GuiGui's Show

« If you monitor your external Internet connectivity, you may wonder which machine is the best to ping. Hesitate no more - you can use RIPE Atlas anchors as landmarks.

[...]

It is common practice to ping a certain machine as a landmark to verify your Internet connection. You may use a machine which belongs to you, one outside of your premises or a public Internet server. Using a public Internet server, for example Google Public DNS, is questionable. It's not your machine, it is not free to use and it may stop answering pings at any moment (this is the case with www.ripe.net and labs.ripe.net). If every small LAN pings 2001:db8:433::1 (the example IPv6 adress) every three minutes, and there are ten millions small networks doing it, 2001:db8:433::1 will receive 50 kp/s. This is reminiscent of a famous problem of many machines banging on one server.

Having public services explicitly devoted to these ping tests would be nice. There are a few such as fap.cymru.com, ping.rezopole.net or ping.ovh.net. They do not appear to be clearly documented (with usage policy), maybe because their managers do not want to attract too much attention.

But one landmark is not enough. Each landmark, even well-connected and professionally managed, can break or be unreachable. You don't wan't to receive a warning from your monitoring system at 2:00 in the morning if a remote landmark, that you do not control, went down. You need to ping N different machines, and you need to decide that there is a problem only if M of them (with M < N) are unreachable. If only there was a better way...

...but wait, there is! With RIPE Atlas anchors, you can have many pingable machines at your disposal. These servers are located in many places around the world (complete list online). Their main job is to be used as targets in measurements, typically by the RIPE Atlas probes. Using the anchors to monitor Internet connectivity is less common but very useful. »

« Cette année encore, il m'a été donné d'assister à l'évènement professionnel majeur de la sécurité informatique française, à savoir les Assises de la Sécurité.

[...]

La seule conférence digne d'intérêt est la désormais traditionnelle keynote de l'ANSSI. Sans nier la qualité des autres "ateliers" – tantôt distrayant, tantôt édifiant – ils relèvent plus de l'anecdote quand il ne s'agit pas purement et simplement d'un vendor pitch. A contrario, l'ANSSI est probablement la seule institution qui dispose d'un plan. C'est la seule à pouvoir faire référence à ses interventions passées – réalisant un point d'étape sur différents sujets tels que la labellisation ou la législation. Tous les autres acteurs sont ballotés au gré des modes.

La détection et la réponse aux incidents sont des domaines qui ne tolèrent pas l'amateurisme ; le recours à des prestataires aguerris est vivement recommandé. On ne peut que partager ce constat, néanmoins j'ai la vague impression que les prestataires actuels – qu'ils soient en cours de labellisation ou non – manquent singulièrement d'expérience dans le domaine et font une large part à l'improvisation la plus totale (voire à l'amateurisme).

[...]

3. Le Cloud élève le niveau de sécurité des petites entreprises dont le service informatique n'atteint pas la masse critique. Là encore, on ne peut que partager ce constat: vos emails sont bien souvent mieux protégés dans un service en ligne supportant l'authentification à 2 facteurs que sur un serveur de messagerie interne.

[...]

Au delà de la keynote de l'ANSSI, et avec mon regard désormais extérieur, j'ai été frappé par les trois plaies de la cybersécurité françaises tandis que je déambulais dans les travées du salon.

1. L'empilement des boites

C'est une tarte à la crème sur laquelle tout le monde s'accorde: la technique ne résout pas tout (pas de silver bullet), il ne faut pas négliger l'humain, etc.

Pourtant on ne croise au fil des allées que des vendeurs de boites.

Quiconque a déménagé sait que les boites s'empilent plus facilement quand elles sont du même gabarit. Et c'est bien le problème: chaque vendeur conçoit des produits parfaitement autistes, comptant sur les autres pour s'y intégrer. Chacun son format de log, chacun sa console d'administration, chacun son périmètre fonctionnel.

Le sens de l'histoire nous emmène pourtant vers les micro-services et les API. Pourquoi déployer un agent de forensics sur des machines déjà équipées d'un antivirus ? Ne serait-il pas plus efficace d'avoir un seul agent minimaliste, avec une API simple et documentée, permettant l'accès au système de fichiers ? L'avenir de la sécurité n'est-il pas dans la conception de briques de base Open Source ?

[...]

2. Le franco-français

Le milieu de la sécurité informatique français est si restreint qu'il frise déjà la consanguinité, mais ici tous les autres invités sont aussi des consommateurs de produits de sécurité. Quant aux intervenants, il n'y en a pour ainsi dire aucun qui ne soit pas exposant, à l'exception de quelques keynotes … très "high level". Ici, les organisateurs ne rémunèrent pas les intervenants pour assurer un contenu de qualité, mais monnaient au contraire le droit de s'exprimer.

Les échanges se limitent alors à un retour d'expérience sur tel produit ou tel prestataire, mais "on invente pas la bougie en perfectionnant l'électricité": les chances de repartir avec des idées disruptives ou de bousculer un visionnaire lors du cocktail sont assez minces. Surtout que l'appétence au changement n'est ni répandue, ni valorisée dans une profession de RSSI de plus en plus normée et standardisée.

[...]

3. L'incompréhension des enjeux

L'ultime frontière – qui catalyse toutes les peurs et tous les espoirs de la profession – se nomme Cloud. Le Cloud, c'est comme le sexe chez les ados: personne ne sait ce que c'est, mais tout le monde pense que les autres en font.

Pourtant derrière le Cloud, se dessine une réalité tangible: l'informatique devient trop compliquée – et les investissements trop couteux – pour les utilisateurs finaux.

C'est le sens de l'histoire. J'ai connu la télévision en noir et blanc (la redevance était moins chère que sur la couleur) avec le condensateur en façade permettant de syntoniser les chaines. La génération précédente construisait elle-même son téléviseur en suivant les schémas disponibles dans feu Radio Plans. Aujourd'hui il ne viendrait à l'idée de personne de concevoir sa propre carte mère allant du démodulateur DVB-T au décodage de flux H.264.

[...] il n'y a plus de catalogues produits mais des briques de stockage, de traitement et de présentation qu'il faut assembler pour créer les services du futur. Docker everywhere. »

« [...] the PCI Council released version 3.1 of their Data Security Standard (DSS). While most of the changes in this minor release are clarifications, there is at least one significant update involving secure communication protocols. The Council has decided that SSL and TLS 1.0 can no longer be used after June 30, 2016.

The PCI Council says you must remove completely support for SSL 3.0 and TLS 1.0. In short: servers and clients should disable SSL and then preferably transition everything to TLS 1.2.

However, TLS 1.1 can be acceptable if configured properly. The Council points to a NISTpublication that tells you how to do this configuration. »

Attention donc quand vous lisez que PCi-DSS force le passage à TLS 1.2, rien n'est plus faux : c'est de la documentation pour bullshiteux donc on ne force pas, on laisse le temps de migrer les infras qui devraient pourtant déjà avoir migrées. ;)

« Si vous avez votre smartphone sur vous avec le Wifi activé, celui-ci essaie constamment de se connecter aux routeurs Wifi que vous connaissez. Pour cela, il utilise la méthode dite « active » qui consiste à envoyer publiquement la liste de de noms de tous les réseaux Wifi que vous connaissez. Si un de ces réseaux est à proximité, celui-ci va répondre, ce qui permet une connexion rapide dès que l’on arrive à proximité du réseau (pas besoin d’attendre que le routeur se déclare lui même ce qui peut prendre quelques longues minutes selon le réglage du routeur).

Un smartphone Samsung sous Android 4.4 envoie ces données dans les airs toutes les 30sec environ.

Sur Android 4.3, c’est bien pire, puisqu’il le fait même lorsque l’utilisateur a désactivé le Wifi.

Problème, un appareil qui écoute ces transmissions peut savoir quels sont vos réseaux Wifi favoris, parfois le nom est explicite et en plus, avec une base de données, on peut récupérer sa localisation.

Deuxième problème, qui apparaît également si vous êtes déjà connecté à un réseau Wifi. A chaque envoie de message réseau, votre appareil communique son adresse matériel (MAC) unique au monde. Donc tout appareil qui capte les émissions Wifi de votre smartphone est capable de l’identifier.

On ne peut savoir, si on n’a que cette information, quelle personne porte cet appareil. Mais on peut déjà compter combien de fois vous êtes venu à proximité, à quelles heures et pendant combien de temps. Il suffit qu’un autre service (application, transaction) ait pu faire la relation entre cette adresse MAC et une identité (cookie, email) pour que de suivre un matériel anonyme, on se mette à suivre des gens.

Cette méthode a beaucoup d’application marketing puisqu’un magasin peut savoir si le client qu’il a au guichet est nouveau ou est déjà venu [...], quel rayon du magasin l’intéresse, voir même son identité si il y a eu moyen de savoir quelle personne porte ce matériel. Bref c’est en quelque sorte le cookie web en version IRL.

[...]

Une autre application est le comptage de personnes, par exemple, JCDecaux voudrait installer un mécanisme similaire dans ces panneaux publicitaires et ainsi pouvoir savoir à quels publicités vous avez été exposé. (Imaginez le croisement de données de tous les panneaux publicitaires… vous avez un tracking géant du déplacement de chaque individu, même dans le métro)

En bluetooth, avec l’arrivée des objets connectés portés (montre, lunettes, etc…) il arrivera tôt ou tard ou vous porterez 2 objets sur vous qui nécessiteront de communiquer en bluetooth. Et là forcément un des 2 devra s’annoncer continuellement et donc révélera son adresse MAC partout où vous passerez…

C’est une vraie problématique et la norme Bluetooth LE (qui mettra en relation tous les objets de demain) préconise, mais n’impose pas, aux constructeurs l’utilisation d’ adresses MAC pseudo aléatoires. Donc notre anonymat dans la rue reposera bientôt sur le simple choix des ingénieurs qui concevront les objets connectés. [  sur le sujet de la responsabilité des ingénieurs, voir : « Come to the dark side » ou « L'informatique est-elle neutre ? », http://shaarli.guiguishow.info/?uB1wXA ]

Coté Google, depuis Android 5.0, le smartphone n’utilise plus la méthode « active » pour se connecter en WiFi. Coté Apple depuis iOS 8, le smartphone utilise une adresse MAC qui change de temps en temps. Il n’y a donc pas de consensus sur la solution technique à adopter. »

Via http://sebsauvage.net/links/?hFhQOQ

« Il y a quelques temps, je faisais état de mon scepticisme quant à une démocratisation de l’auto-hébergement. Mes reproches à l’époque portaient sur des points techniques, la solution, elle, étant humaine: que les gens se regroupent en associations mélangeant des profils techniques et non techniques.
Depuis, plusieurs projets ont vu le jour. Ils tentent de résoudre le problème technique, avec plus ou moins de bonheur. Je ne m’étendrai pas sur ce point, n’ayant pu, faute de temps et de motivation, décortiquer les-dits projets pour m’en faire une idée précise. Ils ont néanmoins tous comme point commun de vouloir déporter la gestion du service entre les mains de l’utilisateur final.

L’autre fait marquant depuis 2 ans, c’est également le vote de lois liberticides qui visent à légaliser la surveillance de masse 1. Les réactions face à ces lois n’ont pas manqué.
L’auto-hébergement fait partie des solutions préconisées pour échapper à la surveillance de masse. L’argument ici est de considérer que la maîtrise du stockage de nos informations apporte une sécurité accrue et améliore la protection de notre vie privée.

Mais, à pratiquer l’auto-hébergement, sommes-nous pour autant bien cachés ?

En effet, les principales dispositions de la loi renseignement, et son avatar portant sur la surveillance internationale, concernent principalement la collecte d’informations sur les réseaux. Sous cet angle, l’auto-hébergement apporte-t-il une quelconque protection ?

En fait, pas vraiment. Ce serait même le contraire.

[...]

L’auto-hébergement peut, par analogie, être comparé au fait d’habiter une maison isolée au fin fond de la campagne, au bout d’une route qui ne mène nulle part ailleurs. Dans ce cas de figure:

    Toute personne empruntant cette route est soit vous-même, soit quelqu’un qui vous rend visite.

On a connu plus discret. Ce n’est sans doute pas pour rien que, dans tous les bons romans d’espionnage, les rencontres discrètes s’effectuent dans des lieux publics, de préférence aux heures d’affluence. C’est ce qui s’appelle se “noyer dans la masse”.

L’analogie est-elle pertinente sur Internet ?

Oui si vous utilisez un domaine générique et non votre propre nom de domaine. Une adresse en gmail.com est, du strict point de vue du réseau, plus anonyme qu’une adresse en jbfavre.org. L’utilisation d’un domaine générique couplée au chiffrement vous permet donc de masquer vos communications de manière plus efficace.

Prenons un exemple concret: Bob et Alice veulent communiquer par mail. Bob a son propre domaine, Alice utilise un domaine générique.

    Alice envoie le mail au serveur SMTP de son prestataire avec du chiffrement
    Les serveurs du prestataire transmet le mail au serveur de Bob, là encore avec du chiffrement
    Bob consulte le mail au moyen d’une connexion chiffrée

Ici, sauf à avoir accès aux log du prestataire d’Alice, il est très difficile d’affirmer que le mail envoyé par Alice est à destination de Bob. On peut éventuellement tenter une analyse temporelle pour corréler la connexion réseau d’Alice (1.) à celle du prestataire (2.), mais celle-ci est contournable, y compris pour des prestataires de taille réduite: un délai aléatoire pendant lequel le mail reste sur les serveurs du prestataire avant d’être envoyé au serveur de destination suffit à rendre la corrélation plus compliquée 2.

Par opposition, Bob est particulièrement vulnérable: tout mail arrivant sur son domaine lui est nécessairement destiné.

Il est donc beaucoup plus pertinent de se noyer dans la masse des utilisateurs d’un service de mail au domaine générique que d’avoir son propre domaine.

Les métadonnées étant actuellement nécessaires au bon déroulement de toute communication sur Internet, s’en affranchir totalement est au mieux difficile, au pire actuellement illusoire.

Il faut donc faire un choix entre 2 extrêmes:

    maîtriser de bout en bout le service que l’on utilise (auto-héberger ses mails par exemple) au risque de devenir visible
    utiliser un service générique pour se fondre dans la foule, au risque de voir ses données révélées de gré ou de force

Ce choix n’est pas simple à réaliser et dépend de chacun. Mais la plupart des gens n’ont pas intérêt à s’auto-héberger. Il feraient bien mieux de se regrouper en association ou de monter de petites entreprises s’ils en ont l’envie et les compétences.

En tout état de cause, se regrouper permet de se cacher de manière plus efficace. Le tout est de trouver la limite à partir de laquelle la taille de l’organisation joue contre ses membres. »


L'auto-hébergement sur une connexion à Internet chez un FAI asso, reste pertinent (vous êtes dans la masse de votre FAI) sauf à considérer que leurs réseaux sont sous écoute soit :
    * Directement. Ça suppose qu'ils atteignent la taille critique pour être intéressants, ce dont parle justement jbfavre pour des associations hébergeur de mails et, si cet impensable devait arriver, je suis confiant dans le fait que ça se saura (et donc les adhérents pourront choisir de continuer l'aventure ou pas) et que la sonde sera décortiquée pour comprendre comment elle fonctionne puis pour l'anhiler (aka la faire bipper pour rien avec des faux positifs) ;

    * Indirectement.
        * Mettez une sonde de la loi renseignement chez Cogent (société commerciale US mais avec une filiale FR déclarée auprès du régulateur français) et vous obtenez l'intégralité du trafic d'ARN, l'intégralité du trafic de Grifon, une partie du trafic de Tetaneutral (impact moindre car ils peerent beaucoup, chose que ne peuvent pas encore se permettrent ARN et Grifon) et une partie du trafic de LDN (impact moindre car leur presta actuel a aussi un autre transitaire que Cogent et du peering). Pour limiter cela, on peut financer les liens réseaux permettant d'aller peerer comme il se doit et les FAI de la FFDN peuvent très bien monter des tunnels chiffrés pour garder les mails "de la communauté" dans la communauté.

Ce problème est en commun avec un fournisseur de mail associatif. Mais, vu la topologie du réseau et des interconnections, ça demande d'agir en plus de points que si l'on est tous et toutes chez GMail et tous et toutes chez Orange.

Encore une fois, c'est pour ça que l'approche Brique Internet (VPN chez un FAI asso + mail autoconfig' et autres services auto-hébergés) me semble plus pertinente que les pistes comme own-mailbox (cf http://shaarli.guiguishow.info/?4KH2tw), justement par cet aspect décentralisation des accès et regroupement dans de petites structures où l'humain apportera la réponse que la technique ne sait pas fournir à l'heure actuelle.

Je ne suis pas d'accord avec l'argument « Oui si vous utilisez un domaine générique et non votre propre nom de domaine. Une adresse en gmail.com est, du strict point de vue du réseau, plus anonyme qu’une adresse en jbfavre.org. ». Mon propre nom de domaine ne signifie pas auto-hébergement : mes serveurs de noms et de mails peuvent être hébergés par une association ou par une société commerciale (Gandi ou OVH, par exemple). On est mieux que d'être tous et toutes chez GMail car il y a plusieurs acteurs au lieu d'un donc plus d'efforts pour installer la surveillance de masse. Je pinaille : je pense que jbfavre a simplifié pour ne pas allourdir ses tournures de phrase.

« Ici, sauf à avoir accès aux log du prestataire d’Alice, il est très difficile d’affirmer que le mail envoyé par Alice est à destination de Bob. ». C'est vrai uniquement si l'on considère que les sondes de la loi renseignement et autres, placées dans le réseau du FAI d'Alice ne remontent pas jusqu'à la couche applicative (et, si TLS, il faut espérer que ces sondes ne font pas un MitM actif pour faire sauter STARTTLS), bref, on est *presque* dans le même cas qu'avec l'auto-hébergement.

Dans un programme Python, on souhaite obtenir le nom de la structure (société commerciale, association,...) a laquelle a été attribué un numéro d'AS (exemple : 60630 = ARN). On souhaite aussi avoir le pays de la maison mère de la structure. Pour obtenir cette information, on utilise habituellement whois (exemple : whois AS60630). Mais, quelle lib utiliser dans un programme Python ?

Il y a plusieurs contraintes à prendre en compte :
    * La sortie whois n'est pas normalisée : tous les RIR ont choisi un format « clé: valeur » mais le nom des clés est différent ainsi que la présence/absence de ces clés :
        * Les champs as-name + descr de l'objet aut-num et le champ address dans l'objet organisation associé à l'objet aut-num pour le RIPE ;
        * Les champs as-name + descr + country de l'objet aut-num pour l'APNIC
        * Les champs as-name + descr de l'objet aut-num et le champ country de l'objet organisation associé à l'objet aut-num pour AfriNIC
        * Les champs ASName + OrgName + Country pour l'ARIN
        * Les champs owner et country de l'objet aut-num pour LACNIC
    Il faudra donc parser la sortie whois que l'on obtiendra... Vu le taux d'erreur possibles, ça serait cool de ré-utiliser une lib éprouvée qui fasse le taff pour nous.

    * RDAP, le protocol de remplacement de whois en cours de normalisation à l'IETF (voir : http://www.bortzmeyer.org/weirds-rdap.html) normalise le format de sortie (JSON), la syntaxe (les types utilisables et les classes (domain, ip, autnum, entity,...)), le transport des requêtes (REST) et tout un tas d'autres choses mais les informations que les RIR doivent mettre dans la classe autnum comme name et country sont en "peuvent être présentes" (voir https://www.rfc-editor.org/rfc/rfc7483.txt) et donc tous les RIR ne les exposent pas surtout le pays et la description...

    * On peut utiliser les services whois de RADB (http://www.radb.net/, whois.radb.net), service proposé par MERIT (réseau non-lucratif pour l'éducation, le gouvernement, les organismes de santé et les associations, principalement au Michigan) ou celui de la team Cymru (https://www.team-cymru.org/IP-ASN-mapping.html) car ils proposent tous deux une syntaxe facilement parsable et invariante. Notons que RADB n'expose pas d'info sur le pays.

    * Les principales lib python (IPWhois, python-whois, pywhois, ...) ne supportent pas les interrogations portant sur un numéro d'AS

    * Le service de la Team Cymru peut être consulté en utilisant le protocole DNS :
      $ dig +short TXT AS60630.asn.cymru.com
        "60630 | FR | ripencc | 2013-06-10 | ARN Association Alsace Reseau Neutre,FR"
    Enjoy \o/


Donc au final, ça donne ça :
« import dns.resolver

_WHOIS_OVER_DNS_EXT_SERVICE_ = '.asn.cymru.com'

[...]

asn = '60630'

dnsresolver = dns.resolver.Resolver()
dnsresolver.timeout = 1
dnsresolver.lifetime = 1

try:
  dnsanswer = dnsresolver.query('AS'+asn+_WHOIS_OVER_DNS_EXT_SERVICE_, 'TXT')
  asowner = str(dnsanswer.rrset).split('|')[4]

except dns.exception.DNSException:
  asowner = 'ERROR'

print 'ASN:'+asn+' ( '+asowner+' )' »

Avoir un ordiphone sous Android avec F-Droid (pour installer uniquement des applis sous licence libre), vouloir mettre à jour une application de 1,2Mo (Offline Calendar mais elle n'est pas en cause ici), se manger une erreur « (De-)Installation Error », faire le lien avec la notification Android qui m'informe que ma mémoire interne est bientôt pleine (mais qu'il reste 125Mo libres quand même hein), se dire « non, c'pas possible que ça soit ça, doit y avoir une autre cause, si les devs F-Droid ont affiché ce message d'erreur générique, c'est que toutes les tentatives d'identifier l'origine de l'échec de la mise à jour ont échouées ». Hé bah non...

Donc il faut 150Mo de libre pour mettre à jour une application et 1,2Mo. Et surtout, surtout, payes ton message d'erreur pas clair du tout ! Surtout que, d'après ce témoignage, une installation manuelle en dehors de F-Droid indique clairement l'origine du problème dans les logs donc les devs F-Droid doivent pouvoir remonter cette erreur ! Comment on peut imaginer toucher le grand public avec des messages d'erreur aussi mal foutus (je ne sais pas si c'est une install ou désinstall, moi je voulais juste mettre à jour une application, ce message d'erreur ne m'apprend rien autant juste me dire "Error") et effrayants ?! :/

« La section 5 de la Loi Freedom Act dispose clairement que cette Loi "amends the USA PATRIOT ACT" de 2005 "to extend (it) until December 15, 2019".

En second lieu, la deuxième fausse idée est de laisser croire que cette Loi ne porte que sur la collecte massive de métadonnées téléphoniques comme on a pu le lire ici ou là.

Il est vrai que, pour la première fois dans la Loi américaine, le Freedom Act traite de manière distincte le recueil de des métadonnées téléphoniques qui n’étaient pas distinguées précédemment des autres "business records", c'est à dire de toutes données, sous toutes formes et formats.

La Loi améliore la position des citoyens américains pour ces métadonnées téléphoniques en imposant désormais au FBI de poser une sélection, un filtre, pour leur collecte.

Autrement dit, les citoyens américains ne verront plus leurs métadonnées téléphoniques prises dans le filet géant de la collecte massive et indifférenciée des données.

Cependant, pour les "acquisitions targeting persons outside the United States" (50 USC 1881a), aucun critère spécifique de sélection n’est exigé, ni aucune autorisation judiciaire préalable, sauf pour apporter des garanties additionnelles aux citoyens américains qui seraient mentionnées à l’occasion de ces « acquisitions » ciblant des personnes en dehors du territoire américain.

[...]

Pire encore, le Freedom Act renforce le pouvoir de l’Attorney Général qui, en cas d’urgence, peut se passer de décision préalable du juge, exiger la communication de tous "business records" et n’obtenir l’aval d’un juge qu’a posteriori., pour les citoyens américains et les autres.

Enfin, le texte de loi confère désormais l’impunité, non seulement aux personnes fournissant les « business records » à la demande des autorités, principalement les hébergeurs, mais aussi dorénavant à ceux qui leurs fournissent des moyens et les assistent dans cette tâche.

Le Freedom Act apparaît donc comme un texte qui apporte des avancées pour les citoyens américains, avancées contrebalancées cependant par d’autres dispositions plus sévères. »

En référence à http://shaarli.guiguishow.info/?naWAZw. On retrouve des morceaux identiques à la loi Renseignement française : surveillance internationnale (donc nationale, une communication sur Internet reste rarement sur le territoire, aussi bien techiquement que par effet de réseau social) débridée, procédure d'urgence sans juge, et coopération des prestataires.

« Pendant les réunions physiques de l'IETF, il y a divers moyens de suivre la réunion en n'étant pas présent sur les lieux. Entre autres, il y a une pièce XMPP (protocole autrefois nommé Jabber, ce dernier nom restant très répandu) qui permet de poser des questions et de discuter. Une personne dont le rôle est important est le scribe : il ou elle est sur place et son travail est de relayer les remarques et commentaires dans les deux sens, par exemple en allant au micro lire les questions des participants distants.

[...]

D'où l'importance du rôle du « scribe Jabber ». Il est présent dans les différentes sessions d'une réunion IETF, notamment lors des réunions des groupes de travail, et c'est une ou un volontaire, personne n'est payé et désigné pour être scribe Jabber. Ce RFC décrit cette activité, les qualités nécessaires et comment faire pour être un bon scribe.

Premièrement, le bon scribe doit connaitre son public, les gens pour qui elle ou il travaille (section 2 du RFC). Il y en a trois catégories :
    * Les participants distants dont j'ai déjà parlé. Ils regardent les planches qui sont montrées dans la salle, ils écoutent le flux audio, mais ils voudraient aussi pouvoir intervenir (au passage, il faut se rappeler que l'IETF est une organisation ouverte, donc permettre à des gens qui n'ont pas eu le temps ou l'argent de venir est important politiquement).

    * Les participants qui sont sur le site mais sont physiquement dans une autre salle. Cela fait partie du folklore IETF de voir quelqu'un dans la salle où se réunit le groupe de travail 1 tout en suivant sur son ordinateur portable les activités des groupes de travail 2 et 3... Comme ils écoutent la salle où ils sont, ils n'ont en général pas branché le flux audio et ont donc besoin d'une pièce XMPP plus bavarde.

    * Les participants qui sont dans la salle physique, mais apprécient le fait que, dans la pièce XMPP, on peut communiquer par écrit (cela peut être plus simple pour les non-anglophones) ou simplement qu'on peut discuter sans déranger les autres (du genre « il a bien dit qu'on pouvait raccourcir un changement de clé à une semaine ? Et la section 2.2 du RFC 5011, alors, il y a pensé ? »)

[...]

Le serveur XMPP de l'IETF ne permet pas la création de compte : il faut avoir un compte existant chez un des innombrables fournisseurs XMPP (comme celui de la Quadrature du Net mais il en existe plein d'autres, XMPP n'étant pas un système centralisé).

[...]

Mais, dans le monde réel, il y a parfois des gens qui abusent, surtout dans la chaleur d'une vive discussion (IDN, par exemple...). Comment les gérer (section 8) ? Le scribe n'est pas censé tout relayer. Si un participant distant écrit dans la pièce XMPP « MIC: ce connard ne connait rien à la technique et devrait fermer sa gueule », le scribe n'est nullement obligé de répéter ce commentaire verbatim au micro. La meilleure solution est sans doute de demander à l'excité de refaire son commentaire de manière plus constructive. »

« Le 15 septembre dernier, le Conseil d’État a dévoilé les noms de ceux de ses membres qu’il a retenus pour le représenter au sein de la nouvelle Commission nationale de contrôle des techniques de renseignement (CNCTR). Cette nouvelle autorité, créée par la récente loi sur le renseignement du 24 juillet 2015, a vocation à remplacer la Commission nationale de contrôle des interceptions de sécurité (CNCIS) qui avait jusqu’à présent la charge de vérifier la légalité des écoutes effectuées sur demande du Premier Ministre. Dans son communiqué de presse, le Conseil d’État explique que, pour nommer ces membres, il s’est fondé sur l’article L. 831-1 du code de la sécurité intérieure (CSI).

Le même jour, le gouvernement nous informait que la Cour de cassation avait également procédé à la nomination des deux membres qu’il lui appartenait de choisir afin qu’ils siègent au sein de cette nouvelle commission. Cette fois, pourtant, le communiqué ne comportait aucune indication sur le fondement juridique de cette nomination.

Dans la foulée, l’Élysée annonçait que le Président de la République envisageait de nommer en tant que président de la CNCTR, Monsieur Francis DELON, l’un des deux membres de la CNCTR choisi par le Conseil d’État.

[...]

Ainsi, comment le Conseil d’État et la Cour de cassation peuvent-ils nommer des membres auprès de la CNCTR alors que l’article du Code de la sécurité intérieure qui leur confère ce pouvoir n’est pas encore entré en vigueur ?

[...]

La loi sur le renseignement, prise en son article 2, a créé un article L. 831-1 au sein du code de la sécurité intérieure qui détermine la composition de la CNCTR et les modalités de nomination et de désignation de ses membres, y compris de son président. [...] Le président de la CNCTR doit, quant à lui, être nommé par décret du Président de la République ; celui-ci devant choisir parmi les membres désignés par le Conseil d’État ou la Cour de cassation.

[...]

Or, cet article n’est pas encore entré en vigueur.

En effet, l’article 2 de la loi sur le renseignement, qui a notamment pour vocation d’introduire cet article L. 831-1 au sein du code de la sécurité intérieure, fait partie de ceux dont l’entrée en vigueur est retardée jusqu’à la publication du décret devant nommer le président de la CNCTR (cf. article 26 de la loi sur le renseignement).

[...]

Par conséquent, l’article L. 831-1 n’a pas pu entrer en vigueur et ni le Conseil d’État ni la Cour de cassation ne sont dès lors habilités à procéder à une quelconque nomination au sein de la CNCTR.

Il nous semble donc que les nominations opérées par le Conseil d’État et la Cour de cassation sont totalement dépourvues de fondement juridique et, dès lors, sans effet.»

Haha... Cocasse. Reste à voir les répercussions...

Via le twitter de Benjamin Bayart (https://twitter.com/bayartb/with_replies)