GuiGui's Show

J'ai déjà causé de radvd ici et là.

T'as une box Internet. Elle envoie des messages ICMPv6 Router Advertisement (RA) pour autoconfigurer l'IPv6 sur les postes de travail. Et tu veux déléguer un sous-réseau IPv6 à ton infra située dernière un routeur maison. Mais, sur la box, il n'est pas possible d'ajouter une route statique pour ce réseau. Sans elle, le trafic des postes de travail à destination du réseau infra sera envoyé à la poubelle par la box.

Tu veux donc que le routeur de ton infra informe les postes de travail de l'existence du sous-réseau dédié à l'infra, en annonçant une route. De telle sorte que les postes de travail enverront le trafic pour le réseau de l'infra au routeur de l'infra et non pas à la box.

Facile. radvd.conf sur le routeur de l'infra :

interface eth0 {
    AdvSendAdvert on;
    route 2001:db8::/64 {
    };
};

Mais, alors, le routeur de l'infra s'annonce routeur par défaut IPv6, comme la box et en parallèle, donc plus rien ne fonctionne pour les postes de travail.

Toujours se souvenir qu'un message RA contient la durée de vie d'un routeur et qu'elle sert à préciser l'utilité de son émetteur en tant que routeur par défaut. La valeur 0 signifie que l'émetteur ne doit pas être considéré comme un routeur par défaut.

La config' radvd.conf devient donc :

interface eth0 {
    AdvSendAdvert on;
    AdvDefaultLifetime 0;
    route 2001:db8::/64 {
    };
};

Enregistrement DNS HTTPS. On peut l'utiliser pour signaler les protocoles pris en charge (HTTP/2, HTTP/3, etc.).

Utilisation plus originale :

• Un réseau totalement IPv6. Une seule adresse IPv4 en entrée ;
  
  
• Plusieurs sites web, sur des serveurs différents, pour des clients (au sens commercial) différents. Donc un serveur mandataire inverse IPv4 pour mutualiser le port 443 (https) ;
  
  
• Sur l'un des sites web, authentification des utilisateurs par certificat x509 (= mTLS = mutual TLS) ;
  
  
• L'auth fonctionne en IPv6 puisque l'utilisateur cause directement au serveur (sans mandataire inverse). Mais en IPv4, ça casse, puisque l'utilisateur cause au mandataire inverse qui, lui-même, dialogue avec le serveur web sans disposer de la clé privée de l'utilisateur ;
  
  
• La transmission brute du flux TLS (TLS passthrough) est impossible : dans ce mode, le mandataire inverse transmet aussi la poignée de main TLS, qui contient le nom du site web demandé (SNI), donc impossible de diriger le flux sur le bon serveur web ;
  
  
• Un enregistrement DNS de type HTTPS permet d'indiquer le port TCP (ou QUIC, donc UDP, pour http/3) afin que l'utilisateur n'ait pas à le spécifier dans l'URL. Exemple : 1 . port=444. Obligatoirement le même port en IPv4 et en IPv6. En IPv6, rien ne change. En IPv4, on dédie un port (DNAT) à un site web, et on envoie directement le trafic au serveur web, sans passer par le mandataire inverse. Tadaaaa.

Rappel : BGP propage, pas DNS (ni HTTP). Intéressants, les outils web pour résoudre des noms de domaine via DNS depuis divers points du globe.

On trouve souvent, sur les forums en ligne, des allusions à une « propagation » des informations stockées dans le DNS. Par exemple, une phrase comme « Les informations ont été modifiées au registre, il faut maintenant attendre 24 à 48 heures leur propagation ». Ce terme est-il correct ?

Je ne pense pas. « propagation » fait penser à un mouvement qui se déroule tout seul, une fois la source modifiée. C'est effectivement le fonctionnement de certains protocoles réseau comme BGP (RFC 4271) ou bien Usenet (RFC 5537) où, une fois injectées dans le système, les nouveautés se propagent en effet, sans autre intervention, de machine en machine, jusqu'à atteindre tout l'Internet.

Mais le DNS (RFC 1034) ne fonctionne pas comme cela. Il est pull et pas push, c'est-à-dire que l'information ne se propage pas toute seule mais est demandée par les clients, les résolveurs. Ceux-ci la gardent ensuite dans leur cache, leur mémoire, et reviennent aux serveurs faisant autorité lorsque la durée de séjour dans la mémoire arrive à son terme. Si un résolveur n'avait pas l'information dans son cache, il la demande et il aura tout de suite l'information à jour, sans « propagation ». S'il l'a dans son cache, attendre une hypothétique propagation ne changera rien, l'information nouvelle n'arrivera pas avant l'expiration des données.

Notez au passage que cette expiration est commandée par la source : celle-ci indique dans les données le TTL, c'est-à-dire la durée de vie des données. La source (le serveur faisant autorité) peut donc parfaitement commander le processus de mise à jour, contrairement à ce qui se passe pour BGP, où le routeur d'origine n'a aucune influence sur la propagation. C'est parce que la source (le domaine faisant autorité) choisit le TTL qu'il est possible (et même recommandé), lors d'un changement de données (par exemple migration d'un serveur Web vers un nouvel hébergeur, avec une nouvelle adresse IP) d'abaisser le TTL à l'avance, de manière à ce que la transition soit sans douleur, puis de le remonter après.

Donc, le terme « propagation » est mauvais, car il fait penser à un modèle de mise à jour qui n'est pas celui du DNS. Il vaut donc mieux utiliser un autre terme. Il n'en existe pas de standard alors j'adopte un terme proposé par Michel Py : « réjuvénation ». Il existe dans le dictionnaire et sonne bien. Je souhaite qu'on dise désormais des choses comme « L'AFNIC vient de modifier .fr, il faut maintenant attendre la réjuvénation des données. »

[…]

Un outil intéressant pour regarder la fraîcheur des informations DNS en demandant à des résolveurs DNS ouverts (accessibles à tous) est http://www.migrationdns.com/. Un autre, qui offre plusieurs possibilités intéressantes (demander à des résolveurs ouvertes, demander aux serveurs faisant autorité, etc) est http://www.preshweb.co.uk/cgi-bin/dns-propagation-tracker.pl. Citons enfin http://www.whatsmydns.net/.

And God said "Let there be light"
‒ Can you add support for dark mode

😀️

Et moi je suis un cookie déposé avec consentement…

🤣️

Donc, la raison pour laquelle je fais un article sur le paiement en Chine et pas sur, par exemple, le paiement au Luxembourg ou même en Australie, c'est que la Chine a deux particularités : les cartes « occidentales » comme Visa ne marchent pas, ou très peu, et l'argent liquide est de plus en plus rare. Si certains commerçants l'acceptent encore, il est rare qu'ils rendent la monnaie (puisqu'ils n'en ont pas en caisse).

Comment font les Chinois ? Ils utilisent des applications de paiement sur leur ordiphone, les deux plus connues étant WeChat Pay et Alipay. Et ceux et celles qui n'ont pas d'ordiphone ? Je suppose qu'ils disparaissent rapidement.

Le Chinois typique adosse son application WeChat ou Alipay à son compte en banque local.

Joie. 🤮️ (J'avais déjà lu des choses en ce sens, mais là il s'agit d'un témoignage digne de foi.)

While I try to do my part to destroy the environment, I try not to focus too much on individual responsibility. By pushing for broad policy changes, we can collectively do far more damage to the biosphere than any of us could on our own.

😅️

Le juge des référés du tribunal administratif de Dijon, dans une ordonnance du 18 mars 2026, refuse de suspendre une délibération portant règlement intérieur du conseil municipal de Chalon-sur-Saône, votée le 14 janvier 2026 à l'initiative du maire Gilles Platret. […]

Ce règlement intérieur est ainsi rédigé : "La tenue vestimentaire des conseillers municipaux en séance doit rester neutre et s'apparenter à une tenue de ville. Elle ne saurait être prétexte à l'expression d'une quelconque opinion : est ainsi prohibé le port de tout signe religieux ostensible, d'un uniforme, de logos, de messages commerciaux ou de slogans de nature politique". Une femme membre du conseil municipal et désireuse d'y porter le voile ainsi que le chef de file de l'opposition municipale ont donc saisi en référé le tribunal administratif, dénonçant cette mesure comme une atteinte à la liberté de conscience.

[…]

[…] En effet la loi du 22 décembre 2025 portant création d'un statut de l'élu local énonce désormais que "dans l'exercice de son mandat, l'élu local s'engage à respecter les principes de liberté, d'égalité, de fraternité et de laïcité ainsi que les lois et les symboles de la République". Ces dispositions sont codifiées dans l'article L 1111-13 du code général des collectivités locales. Le juge des référés a d'ailleurs tiré les conclusions qui s'imposent de ce texte en affirmant que "la liberté de conscience d'un membre élu d'un conseil municipal doit être conciliée avec le principe de laïcité qu'il est tenu de respecter".

[…]

L’argument le plus fragile, et pourtant le plus répété par les commentateurs favorables au port de signes religieux, consiste à assimiler les élus à de simples usagers du service public. Ils bénéficieraient donc d’une liberté d’expression quasi absolue, jusqu'au sein du conseil municipal. On retrouve ici les promoteurs d'une laïcité accompagnée d'un adjectif, laïcité ouverte, inclusive etc. Certes, mais cette affirmation relève de la rhétorique, pas de l'analyse juridique.

[…]

Certains commentateurs, comme Nicolas Cadène, s'emploient à contester la décision du juge administratif en développant une conception extensive de la liberté des élus. L'idée générale, réaffirmée à tout propos, est que l'élu, parce qu’il est titulaire d’un mandat, devrait bénéficier d’une liberté d’expression renforcée, incluant la manifestation visible de ses convictions religieuses.

Cette thèse, en apparence très simple, repose sur une confusion entre liberté politique et liberté fonctionnelle. Certes, l'élu a le droit d'exprimer des opinions, y compris religieuses, dans le débat public, et par exemple durant une campagne électorale. Mais, dans l'exercice de sa fonction délibérative, l'affichage de ses convictions reviendrait, en quelque sorte, à privatiser l'exercice d'une fonction publique, à transformer l'organe délibérant en une simple juxtaposition d'opinions individuelles et de convictions personnelles. Or, il est avant tout, et c'est sa nature juridique, un organe collégial de production normative.

Autre analyse : « Visiblement, le JRTA de Dijon s'appuie sur la nouvelle loi du 22 décembre 2025. Mais ce texte impose aux élus le « respect du principe de laïcité » (comme tout citoyen). Et non une obligation de neutralité (comme les agents publics & assimilés)... Rappelons que selon le droit & la jurisprudence applicables jusque là : - Les élus ne sont pas soumis, en soi, au principe de neutralité religieuse (à la grande différence des agents publics ou assimilés). -Et ces élus peuvent donc, en principe, porter des signes religieux ».

Chaque année, la CNIL participe à l’action coordonnée (CEF) du Comité européen à la protection des données (CEPD, qui rassemble l’ensemble des autorités de protection des données de l’UE, dont la CNIL) qui vise essentiellement, en pratique, à une étude et à de collecte d’information dans l’ensemble des États Membres autour d’un thème prédéfini.

PURR a déjà critiqué l’étude réalisée par la CNIL dans le CEF 2024 et les conclusions qu’elle en tirait. Cette étude 2024 portait sur le droit d’accès. La CNIL n’avait alors contrôler que onze organismes, ce qui très peu et ne permet aucunement de tirer de conclusions. Cela peut expliquer des conclusions à l’opposé du constat quotidiennement réalisé par notre association.

[…]

Depuis, la CNIL a publié son bilan du CEF 2025 consacré au droit d’effacement.

La CNIL a donc questionné six organismes lors de contrôles, soit deux fois moins qu’en 2024 ! D’après le rapport du CEPD, c’est autant que le Danemark (qui compte pourtant 10 fois moins d’habitants que la France) ou le Luxembourg (100 fois moins), et bien derrière les grands pays d’Europe de l’Ouest (Portugal : 15 ; Espagne : 17 ; Italie : 42 ; Pays-Bas : 286 ; Suède : 20 ; Finlande : 61 ; Irlande : 40). Nous espérons que la CNIL n’est pas trop fatiguée ! […]

Dès lors, avec un échantillon aussi faible, comment la CNIL pourrait-elle tirer la moindre conclusion sur la situation française et adapter sa régulation ?

[…]

Nos membres ne partagent pas du tout le même constat, la CNIL étant saisie de vingtaines de réclamations à ce sujet, d’ailleurs toujours en instruction depuis des mois voire des années. Le niveau de conformité en pratique est très faible sinon nul : […]

[…]

Néanmoins, puisque la CNIL raffole de la sensibilisation (cela permet des siestes plus amples), le CEPD relève que les responsables de traitement éprouveraient des difficultés à déterminer les durées de conservation (ce qui constitue un manquement au principe de responsabilité, mais passons). En janvier 2025, PURR a informé la CNIL qu’il en allait de même pour les personnes concernées, et que la documentation de la CNIL à ce sujet est imprécise, incomplète, inexistante (selon le secteur d’activité), voire qu’elle régresse (le référentiel 2022 à destination des pharmacies, par exemple). Malgré nos relances, y compris fin décembre 2025, nous n’avons pas obtenu de réponse.

En résumé, ni sanction, ni véritable sensibilisation, ni véritable étude, voilà les pratiques, malheureusement habituelles, de la CNIL.

OSS 117 :
‒ Comment est votre branlette ?
‒ La branlette est bonne

La CNIL publie de la documentation (lignes directrices, recommandations, guide, référentiel) afin d’orienter les responsables de traitement, sa famélique action répressive, et, plus rarement, les personnes concernées.

Durant la préparation, la CNIL réalise des consultations du public… et/ou des concertations privées et opaques sur invitation à sa discrétion, souvent avec les seuls représentants des industriels, ou selon des modalités favorables à ceux-ci (périmètre élargi et/ou flexible, durée, format des réponses, etc.).

[…]

Mais, la CNIL ne s’est pas arrêtée en si bon chemin !

[…]

Donc, deux des plus importants représentants des entités qui nous fliquent le plus [l'Alliance Digitale et le GESTE] ont été de nouveau auditionnés par la CNIL, par son organe de décision, juste avant son examen d’un projet de recommandation lourdement contesté et issu d’une concertation privée de quasiment un an qui leur a fait la part belle. « Un format inhabituel » auquel PURR, et plus largement la société civile, n’a pas été conviée.

La CNIL se renferme toujours plus dans son opacité, sa compromission avec les acteurs qu’elle est censée réguler n’en est que toujours plus évidente, et elle s’éloigne toujours plus des personnes concernées qu’elle est censée protéger qui, dès lors ne peuvent plus avoir confiance en elle.

PURR s’oppose vivement à ces pratiques délétères de la CNIL.

Étonnamment, quand notre Association avait, elle, demandé à rencontrer la CNIL, nous avions été explicitement refusé au motif d’un manque de disponibilité de son Secrétaire Général, puis totalement ignoré par sa Présidente qui n’avait même pas répondu à notre courrier.

Rigolez pas, c'est avec votre pognon que la CNIL fait ça, environ 30 millions d'euros par an. 😡️