This is probably un-doable and/or unsecure as hell. But if it works, it could be a sweet way to deal with the "no self-signed certs" rule on the Free Social Web.

The big picture

Every instance publishes her own certificate (self-signed or not) in a special place, referenced from .well-known. Servers discovers (but don't validate, more on that later) certificates from one another as messages go between them (probably in the same time they discover themselves through webfinger).

If they feel it's adequate - and verified and so on - server admins can chose to review and re-publish remote certs as being "verified". Users will then have access to a page showing every cert "trusted" by their Friendica's host, maybe with some information about it (expiration date, maybe a trick - https-hosted picture? - to show if it's already verified by the browser or not, etc.).
That way, people who can trust (for they already added its cert) ServerA might be able to see (and add) cert from ServerB, who AdminA chose to trust. If cert is "natively" (because CA is already present on the browser, for instance), the user won't even have to bother.

The details

There's obviously devil in there. First of all, it doesn't address the SNI problem : there's still no way to efficiently Virtual Host with such setting.

Then does trusting an admin to host our private date mean we trust him to have sane judgement on certs validity? This is mitigated by the fact users would have to add the certificates themselves, but presenting them to a suspect cert could be problematic.

Next?

What to do with that? Is this complete rubbish, or is there something to salvage from that short thought?

(Modeste) conseil à l'industrie culturelle

Le buzz du moment, c'est cette lettre ouverte des ayants-droit aux décideurs. Le document ne manque pas d'air, et à déjà été commenté dans tous les sens. Je laisse donc aux gens compétents la responsabilité d'une analyse exhaustive.

En revanche, j'aimerais ici leur répondre sur un point de détail, minime. Messieurs, mesdames. Votre proposition numéro 3 me chipote. Si vous êtes capables de vous grouper pour (essayer de) faire plier les "décideurs français", ne pourriez-vous pas vous grouper de la même manière pour faire plier les "groupes médias possédant plusieurs chaînes de télévision" ? Et pire, ne devriez-vous pas commencer par là, avant de réclamer du réglementaire?

Disons que vous seriez davantage crédibles là-dessus si le monde de la culture (dans son ensemble) ne déplorait régulièrement l'ambiance "ultra-libérale" qui règne en France actuellement.

permalink: http://dustinthe.net/?p=259

Firefox on lower-end Android phones

Mozilla offers his mobile browser - codenamed Fennec - to the Android platform for quite some time now. And it's pretty convenient : through the use of Mozilla Sync - formerly known as Weave - you could access your desktop's history from your phone. Quite handy.

But only for those of us who own higher-end phones. Specifically those running on ARMv7 hardware. A lot of lower-end phones - not to mention mine, Geeksphone Zero - sport an older revision of the ARM CPUs : ARMv6. For most Android apps, there's no difference, since they're provided as Dalvik bytecode.

Now enters some software engineering tricks like Just-in-time compilers. Those things are really good at getting code to run faster : they transform higher-lever code to native code on the go, opening to way to near-native speeds. But apps using these kind of trick - and Mozilla does for its Javascript engine - now depend on the hardware architecture. And thus Mozilla had to provide separate builds for ARMv6 and ARMv7, and the former have been failing so much they didn't even bothered to build them.

But there is hope again. As stated on the related https://bugzilla.mozilla.org/show_bug.cgi?id=697205

 

 

permalink: http://dustinthe.net/?p=253

Aventurez-vous donc, pour voir, à la souhaiter bonne, cette année 2012 ! Franchement. Y’a pas de quoi rire. On va se faire dégrader la note. La SNCF augmente ses tarifs. Les taxis conservent leur signalisation imbitable. On entre en récession. Nicolas Sarkozy va être réélu. Ou François Hollande élu. Il faut être sérieusement barré pour s’aventurer benoîtement à la souhaiter belle et heureuse, la nouvelle année ! Ou alors on le fera à voix douce, dans la sobriété qui sied à ceux qui sont marqués par l’épreuve, ma bonne dame. De fait, nos guillerets compatriotes décrochent la palme du pessimisme, contrairement aux Irakiens et les Nigérians qui, certes, ne peuvent qu’espérer mieux.

Alors, une fois remis de vos agapes, lisez-moi donc l’incontournable opuscule ci-contre. D’autant qu’il parle de moi, j’en suis certain, à en juger par le nombre de fois où je me suis dit : « c’est tout moi, ça ! ».

Rangez donc vos idées sur l’optimiste version Candide (celui de Voltaire). Optimiste ne signifie ni béat, ni benêt. Pour dépeindre l’optimiste, Philippe Gabilliet cite notamment le psychiatre Christophe André, pour lequel être optimiste conduit toujours « à supposer, face à l’incertain, qu’il existe une issue favorable, et se donner le droit d’agir pour la favoriser ».

L’optimiste, écrit-il, fait quatre paris : sur la force de la volonté, sur l’existence d’une solution, sur la ressource positive, et sur l’action opportune. L’optimisme, c’est « être conscient des limites, des carences, des faiblesses du monde, mais refuser catégoriquement de s’arrêter dessus », c’est « croire qu’on a toujours une marge de manoeuvre positive, qu’on a toujours le choix ».

Et Philippe Gabilliet note que l’évolution du monde est le fait des optimistes.

« L’anticipation positive est à la base de la dynamique de l’évolution et de toute civilisation. Planter au printemps pour récolter à l’automne est un signe culturel d’optimisme, tout comme attaquer un mammouth au javelot, entreprendre la construction d’une cathédrale en sachant qu’elle ne sera peut-être terminée qu’un siècle plus tard ou s’accorder – tel Kennedy – moins de dix pour envoyer un homme marcher sur la Lune »

A l’image de René Rémond, « je suis prêt de penser que le nombre de la réalité n’est pas le duel mais le pluriel ». J’en suis même convaincu. Philippe Gabilliet a l’avantage de cerner la réalité d’un trait de caractère, ou d’une disposition d’esprit, sans considérer l’optimisme sous une forme absolue.

Il y a ainsi – c’est ce qu’évoque un psychologue américain, Christophe Peterson – un grand et un petit optimisme. Vous me direz que ça fait deux, mais passons. Le grand optimisme est ancré dans la personnalité profonde d’un individu, tandis que tout un chacun est susceptible de faire preuve d’un petit optimisme face, cette fois, à un évènement spécifique.

A titre d’exemple, il faut distinguer deux types d’optimisme, et la façon de les mettre en relation : l’optimisme de but et l’optimisme de chemin (cf. p.46).

On reproche en effet souvent aux optimistes de refuser de voir les obstacles. Les pessimistes, qui se prévaudront de la lucidité, déclareront que les optimistes « foncent dans le mur en klaxonnant ». C’est le cas de ceux qui cumuleraient optimisme de but (on va y arriver) et optimisme de chemin (et en plus ça va être du gâteau). Mais songez à ce que donne l’addition d’un pessimisme de but (on n’y arrivera pas) et d’un pessimisme de chemin (et en plus on va morfler). Bref, l’attitude adaptée est celle du « pessimisme défensif » ou « optimisme paradoxal » (ou encore « optimisme pragmatique » voire « optimisme flexible ») : on anticipe les difficultés, mais on garde foi dans le but.

Et Philippe Gabilliet décline aussi les avantages et les inconvénients respectifs de l’optimisme et du pessimisme. En quatre chapitres, il démontre pourquoi les optimistes sont en meilleure santé, ont beaucoup d’amis, ont plus de chance que les autres et sont aimés des entreprises. Pas moins.

En passant, songez-y,

« On critique les optimistes mais on recherche leur compagnie. On écoute attentivement les analyses tellement pertinentes des pessimistes, mais c’est l’optimiste que l’on invite en priorité pour un dîner entre amis, ou pour un tête-à-tête romantique »

Et, citant le philosophe Alain, l’auteur souligne que le grand pouvoir de l’optimiste, c’est « qu’il nous fait penser au printemps ».

En somme, le pessimiste ne se désignera pas comme tel (mais j’ai des noms). Il aime à se dépeindre en réaliste : il est en fait un inhibiteur d’action. Christophe André note que « est pessimiste celui qui, face à une incertitude, a tendance à préférer une certitude négative ».

L’optimiste, lui, façonne son monde. S’il a plus de chance que les autres, c’est parce qu’il est en mesure de percevoir, dans un évènement nouveau, une opportunité susceptible de lui être favorable. Et parce qu’en cas d’échec, il ne développera pas la tendance du pessimiste à « universaliser » cet échec mais, au contraire, à en relativiser la portée pour recommencer.

Eloge de l’optimisme fourmille de d’analyses et de distinction pour mettre en lumière des attitudes que nous connaissons tous, que nous rencontrons tous, et qui permettent de distinguer l’un et l’autre. Ainsi de la façon de répondre à cette question : « qu’est-ce qu’une bonne décision ? »

« Pour certains, une bonne décision est avant tout une décision qui a été soigneusement préparée. Ce qui fait la qualité d’une telle décision est donc déterminée par ce que l’on fait AVANT de la prendre. (…)
Pour l’optimiste, la question se pose en fait en des termes tout à fait différents. Il veut lui aussi prendre la meilleure décision possible. Il est lui aussi conscient (tout comme le pessimiste) qu’il existe sûrement plein de bonnes raisons de ne pas faire, de ne pas se lancer, de ne pas se risquer, etc. Mais il va pourtant décider de le faire. Pourquoi ? Parce que pour l’optimiste, la qualité d’une décision ne se construit jamais avant qu’on la prenne. C’est même tout le contraire.

En effet, dans la « vrai vie », nous n’avons presque jamais le temps nécessaire pour laisser mûrir une décision. Des informations essentielles nous manqueront toujours; et nous vivons dans un monde mouvant qui continue de bouger pendant que nous pensons à notre décision.

Ainsi, pour l’optimiste, la « bonne décision » sera la décision qu’il va prendre (quelle qu’elle soit et qu’il fera tout, ensuite, pour rendre vraiment « bonne »). Car pour un optimiste, ce qui détermine la qualité d’une décision qu’il prend, c’est toujours ce qu’il va faire APRES l’avoir prise ! »

Ajoutez à cela que, de même que l’optimiste façonne le monde à son bénéfice, il façonne également son entourage.

Enclin à s’appuyer sur ses points forts (la force de la volonté et la ressource positive), il est naturellement disposé à les mettre en valeur chez les autres, ce qui se remarque notamment chez le manager. Et comme l’écrit l’auteur en fin de son ouvrage, « être optimiste, c’est croire en l’Autre. Être optimiste, c’est croire en celui que l’on croise. C’est croire en sa compétence, en ses possibilités, en son amitié, en son amour. Certes, il arrive que l’optimisme se trompe sur cette compétence, sur ces possibilités, sur cette amitié ou sur cet amour. Mais cela ne veut pas dire qu’il a eu tort d’y croire. Car refuser d’y croire, jouer d’entrée la carte du scepticisme et du pessimisme, aurait été beaucoup plus désespérant. La plupart des optimistes préfèrent vivre pleinement et se tromper totalement que de ne jamais faire d’erreur pour n’avoir que rarement parié ! ».

Revenons à nos voeux, puisque nous y sommes et que, si les développements qui précèdent n’ont pas déjà éveillé votre attention à cet égard, vous comprendrez que ce que Philippe Gabilliet développe dans on dernier chapitre, pour une société de l’optimisme, peut parfaitement s’appliquer à cette année-ci, avec son actualité économique et électorale. Jugez-en :

« Diriger en optimiste, sans doute est-ce avant tout cela :
1) Savoir regarder toute réalité, même la plus difficile, avec lucidité, mais en insistant toujours sur ce qui peut être entrepris, construit, tenté, espéré;

2) Savoir en toutes circonstances s’appuyer et capitaliser sur les forces et l’énergie vitale de ceux que l’on dirige;

3) Orienter ces forces et cette énergie vitale vers des projets enthousiasmants qui donnent à la collectivité la fierté de l’appartenance et le sentiment positif de grandir, même dans la difficulté. »

Puissent nos chers leaders s’en inspirer.

Pour ma part, laissez-moi vous présenter tous mes voeux pour 2012. Des voeux résolument optimistes pour chacun de nous, voeux pleins d’un flexible optimisme, voeux de blogueur. Et voeux professionnels, parce que c’est tout moi, ça : optimisme de but, réalisme de chemin…

« Le monde appartient aux optimistes. Les pessimistes ne sont que des spectateurs » (François Bizot) – et toc

Boogie Board RIP : some more experiments

Ok, so I tried some more things, and managed to get a picture directly from the USB port. Let's see!

First I dumped a whole lot of events from hidraw. In my case, I did it through

\[code\]sudo cat /dev/hidraw3 | hexdump > boogie.dat\[/code\]

Calling hexdump without arguments gives us an interesting display, with some lines being just '*'. But most interesting is that bytes have a more natural order. So I wrote a little Python script that takes the given dump, and tries to convert it to something "pretty".

It should be self explaining, and it's supposed to evolve. But if someone wants to try it, feel free.


[python]from PIL import Image
import sys

sx = 705
sy = 999

if len(sys.argv) < 2:
print "Usage: boogie.py [output filename]"
sys.exit(-1)

if len(sys.argv) == 3:
output = sys.argv
[2]else:
output = None

f = open(sys.argv[1],'r')
i = Image.new('P',(sx,sy))
mx = 0
my = 0
for l in f:
if l [0]!= '*':
try:
r = l.split(' ')[1:]
y,x = int(r[2],16), int(r[3],16)
except:
break
if x!=0 and y != 0:
if r [1]== '2101':
col = 255
elif r [1]== '2001':
col = 100
else:
col = 50
i.putpixel((sx - x/20,y/20),col)
if x > mx:
mx = x
if y > my:
my = y

if output:
i.save(output)
else:
i.show()[/python]


Use it with a "dump" as argument, and optionnaly an output filename. If no filename is given, the result will be shown (Windowing system needed, of course). The only dependency is PIL (python-imaging).

Image boundaries are somehow empiric. I tried to use different levels of gray for different kind of events : "real" touches are whitest, "close" touches are grey, and if there's anything else it should be an even darker shade of gray.

And here is an idea of the output. I know it's ugly, but the code has nothing to do with it.



permalink: http://dustinthe.net/?p=240

Boogie Board RIP & Linux, first steps

I quickly tested the new Boogie Board RIP tonight. It seems promising, though there's some rough edges.

For those who aren't really into hi-tech toys, this is a mix between Etch-a-Sketch and a computer. You can draw on it as you want, and then save your page as a vectorized PDF. Saved pages are able to be retrieved through a standard USB Mass Storage.

Windows users are, as usual, in for a treat : they have access to a dedicated application that allows them to interact with the computer in real time. As the board is plugged in, drawings will appear directly on the computer screen. Sadly - but some might have anticipated this - there's no such thing for us Linux users.

So, it's worth what it's worth, but here are my first findings on that subject. The device appears as an USB Mass Storage, but also as an HID. Here are my dmesg output after plugging the board in:

\[code\]usb 3-1: new full speed USB device using uhci_hcd and address 8
scsi14 : usb-storage 3-1:1.0
generic-usb 0003:2047:FFE7.000A: timeout initializing reports
generic-usb 0003:2047:FFE7.000A: hiddev0,hidraw3: USB HID v1.00 Device [Improv USB Device] on usb-0000:00:1a.0-1/input1
scsi 14:0:0:0: Direct-Access Improv Boogie Board Rip 0.60 PQ: 0 ANSI: 4
sd 14:0:0:0: Attached scsi generic sg8 type 0
\[/code\]

As I'm a perfect newbie in HID things, and since my Internet access doesn't allow me to installed big pieces of software - though I'm pretty sure a lot of USB debugging tools exist out there - I tried to understand that hidraw3 by myself.

I did it using 'cat /dev/hidraw3 | hexdump -C'. I had to run it as root, but it looks like it's normal (hidrawX devices aren't world-readable, for some reason).

What I got is a bunch of bytes. Almost all events (touching, moving, button pressing, etc.) appears as follows :

\[code\]
1b 0e 01 20 28 00 c0 1b 00 00 00 00 00 00 00 4d
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
\[/code\]

Some events (erasing) are a little more verbose, but that's all.

• Bytes 0 to 2 never change.
  
• Bytes 15 to 31 are always zero'ed.
  
• Byte 3 takes three different values :
  
  
  • 00 when the pen is far from the screen
    
  • 20 when the pen is almost against the screen (some  events are recorded without contact)
    
  • 21 when the pen touches the screen
  
  
  
• Byte 5 refer to Y coordinate, being 00 when touching the upmost border, 4d when all the way down.
  
• Byte 7 refer to X coordinate, 01 (sometimes 00) is full right, 36 is full left. I suspect coordinates are actually two-bytes (that would be little-endian, with bytes 4-5 for Y and 6-7 for X).
  
• Byte 8 seems to be related to the "Status" LED. It is 00 when off, and ff when lit.
  
• Byte 10 is usually 00, but turns into 02 when we press Save/Wake, and 04 when we press Erase.
  
• Byte 11 writes 04 when Status in on, 00 else.
  
• Byte 15 is the weirder. It looks like it's counting something, but I can't get what. It changes almost every event.

For now, this is all I can get. I'm sure it could be used somehow. For now, I'm more interested in actually using the BBR. If I could understand what kind of gestures gives us "ghost" lines, I'd be happy. Anyway, it has the potential to be a pretty good tool for sketching and taking small notes. At least when it makes sense to use on computer afterward, since there is no mechanism to recall a saved page on screen.

I really hope there's some firmware update planned.



permalink: http://dustinthe.net/?p=225

Diaspora et Friendica : commentaires sur les protocoles

Depuis quelques temps, le projet Friendica (anciennement Friendika, donc) dépense une énergie folle pour se rendre compatible avec le porte-étendard des réseaux sociaux acentrés libres : j'ai nommé Diaspora.

Quand je dis "le projet Friendica", je devrais plutôt dire son concepteur. Ce dernier progresse bien, mais il a récemment posté un témoignage assez éclairant sur le protocole employé par Diaspora. Avec sa permission, je me permets de poster ici ma modeste traduction. Pour le contexte, l'original est ici, et s'inscrit dans une conversation sur les actuelles limites de l'interopérabilité entre les deux réseaux.

Vous pourriez trouver cela amusant. Ou pas...

Il y a deux couches, dans le protocole Diaspora, qui valent le coup d'être mentionnées. Le transport "physique" est globalement du Salmon, un protocole connu. La charge utile, en revanche, est propriétaire.

Il y a plusieurs mois, j'ai mis en lumière le fait que la variante de Salmon utilisée par Diaspora était complètement déficiente, et ce de plusieurs manières. John Panzer et moi avons eu un grand moment de "mékeskifon?!" quand je lui ai montré leur œuvre. John Panzer est un ami, ainsi qu'un ancien collègue, et il a écrit le protocole Salmon.

Pour pouvoir recréer la signature [de manière compatible avec Diaspora, ndt], il faut connaître la longueur de ligne utilisée dans l'implémentation Ruby de base64, et insérer des fins de ligne aux endroits adéquats. Différents algorithmes de base64 implémentés sur différentes plateformes auront des longueurs de lignes différentes.

Les signatures "magiques" de Salmon ont été précisément conçues pour éviter ce problème. En fait, c'est même leur raison d'être, et c'est ce qui les rend "magiques"... elles permettent des signatures indépendantes de la plateforme.

La réponse de Diaspora (Ilya semble avoir été le "mec du protocole" dans l'équipe) a été de réparer la plupart des violations de protocole - seulement après que je leur ai indiquées et expliqué l'importance de suivre les spécifications à la lettre.

Quand leur proposition de correctif est sortie, il est apparu évident qu'Ilya ne maîtrisait pas vraiment les espaces de noms XML. Nous avons échangé quelques courriels, et j'ai pu lui suggérer une couche de transport qui ferait ce qu'il souhaitait sans pour autant violenter les espaces de noms. Il a suivi mes suggestions.

Aussi, pour l'instant, la couche de transport de Diaspora suit complètement ma spécification, après ingénierie inverse de l'horrible bordel qu'elle était initialement. Je trouve cela plutôt amusant.

L'autre couche correspond aux "vrais" messages, aussi appelés charge utile [payload, ndt]. C'est ce sur quoi je me suis battu ces derniers mois. Au lieu d'utiliser un truc classique à base d'Atom/ActivityStreams pour échanger de l'information, chaque type de données possède son propre format avec son propre algorithme pour calculer la validité de la signature. Collectées par Ruby, ce qui fait que même les développeurs ne savent pas exactement quelles données sont signées.

Mais quand on cherche fonctionner en mode "fédéré", on a besoin de savoir quelles données sont signées pour pouvoir les répliquer.

Personne n'a jamais documenté cela, parce que je présume que personne ne le comprend vraiment.

Ironie du sort, je suis probablement la personne vivante la plus au fait du protocole utilisé par Diaspora à l'heure actuelle, puisque j'en ai conçu la couche de transport. Et que j'ai eu à étudier dans le détail chaque type de message pour comprendre ce qui était réellement signé. (Aux débuts, tout cela était signé avec l'algorithme de hachage SHA-0, qui a été déclaré obsolète vers 1992/1993.) Avec le même OID ASN.1 que l'algorithme SHA-1. J'ai passé des semaines à essayer de comprendre ce qui se passait à coups d'ingénierie inverse sur les paquets signés. Et j'ai fini par comprendre qu'en fait, ils utilisaient juste le mauvais algorithme de hachage.

J'envisage sérieusement de documenter le protocole de Diaspora sous forme d'eBook payant, et de m'en servir pour financer le développement de Friendica.

permalink: http://dustinthe.net/?p=219

Friendi[kc]a et Wordpress

Pour son second changement de nom, Friendika (anciennement Mistpark) est devenu Friendica. En espérant que ça n'ait pas de conséquences négatives quant à sa popularité. Voire que ça en ait de positives.

Force est de constater, cependant, que l'ami Mike a eu le nez creux. Par rapport notamment au challenger Google , bien des choses étaient déjà présentes dans Friendi[kc]a ces derniers mois. S'il reste encore très choses agaçantes - en particulier avec les certificats auto-signés de certaines instances - l'ensemble est toujours aussi prometteur.

J'en profite pour tester dès maintenant deux extensions fort pratiques pour Wordpress (chercher "Friendika" dans l'installeur d'extensions). La première permet d'envoyer automatiquement un post Wordpress vers une instance de Friendi[kc]a. Elle nécessite malheureusement de lui fournir le mot de passe, mais gageons qu'une version compatible OAuth verra le jour.

La seconde, plus simple, permet d'afficher un widget "badge", avec avatar, nom et lien vers le profil. Sur ce site, vous pourrez le trouver dans le pied-de-page.


permalink: http://dustinthe.net/?p=213

Le numérique a fini par avoir la peau de la filière musicale, du moins de son organisation actuelle. L'annonce de la création d'un centre national de la musique, chargé d'investir dans la création musicale est le signe d'une reconfiguration complète. Le pouvoir politique vient de donner son aval au projet. L'étape majeure est franchie, les grosses entreprises privées (appelées Majors), sont contraintes, par leurs résultats financiers calamiteux depuis plus de 10 ans, de lâcher prise en partie. Désormais, le soutien aux petites boites indépendantes passera par un organisme public. Les répercussions sont potentiellement énormes.
Il reste encore à mettre en place la direction de cet organe, et savoir sous le contrôle de qui il sera placé. C'est en fait le seul point d'incertitude, mais il est de taille. La seule chance pour les majors de se rattraper, c'est d'en prendre le contrôle. La grande chance des consommateurs serait qu'ils n'en prennent pas le contrôle. Car si tel est le cas, l'industrie de la musique à la Pascal Nègre serait morte, et ce serait une très bonne nouvelle.
Jusqu'ici, la création musicale était assurée par des artistes. Cela ne changera pas. Ils étaient repérés par des petits producteurs indépendants, qui espéraient, en cas de réussite, revendre quelques uns de leurs "poulains" aux majors, ce qui assurait le train de vie de producteur et lui permettait de continuer à faire le métier qu'il aime. Les majors, une fois le repérage et le tri effectué, récupéraient les bons éléments et se chargaient du pressage des supports, du matraquage promotionnel et de l'exploitation des droits. Cela permettait de faire des affaires en or. La qualité des artistes proposés par les majors était très inégales, et on s'est tous fait refiler des daubes musicales. Je me rappelle des "compils", il y a 20 ans, où aux cotés de standards, qui motivaient l'achat, on trouvait des grosses bouses saturant l'espace médiatique et aujourd'hui heureusement oubliées.
Est arrivé le numérique, et Napster. Qu'est ce qu'on a pu se gaver (moi le premier). Une fois Napster fermé, on est passé sur le Peer-to-peer. Moi j'étais Kazaa. C'était il y a 10 ans. Tout le monde s'y est mis, car on n'avait pas le choix, il n'y avait pas "d'offre légale" digne de ce nom, c'est à dire facile d'utilisation, sans DRM et à un prix jugé correct par le consommateur. Pendant 10 ans, le milieu de l'industrie musicale a vu son modèle économique s'effondrer. Fini les ventes d'albums avec trois bons titres (qui tiraient les ventes) et le reste de médiocrité, voire nul. Pas possible d'acheter à l'unité, les 45 tours et CD deux titres étant à un prix prohibitif. Depuis 2000, la santé financière des majors de la musique a sombré, avec des dégâts irréversibles. L'ensemble du catalogue "ancien" est désormais dans la nature, chacun ayant récupéré sans discothèque idéale. Les CD des vieux chanteurs ne se vendent plus que sous forme promotionnelle, à moins de 10 euros. Le fond de catalogue n'a plus aucune valeur pour la vente, et reste seulement exploitable pour la diffusion radio, là où les SPRD se taillent la part du lion.
L'industrie a tenté de répondre. La chasse au piratage a été un échec complet. Son dernier avatar, Hadopi, n'a encore fait condamner personne, et si les choses évoluent, en mieux, je doute très fortement que ce soit l'effet hadopi. Ceux qui veulent toujours pirater se contentent de ne plus sur les réseaux de peer-to-peer. Une autre réponse a été de réduire les coûts, en virant les artistes les moins rentables, en créant de toute pièce les nouveaux artistes. Plus besoin de subventionner les petits producteurs qui font le répérage et leurs racheter les contrats. Il suffit de prendre quelques beaux gosses, de préférence avec quelques talents vocaux (mais c'est optionnel), de les enfermer dans un local rempli de caméras et de tourner. C'est l'effort des académies en tout genre, où la phase de formation, de repérage et de promotion commerciale sont compressées dans la même séquence. Quitte à faire de l'éphémère, si au passage on peut faire du cobranding avec la télévision et rendre rentable cette phase qui normalement, coute, c'est parfait. Là encore, cela n'a qu'imparfaitement réussi, car bien peu de ces produits de la téléréalité ont émergé durablement. En tout cas pas assez pour redonner une santé financière aux majors.
Logiquement, elles ont continué à compresser les coûts, en vampirisant la filière. Elles ont ramené à elle tous les financements possible et imaginable, asséchant en partie l'étage du dessous, celui des petits producteurs indépendants, ceux qui repèrent, couvent et forment les vrais artistes, ceux qui ont du talent. Or, cette couche a besoin de financement, car trouver un jeune et l'amener à maturité coute cher, avec beaucoup d'échecs pour quelques réussites. On ne sait pas ce qui va plaire au public, on ne sait pas comment va se comporter un jeune musicien, qui de talentueux peut se révéler finalement décevant. On a vite vu qu'il fallait investir davantage dans ce segment, vital pour l'ensemble de l'écosystème. Mais les majors ne pouvaient plus le faire. Ce constat, cela fait plusieurs années qu'on le fait, dès 2007, on en est conscient. Mais encore faut-il trouver les fonds et lever les blocages.
La solution, évoquée très tôt, a été la mise en place d'un financement mutualisé par les consommateurs, et notamment les internautes. Jusqu'ici, le consommateur ne payait que pour ce qu'il consommait, par l'achat d'un support. Les conditions matérielles empêchaient le consommateur de se soustraite au système, faisant de lui une vache à lait qui a permis au secteur de bien vivre. Mais voilà, ce consommateur a trouvé une faille, par internet, pour consommer sans payer. La faille étant techniquement incolmatable, il faut tirer un trait définitif sur l'ancien modèle où on ne paye que ce qu'on consomme. Ce basculement intellectuel demande du temps, tellement l'ancien modèle est ancré dans les esprits. Si on met en place un financement mutualisé, il ne peut se faire qu'à un seul point, celui de l'accès à internet. C'est le seul de point de passage obligé, où forcement, on paye. Rajouter une ligne de plus à la facture ne présente absolument aucune difficulté, la collecte est simple, puisqu'assurée par le FAI. Un taxe fixe sur tous les accès internet permet de toucher des millions, de manière d'autant plus indolore pour l'internaute que les prix de l'accès internet sont très bas en France.
Les majors ne voulaient pas de ce système, car cela revenait pour elle à reconnaitre la mort définitive du si rentable modèle économique qu'elles avaient développé, et qu'elles ne désespéraient pas de sauvegarder par des mesures répressives. Je pense que cet obstacle s'est émoussé grâce aux résultats d'hadopi, qui a finalement très bien rempli son rôle, celui de crash test de la politique de répression des usagers. Soit ça marche, et on sauve l'ancien modèle économique, soit ça ne marche pas et on prend acte que cette voie est définitivement sans issue, et on cherche autre chose. On est clairement sur la deuxième option, et tout le monde en convient, du moins en off. Le milieu de la musique, a bout de souffle financier a donc basculé bon gré mal gré vers un système de licence, mais qu'elle espère sous son contrôle. Cela n'a pas été simple, car qui dit système mutualisé dit organisme central chargé de la collecte et de la redistribution... Se pose donc un problème de redistribution des cartes du pouvoir au sein de la filière.
On est finalement assez facilement tombé d'accord sur le modèle. Le CNC a fait ses preuves, il n'y a qu'à décalquer. On va y apporter les différentes subventions dont bénéficie le milieu de la musique, et comme c'est un peu maigrichon, on va taxer les FAI, qui ne manqueront pas de répercuter. De fait, on arrive à une licence globale, organisée par la loi. Plusieurs points, liés entre eux, sont encore en suspens. D'abord, les internautes vont-ils accepter de payer ? Ce n'est pas le plus difficile, et je dirais que si les réponses en terme de gouvernance du CNM et d'affectation des fonds sont satisfaisantes, ce n'est même pas un problème. Si l'argent du CNM va réellement aux petits producteurs, ceux qui aident concrètement les vrais talents artistiques à émerger, si l'argent va réellement et directement à la vraie création, ça ne me dérange absolument pas de payer un surcoût sur mon accès internet, à la limite, j'en serais même heureux (donc disposé à accepter un prelèvement supérieur). Il n'y a qu'à voir le succès de ces plates formes où les internautes peuvent devenir producteurs en misant des petites sommes sur un jeune artiste en lequel ils croient ! Par contre, si cet argent est destiné à gonfler les profits d'Universal ou à alimenter les frais généraux de la SACEM, c'est hors de question !
C'est là que les politiques ont un rôle fondamental à jouer, en donnant gardant le contrôle du CNM et en l'orientant vers les lieux où se fait réellement la création, afin que les petits producteurs indépendants puisse faire leur travail de repérage et de formation, mais puissent aussi investir suffisamment longtemps sur un même artiste pour qu'il devienne "rentable" sans qu'on ait du, entre temps, le "vendre" à une major. Bien évidemment, les majors seront toujours là, il y aura toujours des rachats, notamment de catalogues. Mais si on maintient un dynamisme de la découverte et de la formation, on aura pleinement réussi et le consommateur acceptera de payer, car il n'est pas idiot. Il sait que s'il veut des "contenus" de qualité, cela demande de l'argent, et il faut bien que quelqu'un paye. Il sait aussi qu'in fine, c'est lui qui paye. Alors quitte à payer, autant que ce soit pour les artistes, et pas pour des industriels qui en regardent que leur profitabilité.

Here a few thoughts on what the SSL world is recently going through.

First, more and more people now admit the best solution to the SSL/TLS troubles would be to allow several CAs for a single certificate. That would both allow to mitigate CA failures (by allowing "fallback" authorities) and GPG/WoT schemes. Still it needs to change the way OpenSSL works (thought I've been told GNUTLS already has that kind of things).

But maybe, as someone recently said on friendika, all we need is a way to check a certificate hasn't changed over the time. Far from perfect - and not enough in each and every situation where SSL is needed - but still better than trusting CAs we know nothing about. One could do that by hand : check each "unknown" certificate Firefox warns about, and accept it (e.g. "add an exception").

Still, I usually prefer to use a bit of that whole X509 infrastructure : I tend to use self-signed CAs, instead of plain self-signed certs. People who want to trust my certs just have to add my CA (and it's usually quite simple and non-frightening in most desktop browsers).

I once tried a little something, that barely reached the "prototype" status : some simple hack around and IMG markup showing an SSL-protected content. If the cert protecting the content isn't recognized, the image won't show, and Javascript was able to detect that (or, even without JS, we would be able to see something hidden behind the image). And offer the user to install the CA.

There's a flaw in this, obviously : it needs people to trust the original (and non-SSL) website. But that's what more and more people are telling us about SSL : we don't just want someone to tell us who to trust. We just want to make sure nothing serious changes on sites we chosed to trust.

Maybe there's something to be found. Something that would use the strength of the free social web (Zot! someone?) and SSL to allow people to show their trust in many little autonomous CAs. I'm not sure what would be the safest scheme : we could either store CAs (or fingerprints) we trust in our LRDD - and then our "friends" could check new CAs against these - or distributedly tell them what CAs we trust.

What do you people think?