieurs, que vous songiez à faire montre d’un peu de rigueur dans votre communication.

Sur ce, je vous laisse, j’ai des specs à terminer si je veux les rendre dans les temps.

À bon entendeur…

Je rentre à l’instant du tout premier Yulbiz Paris, excellente soirée passée à discuter autour d’un verre avec une ergonome, des entrepreneurs, un designer web2.0, une hôtesse de l’air, des experts en buzz marketing… Comme d’habitude, des discussions nombreuses et très instructives dont certaines devraient rapidement se concrétiser, stay tuned.

Une tradition venue du grand frère canadien veut que chaque participant à un Yulbiz réponde à une question en rapport avec l’événement ; les réponses sont ensuite collectées, puis publiées.

Ce soir, la question portait sur les grandes tendances du web pour les années à venir. Difficile d’y répondre vue la vitesse à laquelle les choses évoluent tant du côté des interfaces riches que de la géolocalisation, sans compter la perspective d’une “bulle 2.0” qui viendrait casser le dynamisme ambiant. J’ai fini par me prêter au jeu, et mes réponses portaient sur :

1. Mobilité.
2. Micropaiement.
3. Personnalisation.

Mobilité

Mobilité, comme web mobile et ubiquité, mais pas forcément tel qu’on l’imagine aujourd’hui. À mon sens la principale erreur qui empêche le web mobile de décoller vient du fait que l’on cherche à transposer sur des terminaux réduits disposant d’une bande passante ridicule un modèle qui prévu pour des écrans d’une résolution quatre fois supérieure et particulièrement gourmand dans les échanges client / serveur.

Micropaiement

Micropaiement, depuis que j’ai découvert à l’occasion d’un séminaire du W3C les usages pratiqués dans certains pays en voie de développement. Là bas, le téléphone mobile permet de régler ses impôts sans disposer d’un compte en banque. On devrait aussi voir fleurir des solutions de paiement sur le net destinées à des personnes ne disposant pas d’une carte de crédit ou ne souhaitant pas confier leur numéro de carte bancaire au web. Les français éprouvent encore beaucoup de réticences à payer en ligne, et il faudra probablement encore une génération pour que cette pratique se généralise.

Personnalisation

Personnalisation, parce que le médium électronique permet d’offrir à chacun ce dans quoi il se sentira le plus confortable, où qu’il soit. Cela rejoint la notion d’ubiquité dont je parlais plus haut. À l’inverse de Camus qui aimait se retrouver vraiment à l’étranger quand il quittait la France, il semble aujourd’hui que la tendance, tout en étant à l’exotisme, soit aussi de se retrouver chez soi où que l’on aille. À cela, ajoutons qu’en permettant à leurs utilisateurs de personnaliser leur produit de manière parfois amusante, les services recourant à ce genre de techniques jouent sur l’ego de l’utilisateur qui se sent par là même unique. Les jeux personnalisables du français Pictogames, ou de l’allemand Playmygame en sont deux exemples qui ne sont pas sans me rappeler les “livres dont vous êtes le héros” de mon enfance.
Je note au passage que cette tendance, si elle venait à se confirmer pourrait relancer la notion de valeur par la rareté au sein d’un média de masses et d’abondance, mais c’est une idée sur laquelle je ne développerai pas ce soir.

Et vous, quelles seront pour vous les grandes tendances des trois ans à venir ?

Jeudi 5 avril 2007, c’est la CSS Naked Day, une journée durant laquelle tous les heureux possesseurs d’un site web sont invités à retirer gentiment leur feuille de style.

Pourquoi se mettre tout nu ?

L’idée derrière les CSS naked days est de promouvoir les standards du web et l’utilisation d’un XHTML propre, correct sémantiquement, et accessible. Si vous arrivez à naviguer normalement sur ce site sans sa feuille de style (il faudrait que je mette un titre à ma section thématiques), c’est gagné.

[edit]
La journée finie, il était temps de me rhabiller.

Une fois n’est pas coutume, nous allons quitter le monde du web pour entrer dans les fonds d’investissement, l’humanitaire et les idées loufoques.

Si vous recherchez un fond d’investissement rentable – 7% par an nets d’impôt – et hors des sentiers battus, le ZOB est fait pour vous :

Le Zébu Overseas Board est une entreprise qui vous invite à investir dans un Zébu ou autre animal d’élevage à Madagascar. Ce Zébu sera cédé en location-vente à une famille qui pourra l’utiliser pour produire du lait, labourer sa terre, engendrer des veaux ou tirer une charrette et produire du fumier naturel.

Votre investissement vous donne droit à l’ouverture d’un P.E.Z (Plan Epargne Zébu ou Zolidarité). Vous serez le propriétaire de la bête et non pas son parrain !

Le paysan, au terme de deux ou trois années de remboursements mensuels, deviendra à son tour le propriétaire de l’animal. Votre capital sera alors réinvesti dans d’autres projets de développement agricole à Madagascar, sauf si vous souhaitez un remboursement en Ariary, la monnaie Malgache, avec intérêts, en vous rendant personnellement au siège social du Z.O.B muni de votre certificat de propriété original. Votre capital et intérêts seront disponibles pour remboursement après deux années, avec une limite de cinq ans à partir de la date de votre investissement.

Vous connaîtrez l’usage qui sera fait de votre Zébu, ainsi que l’adresse de sa famille d’accueil. Nous espérons que vous lui rendrez visite pour lui caresser le nez et vous enquérir de sa bonne santé.

Vous aurez aussi la possibilité de flatter la croupe de votre P.E.Z, contrairement à un quelconque « Plan Epargne Ecureuil », animal virtuel ne vous offrant que de maigres noisettes à toucher.

Un Zébu est aussi le cadeau idéal que vous pouvez offrir à vos amis les plus blasés. Même les êtres les plus dégénérés par la société de consommation et les plus renfrognés à l’égard du beau, du bien et de la nature verront leur visage s’éclairer à la pensée de posséder ce noble animal qui portera leur nom.

Les souscriptions sont ouvertes à des tarifs plutôt intéressants :

• Cochon / Truie : 100 €
• Zébu : 300 €
• Métisse : 600 €
• Vache laitière : 1200 €

Là où l’idée est géniale, c’est que votre seule manière de récupérer votre argent est de vous rendre sur place, et votre seule manière d’en profiter est de le dépenser durant votre voyage afin découvrir le pays et de faire tourner l’économie locale.

Non seulement vous participez à un projet humanitaire, mais en plus imaginez la classe quand vous raconterez à vos proche que vous êtes l’heureux propriétaire d’un zébu nommé Albert à Madagascar – ou d’un cochon nommé Napoléon puisqu’en France c’est interdit par le code civil. Mon cousin Maïeul ne s’en prive d’ailleurs pas aux repas de famille, et il n’aurait pas investi là dedans, j’aurais certainement cru à une blague.

Quant à moi, je m’en vais de ce pas acheter mon Zébu. Et pour célébrer les vertus de persévérance, de solidité et de fiabilité de la bête, je l’appellerai Typhon, en référence à un certain hébergeur présentant exactement les qualités.

Je ne vais pas tarder à remplacer mon Nokia 6230 qui arrive doucement en fin de vie, et je ne suis pas vraiment à la page niveau téléphones mobiles.

Idéalement, je voudrais un smartphone me permettant de faire tourner un Opéra Mini pour le développement web, et si possible du wifi, afin de ne pas exploser mon forfait chaque fois que je teste un site. Pas besoin d’un appareil photo, ni de baladeur MP3, en revanche, un clavier pour l’envoi de mails et une bonne cohabitation avec mon Mac seraient un plus appréciable. Ah, et évidemment, il faut qu’il puisse téléphoner sur le réseau GSM français, ce qui exclut de facto le Nokia N800.

Alors, des conseils, des retours d’expérience ou des idées ?

Dans les années 90, toute bonne attaque d’ingénierie sociale ne pouvait se passer d’une bonne séance de trashing. Cette visite méticuleuse – et même pas illégale – des poubelles de la future victime offrait une moisson gratuite et considérable de renseignements utiles voire confidentiels. Vous n’imaginez pas tout ce qu’on peut trouver dans une corbeille à papiers entre un trognon de pommes et un vieux chewing gum, au mépris de toutes les règles de sécurité des entreprises.

Mac OS X permet un peu le même genre de pratiques, comme j’ai pu m’en rendre compte ce matin.

Branchez une clé USB ou un disque dur externe sur un mac, effacez-en quelques fichiers, démontez, puis branchez-le sur une autre machine, un mac de préférence, et ouvrez la corbeille. Oh, miracle, tous les fichiers effacés sur la machine précédente sont là, prêts à être restaurés. OS X crée en fait une corbeille par système de fichier, et non par machine. Cela engendre deux problèmes :

• Effacer le contenu d’un système de fichiers mobile ne permet pas d’en récupérer l’espace sans un vidage préalable de la corbeille globale du système (pratique).
• Des documents sensibles ou confidentiels peuvent se promener dehors à l’insu du plein gré de leur propriétaire.

Je ne sais pas si c’est le cas sous d’autres plates-formes, mais l’exploitation de ce genre de choses peut être assez amusante. La solution : transférez vos données sur des supports cryptés, ne faites pas confiance aux ordinateurs pour garantir la confidentialité de vos documents, et d’une manière générale, ne faites confiance à personne agent Scully.

À l’époque lointaine où je finançais mes études en enseignant la sécurité informatique, je débutais chaque formation en en rappelant les enjeux trop souvent ignorés ou oubliés des stagiaires le plus souvent envoyés à leur corps défendant par leur DSI soucieuse de dépenser son budget formations jusqu’au dernier sou de peur de ne pas le voir renouvelé l’année suivante : confidentialité, intégrité et disponibilité des données.

Disponibilité des données

Il s’agit souvent de l’enjeu à coté duquel on passe le plus malgré sa criticité, tant il semble évident. Dans un monde dans lequel l’information est décentralisée et dématérialisée, la disponibilité de cette dernière représente une contrainte globale souvent dépendant d’un grand nombre de facteurs incontrôlables : état des connexions menant à l’information, bon fonctionnement matériel, logiciel et des infrastructures… On y pense jamais, mais c’est fou comme un tremblement de terre, un arbre qui tombe au mauvais endroit ou un bête coup de cisailles sur un cable peuvent mettre en péril tous nos systèmes d’information.

Intégrité des données

Là encore, un enjeu stratégique par bien des aspects : intégrité à la réception, mais aussi exactitude des données envoyées. Histoire de s’en rendre compte, il suffit de se poser trois petites questions :

1. Que se passe-t-il quand le destinataire reçoit des fichiers corrompus durant le transport ?
2. Que se passe-t-il quand une personne mal intentionnée supprime tout ou partie des données ?
3. Que se passe-t-il quand une personne mal intentionnée modifie les données de manière imperceptible à la source ?

Il existe évidemment des réponses simples à ces trois questions qui feront certainement l’objet d’un billet à venir. Ce qui l’est moins est généralement de faire prendre conscience de l’importance de ces enjeux à vos interlocuteurs.

Confidentialité des données

Sans doutes le plus vaste et le moins bien cerné des trois domaines, parce qu’il implique tout et son contraire, probablement parce que la notion de confidentialité est relative.

Dans le temps, d’abord. Ainsi, quand nous abordions la cryptographie, on me demandait quasi systématiquement quel était “le meilleur cryptage” disponible. Je répondais toujours la même chose : il n’existe pas de solution de cryptographie parfaite, mais juste de bonnes solutions. Une bonne solution est un système qui résiste jusqu’à ce que les données à protéger cessent d’être confidentielles.

En fonction des données ensuite : s’il est bon de laisser filtrer le moins d’informations possibles, il faut peser soigneusement la manière dont on les protège, en fonction de leur valeur, afin de ne pas donner trop d’informations sur la valeur des données contenues dans les systèmes d’informations. On n’entoure pas une maison vide d’un système de surveillance ultra moderne avec mirador, protections électroniques et chiens tueurs. Si la maison contient des toiles de maître, on prendra en revanche soin de les placer dans un endroit inaccessible, par exemple un coffre. Il en va de même avec les systèmes d’informations.

Deux exemples parfait de ce qu’il ne faut pas faire

Un vieux…

Dans les années 90, France Télécom Câble gérait ses classes d’adresses IP de manière un peu curieuse, et pour ainsi dire quelque peu anarchique. Les adresses étaient attribuées aux utilisateurs par DHCP sans vérifier le nombre d’adresses utilisées par un abonné, ni comment ces adresses étaient attribuées.

Cela entraînait des choses plutôt drôles (ou pas) :

• Pénurie d’adresses dans toute la France dès 17 heures.
• Possibilité de piquer des adresses IP déjà attribuées, avec les conflits que l’on imagine.

Mais le plus drôle, je crois, était la possibilité de voir tous ses voisins de hub à l’aide d’un simple sniffer. Bonjour la confidentialité des données, et encore ne parlait-on pas encore à l’époque d’attaque “Monkey In The Middle”.

… et un beaucoup plus récent

Le message suivant est passé avant-hier sur les groupes de discussion consacrés à la Dedibox dont j’ai déjà parlé ici.

Salut,

Peut etre deja debattu, mais rien vu a ce sujet, est-il prevu de mettre en oeuvre la gestion des tables arp en static sur les differents equipements de l’archi ?? En effet je suis tres sceptique sur la confidentialité des infos transmises entre un Dedi et un utilisateur.

Un simple test de MITM en ARP poisoning via ettercap par exemple permet de voir que la totalité du traffic des dedibox de votre subnet.

http, https, ftp, imap, pop, etc… et ssh < 2.00 inclus ;)

Des idées coté serveur pour contrer les curieux ?

Antoine.

Ce monsieur veut dire qu’il est possible, à une personne malintentionnée d’usurper l’identité d’un des équipements du réseau et ainsi de capter le trafic de ses voisins. L’opération ne nécessite pas vraiment de connaissances techniques en dehors de quelques commandes UNIX de base, d’un outil bien pratique généreusement indiqué dans le corps du message, et d’un cerveau pour en lire le manuel. Je n’avais pas fait le test, mais dans un sens, cela ne m’étonne pas vraiment.

La possibilité d’une telle attaque implique l’échec des trois enjeux évoqués plus haut :

• Les risques de rupture de la confidentialité de données sensibles sont très largement augmentés, qu’il s’agisse du contenu de courriers électroniques sensibles mais non chiffrés, ou de mots de passe de comptes utilisateurs utilisant les mêmes couples identifiants pour les protocoles en clair et chiffrés.
• Un risque de rupture de l’intégrité des données interceptées avant qu’elles ne parviennent à leur destinataire légitime.
• Un risque d’interruption de service pur et simple pour l’ensemble des machines se trouvant sur ce sous réseau.

Et j’en oublie certainement.

Conclusion

Une certaine prudence voudrait qu’on ne diffuse pas ce genre d’information sur le web avant que le problème n’ait été corrigé par les administrateurs de la plate-forme, surtout en y mettant un lien vers les outils permettant d’exploiter la faille.

On peut cependant se poser la question de la responsabilité dans cette histoire :

• Peut-on exiger d’un hébergeur ultra low cost comme Dedibox une sécurité optimale, ou même convenable de ses infrastructures ? Certainement, cependant le coût du matériel nécessaire à un tel renforcement risque fort d’impacterles tarifs de l’offre.
• D’un autre côté, l’administration d’un serveur est un travail de professionnel, et n’importe qui ne devrait pas s’y risquer sans de bonnes connaissances en administration système et une notion globale des enjeux qu’implique une présence constante sur Internet. À moins de vouloir devenir la prochaine usine à spam, évidemment.

Parce qu’un peu d’auto promotion ne fait pas de mal, un billet qui ne traitera ni de près ni de loin des standards, de l’ergonomie et du web 2.0.

J’ai commencé il y a quelques temps un projet de photos de l’ensemble des églises de la capitale. Il s’agit évidemment d’un projet de très longue haleine, entre le nombre incroyablement élevé d’édifices religieux que compte la plus belle ville du monde (ceci dit en toute objectivité), et le peu de temps que mon travail, mes projets et ma famille me laissent pour le réaliser, mais j’avance.

Après plusieurs mois sans pouvoir sortir, j’ai fait d’une pierre deux coups hier avec l’église Saint Médard, construite entre le XVème et le XVIIIème siècle, et l’église romane de Saint Julien le Pauvre qui est la plus ancienne de Paris. Dédiée au culte grec melchitec, cette dernière est particulièrement remarquable pour sa superbe iconostase. Le visiteur curieux pourra ensuite traverser la rue et se rendre à Saint Séverin, ma favorite dont je vous propose par ailleurs deux clichés pris hier soir.

Le choeur de Saint Séverin

Saint Séverin, l’allée latérale droite vers le fond

Veuillez nous excuser pour cette interruption de service. Ce blog va maintenant reprendre le cours normal de ses activités.

Histoire de fêter l’avancement de mon projet et un week-end bien mérité, je partage ce gag trouvé dans le courrier des lecteurs du très sérieux magazine Famille Chrétienne :

Le site www.catholiens.fr que nous avons cité dans notre numéro de la semaine dernière, p. 74 est en réalité une parodie (renvoyant notamment à des sites pornos) du vrai site chrétien (d’origine belge) www.catholiens.org.
Avec nos vives excuses aux internautes qui auraient été piégés.

Je ne devrais pas trouver ça drôle – en fait je trouve ça aussi honteux que stupide en pensant aux enfants qui pourraient tomber dessus – et pourtant Dieu sait que ça m’a fait rire.