GuiGui's Show

On ne badine avec le respect dû aux grands serviteurs de la Macronie. L’Uniopss, union des organismes sociaux à but non lucratif, qui fédère une kyrielle d’établissements de santé ou de centres d’accueil et d’hébergement, vient d’en faire les frais. En mars, son président, Patrick Doutreligne, présente les comptes annuels devant le conseil d’administration. Ils sont très mauvais. Et pour cause : il y manque une subvention de 50 000 euros que le haut-commissaire gouvernemental à l’Economie sociale et solidaire, Christophe Itier, a rayé d’un trait de plume. Depuis une éternité, l’Uniopss percevait chaque année cette subvention afin de former les animateurs des institutions sociales qu’elle fédère.

Devant son conseil d’administration atterré, Doutreligne rapporte alors un entretien surréaliste qui s’est déroulé quelques mois plus tôt avec Itier. « Comment voulez-vous que je donne une subvention à quelqu’un qui a dit du mal de moi ? » avait lancé le haut-commissaire. Doutreligne lui avait reproché, près d’un an auparavant, de développer « souvent un discours très négatif sur les associations ». Et notamment de vivre dans le « vieux monde ». Qu’on se le dise : un responsable social, ça ferme sa gueule ou ça renonce aux aides de l’Etat.

Encore une énième illustration… Les gens, participez au financement de ce qui vous tient à cœur, bon-sang, ça limite grandement la dépendance ! Ne comptez sur personne d'autre que sur vous-même pour financer ce que vous aimez ! Personne le financera à votre place, ni l'État, ni les collectivités territoriales, ni les autres gens. Personne. Cela ne vaut pas dire pour autant que l'on doit laisser passer le genre d'actions dépeintes dans cet article, mais qu'il vaut mieux ne jamais s'être mis à genoux plutôt que d'avoir à s'en relever, car cela ne nécessite pas le même effort.

Dans le Canard enchaîné du 22 mai 2019.

Soucieux d’appuyer le propos du ministre des Affaires étrangères, qui, le 10 mai, avait accusé deux otages français d’avoir pris « des risques majeurs » en se rendant dans le parc de la Pendjari (Bénin), le journal de France 2 n’a pas hésité à recycler des images d’archives. Et d’une drôle de manière…

Le lendemain de la sortie de Jean-Yves Le Drian, le jité de Laurent Delahousse propose un reportage choc : « Zones dangereuses : un tourisme qui fait polémique ». En manque d’exemples probants pour dénoncer ce tourisme irresponsable qui met en danger la vie de nos militaires, la chaîne publique ressort les images, tournées six mois auparavant, d’un couple de retraités lillois, Jean-Noël et Claudine, en goguette en Mauritanie. D’emblée, le décor est planté : « Des voyageurs français en quête d’aventure, loin du tourisme de masse, comme ici, en Mauritanie, une zone sous haute surveillance. Sur ces images, quatre brigades de gendarmerie se positionnent et assurent leur sécurité… » De vrais inconscients !

Désert compris

Problème : lorsque France 2 avait suivi ce couple et narré son périple, au début de l’année, c’était pour illustrer un propos totalement contraire ! Il s’agissait de saluer la réouverture au tourisme du « train du désert » reliant Nouakchott à Zouerate, au cœur du Sahara mauritanien. Et, dans ce sujet-là, Jean-Noël et Claudine n’étaient que de sympathiques globe-trotteurs profitant d’une région de nouveau ouverte ! Ambiance décontractée, musique orientale, décors de carte postale, soirées au coin du feu…

Train d’enfer

Dans le reportage diffusé le 14 janvier, la caméra filme « deux amoureux du désert ». Jean-Noël réalise son « rêve d’enfant », Claudine a les cheveux au vent, et France 2 s’émerveille : « Une jolie manière, pour notre couple, de célébrer ses quarante-six ans de mariage. » Mieux : « Ils sont sereins, bien loin d’un possible risque terroriste », précise le journaliste. Et de laisser la parole à Claudine, tout sourire : « A partir du moment où il a été décidé que ce circuit était ouvert, c’est qu’il y a de la sécurité. » Et, si les gendarmes locaux accompagnent la sortie pédestre, « c’est pour s’assurer que les touristes sont bien en sécurité. La balade peut commencer »… Tout va pour le mieux.

Changement radical de ton dans le reportage de mai 2019. Cette fois, les deux mêmes Lillois se montrent d’une imprudence choquante : « A bord de leur train, qui traverse le Sahara, ces touristes rencontrés en janvier dernier ne pensent pas au risque terroriste… »

Heureusement, France 2 est là pour le leur rappeler !

Énième confirmation que l'on peut faire dire ce que l'on veut à des images. :)

Dans le Canard enchaîné du 22 mai 2019.

Qu'on se le dise, les sénateurs prennent très au sérieux la question du harcèlement au travail… mais pour se protéger eux-mêmes ! En cas de litige avec un collaborateur parlementaire, le sénateur qui l’emploie n’aura pas un son à débourser pour sa défense. Ses frais d’avocat seront désormais pris en charge, à hauteur de 50 000 euros, au maximum, par une assurance maison. Tandis que le pauvre assistant parlementaire, lui, devra se débrouiller tout seul.

La bonne nouvelle a été annoncée le 10 mai aux élus par l’Association pour la gestion des assistants de sénateurs (Agas). Cette structure interne, qui établit les contrats et les fiches de paie des assistants parlementaires, a passé un marché avec une société d’assurance, la Smacl, offrant « une protection juridique au bénéfice des sénateurs en leur qualité d’employeurs ». Entré en vigueur le 1er janvier, le contrat donne des garanties en or aux sénateurs qui malmèneraient leurs salariés. En cas de litige, les parlementaires resteront libres de choisir leur avocat, mais la facture sera directement réglée par l’assureur. Avec une limite, tout de même : l’élu qui sera éventuellement condamné aux prud’hommes paiera lui-même l’amende.

Même pas mal

Plus formidable encore, annonce l’Agas dans son courrier, les sénateurs pourront bénéficier « des services d’un professionnel des relations publiques en vue de prévenir ou de réparer toute atteinte à la réputation suite à un litige et qui résulterait, par exemple, (…) d’articles de presse ». En clair, les élus auront droit à une campagne de com’ — de 5 000 euros, au maximum — pour redorer leur blason, même si les faits sont avérés ! Dernière douceur : l’assurance couvre les élus jusqu’à cinq ans après la fin de leur mandat. Qui dit mieux ?

Le syndicat CGT des collaborateurs parlementaires s’est étouffé en découvrant ce joli marché. « C’est totalement inégalitaire, dénonce l’un de ses membres au “Canard”. Nous, les assistants, n’aurons jamais de tels moyens financiers pour nous défendre ! Et, en plus, cette protection des sénateurs est payée sur des fonds publics. »

Le progrès social au Sénat, ce n’est pas un vain mot.

Que c'est beau, que c'est propre… D'un certain côté, c'est la suite logique de la massification de la protection juridiques dans les contrats d'assurance de M. ToutLeMonde : viens pas me chercher des noises, surtout si t'es pas très argenté, car j'ai de gros biscottos, je me suis prémuni contre tout et tous ! Sortir les muscles en permanence afin de dissuader. Folie de notre époque…

Dans le Canard enchaîné du 22 mai 2019.

Théorie

Content Security Policy (CSP) est un entête HTTP (la version sous forme d'attribut dans la balise XHTML « meta » est incomplète) qui permet, à un site web, de fournir, à un navigateur web, des instructions portant sur l'origine des contenus de ce site web. Exemple : "le seul javascript que tu peux exécuter sur ce site web doit provenir de https://jscdn.example". Cela fonctionne avec une politique par défaut couplée à une liste blanche des contenus autorisés à être récupérés. Cela va très loin puisque ça permet d'indiquer l'origine des scripts javascript, des images, des polices de caractère, la destination d'un formulaire web, les pages qui peuvent être incluses dans une balise XTML frame, etc.

Le but de tout cela est d'empêcher le navigateur web du visiteur d'un site web d'inclure et de charger des contenus malveillants, notamment des scripts javascript qui peuvent ensuite servir à tromper l'utilisateur d'un site web, à voler des données (dont des identifiants), à usurper un contenu, etc.

Évidemment, les autorisations sont transitives : si un script JS autorisé tente de charger un JS pas autorisé dans la politique, ça ne fonctionnera pas. De même, la politique est appliquée après la modification du DOM par un script JS, donc il est inutile de tenter de modifier une balise avec du JS autorisé dans l'intention de charger un script JS non autorisé, par exemple.

Comme tout entête, il peut être positionné par le site web (via la fonction header() de PHP, par exemple) et par le serveur web (module headers d'Apache httpd, par exemple). Il y a un ordre (source) : un entête positionné par une application PHP peut être écrasé par un entête positionné dans la configuration principale du serveur web, qui peut lui-même être supplanté par un entête positionné dans la configuration déportée du serveur web (dite htaccess). Évidemment, il y a des pièges (nous en observerons un plus bas)…

Par défaut, en l'absence d'un entête CSP, les navigateurs web appliquent aucune politique : tout contenu peut être téléchargé depuis n'importe où et utilisé. Évidemment, ça ne veut pas dire qu'une ressource, notamment un script Javascript, peut accéder à n'importe quelle ressource distante, car un autre mécanisme, Cross-origin resource sharing (CORS), empêche cela, j'y reviendrai à la fin de ce shaarli.

L'interprétation de cet entête par les navigateurs web est plutôt strict, donc dès que l'on commence à l'utiliser, il vaut mieux avoir doublement vérifié toute les ressources téléchargées directement ou indirectement sur le site web. Exemple : par défaut, CSP bloque l'exécution du Javascript inline (c'est-à-dire positionné dans la balise XHTML « script ») et l'utilisation de la fonction Javascript « eval() ». Néanmoins, un mécanisme de rapport existe : un navigateur web qui a bloqué du contenu à cause d'une CSP peut le signaler en envoyant un blob JSON à un formulaire web indiqué dans la CSP.

Pratique

Intro

D'un côté, nous avons une application web Java (Tomcat) derrière des frontaux Apache httpd qui effectue une authentification centralisée (Single Sign-On, SSO). Convenons qu'elle est accessible par une seule URL : https://sso.example/ .

De l'autre côté, nous avons un portail internet Java (Tomcat) derrière des frontaux Apache httpd qui inclu (avec une balise XHTML « iframe ») la plupart des sites web que nous mettons à la disposition de notre communauté. Convenons qu'elle est accessible par une seule URL : https://portailweb.example/ .

Il faut être identifié et authentifié (par le SSO) sur le portail web pour que les onglets "contenant" les sites web apparaissent (car on ne présente pas les mêmes à tous nos utilisateurs). Cette authentification n'est pas transitive : le site web inclus ne sait pas si un utilisateur est authentifié sur le portail ou non, il réinterroge toujours le SSO. Nous faisons cela car, d'un point de vue fonctionnel, la plupart des sites web inclus doivent pouvoir être appelés directement (en dehors du portail). Si nous utilisions le portail web comme un proxy SSO, alors les sites web ne pourraient plus être consultés en dehors du portail.

Or, la durée de conservation du ticket délivré par le SSO est variable en fonction des sites web, ce n'est pas le SSO qui peut l'imposer aux applications (enfin si, mais la marge est grande). Donc, il est possible que le portail web continue à considérer qu'un utilisateur est connecté alors que le SSO ne le considère plus de son côté. Ainsi, quand le site web inclus dans le portail interrogera le SSO, celui-ci l'informera que l'utilisateur n'est plus authentifié. Ce site web inclus redirigera alors l'utilisateur vers notre SSO. On aura donc le SSO inclus dans notre portail web.

Voyons comment configurer nos frontaux Apache httpd pour tenir compte de tout ça.

X-Frame-Options et CSP frame-ancestors

Ces deux entêtes HTTP permettent d'indiquer à un navigateur web qu'un site web peut être inclus (ou non) dans un autre. Elles permettent d'éviter les attaques de type clickjacking genre j'inclus, sur mon site web, le formulaire de ton site web qui octroie des privilèges à un compte utilisateur et je le camoufle derrière du XHTMl/CSS qui te promet ceci ou cela… Tu cliques, comme t'es identifié sur ton site web, ça passe et tu octroies implicitement des droits au compte que j'ai désigné dans la requête. Suite logique des attaques CSRF, attaques que l'on contre facilement avec un token stocké dans la session…

Comme le laisse deviner son nom préfixé par « X- » (pour expérimental), X-Frame-Options est un entête déprécié qui a été remplacé par l'attribut « frame-ancestors » dans la deuxième version de CSP. Source : la norme CSPv2.

Évidemment, tous les navigateurs ne prennent pas en charge tous les entêtes ni tous les attributs et valeurs pour chaque entête. Les navigateurs "récents" (Firefox >= 36, Chrome >= 39, Safari >= 10, Edge >= 15) prennent en charge CSP frame-ancestors et X-Frame-Options. Les "vieux" navigateurs (IE, Edge >= 12, Firefox >= 18) implémentent uniquement X-Frame-Options. Notons que même les versions récentes de Safari, Chrome et Opera ne prennent pas en charge la valeur « ALLOW-FROM » de X-Frame-Options. Sources : 1, 2.

Lors de la résolution des problèmes évoqués ci-dessous, il m'avait semblé qu'il fallait les deux entêtes pour couvrir fonctionnellement notre parc, notamment les machines qui avaient un Firefox pas à jour. En rédigeant ce qui précède des mois après, je suis beaucoup plus sceptique : je pense que nous devrions pouvoir cesser notre utilisation de X-Frame-Options sans impact sur nos utilisateurs, car nous n'avons pas d'aussi vieilles versions de Firefox en circulation et que X-Frames-Options tel que nous l'utilisons (avec l'attribut « ALLOW-FROM ») n'est pas prise en charge par Safari, Opera et Chrome. Donc ça sert uniquement pour IE et les versions mobiles de navigateurs, lesquels ne sont pas dans notre périmètre.

Tu l'as compris : la suite de ce shaarli va traiter de la mise en pratique de CSP uniquement sous l'angle d'un seul de ses attributs, frame-ancestors.

Une dernière note : en cas d'inclusions multiples (site 1 inclus site 2 qui inclus site 3), les navigateurs web, comme la norme le leur permet, peuvent interpréter différemment la somme des CSP (celle du site 3 puis du site 2 puis du site 1) et la comparaison de l'origine (faut-il comparer site 3 avec site 1 ou site 3 avec site 2 ou… ?).

Configuration de base

Par défaut, il était impossible d'intégrer notre SSO à tout site web. Nous croyions que c'était à cause d'une interprétation stricte des navigateurs web de l'absence de CSP/X-Frame-Options. Nous verrons, dans le point suivant, que ce n'est pas ça du tout.

Pour pallier à ça, voici le bout de conf' que l'on avait ajouté dans la configuration du virtualhost de nos frontaux SSO :

Header always set X-Frame-Options "SAMEORIGIN"
Header always set Content-Security-Policy "frame-ancestors 'self' *.example"

On notera que ces deux entêtes ne signifient pas la même chose. La première, pour les vieux navigateurs, indique que seul notre SSO peut s'inclure lui-même (nous verrons plus bas que ce n'est pas ce que nous voulons). La deuxième, pour les navigateurs web récents, signifie que notre SSO peut s'inclure lui-même ou être inclus par tout site web dont le nom termine par « example » (portailweb.example, autresiteweb.example, etc.). Du coup, le comportement sera différent entre les "vieux" et les "jeunes" navigateurs web. Mais c'est dans cet état que j'ai repris le flambeau.

Multiples X-Frame-Options contradictoires

Le premier problème a été un navigateur web Safari qui indiquait ce qui suit dans sa console lorsqu'on consultait notre portail web :

Multiple 'X-Frame-Options' headers with conflicting values ('SAMEORIGIN, DENY') encountered when loading 'https://sso.example/'. Falling back to 'DENY'.

Refused to display 'https://sso.example/' in a frame because it set 'X-Frame-Options' to 'SAMEORIGIN, DENY'.

Comme nous venons de le décrire, nous avions pourtant un unique « Header always set X-Frame-Options "SAMEORIGIN" » dans la configuration de nos Apache httpd. D'où peut donc bien venir ce « DENY » ?!

Le code de notre SSO positionne lui aussi cet entête avec la valeur « DENY » (on observe cela en capturant le trafic réseau entre le frontal web et le SSO). Cet entête est conservé par le mod_proxy_ajp d'Apache httpd (ce qui est normal). Notre bout de configuration ne l'écrase pas car le mod_proxy (ajp ou http) utilise la table globale pour stocker les entêtes HTTP récupérés depuis le backend (c'est par ici pour les explications). Or, la directive que nous avons ajoutée indique de positionner l'entête dans la table « always ». Oui, c'est un comportement inverse à celui du mod_fcgi_proxy utilisé avec PHP-FPM qui, lui, peuple la table always et non la table par défaut…

Pour résoudre ce problème, soit on utilise le bout de configuration suivant :

Header set X-Frame-Options "SAMEORIGIN"

Soit le bout de conf' suivant qui a l'avantage de laisser moins de marge d'appréciation :

Header unset X-Frame-Options
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Content-Security-Policy "frame-ancestors 'self' *.example"

Notons que nos navigateurs, plus récents, utilisent CSP frame-ancestors et ignorent donc X-Frame-Options conformément à la norme, ce qui fait que nous n'avions pas identifié ce problème avant qu'un utilisateur se ramène avec son Mac + Safari.

Un problème d'origine

Quand nous nous rendons sur notre portail web, la console de développement des anciens navigateurs web, ceux qui ne prennent pas en charge CSP frame-ancestors, affiche :

Refused to display 'https://sso.example' in a frame because it set 'X-Frame-Options' to 'SAMEORIGIN'.

Dans les normes du web, une origine, c'est un protocole d'accès (http, https, etc.) + un nom d'hôte (sso.example) + un port. Ainsi, https://portailweb.example:443 n'a pas la même origine que https://sso.example:443 car le nom d'hôte est différent. Même chose avec http://portailweb.example:443 et https://portailweb.example:443 (le protocole change) ainsi qu'avec https://portailweb.example:443 et https://portailweb.example:8443 (le port change).

OK, indiquons clairement que notre portail web peut inclure notre SSO. Changeons la config' du virtualhost du frontal de notre SSO pour celle-ci :

Header unset X-Frame-Options
Header always set X-Frame-Options "ALLOW-FROM https://portailweb.example"
Header always set Content-Security-Policy "frame-ancestors 'self' *.example"

Cela fonctionne. \o/

Plusieurs autorisations dans un X-Frame-Options

Ce qui devait arriver est arrivé… Notre SSO doit aussi être inclus par un autre site web que notre portail web.

L'ennui, c'est que, contrairement à CSP, « X-Frame-Options » peut contenir un et un seul « ALLOW-FROM », et ne peut pas contenir un joker (« *.example »), donc, in fine, un seul site web peut être autorisé.

On ne va quand même pas utiliser la valeur « ALLOWALL », sinon tout site web pourrait inclure notre SSO, bonjour l'absence de sécurité…

On ne peut pas renoncer à l'une ou à l'autre des inclusions (c'est-à-dire recoder l'un des sites web afin de se passer des iframes) dans un délai raisonnable…

Le module headers d'Apache httpd permet d'ajouter des entêtes de manière conditionnelle, en fonction de l'existence (ou non) d'une variable d'environnement ou d'une expression rationnelle (qui peut porter sur la valeur d'une variable d'environnement). Parmi la liste des variables d'environnement disponibles, « HTTP_REFERER » retient mon attention.

Si le navigateur web charge notre SSO à partir de notre portail web, alors le referer aura « […]portailweb.example[…] » pour valeur. S'il charge le SSO depuis l'autre site, le referer sera différent. On n'a plus qu'à insérer un entête « X-Frame-Options » en fonction de la situation.

Changeons encore une fois la config' du frontal de notre SSO :

Header unset X-Frame-Options
Header always set X-Frame-Options "ALLOW-FROM https://portailweb.example" "expr=%{HTTP_REFERER} =~ m#portailweb.example#"
Header always set X-Frame-Options "ALLOW-FROM https://autresiteweb.example" "expr=%{HTTP_REFERER} =~ m#autresiteweb.example#"
Header always set Content-Security-Policy "frame-ancestors 'self' *.example"

Cela fonctionne. \o/

Notons que cela fonctionne partiellement avec les extensions de navigateur qui bidouillent le referer afin de préserver la vie privée. Si l'extension est configurée pour effacer totalement le referer, alors notre SSO ne sera pas chargé. Si elle est configurée pour tronquer le referer afin de conserver uniquement le domaine (et d'effacer le reste de l'URL), notre SSO sera chargé. La première configuration est peu courante, car elle casse beaucoup de sites web, donc nous ne la supportons pas. À l'impossible nul n'est tenu.

Bonus : le bookmarlet shaarli et une politique CSP

L'application web shaarli peut être utilisée avec un bookmarlet, c'est-à-dire un bouton qui déclenche un bout de Javascript qui ouvre un pop-up contenant la page "ajout d'un lien" de shaarli et qui y pré-rempli certains champs (titre, URL, etc.).

Avec Firefox, mon bookmarklet ne fonctionne plus sur certains sites web (Github, par exemple) depuis quelques années, c'est-à-dire depuis que Debian empaquette une version de Firefox qui implémente CSP et/ou depuis que la CSP de ces sites web est devenue bloquante.

Je l'ai écrit dans l'introduction de ce shaarli : par défaut, CSP bloque le javascript inline. Or, le bookmarklet shaarli n'est rien de plus qu'un bout de Javascript exécuté dans le contexte d'exécution d'un site web…

Si j'installe un reverse proxy Apache httpd entre mon Firefox et Github, que je le configure pour remplacer l'attribut « script-src github.githubassets.com; » contenue dans la CSP de Github par « script-src 'unsafe-inline' github.githubassets.com; » (toujours avec le module headers), le bookmarlet shaarli fonctionne.

C'est un problème connu. La norme impose que les bookmarklets ne soient pas affectés par le traitement de CSP. Visiblement, Firefox n'avance pas sur ce sujet.

Une extension Firefox qui remplace le bookmarklet existe… Mais pouvons-nous avoir confiance en Aeris ? :))))

Quelques mots sur HTTP CORS

Par défaut, un certain nombre d'objets web ne peuvent pas demander à un navigateur web d'émettre des requêtes vers une ressource distante qui n'a pas la même origine (même protocole, même domaine, même port, voir ci-dessus pour plus d'infos) qu'eux. C'est le cas pour les API XMLHttpRequest (AJAX) et Fetch, les polices chargées avec @font-face en CSS, les textures WebGL, les canevas HTML5, etc. Liste complète chez Mozilla. La politique par défaut des navigateurs web est donc « même origine ». Les autres objets (une image, une vidéo, une feuille CSS, une inclusion, etc.) ne sont pas concernés, elles ne sont pas bloquées par défaut.

HTTP Cross-Origin Resource Sharing (CORS) est un ensemble d'entêtes HTTP, de la forme « Origin: » et « Access-Control-* », qui permettent de débrayer ce comportement et d'autoriser un navigateur web qui exécute un objet récupéré sur un site web A à émettre des requêtes destinées à un site web B. Évidemment, c'est le site web qui veut être accessible, le site B dans mon exemple, qui doit positionner des entêtes CORS autorisant le site web A ou tous les sites web.

Cela est utile dans des contextes ou des données sont exposées par des API qui peuvent être consultées en temps réel (XMLHttpRequest). Dans ces contextes, les données sont rarement sur le même domaine que le code qui les formate et les présente (architecture frontend / backend, fournisseurs différents, agrégation de fournisseurs de données, etc.).

Exemple : positionner l'entête « Access-Control-Allow-Origin: * » sur ton site web autorise d'éventuels objets XMLHttpRequest placé sur tout site web à émettre des requêtes destinées à ton site web. Évidemment, on peut préciser une seule origine avec « Access-Control-Allow-Origin: https://front.example.com » + « Vary: Origin ». On a le droit qu'à un seul domaine, mais on peut le faire varier en fonction du header « Origin » inséré par le navigateur web à l'aide de l'insertion conditionnelle d'un entête, comme nous l'avons vu précédemment.

Notons qu'il existe deux types de requêtes XMLHttpRequest / Fetch : des requêtes simples / principales contenant des données utilisateur et des requêtes préliminaires qui ne contiennent pas de données utilisateurs mais qui servent à interroger le serveur web sur les méthodes HTTP (GET, POST, etc.), les types de contenus (application/x-www-form-urlencoded, etc.) et les entêtes qu'il supporte. Les requêtes préliminaires sont obligatoires quand la requête principale utilise des méthodes, des types de contenus et des entêtes qui ne sont pas dans la norme de l'API Fetch. Elles sont générées automatiquement par le navigateur web avant l'émission de la requête principale codée par le développeur de l'application web.

Pour plus d'informations, je recommande la lecture de l'excellente page de Mozilla : Cross-origin resource sharing (CORS) - HTTP | MDN.

Le massif du Mont-Blanc, les gorges de l’Ardèche, la dune du Pilat… Tous ces joyaux du tourisme made in France font partie des 2 700 sites classés selon la loi du 21 avril 1906. Quelque 1,1 million d’hectares de paysages français, soit 2 % du territoire, sont ainsi protégés de l’appétit des promoteurs. De façon simple et diablement efficace : tout projet d’aménagement notable envisagé sur ces sites — défrichage, agrandissement d’un bâtiment, création d’une passerelle — doit obtenir l’aval du ministère de l’Environnement, et passer sous les fourches caudines des inspecteurs des sites classés. Les changements mineurs, quant à eux, sont confiés au préfet.

Un projet de décret, daté du 12 avril, signé par le Premier ministre, Edouard Philippe, et le ministre de la Transition écologique, François de Rugy, prévoit que toute autorisation d’aménagement sera désormais délivrée localement par le préfet, lequel, on le sait, est généralement un ardent défenseur de l’environnement, insensible aux pressions amicales des notables et des entrepreneurs du coin… ll s’agit de « prendre les décisions au plus près du territoire afin de favoriser le dialogue avec les porteurs de projets », explique au « Canard » le cabinet du Premier ministre, ajoutant que cette décision est « dans la ligne de ce qui a émergé du grand débat ». Ah bon ?

Parer au plus préfet

Alexandre Gady, professeur à la Sorbonne (« Le Figaro », 5/4), s’inquiète : « Dans des lieux à forte pression immobilière, où des projets sont repoussés avec constance depuis plusieurs années, comme en Val de Loire ou sur la Côte d’Azur, on risque d’assister à un bétonnage de sites exceptionnels. »

Ce que confirme David Couzin, président de l’Association des inspecteurs des sites et des chargés de mission paysage : « On va voir fleurir les projets d’hôtels cinq étoiles dans les prochains mois, je peux vous le dire ! Les promoteurs connaissent les ficelles locales pour faire passer des projets qu’on repousse depuis des années. Par exemple, dans les Pays de la Loire, l’agrandissement du stade du FC Nantes, des aménagements pour touristes sur le lac de Grand-Lieu, une passerelle géante au-dessus de l’Erdre, etc. Ce décret va mettre en l’air un dispositif qui a un siècle et qui a permis de sauvegarder les paysa- ges remarquables et leur biodiversité. »

Le nouveau monde sera moche, ou ne sera pas !

Hum… J'avais jamais trop pensé à ça : les décisions prises à l'échelle locale sont facilement influençables par les gens et entrepreneurs du coin, la proximité permettant de connaître les ficelles. Mais, d'un autre côté, les décisions prises à des échelles supérieures sont influençables par les grosses sociétés commerciales (inter)nationales via les réseaux d'amitié et les cercles de pouvoir. Pas de solution idéale si ce n'est de renforcer un contre-pouvoir judiciaire ? On notera que la loi Macron de 2015 a réduit les délais et les possibilités d'action des associations de défense de l'environnement en matière de construction, y compris sur sites classés…

Dans le Canard enchaîné du 15 mai 2019.

Le patron de la mutuelle cultive sa passion pour les bagnoles, les avions et ses enfants.

Qui a tué le nouveau géant français de l’assurance mutualiste ? En moins de quatre mois, le mariage d’AG2R La Mondiale et de la Matmut, qui devait réunir 16 000 collaborateurs, s’est transformé en divorce.

Selon les communiqués officiels, « des divergences de valeurs, de vision et de méthode » ont ruiné cette union. Mais les « valeurs » ont bon dos… Une bagarre féroce a très vite opposé les équipes dirigeantes des deux mutuelles. Les patrons d’AG2R ont constaté que Daniel Havis, le président de la Matmut, ne voulait sûrement pas « mutualiser » le pouvoir, cherchant à évincer deux de leurs dirigeants — ce que le groupe, contacté par « Le Canard », dément. Et ils ont découvert une gestion pour le moins clanique…

Rejetons pas rejetés

Figure incontournable de la mutualité française, Havis, l’homme aux quatre enfants, aux huit Porsche et aux deux avions, qui se vante de gagner 450 000 euros par an, règne depuis vingt-six ans sur la Matmut. Avec le zélé soutien de son épouse, Elisabeth, qui, jusqu’à sa retraite, en 2018, cumulait les fonctions de directrice générale adjointe de la caisse et d’admirfistratrice de plusieurs filiales du groupe normand.

En bon père de famille, Daniel Havis s’est aussi occupé de la carrière de ses enfants. L’aînée, Emilie, travaille pour Visaudio, le réseau mutualiste d’optique et d’audition, dont le conseil de surveillance est présidé par son papa. Le deuxième, Maxime-René, a été bombardé, entre 2013 et 2015, chargé de com’ d’Imsa Racing, l’écurie d’endurance alors sponsorisée à grands frais par la Matmut. Le troisième, Arthur, a été coopté au directoire de Visaudio, tandis que son épouse, Natacha, a été embauchée à la Matmut dans l’équipe de placements immobiliers. Le benjamin, Hector, s’est fait nommer juré du Prix international Matmut de l’orchestre de jazz. Explications de la Matmut : ils ont tous « des formations, des diplômes, des parcours professionnels… » C’est pas beau, l’esprit de famille ?

Havis a d’autres passions. Le rugby, par exemple. Après avoir cumulé 9 millions de pertes, le MTG XV de Montauban, dont la mutuelle était actionnaire et Havis vice-président, a dû déposer le bilan en 2010. Vilain plaquage.

Désormais, le mutualiste s’entiche d’avions. Le 17 avril 2015, la Matmut a pris le contrôle de Phenix, petite compagnie d’aviation d’affaires installée au Havre. En dépit d’une situation économique précaire, la société s’est dotée d’un appareil quasiment neuf, immatriculé F-HMUT. Pour les « opérations d’assistance » et les « rapatriements sanitaires », précise sa direction.

En trois ans, Phenix a accumulé 1,95 million de pertes ! Matmut Développement, la filiale portant la compagnie aérienne (rebaptisée « Air Matmut » en interne), affiche 3 millions de dettes au compteur.

Et le décollage, c’est pour quand ?

Encore un exemple qui illustre pourquoi les frais de gestion des mutuelles dépassent ceux de la sécurité sociale. Salaires mirobolants, entre-soi idéal pour prendre de mauvaises décisions, sponsor sportif et actionnaire pour le prestige / l'image, matraquage publicitaire avec Chevallier et Laspalès, etc. Forcément, tout ça, ça coûte un « pognon de dingue », et c'est répercuté sur les cotisations, contrairement à la sécu…

Dans le Canard enchaîné du 15 mai 2019.

Lire l'étiquette d’un vêtement avant de l’acheter est devenu une habitude, histoire de ne pas enfiler trop facilement ce joli tee-shirt bariolé cousu par des esclaves à l’autre bout du monde. Souvent, aussi, la question se pose : mais, au fait, combien gagne l’ouvrier qui a assemblé cette petite robe fleurie ?

Le 7 mai, le Centre Stern pour les affaires et les droits de l’homme de l’université de New York a répondu à cette question. Et le résultat de son rapport est glaçant. Bien loin derrière la Chine, qui paie ses petites mains 326 dollars mensuels, le Kenya (207) ou le Bangladesh (95), l’Ethiopie emporte la palme des ouvriers du textile les plus mal payés du monde, avec un salaire moyen équivalent à 23 euros mensuels.

Et que les grincheux ne viennent pas expliquer que cette aumône est en rapport avec le coût de la vie, car, note encore ce rapport, même en Ethiopie, cette somme « ne suffit pas pour vivre » (« Le Point », 8/5).

Ce qui explique que les ouvrières, jeunes paysannes venues à la ville pour la plupart, quittent leur atelier au bout d’un an, épuisées par les conditions de travail et les grèves incessantes, et dégoûtées par leur semblant de revenu.

Ces parcs industriels, qui emploient 70 000 personnes, ont attiré 2,5 milliards de dollars d’investissements étrangers directs (Chine, Inde) au cours de ces neuf mois. Et l’exportation du « made in Ethiopia » rapporte chaque année 103 millions de dollars de devises au pays.

Le nom des marques qui ne répugnent pas à sous-traiter avec Addis-Abeba ? Guess, H&M, Calvin Klein, notamment. Mais difficile de remonter la piste jusqu’aux ateliers de misère.

Sur le site de vente H&M, par exemple, et alors que la marque suédoise se fait fort d’informer sa clientèle de la provenance d’un pull ou d’un chemisier, la Chine, la Roumanie, la Turquie, la Birmanie ou le Cambodge se bousculent, au milieu de quelques articles mystérieux sobrement estampillés : « Malheureusement, les informations relatives aux fournisseurs et aux usines de fabrication ne sont pas disponibles pour ce produit. »

C’est ballet, ça…

J'en étais resté à l'Ouzbekistan et la collecte du coton sous forme de travail forcé par la dictature…

Puisque les salaires ont diminué, les prix de vente auraient dû diminuer… ou alors la richesse a été captée en chemin, par des actionnaires, par exemple, mais je n'ose y croire, cette sauvagerie ne peut pas avoir cours dans un système capitaliste. De même, tout cela fait écho à notre industrialisation au 18e siècle : ils exploitent des femmes (les hommes préférant posséder la terre, travailler au plein-air, hors des contraintes idiotes des possédants), qu'ils font venir à la ville (où elles sont désorientées, mises en concurrence, etc.), à qui ils construisent des villes ouvrières, etc. Bref, on retrouve toute l'analyse de Marx…

La chaîne d'exploitation de l'homme par l'homme m'effraie… L'occident exploite la Chine, l'Inde, le Bangladesh, etc. qui, eux-mêmes, exploitent l'Ouzbekistan et l'Éthiopie…

Dans le Canard enchaîné du 15 mai 2019.

Très intéressante entrevue avec Alain Damasio, écrivain de dystopies technologiques.

Vous avez un parcours assez atypique. Vous avez fait une prépa HEC, ensuite l’Essec… Vous dites qu’à 21 ans, vous découvrez Deleuze et que ça vous a chamboulé.

Mon père était carrossier et ma mère prof d’anglais. À l’Essec, j’ai subi un choc culturel et sociologique majeur. Je découvre des filles et des fils de chef d’entreprise, d’avocat, de ministre… Tous issus de la strate sociale supérieure, riche, ultrafavorisée… Moi, j’appartiens aux 1 % ou 2 % qui viennent du milieu artisan, ouvrier et qui tombe dans un monde où le capitalisme est l’horizon indépassable de ce qu’on t’apprend. Ce n’est même pas discuté, c’est l’évidence, tout le monde la partage : tu dois faire du profit, « produire de la valeur ». J’ai écrit mon premier livre pour vomir ça. J’avais aussi commencé à lire Foucault, quelques philosophes critiques. Et je tombe sur un petit texte dans L’Autre journal en mai 1990, qui s’appelle « Post-scriptum sur les sociétés de contrôle », de Deleuze. Et là, politiquement, c’est le déclic. À l’époque, j’étais encore arc-bouté sur la vision gauche traditionnelle des méchants : les flics, les médias, le gouvernement… Mais Deleuze montre qu’une mutation profonde est en train de s’opèrer et que nous entrons dans une société de contrôle, moins verticale et plus distribuée, avec des stratégies beaucoup plus insidieuses. Tout le monde devient relais, à son niveau, de ce régime de contrôle. Alors, j’ai écrit La Zone du dehors en me disant qu’il y avait un trou dans la matrice, que les gens ne percevaient pas cette nouvelle emprise. Ça m’a pris trois ans, et, au départ, aucun éditeur n’en voulait. Classique !

[…]

Sur les Gafa, vous avez dit : « Ce n’est même pas eux qui mettent en place le mécanisme d’aliénation, ils ne t’imposent rien. Il faut interroger cette façon que nous avons de nous piéger nous-mêmes. »

À mon sens, aucun complot : les Gafa n’essaient pas de nous contraindre à faire ceci ou cela. Ils nous donnent simplement un ensemble d’outils qui vont nous permettre de maximiser notre auto-aliénation. J’appelle ça le « self-serfvice ». Applis, smartphone, bijoux connectés, jeux vidéos addictifs… Nous y plongeons avec délice tout en sentant très bien les degrés de liberté qu’on y perd. Comme si la liberté, par son ampleur et ses possibilités, nous terrorisait…

Depuis le 16e siècle, La Boétie a théorisé que la servitude est volontaire.

Vous parlez souvent d’un croisement des courbes entre pouvoir et puissance…

Les technologies augmentent notre pouvoir sur le monde, on nous les vend d’ailleurs ainsi. Je définis ce pouvoir comme ce que l’outil te permet de faire, c’est-à-dire d’externaliser, de « faire faire ». Tu « fais faire » à la machine quelque chose, Google cherche pour toi… La puissance, c’est ce que nous sommes capables de réaliser avec nos propres capacités (seul ou en collectif) : intelligence, imagination, capacité à mémoriser… À mes yeux, le pouvoir de la techno et la puissance qu’elle nous offre ont longtemps progressé ensemble (Wikipedia empuissante mon écriture par exemple, j’y trouve une info précieuse très vite que je vais métaboliser dans mon récit). Et puis, à un moment, les courbes se sont inversées. On te propose toujours plus de technologies, de gadgets et d’objets, donc plus de pouvoir tandis que ta puissance n’augmente plus : au contraire, elle s’appauvrit. Je prends souvent l’exemple du GPS. Il t’amène où tu veux, sans réfléchir. Tu ne cherches plus à mémoriser où se situe la mer, l’église, telle avenue ou tel café, tu ne formes plus la ville dans ton espace mental. Si je ne mémorise pas ce qu’il y a dans le « Post-scriptum » de Deleuze, comment en parler ? Je vais prendre un smartphone et je vais vous lire le texte ? Non, on a besoin d’ancrer en nous un certain nombre de concepts pour pouvoir penser. Et tous ces petits actes cognitifs, il est important de les maintenir vivants, actifs, sinon tes puissances personnelles se dévitalisent.

Vous dites aussi que la technologie conjure nos peurs, supprime nos solitudes…

Il y a cette loi du moindre effort, oui, tout autant que ce rapport à la peur. La volonté de contrôle n’est pas un privilège d’État ou de multinationales. Nous sommes tous pris dans ce contrôle
croisé. Une femme va vérifier ce que son mec regarde sur Facebook, quel site il a consulté. Lui-même checke les textos de sa copine, au cas où. Le patron hacke la vie privée de ses salariés et toi-même, quand tu entres dans une boîte, tu vas commencer par googliser ton patron. On multiplie tous ces petits actes de contrôle mutuel qui, au final, tissent une étoffe de surveillance qui nous colle à la peau. Pourquoi ? Parce que ça répond à une incertitude foncière. Nous sommes dans une société moléculaire, faite de petites particules individualisées mises en compétition, harcelées parfois, faisant face à un monde complexe, difficile à anticiper, incertain. Nous ne formons plus des groupes, mais des grappes. Nous demandons à la techno de nous protéger, de nous filtrer ce monde menaçant par communautés de gens qui pensent comme nous pour éviter le confrontation avec « l’étranger ». Ces boucles d’incertitude-peur-contrôle s’entretiennent et se renforcent.

Notons que si la technologie amplifie ce type d'action, il n'y a rien de nouveau : la surveillance existait dans les petits villages. Mais, comme le rappelle Stéphane Bortzmeyer, elle était connue de tous et réciproque. Les actions décrites ci-dessus répondent à ces critères. Peut-être n'est-ce pas le fond du problème ?

Vous êtes très attaché à la colère.

La colère est un don. L’abbé Pierre disait même qu’elle a été son don le plus précieux. La colère qui est pourtant l’un des sept péchés capitaux ! J’avais adoré ça. La colère est une force extraordinaire. Après, il faut l’architecturer, être capable d’en faire un carburant durable, pas juste un moteur à explosion. J’appelle ça la « rage du sage ». Si tu n’as pas de colère, que veux-tu faire d’important ? Tu ne peux pas changer le monde sans ce feu-là.

[…]

Un de vos combats, c’est le transhumanisme, qui vous fait hurler !

Le transhumanisme est l’idéologie terminale des libertariens — aka ceux qui dominent le monde en ce moment, les PDG des Gafa — une sorte d’anartechno—capitalisme. Ils sont convaincus que la technologie peut porter l’humain au stade supérieur, l’améliorer… et nous refourguent ce que j’appelle l’antique désir d’être Dieu : être omniscient, ne plus souffrir de la maladie, « tuer la mort ». Ils méprisent le corps humain, réduit à la viande, comme ils méprisent l’esprit, moins puissant qu’une IA, selon eux. Ils devraient lire Nietzsche : « Le surhumain, c’est l’homme qui va jusqu’au bout de ce qu’il peut. » Tout est déjà en nous, il faut simplement l’éduquer, le nourrir, le déployer.

Le transhumanisme ne serait qu’un mythe contemporain…

Un mythe surgit généralement quand une communauté fait face à des phénomènes ou des événements qu’elle ne peut saisir par ses modes d’intellection habituels : les catastrophes naturelles auparavant, les maladies… Le mythe fait le pont avec le chaos et structure pour nous l’incompréhensible. Cette mythopoïèse baisse logiquement quand la science se déploie. L’intéressant est qu’en ayant créé une technosphère bourgeonnante, floribonde, très difficile à assimiler, se fait jour un besoin de mythe propre à notre époque : celui du transhumain et de la singularité.

Oui, le transhumanisme cherche à combler nos incertitudes et à faire taire nos peurs (de la maladie, de la mort, de ne pas être à la hauteur physiquement et mentalement, etc.). C'est notre mythe moderne… Avant les contes puis la philosophie puis la religion et maintenant, la technologie. Sur ce sujet, je recommande la lecture de L'aberration du solutionnisme technologique.

Dans le Siné mensuel d'avril 2019.

À l'évocation de cette B.D., du fait que le renommage des services publics n'est pas seulement un artifice de communication mais l'annonce, par la sémantique, d'une dégradation profonde et d'un abandon des services publics, un collègue m'a raconté que, sur l'application Oui.sncf, des horaires sur plusieurs petites lignes TER ont disparu plus ou moins récemment. Le service client semble informer les clients que lesdits TER circulent toujours, que l'équipe Oui.sncf a choisi de ne pas les afficher, mais que l'on peut toujours les trouver et y réserver une place sur le site web / l'application TER (ter.sncf.com). Donc, quand la SNCF se présente sous le nom de son agence de voyage, elle """"oublie"""" de mentionner des horaires sur des petites lignes pas rentables qu'elle aimerait bien fermer avec la bénédiction du gouvernement. Quand elle se présente sous son nom connoté d'une mission de service public, elle mentionne lesdits horaires. C'est avoir tort que d'avoir raison trop tôt, trouzemillième édition ?

Philippe Louis, le président de la petite Confédération française des travailleurs chrétiens (CFTC), vient d’alerter ses troupes. Lors d’une réunion organisée il y a trois semaines avec Muriel Pe'nicaud et ses collaborateurs, une vilaine menace a été proférée à son endroit : la représentativité nationale de la CFTC pourrait être remise en question !

Depuis 2008, les syndicats sont considérés comme représentatifs s’ils ont recueilli plus de 8 % des suffrages aux élections professionnelles dans les entreprises. Avec 9,48 %, la CFTC est bonne dernière. Il suffirait que la ministre relève ce seuil à 10 % pour que le syndicat catho perde sa place dans le club des cinq.

Du mou dans la quête

Pourquoi le ferait-elle ? Parce qu’elle s’alarme du « gauchissement » (sic) de la CFTC, observé notamment lors de ses discussions sur la retraite avec le médiateur Jeau-Paul Delevoye. Philippe Louis a donc ordonné à ses ouailles une plus grande modération à l’égard du gouvernement. Y compris quand Macron entend instaurer un âge pivot à 64 ans et pénaliser ceux qui voudraient partir avant ? Possible : la représentativité permet à la CFTC de participer à toutes les négociations avec le Medef et d’être reçue avec les grands à l’Elysée et à Matignon, mais aussi de toucher de rondelettes subventions. Ainsi, les cotisations des militants ne rapportent que 2 millions à la centrale chrétienne, alors que 17 millions de subventions de l’Etat tombent chaque année dans son escarcelle.

A comparer avec FO (8 millions de cotises, 20,1 millions d’aides publiques) ou la CGT (13,6 millions de la base, pour 27,5 millions de l’Etat). Sans la manne publique, la CFTC risque fort de devoir mettre la clé sous la porte du presbytère…

Dans le Canard enchaîné du 8 mai 2019.