Daily - GuiGui's Show

GuiGui's Show - Saturday 17 May 2025

Sat, 17 May 2025 00:00:00 +0200

Le direct de France 3 sur Internet sans compte et avec VLC

Sat May 17 21:04:36 2025 -
http://shaarli.guiguishow.info/?itO2lg

On ne peut plus regarder le direct de France 3 sans compte sur leur site web :

$ yt-dlp https://www.france.tv/france-3/direct.html
[francetv:site] Extracting URL: https://www.france.tv/france-3/direct.html
[francetv:site] direct: Downloading webpage
ERROR: [francetv:site] direct: Unable to extract video ID;

Je n'ai pas envie d'avoir un compte France TV. Ce n'est pas nécessaire à la finalité que j'entends poursuivre. Rajouter du flicage, non merci, il y en a déjà assez comme ça (journaux des serveurs web, cookies, traceurs, etc.).

Je récupère une liste de lecture. https://github.com/iptv-org/iptv a bien tourné sur l'une des rivières de shaarlis y a quelque temps. On cherche France 3 dans la liste des chaînes FR :

$ curl https://iptv-org.github.io/iptv/countries/fr.m3u 2>/dev/null | grep -B1 'france3'
#EXTINF:-1 tvg-id="France3.fr" tvg-logo="https://upload.wikimedia.org/wikipedia/commons/thumb/d/dd/France_3_2018.svg/512px-France_3_2018.svg.png"; group-title="General",France 3 (1080p) [Geo-blocked]
https://raw.githubusercontent.com/Paradise-91/ParaTV/main/streams/francetv/france3.m3u8

`vlc` ne parvient pas à la lire :

$ cvlc https://raw.githubusercontent.com/Paradise-91/ParaTV/main/streams/francetv/france3.m3u8
VLC media player 3.0.21 Vetinari (revision 3.0.21-0-gdd8bfdbabe8)
[0000555739c375b0] dummy interface: using the dummy interface module...
[00007f0fc4001170] http demux error: local stream 1 error: Cancellation (0x8)
[00007f0fc4001170] adaptive demux error: Failed to create demuxer (nil) Unknown
[00007f0fc4001170] http demux error: local stream 3 error: Cancellation (0x8)
[00007f0fc4001170] adaptive demux error: Failed to create demuxer (nil) Unknown
[00007f0fc4001170] http demux error: local stream 5 error: Cancellation (0x8)
[00007f0fc4001170] adaptive demux error: Failed to create demuxer (nil) Unknown

(Vive les messages d'erreur peu explicites…)

`yt-dlp` y arrive mais ça ne sert à rien : tant que le téléchargement n'est pas terminé, le fichier vidéo est illisible avec VLC. On peut chaîner yt-dlp et vlc (`yt-dlp -o - https://raw.githubusercontent.com/Paradise-91/ParaTV/main/streams/francetv/france3.m3u8 | vlc -`), mais, après quelques dizaines de secondes, pouf, plus de son.

Je ne comprends pas pour quoi vlc ne parvient pas à lire la liste de lecture d'iptv-org, car curl (ou `wget`) la récupère et qu'elle semble parfaitement valide. J'observe néanmoins qu'elle contient les URL officielles de France TV, ce n'est pas une rediffusion. Étant abonné à un [Fournisseur d'Accès à Internet associatif](https://ffdn.org/), je pense tout de suite à un blocage par IP, notamment car la liste de lecture FR expose clairement « [Geo-blocked] » (cf. ci-dessus) et qu'Akamai, le CDN utilisé par France TV, comme tous les géants du secteur, a tendance à considérer que mon FAI n'est pas digne de confiance. Je route le trafic dans des VPN sortant chez des opérateurs FR et considérés comme de confiance par les grands noms du CDN, mais ça ne fonctionne pas mieux.

Quelque chose m'interpelle : curl ou yt-dlp peuvent récupérer le flux via l'URL officielle contenue dans la playlist d'iptv-org, mais pas vlc :

$ curl -sv https://simulcast-p.ftven.fr/ZXhwPTE3NDc1Mjc0OTV+YWNsPSUyZip+aG1hYz0xNWQzNTU0YjdkZjIzMjk4OWMyYTMyY2RiYTRiM2RlMjI5MzQ5YzYzNDY4YmE2N2Q5YjAxNDZmMjQ2ZmEwMTEz/simulcast/France_3/hls_fr3/France_3-mp4a_96000_fra=1.m3u8 >/dev/null
[…]
< HTTP/2 200
[…]

$ cvlc https://simulcast-p.ftven.fr/ZXhwPTE3NDc1Mjc0OTV+YWNsPSUyZip+aG1hYz0xNWQzNTU0YjdkZjIzMjk4OWMyYTMyY2RiYTRiM2RlMjI5MzQ5YzYzNDY4YmE2N2Q5YjAxNDZmMjQ2ZmEwMTEz/simulcast/France_3/hls_fr3/France_3-mp4a_96000_fra=1.m3u8
VLC media player 3.0.21 Vetinari (revision 3.0.21-0-gdd8bfdbabe8)
[000055b9470db500] dummy interface: using the dummy interface module...
[00007f6330001a70] access stream error: HTTP 403 error
[00007f6330001a70] http stream error: local stream 1 error: Cancellation (0x8)

Erreur HTTP 403 (accès interdit) pour vlc mais pas pour curl, depuis la même IP. Ça ne sentirait pas le blocage par user-agent (modèle et version du logiciel) ? (`--http-user-agent` ne fonctionne pas, il faut bien utiliser `:http-user-agent=` qui modifie le comportement qu'aura vlc avec le flux qui le précède. [Source](https://stackoverflow.com/questions/50108330/how-to-set-http-user-agent-for-vlc).)

vlc https://raw.githubusercontent.com/Paradise-91/ParaTV/main/streams/francetv/france3.m3u8 :http-user-agent='curl/7.88.1'

C'est bien ça…

Conclusion : `vlc https://raw.githubusercontent.com/Paradise-91/ParaTV/main/streams/francetv/france3.m3u8 :http-user-agent='curl/7.88.1'` pour regarder FR3.

C'est consternant de se faire autant emmerder par le service public de l'audiovisuel. Public, mais pas trop.

GuiGui's Show - Tuesday 13 May 2025

Tue, 13 May 2025 00:00:00 +0200

Alerte référendum ! - Groland - CANAL+ - YouTube

Tue May 13 21:49:23 2025 -
https://www.youtube.com/watch?v=Zk4A2_o5PNk

Référendums en permanence. « Vous voyez, vous êtes encore plus nuls que moi ! » 🤣️

GuiGui's Show - Sunday 4 May 2025

Sun, 04 May 2025 00:00:00 +0200

Carte aux trésors 2025

Sun May 4 18:26:46 2025 -
http://shaarli.guiguishow.info/?HGSsJQ

Depuis vendredi dernier (2 mai), une nouvelle saison inédite du jeu télévisé *[La Carte aux trésors](/?sBrvZQ)* est diffusée les vendredis soirs sur France 3. \o/

Noms de domaine : changer de bureau d'enregistrement

Sun May 4 15:21:55 2025 -
http://shaarli.guiguishow.info/?hCft1w

La semaine dernière, j'ai remplacé l'entité qui gère commercialement mes noms de domaine. C'était la première fois que je changeais de bureau d'enregistrement. Retour d'expérience.

Si t'as du mal à visualiser ce qu'est un registre de noms de domaine, un bureau d'enregistrement, etc., je te renvoie à cet [excellent guide de l'Anssi](http://www.ssi.gouv.fr/entreprise/guide/bonnes-pratiques-pour-lacquisition-et-lexploitation-de-noms-de-domaine/), notamment au schéma page 7 et aux explications à partir de la page 9. Pour une explication détaillée du fonctionnement d'un bureau d'enregistrement, voir cet [excellent article de l'Afnic](https://www.afnic.fr/observatoire-ressources/papier-expert/ce-qui-se-passe-dans-un-bureau-denregistrement-be/).

### Pourquoi ?

Ma première motivation a été **le prix**.

En 2023, j'écrivais que les tarifs TTC de Gandi, mon bureau d'enregistrement actuel, [ont gonflé de 56 % en 9 ans](/?4GdHxg). En 2024, nouvelle hausse de 13 € TTC par rapport à 2023, soit une hausse de 99 % en 10 ans, c'est-à-dire un doublement du prix (renouvellement d'un .info et d'un .fr pour 1 an en 2014 : 30,08 € TTC ; en 2024 : 59,98 € TTC).

Ça n'allait pas s'arrêter là : [dans une de ses notes](https://blog.genma.fr/?Notes-hebdomadaires-No14-15-Semaine-du-02-septembre-2024-au-15-septembre-2024), Genma relatait une nouvelle augmentation conséquente des tarifs de Gandi. J'ai donc vérifié sa [grille tarifaire](https://www.gandi.net/fr/domain/tld). Effectivement, en 2025, le renouvellement de mes deux noms allait passer de 59,98 € TTC à 100,78 € TTC, soit une nouvelle hausse de 68 % en un an, et un **triplement en 11 ans**.

Comme [je l'ai expliqué en 2023]((/?4GdHxg)), les registres dont je dépends n'ont (quasi) pas augmenté le prix qu'ils facturent aux bureaux d'enregistrement. (Exemple : [l'Afnic facture 5,07 € HT une opération](https://www.afnic.fr/noms-de-domaine/faq/#combien-coutent-enregistrement-renouvellement-nom-de-domaine) sur les domaines qu'elle gère, dont .fr.)

Johndescs m'a informé que, lors du renouvellement d'un de ses domaines dans un TLD différent des miens, Gandi ne l'a pas facturé selon la grille tarifaire publique, mais à un prix insignifiant rendant caduque toute velléité de changement. Peut-être une promotion ponctuelle et/ou sur un TLD précis. J'ai appris cela alors que le transfert d'un de mes domaines était en cours, donc, afin de ne pas embrouiller leur système d'information et bloquer mon domaine en simulant un renouvellement en parallèle, je n'ai pas pu vérifier si Gandi m'aurait proposé un bon prix. De toute façon, je n'aime pas les promotions (temporaires).

Le seul service que j'utilise, c'est l'intermédiation avec les registres (Afnic pour mon .fr, Identity Digital ‒ ex-Afilias ‒ pour mon .info). Je suis mon hébergeur DNS. Je suis mon fournisseur de boîtes emails, etc. Mes interactions avec les registres se limitent à un renouvellement annuel et à un changement de délégation signée (DNSSEC) par an. Ça ne justifie pas cette explosion des tarifs.

Évidemment, je sais mutualiser (cotiser pour d'autres) et encourager un petit acteur français plutôt que de renforcer de gros acteurs hégémoniques à la OVH ou Scaleway. Mais depuis 2023, les [boîtes emails de Gandi sont devenues payantes](https://news.gandi.net/fr/2023/06/faq-nouvelle-offre-boite-e-mail-gandi/), donc il m'est difficile de les proposer à des Moldus, et, en 2023, Gandi a fusionné avec le groupe néerlandais TWS (Your.Online), ce qui ne correspond pas à ma conception de « petit acteur français ».

Bref, **les tarifs de Gandi ne se justifient plus, ni par les services que je consomme, ni par des idéaux** (mutualisation, petit acteur français).

Ma deuxième motivation a été que Gandi s'est foutu de moi en matière de **prospection et d'utilisation de mes données à caractère personnel** (DCP).

En juillet 2024, comme d'autres clients, j'ai reçu un email de Gandi pour me vanter son « pack Sécurité DNS+ » payant. J'estime qu'il s'agit de prospection commerciale que je n'ai pas sollicité. Des options gratuites ([MFA](https://fr.wikipedia.org/wiki/Authentification_multi-facteurs), [DNSSEC](http://www.guiguishow.info/2012/08/21/domain-name-system-attaques-et-securisation/#toc-2827-dnssec), [verrous registre](https://www.afnic.fr/produits-services/services-associes/fr-lock/) et bureau d'enregistrement, etc.) permettent d'atteindre un objectif de sécurité raisonnable. Le but est de vendre un sur-service. Gandi n'étant pas mon hébergeur DNS, je ne suis même pas éligible à ce service. De plus, l'email joue sur la peur (JOP 2024, « cybermenaces », olala), et je n'aime pas ça, d'autant que l'article censé appuyer les menaces encourues ne provient pas d'une source sûre, date de 2023, porte sur les seules institutions financières, et préconise DNSSEC (et non les fonctionnalités comprises dans le pack Sécurité DNS+). Bref, pour moi Gandi a merdé.

La première réponse de Gandi à ma demande [RGPD](https://fr.wikipedia.org/wiki/R%C3%A8glement_g%C3%A9n%C3%A9ral_sur_la_protection_des_donn%C3%A9es) ne répondait pas à l'ensemble de mes questions (alors que Gandi y était contraint par ledit RGPD), la suivante n'était pas à la hauteur, niant à moitié le caractère promotionnel du message, pour, ensuite, s'enfoncer dans le silence face à ma démonstration dudit caractère promotionnel. Je n'aime pas cette attitude : si Gandi se braque sur ce minuscule problème d'usage de données à caractère personnel (DCP), qu'est-ce que ça doit être lors d'atteintes plus sévères. Je ne peux plus avoir confiance en Gandi pour gérer mes DCP. Au-delà de la gestion de DCP, il s'agit de la non-reconnaissance d'une erreur. Quand une personne ou une entité s'y refuse, c'est généralement mauvais signe.

### À savoir lors d'un changement de bureau d'enregistrement

#### Changement de bureau = renouvellement 1 an

Si j'ai été aussi indécis et lent à changer de bureau d'enregistrement, c'est que je pensais que le prix du transfert n'englobait que celui-ci, et qu'il fallait donc le cumuler avec le prix du renouvellement. Du coup, il fallait une explosion des tarifs de Gandi pour que l'opération soit profitable (ce qui est devenu le cas depuis septembre 2024). Or, ce n'est pas le cas : usuellement, un **transfert (changement de bureau) prolonge d'un an la durée d'expiration du nom de domaine** (a priori, certains registres ont une politique différente).

Le point de départ de cette prolongation diffère selon les registres. Certains ajoutent un an à la date habituelle de renouvellement. D'autres ajoutent un an à la date du transfert. Dans ce deuxième cas, le titulaire perd le pro-rota entre la date usuelle de renouvellement et la date de transfert. (Exemples deux paragraphes plus bas.)

Tu trouveras des documentations, comme [celle de BookMyName](https://fr.faqs.bookmyname.com/frfaqs/transfert) (Scaleway), qui affirment que l'Afnic (.fr, entre autres) ajoute un an à la date de transfert. Comme le consigne les guides des procédures de l'Afnic, si c'était le cas [avant 2022](https://www.afnic.fr/wp-media/uploads/2021/03/Afnic-_Guide_Des_procedures.pdf), ce n'est [plus le cas](https://www.afnic.fr/wp-media/uploads/2022/10/Guide-des-procedures-Afnic-VF.pdf) depuis fin 2022 (page 13) : **l'Afnic ajoute un an à la date d'expiration**.

Je cite les guides de procédures de l'Afnic : « Changement date d’expiration : Oui. La date d’expiration du nom de domaine est prolongée d’une année. Par exemple si la date initiale d’expiration du nom de domaine est le 20/06/2022 et que le transfert du nom de domaine abouti la nouvelle date d’expiration du nom de domaine sera alors le 20/06/2023. ». Avant : « Oui. Par exemple si la date initiale d’expiration du nom de domaine est le 20/06/2016 et que la fin du transfer a lieu le 08/05/2016, la nouvelle date d’expiration sera le 08/05/2017 (prise en compte de la date de l’opération) ». Je peux témoigner que, désormais, c'est bien un an à partir de la date d'expiration.

(J'ai signalé à BookMyName l'obsolescence de sa documentation, j'ai reçu l'habituelle réponse polie « balek, frérot » aka « merci, on regardera un jour peut-être ».)

#### Levée de la restriction sur le transfert (changement de bureau d'enregistrement)

Dans tes calculs sur la durée d'un changement de bureau d'enregistrement, il faut prendre en compte la levée de la protection contre les transferts (« clientTransferProhibited ») par ton bureau d'enregistrement actuel (sortant).

Le délai d'attente semble être à la discrétion du bureau d'enregistrement sortant. **Chez Gandi, si la [MFA](https://fr.wikipedia.org/wiki/Authentification_multi-facteurs) n'est pas activée, un délai d'attente automatisé de 3 jours (de minute à minute) est imposé**.

Là encore, tu trouveras des documentations obsolètes, comme [celle de Gandi](https://docs.gandi.net/fr/noms_domaine/faq/transferts.html#comment-puis-je-deverrouiller-mon-domaine-enlever-la-protection-contre-le-transfert), qui affirment que l'Afnic ne propose pas de verrouillage contre les changements indésirés de bureau d'enregistrement. Pourtant, j'ai bien dû demander la levée de cette restriction et, dans les bases de données publiques, je constate sa présence (« eppstatus: clientTransferProhibited »). **L'Afnic propose donc la protection contre les transferts**.

(J'ai signalé à Gandi l'obsolescence de sa documentation, j'ai reçu l'habituelle réponse polie « balek, frérot » aka « merci, on regardera un jour peut-être ».)

#### Vigilance DNSSEC

Comme je suis mon hébergeur DNS, je n'avais pas identifié ce point de vigilance, je l'ai découvert durant le transfert de mon premier nom de domaine. Je m'attendais à ce que seules les informations administratives de mon nom de domaine soient modifiées (« c'est désormais l'entité X qui gère la relation commerciale avec le titulaire »). Que nenni. Par défaut, un **changement de bureau d'enregistrement entraîne un retrait de la délégation signée** (c'est-à-dire de l'enregistrement de type DS dans la zone parente).

C'est plutôt logique : pour la majorité des domaines, le bureau d'enregistrement assure également la fonction d'hébergeur DNS. Si DNSSEC est activé, c'est donc lui qui signe la zone. Il détient donc la clé privée. Dès lors, un changement de bureau entraîne un changement de clé privée et le nouveau bureau déclarera une nouvelle délégation signée au registre.

Certains registres, [comme l'Afnic](https://www.afnic.fr/wp-media/uploads/2022/10/Guide-des-procedures-Afnic-VF.pdf) (pages 12 et 13), mettent à disposition des bureaux d'enregistrement, une option permettant de préserver la délégation signée. L'ennui, c'est que les bureaux ne proposent pas à leurs clients de l'activer. En tout cas, BookMyName ne le propose pas (je lui ai signalé, j'ai reçu l'habituelle réponse polie « balek, frérot » aka « merci, on regardera un jour peut-être »).

Conséquence : pour éviter une panne temporaire liée à DNSSEC (le temps que les données mises en cache par les serveurs DNS récursifs expirent), il faut déclarer la délégation signée au nouveau bureau d'enregistrement immédiatement après la fin du transfert. J'ai vérifié : en faisant ainsi, les délégations signées de mes domaines n'ont jamais cessé d'être diffusées par les serveurs DNS qui font autorité sur .info et .fr. (car ces zones ne sont pas modifiées en temps réel, mais à intervalle régulier fréquent, toutes les 15 minutes, par ex.).

### Choix d'un bureau d'enregistrement

Je ne fais pas la distinction entre un bureau d'enregistrement (Gandi, BookMyName, etc.) et un revendeur (Infomaniak pour certaines extensions comme .org, LeBureau.coop), c'est-à-dire une entité qui se repose sur un bureau d'enregistrement. D'abord, car cela ne me paraît pas pertinent dans mon cas d'usage (mais ça peut l'être lorsque l'on veut maîtriser sa chaîne d'approvisionnement / ses dépendances). Ensuite, car l'information est difficile à trouver (surtout qui est le revendeur).

Mes critères :
* Gère .fr et .info ;

* Soumission d'une délégation signée (DNSSEC) aux registres de ces deux extensions ;

* Soumission de [glue records](http://www.guiguishow.info/2012/08/21/domain-name-system-attaques-et-securisation/#toc-2827-format-des-informations) IPv4 et IPv6 à ces deux registres ;

* Entité relevant du droit français (consommer « local » ; résolution aisée des litiges ; connaissance du droit applicable) ;

* Location aux particuliers avec un processus automatisé de location & gestion (je ne veux pas de commerciaux, de chefs de projets, etc.) ;

* Prix le plus bas possible ;

* J'ai aussi retiré des points aux organismes qui ne mettent pas rapidement en avant leur grille tarifaire complète (toutes les extensions et tous les prix ‒ création, renouvellement, transfert, etc.), et nominale (hors promotions).

**L'Afnic propose un [annuaire des bureaux d'enregistrement accrédités](https://www.afnic.fr/noms-de-domaine/tout-savoir/annuaire-bureaux-enregistrement)** (pour les seuls domaines / extensions qu'elle gère, mais comme je veux conserver mon .fr et recourir à un unique bureau d'enregistrement pour l'ensemble de mes noms…). Néanmoins, il souffre de plusieurs limitations : il ne permet pas d'exclure (les agences web, les FAI, etc.) pour n'avoir que les vendeurs grand-public ; probablement afin d'éviter tout procès, la liste n'est pas triée, donc une même entité peut revenir dans plusieurs pages de résultats, et d'autres entités peuvent ne pas apparaître ; la liste ne semble pas être à jour. (J'ai signalé tout cela à l'Afnic, j'ai reçu l'habituelle réponse polie « balek, frérot » aka « merci, on regardera un jour peut-être ».)

Ainsi, **je conseille plutôt la [liste des bureaux d'enregistrement accrédités par l'Afnic mise à disposition en Open Data](https://www.afnic.fr/produits-services/services-associes/donnees-partagees/)** (jeu de données « I »).

Je préfère éviter OVH : gros acteur = dangereux ; je ne veux pas mettre tous mes œufs dans le même panier (j'ai d'autres services là-bas) ; il y a 10 ans, la console d'administration ne proposait pas le niveau de service que j'attendais et, en interne, l'équipe en charge du DNS était injoignable, ce qui est mauvais signe.

Hetzner (Allemagne), Infomaniak (Suisse), Amen (actionnaire italien, groupe européen), IONOS / ex-1&1 (groupe allemand), hosteur.com (Suisse), Ikoula (Sewan, gros groupe européen dépassant Scaleway), PulseHeberg (développement à l'international dont aux États-Unis d'Amérique, donc [risque d'application de lois ricaines](/?m9ONSw)), etc., ne remplissent pas mon critère de nationalité. Je précise que le site web d'Amen est inutilisable sans BootstrapCDN et donc sans [transfert de DCP vers les États-Unis](/?sF0OLQ), que la grille tarifaire complète est difficilement accessible, et que les tarifs sont proches de ceux de Gandi en 2024. Le tarif proposé par Hosteur.com sur le .info, 11,99 € HT, surpasse toute la concurrence. PulseHeberg propose un prix décent pour le renouvellement d'un .fr mais ne gère pas de .info.

Nuxit, Ikoula, Netim : tarifs élevés à mes yeux (.fr : le prix HT d'un renouvellement 1 an est quasiment le double du prix à la sortie de l'Afnic ; .info : 60 % de plus que les gros du marché). De plus, j'ai eu un léger désaccord avec Celeste, proprio de Nuxit, dans le passé (je ne souhaite pas développer). Quant à Netim, il ne permet pas le dépôt d'un glue record IPv6 (en 2025 !) ni d'avoir deux délégations signées en même temps, ce qui est indispensable lors d'une rotation des clés ([source](https://nitter.poast.org/bortzmeyer/status/1919278086425633230)), et il se proclame « 100 % conforme RGPD » tout en recourant à Cloudflare, à TrustPilot (hébergé chez Amazon), et à deux outils de mesure d'audience web en même temps, un Matomo local et Cloudflare (principe de minimisation des traitements, où es-tu ?).

LeBureau.coop : tarifs prohibitifs à mes yeux (.fr : le prix HT d'un renouvellement 1 an hors hébergement est quasiment le quadruple du prix Afnic (!) ; .info : plus du double de ce que propose les gros du marché) alors que je ne crois plus aux initiatives coopératives ; pas assez mature pour que je me lance (absence des mentions obligatoires RGPD, formulaire de contact pour devenir sociétaire et client donc pas de processus de location automatisé, etc.).

Au final, **j'ai choisi BookMyName, marque de Scaleway**.

Ce choix a été difficile, car, en sus qu'il est un gros acteur économique (= danger), je n'ai **aucune confiance en Scaleway en matière de protection de mes DCP** :
* Scaleway fait partie du groupe Iliad. En 2024, les sociétés sœur [Free et Free Mobile sont responsables d'une fuite massive de DCP](https://www.cnil.fr/fr/fuite-de-donnees-sur-internet-et-vol-de-votre-iban-comment-vous-proteger-si-vous-etes-concerne) ;

* Ces 5 dernières années, la Commission nationale de l'informatique et des libertés (CNIL) a mis les mêmes sociétés à l'amende à plusieurs reprises (sources : [1](https://next.ink/4729/free-mobile-sept-plaintes-quatre-manquements-300-000-euros-damende-cnil/), [2](https://next.ink/1456/la-cnil-sanctionne-free-mots-passe-trop-faibles-transmis-et-stockes-en-clair-violations-donnees/)) ;

* En 2022, il m'a fallu insister auprès du délégué à la protection des DCP (DPO) de Scaleway, dont l'adresse email est chez GMail (!), pour n'obtenir, au final, que des réponses médiocres. Les réponses médiocres ou lunaires sont toujours à l'ordre du jour en 2025. Le DPO ne semble avoir aucune volonté ni influence / pouvoir (c'est pourtant une obligation du RGPD, articles 37 à 39) ;

* Le DPO de Free Mobile (celui d'Iliad, a priori) n'a pas répondu entièrement et dans les délais prescrits à ma demande d'accès (article 15 du RGPD) de fin 2024.

J'ai décidé de prioriser le prix. Le choix contraire aurait été un sacrifice inutile puisque très peu d'entités s'attachent véritablement à la protection de nos DCP.

Quelques **retours sur BookMyName** :
* Comme je le savais, l'interface de gestion de mes noms de domaine est **minimaliste, délabrée**, mais elle répond à mes besoins ;

* BookMyName ne propose pas le paiement par virement bancaire, **uniquement CB** ([sa FAQ](https://fr.faqs.bookmyname.com/frfaqs/paiement) mentionne Paypal, mais ça ne m'a pas été proposé) ;

* **L'assistance**, à qui j'ai suggéré d'ajouter une option pour permettre la conservation de la délégation signée et d'actualiser leur FAQ à propos du changement de la date d'expiration après transfert d'un .fr, n'est pas la plus vive d'esprit, n'analyse pas vraiment la demande et les ressources pointées, et s'exprime dans un français plus qu'aléatoire (même l'IA générative fait mieux).

### Déroulement des opérations

#### Création d'un compte BookMyName

La fourniture d'un numéro de téléphone est obligatoire. J'en ai donné un dans la **[plage réservée aux numéros figurant dans une œuvre audiovisuelle](https://www.arcep.fr/uploads/tx_gsavis/22-1583.pdf)** (page 83). Contrairement au 01 23 45 67 89, ces numéros ne peuvent pas être attribués. Oui, je sais que l'[ICANN](https://fr.wikipedia.org/wiki/Internet_Corporation_for_Assigned_Names_and_Numbers) impose la fourniture de véritables coordonnées sinon fin de la location du nom de domaine, blablabla, mais je n'ai vraiment pas envie de me faire emmerder par téléphone, ma tranquillité d'abord, j'ai déjà donné mon adresse postale, basta. De plus, lorsque BookMyName a vérifié le titulaire de mon .info, il m'a demandé de confirmer uniquement mon nom, prénom et adresse emails.

Lors de la création du compte, on nous parle d'un lien dans un email pour en confirmer la création. Or, le lien dans l'email renvoie vers la procédure de perte du mdp… Je déteste toujours autant les instructions qui diffèrent de ce qu'il faut effectuer, ça illustre toujours un manque de soin.

#### Désactiver la protection contre le changement indésiré de bureau d'enregistrement

Depuis le bureau d'enregistrement sortant (actuel).

Chez Gandi, dans la console d'administration, choisir le domaine, onglet « Transfert sortant », bouton « désactiver Protection contre le transfert ». **Si tu n'as pas activé la MFA (authentification multi-facteurs), tu pars pour 3 jours d'attente** de minute à minute (Gandi envoie un email). Le message d'information est ambigu et évoque à la fois un délai maximal de 3 jours (comme si un humain allait agir avant) et un délai ferme…

Le retrait du verrou sur mon .info a entraîné le retrait de celui sur mon .fr, ce qui est inattendu (je peux vouloir transférer un seul nom, il m'apparaît difficile de déterminer si l'usage le plus fréquent est de transférer tous ses domaines). Je l'ai signalé à Gandi, j'ai reçu l'habituelle réponse polie « balek, frérot » aka « merci, on regardera un jour peut-être ».

Le message « DNSSEC est actuellement activé sur ce domaine. Veuillez désactiver DNSSEC avant de lancer un transfert sortant pour éviter d'éventuels futurs problèmes. » n'est pertinent que si Gandi est aussi l'hébergeur DNS.

La présence ou l'absence de ce verrou se constate aussi dans les [bases de données publiques](https://www.afnic.fr/observatoire-ressources/papier-expert/trouver-les-informations-sociales-associees-a-un-nom-de-domaine/) consultables avec les protocoles whois ou [RDAP](https://www.bortzmeyer.org/9082.html). Pour un .info : « Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited » (verrou) ou « Domain Status: ok https://icann.org/epp#ok » (absence de verrou et de tout autre état). Pour un .fr : « eppstatus: clientTransferProhibited » (verrou) ou « eppstatus: active (absence de verrou et de tout autre état).

#### Transfert / changement de bureau

##### Mon premier domaine

Il s'agit de mon .info. Je ne fais rien d'important avec (ce shaarli peut disparaître, osef), donc je décide de transférer mon nom chez BookMyName un vendredi en fin de journée. (Un changement de bureau est entièrement automatisé, mais si ça foire, je peux me retrouver sans domaine jusqu'au lundi).

Je récupère le code d'autorisation auprès du bureau d'enregistrement actuel (sortant). Chez Gandi : dans la console d'administration, choisir le domaine, onglet « Transfert sortant ».

Je le communique au nouveau bureau d'enregistrement (entrant), et je paye la facture. Le nouveau bureau (BookMyName) envoie un email de confirmation à l'adresse emails déclarée chez lui (je n'ai pas compris l'intérêt de cette étape, mais, a priori, il s'agit d'un formulaire d'autorisation, peut-être imposé par Identity Digital, ex-Afilias, le registre de .info). Je confirme. Le suivi des opérations sur l'interface web de BMN affiche « Demande en cours au registre ». Dans la base de données publique : « Domain Status: pendingTransfer https://icann.org/epp#pendingTransfer ».

Après 12 minutes, je reçois un email de Gandi (bureau sortant) qui me demande de confirmer (ou d'attendre 5 jours pour une confirmation automatique). Je confirme.

Le changement de bureau est terminé. Le nom disparaît de ma console d'administration Gandi. Dans la base de données publique : « Registrar: Scaleway SAS » , « Domain Status: transferPeriod https://icann.org/epp#transferPeriod » (période de grâce de 5 jours en cas de problème durant lequel le bureau entrant peut se faire rembourser par le registre).

J'effectue les **vérifications** que j'avais planifiées :
* Mes données à caractère personnel ne sont pas publiées dans les bases de données publiques (vérification avec les protocoles whois ou RDAP) : OK ;

* L'hébergement est bien délégué à mes serveurs DNS (whois, champ « Name Server » ; RDAP, tableau « nameservers »[*]) : OK ;

* Présence de mon [glue record](http://www.guiguishow.info/2013/09/11/dns-glue-records-netcomorg-et-error-2003/) (RDAP : nameservers/ipAddresses ou interroger les serveurs qui font autorité pour .info) : OK ;

* Présence de la délégation signée (whois, attribut « DNSSEC » ; RDAP, « secureDNS ») : pas OK ! J'ai « DNSSEC: unsigned ». Une requête DNS adressée aux serveurs DNS qui font autorité pour .info (`dig NS info` puis `dig @d0.info.afilias-nst.org. DS guiguishow.info`) me montre qu'elle est, en pratique, toujours en place, mais elle va disparaître lors de la prochaine génération de la zone info. Je déclare donc ma délégation signée dans l'interface de gestion de BookMyName (bureau entrant) et je retrouve un « DNSSEC: signedDelegation » ;

* Vérifier la prolongation de la date d'expiration de mon domaine (whois, champ « Registry Expiry Date » ; RDAP : `jq '.events[] | select(.eventAction=="expiration")'`) : OK, elle a été incrémentée d'une année à compter de la date usuelle de renouvellement.

Le changement de bureau d'enregistrement a donc **duré 30 minutes** (+ 3 jours pour lever l'interdiction de changement de bureau en l'absence de MFA).

Le lendemain, puisqu'il s'agit de mon premier nom de domaine en gestion chez BookMyName, cette entité me demandera de vérifier mes coordonnées (nom, prénom, adresse emails) en tant que titulaire de ce compte (procédure WAPS de l'ICANN).

[*] : pour RDAP, je donne le nom de l'attribut dans le fichier JSON, chaque client RDAP (OpenRDAP, nicinfo, etc.) peut utiliser un label différent pour présenter l'information à l'utilisateur.

##### Mon deuxième domaine

Il s'agit de mon .fr. Mon adresse email principale, ma messagerie instantanée, etc. sont dans ce domaine, donc je décide d'attendre le prochain jour ouvré avant d'en confier la gestion à BookMyName (comme ça, en cas de dysfonctionnement technique durant le transfert, je peux légitimement supposer que des humains pourront me dépanner rapidement).

Je récupère le code d'autorisation. Je le communique au bureau entrant. Je paye. Cette fois-ci, il ne m'envoie pas de demande d'autorisation / confirmation. « Demande en cours au registre ». Dans la base de données publique : « pending: TRANSFER » « eppstatus: pendingTransfer ».

Moins d'une minute plus tard (rien à voir avec les 12 minutes pour .info), le bureau sortant m'envoie un email pour confirmer l'opération, ce que je fais.

Le changement de bureau est terminé. Dans la base de données publique : « registrar: SCALEWAY », « status: transferPeriod », « eppstatus: active ». Après quelques dizaines de secondes de plus : « eppstatus: clientTransferProhibited ». Contrairement à mon .info, mon .fr a mis quasiment 15 minutes avant de disparaître de la console d'administration de Gandi (bureau sortant).

J'effectue donc les **vérifications** que j'avais planifiées :
* Mes données à caractère personnel ne sont pas publiées dans les bases de données publiques (vérification avec les protocoles whois / RDAP) : OK ;

* L'hébergement est bien délégué à mes serveurs DNS (whois, attributs « nserver » ; RDAP, tableau « nameservers ») : OK ;

* Présence de mon [glue record](http://www.guiguishow.info/2013/09/11/dns-glue-records-netcomorg-et-error-2003/) (RDAP : nameservers/ipAddresses ou interroger les serveurs qui font autorité) : OK ;

* Présence de la délégation signée (whois, attribut « key1-tag » ; RDAP, « secureDNS ») : pas OK ! Une requête DNS adressée aux serveurs DNS qui font autorité pour .fr (`dig NS fr` puis `dig @d.nic.fr. DS `) me montre qu'elle est, en pratique, toujours en place, mais elle va disparaître lors de la prochaine génération de la zone fr. Je déclare donc ma délégation signée dans l'interface de gestion de BookMyName (bureau entrant) et je retrouve un « key1-tag » ;

* Vérifier la prolongation de la date d'expiration de mon domaine (whois, champ « Expiry Date » ; RDAP, `jq '.events[] | select(.eventAction=="expiration")'`) : OK, elle a été incrémentée d'une année à compter de la date usuelle de renouvellement.

Le changement de bureau d'enregistrement a donc **duré moins de 15 minutes** (+ 3 jours pour lever l'interdiction de transfert en l'absence de MFA).

Rigolo : l'Afnic conserve les différents objets de type « nameserver » créés par les différents bureaux et les rend accessibles via le protocole RDAP.

Au final, le renouvellement pour un an de mes deux noms de domaine, un .info et un .fr, m'a coûté **28,11 € TTC chez Scaleway, au lieu de 100,78 € TTC chez Gandi, soit 3,6 fois moins**. Scaleway pratique les tarifs que Gandi pratiquait en 2014. :O

GuiGui's Show - Friday 18 April 2025

Fri, 18 Apr 2025 00:00:00 +0200

Choisir sa pauvreté ?

Fri Apr 18 22:13:10 2025 -
http://shaarli.guiguishow.info/?GgML_A

Dans le courrier des lecteurs du numéro 116 (février - avril 2025) de *Fakir* :

> **Jean-Baptiste nous raconte son mode de vie, avec quelques gros angles morts quand même, mais qui esquisse peut-être un futur…**
>
> À longueur de pages, on lit dans *Fakir* des témoignages de gens qui se sont flingué la santé à l'usine et qui n'arrivent pas à remplir leur caddie. Or, personne ne nous oblige à faire ce qu'on fait (ou à continuer de le faire). Je développe. Ici, dans la diagonale du vide, avec 500 € par mois, t'es le roi du pétrole (ou presque) si t'es proprio de ta bicoque (qui coûte pas cher). Il suffit de s'installer dans un centre-bourg à moitié vide (comme je l'ai fait), avec tous les commerces (je sais, ça devient rare), comme ça on évite de prendre la bagnole (gouffre financier]. La bouffe est pas chère (sauf si on est assez bête pour aller au supermarché). On peut se faire prêter un peu partout des bouts de terrain pour faire un potager (les vieux n'ont plus la force). Le troc marche à fond (légumes, services, etc.), on mutualise les bagnoles, les perceuses, les coups de main pour couper le bois, etc. Y a même du taf chez les artisans (les garagistes du coin s'arrachent les cheveux), dans les commerces et l'aide à la personne bien sûr. C'est sûr, c'est pas la vie de tous ces crétins de richards décérébrés (c'est beaucoup mieux d'ailleurs : moi je vois des loutres et des castors). En fait, je pense qu'on a tous des petits interrupteurs dans la tête, et qu'il suffit de basculer de **« je subis ma pauvreté » à « je choisis ma pauvreté »**. C'est vachement mieux, on a même l'impression d'être riches, quelque part.

Ça rejoint les propos du diplomate iranien Majid Rahnema dans son livre *Quand la misère chasse la pauvreté* rapportés dans [le numéro 105 de *Fakir*](/?YDmPwA) : la pauvreté est une façon de vivre sobrement mais dignement, en indépendance. La misère, c'est perdre son pouvoir, dépendre économiquement d'une aide extérieure qui ne permet même pas de vivre dignement.

GuiGui's Show - Monday 14 April 2025

Mon, 14 Apr 2025 00:00:00 +0200

Intel Wireless 7260 comme point d'accès

Mon Apr 14 10:17:00 2025 -
https://vincent.bernat.ch/fr/blog/2014-intel-7260-access-point

Pas de point d'accès en 5 Ghz (802.11ac) avec une carte Wi-Fi Intel Dual Band Wireless-AC 7260.

Mais on peut déjà passer de 802.11g à 802.11n avec la conf' `hostapd` qu'il donne (attention : TKIP < CCMP). Je passe d'un débit moyen de 3 Mo/s à 12 Mo/s.

Config `hostapd` :

interface=
driver=nl80211

ssid=
hw_mode=g
channel=6

# 802.11n
wmm_enabled=1
ieee80211n=1
ht_capab=[HT40-][HT40+][SHORT-GI-20][SHORT-GI-40][DSSS_CCK-40][DSSS_CCK-40][DSSS_CCK-40]

auth_algs=1
wpa=2
wpa_passphrase=
wpa_key_mgmt=WPA-PSK
wpa_pairwise=CCMP
rsn_pairwise=CCMP

GuiGui's Show - Sunday 13 April 2025

Sun, 13 Apr 2025 00:00:00 +0200

Messagerie Signal et turn.cloudflare.com

Sun Apr 13 14:27:54 2025 -
http://shaarli.guiguishow.info/?bLfGag

Je me note ça : la [messagerie Signal](https://signal.org/) se repose sur turn.cloudflare.com pour [STUN](https://fr.wikipedia.org/wiki/Simple_Traversal_of_UDP_through_NATs) (découverte de la présence d'un NAT et de l'adresse IP publique). Source : point d'accès Wi-Fi (`hostapd`) + `wireshark`.

J'en retire pas grand-chose. Oui, ça envoie l'IP publique à Cloudflare et ça lui révèle les dates+heures des tentatives d'appel, mais bon, c'est anecdotique. D'un autre côté, ce n'est pas sorcier de proposer un serveur STUN, surtout en comparaison d'un logiciel de messagerie texte+audio+vidéo… Ça jette le doute : si Signal externalise pour si peu, peut-on avoir confiance ? On est dans l'habituelle flemme de faire soi-même…

En revanche, je me demande si Signal utilise turn.cloudflare.com comme serveur [TURN](https://en.wikipedia.org/wiki/Traversal_Using_Relays_around_NAT) auquel cas les flux médias (audio et/ou vidéo) seraient relayés par Cloudflare. Le contenu des communications serait toujours chiffré, mais Cloudflare « saurait » qui parle à qui, quand, à quelle fréquence, etc. Dans ses paramètres, Signal propose une option pour relayer les flux médias via son infrastructure, donc je ne crois pas à l'utilisation du serveur TURN de CF. mais je vérifierai à l'occasion.

Emplacements des centres de données / data centers en France avec OpenStreetMap et l'API OverPass

Sun Apr 13 14:04:15 2025 -
http://shaarli.guiguishow.info/?IlZQlQ

Requête OverPass API ([lien direct](https://overpass-turbo.eu/s/22ch)) :

/*
This has been generated by the overpass-turbo wizard.
The original search was:
“telecom=data_center in France”
*/
[out:json][timeout:25];
// fetch area “France” to search in
{{geocodeArea:France}}->.searchArea;
// gather results
nwr["telecom"="data_center"](area.searchArea);
// print results
out geom;

Évidemment, cela repose sur la qualité des données d'OSM. Il manquait au moins au centre de données (je l'ai ajouté).

Via https://mastodon.gougere.fr/@bortzmeyer/114330101067096155.

\#datacenters

Bug Report: Gnome Calculator (version 43.0.1) on Debian 12 (#451) · Tickets · GNOME / gnome-calculator · GitLab

Sun Apr 13 14:03:37 2025 -
https://gitlab.gnome.org/GNOME/gnome-calculator/-/issues/451

La calculette graphique de GNOME, `gnome-calculator`, plante (son affichage gèle) à son ouverture si elle ne parvient pas à récupérer des taux de change monétaires depuis la BCE et le FMI. LOL. La gestion des erreurs, sérieux… Pas cool non plus, les requêtes réseau à l'insu de l'utilisateur…

Il y a quelques semaines, j'avais contourné avec `gsettings set org.gnome.calculator refresh-interval 0`. [Source](https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=1098315). Cela ne fonctionne plus aujourd'hui.

Il faut se déconnecter du réseau, ouvrir la calculette, aller dans le menu, Préfèrences, et choisir la valeur « Jamais » pour le paramètre « Intervalle de rafraîchissement des taux de changes ».

GuiGui's Show - Tuesday 8 April 2025

Tue, 08 Apr 2025 00:00:00 +0200

Signal ou Silence ? Deux messageries chiffrées, laquelle choisir ? - GuiGui's Show

Tue Apr 8 17:57:56 2025 -
http://shaarli.guiguishow.info/?TNWQwA

J'ai réinstallé Signal :
* Désormais, à la première utilisation, il demande « Qui peut me trouver grâce à mon numéro de téléphone ? », et on peut mettre personne. On peut trouver un autre utilisateur par **pseudo**. Bien ;

* Il faut toujours un **numéro de téléphone** mobile pour recevoir un SMS de validation. En sus d'un hcaptcha -_- ;

* Il va toujours fouiller dans le **carnet d'adresses** en promettant que c'est chiffré et que Signal n'a pas la clé. Je préfère qu'il ne fouille pas, donc je l'ai enfermé dans un [contact scope de GrapheneOS](/?qoTXIg). Le reste est également inchangé.

GuiGui's Show - Wednesday 2 April 2025

Wed, 02 Apr 2025 00:00:00 +0200

"Savez vous que le CO2 pollue ?" - Broute - CANAL+ - YouTube

Wed Apr 2 20:10:56 2025 -
https://www.youtube.com/watch?v=Wxm766Yy1NA

« Vous me l'apprenez, madame Lucette » :'D

Ce sketch tourne dans ma tête depuis des jours. Je pensais que ça viendait du Groland, mais non, c'est de Broute.