GuiGui's Show

Les députés membres de la commission « commerce » ont approuvé ce sulfureux projet de traité avec une majorité très nette : 25 pour, 15 contre et une abstention. La droite du PPE (dont LR) a voté pour, avec l’appui notamment des libéraux (dont l’UDI-Modem – à l'exception de Marielle de Sarnez, qui s'est abstenue). Les écologistes et les élus de la GUE (gauche unitaire européenne, dont le Front de gauche), tout comme les élus FN, s’y sont opposés. Quant aux sociaux-démocrates européens, le groupe s’est divisé, certains étant favorables au texte (dont une majorité d’Allemands), d’autres opposés (dont les socialistes français et belges).

[...]

Désormais, c’est au parlement européen de se prononcer. L’institution détient un droit de veto sur les traités commerciaux depuis l’entrée en vigueur en 2009 du traité de Lisbonne. En 2012, elle avait jeté à la poubelle un autre projet de traité commercial, l’ACTA. Cette fois, les équilibres semblent différents. « On n’a pas besoin d’un agenda transatlantique à la Trump, mais à la Trudeau », a déclaré Marietje Schaake, une élue libérale néerlandaise, à l’unisson de nombre de ses collègues. Pour ses partisans, le CETA est la meilleure des réponses au « désengagement » de Trump, parce que ce n’est pas un simple accord de libre-échange classique, mais un texte, à leurs yeux, plus ambitieux et protecteur.

[...]

De son côté, la conservatrice française Tokia Saïfi, favorable au texte, a exhorté la commission de Bruxelles à faire, une fois de plus, « davantage de pédagogie » auprès des citoyens. « Il y avait des manifestations samedi [contre le CETA, en France notamment – ndlr], et certains montraient nos photos et nos noms, pour dénoncer les eurodéputés qui s’apprêtent à voter pour le CETA. On a franchi un cap, là », s’est inquiétée l’ancienne secrétaire d’État.

Ne pas se remettre en question, juste expliquer aux braves gens qu'il-elle-s se trompent forcément. Normal.

[...]

Le chapitre portant sur la « coopération réglementaire » a focalisé une partie de l’attention, lors du débat lundi (Mediapart en a déjà parlé en 2015, dans un article portant sur le Tafta, le traité de libre-échange avec les États-Unis). En résumé, il s’agit de mettre en place un « forum » d’experts, afin de renforcer la coopération des autorités de régulation, en Europe comme au Canada, au fil des années, sans avoir besoin de rouvrir les négociations du CETA en tant que telles. Mais les ONG sont persuadées que cette structure renforcera l’influence des lobbies de l’industrie, au cœur des processus de décision. Quant aux eurodéputés, certains continuent de redouter que ce mécanisme empiète sur leur travail de législateur.

[...]

Le vote devrait donc avoir lieu à Strasbourg aux alentours du 15 février. Justin Trudeau, déjà présent à Bruxelles à l’automne, pourrait faire le déplacement en Alsace pour assister au vote. Les débats et le vote en plénière pourraient toutefois s’avérer un peu plus difficiles qu’au sein de la commission commerce, où les députés sont globalement plus favorables au libre- échange que l’ensemble de leurs collègues. D’autres commissions internes au parlement européen ont adopté des « opinions » sur le CETA ces dernières semaines, dont celle consacrée à l’emploi, qui a rejeté, elle, le traité.

En cas de feu vert à Strasbourg, le CETA pourrait entrer en vigueur, de manière provisoire, dès avril 2017. Considéré comme un traité « mixte », il devra ensuite être voté par l’ensemble des parlements
nationaux – et parfois, régionaux – au sein des 28, pour rendre son approbation définitive.

Suite au dernier problème rencontré sur l'infra d'ARN, je viens de mettre à jour cette page. On y parle des split-brain DRBD et de que faire lorsqu'un gnt-instance --cleanup reste bloqué Si ça peut aider des gens…

En gros, voici ce qui s'est passé : je souhaitais appliquer la màj de sécurité de Linux ajoutée dans Debian 8.7. Je migre toutes les VMs sur le 2e hypeviseur, je màje le premier hyperviseur, je le reboot, il revient à la vie, les DRBD remontent, etc.

Je migre toutes les VMs sur le 1er hyperviseur, je màj le deuxième hyperviseur, je reboot. Le deuxième hyperviseur revient à la vie, les premiers DRBD commencent à peine à remonter et là… perte de contrôle sur le premier hyperviseur : plus de SSH (pas même de SSHoIPv6), plus de ping (mais encore ping6 !) sur le lien d'interco direct entre les deux hyperviseurs, plus de BGP (IPv4 comme IPv6) entre les deux hyperviseurs, impossible d'obtenir un quelconque affichage sur la console virtuelle de la BMC, etc. Évidemment, rien dans les logs sinon ça rend le post-mortem trop facile.

À ce stade, j'aurais pu tenter de mettre en sécurité les VMs dont le DRBD était remonté (pour autant qu'il y en ait eu, ce que je ne sais pas) en forçant le 2e hyperviseur à devenir le master puis en migrant les VMs sur ce 2e hyperviseur. Je n'y ai pas pensé.

Vu l'ampleur du problème, je décide de forcer le redémarrage physique du premier hyperviseur avec la BMC. Je reprends la main dans la console de la BMC et via SSH.

Tous les DRBD remontent et Ganeti démarre toutes les VMs… Mais, notre monitoring me remonte qu'un DRBD est dans un sale état : « 24: cs:WFBitMapS ro:Primary/Secondary ds:UpToDate/Consistent C r----- ».

On est typiquement dans une conséquence d'un split-brain DRBD. Sauf qu'il est d'un type nouveau que nous n'avons pas encore documenté. C'est désormais chose faite. Notons qu'après coup, je ne suis pas satisfait de la solution car elle répond plutôt à la question « comment annuler un job dans l'état running ? » qu'à la question « comment résoudre ce type de split-brain ? ». Il aurait pu être intéressant de tenter un gnt-instance activate-disks plutôt qu'un gnt-instance --cleanup mais bon…

Hier, lors d'un énième débat d'un énième parti de droite, un individu que je préfère ne pas identifier a soutenu la position suivante : « je ne crois pas à la disparition du travail. »

[...] je trouve ça fabuleux que des types encravatés, déilômes et tout, se demandent si peut-être, dans un avenir lointain, le travail va disparaître à cause de l'automatisation des tâches. Alors que ça fait juste des décennies que ça a commencé.

Les ouvriers ont vu leur chaîne de production remplacée par une machine sont heureux d'apprendre que le travail ne disparaît pas. Les équipes comptables réduites à un type qui a juste à gérer le logiciel de compta sont heureuses d'apprendre que le travail ne disparaît pas. Les caissières remplacées par des caisses automatiques qui ne requièrent qu'un surveillant pour six caisses sont heureuses d'apprendre que le travail ne disparaît pas.

Le truc, c'est que pour l'instant, l'automatisation détruit surtout le travail des classes populaires (ouvriers en première ligne). Du coup, il n'y a rien d'étonnant à ce que les apparatchiks des partis politiques et des médias ne s'en rendent même pas compte.

Mais ça, ça va cesser d'être le cas. Déjà, un exemple concret : tous les secteurs touchant aux transports routiers [ NDLR : et pas que ! ] sont menacés par les véhicules automatiques (et ça en fait, du monde).

À terme, les métiers non-manuels sont aussi menacés. Même les métiers créatifs. On fait déjà des programmes qui savent écrire des symphonies…

Et le pire dans tout ça, c'est que c'est exactement ce qu'on essaie de faire ! Même les secteurs qui ne sont pas directement détruits par des robots nécessitent moins de monde simplement parce qu'avec la technique, on augmente la productivité et donc on réduit la force de travail nécessaire !

Et c'est vachement bien ! À partir du moment où il n'y a pas que les propriétaires des machines qui en récoltent les fruits… Oui, c'est-à-dire qu'à un moment donné, il va falloir avoir une conversation pas très agréable sur ce truc qui s'appelle le partage des richesses.

Des idées pour que la raréfaction du travail cesse de générer une concentration des richesses dans des poches de moins en moins nombreuses, il y en a : la réduction du temps de travail, le revenu universel, le salaire à vie, etc. On ne sait pas si elles marcheront, par contre on sait avec de plus en plus de certitude que le système actuel ne marche pas.

Dans tous les cas, imaginer que peu importent les avancées techniques, on pourra constamment faire travailler 90 % de la population active à 40 heures par semaine (et à en foutre plein la gueule aux 10 % qui restent au passage), ce n'est pas juste pas souhaitable, c'est aussi idiot. Et que les types qui imaginent ça soient présentés comme les candidats « réalistes », ça en dit long.

Mais alors… et la « valeur travail » ? Et « travailler plus pour gagner plus » ? Ceci est le problème, pas la solution…

Le plus dur, ce sera de déconstruire toutes ces idées tellement rabâchées par les médias et les politiciens qu'elles deviennent intégrées par une population qui en souffre pourtant tous les jours… Et simplement, d'essayer deux secondes de prendre en main notre façon de considérrer le travail au lieu de la subir.

Travailler moins pour vivre mieux.

Travailler moins pour travailler mieux.

Travailler moins pour polluer moins.

Utopistes ! Bon, à 14h, rendez-vous avec mon pneumologue et à 15h avec mon psychologue pour gérer mon burn out…

Gros +1. Voir aussi : La faim du travail #DATAGUEULE 62.

Mon avis diffère sur le fait que la destruction d'emploi suite à l'évolution technique a toujours existé. Hier : moines copistes, fabricants de calèches, télégraphistes, falotier, charron, réveil matin humain, etc. Traders et transporteurs de nos jours. Destruction créatrice. Du coup, sommes-nous vraiment à une étape charnière plus destructrice qu'avant ? Je n'en suis pas sûr. En revanche, j'ai pour conviction que l'on doit se saisir des opportunités (augmentation de la population mondiale, automatisation des tâches, etc.) pour s'émanciper du travail (afin de se consacrer aux personnes qui nous sont proches et précieuses, à de l'associatif, à la politique (au sens noble du terme), bref à ce que nous voulons faire de nos vies plutôt que d'être un-e travailleur-euse anonyme parmi une multitude). Donc je pense qu'il faut argumenter dans ce sens.

Comment le premier déploiement devait se passer :
‒ Je t'ai packagé mon applicatif dans un beau container, t'as plus qu'à le charger et roulez jeunesse !
‒ Parfait, tope-là mon pote !

Comment le premier déploiement se passe :
‒ Bizarrre, y'a un problème avec le build du container, il doit y avoir un problème de settings… J'ai pourtant bien suivi ta doc… A priori c'est pas les variables d'environnement… C'est peut-être un conflit de proxy ? Ah, et la connexion à la BDD plante…
‒ Attends, je t'ai renvoyé un fichier container_v12test(2).zip, tu peux réessayer ?

Gros gros +1.

Valls qui se prend une gifle en Bretagne. Comme d'habitude, on notera la totale disproportion entre l'acte et la réponse sécuritaire apportée. Remarquons que ça représente plutôt bien le candidat Valls…

‒ Did you have any new year's resolutions?

‒ Gonna finally finish dealing with those emails from 2008.

As my email backlog approaches 10 years, I'm starting to have doubts about my approach.

Hey Rob, sorry it took me a while to get back to you! Sure, I'd love to see WALL-E opening weekend! Are you still doing that, or...?

Tellement vrai. :')

La proposition de loi sur la réforme de la prescription en matière pénale sera examinée aujourd’hui à l’Assemblée nationale en seconde lecture. [...]

Désormais en dernière ligne de la procédure parlementaire, ce texte entend allonger considérablement les délais de prescription en matière d’abus de liberté d’expression commis sur Internet.

Sur les services de communication au public, l’action publique et l’action civile pour des infractions comme la diffamation ou l’injure « se prescriront par une année révolue » expose l’article 3 de la proposition. Pour comparaison, ce délai est aujourd'hui de trois mois.

Les sénateurs, à l’origine de cette adjonction, ont réservé néanmoins une hypothèse taillée pour ménager la susceptibilité des journaux édités sur papier : si le même contenu en ligne est reproduit également sur support papier, alors on en restera au délai abrégé.

Les députés Isabelle Attard, Noël Mamère, Sergio Coronado ou encore Laurence Abeille s’opposent à un tel régime : selon eux, « rien ne justifie » un tel allongement. Surtout, il s’agace de « cette tendance à considérer l’usage d’internet comme une circonstance aggravante pour de nombreux délits ». [...]

Toujours dans leur exposé, ils estiment lorsqu’une personne est victime de diffamation, il lui sera « infiniment plus aisé de l’apprendre si un service de communication au public en ligne a été utilisé, que par une publication papier. En effet, un moteur de recherche couplé à un système d’alerte permet d’être averti très régulièrement d’une nouvelle publication. Alors que surveiller toutes les publications papier de tout le pays pour repérer une éventuelle infraction est quasiment impossible ».

Dans leur grille de lecture, cette prescription différenciée serait d’ailleurs peu en phase avec la jurisprudence du Conseil constitutionnel, spécialement sa décision 2004‑496-DC qui n’admet pas « de trop grandes différences de régime entre presse papier et numérique en matière de délai de prescription », expliquent-ils. Conclusion : « Il apparaît donc inutile de prolonger le délai de prescription en cas de commission d’infractions par l’intermédiaire d’un service de communication au public en ligne ».

Autre député à avoir déposé un amendement de suppression, Patrick Bloche, le président de la Commission des affaires culturelles. [...]

Suite ici : https://www.nextinpact.com/news/102859-loi-1881-passe-darmes-sur-prescription-allongee-finalement-rejetee-par-deputes.htm

« Internet change tout. Il n’y a pas de prescription de l’information ! C’est un problème majeur » a rétorqué en séance le député Lellouche, affirmant que si Internet avait existé en 1881, la loi qui porte ce nom aurait été tout autre. Le député LR a par ailleurs condamné le lobbying mené par les syndicats de journalistes sur les parlementaires. Analyse partagée par le rapporteur, Alain Tourret : « Nous savons à quel point les députés s’assujettissent à la presse ! ». Quelques minutes plus tard, Cécile Duflot leur rappellera que « la liberté de la presse, c’est un fondement de la démocratie. Non le fruit d’un lobby professionnel ! »

Si les discussions autour de ces questions ont été longues, c’est aussi en raison de la dramaturgie parlementaire. Un vote de cet amendement conduit à relancer la navette vers le Sénat où, à coup sûr, l’article sera à nouveau réintroduit. En comptant les phases d’arbitrage puis du dernier mot accordé aux députés, la crainte est que le Parlement ne puisse légiférer d’ici la fin de la session parlementaire. D’autant que les grands rendez-vous électoraux attendus d’ici mai risquent de plonger la proposition de loi aux oubliettes.

Or, ce texte contient bien d’autres articles, particulièrement celui doublant la prescription du droit commun des délits et des crimes, outre d’inévitables mesures antiterrorisme. Voilà pourquoi Alain Tourret avait joué sur la corde sensible : « Si vous votez cet amendement, la loi tombe », invitant les députés à voter conforme puis saisir au besoin le Conseil constitutionnel.

Finalement, l’intervention du ministre de la Justice a planté l’ultime clou dans le cercueil de la prescription allongée dans la loi de 1881. Jean-Jacques Urvoas a pris l’engagement en séance d’utiliser « tous les moyens pour que l’Assemblée soit à nouveau saisie » dans les temps, avant la fin de la session. À la tête du groupe socialiste de l'Assemblée nationale, Olivier Faure a promis pour sa part que son groupe laisserait une place dans le calendrier qui lui est réservé. Et, en cas d’impossibilité, « alors je demanderai que nous puissions étendre la session après le mois de février ».

Fin 2016, une amie souscrit un abonnement ADSL RED sans TV chez SFR. Le souci, c'est l'apparition récurrente d'un message d'erreur TLS sur « la moitié des sites visités » y compris sur Twitter et des sites web de paiement en ligne.

Le message d'erreur TLS en question ? « [censuré] uses an invalid security certificate. The certificate is only valid for the following names : *.numericable.fr, numericable.fr ».

Compte-tenu du contenu de ce message, on en déduit que l'erreur n'est pas du côté des sites web consultés. Sur un accès ADSL grand public, je prends le parti d'exclure d'entrée de jeu un MitM géant opéré par SFR-Numericable à l'encontre de ses abonné-e-s : j'en aurais entendu parler et surtout, il ne faut jamais expliquer par la malveillance ce que l'on peut expliquer par l'incompétence. Je sais que cette personne utilise le TOR browser. Je lui demande donc si cette erreur apparaît en utilisant le TOR browser. Réponse : non. Quelle différence cela fait-il ? Le TOR browser est pré-configuré pour, entre autres, résoudre les noms de domaine en passant par TOR.

Le problème vient donc de la configuration des serveurs DNS de SFR-Numericable. Mais pourquoi nous redirige-t-ils illégitimement vers un site web appartenant, probablement à ce stade de notre analyse, à Numericable ? Et quels serveurs DNS sont en cause ?

Ça n'est pas ce qui est demandé dans le cadre de la censure gouvernementale sans juge de sites web (voir https://www.laquadrature.net/fr/loppsi-definitivement-adoptee-internet-sous-controle, https://www.laquadrature.net/fr/pjl-terrorisme-le-parlement-peut-encore-sopposer-a-la-derive-securitaire et http://www.numerama.com/magazine/32530-islamic-news-a-ete-censure-pour-l-analyse-d-un-discours-publie.html ). Ça ne correspond pas non plus à ce qui se pratique en matière d'application des décisions de justice ordonnant le blocage de sites web (voir https://www.laquadrature.net/fr/loi-jeux-en-ligne-le-filtrage-du-net-adopte, http://www.lepoint.fr/high-tech-internet/censure-par-claude-gueant-copwatch-revient-24-01-2012-1422966_47.php ou http://www.numerama.com/magazine/32714-t411-bloque-en-france-ce-que-dit-le-jugement.html ). Cela ne correspond pas non plus aux pratiques courantes de DNS menteur. Alors quoi ?

La box de SFR, comme toutes, envoie des informations d'autoconfiguration de la connexion au réseau à tous les ordinateurs (y compris tablette, ordiphone, etc.) du foyer, Wi-Fi ou filaire, via le protocole DHCP. Parmi ces infos, il y a l'adresse des serveurs DNS récursifs à utiliser mais aussi… une liste de recherche (mais si, tu sais, l'option « search » dans un resolv.conf). Que fait cette option ? Supposons que t'ai une liste de recherche « search guiguishow.info ». Si tu saisis un nom de domaine incomplet (exemple : « test »), alors ton ordinateur cherchera le nom « test.guiguishow.info. ». Mais, que se passe-t-il si tu demandes un nom complet, « www.bortzmeyer.org » par exemple, mais que le serveur DNS récursif que tu utilises ne répond pas assez vite voire pas du tout ? Ton ordinateur cherchera alors le nom « www.bortzmeyer.org.guiguishow.info. ». SFR-Numericable fait précisément cela en autoconfigurant une liste de recherche « numericable.fr ».

Tu vas me dire « beh peut-être mais je pense que ni test.numericable.fr ni www.bortzmeyer.org.numericable.fr n'existent donc, dans mon navigateur web, j'aurais une erreur « Adresse introuvable », pas une erreur TLS ! ». Le bon sens voudrait que tu ai raison. Sauf que les serveurs DNS de SFR-Numericable qui font autorité sur tous les noms de domaines appartenant à SFR-Numericable sont configurés pour répondre une même adresse IP à toute demande portant sur <n'importe_quoi_ici>.numericable.fr. Exemples (depuis n'importe quelle connexion chez n'importe quel FAI) :

$ dig +short www.bortzmeyer.org.numericable.fr
82.216.111.15

$ dig +short xd.lol.mdr.ptdr.config.vaseuse.numericable.fr
82.216.111.15

$ dig +short rAvDSRH2YiwBRdjNyiBj3k29YoCNiTCpomz42xfu.numericable.fr
82.216.111.15

$ dig A \*.numericable.fr
; <<>> DiG 9.9.5-9+deb8u8-Debian <<>> A *.numericable.fr
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 43662
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 3

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags: do; udp: 4096
;; QUESTION SECTION:
;*.numericable.fr.  IN A

;; ANSWER SECTION:
*.numericable.fr.   902 IN A 82.216.111.15

;; AUTHORITY SECTION:
numericable.fr.     172166 IN NS ns2.numericable.fr.
numericable.fr.     172166 IN NS ns1.numericable.fr.

;; ADDITIONAL SECTION:
ns1.numericable.fr. 172166 IN A 82.216.111.75
ns2.numericable.fr. 172166 IN A 82.216.111.76

;; Query time: 20 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Sat Jan 14 15:07:56 CET 2017
;; MSG SIZE  rcvd: 129

82.216.111.15 est une adresse IPv4 qui appartient à SFR-Numericable. Sur la machine (ou l'ensemble de machines) désignée par cette adresse IP, un serveur web est installé. Il est configuré pour répondre le même contenu à tous les noms de sites web <n'importe_quoi_ici>.numericable.fr. Quel est le contenu de ce site web ? Une redirection HTTP vers les offres commerciales de SFR-Numericable :

$ wget http://www.bortzmeyer.org
--2017-01-14 15:53:09--  http://www.bortzmeyer.org/
Résolution de www.bortzmeyer.org (www.bortzmeyer.org)… 82.216.111.15
Connexion à www.bortzmeyer.org (www.bortzmeyer.org)|82.216.111.15|:80… connecté.
requête HTTP transmise, en attente de la réponse… 301 Moved Permanently
Emplacement : http://www.numericable.fr [suivant]
--2017-01-14 15:53:09--  http://www.numericable.fr/
Résolution de www.numericable.fr (www.numericable.fr)… 82.216.111.15
Réutilisation de la connexion existante à www.bortzmeyer.org:80.
requête HTTP transmise, en attente de la réponse… 302 Found
Emplacement : http://offres.numericable.fr/ [suivant]
--2017-01-14 15:53:09--  http://offres.numericable.fr/
Résolution de offres.numericable.fr (offres.numericable.fr)… 82.216.111.15
Réutilisation de la connexion existante à www.bortzmeyer.org:80.
requête HTTP transmise, en attente de la réponse… 200 OK
Taille : non indiqué [text/html]

Pour tout nom de domaine qui n'est pas de la forme <n'importe_quoi_ici>.numericable.fr, on se fait dégager par le videur à l'entrée avec un code d'erreur 403.

Ça, c'est pour un site web consulté sans chiffrement. Mais, si au lieu de demander « http://www.bortzmeyer.org », on demande « https://paiement-en-ligne.exemple », c'est-à-dire qu'on active le chiffrement entre notre machine et le serveur (HTTPS) ? La résolution du nom nous répondra toujours la même adresse IP SFR-Numericable. On se connectera donc, en HTTPS, au même ordinateur appartenant à SFR-Numericable. Comme une connexion chiffrée nécessite que le serveur décline son identité, il répondra : *.numericable.fr, numericable.fr (traduction grossière : « je suis <n'importe_quoi_ici>.numericable.fr ainsi que numericable.fr »). Notre navigateur web se rend alors compte de la supercherie : lui, il voulait causer avec paiement-en-ligne.exemple et il se retrouve avec un interlocuteur *.numericable.fr, numericable.fr. Ça ne correspond pas, le navigateur sent l'arnaque et demande à l'utilisateur ce qu'il souhaite faire. Vérifions cette hypothèse :

$ curl https://www.bortzmeyer.org
curl: (51) SSL: certificate subject name '*.numericable.fr' does not match target host name 'www.bortzmeyer.org'

En revanche, si l'on met un seul composant avant « numericable.fr » (ce qui ne peut, en pratique, pas arriver à cause de « search »), on peut voir le contenu servi par le serveur web de SFR-Numericable : point de redirection ici, il s'agit de la page d'accueil normale de Numericable. Vous pouvez tester vous même : https://lol.numericable.fr/ .

Là, tu vas me dire « ben pourquoi le serveur DNS récursif de SFR-Numericable me répond lentement voire pas du tout ?! ». Ici, je peux seulement émettre des hypothèses :

• Parce qu'il est saturé par trop de demandes en heures de pointe et que les technicien-ne-s de SFR-Numericable ne s'en sont pas rendu compte ou ne veulent/peuvent pas améliorer ce service pour l'instant ?
  
  
• Peut-être que ce serveur fonctionne très bien mais qu'il n'arrive pas à obtenir une réponse de la part des serveurs DNS qui détiennent la vérité c'est-à-dire, dans nos exemples filés, ceux de bortzmeyer.org, paiement-en-ligne.exemple, Twitter, etc. ? Cela arrive si ces serveurs sont eux-mêmes surchargés ou s'il y a un problème de connexion réseau entre le récursif DNS de SFR-Numericable et ces serveurs.

Notons que la box de SFR-Numericable distribue bien l'adresse IPv4 de plusieurs serveurs récursifs DNS mais que cette redondance ne permet pas de mettre en échec l'effet indésirable de « search ».

Que faire ? Faire en sorte que la box n'envoie plus l'option « search » qui fout la grouille. Je n'ai pas de box, je suis donc incapable d'aider sur ce point. La ressource pointée par ce shaarli semble indiquer que cela n'est pas possible. Notons que même si c'était le cas, cela ne résoudra pas le problème de lenteur des serveurs DNS récursifs de SFR-Numericable. Pour corriger cela, il convient de ne pas utiliser ce service de résolution de noms au profit d'un autre.

De manière générale, il ne faudrait pas utiliser le serveur DNS récursif de son FAI. Cela n'est pas son boulot : il devrait vous fournir uniquement un tuyau et des adresses IP publiques, point. Pas d'adresse mail, pas de box, pas de TV, pas de téléphonie, pas de… Actuellement, il fournit un récursif DNS au même titre qu'il fournit une box : parce qu'un accès à Internet fourni sans cela est clairement inutilisable pour les débutant-e-s. Mais cela à un coût : ton FAI a alors une emprise supplémentaire sur toi : il peut te rediriger sur n'importe quel site web, t'empêcher de consulter tel ou tel site web, te mentir sur ce qui existe ou non sur le web, etc. Tout cela est expliqué ici : récursif DNS d'ARN, FAI associatif en Alsace.

Si tu changes de récursif DNS, cela signifie que tu fais intégralement confiance au prestataire du nouveau serveur. Pour respecter ta vie privée (le prestataire d'un service DNS récursif, voit la liste intégrale des sites web et de tous les services (mails, chat, etc.) que tu consultes, sans aucun chiffrement possible). Pour ne pas censurer de manière illégitime des pans entiers d'Internet. Évite donc d'aller donner encore plus ta vie privée à Google en utilisant Google Public DNS ou à Cisco en utilisant OpenDNS ou aux charlatans d'OpenNic. Une liste de récursifs DNS que j'estime être de confiance (mais je peux me tromper et je suis même juge et partie pour plusieurs d'entre eux !) : https://www.ffdn.org/wiki/doku.php?id=formations:dns .

« Et comment je change le récursif DNS que j'utilise ? ». Ce n'est pas aussi simple que ce que l'on essaye de raconter. Une liste de tutoriels fonctionnels sont listés ici : https://arn-fai.net/recursif#comment-changer-le-r-cursif-r-solveur-dns-que-j-utilise- .

Mais, chez l'amie en question, ça n'a pas été aussi simple car elle utilise Ubuntu. Or, Ubuntu utilise dnsmaq et resolvconf, autant de logiciels qui vont repasser derrière toi pour rendre inopérantes ta modification. Deux logiciels dont je ne peux pas tolérer l'existence et ce, depuis de nombreuses années.

resolvconf est un logiciel qui se désinstalle facilement : sudo apt-get autoremove --purge resolvconf (et confirme le message qui demande un reboot) puis sudo rm /etc/resolv.conf.

dnsmasq est une dépendance de network-manager-gnome donc il ne peut donc pas être désinstallé comme ça taktak. Pour le désactiver, il faut utiliser les commandes suivantes :

sudo sed -i 's/^dns=dnsmasq/#&/' /etc/NetworkManager/NetworkManager.conf
sudo service network-manager restart

Ensuite, effectue ton changement de récursif DNS en suivant ce tuto : https://doc.ubuntu-fr.org/dns#par_interface_graphique . Dans tous les cas (connecté-e en Wi-Fi ou non), déconnecte-toi et reconnecte-toi à ton réseau pour que le changement devienne effectif.

L'ensemble de la manipulation a pour effet de réécrire systématiquement et totalement le contenu du fichier /etc/resolv.conf. Comme on n'a pas rempli le champ « Domaines de recherche », aucune option « search » ne viendra se greffer dans notre configuration. Notons bien que c'est le cœur de la réussite de notre manipulation : changer simplement de récursif DNS tout en laissant une possibilité à l'option « search » de revenir ne produira aucun effet. Évidemment, il faut reproduire cette manipulation sur tous les ordinateurs du foyer.

ÉDIT DU 28/01/2017 À 13H50 : Et comment fait-on la même manip' avec Windows Vista/7/8/10 ? Il faut aller dans le « panneau de configuration » puis « Centre réseau et partage » puis « Modifier les paramètres de la carte » puis sélectionner la carte réseau Ethernet ou Wi-Fi puis sélectionner « Protocole Internet version 4 (TCP/IPv4) » puis cliquer sur « Propriétés ». Dans la nouvelle fenêtre, tu peux changer le récursif DNS que tu utilises. Mais pour résoudre notre problème, il faut cliquer sur le bouton « Avancé ». Dans la nouvelle fenêtre, il faut aller dans l'onglet « DNS ». Il faut cocher « Ajouter ces suffixes DNS (dans l'ordre) ». Ensuite, il faut cliquer sur le bouton « Ajouter ». Dans la nouvelle fenêtre, saisir « . » (sans les guillemets). Oui, saisir juste un point et valider. Enfin, il faut fermer toutes les fenêtre ouvertes en utilisant le bouton « OK ». C'est fait. Source : https://superuser.com/questions/93055/windows-using-the-dns-suffix-search-list-on-all-lookups-even-valid-fqdns-how-t/680359#680359 .

Pourquoi juste un point ? Car Windows ne permet pas (ni en utilisant l'interface graphique, ni en bidouillant le registre ni en utilisant les GPO) d'écraser, par une liste vide, la liste de suffixes fourni par la box via le protocole DHCP. On pourrait mettre un label qui n'a aucune chance d'exister un jour dans l'arborescence officielle de l'ICANN comme un nombre pris au hasard. Mais, la probabilité d'un conflit ne disparaît pas pour autant : les règles de l'ICANN peuvent changer, par exemple ou vous pouvez connecter votre ordinateur portable à un réseau dans lequel ce suffixe existe. Or, le point représente la racine de l'arboresence DNS : le nom shaarli.guiguishow.info s'écrit en réalité « shaarli.guiguishow.info. » et le point final est oublié dans le langage (et la représentation) courant par comodité. Cela ne changera pas aussi facilement. Conclusion : si ton Windows n'obtient pas de réponse des récursifs de SFR-Numericable, il reposera la question en la suffixant d'un point… Ce qui revient à poser la même question une deuxième fois.

Comment vérifier que la modification est effective ? Ouvrir une invite de commande (menu démarrer, accessoires, invite de commande). Avant la modification, la commande « ping rAvDSRH2YiwBRdjNyiBj3k29YoCNiTCpomz42xfu » doit indiquer « Envoi d'une requête 'ping' sur rAvDSRH2YiwBRdjNyiBj3k29YoCNiTCpomz42xfu.numericable.fr [ 82.216.111.15 ] avec 32 octets de données » même si aucune réponse à nos ping ne nous parviendra. Après la modification, la commande indiquera « La requête Ping n'a pas pu trouver l'hôte rAvDSRH2YiwBRdjNyiBj3k29YoCNiTCpomz42xfu. Vérifiez le nom et essayez à nouveau ». Autre moyen de vérifier : utiliser la commande « ipconfig /all ». Avant la manipulation, la ligne suivante sera affichée : « Liste de recherche du suffixe DNS.: numericable.fr ». Après la modification : « Liste de recherche du suffixe DNS.: ».

FIN DE L'ÉDIT DU 28/01/2017 à 13H50.

Cette histoire est une illustration concrète que l'option « search » de la bibliothèque de résolution de noms est une saloperie qui ne doit pas être utilisée (parce que derrière, il y a de vraies questions de sécurité) ainsi qu'une illustration qu'on ne peut pas faire confiance à nos gros FAI commerciaux bien connus pour fournir des services d'une qualité décente !

ÉDIT DU 14/01/2017 À 16H20 : corrections suite à une relecture de Stéphane Bortzmeyer. Merci. :) FIN DE L'ÉDIT.

LALA.

A report in the Southern Metropolis Daily newspaper, translated by the SupChina newsletter and website on Wednesday, found that vast amounts of citizens’ private information can be freely bought by strangers, for very affordable prices.

For just 700 yuan, or $100, the paper’s reporters were able to find huge amounts of information about a colleague — including a full list of hotel rooms checked into, airline flights taken, Internet cafes visited, border entries and exits, apartment rentals and real estate holdings. All they needed was his personal ID card number.

They were also able to purchase data to pinpoint another colleague’s location in real time via his mobile phone or buy detailed information about bank transactions, driving infractions and train journeys — even whom their colleague stayed with during each hotel visit.

[...]

The data is available on hundreds of tracking services advertised on China’s Internet platforms. Some may be fraudulent, but others are clearly accessing information from national police and government databases, as well as banks and mobile carriers, David Bandurski, a researcher at the University of Hong Kong’s China Media Project, wrote in the SupChina piece.

It is either being sold by the police and authorities — or outsiders are hacking into national databases, Bandurski wrote.

If that wasn’t bad enough, China is already in the midst of an ambitious plan to centralize everyone’s data and issue everyone a score based on their “social credit.”

[...]

A city government official told NPR the score draws on up to 3,000 items of information collected from nearly 100 government entities to determine an individual's public credit score, adding the city also plans to reach for other sources of personal information. A good score earns rewards like discounted airline tickets, and a bad score could one day lead to problems getting loans and getting seats on planes and trains.

But it also quoted Zhu Dake, a humanities professor at Tongji University in Shanghai, as warning the authorities could start judging people in moral or ideological grounds.

Nan mais ce n'est pas grave ça, tu auras des promotions commerciales en échange, imagine comment ça sera trop mieux !

[...]

"It's definitely the police who sold this information. You don't need to pretend it is not you,” said one user, while others complained that it would be impossible to buy government officials' personal data.

“Only we, citizens, don't have any privacy,” one wrote.

Via La ML Désidédata (voir http://shaarli.guiguishow.info/?NewrhQ )