GuiGui's Show

OpenVPN sous Android sans l'appli bullshit (mais VPNService quand même) de Google ? C'est (presque) possible.

1) Installer son serveur OpenVPN ou souscrire à un service OpenVPN existant. Dans mon cas, j'utiliserai mon VPN ARN (http://arn-fai.net/node/49)

2) Transférer le fichier de configuration (.conf) sur l'ordiphone. J'utilise le même fichier de conf' que sur mon desktop, c'est-à-dire, celui fourni par ARN (https://wiki.ldn-fai.net/wiki/Tuto_Client_OpenVPN#Config_ARN). Pour transférer ce fichier sur la carte SD de mon ordiphone, j'utilise gmtp (voir : http://news.softpedia.com/news/How-to-Transfer-Files-from-Ubuntu-to-Android-341722.shtml). Si le fournisseur de VPN utilise une authentification par certificat, il faudra aussi transférer les fichiers suivants : votre certificat (.crt) et la clé privée associée (.key) ainsi que le certificat de l'autorité de certification (AC) du fournisseur de VPN.

3) Lancer l'application OpenVPN sur l'ordiphone et ouvrir (importer) le fichier de configuration comme indiqué sur l'écran d'accueil. Si le fournisseur de VPN utilise une authentification par certificat, il faudra changer les chemins vers la clé privée, votre certificat et le certificat d'AC du fournisseur de VPN car, dans le fichier de conf', les chemins sont différents de ceux sur votre desktop. C'est les gros boutons « sélectionner » juste après l'import de la conf'.

4) Si vous utilisez Netfilter en firewall, il faudra autoriser OpenVPN à établir des connexions via le WiFi ou 3G/4G, avec l'application afwall+, par exemple.

5) Lancer le VPN depuis l'interface d'OpenVPN. À ce stade là, vous avez un VPN IPv4 fonctionnel. Si vous utilisez Netfilter, pensez à autoriser vos applications (firefox, par exemple) à utiliser le VPN. ;)

6) Pour IPv6, c'est plus compliqué.
    Sous Cyanogen, il suffit simplement d'ajouter « tun-ipv6 » dans les paramètres du VPN, onglet « avancé », bouton « Options personnalisées » pour que ça fonctionne. Si votre fournisseur de VPN vous fourni un /xx (exemple : /56 chez ARN) en plus de votre IPv6 d'interconnexion et que vous voulez en profiter, il faudra aussi ajouter une ligne du type : « ifconfig-ipv6 <IPv6_dans_subnet_alloué>/xx <IP_gw> » en sachant que la gw se trouve dans le réseau d'interconnexion, normalement.

    Sous un Android KitKat (4.4.X) classique, rooté ou non, « tun-ipv6 » fera qu'OpenVPN configurera l'IP fournie par le serveur OpenVPN sur l'interface tun mais les routes sont totalement défectueuses (message dans le log OpenVPN sur l'ordiphone : « add_route_ipv6(::/0 -> <gw_fournisseur> metric -1) dev (null)). Il est donc possible de joindre l'ordiphone depuis le serveur OpenVPN mais même pas l'inverse ! Il n'est donc pas possible d'accèder à Internet en IPv6 dans un VPN ! Confirmations du problème : dans la doc officielle (https://community.openvpn.net/openvpn/wiki/IPv6) et chez un fournisseur de VPN (http://blog.igwan.net/post/2013/04/11/Un-tunnel-IPv6-pour-votre-Android-%28non-root%C3%A9%29).

On remarquera que ce « bug » dure depuis novembre 2013... C'est fonctionnel dans Android 5.0 (Lollipop)... Comme si j'avais envie de mettre à jour mon ordiphone pour risquer de perdre mon accès root...


Notes :
  * L'appli OpenVPN for Android parle de « redirection de ports » quand il s'agit d'ajout de route pour englober tout ou partie du trafic... C'est confusion sémantique profonde est dommageable à la compréhension de l'utilisateur, c'est dommage.

  * On notera que VPNService masque les routes. Faites un ip r s / ip -6 r s depuis un terminal (busybox) ou depuis un Debian (voir http://shaarli.guiguishow.info/?6y0PtQ) : on ne voit pas les routes ajoutées par le VPN. Pourtant, un traceroute confirme qu'on sort par le VPN...

  * IPv6, c'est pour demain, quoi qu'en dise les promoteurs de « IPv6 c'est aujourd'hui ». :((((

  * On est dépendant d'un service Google (VPNService) encore une fois et voilà les dégâts... Même sur un ordiphone rooté... Allôôôô. C'est dingue le pouvoir que les constructeurs ont à partir des choix techniques qu'ils font et des bugs qu'ils acceptent de corriger ou non... Genre là Igwan, FAI associatif de la FFDN proposait des VPN spécialement orientés pour fournir de l'IPv6 sur les ordiphones et ils ne peuvent plus... C'est du même acabit que Charlie Hebdo qui s'est auto-censuré de produire une application pour les produits Apple car ils savaient qu'ils seraient censuré par la morale puritaine de Jobs. C'est une atteinte au commerce. La neutralité des réseaux, c'est aussi la neutralité des terminaux d'accès ! C'est important.

Il serait injuste d’ailleurs de ne parler que de Google : d’autres entreprises comme Facebook, Apple, Amazon, etc., fonctionnent de la même façon. Leurs caractéristiques et manières d’agir sont communes.

Avant tout, s’imposer sur un domaine en fournissant le « meilleur » service. Que ce service soit simple d’utilisation, que l’exploitation massive de données et la « fermeture » soient organisées pour servir le client et lui apporter ce qu’il veut. Ce qu’il cherche. Qu’il ne se pose aucune question et soit satisfait dans ses besoins primaires : obtenir une réponse satisfaisante à sa recherche, trouver ou retrouver des amis et pouvoir échanger avec eux, trouver un livre, une musique, en trois clics.

[...]

Améliorer en permanence les services en se basant sur une centralisation et une exploitation massive des données personnelles et de navigation. Petit à petit, réduire le périmètre d’exploration et de navigation de l’internaute. Orienter les résultats, montrer des contenus « associés », reproposer encore et encore des contenus similaires. Détruire petit à petit ce qui est peut être la plus grande qualité d’Internet : la sérendipité, soit la possibilité de faire des découvertes accidentelles.

Après avoir réussi l’hégémonie, le monopole « horizontal », développer une concentration verticale. Posséder et développer toute la chaîne de production de l’Internet. Comme l’explique le texte que vous venez de lire, que Google tire ses propres câbles sous-marins ou produise son électricité est un signe majeur de la concentration inouïe du secteur. Un signe majeur de l’emprise verticale qu’une entreprise (au départ dédiée aux moteurs de recherche) a pu prendre sur le secteur technologique.

Il devient alors facile pour ces innovateurs talentueux, grisés par leur succès et idéologiquement convertis à une technophilie virant parfois au transhumanisme (la foi en l’amélioration physique et mentale de l’Humain par la technique), de rêver de vivre sans État et, via une transformation « liquide » et insensible des règles de la société, de faire le saut de l’utopie politique et sociale.

[...]

Oui, Google et ses comparses sont en train de dominer le monde et d’en créer un nouveau. Mais ils le peuvent parce que nous et nos États les laissons faire.

Quand la NSA (National Security Agency) n’a plus besoin de faire elle-même la collecte des données des internautes du monde entier pour pratiquer sa surveillance de masse, puisqu’elle n’a qu’à aller les chercher directement chez les géants de l’Internet, le gouvernement américain n’a aucun intérêt à ce que ce modèle économique basé sur les données personnelles ne s’arrête. Les services de renseignement du monde entier peuvent ensuite, sur le grand marché de la surveillance, venir chercher ce dont ils ont besoin.

[...]

Quand la Cour de justice de l’Union européenne demande à Google et aux moteurs de recherche de masquer, à leur discrétion, des résultats au nom du « droit à l’oubli », elle entérine le fait que la mémoire collective, le droit à l’information, qui passent aujourd’hui prioritairement par Internet, sont gérés par une entreprise privée. Hors de toute décision judiciaire, Google décide ce qui doit ou ne doit pas être accessible aux yeux du monde.

Quand les ayants droit de l’industrie de la culture et du divertissement demandent que les services Web cessent de donner accès à des contenus violant le droit d’auteur, là encore sans décision judiciaire, ils entérinent le fait que l’expression culturelle individuelle et le partage de contenus puisse être soumis aux choix des robots de Google. C’est ainsi qu’à la demande de ces ayants droit, des robots traquent, sur YouTube, les contenus qui leur semblent enfreindre les droits d’auteur et les suppriment sans discussion, entraînant de nombreux abus contre lesquels les internautes sont souvent impuissants à agir. La justice n’intervient pas en amont de ces décisions et c’est ensuite à l’internaute de prouver son « honnêteté » pour que ses contenus soient remis en ligne.

Quand des ministres du gouvernement français préfèrent que les services Web et les réseaux sociaux gèrent les abus de langage en « prenant leurs responsabilités », ils leur délèguent un de nos droits les plus fondamentaux : la liberté d’expression.

Quand des entreprises américaines comme Facebook ou Apple proposent à leurs employées de congeler leurs ovocytes pour les laisser « libres » de reporter leurs grossesses et leur permettre de ne pas « gâcher leurs carrières », c’est la vie privée dans ce qu’elle a de plus intime qui est prise en charge par l’entreprise.

Quand les pays africains se réjouissent qu’un Google ou un Facebook mettent en place gratuitement des infrastructures d’accès à Internet, sans se préoccuper de l’objectif final de ces entreprises, ils se défaussent de leurs responsabilités et acceptent que l’accès au monde numérique soit totalement dépendant des objectifs commerciaux de ces acteurs.

Ces exemples montrent qu’en actant, sans y réfléchir plus avant, la puissance phénoménale de ces nouvelles entreprises sur des pans de plus en plus grands de toute notre vie, bien au-delà des services mis en avant par les entreprises, les gouvernements et les citoyens ont baissé les bras ou n’ont, en tout cas, pas pris la mesure de ce qu’ils abandonnent à Google, à Facebook, à Apple, Amazon et autres géants.

[...]

Le monde ne se divise pas entre technophiles et technophobes. Penser ainsi, c’est entrer dans le jeu des United States of Google. C’est croire qu’on n’a le choix qu’entre un repli mortifère dans le passé ou une fuite en avant vers la gestion algorithmique de nos vies.

Il faut absolument lire ceux qui réfléchissent sur l’avenir du numérique. Comme Fred Turner, cité dans ce texte, qui montre brillamment comment l’utopie technophile ne peut servir d’alternative à la société politique. Qu’il faille changer de politique et que les gouvernements aient à se réinventer, cela paraît évident. Cela ne signifie surtout pas que l’on doive céder à la facilité en délégant la gestion de nos droits fondamentaux ou de la sphère publique à des entreprises dont la principale préoccupation est, évidemment, leur résultat économique. Non, Google ne nous offrira pas de vies meilleures. Google change le monde à son profit, et ce but est naturel pour une entreprise. À nous de savoir ce que nous voulons faire de ce monde numérique qui bouleverse nos vies depuis vingt ans.

[...]

Nous avons la chance de vivre une époque de mutation fondamentale dans l’histoire humaine. Il appartient collectivement à tous les acteurs de nos sociétés d’en faire une révolution au service de l’Homme et non un abandon généralisé de nos valeurs à quelques acteurs dominants ou à des États sans gouvernail.

Internet a donné la possibilité à chacun de faire entendre sa voix. Qu’en ferons-nous ? »

« et les deux fichiers, là, ils vont ensemble ?

Pour la clé privée :

openssl rsa -noout -modulus -in server.key | md5sum

Pour le certificat :

openssl x509 -noout -modulus -in server.crt | md5sum

Si le résultat est le même pour les deux commandes, alors votre clé privée et votre certificat sont bien pour le même nom de domaine, avec les mêmes caractéristiques (validité…)

[ NDLR : non, ça veut juste dire que le certificat contient bien la partie publique correspondant à la clé privée, c'tout ]

[...]

.chain ? késako

La directive SSLCertificateChainFile d'Apache2 permet d'indiquer l'emplacement du fichier comportant les certificats chaînés (merci mozilla pour l'explication), c'est à dire votre certificat ET les certificats de votre CA (comme startssl, gandi, comodo).

[ NDLR : SSLCertificateChainFile devient obsolète à partir d'Apache httpd 2.4.8, SSLCertificateFile suffit).  ]

Quand vous faites une requêtes (CSR) chez une CA, cette dernière, au moment de vous fournir votre certificat (.crt), vous indique (normalement) où se trouvent ses certificats à prendre dans votre cas.

Nous allons prendre comme exemple ici startssl vu qu'ils permettent d'avoir des certificats gratuits assez facilement. Une fois que j'ai fait ma requête via le formulaire en envoyant ma CSR et qu'ils m'ont fournit ma clé, je peux faire la manipulation suivante :

IMPORTANT : l'ordre dans le fichier doit commencer par le certificat le plus bas (nous), puis remonter progressivement vers le plus haut.

Imaginons que nous avons déjà notre clé privée (exemple.tld.key) et notre certificat (exemple.tld.crt) :

    télécharger le certificat intermédiaire de startssl :

wget https://www.startssl.com/certs/sub.class1.server.ca.pem

    puis le certificat root :

wget https://www.startssl.com/certs/ca.pem

puis on forge le certificat chaîné (ne pas oublier les 2 >>) :

cat exemple.tld.crt >> /etc/ssl/private/exemple.tld.chain
cat sub.class1.server.ca.pem >> /etc/ssl/private/exemple.tld.chain
cat ca.pem >> /etc/ssl/private/exemple.tld.chain

Et le tour est joué* \o/

[...]

s_client

Permet de faire des tests grâce à un client SSL (cf wiki.openssl.org)

openssl s_client -servername www.libwalk.so -connect www.libwalk.so:443

Attention à ne pas oublier -servername et le nom du site que vous voulez tester, sinon la commande prendra le certificat présenté par défaut sur le serveur (et donc pas forcément le bon…).

[...]

Pour plus de précisions, vous pouvez lire "Using OpenSSL’s s_client command with web servers using Server Name Indication (SNI)" pour faire connaissance avec notre ami le SNI (Server Name Indication). »

Via http://shaarli.cafai.fr/?CZvslQ

« Further, the Commission revised (FCC 14-30, ET Docket No. 13-39) the rules (effective June 2, 2014) for U-NII devices operating under Part 15 rules to require all devices to implement software security to ensure that the devices operate as authorized and cannot be modified. »

http://battlemesh.org/BattleMeshV8/Agenda :
« The new FCC rules are in effect in the United States from June 2nd 2015 [1] for WiFi devices such as Access Points. They require to have the firmware locked down so End-Users can't operate with non-compliant parameters (channels/frequencies, transmit power, DFS, ...). In response, WiFi access point vendors start to lock down firmwares to prevent custom firmwares (such as OpenWRT) to be installed, using code signing, etc. Since the same type of devices are often sold world wide, this change does not only affect routers in the US, but also Europe, and this will also effect wireless communities.
We would like to discuss:
* What are your experiences with recently certified WiFi Hardware
* How can we still keep OpenWRT on these devices
* What can we suggest to Hardware vendors so that they keep their firmware open for community projects while still compliant with the FCC? »

« Petit résumé. Au mois de janvier 2015, Google décidait de mettre à jour son application « Photos » afin de la lier à « Google+ », obligeant au passage à activer ladite application, sans pour autant avoir besoin d’un compte sur le réseau social.

Suite à de nombreuses remarques, au mois de mai de la même année, Google dissociait l’application « Photos » de son réseau social, sans changer réellement son fonctionnement. L’application se connecte toujours au Cloud de Google et héberge toujours les photos et vidéos du téléphone.

Lorsqu’on installe et active l’application, il y a donc synchronisation de vos contenus sur le cloud de Google…. tout fonctionne normalement, tout est merveilleux.

[...]

C’est que l’application « Photos » synchronise à la perfection vos photos et vidéos… même quand elle est désactivée ou supprimée.

[...]

Mieux ! La synchronisation fonctionne toujours en désactivant Google+ et même Google Drive, qui gère pourtant la connexion du téléphone au cloud Google.

Résumons à nouveau : si vous avez, un jour, installé l’application « Photos », qu’elle soit maintenant désinstallée ou désactivée, il est possible que vos photos et vidéos soient encore synchronisées sur le cloud de Google, bref, sur l’ordinateur de quelqu’un d’autre sur lequel vous n’avez aucun pouvoir.Google répond qu’il suffit de désactiver la synchronisation des photos depuis son compte Google, ce qui semble effectivement fonctionner, mais qu’en est-il des contenus déjà récupérés par les services de la firme ?Qu’en est-il du traitement et de l’exploitation des données récupérées « à l’insu » de l’utilisateur ?Enfin, qu’est-ce qui me confirme que c’est réellement supprimé ? Ce n’est pas parce que cela n’apparait plus sur mon espace de stockage que cela n’existe plus, l’expérience Facebook l’a démontré : lorsque vous supprimez un message privé, il n’est pas réellement supprimé, vous ne pouvez plus le voir mais il reste stocké sur les serveurs de Facebook.Google semble déclarer qu’il s’agit d’un bug mais – même si je suis conscient d’être un peu parano – qu’est-ce qui me dit que c’est réellement un bug ? Combien de contenus ont été récupérés ainsi ? Combien d’utilisateurs sont au courant de ce problème ? »

« Today I discovered a nifty way to do socket programming in bash without the need for netcat (nc) or telnet: /dev/tcp. Say you want to connect to Google and fetch their front page. Just do this:
exec 3<>/dev/tcp/www.google.com/80
echo -e "GET / HTTP/1.1\n\n" >&3
cat <&3 »

+ exec 3<& ; exec 3>&- pour fermer les descripteurs.

Amusant (et intéressant de voir que Bash a aussi ça en fonctionnalité interne) mais ça s'arrête là. :)

Via http://home.michalon.eu/shaarli/?vh0JUw mais la ressource pointée foire avec Firefox d'où mon choix d'une autre ressource pour expliquer la même chose. :)

« J'avais besoin d'une implémentation de "sendmail" simple, qui ne prenne pas un port, et ne demande pas de configuration autre qu'un relais à utiliser. Je me suis rappelé avoir vu passer "ssmtp", un petit MTA de rien du tout fait justement pour ça. Nickel si on a par exemple un conteneur mail tout bien configuré et qu'on veut permettre à d'autres conteneurs de sortir sans gérer d'autre serveur de mail. »

Excellent. \o/

Via http://home.michalon.eu/shaarli/?Ty3P9Q

Tu veux écrire la date de la prise de vue en texte sur la photo elle-même à partir des données exif, sur un lot de photos ? En haut à gauche, en rouge et en 72 points ? Pas de problèmes : mogrify -gravity NorthWest -pointsize 72 -fill red -annotate 0 "%[EXIF:DateTimeOriginal]" *.JPG

Tu veux pas que le texte soit en haut à gauche mais un peu plus bas ? Aucun problème, suffit de changer l'argument passer à "-annotate" : mogrify -gravity NorthWest -pointsize 72 -fill red -annotate 0x0+10+300 "%[EXIF:DateTimeOriginal]" *.JPG

Pour la liste des champs/tags exif : http://www.exiv2.org/tags.html

Imagemagick < 3

Merci à b4n pour sa lecture guidée du man : « "Mogrify overwrites the original image file, whereas, convert(1) writes to a different image file." -- signé, le man ». Donc des boucles for avec des convert dedans qui ont pour seul but de récupérer le nom original du fichier pour demander à convert de l'écraser, c'est mal...

« Sale temps pour la liberté d'expression sur Internet. Alors qu'après avoir obtenu la «  jurisprudence Dieudonné  » l'an dernier1, le gouvernement français vient de consacrer le retour de la censure administrative en droit français avec le décret sur le blocage de sites Internet2  ; alors que le passage du délit d'apologie du terrorisme dans le code pénal décidé par le Parlement à l'automne se traduit par des dizaines de condamnations totalement disproportionnées à des peines de prison ferme3 ; alors que le secret des affaires reste à l'agenda européen4 tandis que la protection des sources piétine au niveau national, une nouvelle menace se fait jour : le dévoiement de la loi Godfrain du 5 janvier 1988 relative à la fraude informatique. Plusieurs évolutions récentes, dont un arrêt de la Cour de cassation rendu le 20 mai dernier, montrent en effet que cette loi, depuis intégrée aux articles 323-1 à 323-7 du code pénal, pourrait bien devenir le nouvel ami des censeurs.

[...]

Affaire Bluetouff : du délit de maintien dans l'espace public à des fins journalistiques

L'affaire Rachida Dati : l'exploitation d'une faille de sécurité à des fins parodiques n'est pas du goût des juges
Avoir respectivement édité et hébergé le site Tweetpop.fr, qui parodiait le site officiel de l'élue pour permettre aux internautes de rédiger de faux communiqués de presse. N'importe qui pouvait ainsi proposer un texte destiné à être injecté sur le site officiel de Rachida Dati. À travers une banale faille de sécurité dite XSS, il était en effet possible d'afficher sur ce dernier n'importe quel texte inséré dans l'URL.

[...]

L'affaire Greenrights : manifestation pacifique ou cyber- terrorisme ?

La troisième affaire concerne la mouvance « hacktiviste » Anonymous. En mars 2011, suite à l'accident nucléaire de Fukushima, des collectifs « Anons » souhaitent exprimer leur indignation face à l'industrie nucléaire. Pour ce faire, ils vont recourir à mode d'action politique qui revient sur le devant de la scène depuis quelques mois : les attaques distribuées par déni de service (DDoS, selon l'acronyme anglais). [...] Richard Stallman, fondateur du mouvement du logiciel libre, défend alors ces actions comme l'équivalent numérique de sit-ins et autres manifestations dans l'espace public15. [...] Après huit mois d'enquête, la DGSI procède en janvier 2012 à trois arrestations. Parmi eux, Pierrick Goujon, alias Triskel, 29 ans à l'époque, qui gère un site fournissant des liens passerelles vers des salons de discussion IRC, et dont l'adresse URL s'était retrouvée sur un tract Anonymous consacré à l'opération Greenrights. Son adresse IP a également été relevée sur les serveurs d'EDF au moment du DDoS.

[...]

À propos du préjudice estimé par EDF, il indique que « l’attaque était prévue pour ne pas endommager le serveur, pour que le site fonctionne de nouveau normalement à la fin du DDoS. Donc, il n’y a eu aucunes détériorations, pas de piratage, pas d’intrusions d’infrastructures ou autres, pas de divulgations de données sensibles. De plus, comme pour une grève, nous avions fait une vidéo pour prévenir EDF de la date et de l’heure de l’attaque ». Il rejette les accusations portées contre lui, pointant le caractère politique et légitime de l'action de DDoS : « Ce n’est en rien une entente en vue de commettre une infraction ou une manifestation dans le but de faire passer des idées n’a rien d’illégale ».

[...]

la procureure insiste et tente de présenter IRC – l'un des plus anciens protocoles de messagerie en ligne – comme un outil destiné à l'action politique clandestine : « On sait tous qu’IRC est très majoritairement utilisé pour définir des dates et des cibles. Dans ce dossier, c’est très clairement passé par ces canaux qui sont très peu faciles d’accès par le néophyte »

[ NDLR : c'est excellent ça : dénoncer le fait qu'IRC est difficile d'accès pour un néophyte tout en condamnant la mise à disposition de passerelles web accessibles au plus grand nombre... ]


Quel bilan peut-on tirer de ces trois affaires ?

Elles révèlent d'abord que la loi Godfrain peut s'appliquer à trois des fonctions démocratiques
essentielles de la liberté d'expression et d'information, à savoir : critiquer ceux qui exercent un mandat public et nous gouvernent, le cas échéant à distance des canons de la bienséance en se livrant à des exercices de carnavalisme politique moquant les puissants, avec des propos qui « heurtent, choquent ou inquiètent » selon l'expression consacrée de la Cour européenne des droits de l'Homme (affaire Rachida Dati) ; surveiller le pouvoir et porter à la connaissance du public des informations capables d'éclairer le débat démocratique (affaire Bluetouff)  ; protester, exprimer son opposition à une mesure ou des politiques (affaire Greenrights)19. Or, à chaque fois, les moyens engagés pour poursuivre les personnes concernées et l'acharnement du ministère public témoignent d'une absolue détermination dans la volonté des autorités de lutter contre les formes innovantes que peuvent prendre chacune de ces trois fonctions sur Internet. Le droit de la fraude informatique semble instrumentalisé dans des procès qui paraissent surdéterminés par l'enjeu politique au cœur de chacune de ces affaires.

[...]

La loi Godfrain permet ainsi à la répression d'expressions politiques de s'affranchir des règles protectrices des libertés publiques, ce dont témoigne l'absence quasi-totale de prise en compte des implications et exigences de la liberté d'expression et de manifestation par les magistrats dans ces affaires.

[...]

À cette explication politique de la sévérité de la réponse des autorités s'ajoutent des aspects proprement juridiques, qui conduisent à un traitement disproportionné lorsqu'ils sont appliqués à ces formes de participation politique. C'est le cas par exemple des spécificités procédurales du droit de la fraude informatique, et en particulier le rôle joué par les services de renseignement20.

[NDLR : L'ANSES est un opérateur d'importance vitale (OIV). De ce fait découle l'implication de la DGSI. Point. On peut être en désacord avec cela car ça permet à l'État de couvrir ses arrières et de dissimuler des informations au public mais on ne peut pas relever qu'il s'agit d'une spécificité procédurale... ]

[...]

Il y a ensuite l'échelle des peines, là encore disproportionnée. [...] Un DDoS ou la défiguration d'un site d'une entreprise comme EDF – par exemple pour afficher sur
la page d'accueil un placard revendicatif, également typique du répertoire d'action hacktiviste – sont punis bien plus sévèrement que leurs équivalents du monde physique. Ainsi, les tags ou graffitis non-autorisés sur la façade du siège social de l'entreprise auraient été punis au
maximum de 3750 € d'amende et d'un travail d'intérêt ou de deux ans d'emprisonnement et 30 000 euros d'amende, selon que les dommages occasionnés soient jugés légers ou importants. Le cyber-vandalisme du site edf.com, annoncé plusieurs jours à l'avance et qui eut pour effet principal de saturer temporairement le standard téléphonique, est quant à lui directement passible de cinq ans d'emprisonnement et de 75 000 euros d'amende.

[...]

Enfin, un troisième aspect joue un rôle fondamental dans l'application disproportionnée du droit pénal de la criminalité informatique : l’insuffisante maîtrise des questions techniques par nombre de magistrats.

[NDLR : NON, NON, NON et NON ! Les magistrats, tout comme les parlementaires n'ont pas à avoir une compétence technique forte pour délibérer ! C'est impossible d'avoir une compétence technique forte dans tous les domaines de toutes les affaires qu'ils ont à traiter ! Il y a des auxiliaires pour ça : les experts judiciaires pour les magistrats et les assistants parlementaires pour les parlementaires (oui, le conseil n'est pas leur rôle principal et de loin, mais en échangeant avec des parlementaires, on se rend bien compte qu'ils ont un assistant parlementaire qui s'occupe plutôt des questions qui tournent autour du numérique, un autre autour des questions de santé/climat,... et l'on perçoit qu'ils les aident à se construire opinion et argumentaire).

Deuxième point : la loi devrait-elle être écrite que par des gens qui connaissent bien le sujet ? Informaticiens pour informatique, santé par les médecins ou par les groupes pharma au détriment du patient ? Répression du banditisme par les seuls policiers au détriment des libertés ou par les bandits (après tout, ils connaissent bien le sujet, eux aussi) ? Les lois sur le financement de partis politiques par des experts fraudeurs du domaine ? Mêmes questions pour la justice. Non, ce qu'il faut, c'est de la culture générale et une méthodologie (remise en question, recherches, croisement des sources, analyse, méthodologie,...) comme l'école de la République est missionnée de l'apporter à tout citoyen. Dans le cas d'Internet, il faut comprendre ses caractéristiques premières (réseau dématérialisé mondial sans centre et sans chef) et ses effets sociétaux (horizontalité, difficile à censurer, liberté d'expression pour tous, reproduction à coût marginal nul,...), c'est tout !
Si ces pré-requis (culture générale et présence d'auxiliaires pour les points ultra-techniques) sont remplis, alors un système mélangeant plusieurs personnes (c'est le cas de notre parlement et des juges dans un procès) produira un résultat potable et surtout équilibré, àmha. ]

Malheureusement, les dérives illustrées par ces trois affaires ne sont que les manifestations d'une tendance plus générale. Dès l'apparition du répertoire d'action hacktiviste dans les années 1990, la tentation des États était grande de considérer ces formes d'action politique comme relevant du « cyber-terrorisme »24.

[...]

En janvier 2013, alors qu'Europol inaugurait son nouveau centre dédié à la lutte contre la cybercriminalité, le European Cybercrime Center, son directeur fraîchement nommé citait parmi les priorités du centre la lutte contre le «  cyberactivisme  » aux côtés des attaques informatiques étatiques et des activités terroristes. Dans les discours des décideurs, l'hacktivisme apparaît ainsi souvent comme une catégorie fourre-tout, mêlant toutes formes de criminalité informatique conduite à des fins politiques.

[...]

En fait, l'exagération de la menace semble avant tout destinée à justifier un traitement uniquement répressif de l'hacktivisme, et ce afin de l'exclure des formes de participation politique réputées légitimes.

[...]

En France, l'article 17 de la loi de novembre 2014 sur la lutte contre le terrorisme accentue également la portée répressive de la loi Godfrain. Les infractions prévues par cette dernière sont désormais susceptibles d'être reconnues comme étant commises « en bande organisée ». Cette réforme permet aux enquêteurs de mobiliser l'ensemble des procédures et moyens d'enquêtes propres à la lutte contre la criminalité organisée, et aux juges de prononcer des sanctions encore plus sévères. [...] les seuls actes récents susceptibles d'entrer dans le champ d'une telle disposition au moment de son adoption étaient les DDoS conduits par Anonymous dans l'opération Greenrights. Et de fait, en avril 2015, le Parquet a retenu la circonstance aggravante de faits commis «  en bande organisée  » contre deux militants se revendiquant de l'étiquette Anonymous. Ces derniers sont soupçonnés d'avoir pris part à des DDOS contre des sites institutionnels – ceux du conseil régional de Lorraine et de l'Agence nationale de gestion des déchets radioactifs – dans le cadre d'une campagne contre l'enfouissement des déchets nucléaires.28 »

Je me note quand même que le traitement des affaires présentées n'est pas différent des actions judiciaires qui ont eu lieu dans le passé pour faire taire / "pour casser" des opposants dérangeants sur lesquels on n'a aucune prise : tout était bon pour les faire tomber, même des prétextes débiles. Ces affaires ne sont que la manifestation à l'heure numérique d'un effritement entre ceux qui ont une forme de pouvoir pouvoir et ceux qui ne l'ont pas. Le seul moyen de lutter contre ça est une législation qui pose suffisamment de verrous. C'est d'ailleurs ce que réclame la Quadrature dans chacun de ses combats et qui la fait passer pour un groupe d'intégristes paranos alors que des textes forts et complets sont un pré-requis !

« Lsyncd watches a local directory trees event monitor interface (inotify or fsevents). It aggregates and combines events for a few seconds and then spawns one (or more) process(es) to synchronize the changes. By default this is rsync. Lsyncd is thus a light-weight live mirror solution that is comparatively easy to install not requiring new filesystems or blockdevices and does not hamper local filesystem performance. »

Pourquoi je n'ai toujours pas shaarlié ce soft depuis le temps ?!