GuiGui's Show

« J'avais besoin d'une implémentation de "sendmail" simple, qui ne prenne pas un port, et ne demande pas de configuration autre qu'un relais à utiliser. Je me suis rappelé avoir vu passer "ssmtp", un petit MTA de rien du tout fait justement pour ça. Nickel si on a par exemple un conteneur mail tout bien configuré et qu'on veut permettre à d'autres conteneurs de sortir sans gérer d'autre serveur de mail. »

Excellent. \o/

Via http://home.michalon.eu/shaarli/?Ty3P9Q

Tu veux écrire la date de la prise de vue en texte sur la photo elle-même à partir des données exif, sur un lot de photos ? En haut à gauche, en rouge et en 72 points ? Pas de problèmes : mogrify -gravity NorthWest -pointsize 72 -fill red -annotate 0 "%[EXIF:DateTimeOriginal]" *.JPG

Tu veux pas que le texte soit en haut à gauche mais un peu plus bas ? Aucun problème, suffit de changer l'argument passer à "-annotate" : mogrify -gravity NorthWest -pointsize 72 -fill red -annotate 0x0+10+300 "%[EXIF:DateTimeOriginal]" *.JPG

Pour la liste des champs/tags exif : http://www.exiv2.org/tags.html

Imagemagick < 3

Merci à b4n pour sa lecture guidée du man : « "Mogrify overwrites the original image file, whereas, convert(1) writes to a different image file." -- signé, le man ». Donc des boucles for avec des convert dedans qui ont pour seul but de récupérer le nom original du fichier pour demander à convert de l'écraser, c'est mal...

« Sale temps pour la liberté d'expression sur Internet. Alors qu'après avoir obtenu la «  jurisprudence Dieudonné  » l'an dernier1, le gouvernement français vient de consacrer le retour de la censure administrative en droit français avec le décret sur le blocage de sites Internet2  ; alors que le passage du délit d'apologie du terrorisme dans le code pénal décidé par le Parlement à l'automne se traduit par des dizaines de condamnations totalement disproportionnées à des peines de prison ferme3 ; alors que le secret des affaires reste à l'agenda européen4 tandis que la protection des sources piétine au niveau national, une nouvelle menace se fait jour : le dévoiement de la loi Godfrain du 5 janvier 1988 relative à la fraude informatique. Plusieurs évolutions récentes, dont un arrêt de la Cour de cassation rendu le 20 mai dernier, montrent en effet que cette loi, depuis intégrée aux articles 323-1 à 323-7 du code pénal, pourrait bien devenir le nouvel ami des censeurs.

[...]

Affaire Bluetouff : du délit de maintien dans l'espace public à des fins journalistiques

L'affaire Rachida Dati : l'exploitation d'une faille de sécurité à des fins parodiques n'est pas du goût des juges
Avoir respectivement édité et hébergé le site Tweetpop.fr, qui parodiait le site officiel de l'élue pour permettre aux internautes de rédiger de faux communiqués de presse. N'importe qui pouvait ainsi proposer un texte destiné à être injecté sur le site officiel de Rachida Dati. À travers une banale faille de sécurité dite XSS, il était en effet possible d'afficher sur ce dernier n'importe quel texte inséré dans l'URL.

[...]

L'affaire Greenrights : manifestation pacifique ou cyber- terrorisme ?

La troisième affaire concerne la mouvance « hacktiviste » Anonymous. En mars 2011, suite à l'accident nucléaire de Fukushima, des collectifs « Anons » souhaitent exprimer leur indignation face à l'industrie nucléaire. Pour ce faire, ils vont recourir à mode d'action politique qui revient sur le devant de la scène depuis quelques mois : les attaques distribuées par déni de service (DDoS, selon l'acronyme anglais). [...] Richard Stallman, fondateur du mouvement du logiciel libre, défend alors ces actions comme l'équivalent numérique de sit-ins et autres manifestations dans l'espace public15. [...] Après huit mois d'enquête, la DGSI procède en janvier 2012 à trois arrestations. Parmi eux, Pierrick Goujon, alias Triskel, 29 ans à l'époque, qui gère un site fournissant des liens passerelles vers des salons de discussion IRC, et dont l'adresse URL s'était retrouvée sur un tract Anonymous consacré à l'opération Greenrights. Son adresse IP a également été relevée sur les serveurs d'EDF au moment du DDoS.

[...]

À propos du préjudice estimé par EDF, il indique que « l’attaque était prévue pour ne pas endommager le serveur, pour que le site fonctionne de nouveau normalement à la fin du DDoS. Donc, il n’y a eu aucunes détériorations, pas de piratage, pas d’intrusions d’infrastructures ou autres, pas de divulgations de données sensibles. De plus, comme pour une grève, nous avions fait une vidéo pour prévenir EDF de la date et de l’heure de l’attaque ». Il rejette les accusations portées contre lui, pointant le caractère politique et légitime de l'action de DDoS : « Ce n’est en rien une entente en vue de commettre une infraction ou une manifestation dans le but de faire passer des idées n’a rien d’illégale ».

[...]

la procureure insiste et tente de présenter IRC – l'un des plus anciens protocoles de messagerie en ligne – comme un outil destiné à l'action politique clandestine : « On sait tous qu’IRC est très majoritairement utilisé pour définir des dates et des cibles. Dans ce dossier, c’est très clairement passé par ces canaux qui sont très peu faciles d’accès par le néophyte »

[ NDLR : c'est excellent ça : dénoncer le fait qu'IRC est difficile d'accès pour un néophyte tout en condamnant la mise à disposition de passerelles web accessibles au plus grand nombre... ]


Quel bilan peut-on tirer de ces trois affaires ?

Elles révèlent d'abord que la loi Godfrain peut s'appliquer à trois des fonctions démocratiques
essentielles de la liberté d'expression et d'information, à savoir : critiquer ceux qui exercent un mandat public et nous gouvernent, le cas échéant à distance des canons de la bienséance en se livrant à des exercices de carnavalisme politique moquant les puissants, avec des propos qui « heurtent, choquent ou inquiètent » selon l'expression consacrée de la Cour européenne des droits de l'Homme (affaire Rachida Dati) ; surveiller le pouvoir et porter à la connaissance du public des informations capables d'éclairer le débat démocratique (affaire Bluetouff)  ; protester, exprimer son opposition à une mesure ou des politiques (affaire Greenrights)19. Or, à chaque fois, les moyens engagés pour poursuivre les personnes concernées et l'acharnement du ministère public témoignent d'une absolue détermination dans la volonté des autorités de lutter contre les formes innovantes que peuvent prendre chacune de ces trois fonctions sur Internet. Le droit de la fraude informatique semble instrumentalisé dans des procès qui paraissent surdéterminés par l'enjeu politique au cœur de chacune de ces affaires.

[...]

La loi Godfrain permet ainsi à la répression d'expressions politiques de s'affranchir des règles protectrices des libertés publiques, ce dont témoigne l'absence quasi-totale de prise en compte des implications et exigences de la liberté d'expression et de manifestation par les magistrats dans ces affaires.

[...]

À cette explication politique de la sévérité de la réponse des autorités s'ajoutent des aspects proprement juridiques, qui conduisent à un traitement disproportionné lorsqu'ils sont appliqués à ces formes de participation politique. C'est le cas par exemple des spécificités procédurales du droit de la fraude informatique, et en particulier le rôle joué par les services de renseignement20.

[NDLR : L'ANSES est un opérateur d'importance vitale (OIV). De ce fait découle l'implication de la DGSI. Point. On peut être en désacord avec cela car ça permet à l'État de couvrir ses arrières et de dissimuler des informations au public mais on ne peut pas relever qu'il s'agit d'une spécificité procédurale... ]

[...]

Il y a ensuite l'échelle des peines, là encore disproportionnée. [...] Un DDoS ou la défiguration d'un site d'une entreprise comme EDF – par exemple pour afficher sur
la page d'accueil un placard revendicatif, également typique du répertoire d'action hacktiviste – sont punis bien plus sévèrement que leurs équivalents du monde physique. Ainsi, les tags ou graffitis non-autorisés sur la façade du siège social de l'entreprise auraient été punis au
maximum de 3750 € d'amende et d'un travail d'intérêt ou de deux ans d'emprisonnement et 30 000 euros d'amende, selon que les dommages occasionnés soient jugés légers ou importants. Le cyber-vandalisme du site edf.com, annoncé plusieurs jours à l'avance et qui eut pour effet principal de saturer temporairement le standard téléphonique, est quant à lui directement passible de cinq ans d'emprisonnement et de 75 000 euros d'amende.

[...]

Enfin, un troisième aspect joue un rôle fondamental dans l'application disproportionnée du droit pénal de la criminalité informatique : l’insuffisante maîtrise des questions techniques par nombre de magistrats.

[NDLR : NON, NON, NON et NON ! Les magistrats, tout comme les parlementaires n'ont pas à avoir une compétence technique forte pour délibérer ! C'est impossible d'avoir une compétence technique forte dans tous les domaines de toutes les affaires qu'ils ont à traiter ! Il y a des auxiliaires pour ça : les experts judiciaires pour les magistrats et les assistants parlementaires pour les parlementaires (oui, le conseil n'est pas leur rôle principal et de loin, mais en échangeant avec des parlementaires, on se rend bien compte qu'ils ont un assistant parlementaire qui s'occupe plutôt des questions qui tournent autour du numérique, un autre autour des questions de santé/climat,... et l'on perçoit qu'ils les aident à se construire opinion et argumentaire).

Deuxième point : la loi devrait-elle être écrite que par des gens qui connaissent bien le sujet ? Informaticiens pour informatique, santé par les médecins ou par les groupes pharma au détriment du patient ? Répression du banditisme par les seuls policiers au détriment des libertés ou par les bandits (après tout, ils connaissent bien le sujet, eux aussi) ? Les lois sur le financement de partis politiques par des experts fraudeurs du domaine ? Mêmes questions pour la justice. Non, ce qu'il faut, c'est de la culture générale et une méthodologie (remise en question, recherches, croisement des sources, analyse, méthodologie,...) comme l'école de la République est missionnée de l'apporter à tout citoyen. Dans le cas d'Internet, il faut comprendre ses caractéristiques premières (réseau dématérialisé mondial sans centre et sans chef) et ses effets sociétaux (horizontalité, difficile à censurer, liberté d'expression pour tous, reproduction à coût marginal nul,...), c'est tout !
Si ces pré-requis (culture générale et présence d'auxiliaires pour les points ultra-techniques) sont remplis, alors un système mélangeant plusieurs personnes (c'est le cas de notre parlement et des juges dans un procès) produira un résultat potable et surtout équilibré, àmha. ]

Malheureusement, les dérives illustrées par ces trois affaires ne sont que les manifestations d'une tendance plus générale. Dès l'apparition du répertoire d'action hacktiviste dans les années 1990, la tentation des États était grande de considérer ces formes d'action politique comme relevant du « cyber-terrorisme »24.

[...]

En janvier 2013, alors qu'Europol inaugurait son nouveau centre dédié à la lutte contre la cybercriminalité, le European Cybercrime Center, son directeur fraîchement nommé citait parmi les priorités du centre la lutte contre le «  cyberactivisme  » aux côtés des attaques informatiques étatiques et des activités terroristes. Dans les discours des décideurs, l'hacktivisme apparaît ainsi souvent comme une catégorie fourre-tout, mêlant toutes formes de criminalité informatique conduite à des fins politiques.

[...]

En fait, l'exagération de la menace semble avant tout destinée à justifier un traitement uniquement répressif de l'hacktivisme, et ce afin de l'exclure des formes de participation politique réputées légitimes.

[...]

En France, l'article 17 de la loi de novembre 2014 sur la lutte contre le terrorisme accentue également la portée répressive de la loi Godfrain. Les infractions prévues par cette dernière sont désormais susceptibles d'être reconnues comme étant commises « en bande organisée ». Cette réforme permet aux enquêteurs de mobiliser l'ensemble des procédures et moyens d'enquêtes propres à la lutte contre la criminalité organisée, et aux juges de prononcer des sanctions encore plus sévères. [...] les seuls actes récents susceptibles d'entrer dans le champ d'une telle disposition au moment de son adoption étaient les DDoS conduits par Anonymous dans l'opération Greenrights. Et de fait, en avril 2015, le Parquet a retenu la circonstance aggravante de faits commis «  en bande organisée  » contre deux militants se revendiquant de l'étiquette Anonymous. Ces derniers sont soupçonnés d'avoir pris part à des DDOS contre des sites institutionnels – ceux du conseil régional de Lorraine et de l'Agence nationale de gestion des déchets radioactifs – dans le cadre d'une campagne contre l'enfouissement des déchets nucléaires.28 »

Je me note quand même que le traitement des affaires présentées n'est pas différent des actions judiciaires qui ont eu lieu dans le passé pour faire taire / "pour casser" des opposants dérangeants sur lesquels on n'a aucune prise : tout était bon pour les faire tomber, même des prétextes débiles. Ces affaires ne sont que la manifestation à l'heure numérique d'un effritement entre ceux qui ont une forme de pouvoir pouvoir et ceux qui ne l'ont pas. Le seul moyen de lutter contre ça est une législation qui pose suffisamment de verrous. C'est d'ailleurs ce que réclame la Quadrature dans chacun de ses combats et qui la fait passer pour un groupe d'intégristes paranos alors que des textes forts et complets sont un pré-requis !

« Lsyncd watches a local directory trees event monitor interface (inotify or fsevents). It aggregates and combines events for a few seconds and then spawns one (or more) process(es) to synchronize the changes. By default this is rsync. Lsyncd is thus a light-weight live mirror solution that is comparatively easy to install not requiring new filesystems or blockdevices and does not hamper local filesystem performance. »

Pourquoi je n'ai toujours pas shaarlié ce soft depuis le temps ?!

En complément du RFC 7454 (voir https://www.bortzmeyer.org/7454.html), ce guide est vraiment intéressant. Quelques erreurs sur les préfixes réservés liés à des changements récents à signaler. J'en recommande la lecture aux FAI associatifs.

« « Le porno comme nouvelle source d’injonction« , combien de fois ai-je lu cette formule ces derniers jours. Oui, je le maintiens, le porno est source d’injonctions, au même titre que l’ensemble de notre environnement culturel. Si la publicité, le cinéma, les magazines, les clips, et autres, sont sources d’injonctions, je ne vois pas par quel miracle le porno pourrait passer au travers.

[...]

L’effet de ce déplacement de la norme, j’ai pu le constater durant toute la phase d’enquête de ce film, qui ne s’est évidemment pas limitée aux interviews de six personnes. J’ai par exemple assisté à une réunion de débriefing avec des intervenants en milieu scolaire qui m’ont fait part des questions les plus fréquemment posées. Énormément concernaient l’épilation intégrale, même chez les collégiens. Sans surprise également, des questions sur la fellation et la sodomie. Le reste concernait pêle-mêle les questions transgénérationnelles à propos de la perte de la virginité, l’amour, la contraception et la prévention. L’épilation intégrale est très symptomatique de cette affaire. Je me rappelle avoir lu ce cri du coeur d’une lycéenne de classe de seconde qui avait écrit sur un petit bout de papier glissé dans la boîte à chapeau des questions anonymes : « Mais est-ce que les garçons se rendent compte à quel point ça fait mal ?« . Ne me faites pas croire qu’à 15 ans on s’arrache les poils interfessiers par « choix ». Déjà qu’à 35 j’y crois moyen et je trouve cette notion, de « choix » bien souvent discutable, alors à 15 j’y crois encore moins.

[...]

Sauf que les choses ne sont pas aussi simples que cela et que les sources d’injonctions sont nombreuses. J’en veux pour exemple certains magazines actuellement en kiosque. Il y a quelques jours, j’ai feuilleté deux d’entre eux, totalement pris au hasard. L’un me demandait si en terme de sexe et d’amour j’étais suffisamment « ambitieuse ». L’autre me proposait « une libido au top ». « Ambitieuse », « au top », je me suis demandé si on parlait de cul ou d’une préparation à un entretien d’embauche.Pour revenir au film, il dénonce ce que l’on pourrait appeler un déplacement des normes en matière de sexualité et analyse leurs provenances. Et ces provenances sont multiples, le porno n’en constitue qu’une partie. Ortie le dit elle-même dans son entretien : affirmer que le porno est responsable de l’objectification des femmes est totalement hypocrite, il suffit d’allumer sa télé et de regarder autour de soi pour constater que cette objectification est omniprésente. Ce n’est pas le porno qui a amené le sexisme dans la société, c’est la société dans laquelle on évolue qui est à dominante sexiste et le porno n’en est que le reflet exacerbé. Le porno est à l’image de l’époque et de la culture dans lesquelles il évolue. Par exemple, le porno américain contemporain n’a strictement rien à voir avec le porno danois des années 70 ni avec le porno japonais. Le porno américain est à l’image de ce qu’est la culture américaine, c’est-à-dire inégalitaire dans ses représentations et avec une omniprésence du culte de la performance. »

Via http://seenthis.net/messages/390481

« L'informatique occupe une place de plus en plus importante dans les objets de la vie quotidienne, que ce soit du côté des montres, de l'électroménager ou encore des voitures. Un bug peut toujours arriver, mais peut aussi avoir de fâcheuses conséquences. Ford vient d'en faire les frais et le constructeur rappelle au garage plusieurs centaines de milliers de Focus, C-Max et Escape.

La raison ? Un bug informatique dans le module de contrôle central qui peut « laisser tourner le moteur après avoir tourné la clé de contact sur la position "off" et l'avoir retiré, ou bien après avoir appuyé sur le bouton Engine Start/Stop » suivant les cas. Ironie du sort, le fabricant ajoute que ce problème « est lié à la norme FMVSS 114 de protection contre le vol et l'immobilisation ». Ford avait déjà rappelé des véhicules fin 2014 à cause de cette même norme qui semble décidément poser bien des problèmes.

[...]

On rappellera que ce n'est pas la première fois que les voitures font parler d'elles pour des problèmes de sécurité. On se souviendra par exemple du cas de BMW et d'une faille de sécurité sur son système ConnectedDrive qui permettait à des pirates d'ouvrir la voiture à distance. La résolution du problème était plus simple puisque BMW avait alors déployé une mise à jour OTA (Over The Air). »

« Agenda chargé pour le Conseil constitutionnel. Le juge suprême finalise actuellement l’examen de conformité du projet de loi Renseignement. Dans sa foulée, il s’apprête aussi à trancher la question prioritaire de constitutionnalité soulevée par la Quadrature du Net, French Data Network et l’association FFDN. La cible ? Le cœur même de l’espionnage français.

[...]

L’importance de la loi sur le renseignement a été soulignée par Bernard Cazeneuve quelques heures après le meurtre en Isère. Hier, François Hollande a embrayé pour saluer les équipes de l’antiterrorisme, à l’occasion du traditionnel défilé du 14 juillet. Face à ces évènements, le Conseil constitutionnel a donc la rude tâche de mener un examen dépassionné du projet adopté le 24 juin. C’est donc d’ici le 24 juillet qu’il devra rendre sa décision très attendue.

Ce texte, ultra-sensible, a fait l’objet de trois saisines, toutes révélées dans nos colonnes : l’une signée par une centaine de parlementaires, une autre par le Président de la République et une dernière par le président du Sénat. Parallèlement, une pluie de mémoires ou « amicus curiae » a complété cette procédure.

De nombreux organisations, du syndicat de la magistrature à FDN, la Quadrature ou Amnesty International France, en passant par des avocats, des acteurs des nouvelles technologies ou le Conseil national du numérique, ont toutes dénoncé les risques de ce texte. Certes, le Conseil constitutionnel n’a pas l’obligation de tenir compte de leurs remarques, mais il ne pourra que difficilement esquiver les plus pertinentes d’entre-elles.

Cette hémorragie n’est pas terminée d’ailleurs. Dernier mémoire en date ? Celui de la French American Bar Association (FABA). Ce groupe de juristes qui réunit les barreaux français et américains vient d'exprimer dans un communiqué sa colère à l’égard du futur article L. 821-7 du texte. « Dans sa version finale, le texte exclut les avocats des techniques de renseignement controversées introduites par cette loi, à condition que l’avocat soit localisé sur le territoire national ».

[...]

Dans son communiqué, la FABA épingle également les saisines du Président de la République et celle du Sénat, considérées toutes les deux comme « blanches », c'est-à-dire sans que des problèmes spécifiques n’aient été soulevés à l’encontre de telle ou telle disposition.Le risque anticipé par ces professionnels du droit est celui d’un blocage des futures questions prioritaires de constitutionnalité visant la loi entrée en application. En effet, on ne peut pas « QPC-er » une disposition déjà examinée par le Conseil constitutionnel. Certes, le juge a une astuce pour éviter l’écueil, mais parce qu’un Conseil constitutionnel averti en vaut deux, Pierre Ciric, cosignataire du mémoire de la FABA, insiste : « Nous demandons au Conseil Constitutionnel de résoudre ce conflit entre les deux procédures, car le dépôt des saisines blanches par le Président du Sénat et par le Président de la République est en conflit direct avec le droit de nos membres de s’opposer à ce texte dans une future Question Prioritaire de Constitutionalité. »

Après la décision du Conseil constitutionnel sur le projet de loi Renseignement, un autre rendez-vous s’invitera dans l’agenda. C’est la réponse apportée par le même juge à la question prioritaire de constitutionnalité soulevée par la Quadrature du Net, FDN et FFDN. L’audience sera « streamée » le 21 juillet prochain à midi et la décision interviendra ensuite à la rentrée.

Cette procédure ne vise pas directement le projet de loi Renseignement mais la loi de programmation militaire (LPM) votée en 2013. Deux textes différents, donc, mais une seule et même veine. Comme expliqué lors de notre compte-rendu, la LPM autorise le renseignement à aspirer les « informations et documents » détenus par les acteurs du Net en vue de lutter contre le terrorisme mais aussi pour glaner des données fiscales ou liées à la Défense. Le tout récent projet de loi reprend lui aussi l’expression mais amplifie les finalités et les moyens d’exploitation de ce pétrole numérique (boîtes noires, sondes, etc.)

Seulement deux soucis agacent particulièrement la QDN, FDN et FFDN : d’une part, la loi ne donne pas de définition précise de cette expression. Elle la range certes dans la catégorie des données de connexion, mais sans que l’une et l’autre ne se confondent. Faute de précision rigoureuse, le législateur est du coup accusé de laisser trop d’amplitude au gouvernement, alors que sont en jeu des libertés et des droits fondamentaux qui relèvent de la pure compétence législative. »

« NAPALM (Network Automation and Programmability Abstraction Layer with Multivendor support) is python library that implements a set of functions to interact with different vendors using a unified API.

NAPALM supports several methods to connect to the devices, to manipulate configuration and to retrieve data.
Supported Network Operating Systems

    EOS - Using pyEOS. You need version 4.14.6M or superior.
    JunOS - Using junos-eznc
    IOS-XR - Using pyIOSXR
    FortiOS - Using pyFG

[...]

There is an ansible module provided by this API. Make sure you read the documentation and you understand how it works before trying to use it. »

Encore en développement actif et peu documenté. Dans un genre similaire mais usine à gaz, je connais Netmagis (http://shaarli.guiguishow.info/?_X1Qsw) pour Cisco (2950, 2960, 2970, 2750, 4500, Aironet) et Juniper (commutateurs gamme EX, routeurs gamme MX).

« Ces derniers jours, nous avons reçu de nombreux mails contenant visiblement un virus incorporé dans un document Word. Non détecté par Clamav, l’excellent antivirus que nous utilisons pour nos serveurs, j’ai donc du créer mes propres signatures pour protéger mes clients... »

Excellent billet court, à lire.