GuiGui's Show

Pas mal ce rapport de l'Assemblée parlementaire du Conseil de l'Europe autour de la surveillance de masse dévoilée par Snowden. Dommage, cette Assemblée est uniquement un organe de discussion, pas un organe législatif.

Les observations sont justes, clairvoyantes, sans appel envers les USA. Ce rapport n'appelle pas bêtement à censurer Internet (au contraire, ça cause même auto-hébergement au point 120 :D)

Manques :
    - Si ce rapport relate quelques faits commis par des institutions européennes comme la DGSE ou le BND (voir 2.2.2), peu de questionnement sur l'Europe, sur comment empêcher, par le droit, ce qui a été constaté, ... Même chose pour les sociétés commerciales comme Amesys, Qosmos,  et les technologies dites duales.
    - Il y a encore quelques glissements sémantiques comme « His courage and dedication to the cause of internet freedom and privacy, despite the obvious danger for his personal safety and freedom, commands the highest respect » : il ne s'agit pas de la liberté d'Internet comme si c'était une liberté spécifique mais des *mêmes* libertés citoyennes fondamentales définies bien avant l'arrivée d'Internet, qui s'appliquent à Internet comme dans la rue, c'est tout ! Il n'y a pas de nouvelles libertés, juste une application plus large et différente ! Je trouve ce glissement sémantique malsain !

Voir aussi : http://www.lemonde.fr/pixels/article/2015/01/26/le-conseil-de-l-europe-livre-un-rapport-tres-critique-sur-les-pratiques-de-la-nsa_4563851_4408996.html

Via http://shaarli.cafai.fr/?Gny00Q

« Ma motivation principale était celle d'utiliser un PBX Asterisk sous Linux sur ma ligne Livebox.

[...]

'ai alors décidé de creuser plus loin afin de savoir quels étaient les identifiants SIP utilisés pour s'authentifier auprès du proxy SIP Orange. Il s'avère que le client SIP officiel n'utilise aucun mot de passe, mais obtient un des secrets nécessaires pour l'échange RFC 2617 (authentification HTTP Digest) par une méthode totalement propre à Orange. Ces secrets étaient impossibles à obtenir sans décompiler l'application d'origine. Impossible donc d'exploiter sa ligne SIP sans autre chose que les applications proposées par Orange.

C'est en modifiant le processus d'authentification qu'Orange cassait l'interopérabilité avec les autres implémentations SIP conformes à la RFC 3261, empêchant ceux-ci de s'enregistrer directement auprès de l'infrastructure d'Orange.

Je m'inscrivais donc dans une double démarche d'interopérabilité : la possibilité d'utiliser un terminal SIP « RFC 3261 » avec ma ligne téléphonique comprise dans l'abonnement que je paye d'une part, et la réimplémentation des extensions propriétaires d'Orange sous Linux et FreeBSD d'autre part.

[...]

Je fais en effet l'objet de pressions de la part d'Orange visant à me faire cesser le développement et la diffusion de siproxd_orange. Après avoir consulté plusieurs personnes dont un avocat spécialisé en droit d'auteur, j'ai estimé plus prudent d'abandonner la diffusion de ce projet.

[...]

 Mais je suis surtout triste de devoir prendre des décisions contraires à mes valeurs de curiosité scientifique et de partage du savoir.

Il s'agissait de mon plus gros projet de rétroingénierie jusqu'à maintenant. Même en mettant hors ligne les archives des sources de siproxd_orange, je n'accepterai pas l'idée d'avoir sacrifié tous ces week-ends, toutes ces soirées et toutes ces pages de mon cahier de brouillon en vain.

L'étape d'après serait d'obtenir les informations nécessaires à l'interopérabilité par une autre voie que la décompilation, par une méthode qui m'autoriserait à les publier. Je n'en dirai pas plus ; je sais désormais que des salariés d'Orange ouvertement hostiles à ce projet me lisent.

En tout cas, je n'ai pas dit mon dernier mot. »

« The first time you run logrotate with a new log configuration it doesn't know when the last log rotation occurred. So it just writes a status line in logrotate.status [NDLR : /var/lib/logrotate/status] to the effect that it was run today. When it subsequently runs the following day, it sees that the log is a day old and rotates it as expected. If you don't want to wait, edit logrotate.status and goose the status date for your log back to the previous day. Now when you run logrotate manually, it will work as expected. »

«  Parce que si nous refusons de faire ce travail de compréhension, nous reproduisons les codes des extrémistes, les individus qui tuent pour une idée : nous réagissons, sans vouloir comprendre, nous nous engageons sur la voie guerrière, comme eux, nous refusons de nous inclure dans l’histoire passée et en cours, nous devenons des machines à ruminer des idéologies prêtes à consommer. De notre côté, d’un point de vue idéologique, ce sera la laïcité (totalement détournée de son sens depuis des années), la liberté (d’expression, complètement instrumentalisée), l’égalité (laissez-nous rire), la fraternité (bien pratique en cas de grand messe populaire et immédiatement oubliée dans les actes quotidiens). Ces croyances sur ce que nous sommes [censés être et défendre], ne peuvent — en réalité — venir se confronter à l’obscurantisme sectaire et meurtrier des assassins de Charlie Hebdo. Parce que nous ne sommes pas — en réalité — un pays de liberté, ou d’égalité, ou de fraternité. Nous avons tenté d’y parvenir, mais nous avons abandonné depuis plusieurs années l’idée même que cela était nécessaire ou possible. L’hypocrisie française est donc devenue mondiale, à grands renforts de stickers, t-shirts, (bientôt les brassards noirs et blancs ?), hashtags, « JeSuisCharlie ».

[...]

La compétition des uns contre les autres s’est imposée. L’argent, la domination des uns sur les autres sont devenues des valeurs centrales. Le racisme s’est banalisé. Les exclusions se sont accentuées. Les individualismes se sont exacerbés, et en retour, les communautarismes avec.

[...]

La guerre était en cours, effectivement. Mais pas celle que l’on aimerait nous vendre, pas seulement celle de djihadistes illuminés, de terroristes entraînés à l’étranger qui voudraient tuer la démocratie française. La guerre qui était en cours — et l’est toujours — est  aussi — et surtout — celle d’un monde dominé par l’argent, par la politique de l’exclusion, par la real politik qui serre la main de ceux qui financent le même terrorisme qu’elle condamne, par les donneurs de leçon qui parlent droits de l’homme, valeurs de la République, tout en laissant la police harceler, réprimer au quotidien une part de sa population, ou qui applaudissent des bombardements de population civiles. C’est une guerre sociale qui est en cours. Mondiale. Et la seule solution pour éviter le pire, est de réfléchir et proposer autre chose. »

Je suis en désaccord sur les autres points de ce billet, notamment l'érosion des politiques sociales, l'argent roi, l'absence de fraternité et compagnie : ce n'est pas nouveau, pas post-2001, ça fait des siècles que ça dure, au minimum. Ça change de forme, c'tout.

« Vu l’énorme rassemblement du jour, nous voulons changer le monde. Commençons par nous changer nous-mêmes. En profondeur. Espérons que demain, revenus au sein de leurs entreprises, les Français cesseront de tenter d’écraser leurs collègues pour mieux survivre en milieu hostile. Espérons que demain, les automobilistes ne se grilleront plus les priorités pour gagner une seconde ou deux, pour passer le premier, parce qu’on le vaut bien… Espérons que demain, tous les patrons d’entreprises feront preuve d’empathie pour leurs salariés au lieu de les pressurer délibérément. Espérons que tous les Français se souriront dans la rue au lieu d’éviter de croiser leurs regards. Et même s’ils ne sont pas capable de la même empathie qu’aujourd’hui, pourront-ils au moins être neutres dans leurs rapports aux autres au lieu d’être défiants, inquiets, agressifs ?

Saurons-nous imposer aux hommes politiques une voie ? Une voie différente ?

Si ces attentats sont, comme le disent (à tort) certains analystes, le 11 septembre français, saurons-nous leur imposer d’éviter la voie suivie par George Bush ? Celle qui consiste à doter la démocratie les armes de ses ennemis ? La légalisation de la torture, la guerre permanente, la destruction massive et systématique des relations internationales, le piétinement total des traités internationaux fondateurs du vivre ensemble sur une petite planète. Toutes ces armes qui concourent au cycle de la violence.

Saurons-nous leur faire comprendre que leurs réponses ne doivent pas être précipitées, dans l’urgence, surfant sur l’émotion. Si Paris a aujourd’hui été la capitale mondiale de la liberté et de la fraternité, il convient que ce mouvement se prolonge. Mais déjà tous les tenants de la surveillance, du repli sur soi se répandent dans les médias. Il faut, selon eux, revenir aux contrôles aux frontières, à plus de surveillance.

[...]

Tous ceux-là oublient bien entendu que les meurtriers étaient des Français, ayant grandi en France, passés par l’école de la république. Quelque chose n’a pas fonctionné quelque part. Au lieu de rechercher ce qui a dysfonctionné, ils nous parlent de frontières…

[...]

Une société ne peut être parfaite. Elle ne peut être que fraternité. Il y aura toujours des esprits malades. La tolérance zéro de Nicolas Sarkozy était un leurre. Le zéro terrorisme n’a jamais existé et n’existera jamais. L’empilement de lois grignotant chaque jour un peu plus les libertés individuelles ne résoudra jamais ce problème. Il est peut-être temps de se demander si le projet de société qui a été bâti est le bon ? Si ce n’est pas le cas, c’est au coeur de chaque individu que doit se faire la mutation. Car il ne faut ni attendre que le monde change par enchantement, ni que le changement soit initié par les dirigeants de cette planète. »

Sur mon ordinateur de poche Motorola Moto G 4G LTE avec Android 4.4.3, j'ai changé ces paramètres :
    - ÉDIT DU 16/01/2015 à 21h05 :  Ce qui suit est inutile : l'ordinateur de poche fallback automatiquement 4G -> H+ -> 3G, ... en fonction de ce qui est disponible. Mon paramètrage empêche l'utilisation de la 4G, c'tout. Le problème d'émission/réception des MMS venait d'ailleurs, je n'ai plus de soucis que ce soit en 4G, H+ ou 3G. FIN DE L'ÉDIT. « Type de réseau préféré » : changement de « 4G (recommandé) » pour « 3G ». J'ai bien la 4G avec Free mais quand je ne suis pas dans une zone de couverture 4G, les MMS ne sont pas envoyés. En passant à « 3G », je ne constate plus ce soucis mineur ;
    - Dans le premier APN, « type d'APN » contenait une longue liste que j'ai réduit à celle indiquée dans la doc' Free : « default, supl ». Pas de motif particulier : juste pour avoir une config' fonctionnelle aussi simple que possible.

J'ai également appris que les MMS utilisent le réseau données mobiles donc over IP toussa, ce qui n'était pas le cas, je crois, sur mes anciens téléphones portables sur lesquels il n'y avait que GSM/GPRS/WAP (on accède à des serveurs IP/X.25) mais le téléphone n'avait pas d'adresse IP donc utilisation de passerelles donc ça me semble plutôt différent de ce que l'on a de nos jours).

Conséquence logique : pour recevoir (et émettre, of course) des MMS, il faut laisser les données mobiles activées en permanence, ce que je ne faisais pas jusque là (forfait 2€ = quota de 50 Mo = prudence, le hors forfait peut vite arriver). Les messages semblent être mis en queue par l'opérateur (plus de 12h, ça c'est sûr vu mes tests).

Conséquence logique 2 : si vous utilisez le pare-feu Netfilter (avec une GUI comme Afwall+), il faut autoriser votre application SMS/MMS à émettre sur le réseau données mobiles.

* Variable normale :
        Déclarée dans group_vars/all (globale) ou dans roles/<role_name>/vars/main.yml (local au rôle) et utilisée dans un template, par exemple : {{ var_name }}

        Déclarée pour une machine dans le fichier hosts et utiliser dans un template : {{ hostvars[host].var_name }}

    * Dans un template : itérer sur tous les membres d'un groupe dans une variable sauf la machine actuelle elle-même :
      {% for host in groups['rr'] %}
       {% if hostvars[host].inventory_hostname != inventory_hostname %}
        lala
        lolo
      {% endif %}
     {% endfor %}

    * Itérer sur une variable (de "type" liste) dans un template :
        Dans group_vars/all (globale) ou dans roles/<role_name>/vars/main.yml (local au rôle) :
                 rrclient:
                        - 192.0.2.1

        Dans roles/<role_name>/templates/<template_name.j2 :
                {% for host in rrclient %}
                    neighbor {{ host }} peer-group rrclient
                {% endfor %}


    * Itérer sur une variable contenant une liste d'associations, dans un template :
        Dans group_vars/all (globale) ou dans roles/<role_name>/vars/main.yml (local au rôle) :
                rrclient:
                        - { hostname: 'dochost', ip: '192.0.2.1' }

        Dans roles/<role_name>/templates/<template_name.j2 :
                {% for host in rrclients %}
                        neighbor {{ host.ip }} description {{ host.hostname }}
                {% endfor %}

    * Hiéarchie d'hôtes
        [name:children]
        rr

        [rr:children]
        titi-rr
        toto-rr

        [titi-rr]
        machine1 ansible_ssh_host=192.0.2.1 task=lala autrevar=lili

        [toto-rr]
        machine2 ansible_ssh_host=192.0.2.2 task=lele autrevar=lili

      Il peut y avoir d'autres niveaux aka titi-rr et toto-rr peuvent eux même avoir des enfants.


    * Exemple de liste de tasks :
        - name: Install Quagga
          apt: name=quagga state=present
          tags: quagga

        - name: Copy Quagga daemons
          copy: src=daemons  dest=/etc/quagga/ owner=quagga group=quagga mode=0644
          tags: quagga

        - name: Configure Quagga
          template: src=bgpd.conf.j2 dest=/etc/quagga/bgpd.conf owner=quagga group=quagga mode=0644
          tags: quagga
          notify: restart quagga

        - name: Start Quagga
          service: name=quagga state=started enabled=true
          tags: quagga


    * Pour jouer le catalogue (il peut y avoir plusieurs fichiers « hosts » d'inventaire des machines, d'où la précision) : ansible-playbook -i hosts site.yml

    * Pour jouer le catalogue pour une machine : ansible-playbook -i hosts site.yml --limit=machine1 . Même principe pour un groupe de machines (--limit=machine1,machine2,machine3 ou --limit=groupnameInInventory) .

    * Pour jouer le catalogue pour toutes les machines mais uniquement les tasks qui ont le tags « lala » :  ansible-playbook -i hosts site.yml --tags "lala". On peut mettre plusieurs tags séparés par des virgules.

    * Variable contenant le nom de la machine tel que défini dans l'inventaire : inventory_hostname , par opposition à ansible_hostname qui est le nom récupéré sur la machine elle-même par Ansible.

    * Dans un template : évidemment, les opérateurs de comparaison habituels et le cumul de plusieurs conditions sont utilisables :
       {% if hostvars[host].inventory_hostname != inventory_hostname
         and hostvars[host].task == task %}

    * Dans un template : contenu d'une variable de type "list" dont le nom est obtenu par le contenu d'une autre variable :
      blabla:
       titi: 9010
       toto: 9011
       tutu: 9012

       set community {{ asn }}:{{ blabla[inventory_hostname.split('.').0] }}

       Ici le hostname est de la forme (titi|toto|tutu).lala.lele.example, d'où le split ;)

    * Ne pas utiliser plusieurs modules dans une même tâche (exemple ci-dessous), le résultat est chaotique : certaines actions sont exécutées, d'autres non...
      - name: 'Copy apt conf files'
        copy: src=apt.conf dest=/etc/apt/apt.conf owner=root group=root mode=0744
        copy: src=preferences dest=/etc/apt/preferences owner=root group=root mode=0744
        copy: src=sources.list dest=/etc/apt/sources.list owner=root group=root mode=0744
        tags: apt

    * L'action en « notify: » d'une task n'est pas exécutée si l'action de la tâche n'a pas produit un changement. Exemple : l'action de la tache est un copy mais le fichier était déjà présent dans sa dernière version sur la machine "ansiblisée", alors l'action indiquée en notify ne sera pas exécutée.

    * Dans un template, produire une suite comme 1:2:3 (et pas 1:2:3: ;) ):
      {% for host in groups['lala'] %}
        {{ hostvars[host].id }}
        {%- if not loop.last %}
          {{':'}}
        {% endif %}
      {% endfor %}

    * Itérer sans retour à la ligne. Exemple : on veut obtenir une ligne de la forme : groups=1:2:3 :
      groups=
      {%- for host in groups['toto'] -%}
        {{ hostvars[host].id }}
        {%- if not loop.last -%}
          {{':'}}
        {%- endif -%}
      {%- endfor %}

      Explication : « %- » : pas de retour à la ligne avant ce bloc ; « -% » = pas de retour à la ligne après ce bloc

    * Inclure un template dans un template (son contenu sera parsé) :
      {% if (inventory_hostname in groups['lolo']) %}
          {% include "iptables_subtemplates/iptables_lolo-group.j2" with context %}
      {% endif %}
      Les variables comme hostvars sont accessibles, les variables définies dans le template appelant ne le sont pas.

    * Variable locale à un fichier : {% set var = [] %} (ici une liste, = "" ça serait un string, ...). Ne sont pas propagées aux templates inclus.

    * Savoir les machines concernées par un déploiemenbt et les tasks qui seront exécutées : --list-hosts  ; --list-tasks

    * Récupérer des infos mais que pour certains types d'installation (ici : Wheezy ou supérieur) :
    - shell: grep "model name" /proc/cpuinfo | head -n1
      register: result
      when: ansible_lsb.major_release|int >= 7
      tags: collecte

    - debug: var=result
      tags: lala

    * Dry run : ansible-playbook -C ; -D pour voir les fichiers templatés qui seront modifiés.

    * Rolling update (ne pas reload/restart tous les serveurs d'un même groupe pour ne pas provoquer une interruption de service) : il indiquer « serial: 1 » dans le playbook. Attention à le positionner sur le bon groupe sinon ça ne fonctionnera pas. Exemple : un groupe avec serial mais un sous-groupe dans --limit= et hop, ça bypass serial du sur-groupe...

Que c'est beau, la malhonnêteté intellectuelle. :'(

Dans le même ordre d'idée mais pas clé en main : http://fr.rsf.org/religions/fr.html. Via https://twitter.com/Shnoulle/status/554577597175451648

En effet, ça (re)commence. En plus des cités dans cet article (Cazeneuve et Pecresse), citons :
    * Guéant : http://www.francetvinfo.fr/faits-divers/attaque-au-siege-de-charlie-hebdo/il-y-a-des-libertes-qui-peuvent-etre-facilement-abandonnees-estime-claude-gueant_794679.html ;

    * Valls : son discours lors de ses voeux à la ville d'Evry le 10/01 était très expressif sur l'avenir sécuritaire et raboteur de libertés qu'il désire ardemment ;

    * Les journalistes/chroniqueurs. Entendu sur BFM TV à plusieurs reprises. Le 10/01 au soir les journalistes, certes en direct sur le terrain d'où imprécision du vocabulaire employé, faisaient même l'amalgamme : oui, oui les gens présents ici aujourd'hui veulent un renforcement des dispositifs de lutte contre le terrorisme. N-O-N, pas tous ! Les marches républicaines seront récupérées pour justifier les futures lois/mesures d'exceptions soit disant contre le terrorisme ;

    * Les entreprises qui vendent du matos d'interception massif des communications electroniques ont tout intérêt à faire leur lobbying maintenant dans un seul but de recherche du profit. Idée exprimée ici : https://twitter.com/fo0_/status/554527644730261504 ;

    * ÉDIT DU 12/01/2014 à 18h13 : Cameron : http://www.numerama.com/magazine/31844-david-cameron-veut-bannir-toute-communication-vraiment-privee.html FIN DE L'ÉDIT.

En résumé : « Hier des millions de personnes ont crié "Liberté" pendant des heures. Aujourd'hui certains politiques sourds répondent "Loi sur la sécurité" » https://twitter.com/ArnaudGossement/status/554530461528363008

La vigilance est de mise, la dérive sécuritaire n'a jamais été aussi proche àmha surtout que ça cause du 11 septembre à la française depuis le 8 janvier, c'est très révélateur. Ha, au fait, les frères Kaouachi ne se sont pas radicalisés sur Internet mais en prison, try again.

Pour savoir avant d'appliquer la mise à jour : apt-get|aptitude changelog (apt-get étant parfois capricieux et n'arrive pas à récupérer le changelog dans le dépôt apt là où aptiitude y arrive très bien)

Pour savoir pendant que la mise à jour est en cours : apt-listchanges.

Pour savoir après : zless /usr/share/doc/<nom_package>/changelog.Debian.gz et/ou /usr/share/doc/<nom_package>/NEWS.debian et/ou /usr/share/doc/<nom_package>/changelog ou apt-get|aptitude changelog