GuiGui's Show

Un des adhérents d'ARN (Alsace Réseau Neutre, FAI associatif en Alsace, http://www.arn-fai.net/) nous indique qu'il n'arrive pas à joindre notre réseau en IPv6 avec sa nouvelle connexion Internet Numéricable. Comme il n'y a pas d'IPv6 chez ce FAI, il utilise Teredo, sorte de 6to4 (une des techniques de transition vers IPv6) qui peut être utilisée dans un contexte NAPT puisque ça repose sur une encapsulation UDP des paquets IPv6 là où 6to4 repose sur une encapsulation IPv4 des paquets IPv6 qui ne permet pas la traversée de NAPT (puisque pas de numéro de port ;) ). Lors d'un « ping6 int.arn-fai.net », il obtient des erreurs « Destination unreachable: Address unreachable ». Chose curieuse : le « From: » est l'IPv6 du client lui-même !

Évidemment, les autres réseaux (ipv6.google.com, wikipedia,...) sont accessibles en IPv6. Aucun problème pour joindre notre réseau en IPv4 depuis cette connexion Numéricable.


Pour pouvoir reproduire ce problème sur une ligne Numéricable, j'ai utilisé le logiciel Miredo (http://www.remlab.net/miredo/) qui peut agir comme client/serveur/relai Teredo. C'est dispo dans les dépôts Debian et ça juste fonctionne sans prise de tête. Il est livré avec une configuration client donc il suffit de « service miredo start » pour le lancer. Un « tail -f /var/log/syslog » vous confirmera si le tunnel est OK.


Je vous passe les heures à essayer de comprendre l'origine du problème... Problème de routage ? Préfixe v6 d'ARN trop spécifique donc ignoré du relai teredo ? Upstreams d'ARN qui failent ou gue-guerre commerciale ?

Pour comprendre le problème, il faut lire la doc. On va commencer par les définitions générales. Voir : https://fr.wikipedia.org/wiki/Teredo_%28protocole%29
« Teredo définit plusieurs types de nœud :
    * Un client Teredo est un hôte qui dispose d'une connectivité IPv4 à l'Internet derrière un NAT et utilise le protocole de   tunneling Teredo pour accéder à l'Internet IPv6. Les clients Teredo reçoivent une adresse IPv6 qui commence par le préfixe Teredo 2001:0000::/32

    * Un serveur Teredo est un hôte connu qui est utilisé pour la configuration initiale d'un tunnel Teredo. Un serveur Teredo ne transmet jamais tout le trafic pour le client (en dehors des pings IPv6), et a donc de très modestes besoins en bande passante (quelques centaines de bits par seconde et par client au maximum), ce qui permet à un serveur unique de subvenir à un   grand nombre de clients. En outre, un serveur Teredo peut être mis en œuvre de manière totalement sans état, utilisant ainsi     la même quantité de mémoire indépendamment du nombre de clients qu'elle soutient.

    * Un relais Teredo est un hôte connecté à la fois en IPv4 et en IPv6, et par lequel passe tout le trafic destiné à l'Internet v6, il a donc de gros besoins en bande passante. »


Pour comprendre la suite, il faut lire un bout du RFC 4380 (https://tools.ietf.org/html/rfc4380#section-3.4) :
«  Teredo clients have to discover the relay that is closest to each
   native IPv6 or 6to4 peer.  They have to perform this discovery for
   each native IPv6 or 6to4 peer with which they communicate.  In order
   to prevent spoofing, the Teredo clients perform a relay discovery
   procedure by sending an ICMP echo request to the native host.  This
   message is a regularly formatted IPv6 ICMP packet, which is
   encapsulated in UDP and sent by the client to its Teredo server; the
   server decapsulates the IPv6 message and forwards it to the intended
   IPv6 destination.  The payload of the echo request contains a large
   random number.  The echo reply is sent by the peer to the IPv6
   address of the client, and is forwarded through standard IPv6 routing
   mechanisms.  It will naturally reach the Teredo relay closest to the
   native or 6to4 peer, and will be forwarded by this relay using the
   Teredo mechanisms.  The Teredo client will discover the IPv4 address
   and UDP port used by the relay to send the echo reply, and will send
   further IPv6 packets to the peer by encapsulating them in UDP packets
   sent to this IPv4 address and port.  In order to prevent spoofing,
   the Teredo client verifies that the payload of the echo reply
   contains the proper random number. »

Donc le client Teredo fait un test de connectivité (un echo request icmpv6) en émettant un paquet avec comme IPv6 source l'IP qu'il a synthétisé dans 2001::/32 et en passant par son serveur Teredo qui le transmet à la destination.

La destination doit donc répondre directement au client... et doit donc avoir une route vers 2001::/32. Ce préfixe peut-être annoncé par tout opérateur réseau qui veut monter des relais Teredo. C'est, avec la racine DNS et le 6to4, un des exemples d'utilisation de l'anycast sur l'Internet. Actuellement, Hurricane Electric semble être l'un des gros fournisseurs de relais Teredo/6to4 (il faut dire qu'avec les tunnels 6in4 c'est leur business :D ). La réponse de la destination sera donc prise en charge par le relai Teredo le plus "proche" de celle-ci et retranmise au client Teredo en IPv4.

Attention : en anycast, « le plus proche » n'a aucune signification géographique ! Cette notion s'apprécie en nombre de réseaux traversés et en fonction des politiques de routage propre à chaque opérateur ! Exemple, chez ARN, nous voyons deux routes pour joindre un relai Teredo (http://lg.arn-fai.net/prefix_detail/hwhost-1/ipv6?q=2001%3A%3A/32) : une directement connectée (Hurricane Electric), l'autre en 3 sauts. Pourtant, c'est le chemin le plus long qui l'emporte car on a diminué la local-pref sur HE afin de forcer le trafic à sortir par Cogent car notre lien avec HE est un tunnel 6in4 à cause d'une gu-guerre commerciale entre Cogent et HE qui empêche de joindre l'un quand on est client de l'autre sauf à monter ce genre de tunnels crades (cf http://shaarli.guiguishow.info/?X_2rrQ). Un choix humain de recherche de qualité entraîne ici une sous-performance.

Si le client reçoit une réponse de la destination, il reçoit également, dans les headers, l'adresse IPv4 du relai Teredo à utiliser pour établir la communication. S'il ne reçoit pas la réponse, un message « Destination unreachable: Address unreachable » est émis pour informer la couche applicative...

Voici ce que l'on voit côté destination (j'ai remplacé l'IPv6 source par une factice ;) ) :
IP6 2001:0::1 > int.arn-fai.net: ICMP6, echo request, seq 46782, length 26
IP6 int.arn-fai.net > 2001:0::1: ICMP6, echo reply, seq 46782, length 26
IP6 2001:0::1 > int.arn-fai.net: ICMP6, echo request, seq 1, length 64
IP6 int.arn-fai.net > 2001:0::1: ICMP6, echo reply, seq 1, length 64
IP6 2001:0::1 > int.arn-fai.net: ICMP6, echo request, seq 2, length 64
IP6 int.arn-fai.net > 2001:0::1: ICMP6, echo reply, seq 2, length 64


Pourquoi la réponse des machines du réseau ARN ne revenait pas au demandeur ? Parce que nous appliquons des filtres sur les annonces BGP que nous recevons pour ne pas prendre en compte les martians (les plages d'adresses IP qui n'ont rien à faire sur Internet : documentation, RFC1918, benchmark, link-local,...) comme il est recommandé de le faire. Sauf que ce filtre était trop restrictif et il amenait à ignorer 2001::/32. Impossible donc pour les machines de notre réseau de répondre puisqu'aucune route... Notons que le message d'erreur n'est pas clair... Pour moi, « Destination unreachable: Address unreachable » s'entend d'un point de vu du serveur Teredo. Je pensais donc que c'était ce dernier qui n'avait pas de routes pour joindre le réseau d'ARN. :-

Pour les admins réseaux : 6to4 et Teredo ne sont pas dépréciés à l'IETF ! Seul l'usage de l'anycast pour joindre, en IPv4, le relai 6to4 le plus proche est déprécié par le RFC 7526, il faut contacter le relai 6to4 en unicast ou le relai Teredo selon le mécanisme décrit ci-dessus. Donc 192.88.99.0/24 pourra bientôt être ajouté à la liste des martians à filtrer mais 2001::/32 (Teredo) et 2002::/16 (6to4) restent utilisables et ne doivent donc pas être filtrés !

+ https://blog.imirhil.fr/own-mailbox-la-reponse-a-la-reponse.html
+ https://blog.imirhil.fr/own-mailbox-suite-et-fin.html
Lisez aussi les commentaires, le tout est très technique mais très intéressant. *Vraiment*.

L'avis d'Aeris sur Own-mailbox. Pour rappel, mon avis est ici : http://shaarli.guiguishow.info/?lra2Xw . Je le rejoins sur les nouveaux points suivants :
    * uPnP c'tout naze niveau sécurité ;

    * Le tunnel de port va être implémenté sous forme d'un relai SMTP donc oui, c'est une forme de centralisation ;

    * Un mécanisme *manuel* de mise à jour des logiciels en utilisant les dépôts du projet est prévu, ce qui permettra d'installer nawak sous l'ordre d'une quelconque agence ou par erreur ou pour le business (souvenez-vous des mises à jour Windows dont vous avez accepté l'installation (je ne parle pas des màj auto et quasi-forcées de win10) et qui ont fait nawak genre nouvelle procédure d'activation windows, genre conflit avec l'antivirus empêchant le reboot,...) ;

    * Le faux sentiment de sécurité généré par le discours marketing autour du projet.


Néanmoins, je pense qu'Aeris va trop loin dans l'analyse des risques (MitM, limites de SMTP+TLS, détournement du nom de domaine, push de logiciels malveillants par la suite,...) : il faut voir ce projet comme une première étape, pas comme la destination.


La majorité des commentaires qu'on lit à l'encontre de ces billets de blog c'est qu'il faut simplifier pour que le mail auto-hébergé et confidentiel devienne accessible au plus grand nombre et donc qu'own-mailbox est un bon projet. J'en suis le premier d'accord. Je pense simplement que d'autres projets sont plus adaptés et prometteurs, comme la Brique Internet (VPN + conf' tout aussi automatique et user-friendly mais sans uPnP, permet tout autant de contourner le blocage du port 25 sans relai mail, permet l'utilisation d'un nom de domaine personnel out-of-box,...). Oui, la Brique n'utilise pas GPG (et c'est tant mieux), mais c'est une première étape, non ? ;) On peut aussi avoir des associations qui hébergent mails et sites web : on décentralise tout en rendant accessible par la mutualisation des compétences techniques. Ça aussi, ça peut être un premier pas.


Le commentaire de Jean-Marc Manach (https://blog.imirhil.fr/own-mailbox-la-reponse-a-la-reponse.html#isso-105) résume tout :
« Tu aurais brandé Own-mailbox comme un serveur de mail décentralisé, il ne te serait pas tombé dessus ainsi; le présenter comme un produit permettant de protéger sa vie privée, en laissant entendre que ses utilisateurs seraient ainsi protégés de Google ou de la NSA, implique de grandes responsabilités... et on n'affirme pas ce genre de choses sans avoir au préalable validé son projet par des gens qui s'y connaissent un tantinet en la matière, ce que vous n'avez pas fait.

[...]

TOR & TAILS (par exemples) précisent par ailleurs les modèles de menace auxquels ils peuvent faire face... ou pas, et donc les risques que prennent les utilisateurs de TOR & TAILS, ce que vous ne faites pas, et ce qu'a donc tenté de préciser Aeris.

[...]

tu ne peux pas "vendre" un service reposant (en partie) sur la cryptographie, et promettant un niveau élevé (btw, oublie donc le "100%") de confidentialité et donc de sécurité informatique sans avoir réellement étudié la question, et fait montre de compétences en la matière.

[...]

Bref : soit tu rebrandes ta com', soit tu te mets au taff' pour répondre aux problèmes & questions posées par Aeris. Mais en l'état, Own-mailbox propose une fausse promesse de sécurité  »

Le bug totalement #WTF du jour : il faut une version précise de MySQL utilisée en serveur maître de la replication + une version précise utilisée en serveur esclave + une requête « INSERT INTO... ON DUPLICATE... » + un champ de la table en « AUTO_INCREMENT ». Dans ce cas, le process de replication se stoppe le temps qu'un admin demande à ce que la ligne responsable soit skippée... #FunFact : les logs indiquent clairement ce problème avec un lien vers la doc' :D

Pour le fun :
         master        (-inf, 5.0.23)            [5.0.24, 5.0.34]        [5.0.36,+inf)
slave
(-inf, 5.0.23)       BUG#20188             both bugs, no error   BUG#20188
[5.0.24, 5.0.34]   this bug, no error      no bug                    this bug, no error
[5.0.36, +inf)      no bug                     this bug, error          no bug

Oui, ça date de 2007 mais on continue à rencontrer ce genre de problèmes en production, si si si si. :)

« Three Simple BGP Rules
1. messages are forwarded to neighbors, after adding the ASN
2. only the shortest AS path is forwarded
3. packets are sent to the most specific prefix

[...]

Routing Information Service (RIS)
• 13 BGP collectors all over the world
• 263 BGP peers
• BGP messages dumped into binary files
• 550 GB per year

[...]

https://github.com/ANSSI-FR/parsifal
Parsifal is an OCaml-based parsing engine.

Parsifal is a collection of binary parsers and tools. The development is at an early stage (which explains the 0.1 version).

There are several file formats or network protocols currently (at least partially) described:

    X.509 certificates
    SSL/TLS messages
    DNS messages
    MRT/BGP messages
    Portable Executables
    UEFI Firmwares
    PKCS#1 keys and containers
    PKCS#7 containers
    Kerberos messages
    OpenPGP messages
    DVI documents
    PNG images
    PCAP/IP/TCP/UDP rudimentary support
    NTP messages

[...]

http://discoproject.org/
 Disco is a lightweight, open-source framework for distributed computing based on the MapReduce paradigm.

Disco is powerful and easy to use, thanks to Python. Disco distributes and replicates your data, and schedules your jobs efficiently. Disco even includes the tools you need to index billions of data points and query them in real-time.

[...]

https://github.com/spotify/luigi
Luigi is a Python (2.7, 3.3, 3.4) package that helps you build complex pipelines of batch jobs. It handles dependency resolution, workflow management, visualization, handling failures, command line integration, and much more. [...] The purpose of Luigi is to address all the plumbing typically associated with long-running batch processes. You want to chain many tasks, automate them, and failures will happen. These tasks can be anything, but are typically long running things like Hadoop jobs, dumping data to/from databases, running machine learning algorithms, or anything else.

There are other software packages that focus on lower level aspects of data processing, like Hive, Pig, or Cascading. Luigi is not a framework to replace these. Instead it helps you stitch many tasks together, where each task can be a Hive query, a Hadoop job in Java, a Spark job in Scala or Python a Python snippet, dumping a table from a database, or anything else. It's easy to build up long-running pipelines that comprise thousands of tasks and take days or weeks to complete. Luigi takes care of a lot of the workflow management so that you can focus on the tasks themselves and their dependencies.

[...]

<hadron> 2a04:8000::/29 is announced from multiple origins:
<hadron> SFR-BUSINESS-TEAM (AS12566)
<hadron> Ukraine-AS (AS200000)
<hadron> First originated from SFR-BUSINESS-TEAM (AS12566)

Analysis Result
• 2a04:8000::/29 belongs to the Ukrainian operator
• 2a04: 0 800::/29 belongs to the French operator
• French operator made a mistake in its BGP configuration
It was a false positive, the route6 object was created a few days later by the Ukrainian operator. »

Excellent : analyse de la structure des réseaux des FAI Serbes pour en déterminer la solution de censure adaptée et donc les coûts associés, permettant de mettre KO une proposition de loi du gouvernement visant à censurer les sites web proposant des jeux d'argent / paris sans l'avis de l'État (en France, ça se nomme ARJEL, https://fr.wikipedia.org/wiki/Autorit%C3%A9_de_r%C3%A9gulation_des_jeux_en_ligne, pour rappel).

« Through empirical research, SHARE Foundation created a map of the Internet in Serbia and analysed the implications network structure could have on Internet filtering. By visualising and analysing the structure and topology of individual Internet Service Providers in Serbia, we tried to determine how easy it would be to install filtering devices on these networks. This data was used to inform the government on the proposal of a new law.

[...]

1. Determining the IP ranges
First we looked at the RIPE Database and took all the IP ranges registered to organisations in Serbia. Below you can see a representation of ISPs in Serbia and the number of IP addresses alocated to them.

[...]

There are three basic network structures:
  * Centralised: All devices are connected to one centre. This centre has privileged accessibility and thus represents the dominant element of the network.
  * Decentralised: Although the centre is still the point of highest accessibility, the network is structured so that sub-centres also have significant levels of accessibility.
  * Distributed: No centre has a level of accessibility that significantly differs from the others.

By analysing our visualisations of ISPs in Serbia we noted that both centralised and decentralised models are present. An example of a centralised network model can be seen in the network of the state-owned Telekom Serbia. An example of a decentralised model can be seen in the university network AMRES (see more on these two networks below).

[...]

In one of our previous research projects (in Serbian only), we looked at Internet filtering at the national research and education network of Serbia AMRES. We discovered a decentralised method of content filtering, delegated and executed through local administrators and routers at every university in Serbia. Each local administrator is responsible for their own blacklist of sites and ports. AMRES is one of the oldest ISPs in Serbia, established in the early 1990s, and its method of Internet filtering presented here is filtering on an institutional level. If we take a look at the visualisation of the AMRES network (in Figure 4), we can clearly see why this method of Internet filtering was most applicable: the decentralised structure of the AMRES network somehow imposes this kind of filtering strategy.

[...]

In December 2014, the Government of the Republic of Serbia sent a Proposal of the Law on Amendments to the Law on Games of Chance to the Parliament (in Serbian). The proposed changes were adopted without discussion and public insight, even though these provisions would introduce Internet censorship in Serbia through a “back door”. What presented the main problem was the amendment of Article 10 of the current law, i.e. the new Item 16 of Paragraph 1, which prohibits “enabling access to websites by domestic electronic communication network service operators to legal entities or individuals organizing games of chance without the approval or consent of the Administration”. What this basically means is that the government suggested filtering (or censoring) access to online gambling sites in order to regulate gambling. To be able to do that, ISPs would have to monitor which sites their users are visiting.

Fortunately, after the SHARE Foundation analysed the proposal and started a media campaign, the proposal of the law was withdrawn from the parliamentary procedure following an intervention of the government. In one part of the proposal, it was written that the installation, maintenance and costs of the equipment intended for filtering is the responsibility of the ISPs. In order to estimate the (unreasonable) costs ISPs would bear, we analysed the network topology maps of every individual ISP in Serbia to see how much and what kind of equipment they would need to purchase. Even though our method is not 100% accurate, we had something to work with, something that gave us an insight into the unknown and invisible design of the networks.

[...]

By looking at the map of Telekom Serbia’s network (see Figure 5), the biggest ISP in Serbia and owner of the biggest share of the infrastructure, we could observe a highly centralised structure where almost all the main nodes and routers were connected to just two main servers.

The logical conclusion is that in order to perform real-time filtering they would need to install equipment exactly in those two points. On the other hand, from the number of nodes attached to those two main routers, we can assume that they are able to process huge amounts of traffic, therefore the equipment they would need to install would probably need to be of high-end performance. We were able to predict the type and cost of the theoretical filtering solution, given that there are just a few manufacturers of such equipment.

[...]

Given that our analysis is still only at the level of an individual ISP, this is just a small fragment of the story. The Internet is a network of networks, and to be able to create a full picture and to understand where the points of control are, we need to examine their local interconnections and links to the International networks. This is a topic for further research. »

Via le twitter de Stéphane Bortzmeyer (https://twitter.com/bortzmeyer/with_replies)

« Il aurait été nommé discrètement en juin, mais il prend tout juste ses fonctions. Faisal bin Hassan Trad, ambassadeur de l’Arabie saoudite à l'Office des Nations unies à Genève, a pris, lundi 21 septembre, la tête du panel du Conseil des droits de l'homme. La publication de sa nomination a immédiatement provoqué la colère des défenseurs des droits humains. En tête, l'ONG UN Watch, qui juge, dans un communiqué (en anglais), "scandaleux que les Nations unies choisissent un pays qui a décapité plus de personnes que l'Etat islamique" pour ce poste-clé.

Faisal Trad prend en effet la tête d'un groupe de cinq diplomates, dont le rôle est notamment de choisir les experts chargés d'observer et rapporter les atteintes aux droits de l'homme dans le monde. Or, l'Arabie saoudite a exécuté au moins 80 personnes depuis le début de l'année 2015, et "détient sans doute le pire des records en matière de liberté religieuse et de droits des femmes", poursuit UN Watch. Les minorités (ethniques, religieuses, sexuelles) et les opposants politiques y sont également sévèrement traités et régulièrement condamnés.

Dans son dernier rapport, Amnesty International précise en outre que "les autorités ont pris pour cible la communauté des défenseurs des droits humains, petite mais active, et elles ont utilisé les lois antiterroristes pour réprimer ses activités pacifiques qui visent à dénoncer et à combattre les violations des droits humains". »

Et ici http://www.metronews.fr/info/conseil-des-droits-de-l-homme-de-l-onu-la-promotion-de-l-arabie-saoudite-qui-derange/moiu!69nBZocudtwYI/ :
« Un poste pour lequel il était en concurrence avec ses homologues représentant la Grèce, l'Algérie, le Chili et la Lituanie. Nommé par ses pairs, Faisal Trad obtient un rôle loin d’être seulement honorifique : "En tant que chef d'un groupe de cinq diplomates puissants, le rôle influent donnera à Mr Trad le pouvoir de sélectionner les candidats du monde entier pour plusieurs missions d'experts", rapporte le quotidien britannique The Independent.

[...]

Selon l’ONG UN Watch, la promotion de Faisal Trad était dans les tiroirs depuis le mois de juin. Le délai avant son officialisation s’expliquerait par son caractère polémique, assure l’UN Watch : "L’Arabie Saoudite détient les plus mauvais records du monde en matière de liberté religieuse, de droits des femmes, et continue à emprisonner des innocents comme le blogueur Raif Badawi."

[...]

Interrogé vendredi à propos d’un récent rapport de l’ONU sur la peine de mort, Faisal Trad est quant à lui resté droit dans ses bottes. "Il nous semble impératif de préserver les droits des victimes au moment où des voix s’élèvent pour abroger la peine de mort au prétexte de prendre en compte les droits des coupables." En clair : les exécutions ont encore de beaux jours devant elle dans la monarchie sunnite. »

Je ne veux plus vivre dans ce monde... :'(((( C'est répugnant, c'est immoral, c'est scandaleux, c'est... le monde actuel... Rien ne changera jamais :'((


ÉDIT DU 23/09 à 11h30 : Certes, le comité présidé par l'Arabie saoudite est consultatif, le dernier mot revient au président du Conseil des droits de l'Homme qui est un Allemand actuellement. Ho bah c'pas si grave alors, ça vaaaaaaaaa ?! Si.
    * C'est de la symbolique, comme d'avoir accepté l'Arabie saoudite en tant que membre du Conseil des droits de l'Homme en 2013. Après j'suis sûr que des gens de bonne foi diront "non mais c'est pour leur montrer la voie à suivre, dialoguer avec eux jusqu'au bout"... Mon cul, ouais ! C'est juste du business.

    * C'est une porte ouverte. Très peu d'acteurs ont commencé leur carrière par le premier rôle dans un blockbuster. La présidence du Conseil doit être renouvellée d'ici la fin de l'année... et l'Arabie saoudite a déjà posé sa candidature au printemps dernier et l'a retiré vu que ça avait fait jaser. Ha et évidemment, pour ce tour-ci, c'est au groupe asiatique (dont fait partie l'Arabie Saoudite) de proposer un pays candidat, comme par hasard !

    * Ce comité consultatif va quand même choisir les experts qui seront diligentés sur des thématiques précises et dont les rapports serviront au Conseil pour émettre ses recommandations en séance plénière... Ce n'est pas rien. Il n'y a qu'à voir au Parlement français à quel point la séance plénière est inutile et ne sert qu'à confirmer le travail fait en amont (dans les commissions et dans les ministères) ! Pour moi, le titre de France TV n'est pas exagéré : l'Arabie saoudite prend vraiment la tête d'un comité *stratégique* du Conseil des droits de l'Homme de l'ONU.
FIN DE L'ÉDIT

« La musique et la diplomatie sont étroitement liées au sein des relations internationales. Les diplomates se réunissent autour d’événements musicaux et les musiciens sont au service de la diplomatie. Quelle que soit l'unité politique considérée (Cités-états, empires, États-nations), la musique est une composante de la diplomatie, de ses cérémonies et de ses stratégies. Il existe un nouvel intérêt pour cette dimension de la réalité internationale en Histoire (Fléchet & Marès, Gienow - Hecht), Musicologie (Ahrendt et al., Fosler-Lussier), et pour les relations internationales elles-mêmes (Dillon, Bleiker, Street) au-delà des tournants esthétique et culturels qui ont marqué ces disciplines.

[...]

- Évolution des pratiques diplomatiques liées à la musique. Peut-on identifier les tournants importants des créations et usages de la musique comme une ressource diplomatique pour les différents états? La formation des diplomates repose-t-elle sur une prise de conscience des pratiques musicales ?

[...]

- Les objectifs des diplomaties musicales. Dans le domaine de la musique, la coopération présente-t-elle, par exemple, des caractéristiques spécifiques qui sont plus favorables aux négociations multilatérales qu’aux négociations bilatérales? »

Ça envoie tellement de rêve... Je perds espoir en l'humanité...

Via https://twitter.com/bortzmeyer/status/645870886445285376

« Il devrait avoir le sourire, Constantin Petcou. Son Agrocité, un lieu d’agriculture urbaine expérimentale installé à Colombes, en banlieue parisienne, est célébrée dans le monde entier. Des experts viennent d’Australie et de Hong-Kong pour l’étudier. Il a eu droit à un séminaire à Harvard. Si on rassemblait tout ce qui a été écrit sur lui dans les revues d’architecture, d’urbanisme ou d’ESS, ça ferait un vrai manuel de ville en transition.

Mais voilà. Sur sa table, un courrier de la mairie, propriétaire du terrain, qui lui demande d’aller planter ailleurs ses salades et ses expériences écolo. Parce qu’elle veut y mettre… un parking provisoire, madame le maire. De l’asphalte à la place d’un maraichage ? Voilà un sacré rappel au réel, à quelques semaines de la COP 21. Laquelle se tiendra à quelques kilomètres de là, soit dit en passant. On mesure la distance.

[...]

Tout a (bien) commencé en 2011. Le maire de la ville (celui d’avant : ceci explique-t-il cela ?) confie un terrain municipal en friche à l’Atelier d’Architecture Autogéré (AAA) [...] Leurs premières expériences de tiers lieux associatifs à Paris ont bien marché, leur réputation est bonne et ils viennent de gagner une (grosse) bourse européenne pour mener un projet urbain écolo. Là, dans un quartier très populaire du nord de Colombes, l’équipe d’AAA a dessiné et fait construire l’Agrocité, superbe bâtiment en bois qui est à la fois hangar, cuisine collective, séchoir à graines, lieu de distribution pour l’Amap du coin, salle d’expo et de débats.

C’est aussi un laboratoire écolo avec chauffage au compost, unité de phytoépuration, ferme à lombrics… Il y a aussi les 3.000 mètres carrés de maraichage répartis entre jardins partagés, plantations expérimentales et production dédiée à la vente – pour payer les charges. Plus le poulailler et les ruches. Et sans oublier l’atelier de recyclage, à quelques centaines de mètres de là. Un sacré dispositif !

Surtout, ne dites pas à Constantin qu’ils ont construit une ferme urbaine modèle. Sa réponse est toute prête, elle fuse. « Notre objectif, ce n’est pas de produire des tomates mais du lien social et de l’éducation. Le métier d’agriculteur urbain, c’est un mixte entre production alimentaire et animation sociale. » Et ça se vérifie ! Plus de quarante familles y viennent biner. Des universitaires et des experts de haut niveau y partagent régulièrement leur savoir. Une association donne des cours de compostage hebdomadaires. Des grands-mères du quartier, mais pas seulement, préparent chaque jeudi un repas partagé. Bref, c’est un lieu de vie.

En revanche, il est intarissable sur la crise qui vient. « Tous les problèmes environnementaux proviennent de notre mode de vie. Nous utilisons trop d’eau, trop d’énergie. Nous produisons trop de déchets, trop de gâchis. Ce n’est pas soutenable. Le problème c’est que l’écologie fait peur aux gens parce qu’ils pensent qu’ils doivent abandonner leur vie pour moins bien. Du coup ils disent que c’est un truc de bobos, que ce n’est pas pour eux.

Et son maitre mot est « résilience », c’est-à-dire la capacité à encaisser les chocs à venir, qui pour lui seront aussi bien sociaux qu’environnementaux. Il pense que l’Etat Providence est en bout de course et que les caisses de l’Etat sont vides. Que la crise environnementale ce n’est pas de la politique fiction. Bref, qu’il va nous falloir apprendre à nous débrouiller autrement, « au ras du sol », avec les moyens de chacun et de chaque collectivité. A viser l’autonomie et le circuit court. En l’écoutant, on repense au repas partagé dans la bonne humeur, il y a quelques semaines, avec des habitants du coin qui avaient cuisiné leurs propres légumes. On repense aussi à la lettre du maire, et on soupire.

Heureusement, le modèle mis en place ici, à Colombes, fait des petits. Un partenaire est en train de dupliquer l’expérience à Londres. Des berlinois sont dans le coup. Et les AAA ont signé un contrat de trois ans avec l’ADEME pour essaimer en Ile-de-France. L’expérience sera probablement lancée à Bagneux, autre petite ville des Hauts-de-Seine. Il a aussi un projet d’immeuble écolo et collaboratif à Paris, avec la Nef, SOS, Etic, REI, Le6B, EcoDesign Lab, Etamine, Biocoop, Enercoop, Terre de liens, MIT et bien d’autres.

[...]

Décidément, ce n’est pas tous les jours facile de faire avancer le monde… »

Gros +1 ... Encore une démonstration qu'il ne suffit pas de faire/make quelque chose pour que ça s'impose sans douleur et sans lutte (par opposition à ça : http://shaarli.guiguishow.info/?b3DQ9Q) pour la simple raison que le Système n'attend pas le changement, bien au contraire.

Via http://korben.info/news/colombes-de-lasphalte-sur-les-salades

La zone est configurée pour être mise à jour de manière automatique (« allow-update {}; »). Il faut forcer BIND à geler la zone ce qui lui permet d'écrire le contenu dynamique sur le disque puis modifier ce que vous voulez puis reload la zone puis dégeler la zone :

  * rndc freeze <nom_zone>

  * Faire vos modifications

  * rndc reload <nom_zone>

  * rndc thaw <nom_zone>

Évidemment, pour que le freeze puisse se faire, il faut que BIND ait la permission d'écriture sur le répertoire qui stocke la zone concernée.

Non, pas grand'chose change, c'est juste un déport sur les opérateurs de réseaux de communication, comme en France. La NSA adressera ses demandes d'accès à la FISC (Foreign Intelligence Surveillance Court), tribunal secret qui, même quand ses membres grognent gentiment contre les demandes de la NSA, ils ne les refusent pas... On peut toujours espérer des mandats plus restrictifs... Voir http://shaarli.guiguishow.info/?naWAZw