J'ai une collection musicale déjà bien fournie et parfois c'est justement le problème. Souvent, je lance rythmbox/amarok/banshee et écoute toute ma musique. Dès qu'une musique ne me plait pas, je passe simplement à la suivante. Je n'ai jamais eu la patience (et ne n'aurai sans doute jamais) de classer tout cela autrement que par artiste. Si vous êtes comme moi, stereomood est sans doute le site dont vous avez besoin.

Ce site propose une bonne centaine de playlist déjà triée selon votre activité ou humeur. Par exemple, en écrivant cet article, je suis en train d'écouter la playlist working.

Mais là où stereomood devient vraiment bien c'est qu'en plus de permettre la connexion par OpenId (de la vrai inscription, pas de mot de passe à choisir, pas d'info à entrer à nouveau si vous les avez entrées sur votre compte OpenId), il possède une API.

Un script bash est proposé sur le site qui vous permet d'écouter depuis le terminal vos musiques favorites.

• Téléchargez les fichiers Basm.sh, OAuth.sh et StereomoodOAuth.sh
• Rendez les exécutables
• Exécutez le fichier Basm.sh

Si cela fonctionne, on vous donnera une url où vous recevrez un code PIN a entrer pour garantir votre authentification via OAuth et vous pourrez exécuter le script via le terminal en rentrant le nom de votre playlist de cette façon :

pour écouter la playlist working qui est une activité (si c'était dans la catégorie humeur, vous auriez du mettre "-t mood").
Vous pouvez également faire des recherches avec l'option "-t site".

Je disais Si cela fonctionne car chez moi j'ai du adapter un peu le script Basm.sh.
Premièrement, il ne me trouvait pas les deux fichiers qui se trouvait pourtant dans le répertoire courant. Pour régler ça, j'ai du rajouter au début du fichier

Pour ajouter le répertoire courant.
Ensuite, il y avait également une petite erreur de frappe à la ligne 232

Vous pouvez télécharger le fichier corrigé ici : Basm.sh

Autre chose qui rend stereomood si bien : pour chaque chanson, vous trouverez un lien vers le blog dont elle provient. Ce qui veut dire que vous pourrez la télécharger.

Aujourd'hui on peut dire qu'avec des distributions tel qu'ubuntu, la différence entre un OS commercial (j'ai deux noms sur le bout de la langue mais impossible de m'en rappeler ) et Linux est d'en plus en plus faible.

Plus besoin d'utiliser la ligne de commande pour des tâches basiques (comprenez ce que l'utilisateur lambda fait). Grâce à mozilla, on peut utiliser un navigateur et messagerie très évolué (battant même les alternatives propriétaires diront certains ). Très bons lecteurs multimédias et outils en tous genre. Si on passe les jeux (quoique on fait de gros progrès de ce coté là), il reste une chose qui manque cruellement dans le monde du libre pour moi : un traitement de texte valable !

On considère d'habitude OpenOffice (OOo pour les intimes) comme ce qui se rapproche le plus d'une vrai solution (Ms Office Word® pour ne pas le citer) mais qui pour moi reste à des kilomètres de là. C'est contre celui-ci que je vais exprimer mon énervement.

Le fait que ce soit moche (plus un fait qu'une opinion) n'est pas vraiment le problème mais plutôt toute les séries de petits comportements agaçants. Je préfère un logiciel moche et fonctionnel que l'inverse. Seulement ici, il a les deux vices.

Pourquoi quand je fais défiler la molette de la souris, il me met un cadre avec le numéro de page ? (celui qui sait comment le faire disparaitre gagnera toute ma gratitude)
Comment j'utilise une couleur de texte qui ne soit pas dans celles proposées par défaut ? (solution : ça demande une dizaine de clic en passant par outil > option >...)
Pourquoi il se veut me faire apparaitre des fenêtres popup dans tous les coins dès que je commence à mettre des puces ou à chipoter à une image ? (Intégrer ça dans la barre de menu ne me semble pourtant pas l'impossible)
Pourquoi trouver un moyen de faire quelque chose un rien original devient vite si difficile ?
Tout une série de petites choses comme ça vite irritantes quand misent toutes ensembles.

Un argument mis en avant pour OpenOffice est son format. L'odt (faisant partie des Open Document Format) est libre c'est vrai. Tout le monde peut donc avoir accès aux spécifications ce qui devrait favoriser l'interopérabilité. Seulement à ma connaissance, dans les fait l'utilisation d'un fichier odt fait avec OpenOffice n'aura pas le même rendu sous KOffice. Pire encore, deux versions d'OpenOffice sur des plateformes différentes ne donnent pas non plus la même chose. Encore heureux qu'il existe l'export en pdf pour éviter les soucis d'impression...
Il faut reconnaitre une chose, du coté du OOXML de microsoft la situation n'est pas meilleure.

Le soucis est qu'OpenOffice est l'alternative la plus utilisée à Microsoft Office. Le fait qu'il soit gratuit n'y est évidement pas étranger. Seulement contrairement à ce dernier OOo ne me donne pas l'impression d'évoluer depuis quelques années (tous les problèmes que j'évoque et dont les gens se plaignent souvent).

J'utiliserais bien Abiword (qui du peu que je l'ai testé a moins de fonctionnalités qu'OOo mais mieux fait) mais il ne supporte pas les odt et son format abw n'est pas supporté très fort...

Bon heureusement qu'il me reste toujours LaTeX pour quand je dois faire des documents de qualité.

Encore une utilisation du filon des livres de Conan Doyle ? Oui mais originalité de celle-ci : l'histoire se déroule au XXIe siècle. Sherlock Holmes et le Dr Watson vivent toujours tous les deux au 221B Baker Street et aident l'inspecteur Lestrade dans des meurtres mystérieux mais cette fois ils utilisent smartphones, internet et relèvent les empreintes. Le Dr Watson revient bien de la guerre en Afghanistan, il ne s'agit simplement plus de la même guerre...

Attention, il ne s'agit pas, comme je le craignait au départ, d'un remixe des experts avec des personnages connus. L'on retrouve bel et bien l'esprit de déduction de déduction via la simple observation que l'on aime tant chez le personnage. La première rencontre entre Holmes et Watson vaut vraiment le détour. Je n'ai pas réussi à trouver d'extrait à vous montrer malheureusement.

Les réflexions de Holmes sont montrées par des flash ou des mots apparaissant à divers endroit de l'écran. Il faut parfois s'accrocher quand il donne des explications et j'ai du rapidement me rabattre sur des sous-titre en français parce que mon anglais ne suivait plus.

L'humour est au rendez-vous avec les petites remarques cinglantes de Sherlock. Le personnage de celui-ci rappelle assez fort Robert Downey dans le film sortit l'an passé (très bon aussi, je conseille à ceux qui ne l'ont pas vu). La musique me semble aussi assez similaire (très chouette).

On sent sans doute parfois que le réalisateur à voulu trop montrer le changement d'époque. La victime a écrit un mot sur le sol, elle possède un smartphone pouvant aller sur internet, c'est donc le mot de passe de sa messagerie et elle a laissé un indice dans ses emails. Mouhai bof quoi...
Sinon pas d'ADN ou empreintes dans tous les sens, ouf on a éviter le pire.

Les épisodes sont longs (1h30) mais peu nombreux (3 pour la saison 1). On se rapproche plus du téléfilm que de la série mais ça fait toujours plaisir de suivre une histoire un peu développée.
Je conseille à tout ceux qui ont 4h30 de libre, aiment l'esprit de déduction du grand détective et ne sont pas trop regardant sur le non-respect de détail tel que l'époque.
Les deux directeurs de la série n'en sont d'ailleurs pas à leurs premier coup du style puisqu'il a déjà produit Jekyll qui est une série en 6 épisodes des aventures de Dr Jekyll et Mr Hide en 2006. Bon ils viennent de trouver un filon et compte bien l'exploiter.
Un de ces deux brave homme participe d'ailleurs à l'écriture du scénario du film de Tintin fait par Spielberg. et Peter Jackson. Pas peur de s'attaquer à des monument en tout cas !

[Photo]

C'est donc via une petite commande bash en utilisant grep que je m'aide.

pour chercher dans tous les fichiers récursivement dans le dossier courant la chaine $address_db. Le -n sert à afficher les numéros de ligne pour identifier plus rapidement.

Seulement, pour une raison que je ne m'explique pas bien, avec certaines chaines (style celle plus haut fonctionne mais '$(' non), pour tout ce qui n'est pas fichier de texte, vous aurez une erreur du style "Binary file [nom du fichier] matches" ou "Fichier binaire...". Pour filtre cela vous pouvez utiliser un pipe.

Si vous avez trop de résultat pour votre petit terminal, vous pouvez toujours rediriger le flux vers un fichier texte ou afficher progressivement avec less

Si vous connaissez d'autre moyen de faire la même chose, n'hésitez pas à partager

Google le présentait comme un moyen de révolutionner l'internet (ils disent souvent ça), entre le chat et l'email.
Pour augmenter la demande, avec le bon vieux principe de ce qui est rare est désirable, ils avaient mit en place un système d'invitation pour le tester (des gens en vendaient même sur ebay).

Et bien hier sur le blog officiel de Google, une annonce a été faite pour signaler l'arrêt du projet de par le manque de popularité.

Pourquoi ce désintérêt malgré le buzz (un livre avait même été écrit) créé à sa sortie ? Sans doute les invitations trop compliquées à obtenir ? Le système trop compliqué à utiliser pour les non-geeks ? Assez obscure dans son but tout simplement ?
Toujours est-il que le résultat est là.

Google Buzz avait aussi fait du bruit à sa sortie (mais plutôt à cause de son manque de respect de la vie privée) et n'a pas eu le succès attendu.
Certains diront que ces deux services vont être fusionnés pour devenir Google Me, le futur réseau social made by Google dans le but de concurrencer Facebook.

Rappelons que le protocole Google Wave et un client console sont open source sous licence apache et donc on peut espérer que le projet sera reprit par la communauté et qu'un fork va être créé.
Cependant il avait été remarqué à sa sortie que la complexité du projet était telle qu'il ne risquait pas d'être utilisé par d'autres que des grandes compagnies qui avaient les moyens. C'est le moment de prouver le contraire le gens

[Source]

Cela veut dire qu'il n'y a plus besoin de passer par skype et autres. Nuance à la bonne nouvelle, cela ne fonctionne que pour les comptes premium. Justifié par les développeurs car :

As we haven’t found a reliable way to display ads yet, this version is only available to Spotify Premium subscribers.

Comme nous n'avons pas encore trouvé un moyen fiable d'afficher les publicités, cette version est seulement disponible pour les comptes premiums.

Bon l'effort est fait, on peut espérer que le reste suive bientôt

Pour la télécharger, sous Ubuntu vous pouvez vous rendre ici pour suivre la procédure (en français chez Korben), sous Archlinux le paquet se trouve déjà dans AUR (yaourt -S spotify). Pour les autres systèmes, vous pouvez utiliser deb2targz.

J'ai commencé en mettant le code source remis à jour (il fonctionnait le précédent ?) concernant le changement de couleur du conky.

Si vous avez des commentaires concernants ces (mini) programmes, n'hésitez pas.

J'ai profité également de la journée (j'ai été très productif aujourd'hui) pour mettre à jour wordpress vers la version 3. Pas de soucis d'incompatibilité à première vue.

La chasse à la trompette avait commencé avec la lecture de cet article de Korben. Apparemment les fréquences capricieuses ont été identifiées et s'il on arrive à les isoler, il est simple de les supprimer.

Korben donne une commande mplayer à faire à partir d'un fichier enregistré sur son pc

Seulement si on est un vrai, on a envie de voir les matchs en direct. Il est facile de voir gratuitement sur internet ses match préférés (perso je vais sur le site de la rtbf mais Korben a donné une bonne petite liste). Seulement tous ces sites fonctionnent avec flash et je n'ai pas trouvé le moyen d'isoler le flux pour utiliser la petite commande (je ne suis même pas sûr qu'elle aurait fonctionné).

C'était sans compter le pouvoir de google qui m'a donné cette jolie page pastebin. C'est en Allemand, j'ai rien compris mais suffisamment pour voir que ça parlait d'alsa et avec un lien encore plus intéressant vers cette image sur imageshack

Pour cela il faut installer le paquetalsaequal (nom sur archlinux)
Et de créer un fichier .asoundrc dans votre dossier home et y mettre.

Ensuite avec$ alsamixer -D equal reproduire ce qui est mentionné sur l'image et à vous le match calme !

Photo

Le risque

Pour mieux comprendre comment sécuriser, il faut d'abord comprendre quels sont les risques.

Brute Force :

La manière la plus simple, barbare et efficace si l'on possède du temps et un ordinateur suffisamment puissant.
Il suffit d'essayer toutes les combinaisons possibles de mots de passe jusque tomber sur la bonne.
Notez qu'il est assez simple de s'en protéger en ajoutant un captcha (attention : chiant pour les utilisateurs, empêche les mal-voyants d'accéder à votre site) ou en faisant un compteur d'essai (via une variable de session, conseillé).

Accès à la base de données :

Que ce soit parce que l'attaquant à trouvé votre mot de passe, via une faille, une injection SQL ou n'importe quoi d'autre, il faut envisager la possibilité que l'attaquant accède au contenu de votre base de données. Dans le cas où il ne modifie pas le contenu, autant être sûr qu'il ne puisse pas trouver les mots de passe de vos utilisateurs trop facilement.

Solutions

1. Stocker en clair

Idée naïve que l'on a en premier lieux si l'on ne pense pas au fait que l'attaquant puisse accéder à la base de données.
Est à éviter absolument dans n'importe quelle situation !
Vous êtes peut-être quelqu'un d'intègre qui ne profitera pas du fait de connaitre les mots de passe de vos utilisateurs (souvent les gens utilisent le même mot de passe pour plusieurs comptes), mais il n'en est pas la même chose de tout le monde.
Malheureusement, cette solution est encore utilisée à de nombreux endroits. Un certain nombre de sites internet vous proposent de vous renvoyer votre mot de passe si vous l'avez oublié, cela implique qu'il n'a pas été haché et c'est une grosse faille de sécurité potentielle.
Il y a peu skyrock a subi une attaque où il serait possible que les attaquants aient mis la main sur les mots de passe du site (plusieurs millions de comptes) qui seraient stockés en clair.
Il y a 4 ans, c'est Reddit qui a avoué avoir perdu un backup de sa base de donnée avec toutes les info et mots de passe en clair de ses utilisateurs.
Même les gros sites font des conneries. Ne faites pas la même chose.

2. MD5

Plutôt que de les stocker en clair, il est conseillé d'utiliser un hash (de l'anglais to hash) du mot de passe, c'est-à-dire transformer, via des procédés mathématiques trop compliqués pour moi, transformer une phrase en une suite constante de caractère sans qu'il soit possible de faire l’opération inverse (fonction à sens unique). Cette méthode est très efficace, car l'attaquant ne trouvera dans votre base de données que des infos du style "login:admin ; pass:ab7z25t3d9" où "ab7z25t3d9" est le hash de mon mot de passe et non celui que je rentre dans le formulaire.

(note : les fonctions de hachage sont à ne confondre avec les fonctions de chiffrement qui permettent de retrouver le mot chiffré à partir d'un mot de passe. Cette méthode n'est pas beaucoup plus sûre que le stockage en clair et je n'en parle pas ici.)

exemple de code de connexion :

Attention, code très simplifié ! Il faut absolument vérifier que les données sont valides (pas de champs vides, tentative d'injection...) avant.

Le problème des fonctions de hachage est qu'elles entrainent des collisions. Ça semble logique, elles transforment une suite de caractère de longueur non déterminée (infinité de possibilités) en une suite fixe de caractères (nombre fini de possibilités).
Une bonne fonction entraine le moins possible de collision et surtout empêche de les trouver.
Seulement, ce n'est pas le cas du md5 qui depuis quelques années déjà a été cassé et permet de trouver rapidement des collisions.
Cela veut dire qu'à partir de la suite de 32 caractères produite, je peux trouver une autre suite qui n'est pas forcement le mot de base, mais produit le même hash et donc fonctionnera dans notre formulaire.
De plus, il existe ce que l'on appelle des rainbow table qui sont de gigantesques bases de données stockant un grand nombre de hash possible et permettant de retrouver en quelques secondes les hashs les plus communs (dans tous vos utilisateurs, il y en aura bien un pour utiliser "1234" ou "password" comme mot de passe).
Un exemple de rainbow table de plus de 500 millions de hash.

3. Autres fonctions

Comme le md5 a été cassé, on peut imaginer utiliser une fonction de hachage un peu plus complexe.
La première qui vient à l'esprit est souvent sha1 mais il en existe beaucoup d'autres sha256, whirlpool, RIPEMD-160,...

Cependant, elles ne sont pas sûres non plus. À l’instar de md5, sha1 a été cassé et est donc a éviter.
sha256 et compagnie résiste encore, mais rien ne garantit pour combien de temps.
Il a été prouvé qu'elles étaient beaucoup moins sensibles aux collisions, mais ce n'est pas le seul problème.
Les rainbow table encore une fois sont un risque à ne pas négliger. Il y aura toujours des utilisateurs qui utiliseront "1234" comme mot de passe et quelque soit l'algorithme utilisé, ils ne tiendront pas longtemps...

Il existe malheureusement de très nombreux sites utilisant md5 sans se poser de question pourtant ce n'est pas beaucoup plus sûr qu'en clair.

4. Salt

Pour lutter contre le maillon faible de la chaine de l’authentification (la stupidité de l'utilisateur), on peut manuellement renforcer la sécurité en rajoutant une suite de caractère pour rallonger le mot de passe.

L'utilisateur utilisant "abc" comme mot de passe, se retrouvera donc avec "aZk!@14x32=abc", ce qui a déjà beaucoup moins de chance de se trouver dans une rainbow table.
Il est possible de compliquer en l'insérant au milieu.

Un problème est que deux personnes ayant le même mot de passe auront le même hash. Un pirate ayant créé un compte avec "1234" comme mot de passe pourra rapidement voir tous ceux qui ont le même hash que lui et donc connaitra leur mot de passe aussi compliqué le salt soit il.

5. Différencier les utilisateurs

Pour éviter que deux utilisateurs avec le même mot de passe aient le même hash, une solution est d'ajouter le login qui est unique.

Ou avec un simple salt spécifier une position choisie aléatoirement pour chaque utilisateur au moment de l'inscription et stockée dans la base données.

Une autre idée serait d'utiliser un salt différent pour chaque utilisateur stocké lui aussi dans la base de donnée.

Ou évidement combiner ces méthodes.
Pour compliquer (c'est même conseillé de le faire) vous pouvez aussi insérer le salt et position directement dans le hash.
Par exemple, vous stocker dans votre table $hash.$salt.$position en sachant que le hash fait 64 caractère, le salt 20 et la position 2, il suffit d'un peu de manipulation de string. Ou mieux les 2 premiers caractères sont la position du salt dans le hash qui a une taille fixe.

Soyez imaginatif, ça compliquera la tâche de l'éventuel pirate.

6. Ralentir les requêtes

Le problème de ces solutions est que lorsque le pirate connait comment vous hachez vos mots de passe, il lui est toujours possible de générer une rainbow table spécifique à votre cas.
Aussi surprenant que ça puisse paraitre, le problème des algorithmes de hachage classiques est qu'ils sont optimisés pour être rapides. Lorsque l'on parle de chiffrement de mot de passe, l'on ne veut PAS être rapide.
Un pirate avec une machine assez puissante peut générer en quelques minutes/heures/jours une table de plusieurs millions d'éléments.
Des fonctions telles que sha512 sont certes plus lentes que md5 mais toujours très (trop ?) rapides.

Pour lutter contre cela, il existe un programme appelé bcrypt qui utilise la méthode de chiffrement de Blowfish en permettant de choisir le temps d'exécution.

Pour vous et l'utilisateur, quelle différence y a il entre 0.000001 et 0.1 seconde pour générer le mot chiffré ? Aucune, ça reste très rapide dans les deux cas.
Pour le pirate ? 10.000 fois moins de mot de passe généré, 10.000 fois plus de temps nécessaire...

Pour ceux que ça intéresse, lisez cet article
Enough With The Rainbow Tables: What You Need To Know About Secure Password Schemes

7. Ne PAS stocker les mots de passe

Mais au fond pourquoi voulez-vous stocker les mots de passes de vos utilisateurs ? Pourquoi ne pas laisser quelqu'un d'autre le faire ?
Google, Facebook et d'autres vous permettent de vous connecter en utilisant un compte de chez eux.
Vous n'avez confiance en eux ? Je vous comprends, moi non plus, utilisez plutôt OpenId qui fonctionne sur un modèle décentralisé.
Nombre de sites (les deux cités précédemment mais aussi myopenid, myID, ClaimID et autres) vous permettent d'utiliser votre identité sous la forme d'une url pour vous connecter sur tous les sites le proposant.
De cette façon, vous laissez le stockage de mot de passe à la charge du service que l'utilisateur aura choisi.

Pour finir

Pour finir quelques remarques.
- Il n'existe pas de méthode totalement sûre aujourd'hui et encore moins qui le seront toujours demain.
- N'agissez pas que sur base que votre site n’intéresse personne et que personne n'essayera de le pirater.
- La plupart des faiblesses se basent sur des scénarios catastrophes où l'attaquant à accès à beaucoup de ressources. Scénarios catastrophes mais qui arrive même aux grands sites...
- Faites en sorte que l'utilisateur soit le moins possible responsable de sa sécurité (c'est bien connu, les gens sont cons et la démocratie est une très mauvaise idée)
- Ne jouez pas les experts en essayant de bidouiller quelque chose, laissez ça aux pros.
- Le fait d'utiliser plusieurs fois de suite la même méthode (ex: md5(md5m($pass))) ne renforce pas la sécurité, au contraire des mathématiciens ont montré que cela avait l'effet inverse.
- Faire confiance aux mathématiciens en ce qui concerne la cryptographie (toujours bien de se répéter)
- Ajouter des astuces basiques perso (salt, bourrage pour faire passer un sha256 pour un sha512,...) ne font pas perdre de sécurité, vous protège des attaques "classiques" mais retenez qu'une sécurité basée sur un secret est vouée à l'échec.
- N'oubliez pas que ce n'est qu'un aspect de votre sécurité. Il existe de très nombreux autres aspects de la sécurité auquels il faut penser.

Comme l'iPhone, il ne supporte flash donc n'espérez pas perdre votre temps sur les petits jeux flash ou naviguer sur ces sites full-flash. Steve Jobs semble vouloir enterrer le flash et le montre clairement.
Autre point noir : l'absence du multitâche. Il vous sera impossible d'écouter de la musique en lisant un livre par exemple. Mince c'est pas malin ça... Mais rappelez vous, c'est pas un ordi.

Comme souvent avec les produits à la pomme, il faut passer à la caisse et pas un peu. Comptez de 600 à 800€ pour le modèle 3G. Et pourtant ça n'a pas empêché les plus fan de faire la file devant les apps store de France. Je pense que ce qui m'a toujours plus sidéré voir révolté est de constater ces gens qui font la file tel des moutons pour se faire déplumer (lisez à ce sujet le post d'un odieux connard, ça vaut la peine).

Bien sûr je n'ai pas parlé de la liberté car c'est l'argument le plus avancé par la communauté libre. Toujours comme l'iPhone, pas d'applications qu'Apple n'a autorisé au préalable. Chez Apple on pense pour vous car ça vous évite beaucoup de problème (c'est pas faux mais ça sonne un peu totalitaire dit comme ça).

De plus on le présente souvent en premier comme un lecteur d'ebook. Personnellement je n'ai jamais cru à la réussite des ebooks. On peut lire de court articles sur le net mais dès qu'on arrive à quelque chose tel qu'un roman, il faut passer au support papier. Il ne faut pas forcement essayer de remplacer tout par du numérique. Dans mes auditoires, je vois de nombreuses personnes qui prennent note sur leur ordinateur. Ça a ses avantages (relectures, partage,...) mais pour moi ça ne remplacera pas mes notes à la main, les schéma au crayons, les tuyaux dans la marge et les parties de puissance 4 avec mon voisin.
De nombreux journaux espèrent (à tord selon moi) beaucoup de l'iPad. Le New York Times avait reproché que l'iPad n'était pas adapté à son contenu. Mauvaise fois quand tu nous tient... A l'instar des compagnies de disques qui se donnent du mal à nous empêcher de copier leur disque (à défaut de nous donner envie de les acheter), la presse écrite essaye de nous faire payer pour accéder à l'information. Seulement je pense que c'est un mauvais calcul. Plutôt que d'essayer de faire la même chose que les blogs d'actualité en payant, il faut avoir une plus-value qui nous pousse à allez quand même chercher l'information chez eux (des analyses, des interviews, du professionnalisme,...)

Articles intéressants à lire concernant l'iPad : Pourquoi je n'achèterai pas d'iPad et une réaction Achèterais-je un iPad ? qui permet de nuancer les choses.

Photo