GuiGui's Show

« As the previously announced transition to SHA-256 certificates is nearing completion, we are planning the next changes to Google’s TLS configuration. As part of those changes, we expect to disable support for SSLv3 and RC4 in the medium term.

SSLv3 has been obsolete for over 16 years and is so full of known problems that the IETF has decided that it must no longer be used. RC4 is a 28 year old cipher that has done remarkably well, but is now the subject of multiple attacks at security conferences. The IETF has decided that RC4 also warrants a statement that it too must no longer be used.

Because of these issues we expect to disable both SSLv3 and RC4 support at Google’s frontend servers and, over time, across our products in general, including Chrome, Android, our webcrawlers and our SMTP servers. (Indeed, SSLv3 support has already been removed from Chrome.) The SSL Pulse survey of the top 200,000 HTTPS sites finds that, already, 42% of sites have disabled RC4 and 65% of sites have disabled SSLv3. »

BOOOM :)

Via https://twitter.com/aeris22/status/644788250767396864

« Ce petit guide édité par le gouvernement promeut une vision très rétrograde des rapports femmes-hommes.

L'ouvrage est rempli d’enseignements qui semblent sortis d’une autre époque. On y apprend, par exemple, que "des viols peuvent avoir lieu quand un homme dépense beaucoup d’argent pour un rendez-vous, car il est naturel pour lui d’exiger une contrepartie de la femme". Il explique aussi que "le désir sexuel masculin peut naturellement s’exprimer à tout moment et à tout endroit", et donc qu’il faut donc éviter que "deux [jeunes] du sexe opposé se retrouvent seuls". Cela paraît à peine croyable, mais c'est bien le ministère de l'Education qui a publié cet ouvrage misogyne. Sa rédaction a pris deux ans, et coûté près d'un demi million d'euros. »

J-O-I-E :(

Via https://suumitsu.eu/links/?iBPzWQ

« Bitcoin est spécialisé : on ne peut s'en servir que pour la monnaie. Si on veut, par exemple, enregistrer des noms et non pas échanger de l'argent, il faut copier le code de Bitcoin (il est libre), faire des modifications et créer sa propre infrastructure (sa blockchain à soi, ses mineurs, ses explorateurs de blockchain, etc). Ce choix n'est pas un oubli ou une erreur des concepteurs de Bitcoin : c'est parce que faire un système équivalent, mais généraliste, est non trivial, notamment du point de vue de la sécurité.

Ethereum reprend plusieurs concepts importants de Bitcoin, notamment la blockchain et la preuve de travail (il n'est donc pas plus écologiste que Bitcoin). Mais le code est radicalement différent, réécrit de zéro (contrairement à la plupart des alt coins). Il existe en outre plusieurs implémentations, avec une spécification commune (contrairement à Bitcoin où le code est la spécification, le papier original de Sakamoto ne descendant pas dans les détails). Mais le gros changement par rapport à Bitcoin est que les transactions stockées dans la blockchain ne sont pas limitées à envoyer et recevoir de l'argent. Ethereum dispose d'un quasi-langage de Turing et est donc un système de calcul réparti : les pairs dans le réseau Ethereum ne se contentent pas de vérifier l'intégrité de la blockchain et d'ajouter de la monnaie, ils exécutent du code arbitraire, celui des applications que vous ou moi développons et envoyons sur le réseau.

Cela permet d'écrire des contrats (appelés, dans le style marketing fréquent dans le monde Ethereum, des smart contracts) qui sont la description, dans un langage de programmation, des règles qui s'imposent aux parties contractantes. Un prêt d'argent, par exemple, peut se programmer dans un contrat et s'exécuter automatiquement, sans intervention humaine, et donc sans possibilité de triche.

[...]

Ces contrats sont la nouveauté importante d'Ethereum. Comme leur exécution peut potentiellement consommer des ressources importantes (imaginez une boucle sans fin dans un contrat...), il faut payer pour leur exécution, ce qu'Ethereum nomme l'essence (gas). Cette essence est payée avec la monnaie de base d'Ethereum, l'ether. [...] Si vous tombez à court d'essence, l'application s'arrête. C'est cette limite qui fait qu'Ethereum n'est pas une vraie machine de Turing : celle-ci a des ressources infinies.

[...]

D'abord, un sérieux avertissement, Ethereum est encore vraiment expérimental. Le premier bloc de la blockchain, la genèse, n'a été générée que fin juillet 2015. Le code ne marche pas toujours, les compétences humaines sont encore rares et, surtout, tout évolue vite et les documentations qu'on trouve en ligne sont presque toujours fausses ou dépassées (ou les deux à la fois). Contrairement à Bitcoin, on n'est donc pas encore en production.

[...]

La commande getBalance indiquait mon niveau de pauvreté. Aucun ether disponible. Je pourrais en miner en faisant tourner mon CPU (et donc mes ventilateurs) à fond mais j'ai préféré en acheter des tout faits, chez Kraken où on peut désormais acheter et vendre des ethers. Menu Trade / New order, j'ai acheté deux ethers. Attention, les interfaces Ethereum comptent parfois en ethers mais parfois aussi dans leurs subdivisions, portant des noms pittoresque comme « szabo » (un millionième d'ether) ou « lovelace » (un millionième de milliardième d'ether). Une fois mes ethers obtenus, je les envoie depuis Kraken vers mon compte, en indiquant l'adresse de celui-ci (menu Funding / Withdraw). Attention, si vous utilisez Kraken pour d'autres monnaies que l'ether, la fonction permettant d'enregistrer une adresse est par compte Kraken et pas par monnaie. Si vous avez enregistré une adresse Bitcoin sous le nom « Maison », vous ne pourrez pas nommer l'adresse Ethereum de la même façon (« duplicate withdrawal information » est le peu utile message d'erreur de Kraken).

[...]

Mais la vraie puissance d'Ethereum n'est pas là. Elle est dans les contrats. Ceux-ci sont des programmes exécutés par la machine Ethereum. Celle-ci exécute un langage machine nommé EVM. Il est de trop bas niveau pour le programmeur normal, qui écrit en général ses contrats dans un langage de plus haut niveau qu'il compilera. Le plus répandu de ces langages est Solidity (qui ressemble à JavaScript) mais on trouve aussi Serpent (inspiré de Python) ou LLL (dont la syntaxe ressemble à Lisp mais qui est en fait un langage de bas niveau, très proche du langage machine, Serpent peut d'ailleurs produire du LLL). »

Je reboot ma machine... J'ouvre mon Thunderbird... Plus tard, j'envoie un mail signé mais Enigmail ne me demande pas la passphrase de ma clé... Bizarre...

Je tente un « Enigmail ->  Oublier la phrase secrète ». Surprise : « Vous utilisez gpg-agent pour la gestion de la phrase secrète. L'effacement de la phrase secrète n'est donc pas possible depuis Enigmail. ».

Pourtant pas de gpg-agent en cours d'exécution... « Some versions of Gnome Keyring hijack the connection to GPG Agent (they intercept all the communication between gpg or gpgsm and gpg-agent) by setting the GPG_AGENT_INFO environment variable to point to the Gnome Keyring process. Gnome Keyring then filters all communication with gpg-agent. »

$ echo $GPG_AGENT_INFO
/home/glucas/.cache/keyring-WWcstN/gpg:0:1

...

apt-get install seahorse et, en effet, la passphrase secrète de ma clé GPG est bien stockée dans le trousseau "login" de gnome-keyring :- Évidemment, on supprime ça tout de suite.

Il reste un problème : je n'ai jamais demandé ce comportement ! Hé bah en fait si : lorsqu'Enigmail demande la passphrase, la case « Déverrouiller automatiquement cette clé lorsque je suis connecté » est cochée par défaut... Donc ajout au trousseau « login » de gnome-keyring... Quand cette case est décochée, la passphrase est conservée le temps de la session. J-O-I-E.

«  B3. Why can't I mount more than 255 NFS file systems on my client? Why is it sometimes even less than 255?

    A. On Linux, each mounted file system is assigned a major number, which indicates what file system type it is (eg. ext3, nfs, isofs); and a minor number, which makes it unique among the file systems of the same type. In kernels prior to 2.6, Linux major and minor numbers have only 8 bits, so they may range numerically from zero to 255. Because a minor number has only 8 bits, a system can mount only 255 file systems of the same type. So a system can mount up to 255 NFS file systems, another 255 ext3 file system, 255 more iosfs file systems, and so on. Kernels after 2.6 have 20-bit wide minor numbers, which alleviate this restriction. »

http://www.makelinux.net/ldd3/chp-3-sect-2 :
« Within the kernel, the dev_t type (defined in <linux/types.h>) is used to hold device numbers—both the major and minor parts. As of Version 2.6.0 of the kernel, dev_t is a 32-bit quantity with 12 bits set aside for the major number and 20 for the minor number. Your code should, of course, never make any assumptions about the internal organization of device numbers; it should, instead, make use of a set of macros found in <linux/kdev_t.h>. »

« Le coût des services de transit IP a poursuivi sa chute en 2015. Les prix des connexions sur ports 10 Gbit/s Ethernet (10 GE) ont décliné de 22% en moyenne pour la seule année 2014 et de 14% annuellement entre 2012 et 2015 (premier semestre). « Malgré une baisse généralisée, des écarts de prix importants persistent entre les principaux centres de trafic Internet et les marchés les plus reculées », précise néanmoins TeleGeography qui s’appuie sur ses observations effectuées à partir des tarifs d’une soixante d’opérateurs répartis sur une centaine de villes en Europe, Amérique du Nord et du Sud et en Asie.

Ainsi, il vaut mieux faire transiter son trafic à Londres qu’à Sydney. Le coût mensuel moyen d’utilisation d’une liaison 10 GE y est tombé à 1 dollar par mois par Mbit/s au deuxième trimestre 2015. Soit une baisse annuelle de 16% pour le hub qui assure les liaisons internationales pour l’Europe, l’Afrique et une partie de l’Asie. L’un des plus bas coûts du marché mondial. A l’autre extrême, le même service est facturé 18 dollars en moyenne dans la capitale australienne. Plus cher qu’à Sao Polo au Brésil (16 dollars). Entre les deux, l’Asie limite les frais avec des prix moyens de 4 dollars mensuel le Mbit/s que l’on trouve à Singapour.

TeleGeography explique ces disparités par les coûts de transport du trafic selon les régions. Celles qui restent largement dépendantes des liens passant par l’Europe ou les Etats-Unis pour accéder aux liaisons internationales sont les plus pénalisées. Ainsi, l’essentiel du transit Internet international de Sao Polo s’effectue via… Miami. Tout comme celui de Sydney qui dépend de Los Angeles. Résultat, les prix des services de transit dans ces villes n’ont reculé respectivement que de 5 et 10% annuellement depuis 2012. »

Ça s'explique aussi par la migration sur des liens 100G donc des commit plus importants...

:D

« The next thing the Trojan does is copy the users’ hosts file and add a couple of lines at the top.

It then stores this altered copy in a different location, making sure that the length of the string showing the location inside the system32 folder is 18, exactly the same as the length of “\drivers\etc\hosts”. In my removal guide it was “\idhk\jec\ivot.dat” but “\spp\store\hst.dat” was another one we found often, which seemed convenient as that is placed in an existing folder.

Why is the length of the string important? Well, that is to facilitate the next part of this scheme. The Trojan then replaces your dnsapi.dll files (all of them) with a patched copy. The size of that copy will be the same as the original because of the identical length of the string.
This patched copy points to the altered hosts file, making the hijack complete. »

Excellent :o

« Dans la décision qu'il a rendu fin juillet sur la loi sur le renseignement, le Conseil constitutionnel a censuré très peu de choses. Mais dans ce peu de choses, il y a l'article qui organisait la surveillance des communications émises ou reçues depuis l'étranger. Le motif de la censure est exposé assez clairement : la loi ne dit pas quels contrôles existent avant une interception, ni combien de temps sont conservées les données interceptées, alors que pour le reste (la surveillance généralisée du bon peuple de France) la loi donne ces informations.

Ça peut ne pas être clair pour les gens qui ne mangent pas du droit à tous les repas. Ça dit que ces informations doivent être précisées dans la loi. Pas dans le décret d'application, pas dans une note de service, pas dans une circulaire interne, mais dans la loi. C'est le pouvoir législatif qui doit dire dans quelles conditions les services secrets peuvent espionner qui, pour quelle raison, etc.

Juste pour mémoire, une loi, c'est voté par le parlement, qui détient le pouvoir législatif. Quand le parlement ne veut pas rentrer dans trop de détails, la loi dit un truc comme "un décret précise les conditions d'application du présent article". Un décret, c'est un peu comme le règlement intérieur d'une association, ça fixe les détails. C'est fait par le gouvernement, sans passer par le parlement. C'est modifiable par le gouvernement, n'importe quand. Et ça oblige : les citoyens et l'administration doivent faire ce qui est prévu par le décret.

Les décrets sont normalement publiés au Journal Officiel. Ils constituent par exemple la deuxième partie de tous les codes, la partie règlementaire. Les article Lxxx sont les articles de la loi, les articles Rxxx sont les articles des décrets pris devant le Conseil d'État (règlementaires), et les articles Dxxx sont les articles des décrets simples, que le gouvernement ne fait même pas relire par le Conseil d'État.

Un décret, ça dit ce que l'administration peu faire, comment elle s'organise, ça dit également ce que les citoyens doivent faire. Le décret qui dit ce que la DGSE a le droit d'espionner, pourquoi est-il secret ? Pour que les affreux étrangers qui veulent nous envahir ne sachent pas ce qu'on écoute ? Foutaise, ils le savent très bien, et s'ils ne le savent pas ils s'en doutent, ils font pareil comme espionnage. Mais, en quoi est-ce secret, de savoir que la DGSE est autorisée à écouter tous les câbles sous-marins qui arrivent en France ? Tout le monde le sait. C'est peut-être illégal, d'accord. Mais secret ?

Le concept même de décret secret est étrange. Comme une loi secrète, une loi que personne ne connait, mais qu'une police secrète fait appliquer... Comment voulez-vous vous en protéger ? Comment se défendre face au tribunal ? Il est admis par toutes les cours qu'une loi secrète, c'est contraire à la notion d'État de droit. Il nous semble que la notion de décret secret, c'est sensiblement la même chose.

[...]

La loi de 1991 ne parle que des écoutes téléphoniques en France. Comme les gens de la DGSE ne sont pas payés à faire des cocotes en papier, ils doivent bien s'occuper un peu, et dans leurs outils, il y a nécessairement de l'interception de communications internationales. Elle seraient donc, d'après les déclarations des défenseurs de la loi, organisées par un décret secret.

Il se trouve que, quelque semaines avant que le Conseil constitutionnel ne rende sa réponse, l'Obs publiait un article expliquant que cette surveillance des communications internationales est régie par un décret secret qui date d'avril 2008.

La conclusion est évidente : ce décret est contraire à la constitution, puisqu'il dit des choses que seule une loi peut dire (c'est un excès de pouvoir).

[...]

En toute logique, le gouvernement, soucieux de respecter les libertés individuelles, et très attaché à notre constitution, aurait du abroger ce décret pris en excès de pouvoir dans les jours suivant la décision du Conseil constitutionnel. Ce n'est manifestement pas le cas.

Il reste donc que la surveillance internationale existe, qu'elle existe de manière illégale[1]. Que la loi sur le sujet ne lui donne pas de base légale, puisque l'article qui en parlait a été censuré par le Conseil constitutionnel. Et que manifestement, tout va continuer tranquillement... Illégalement.

Et pourtant, tout ça parle des communications "émises ou reçues" de l'étranger. Quand vous discutez en message privé sur twitter, ou dans le chat de Facebook, même si votre interlocuteur est dans la pièce à côté, tout ça transite par les États-Unis à un moment ou à un autre. On organise donc, sans contrôle, et en toute illégalité, la surveillance de pans entiers des communications électroniques de tout le monde. Peinard.

[...]

Mais voilà, comment attaquer un décret secret... C'est que déjà, on ne peut même pas désigner le décret lui-même, nous ne connaissons pas son titre exact, ni son numéro. Il n'a peut-être même pas de numéro[2]. Pour attaquer une décision de l'administration, il faut envoyer le texte de la décision qu'on attaque, pour que le juge se fasse une opinion. Sauf que là, le texte est secret, comment peut-on le transmettre au juge ?

Seul point vraiment positif, le délai de procédure. On peut attaquer une décision dans les deux mois qui suivent sa publication. Dans la mesure où le décret n'a pas encore été publié, les deux mois ne sont pas révolus ! Magique.

Il y a des précédents, mais pas nombreux, de décrets non-publiés et qui ont été contestés. L'équipe de Me Spinosi, qui bosse sur ce dossier avec nous, a trouvé quelques morceaux de jurisprudence qui peuvent nous servir de base. En gros, l'idée est que c'est le travail du Conseil d'État de s'assurer que le décret existe, de trouver sa référence exacte, et de contrôler la légalité du texte, sans pour autant nous communiquer le texte en question.

[...]

Attaquer le décret qui organise ça peut sembler stérile, quand on y réfléchit un petit peu. Il est peu probable que le Conseil d'État renvoie au chômage technique tous les fonctionnaires de la DGSE et fasse fermer tout l'espionnage français. Donc l'affaire va trainer, le temps que le gouvernement fasse voter la loi dont il a besoin, et à la fin, la loi étant votée, le décret illégal sera abrogé, faisant tomber notre recours.

Même si on veut accélérer le mouvement en attaquant en référé, ce qui est notre cas, il est possible que le Conseil d'État nous dise qu'il n'y a pas d'urgence à statuer puisque le décret existe depuis 2008. Et laisse ainsi une porte de sortie honorable au gouvernement.

Il n'empêche. Nous voulions que le gouvernement bouge sur le sujet. L'article de l'Obs, qui nous révélait l’existence du décret date du 1er juillet. Symboliquement, nous voulions donc déposer notre recours dans les deux mois après la publication de cet article. Le recours a donc été transmis lundi dernier, 31 août.

Et curieusement, aujourd'hui, le 2 septembre, le gouvernement nous informe qu'une proposition de loi sur le sujet va être déposée par un gentil député, et que le gouvernement lui fera une place dans l'agenda parlementaire. Efficace, non ?

Bon, on peut trouver curieux que l'exécutif nous annonce, dans le compte rendu du conseil des ministres, ce que les députés, au garde à vous, vont avoir envie d'écrire et de déposer comme texte d'ici la fin du mois de septembre. Mais tout le monde sait que le texte en question sera rédigé au ministère, puis transmis au député qui y apposera sa signature avant de déposer le texte à l'Assemblée. Un certain Jean-Jacques Urvoas, par exemple ? Si le gouvernement avait voulu déposer lui-même le texte, ce qu'il a tout à fait le droit de faire, il aurait fallu qu'il produise divers documents, dont une étude d'impact, expliquant les conséquences du texte. C'est bien pratique de pouvoir s'en passer.

[...]

Et donc l'équipe des exégètes amateurs[3] a travaillé, avec le cabinet Spinosi et Sureau sur un recours au fond[4] et sur un recours en référé-suspension[5]. Pour lancer un référé, il faut qu'il existe un recours au fond. [...] Conformément à nos habitudes, le texte du recours au fond et le texte du recours en référé sont en ligne. »

Oui, vous et vos putains de one-liner parfois sans ponctuation. Que ça soit par mail, par XMPP, par... vous ne savez pas écrire... Je ne parle même pas d'argumenter, de participer à un débat construit ni même de l'objectif 0 faute de frappe/orthographe/grammaire. Non, je parle juste de communiquer, de transmettre vos pensées, vos souhaits, vos contraintes, vos exigences, votre ressenti, votre grille tarifaire,...

Y'a de tout : des commerciaux et des techniciens de grandes sociétés informatiques, des assos, des élus locaux ou nationaux, des particuliers,... aucune personne, groupe de personnes ou profession n'est épargné. C'est un mal généralisé.

Par contre, fait "bizarre" dans le cas des commerciaux et des techniciens de grandes sociétés informatiques : je remarque que quand je vous écris depuis le boulot qui est un de vos gros clients (je parle de centaines de k€/mois), là vous savez répondre vite, bien et bien écrit. Quand je vous écris en tant que membre d'une asso (on parle donc de 500€/mois), je me prends un one-liner bullshit. Comme c'est biiiiizaaaaaaaarre. :))))))))

AFK, vous ne vous permettriez JAMAIS de vous comporter comme ça ! JAMAIS ! Vous ne laisseriez pas votre interlocuteur faire des efforts de compréhension de malade pour tenter de piger ce que vous avez bien voulu dire.

Les gens ne savent pas communiquer à l'écrit, c'est un fait. Il n'ont pas envie de se faire chier même pour transmettre le minimum d'informations. Ils préférent envoyer un gloubi-boulga minimaliste en espérant que ça passe, que l'autre fasse l'effort de les comprendre plutôt que d'envoyer la version complète tout de suite. C'est potentiellement perdre plusieurs minutes alors qu'il vous aurait fallut moins de temps pour écrire directement la version complète... C'est totalement insensé...

C'est la source de quiproquos stupides et d'incompréhensions mutuelles desquels découlent souvent des gueguerres de personnes et de structures. Notamment dans l'associatif. C'est totalement insensé...

Le temps des débats d'idées structurés et argumentés par écrit en public, c'est comme IPv6, c'est pour demain, clairement.

J'envisage très sérieusement d'ignorer de manière automatique (/ignore sur IRC, filtre sieve pour mes mails) les gens que ne font aucun effort de communication. À moment donné, ce n'est plus possible, j'ai autre chose à faire et une communication doit être partagée/réciproque !