GuiGui's Show

« 13h12 : Nordine Damane, de FO Taxis, répond aux propositions du ministre de l'Intérieur Bernard Cazeneuve, qui a demandé au préfet de police de Paris de prendre un arrêté interdisant UberPop : "Ca n'est pas suffisant (...). Quand il s'agit de terrorisme, les sites qui font l'apologie du terrorisme ne sont pas hébergés en France, on arrive à les bloquer, mais pas les Uber." »

Voilà voilà, on va y arriver à la censure pour toute raison en fonction des idées/croyances/activités de chacun...

Un tail -f en Java ? C'est dans l'Apache Commons IO : https://commons.apache.org/proper/commons-io/
\o/

Lorsque vous utilisez le parser json de Boon (voir : http://shaarli.guiguishow.info/?zM794Q) et que vous avez des noms json qui ne peuvent pas devenir des noms de variable Java comme as-path (tiret), ipv4 unicast (espace),... vous pouvez utiliser @JsonProperty pour faire un binding entre le nom json invalide et un nom de variable.

Exemple :
@JsonProperty("as-path")
private List<Integer> aspath;
=> le nom json as-path est associé à la variable aspath.

Petite subtilité : il faut activer l'utilisation de cette directive lors de la création de la factory avec useAnnotations()...

Exemple complet :
JsonSerializerFactory serializerFactory = new JsonSerializerFactory().useAnnotations();
JsonParserFactory parserFactory = new JsonParserFactory();
ObjectMapper omapper =  JsonFactory.create(parserFactory, serializerFactory);
File file = new File("/tmp/test");
BGPAnnounce userFromFile = omapper.readValue(file, BGPAnnounce.class);

Sans surprise...

« Comme nous l'annoncions ce matin, le projet de loi sur le renseignement est passé cet après-midi par le Sénat, après des débats en commission mixte paritaire. Les modifications de la commission ont été votées par le Sénat. Nos confrères de l'AFP indiquent que « les groupes Les Républicains (LR) et socialiste, ainsi qu'une partie des centristes, ont voté pour. Les communistes, les écologistes ont voté contre. La quasi-majorité du RDSE (à majorité PRG) s'est abstenue ».

[...]

Parmi les dispositions controversées, ce passage devant le parlement supprime le régime de surveillance des étrangers, sans avis de la commission de contrôle, qui était jugé disproportionné. Une autre disposition concerne les lanceurs d'alerte, qui ne pourront révéler des informations sensibles devant la commission de contrôle. »

« Les motivations de ce septuagénaire, connu de la police en Haute-Garonne, restent floues, l'homme ayant déployé des banderoles revendiquant le «Général de Gaulle au pouvoir en 2017» ou encore «Les escrocs dehors». Nicolas Miguet, activiste anti-fiscalité, a déclaré sur Twitter que l'homme, François Bibes, manifestait contre le ras-le-bol fiscal.

Le septuagénaire a mis deux heures pour monter en haut de ce pylône qui fait 50 m de hauteur et s'est installé à 10 m des câbles de la ligne à haute tension de 400.000 volts. »

ON LÂCHE RINE !!! :DDDD

Via https://twitter.com/Maitre_Eolas/status/613111949375750145

« Alors que le Premier ministre promettait jeudi d’inscrire les principes de l’Open Data dans la loi, son gouvernement a soutenu dans le même temps un amendement à la loi Macron qui permettra aux sociétés de transport de s’exonérer des obligations de diffusion initialement voulues par le législateur. La SNCF, Air France ou la RATP pourront en effet signer des codes de bonne conduite prévoyant entre autre le paiement de redevances.

[...]

l’amendement introduit au début du mois en commission spéciale par le gouvernement prévoyait ambitieusement que tous les « exploitants des services de transports et de mobilité » (train, avion, vélib, etc.) soient tenus de diffuser « dans un format ouvert » une foule de données, dont la réutilisation serait « libre, immédiate et gratuite ».

[...]

Mais la semaine dernière, surprise ! Dès mardi, Manuel Valls a annoncé qu’il engageait la responsabilité de son gouvernement via le « 49-3 ». Non seulement aucun amendement n’a de ce fait été discuté, mais en plus l'exécutif a pu choisir ceux qu’il voulait conserver – et qui ont donc été considérés comme adoptés vu qu’aucune motion de censure n’a été votée par l’Assemblée nationale.

[...]

Autrement dit, à partir du moment où ces sortes de charte existeront, elles prévaudront sur les dispositions législatives de la loi Macron – qui s’appliqueront toutefois à ceux qui n’en signent pas. Même s’il est prévu que ces documents soient homologués conjointement par les ministres des Transports et du Numérique, la rédaction actuelle du texte laisse à penser que le tout pourrait grandement s’éloigner des ambitions initiales du législateur...

Ces chartes préciseront par exemple « le délai raisonnable et les conditions techniques de diffusion » des données, uniquement « en vue » de les fournir en temps réel (alors que ceux qui ne signent pas ces codes de bonne conduite devront procéder à une diffusion « immédiate » – donc sans délai). Autre illustration : ces chartes pourront prévoir des « dérogations au principe de gratuité », « justifiées par des coûts significatifs de mise à disposition ». En clair, des redevances pourront être réclamées par la RATP ou Air France, à l’encontre « des utilisateurs de masse » de leurs données. Une vision bien éloignée des principes de l’Open Data, mais qui correspond à celle développée notamment par la SNCF, le groupe public s’alarmant il y a quelques jours encore de l’amendement gouvernemental voté en commission spéciale...

[...]

Transmis au Sénat dès vendredi dernier, le projet de loi Macron devrait revenir d’ici quelques semaines devant l’Assemblée nationale pour une lecture définitive – sachant que le président de la République a promis que le texte serait définitivement adopté d’ici au 14 juillet. Les débats sur ces dispositions pourraient reprendre à cette occasion. »

:(

ÉDIT DU 15/07/2015 à 16h50 : la suite (sans changement) : http://shaarli.guiguishow.info/?-rRhqg FIN DE L'ÉDIT.

« Le projet de loi sur le renseignement sera examiné puis voté une dernière fois au Sénat ce mardi, avant une lecture similaire à l’Assemblée nationale. Ce week-end, le gouvernement s’est finalement opposé à l’amendement de dernière minute déposé par Jean-Jacques Urvoas et destiné à alléger l’encadrement de la surveillance des non-résidents en France.

[...]

Au plan national, les mesures de surveillance qu’organise ce texte exigent, sauf exceptions, l’avis préalable de la Commission de contrôle des techniques du renseignement (CNCTR). Le député socialiste a cependant estimé que les non-Français ou les personnes ne résidant pas habituellement sur le territoire ne méritaient pas une telle bienveillance. Il a donc proposé de se passer de cet avis préalable pour ceux dont le statut serait si suspect.

Les Français ou les étrangers non-résidents devraient ainsi s’habituer à un risque : celui de l’oreille des services du renseignement collée aux murs de leur chambre d’hôtel, sur leur connexion Internet ou leur mobile suite à tout franchissement de nos frontières. Dans cette mécanique, la CNCTR n’interviendrait qu’a posteriori, afin de s’assurer « que les renseignements collectés ne concernent pas un Français ou une personne résidant habituellement sur le territoire français ». En clair, un contrôle aussi minimum que tardif, qui pourrait, en cas d’irrégularité, entraîner une hypothétique saisine du Conseil d’État.

Comme on peut le voir dans le compte rendu des débats (désormais disponible), la question a été âprement débattue en CMP. Plusieurs parlementaires, dont Philippe Bas ou Jean-Jacques Hyest, ont tiqué : il y aurait selon eux problème de constitutionnalité. Si l’UMP Guillaume Larrivé n’a pas partagé leur avis, celui-ci a tout de même « jugé floue la différence proposée entre les étrangers et les résidents habituels en France ». Et pour cause, dans le marbre du texte, on ne sait même pas si cet encadrement allégé frapperait également les Français non-résidents, ou seulement les non-Français et les étrangers ne résidant pas habituellement sur notre sol.

À ces critiques, Jean-Jacques Urvoas s’est abrité derrière une jurisprudence admettant de longue date des atteintes jugées « non excessives » au principe d’égalité. Toujours en CMP, il a surtout ajouté « ne pas souhaiter que la collecte de certains renseignements qui a pu se pratiquer par le passé, soit dorénavant interdite, et redouté que tel soit le cas si la commission ne retenait pas sa proposition de rédaction »

[...]

Selon Le Monde, encore, l’exécutif entend déposer ce jour un amendement de suppression, soutenant lui aussi que ce régime dérogatoire s’écarte un peu trop du principe d’égalité. »

« Favorisant l’anonymat, Tor, réseau à la réputation sulfureuse, serait utilisé par 2 millions de personnes chaque jour. Les révélations d’Edward Snowden sur la surveillance généralisée remettant en valeur ce rempart contre la censure. »

Via https://twitter.com/torproject/status/612626040494518272

« Le Conseil National du Numérique (CNNum) a remis jeudi matin son très riche rapport baptisé "Ambition Numérique" (.pdf), qui synthétise le travail de consultation publique mis en place depuis le début de l'année sur ce que devrait être la politique numérique de la France.

[...]

D'emblée, le CNNum prévient qu'il n'est pas question de remettre en cause le régime binaire de la loi pour la confiance dans l'économie numérique (LCEN), entre d'un côté les éditeurs qui sont pleinement responsables de ce qu'ils publient, et de l'autre les hébergeurs qui n'ont qu'une responsabilité limitée sur ce que publient leurs clients. Alors que des voix s'élèvent jusqu'au Conseil d'Etat pour créer un statut hybride pour les plateformes sur Internet, "le CNNum invite à conserver ce régime afin de préserver la liberté de communication, dans la mesure où une responsabilité trop lourde pourrait les pousser à une censure préventive des contenus présents sur leurs sites, par crainte de voir leur responsabilité engagée".

[...]

Mais le plus intéressant est sur la régulation des processus de signalement et de censure des contenus illicites au regard de la loi, ou contraires aux CGU des plateformes. Pour les premières, alors que les hébergeurs sont encouragés par la LCEN à qualifier eux-mêmes les contenus "manifestement illicites" pour les supprimer dès leur signalement, CNNum propose de mettre en place une procédure de suppression temporaire, et de confirmation par la plateforme PHAROS gérée par la police et la gendarmerie.

Tout signalement de contenu contraire à la loi serait ainsi envoyé en double à PHAROS, pour confirmation de son illégalité, dans le respect d'une procédure contradictoire permettant à l'internaute de faire valoir ses arguments contraires. Si les agents (qui ne sont toutefois pas des magistrats) constatent que le contenu ne viole pas la loi, l'hébergeur doit alors le remettre en ligne. Sinon, si le cas est grave, la transmission au parquet est facilitée

[...]

Pour les contenus qui ne sont pas illégaux mais qui sont jugés contraires aux conditions contractuelles (ce qui est une arme de plus en plus utilisée par les Etats pour contourner le contrôle démocratique), le CNNum propose que les hébergeurs/plateformes ne suppriment pas immédiatement le contenu mais ouvrent une phase de débat contradictoire. C'est uniquement à l'issue d'un "délai raisonnable" (non précisé) que le contenu pourra être supprimé. »

« STARTTLS has a glaring problem: it's negotiated over the plaintext channel.

The S: 250 STARTTLS line is sent on the clear so an attacker performing a MitM attack can just block it, prevent it from ever reaching the client. At that point the client will simply go ahead with unencrypted SMTP, unaware that the server supports TLS, and the server will think it's the client that came short in supporting it.

In browser world, it's as if you always connected over HTTP and relied on the 301 redirect to switch to HTTPS. An attacker can do a SSL stripping attack where they just answer to your HTTP query. It's also what HSTS is designed to prevent.

[...]

At this point you might think you can make a choice: "I'll require encryption on all my connections and accept the tradeoff of only receiving from and delivering to servers that support STARTTLS". Or, "I'll make a whitelist of known domains for which I require STARTTLS because I know they support it".

You actually can't.

The problem is in certificate verification: what hostname do you verify a certificate against? That is, what name do you require on the certificate to make sure you are not talking with an attacker?

The answer is "whatever the target of the MX record is". And this makes certificate validation—and signed certificates—completely useless. (Indeed, all mail servers will accept expired, self–signed certificates.)

First, let's see why we can't verify against the domain portion of the email address. Take my email: it's @filippo.io but it's handled by FastMail. FastMail doesn't have a certificate for filippo.io. How it works instead is that a client will perform a MX lookup

[...]

STARTTLS can't be secured in any way against an active attacker. So, what is it good for? Well, it's opportunistic encryption and it's not worthless.

Opportunistic encryption changes the attack requirement from simple passive observation to risky active interception. It stops dragnet collection that we know too well some agencies perform.

So, bring it on with STARTTLS, just don't bother with getting a CA issued certificate and know that a targeted MitM–capable attacker can totally intercept your mail on the wire.

[...]

There is actually a solution and it's DNSSEC. SMTP is the use case where it really shines!

Mail servers can perform DNSSEC verification to make sure the MX is not tampered with, and then use DANE to retrieve the intended certificate fingerprint. This would give SMTP a fighting chance against an active attacker.

[...]

So this is it. The Internet is terrible and until DNSSEC sees wide deployment SMTP will have at best opportunistic encryption.

A practical note on active attacks: MitM on a server-to-server connection is not a common capability but it's very possible for a determined attacker. For example BGP hijacks happen frighteningly often and there are agencies with taps on the Internet backbones.

Still, STARTTLS is better than allowing dragnet surveillance, so please, please support it. You don't even have to get a signed certificate! There are no excuses. »

Via http://seenthis.net/messages/377113