GuiGui's Show

• Un-e étudiant-e de moins de 25 ans (au 1er janvier de l'année en cours donc si t'as eu 25 ans le 5 janvier 2017, t'es OK pour cette année, mais plus en 2018) peut se faire rattacher au foyer fiscal de ses parents. Comme ça, pas de paperasse à remplir pour l'impôt sur les revenus. Forcément, si l'étudiant-e perçoit des revenus imposables (un stage court ne l'est pas, par exemple), ça fait grimper le montant de l'impôt des parents. Si pas étudiant-e, la limite d'âge pour un rattachement au foyer fiscal parental est de 21 ans.
  
  
• Il est possible de tout faire en ligne (déclarer, payer, recevoir l'avis final d'impôt) dès la première fois (dès la première déclaration). Lors de la déclaration des revenus, on peut encore demander à recevoir l'avis d'impôts locaux et l'avis final de l'impôt sur les revenus par courrier postal. Si le prélèvement à la source n'arrive pas en 2018 comme prévu, alors la fin du papier est prévue pour 2019.
  
  
• Il y a trois modes de paiement pour l'impôt sur les revenus : tiers provisionnel (aka acomptes, c'est-à-dire payer 2/3 en avance, en février et mai, quitte à obtenir ensuite un crédit d'impôt si l'on a provisionné plus que le montant de notre impôt sur les revenus) ou prélèvement bancaire mensuel (aka mensualisation, c'est-à-dire 10 mois de prélèvement, de janvier à octobre + 2 mois pour ajuster si trop-perçu / pas assez payé). Ces deux modalités de paiement ne sont pas disponibles pour la première fois (à la première déclaration) puisque le fisc ne sait pas quel est le montant de votre dernier impôt (oui, c'est ce qui est utilisé pour calculer les tiers et le montant des prélèvements). Donc la première année il faut payer en une fois en septembre. Il s'agit du troisième mode de paiement (et il est l'exception).
  
  
• Il y a des cas de dispense qui permettent de ne pas payer les tiers provisionnels notamment si l'on pense être non imposable sur les revenus de l'année précédente ou si le montant de l'impôt sur ces revenus sera inférieur à un seuil fixé par le fisc (347 € en 2017). Pour déterminer cela, il est possible d'utiliser le simulateur du fisc. Il n'y a aucun justificatif ni courrier ni quoi que ce soit à adresser au fisc : il faut se contenter de ne rien payer et de faire la déclaration habituelle. En cas d'erreur de jugement, le fisc réclamera son dû accompagné de 10 % de majoration.
  
  
• À quel montant faut-il s'attendre pour l'IRPP (impôt sur les revenus des personnes physiques ;) ) ? Pour un célibataire sans personne à charge, sans cas particulier (ceux mentionnés/reconnus comme tel par le fisc) et sans autres revenus qu'un travail temps plein de cadre en informatique exercé durant une année complète, il faut s'attendre à environ 1 mois de salaire net.
  
  
• Le revenu de l'allocation de retour à l'emploi (chômage) se déclare en revenu. Sur le formulaire en ligne, si elle n'apparaît pas déjà, il faut la ranger dans « Salaires » -> « Autres revenus salariaux ». au début de l'année, pôle emploi met à disposition un PDF « déclaration fiscale annuelle » dans l'espace personnel -> « Mes allocations » -> « Mes attestations » -> « Attestation fiscale » dans la liste.

L'application Signal ne dépend désormais plus du transport de messages Google (GCM) pour fonctionner (et plus non plus de GooglePlay).
(Ah oui... et l'application fait aussi désormais des appels audio et vidéo. Le tout chiffré. C'est cool. Utilisez ça à la place de Skype !)

Ho, bien. \o/

In January, a California lawmaker introduced legislation, backed by school administrators, that would give K-12 school administrators broad powers to search the phones and electronic devices of their students without a warrant.

[…]

The bill was proposed in a bid to bolster student safety and investigate cyberbullying and other events, she said. […]

Preston said Silicon Valley was concerned tech companies might be forced to decrypt students' phones. Other opponents thought the data on the phones might be used to deport students or their families.

[…]

Nicole Ozer, an ACLU of Northern California attorney, told Ars the newly proposed legislation was unwarranted. "This bill was both unnecessary and it was really bad for kids and families," she said. "It would have opened up these millions of students to invasive searches. There would have been no outside oversight, and no notice to parents and to students about the searches. There would be no safeguards of what was searched, how it was used, and how it was shared."

Oui, le gouvernement a déjà diffusé un questionnaire de satisfaction à ce sujet, mais bon, apparemment, à la fin du mandat, il faut bien s'occuper un peu et balancer pas mal d'argent public par les fenêtres afin que Ernst & Young (oui, un des gros cabinets d'audit financier…) le récupère… … …

Voici mes réponses :

Selon vous, quels besoins étaient exprimés par le gouvernement à travers cette consultation ? … … …

Apporter de l'expertise et améliorer la qualité du texte pour mieux répondre aux enjeux du numérique ?

Pas du tout

Défendre l'intérêt des citoyens peu représentés par les canaux habituels de consultation ?

Pas du tout

Identifier les sujets susceptibles de poser des difficultés de mise en oeuvre ?

Pas du tout

Apporter des idées innovantes ?

Pas du tout

Associer davantage les citoyens à la décision publique ?

Pas du tout

Toucher une communauté large et peu organisée ?

Pas du tout

Communiquer et afficher une volonté de consulter les citoyens ?

Pas du tout

Quel(s) autre(s) besoin(s) identifiez-vous ?

L'objectif de cette consultation était vicié dès le début : il ne s'agissait pas de faire prendre part les citoyen-ne-s à la décision politique, ni de trouver des idées innovantes, ni de chercher une expertise ni quoi que ce soit, mais de faire de l'affichage politique en mode "on est trop dans le délire de la démocratie direct, on écoute les citoyen-ne-s". Sur les grandes lignes, le texte a été peu modifié (dans la direction citoyen-ne) par rapport au texte préparé en amont par le gouvernement. Je retiens totalement l'avis formulé par ces collectifs citoyens : https://www.regardscitoyens.org/le-gouvernement-ouvert-a-la-francaise-un-leurre/ .

Selon vous, la démarche de consultation en ligne était-elle adaptée pour répondre à ces besoins ?

Tout à fait

Avez-vous été satisfait(e) par la plateforme République numérique proposée pour cette consultation (facilité d’utilisation, présentation des contributions, clarté de l’outil, etc.) ?

Plutôt non

Etes-vous satisfait(e) d’avoir pu contribuer à cette consultation en ligne ?

Pas du tout

Avez-vous le sentiment que vos contributions ont été prises en compte... ?

…à l’issue de la consultation en ligne et avant les débats parlementaires à l’Assemblée nationale et au Sénat ?

Pas du tout

…dans le texte final de la loi ?

Pas du tout

A titre personnel, quel(s) bénéfice(s) avez-vous tiré de cette consultation ?

Familiarisation avec le processus d’écriture de la loi et le fonctionnement des institutions françaises

Plutôt non

Meilleure compréhension des arguments en faveur et en défaveur des propositions émises

Plutôt non

Fierté d’avoir été associé(e) à la décision publique

Pas du tout

Amélioration de l’image de l’administration

Pas du tout

Autre (réponse facultative)

« Familiarisation avec le processus d’écriture de la loi et le fonctionnement des institutions françaises » écrivez-vous. Cette consultation est un rideau décoratif qui masque le véritable fonctionnement de nos institutions : agenda du parlement décidé par le gouvernement, procédure accélérée + délai pour prendre parti sur un texte toujours plus court, délégation de vote au Sénat, court délai pour poser un amendement, faible qualité des débats au Parlement (paroxysmes : prolongations de l'état d'urgence et 1/5 de la loi égalité et citoyenneté censuré par le Conseil constitutionnel), 49.3, etc. Participer à une consultation ne permet pas de percevoir ces rouages grippés qui forment pourtant notre quotidien démocratique.

Diriez-vous que la consultation a permis d’enrichir la décision publique ?

Pas du tout

Qu'avez-vous pensé de la temporalité de la démarche de consultation ?
Auriez-vous souhaité que la consultation intervienne plus tard dans le processus d’élaboration de la loi, pendant l’examen du projet de loi par l’Assemblée nationale et le Sénat ?

Pas du tout

Auriez-vous souhaité que la consultation intervienne plus tôt dans le processus, au stade de l’écriture des articles du projet de loi ?

Tout à fait

Auriez-vous souhaité que la consultation dure plus longtemps ?

Plutôt oui

A l’avenir, seriez-vous prêt(e) à contribuer de nouveau à ce type de consultation dans le cadre de l’élaboration d’une loi ?

Plutôt oui

Avez-vous d'autres commentaires à formuler sur le processus de consultation ? (réponse facultative)

« A l’avenir, seriez-vous prêt(e) à contribuer de nouveau à ce type de consultation dans le cadre de l’élaboration d’une loi ? » : plutôt oui, SI la qualité démocratique du processus s'améliore. 1) Le gouvernement n'a quasiment rien retenu des propositions. 2) Les réponses du gouvernement sont d'une telle faiblesse dans l'argumentation que c'en est déplorable. Soit le gouvernement avance que l'UE est en train d'étudier le dossier faisant l'objet de la proposition et donc on s'interdit de réfléchir et de proposer des choses à l'UE, ce qui est stupide. Soit le gouvernement avance que la proposition serait contraire aux réglementations européennes et internationales alors que ça n'a pas freiné le gouvernement pour déployer un état d'urgence violent, hors de contrôle et anti-démocratique (la France est en exception à la CEDH !), par exemple. Soit le gouvernement répond des banalités sans argumenter sur le fond juridique ou moral. On est donc très loin d'un échange avec les citoyen-ne-s.

Ça aurait été bien que cette consultation (comme les autres), ne se soit pas déroulée sur la plateforme d'une société commerciale privée en position dominante sur le marché (via un accès privilégié à la commande publique), Cap Collectif par le biais d'une association, Démocratie Ouverte, qui concentrent les conflits d'intérêt. Là encore, lire : https://www.regardscitoyens.org/le-gouvernement-ouvert-a-la-francaise-un-leurre/

Intéressant.

L'énergie investie (ou brûlée, selon le regard que l'on adopte) dans l'organisation des différentes mises en compétition des établissements supérieurs a été considérable. À la fin de son mandat ministériel, un ministre de l'Enseignement supérieur se réjouissait de ce que ces différents "concours" aient amené à ce que des gens qui ne se parlaient pas auparavant commençaient à se fréquenter (et c'est vrai).

Mais il estimait avec perplexité que la réponse aux Programmes d'investissement d'avenir 1 (Idex, Labex, Equipex, etc.) avait mobilisé de l'ordre de 6.000 années de travail des meilleurs chercheurs du pays (6.000, sur 100.000 universitaires permanents en France). L'essentiel de ces écritures a en effet concerné des personnes à très haute qualification et très haute responsabilité. Et le ministre d'observer que, cette année-là, la production scientifique du "laboratoire France" avait, de fait, baissé.

Quelques années plus tard, en 2015, un budget de disette venait extraire 100 millions d'euros des fonds de roulement des EPSCP, donnant le pire signal à ceux qui avaient choisi de se constituer des capacités d'investissement, démontrant au passage que l'autonomie des établissements publics était une illusion. Par ailleurs, sur les 1.000 postes créés dans le supérieur en 2015, environ 650 étaient affectés aux structures permanentes de Comue : il y avait là une magnifique démonstration d'anti-économies d'échelle, où des postes opérationnels de chercheurs étaient transformés en postes fonctionnels de structures fédératives imposées, financés en prélevant sur le budget des établissements.

[…]

Finalement, on réussit assez bien à rendre les acteurs dociles par une conjonction d'épuisement budgétaire (budgets bloqués mais quasi-interdiction d'innovation sur le plan des ressources propres), de corset administratif (une seule Comue par grande métropole, territorialité obligatoire, Idex quasiment soumises à fusion des établissements), et de la violence subie que représente l'espace entre le discours ("nous investissons dans l'enseignement supérieur et la recherche, les ambitions de la France")... et la réalité humaine des postes bloqués et des finances exsangues.

[…]

Vu de Boston, San Francisco et Shanghai, le nombre de prix Nobel et de médailles Fields compte plus pour la visibilité internationale que le nombre d'étudiants et le regroupement territorial. Mais la France fait comme si la force venait d'abord de la taille ou de la structure.

Christine Musselin a bien raison : le plus étonnant est la résignation. Les acteurs sont épuisés, voilà tout. Ils savent que toute leur énergie mentale, leur intelligence et leur créativité devraient être tournées vers la recherche, l'invention, le soin envers les étudiants, et que ces missions sont par nature sans limites. Les lieux d'excellence mondiale sont ceux qui savent rendre cela possible en reconnaissant que c'est là l'essentiel, plutôt que de chercher à promouvoir des "rationalisations" si difficiles et si coûteuses en énergie, donc inefficaces, dans un contexte de budget limité et administrativement corseté.

Via https://twitter.com/IGarcinMarrou/status/852142916097146880 via https://twitter.com/quota_atypique

La carte des difficultés sociales de la France en 2013 montre qu’elles présentent de grandes similitudes géographiques. Ce sont à peu près les mêmes territoires où sévit le chômage, où les jeunes n’ont pas de diplômes, où la pauvreté est la plus élevée et où les familles monoparentales sont les plus nombreuses. Nul hasard à cela car ces problèmes font système en se renforçant les uns les autres: les jeunes sans diplôme risquent le chômage beaucoup plus que les autres, les chômeurs sont plus pauvres que la moyenne, le chômage est un ferment de dissolution des liens sociaux, en particulier des liens familiaux, ce qui entraîne des ruptures et donc la multiplication des familles monoparentales, dont 35 % sont au-dessous du seuil de pauvreté. En cherchant à venir à bout de l’une de ces difficultés, on rencontre inévitablement les autres.

[…] Il serait cependant inexact d’en déduire que ce vote est celui des pauvres et des laissés pour compte. Ces derniers s’abstiennent le plus souvent. On doit plutôt constater que c’est le vote des régions pauvres, celles où beaucoup craignent les accidents de la vie car ils voient leurs proches atteints par eux.

[…]

[…] le vote frontiste est plus faible dans les villes et particulièrement dans les grandes agglomérations que dans leur périphérie alors qu’inversement, les problèmes sociaux y sont plus aigus. […] Ceci montre que les électeurs choisissent plus en fonction de leurs perspectives d’avenir que de leur situation réelle. Dans les zones éloignées du centre, les habitants se sentent oubliés et ont l’impression de ne pas pouvoir changer leur situation. Dans les villes, même les plus pauvres peuvent espérer rencontrer une opportunité qui les tirera de la misère.

Conservatisme & peur du lendemain…

Via http://www.sammyfisherjr.net/Shaarli/?oyC_kQ

Les DNS adapters (anciennement nommés I/O adapters, de mémoire), qui sont apparus avec la version 1.4 d'OpenDNSSEC, lui permettent de se comporter comme un serveur DNS c'est-à-dire que, plutôt que d'avoir le fichier de zone à signer sur un support de stockage, OpenDNSSEC peut très bien la recevoir depuis un serveur DNS, via un transfert de zone tout à fait standard dans DNS. De même, plutôt que d'écrire la zone signée sur le stockage, OpenDNSSEC peut la distribuer à un serveur DNS qui, lui, la servira à tout l'Internet.

En gros, le tech modifie le fichier de zone et la recharge dans son serveur de noms interne qui fait autorité habituel (BIND, nsd, knot, etc.). Celui-ci envoie une notification à OpenDNSSEC. OpenDNSSEC effectue un transfert de la zone depuis le serveur DNS interne puis signe la zone puis envoie une notification au serveur DNS qui fait autorité exposé sur le net. Ce serveur récupère la zone signée auprès d'OpenDNSSEC en effectuant un transfert de zone.

Cela permet deux choses :

• La machine qui fait tourner OpenDNSSEC peut être différente de la machine qui fait tourner le serveur DNS qui fait autorité sur la zone, c'est-à-dire celui qui répond aux requêtes. Cela signifie que la machine OpenDNSSEC peut-être isolée d'Internet avec un pare-feu ou autre. Cela permet que les clés privées qui servent à signer les zones, qui sont accessibles voire stockées par la machine OpenDNSSEC, ne soient pas exposées sur Internet. La machine OpenDNSSEC devient ainsi un serveur DNS qui fait autorité master furtif.
  
  
• Le passage à DNSSEC au sein des organisations (sociétés commerciales, associations, etc.) est légèrement facilité. En effet, l'intégralité de l'équipe technique n'est plus obligé d'apprendre le fonctionnement de DNSSEC et les manipulations à faire lors de la modification d'un contenu d'une zone DNS (genre ods-signer sign) : une équipe, pourquoi pas celle dédiée à la sécurité, met en place, maintient et debug DNSSEC et le reste des techs utilise le DNS comme à son habitude, comme on le voit en cours : modif' du fichier de zone et faire relire son contenu par un serveur de noms bien connu (BIND, la plupart du temps, malheureusement).

Évidemment, il est tout à fait possible de mixer les I/O adapters et d'utiliser le stockage comme entrée du signataire DNSSEC et un transfert de zone en sortie du même signataire (configuration du master furtif) ou un transfert de zone en entrée et une écriture sur le stockage en sortie.

Maquette

Je me suis fait une petite maquette : dns1/198.18.0.1/Debian+BIND9 -> opendnssec/198.18.0.2/Debian+OpenDNSSEC -> dns2/198.18.0.3/Debian+nsd. dns2 est la seule machine accessible depuis Internet. Oui, normalement dns2 devrait être dans un réseau IP différent de dns1.

Config' minimaliste BIND9 (dns1)

sudo apt-get install bind9
sudo mkdir -p /var/named/zones/master
sudo chown -R bind:root /var/named
sudo chown -R 555 /var/named

Conf' (/etc/bind/named.conf.local) :

zone "guiguishow.example." IN {
        type master;
        file "/var/named/zones/master/db.guiguishow.example";

        allow-transfer { 198.18.0.2; };
        notify yes;
        also-notify { 198.18.0.2; };
};

La ligne allow-notify est importante : par défaut un serveur de noms envoie une notification uniquement aux machines désignées par un enregistrement NS dans la zone. Comme dit, dns1 et OpenDNSSEC n'apparaissent pas dans les enregistrements NS de guiguishow.example.

Pour le contenu du fichier de zone, c'est du classique :

$ORIGIN guiguishow.example.
$TTL 3600

guiguishow.example.     IN      SOA     dns1.guiguishow.example. dnsmaster.guiguishow.example. 2017041200 7200 3600 604800 3600

@                       IN      NS      dns2

dns2                    IN      A       198.18.0.3

Oui, mon enregistrement SOA est parfaitement valide : le champ mname, « dns1.guiguishow.example » dans cet exemple, doit indiquer le nom de n'importe quel serveur DNS qui fait autorité sur la zone. Par convention, on y met la machine qui est la source de la zone, c'est-à-dire le serveur sur lequel sont effectuées les modifications. Il n'a jamais été question que ce champ contienne forcément le premier NS public de la zone et encore moins que ce nom soit utilisé dans le processus de résolution d'un nom.

Config' minimaliste d'OpenDNSSEC (opendnssec)

Le début ne change pas d'une installation OpenDNSSEC classique.

1. sudo apt-get install opendnssec opendnssec-enforcer-sqlite3 softhsm
   
   
2. Patcher l'erreur présente dans Debian Jessie : https://bugs.launchpad.net/ubuntu/+source/softhsm/+bug/1451348
   
   
3. sudo softhsm --init-token --slot 0 --label "OpenDNSSEC"
   
   
4. Décommenter le softHSM dans /etc/opendnssec/conf.xml.

Puis, on configure le DNS adapters. La première étape est d'indiquer sur quelle-s interface-s et quel port réseau écouter (par défaut : port 53 sur toutes les interfaces) en décommentant le Listener dans conf.xml :

<Listener>
        <Interface>
                <!-- <Address></Address> -->
                <Port>53</Port>
        </Interface>
</Listener>

Sans ça, l'erreur « no dnshandler/listener configured, but zones are configured with dns adapters: notify and zone transfer requests will not work properly » apparaît dans les logs.

Ensuite, on configure les serveurs DNS source (dns1) et destination (dns2) dans le fichier /etc/opendnssec/addns.xml :

<?xml version="1.0" encoding="UTF-8"?>

<Adapter>
        <DNS>
                <Inbound>
                        <!-- Address of host to request XFR from -->
                        <RequestTransfer>
                                <Remote>
                                        <Address>198.18.0.1</Address>
                                </Remote>
                        </RequestTransfer>

                        <!-- Allow NOTIFY messages from host -->
                        <AllowNotify>
                                <Peer>
                                        <Prefix>198.18.0.1</Prefix>
                                </Peer>
                        </AllowNotify>
                </Inbound>

                <Outbound>
                        <!-- Provide XFR to host -->
                        <ProvideTransfer>
                                <Peer>
                                        <Prefix>198.18.0.3</Prefix>
                                </Peer>
                        </ProvideTransfer>

                        <!-- Send NOTIFY messages to host -->
                        <Notify>
                                <Remote>
                                        <Address>198.18.0.3</Address>
                                </Remote>
                        </Notify>
                </Outbound>
        </DNS>
</Adapter>

Puis, on ajoute notre zone dans /etc/opendnssec/zonelist.xml :

<?xml version="1.0" encoding="UTF-8"?>

<ZoneList>
        <Zone name="guiguishow.example">
                <Policy>default</Policy>
                <SignerConfiguration>/var/lib/opendnssec/signconf/guiguishow.example.xml</SignerConfiguration>
                <Adapters>
                        <Input>
                                <Adapter type="DNS">/etc/opendnssec/addns.xml</Adapter>
                        </Input>
                        <Output>
                                <Adapter type="DNS">/etc/opendnssec/addns.xml</Adapter>
                        </Output>
                </Adapters>
        </Zone>
</ZoneList>

On constate qu'il est tout à fait possible d'avoir plusieurs serveurs DNS en entrée, chacun servant une ou plusieurs zones. Même chose en sortie.

Enfin, on met en place les politiques de signature :

sudo ods-ksmutil setup

Config' minimaliste de nsd (dns2)

sudo apt-get install nsd
sudo mkdir -p /var/named/zones/slave
sudo chown -R nsd:root /var/named
sudo chmod -R 555 /var/named
sudo chmod u+w /var/named/zones/slave

Conf' (/etc/nsd/nsd.conf) :

zone:
        name: "guiguishow.example."
        zonefile: "/var/named/zones/slave/db.guiguishow.example"

        allow-notify: 198.18.0.2 NOKEY
        request-xfr: 198.18.0.2 NOKEY

Évidemment, il faut veiller à ne jamais autoriser un transfert de zones entre dns1 et dns2, sinon ça va plutôt mal se passer au moins jusqu'à ce qu'OpenDNSSEC notifie un serial plus important et que dns2 récupère cette zone signée en conséquence.

Lancement de la machinerie :

On lance nsd sur dns2 :

sudo systemctl restart nsd

On lance OpenDNSSEC :

sudo systemctl restart opendnssec-enforcer.service opendnssec-signer.service

On lance BIND sur dns1 :

sudo systemctl restart bind9

Résultat

dns2 sert bien une zone signée \o/ :

$ dig @::1 +dnssec SOA guiguishow.example

; <<>> DiG 9.9.5-9+deb8u10-Debian <<>> @::1 +dnssec SOA guiguishow.example
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41788
;; flags: qr aa rd; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 3
;; WARNING: recursion requested but not available

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;guiguishow.example.        IN  SOA

;; ANSWER SECTION:
guiguishow.example. 3600    IN  SOA dns1.guiguishow.example. dnsmaster.guiguishow.example. 2017041201 7200 3600 604800 3600
guiguishow.example. 3600    IN  RRSIG   SOA 8 2 3600 20170426074413 20170412150401 18114 guiguishow.example. MgP6rIs4Uf/SDAzFyJnw8w+JWh0EgxrFmbdlpMZxhdaQd/9NOsf07/mg JxV1qQ42xIAMUziF5wn0yX0DOqIr6S2jE+lGLWsRHB2swUQ1eaBsTKlV cLpRoRz6J1XtAha90OggjmGdL8EHMNczdjeYzmXwSAtpFsj20A+CcxYk LfM=

;; AUTHORITY SECTION:
guiguishow.example. 3600    IN  NS  dns2.guiguishow.example.
guiguishow.example. 3600    IN  RRSIG   NS 8 2 3600 20170426104704 20170412150401 18114 guiguishow.example. dISERsUbOSL03zWzTKMuoATfYws21RhxekZRjRbn5oFe/HIDxqCar2DQ hj5JxnBwQV9/Kjwa2/ZASBhUqEmzQe3ZCrvPdbTQUFCtoHuRSXtuJMB8 cHot6AuM1MJRkwPEwnem+F9excJR9vX4MRY08+pYEvKHHbz91ysnGkFP ESY=

;; ADDITIONAL SECTION:
dns2.guiguishow.example. 3600   IN  A   198.18.0.3
dns2.guiguishow.example. 3600   IN  RRSIG   A 8 3 3600 20170427015329 20170412150401 18114 guiguishow.example. DSgNZI7MG53qMecbXT+bU73qGY8uu0QTxYrcTrjwFiGU5deUot8CKkEz SNJ/ahBCfpexdpf4IffjHqAw527o2O6OUdqNj6VwYj/wScgdWSZJQhcO wtmTyZwyC1jWviiaVTX/e24coQMFickOjYOSBqiSDeNqe7sPOkT7XHgm qlE=

;; Query time: 0 msec
;; SERVER: ::1#53(::1)
;; WHEN: Wed Apr 12 18:05:19 CEST 2017
;; MSG SIZE  rcvd: 667

Attention : la commande ods-signer sign n'a pas d'effet lorsqu'elle est utilisée sur une zone qui utilise un adaptateur DNS en entrée car OpenDNSSEC n'effectue pas un transfert de zone de sa propre initiative. Pour ce faire, il faut soit redémarrer OpenDNSSEC (ce qui est inapproprié !), soit envoyer une notification depuis le serveur DNS interne (exemple avec BIND : sudo rndc reload <nom_zone> ; exemple avec nsd : sudo nsd-control notify <nom_zone>).

Article très intéressant qui part d'un cas d'usage concret pour explorer le traitement des trames réseaux par Linux.

Un pont réseau (aussi appelé « commutateur » ou « switch ») permet d’interconnecter plusieurs segments Ethernet ensemble. C’est un élément d’infrastructure banal et implémenté de longue date par Linux.

Un usage typique est exposé dans la figure ci-dessous. L’hyperviseur exécute trois machines virtuelles. Chacune d’elle est attachée au pont br0 (représenté par un segment horizontal). L’hyperviseur dispose de deux interfaces réseau physiques :

• eth0 est attachée à un réseau public fournissant divers services aux machines virtuelles (DHCP, DNS, NTP, routeurs vers Internet, …). Elle fait partie du pont br0.
• eth1 est attachée à un réseau d’infrastructure fournissant divers services à l’hyperviseur (DNS, NTP, gestion de la configuration, routeurs vers Internet, …). Elle ne fait pas partie du pont br0.

Dans une telle configuration, il est raisonnable de penser que les machines virtuelles peuvent accéder aux ressources du réseau public sans être capable d’atteindre les ressources du réseau d’infrastructure (y compris les ressources hébergées par l’hyperviseur lui-même, comme le serveur SSH). En d’autres mots, la séparation entre le domaine vert et le domaine violet doit être totale. Ce n’est pas le cas. Depuis n’importe quelle machine virtuelle […]

[…]

Une autre méthode est de configurer arp_ignore à la valeur 2 pour l’interface du pont. Le noyau ne répondra aux requêtes ARP que si l’adresse IP cible est configurée sur l’interface entrante. Comme l’interface du pont n’a pas d’IP, cela revient à ignorer toute les requêtes. […] À noter que désactiver le traitement des requêtes ARP ne dispense pas d’appliquer une méthode spécifique à IPv4. Un utilisateur peut en effet ajouter manuellement une entrée dans son cache ARP […] Étant donné que Linux est assez libéral sur les adresses MAC autorisées, il n’est même pas nécessaire de deviner l’adresse MAC […]

[…]

Dans l’exemple ci-dessus, la machine virtuelle reçoit des réponses ICMP car celles-ci sont routées à travers le réseau d’infrastructure vers Internet (c’est-à-dire que l’hyperviseur a en route par défaut une passerelle qui va également faire du NAT vers Internet). Quand ce n’est pas le cas, la communication ne peut se faire que dans un seul sens. Cela permet toujours de faire quelques dégâts dont des dénis de service.

De plus, si l’hyperviseur est également un routeur, les machines virtuelles peuvent atteindre n’importe quelle machine du réseau d’infrastructure, exposant ainsi certains nœuds peu protégés tels que des PDU disposant d’un agent SNMP. L’attaquant peut aussi forger son adresse IP pour contourner certains mécanismes d’authentification.

Une vague d'agressions homophobes a été déclenchée depuis un mois en Tchétchénie. Une centaine de personnes ont été détenues et torturées.

[…]

[…] Plusieurs d'entre eux ont été torturés pour qu'ils dénoncent d'autres gays, selon les témoignages recueillis par Novaïa Gazeta. Détenues dans une prison secrète à Argoun, ils ont subi des tortures à l'électricité et avec des tessons de bouteille. Selon les témoins, Magomed Daoudov, le président du parlement, a lui-même participé aux interrogatoires.

Alors que le gouvernement estime qu'"on ne peut pas arrêter de gens qui n'existent pas dans la République", Amnesty international nous aide à comprendre le sens de la réponse et traduit: "Si de telles personnes existaient en Tchétchénie, les forces de l'ordre n'auraient rien à faire contre elles. Ce sont leurs proches qui les expédieraient vers une destination sans retour." L'association a lancé une pétition pour dénoncer ces violences.

Le harcèlement homophobe a démarré début mars, lorsque des médias locaux ont rapporté qu'une organisation de défense des droits des LGBT basée à Moscou, GayRussia.ru, prévoyait de demander l'autorisation d'organiser des manifestations dans quatre villes du Caucase du Nord, dont la Tchétchénie fait partie. Nikolaï Alekseïev, de GayRusia.ru, à l'origine de l'initiative, avait pour objectif d'essuyer le refus des autorités pour ensuite déposer un dossier de plainte auprès de la Cour européenne des Droits de l'Homme. […]

Si la défense des droits humains est chaque jour plus difficile en Russie, elle est impossible en Tchétchénie, véritable zone de non-droit au sein de la Fédération. […]

[…] Kheda Saratova, membre du Conseil des droits de l'Homme tchétchène (officiel) a par ailleurs annoncé que le système judiciaire de la république se montrerait "compréhensif" avec quiconque assassinerait un proche de sa famille pour homosexualité... avant de déclarer avoir été mal comprise.

J-O-I-E !

Emmanuel Macron est un libéral convaincu, et adhère par là à un dogme connu, une idéologie politique établie — qui pour autant se refuse toujours à être reconnue comme dogmatique ou idéologique — en se cachant derrière une volonté seulement engagée dans l’efficacité. La performance. Le pragmatisme.

L’idée libérale toute macronienne est d’établir qu’aucune valeur, histoire, théorie politique n’ont d’intérêt, puisque les problèmes que rencontre la société française sont dus à un phénomène principal : la rigidité. Le trop plein de règles. Qui mènent à la complexité, à la lenteur, à la paralysie. Au manque de performance. Ces règles sont — pour Macron — le produit, justement, des idéologies politiques, et lui, propose de faire sans, ou avec beaucoup moins. Sans idéologie (il est dans l’efficacité) et sans règles, ou tout du moins avec beaucoup moins de règles (ça freine les règles).

[…] Mais dans le système Macron, les choses ne sont pas aussi simples. Il y a une campagne à deux niveaux : celle de la « libération », et en parallèle les mesures de modernisation, avec la protection. Toute la stratégie de campagne de Macron est basée sur cette dichotomie entre protection des plus faibles, retour de l’Etat dans des secteurs sinistrés, et abolition de règles aux fins de dérégulation de pans entiers d’activités.

D’un seul coup, Macron propose un déchaînement de nouvelles règles, ou l’accroissement des contrôles pour faire appliquer des règles. Alourdir les sanctions contre la fraude fiscale, alors que les moyens de parvenir à coincer les fraudeurs sont au plus bas, et que la dérégulation bancaire qu’il souhaite permettra de la faciliter, est un exemple de la dichotomie permanente du programme de Macron. Vous augmentez les punitions sur le papier, mais vous donnez toutes les garanties à ceux qui pourraient les subir qu’ils ne seront pas attrapés.

Par contre, dans le cas de la fraude sociale, les sanctions aggravées fonctionneront bien, puisque les moyens de contrôles sont en pleine expansion. Sachant que la fraude sociale ne représente quasiment rien : la fraude sociale est bénéficiaire, il y a dix fois plus d’argent non versé à des personnes qui pourraient toucher des prestations que d’argent détourné par les fraudeurs…

[…]

Le fond de l’affaire n’est pas clair, mais laisse entrevoir la société rêvée d’Emmanuel Macron. Une société qui part du principe que la travail coûte trop cher, où les entrepreneurs sont ligotés, où le dialogue social (sic) doit être « redéfini » : en réalité, c’est la continuation parfaite et l’accélération de la politique de François Hollande (CICE, Loi travail, etc), qui lui-même continuait la politique de Nicolas Sarkozy. Compétitivité, flexsécurité, tous ces concepts qui n’ont jusque là jamais apporté la preuve de leur efficacité pour diminuer le chômage ou améliorer la fameuse « compétitivité » des entreprises.

Le concept de la liberté, chez les libéraux français est très primaire, à la limite de l’escroquerie intellectuelle. Leur vision binaire de la liberté peut être résumée ainsi : « La liberté, c’est pouvoir faire avec le minimum de contraintes, c’est pouvoir acheter le maximum de choses, développer ses idées pour en faire une manne financière, un accroissement de richesse, une élévation sociale. La liberté est conditionnée à la réduction des règles, elle ne peut s’accompagner que d’une dérégulation la plus grande possible, pour permettre un décollage le plus grand possible des énergies, pour être libre, il faut le moins de contraintes possibles… » : etc, etc, argumentum ad nauseam.

[…] Une liberté sans règles est l’expression de l’entropie. Donc du chaos. Les enfants apprennent à exercer leur liberté dans un cadre, éducatif, social, pour que plus tard, devenus adultes, ils ne soient pas des êtres asociaux, des agents du chaos, exerçant une liberté individuelle qui s’exonérerait des autres. D’autrui. « La liberté des uns commence là où s’arrête celle des autres« . C’est à partir de cet adage, qui est en fait un résumé de l’Article 4 de la Déclaration des droits de l’homme et du citoyen de 1789 que l’on peut commencer à réfléchir vraiment à ce qu’est la liberté au sein d’une société

[…]

L’idée même que les impôts, les taxes, tout ce qui finance le bien public est un frein à l’expression de la liberté de créer de la richesse prônée par ces « disrupteurs » est une sorte de vol généralisé, assumé et mensonger qu’ils aimeraient beaucoup faire passer pour une forme de modernité incontournable. Ce qu’ils oublient, c’est que toute la richesse créée par les entreprises les plus performantes qu’ils souhaitent « libérer » ne peut se générer que par le maintien d’infrastructures et de biens publics au meilleur niveau : réseaux routiers, télécommunications, éducation, administrations, aides publiques, maintien du tissu associatif, gestion du patrimoine, culture, etc… Que la gestion de l’argent public soit mauvaise, mal répartie, soumises à des pressions, des conflits d’intérêt, c’est une certitude. Mais faire croire qu’il faudrait en dépenser moins, et dans le même temps qu’il faudrait en collecter moins, et surtout laisser les clés de la gestion économique globale à des acteurs économiques privés de type vautours, est un plan marketing politique assez étonnant. […]

[…]

Le rêve d’une société où chacun peut « entreprendre », avec des règles minimales, qui « fluidifieraient » les échanges, l’emploi, est celui des prédateurs de l’économie néo-libérale, l’économie financière. Les startups n’en sont qu’une partie émergée, puisqu’au final, le projet de Macron n’est rien d’autre que la création [déjà en cours de constitution] d’un grand espace commercial, où les Français pourront aller consommer 24/24, et travailler le maximum avec le moins de règles possibles, tout en étant sommé de ne pas profiter de l’argent public des organismes paritaires sociaux, le tout dans un rapport de force entre détenteurs du capital et les autres, totalement distendu au profit des premiers.

Mais Macron le sait bien, au point qu’il peut même exprimer le fond de sa pensée, avec cette sortie sur la pénibilité au travail lors de sa présentation au MEDEF (article de l’Obs)

« Le compte pénibilité ? Emmanuel Macron « n’aime pas le terme », et entend le supprimer car il « induit que le travail est une douleur », a-t-il déclaré en présentant son programme économique au Medef […]