GuiGui's Show

I've accidentally discovered the world's most efficient way to leak personal information.
Plus, the photo was geotagged, my unlocked password manager was visible on the laptop, AND you could see my naked reflection in the dark part of the screen.

+1. :D

Gros +1…

+1…

\o/

Gros gros +1. Et y'a pas que sur mobile que c'est chiant au possible.

Les «Incels» forment une sous-culture Internet, présente sur Reddit et 4chan, qui défend un masculinisme poussé à l’extrême. Selon la définition stricte donnée par le subreddit éponyme (fermé en toute discrétion par Reddit le 7 novembre dernier), un «Incel» (involuntary celibate) est un mec désirant avoir des relations avec des filles mais qui n’y arrive pas et s’estime très pessimiste quant à ses chances futures.

[…]

La caractéristique des «Incels» est d’avoir développé une haine féroce des femmes, qu’ils estiment responsables de tous leur déboires. Dans leur jargon, les femmes sont appelées «roastie» (rosbeef, référence à la forme de leur vagin après avoir eu plusieurs partenaires) ou «femoid» (pour «female humanoid», appellation leur déniant toute humanité).

S’estimant être des «nice guys» ne recevant en retour aucune attention des filles, les «Incels» en concluent que le seul critère effectif de la séduction est le physique. Ce qui ouvre la voie à leur deuxième sujet de haine : les «chads», ces mecs beaux gosses et musclés qui auraient un injuste succès avec les filles. Dans leur jargon, l’équivalent féminin du «chad» est la «stacy», un couple auquel fait référence Minassian dans son post Facebook.

Les «Incels» sont persuadés qu’il n’existe pas de plus grande discrimination que la discrimination physique.

[…]

Ce n’est en fait pas la première tuerie liée à cette idéologie. En 2014, Elliot Rodger, un étudiant de Santa Barbara avait tué six personnes et blessé 14 autres avant de se donner la mort. On avait retrouvé un long manifeste où il hurlait sa haine des femmes.

Dans son message Facebook, Alek Minassian fait référence au «supreme gentleman» Elliot Rodger. Derrière le folklore web et les bonnes blagues sur les «chads», il existe bien un terrorisme masculiniste.

Selon Numerama, le subreddit incels avait dépassé la barre des 40 000 membres.

Via https://twitter.com/geoffrooy/status/989042514610085890 via https://twitter.com/bortzmeyer

Selon des chiffres diffusés par NetTrack, Let's Encrypt a passé en avril la barre des 50 % des domaines gérés, parmi les presque 8 millions surveillés par le service.

Cela pose plusieurs problèmes dont je n'ai pas vu (encore ?) d'analyse. Donc je me lance, même si je vais pas mal radoter mon premier jet sur Let's Encrypt.

Vie privée

Le premier problème est une question de vie privée. Afin de s'assurer qu'un certificat x509 n'a pas été révoqué, un client TLS (un navigateur web, un logiciel d'emails, un logiciel de messagerie instantanée, etc.) peut émettre une requête HTTP destinée à l'autorité de certification qui a émis le certificat présenté par un serveur TLS (serveur web, serveur mails, etc.). Évidemment, l'autorité de certification signe sa réponse avec sa clé privée. Ainsi, le client TLS pourra vérifier l'authenticité de la réponse avec la clé publique de l'autorité (contenue dans le certificat x509 de cette autorité). Il s'agit du protocole OCSP. Il est activé par défaut un peu partout.

Cela signifie qu'avec ce protocole, une autorité de certification stocke, dans ses journaux, des infos comme : telle IP a demandé la vérification du certificat x509 du site web ineedmoarporn.example à telle date+heure.

Si une autorité de certification devient un acteur incontournable, cela signifie qu'elle consigne, dans ses journaux, l'information qu'une même IP a visité les sites web ineedmoarporn.example, lacroix.example, fillon2017.example avant de consulter ses emails hébergés chez sans-nuage.fr.

Je ne sais pas pour toi, mais je trouve que c'est un vrai problème, quand bien même il y a des associations militantes pour les libertés humaines (mais pas que) derrière Let's Encrypt.

En 2025, Let's Encrypt a cessé de recourir à OCSP.

Comment voir quel serveur OCSP sera contacté pour un certificat x509 donné ? Il suffit de regarder les détails d'un certificat x509, notamment la section « Authority Information Access ». Avec Firefox. Exemple en ligne de commande :

$ echo | openssl s_client -servername mediapart.fr -connect mediapart.fr:443 2>/dev/null | openssl x509 -noout -ocsp_uri
http://ocsp.usertrust.com

Ici, quand un⋅e citoyen⋅ne consulte ce journal, son navigateur web émet une requête HTTP destinée à ocsp.usertrust.com. User Trust sait donc que l'ordinateur utilisé par ce⋅tte citoyen⋅ne va probablement consulter le site web de ce journal dans les prochaines secondes.

Dans le cas de Let's Encrypt, le serveur OCSP est pointé par le nom « cert.int-x3.letsencrypt.org » et est hébergé… par Akamai, un géant des infrastructures Internet… Tu le sens, le respect de ta vie privée ?

Pour limiter l'impact de ce flicage :

• L'éditeur⋅rice d'un site web devrait activer l'OCSP stapling dans la configuration de son serveur web. Dans cette configuration, c'est le serveur web qui va interroger l'autorité de certification régulièrement et qui copie la réponse (signée donc infalsifiable ;) ) de celle-ci aux clients web lors de l'initialisation du chiffrement. Ainsi, dans les journaux de l'autorité de certification, la seule information stockée est "le serveur hébergeant ineedmoarporn.example a demandé la validité du certificat delivré pour ineedmoarporn.example". La vie privée des visiteur⋅e⋅s du site web est préservée.
  
  
• Chacun⋅e de nous devrait désactiver OCSP (mais laisser OCSP stapling activé) dans chacun de nos clients TLS. Dans Firefox et Thunderbird, cela se fait en configurant la valeur « 0 » au paramètre « security.OCSP.enabled » dans about:config. Pour les autres clients TLS : mystère (et c'est un problème)…

Acteur dominant et libertés

Le deuxième problème est une question éthique et philosophique. Quand un acteur concentre un marché, il exerce un pouvoir sur le marché. Quand un acteur a du pouvoir, il en abuse. Forcément. S'il n'a pas de concurrent, alors les citoyen⋅ne⋅s sont pris au piège, ce qui renforce le pouvoir de cet acteur. Je pense que c'est assez évident avec l'affaire Facebook / Cambridge Analytica (je prends l'exemple le plus récent, mais il y en a une infinité) : tu peux être scandalisé, tu vas quand même rester sur Facebook pour parler avec tes "ami⋅e⋅s" car il n'y a pas vraiment de concurrent avec un service similaire aussi fréquenté.

Je me moque de savoir que, derrière Let's Encrypt, il y a des associations qui militent pour les libertés humaines. Car tout acteur est corruptible. Tout acteur peut ne pas percevoir une entourloupe et la valider. Sans compter que toute la sécurité apportée par x509 repose sur la plus mauvaise autorité de certification acceptée par la communauté (des navigateurs web et des systèmes d'exploitation), car n'importe quelle autorité de certification peut émettre des certificats x509 pour n'importe quel site web, même pour un site web dont l'éditeur⋅rice n'est pas client chez elle. x509 est ainsi fait. Let's Encrypt peut être absolument irréprochable, ça ne change pas la donne.

Il découle du paragraphe précédent que ce qui compte à mes yeux, c'est d'avoir un équilibre des pouvoirs : qui dispose d'un pouvoir similaire afin d'exercer un pouvoir de contrôle sur Let's Encrypt ? Personne. Vers qui se tourner si Let's Encrypt failli (tout en conservant un service similaire) ? Personne. Puis-je vérifier moi-même ce que fait Let's Encrypt ? Non. Ai-je un pouvoir de décision, même indirect sur ce que fait Let's Encrypt ? Non. Le pouvoir d'émission de certificats x509 est confisqué aux citoyen⋅ne⋅s. Certes, il l'a toujours été, mais Let's Encrypt enfonce le clou alors que des alternatives sont possibles, j'y reviens à la fin.

Un monde dans lequel

• les navigateurs web afficheront une couleur flippante au moindre site web qui ne propose pas un accès chiffré (c'est en cours dans les principaux navigateurs web) ;
  
  
• les navigateurs web affichent d'imposants messages flippants pour tout site web dépourvu d'un certificat x509 délivré par une autorité de certification reconnue (ça, ça a toujours été le cas et il n'est pas prévu de débrayer ce comportement dans les principaux navigateurs web alors que les technologies modernes permettent désormais de faire autrement, j'y reviens à la fin) ;
  
  
• les moteurs de recherche notent moins bien les sites web qui ne proposent pas un accès chiffré à leur contenu ou qui le propose avec une autorité de certification non reconnue (c'est déjà le cas de l'hégémonique Google Search),

… est un monde dans lequel chaque autorité de certification est un acteur puissant supplémentaire qui décide de ce qu'est la liberté d'expression et des contenus qui en relève…ou non. Elle peut refuser de délivrer un certificat à tel ou tel site web ou de révoquer le certificat de tel site web. Let's Encrypt ne s'en prive pas. Les navigateurs web feront alors peur aux visiteur⋅e⋅s de ce site web, les moteurs de recherche déclasseront ce site web et ce sera la fin. Il y a déjà suffisamment d'acteurs qui ont ce pouvoir… Est-on obligé de s'en imposer un de plus ?! Les gouvernements, entre autres, ont déjà ordonné à des intermédiaires techniques, comme les registres DNS, de pratiquer la censure sans décision de justice, alors ordonner la même chose à un intermédiaire technique de plus ne les découragera pas.

Certes, Let's Encrypt n'est pas à l'origine de tout ce que je décris depuis le début de ce shaarli, mais cette initiative, qui partait d'une bonne intention, va considérablement retarder l'émergence de réelles solutions à tout ce merdier. Et c'est ça que je reproche à toutes les personnes qui ont fait la promotion de Let's Encrypt sans se poser plus de questions, au motif que le chiffrement est à la mode depuis Snowden… Alors que le chiffrement est inutile quand les gens concentrent leurs données sur quelques sites web états-unien où elles peuvent être récupérées tranquillou par tout le monde parce que les lois, sur la surveillance de masse et sur la protection de la vie privée, le permettent… Let's Encrypt est une fuite en avant, pas une solution durable.

Que faire ?

Par ordre de complexité :

• Si t'es l'éditeur⋅rice d'un site web, active l'OCSP stapling ;
  
  
• Désactiver OCSP dans tout client TLS (navigateur web, logiciel d'emails, logiciel de messagerie) ;
  
  
• Défendre l'émergence et le maintien de plusieurs autorités de certification communautaires et leur reconnaissance par les principaux systèmes et logiciels. Aucune autorité de certificat devrait avoir une part de marché aussi énorme que celle dont dispose Let's Encrypt à l'heure actuelle. CACert, autorité de certification communautaire existe depuis longtemps mais n'a jamais été reconnu massivement… alors que les mêmes logiciels tolèrent des autorités de certification crapuleuse (Microsoft a émis de faux certificats pour GMail & co sous la dictature tunisienne de Ben Ali afin de permettre la surveillance des citoyen⋅ne⋅s), douteuses, voire défectueuses… ;
  
  
• Défendre un modèle dans lequel les sites web peuvent émettre des certificats autosignés sans qu'un client TLS affiche un message flippant. L'authentification du certificat sera réalisée via le DNS, qui est déjà un intermédiaire technique incontournable. C'est gratuit, ça vire l'intermédiaire inutile et dangereux pour les libertés qu'est l'autorité de certification et ça corrige le problème de fond de x509 : un faux certificat émis par une autorité de certification sera rejeté par le client TLS. On est sur un modèle plus décentralisé ;
  
  
• Dégager x509, ce standard d'une complexité folle inventé par les opérateurs télécoms qui apporte aucune confiance car il repose sur le principe clé que seulement de gros acteurs seront des autorités de certification donc que ces acteurs ne pourront pas être nuisibles ni mal faire leur boulot… Too big to fail…

Je retiens :

• Un mode d'expression un peu renouvelé : des chars et des marionnettes tournant Macron en dérision, de la bonne humeur, etc. ;
  
  
• La classe politicienne s'est plainte de la violence symbolique des slogans brandis et des chants entonnés… … … toujours sans s'interroger sur la violence des propos (trop) souvent méprisants de Macron et sur celle des décisions de toute la classe politicienne, du président aux parlements en passant par le gouvernement et "l'opposition" (si elle existe…)… Bref, je pense que la Fête à Macron marque un très bon point : elle dérange nos élites en leur renvoyant en miroir et de manière humoristique leurs pratiques détestables ;
  
  
• La flicaille était particulièrement présente et tendue :
  • « Sur le parcours de la manifestation, les forces de l'ordre sont quasiment invisibles. Mais dans les rues adjacentes, elles sont très nombreuses. » ;
  • « Grilles pour barrer les rues, CRS casqués, de plus en plus armés. », « Place de la Bastille, le nombre de camions de CRS est impressionnant. Les caméras de surveillance tournent à plein régime. » ;
  • « En fait, de nombreux groupes de policiers en civil, certains avec une attitude pas rassurante du tout, intègrent la place de la Bastille. Alors qu'un autte groupe de policiers en civil que celui-ci entre dans le champ de mon appareil photo, je suis immédiatement encerclé et gentiment "intimidé" par les forces de l'ordre. »
  • « En sortant de la manifestation, alors que je m'interrogeais sur l'intérêt d'une dernière photo, un CRS m'a "interpellé", demandé ma carte de presse et ma carte d'identité parce que "je prenais des photos", ce qui est légal, pour un quidam ou un journaliste. ».
• Une difficile union des gauches. La France Insoumise et le camarade Meluche se sont beaucoup mis en avant, notamment sur un bus à deux étages circulant dans la première moitié du cortège… alors que le plan prévoyait que les organisations politiciennes circulent dans la deuxième moitié du cortège, ce que les autres organisations semblent avoir respecté. On constate aussi que les réunions préparatoires à l'union des gauches en dehors de cette manif du 5 mai ont été laborieuses et, qu'une fois encore, la France Insoumise n'a pas joué le jeu en annonçant la date du 26 mai dans son coin… Mais pourquoi jouerait-elle le jeu alors qu'elle a désormais suffisamment de visibilité pour écraser les autres mouvements qui se proclament de gauche ? ;) Comment ne pas se disperser alors que tout ce beau monde s’affrontera pour le pouvoir dans moins d’un an (élections des député⋅e⋅s européen⋅ne⋅s) ? ;) Est-ce que rassembler pêle-mêle toutes les luttes donne de la visibilité à chacune d’elle ou est-ce que la popularité de certaines écrase les autres ? Toutes ces luttes peuvent-elles être unies sous un même programme réellement applicable autre que le rejet de la politique de Macron ?

Si je résume viteuf ce qui ressort pour l'instant des comptes de campagne des candidats à la présidentielle 2017, ça donne ça :

• Macron se fait octroyer pour environ 200 000 € de rabais inhabituels sur des prestations de communication c'est-à-dire des rabais qui dépassent parfois les 20 % admis par la Commission des comptes de Campagne et/ou qui ne semblent pas être appliqués aux candidats Hamon et Fillon (au minimum), ce qui jette un doute sur leur caractère habituel. On parle de prestations identiques voire de la location d'une même salle ! La société par qui tout a commencé, GL Event, est citée dans les Panama Papers et son dirigeant est un poto de longue date de Collomb, qui lui a octroyé beaucoup de concessions publiques à Lyon. Au moins deux des sociétés commerciales qui ont octroyé des rabais sont désormais bien reçues à l'Élysée (GL Event) voire font partie du staff présidentiel (Eurydice). Apprécions les justifications qui nous ont été servies : "on a négocié serré" côté Macron suivi d'un "ce n'est pas un rabais inhabituel" côté GL Event suivi de (quand le côté "habituel" s'écroulait face aux faits) "la différence de tarification s'explique par la temporalité : période estivale ou non" (qui ne résiste pas à l'analyse des faits : les ristournes ont perduré dans le temps) … … … ;
  
  
• Le camarade Méluche a eu massivement recours à l'autoentreprenariat (y compris pour les "hauts gradés", comme le numéro deux de sa campagne) contre lequel il a toujours pesté ainsi qu'à une association, l'Ère du peuple, qui joue le rôle de micro-parti sans avoir les statuts d'un parti politique, ce qui permet d'échapper aux règles de transparence de la vie publique. Je passe sur l'éventuelle surfacturation appliquée par l'Ère du peuple, car l'explication de la France Insoumise m'a convaincu (dans le doute, ils ont refacturé les salaires selon un delta tel qu'il se pratique dans les agences d'interim). Là aussi, apprécions les justifications qui nous ont été servies : "mouiiiiiin je suis le mal-aimé, mouiiiiiin" (alors que non : la commission des comptes de campagne a sorti le dossier de Méluche en premier car il était le plus demandé) suivi de "les personnes étaient toutes volontaires donc l'utilisation du statut d'autoentrepreneur est conforme à notre éthique" suivi du pas contradictoire propos "l'usage de ce statut n'est pas le top, mais on n'avait pas le choix, les règles étaient trop contraignantes, notamment on n'avait pas de prêt bancaire à ce moment-là" (pourquoi ne pas avoir arrêté quand il⋅elle⋅s l'ont obtenu ? mystère) suivi de "naaaaaan mais on n'a pas voulu échapper à l'IS et à la TVA avec l'Ère du Peuple qui n'est pas une structure à but lucratif, si le fisc constate un problème, on paiera, ce n'est pas le sujet" suivi de "naaaaan, y'a aucun manque à la transparence de la vie publique, si la Commission des comptes de campagne nous le demande, on publiera le nom des donateurs et le montant des dons, c'pas un soucis". En passant, je ne résiste pas à l'envie de citer ceci : « L’Ère du peuple », cette association a pour objet social de fournir un « support technique et logistique à toutes initiatives prises au service des idées de Jean-Luc Mélenchon pour réaliser la révolution citoyenne ». Ça ne se prend pas pour de la merde.

Ça me rend enragé ! Dans les deux cas, on est quand même à un niveau de foutage de gueule et de mauvaise foi comme c'est pas permis ! Pinaise, il⋅elle⋅s me dégoûtent tou⋅te⋅s ! "Naaan monsieur le juge, je ne l'ai pas vraiment violée, mais les règles pour obtenir son consentement étaient trop contraignantes, comprenez-moi"… "C'est de la négociation, ha heu non, c'est un rabais habituel, ha, non, pardon, une tarification saisonnière, je suis maladroit, ha, heu, non, c'est…"… Aucune volonté de faire une campagne totalement clean alors qu'il n'arrête pas de jacter sur la transparence, sur une 6e République plus saine, etc. Quand tu renies tes prétendues convictions (sur le statut d'autoentrepreneur) avant même le combat, tu pars quand même très mal, je trouve. Booooarf, tout ça me dégoûte…

Je ne reviens pas sur Fillon et sur Le Pen… C'est guère mieux.

En tout cas, tout ça amène à réfléchir à l'équité de financement entre les candidat⋅e⋅s à une élection, à l'égalité des prix pratiqués par un même prestataire auprès de candidats différents pour une même prestation, aux contrôles que l'on pourrait améliorer genre la Commission des comptes de campagne n'a pas de pouvoir d'enquête, ne connaît pas le milieu dans lequel elle exerce (combien coûte l'impression de tracts ? combien coûte un meeting de telle ampleur donné dans tel lieu ? Il⋅elle⋅s n'en savent rien) et elle est sous-dimensionnée, ce qui l'empêche de gérer le brutal pic électoral qui se produit tous les 5 ans, etc.

Ça sera pour la prochaine fois. Pour l'heure, les comptes de campagne de tous les candidat⋅e⋅s à la présidentielle 2017 ont été validés. Circulez, y'a rien à voir, et surtout, n'hésitez pas à voter pour des crapules (mais au moins, y'a des crapules de droite, de gauche et de ni-ni, et ça, ça change tout, c'est ça, « avoir le choix » !).

Sources :

• https://www.mediapart.fr/journal/france/270418/campagne-de-macron-les-cadeaux-du-roi-de-l-evenementiel
• https://www.marianne.net/politique/comptes-de-campagne-plus-de-200000-euros-de-gestes-commerciaux-pour-macron
• https://www.mediapart.fr/journal/france/300418/campagne-macron-les-preuves-du-mensonge
• https://www.marianne.net/politique/comptes-de-campagne-de-macron-derriere-de-troublantes-ristournes-l-hypothese-de-dons
• https://www.mediapart.fr/journal/france/130318/les-montages-artisanaux-de-la-campagne-de-melenchon

Emmanuel Elong, syndicaliste dans les palmeraies camerounaises contrôlées par le groupe Bolloré, avait osé dénoncer les conditions de travail au sein de ces plantations dans l’enquête « Vincent Bolloré, un ami qui vous veut du bien ? ». Diffusé en 2016 par France 2, le reportage avait été couronné du prix Albert-Londres et… attaqué en diffamation par l’industriel.

Le 3 avril dernier, Elong s’est présenté au tribunal correctionnel de Paris pour témoigner en faveur de cette enquête. Le 24 avril, de retour au Cameroun, il écrit au préfet de sa région pour lui demander d’assurer sa sécurité. Dans son courrier, Elong se dit « victime d’intimidations, de surveillance illégale et de menaces », puis évoque le mauvais souvenir du procès parisien : « Avant mon départ pour la France, j’ai fait l’objet de tentatives de corruption et de dissuasion pour me faire abandonner ce projet. A mon arrivée en France, Tristan Wakekx, journaliste et coauteur du reportage [de France 2], qui devait m’accueillir à l’aéroport, a été curieusement victime d’un cambriolage de son appartement, la nuit précédente. Sa serrure endommagée, il n’a pas pu venir m’accueillir. » Waleckx — qui a porté plainte — a confirmé l’affaire au « Canard ». Ce jour-là, France Télévisions avait préféré payer un garde du corps pour accompagner Elong de l’aéroport au tribunal…

Dans le Canard enchaîné du 2 mai 2018.