GuiGui's Show

Soixante pour cent. C’est — excusez du peu ! — le pourcentage de ministres de l’équipe d’Edouard Philippe redressés par l’administration fiscale en 2018. Un enseignement inattendu du rapport d’activité pour l’année 2018 de la Haute Autorité pour la transparence de la vie publique (HATVP).

Rappelant qu’elle a « pour mission de superviser ia vérification fiscale des membres du gouvernement » menée par la Direction générale des finances publiques, la HATVP dresse le bilan des contrôles fiscaux effectués l’an dernier. La conclusion s’impose : les ministres gagneraient à feuilleter « Les impôts pour ies nuls » avant d’envoyer leur déclaration !

« Sur les 35 dossiers (de ministres) clôturés, 21 ont donné lieu à des rectifications, est-il en effet écrit. A l’exception d’un cas, tous les contribuables concernés étaient de bonne foi. » Tant que le mouton noir n’était pas le ministre des Comptes publics…

Sur les 21 dossiers en question, les ministres se sont ainsi vu réclamer, en moyenne, la coquette somme de 11 930 euros, comprenant rappels d’impôt et pénalités (de retard, notamment). Précision : les contrôles ne portaient pas uniquement sur la dernière déclaration fiscale des intéressés, mais — a minima — sur les trois dernières.

Pour ne rien arranger, un ministre — non cité — n’a pas respecté ses obligations fiscales en 2018. La Haute Autorité, comme c’est sa prérogative, en a informé le président de la République et le Premier ministre. « il s’agissait du premier cas d’information pour non-respect, par un ministre, de ses obligations fiscales », est-il précisé. Il faut un début à tout…

Trois ministres ont tout de même sauvé l’honneur : ils ont été trop généreux avec l’administration fiscale ; celle-ci leur a restitué 7 740 euros, en moyenne.

Toutes nos félicitations à ces valeureux patriotes !

Chaud… Statistiquement, avoir des mauvais payeurs dans le gouvernement est normal, car il y a de telles personnes dans toutes les franges de la population. Mais, on pourrait s'attendre à une certaine exemplarité des personnes qui occupent de tels postes publics et avec un tel niveau de responsabilités…

On peut en déduire que ces personnes ont une diversité de revenus (jetons de présence, placements financiers, immobilier, etc.), sinon il leur aurait suffi de reporter le chiffre indiqué sur leur dernière fiche de paye de l'année… Bref, ce n'est pas le train de vie de M. ToutLeMonde. Il sera donc ardu, pour le pékin lambda, de venir m'expliquer que si déjà les ministres n'arrivent pas à affronter la complexité de la fiscalité française, c'est impossible pour le citoyen de base. D'autant que je ne crois pas à l'erreur : ces personnes ont des conseillers à gogo, y compris pour s'occuper de leurs petites affaires privées.

Les montants réclamés qui semblent exorbitants ne le sont pas. D'abord car il s'agit d'une moyenne, pas de la médiane, ensuite car le niveau des rémunérations sur ce type de poste est plus élevé que sur les métiers du commun des mortels. Inutile, donc, d'hurler à la mort concernant des super fraudeurs fiscaux, ce sont juste des fraudeurs qui ont des revenus plus élevés. S'il y a quelque chose à discuter, c'est la cause, c'est-à-dire le montant des rémunérations associées à ces postes.

Dans le Canard enchaîné du 29 mai 2019.

Non, ça n'est pas plus facile pour les femmes de coucher que pour les hommes, une petite explication s'impose.

J'entends et je lis de plus en plus d'hommes dire ça, parce qu'ils grandissent dans le schéma sociétal : homme demandeur et femme qui accepte ou pas, depuis qu'ils sont nés. Aussi parce que la société patriarcale éduque les filles au culte de la virginité et on nous apprend que le sexe est seulement dénigrant pour la femme mais que les hommes sont des champions quand ils baisent souvent. Bref, tout un historique, qui a été expliqué mille fois ici si vous cherchez bien, et qui me prendrait beaucoup trop de tweets à bien expliquer.

J'ai envie de vous parler de pourquoi, moi, fille pas trop moche, je peux me retrouver en manque de cul alors que, visiblement, il suffirait de claquer des doigts pour ça.

Déjà : la sécurité. En partant du principe que je cherche un plan cul, je ne peux pas m'assurer que le mec ne me fera pas de mal. On vit dans une société où les femmes se font violer, tuer, ou blesser par des hommes de leur entourage ou des inconnus. J'aimerais faire confiance à Sébastien, mec de tinder mignon qui me dit que je peux venir chez lui pour des câlins, mais qui me dit que Sébastien ne va pas me découper et me mettre dans son congélateur ?

Les stats de la criminalité illustrent que les hommes, qui constituent la majorité des tueurs, tuent majoritairement d'autres hommes. Alors, oui, ces stats mélangent les règlements de compte entre malfaiteurs et les homicides pour autres motifs, donc ça fausse un peu la mesure puisqu'il y a plus de malfaiteurs masculins, mais, d'un autre côté, les chiffres présentés incluent les homicides sur mineurs de moins de 15 ans, dont les auteures sont majoritairement des femmes, d'où je me permets de penser que ça s'équilibre. Les viols et les agressions sexuelles, c'est bien souvent des gens connus… Pour le reste des violences possibles, je n'ai pas d'avis.

Ensuite : les hommes n'ont pas appris à respecter les femmes qui baisent. Et ça, c'est cause de l'historique que je survole plus haut. Pendant l'acte ou après l'acte (ou les deux) une grande partie des plans cul en plus de ne pas être performants, sont extrêmement impolis avec les femmes, voir méchants. Soit parce qu'ils pensent que vous avez moins de valeur et moins le droit au respect parce que vous aimez le sexe, soit à cause de la fameuse légende selon laquelle les femmes tombent amoureuses facilement après le sexe…

Point intéressant complété dans une réponse :

Je rajouterai aussi (sur la méchanceté pdt l’acte), que la culture porno, qui a tendance à banaliser la domination sexuelle, donne également à bcp de mecs l’impression que des comportements […] sont communément acceptés et qu’il n’y a aucune nécessité d’en discuter.

Et tout ça, ça crée une espèce de domination dans les rapports sexuels qui n'est pas saine et que je fuis comme la peste. ça donne des filles qui ont peur d'être "trop collantes" si elles rappellent (wtf c'est qu'un coup de tel) ou qu'on calcule plus carrément… Et pourquoi on nous rappelle pas ? Parce que la croyance veut que la femme donne quelque chose pendant le rapport sexuel, et que l'homme lui prend. En gros l'homme nous a volé quelque chose, qu'on ne possède plus… Plus besoin de nous revoir. Alors que souvent ce qu'on m'a pris c'est du temps et mon espoir de jouir…

Le côté "collant" dans une relation (amicale, professionnelle, plan cul, homme-homme, homme-femme, femme-femme), c'est réciproque, je pense. En tout cas, j'ai déjà vécu des situations où un simple coup de fil reloutait mon interlocuteur⋅rice (et c’était pas dans un contexte d’amour ou de cul).

Sur l'aspect « plus besoin de nous revoir », pourquoi se revoir si c'était convenu à l'avance que c'était juste pour baiser une fois ? On se rappelle quand on est pote ou collègue ou…, mais je ne vais pas imposer mon contact à quelqu'un⋅e dont il était convenu qu'on faisait un truc ensemble une et une fois. En revanche, si la porte était clairement ouverte, des deux côtés, pour, peut-être, se revoir plus d'une fois, alors là, oui, je suis d'accord que ne pas rappeler est idiot.

Donc moi ça me fait rire toutes ces histoires de "misère sexuelle", qui serait propre aux hommes, parce que nous on se fait soi-disant soulever en traversant la rue…

Je baise genre 2 fois par an quand j'ai trouvé un mec qui comprend les enjeux du féminisme, qui me rappelle, qui me respecte, qui (a priori) est à jour sur le consentement. Et, encore, des fois, je me fais avoir, c'est finalement un gros con.

Donc éduquons nos garçons à respecter TOUTES les femmes et à baser leur respect des gens sur leur gentillesse, leur intégrité, leur franchise… etc.

Et les mecs, éduquez-vous. Vous vous plaignez du fait que les filles ne sont pas ouvertes aux plans cul, une grande partie d'entre nous c'est pour ces raisons. Vous pouvez commencer par ne pas applaudir vos potes quand ils traitent une fille de pute parce qu'elle a couché.

Je trouve cet avis intéressant. Si je résume, les freins à des plans cul à l'initiative des femmes viennent d'une auto-restriction liée à la culture et à leur évaluation négative du plaisir qu'elles en retireront et de l'atteinte à leur image selon la culture en vigueur. Les freins à des plans culs à l'initiative des hommes viennent d'un refus féminin causé par l'évaluation négative féminine sus-citée. Effet miroir, quoi. Évidemment, cela exclu les facteurs communs, comme les standards de beauté, l'attrait ou non pour cette pratique, etc.

ÉDIT DU 22/07/2019 À 20 H 35. Cette conclusion contient une faute qui est expliquée dans un autre shaarli. FIN DE L'ÉDIT.

Via https://twitter.com/quota_atypique .

Entretien avec quelques journalistes de l'association de journalistes indépendants Extra-Muros.

Un financement participatif permet de concrétiser une enquête audiovisuelle inédite portant sur le mésusage d'au moins 2 milliards d'euros d'argent public miné de conflits d'intérêt. Ces journalistes ont l'habitude de bosser sur les marchés publics (notamment en matière de sécurité routière) et sur la corruption, donc ça me semble sérieux.

Mes notes :

• La crise de confiance envers les journalistes.

  • Remise de prix du Trombinoscope. Des éditorialistes (Chabot, Barbier, Saint-Cricq, etc.) remettent des prix à des politiciens ;
    
    
  • Il y a beaucoup de rotations internes dans les rédactions donc le journaliste spécialisé en ceci se retrouve à devoir traiter cela, et le journaliste spécialisé en cela se retrouve contraint de traiter les sujets untels, etc. Donc la qualité n'est pas au rendez-vous, car personne peut être spécialiste de tout ;
    
    
  • Les quotidiens locaux, qui bénéficient encore de la confiance des lecteurs (car ils ont l'illusion que c'est écrit par des gens proches d'eux ?), sont souvent légaliste : on ne va pas critiquer ou remettre en cause le plan com' du maire car, quand même, c'est l'élu choisi par le Peuple, par les lecteurs, etc. ;
    
    
  • Il y a beaucoup d'autocensure. Pourtant, se fâcher avec une organisation, ce n'est pas forcément fatal. Les organisations ont aussi besoin que les journaux déroulent leurs plans com' et/ou affichent leur publicité donc elles ne restent pas fachées éternellement. Exemple : Kitetoa avait froissé le groupement cartes bancaires en dénonçant la chimère Secure Electronic Transaction (SET). Son journal spécialisé dans la finance n'obtenait plus aucune réponse du groupement. Quelques mois, retour à la normale, le groupement avait besoin de communiquer. Ne pas plier, c'est afficher son intégrité et cela peut donner envie, à des gens en interne, de parler au journaliste. Jacques raconte cela : il dénonce le comportement problématique d'un commissaire adjoint au commissariat de Laval. À partir de là, le commissaire refuse de lui fournir les faits divers du jour. Mais des flics viennent lui parler et lui disent "tout", alors qu'avant, le commissaire filtrait les infos. La dispute a amélioré la qualité des informations récupérées par le journaliste.
• Les journalistes détenteurs d'une carte de presse, qui acte seulement que 50 % de leurs revenus viennent d'un organe de presse (Denis Robert n'est ainsi plus journaliste depuis longtemps car les droits d'auteurs de ses livres d'enquête constituent l'essentiel de ses revenus…), bénéficient d'une niche fiscale de 7 500 €. Elle est justifiable pour les journalistes indépendants qui ont des frais professionnels que les journaux qui achètent leurs articles ne veulent (ou ne peuvent) plus prendre en charge (déplacement pour rencontrer une source, etc.). De même, les frais de la préparation d'un sujet d'investigation, avant qu'il soit présenté à une quelconque rédaction ne sont pas remboursés par les journaux ;
  
  
• La Charte de déontologie de Munich prévoit l'absence de déloyauté dans une enquête. Cette notion est un peu dépassée de nos jours à cause de l'asymétrie entre un journaliste et des sociétés commerciales / des politiciens / des services de renseignement qui ont des plans com' chèrement payés et des moyens de pression (vol d'ordinateurs dans les rédactions par les services de renseignement, par exemple). Les services de presse des institutions publiques ou du privé, dont le boulot est de répondre aux journalistes, répondent de moins en moins. Donc il ne faut pas se fermer des voies et il faut être rentre-dedans, procéder à de l'infiltration, utiliser des caméras cachées si c'est nécessaire. Des sujets ne peuvent pas être traités sans être déloyal : enquête dans un EHPAD (personne va avouer la maltraitance), enquête au Milipol (aucun vendeur d'arme va avouer l'usage de ses joujous).
  
  
• Pendant que l'on endort le grand public avec l'OpenData, il devient de plus en plus difficile d'obtenir des documents publics de la part des administrations. Il y a une obstruction / opacité organisée basée sur un principe de précaution ("qu'est-ce qu'il va bien pouvoir dénicher si on lui fournit ce document ?!"). Les administrations ne répondent pas aux requêtes, un recours devant la CADA ne suffit plus à les faire plier, il faut aller au tribunal administratif, ce qui prend plusieurs années… De même, les bordereaux de prix unitaire, c'est-à-dire le détail d'une prestation (coût d'un radar, coût de sa pose, coût de son entretien) ne sont plus disponibles suite à une jurisprudence, seul le prix global de la prestation est fourni… Comment savoir quel prestataire a graissé la patte et sur quelle prestation ?
  
  
• Enquêtes sur des faits hallucinants.
  • Sous Sarko, l'Agence Française de Développement a reçu 30 millions d'euros de l'État sur ordre de l'Élysée afin de le reverser, sans appel d'offres, à une société privée inconnue jusqu'alors chargée d'équiper et d'entretenir l'hôpital de Benghazi, ce qui était une contrepartie à la libération des infirmières bulgares et du médecin palestinien qui étaient pourtant innocentes dans la propagation du virus du Sida dans cet hôpital (les responsables semblent être les services secrets libyens). Plus d'infos. Le consul de France en Libye et sa femme mitraillés, un responsable de la sécurité de l'hôpital assassiné, etc. ;
    
    
  • Détournement d'au moins 3,5 milliards d'euros du fond souverain malaisien 1MDB par l'ancien premier ministre malaisien et des financiers. Cet argent aurait profité à pas mal de monde autour du globe (investissement dans la production de films, achat de piaules, etc.). Un banquier et la maîtresse du premier ministre malaisien assassinés, etc.

Vers les 28 heures en Allemagne ?

Que leur arrive-t-il ? Voilà que les Allemands réclament la semaine de 28 heures ! Pas n’importe quels Allemands, en plus : les 4 millions de métallos affiliés au syndicat IG Metall. Ils ont fait trois jours de grève, au tout début du mois : du jamais-vu, ou presque. Et ils ont gagné leurs 28 heures. Certes, en étant payés 28 heures. Certes, sur une période maximale de deux ans. Et, certes, leurs réclamations n’ont été qu’en partie satisfaites (4,3 % de hausse de salaire, au lieu des 6 % réclamés). Mais quand même, das ist die Chienlit !

Indécence de l’ex-ministre Nyssen

Alors qu'elle avait perdu son poste de ministre de la Culture suite à ses constructions et aménagements illégaux, sa maison d'édition, Actes Sud remporte un quatrième prix Goncourt et accueille ses invités à une petite fiesta avec une affichette « Ici, les mezzanines »… L'abus du pouvoir, c'est être en capacité de te moquer des investigations judiciaires en cours contre toi comme si tu y étais immunisé…

Parcours et missions de Benalla

• Benalla fut membre du service d'ordre du PS et garde du corps de Martine Aubry. Puis, il fut chauffeur d'Arnaud Montebourg. Puis, il fut chargé de la sécurité de Macron durant la campagne de 2017 ;
  
  
• Il remplissait plusieurs fonctions auprès du Président : chargé de la sécurité, majordome, concierge de luxe, et confident. Il assurait la sécurité des sorties privées du président. Il gérait les cadeaux diplomatiques (kayak pour le premier sinistre canadien, cheval pour le président chinois). Etc. Avec Strzoda, il était en charge de la réforme de la protection présidentielle. Benalla a-t-il subi une vengeance des flics qui allaient perdre de leur importance dans la future protection élyséenne ? ;
  
  
• En conséquence, il avait toute la panoplie : passeport diplomatique, voiture de fonction équipée police, autorisation de port d'arme, badge d'accès permanent à l'Assemblée nationale, téléphone chiffré secret-défense, clés de la maison des Macron au Touquet, etc.

Trump et les enfants de migrants

J'avais complètement oublié cet épisode…

Le dimanche 8 juillet, Johan, un bébé de 1 an, faisait face à un juge de l’immigration de l’Arizona, aux USA. Sans ses parents, renvoyés au Honduras, il pleurait « de manière hystérique », rapporte le Huffington Post. « Je suis gêné de lui demander s’il comprend… » a glissé le juge.

Encore Johan avait-il la chance, si l’on ose dire, d’être accompagné d’un avocat… C’est loin d’être le cas des 2 300 gamins latines — dont 100 ont moins de 5 ans — arrachés à leur famille par la politique migratoire de Trump et emprisonnés dans des cages. Sanglots déchirants d’enfants et scandale ! Trump a dû se résigner à faire volte-face. Finies les séparations, place au rassemblement des séparés. A condition de retrouver les parents… Or, dans l’administration Trump, personne n’avait réfléchi à la question. Résultat : il faut effectuer des tests ADN pour savoir quel enfant encagé va retrouver quel parent expulsé ou libéré de rétention. Avec des semaines ou des mois de recherches en perspective.

Tant de générosité se paiera sûrement un jour…

Le nucléaire a-t-il tué Hulot ?

Hulot a quitté le gouvernement à la fin août 2018, après avoir avalé une foultitude de couleuvres :

• division par deux du prix du permis de chasser et autorisation de chasser six nouvelles espèces d'oiseaux dont cinq menacées alors, que, en même temps, le CNRS publiait qu'un tiers des oiseaux de nos campagnes auraient disparu en 17 ans ;
  
  
• budget 2019 du ministère de la transition écolo amputé de 200 millions d'euros affectés à l'Agence de financement des infrastructures de transport (donc destinés à bétonner et à goudronner toujours plus) ;
  
  
• aveu de l'impossibilité de réduire la part du nucléaire de 75 % à 50 % dans le mix énergétique de la France d'ici 2025 ;
  
  
• non-interdiction du glyphosate et, d'une manière générale, échec de la politique de réduction de l'usage des pesticides ;
  
  
• loi Agriculture qui profite aux distributeurs et dans laquelle Macron a renoncé à deux engagements de campagne : la vidéosurveillance dans les abattoirs et l'interdiction de vendre des œufs de poule élevées en batterie d'ici 2022 ;
  
  
• soutien du gouvernement à des projets pharaoniques dévastateurs pour l'environnement : EuropaCity (800 000 m² de bureau, 230 000 m² de boutiques et d'attraction dont une piste de ski couverte), la bioraffinerie de Total à la Mède (l'exploitation durable de l'huile de palme est une chimère), et la mine d'or en Guyanne ;

Mais, j'avais raté une dernière couleuvre : à la fin août, un rapport allait être publié. Commandé par Hulot et Le Maire, il allait prôner la construction de six nouvelles centrales nucléaires de type EPR d'ici à 2025…

Vieillesse du prélèvement à la source de l'impôt

Cette idée de prélèvement à la source de l'impôt a… 80 ans. Elle se nommait « stoppage à la source » entre 1940 et 1948, avant d'être abandonnée… puis déterrée par Debré en 1967… puis """"interdite""" dans les accords de Grenelle en 1968… avant de revenir en 1973… et d'être retoquée par le Sénat… avant d'être enterrée dans un rapport annexe de la Cour des Comptes publié en 2012 qui expose que le jeu n'en vaut pas la chandelle, le taux de recouvrement de l'IRRP en France étant de 98 %.

Mais, en 2015, Hollande veut calmer les frondeurs. Pour ce faire, il ressort une idée de son programme : fusion CSG et IRPP. Sauf que la première est prélevée mensuellement alors que la seconde est prélevée annuellement (au global). Faisons donc le PAS, qui est vendu, par Hollande, comme la première étape de la grande réforme fiscale qu'il a promis. Message sous-jacent aux frondeurs : fichez-moi la paix sinon je ne serai pas réélu et le PS en subira les conséquences en termes de promesses de campagne non tenues.

Les technocratiques de Bercy adorent ce genre de réforme qui leur donne du pouvoir sur les politiciens : eux seuls savent établir les formules de calcul, réaliser les simulations et tout ce qu'il faut pour la mise en place.

Suppression des cotisations chômage et maladie pour les salariés du secteur privé

Je croyais que cette mesure avait été annulée, mais non : les cotisations salariales chômage et maladie pour les salariés du privé ont bien été supprimées en échange d'une hausse généralisée de la CSG à 1,7 %…

Origine de la théorie du ruissellement

En anglais : trickle-down effect. En 1932, l'humoriste américain Will Rogers utilise cette expression pour la première fois afin d'ironiser sur la baisse d'impôt des riches décidée alors.

Heureuse surprise : Nastassja Martin nous donne de ses nouvelles dans une longue interview parue dans « Libé » (19/5). On n’avait plus entendu parler d’elle depuis la sortie des « Ames sauvages », un livre puissant et habité. Cette jeune anthropologue y racontait ses longs séjours en Alaska, chez les Gwich’in, habitants indigènes des forêts subarctiques. L’hiver, la température avoisine les -40°C. C’est le pays des caribous, des aurores boréales, mais aussi du plus grand gisement de pétrole américain jamais mis au jour.

Les Gwich’in se retrouvent confrontés, d’un côté, à l’industrie pétrolière et ses forages, ses plateformes, ses coupes claires qui rapetissent la forêt, cette manne de dollars qui soudain s’est déversée sur eux, et sur laquelle comptent les promoteurs pour les assimiler, les faire entrer dans la logique de pensée qui préside à l’exploitation du monde.

D’un autre côté, ils doivent faire face à une emprise écologiste tout aussi redoutable : sacralisé, vu comme l’un des derniers bastions de la nature pure et inviolée, l’Alaska abrite désormais d’immenses parcs nationaux d’où les indigènes sont bannis. Or c’est par ces réserves que transitent les hardes de caribous qui depuis toujours font l’ordinaire de ces chasseurs-cueilleurs.

Là-dessus, le dérèglement climatique. Il les atteint de plein fouet. Hivers raccourcis qui déclenchent la fonte précoce des glaces, crues dévastatrices qui emportent leurs villages, étés trop secs qui font flamber les forêts et assèchent les lacs, glace qui s’amincit, animaux introuvables. Avec précision et empathie, loin des manichéismes, Nastassja Martin décrivait tout cela dans son livre : la vie d’un peuple dans un monde qui semble partir en lambeaux ; leur système de croyances, leur résistance face a l’Occident.

En Alaska, un jeune homme lui avait dit que, en cas de crise majeure, il quitterait son village « pour repartir en forêt sur les traces des animaux qui les maintiennent en vie ». Après avoir traversé le détroit de Béring, elle s’est souvenue de cette phrase. Chez les Evènes du Kamtchatka, elle est tombée sur un clan familial qui, après l’effondrement de l’URSS, s’est enfoncé dans la forêt, à 400 kilomètres de toute piste carrossable.

Elle les a étudiés de près (bientôt un livre et un film). Son diagnostic : « Ils sont, à bien des égards, mieux armés que nous et beaucoup plus réflexifs quant aux mutations écologiques. » Eux ne voient pas le monde comme stable et assuré, allant toujours vers plus de croissance. Ils vivent en relation constante avec les animaux, lesquels sont imprévisibles, incontrôlables. L’incertitude des êtres et des choses, ils connaissent. Elle est persuadée que « nous avons beaucoup à apprendre d’eux ». Et pas seulement en allant nous balader en forêt !

Intéressant. :O
Cela illustre aussi le fait que vouloir vivre d'amour et d'eau fraîche en reclus de nos sociétés malades est utopique : même si tu vis peinard dans ta forêt à l'autre bout du monde, les décisions des malades du monde moderne t'impactent. Quelles autres solutions, alors, que la lutte ? Sauf que, alors, tu ne comprends pas les codes du monde moderne (et inversement), donc le combat est asymétrique et ta défense sera immédiatement rendue caduque. Cela est très bien mis en scène dans le film Avatar : une barrière de la langue et des valeurs (donc facile à décrédibiliser), des arcs et des flèches contre des hélicoptères équipés de bombes incendiaires et de mitraillettes lourdes, etc.

Dans le Canard enchaîné du 22 mai 2019.

On ne badine avec le respect dû aux grands serviteurs de la Macronie. L’Uniopss, union des organismes sociaux à but non lucratif, qui fédère une kyrielle d’établissements de santé ou de centres d’accueil et d’hébergement, vient d’en faire les frais. En mars, son président, Patrick Doutreligne, présente les comptes annuels devant le conseil d’administration. Ils sont très mauvais. Et pour cause : il y manque une subvention de 50 000 euros que le haut-commissaire gouvernemental à l’Economie sociale et solidaire, Christophe Itier, a rayé d’un trait de plume. Depuis une éternité, l’Uniopss percevait chaque année cette subvention afin de former les animateurs des institutions sociales qu’elle fédère.

Devant son conseil d’administration atterré, Doutreligne rapporte alors un entretien surréaliste qui s’est déroulé quelques mois plus tôt avec Itier. « Comment voulez-vous que je donne une subvention à quelqu’un qui a dit du mal de moi ? » avait lancé le haut-commissaire. Doutreligne lui avait reproché, près d’un an auparavant, de développer « souvent un discours très négatif sur les associations ». Et notamment de vivre dans le « vieux monde ». Qu’on se le dise : un responsable social, ça ferme sa gueule ou ça renonce aux aides de l’Etat.

Encore une énième illustration… Les gens, participez au financement de ce qui vous tient à cœur, bon-sang, ça limite grandement la dépendance ! Ne comptez sur personne d'autre que sur vous-même pour financer ce que vous aimez ! Personne le financera à votre place, ni l'État, ni les collectivités territoriales, ni les autres gens. Personne. Cela ne vaut pas dire pour autant que l'on doit laisser passer le genre d'actions dépeintes dans cet article, mais qu'il vaut mieux ne jamais s'être mis à genoux plutôt que d'avoir à s'en relever, car cela ne nécessite pas le même effort.

Dans le Canard enchaîné du 22 mai 2019.

Soucieux d’appuyer le propos du ministre des Affaires étrangères, qui, le 10 mai, avait accusé deux otages français d’avoir pris « des risques majeurs » en se rendant dans le parc de la Pendjari (Bénin), le journal de France 2 n’a pas hésité à recycler des images d’archives. Et d’une drôle de manière…

Le lendemain de la sortie de Jean-Yves Le Drian, le jité de Laurent Delahousse propose un reportage choc : « Zones dangereuses : un tourisme qui fait polémique ». En manque d’exemples probants pour dénoncer ce tourisme irresponsable qui met en danger la vie de nos militaires, la chaîne publique ressort les images, tournées six mois auparavant, d’un couple de retraités lillois, Jean-Noël et Claudine, en goguette en Mauritanie. D’emblée, le décor est planté : « Des voyageurs français en quête d’aventure, loin du tourisme de masse, comme ici, en Mauritanie, une zone sous haute surveillance. Sur ces images, quatre brigades de gendarmerie se positionnent et assurent leur sécurité… » De vrais inconscients !

Désert compris

Problème : lorsque France 2 avait suivi ce couple et narré son périple, au début de l’année, c’était pour illustrer un propos totalement contraire ! Il s’agissait de saluer la réouverture au tourisme du « train du désert » reliant Nouakchott à Zouerate, au cœur du Sahara mauritanien. Et, dans ce sujet-là, Jean-Noël et Claudine n’étaient que de sympathiques globe-trotteurs profitant d’une région de nouveau ouverte ! Ambiance décontractée, musique orientale, décors de carte postale, soirées au coin du feu…

Train d’enfer

Dans le reportage diffusé le 14 janvier, la caméra filme « deux amoureux du désert ». Jean-Noël réalise son « rêve d’enfant », Claudine a les cheveux au vent, et France 2 s’émerveille : « Une jolie manière, pour notre couple, de célébrer ses quarante-six ans de mariage. » Mieux : « Ils sont sereins, bien loin d’un possible risque terroriste », précise le journaliste. Et de laisser la parole à Claudine, tout sourire : « A partir du moment où il a été décidé que ce circuit était ouvert, c’est qu’il y a de la sécurité. » Et, si les gendarmes locaux accompagnent la sortie pédestre, « c’est pour s’assurer que les touristes sont bien en sécurité. La balade peut commencer »… Tout va pour le mieux.

Changement radical de ton dans le reportage de mai 2019. Cette fois, les deux mêmes Lillois se montrent d’une imprudence choquante : « A bord de leur train, qui traverse le Sahara, ces touristes rencontrés en janvier dernier ne pensent pas au risque terroriste… »

Heureusement, France 2 est là pour le leur rappeler !

Énième confirmation que l'on peut faire dire ce que l'on veut à des images. :)

Dans le Canard enchaîné du 22 mai 2019.

Qu'on se le dise, les sénateurs prennent très au sérieux la question du harcèlement au travail… mais pour se protéger eux-mêmes ! En cas de litige avec un collaborateur parlementaire, le sénateur qui l’emploie n’aura pas un son à débourser pour sa défense. Ses frais d’avocat seront désormais pris en charge, à hauteur de 50 000 euros, au maximum, par une assurance maison. Tandis que le pauvre assistant parlementaire, lui, devra se débrouiller tout seul.

La bonne nouvelle a été annoncée le 10 mai aux élus par l’Association pour la gestion des assistants de sénateurs (Agas). Cette structure interne, qui établit les contrats et les fiches de paie des assistants parlementaires, a passé un marché avec une société d’assurance, la Smacl, offrant « une protection juridique au bénéfice des sénateurs en leur qualité d’employeurs ». Entré en vigueur le 1er janvier, le contrat donne des garanties en or aux sénateurs qui malmèneraient leurs salariés. En cas de litige, les parlementaires resteront libres de choisir leur avocat, mais la facture sera directement réglée par l’assureur. Avec une limite, tout de même : l’élu qui sera éventuellement condamné aux prud’hommes paiera lui-même l’amende.

Même pas mal

Plus formidable encore, annonce l’Agas dans son courrier, les sénateurs pourront bénéficier « des services d’un professionnel des relations publiques en vue de prévenir ou de réparer toute atteinte à la réputation suite à un litige et qui résulterait, par exemple, (…) d’articles de presse ». En clair, les élus auront droit à une campagne de com’ — de 5 000 euros, au maximum — pour redorer leur blason, même si les faits sont avérés ! Dernière douceur : l’assurance couvre les élus jusqu’à cinq ans après la fin de leur mandat. Qui dit mieux ?

Le syndicat CGT des collaborateurs parlementaires s’est étouffé en découvrant ce joli marché. « C’est totalement inégalitaire, dénonce l’un de ses membres au “Canard”. Nous, les assistants, n’aurons jamais de tels moyens financiers pour nous défendre ! Et, en plus, cette protection des sénateurs est payée sur des fonds publics. »

Le progrès social au Sénat, ce n’est pas un vain mot.

Que c'est beau, que c'est propre… D'un certain côté, c'est la suite logique de la massification de la protection juridiques dans les contrats d'assurance de M. ToutLeMonde : viens pas me chercher des noises, surtout si t'es pas très argenté, car j'ai de gros biscottos, je me suis prémuni contre tout et tous ! Sortir les muscles en permanence afin de dissuader. Folie de notre époque…

Dans le Canard enchaîné du 22 mai 2019.

Théorie

Content Security Policy (CSP) est un entête HTTP (la version sous forme d'attribut dans la balise XHTML « meta » est incomplète) qui permet, à un site web, de fournir, à un navigateur web, des instructions portant sur l'origine des contenus de ce site web. Exemple : "le seul javascript que tu peux exécuter sur ce site web doit provenir de https://jscdn.example". Cela fonctionne avec une politique par défaut couplée à une liste blanche des contenus autorisés à être récupérés. Cela va très loin puisque ça permet d'indiquer l'origine des scripts javascript, des images, des polices de caractère, la destination d'un formulaire web, les pages qui peuvent être incluses dans une balise XTML frame, etc.

Le but de tout cela est d'empêcher le navigateur web du visiteur d'un site web d'inclure et de charger des contenus malveillants, notamment des scripts javascript qui peuvent ensuite servir à tromper l'utilisateur d'un site web, à voler des données (dont des identifiants), à usurper un contenu, etc.

Évidemment, les autorisations sont transitives : si un script JS autorisé tente de charger un JS pas autorisé dans la politique, ça ne fonctionnera pas. De même, la politique est appliquée après la modification du DOM par un script JS, donc il est inutile de tenter de modifier une balise avec du JS autorisé dans l'intention de charger un script JS non autorisé, par exemple.

Comme tout entête, il peut être positionné par le site web (via la fonction header() de PHP, par exemple) et par le serveur web (module headers d'Apache httpd, par exemple). Il y a un ordre (source) : un entête positionné par une application PHP peut être écrasé par un entête positionné dans la configuration principale du serveur web, qui peut lui-même être supplanté par un entête positionné dans la configuration déportée du serveur web (dite htaccess). Évidemment, il y a des pièges (nous en observerons un plus bas)…

Par défaut, en l'absence d'un entête CSP, les navigateurs web appliquent aucune politique : tout contenu peut être téléchargé depuis n'importe où et utilisé. Évidemment, ça ne veut pas dire qu'une ressource, notamment un script Javascript, peut accéder à n'importe quelle ressource distante, car un autre mécanisme, Cross-origin resource sharing (CORS), empêche cela, j'y reviendrai à la fin de ce shaarli.

L'interprétation de cet entête par les navigateurs web est plutôt strict, donc dès que l'on commence à l'utiliser, il vaut mieux avoir doublement vérifié toute les ressources téléchargées directement ou indirectement sur le site web. Exemple : par défaut, CSP bloque l'exécution du Javascript inline (c'est-à-dire positionné dans la balise XHTML « script ») et l'utilisation de la fonction Javascript « eval() ». Néanmoins, un mécanisme de rapport existe : un navigateur web qui a bloqué du contenu à cause d'une CSP peut le signaler en envoyant un blob JSON à un formulaire web indiqué dans la CSP.

Pratique

Intro

D'un côté, nous avons une application web Java (Tomcat) derrière des frontaux Apache httpd qui effectue une authentification centralisée (Single Sign-On, SSO). Convenons qu'elle est accessible par une seule URL : https://sso.example/ .

De l'autre côté, nous avons un portail internet Java (Tomcat) derrière des frontaux Apache httpd qui inclu (avec une balise XHTML « iframe ») la plupart des sites web que nous mettons à la disposition de notre communauté. Convenons qu'elle est accessible par une seule URL : https://portailweb.example/ .

Il faut être identifié et authentifié (par le SSO) sur le portail web pour que les onglets "contenant" les sites web apparaissent (car on ne présente pas les mêmes à tous nos utilisateurs). Cette authentification n'est pas transitive : le site web inclus ne sait pas si un utilisateur est authentifié sur le portail ou non, il réinterroge toujours le SSO. Nous faisons cela car, d'un point de vue fonctionnel, la plupart des sites web inclus doivent pouvoir être appelés directement (en dehors du portail). Si nous utilisions le portail web comme un proxy SSO, alors les sites web ne pourraient plus être consultés en dehors du portail.

Or, la durée de conservation du ticket délivré par le SSO est variable en fonction des sites web, ce n'est pas le SSO qui peut l'imposer aux applications (enfin si, mais la marge est grande). Donc, il est possible que le portail web continue à considérer qu'un utilisateur est connecté alors que le SSO ne le considère plus de son côté. Ainsi, quand le site web inclus dans le portail interrogera le SSO, celui-ci l'informera que l'utilisateur n'est plus authentifié. Ce site web inclus redirigera alors l'utilisateur vers notre SSO. On aura donc le SSO inclus dans notre portail web.

Voyons comment configurer nos frontaux Apache httpd pour tenir compte de tout ça.

X-Frame-Options et CSP frame-ancestors

Ces deux entêtes HTTP permettent d'indiquer à un navigateur web qu'un site web peut être inclus (ou non) dans un autre. Elles permettent d'éviter les attaques de type clickjacking genre j'inclus, sur mon site web, le formulaire de ton site web qui octroie des privilèges à un compte utilisateur et je le camoufle derrière du XHTMl/CSS qui te promet ceci ou cela… Tu cliques, comme t'es identifié sur ton site web, ça passe et tu octroies implicitement des droits au compte que j'ai désigné dans la requête. Suite logique des attaques CSRF, attaques que l'on contre facilement avec un token stocké dans la session…

Comme le laisse deviner son nom préfixé par « X- » (pour expérimental), X-Frame-Options est un entête déprécié qui a été remplacé par l'attribut « frame-ancestors » dans la deuxième version de CSP. Source : la norme CSPv2.

Évidemment, tous les navigateurs ne prennent pas en charge tous les entêtes ni tous les attributs et valeurs pour chaque entête. Les navigateurs "récents" (Firefox >= 36, Chrome >= 39, Safari >= 10, Edge >= 15) prennent en charge CSP frame-ancestors et X-Frame-Options. Les "vieux" navigateurs (IE, Edge >= 12, Firefox >= 18) implémentent uniquement X-Frame-Options. Notons que même les versions récentes de Safari, Chrome et Opera ne prennent pas en charge la valeur « ALLOW-FROM » de X-Frame-Options. Sources : 1, 2.

Lors de la résolution des problèmes évoqués ci-dessous, il m'avait semblé qu'il fallait les deux entêtes pour couvrir fonctionnellement notre parc, notamment les machines qui avaient un Firefox pas à jour. En rédigeant ce qui précède des mois après, je suis beaucoup plus sceptique : je pense que nous devrions pouvoir cesser notre utilisation de X-Frame-Options sans impact sur nos utilisateurs, car nous n'avons pas d'aussi vieilles versions de Firefox en circulation et que X-Frames-Options tel que nous l'utilisons (avec l'attribut « ALLOW-FROM ») n'est pas prise en charge par Safari, Opera et Chrome. Donc ça sert uniquement pour IE et les versions mobiles de navigateurs, lesquels ne sont pas dans notre périmètre.

Tu l'as compris : la suite de ce shaarli va traiter de la mise en pratique de CSP uniquement sous l'angle d'un seul de ses attributs, frame-ancestors.

Une dernière note : en cas d'inclusions multiples (site 1 inclus site 2 qui inclus site 3), les navigateurs web, comme la norme le leur permet, peuvent interpréter différemment la somme des CSP (celle du site 3 puis du site 2 puis du site 1) et la comparaison de l'origine (faut-il comparer site 3 avec site 1 ou site 3 avec site 2 ou… ?).

Configuration de base

Par défaut, il était impossible d'intégrer notre SSO à tout site web. Nous croyions que c'était à cause d'une interprétation stricte des navigateurs web de l'absence de CSP/X-Frame-Options. Nous verrons, dans le point suivant, que ce n'est pas ça du tout.

Pour pallier à ça, voici le bout de conf' que l'on avait ajouté dans la configuration du virtualhost de nos frontaux SSO :

Header always set X-Frame-Options "SAMEORIGIN"
Header always set Content-Security-Policy "frame-ancestors 'self' *.example"

On notera que ces deux entêtes ne signifient pas la même chose. La première, pour les vieux navigateurs, indique que seul notre SSO peut s'inclure lui-même (nous verrons plus bas que ce n'est pas ce que nous voulons). La deuxième, pour les navigateurs web récents, signifie que notre SSO peut s'inclure lui-même ou être inclus par tout site web dont le nom termine par « example » (portailweb.example, autresiteweb.example, etc.). Du coup, le comportement sera différent entre les "vieux" et les "jeunes" navigateurs web. Mais c'est dans cet état que j'ai repris le flambeau.

Multiples X-Frame-Options contradictoires

Le premier problème a été un navigateur web Safari qui indiquait ce qui suit dans sa console lorsqu'on consultait notre portail web :

Multiple 'X-Frame-Options' headers with conflicting values ('SAMEORIGIN, DENY') encountered when loading 'https://sso.example/'. Falling back to 'DENY'.

Refused to display 'https://sso.example/' in a frame because it set 'X-Frame-Options' to 'SAMEORIGIN, DENY'.

Comme nous venons de le décrire, nous avions pourtant un unique « Header always set X-Frame-Options "SAMEORIGIN" » dans la configuration de nos Apache httpd. D'où peut donc bien venir ce « DENY » ?!

Le code de notre SSO positionne lui aussi cet entête avec la valeur « DENY » (on observe cela en capturant le trafic réseau entre le frontal web et le SSO). Cet entête est conservé par le mod_proxy_ajp d'Apache httpd (ce qui est normal). Notre bout de configuration ne l'écrase pas car le mod_proxy (ajp ou http) utilise la table globale pour stocker les entêtes HTTP récupérés depuis le backend (c'est par ici pour les explications). Or, la directive que nous avons ajoutée indique de positionner l'entête dans la table « always ». Oui, c'est un comportement inverse à celui du mod_fcgi_proxy utilisé avec PHP-FPM qui, lui, peuple la table always et non la table par défaut…

Pour résoudre ce problème, soit on utilise le bout de configuration suivant :

Header set X-Frame-Options "SAMEORIGIN"

Soit le bout de conf' suivant qui a l'avantage de laisser moins de marge d'appréciation :

Header unset X-Frame-Options
Header always set X-Frame-Options "SAMEORIGIN"
Header always set Content-Security-Policy "frame-ancestors 'self' *.example"

Notons que nos navigateurs, plus récents, utilisent CSP frame-ancestors et ignorent donc X-Frame-Options conformément à la norme, ce qui fait que nous n'avions pas identifié ce problème avant qu'un utilisateur se ramène avec son Mac + Safari.

Un problème d'origine

Quand nous nous rendons sur notre portail web, la console de développement des anciens navigateurs web, ceux qui ne prennent pas en charge CSP frame-ancestors, affiche :

Refused to display 'https://sso.example' in a frame because it set 'X-Frame-Options' to 'SAMEORIGIN'.

Dans les normes du web, une origine, c'est un protocole d'accès (http, https, etc.) + un nom d'hôte (sso.example) + un port. Ainsi, https://portailweb.example:443 n'a pas la même origine que https://sso.example:443 car le nom d'hôte est différent. Même chose avec http://portailweb.example:443 et https://portailweb.example:443 (le protocole change) ainsi qu'avec https://portailweb.example:443 et https://portailweb.example:8443 (le port change).

OK, indiquons clairement que notre portail web peut inclure notre SSO. Changeons la config' du virtualhost du frontal de notre SSO pour celle-ci :

Header unset X-Frame-Options
Header always set X-Frame-Options "ALLOW-FROM https://portailweb.example"
Header always set Content-Security-Policy "frame-ancestors 'self' *.example"

Cela fonctionne. \o/

Plusieurs autorisations dans un X-Frame-Options

Ce qui devait arriver est arrivé… Notre SSO doit aussi être inclus par un autre site web que notre portail web.

L'ennui, c'est que, contrairement à CSP, « X-Frame-Options » peut contenir un et un seul « ALLOW-FROM », et ne peut pas contenir un joker (« *.example »), donc, in fine, un seul site web peut être autorisé.

On ne va quand même pas utiliser la valeur « ALLOWALL », sinon tout site web pourrait inclure notre SSO, bonjour l'absence de sécurité…

On ne peut pas renoncer à l'une ou à l'autre des inclusions (c'est-à-dire recoder l'un des sites web afin de se passer des iframes) dans un délai raisonnable…

Le module headers d'Apache httpd permet d'ajouter des entêtes de manière conditionnelle, en fonction de l'existence (ou non) d'une variable d'environnement ou d'une expression rationnelle (qui peut porter sur la valeur d'une variable d'environnement). Parmi la liste des variables d'environnement disponibles, « HTTP_REFERER » retient mon attention.

Si le navigateur web charge notre SSO à partir de notre portail web, alors le referer aura « […]portailweb.example[…] » pour valeur. S'il charge le SSO depuis l'autre site, le referer sera différent. On n'a plus qu'à insérer un entête « X-Frame-Options » en fonction de la situation.

Changeons encore une fois la config' du frontal de notre SSO :

Header unset X-Frame-Options
Header always set X-Frame-Options "ALLOW-FROM https://portailweb.example" "expr=%{HTTP_REFERER} =~ m#portailweb.example#"
Header always set X-Frame-Options "ALLOW-FROM https://autresiteweb.example" "expr=%{HTTP_REFERER} =~ m#autresiteweb.example#"
Header always set Content-Security-Policy "frame-ancestors 'self' *.example"

Cela fonctionne. \o/

Notons que cela fonctionne partiellement avec les extensions de navigateur qui bidouillent le referer afin de préserver la vie privée. Si l'extension est configurée pour effacer totalement le referer, alors notre SSO ne sera pas chargé. Si elle est configurée pour tronquer le referer afin de conserver uniquement le domaine (et d'effacer le reste de l'URL), notre SSO sera chargé. La première configuration est peu courante, car elle casse beaucoup de sites web, donc nous ne la supportons pas. À l'impossible nul n'est tenu.

Bonus : le bookmarlet shaarli et une politique CSP

L'application web shaarli peut être utilisée avec un bookmarlet, c'est-à-dire un bouton qui déclenche un bout de Javascript qui ouvre un pop-up contenant la page "ajout d'un lien" de shaarli et qui y pré-rempli certains champs (titre, URL, etc.).

Avec Firefox, mon bookmarklet ne fonctionne plus sur certains sites web (Github, par exemple) depuis quelques années, c'est-à-dire depuis que Debian empaquette une version de Firefox qui implémente CSP et/ou depuis que la CSP de ces sites web est devenue bloquante.

Je l'ai écrit dans l'introduction de ce shaarli : par défaut, CSP bloque le javascript inline. Or, le bookmarklet shaarli n'est rien de plus qu'un bout de Javascript exécuté dans le contexte d'exécution d'un site web…

Si j'installe un reverse proxy Apache httpd entre mon Firefox et Github, que je le configure pour remplacer l'attribut « script-src github.githubassets.com; » contenue dans la CSP de Github par « script-src 'unsafe-inline' github.githubassets.com; » (toujours avec le module headers), le bookmarlet shaarli fonctionne.

C'est un problème connu. La norme impose que les bookmarklets ne soient pas affectés par le traitement de CSP. Visiblement, Firefox n'avance pas sur ce sujet.

Une extension Firefox qui remplace le bookmarklet existe… Mais pouvons-nous avoir confiance en Aeris ? :))))

Quelques mots sur HTTP CORS

Par défaut, un certain nombre d'objets web ne peuvent pas demander à un navigateur web d'émettre des requêtes vers une ressource distante qui n'a pas la même origine (même protocole, même domaine, même port, voir ci-dessus pour plus d'infos) qu'eux. C'est le cas pour les API XMLHttpRequest (AJAX) et Fetch, les polices chargées avec @font-face en CSS, les textures WebGL, les canevas HTML5, etc. Liste complète chez Mozilla. La politique par défaut des navigateurs web est donc « même origine ». Les autres objets (une image, une vidéo, une feuille CSS, une inclusion, etc.) ne sont pas concernés, elles ne sont pas bloquées par défaut.

HTTP Cross-Origin Resource Sharing (CORS) est un ensemble d'entêtes HTTP, de la forme « Origin: » et « Access-Control-* », qui permettent de débrayer ce comportement et d'autoriser un navigateur web qui exécute un objet récupéré sur un site web A à émettre des requêtes destinées à un site web B. Évidemment, c'est le site web qui veut être accessible, le site B dans mon exemple, qui doit positionner des entêtes CORS autorisant le site web A ou tous les sites web.

Cela est utile dans des contextes ou des données sont exposées par des API qui peuvent être consultées en temps réel (XMLHttpRequest). Dans ces contextes, les données sont rarement sur le même domaine que le code qui les formate et les présente (architecture frontend / backend, fournisseurs différents, agrégation de fournisseurs de données, etc.).

Exemple : positionner l'entête « Access-Control-Allow-Origin: * » sur ton site web autorise d'éventuels objets XMLHttpRequest placé sur tout site web à émettre des requêtes destinées à ton site web. Évidemment, on peut préciser une seule origine avec « Access-Control-Allow-Origin: https://front.example.com » + « Vary: Origin ». On a le droit qu'à un seul domaine, mais on peut le faire varier en fonction du header « Origin » inséré par le navigateur web à l'aide de l'insertion conditionnelle d'un entête, comme nous l'avons vu précédemment.

Notons qu'il existe deux types de requêtes XMLHttpRequest / Fetch : des requêtes simples / principales contenant des données utilisateur et des requêtes préliminaires qui ne contiennent pas de données utilisateurs mais qui servent à interroger le serveur web sur les méthodes HTTP (GET, POST, etc.), les types de contenus (application/x-www-form-urlencoded, etc.) et les entêtes qu'il supporte. Les requêtes préliminaires sont obligatoires quand la requête principale utilise des méthodes, des types de contenus et des entêtes qui ne sont pas dans la norme de l'API Fetch. Elles sont générées automatiquement par le navigateur web avant l'émission de la requête principale codée par le développeur de l'application web.

Pour plus d'informations, je recommande la lecture de l'excellente page de Mozilla : Cross-origin resource sharing (CORS) - HTTP | MDN.

Le massif du Mont-Blanc, les gorges de l’Ardèche, la dune du Pilat… Tous ces joyaux du tourisme made in France font partie des 2 700 sites classés selon la loi du 21 avril 1906. Quelque 1,1 million d’hectares de paysages français, soit 2 % du territoire, sont ainsi protégés de l’appétit des promoteurs. De façon simple et diablement efficace : tout projet d’aménagement notable envisagé sur ces sites — défrichage, agrandissement d’un bâtiment, création d’une passerelle — doit obtenir l’aval du ministère de l’Environnement, et passer sous les fourches caudines des inspecteurs des sites classés. Les changements mineurs, quant à eux, sont confiés au préfet.

Un projet de décret, daté du 12 avril, signé par le Premier ministre, Edouard Philippe, et le ministre de la Transition écologique, François de Rugy, prévoit que toute autorisation d’aménagement sera désormais délivrée localement par le préfet, lequel, on le sait, est généralement un ardent défenseur de l’environnement, insensible aux pressions amicales des notables et des entrepreneurs du coin… ll s’agit de « prendre les décisions au plus près du territoire afin de favoriser le dialogue avec les porteurs de projets », explique au « Canard » le cabinet du Premier ministre, ajoutant que cette décision est « dans la ligne de ce qui a émergé du grand débat ». Ah bon ?

Parer au plus préfet

Alexandre Gady, professeur à la Sorbonne (« Le Figaro », 5/4), s’inquiète : « Dans des lieux à forte pression immobilière, où des projets sont repoussés avec constance depuis plusieurs années, comme en Val de Loire ou sur la Côte d’Azur, on risque d’assister à un bétonnage de sites exceptionnels. »

Ce que confirme David Couzin, président de l’Association des inspecteurs des sites et des chargés de mission paysage : « On va voir fleurir les projets d’hôtels cinq étoiles dans les prochains mois, je peux vous le dire ! Les promoteurs connaissent les ficelles locales pour faire passer des projets qu’on repousse depuis des années. Par exemple, dans les Pays de la Loire, l’agrandissement du stade du FC Nantes, des aménagements pour touristes sur le lac de Grand-Lieu, une passerelle géante au-dessus de l’Erdre, etc. Ce décret va mettre en l’air un dispositif qui a un siècle et qui a permis de sauvegarder les paysa- ges remarquables et leur biodiversité. »

Le nouveau monde sera moche, ou ne sera pas !

Hum… J'avais jamais trop pensé à ça : les décisions prises à l'échelle locale sont facilement influençables par les gens et entrepreneurs du coin, la proximité permettant de connaître les ficelles. Mais, d'un autre côté, les décisions prises à des échelles supérieures sont influençables par les grosses sociétés commerciales (inter)nationales via les réseaux d'amitié et les cercles de pouvoir. Pas de solution idéale si ce n'est de renforcer un contre-pouvoir judiciaire ? On notera que la loi Macron de 2015 a réduit les délais et les possibilités d'action des associations de défense de l'environnement en matière de construction, y compris sur sites classés…

Dans le Canard enchaîné du 15 mai 2019.