GuiGui's Show

+ Benjamin Bayart : comment la neutralité du net a été défendue en Europe | LBCN - Partie 2
+ Benjamin Bayart : les plateformes menacent-elles l’Internet ouvert ? | LBCN - Partie 3
+ Benjamin Bayart : Internet peut-il rester un espace libre ? | LBCN - Partie 4

Historique de la vie associative de Bayart, présidence de FDN puis FFDN, paysage associatif d'il y a 20 ans (April, Association des Utilisateurs d'Internet ‒ AUI ‒, qui ne se parlent pas), conférence Minitel 2.0 et convergence logiciel libre et réseaux libres, combats (notamment la neutralité du Net), et les quatre principaux marronniers autour d'Internet (féodalisme ‒ ça serait à Facebook de faire la loi chez lui ‒, responsabilité des intermédiaires techniques, surveillance généralisée de la population / volonté de contrôle, et absence de distinction entre interdire et empêcher donc entre un régime de liberté et de sanction a posteriori et un régime totalitaire, paternaliste, sans initiatives).

Beaucoup d'intéressantes digressions philosophiques, d'anthropologie politique, et politiques (dans le bon sens du terme). La hauteur de vue de Bayart demeure impressionnante (sans pour autant que je partage une possible causalité entre une organisation sociale observable sur Internet issue de contraintes techniques et des faits hors Internet).

L'une des digressions les plus intéressantes est le fait que l'administrateur (root), l'intermédiaire technique, est inévitable et qu'il a tous les droits. On ne sait pas le lui retirer techniquement. Pour Bayart, la décentralisation et la fédération à-la-fediverse est un moyen de juguler son pouvoir. Quentin objecte qu'il manque quelque chose, comme un Parlement, pour définir la règle commune, et qu'on a donc une fédération de tyrannies. Benjamin répond que c'est moins pire qu'un média social centralisé, que c'est moins compliqué de changer d'instance que de déménager dans un autre pays pour fuir une dictature, et qu'on n'a pas mieux.

Une société ouverte, démocratique, etc., amène nécessairement la liberté d'entreprendre, mais pas l'inverse. D'où Benjamin se bat d'abord pour les droits et les libertés fondamentales des personnes physiques, qui incluent la libre entreprise.

On retrouve également l'idée que les mots, le langage, ne permettent pas seulement d'exprimer des concepts, de les transmettre, mais qu'ils nous permettent de conceptualiser. Exemple : le glissement d'« exploité », courant il y a encore 50 ans, à « pauvre » ; dans le premier cas, on cherche qui est l'exploiteur et on corrige le tir à la racine par un jeu de pouvoir / contre-pouvoirs, alors que, dans le second, il n'y a pas de responsable, la pauvreté est arrivé comme ça, c'est tout, on n'est pas tous égaux, et on va corriger avec de la redistribution de miettes du gâteau. Quentin embraye sur le fait que le langage n'est pas toujours performatif et qu'il ne se suffit pas à lui-même pour faire advenir un changement. Typiquement, l'écriture inclusive permet de mettre en exergue un problème et d'en débattre, mais elle ne résoudra pas l'inégalité hommes-femmes. Ce n'est pas Internet qui a fait les révolutions arabes du début des années 2010, mais les citoyens dans les rues, Internet n'a fait que diffuser et amplifier cela.

Épisodes les plus intéressants : 2 et 4. Le 1 est historique et décousu. Dans le 3, censé être centré sur le modèle de pensée féodal, ça part dans tous les sens.

D'une manière générale, Quentin interrompt trop souvent Benjamin.

En France, la société commerciale états-unienne IQVIA met en œuvre deux entrepôts de données de santé : LRX pour les délivrances de médicaments issues des pharmacies, et EMR pour les consultations (diagnostics, symptômes, prescriptions, résultats d’examen, etc.) auprès de médecins généralistes. La CNIL a autorisé LRX en 2018 et EMR en 2021.

La moitié des pharmacies françaises envoient leurs données à IQVIA, qui détient ainsi des données médicales sur 40 millions de Français⋅e⋅s. En échange, elles obtiennent des études des ventes, qui leur permettent, soi-disant, de mieux gérer leur stock, d’anticiper les tendances, et de piloter leur affaire.

En 2021, Cash investigation s’est penchée sur LRX, et a relevé plusieurs manquements au RGPD.

Cinq ans plus tard, le 26 mars 2026, la formation restreinte, l’organe de sanction de la CNIL, s’est penchée sur LRX et IQVIA. PURR a assisté à la séance.

Le rapporteur a soulevé les griefs suivants :

• Les clients des pharmacies n’ont pas été informés du transfert de leurs données médicales à IQVIA. L’autorisation de la CNIL prévoyait une information individuelle.
  
  
• Cash investigation avait relevé que ce n’était pas le cas. Le président de la Fédération des syndicats pharmaceutiques de France résumait même cette obligation à des affichettes. IQVIA n’a pas contrôlé le respect de cette obligation […] IQVIA s’est défendue que la CNIL ne lui aurait pas répondu sur le contrôle des pharmacies […] PURR rappelle que les responsables de traitement comme IQVIA agissent en responsabilité, ce n’est pas à la CNIL de les prendre par la main
  
  
• L’opposition des clients, prévue dès l’autorisation CNIL, n’est toujours pas mise en œuvre dans EMR. Elle l’est dans LRX… Suite à Cash investigation
  
  
• Concernant la sécurité des données, IQVIA était très perfectible en matière de segmentation réseau, de traçabilité des accès, et de droits d’accès (= autorisations / habilitations). Notre ressenti est que, comme sur l’information, IQVIA misait tout sur la prétendue anonymisation des données. L’autorisation de la CNIL prévoit un contrôle des accès ; IQVIA aurait interrogé la CNIL pour des informations complémentaires, mais elle n’aurait pas obtenu de réponse, donc elle n’a rien fait… […]
  
  
• Manquement à l’obligation d’une protection par défaut des données.

L’anonymisation n’en est pas une : […] Le président d’IQVIA France a déclaré à Cash investigation qu’il était possible de réidentifier une personne dans le cas de maladies rares. Dans une conférence exhumée par Cash, le même reconnaît la possibilité de réidentifications plus larges par recoupement. De même, un commercial avait affirmé à Cash investigation, qui se faisait passer pour une cliente, qu’il y a un suivi d’une même personne entre les pharmacies grâce à un identifiant, ce qu’IQVIA a nié devant la formation restreinte

[…]

Le rapporteur a proposé que les mesures correctrices soient une amende de 5 millions d’euros, une injonction de mise en conformité, et une publicité de la décision afin que le plus grand nombre de personnes puissent exercer leurs droits.

[…]

Si IQVIA déplore la lenteur de la CNIL, PURR ne peut qu’en faire de même : Cash investigation diffusé en mai 2021, séance de la formation restreinte cinq ans plus tard…

Nous regrettons également la faiblesse de la réaction de la CNIL : aucune suppression des données mal acquises, et montant de l’amende proposée largement en deçà de la gravité des manquements et du profit retiré par IQVIA sur la période (un de ses commerciaux affirmait à Cash investigation, qui se faisait passer pour une potentielle cliente, qu’une étude IQVIA pour une pathologie, c’est 20 k€ minimum).

On passe également d’une déclaration CNIL pour des « études [d’intérêt public] visant à l’évaluation de la bonne utilisation du médicament en vie réelle, l’analyse scientifique et statistique des phénomènes liés à la persistance, la conformité, le respect des prescriptions et des contre-indications », à des études de marché…

Après avoir raté le coche de l'IA générative, les Autorités européennes de protection des données à caractère personnel, dont la CNIL, sont en train de rater le boom des lunettes connectées. 😑️

La CNIL a mis neuf mois pour juste répondre qu'elle ne fera rien (je traduis)… Qu'est-ce que tu veux faire avec ça…

Plusieurs marques, dont Ray-Ban (EssilorLuxottica) et Oakley, proposent, en partenariat avec Meta (Facebook, Instagram, WhatsApp, …), des lunettes connectées / intelligentes / IA, c’est-à-dire équipées d’une caméra, d’électronique, d’une connexion à Internet et, possiblement, d’un assistant IA. Que pourrait-il mal se passer ?

Google avait lancé ses Glass il y a 15 ans, mais, en France, elles n’ont pas rencontré le grand public. Les lunettes Meta, elles, sont vendues par des opérateurs télécoms, comme SFR ou Orange, et par des opticiens. Les lunettes Oakley sont promues par des égéries. Les ventes ont explosé (lire aussi).

Pour PURR, ces lunettes appellent une écrasante majorité d’usages prohibés par le RGPD : enregistrement furtif, image et son, des espaces publics et privés sans information, ni loyauté, ni consentement, donc exercice des droits impossible (accès, opposition, …), publication de la vidéo, y compris en direct, transfert et/ou analyse par Meta (de la vidéo ou de données biométriques ou …), etc.

Les usages illicites [documentés par la presse] ne manquent pas : […]

Le web regorge de tutoriels et d’astuces pour désactiver ou retirer le témoin lumineux indiquant qu’un enregistrement vidéo est en cours. Déjà que ce témoin [lumineux] est insuffisant pour informer en cela qu’il est invisible en plein soleil, par des personnes malvoyantes, sans être en face, etc, et qu’il ne délivre pas les informations obligatoires sur le traitement déjà en cours (articles 13 et 14 du RGPD).

Meta planifie l’ajout de la reconnaissance faciale en étant consciente des problèmes éthiques. Elle compte même sur la dispersion des opposants sur les nombreuses problématiques actuelles (Trump, etc.) pour éviter les critiques et recours contre les traitements qu’elle sait être illicites. Une telle fonctionnalité pouvait déjà être fait maison.

Dès la fin 2024, un de nos membres a déposé une plainte auprès de la CNIL, qui n’en a eu que faire. Par suite, il a déposé deux nouvelles plaintes, dont l’une est toujours en cours de traitement, nous allons y revenir.

Après l’animation du débat public par, entre autres, PURR, la CNIL avait répondu aux médias : seul un usage domestique de ces lunettes, sans publication ultérieure, est licite, les personnes qui sont filmées doivent être informées et elles doivent pouvoir exercer leurs droits RGPD, et l’enregistrement dans un lieu privé peut constituer une infraction pénale. Exactement ce que soutient PURR donc.

Ainsi, dès le 20 juin 2025, PURR a demandé à la CNIL d’adopter une interdiction provisoire de l’usage des lunettes Meta sur le territoire français, et de solliciter le Comité européen à la protection des données (CEPD) sur une décision contraignante urgente. (L’Italie y avait procédé contre ChatGPT, et la Norvège à l’encontre d’une extension pour navigateur web.) Nous avons réitéré notre demande en août, novembre, et février 2026.

Au regard de la facilitation et de la prédominance des usages illicites et de leur fort impact sur la protection des personnes, nous déplorons que la CNIL ne déclenche pas une procédure d’urgence.

Nous ne croyons pas à une action coordonnée par la DPC irlandaise. D’une part, une telle procédure sera trop lente pour aboutir dans un temps utile à l’adoption de mesures correctrices. D’autre part, la collusion entre Meta et la DPC, notamment par un jeu de portes-tournantes, n’est plus à démontrer.

PURR a sollicité un réexamen de sa demande de déclenchement d’une procédure d’urgence à l’encontre de ces lunettes Meta.

J'ai déjà causé de radvd ici et là.

T'as une box Internet. Elle envoie des messages ICMPv6 Router Advertisement (RA) pour autoconfigurer l'IPv6 sur les postes de travail. Et tu veux déléguer un sous-réseau IPv6 à ton infra située dernière un routeur maison. Mais, sur la box, il n'est pas possible d'ajouter une route statique pour ce réseau. Sans elle, le trafic des postes de travail à destination du réseau infra sera envoyé à la poubelle par la box.

Tu veux donc que le routeur de ton infra informe les postes de travail de l'existence du sous-réseau dédié à l'infra, en annonçant une route. De telle sorte que les postes de travail enverront le trafic pour le réseau de l'infra au routeur de l'infra et non pas à la box.

Facile. radvd.conf sur le routeur de l'infra :

interface eth0 {
    AdvSendAdvert on;
    route 2001:db8::/64 {
    };
};

Mais, alors, le routeur de l'infra s'annonce routeur par défaut IPv6, comme la box et en parallèle, donc plus rien ne fonctionne pour les postes de travail.

Toujours se souvenir qu'un message RA contient la durée de vie d'un routeur et qu'elle sert à préciser l'utilité de son émetteur en tant que routeur par défaut. La valeur 0 signifie que l'émetteur ne doit pas être considéré comme un routeur par défaut.

La config' radvd.conf devient donc :

interface eth0 {
    AdvSendAdvert on;
    AdvDefaultLifetime 0;
    route 2001:db8::/64 {
    };
};

Enregistrement DNS HTTPS. On peut l'utiliser pour signaler les protocoles pris en charge (HTTP/2, HTTP/3, etc.).

Utilisation plus originale :

• Un réseau totalement IPv6. Une seule adresse IPv4 en entrée ;
  
  
• Plusieurs sites web, sur des serveurs différents, pour des clients (au sens commercial) différents. Donc un serveur mandataire inverse IPv4 pour mutualiser le port 443 (https) ;
  
  
• Sur l'un des sites web, authentification des utilisateurs par certificat x509 (= mTLS = mutual TLS) ;
  
  
• L'auth fonctionne en IPv6 puisque l'utilisateur cause directement au serveur (sans mandataire inverse). Mais en IPv4, ça casse, puisque l'utilisateur cause au mandataire inverse qui, lui-même, dialogue avec le serveur web sans disposer de la clé privée de l'utilisateur ;
  
  
• La transmission brute du flux TLS (TLS passthrough) est impossible : dans ce mode, le mandataire inverse transmet aussi la poignée de main TLS, qui contient le nom du site web demandé (SNI), donc impossible de diriger le flux sur le bon serveur web ;
  
  
• Il est possible d'écrire un programme qui lit le SNI dans la poignée de main TLS, qui initie une connexion réseau vers le bon serveur web, et qui recopie tout le flux réseau (y compris, donc, les paramètres TLS) entre la connexion avec l'utilisateur et celle avec le serveur, et inversement. snid fait cela. Il est empaqueté dans Debian. Ça fonctionne aussi avec l'extension facultative TLS Encrypted Client Hello de TLS 1.3. ECH fonctionne avec un nom public (qui n'est pas censé révéler la vraie destination, comme ech.cloudflare.com, par ex.) et un nom privé et chiffré (qui est la destination réelle). Pour faire de la recopie de flux, il suffit donc d'annihiler TLS ECH en choisissant un nom public qui révèle au moins partiellement la destination ;
  
  
• Un enregistrement DNS de type HTTPS permet d'indiquer le port TCP (ou QUIC, donc UDP, pour http/3) afin que l'utilisateur n'ait pas à le spécifier dans l'URL. Exemple : 1 . port=444. Obligatoirement le même port en IPv4 et en IPv6. En IPv6, rien ne change. En IPv4, on dédie un port (DNAT) à un site web, et on envoie directement le trafic au serveur web, sans passer par le mandataire inverse. Tadaaaa.

Rappel : BGP propage, pas DNS (ni HTTP). Intéressants, les outils web pour résoudre des noms de domaine via DNS depuis divers points du globe.

On trouve souvent, sur les forums en ligne, des allusions à une « propagation » des informations stockées dans le DNS. Par exemple, une phrase comme « Les informations ont été modifiées au registre, il faut maintenant attendre 24 à 48 heures leur propagation ». Ce terme est-il correct ?

Je ne pense pas. « propagation » fait penser à un mouvement qui se déroule tout seul, une fois la source modifiée. C'est effectivement le fonctionnement de certains protocoles réseau comme BGP (RFC 4271) ou bien Usenet (RFC 5537) où, une fois injectées dans le système, les nouveautés se propagent en effet, sans autre intervention, de machine en machine, jusqu'à atteindre tout l'Internet.

Mais le DNS (RFC 1034) ne fonctionne pas comme cela. Il est pull et pas push, c'est-à-dire que l'information ne se propage pas toute seule mais est demandée par les clients, les résolveurs. Ceux-ci la gardent ensuite dans leur cache, leur mémoire, et reviennent aux serveurs faisant autorité lorsque la durée de séjour dans la mémoire arrive à son terme. Si un résolveur n'avait pas l'information dans son cache, il la demande et il aura tout de suite l'information à jour, sans « propagation ». S'il l'a dans son cache, attendre une hypothétique propagation ne changera rien, l'information nouvelle n'arrivera pas avant l'expiration des données.

Notez au passage que cette expiration est commandée par la source : celle-ci indique dans les données le TTL, c'est-à-dire la durée de vie des données. La source (le serveur faisant autorité) peut donc parfaitement commander le processus de mise à jour, contrairement à ce qui se passe pour BGP, où le routeur d'origine n'a aucune influence sur la propagation. C'est parce que la source (le domaine faisant autorité) choisit le TTL qu'il est possible (et même recommandé), lors d'un changement de données (par exemple migration d'un serveur Web vers un nouvel hébergeur, avec une nouvelle adresse IP) d'abaisser le TTL à l'avance, de manière à ce que la transition soit sans douleur, puis de le remonter après.

Donc, le terme « propagation » est mauvais, car il fait penser à un modèle de mise à jour qui n'est pas celui du DNS. Il vaut donc mieux utiliser un autre terme. Il n'en existe pas de standard alors j'adopte un terme proposé par Michel Py : « réjuvénation ». Il existe dans le dictionnaire et sonne bien. Je souhaite qu'on dise désormais des choses comme « L'AFNIC vient de modifier .fr, il faut maintenant attendre la réjuvénation des données. »

[…]

Un outil intéressant pour regarder la fraîcheur des informations DNS en demandant à des résolveurs DNS ouverts (accessibles à tous) est http://www.migrationdns.com/. Un autre, qui offre plusieurs possibilités intéressantes (demander à des résolveurs ouvertes, demander aux serveurs faisant autorité, etc) est http://www.preshweb.co.uk/cgi-bin/dns-propagation-tracker.pl. Citons enfin http://www.whatsmydns.net/.

And God said "Let there be light"
‒ Can you add support for dark mode

😀️

Et moi je suis un cookie déposé avec consentement…

🤣️

Donc, la raison pour laquelle je fais un article sur le paiement en Chine et pas sur, par exemple, le paiement au Luxembourg ou même en Australie, c'est que la Chine a deux particularités : les cartes « occidentales » comme Visa ne marchent pas, ou très peu, et l'argent liquide est de plus en plus rare. Si certains commerçants l'acceptent encore, il est rare qu'ils rendent la monnaie (puisqu'ils n'en ont pas en caisse).

Comment font les Chinois ? Ils utilisent des applications de paiement sur leur ordiphone, les deux plus connues étant WeChat Pay et Alipay. Et ceux et celles qui n'ont pas d'ordiphone ? Je suppose qu'ils disparaissent rapidement.

Le Chinois typique adosse son application WeChat ou Alipay à son compte en banque local.

Joie. 🤮️ (J'avais déjà lu des choses en ce sens, mais là il s'agit d'un témoignage digne de foi.)

While I try to do my part to destroy the environment, I try not to focus too much on individual responsibility. By pushing for broad policy changes, we can collectively do far more damage to the biosphere than any of us could on our own.

😅️