La Chine ratisse large

La Chine est la source de balayages sytématiques de ports, une méthode employée pour repérer les machines vulnérables et les utiliser à l'occasion. C'est ce que montre l'analyse des tentatives de connexion sur un serveur ordinaire. La méthode pour tirer cette information de données brutes est expliquée ici.

Mettre en ligne un serveur sur internet et examiner les journaux du pare-feu (le filtre qui arrête les connexions indésirables) procure un certain plaisir, une forme d'émerveillement qui tiendrait de l'excitation du chercheur penché sur sa boîte de Pétri. On y voit un bouillonnement fait des bavardages de machines mal configurées, d'erreurs diverses et d'attaques automatiques lancées par des armées de machines zombies ou des bots d'info-guerre.
La difficulté est de faire parler ces données et d'en extraire une information moins brute que les millions de signes qui la composent.

Feb 21 10:41:33 errai ipmon[145]: 10:41:33.330374 sn0 @0:2 b 125-224-200-153.dynamic.hinet.net[125.224.200.153],ftrapid-1 -> errai.mentrek.org[192.168.0.5],http-alt PR tcp len 20 48 -S IN
Feb 21 10:53:33 errai ipmon[145]: 10:53:32.381675 sn0 @0:2 b teamtv.ser.netvision.net.il[212.143.105.84],mdtp -> errai.mentrek.org[192.168.0.5],ms-wbt-server PR tcp len 20 48 -S IN
Feb 21 10:53:35 errai ipmon[145]: 10:53:35.418402 sn0 @0:2 b teamtv.ser.netvision.net.il[212.143.105.84],mdtp -> errai.mentrek.org[192.168.0.5],ms-wbt-server PR tcp len 20 48 -S IN
Feb 21 11:39:26 errai ipmon[145]: 11:39:26.163474 sn0 @0:2 b 193.142.62.156,60479 -> errai.mentrek.org[192.168.0.5],https PR tcp len 20 40 -S IN
...

Pour ce faire, on va recourir dans un premier temps à la ligne de commande Unix qui offre une palette d'outils de manipulation de texte ainsi qu'un langage de programmation élaboré mais accessible. Le but de cette étape sera d'élaguer le texte du journal et de créer un tableau contenant les élements suivants: la date et l'heure, l'IP d'origine, le port de destination.

Un premier élagage du fichier brut est réalisé avec la commande unix "cut".

cut -d " " -f1-3,10,14 donnees_brutes.txt |  unexpand -a - > fichier2

L'option -d " " signifie que l'espace est le caractère délimiteur et -f indique les colonnes que l'on veut extraire, désignées par leur numéro d'ordre ou par intervalle. Ici, on a les colonnes de 1 à 3, la 10ème et la 14 ème. Le résultat est chaîné avec la commande unexpand qui substitue tous les espaces du fichier par des tabulations. Le résultat est envoyé vers un nouveau fichier, avec l'opérateur >.

On nettoie ensuite le nouveau texte des divers motifs indésirables. Dans notre cas, on va effacer les adresses IP entre crochets qui suivent les noms de domaine, en passant le fichier à la moulinette des expressions rationnelles.

cat fichier2 | sed 's/\[.*\]//' > fichier3

La raison est que l'on souhaite passer les noms de domaines à la commande geoiplookup, qui renvoie le pays d'origine. La ligne suivant extrait l'information "nom de domaine", l'envoie à geoiplookup et passe le résultat à paste qui assemble les informations dans un nouveau fichier.

for i in `cut fichier3 -f2` ; do geoiplookup $i | head -n 1 ; done | paste - fichier3 > fichier4

Le résultat est un beau texte avec des champs biens séparés par des tabulations, prêt à être importé dans un tableur. Dans Gnumeric, on peut finir de mettre en forme ce tableau, notamment avec les tris.
Pour faire apparaître d'où viennent les tentatives de connexion, on crée un graphique à partir des colonnes des pays et du nombre de connexions.

Le camenbert fait apparaître que les deux tiers du trafic non désiré proviennent de quatre pays : Chine, France, Fédération de Russie, Etats-Unis. On a, presque au complet, le conseil permanent de sécurité des Nations-Unies. Les autres sont extrêmement discrets, y compris des pays peuplés et riches comme l'Allemagne ou le Royaume-Uni.
La carte obtenue avec Google Fusion Tables souligne cette concentration de l'origine du trafic tandis que les autres sources sont assez également réparties dans le monde. Comme l'échantillon est assez faible, certains pays ne sont pas représentés.

De retour dans Gnumeric, on peut créer une autre table de fréquences pour les ports.

 Ce bagel coloré montre l'importance des connexions sur le port 445 (microsoft-ds). Elles proviennent sans doute de machines Windows mal configurées ou infectées par des vers essayant de se propager.
Telnet est un ancien protocole d'accès distant sur des machines Unix. Il a été le plus souvent remplacé par SSH, en général beaucoup plus sûr, et ne devrait pas montrer autant d'activité. Peut-être que des pirates comptent sur le fait qu'il a été installé par mégarde ou oublié sur un vieux serveur.
MS-wbt-server est le port tcp 3389, porte d'entrée pour le service d'accès à distance sur Windows (Terminal Server). Des failles permettant un accès non autorisé sont régulièrement constatées. Les pirates cherchent les machines où Terminal Server n'a pas été mis à jour.
VNC-Server est un logiciel équivalent qui fonctionne sur Windows et Linux.
Epmap est un autre service lié à Windows.
MS-Sql ou MySQL sont des serveurs de bases de données où l'on recense régulièrement des vulnérabilités à des attaques dites d'injection SQL, lesquelles ouvrent souvent un accès total à la machine.
Les ports indiqués par des numéros ne sont pas alloués à un service particulier. Ils peuvent être utilisés par n'importe quel logiciel ou peut-être des botnets.

Enfin, il est intéressant de rechercher quel pays émet quoi. Avec Gnuméric, on réalise une table de fréquences qui donne le nombre d'attaques d'un type donné attribuable à chaque pays.
Le résultat est assez intéressant.

Chaque pays présente comme une signature. De France viennent des tentatives de connexions presque exclusivement concentrées sur le protocole CIFS de partage de fichiers Windows. C'est la grand pointe qui domine toutes les autres. A voir les logs, il s'agit de particuliers abonnés à Free. Sans doute des machines Windows infectées par un ver.
De la Fédération de Russie (souvent d'Ukraine en fait), on a un trafic important sur les ports élevés, peut-être utilisés par des botnets.
Les USA envoient beaucoup d'attaques sur Windows (epmap, microsoft-ds) et sip, un protocole d'établissement de connexions de voix sur IP.
Quant à la Chine, elle ratisse large. Les tentatives de connexion nombreuses visent la plupart des ports de l'intervalle de façon assez égale. Ca ressemble beaucoup à un balayage systématique de ports, pour repérer des machines vulnérables. Impression corroborée par le fait que de nombreuses tentatives proviennent de la même adresse IP (58.218.199.250) avec le port source 12200.
Pour un cracker, même un PC de particulier est intéressant dès lors qu'il lui fournit une plate-forme d'observation et de lancement de nouvelles attaques.

Fullsitebackup for Drupal, enhanced

Lately, I wrote a short script to help backup a Drupal site I'm in charge. It worked reliably for some times now and may be useful for someone else. I derived it from Fullsitebackup.sh, an example script provided in the drupal documentation and created by BristolGuy.
The new script is splitted in two. The first part works on the drupal sever. It dumps the MySQL database and makes a tarball of it, along the site's files. If all goes right, it erases the archive X days old, X being an integer of your choice. This is just what the original Fullsitebackup.sh does, plus a few lines to ensure that the disk quota on the server isn't reached too quickly.

The first script.

#!/bin/bash
# Database connection information
dbname="dbname"             # (e.g.: dbname=drupaldb)
dbhost="dbhost"      # Usually not localhost
dbuser="dbuser"             # (e.g.: dbuser=drupaluser)
dbpw="dbpasswd"             # (e.g.: dbuser password)

# Website Files

webrootdir="/path/to/web/root/"  # (e.g.: webrootdir=/home/user/public_html)

# Variables

# Default TAR Output File Base Name
tarnamebase=sitebackup-
datestamp=`date +'%m-%d-%Y'`
trashafter="6 day" # a number of days or weeks you like after which you want an archive to be trashed
timelimit=`date -d "-$trashafter" +'%m-%d-%Y'`
tartobeswept=$tarnamebase$timelimit.tgz
# Execution directory (script start point)
startdir="/path/to/backup/dir"
cd $startdir
logfile=$startdir"/logsite.log"     # file path and name of log file to use
# Temporary Directory
tempdir=$datestamp
# Input Parameter Check
if test "$1" = ""
 then
 tarname=$tarnamebase$datestamp.tgz
 else
 tarname=$1
fi
# Begin logging
echo "Beginning drupal site backup using fullsitebackup.sh ..." >> $logfile
# Create temporary working directory
echo "   Creating temp working dir ..." >> $logfile
mkdir $tempdir
# TAR website files
echo "TARing website files into $webrootdir ..." >> $logfile
cd $webrootdir
tar cf $startdir/$tempdir/filecontent.tar .
# sqldump database information
echo "   Dumping drupal database, using ..." >> $logfile
echo "      user:$dbuser; database:$dbname host:$dbhost " >> $logfile
cd $startdir/$tempdir
mysqldump --user=$dbuser --password=$dbpw --host=$dbhost --add-drop-table $dbname > dbcontent.sql 2>>$logfile
if [ $? -ne 0 ] ; then
 echo "Echec du dump de $dbname. " > $logfile
 exit 1
fi
# Create final backup file
echo "Creating final compressed (tgz) TAR file: $tarname ..." >> $logfile
tar czf $startdir/$tarname filecontent.tar dbcontent.sql 1>>$logfile 2>&1
if [ $? -ne 0 ] ; then
 endtime=`date`
 echo "Echec de l'archivage $endtime de $tarname. " >> $logfile
 exit 1
else
 echo "Archivage effectue $endtime de $tarname. " >> $logfile
 if [ -e $startdir/$tartobeswept ] ; then
  chmod 600 $startdir/$tartobeswept 
  rm $startdir/$tartobeswept 1>> $logfile 2>&1 ; echo "Purge de $tartobeswept effectue $endtime " >> $logfile
 fi
fi
# Reduction des droits
echo " archive en lecture seule " >> $logfile
chmod 400 $startdir/$tarname
# Nettoyage
echo "   Removing temp dir $tempdir ..." >> $logfile
cd $startdir
rm -r $tempdir
# The End
endtime=`date`
echo "Backup completed $endtime, TAR file at $tarname. " >> $logfile
##
##

Obviously, read and execute rights only for the owner of this file are enough. Here you may object that, if the web server is compromised or fails completely, you loose all the hard work, as the backup sits on the server itself. You would be right.
Hence a second script, that duplicates the freshly created archive onto a distant machine, where it is installed. For this one script to work, you need an ssh account on the web server and to add in its ~/.ssh/authorized_keys file the public ssh key of your account on the local machine. Thus, the ssh transfer script won't have any account password in it, a potential security issue. It keeps the Y last days/weeks/months.

#!/bin/sh

# Variables

tarnamebase=sitebackup- # prefix of tarballs
datestamp=`date +'%m-%d-%Y'`
backupdir="backupdir_path_on_web_server"  # where backups are found on distant server
localdir="/path/to/local/backup/dir"  # where they are copied on local machine
sshhost="hostname"
sshuser="username"
keepitem="n"  # n - an integer - being the number of daily/weekly/monthly archives kept
logfile=$localdir"/logfilename.log"
weeklybackupdir="$localdir/semaine"  # semaine is french for "week" (create that directory !)
monthlybackupdir="$localdir/mois"  # mois is french for "month" (create that directory !)

admin="webmaster@yourdomain.tld"

# Input Parameter Check

if test "$1" = ""
then
 tarname=$tarnamebase$datestamp.tgz
else
 tarname=$1
fi

# Secure copy from the server
# A public key of the host must be present in the authorized keys file on the server side

cd $localdir
scp $sshuser"@"$sshhost:$backupdir/$tarname $localdir/$tarname 1> $logfile 2>&1

# If previous operation fails, the script doesn't touch older backups

if [ $? -ne 0 ] ; then
 endtime=`date`
 echo "Echec du transfert $endtime de $tarname. Fin du script. " >> $logfile
else
 endtime=`date`
 echo "Transfert effectué $endtime de $tarname. " >> $logfile

# Else, it looks if the count of past backups is greater than a defined number
# In case of which it copies the oldest as a monthly backup if the day of the month is 1
# And trims the monthly backups to a number specified in a variable

 if [ `ls -1t $tarnamebase* | wc -l` -gt $keepitem ] ; then
  if [ `date +%d` = "01" ] ; then
   cp `ls -1t $tarnamebase* | tail -n 1` $monthlybackupdir 1>> $logfile 2>&1
   cd $monthlybackupdir
   while [ `ls -1t $tarnamebase* | wc -l` -gt $keepitem ] ; do
    chmod 600 `ls -1t $tarnamebase* | tail -n 1`
    rm `ls -1t $tarnamebase* | tail -n 1` 1>> $logfile 2>&1
   done
   cd $localdir
  else

# Or, if the day is wednesday, copies the oldest as a weekly backup 
# and does some cleanup in the weekly backup directory

   if [ `date +%u` = "5" ] ; then
    cp `ls -1t $tarnamebase* | tail -n 1` $weeklybackupdir 1>> $logfile 2>&1
    cd $weeklybackupdir
    while [ `ls -1t $tarnamebase* | wc -l` -gt $keepitem ] ; do
     chmod 600 `ls -1t $tarnamebase* | tail -n 1`
     rm `ls -1t $tarnamebase* | tail -n 1` 1>> $logfile 2>&1
    done
   cd $localdir
   fi
  fi
# In any case, it makes sure there are only the defined number of daily backups left

  while [ `ls -1t $tarnamebase* | wc -l` -gt $keepitem ] ; do
  chmod 600 `ls -1t $tarnamebase* | tail -n 1`
  rm `ls -1t $tarnamebase* | tail -n 1` 1>> $logfile 2>&1
  done
 fi
fi

# Reports home what went wrong

mail -s "logfile" $admin < $logfile

exit 0

These scripts need to be executed at a fixed interval you will specify in the crontab (crontab -e). From my experience, they work reasonably well with different shells (sh, ksh and bash), different systems (Debian, NetBSD) and on different hardware architectures (MacPPC64, Mac68k, x86_64). Anyway, hardware shouldn't be of any concern with a high level langage.

Améliorer l'ergonomie de GNOME 3

Depuis la sortie de la version 3 de GNOME, le débat sur la direction prise par ce projet d'interface graphique propre à divers systèmes libres, dont Linux, continue de faire rage. Les leaders du projet poussent dans le sens d'une simplification allant jusqu'au dépouillement et laissent à leurs détracteurs l'impression qu'il ne doit subsister qu'une seule manière d'accomplir une tâche donnée. C'est le principe informaticien d'orthogonalité, très prisé lorsqu'il est appliqué aux jeux d'instructions de processeurs, idéal rarement atteint.

Les raisons du comité de direction de GNOME sont parfaitement louables. L'interface doit être adaptée aux populaires terminaux mobiles, pilotés au doigt et dont les écrans sont de petite taille. Cette voie vers l'essentiel rejoint des aspirations plus anciennes du projet, toucher un public plus large que les hackers et les libristes convaincus, aller sur le bureau - les tablettes - des cols blancs et pourquoi pas du grand public.

Sur GNOME 3, ça se traduit entre autres par la disparition du bureau et de ses icônes en vrac, un menu d'accès aux applications qui occupe toute la surface de l'écran (Voir l'interface Modern UI sur Windows 8). Cet environnement quasi cistercien, le Gnome-shell, hérisse les amateurs du baroque GNOME 2 qui, avec ses options, panneaux et menus en tous sens, est pour le coup une antithèse du principe d'orthogonalité. Mais je leur donnerais raison sur un point : la bascule entre applications sur GNOME 3 est disons perfectible.

Pour lancer une application ou basculer vers un programme en cours, on passe en un clic (ou un doigt) par le mode Activités. Les fenêtres ouvertes sont exposées au centre de l'écran, un dock (appelé Dash) rassemble les icônes des programmes favoris et en cours d'exécution à gauche, les bureaux virtuels sont à droite. Ensuite, on clique sur le programme désiré. La bascule entre programmes comprend donc deux étapes :

1) Bascule vers le mode Activités
2) Choix de l'appli à lancer/amener à l'avant-plan à l'aide du dock ou des fenêtres mises à plat.

Sur un petit écran, c'est une bonne solution. Mais sur un poste de travail, c'est une opération de trop. Sur Mac OS ou Windows 7, le dock permet de lancer/basculer les applications courantes d'un clic sans quitter au préalable la fenêtre active. Pour retrouver ce comportement logique et familier, il suffirait que le dock de GNOME 3 soit visible en permanence et peut-être aussi puisse être adapté à la taille de l'écran. Sortir le Dash du mode Activité où il est enterré.

Et bien, c'est possible grâce à une extension officielle, Dash-to-Dock. Dash a les mêmes fonctions que ses homologues sur Mac ou Windows, un lanceur doublé d'une barre de tâches. Sa disposition verticale tire mieux parti des écrans de PC au format large qui sont devenus majoritaires. Avec Gnome-shell-extension-pref, on règle la taille, le comportement et l'apparence de Dash.

Le mécanisme d'extensions du bureau est un trait unique de l'environnement GNOME. Il permettra sans doute de l'adapter aux exigences les plus diverses.

Miroir à renversement de temps

Un miroir à renversement de temps est un dispositif qui réfléchit une onde (acoustique ou lumineuse) tout en gardant sa direction incidente et sa forme. C'est un renversement total, spatial et temporel. L'onde est focalisée vers sa source, comme le montrerait un film passé à l'envers.
Je ne sais pas quelle image un appareil photo saisirait de ce miroir. Ce qu'on voit ici n'est pas une image de la rue une heure avant le cliché ni une image du photographe plus jeune. Juste une armoire "Miroir à retournement temporel" vue à travers une vitre renvoyant l'image d'un reflet du ciel.

infomatique en nuage et économie de la fonctionnalité

Il est tentant d'identifier l'informatique en nuage (the cloud computing) et l'économie de la fonctionnalité. C'est moins évident si on considère les buts poursuivis et les effets.

Le cloud désigne les offres de services informatiques réduites à l'usage de fonctionnalités. Ce peut être l'accès partagé à des ressources matérielles (IAAS - Infrastructure as a service), à une plate-forme de création et de déploiement de logiciels (PAAS) ou à des applications (SAAS). Chez les clients, l'effet est une externalisation de la production informatique (entreprises) ou des données personnelles et de la logithèque (particuliers).

Dans une économie de la fonctionnalité, on échange l'usage des effets bénéfiques des biens plutôt que la propriété de ces biens. Ses promoteurs soulignent les bénéfices pour le consommateurs en terme de pouvoir d'achat et la réduction de l'empreinte écologique. Ainsi, les services de location de vélo dans plusieurs grandes villes incluent le parking et l'entretien pour une somme modique, qui peut être inférieure au coût de possession d'un vélo. Le consommateur achète de la mobilité. L'industriel est forcé de prendre en charge les externalités écologiques, d'ordinaire laissées à la collectivité. Mais il peut les gérer avec la rationalité des ingénieurs et l'échelle de l'industrie.

L'économiste Philippe Moati, défenseur de l'économie de la fonctionnalité
transcription ici.

La location n'est pas une condition suffisante pour atteindre l'efficience écologique. Comme l'explique Philippe Moati dans la vidéo ci-dessus, la location à long terme peut être assimilée à un achat à crédit, coûteux pour le consommateur. Pour qu'elle soit vertueuse, le produit doit être plus durable. Philippe Moati propose une nouvelle réglementation qui porterait la garantie à 10 ans. Quand je l'ai croisé au congrès des 60 ans de l'UFC-Que Choisir, il m'a dit que son idée avait suscité quelque intérêt au PS mais n'avait pas eu d'écho au gouvernement Fillon. Il est vrai que son application modifierait profondément le visage de l'offre et pousserait les industriels à se remettre en question voire à prendre des risques. Exit les produits jetables Made in Sweatshop. L'économiste pense que le schéma est même applicable à l'habillement.

Selon Latitude Research, d'excellentes opportunités se trouvent dans la location d'automobiles et d'appareils ménager. Voir l'infographie ci-dessous et le rapport.



Mais revenons à nos nuages. Les centres de données peuvent-il servir de modèle à cette économie du futur ?

Des industriels qui conçoivent ces usines à data arrivent en effet à être plus efficaces que les petits artisans. Le rendement énergétique des meilleurs atteindrait 1,2 (1 pour alimenter les serveurs, 0,2 pour les refroidir), grâce à des systèmes à air libre, à eau ou à une implantation sur le cercle polaire. Le paiement à l'usage ou la mise aux enchères des ressources du nuage contribuent à améliorer le taux d'utilisation des serveurs par rapport à une production maison.

Mais la transparence n'est pas vraiment de mise dans ces data centres bunkerisés que l'on visite comme des centrales nucléaires. Greenpeace a publié un rapport accusateur sur certains fournisseurs de cloud sale. Pour ma part, je ne vois pas en quoi la délocalisation de production informatique dans un pays à faibles standards sociaux et environnementaux constituerait un progrès.

L'informatique en nuage n'est pas un très bon exemple d'économie de la fonctionnalité si l'on souhaite réduire en valeur absolue les nuisances écologiques. Ce secteur très jeune créé des services nouveaux plus qu'il ne remplace des produits physiques existants. Certainement, il les y ajoute car on a toujours besoin d'ordinateurs pour accéder au nuage. Et en plus on veut des terminaux mobiles.

Il illustre très bien l'effet de rebond, phénomène expliqué par Jean-Marc Jancovici.

Cet âge de l'accès pourrait avoir un effet bénéfique inattendu, en désacralisant la possession de l'objet. Mais peut-être n'est-il pas besoin d'attendre sa venue. Ta Rolex obligatoire à 50 ans ™ fait déjà complètement has-been, même si c'est pour d'autres raisons. Le luxe existera toujours. Alors, comme ce n'est qu'une question de désir, tâchons de travailler sur nos désirs.

Une chronique parue au printemps 2009 dans PC Expert, republiée avec la permission de l'auteur, et qui me semble toujours d'actualité :

Le luxe, pour tous

Exercice délicat en temps de crise économique et écologique, l'éloge du luxe paraît nécessaire si l'on désire surmonter l'une et l'autre sans contradiction. En sortir par le haut, comme on dit. Le problème de la relance du système actuel, favorisant la consommation de produits non durables fabriqués par une main d'oeuvre low-cost, c'est qu'elle va accélérer les délocalisations, la raréfaction des matières premières et la destruction de la biosphère. Autant pousser un âne mort. Il faut alors explorer l'idée d'une décroissance, à condition de ne pas confondre celle-ci avec une récession prolongée, porteuse de pénurie et de chômage. Étrangement, cette voie rejoint celle du luxe. Non pas la dépense tapageuse du nouveau riche mais celle de l'investisseur éclairé. Un vrai produit de luxe se répare, se transmet, ne se démode pas. Il pollue moins que ses substituts consommables. L'éco-conception est une forme de luxe.
L'idée encore hérétique de décroissance est déjà appliquée en informatique. Certains constructeurs vendent moins de serveurs physiques, mais bourrés de logiciels sophistiqués de virtualisation et accompagnés de services haut-de-gamme. Moins de matière, moins d'énergie pour plus d'intelligence et de travail, décroissance matérielle et croissance de la valeur aideront à résoudre la difficile équation. Mais le le luxe coûte plus cher, ce qui ramène la question que la croissance à tout prix permettait d'éluder, les inégalités d'accès au bien-être. Sans leur réduction, l'économie écologique n'avancera pas.
Pas plus qu'un âne mort.

Où sont les numériques pour la photo-école ?

Un appareil destiné au photographe débutant devrait offrir des modes d'exposition où l'on choisit l'ouverture (A), le temps de pose (S) ou les deux (M) - comme j'explique ICI ou LÀ. Jouer avec ces paramètres fondamentaux de l'image photographique est nécessaire pour apprendre et pour créer. Les modes presse-bouton (portrait, enfant, sport, paysage...) sont destinés à d'hypothétiques consommateurs - à fuir, donc.


"On repasse en manuel"

Dommage qu'il n'existe pas d'appareil numérique limités à ces modes, j'exclus le Leica M9, un peu cher pour débuter. Serait-il possible d'avoir des appareils bon marché, didactiques et solides ? Dans les années 70 et 80, les Nikkormat et les EM étaient déjà un peu chers pour être confiés à des enfants. Mais il existait des boîtiers fabriqués en Union Soviétique, les Lubitels, fabriqués par Lomo.

Le Lubitel 2, corps en bakélite, résiste sûrement à l'hiver russe, 106 Francs à la Camif. C'est un format 6×6 (film 120) à bi-objectif, un pour la visée, un pour l'image, un trois lentilles pas si mauvais à petite ouverture. Diaph de f/4.5 à f/22, obturateur central mécanique de la pose B jusqu'au 1/250 eme, même temps pour la synchro flash. La mise au point sur un dépoli minuscule et sombre est pénible.



Le Lubitel 166 Universal, le dernier de la série, illustre ce post. Le boîtier est en plastique, la mise au point moins dure et il y a un cache pour faire du 4×6, ce qui donne 16 poses par bobine ! Presque du Luxe.

Quel appareil pour apprendre la photographie ?

Aujourd'hui, presque tout le monde possède un appareil qui fait des images : Compact, reflex, ordiphone voire tablette... Que choisir pour apprendre la photo ?

Nombre de ces machines à images ne comportent aucun réglage accessible au photographe. La lumière, la mise au point, tout est décidé par un algorithme, sorte de recette de cuisine mémorisée dans les circuits. L'image produite est souvent correcte, parfois même jolie. Mais vous ne savez pas pourquoi. Et vous ne sauriez apprendre avec un tel bidule que l'on peut faire du beau autrement.

Les limites des automatismes

Dans un précédent post, j'ai expliqué ce que sont les paramètres essentiels qu'un photographe doit pouvoir contrôler. Ça ne signifie pas que les automatismes sont à bannir. Ils sont très précieux la plupart du temps. Mais il faut comprendre ce qu'ils font et savoir reprendre la main. Exemples.

Le mode portrait favorise les grandes ouvertures afin de rendre flou l'arrière plan et d'isoler le sujet. Oui, mais si le décor a de l'importance ? Il faut passer en mode A (exposition auto avec réglage manuel de l'ouverture) et fermer le diaphragme de deux crans ou trois s'il y a assez de lumière. Une focale de 35 mm (plein format) ou 24 mm (APS-C) donnera plus d'importance à l'environnement du sujet, lequel sera pris en plan moyen (coupé à la taille).

Le mode sport favorise les temps de pose courts, pour figer l'action des athlètes, quitte à augmenter la sensibilité (les ISO). Mais parfois, on veut au contraire un temps de pose long pour voir le filé du mouvement des sportifs. On passe alors en mode S (exposition auto avec réglage manuel du temps de pose), choisit ¼ de seconde ou plus, réduit l'ISO s'il faut conserver une ouverture assez grande et pose l'appareil sur un support stable.

La mesure de lumière multi-zone calcule l'exposition en s'aidant d'une base de cas-types. Souvent, c'est bon ou très bon. Mais il arrive qu'elle confonde les situations. Exemple vécu, dans une rue, la nuit, un lampadaire éclaire un vieux mur. Sur le négatif, le mur est presque totalement transparent, sous-exposé. L'appareil avait considéré que la zone lumineuse était le sujet principal, comme l'est un artiste sous les projecteurs dans une salle sombre. Moi, je voulais le mur. J'aurais dû passer en mode M (réglage manuel de l'exposition avec assistance), mesure spot (ponctuelle) et faire la lumière sur une partie intéressante du mur. Ensuite, j'aurais réduit l'exposition préconisée de 2 ou 3 EV pour que le mur se trouve dans l'ombre mais pas complètement noir. Si l'appareil avait demandé 1 seconde, j'aurais réglé à 1/4 ou 1/8 eme.

Même sur les appareils récents, on peut être piégé. Il faut savoir critiquer les automatismes.

Une fois qu'on sait faire des photo tout seul, les limites sont celles de son imagination - ce qu'il faut cultiver.

Quels boîtiers ?

Les modes doivent être facilement accessibles, de même que la molette.

Bref, il faut pouvoir changer : ouverture, temps de pose, sensibilité et si possible mise au point. On vérifiera qu'il y a les modes A (ou Av) S, M et P. Beaucoup de compacts sont exclus. Ensuite, la molette permettant de régler ouverture, temps de pose ou décalage de programme doit bien tomber sous le doigt et être agréable à utiliser. L'idéal, c'est deux molettes, pour agir sur les deux variables en mode M, mais là c'est devenu du luxe, réservé au haut de gamme. Une commande sous forme de boutons ou pire, de menus vous découragera vite. À éviter.
Parmi les compacts, on a remarqué le Canon PowerShot G12, quelques bridges, et bien sûr les reflex. Ces appareils restent à mon avis inégalables pour apprendre la photo. Le Canon EOS 1100D ou le Nikon D 3100 avec un 35 mm, éventuellement d'occasion, coûtent moins de 500 €. Un investissement intéressant si on considère la durabilité de ces appareils.