GuiGui's Show

À lire absolument.

« Last week during a casual conversation I overheard a colleague saying: "The Linux network stack is slow! You can't expect it to do more than 50 thousand packets per second per core!"

That got me thinking. While I agree that 50kpps per core is probably the limit for any practical application, what is the Linux networking stack capable of? Let's rephrase that to make it more fun:

On Linux, how hard is it to write a program that receives 1 million UDP packets per second?

[...]

While we could have used the usual send syscall, it wouldn't be efficient. Context switches to the kernel have a cost and it is be better to avoid it. Fortunately a handy syscall was recently added to Linux: sendmmsg. It allows us to send many packets in one go. Let's do 1,024 packets at once.

With the naive approach we can do between 197k and 350k pps. Not too bad. Unfortunately there is quite a bit of variability. It is caused by the kernel shuffling our programs between cores. Pinning the processes to CPUs will help

[...]

While 370k pps is not bad for a naive program, it's still quite far from the goal of 1Mpps. To receive more, first we must send more packets. How about sending independently from two threads: [...] The numbers on the receiving side didn't increase. ethtool -S will reveal where the packets actually went: [...] Through these stats, the NIC reports that it had successfully delivered around 350kpps to RX queue number #4. The rx_nodesc_drop_cnt is a Solarflare specific counter saying the NIC failed to deliver 450kpps to the kernel.

Sometimes it's not obvious why the packets weren't delivered. In our case though, it's very clear: the RX queue #4 delivers packets to CPU #4. And CPU #4 can't do any more work - it's totally busy just reading the 350kpps. Here's how that looks in htop

[...]

Historically, network cards had a single RX queue that was used to pass packets between hardware and kernel. This design had an obvious limitation - it was impossible to deliver more packets than a single CPU could handle.

To utilize multicore systems, NICs began to support multiple RX queues. The design is simple: each RX queue is pinned to a separate CPU, therefore, by delivering packets to all the RX queues a NIC can utilize all CPUs. But it raises a question: given a packet, how does the NIC decide to which RX queue to push it?

Round-robin balancing is not acceptable, as it might introduce reordering of packets within a single connection. An alternative is to use a hash from packet to decide the RX queue number. The hash is usually counted from a tuple (src IP, dst IP, src port, dst port). This guarantees that packets for a single flow will always end up on exactly the same RX queue, and reordering of packets within a single flow can't happen.

[...]

This is pretty limited, as it ignores the port numbers. Many NICs allow customization of the hash. Again, using ethtool we can select the tuple (src IP, dst IP, src port, dst port) for hashing: [...] Unfortunately our NIC doesn't support it - we are constrained to (src IP, dst IP) hashing.

[...]

Since the hashing algorithm on our NIC is pretty limited, the only way to distribute the packets across RX queues is to use many IP addresses.

Hurray! With two cores busy with handling RX queues, and third running the application, it's possible to get ~650k pps!

[...]

We can increase this number further by sending traffic to three or four RX queues, but soon the application will hit another limit. This time the rx_nodesc_drop_cnt is not growing, but the netstat "receiver errors" are [...] This means that while the NIC is able to deliver the packets to the kernel, the kernel is not able to deliver the packets to the application. In our case it is able to deliver only 440kpps, the remaining 390kpps + 123kpps are dropped due to the application not receiving them fast enough.

The receiving performance is down compared to a single threaded program. That's caused by a lock contention on the UDP receive buffer side. Since both threads are using the same socket descriptor, they spend a disproportionate amount of time fighting for a lock around the UDP receive buffer.

[...]

Fortunately, there is a workaround recently added to Linux: the SO_REUSEPORT flag. When this flag is set on a socket descriptor, Linux will allow many processes to bind to the same port. In fact, any number of processes will be allowed to bind and the load will be spread across them.

With SO_REUSEPORT each of the processes will have a separate socket descriptor. Therefore each will own a dedicated UDP receive buffer. This avoids the contention issues previously encountered

1.126M pps  34.374MiB / 288.354Mb [...] This is more like it! The throughput is decent now!

More investigation will reveal further room for improvement. Even though we started four receiving threads, the load is not being spread evenly across them [...] wo threads received all the work and the other two got no packets at all. This is caused by a hashing collision, but this time it is at the SO_REUSEPORT layer.

[...]

I've done some further tests, and with perfectly aligned RX queues and receiver threads on a single NUMA node it was possible to get 1.4Mpps. Running receiver on a different NUMA node caused the numbers to drop achieving at best 1Mpps.

To sum up, if you want a perfect performance you need to:

    Ensure traffic is distributed evenly across many RX queues and SO_REUSEPORT processes. In practice, the load usually is well distributed as long as there are a large number of connections (or flows).

    You need to have enough spare CPU capacity to actually pick up the packets from the kernel.

    To make the things harder, both RX queues and receiver processes should be on a single NUMA node.

While we had shown that it is technically possible to receive 1Mpps on a Linux machine, the application was not doing any actual processing of received packets - it didn't even look at the content of the traffic. Don't expect performance like that for any practical application without a lot more work. »

« En droit, une signature sert à indiquer un accord sur le document signé, ou au moins un accusé de réception. Quand un juge voit un document papier signé par Alice, il sait que cette dernière a tenu le document dans ses mains, et a des raisons de croire qu'Alice a lu et accepté le contenu du document. La signature fournit la preuve des intentions d'Alice. (C'est une simplification. À quelques exceptions près, vous ne pouvez pas produire un document signé au tribunal et affirmer qu'Alice l'a signé. Vous devez obtenir qu'Alice témoigne qu'elle a signé, ou recourir à des expertises, et puis c'est votre parole contre la sienne. C'est pourquoi les signatures notariées sont utilisées dans de nombreuses circonstances.)

Lorsque le même juge voit une signature numérique, il ne sait rien sur les intentions d'Alice. Il ne sait pas si Alice a accepté le document, ou même si elle ne l'a jamais vu.
Le problème est que, si une signature numérique authentifie le document jusqu'à l'étape de l'ordinateur de signature, il n'authentifie pas la liaison entre l'ordinateur et Alice. C'est un point subtil. Je voudrais une fois pour toutes expliquer les mathématiques de signatures numériques avec des phrases comme : « Le signataire calcule une signature numérique du message m en calculant m ^ e mod n. » C'est complètement absurde. J'ai signé numériquement des milliers de documents électroniques, et je n'ai jamais calculé m ^ e mod n de toute ma vie. Mon ordinateur fait ce calcul. Je ne signe rien du tout ; c'est mon ordinateur qui signe.

PGP est un bon exemple. Ce programme de sécurité de courriel me permet de signer numériquement mes messages. L'interface utilisateur est simple : quand je veux signer un message, je sélectionne l'élément de menu approprié, j'entre mon mot de passe dans une boîte de dialogue, et je clique sur « OK ». Le programme décrypte la clé privée avec le mot de passe, puis calcule la signature numérique et l'ajoute à mon courriel. Que je le veuille ou non, c'est un article de foi complet de ma part de croire que PGP calcule une signature numérique valide. C'est un article de foi d'admettre que PGP signe le message que j'entends signer. C'est un article de foi de penser que PGP n'envoie pas une copie de ma clé privée à quelqu'un d'autre, qui peut alors signer ce qu'il veut en mon nom.

Je ne veux pas calomnier PGP. C'est un bon programme, et s'il fonctionne correctement, il signera en effet ce que je voulais signer. Mais un escroc pourrait facilement écrire une fausse version du programme qui affiche un message sur l'écran et signe un autre. Quelqu'un pourrait écrire un plug-in de Back Orifice qui capte mes clés et signe les documents privés sans mon consentement ou à mon insu. Nous avons déjà vu un virus informatique qui tente de dérober les clés privées PGP ; des variantes plus méchantes sont certainement possibles.

Cela ne veut pas dire que les signatures numériques sont inutiles. Il y a de nombreux cas où les insécurités discutées ici ne sont pas pertinentes, ou lorsque la valeur en dollars des signatures est suffisamment petite pour ne pas s'en soucier. Il y a aussi des cas où l'authentification à l'ordinateur de signature est suffisamment bonne, et où aucune autre authentification n'est requise. Et il y a des cas où les relations du monde réel peuvent parer aux exigences légales que les signatures numériques ont été requises à satisfaire.

Les signatures numériques prouvent mathématiquement qu'une valeur secrète connue sous le nom de clé privée était présente dans un ordinateur au moment ou la signature d'Alice a été calculée. C'est un petit pas de plus que de supposer qu'Alice ait entré cette clé dans l'ordinateur au moment de la signature. Mais c'est un pas beaucoup plus grand de supposer qu'Alice ait eu l'intention de signer un document particulier. Et sans un ordinateur inviolable auquel Alice fait confiance, vous pouvez vous attendre à ce que des « experts en signature numérique » se présentent au tribunal pour contester un grand nombre de signatures numériques. »

Via http://korben.info/news/pourquoi-les-signatures-numeriques-ne-sont-pas-des-signatures

Tiens, la Suisse aussi révise sa législation encadrant les services de renseignement ?! Moi qui pensait que la Suisse étant comme l'Allemagne : irréprochable (https://shaarli.guiguishow.info/?z29rSg). Même que Snowden en dit du bien et que Phil Zimmermann veut y vivre. L'herbe est toujours plus verte chez le voisin, hein. Boom, bitches, deal with it ! :)

C'est affligeant, c'est le même contexte/prétexte que nous (terrorisme), les mêmes moyens (surveillance des communications sous autorisation limitée dans le temps, vue et sonorisation des lieux privés, installer des chevaux de Troie), ils ont aussi un Cazeneuve/Valls local (Ueli Maurer),... Reste à voir les contre-pouvoirs prévus.


« Le projet de loi sur le renseignement vise à donner davantage de moyens au Service de renseignement de la Confédération, notamment pour lutter contre le terrorisme.

Le texte, accepté en mars par le Conseil national, doit maintenant passer devant le Conseil des Etats. Rejeté par la gauche, qui brandit la menace d'un référendum, il suscite de vives inquiétudes concernant la protection des données.

[...]

Pour le conseiller fédéral Ueli Maurer, la réponse est toute trouvée: "Il faut réduire la liberté d’une minorité de criminels pour garantir celle de la majorité des gens".

[...]

Le SRC pourrait donc procéder à des "recherches spéciales":
  - Surveiller des communications (courriers, téléphone, courriel) moyennant une autorisation limitée dans le temps.

  - Observer des faits dans des lieux privés (et au besoin y installer des micros)

  - Perquisitionner secrètement des systèmes informatiques et y installer des "chevaux de Troie"

[...]

La majorité du Conseil national a estimé nécessaire, lors de la session de printemps du Parlement en mars dernier, d'offrir davantage de moyens au Service de renseignement de la Confédération (SRC) afin, notamment, de lutter contre le terrorisme. La Chambre basse a donc accepté le projet de nouvelle loi sur le renseignement (LRens).

Les exactions du groupe Etat islamique ainsi que les attentats de Paris et de Copenhague en janvier dernier ont joué un rôle déterminant dans le débat.

De nombreuses craintes ont toutefois été formulées par les partis de gauche, notamment celle d'une nouvelle "affaire des fiches" ou d'une surveillance généralisée du réseau internet. »

« Le 3 juin, WikiLeaks a publié l’ébauche d’un texte destiné à devenir le plus grand accord commercial international dont vous ayez jamais entendu parler: le Trade in Services Agreement (Accord sur le commerce des services), ou Tisa. Et dans l’un des douze chapitres qui ont fuité (qui traitent principalement de sujets comme «les services de transport aérien» ou la «compétitivité des services de livraison») se cache un débat capital sur la vie privée en ligne et l’Internet mondial.

[...]

Mais le Tisa est différent. Le projet qui a fuité, proposé par les États-Unis et plusieurs autres pays, déclare qu’un gouvernement ne peut empêcher une société étrangère de services de «transférer [accès, traitement ou stockage] des informations, y compris personnelles, à l’intérieur ou à l’extérieur de son territoire». Pour résumer, cela revient à dire que les mesures de protection de la vie privée peuvent être traitées comme des freins au commerce.

Cela pourrait s’appliquer à la plupart des règlements relatifs à la vie privée puisqu’ils s’appliquent aux sociétés étrangères (et pas uniquement au sein de l’UE). Cela s’appliquerait aussi aux réglementations américaines envers les sociétés étrangères. Par exemple, la loi américaine sur les données médicales impose que le patient donne son consentement pour que les données relatives à sa santé soient partagées. Techniquement, c’est une restriction sur les transferts d’informations et elle pourrait donc être invalidée par le Tisa si rien ne change.

Nous ne pouvons savoir si ce projet figurera finalement dans l’accord final. Mais, si c’est le cas, la question cruciale sera de savoir dans quelle mesure les réglementations sur la vie privée (comme la loi américaine sur les données médicales ou les lois européennes de protection des données) pourraient en être exemptées.

[...]

Si cela semble compliqué… c’est que ça l’est. Le point important est que cet accord commercial renferme un débat crucial sur les capacités des gouvernements à protéger efficacement les libertés civiles. Et il n’est pas considéré comme un débat sur les droits de l’homme. Il est traité uniquement comme une question économique, en ignorant les implications pour les droits de l’homme, et il est gardé dans un document classé confidentiel, que le public ne voit qu’aujourd’hui, soit des mois après sa négociation, et seulement parce qu’il a été divulgué par WikiLeaks.

Tout ce que contient le Tisa n’est pas à jeter. Assurer la protection d’un Internet mondial et ouvert grâce au commerce pourrait être, en théorie, une bonne idée. Mais ces points devraient être ouvertement débattus et non pas vendus dans le cadre d’un énorme accord qui traite aussi bien de la vie privée sur Internet que des services de transports maritimes. »

« Les chercheurs Joseph Turow, Michael Hennessy et Nora Draper ont publié une très intéressante enquête qui souligne que le marketing a dénaturé la relation qu’il entretient avec les consommateurs sur la question des données personnelles.

Le marketing nous répète que les consommateurs sont satisfaits de céder leurs données personnelles en échange d’offres personnalisées – tout comme les politiques « nous assurent que les citoyens sont prêts à renoncer à leur vie privée pour plus de sécurité », ironise le sociologue Antonio Casilli sur Facebook.

[...]

Mais ce discours sous-entend un raisonnement fallacieux : celui d’un compromis, d’un arbitrage librement consenti et mutuellement avantageux pour les individus et les entreprises. Or, les consommateurs ne pensent pas que ce compromis soit équitable.

[...]

Selon les chercheurs, le choix de fournir des informations personnelles à des commerçants ne s’explique pas par une mauvaise connaissance des tenants et aboutissants du commerce numérique. En fait, les gens qui en savent le plus sur les pratiques du marketing en ligne et comment celui-ci exploite leurs données sont plus susceptibles que les autres d’accepter de céder leurs données.

[...]

Par exemple, lorsque ces scénarios sont transposés dans la vie réelle et qu’ils montrent la réalité de l’intrusion qu’ils représentent – repensez à l’histoire du boulanger : la vidéo ci-dessous, produite par une organisation de consommateurs danois, montre les réactions des consommateurs quand leur boulanger leur demande les mêmes informations que bien des applications :
    « J’aimerais consulter les cinq derniers SMS que vous avez envoyés » ;
    « J’aimerais connaître votre numéro de téléphone » ;
    « Où étiez-vous hier à 20 heures ? » ;
    « Je viens avec vous pour voir où vous allez. »

[...]

     « La démission du public se produit quand une personne pense qu’un résultat indésirable est inévitable et se sent impuissante à l’arrêter.

    Plutôt que de se sentir capables de faire des choix, les Américains croient qu’il est futile de gérer ce que les entreprises peuvent apprendre à leur sujet. L’étude souligne que plus de la moitié des consommateurs américains ne souhaitent pas perdre le contrôle sur leurs informations, mais pensent aussi que cette perte de contrôle a déjà eu lieu. »

[NDLR : ok donc les gens ne sont pas juste stupides : ils sont des larves stupides. On est fixé. :) ]

Bien sûr, pour de nombreuses personnes, le fait que les services que l’on utilise se souviennent et apprennent de nos préférences est plus un avantage qu’un problème, rappelle le New York Times en revenant sur l’enquête, mais beaucoup d’entre eux comprennent mal les politiques de confidentialité. 58% des consommateurs pensent, à tort d’ailleurs, que quand un site web a une politique de confidentialité, cela signifie que le site ne partagera pas leurs informations sans leur permission…

[...]

Exposés à la réalité de la surveillance, bien des gens sondés en refusent les offres. Ainsi 43% des répondants ont dit qu’ils accepteraient un rabais si un supermarché gardait des enregistrements détaillés de leurs achats, mais seulement 19% qu’ils les accepteraient si le supermarché pouvait les utiliser pour faire des hypothèses sur leur origine ethnique – et ce alors que beaucoup détiennent déjà ces données et qu’ils peuvent faire ce type de corrélation.

[...]

Comme beaucoup d’utilisateurs de bien d’autres applications, il faudra se résigner à ce que nos données soient extraites par-devers nous ou refuser d’utiliser le service. Un choix qui n’est pas un choix puisqu’un consentement non explicite n’est pas un consentement.

[NDLR :  ha bah oui, il faut accepter de faire des choix radicaux, le monde ne change pas tout seul, les mauvaises pratiques ne disparaissent pas toutes seules. Sans blague... ] »

Ok donc on doit axer notre information en prenant en compte : stupidité, méconnaisance du vocabulaire (politique de confidentialité, c'est pas nouveau hein) et comportement de vraie larve qui ne cherche pas plus loin que le bout de son nez. JOIE.

Via http://korben.info/news/donnees-persos-nous-sommes-resignes-pas-consentants-rue89

« On les croise un peu partout dans la capitale malienne : aux carrefours, dans les gares et les marchés. Armés d’ordinateurs portables, les "téléchargeurs" peuvent vous retrouver n’importe quelle chanson, même les moins connues. Puis ils les transfèrent sur un CD ou, plus fréquemment, directement sur votre téléphone portable. Pratique dans un pays où tout le monde n’a pas accès à Internet...

Mais ce n’est pas tout : ils donnent aussi des conseils, font découvrir des nouveautés – bref, ils sont les "disquaires" d’aujourd’hui. À un détail près : tous leurs titres sont téléchargés illégalement.

[...]

Aujourd’hui, certains se sont installés dans des kiosques. J’ai appris qu’en fait, il y a trois niveaux : les grossistes, qui téléchargent à tour de bras ; les demi-grossistes, qui sont ceux qui tiennent les kiosques, et les vendeurs ambulants.

[...]

Les prix sont modiques. Pour un euro, on peut avoir le dernier album de Salif Keïta, par exemple. Et plus on achète de titres, moins c’est cher. S’ils n’ont pas la chanson que vous voulez dans leur ordinateur, ils peuvent la télécharger devant vous s’ils sont munis d’une clé internet, sinon ils prennent votre commande et vous repassez le lendemain.

[...]

J’ai vu une cliente chanter trois notes d’une chanson qu’elle avait entendu dans la rue, mais dont elle ne connaissait pas l’auteur. Le téléchargeur l’a tout de suite reconnue ! C’est un peu comme le logiciel Shazam en Europe... mais avec un être humain !  »

Via http://korben.info/news/les-telechargeurs-disquaires-2-0-de-bamako

« C'est un accident qui, à cette ampleur, se produit tous les... quoi... trois ou quatre ans sur l'Internet. Un opérateur, en l'occurrence Telekom Malaysia, a laissé fuiter des centaines de milliers de routes Internet, attirant ainsi une quantité de trafic qu'il n'a pas su gérer. Le problème a duré environ deux heures.

D'abord, les observations brutes : les premières observations publiques qu'il y avait un problème ont été divers tweets comme celui de Nathalie Rosenberg à 0855 UTC. Une bonne partie de l'Internet semblait injoignable, et des gens ont commencé à accuser Free ou CloudFlare. En fait, on pouvait voir à plusieurs endroits que la source du problème était dans une crise BGP. Par exemple, les fichiers stockant les annonces BGP à RouteViews augmentaient brusquement de taille, montrant une forte activité BGP, ce qui n'est pas en général bon signe. De fichiers de moins d'un Mo en temps normal, on est passé à 2,2 Mo à 0845 puis à 14 Mo à 0900 et 19 Mo à 0915. L'examen du contenu de ces fichiers montre la cause du problème : l'AS 4788 (Telekom Malaysia) a laissé fuiter dans les 200 000 routes BGP (au lieu de 1 300 en temps normal, ce qui est déjà beaucoup)...

 Aucune de ces préfixes n'est géré par Telekom Malaysia ou ne devrait être annoncé par eux. C'est à tort que leur transitaire Level 3/GlobalCrossing (AS 3549) a accepté ces annonces. (Rappelez-vous qu'un chemin d'AS se lit de droite à gauche, ici 23969 est l'origine.) Normalement, on filtre les annonces de ses clients ou de ses pairs BGP, à partir des IRR. Même si on ne filtre pas sur les données des IRR (souvent mal maintenues), on devrait, au minimum, mettre un nombre maximal de préfixes annoncé et couper la session autrement (si Free l'avait fait, ses clients auraient eu moins de problèmes, voir plus loin). Mais personne ne veut prendre le risque de mécontenter un client. Et puis filtrer demande davantage de travail, alors que la sécurité ne rapporte rien.

Level 3 relayant ce grand nombre de routes, bien des routeurs qui avaient configuré un nombre maximum de préfixes BGP annoncés ont coupé leur session.

[...]

Notons que tout n'est pas passé par Level 3. Les gens qui peeraient avec Telekom Malaysia et qui, bien à tort, ne filtraient pas les annonces, ont également reçu les annonces fausses. C'est le cas de Free, ce qui explique l'ampleur de la crise pour les abonnés de Free.

[...]

Résultat de ces annonces, le trafic filait effectivement en Malaisie

[...]

Notez que Telekom Malaysia n'a annoncé que 200 000 routes, sur les environ 600 000 qu'on trouve dans l'Internet donc environ les deux tiers des sites connectés n'ont pas eu de problème. On voit ici, via DNSmon, l'effet sur les serveurs DNS de .fr : deux des serveurs perdent environ 1 % des paquets au plus fort de la crise, c'est tout

Les annonces erronnées ont été supprimées vers 1030 UTC mais le trafic BGP n'est complètement revenu à la normale que vers 1200 UTC.

Une des originalités de cette fuite est que l'origine du chemin d'AS n'était pas le fuiteur, Telekom Malaysia. La plupart du temps, le fuiteur émet les routes comme s'il en était l'origine et des techniques comme RPKI+ROA détectent l'usurpation. Ici, au contraire, l'origine... originelle a été préservée et RPKI+ROA n'auraient donc rien vu. On voit ici une annonce Telekom Malaysia sur un routeur qui valide et on note qu'il a validé l'annonce. »

« Mais aucun n'avait osé me faire le même coup de chacal qu'ils ont fait au chercheur en sécurité Sorcier_FXK. Ce dernier a posté sur Twitter, un simple message avec une capture-écran des droits demandés par l'application Android du CIC.

Celle-ci exige entre autres, l'accès à TOUS les contacts, la géolocalisation du téléphone, l'identité du propriétaire du téléphone, l'identifiant du téléphone, le numéro de téléphone et les numéros appelés, sans oublier l'accès à votre galerie photo.

Dans la foulée, Sorcier a aussi contacté sa conseillère pour savoir pourquoi l'application demandait tant de droits, tout particulièrement l'accès à tous les contacts présents dans son téléphone.

Rien de bien violent. Pas de diffamation ni d'insulte. Sauf que le CIC a du se sentir profondément choqué de voir une capture-écran de son application, ainsi qu'une question posée de manière si effrontée, qu'ils ont envoyé un courrier en recommandé à Sorcier pour l'informer que son contrat était rompu, bloquant immédiatement son compte et sa carte bancaire.

[...]

Non, je pense que si ça utilise autant de droits, c'est tout simplement parce que l'application est basée sur un framework qui permet de faire des tas d'applications différentes, et qui par conséquent réclame des droits un peu pour tout. Ou alors ça a été programmé avec les pieds. Au choix. »

\o/

« Vous ne trouvez pas ça spectaculaire, ces derniers temps ? J’ai l’impression que les coups politiques s’enchaînent, que les lois liberticides s’entassent les unes sur les autres, que la liberté met le pied dans la porte qu’on essaie de fermer mais que ça pousse bien dur de l’autre côté, un coup les lobbys, un coup les politiciens inaptes, parfois ineptes, d’autres fois l’économie, la crise, la conjoncture, tout ce que tu veux pourvu que ça te fournisse une raison de donner des coups dans le gras. J’en arrive à un stade où je regarde défiler les nouvelles d’un air éberlué — furieuse envie de refermer l’écran du laptop et de filer au vert. Faut dire qu’entre ce qu’ils font et qu’on n’a pas envie qu’ils fassent, et ce qu’ils ne font pas et qu’on voudrait qu’ils fassent, on a de quoi se tenir occupés, pas vrai ?

Et là, soudain, au chœur du bruit de casseroles sauce 49.3 ou procédure d’urgence qui gronde en permanence, je réalise un truc. C’est peut-être pas anodin que tout arrive ou que tout semble arriver d’un coup : c’est une guerre éclair. [...] Et l’idée, peut-être piochée dans un vieil ouvrage de stratégie militaire, c’est de concentrer l’attaque pour épuiser l’adversaire.

[...]

Je me vois face à mon écran comme si j’essayais de protéger un château de sable de la marée montante : l’eau afflue de tous les côtés et je ne sais plus où donner de la tête, à droite, à gauche, au milieu, et hop, ça revient par derrière, par là où tu ne t’y attendais pas… Le but est clair : te fatiguer le plus possible, t’éreinter. Que les causes de dégoût soient si nombreuses que les compter ne sert plus à rien : elles se noient dans la masse, elles ne font qu’ajouter à ta nausée générale. Facile de lutter quand tu te bats contre une seule idée, contre un seul projet de loi, contre une seule inégalité, une seule injustice ; mais si brusquement leur nombre flambe, tu te retrouves démuni, comme s’il fallait te dédoubler, te décupler pour que ça ait du sens de se battre. Mais tu es tout seul et la plupart des gens s’en fichent bien, de leurs libertés individuelles, de leur vie privée, de la surveillance généralisée… d’où la tentation de baisser les bras. »

Je ressens tout pareil... La machine de guerre est trop puissante, elle avance trop rapidement. Je ne vois aucune solution à part se regrouper entre militants et continuer la lutte en se marrant (lulz). Je n'ai pas trouvé mieux pour se protéger de la folie et du rythme effréné qui nous est imposé. Nous n'avons pas le choix : nous avons une obligation morale envers nous tous mais aussi envers les générations futures.

L'autre solution : c'est que nous soyons plus nombreux à nous indigner, à lutter, sur toutes les thèmatiques possibles. La même charge de travail répartie sur plus d'épaules = moins de travail pour chaque paire d'épaules. Mais pour ça, il faut un profond changement de mentalité, que la masse arrête de se comporter comme des larves boulot-conso-dodo. Je ne me fais aucune illusion : ce monde-là n'arrivera jamais. Qu'est-ce qui me fait dire ça ? Ça, https://twitter.com/Korben/status/609302482104283136, par exemple. Une bonne vie, respectable c'est être endetté sur 20 ans pour une maison, 5 ans pour une bagnole, avoir pile le bon nombre d'enfants, ne pas se bouger le cul, jamais, pour aucune cause, car il n'y a pas d'alternatives ni de futur. Désolé, ça sera sans moi.

Via http://shaarli.cafai.fr/?m9j48g