GuiGui's Show

Tiens, je ne connaissais pas les ordinateurs de poche équitables Fairphone.

« Le but du projet Fairphone est de produire un téléphone portable qui soit le plus éthique possible. Par exemple, les smartphones dépendent de beaucoup de minéraux assez rares, comme le tantale ou le tungstène, qui sont souvent produits dans des zones de guerre comme au Congo, la guerre étant souvent entretenue par le désir de s'approprier les mines de ces minéraux. Fairphone tente donc d'obtenir toutes ses matières premières depuis des mines sans conflit. D'autre part, les smartphones sont typiquement construits dans des pays à bas salaire et encore plus basses conditions de travail comme la Chine. Fairphone fait construire ses appareils en Chine, comme tout le monde mais travaille à des meilleures conditions de travail. Bien sûr, rien n'est parfait dans ce domaine et ce téléphone a encore des tas d'imperfections par rapport à son objectif éthique mais l'important est d'aller le plus loin possible dans la bonne direction.

[...]

La batterie est facile à retirer et à changer. Le téléphone est plutôt lourd dans la poche, notamment en raison de son dos métallique.

Du point de vue logiciel, il utilise Android mais est prévu pour pouvoir accueillir plus tard d'autres systèmes. Notez qu'il n'y a pas besoin de le rooter, il arrive déjà rooté (avec l'application SuperUtilisateur, qui demande confirmation avant chaque opération privilégiée). Le Fairphone est donc utilisable par les libristes acharnés.

Pour acheter un Fairphone, il faut aller sur la boutique en ligne (il ne se trouve pas dans les boutiques physiques et évidemment pas sur les gros sites de e-commerce). Il m'a coûté 310 € et une certaine patience : le logiciel de la boutique est assez bogué (les dates de livraison affichées ne sont donc qu'indicatives...), les téléphones arrivent par lots de Chine à des dates pas toujours prévisibles, des cafouillages se produisent... »

« La sécurité du routage BGP est un sujet de préoccupation sur l'Internet depuis de nombreuses années. Ce protocole ne dispose en effet par défaut d'aucune sécurité, n'importe quel opérateur (ou craqueur ayant piraté les routeurs d'un opérateur) pouvant annoncer une route vers n'importe quel préfixe, détournant, par exemple le trafic d'un service vital. Ce manque de sécurité ne vient pas d'une confiance naïve dans la nature humaine, mais plutôt de la nature même de l'Internet : il n'y a pas (heureusement !) de Haute Autorité Supérieure de l'Internet qui connaitrait tous les opérateurs et pourrait les autoriser et les surveiller. Un opérateur ne connait (et encore, pas toujours très bien) que ses voisins immédiats, et ne sait pas quelle confiance accorder aux autres. Dans ces conditions, la sécurisation de BGP est forcément un projet à long terme. La première grande étape avait été la normalisation et le déploiement de RPKI et ROA. L'étape suivante est la sécurisation du chemin entier (et pas uniquement de l'origine), dont ce nouveau RFC est la cahier des charges. En route donc vers BGPsec ! (Le nom PATHsec ne semble plus utilisé.)

[...]

La cryptographie peut coûter cher en ressources matérielles et un routeur BGP typique a un CPU moins puissant que celui d'une console de jeu de salon. L'exigence 3.6 autorise donc BGPsec à réclamer du matériel nouveau (par exemple des processeurs cryptographiques spécialisés). La compatibilité avec le matériel existant n'est donc pas exigée.

[...]

La cryptographie ne sert pas à grand'chose si on n'a pas de moyen de vérifier l'authenticité des clés utilisés. C'est bien joli de tester l'intégrité d'une signature mais il faut aussi que la clé de signature soit reliée aux ressources qu'on veut protéger (ici, les préfixes d'adresses IP et les numéros d'AS). L'exigence 3.9 dit donc que la solution technique a le droit de s'appuyer sur une infrastructure existante établissant ce lien, comme la RPKI (et qu'évidemment cette infrastructure doit être fiable, cf. section 5). 3.17 ajoute que cette infrastructure doit permettre le choix, par l'opérateur, des entités à qui faire confiance (toutes les mises en œuvre actuelles de la RPKI permettent cela, en éditant la liste des trust anchors).
[...]

L'exigence 3.14 concerne une question de gouvernance. Il a souvent été reproché aux projets de sécurisation de BGP de faire un déplacement de pouvoir, des opérateurs BGP aux RIR qui gèrent les points de départ de la RPKI. Avec le BGP traditionnel, le RIR a un pur rôle de registre, il ne prend aucune décision opérationnelle concernant le routage. Avec un BGP sécurisé, ce n'est plus le cas. Pour rassurer les opérateurs, 3.14 rappelle que, signature correcte ou pas, la décision d'accepter, de refuser, de prioriser ou de déprioriser une annonce doit rester locale au routeur et à son opérateur. La question « que doit faire un routeur BGPsec en recevant une annonce invalide ? » n'a donc pas de sens et les futurs RFC n'y répondront pas. BGPsec permettra de dire « cette annonce est invalide », il ne dira pas quelle politique adopter vis-à-vis de ces annonces.

[...]

La section 4 décrit les exigences spécifiques au traitement des messages BGP UPDATE qui annoncent une nouvelle route ou bien en retirent une ancienne. C'est le moment où il faut valider (exigences 4.1 et 4.2). L'exigence 4.3 dispense BGPsec d'une protection générale contre les attaques par rejeu, qui resteront donc possibles (retransmission d'une annonce BGP qui était valide mais ne l'est plus, vu les changements dans le graphe BGP). Plus difficile, 4.4 demande qu'on puisse se protéger, au moins partiellement, contre le retrait par l'attaquant d'un message BGP.

Pour terminer, la section 5, sur les problèmes généraux de sécurité, rappelle plusieurs choses importantes notamment le fait que la sécurité du routage ne garantit pas celle des paquets IP (« The data plane may not follow the control plane ») et le fait qu'une sécurité de bout en bout, assurée par les deux machines qui communiquent, reste nécessaire. (Il existe d'autres moyens de détourner le trafic que les attaques BGP.)

Le protocole n'est pas encore terminé (ce RFC n'est qu'un cahier des charges) et il n'existe donc pas encore de mise en œuvre de BGPsec dans du code livré aux opérateurs. »

« Ce matin, Numerama rapportait que l'ancienne ministre Michèle Delaunay a suggéré au gouvernement de mettre en place une signalétique de type CSA sur toutes les pages de tous les sites internet. Nous faisions alors immédiatement remarquer que la proposition était strictement la même, à la virgule près, que celle d'autres élus, formulée quelques mois plus tôt. Une pratique hélas courante chez les députés et sénateurs, qui permet à des lobbys bien organisés de faire parvenir leurs doléances dans les cabinets ministériels, en tenant la plume de parlementaires qui ne prennent pas toujours la peine de vérifier ce qu'ils envoient — le but étant avant tout de faire plaisir à la personne qui fournit le texte à envoyer. »

Hahaha :'). Ça me rappelle http://shaarli.guiguishow.info/?_hdBqQ où la Quadrature était accusée d'être un lobby qui demande aux citoyens d'envoyer des réponses identiques en masse à nos représentants. :') SA-VOU-REUX !

« Alors ça c'était le gros truc de vendredi soir, trouver pourquoi SIGUSR1 était bloqué dans picomon. Quand on a eu remarqué que ça ne marchait pas que chez le celui qui est en Debian sid, et que d'autres programmes tel 'dd' ne recevaient pas ce signal, c'est tout de suite allé mieux pour moi. Et puis, en tty ça marchait… il restait à trouver quel programme entre le tty et l'émulateur de terminal masquait le signal. L'explication est toute simple au final… »

GG le debug :O

« L’Allemagne est en quête d’une législation anti-stress. Avec des salariés de plus en plus hyperconnectés, l’enjeu est de lutter contre les risques de burn out pour ceux qui sont continuellement en relation avec leurs emplois, même en dehors des heures de travail.

L’Allemagne envisage une législation pour interdire aux sociétés de contacter leurs employés en dehors des heures de travail. Andrea Nahles, ministre fédérale du travail en Allemagne, a indiqué en ce sens à nos confrères du Rheinische Post qu’une étude était actuellement menée : « il y a une relation indéniable entre la disponibilité constante et l’augmentation des troubles psychiques, comme l’ont également reconnu les employeurs et les études scientifiques. Nous avons commissionnés l’Institut fédéral pour la sécurité et la santé au travail pour voir s’il est possible de définir des seuils de charge. Nous avons besoin de critères universels et juridiquement contraignant avant de prescrire de telles obligations ».

[...]

En France, un avenant à l’accord-cadre de la « branche des Bureaux d’études techniques, cabinets d’ingénieurs-conseils, sociétés de conseil » a programmé « une obligation de déconnexion » pour certains types de contrat. Les cadres travaillant au forfait jour dans ce secteur « bénéficient d'un repos quotidien minimum de 11 heures consécutives et d'un repos hebdomadaire de 35 heures minimum consécutives ». Et leur employeur doit s’assurer dans le même temps « des dispositions nécessaires afin que le salarié ait la possibilité de se déconnecter des outils de communication à distance mis à sa disposition ».

En France encore, la Cour de cassation a déjà jugé en 2004 qu'on ne pouvait justifier le licenciement d'un salarié qui n'avait pu être joint sur son téléphone portable personnel en dehors des horaires de travail. »

Ok donc les rdomains BSD = netns (network namespace) Linux.

Début août, mon vieux téléphone mobile, un Nokia 6300, m'a lâché (6 ans et demi, c'pas trop mal) : bouton on/off définitivement cassé (depuis le temps qu'il déconnait, c'pas une surprise en vrai). Pas que je passe mon temps à allumer/éteindre mais quand il y a un bug logiciel ou que la batterie est vide en déplacement, bah c'est juste mort quoi. Je vais relater ci-dessous mon choix pour son successeur.


Acheter un "vieux" téléphone ou acheter un ordinateur de poche qui fait aussi téléphone ? Les vieux téléphones encore neufs sont vendus à des prix pour lesquels on peut avoir un ordinateur de poche d'entrée de gamme. L'occasion qui va potentiellement me lâcher dans 3 mois, ça ne m'intéresse pas. Prendre un ordinateur de poche = suivre "l'évolution", voir ce qui a changé (en bien ou en mal) par soi-même, découvrir de nouveaux horizons, avoir de nouveaux usages dans les transports en commun, ... Allons-y pour un ordinateur de poche.


Évidemment, je veux un ordinateur de poche non lié à un opérateur mobile avec un forfait à engagement de 24 mois. Juste un ordinateur de poche quoi.


Critères de choix (aucun tri) :
        * Un système Android.

        * Rootable. Il faut toujours être root sur ses ordinateurs, l'ordinateur de poche ne fait pas exception à cette règle fondamentale. Pour moi, c'est un critère qui ne se négocie pas. Être un modèle supporté par Cyanogenmod (http://www.cyanogenmod.org/) voire Replicant (comme Cyanogenmod mais en vraiment tout libre, cf https://fr.wikipedia.org/wiki/Replicant_%28syst%C3%A8me_d%27exploitation%29) est un plus mais pas une obligation.

        * Un ordinateur de poche qui dure car je ne rachète pas ce genre de futilité tous les 2 ans donc oui, je veux de la 4G, sur un maximum de fréquences donc y compris LTE (comme Free). Je veux un support natif, pas une mise à jour logicielle qui arrivera quand elle arrivera peut-être un jour.

        * Fonction GPS : je veux remplacer mon GPS d'occasion, vieillissant et inefficace par OSM (https://openstreetmap.fr/), tant qu'à faire.

        * Prix < 200 €, impérativement.


Méthode de recherche : plusieurs comparateurs de prix (http://www.prixdunet.com/ par exemple), mots-clés bateaux dans un moteur de recherche (« smartphone 4G blabla », sites "spécialisés" (http://www.meilleurmobile.com par exemple).


Pourquoi pas un ordinateur de poche avec Firefox OS ? Trop peu de modèles (pas de 4G) et manque de disponibilité, principalement.


Candidats :
        * Wiko Wax
                + Wiko ne pourrit pas ses ordinateurs avec une surcouche (cf : http://lehollandaisvolant.net/?d=2013/07/24/00/53/07-retour-sur-le-smartphone-wiko-cink-five).

                + Devenir root semble être facile (cf : http://www.wikoandco.fr/forum/discussions-aides-wiko-wax/6898-tuto-root-du-wiko-wax-d et d'autres).

                - Matériel Nvidia, nouveau, mal maitrisé par la communauté par rapport au matériel Mediatek utilisé habituellement par Wiko (cf : http://www.wikoandco.fr/forum/discussions-aides-wiko-wax/6089-le-root-du-wax-sera-plus-complexe-que-les-autres-wiko).

                - On oublie Cyanogenmod et co pour longtemps.


        * Archos 50 Helium 4G
                - Trop peu de doc' et de feedbacks pour oser espérer trouver de la doc' et que le root se passe sans problèmes.

                - Vroot, l'outil à utiliser pour rooter le téléphone est un logiciel propriétaire sous Windows. O_O Du paradoxe d'utiliser du propriétaire sur ton desktop pour libérer ton ordinateur de poche.


        * Motorola Moto G 4G LTE
                + Cyanogenmod supporte totalement le Moto G. Pour le Moto G 4G LTE, ça ne me semble pas être tout à fait prêt niveau drivers/support matériel (cf : http://androidforums.com/moto-g-4g-lte-all-things-root/859004-unofficial-aosp-builds-3.html) pour que j'ose tenter mais ça va arriver. Du coup si Cyanogendmod me tente un jour, c'est possible.

                -/+ Procédure de root chiante ... Il faut débloquer le bootloader avec un code que l'on obtient via le site web de Motorola. On est donc totalement dépendant du bon fonctionnement de leur site web. Procédure chiante mais bien documentée, en plusieurs exemplaires et tout.


Quid des ROM alternatives avec ces candidats ?
        * Replicant : mort. Supporte seulement de vieux téléphones pas vraiment trouvables ou dont le GPS ne fonctionne plus une fois la ROM d'origine remplacée par Replicant. Dommage mais d'un autre côté, j'imagine très bien la charge de travail monstrueuse pour faire du tout-libre sur tous les ordinateurs de poche qui se vendent au quotidien !

        * Cyanogenmod : Wiko Wax et Archos 50 Helium 4G : c'est mort ; Motorola Moto G 4G LTE : c'est bientôt prêt à 100 %.


Conclusion :
J'ai acheté un Motorola Moto G 4G LTE sur materiel.net le 12/08/2014. Livré le 19/08/2014. Rien à dire sur la prestation de materiel.net (c'était mon premier achat chez eux sur "recommandations" de deux personnes ayant acheté leur ordinateur de poche (et autres objets) sur ce site web sans encombre) à part la lenteur de l'expédition : il aurait pu arriver le 16/08/2014. Rooté le 19/08/2014 (oui, le même jour, on sent le sens des priorités :D).

En un peu plus d'une semaine d'usage, je n'ai presque rien à dire : il fait téléphone et SMS sans problèmes, la 4G fonctionne (Free, forfait 2 €), le GPS aussi et je suis root. Par contre, ce modèle est particulièrement relou avec les cartes microSD qu'il accepte ! O_O

Il refuse une carte microSD Sandisk 32 Go class 10 qui est pourtant ce que j'utilise partout d'habitude parce que ça juste marche et parce que c'est le modèle le moins cher au magasin du coin. Carte vide ou endommagée lors de l'insertion ! Formater depuis le téléphone ne fait strictement aucune action sur la carte ! Formater en fat32, vfat, ... avec un desktop GNU/Linux ne donne aucun résultat : toujours carte vide ou endommagée sur le Motorola ! Sur une deuxième carte (de même modèle donc), un formatage depuis le Motorola efface bien tout (enfin la table des partitions quoi, normal) mais il ne recrée rien à la place !

Apparemment, le problème est connu de Motorola (cf http://forum.frandroid.com/topic/195958-probl%C3%A8me-carte-micro-sd-non-reconnue/) : avant Android 4.4.4 (mon ordinateur est livré avec 4.4.3), il vaut mieux utiliser une carte microSD < class 10. Sur les forums, on lit que pourtant des cartes microSD fonctionnent (parfois le même modèle que les miennes !), d'autres non.

J'ai testé une carte microSD SanDisk 32 Go class 4 ... Sans succès, même problème. En revanche, je n'ai rencontré aucun problème avec une carte microSD Lexar 16 Go class 10 ! Ça marche out-of-box avec un système de fichiers FAT 32 (oui, il ne supporte rien d'autre, ni ext4, ni ext3, classe pour un système Linux !) ! J'ai donc l'impression que c'est les spécs constructeurs (carte SD « jusqu'à 32 Go ») qui sont erronées ! Pour ceux qui se disent que 16 Go c'est largement suffisant pour tous les usages ;) : quelques applis + OSM et les maps de quelques (7) pays d'Europe = 10,6G ;)

Bref, il faut tâtonner pour trouver une carte SD qui soit supportée.


Documentation liée :
        * Devenir root : http://shaarli.guiguishow.info/?s9kD_A
        * Logiciels que j'ai installé : http://shaarli.guiguishow.info/?32zfLA
        * Logiciels préinstallés inutiles que j'ai viré : http://shaarli.guiguishow.info/?Oze2dw
        * Config' (utiliser les hotspot FreeWifi_secure, réduire la durée du fix GPS) : http://shaarli.guiguishow.info/?la8dMA
        * Installer Debian GNU/Linux pour l'utiliser en parallèle/simultané avec Android : http://shaarli.guiguishow.info/?6y0PtQ

Commande la plus simple pour générer des dhparam : openssl dhparam -out <nom_fichier> <taille>. Exemple : openssl dhparam -out dh1024.pem 1024

Une intro pratique à Packet Filter. Sympa l'interface pflog qui permet de lire/filtrer les logs produits par les règles de filtrage avec tcpdump.