GuiGui's Show

« Je commencerai d’abord par évacuer l’idée que ce serait principalement le numérique lui-même et ses usages qui créeraient des dangers massifs pour la vie privée. Le numérique est une mutation anthropologique considérable qui change ce qu’est penser et interagir avec les autres. Cela nous place face à des défis et on peut attendre des politiques publiques qu’elles n’aggravent pas la difficulté à faire face à ces défis en nous privant des moyens de construire la maîtrise nécessaire. Et là, on a deux autres types de risques : l’ « invocation sécuritaire » et la « société de défiance ». L’invocation sécuritaire, c’est comme l’écrit Mireille Delmas-Marty dans Libertés et sûreté dans un monde dangereux, un concept de sûreté qui serait une promesse infinie de sécurité, le risque zéro dans la sécurité. C’est une promesse non tenable mais qui nous jette dans une trajectoire dangereuse. Et la société de défiance, c’est celle qui fait de chacun de nous un suspect jusqu’à ce qu’il soit prouvé que nous n’avons rien à nous reprocher. Pourquoi ces deux phénomènes se sont-ils développés ?

Il y a une double racine. Une racine historique, qui est celle de l’effondrement de l’affrontement des blocs après 1989. Et une racine qui est la dérive oligarchique ou post-démocratique de nos sociétés. J’insisterai sur un point, c’est qu’il n’y a pas que Septembre 2001. La surveillance diffuse, la promotion des outils techniques de la surveillance diffuse, sont arrivées dans la seconde moitié des années 1990. Septembre 2001 a levé les inhibitions, mais n’a pas été à la source du développement de l’invocation sécuritaire et de la société de défiance.

[...]

Lorsqu’en 2008 (et peut-être avant aussi) on met en place des programmes comme Prism, la NSA et d’autres services tirent les conséquences du fait que l’information non contextualisée, celle qui est simplement des flux d’information, est extrêmement difficile à analyser. Ils ont besoin, pour espérer comprendre quelque chose, d’avoir accès à des métadonnées contextuelles. C’est-à-dire, par exemple, pas seulement votre e-mail mais toute votre liste de contacts ; pas seulement les tweets que vous émettez mais tous vos suiveurs. Et pourquoi, à ce moment-là, peuvent-ils le faire ? Parce qu’entre 2004 et 2008 se passe une gigantesque contre-révolution informatique, qui est celle de la recentralisation des services sur le Web. De très nombreux services, qui étaient « départementalisés », c’est-à-dire distribués en partie dans des petits ensembles, ou franchement distribués, c’est-à-dire distribués au niveau des individus eux-mêmes, vont devenir des services centralisés chez quelques gros intermédiateurs.

[...]

Au moment de l’affaire Snowden, Prism a été mal présenté et la quasi-totalité des gens l’ont considéré comme un système de surveillance massive de l’Internet mis en place par la NSA. En fait, Prism est un mécanisme mis en place pour que la NSA utilise le mécanisme Fisa (pour "Foreign Intelligence Surveillance Act", qui décrit les procédures des surveillances physique et électronique, ainsi que la collecte d'information sur des puissances étrangères soit directement, soit par l'échange d'informations avec d'autres puissances étrangère) pour demander au FBI de demander à Google. Donc Google, Facebook, Microsoft, etc. ne connaissaient pas Prism, ne savaient pas qu’ils répondaient à une demande de la NSA, ils répondaient à une demande du FBI.

[...]

En fait, la NSA a mis en place une super place de marché, où des services de renseignement de différents pays viennent échanger des métadonnées. Par exemple, la DGSE vient échanger des métadonnées interceptées au Mali, au Niger ou en Afghanistan ; en échange, la NSA lui refile des métadonnées interceptées dans d'autres pays où elle n'est pas aussi présente. Et tout le monde va faire du troc de métadonnées avec la NSA, même les Indiens, pourtant plus proches de Moscou que de Washington. On a vu notamment un cas où les Américains ont financé et contribué à développer les puissances d’interception des télécommunications des Australiens, et où les Australiens s’en sont servi pour espionner un cabinet d’avocats américain qui défendait l’Indonésie dans le cadre d’un conflit commercial entre l’Australie et l’Indonésie.

[...]

Il y a différents moyens. Prism, c’est une requête judiciaire, et ensuite on demande les noms, les carnets d’adresses, éventuellement le contenu des communications, qui sont remontés au FBI, puis à la NSA, qui va faire un traitement manuel. Dans le cas de Tempora, qui est le programme d’interception massive des communications sur les câbles sous-marins en Grande-Bretagne, ils essaient d’intercepter absolument tout. Ensuite, ils stockent pendant trois jours, ils font tourner les machines pendant trois jours avec des filtres pour arriver à sélectionner les informations qui pourraient les intéresser à partir des mots clés, des adresses e-mails ou des adresses IP qu’ils recherchent. Ensuite, ils transmettent les résultats de ces filtres à des opérateurs humains, qui utilisent différents logiciels pour effectuer leur travail d'analyse, et peuvent aussi utiliser Xkeyscore, une sorte de moteur de recherche qui collecte quasi systématiquement les activités des internautes grâce à plus de 700 serveurs localisés dans plusieurs dizaines de pays.

[...]

Les médias français ont été bien peu nombreux à suivre le sujet – il n’y a pas plus de 10 % des documents Snowden dans le Guardian, le Washington Post, qui ont été traduits en français. Si vous ne lisez pas l’anglais, vous ne savez pas ce qu’il y a dans les documents Snowden, ce qui est invraisemblable. Et, à partir de là, est née une légende : l’opinion publique ne s’intéresse pas à la thématique des libertés individuelles. Ce qui est faux. C’est vrai qu’en lisant la presse quotidienne française et en regardant la télévision, vous n’avez aucune raison de vous préoccuper du sujet. »

:')

Il manque test.xx, test1.xx, test1-lastchange.xx, ...

Soit une machine, deux disques durs, des volumes RAID 1, pas d'usage de LVM (c'est pour les faibles/chiens, il faut croire :/ ). On veut redimensionner à la baisse (réduire la taille quoi) un volume RAID afin de récupérer de l'espace pour créer une nouvelle partition. Évidemment, on ne veut subir aucune perte de données. Pour ce faire, il faut bien évidemment que la taille finale de la partition redimensionnée soit supérieure à la taille totale des données qui y sont stockées. L'opération se fait à chaud, avec le système GNU/Linux installé sur la machine en cours d'exécution, pas de live.

Voilà ce que donne un cfdisk sur l'un des disques (le deuxième est identique) :
Nom       Ind.         Partition      S. Fic.               [Étiq.]              Taille (Mo)
-------------------------------------------------------------------------------------------------------------------
                                              Inutilisable                                        1,05    *
  sda1    Amorce     Primaire     ext4                  [boot]                   999,30    *
  sda2                    Primaire     linux_raid_m      [mdresize:0]      10000,27    *
  sda3                    Primaire     linux_raid_m      [mdresize:1]        8998,46    *
  sda4                    Primaire     swap                                           1475,77    *

« Inutilisable » est de l'espace libre mais on a le droit à 4 partitions primaires avec une table des partition MBR ; Deuxième partition (sda2) : système ; Troisième : données.

Ici, c'est la partition sda3 (qui forme, avec sdb3 la grappe RAID 1 md1) que nous voulons redimensionner pour la passer d'environ 9G à environ 7G.
/dev/md1  8,3G  147M  7,7G  2% /home


Voici les différentes étapes pour y parvenir :
1) umount /dev/md1

2) e2fsck -f /dev/md1

3) On réduit la taille du système de fichiers : resize2fs /dev/md1 7G

4) On réduit la taille du conteneur, c'est-à-dire le volume RAID : mdadm --grow /dev/md1 --size=7G


5a) On sort la première partition de la grappe RAID : mdadm /dev/md1 --fail /dev/sda3 --remove /dev/sda3

6a) On redimensionne la partition (ici : sda3) avec fdisk ou (mon préféré) cfdisk : d (supprimer) - [ 3 -] n (nouvelle) - p (primaire) - 7500M - debut - type : DA (ou FD, "l'ancien" « linux raid autodetect ») - w (écrire). Oui, 7500M est supérieur aux 7G désirés mais c'est volontaire : être sûr que la partition ne soit pas plus petite que le conteneur RAID qu'elle va recevoir. Si vous avez une table des partitions GPT, il suffit d'utiliser gdisk pour cette étape, ça marche tout pareil : d - 3 - n - 3 - +7500M - DA - w . Les autres étapes restent inchangées

7a) On reintègre la partition à la grappe RAID : mdadm -a /dev/md1 /dev/sda3

8a) On attend le resync RAID. Pour voir la progression : watch cat /proc/mdstat

On recommence les étapes 5 à 8 avec la deuxième partition qui constitue md1) :
5b) mdadm /dev/md1 --fail /dev/sdb3 --remove /dev/sdb3

6b) cfdisk - d - [ 3 -] n - p - 7500 - debut - type : DA - écrire

7b) mdadm -a /dev/md1 /dev/sdb3

8b) Attente resync RAID

Note : oui, on pourrait être plus bourrin c'est-à-dire stopper le RAID et modifier directement la taille des deux partitions, sans resync.


9) On démonte le RAID sinon la prochaine étape ne peut pas fonctionner (ressource occupée) : mdadm --stop /dev/md1

10) On informe le noyau que les tables des partitions ont changées, sans rebooter bien sûr (cette commande fait partie du package parted chez Debian) : partprobe . La commande « blockdev --rereadpt » (package util-linux) fait le job tout aussi bien.

11) Si on tente de monter le RAID, mdadm nous informera que les superblocks sont endommagés et qu'il ne peut donc pas assembler la grappe. Nous allons réécrire les headers : mdadm --create /dev/md1 --level=1 --raid-devices=2 /dev/sda3 /dev/sdb3
mdadm nous informe que : « /dev/sda3 appears to be part of a raid array ; /dev/sdb3 appears to be part of a raid array ;  /dev/sda3 appears to contain an ext2fs file system ;  /dev/sdb3 appears to contain an ext2fs file system », ce qui est une bonne chose.

12) On actualise mdadm.conf pour que tout fonctionne au prochain reboot : mdadm --detail --scan >> /etc/mdadm/mdadm.conf
Attention : penser à effacer le(s) doublon(s) à la mano dans mdadm.conf. Penser également à mettre à jour fstab ou crypttab s'ils utilisent l'UUID de la grappe RAID comme identifier (ls -lh /dev/disk/by-uuid pour trouver le nouvel UUID de la grappe RAID). Évidemment, si la grappe RAID redimensionnée héberge le système GNU/Linux, il faut reconstruire l'initramfs : update-initramfs -u

13) e2fsck -f /dev/md1
Si jamais le message suivant s'affiche :
« La taille du système de fichiers (selon le superbloc) est de 1835008 blocs
La taille physique du périphérique est de 1830368 blocs
Le superbloc ou la table des partitions est peut-être corrompue !
abort ? » -> répondre : n

14) resize2fs /dev/md1

15) N'est pas utile mais par sécurité : e2fsck -f /dev/md1


On ajuste la taille du conteneur ainsi que la taille du système de fichiers à celle de la partition :
16) mdadm --grow /dev/md1 -z max

17) resize2fs /dev/md1


Résultat :
Nom       Ind.          Partition      S. Fic.           [Étiq.]                Taille (Mo)
------------------------------------------------------------------------------------------------------------------
                                              Inutilisable                                       1,05    *
  sda1    Amorce     Primaire     ext4                  [boot]                  999,30    *
  sda2                    Primaire     linux_raid_m      [mdresize:0]     10000,27    *
  sda3                    Primaire     linux_raid_m      [mdresize:1]       7501,46    *
                                              Inutilisable                                  1497,01    *
  sda4                    Primaire     swap                                          1475,77    *

/dev/md1  6,9G  142M  6,4G  3% /home


Autre ressource intéressante : http://www.howtoforge.com/how-to-resize-raid-partitions-shrink-and-grow-software-raid

Après les attaques par réflexion+amplification sur DNS, NTP, SNMP, CHARGEN, récupération du statut sur Call of Duty, voici venu ... le service "découverte" de Microsoft SQL Server ...

« so when SQL Server 2000 introduced support for multiple instances of SQL Server, SQL Server Resolution Protocol (SSRP) was developed to listen on UDP port 1434. This listener service responded to client requests with the names of the installed instances, and the ports or named pipes used by the instance. To resolve limitations of the SSRP system, SQL Server 2005 introduced the SQL Server Browser service as a replacement for SSRP. »

« By default, the SQL Server Browser service starts automatically: When upgrading an installation. [...] When installing on a cluster. [...] »

Bon, le facteur d'amplification est faible (~10x) mais quand même...

« Un chercheur en sécurité a repéré un dysfonctionnement dans OS X Yosemite qui entraîne la création de fichiers logs contenant toutes les frappes enregistrées dans Firefox et Thundebird. C'est plus précisément un bug du framework CoreGraphics qui génère ces historiques stockés dans le dossier /tmp.

[...]

D'OS X 10.6 à 10.9, la fonction d'enregistrement du clavier de CoreGraphics était désactivée par défaut. Dans Yosemite, un bug d'initialisation fait qu'elle est active pour certaines applications utilisant un allocateur personnalisé de mémoire. »

C'est mignon :') J'adore surtout le British Board of Film Classification (CSA-like) : alors oui telle pratique sexuelle est autorisée mais selon telle intensité, telle manière de faire mais pas celle-ci, chorégraphie au millimètre près, ... juste -L-O-L. Consentement mutuel, il n'y a besoin de rien de plus, c'est tout (et dans le cas DVD/VOD : consentement du visionneur. La protection des mineurs est hors sujet quand on en vient à réguler aussi précisement le désir).

Notons que le mal est déjà fait depuis longtemps : les pratiques énoncées étaient déjà interdite au format DVD depuis longtemps, la seule nouveauté du 1er décembre 2014 est leur application au monde de la VOD : http://legislation.data.gov.uk/cy/uksi/2014/2916/made/data.htm?wrap=true . Tenter d'appliquer la pudibonderie locale à un marché mondialisé et dématérialisé (youporn > *) : check. :)

Prudence tout de même : certaines des pratiques listées sont bien dans la liste des contenus inacceptables de la BBFC, d'autres proviennent uniquement de Myles Jackman, un avocat spécialisé en matière de « pornographie extrême et obscenité » (O_O) et d'autres encore proviennent du même avocat mais confirmé par la BBFC au journal Vice.

Lecture complémentaire : http://bigbrowser.blog.lemonde.fr/2014/12/03/fessee-fouet-fist-le-porno-britannique-online-doit-revoir-ses-pratiques/

Via : http://sebsauvage.net/links/?tLCldw et https://twitter.com/FradiFrad/status/540432021710200832

Haha, tellement vrai : qui n'a jamais gigoté dans tous les sens en attente d'un signal WiFi qui marchait juste 5 secs plus tôt ? :D

« Ainsi, Jean-Ludovic Silicani a affirmé que "sur l'Internet général, le principe de la neutralité du net doit s'appliquer de façon absolue", en n'évoquant qu'une seule exception possible, "s'il y a un encombrement pour une raison conjoncturelle, comme par exemple un événement mondial très suivi, pour faire de la gestion de trafic". Il doit s'agir d'une exception "purement technique", et surtout temporaire. "Aucune discrimination ne doit exister sur le service général d'accès à internet", a insisté le président de l'Arcep.
[ Ni vu ni connu, j'embrouille les parlementaires avec le bon vieux gag des services spécialisés ... La neutralité des réseaux, tout le monde est pour mais chacun s'en fait sa définition. Attention à l'argument de la congestion : àmha, cette exception doit être fermement encadrée pour éviter les dérives comme le refus d'investir pour augmenter la capacité des réseaux. Content néanmoins que le président de l'ARCEP indique qu'une congestion ou une opération de maintenance doit être technique et temporaire, c'est un bon début, il ne manque plus que « ciblée et proportionnée ». ]

[...]

"Est-ce qu'il faut que nous soyons naïfs, que nous oublions de derrière internet il y a les plus grandes entreprises du monde ?", a demandé Jean-Ludovic Silicani. "Pourquoi ce qui est devenu un secteur marchand serait-il le seul secteur marchand du monde où certains services ne seraient pas payants ? Il faut revenir à des choses fondamentales."
[ Parce que tout doit forcément être payant ? Même un échange de bon procédé ? Même quand les deux opérateurs et le bien commun sont gagnants ? ]

En matière de peering, l'Arcep prévient qu'elle est dans une position d'observation et de surveillance. "Si l'on constatait des dérapages susceptibles de faire disjoncter le système, nous pourrions aller plus loin, jusqu'à une régulation, à condition de trouver une base légale", a prévenu M. Silicani.
[ Sous-titres : comme d'habitude, l'ARCEP doit composer avec le corpus législatif existant et a donc une puissance de feu limitée ... :( Joli appel renouvellé du président de l'ARCEP en direction des parlementaires, sera-t-il écouté ? ] »

Supervisor, codé en Python, est un système de contrôle de processus orienté utilisateur (pas comme launchd ou runinit qui remplacent init pour fonctionner) qui juste marche (pas comme systemd).

Il prend en charge la relance des processus s'ils sont interrompus en cours d'exécution, un mécanisme minimaliste d'évenements permet de surveiller un minimum le programme lancé comme sa conso RAM par exemple et de relancer le programme si elle devient excessive, on peut sortir stdout et stderr dans des fichiers de log, faire en sorte que ces journaux soient "rotatés" (archivés selon une périodicité donnée quoi), ...

Très pratique pour des scripts/programmes persos : plus besoin d'écrire un pseudo script d'init et on ajoute de la fiabilité (processus relancé automatiquement en cas de crash).

Rien de neuf : du sur-filtrage (effets collatéraux) était déjà visible aux alentours de 2008. C'était du même acabit, aussi violent et injustifié et ça nuisait aux recherches documentaires (je me souviens de cas en socio et philo).