GuiGui's Show

Il est tombé comme un fruit mûr : l’arrêté pris par le ministère de I’Agriculture pour empêcher les pulvérisations de pesticides par grand vent vient d’être abrogé ar le Conseil d’Etat. Cela faisait dix ans que l’Association nationale des proucteurs de pommes et de poires (ANFP) voulait sa peau. « Il était impossible de récolter les fruits en respectant l’arrêté a chaque instant de l’année. Suivre la réglementation, c’était risquer de perdre sa récolte », explique le président de l’ANPP, forte 1 500 arboriculteurs.

Si les pouvoirs publics avaient jugé bon d’interdire aux agriculteurs de vaporiser leurs pesticides dès que le vent souffle à 19 km/ h, c'était pour éviter que les riverains n’en prennent plein les poumons. Avec les conséquences que l’on connaît. En août 2015, une étude de l’Institut national de veille sanitaire avait fait grand bruit en détectant cinq fois plus de cancers que la normale chez les enfants d’un petit village de Gironde planté au milieu des vignes pesticidées.

Mais, au fait, pourquoi les producteurs de pommes ont-ils mené cette bataille ? Parce que la culture du pommier est la championne toutes catégories des vaporisations chimiques. Jusqu'à 35 traitements par an, deux fois moins pour le raisin, qui occupe la deuxième marche du podium. D’après les stats du ministère de l’Agriculture, les pommiers de verger ont été asperges en moyenne, en 2011 , de 22 fongicides, 9 insecticides, 2 herbicides et 2 régulateurs de charge, comprenez des agents chimiques qui vont débarrasser l’arbre des truits les plus petits pour garantir une récolte faite de gros calibres standardisés. Cerise sur la pomme : dès que les premiers boutons floraux apparaissent, le pommier a droit a un arrosage en règle d’hormones végétales qui accélèrent la croissance. Puis, en pleine floraison, une resucée, avec cette fois des « hormones d'accrochage » pour que les pommes restent agrippées aux branches. Et gare à tous ceux qui trouveraient a y redire !

Le lobby des pommes a attaqué Greenpeace en justice pour son rapport intitulé « Pommes empoisonnées : mettre fin à la contamination des vergers », tandis que la coopérative Biocoop était poursuivie pour sa campagne de communication « N’achetez pas de pommes (traitées chimiquement) ». On attend la réaction contre Générations Futures, dont la pétition pour réclamer un nouvel arrêté a déjà recueilli 1O OOO signatures [ NDLR : https://www.change.org/p/st%C3%A9phane-le-foll-prot%C3%A9gez-les-voisins-des-zones-cultiv%C3%A9es-interdisez-les-pulv%C3%A9risations-de-pesticides-par-vent-fort , l'association a aussi écrit une lettre cosignée aux ministres concernées ]. Comme le dit le proverbe, « une pomme par jour éloigne le médecin »… à condition de bien la laver !

Dans le Canard Enchaîné du 20 juillet 2016.

Une date importante dans l’histoire du sac plastique « à usage unique » — interdit depuis le 19 juillet — fut la décision des grandes surfaces, à partir de 2003, de le remplacer par un sac réutilisable mais payant. « Un joli coup économique : faire payer le client pour ce qu’il recevait gratuitement », se souvient, dans « Le Monde » (19/7), un représentant des fabricants européens de plastique, qui estime qu’après cette opération très rentable pour la grande distribution et les fabricants de sacs-poubelle « la quantité de matière plastique consommée n'a pas, au total, diminuée ».

Mais certaines poches se sont remplies.

Intéressant. Je me posais justement récemment la question, "comme ça", de l'impact qu'avait bien pu avoir cette décision. Je m'attends à ce que ça n'ait eu aucun impact positif (diminution de la consommation de plastique) pour une raison simple : au début les magasins filaient des sacs hyper résistants (dont je suis quasi sûr que leur empreinte écologique est négative), j'ai encore les miens après tout ce temps, puis on a eu le droit à des sacs qui se déchirent et/ou à des sacs costauds mais aux poignées qui s'arrachent. Bref, des sacs qui ne résistent pas au temps. Le sac est un business comme un autre donc l'obsolescence programmée s'y applique.

Dans le Canard Enchaîné du 20 juillet 2016.

J'ai envie de partager ce dessin parut dans le Canard Enchaîné du 20 juillet 2016. Je trouve qu'il résume une chose intéressante: Daesh, ce n'est peut-être pas tant la décentralisation de leurs actions que ça mais aussi beaucoup d'artifices de communication. Organisatrice commanditaire ou inspiratrice opportuniste ? Cette fois-ci, ça semble bien flou.

« Les consommateurs européens veulent pouvoir regarder les chaînes de télévision payantes de leur choix quel que soit le lieu où ils résident ou voyagent dans l’UE », avait expliqué la commissaire Margrethe Vestager, en charge de la concurrence.

Paramount, comme ses acolytes, insérait dans ses contrats de licence de diffusion des films ou séries TV des clauses par lesquelles les diffuseurs comme Canal+ ou le Britannique Sky s’engageaient à bloquer les spectateurs venant d’autres pays que celui faisant l’objet de la licence. Or pour la Commission, ces clauses reviennent ni plus ni moins qu’à partager le marché européen entre plusieurs acteurs, ce qui est « une infraction grave aux règles de l’UE qui interdisent les accords anticoncurrentiels ».

En 2011, la Cour de justice de l’Union européenne (CJUE) avait jugé que le fait d’accorder une exclusivité territoriale en Europe était illicite au regard du droit de l’Union. Sanctionnant de fait tout blocage géographique dans une affaire concernant la diffusion par satellite, la CJUE avait jugé que « les clauses d’un contrat de licence exclusive conclu entre un titulaire de droits de propriété intellectuelle et un organisme de radiodiffusion constituent une restriction à la concurrence interdite par l’article 101 TFUE dès lors qu’elles imposent l’obligation à ce dernier organisme de ne pas fournir de dispositifs de décodage permettant l’accès aux objets protégés de ce titulaire en vue de leur utilisation à l’extérieur du territoire couvert par ce contrat de licence« .

[...] Les diffuseurs TV n’auront toujours pas le droit d’aller chercher activement la clientèle étrangère, ce qui serait une violation des droits d’auteur qui permettent de choisir les pays de commercialisation d’une œuvre, mais ils n’auront plus à bloquer les clients qui choisissent d’eux-mêmes de s’abonner ou de consulter les programmes depuis un autre pays de l’Union européenne.

Y'en a qui ont du mal à comprendre la notion de marché unique européen… C'est désespérant… Oui, il y a un seul marché, oui, il y a un seul Internet. Les deux mêmes pour tous-toutes.

Je retiens une seule chose : 3 rumeurs Twitter sur 3 étudiées naissent à partir de BFM TV. Les réseaux sociaux, c'est comme les SMS, ça diffuse de l'existant de "proche en proche", point.

Ces temps-ci, on peut se demander pourquoi les politocard-e-s sont violent-e-s, entraîné-e-s dans une surenchère autoritaire et sécuritaire auto-alimentée, parlant de guerre qu'il faut impérativement gagner à tout bout de champ. Mais quand on y réfléchit, c'est compréhensible. J'ai pas dit acceptable. C'est de ça que je veux causer en mode causerie de bistrot. Ma réflexion est incomplète, pas structurée, c'est normal. Je jette juste mes premières pistes de réflexion.

Toute la politique politicienne est verrouillée. Exemple : président de la République, c'est 5 ans d'exclusivité. Ça veut dire qu'un-e français-e aura 12 occasions de se présenter (espérance de vie = 83 ans, ramenée à 80 ans et droit de vote à 18 ans, ramené à 20 ans) ! Sans compter que tu ne peux exercer aucune fonction politique quand tu es "jeune" car il faut avoir "l'expérience de la vie", lol. Sans compter qu'il faut être encarté-e dans un parti et donc être le-la chef-fe reconnu-e du mouvement ! Premier ministre, il faut être nommé-e par le président donc il faut sortir du lot, avoir "pataugé dans la même merde" et sortir la brosse à reluire. Même chose pour les autres ministres. Sénat : il faut sortir la brosse à reluire auprès des grand-e-s électeurs-rices. Assemblée, il faut entrer dans un parti et là encore, montrer qu'on est le-la chef-fe du bled et approuver les choix et les positions du parti et donc, éventuellement, ceux du président, ministre, etc… Ce système d'exclusivité est problématique car il ne peut pas produire de nouvelles idées mais aussi car on a envie d'y rester.

Du coup, forcément qu'un-e président ou ministre ou député-e ou sénateur-rice en exercice a dû sortir les crocs pour en arriver là. C'est un système de compétition. Qui commence dès les grandes écoles que ces gens-là ont fréquentées et qui se poursuit au sein du parti pour gravir les échelons. Faut être le-la meilleur-e, faut être habitué-e à être le-la meilleur-e, à en vouloir, tout ce bullshit. Il faut écraser autrui. Pas discuter, imposer. Pas débattre, gagner les faveurs des auditeurs-rices et donc le poste convoité. Forcément, une fois que t'as le poste, tu ne vas pas changer de mentalité et devenir posé comme ça, taktak. C'est bêtement mécanique : tu reproduis ce que tu connais. Et si la violence t'as permis d'évincer tes concurrent-e-s, qui avaient juste une autre vision que la tienne de l'organisation de la société, de ce qui est acceptable ou non, des pratiques sociales à avoir ou non, etc., un peu comme le terrorisme, qui est l'expression violente d'une non acceptation de comportements et d'une organisation donnée de la société, alors ça doit bien fonctionner pour le citoyen ou autre. Ce système méritocratique pyramidal est problématique.

Et forcément que le pouvoir corrompt, forcément que ça amène à une forme d'excès de confiance. T'es en haut d'une pyramide d'un système d'exclusivité quoi ! T'es forcément une personne qui sort du lot, qu'est géniale ! Forcément qu'il y a une forme de « melon de l'autorité » : je suis reconnu-e par mes semblables et autres, je suis en haut du système, j'en impose.

De plus, la violence est la solution de facilité et elle défoule. Trouver des solutions dans l'éducation, la construction de tissu social, la réduction de la pauvreté, des inégalités, tout ça, c'est chiant, il faut réfléchir, ça prend du temps, ça demande des efforts, des budgets, ça ne produit pas un résultat qui se voit immédiatement de manière flagrante, qui peut être annoncé en fanfare, etc. Faire la guerre à la guerre, c'est clair, c'est direct, ça parle au bon peuple. Pourtant, il semblerait que le temps des attentats d'envergure préparés longtemps à l'avance soit terminé puisque Daesh demande aujourd'hui de ne pas rejoindre les fronts mais de punir les traites/infidèles sur place, dans leur voisinage. Or, il semble qu'on ne fait pas disparaître des thèses, des idéologies, des idées avec des balles. Qu'elles soient bonnes ou mauvaises, ça dépend du point de vue et de la temporalité, justement. Mais les guerres des USA n'ont pas gagné face aux idées d'Al-Qaïda.

Et puis il y a le cirque médiatique. Comment peux-tu / oses-tu être plus calme, plus posé que monsieur ou madame X, candidat-e à la présidentielle, éditorialiste, juge antiterrorisme ou autre qui sort des énormités dans la presse pour exister, pour vendre sa merde ou parce qu'il-elle pense sincèrement ce qu'il-elle pense (et il-elle en a parfaitement le droit) ? Tu passes pour un-e faible et/ou pour quelqu'un qui se moque des souffrances des proches des victimes : il faut agir, bouger, sur-réagir, encore une fois.

Enfin, il ne faut pas se voiler la face : nos politocard-e-s ont peur. Pas tellement d'être la cible d'un attentat, ils-elles ont le système de sécurité kiVaBien payé par la communauté. Mais plutôt peur de perdre les faveurs des électeur-rices et donc leurs postes et les avantages qui vont avec. C'est plus facile et plus vendeur d'expliquer à des proches de victimes, à une ville victime que l'on va riposter sévère plutôt que de dire qu'on va se poser, réfléchir aux racines du mal et du mal-être et appliquer des solutions réfléchies. Il faut du résultat, époustouflant, tout de suite, quel qu'en soit le coût. C'était tout ce qu'on entendait à l'Assemblée lors de la 4e prolongation de l'état d'urgence (voir http://shaarli.guiguishow.info/?e7fvFQ ) : les français-e-s veulent des résultats. Et c'est vrai que c'est ce que réclame une partie de la population. Une partie de la population à qui l'on devrait expliquer que ça ne fonctionne pas comme ça. Et c'est vrai que la sécurité est un principe auquel chaque citoyen-ne a le droit. Du coup, les politocard-e-s ne savent plus où se mettre, que proposer. Ils se sont mis dans la tête qu'ils-elles devaient protéger le bon peuple et ça ne marche pas. Quid de leur légitimité ? Il faut brasser du vent et sortir les crocs pour montrer qu'on est toujours là, sur le devant de la scène, plus fort que la tempête.

Si un nouveau système politique doit succéder à celui que nous connaissons, il devra forcément être tout sauf méritocratique et pyramidal/exclusif, c'est une certitude. Un système par tirage au sort ne remplit pas le deuxième critère : sur un tirage au sort quinquennal, la probabilité d'être tiré-e parmi 67 millions reste ridicule ! L'exclusivité est un problème. Et bien sûr, il faudra toujours le non-cumul des mandats (en parallèle et dans le temps). Et bien sûr, il faudra toujours des contre-pouvoirs de partout pour éviter les dérives. Ça, ça ne doit pas changer.

Pour la première fois en plus de 10 ans, le S.M.A.R.T. a prédit une panne sur un de mes disques durs ! Une panne parmi toutes les pannes de disques (facilement une bonne 15aine) que j'ai connue !

Comme c'est absolument incroyable (waaaaaah le S.M.A.R.T qui prédit quelque chose ! Cheppa si vous réalisez !) et qu'il faut fêter ça, je me suis dit que j'allais m'intéresser à la configuration de smartd, le démon qui permet de vérifier régulièrement (toutes les trente minutes par défaut, ça se change dans /etc/default/smartmontools) que vos disques durs / SSD vont bien et/ou de vous envoyer un mail ou un message syslog quand ça ne va pas.


Pour une doc' sur la manipulation de smartctl, outil qui permet d'afficher les infos S.M.A.R.T. , j'aime vraiment beaucoup celle d'Ubuntu : https://doc.ubuntu-fr.org/smartmontools .

Pour une doc' sur smartd, le fameux démon que j'ai déjà présenté, la doc' pointée par ce shaarli fait le job.


Et voici, en une ligne, la config smartd.conf que j'utilise (elle me semble être une bonne base de départ) :

/dev/sda -d sat -H -l error -l selftest -s S/../01/./06 -m root

Pourquoi j'indique un disque dur en particulier au lieu de DEVICESCAN qui scannerait tous les disques et trouverait sda ? Parce que, dans mon cas, c'est un serveur qui aura toujours un seul disque dur. Il n'est pas prévu d'en ajouter. Inutile de perdre du temps à scanner et a potentiellement se vautrer.

-d sat permet de préciser le type de disque dur pour pas que smartd utilise des commandes SCSI sur un disque SATA et inversement. En vrai, osef de préciser ça, smartd trouve tout seul le type de disque dans l'écrasante majorité des cas (sauf bug du firmware, quoi). sat signifie que mon sda est derrière un adaptateur SCSI to SATA.

Que fait cette commande ?

• Smartd va surveiller l'état global du disque (-H), c'est-à-dire les attributs (comprendre les indicateurs, les métriques) pré-fail (qui indiquent que le disque va mourir bientôt) + le journal général des erreurs (-l error) + le journal des tests (-l selftest). Si les attributs préfail passent en dessous du seuil défini ou si le nombre d'erreurs dans le journal général ou le journal des test a augmenté, alors smartd envoie un mail à root.
  
  
• De plus, smartd va programmer (-s) un short test (le « S ») le premier jour de chaque mois à 6 heures du mat'. Si ce test détecte quelque chose, « -l selftest » fera que smartd vous enverra un mail. Oui, cron, c'est pour les chiens, il veut mieux réinventer son propre système. Pfff.

Notes :

• Pour que l'envoi de mail fonctionne, il faut qu'un MUA (client mail) soit installé sur la machine et disponible en /usr/bin/mail . Et évidemment, il faut aussi un MTA (serveur mail) pour acheminer le mail. Soit un vrai de vrai genre exim ou postfix, soit ssmtp (voir http://shaarli.guiguishow.info/?Qn9K_Q ) ;
  
  
• Pour tester l'envoi de mail, on peut ajouter « -M test » et systemctl reload smartd.service. Un mail bidon doit arriver ;
  
  
• Non, je n'ai pas programmé de long test, de conveyance test, d'offline test, de bidule test… Stop la parano.

J'avais toujours compris qu'il ne faut jamais utiliser allow-hotplug comme un équivalent à auto dans un fichier interfaces.

Récemment, j'ai encore entendu le contraire mais je ne savais pas argumenter ma version. Maintenant que j'ai la réponse, je la note ici pour ne pas remettre ça en question encore une fois. :-

allow-hotplug n'est pas équivalent à auto.

Pour auto, le man nous dit :

Lines beginning with the word "auto" are used to identify the physical interfaces to be brought up when ifup is run with the -a option. (This option is used by the system boot scripts.)

Pour allow-hotplug, le man nous dit :

Lines beginning with "allow-" are used to identify interfaces that should be brought up automatically by various subsytems. This may be done using a command such as "ifup --allow=hot‐plug eth0 eth1", which will only bring up eth0 or eth1 if it is listed in an "allow-hotplug" line. Note that "allow-auto" and "auto" are synonyms.

Voilà : allow-XXXXXX attend un événement d'un sous-système. Forcément, au boot, on reçoit l'événement "la carte réseau devient up" ce qui donne l'illusion qu'allow-hotplug = auto. Mais, en réalité, allow-hotplug attend un retour de l'API udev. Et si l'on vire udevd ? Une interface en auto continue à monter au boot, une interface en allow-hotplug ne monte plus automatiquement.

Pourquoi virer udevd ?

• Parce que c'est parfois un peu la grouille quand ça se cumule avec systemd dans un LXC.
• Parce qu'il n'y en a pas besoin dans une machine virtuelle à usage serveur ou dans un LXC.

Petit rappel sur le forward d'agent SSH et solutions.

Si comme moi vous êtes admin sys, vous utilisez forcément SSH au quotidien pour gérer votre parc [...] Et si vous êtes un vrai admin sys, vous utilisez aussi forcément une clef SSH pour vous connecter plutôt qu’un mot de passe. Sauf qu’il est plus que pénible d’avoir à saisir sa phrase de passe avant chaque connexion à une machine, et donc il est plus que probable que vous utilisiez aussi un agent SSH pour charger vos clefs une bonne fois pour toutes à la première connexion.

[...] En effet, on a bien souvent certaines machines qui ne sont pas directement accessibles sur Internet (les machines virtuelles généralement), mais nécessitent une machine de rebond (bounce) pour y parvenir. Dans les grands parcs, il n’est même pas rare d’avoir une unique machine exposée dans la zone démilitarisée (DMZ), toutes les autres étant bien à l’abri derrière les pare-feux. Avec l’agent forward, notre agent SSH va se propager au travers du réseau via les machines auxquelles on se connecte, permettant ainsi de se connecter aux machines finales sans mot de passe et sans avoir à copier notre clef SSH sur chaque machine intermédiaire. La plupart du temps, l’admin sys étant un fainéant notoire, il a tendance à activer l’agent-forwarding par défaut pour ne pas avoir à se préoccuper du chemin à suivre pour joindre une machine et ainsi pouvoir accéder à n’importe quelle machine du parc depuis n’importe quelle autre.

Les deux fonctionnalités (ssh-agent + agent-forward) cumulées peuvent avoir un impact très important sur la sécurité de vos clefs SSH. Votre agent SSH local charge toutes vos clefs SSH au démarrage, et se chargera de les proposer à votre client SSH quand il en aura besoin. [ NDLR : je suis très sceptique sur ce point. Il faut faire un ssh-add pour chaque clé et filer la passphrase kiVaBien. Or, cette passphrase est forcément différente pour chaque clé, si vous faites les choses bien. ] Pour la communication avec le client SSH, l’agent met à disposition un socket UNIX de la forme /tmp/ssh-/agent.<pid de l’agent> et le publie dans la variable d’environnement SSH_AUTH_SOCK. Lorsqu’on fait du transfert d’agent, ce socket va se propager sur chaque machine intermédiaire pour assurer la communication avec le client SSH, toujours via la variable SSH_AUTH_SOCK.

Et c’est là que quelque chose de terrible peut se produire… Le transfert d’agent crée aussi un socket UNIX sur la machine intermédiaire, socket qui est un simple fichier quelque part sur le disque. Et donc tout utilisateur capable de lire ce fichier peut communiquer avec votre agent SSH transféré ! Toute personne connectée sous le même utilisateur SSH que vous peut le faire. L’utilisateur root peut le faire. L’administrateur de l’hôte physique hébergeant votre machine virtuelle peut le faire (cas des VPS, mutualisés, etc). Pour exploiter ce socket, il suffit à un attaquant de trouver le socket (un simple ls /tmp/ssh-* lui les listera tous) et de définir manuellement la variable d’environnement SSH_AUTH_SOCK pour utiliser votre agent SSH…

Là où ça pique vraiment, c’est que votre agent SSH de départ connaît toutes vos clefs. Pas seulement celle que vous avez réellement utilisée pour votre chaîne de connexion. Toutes. Si vous avez par exemple une clef A pour vos machines persos et une clef B pour vos machines pros, que les deux sont chargées dans l’agent que vous avez exporté, votre collègue connecté en même temps peut alors se connecter à toutes vos machines perso !

Heu ? Quelle idée d'avoir sa clé perso sur les machines du taff ? :O Bon, dans ton cas, t'as partoche chiffrée et y'a pas d'autres root que toi sur ton desk@taff mais ce n'est pas le cas de la majorité des gens.

Maintenant qu’on a vu comment on pouvait exploiter l’agent SSH des autres, voyons comment on peut se prémunir de ce genre de problème.

Ne pas utiliser de transfert d’agent SSH

On peut conserver les possibilités de rebond via l’option ProxyCommand et -W de SSH.

En pratique, sur des infrastructures un peu complexe, cette possibilité est très vite limitante puisque ça devient très vite l’enfer si on doit passer par plus d’une machine intermédiaire et qu’en plus on ne peut plus joindre les machines finales à partir de n’importe quelle autre machine (il faut obligatoirement revenir à la machine locale).

Limiter le transfert d’agent à la seule clef utilisée

L’option IdentitiesOnly existe dans SSH pour limiter les clefs possibles pour un agent SSH. Si vous voulez donc l’activer par défaut, il faut ajouter à votre ~/.ssh/config [...]

Vos chaînes de connexion doivent du coup utiliser la même clef SSH à chaque rebond, ce qui peut parfois être problématique (par exemple vos frontaux sécurisés n’acceptent que les clefs ED22519 quand vos vieilles machines finales en sont restées à RSA-4096).

Cloisonner les clefs SSH via des agents multiples

L’un des gros problèmes de la « faille » de l’agent SSH est surtout que l’agent expose l’ensemble de vos clefs SSH, et non pas uniquement celles concernées par la connexion établie. À la limite, si GitHub ne pouvait avoir accès qu’à ses propres machines, vous aux vôtres et vos collègues à celles de votre parc professionnel, il n’y aurait plus vraiment de problème.

L’idéal serait donc d’avoir un agent SSH par groupe de connexion (pro, perso, dev, git…), chacun chargé uniquement des clefs qui vont bien. Ça aurait en plus l’énorme avantage d’alléger le nombre de clefs par agent, et donc d’accélérer les connexions, l’agent testant les clefs disponibles les unes après les autres jusqu’à parvenir à se connecter (ce qui peut en plus causer des problèmes si vous avez trop de clefs qui échouent ou un fail2ban en face).

SSH ne gère nativement pas cette séparation, il va donc falloir ruser un peu.

SSH-Ident a été développé initialement par Carlo Contavalli et j’ai corrigé 2 ou 3 trucs dessus (support de SSH_ASKPASS, suppression des invocations bash…). Il remplace SSH et se base sur les options passées à SSH pour déterminer à quelle identité raccrocher la connexion. Chaque identité se trouve isoler dans un sous-répertoire de ~/.ssh/identities/, avec son fichier de configuration, ses clefs SSH propres, son agent SSH…

rsync et autres outils liés à SSH ne posent pas de soucis particuliers avec SSH-Ident. Je rencontre uniquement des problèmes avec scp, qui cherche à invoquer ssh via un chemin en dur et non via le mécanisme du PATH, ainsi que sur la machine distante ce qui pose des problèmes si SSH-Ident est aussi déployé là-bas. [...]

Bon bah voilà, l'état d'urgence est prolongé pour 6 mois. Mais, au-delà de ça, des dispositions de lutte anti-terroriste qui perdureront après l'état d'urgence ont été introduites autant par l'Assemblée (à gauche) que le Sénat (à droite) ! Pour avoir un aperçu de la médiocrité des causeries du Parlement autour de cette loi, voir mes notes sur la séance de l'Assemblée (j'ai eu le courage de suivre uniquement la discussion générale au Sénat, faut pas pousser) : http://shaarli.guiguishow.info/?e7fvFQ .

L’Assemblée et le Sénat ont approuvé jeudi, à une écrasante majorité, la prolongation de l’état d’urgence pour six mois. Le projet de loi a été élargi à une série de mesures, portées initialement par la droite, pour durcir la lutte antiterroriste.

Le projet de loi initial comptait deux articles. Le texte définitif, adopté par le Parlement jeudi, en comporte 20. Dans le cadre d’une procédure accélérée, motivée par l’attentat de Nice, le gouvernement avait soumis un texte proposant une prolongation de trois mois. Il rétablissait la possibilité de procéder à des perquisitions administratives, levée depuis mai, et il permettait la saisie de données informatiques et téléphoniques lors de ces perquisitions, retoquée dans une version précédente par le Conseil constitutionnel.

Mais les débats parlementaires, parfois dans une ambiance électrique, et sous pression de la droite [ NDLR : ouais, fallait que ça aille vite, c'était une session de travail extraordinaire car située juste avant les vacances parlementaires et dernière semaine avant le 26, date de fin de l'exo habituel ! Du coup, la gentille gauche a été obligé de céder face à la méchante droite, voilà le barratin qu'on essaye de nous vendre ! Pffff ], ont conduit à durcir et à élargir le texte, qui a entre-temps changé de nom. D’abord sur la durée : l’état d’urgence est prolongé pour six mois, jusqu’à janvier 2017. [...]

Les dispositions permettant de fouiller les véhicules ou les bagages, [ NDLR : + le contrôle d'identité élargi, le tout sous l'autorisation du préfet. La loi de réforme pénale avait donné aux procureurs la possibilité de faire fouiller les sacs et bagages ]

et de fermer un lieu de culte qui serait jugé dangereux, ont été réaffirmées. [ NDLR : la loi de 1955 permet déjà aux préfets et ministre de l'Intérieur de s'attaquer aux lieux de réunion « de nature à provoquer ou à entretenir le désordre », c'est une extension de plus… ]

Lors des perquisitions administratives (en dehors d’une procédure judiciaire) [ NDLR : elles sont de retour, comme si les terrorites n'ont pas eu le temps de tout planquer depuis. La commission parlementaire de suivi de l'état d'urgence la montrer : elles n'ont pas été utiles au-delà des premiers jours et encore, pour des motifs autre que le terrorisme genre armes et drogue. ], les mineurs pourront être retenus jusqu’à quatre heures.

Ces perquisitions administratives sont accompagnées de la saisie des données informatiques :

• Mode opératoire : si la perquisition révèle l'existence d'éléments relatifs à la menace que le proprio constitue pour la sécurité et l'ordre public (paye ton motif flou, comme d'hab), alors les données infos peuvent être copiées ou le matos peut être saisi si la copie durerait trop longtemps. L'autorité demande au juge des référés du tribunal administratif l'autorisation d'exploiter les données. Le juge répond sous 48 heures. L'autorisation porte exclusivement sur les éléments relatifs à la menace que leur proprio constitue. Les données sont exploitées. 3 mois pour détruire les données sauf les éléments relatifs à la menace blabla (même si ça ne permet pas de constater une infraction ! ). Délais habituels si infraction découverte.
  
  
• Tout terminal (tablette, PC, ordiphone, etc.) peut être saisi/avoir ses données copiées. Les données stockées à distance (cloud & co) sont copiables si elles sont accessibles depuis le lieu perquisitionné (session ouverte, mot de passe au service mémorisé dans le navigateur, etc.)**. Voir http://www.numerama.com/politique/183842-etat-durgence-police-pourra-bien-copier-donnees-trouvees-cloud.html
  
  
• Ça patche grosso modo ce que le Conseil Constitutionnel avait retoqué : juge + cadre pour la conservation et l'exploitation + exploitation limitée à ce qui est relatif à une infraction + copie/saisie que si infraction. Sauf que là, y'a pas de notion d'infraction. :(
  
  

Toutes les manifestations ou tous les rassemblements pourront être interdits si la sécurité ne peut pas être assurée, faute de moyens.

Surtout, une série de mesures, relevant davantage de la lutte antiterroriste que de la loi de 1955 sur l’état d’urgence, ont été ajoutées. Elles ont été portées par la droite sénatoriale, et validées par le PS, qui les avait pourtant, à plusieurs reprises, rejetées lors de précédents débats. [ NDLR : toutes les mesures qui suivent après cette phrase perdureront au-delà de l'état d'urgence (si l'on en sort un jour) ! ]

Le projet de loi valide, par exemple, la vidéosurveillance 24 heures sur 24 et 7 jours sur 7 dans les cellules de prison des personnes poursuivies pour terrorisme.

Il rend automatique l’expulsion, soit définitive, soit pour dix ans, d’un étranger condamné pour terrorisme – c’est le principe de la double peine. [ NDLR : pourtant Sarko avait porté une réforme l'interdisant partiellement (elle crée des catégories d'étrangers protégés car bien intégrés socialement…) pour toute peine de prison. ]

Les personnes condamnées pour ce motif ne pourront plus bénéficier de certaines réductions de peine – elles seront notamment exclues du régime de la semi-liberté.

Les parlementaires ont aussi allongé la durée de détention provisoire pour les mineurs mis en examen pour association de malfaiteurs en relation avec une entreprise terroriste (de deux à trois ans). [ NDLR : parce que l'auteur de la tuerie de Nice était un mineur, c'est bien connu).

De même, cette loi augmente les peines maximales : 20 -> 30 pour diriger ou organiser un acte collectif de terrorisme et quand l'acte peut entraîner la mort, la peine maximale est la perpétuité. Waaaaaaahooou, ça va trop les décourager les terroristes morts en commettant leur forfait ! Bref, tout ça c'est de l'esbroufe. :S

Le régime encadrant les écoutes administratives est assoupli. Les services de renseignement pourront surveiller en temps réel, sur les réseaux des opérateurs, les personnes en lien avec des individus présentant une menace, et non plus seulement ces derniers. [ NDLR : même le cadre de l'écoute des personnes présentant une menace est élargi ! ]

À ce sujet, lisons ce que dit la Quadrature ( https://www.laquadrature.net/fr/etat-d-urgence-surenchere-dans-la-surveillance-de-masse ) :

La disposition en question (article L. 851-2 CSI), très décriée lors des débats à l'époque, vise à scanner en temps réel des données de connexion d'un individu suspecté d'activités terroristes.

Dès les attentats de novembre, alors que l'encre de la loi renseignement était à peine sèche, un responsable du ministère de l'Intérieur expliquait déjà au Monde qu'avec des procédures de contrôle encore plus allégées, « en croisant les infos et en utilisant un algorithme très puissant déjà connu, nous serions en mesure de surveiller, en temps réel, ces 11 700 personnes » « fichées S ». Puis, en janvier à l'issu d'un Conseil national du renseignement à l'Élysée, et toujours d'après Le Monde, la décision fut prise de « mettre sous surveillance l'ensemble des données de communication de ces 11 700 personnes « fichées S » pour lien avec l'islamisme radical »..

Jusqu'ici, cette forme de surveillance ne portait que sur les personnes « identifiée[s] comme une menace » terroriste. En vertu de cet amendement scélérat, le code de la sécurité intérieure dispose désormais qu'il suffit d'être identifié comme « susceptible d'être en lien avec une menace », ou de faire partie de l'« entourage » des personnes « susceptibles de... », pour voir ses données de connexion analysées en temps réel et durant quatre mois par les services de renseignement.

Derrière le flou des termes employés, on comprend que c'est donc potentiellement plusieurs dizaines, voire centaines, de milliers de personnes qui sont directement concernées, et non les 11 700 personnes déjà « fichées S ».

• Je rappelle que le 851-2 du CSI, c'est des sondes qui capturent toutes les données de connexion dans les réseaux (géolocalisation, numéros de téléphone composés, adresses IP utilisées, durées et heures des appels, bref, les métadonnées qui cause avec qui, quand, à quelle fréquence, quelle durée, etc.).
  
  
• Je rappelle également que normalement, c'était les boites noires et leur algorithme trop magique qui étaient censés fournir des cibles pour ces captures massives de données de connexion. L'algorithme serait-il en peine ? :)
  
  
• Et je rappelle que le 851-2 autorise la captation de toutes les informations ou documents ("définis" au 851-1) dont la signification, ce que ça englobe, est toujours aussi floue malgré les recours des exégètes amateurs…
  
  

Les parlementaires demandent également dans ce texte au Conseil supérieur de l’audiovisuel (CSA) d’élaborer « un code de bonne conduite relatif à la couverture audiovisuelle d’actes terroristes ». [ NDLR : pour éviter les images de cadavres diffusées par les chaînes d'information en continue… ]

Le plafond d'interdiction de sortie du territoire saute (les autorités peuvent vous empêcher de quitter le territoire si elles ont des raisons de penser que c'est pour aller causer des actes terroristes ou rejoindre des thétres d'opérations. Cette interdiction était limitée à 2 ans, plus maintenant).

Le texte de loi prévoit aussi que les services de renseignement (et je rappelle qu'il y en a une pelletée et que le gouvernement peut en nommer par décret, sans devoir demander à qui que ce soit, donc !) peuvent partager des informations au lieu de juste échanger comme c'était le cas avant. Cela ouvre la porte au partage d'information, à la collaboration entre services, à une possible plateforme d'échange du renseignement, etc. Dans un contexte post-Loi Renseignement où les services de Renseignement ont été largement renforcés (cadre, missions, moyens à leur disposition, etc.), je trouve ça hyper dangereux : les cafouillages et les guéguerres entre services (comme aux USA) sont tout ce qui reste pour "protéger" (très très faiblement, je vous l'accorde) l'honnête citoyen des dérives !

Source complémentaire :

• http://www.nextinpact.com/news/100727-ligne-par-ligne-projet-loi-sur-etat-durgence.htm