GuiGui's Show

« C’est la règle à laquelle il n’y a jamais d’exception. Après chaque nouvel attentat le gouvernement en place finit par annoncer de nouvelles mesures sécuritaires, moins coûteuses et plus immédiates que des mesures sociales ou des décisions diplomatiques aux effets plus incertains et à l’ambition parfois incomprise.

[...] Manuel Valls ou un Bernard Cazeneuve qui annoncent perquisitions administratives, gardes à vue, renforcement des contrôles aux frontières, bombardements chez l’ennemi et assignations à résidence.

Il était donc attendu que le gouvernement modifie à nouveau la législation, y compris en dehors du cadre de l’état d’urgence qui fera l’objet d’une réforme constitutionnelle. Ce sera chose faite à travers un projet de loi défendu (ou au moins présenté) par la ministre de la justice Christiane Taubira, qui sera chargé une nouvelle fois de déshabiller l’institution qu’elle représente, quelques mois après avoir déjà porté à contre-cœur la loi sur le renseignement.

Le journal Le Monde a livré les pistes imaginées par le gouvernement dans ce texte, qui « élargira les pouvoirs du parquet et de la police en temps ordinaire dans la lutte antiterroriste », c’est-à-dire hors de toute période d’état d’urgence. Parmi les mesures envisagées figureraient :

« La possibilité de saisie par la police de tout objet ou document lors d’une perquisition administrative, sans contrôle du procureur » : Ce n’est pas précisé mais l’on imagine bien qu’il s’agit donc de généraliser aussi la possibilité pour la police de copier sur place toute donnée stockée dans le Cloud accessible depuis les ordinateurs ou smartphones présents au domicile ou au bureau de la personne faisant l’objet de la perquisition.

« L’interconnexion globale de tous les fichiers, notamment ceux de la sécurité sociale » : toute donnée obtenue sur vous pourra être croisée contre vous. Plus ça va, plus le principe du respect du consentement lié à la finalité de la collecte des données personnelles est oublié, pour permettre qu’elles soient exploitées et croisées entre elles.

« L’installation systématique de GPS sur les voitures de location » : celle-ci est particulièrement inquiétante. Les terroristes des attentats de Paris ont utilisé des voitures louées pour venir à Paris, donc l’idée est d’obliger les loueurs à géolocaliser tous les véhicules qu’ils louent, et à rendre ces données accessibles aux autorités. Toute personne qui loue une voiture pourrait donc être traquée à distance au mépris de sa vie privée, ce qui n’est actuellement le cas que si l’entreprise de location décide de le faire, et prévient explicitement le client. Or l’on imagine bien que des terroristes demain pourront utiliser leur propre voiture ou employer des véhicules volés, comme ça avait été le cas après l’attentat contre Charlie Hebdo. Faudra-t-il alors généraliser les émetteurs GPS dans toutes les voitures de France et de Navarre, comme le permettra techniquement le système eCall imposé dans tous les véhicules européens construits depuis octobre 2015 ? On s’y dirige tout droit.

« Injonction faite aux opérateurs téléphoniques de conserver les fadettes pendant deux ans » : Cette réforme serait adoptée dans un mépris total de l’arrêt Digital Rights Ireland de la Cour de justice de l’Union européenne (CJUE) qui a imposé aux états membres de l’UE de réduire la durée de conservation des données personnelles des internautes et clients d’opérateurs mobiles. La décision a provoqué des réformes partout en Europe mais la France continue non seulement de l’ignorer, mais semble aujourd’hui prête à aller plus loin encore qu’avant cet arrêt de 2014. »

Que du bonheur... JE REFUSE.

Les participants à la consultation publique sur l'avant-projet de loi numérique ont reçu un mail les invitant à participer à un questionnaire de satisfaction. Mon avis sur cette consultation est déjà disponible ici : http://shaarli.guiguishow.info/?emXlQQ . Comme les questions sont inutiles, fermées, biaisées car écrites par des communicant-e-s bullshiteurs/euses, voici ce que j'ai répondu. Si ça peut aider...

Comment avez-vous été informé du lancement de la consultation ?
    => Si l'on répond « presse », ils vont penser à la presse traditionnelle et donc que les subventions de c'te merde sont justifiées et que leur campagne de communication est un succès. Si l'on répond « Internet (sites et réseaux sociaux) », ils vont retenir réseaux d'asociaux et donc que y'a eu du buzz autour de l'initiative, big up la campagne de comm' a fonctionné. Du coup, j'ai répondu « Autre » + « Presse en ligne (Next INpact & Numerama) + Association de défense des libertés La Quadrature du Net »


Combien de fois vous êtes vous connecté sur le site ?
    => Sur quelle période de temps suis-je censé répondre (durée de la consultation, consultation + lectures des réponses du gouvernement,...) ? Quel est l'intérêt de cette question et de la métrique définie derrière ? Le site web déconnecte après une heure d'inactivité donc ce chiffre est faussé. J'ai répondu « Plus de 10 fois ».


Quel(s) type(s) d’actions avez-vous réalisé sur la plateforme ?
    => C'est une question à choix unique alors que plusieurs réponses me conviennent puisque j'ai voté pour des articles et amendements et j'ai publié des arguments (et j'aurai publié des propositions si je m'y étais pris plus tôt :- ). Peut-être que les communicants considèrent qu'un auteur d'arguments est forcément un votant ? En tous cas, « votant » peut-être traduit par « mouton passif » par ces gens-là donc j'ai répondu « J’ai publié des arguments ».

 
Combien de contributions (arguments, articles et amendements) avez-vous publié au total ?
    => Ces stats n'ont aucun intérêt et sont publiques (accessible dans mon profil sur le site web de la consultation) donc la question est inutile. J'ai répondu « Plus de 5 ».


Pour quelle raison avez-vous participé ?
    => Encore une question à choix unique alors que j'avais plusieurs motivations pour participer à cette consultation... Cette question a pour seul but de stigmatiser le participant puisque voici comment ils vont interpréter les réponses : 1 = geek râleur ; 2 = professionnel donc soit lobbyiste soit l'aspect économie numérique seulement ; 3 = pense qu'à lui/elle ; 4 = parce que je pouvais le faire c'est-à-dire "cause toujours" ; 5 = j'me sens moins con que les autres ; 6 = je suis un mouton . Entre la peste et le choléra, j'ai répondu « 4 - Pour exprimer mon opinion »


Avez-vous partagé des contenus sur les réseaux sociaux ?
    => Ils n'ont toujours pas compris qu'il n'y a pas que les réseaux d'asociaux pour exister en ligne :'( C'est pitoyable. Donc mes shaarlis pour relayer l'info et mon avis, les échanges par mails et sur IRC, c'est de la merde à leurs yeux ?! :@


 Dans le passé, est-ce qu’il vous était déjà arrivé de consulter le texte d’un projet de loi en cours d’adoption ?
=> Oui.


Estimez-vous que la communication réalisée pour faire connaître la consultation a été claire et suffisante ?
    => J'ai répondu « Oui, tout à fait » car je n'ai pas envie qu'ils dépensent du fric public pour une plateforme aussi peu ergonomique et un résultat de consultation aussi nul.


Comment évaluez-vous le dispositif participatif mis en place pour vous exprimer sur le projet de loi ?
    => Les réponses proposées sont inadaptées : « Très simple », « Simple », « Complexe », « Très complexe ». Un des éléments de réponse est d'indiquer si l'outil était à la hauteur du besoin. Or, il ne l'est pas : tout argument est forcément rangé pour ou contre. Il n'y a donc pas de place au questionnement : il s'agit d'un plébiscite. On a aussi parfois envie d'exprimer un "progrès mais très insuffisant".


Pensez-vous que la consultation a permis de modifier le texte initial du Gouvernement ?
    => « Pas du tout » est une réponse extrême qui ne sera pas écoutée même si elle est la plus proche de la vérité, àmha. « Énormément », « Beaucoup » et « Un peu » sont des mensonges. J'ai donc répondu « Peu ».

 
Si le Gouvernement organise une nouvelle consultation sur un projet de loi, participerez-vous ?
    => Haha la question piège vis-à-vis de la question précédente. Si je réponds oui alors que j'ai répondu que la consultation passée n'a eu que bien peu d'impact, comment vont-ils interprété cela ? Serais-je catalogué comme un toutou qui participera à toutes les consultations bullshit et mal fichues du gouvernement, même si ce dernier n'améliore pas la qualité de ses consultations ? Si je réponds non, suis-je peu favorable à cette initiative qui va dans le sens d'une démocratique directe (même si l'on en est loin, on est d'accord) ? Compliqué... Je préfère qu'on renouvelle l'expérience et qu'on réussisse à se faire entendre pour améliorer ce qui ne va pas. Donc j'ai répondu « Oui ».


Selon vous, sur combien de projets de loi le Gouvernement devrait-il demander l’avis des citoyens chaque année ?
    => Cette métrique n'a aucune pertinence... Comme je suis en faveur de plus de démocratie directe, j'ai répondu « tous ».


Auriez-vous été favorable à ce que les parlementaires déposent eux aussi leurs amendements sur la plateforme ?
    => Ça va de soi.


Étant donné votre niveau général de satisfaction sur cette consultation, quelle est la probabilité que vous recommandiez à un ami de participer à une telle consultation ?
    => Cette question est biaisée et fait un lien entre satisfaction et recommandation. Je suis très insatisfait du contexte qui a donné lieu à cette consultation (citoyen-ne-s ignoré-e-s pendant 3 ans, 3 ans de lois sécuritaires (LPM, lutte anti-terro 2014, renseignement et surveillance internationale, état d'urgence), de la qualité de la plateforme et du résultat final (le projet de loi ainsi établi). Pourtant, je recommande la participation à ce genre de consultation parce que je pense qu'il est nécessaire de participer à la vie de la Citée. Pour le bien commun et pour éviter que des conneries et atrocités soient commises au nom du Peuple.


Que faut-il améliorer selon vous pour la prochaine fois ?
    => Champ libre sans limite en nombre de caractères. Allons-y. \o/ Ma réponse :
« Les réponses proposées dans ce questionnaire étant binaires, je me permets d'y répondre plus amplement avant de donner des pistes d'amélioration :
    - Combien de fois vous êtes vous connecté sur le site ?
        => Sur quelle période de temps suis-je censé répondre (durée de la consultation, consultation + lectures des réponses du gouvernement,...) ? Quel est l'intếret de cette question et de la métrique définie derrière ? Le site web déconnecte après une heure d'inactivité donc ce chiffre est faussé.

    - Quel(s) type(s) d’actions avez-vous réalisé sur la plateforme ?
        => Pourquoi ce n'est pas une question à choix multiples ?! J'ai voté pour des articles et amendements et j'ai publié des arguments, ce n'est pas exclusif. Si vous considérez qu'un votant est englobant dans auteur, alors il faut le dire.

    - Combien de contributions (arguments, articles et amendements) avez-vous publié au total ?
        => Intérêt de la question ? Ces stats sont accessibles au public en regardant mon profil donc vous y avez accès.

    - Pour quelle raison avez-vous participé ?
        => Là aussi, je déplore l'absence de choix multiples : je rentre dans plusieurs cases ! Cette question a pour seul but de stigmatiser le participant puisque voici comment vous allez interpréter les réponses : 1 = geek râleur ; 2 = professionnel donc soit lobbyiste soit l'aspect économie numérique seulement ; 3 = pense qu'à lui/elle ; 4 = parce que je pouvais le faire c'est-à-dire "cause toujours" ; 5 = j'me sens moins con que les autres ; 6 = je suis un mouton

    - Avez-vous partagé des contenus sur les réseaux sociaux ?
        => Pourquoi uniquement les réseaux sociaux ? Mon site web et les mails que j'ai échangés, ça compte tout autant. Internet ce n'est pas uniquement le web ni uniquement des fraudeurs fiscaux notoires comme Amazon, Google, Facebook, Apple, Microsoft.

    - Estimez-vous que la communication réalisée pour faire connaître la consultation a été claire et suffisante ?
        => Je suis totalement opposé à ce qu'encore plus d'argent public soit dépensé auprès d'une société commerciale privée pour une telle mascarade.

    - Comment évaluez-vous le dispositif participatif mis en place pour vous exprimer sur le projet de loi ?
        => Mauvaise question. Il faut plutôt demander si c'est adapté. Tout argument est forcément rangé pour ou contre. Il n'y a donc pas de place au questionnement : il s'agit d'un plébiscite. On a aussi parfois envie d'exprimer un "progrès mais très insuffisant".

    - Si le Gouvernement organise une nouvelle consultation sur un projet de loi, participerez-vous ?
        => Question là encore fermée. Je ne participerais pas en l'absence de progrès sur l'écoute accordée au citoyen / à la citoyenne.

    - Selon vous, sur combien de projets de loi le Gouvernement devrait-il demander l’avis des citoyens chaque année ?
        => Cette métrique n'a aucun intérêt. Soit on entre dans une démarche de démocratie directe que je soutiens, soit on n'y entre pas.

    - Étant donné votre niveau général de satisfaction sur cette consultation, quelle est la probabilité que vous recommandiez à un ami de participer à une telle consultation ?
        => Cette question est biaisée et fait un lien entre satisfaction et recommandation. Je suis très insatisfait du contexte qui a donné lieu à cette consultation (citoyen-ne-s ignoré-e-s pendant 3 ans, 3 ans de lois sécuritaires (LPM, lutte anti-terro 2014, renseignement et surveillance internationale, état d'urgence), de la plateforme et du résultat final (le projet de loi ainsi établi). Pourtant, je recommande la participation à ce genre de consultation parce que je pense qu'il est nécessaire de participer à la vie de la Citée. Pour le bien commun et pour éviter que des conneries et atrocités soient commises au nom du Peuple.


------------------------------------------------------------------------------

Ce qui peut être amélioré, en dehors de ce que je viens déjà d'écrire :
---------- Technique ----------
    - L'ergonomie est à revoir : il est extrêmement difficile de suivre "telle proposition corrige ça et ça mais telle autre proposition corrige aussi ci en plus".

    - Encourager l'usage de Facebook ou Google pour s'authentifier, ce n'est pas cool. France Connect serait tout autant une hérésie dans son implémentation actuelle. Quid d'OpenID ?

    - Merci d'utiliser des serveurs de mails propres et pas Mailchimp, qui est un des gros spammeurs français bien connus qui s'amuse à la revente de catalogue d'adresses mail. J'espère ne pas recevoir de spam, je risquerai de mal le prendre.

    - Les politiques rabâchent souvent autour de la souveraineté numérique. C'est sûrement pour cela que le site web de la consultation est hébergé par Cloudflare, société américaine.

Tout cela démontre la non-compréhension des enjeux par le gouvernement ainsi que l'écart permanent entre les discours et les actes.

---------- Politique ----------
    - Ne pas se moquer des citoyen-ne-s : 3 ans de lois sécuritaires (LPM 2013, lutte anti-terro 2014, renseignement et surveillance internationale 2015, état d'urgence 2015) sur lesquelles le Peuple n'a pas été entendu et là, hoooo, des miettes d'un avant-projet de loi symbolique porté par une ministre secondaire nous sont données. La provocation atteint son comble sur l'article relatif au renforcement du secret des correspondances. Après les lois Renseignement et Surveillance Internetionnale et alors que les gouvernements parlent de partir à nouveau en guerre contre le chiffrement ! De qui se moque-t-on ?!

    - Étre à l'écoute des demandes des citoyen-ne-s. Le gouvernement n'a quasiment rien retenu des propositions. On est bien au-delà d'un consensus mou nécessaire à la prise de décision en grand comité sur des sujets complexes. Cela tend à confirmer que cette consultation n'était qu'un jouet pour attirer l'oeil, pas pour avancer main dans la main avec le Peuple.

    - Les réponses du gouvernement sont d'une telle faiblesse dans l'argumentation que c'en est déplorable. Soit le gouvernement avance que l'UE est en train d'étudier le dossier faisant l'objet de la proposition et donc on s'interdit de réfléchir et de proposer des choses à l'UE, ce qui est stupide. Soit le gouvernement avance que la proposition serait contraire aux réglementations européennes et internationales alors que ça n'a pas freiné le gouvernement pour déployer un état d'urgence, violent, hors de contrôle et anti-démocratique (et c'est un exemple parmi d'autres). Soit le gouvernement répond des banalités sans argumenter sur le fond juridique ou moral. On est donc très loin d'un échange avec les citoyen-ne-s. »


En quelle qualité avez-vous participé à la consultation ?
    => C'est déjà rempli dans mon profil puisque nécessaire lors de l'inscription... Je suis un citoyen, pourquoi ? Mes réponses vont-elles peser moins lourd que celle des ténors de l'économie numérique ?


Vous êtes :
    => Un poney


A quelle tranche d'âge appartenez-vous ?
    => À celle qui sait mettre un accent sur un « a » majuscule


Est-ce que vous vous intéressez à la vie politique ? , Avez-vous l’habitude de voter aux élections politiques ? , Avez-vous d’autres formes de participation à la vie publique ?
    => Vos questions craignent vraiment. C'est quoi l'objet ? Le fichage des "pénibles" et/ou des abstentionnistes revendiqués ?


Est-ce que vous vous intéressez à la vie politique ?
    => Là encore, c'est une question fermée. Je m'intéresse à la vie politique mais pas aux sens où ils vont l'entendre. Donc je ne m'intéresse ni à leurs conneries, ni à celles des médias de masse traditionnels. Pas le choix, j'ai répondu « Beaucoup ».


Quelle est votre activité ?
    => Ce n'est pas mon activité que tu me demandes mais ma position dans la nomenclature de l'INSEE, la PCS... Soyons précis.


Quel est votre niveau de formation ?
    => Qu'est-ce que ça vient foutre là, c'te question ?! N'importe quel citoyen peut participer à la vie politique sans qu'on le fasse chier avec de telles questions. Est-ce que mes réponses ont plus ou moins de valeur selon que je suis un jeune con ou un vieux con ?!


On remerciera aussi le gouvernement pour l'usage de MailChimp, un des spammeurs français légalisés qui s'amusent à se refiler des catalogues d'adresses mails collectées. Avec tout plein de petits trackers sur les liens dans les mails...

Ho, très belle rétrospective de soi, à lire.

« Je faisais un peu d’archéologie hier soir et je retombe sur un billet qui a 11 ans :

Go ! Dans XX années, vous allumerez votre machine et là, plus de système d’exploitation, uniquement deux champs à remplir : votre serveur distant et votre password. [...]  Arrivé à votre page d’accueil, vous avez accès à vos mails, vos films stockés sur un disque dur distant aussi, vos mp3, vos photos de vacances... tout ce que vous avez actuellement sur votre disque dur sera accessible sur internet et c’est là où les services vont évoluer : vous pourrez stocker vos photos de vacances directement sur le serveur de la fnac qui vous offrira un espace de stockage si vous développez vos photos chez eux, vous aurez un espace de la même nature pour les films, la musique, vos documents persos, etc...

[...]

Une jolie définition du cloud, ce à quoi Laura répondait :

Rassure-moi, ta conclusion, c’est une vision d’horreur, pas un espoir enthousiaste? Parce qu’en ce qui me concerne, perdre la maîtrise de mes propres photos, ou textes, ou n’importe quoi d’autre, en être dépouillée pour qu’elles restent entre les mains d’entreprises privées aux intérêts orthogonaux (voire antagonistes) aux miens, c’est tout sauf un rêve...

    Un jour, vous serez heureux d’économiser de la place disque chez vous, et le lendemain vous vous retrouverez à devoir louer l’utilisation de ce qui vous appartient légitimement, à courir le risque de le voir confisqué, pris en otage, revendu au plus offrant, utilisé contre votre volonté... Les logiciels sous GPL commencent toujours par une mention de copyright, et ce n’est pas un hasard: je veux être libre, y compris de diffuser gratuitement ce que je crée.

Puis avec l’optimisme et les convictions de la jeunesse :

Non Laura, ce n’était pas du tout une vision d’horreur, il faut savoir que la legislation va avancer avec l’informatique et que la confidentialité des données « devrait » être préservée... [...]

Laura, si tu me lis encore, tu peux sourire. Quelle naïveté, jeune moi :-). »

Via http://lehollandaisvolant.net/?id=20151205120831

J'ai un problème fortement similaire sur mes conteneurs LXC : un halt/poweroff/reboot depuis l'intérieur du conteneur, via SSH, laisse la veth côté hôte depuis que j'ai mis à jour hôtes et conteneurs à Jessie... Cette interface réseau sera supprimée automatiquement 5-6 minutes après par le noyau qui se rendra compte que sa veth paire a disparu (à la fin du conteneur). Dans l'attente, le reboot ne pourra pas fonctionner. Notons qu'un lxc-start ne fonctionnera pas mais virera la veth permettant ainsi à un deuxième lxc-start de faire repartir le conteneur. Un halt/poweroff/reboot depuis une tty (lxc-console) fonctionne, c'est vraiment uniquement depuis une pts via SSH que ça foire.

Je n'ai pas de vraies solutions à ce problème. Dans les workaround, on a :
    * Dans le conteneur, un alias reboot/poweroff/halt = sudo ip l d dev eth0 && sudo reboot/halt/poweroff
    * Sur l'hôte, dans la config du conteneur : lxc.network.script.down + un script qui virera la veth au down de la VM
    * Dans le conteneur, une unit systemd dans /etc/systemd/system/{halt,poweroff,reboott}.target.wants avec comme action un ip l d eth0

J'ai ce problème sur 2 VM KVM avec Debian Jessie (mis à jour depuis wheezy) avec systemd et les conteneurs sont des Debian Jessie avec systemd, mis à jour depuis wheezy ou fraîchement créés (directement en Jessie + systemd donc). Topologie réseau : veth+bridge, rien de sorcier.

En conservant les vieilles conf' (/var/lib/lxc/<nom_conteneur>/config) des conteneurs ou avec une conf' par défaut créée par un template lxc-debian à jour, le problème survient dans les deux cas.

Avec ou sans retirer la capability sys_admin au conteneur, le problème survient dans les deux cas.

Je n'ai aucune connexion réseau avec un état sur l'hôte, conteneur allumé ou éteint, puisque je suis en mode bridge. Je ne vois rien avec ss ou conntrack/iptstate (tout aussi normal puisque je n'utilise pas le suivi des connexions ici).

J'ai fait 2 tests, sur 2 VM VirtualBox sur la même machine Debian GNU/Linux Jessie. Le premier test, c'était y'a 1 mois et demi, l'autre aujourd'hui. Résultats :
    * Wheezy sur l'hôte + Wheezy dans le conteneur : je n'arrive pas à reproduire puisque halt/poweroff/reboot freeze sans éteindre le conteneur...
    * Wheezy sur l'hôte + Jessie sans systemd comme init dans le conteneur : même problème... Sur la maquette d'il y a 6 semaines, je n'avais pas ce problème et l'interface réseau disparaissait bien à l'arrêt du conteneur.

    * LXC de Wheezy-backports sur l'hôte + Jessie sans systemd comme init dans le conteneur  : même problème...
    * LXC de Wheezy-backports sur l'hôte + Jessie avec systemd comme init dans le conteneur : halt/poweroff/reboot fonctionnent et l'interface réseau disparaît bien à l'arrết du LXC

    * Jessie avec systemd comme init sur l'hôte + wheezy dans le conteneur : halt/poweroff/reboot fonctionnent et l'interface réseau disparaît bien à l'arrết du LXC. Ça fonctionnait aussi dans la première maquette d'il y a 6 semaines.
    * Jessie avec systemd comme init sur l'hôte + Jessie avec systemd comme init dans le conteneur : halt/poweroff/reboot fonctionnent et l'interface réseau disparaît bien à l'arrết du LXC. Le bug était présent dans la maquette d'il y a 6 semaines...
    * Jessie avec systemd comme init sur l'hôte + Jessie sans systemd comme init dans le conteneur : halt/poweroff/reboot fonctionnent et l'interface réseau disparaît bien à l'arrết du LXC. Le bug était présent dans la maquette d'il y a 6 semaines...

    * Jessie sans systemd comme init sur l'hôte + Wheezy dans le conteneur : halt/poweroff/reboot fonctionnent et l'interface réseau disparaît bien à l'arrết du LXC
    * Jessie sans systemd comme init sur l'hôte + Jessie avec systemd comme init dans le conteneur : impossible de tester puisqu'un bug (que j'avais déjà eu à l'époque Wheezy et qu'on retrouve aussi sur la ML LXC fait que halt/poweroff/reboot agissent aussi sur l'hôte :)
    * Jessie sans systemd comme init sur l'hôte + Jessie avec systemd comme init dans le conteneur : halt/poweroff/reboot fonctionnent et l'interface réseau disparaît bien à l'arrết du LXC

J'en retiens qu'il n'y a pas grand'chose à en retenir, aucun schéma maîtrisable apparent : ce bug existait déjà en 2013 (cf mailing-list LXC), le couple Jessie+Jessie foire sur une infra et dans ma première maquette et fonctionne sur ma maquette du jour...

On voit, encore un fois, que le comportement de LXC est plutôt aléatoire... Le réseau dans la VM ne part pas au boot du conteneur dans c'te VM Debian Wheezy mais fonctionne impec sur cette autre VM Debian Wheezy. Sur une infra A, poweroff/reboot dans un conteneur fait s'arrêter/rebooter l'hôte (problème de /dev/initctl partagé), sur une autre infra aucun problème. Même système d'exploitation hôte et guest, mêmes binaires et comportements différents. That's LXC.

Jessie sans systemd en hôte + wheezy en guest = « Could not find writable mount point for cgroup hierarchy 9 while trying to create cgroup. »

Solution :
« According to https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=773421 it was a debian bug, because lxc there was build without cgmanager support. So if you use unstable\testing just install the latest package, on stable use the way mentioned above [ apt-get install cgroupfs-mount ]. »

À lire par ceux et celles qui vont mettre à jour leur LXC Debian à Jessie ou qui vont créer de nouveaux LXC Debian qui seront donc avec Jessie+systemd par défaut.

Par défaut,  le comportement documenté de systemd est de lancer un agetty sur tty1 et de traiter tous les autres tty à la demande (genre si tu crtl+alt+f3 pouf, ça spawn un agetty sur tty3 et si tu fais rien bah y'a que tty1 :D). Le nombre max de tty est défini dans /etc/systemd/logind.conf (et plus inittab comme avant) et vaut 6 par défaut.

Ce mécanisme de spawn automatique repose sur dbus. Heureusement, s'il n'est pas installé ou qu'une erreur est survenue durant son lancement, /lib/systemd/system/getty-static.service prévoit un mécanisme de secours en spawnant le nombre de tty défini dans /etc/systemd/logind.conf quoi qu'il arrive.

Par défaut, dbus n'est pas installé dans un LXC donc on a bien 6 tty lancés au boot. Or, un LXC n'a que 4 tty (/dev/tty1-4) par défaut. Donc les agetty sur tty5 et tty6 hurlent à la mort toutes les 5 ou 10 secondes dans les logs (auth.log ou journalctl -xn) :
« déc. 02 14:28:42 test agetty[155]: /dev/tty6: No such file or directory
déc. 02 14:28:42 test agetty[154]: /dev/tty5: No such file or directory »

Il est hors de question que je me fasse pourrir mes logs comme ça. Sachant que dbus est obligatoire pour l'autocomplétion et la bonne exécution des commandes systemctl, on l'installe. Si votre LXC est un LXC créé à l'instant, vous pouvez reboot. Si c'est un LXC mis à jour depuis wheezy, ne rebootez pas encore. :)

En temps normal, /lib/systemd/system/getty@.service est utilisé comme template pour instancier les getty à la demande. Sauf qu'il précise « ConditionPathExists=/dev/tty0 » c'est-à-dire que cette unit doit être exécutée uniquement si /dev/tty0 est présent. C'est le cas par défaut... mais pas dans un LXC. Donc les tty ne seront pas spawnées donc un lxc-console ne donnera pas un prompt de login, juste « Connected to tty 1 ». De quelles tty je parle ? Celles définies dans /etc/systemd/system/getty.target.wants/ (qui sont des liens symboliques vers /lib/systemd/system/getty@.service).

Pourtant, j'ai dit plus haut que, sur un LXC créé from scratch avec Jessie, ça fonctionnait de base ? Oui, car le template LXC crée une copie de /lib/systemd/system/getty@.service dans /etc/systemd/system/getty@.service dans laquelle « ConditionPathExists=/dev/tty0 » est commentée. Et c'est ce fichier qui est pointé par les units dans /etc/systemd/system/getty.target.wants/, ce qui fait que ça fonctionne.

Qui crée les fichiers dans /etc/systemd/system/getty.target.wants/ ? systemd-getty-generator (/lib/systemd/system-generators/systemd-getty-generator). Quand ? « systemd will execute those binaries very early at bootup and at configuration reload time -- before the unit files are loaded. » (https://wiki.freedesktop.org/www/Software/systemd/Generators/). Dans un LXC, ni un boot, ni un systemctl daemon-reload  n'exécute le generator... En réalité, c'est le template LXC Debian qui génère les units à la création du LXC :
« ( cd ${rootfs}/etc/systemd/system/getty.target.wants
        for i in 1 2 3 4 ; do ln -sf ../getty\@.service getty@tty${i}.service; done ) »

Donc, que faut-il faire sur un ancien LXC mis à jour depuis Wheezy ? Il faut copier /lib/systemd/system/getty@.service dans /etc/systemd/system/getty@.service en *commentant* « ConditionPathExists=/dev/tty0 » puis regénérer les units dans /etc/systemd/system/getty.target.wants/ : cd /etc/systemd/system/getty.target.wants/ && rm getty@tty*.service && for i in `ls /dev/tty[0-9]* | grep -o [[:digit:]]`; do ln -s ../getty@.service getty@tty${i}.service; done . Soit un reboot, soit systemctl daemon-reload && systemctl start getty@tty*.service et vous aurez le bon nombre de tty en attente de votre tentative de connexion.

Il reste un dernier point à comprendre : pourquoi le spawn automatique ne fonctionne-t-il pas ? C'est une bonne question. Normalement, c'est /lib/systemd/system/autovt@.service qui s'occupe de ça comme l'indique le man logind.conf : « when switched to and are previously unused, "autovt" services are automatically spawned on. These services are instantiated from the template unit autovt@.service for the respective VT TTY name, for example, autovt@tty4.service. By default, autovt@.service is linked to getty@.service. In other words, login prompts are started dynamically as the user switches to unused virtual terminals. ». Par défaut, un tty est réservé et ne sera pas donné à un quelconque sous-sytème. Le numéro de tty est indiqué dans « ReserveVT= » dans /etc/systemd/logind.conf et vaut 6 par défaut. Même en décommentant « ConditionPathExists=/dev/tty0 » dans /lib/systemd/system/getty@.service pour tester, même en changeant le numéro du tty réservé, même en vérifiant que dbus et systemd-logind sont lancés sans erreur (systemctl status), rien à faire : le tty réservé n'a pas de prompt de login et aucun agetty n'est spawné quand on lxc-console sur tty2-4... Visiblement, les devs de LXC ont décidé de feinter avec la méthode présentée précédemment donc je vais faire pareil afin d'avoir une totale harmonisation entre mes LXC existants et mes futurs LXC, pas envie de me prendre la tête une fois de plus sur ce problème.

Voici les ressources que je n'ai pas encore citées qui m'ont aidé à y voir plus clair :
    * https://wiki.archlinux.org/index.php/Systemd_FAQ#How_do_I_change_the_default_number_of_gettys.3F
    * https://lists.linuxcontainers.org/pipermail/lxc-devel/2013-May/004433.html
    * https://lists.linuxcontainers.org/pipermail/lxc-devel/2013-May/004433.html

ÉDIT DU 03/12 À 10H10 : Quel intérêt d'avoir autant de tty dans un LXC ? Utile quand votre LXC perd sa connectivité réseau, et que votre connexion SSH avec l'hôte foire quand vous êtes en lxc-console car une nouvelle co SSH et un nouveau lxc-console vous mapperont sur un autre tty (et non, lxc-console -n <nom> -t 1 ne fonctionnera pas « lxc_container: console 1 invalid,busy or all consoles busy ». FIN DE L'ÉDIT.

Quelques notes prises durant le talk :

Internet vu par le gouvernement FR :
    * Lemaire pense qu'il faut signer une charte au ministère pour déployer TLS ;
    * Cazeneuve croit qu'il y a des dirigeants d'Internet et qu'il leur a parlé dans le cadre de la lutte antiterroriste.
Ça révèle que, pour eux, un truc comme Internet ne peut pas être géré comme un bien commun, ça doit forcément être une grosse hiérarchie bureaucratique.

Pourtant, il n'y a pas de Président de l'Internet qui pourrait donner des ordres à tous les acteurs. S'il y en avait, on n'aurait plus SSLv3 qui est troué et le support de l'Unicode serait déployé partout.


Un bien commun, ce n'est pas un groupe de quelques personnes. Les gens partagent beaucoup de choses sans que cela soit des biens communs. Un bien commun, c'est une infrastructure commune, qui ne peut fonctionner seule, pour laquelle des gens, qui sont différents, ne sont pas d'accord sur ce que doit être l'infrastructure, sur les moyens à mettre en oeuvre voire sont même des concurrents mais pour laquelle tout le monde a intérêt à ce qu'elle fonctionne. Voir le livre « Effondrement » de Jared Diamond.

Exemple technique : il y a des techniques pour empêcher l'usurpation d'adresses IP. Le premier opérateur réseau qui déploie ces techniques devra supporter un coût (humain, en équipement matériel, en licence logicielle,...) mais c'est les concurrents qui profitent de l'effort (puisque celui qui déploie s'interdit d'usurper des adresses mais ne s'offre aucune garantie de ne plus recevoir de paquets usurpés). La direction financière ne sera pas d'accord pour déployer. Autrement dit : si l'opérateur déploie, il supporte les coûts, s'il ne déploie pas, les inconvénients sont supportés par la communauté et il profite des déploiements des autres. Comme souvent en écologie, la somme des intérêts individuels ne fait pas l’intérêt collectif.


DNS
    * Pourquoi a t-on rajouté ça ? Car les IPs ne sont pas stables (elles dépendent de l'opérateur, du fournisseur de service,...) et les noms sont plus facilement mémorisables pour les humains. En informatique, on peut résoudre tous les problèmes en rajoutant une indirection, ce que fait le DNS.

    * Technologie d'infrastructure : tant que ça marche, on ne s'en rend pas compte. Ce que fait que Ceux qui savent comment ça marche et échange à ce sujet sont en petite communauté.

    * Un nom se compose de plusieurs composants (nombre quasi illimité (127 max de longueur)) : racine, TLD,...

    * Le DNS est arborescent. Avantages : vitesse et délimitation de l'autorité de chaque acteur ; Inconvénient : dépendance (laquadrature.net. nécessite que net. fonctionne pour fonctionner)

    * Le DNS est décentralisé : chaque acteur fait ce qu'il veut chez lui.

    * Qui décide d'enregistrer un nom ? À l'époque du HOSTS.TXT (annuaire centralisé pas flexible, /etc/hosts quoi) géré par le SRI-NIC, il fallait mailer Elizabeth Feinler et hop, on avait le nom désiré. Ça soulève des questions : qui a le pouvoir sur ce fichier ? Qui nomme Elizabeth ? Sur quels critères la nomme-t-on ? Aujourd'hui : c'est plus compliqué.

    * Explications sur le processus de résolution d'un nom qui, on le voit, implique plusieurs acteurs qui doivent gérer les machines, payer les techniciens,...


Acteurs du DNS :
    * Plusieurs acteurs, plusieurs coopérations entre des sociétés commerciales différentes et concurrentes (ex : Orange / OVH)
    * Registre/registry (AFNIC pour fr/re/tf/pm/wf, Verisign pour com. ,...)
    * Bureaux d'enregistrement/registrar (Gandi,
    * Hébergeurs DNS (OVH, Gandi,...)
    * Gérants de résolveurs DNS (FAI, Google, Cisco (OpenDNS),...). Il n'y a que le ministre qui croit qu'il y'a uniquement Orange/Numericable/Free
    * Un même acteur peut avoir plusieurs rôles (registrar et hébergeur, registre+registra+hébergeur devient courant avec les nouveaux gTLD)

Qui décide, qui organise la technique derrière ? Pas toujours clair. Mais c'est positif : si une seule organisation pouvait décider de tout, ça serait bad. Exemples :
    * Chaque registre a ses propres règles pour l'enregistrement de noms. Enregistrer un bzh nécessite d'avoir un vague lien avec la Bretagne

    * Pour la racine, c'est le gouvernement US qui décide, caché derrière l'ICANN (livre vert de Clinton en 1997) : pour tout ajout dans la racine, même le changement d'une IP, il faut une autorisation écrite d'un fonctionnaire à Washington.

    * Pour un résolver : le gérant du résolver (pour rediriger vers de la pub et servir ainsi ses intérêts) ou son gouvernement d'appartenance (pour appliquer la censure administrative) ou la justice locale.

    * Fonctionnement technique du DNS : IETF, organisme ouvert à tous et toutes, via les normes techniques qu'il produit, les RFC. Mais l'IETF n'a pas de police pour vérifier l'application des RFC.

=> Il n'y a pas une seule source du pouvoir. Le rêve de beaucoup (exemple : les ayants-droits) qui voudraient un bouton pour censurer un contenu partout en un instant est un rêve vain.


Passons aux acteurs qui rendent moins efficace le bien commun.

Les méchants :
    * Hackers russes et chinois ?
    * Pédophiles djihadistes radicalisés ? Exemple : Cazeneuve a déclaré, au FIC : « On est en guerre » pour parler du deface de l'Office national de la chasse et de la faune sauvage :D
    * Industries du divertissement et des jeux d'argents ? ARJEL est l'une des premières censures DNS en France sous prétexte qu'un site web de jeu d'argents ne paie pas sa dîme à l'État
    * NSA et DGSE ?
    * Mythe du lycéen cagoulé dans son garage ?
Les méchants sont minoritaires, c'est pour cela que le monde tourne

Les négligents :
    * Ils sont très nombreux mais pas très menaçants individuellement.
    * Ils manquent de temps, de compétences. Exemples : les PC winwin zombis
    * Beaucoup de gens sont largués ou irresponsables genre correction de la faille Kaminsky (empoisonnement de cache DNS) : en 2j, 25% des serveurs vulnérables étaient patchés. En un mois : 50%. En un an : 55%...


Déploiement d'une nouveauté dans le DNS, l'exemple des IDN (nom de domaine en Unicode donc accents et alphabet non latin) : nécessite peu de changements dans les logiciels qui font tourner l'infrastructure. Changements dans les logiciels côté utilisateur. Norme technique en 2003, noms Unicode autorisés dans la racine en 2009, toujours pas prise en charge par des hébergeurs et des logiciels. Il faut mettre à jour les cerveaux or beaucoup ne remettent pas en cause ce qu'ils ont appris sans compter que la fausse information se propage toujours plus vite que la vraie.


Passons aux problèmes

Robustesse : Tremblement de terre en 2010 à Haïti, .ht n'a jamais stoppé grâce à une infrastructure résiliente (des serveurs en dehors de l'île). Les gérants des serveurs extérieurs ont pu spontanément prolonger le service sans joindre les gérants initiaux. Conclusion : la coopération humaine, ça marche.

La censure via les DNS menteurs : la liste du ministère est secrète donc envoyée à un petit nombre de résolveur donc les autres de l'appliquent pas ; les petits FAI ne sont jamais assignés devant les tribunaux et donc n'appliquent pas les décisions de justice. Conclusion : l'éclatement des formes de décisions limite les formes de censure.

Qui décide de la racine unique ?
    * Il faut une racine unique sinon un même nom de domaine pourrait pointer sur des contenus différents !
    * C'est les gérants de chaque résolver DNS qui choisissent la racine que leur logiciel va utiliser, c'est un paramètre de la configuration comme un autre
    * Des racines alternatives existent
    * Pourtant, en pratique, tout le monde utilise la racine de l'ICANN/gouvernement US, même la Chine et autres régimes bienveillants car intérêt commun
    * Une racine différente pourrait fonctionner en Corée du Nord qui est refermée sur elle-même mais pas en Chine qui est insérée dans l'économie mondiale (on peut donc s'y rendre physiquement, en sortir,...)


Donc, s'il n'y a pas de chef, c'est forcément la jungle ? Non, la coopération s'organise : adminsys causent sur IRC, organisations professionnelles comme l'OARC, listes de discussion, forums, twitter (qui est le meilleur logiciel de monitoring :D ). La coopération, ça marche mieux autour d'une bière ou d'une autre activité humaine. L'exemple typique c'est les attaques par déni de service ((D)dos) : il n'y a pas de procédure pour juguler et réparer, ça marche mieux avec des humains.


Conclusion
    * DNS est un bien commun donc pas de chef, tout le monde est partie prenante et coopère
    * Donc gouvernance compliquée, on pourrait résoudre des problèmes plus rapidement mais elle génère aussi de la robustesse (à la censure, par exemple)


Questions [ NDLR : Je n'ai très certainement pas noté toutes les questions/réponses ! ] :
    * Expliquer ce qu'est DNSSEC ? [ NDLR : connaissant la réponse, je ne l'ai pas noté mais il s'agit de signer les réponses DNS avec toute la cryptographie asymétrique habituelle dans le but de garantir que la réponse n'est pas modifiée en chemin par un intermédiaire malveillant. ]
 
    * Que penser des nouveaux gTLD comme xyz, coca,... ? Semble être bon pour le business et ça n'affecte pas les autres (principe de l'arborescence du DNS)

    * [ NDLR : Je n'ai raté la question ]. Gestion par anarchie : il ne faut pas voir le monde en binaire. Le Net n'est pas le jardin d'Éden mais n'est pas l'enfer non plus. Si les humains étaient parfaits, il n'y aurait pas besoin d'organiser les communs mais l'humain est imparfait et les communs tentent de gérer ça

* Qu'est-ce qui justifie la différence de prix entre fr. et bzh. ? Citation du livre de Laurent Chemla, fondateur de Gandi et auteur de « Confessions d'un voleur » dans lequel il dépeint l'arnaque que constitue selon lui la vente de noms de domaine. L'enregistrement d'un nom ne coûte presque rien car il s'agit d'une ressource virtuelle mais il y a quand même des coûts pour faire les backups, assurer la traçabilité d'un nom (même si avec 4,50€ encaissés par l'AFNIC pour l'achat d'un fr. l'AFNIC ne va pas vérifier l'adresse postale ou autre vérification poussée)... Mais il y a des coûts cachés : une résolution d'un nom est gratuite alors qu'il y a 300 machines cachées derrière qu'il faut faire fonctionner et administrer. Qui paye ?

   * Relance de la question précédente. « Mince, je n'ai pas réussi à noyer le poisson ». :D SB n'est pas décideur de la grille tarifaire de l'AFNIC (bzh est techniquement géré par l'AFNIC) et son salaire en dépend.

   * Avenir du tout décentralisé comme NameCoin ou GnuNet ? Techniques intéressantes mais on a d'autres problèmes : conservation de la clé privée, problème de documentation (FAQ de NameCoin incorrecte pour l'enregistrement d'un nom), problème de compétences. Namecoin décollera le jour où y'aura des sortes de notaires pour faire l'intermédiaire.

* Question IRC : penses-tu qu'une zone DNS soit éditable avec vi ? Emacs

    * Peux-tu nous parler de la vie privée et DNS, des travaux à l'IETF comme la qname minimization ? [ NLDR : étant sensibilisé à la problématique, je n'ai pas noté la réponse à ma propre question :S donc je vous donne un pointeur : https://tools.ietf.org/html/rfc7626 et qname minimization consiste, pour un résolver, à ne pas envoyer le nom complet demandé comme shaarli.guiguishow.info. aux serveurs de la racine, aux serveurs de info.,... quand ils n'ont rien en cache puisqu'ils ces serveurs n'ont pas la réponse (racine connaît juste les serveurs d'info, info. connaît juste les serveurs de guiguishow.info. ]

Le package puppet de Debian, c't'un peu le zouk... Y'a l'initscript et l'unit systemd sans compter le fait que puppet peut rester en démon après un lancement manuel... Autrement dit, c'est le bordel pour avoir un puppet agent qu'on lance uniquement à la demande (oui, on pourrait se poser la question de l'utilisation d'un autre logiciel de gestion de conf' plus approprié comme ansible mais pour l'instant, on veut juste achever notre migration Wheezy (+ dépôt apt puppetlabs) vers Jessie).

    1. Dans /etc/default/puppet, on vérifie que START=no est présent... sauf que, si ce fichier est bien lu dans /etc/init.d/puppet, la variable START ne sert à rien... Il faut donc virer l'initscript à la manière forte :
        * sudo /etc/init.d/puppet stop
        * sudo update-rc.d puppet remove
        * sudo rm /etc/init.d/puppet
        * sudo dpkg-divert --add --rename --divert /usr/share/puppet/puppet.initscript /etc/init.d/puppet

    2. On désactive ensuite l'unit systemd : « sudo systemctl stop puppet.service ; sudo systemctl disable puppet.service »

    3. On change aussi l'état interne de puppet : « sudo puppet agent --disable ». Lorsque vous voudrez lancer puppet, faites : « sudo puppet agent --enable && sudo puppet agent --server <server> -t ; sudo puppet agent --disable »

Normalement, « puppet agent --disable » devrait empêcher puppet de se lancer quel que soit l'origine de l'appel (systemd ou l'initscript) mais ce n'est visiblement pas le cas... La méthode présentée ci-dessus est clairement de l'acharnement thérapeutique mais à moment donné...

« owner

This module attempts to match various characteristics of the packet creator, for locally-generated packets. It is only valid in the OUTPUT chain, and even this some packets (such as ICMP ping responses) may have no owner, and hence never match.
--uid-owner userid
    Matches if the packet was created by a process with the given effective user id.
--gid-owner groupid
    Matches if the packet was created by a process with the given effective group id.
--pid-owner processid
    Matches if the packet was created by a process with the given process id.
--sid-owner sessionid
    Matches if the packet was created by a process in the given session group.
--cmd-owner name
    Matches if the packet was created by a process with the given command name. (this option is present only if iptables was compiled under a kernel supporting this feature)
NOTE: pid, sid and command matching are broken on SMP »

On peut donc filtrer le trafic sortant sur l'uid et le gid du processus qui a créé une socket. Intéressant pour marquer les paquets pour ensuite faire de la QoS avec tc sur les protocoles qui ouvrent des trilliards de connexions sur des ports différents genre torrent, par exemple. L'ennui, c'est que sur un desktop, la plupart du temps, les programmes sont exécutés avec l'uid/gid de l'utilisateur courant, pas avec un utilisateur dédié... Oui, on peut lancer sudo -u <user> <programme> mais il faut que l'user ait un shell et tout donc boarf...

« Ne pas se justifier, c'est donc :

- simplement répondre à la question posée

- revenir toujours à la réalité et fuir comme la peste les digressions affectives

- responsabiliser l'autre pour ne pas être englué dans ses décisions

- répéter en boucle comme un robot.

[...]

"- Ah tu m'appelles enfin!

- Oui. (réponse à la question)

- De toute façon, je m'étais dit que si tu ne m'appelais pas avant demain, je n'irais pas à ta fête dimanche!

- Je ne vois pas le rapport! (erreur, car il y a déjà de l'agressivité dans cette phrase. J'aurais dû répondre : ah!)

- Si! Le rapport c'est que tu n'en as rien à faire de moi, je peux bien mourir, tu ne le saurais même pas.

- Mais tu n'es pas morte. (rappel de la réalité)

- (délire paranoïaque et diarhée verbale) Puisque c'est ça je ne viendrai pas dimanche.

- C'est dommage, les enfants vont être déçus, mais tu fais comme tu veux, c'est toi qui décide. (responsabilisation : je renvoie la bombe à celui qui l'a lancée. Tu ne veux pas venir? Ce n'est pas mon problème, c'est le tien.)

- Je vois bien qu'on ne veut pas de moi, c'est pas la peine de m'inviter!

- Tu es déjà invitée, je t'ai invitée il y a deux mois. Maintenant si tu ne veux pas venir, c'est toi qui le choisit!" (principe de réalité et responsabilisation) »

Via http://sebsauvage.net/links/?n5W9yQ :(