GuiGui's Show

Un très bon résumé du mégafichier TES. J'en recommande la lecture.

[…] De quoi s’agit-il ? Rien de moins qu’un «mégafichier», comme il a vite été surnommé, qui doit regrouper à terme les données personnelles de quelque 60 millions de Français : données d’état civil, noms et prénoms des parents, adresse, couleur des yeux, taille. Et surtout des données biométriques, photo du visage et empreintes digitales, désormais stockées sous forme numérisée dans une base centralisée.

Depuis qu’un décret pris le 28 octobre et publié en plein week-end de la Toussaint a étendu TES – qui concernait déjà, depuis 2008, les 15 millions de citoyens français munis d’un passeport – à l’ensemble des titulaires de la carte d’identité (CNI), soit la quasi-totalité de la population française, les inquiétudes se sont multipliées. […]

Des parlementaires ont exprimé leurs craintes. Au sein de l’ENS Cachan ou de l’université Paris 6, des scientifiques ont tiré la sonnette d’alarme. Dans nos colonnes, des personnalités de la société civile ont signé des tribunes appelant à la suspension ou au retrait du décret. Le Conseil national du numérique (CNNum) a lui aussi demandé la suspension du texte, et organisé une consultation en ligne pour étudier les alternatives techniques. Missionnées par Bernard Cazeneuve, alors à Beauvau, pour auditer le système TES, l’Agence nationale de la sécurité des systèmes d’information (Anssi) et la Direction interministérielle du numérique et de la sécurité du système d’information de l’Etat (Dinsic) ont rendu, le 18 janvier, un rapport sévère à bien des égards.

Le «mégafichier» vise en priorité à lutter contre la fraude et à simplifier la vie de l’usager, insiste le ministère de l’Intérieur. Pour autant, les réquisitions judiciaires permettent d’accéder à toutes les informations correspondant à une identité donnée, y compris les empreintes. […] Mais le constat de l’Anssi et de la Dinsic est sans appel : même avec ce lien unidirectionnel, «le système TES peut techniquement être détourné à des fins d’identification […] ne serait-ce que par reconstitution d’une base de données complète». «Les données biométriques propres à la CNI existent déjà», fait encore valoir l’Intérieur. Certes, mais elles étaient jusqu’ici conservées sous format papier, de manière décentralisée, dans les préfectures. Elles seront désormais réunies sous forme numérisée dans un seul et même système.

Quant à la possibilité, concédée par Cazeneuve face à la bronca, de refuser de voir ses empreintes digitales versées au fichier, qui l’exercera dans les faits ? Qui sera suffisamment informé ? Qui résistera à la crainte de paraître avoir «quelque chose à cacher» ?

Le décret rectificatif permettant ce refus n'est toujours pas publié. ;)

Les opposants au «mégafichier» n’ont cessé de le répéter : rien ne garantit que ses finalités ne seront pas étendues – comme cela s’est produit pour les fichiers européens des demandeurs d’asile ou de visa – suite à des événements dramatiques. Et que dire du contexte politique, plus incertain que jamais, où le poids de l’extrême droite se renforce, ici comme ailleurs ? L’Observatoire des libertés et du numérique le résume en une phrase : «Les fichiers centralisés ne font pas les régimes autoritaires, mais tout régime autoritaire s’appuie sur un fichage de sa population.» […] Le 15 novembre, on put même entendre Bernard Cazeneuve, devant l’Assemblée nationale, expliquer sans frémir que pour éviter des usages néfastes de ce fichier, il suffirait de «ne pas accorder ses suffrages à certains», et qu’«avec une telle logique, nous ne ferions plus rien de sensé en matière de progrès du service public»… Après nous, le déluge !

[…]

Son déploiement, à marche forcée, est accueilli par un fatalisme inquiétant. Faudra-t-il donc s’en remettre aux recours juridiques lancés par quelques associations, ou à la Commission européenne, saisie de la question par des eurodéputés ? Il n’est pas trop tard pour faire de ce sujet l’un des enjeux de la campagne en cours. Au moins connaîtra-t-on le prix que les candidats accordent à la protection de nos données personnelles et de nos libertés.

Via https://twitter.com/amaelle_g/status/834830348840267778 via https://twitter.com/bluetouff

Soit un contrôleur iDRAC 8. Jusqu'à aujourd'hui, j'ai bossé exclusivement avec des iDRAC 6 mais bon, ça doit bien rien changer, non ? Comme d'hab, je lance la console virtuelle. Comme d'hab, je récupére un fichier « .jnlp ». Pour l'exécuter, sous Debian GNU/Linux Jessie (l'actuelle stable), il faut les packages openjdk-7-jre icedtea-7-plugin.

Mais, cette fois-ci, l'exécution foire : « Fatal: Initialization Error: Could not initialize application. The application has not been initialized, for more information execute javaws from the command line. ». La console java est juste imbitable donc allons-y pour exécuter en ligne de commande :

$ javaws viewer.jnlp
Attempted to download https://192.0.2.1:443/images/logo.gif, but failed to connect!
Attempted to download https://192.0.2.1:443/software/avctKVMIOLinux64.jar, but failed to connect!
Attempted to download https://192.0.2.1:443/software/avctVMAPI_DLLLinux64.jar, but failed to connect!
Attempted to download https://192.0.2.1:443/software/avctKVM.jar, but failed to connect!
JAR https://192.0.2.1:443/software/avctKVM.jar not found. Continuing.
JAR https://192.0.2.1:443/software/avctKVMIOLinux64.jar not found. Continuing.
JAR https://192.0.2.1:443/software/avctVMAPI_DLLLinux64.jar not found. Continuing.
JAR https://192.0.2.1:443/software/avctKVM.jar not found. Continuing.
JAR https://192.0.2.1:443/software/avctKVMIOLinux64.jar not found. Continuing.
JAR https://192.0.2.1:443/software/avctVMAPI_DLLLinux64.jar not found. Continuing.
netx: Initialization Error: Could not initialize application. (Fatal: Initialization Error: Unknown Main-Class. Could not determine the main class for this application.)
[…]

Hum, donc l'applet n'arrive pas à récupérer des libs et des ressources en HTTPS depuis la BMC et donc forcément, elle n'a aucun code à exécuter… Pourtant, depuis ma machine, un wget https://192.0.2.1:443/images/logo.gif fonctionne très bien.

Sortons Wireshark. En utilisant l'applet java, on constate que la BMC interrompt directement la communication après la réception (ack) du message TLS « Client Hello ». Avec wget, aucun problème. Ça ne peut pas être un erreur de certificat puisque le serveur a refusé d'établir une session TLS avant même de transmettre son certif'. Dans ce type de cas, généralement, on est sur des grosses erreur bateau genre version de TLS ou suite d'algo de chiffrement/intégrité.

Avec l'applet java, la version TLS demandée au serveur est TLS 1.0. Avec wget, la version TLS demandée est TLS 1.2. Huuum, sortons notre openssl :

$ openssl s_client -connect 192.0.2.1:443 -tls1
CONNECTED(00000003)
140316040763024:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:637:
[…]

Hé oui, à partir d'iDRAC 7 ou 8 version 2.40.40 ou supérieure, TLS 1.0 est désactivé par défaut.

Que faire ?

• Activer la prise en charge de TLS 1.0 côté BMC en utilisant racadm : nope, nope, nope. La version 1.0 de TLS est une passoire et le fait que la BMC soit dans un VLAN isolé n'est pas un motif suffisant pour l'utiliser !
  
  
• openjdk-8-jre et icedtea-8-plugin, dont on peut attendre une prise en charge de TLS 1.2 (ou au moins 1.1 :- ) ne sont dans dans Debian stable à l'heure actuelle. Je ne vais pas utiliser des packages de testing.
  
  
• Se passer de Java. Surtout que les applets Java seront dépréciées dans Java 9. C'est possible à partir d'iDRAC 8 qui propose une version HTML 5 de la console virtuelle. Pour l'activer, il faut aller dans l'item « Console virtuelle » du menu « Présentation générale ». Il faut changer la valeur de « Type de plug-in » pour « HTML5 ».

Stateless NAT, occasionally maligned as dumb NAT [31], is the simplest form of NAT. It involves rewriting addresses passing through a routing device: inbound packets will undergo destination address rewriting and outbound packets will undergo source address rewriting. […]

[…]

NAT with iproute2 can be used in conjunction with the routing policy database (cf. RPDB) to support conditional NAT, e.g. only perform NAT if the source IP falls within a certain range. See Section 5.3.3, “Conditional Stateless NAT”.

Via #ldn

One week ago, the news site TorrentFreak reported that The Pirate Bay and nearly 20 other torrent and pirate sites were being blocked by Cogent Communications, an Internet backbone provider. The block had been in place for more than a week and appeared to “appl[y] to the company’s entire global network,” affecting customers of ISPs "from all over the world" that send traffic through Cogent.

[…]

Cogent CEO Dave Schaeffer yesterday confirmed to Ars that the company is complying with a court order issued recently in Spain. But The Pirate Bay was not the subject of the court order, Schaeffer also confirmed. Schaeffer would not say which site or sites the order was intended to block, but the incident demonstrates how court orders to block websites can have unintended effects. (We have not been able to track down the specific court order at this time.)

[…]

Court orders to block websites are more commonly issued to residential ISPs that directly serve consumers, not Internet transit providers like Cogent. The backbone operators are “usually the last guys” to get such orders, which can have unpredictable effects at that layer of the network, said co-founder and CTO Don Bowman of Sandvine, which makes network management equipment.

[…]

The Cogent situation is not the first such court order, but “it’s still early in this evolution, and it gives us concern that if these sorts of orders continue to multiply, it’s going to provide additional complexity and complication,” Kramer said. “We want to be proactive about it now to make sure these court orders don’t multiply in a problematic way.”

:(

On n’a probablement pas suffisamment analysé les conséquences du paiement par la banque française BNP à l’Etat américain, d’une amende de plus de 8,8 milliards de dollars (tout de même) pour avoir mené des transactions financières de 2000 à 2010 avec Cuba, la Lybie et l’Iran.

Ainsi donc une banque européenne et française était poursuivie par la justice américaine pour des transactions opérées de Genève, Milan, Paris, Rome, c’est-à-dire d’Europe, et de Singapour, c’est à dire d’Asie, avec trois pays d’Amérique du Sud, d’Afrique et d’Asie.

Mais comment les Etats-Unis pourraient-ils sanctionner de telles opérations quand aucun élément de territorialité ne concerne le pays de l’Oncle Sam, tout lui étant extérieur ?

Comment se fait-il que la justice américaine s’estime compétente, quand, de surcroît, la banque est européenne et aucun justiciable américain n’est directement concerné ?

La réponse officielle : les transactions ont été réalisées en dollars américains.

Data is like uranium.

• Don't know how to handle it? Don't collect it.
• If it leaks you cannot get it back.
• Beware of long-term effects.

Via https://twitter.com/bortzmeyer

[…] les eurodéputés se sont finalement prononcés, par 408 voix contre 254, pour la ratification de cet accord de libre-échange que l’Union européenne (UE) et le Canada ont eu les plus grandes difficultés à conclure.

[…]

Pour être pleinement validé, le CETA devra encore recevoir le feu vert des trente-huit parlements nationaux et régionaux de l’Union européenne (dont l’Assemblée et le Sénat en France), car certaines dispositions de l’accord empiètent sur les compétences des Etats européens.

Mais comme le processus risque d’être très long, l’Union européenne a la possibilité de commencer à appliquer, en attendant, toutes les dispositions de l’accord qui relèvent uniquement de sa compétence – c’est-à-dire 95 % du CETA. En vertu de l’article 30.7, cette entrée en vigueur provisoire peut intervenir dès le mois suivant la ratification par le Parlement européen et le Parlement canadien – c’est-à-dire au mois d’avril.

The binary log contains “events” that describe database changes such as table creation operations or changes to table data. […] The binary log has two important purposes:

• For replication, the binary log on a master replication server provides a record of the data changes to be sent to slave servers. The master server sends the events contained in its binary log to its slaves, which execute those events to make the same data changes that were made on the master. See Section 18.2, “Replication Implementation”.
  
  
• Certain data recovery operations require use of the binary log. After a backup has been restored, the events in the binary log that were recorded after the backup was made are re-executed. These events bring databases up to date from the point of the backup. See Section 8.5, “Point-in-Time (Incremental) Recovery Using the Binary Log”.

The binary log is not used for statements such as SELECT or SHOW that do not modify data. […]

[…]

The binary log is generally resilient to unexpected halts because only complete transactions are logged or read back. […]

Passwords in statements written to the binary log are rewritten by the server not to occur literally in plain text. […]

Selon une étude de l’université de Duke, il y a 40 % des actions qu’on effectue tous les jours qui ne sont pas des décisions, en fait. Ce sont des habitudes. Je pense que quand vous sortez de chez vous le matin, vous fermez votre porte à clef, vous partez et vous vous posez la question « est-ce que j’ai fermé la porte ? » Parce que tellement on le fait machinalement qu’on oublie qu’on l’a fait. Les habitudes deviennent des automatismes et les automatismes ça sert à quoi, en fait ? Que notre cerveau arrête de réfléchir : on fait ça automatiquement, et ça permet d’économiser de l’énergie. Comme ça notre cerveau ne va pas énormément utiliser d’énergie, il va faire appel à un automatisme et, de ce fait-là, donc quand vous fermez la porte le matin vous dites : « Est-ce que j’ai vraiment fermé la porte, ou non ? ». Vous l’avez fermée, mais vous ne savez pas, quelquefois.

Et après, c’est vrai que changer ces automatismes-là c’est le plus compliqué. Si vous êtes habitué à Windows, vous avez des automatismes sur Windows. Si vous êtes habitué à avoir votre téléphone, vous l’utilisez uniquement pour les réseaux sociaux, c’est dur à supprimer ces automatismes-là.

En fait, le schéma des automatismes, le schéma des habitudes c’est un peu celui-là, que vous pouvez trouver sur un livre, si vous êtes intéressé, de Charles Duhigg, The Power of Habit, La force des habitudes, qui est un livre intéressant sur, justement, les habitudes et comment changer nos habitudes.

Donc une habitude, il y a un déclencheur. Il y a un déclencheur qui va lui-même engendrer une routine pour avoir une récompense. Et donc ça, c’est un peu le schéma des habitudes.

Je vais prendre, par exemple, quand quelqu’un à côté de vous a la même sonnerie. Déjà dès que votre téléphone sonne, il y a un SMS qui arrive, c’est le déclencheur, et la routine c’est d’aller voir qui vous a envoyé un SMS. La récompense c’est la lecture de ce SMS-là. Donc c’est dur, quand votre téléphone est de l’autre côté de la salle, de ne pas aller. Vous entendez la petite sonnerie du SMS, donc votre cerveau vous dit : « Il faut aller lire le SMS. » C’est dur de résister, déjà. Vous vous dites « je dois aller voir qui m’a écrit ». Donc c’est exactement ça. La sonnerie du SMS c’est le déclencheur. La routine c’est d’aller chercher son téléphone, ouvrir l’application des SMS, et la récompense c’est la lecture, que ce soit une bonne ou une mauvaise nouvelle. En tout cas, c’est la récompense et c’est le but. Et je pense que ça nous est arrivé, à tout le monde : quand il y a un voisin qui a exactement la même sonnerie que vous, vous savez que le téléphone sonne chez le voisin et pourtant, vous ne pouvez pas vous empêcher de sortir votre téléphone et de regarder votre téléphone. Eh bien pourquoi ? Parce que simplement, le déclencheur ça a été la sonnerie et que votre cerveau s’en fout : ça a été un déclencheur, il lui faut sa récompense ! C’est pour ça qu’en général, quand il y a quelqu’un à côté de vous qui a la même sonnerie du SMS, vous le voyez qui sort son téléphone, c’est vraiment lui, mais vous ne pouvez pas vous empêcher de sortir votre téléphone et de regarder. Voilà, c’est Pavlov, c’est un réflexe pavlovien.

[…]

On reprend un tout petit, en fait, ce que disait l’auteur du livre. On a le schéma : pour changer nos habitudes, eh bien il faut garder le déclencheur, si on a la possibilité de garder le déclencheur, et garder la récompense aussi. Et interagir, agir sur la routine. Par exemple, je prends juste pour les fumeurs, l’exemple des fumeurs, quand vous voyez un café, eh bien le fumeur veut allumer sa cigarette. La routine c’est d’allumer une cigarette, la récompense c’est la nicotine. En changeant la routine, c’est d’avoir le déclencheur, eh bien c’est le café il est là, et au lieu de fumer sa cigarette mettre un patch nicotine et la récompense elle est la même, en fait. C’est qu’on garde le déclencheur, on garde la récompense, mais on change la routine. C’est peut-être pareil, aussi, pour passer, par exemple, à un OS libre. Le déclencheur c’est de pouvoir aller sur Internet. La récompense c’est d’avoir des nouvelles des proches si on va sur les réseaux sociaux ou utiliser Office, eh bien la routine ça serait de lui proposer quelque chose : au lieu d’aller sur Windows, c’est d’aller sur Ubuntu.

En fait, qu’est-ce qu’on fait ? C’est presque moi, quand j’ai lu ça, je disais « tiens, c’est presque qu’on va hacker l’habitude : on va intervenir sur l’habitude et essayer de changer la routine. »

Voilà, au niveau des habitudes je pense que c’est quelque chose qui est très compliqué à changer et que ça induit de se faire violence et de se dire « voilà, moi ce que j’ai envie de changer, c’est ça », et de s’en donner les moyens et d’en être convaincu.

[…]

Et comme effort économique aussi, c’est dire aussi adieu aux cartes de fidélité. Parce que oui, vous faites des économies en utilisant vos cartes de fidélité : à chaque fois que vous allez acheter, on va vous dire « moins 50 %, moins 10 % », vous allez accumuler des sous dans une carte et vous pouvez les utiliser après, vos sous. Mais seulement, en contrepartie, vous donnez plein, plein, plein de données. On sait tout ce que vous êtes en train d’acheter. Justement, vous devez connaître l’anecdote du père de famille, aux États-Unis, qui retrouve dans sa boîte aux lettres des coupons de réduction pour des couches pour bébé, des affaires pour bébé. Il est sidéré parce que sa fille n’était qu'au lycée, en fait, et donc avait 16 ans. Il est allé se plaindre chez Target qui est l’équivalent, à peu près, de Carrefour ici et le directeur de Target lui a dit : « Je suis désolé, je ne sais pas pourquoi vous avez reçu de telles publicités ou de tels bons de réduction. » Il disait : « Oui, vous incitez ma fille à faire des choses en lui envoyant de telles publicités. »

Le papa est rentré chez lui furieux. Une semaine après il y a le directeur qui l’appelle parce que, aux États-Unis ils ont un suivi client, ils suivent le client, vraiment c’est bien fait. Le directeur a rappelé la personne en s’excusant encore une fois, lui dire : « Voilà, je m’excuse, franchement je ne sais pas pourquoi vous avez reçu de telles publicités ! » Le père lui dit : « Non, c’est moi qui m’excuse, parce que, apparemment, il est arrivé des choses sous mon toit que je ne connaissais pas. » Et donc sa fille était vraiment enceinte.

Pourquoi on a su ? Pourquoi Target savait que sa fille était enceinte ? Parce qu’ils avaient engagé un excellent statisticien, un excellent scientifique qui avait étudié les millions de données qu’ils avaient accumulées depuis déjà une quinzaine, voire une vingtaine d’années. C’est Andrew Pole, ce scientifique s’appelle Andrew Pole et donc, à un moment donné, le but c’était de connaître si une femme était enceinte au début de son deuxième trimestre. Parce que c’est au début du deuxième trimestre que, apparemment, les femmes enceintes commencent à acheter des affaires pour leur bébé. Donc en analysant toutes les données, Andrew Pole a identifié 25 produits qu’utilisaient les femmes enceintes en général. Et si une femme achetait au moins 4 produits de ce lot de 25, eh bien à 80 % elle était enceinte, au troisième [deuxième, NdT] trimestre. Ça veut dire qu’il a développé un modèle prédictif en se basant uniquement sur l’achat de 25 produits. Et comment ils ont eu toutes ces informations-là ? Eh bien uniquement avec les cartes de fidélité.

[…]

[…] Je ne dis pas qu’il faut se couper du monde, mais, comme je l’ai dit tout à l’heure, c’est reprendre en main le contrôle de nos données : il faut être acteur de notre vie numérique et ne pas subir le numérique.

Via https://twitter.com/morandim77/status/831384810614620161 via https://twitter.com/aeris22

À l’initiative des élus LR, les parlementaires réunis au sein de la commission mixte paritaire ont rétabli le délit de consultation de site terroriste. […]

[…]

Philippe Bas, président de la Commission des lois, avait prévenu quelques heures plus tard qu’il réinjecterait ce délit considéré comme « essentiel », en l’adaptant pour se conformer à la décision du Conseil Constitutionnel. Passant de la parole aux actes, un amendement au projet de loi sur la sécurité publique a été déposé en toute dernière ligne droite […]

Il faudra d’abord que « la consultation s’accompagne d’une manifestation de l’adhésion à l’idéologie » exprimée sur le site consulté habituellement.

L’expression est floue : dans son acception la plus simple, on peut envisager qu’un juge soit sensible à un simple « like » sur Facebook. Mais quid d’un partage sur Twitter de la page en cause ? Quid d’un commentaire plus ou moins neutre placé sur une zone ouverte du site litigieux ? De même quand faut-il que cet « accompagnement » soit constaté ? Concomitamment à la consultation... ou plus tard ? Bref, comment doit s’exprimer cette manifestation, qui ne semble pas nécessairement publique ?

[…]

Cette fois, une personne poursuivie pourra esquiver la peine par la démonstration d’un « motif légitime ». Le texte en cite quatre, mais la liste n’est pas limitative du fait de l’adverbe « notamment ». […]

[…]

Le parapluie du motif légitime n’est pas bien costaud. Celui qui exprime une adhésion bruyante à telle idéologie, appelant à la commission d’actes terroristes, pourra certes échapper au délit de consultation habituelle, car il a docilement dénoncé ce site. Mais il pourra toujours être poursuivi sur le fondement de l’article 421-2-5 du Code pénal, lequel réprime de cinq ans d'emprisonnement et de 75 000 € d'amende, le fait « de faire publiquement l'apologie de ces actes »

Ces gus ont pondu un pseudo-patch en 3 jours, week-end compris, comment espérer une quelconque réflexion ?! :( Notons, qu'une fois encore, droite et gauche ne font qu'un. ;)

Ce pseudo-patch a été introduit dans le projet de loi sur la sécurité publique qui est déjà fortement contestable.

Le Conseil constitutionnel a censuré sur 3 points :

• La disposition n'est pas nécessaire compte-tenu de l'arsenal existant. Ce patch ne prend pas en compte ce point.
  
  
• Ne pas punir la démarche intellectuelle visant à s'informer. Ce patch prend partiellement en compte ce point : la construction d'une opinion passe par le débat. Quid de diffuser un lien en y ajoutant un commentaire ? Comment sera perçu ce commentaire ? Quand je vois que l'analyse d'un discours du califat par Islamic-News a conduit à la censure sans juge de ce site… Surtout, comment sais-je que je suis sur un site web qui entre dans le cadre de ce délit ? Parce que des sites avec des fortes idéologies, j'en consulte tous les jours. Le Monde, Mediapart, Fakir, pour ne citer qu'eux. Juste leur idéologie est mainstream donc ça passe. Donc on punit encore la démarche intellectuelle de rechercher l'info, le savoir. On est sur une pente glissante.
  
  
• Les exceptions doivent être strictement définies. Ce patch corrige ce problème… tout en introduisant des effets de bord curieux comme le signale NextInpact.