GuiGui's Show

Communiqué commun du Syndicat de la presse quotidienne nationale (SPQN), du Syndicat de la presse quotidienne régionale (SPQR), du Syndicat de la presse quotidienne départementale (SPQD), du Syndicat des éditeurs de la presse magazine (SEPM), de la Fédération nationale de la presse spécialisée (FNPS), de la Fédération de la presse périodique régionale (FPPR), du Syndicat de la presse indépendante d’information en ligne (Spiil) et du Groupement des éditeurs de contenus et de services en ligne (GESTE)

Paris, le 30 septembre 2016. - Le projet de loi relatif à l'égalité et à la citoyenneté, tel qu'issu de la commission spéciale du Sénat, comporte plusieurs dispositions qui mettent en danger la loi de 1881 sur la liberté de la presse. [...]

Comme l'ensemble des syndicats d'éditeurs de presse l'ont encore souligné l'année dernière, la loi de 1881 est régulièrement menacée, dans une inspiration qui traduit une certaine méfiance à l'égard de l'information en ligne. Ses dispositions en matière de défense de la liberté d'expression comme d'engagement de la responsabilité des médias sont pourtant essentielles à notre vie démocratique. Son équilibre complexe, validé par une abondante jurisprudence, doit être pleinement préservé, comme le Conseil Constitutionnel et la Cour européenne des droits de l’homme le rappellent régulièrement.

[...]

Le texte en discussion prévoit de permettre au juge civil de requalifier un délit de presse. Le Sénat y ajoute la possibilité d'une réparation des préjudices nés des abus de la liberté d'expression sur le fondement de la responsabilité civile de droit commun (article 1382 du Code civil), alignant de ce fait les délais de prescription.

Ainsi pourraient être attaqués tous les propos ou articles estimés négatifs ou péjoratifs qui ne constitueraient pas une infraction à la loi sur la presse.

La nature pénale et la philosophie de la loi de 1881, basée sur une énumération d’infractions très précises, seraient ainsi entamées. [...]

[...]

Aujourd'hui, le délai de prescription en matière de délit de presse (papier ou numérique) court à compter du premier jour suivant la mise à disposition des utilisateurs du message.

Le projet de loi relatif à l'égalité et à la citoyenneté issu de la commission spéciale repousse, pour la presse numérique uniquement, le point de départ du délai de prescription au jour où cesse la mise à disposition du public du contenu mis en cause.

[...]

Dans les faits, elle supprime la prescription, puisqu’une publication en ligne a vocation à rester accessible sans limite de temps. Ce faisant, elle porte gravement atteinte aux équilibres du droit de la presse, sans atteindre le cœur du problème : les abus sous couvert d’anonymat.

Dit autrement : l'auteur-e d'un contenu qui n'a pas posé de problèmes pendant 15 ans pourra être attaqué du jour au lendemain parce que d'un coup, quelqu'un considère que ce contenu lui porte désormais préjudice ou préjudice à son business. C'est extrêmement dangereux.

Je rappelle également que la loi de 1881 est le seul bout de texte qui définisse un peu la liberté d'expression dans notre corpus législatif. C'est pour ça qu'elle est importante et c'est pour cela qu'il ne fait pas la modifier à la légère.

Via https://twitter.com/bearstech/status/781844622213541889 via https://twitter.com/bluetouff

The browser-trusted WoSign authority intentionally back-dated certificates it has issued over the past nine months to avoid an industry-mandated ban on the use of the SHA-1 hashing algorithm

[...]

hey also accused WoSign of improperly concealing its acquisition of Israeli certificate authority StartCom, which was used to issue at least one of the improperly issued certificates.

[...]

"Taking into account all the issues listed above, Mozilla's CA team has lost confidence in the ability of WoSign/StartCom to faithfully and competently discharge the functions of a CA," Monday's report stated. "Therefore we propose that, starting on a date to be determined in the near future, Mozilla products will no longer trust newly issued certificates issued by either of these two CA brands."

WoSign's practices came under scrutiny after an IT administrator for the University of Central Florida used the service to obtain a certificate for med.ucf.edu. He soon discovered that he mistakenly got one for www.ucf.edu. To verify that the error wasn't isolated, the admin then used his control over the github subdomains schrauger.github.com and schrauger.github.io to get certificates for github.com, github.io, and www.github.io. When the admin finally succeeded in alerting WoSign to the improperly issued Github certificates, WoSign still didn't catch the improperly issued www.ucf.edu certificate and allowed it to remain valid for more than a year. For reasons that aren't clear, Mozilla's final report makes no explicit mention the certificates involving the Github or UCF domains, which were documented here in August.

[...]

WoSign built a system where applicants could add extra arbitrary domains to their certificates before issuance. Even when mis-issuances happened they did not determine the root cause and eliminated the flaw only in an unrelated system upgrade.

[...]

WoSign has an “issue first, validate later” process where it is acceptable to detect mis-issued certificates during validation the next working day and revoke them at that point.

[...]

The level of understanding of the certificate system by their engineers, and the level of quality control and testing exercised over changes to their systems, leaves a great deal to be desired. It does not seem they have the appropriate cultural practices to develop secure and robust software.

[...]

For reasons which still remain unclear, WoSign appeared determined to hide the fact that they had purchased StartCom, actively misleading Mozilla and the public about the situation.

[...]

WoSign’s auditors, Ernst & Young (Hong Kong), have failed to detect multiple issues they should have detected. (Issue J, Issue X)

Mozilla envisage de ne plus faire confiance aux nouveaux certificats émis par l'AC chinoise WoSign (qui a racheté StartCom) au-delà d'une date qui n'est pas encore fixée. La mesure vaudra pour un an minimum avant que cette AC soit autorisée à repasser la certification de Mozilla si elle a procédé à des changements drastiques dans ses process.

Le monde des autorités de certification x509 est toujours aussi sérieux… :'( Certificats x509 auto-signés + DNSSEC + DANE partout et basta.

Via FRsAG.

Tellement vrai : un fix en entraîne toujours un autre. :)

Dans la partie informelle de l'AG 2015 de FDN, il s'est dit des choses extrêmement intéressantes sur l'action juridique de l'asso. J'avais pris des notes mais je ne les ai pas publiées. Je les publie aujourd'hui car je pense qu'il y a des bouts intéressants qui n'ont pas été repris dans des interventions publiques plus récentes comme celle à PSSES 2015. J'ai essayé de ne pas spoiler les avancements des procédures qui n'étaient pas connus lors de cette AG.

3 dossiers en cours

L'équipe juridique commune à LQDN, FDN et FFDN, qui allait devenir les exégètes amateurs bossait sur 3 dossiers à ce moment-là :

• Rétention des données de connexion.

  • Une 15aine d'années de lutte. Slogan du milieu des années 2000 : « Data Retention is not solution ». Combat perdu : plusieurs directives européennes (2002 et 2006) ont quand même organisé cette rétention.
    
    
  • Nouveauté : en avril 2014, la CJUE s'est prononcée et a dit que conserver tout, sur tout le monde, sans faire le tri, en permanence est contraire à la charte des droits fondamentaux de l'UE. La directive a été cassée. Une directive est transposée dans chacun des droits nationaux des États membres. Il faut donc les faire sauter. Cela se fait simplement auprès de la grande cour du droit administratif de chaque État. Sauf qu'en France, le cadre de la rétention des données de connexion est antérieur à la directive. La France étant l'un des pays qui poussait le plus fort pour une rétention massive et longue.
    
    

  • Il faut un prétexte ("la loi est pourrie" c'est un pseudo-argument, par un prétexte) pour aller toquer au Conseil d'État, cour de première instance dans le cadre d'un décret puisque celui-ci à une portée nationale, aucun tribunal administratif local n'est plus compétent qu'un autre. Or, le 24 décembre 2014, le gouvernement a publié le décret d'application de l'article 20 de la loi de programmation miliaire (LPM) qui prévoit qu'un nombre considérable de services administratifs peuvent accéder aux données de connexion (qui ne sont pas vraiment définies, « informations et documents ») sans passer par un juge et sans l'ombre d'un contrôle. On peut donc attaquer le décret et amener le CE à constater que tous les textes qui causent de data retention sont contraire au droit européen et espérer faire tomber tout le tas de merde.

  • Arguments principaux :

    • La loi (la LPM donc) ne précise pas ce qu'elle entend par « tout document et information » que l'administration peut récupérer. C'est précisé dans le décret. Sauf que garantir des bornes en matière d'atteinte aux libertés, ça relève du législatif, pas de l'exécutif. Incompétence négative du législateur (il devait faire quelque chose et ne le fait pas).
      
      
    • Le décret devait organiser le contrôle de l'accès aux données par la CNCIS. Incompétence négative du gouvernement.
      
      
    • Le décret est précis sur les informations et documents récupérables mais tout est flou : le décret envoie sur des articles de loi qui renvoient sur des articles qui se renvoient entre eux. Le tout forme un patchwork qui ne va pas dans le sens du texte genre il y a des obligations désirées qui n'apparaissent pas. Ce flou est totalement contraire au principe de prévisibilité du droit : les lois doivent être claires et compréhensibles.
  • 8-10 pays d'Europe ont déjà fait sauter la merde donc de bonnes chances de gagner. Mais, on ne sortira pas avec 0 conservation de données : on aura juste des points d'exception mieux cadrés au principe général d'interdiction de rétention (article L34-1 du CPCE).

• Les décrets d'application de la loi de renforcement des mesures antiterrorisme de 2014 (dite loi Cazeneuve) sont sortis début 2015, à la suite de l'attentat de Charlie Hebdo. Cette loi instaure notamment le blocage administratif secret (le motif n'est connu de personne, pas même de l'éditeur) de sites web terroristes et faisant l'apologie du terro, par les FAI, sur décision de la police (sans juge, donc). Cette loi instaure aussi le déréférencement des mêmes sites web, dans la même absence de cadre.

  • Arguments principaux :

    • Le décret oblige les opérateurs à la délation puisque l'internaute est renvoyé vers une page l'informant du blocage. Cette page se situe sur les serveurs du Ministère de l'Intérieur. Ces serveurs récupèrent l'adresse IP et tout un tas d'information concernant le requérant. Cette mesure n'était pas prévue par la loi. Or, vu qu'il y a atteinte à des libertés, ça devrait être câblé par la loi.
      
      
    • Le décret n'est pas clair genre "une adresse électronique contient un domaine précédé d'un nom d'hôte". C'est important parce que du coup, pourrait être filtré tout ce qui comporte un nom de domaine. Une URL précise comporte un domaine. Une adresse mail aussi. Or, pour bloquer une URL, il faut du DPI donc ce n'est pas la même atteinte aux libertés.
      
      
    • Les mesures de blocage (avec juge ou pas) ne sont pas proportionnées : de meilleurs moyens existent pour atteindre les objectifs fixés par la loi. Genre ça serait mieux d'attaquer les producteurs du pédoporn', pas les intermédiaires techniques. La CEDH s'est déjà exprimée contre un arrêté ministériel français de 1939 qui visait à encadrer les publications provenant de l'étranger. Les décisions étaient publiques. Toujours bon de rappeler ce bout de jurisprudence.
      
      
    • Aucun contrôle effectif (secret). Le pouvoir de la police n'est pas encadré. Coucou les abus.
  • Peu de chances de gagner : l'ambiance est à la parano généralisée + le Conseil Constitutionnel a déjà validé que le filtrage du pédoporn' est OK. Mais là, on va au Conseil d'État pour poser des questions de formes et de cadrage du texte donc ce n'est pas pareil.
• Il faudra botter le cul de la loi sur le renseignement.

D'autres gens ne pourraient pas faire le job ?

• La CNIL a été consultée sur ces projets de loi, elle a dit non mais elle a un avis purement consultatif. Et elle n'attaque jamais le gouvernement.
  
  
• Le défenseur des droits (qui est une autre autorité indépendante) ? Il intervient uniquement sur des cas concrets d'envergure comme le blocage manifeste d'un site web important (comme celui du PS). Pas sûr qu'il ait envie d'intervenir sur les dossiers numériques, il n'a jamais fait un pas dans ce sens. Pas sûr qu'il puisse intervenir sur une procédure auprès du Conseil d'État car on n'y conteste pas une atteinte franche au droit des requérants, on conteste une possible atteinte aux droits de tout le monde.
  
  
• Les FAI commerciaux d'envergure nationale sont capables d'attaquer des décrets quand ça cause pognon genre Free qui attaque la loi HADOPI pour être sûr qu'une compensation financière soit prévue au fait d'identifier des abonné-e-s. Mais là, osef de l'intérêt général et puis, il ne faut pas trop se fâcher trop fort avec le gouvernement car ces temps-ci, il distribue de la thune pour le déploiement de la fibre optique.

Chonologie de la rétention des données de connexion et du renseignement

• 1991 : loi sur les interceptions de sécurité faites par l'administration suite au scandale des écoutes illicites de l'Élysée (Mitterrand surveillait les journalistes pour pas qu'on cause de sa fille).
  
  
• 1996 : tentative d'amendement au paquet télécom du député Fillon pour imposer de demander au CSA une "autorisation d'émettre" avant ouvrir un site web. La même année, c'est l'affaire Estelle Hallyday contre Altern : un des 35000+ sites web hébergés par Altern re-publie des photos parues dans la presse. Qui est responsable ? L'hébergeur (Altern) ou l'éditeur du site web ? La justice tranche pour "hébergeur responsable des contenus". On notera que la magistrate en appel était alors Marie-Françoise Marais (oui, l'ex-présidente de l'HADOPI). S'en suivent des jurisprudences identiques où les juges utilisent les textes prévus pour la TV faute de textes plus adaptés.
  
  
• 2004 : on arrive à la LCEN, à la séparation des responsabilités entre hébergeur et éditeur et au principe de subsidiarité : un hébergeur n'est pas condamnable pour les propos tenus par un éditeur mais on peut lui demander de fermer un site web dans le cadre d'une procédure judiciaire et escalader s'il refuse.
  
  
• 2005-2006 : la loi de lutte contre le terrorisme ajoute de nouvelles possibilités, pour l'administration, de demander des données de connexion ainsi que de nouvelles possibilités de géolocalisation. Le Conseil Constitutionnel avait été saisi par le Parlement et avait répondu que 1) il faut un contrôle judiciaire (ce que le projet de loi ne comportait pas) ; 2) les données de connexion accessibles aux administrations = OK, même pour de la police administrative.
  
  
• Mars 2006 : directive européenne sur la conservation forcée des données de connexion. Moment très drôle en Allemagne : l'équivalent du Conseil Constitutionnel a dit "non". Du coup, choix compliqué : changer la Constitution allemande pour pouvoir transposer la directive ou illégalité vis-à-vis de l'UE ? L'Allemagne a choisi de jouer la montre donc illégalité vis-à-vis de l'UE.
  
  
• 2011 : décrets d'application de la LCEN qui tentent de préciser les données à collecter. Il y avait eu le bazar autour de la volonté du gouvernement que les intermédiaires techniques communiquent le mot de passe en clair.
  
  
• Avril 2014 : la directive européenne de 2006 (200624CE) est annulée par la CJUE.

Chronologie du blocage administratif de sites web

• 2001 : directive européenne EUCD. On la connait pour les DRM transposée en droit français par la DADVSI mais elle autorise aussi les ayants droit à demander en justice à un FAI de bloquer un site web qui contrevient à ses droits.
  
  
• 2009 : la partie blocage de sites web de l'EUCD est transposée en droit français par la HADOPI 1. Oui, il y a bien des articles de filtrage de sites web avec un juge dans HADOPI.
  
  
• 2010 : loi sur les jeux d'argent en ligne. Instaure l'ARJEL et le blocage judiciaire de sites web qui ne payent pas leur patente à l'État.
  
  
• 2011 : LOPPSI2 : blocage de sites web pédopornographiques sans juge sur décision secrète du Ministère de l'Intérieur. Le Conseil Constitutionnel valide car pedoporn trop grave pour s'occuper des droits et libertés.
  
  
• 2014 : loi Cazeneuve. Nouvelle finalité pour le blocage sans juge sur décision secrète du Ministère de l'Intérieur : lutte contre le terrorisme et l'apologie du terrorisme.

Points de droit intéressants :

• Un décret, comme beaucoup de décisions de l'administration, s'attaque dans les 2 mois. Ça peut être un simple courrier "on attaque". On a alors 3 mois pour envoyer un mémoire ampliatif qui contient l'ensemble de l'argumentaire.
  
  
• Note : une décision de l'administration peut être une réponse négative, c'est-à-dire une absence de réponse. ;)
  
  
• On attaque un décret plutôt que les actes administratifs de blocage car c'est plus efficace : l'annulation d'un décret permet d'évincer (= de transformer en code mort) des pans entiers de loi associée, le temps que de nouveaux décrets soient pris en bonne et due forme (qui ne peuvent donc pas reprendre les conneries qui ont causé leur perte devant le CE). Contester les actes administratifs, ça suppose d'en avoir connaissance puis d'interroger le ministère de l'Intérieur puis le tribunal administratif pour contester puis de faire appel puis d'aller en "cassation"-like devant le Conseil d'État. Sauf qu'en France, on ne peut pas aller en cassation (droit administratif ou judiciaire, pas d'importance) sans avocat.
  
  
• Au Conseil d'État, tout se passe par écrit : le réquérant attaque, le ministère concerné répond, etc. Le dossier se conclut par une audience de 25 minutes environ dans laquelle le rapporteur lit son rapport. Il est rare que les avocats prennent la parole. Durée : plus d'un an pour une procédure simple (sans question sur la constitutionnalité du texte, sans question à la CJUE). Dans le cadre de la rétention des données de connexion, on part sur 2-5 ans de procédure.
  
  
• Conseil d'État < CJUE < CEDH.
  
  
• Les gouvernements français tentent en permanence de ne pas tenir compte des décisions rendues par les grandes Cour de l'UE quand elles sont prises à l'encontre d'autres pays même quand un texte similaire existe en France, en mode "ce pays est un pays de sauvage, la décision ne nous concerne pas, on est des gens bien, nous". Il faut souvent re-attaquer la France pour qu'elle se bouge. Exemple : garde à vue sans avocat.
  
  
• Pour bloquer un site web de manière judiciaire, il faut une décision de justice. Quelqu'un doit attaquer les FAI devant un tribunal et le juge doit condamner les FAI à bloquer le site web en question. On attaque donc quelqu'un qui est coupable de rien pour qu'il soit condamné à faire quelque chose qui n'est pas une peine et qui ne cherche pas à le punir. Personne n'attaque les 1800 opérateurs. De même, la police peut choisir à quels opérateurs elle transmet la liste des sites web à bloquer dans le cadre des lois LOPPSI2 et Cazeneuve, le décret n'impose pas de la transférer à tous les opérateurs. Ce n'est pas une rupture d'égalité devant la loi. Déjà, la décision de justice n'est pas une condamnation de l'opérateur. Ensuite, si un petit opérateur genre FDN recevait la liste, il serait obligé de filtrer mais comme il n'a pas été notifié des blocages à mettre en place, il n'est obligé à rien. Illustration absurde : si la loi disait "tous les citoyens doivent répondre "oui, chef !" quand un gendarme leur parle", tant qu'un gendarme ne te parle pas, tu n'es pas obligé de dire "oui, chef !". Un blocage "préventif" à l'initiative du FAI serait une violation du CPCE.
  
  
• Est-ce que la pratique de DNS menteur est interdite ? Ce n'est pas clair. Y'a un bout de texte dans la partie réglementaire du CPCE qui a l'air de dire que oui. Des gens de l'ARCEP pensent que oui. Mais ce n'est pas clair, il n'y a jamais eu de décision sur le sujet, cet article n'a jamais été utilisé pour attaquer un FAI, donc on n'est pas sûr de l'interprétation qu'en aurait un juge.
  
  
• Données de connexion à conserver :
  • FAI : il s'agit d'associer une IP à ce que tu as comme informations. 56k "toto/toto" = tu donnes le numéro de téléphone appelant ; VPN open-bar : rien ou IP source ; Wi-Fi ouvert = adresse MAC (comme à l'aéroport de Toulouse-Blagnac) ; Si c'est un-e abonné-e et qu'on a des infos sur lui-elle (identité, adresse postale, adresse mail, autre), on doit les donner. Il est strictement interdit (CPCE) de noter qui a été visité tel site. Il est interdit de conserver tout ce qui touche au contenu ou à la navigation.
    
    
  • Éditeurs de contenus : trace de chaque étape dans le cycle de vie d'un élément de contenu. Exemple : sur un commentaire de blog, il faut savoir donner l'IP du posteur s'il est externe à l'association ou bien le nom de l'utilisateur du blog si la modification a été faite en interne.
    
    
  • Dans tous les cas :
    • Si service payant, il faut garder les informations relative au paiement.
      
      
    • S'il y a la création d'un compte, il faut communiquer « Les données permettant de vérifier le mot de passe ou de le modifier, dans leur dernière version mise à jour ». Ce n'est plus le mot de passe en clair comme dans la première version du décret de 2011 mais les hashs et la réponse aux questions secrètes. Voir https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000023646013&dateTexte=20160927 et http://www.nextinpact.com/archive/69954-mot-passe-conservation-donnees-cnum.htm

A six mois de la présidentielle, l’ambiance en France est très particulière. Médiatiquement, politiquement et socialement, les discours les plus primaires et les plus réactionnaires ont recouvert la plupart des réflexions. L’espace politique français — au sens large — est passé des débats de société de fond aux polémiques les plus puantes. Ce constat est possible non pas par la seule observation des chaînes de télévision ou de radio les plus plébiscitées, mais aussi par les titres de la presse papier et internet, ainsi — et surtout — que les échanges sur les « grands » réseaux sociaux. Le chaudron commence à bien bouillir, rempli d’ordures, et son odeur se répand de plus en plus fortement, recouvrant la plupart des paroles, actes ou initiatives « progressistes ».

Oui, alors les côtés « scoop » et le côté « c'était mieux avant » qui transparaissent dans cet article, pleeeaase quoi. Surtout que l'article cite bien des illustrations du Chirac du début des 90's qui disait déjà de la merde. La déchéance de nationalité ne date pas non plus des élections à venir. Frontex non plus. Le bullshit servi au moment des élections régionales était le même qu'en 2002. « Les Français sont des veaux » (donc incultes, qui suivront le mouvement impulsé par le chef) c'est du De Gaulle.

C'est le même boxon à chaque présidentielle, au moins sur les 3 dernières. Le débat d'entre-deux tours entre Sarko et Ségo était déjà du grand n'importe quoi rempli de trucs faux. Non mais sérieux, deux gens tout à fait normaux sont priés d'être experts sur tous les sujets et d'en débattre, comme ça, taktak. Ça ne peut pas fonctionner. La personnification des élections est un problème.

Sans compter que le poste est prestigieux et exclusif donc forcément que tu vas raconter nawak et jouer sur les peurs des uns et des autres pour y parvenir.

Au-delà de ça, je n'ai jamais entendu un débat intéressant, ça part toujours en règlement de compte ("vous avez fait ça dans le passé et c'était de la merde qui nous plombe aujourd'hui) et en clivage, ça part en "je te coupe la parole sans arrêt", ça part toujours en débat dans des sous-sous-sous-sujets, ça part toujours en noyage de poisson. Le temps vient à manquer (et même si on organisait des débats de 12 ou 24h ou 36h, ça ne changerait rien, c'est un problème de mentalité). Il n'y a jamais rien de constructif, rien à en tirer. C'est inaudible et le débit mitraillette est impossible à suivre. Je pense par exemple à l'échange entre Copé et Duflot sur BFMTV la semaine passée mais c'est clairement général et depuis aussi longtemps que je m'en souvienne.

[...]

Désormais, le populisme se déclare comme un mode politique de proximité du peuple, de parler vrai [au peuple], de se préoccuper des problèmes du peuple, de vouloir le bien du peuple, etc… La réalité du populisme est pourtant toute autre, puisqu’il est à la fois historiquement et politiquement le ferment du fascisme. Le plus grand populiste de l’histoire contemporaine est Mussolini. Ses discours, son comportement, toute sa sinistre carrière politique sont basés sur ce concept de populisme. Le Duce a été copié de nombreuses fois, et peut-être jamais égalé, encore que…

Nationalisme, patriotisme, racines [des origines], grandeur [perdue] à restaurer, analyses et solutions simples, à la portée de tous, gouvernance de « bon père de famille », paternalisme donc, et déclaration des « ennemis » à abattre, ou des minorités à contraindre sont les principaux ingrédients qui nourrissent la recette du populisme dans ce chaudron pestilentiel.

[...]

Pour résumer le populisme français : il se situe dans la croyance qu’une majorité d’électeurs sont mécontents, qu’ils sont plutôt incultes, qu’on peut leur faire croire que leurs problèmes sont avant tout causés par une partie de la population étrangère à la « patrie originelle » (gauloise ?), ou cause de blocages créés par des groupes d’intérêts qui prennent tout le monde en otage (les syndicats en général) et que le bons sens, l’évidence dans les décisions à prendre, sont celles que prendraient n’importe quel « bon père de famille ».

Dans ce registre, le populisme résume chaque cause d’un problème à un unique facteur. Pour le concept du chômage et de « l’emploi » : c’est à cause des « charges » sur les salaires (qui sont en réalité, les cotisations sociales pour abonder les recettes publiques et maintenir le système de répartition collectif) qui empêchent la compétitivité. Pour l’insécurité, c’est le communautarisme, le refus de l’intégration et le radicalisme religieux.

Bonne définition du populisme, je me garde ça.

[...] Le débat sur la énième réforme de l’éducation nationale s’est effectué sur les horaires, l’apprentissage pur des fondamentaux ou l’éveil des enfants en groupe, le rétablissement de l’uniforme pour certains, la sécurité scolaire et introduire des tablettes informatiques pour faire rentrer le numérique dans l’éducation nationale…

Ben… comment dire… je vais faire dans le populisme mais il suffit d'écouter les parents (et ça ne date pas d'hier) : ça cause de choses extrêmement matérielles donc horaires, menus de la cantine (histoire de pas refaire des frites le soir si y'en a eu le midi, lol), poids du cartable, sécurité de l'école, etc. À moment donné, nier que les débats sont à l'image du monde, c'est se voiler la face et c'est dangereux. Il faut bien se dire que les grands idéaux comme apprendre à apprendre, l'école décentralisée (à la maison, distance, tout ça), ça ne sort pas de terre comme ça, faut attendre que ça germe donc en attendant, il faut bien gérer la situation concrète, matérielle. Ce n'est pas contradictoire, c'est une question de proportion. Et c'est comme ça dans tous les domaines de la vie.

[...)

En fait dans l’esprit de la fachosphère IRL ou sur le réseau, il existerait une société immuable, figée, depuis les années 50, une France du Général de Gaulle, qui n’aurait pas bougé. Ou si, qui aurait été forcée de se cacher dans des caves, tandis que les Sarazin, les Chinois, les Martiens, peut-être, auraient peu à peu investi les appartement, les maisons et les commerces laissés vacants par la population gauloise, fuyant vers les caves.

[...]

Par extension, l’immigration qui ferait tant de mal aux Gaulois, selon l’extrême-droite, est une sorte de cellule dormante des islamo-nazis. A l’inverse, les Gaulois, sont des gens bien sous tout rapport. Encore une fois, la globalisation est à l’œuvre. Ce serait considérer que tous les Gaulois sont des gens parfaits alors qu’une foule d’études scientifiques très sérieuses prouvent qu’il y a de nombreux crétins durs dans cette population. Même des gens agressifs, violents, délinquants, terroristes, assassins, homophobes, sexistes… Bref de tout, comme partout. Mais sortir de la généralisation, c’est un peu compliqué pour notre fachosphère.

Oui, la peur du changement et le bouc-émissaire sont hyper connus : "nous on atteint la perfection, il ne faut plus rien changer, c'est l'autre qui a tort et vu qu'il est pas comme moi bah lala".

[...]

Nous sommes arrivé à un moment où le tempo de l’actualité est rythmé à moitié par les tweets ravageurs de politiciens ou des citations de leurs discours, d’extraits d’interviews. Le tout en 140 caractères maximum. Ou avec un post sur un mur. L’approximation, la fausseté, voire les mensonges les plus flagrants sont ainsi relayés à la vitesses des tuyaux numériques. Un petit maire de droite extrême bien raciste ordonne une interdiction de tenue de plage portée par quelque femmes d’origine maghrébine, et c’est un buzz médiatique qui dure un mois. Un mois… Emportements, militantisme, rejet, agacement, indignation, tout y passe…

C’est en fait une nouvelle période qui s’est ouverte, celle de la création des sujets d’actualités politiques par la foule, ou par les « stars des réseaux sociaux », qu’elles soient des politiques ou non. Les groupes militants de tous bords sont donc très friands de ce phénomène, puisqu’en quelques clics, voire quelques aides automatisées (principe de l’astroturfing), une foule se crée, prête à en découdre, à défendre, attaquer, se plaindre, s’indigner, mais dans tous les cas : fait parler d’elle et surtout de son sujet.

Oui, le traitement de l'information est un vrai problème. Mais, d'un côté, je me dis que les petites phrases assassines sont des révélateurs, qu'elles donnent le ton. Macron et son costard, on sait à quoi s'attendre en choisissant le projet de société de ce mec-là. Sarkozy et ses Gaulois, on sait aussi à quoi s'attendre. Ça reste trop succinct, certes mais ça donne une idée. L'absence d'autres voix, d'autres choses que des petites phrases est problématique, pas de problèmes avec ça.

[...]

Un article reprenant celui de Viner cherche à comprendre ce qu’il se passe au delà de l’amplification des rumeurs et de l’emballement des foules sur les réseaux sociaux. Un phénomène très important est celui de l’influence des algorithmes et de l’enfermement des usagers des réseaux dans leurs propres convictions, dans leurs propres sphères de croyance.

Là encore, rien de nouveau : le bistro du coin et ses habitués avaient leurs sphères de convictions. Les familles ont aussi leurs sphères de convictions qui perdurent. Nous avons aussi de telles sphères avec nos ami-e-s. Donc le coup des méchants réseaux sociaux, pleeeaaase, quoi, ils ne font qu'abolir les distances donc fusionner des sphères de convictions.

Un excellent article, avec des photos, qui nous parle des câbles sous-marins qui transportent Internet (et toutes nos communications en général), des stations d'atterrissement de ces câbles, des datacenters où sont installés les ordinateurs des opérateurs réseau et des fournisseurs de services ainsi que des quelques réseaux de distribution qui amènent le Ternet dans le logement de tout un chacun. Bref, on aperçoit le côté très matériel d'Internet que l'on oublie souvent. Je recommande vivement la lecture de cet article.

Quelques ressources complémentaires :

• http://shaarli.guiguishow.info/?9kAT1g : compte-rendu d'une émission de radio dans laquelle étaient évoqués le financement des câbles sous-marins, les enjeux géopolitiques de ces câbles, les consortiums qui sont derrière leur installation et leur exploitation, etc ;
  
  
• http://www.bortzmeyer.org/tubes.html : compte-rendu de lecture du livre « Tubes: A journey to the center of the Internet » qui s'attache aussi à présenter l'aspect physique, matériel, concret d'Internet.

[...]

But how does it work? Have you ever thought about how that cat picture actually gets from a server in Oregon to your PC in London? We’re not simply talking about the wonders of TCP/IP or pervasive Wi-Fi hotspots, though those are vitally important as well. No, we’re talking about the big infrastructure: the huge submarine cables, the vast landing sites and data centres with their massively redundant power systems, and the elephantine, labyrinthine last-mile networks that actually hook billions of us to the Internet.

[...]

The secret world of cable landing sites

[...] Providing an Internet service goes beyond the mere capabilities of a single ISP on this sceptred isle or, indeed, the capabilities of any single ISP anywhere in the world.

First we’re going to take a rare look at one of the most unusual and interesting strands of the Internet and how it arrives onshore in Britain. We’re not talking dark fibre between terrestrial data centres 50 miles apart, but the landing station where Tata’s Atlantic submarine cable terminates at a mysterious location on the west coast of England after its 6,500km journey from New Jersey in the USA.

Connecting to the US is critical for any serious international communications company, and Tata’s Global Network (TGN) is the only wholly owned fibre ring encircling the planet. It amounts to a 700,000km subsea and terrestrial network with more than 400 points of presence worldwide. [...] At any one time Tata’s Tier 1 network is handling 24 percent of the world’s Internet traffic, so the chance to get up close and personal with TGN-A (Atlantic), TGN-WER (Western Europe), and their cable consortium friends is not to be missed.

The site itself is a pretty much vanilla data centre from the outside, appearing grey and anonymous—they could be crating cabbages in there for all you’d know. Inside, it’s RFID cards to move around the building and fingerprint readers to access the data centre areas, but first a cuppa and a chat in the boardroom. This isn’t your typical data centre, and some aspects need explaining. In particular, submarine cable systems have extraordinary power requirements, all supported by extensive backup facilities.

[...] He brought with him some subsea cable samples to show how the design changes depending on the depth. The nearer to the surface you get, the more protection—armour—you need to withstand potential disturbances from shipping. Trenches are dug and cables buried in shallow waters coming up onto shore. At greater depths, though, areas such as the West European Basin, which is almost three miles from the surface, there’s no need for armour, as merchant shipping poses no threat at all to cables on the seabed. At these depths, cable diameter is just 17mm, akin to a marker pen encased by a thick polyethylene insulating sheath. A copper conductor surrounds multiple strands of steel wire that protect the optical fibres at the core, which are inside a steel tube less than 3mm in diameter and cushioned in thixotropic jelly. Armoured cables have the same arrangement internally but are clad with one or more layers of galvanised steel wire, which is wrapped around the entire cable.

Without the copper conductor, you wouldn’t have a subsea cable. Fibre-optic technology is fast and seemingly capable of unlimited bandwidth, but it can’t cover long distances without a little help. Repeaters—effectively signal amplifiers—are required to boost the light transmission over the length of the fibre optic cable. This is easily achieved on land with local power, but on the ocean bed the amplifiers receive a DC voltage from the cable’s copper conductor. And where does that power come from? The cable landing sites at either end of the cable.

Although the customers wouldn’t know it, TGN-A is actually two cables that take diverse paths to straddle the Atlantic. If one cable goes down, the other is there to ensure continuity. The alternative TGN-A lands at a different site some 70 miles (and three terrestrial amplifiers) away and receives its power from there, too. One of these transatlantic subsea cables has 148 amplifiers, while the other slightly longer route requires 149.

Oui, il y a des répéteurs tous les 80 kilomètres environ. Source : http://shaarli.guiguishow.info/?9kAT1g

[...]

“To power the cable from this end, we’ve a positive voltage and in New Jersey there’s a negative voltage on the cable. We try and maintain the current—the voltage is free to find the resistance of the cable. It’s about 9,000V, and we share the voltage between the two ends. It’s called a dual-end feed, so we’re on about 4,500V each end. In normal conditions we could power the cable from here to New Jersey without any support from the US.”

[...] Yet looking at the cable sample itself, with a mere eight strands of optical fibre inside, you can’t help but think that, for all the effort involved, there should be more. “The limitations are on the size of the amplifier. For eight fibre pairs you’d need twice the size of amplifier,” says John, and as the amplifier scales up, so does the need for power.

At the landing site, the eight fibres that make up TGN-A exist as four pairs, each pair comprising a distinct send and receive fibre. The individual fibre strands are coloured, such that if it’s broken, and a repair needs to be done at sea, the technicians know how to splice it back together again. Similarly, those on land can identify what goes where when plugging into the Submarine Line Terminal Equipment

[...] “Once the cable has been found and returned to the cable-repair ship, a new piece of undamaged cable is attached. The ROV [remotely operated vehicle] then returns to the seabed, finds the other end of the cable and makes the second join. It then uses a high-pressure water jet to bury the cable up to 1.5 metres under the seabed,” he says.

“Repairs normally take around 10 days from the moment the cable repair ship is launched, with four to five days spent at the location of the break. Fortunately, such incidents are rare: Virgin Media has only had to deal with two in the past seven years.”

[...]

“Forward error correction is used to understand the signal that’s being sent, and modulation techniques have changed as the amount of traffic going down the signal has increased," says Osborne. [...]

DWDM (Dense Wavelength Division Multiplexing) technology is used to combine the various data channels, and by transmitting these signals at different wavelengths—different coloured light within a specific spectrum—down the fibre optic cable, it effectively creates multiple virtual-fibre channels. In doing so the carrying capacity of the fibre is dramatically increased.

One of the main issues affecting this application of photonics communications is the optical dispersion of the fibre. It’s something designers factor in to the cable construction, with some sections of fibre having positive dispersion qualities and others negative. And if you need to do a repair, you’ll have to be sure you have the correct dispersion cable type on board. [...]

Vache. :O

To the left of both boxes are power cables inside metal pipes.

:O

[...]

The yellow fibre trunking snakes overhead to the racks that will perform various tasks, including demultiplexing the incoming signals to separate out different frequency bands. [...] “It depends what the client wants,” adds Osborne. “If they want a single 100G circuit that’s coming out of one of those boxes it can be handed over directly to the customer. If the customer wants a lower speed, then yes, it will have to be handed over to further equipment to split it up into lower speeds. There are clients who will buy a 100G direct link but not that many. A lower-tier ISP, for example, wanting to buy transmission capability from us, will opt for a 10G circuit. “The bulk of the transport on the cable is either used for our own Internet or is being sold as transport circuits to other Internet wholesale operators—the likes of BT, Verizon, and other international operators who don’t have their own subsea cables buy transport from us.”

Tall distribution frames support a patchwork of optical cables that divvy up 10G connectivity for clients. If you fancy a capacity upgrade then it’s pretty much as simple as ordering the cards and stuffing them into the shelves—the term used to describe the arrangements in the large equipment chassis. John points out a customer’s existing 560Gbps system (based on 40G technology), which recently received an additional 1.6Tbps upgrade. The extra capacity was achieved by using two 800Gbps racks, both functioning on 100G technology for a total bandwidth of more than 2.1Tbps. As he talks about the task, one gets the impression that the lengthiest part of the process is waiting for the new cards to show up.

All of Tata’s network infrastructure onsite is duplicated, so there are two of rooms SLT1 and SLT2. One Atlantic system internally referred to as S1 is on the left of SLT1, and the Western Europe Portugal cable referred to as C1 is on the right. And on the other side of the building there’s SLT2, with the Atlantic S2 system together with C2 connecting to Spain.

Terrestrial room

In a separate area nearby is the terrestrial room, which, among other tasks, handles traffic connections to Tata’s data centre in London. One of the transatlantic fibre pairs doesn’t actually drop at the landing site at all. It’s an “express pair” that continues straight to Tata's London premises from New Jersey to minimise latency. Talking of which, John looked up the latency of the two Atlantic cables; the shorter journey clocks up a round trip delay (RTD) of 66.5ms, while the longer route takes 66.9ms. So your data is travelling at around 437,295,816 mph. Fast enough for you?

On this topic he describes the main issues: “Each time we convert from optical to electrical and then back to optical, this adds latency. With higher-quality optics and more powerful amplifiers, the need to regenerate the signal is minimised these days. Other factors involve the limitations on how much power can be sent down the subsea cables. Across the Atlantic, the signal remains optical over the complete path.”

[...]

To one side is a bench of test equipment and, as seeing is believing, one of the technicians plumbs a fibre-optic cable into an EXFO FTB-500. This is equipped with an FTB-5240S spectrum analyser module. The EXFO device itself runs on Windows XP Pro Embedded and features a touchscreen interface. After a fashion it boots up to reveal the installed modules. Select one and, from the list on the main menu, you choose a diagnostic routine to perform.

Hahaha, winwin XP. :')

[...]

Never far from the heavy lifting in data communications, a Juniper MX960 universal edge router acts as the IP backbone here. In fact, there are two onsite confirms John: “We have the transatlantic stuff coming in and then we can drop STM-1 [Synchronous Transport Module, level 1], GigE, or 10GigE clients—so this will do some sort of multiplexing and drop the IP network to various customers.”

The equipment used on the terrestrial DWDM platforms takes up far less space than the subsea cable system. Apparently, the ADVA FSP 3000 equipment is pretty much exactly the same thing as the Ciena 6500 kit, but because it’s terrestrial the quality of the electronics doesn’t have to be as robust In effect, the shelves of ADVA gear used are simply cheaper versions, as the distances involved are much shorter. With the subsea cable systems, the longer you go, the more noise is introduced, and so there’s a greater dependence on the Ciena photonics systems deployed at the landing site to compensate for that noise.

One of the racks houses three separate DWDM systems. Two of them connect to London on separate cables (each via three amplifiers), and the other goes to a data centre in Buckinghamshire.

[...]

The power of nightmares

You can’t visit a landing site or a data centre without noticing the need for power, not only for the racks but for the chillers: the cooling systems that ensure that servers and switches don’t overheat. And as the submarine cable landing site has unusual power requirements for its undersea repeaters, it has rather unusual backup systems, too.

Enter one of the two battery rooms and instead of racks of Yuasa UPS support batteries—with a form factor not too far removed from what you’ll find in your car—the sight is more like a medical experiment. Huge lead-acid batteries in transparent tanks, looking like alien brains in jars, line the room. Maintenance-free with a life of 50 years, this array of 2V batteries amounts to 1600Ah, delivering a guaranteed four hours of autonomy.

Battery chargers, which are basically the rectifiers, supply the float voltage so the batteries are maintained. They also supply the DC voltage to the building for the racks.

Inside the room are two PFEs (Power Feed Equipment) all housed together within sizeable blue cabinets. One is powering the Atlantic S1 cable and the other is for Portugal C1. A digital display gives a reading of 4,100V at around 600mA for the Atlantic PFE and another shows just over 1,500V at around 650mA for the C1 PFE.

John describes the configuration: “The PFE has two separate converters. Each converter has three power stages. Each one can supply 3,000V DC. So this one cabinet can actually supply the whole cable, so we have an n+1 redundancy, because there’re two onsite. However, it’s more like n+3, because if both convertors failed in New Jersey and a convertor here failed also, we could still feed the cable.”

:O

Revealing some rather convoluted switching arrangements, John explains the control system: “This is basically how we turn it on and off. If there is a cable fault, we have to work with the ship managing the repair. There are a whole load of procedures we have to go through to ensure it’s safe before the ship’s crew can work on it. Obviously, voltage that high is lethal, so we have to send power safety messages. We’ll send a notification that the cable is grounded and they’ll respond. It’s all interlocked so you can make sure it’s safe.”

The site also has two 2MVA (megavolt-ampere) diesel generators. Of course, as everything’s duplicated, the second one is a backup. There are three huge chillers, too, but apparently they only need one. Once a month the generator backup is tested off load, and twice a year the whole building is run on load. As the site also doubles up as a data centre, it’s a requirement for SLAs and ISO accreditation.

In a normal month, the electricity bill for the site comfortably reaches five figures.

Pas mal. :D

Datacenter

At the Buckinghamshire data centre there are similar redundancy requirements, albeit on a different scale, with two giant collocation and managed hosting halls (S110 and S120), each occupying 10,000 square feet. Dark fibre connects S110 to London, while S120 connects to the west coast landing site. [...]

[...]

So we’ve got 400 locations with multiple devices which connect into one big network, which is one autonomous system. It provides IP, Internet, and point-to-point services to our customers. Because it has a mesh topology [400 interconnected devices]—any one connection will take a different route to the MPLS cloud. We also provide network services—on-net and off-net services. Service providers like Virgin Media and NetApp terminate their services into the building.”

In the spacious Data Hall 110, Tata’s managed hosting and cloud services are on one side, with collocation customers on the other. Data Hall 120 is much the same. Some clients keep their racks in cages and restrict access to just their own personnel. By being here, they get space, power, and environment. All the racks have two supplies from A UPS and B UPS, by default. They each come via a different grid, taking alternative routes through the building.

“So our fibre, which comes from the SLTE [ NDLR : la station d'atterisage / « landing site » du câble sous-marin ;) ] and London, terminates in here,” says Paul. Pointing out a rack of Ciena 6500 kit, he adds, “You might have seen equipment like this at the landing site. This is what takes the main dark fibre coming into the building and then it distributes it to the DWDM equipment. The dark fibre signals are divided into the different spectrums, and then it goes to the ADVA from where it’s distributed to the actual customers. We don’t allow customers to directly connect into our network, so all the network devices are terminated here. And from here we extend our connectivity to our customers.”

A typical day for Paul and his remote-hands colleagues is more about the rack-and-stack process of bringing new customers on board and remote-hands tasks such as swapping out hard drives and SSDs. It doesn’t involve particularly in-depth troubleshooting. For instance, if a customer loses connectivity to any of their devices, his team is there for support and will check that the physical layer is functioning in terms of connectivity, and, if required, will change network adapters and suchlike to make sure a device or platform is reachable.

He has noticed a few changes in recent years, though. Rack-and-stack servers that were 1U or 2U in size are being replaced by 8U or 9U chassis that can support a variety of different cards including blade servers. Consequently, the task of installing individual network servers is becoming a much less common request. In the last four or five years, there have been other changes, too.

“At Tata, a lot of what it provides is HP and Dell—products we’re currently using for managed hosting and cloud setups. Earlier it used to be Sun as well but now we see very little of Sun. For storage and backup, we used to use NetApp as a standard product but now I see that EMC is also being used, and lately we’ve seen a lot of Hitachi storage. Also, a lot of customers are going for a dedicated storage backup solution rather than managed or shared storage.”

[...]

The NOC's NOC

The layout in the NOC (network operations centre) area of the site is much the same as you’d find in any office, although the big TV screen and camera linking the UK office to the NOC staff in Chennai in India is a bit of surprise. It’s a network test of sorts, though: if that screen goes down, they both know there’s a problem. Here, it’s effectively level one support. The network is being monitored in New York, and the managed hosting is monitored in Chennai. So if anything serious does happen, these remote locations would know about it first.

Haha la supervision de la connectivité avec un écran. :D

George describes the setup: “Being an operations centre we have people calling in regarding problems. We support the top 50 customers—all top financial clients—and it’s a really high priority every time they have a problem. The network that we have is a shared infrastructure, so if there’s a major problem then a lot of customers may be impacted. We need to be able to update them in a timely fashion, if there’s an ongoing problem. We have commitment to some customers to update every hour, and for some it’s 30 minutes. In the critical incident scenario, we constantly update them during the lifetime of the incident. This support is 24/7.”

Being an international cable system, the more typical problems are the same for communications providers everywhere: namely damage to terrestrial cables, most commonly at construction sites in less well-regulated territories. That and, of course, wayward anchors on the seabed. And then there are the DDoS (distributed denial-of-service) attacks, where systems are targeted and all available bandwidth is swamped by traffic. The team is, of course, well equipped to manage such threats.

“The tools are set up in a way to monitor the usual traffic patterns of what is expected during that period during a day. It can examine 4pm last Thursday and then the same time today. If the monitoring detects anything unusual, it can proactively deal with an intrusion and reroute the traffic via a different firewall, which can filter out any intrusion. That’s proactive DDoS mitigation. The other is reactive, where the customer can tell us: 'OK I have a threat on this day. I want you to be on doubt.’ Even then, we can proactively do some filtering. There’s also legitimate activity that we will receive notification of, for example Glastonbury [ NDLR : un festival musical international réputé], so when the tickets go on sale, that high level of activity isn’t blocked.”

Latency commitments have to be monitored proactively, too, for customers like Citrix, whose portfolio of virtualisation services and cloud applications will be sensitive to excessive networking delays. Another client that appreciates the need for speed is Formula One. Tata Communications handles the event networking infrastructure for all the teams and the various broadcasters.

“We are responsible for the whole F1 ecosystem, including the race engineers who are on site and are also part of the team. We build a POP [point of presence] on every race site—installing it, extending all the cables and provisioning all the customers. We install different Wi-Fi Internet breakouts for the paddocks and everywhere else. The engineer on site does all the jobs, and he can show all the connectivity is working for the race day. We monitor it from here using PRTG software so we can check the status of the KPIs [key performance indicators]. We support it from here, 24/7.” Such an active client, which has regular fixtures throughout the year, means that the facilities management team must negotiate dates to test the backup systems. If it’s an F1 race week, then from Tuesday to the following Monday, these guys have to keep their hands in their pockets and not start testing circuits at the data centre. Even during the tour, when Paul pointed out the F1 equipment rack, he played safe and chose not to open up the cabinet to allow a closer look.

Vache :O

Oh, and if you’re curious about the backup facilities here, there are 360 batteries per UPS and there are eight UPSes. That’s more than 2,800 batteries, and as they’re all 32kg each, this amounts to around 96 tonnes in the building. The batteries have a 10-year lifespan, and they’re individually monitored for temperature, humidity, resistance, and current around the clock. At full load they’ll keep the data centre ticking over for around eight minutes, allowing plenty of time for the generators to kick in. On the day, the load was such that the batteries could keep everything running for a couple of hours.

There are six generators—three per data centre hall. Each generator is rated to take the full load of the data centre, which is 1.6MVA. They produce 1,280kW each. The total coming into the site is 6MVA, which is probably enough power to run half the town. There is also a seventh generator that handles landlord services. The site stores about 8,000 litres of fuel, enough to last well over 24 hours at full load. At full fuel burn, 220 litres of diesel an hour is consumed, which, if it were a car travelling at 60mph, would notch up a meagre 1.24mpg—figures that make a Humvee seem like a Prius.

[...]

The last mile [ NDLR : entre les datacenters (dans lesquels sont installés les machines des FAI et des fournisseurs de services) et chaque habitation ]

Inside Openreach's [ NDLR : filiale de l'opérateur historique monopolistique UK, BT. Cette filiale détient le réseau physique. ] new VDSL2 cabinets is a DSLAM (digital subscriber line access module, in BT parlance). In the case of older ADSL and ADSL2, DSLAM kit tends to be found farther away at the exchange, but its use in the street is to amplify the fibre-optic cable signal connected to the exchange to enable a broadband speed increase to the end user. Using tie pair cables, the mains-powered DSLAM cabinet is linked to the existing street cabinet, and this combination is described as a primary cross-connection point (PCP). The copper cabling to the end user’s premises remains unchanged, while VDSL2 is used to deliver the broadband connectivity to the premises from the conventional street cabinet.

[...]

It’s a far cry from Virgin Media’s HFC network, which currently has homes connected at 200Mbps and businesses at 300Mbps. Virgin Media uses fibre-optic cables to deliver its services to streetside cabinets, which distribute broadband and TV over a single copper coaxial cable (a twisted pair is still used for voice).

It's also worth mentioning that DOCSIS 3.0 is the leading last-mile network tech over in the US, with about 55 million out of 90 million fixed-line broadband connections using coaxial cable. ADSL is in second place with about 20 million and then FTTP with about 10 million. Hard numbers for VDSL2 deployment in the US are hard to come by, but it appears to be used sporadically in some urban areas.

Ok, FTTP, c'est le terme pour englober toutes les technos fibres qui arrivent en fibre jusqu'à l'abonné (FTTH, FTTB, etc.). Ok, donc Virgin déploie du FTTC (comme le FTTLA mais l'armoire de rue est plus proche des abonné-e-s. :- Je pense que l'équivalent français est de la fibre jusqu'aux sous-répartiteurs) et Openreach fait du VDSL2, de la montée en débit sur suivre, en somme.

There's still plenty of headroom with DOCSIS 3 that will allow cable ISPs to offer downstream connection speeds of 400, 500, or 600Mbps as needed—and then after that there'll be DOCSIS 3.1 waiting in the wings. [...] The DOCSIS 3.1 spec suggests more than 10Gbps is possible downstream and eventually 1Gbps upstream. These capacities are made possible by the use of quadrature amplitude modulation techniques—the same as used on short-distance submarine cables.

[...]

[...) we’d be remiss if we completely ignored the other side of the last-mile (or last-100m) equation: mobile devices and wireless connectivity.

Case in point: the recent emergence of almost blanket Wi-Fi hotspot coverage in urban areas. First it was a few plucky cafes and pubs, and then BT turned its customers’ routers into open Wi-Fi hotspots with its "BT with Fon" service. Now we’re moving into major infrastructure plays, such as Wi-Fi across the London Underground and Virgin’s curious “smart pavement” in Chesham, Buckinghamshire. For this project, Virgin Media basically put a bunch of Wi-Fi access points beneath manhole covers made of specially made radio-transparent resin. Virgin maintains a large network of ducts and cabinets across the UK that are connected to the Internet—so why not add a few Wi-Fi access points to share that connectivity with the public?

[...]

“The biggest issue tends to be challenging conventional thinking. For example, traditional wireless projects involve mounting a radio as high as permission allows and radiating with as much power as regulations permit. What we tried to do was put a radio under the ground and work within the allowed power levels of traditional in home Wi-Fi," he says.

[...]

[...] future of wired Internet

The next thing on the horizon for Openreach’s POTS network is G.fast, which is best described as an FTTdp (fibre to distribution point) configuration. Again, this is a fibre-to-copper arrangement, but the DSLAM will be placed even closer to the premises, up telegraph poles and under pavements, with a conventional copper twisted pair for the last few tens of metres.

The idea is to get the fibre as close to the customer as possible, while at the same time minimising the length of copper, theoretically enabling connection speeds of anywhere from 500Mbps to 800Mbps. G.fast operates over a much broader frequency spectrum than VDSL2, so longer cable lengths have more impact on its efficiency. However, there has been some doubt whether BT Openreach will be optimising speeds in this way as, for reasons of cost, it could well retreat to the green cabinet to deliver these services and take a hit on speed, which would slide down to 300Mbps.

[...]

The last few years have also been exciting for smaller, independent players such as Hyperoptic and Gigaclear, which are rolling out their own fibre infrastructure. Their footprints are still hyper-focused on a few thousand inner-city apartment blocks (Hyperoptic) and rural villages (Gigaclear), but increased competition and investment in infrastructure is never a bad thing.

En 2015, plusieurs personnes ont fait du lobbying ( :D ) pour que je migre mon blog, un WordPress, vers un générateur de sites web statiques. Je m'étais mis ça de côté dans ma TODO. Je viens de prendre le temps de m'intéresser à la question.

Pourquoi migrer ?

• WordPress est un CMS complet, avec des tonnes de fonctionnalités dont je ne me sers pas. C'est relou de mettre à jour un truc dont je ne me sers pas pour avoir des nouvelles fonctionnalités dont je ne me servirai pas. Dans le mois qui suit la sortie d'une nouvelle version, il y a une faille de sécurité qui touche toutes les anciennes versions… Pleaaaase. Notons que depuis 2015, j'ai stocké l'enchaînement de commandes que j'utilise pour mettre à jour dans un fichier texte et je pourrais envisager de créer un script sans trop de problèmes. Quoi qu'il en soit, le temps nécessaire pour mettre à jour mon WordPress a diminué ces derniers temps.
  
  
• En 2015, je trouvais l'idée séduisante car les commentaires de mon blog étaient alors envahis par le spam. Genre mon anti-spam (Spam Karma) laissait quasiment tout passer et je devais nettoyer les commentaires très régulièrement pour ne pas avoir de merde publiée sur mon blog et ne pas voir la taille de ma sauvegarde de la base de données grossir démesurément. En avril 2016, je me rendais compte que cette inefficacité était dû au passage à PHP 5.6.X dans Debian Jessie qui met l'extension MySQL au placard au profit de PDO, ce qui fait que la fonction mysql_real_escape_string(), utilisée par mon antispam, n'est plus disponible. Voir http://shaarli.guiguishow.info/?1_-YHw

Contrainte

La seule contrainte que je me suis fixée est la suivante : toutes les URL existantes doivent fonctionner après la migration. Toutes. Simplement parce que les URL cools / sympas ne changent jamais. Pérennité de l'information et du moyen d'y accéder, tout ça.

Évidemment, je souhaiterai aussi que les liens de mes tables des matières, qui pointent sur les sous-titres de mes billets, continuent aussi à fonctionner. Si ce n'est pas le cas, c'est ennuyeux mais ce n'est pas dramatique : l'utilisateur-rice atterrira quand même sur la bonne page web, juste il-elle ne sera pas propulsé-e au bon endroit dans le contenu de la page, c'est moins grave.

Continuer à publier sur mon blog ?

Cette question est importante. Si je décide que je ne veux plus publier sur mon blog, alors c'est simple : je dégaine wget ou httrack et je crée une copie statique de mon blog et c'est cette copie que je publie. Pas besoin d'un nouveau moteur de blog, même statique. Si je veux pouvoir ajouter des articles sur mon blog, alors oui, une migration vers un autre outil semble plus appropriée.

Je souhaite publier occasionnellement des articles sur mon blog. Le format shaarli + markdown n'est pas forcément le plus adapté. L'audience n'est pas non plus la même.

Quel générateur de site statique utiliser ?

Des générateurs de sites statiques, il en existe plusieurs centaines.

Mes critères de choix (liste ordonnée) : logiciel libre, pas écrit dans un langage de kikoo / inadapté (JavaScript / Node.js, Java, Go, Erlang, C/C++, Haskell, etc.), importation possible depuis WordPress, une bonne documentation et une communauté d'utilisateur-rice-s.

Avec ces critères, les logiciels suivants émergent du lot : Jekyll (Ruby), Octopress (basé sur Jekyll) et Pelican (Python). Je note aussi Lektor qui propose une interface d'admin en Node.js pour créer / modifier / supprimer les pages. Je connaissais aussi ikiwiki, codé en Perl, plus adapté pour les wikis, comme son nom l'indique.

J'ai choisi Pelican. Parce que je sais coder en Python et que je connais (un peu) Jinja2 (moteur de template) depuis que j'utilise ansible. Au cas où j'aurais besoin de mettre les mains dans le cambouis. Et un peu aussi parce que 2 des 3 lobbyistes qui m'ont invité à migrer mon blog utilisent Pelican (oui, effet de prescription, oui, je suis un mouton).

Pourquoi ne pas migrer ?

Avant de migrer, j'ai voulu me faire une liste de tout ce qui pourrait foirer. J'imagine que ça pourra servir à d'autres donc voici une petite liste non-exhaustive des problèmes potentiels que j'ai identifiés (liste ordonnée, du moins relou / problématique au plus problématique) :

• Est-ce qu'une migration vers Pelican me permet de virer des softs ? Non, j'ai toujours besoin de PHP pour shaarli et j'ai toujours besoin de MySQL pour Tiny Tiny RSS. J'ai testé beaucoup d'agrégateurs RSS (voir http://www.guiguishow.info/2011/08/07/agregateur-rss/ et http://www.guiguishow.info/2013/03/18/passer-de-newsfox-a-kriss-feed/ ) avant d'en trouver un qui fait le job que j'attends de lui donc il est exclu que j'en change. Shaarli me convient très bien donc il ne dégagera pas. Bon, virer WordPress permet déjà d'avoir moins de code sur le serveur donc ça restreint fortement la surface d'attaque.
  
  
• Est-ce que ça me débarrasse de WordPress ? Hé bah non, car j'administre d'autres WordPress. Genre association, tout ça. Bon, OK, ça ne sera bientôt plus le cas mais still…
  
  
• Pelican prend en charge trois formats pour rédiger le contenu : asciiDoc, reStructuredText et markdown. Je suis habitué à utiliser markdown pour créer mes slides Beamer et pour mettre en forme mes shaarlis. Donc ça va, il n'y a pas une barrière supplémentaire à l'entrée.
  
  

• Ma plus grande crainte était d'avoir des URL différentes. Mais en fait, non. Genre, pour avoir le même format « /année/mois/jour/titre/ » que mon WordPress, ça se dit comme cela dans pelicanconf.py ( voir http://docs.getpelican.com/en/3.6.3/settings.html ) :

  ARTICLE_URL = '{date:%Y}/{date:%m}/{date:%d}/{slug}/'
  ARTICLE_SAVE_AS = '{date:%Y}/{date:%m}/{date:%d}/{slug}/index.html'

Même chose pour les pages, les archives, les catégories, etc.

• L'absence de PHP signifie l'absence de commentaires. Pourtant, des personnes ont écrit d'excellents commentaires sur mon blog. Je trouve que supprimer (ne pas importer) les commentaires, c'est un manque d'éthique ou de politesse ou de je ne sais quoi : ces personnes ont fait l'effort d'écrire et m'ont appris des trucs. Bien sûr, dans les articles correspondant, j'ai mentionné les commentaires intéressants mais je n'ai pas forcément intégré lesdits commentaires au billet. Des infos intéressantes seraient donc perdues dans la migration. Je trouve ça dommage. Évidement, il est hors de question que j'utilise un service externe genre Disqus. Visiblement, il existe des solutions. Soit en utilisant une base sqlite (lol, site statique, tout çà) comme isso et d'autres. Soit avec du mail dedans ( https://github.com/getpelican/pelican-plugins/tree/master/pelican_comment_system ). Ce deuxième système a la classe. \o/ Pour importer les commentaires WordPress dedans : https://gist.github.com/tiramiseb/048db9c21c3fac8a44fd76cddaa17834 .
  
  
• Il faut que je retrouve un thème sombre, extensible et qui utilise un maximum la place qu'on a sur nos écrans (pas centré sur 400 pixels comme mon blog actuel, car c'est ridicule). Et rien que ça, ça va être une plaie. Et comme l'existant ne me conviendra pas, il faudra forcément que je le modifie. J'ai autre chose à faire, sérieux. :-
  
  
• Mon blog et mon shaarli sont entremêlés : des contenus pointés par mon shaarli sont stockés dans mon /wp-content/uploads. Oui, on évite de lier deux machines ou deux logiciels entre eux, règle de base. De la même manière, du contenu hébergé dans /wp-content/uploads n'a pas vraiment de lien, ni avec mon blog, ni sur ce shaarli. Exemple : les vidéos des journées FédéRez 2013. Là encore, cette organisation est stupide : j'aurai dû créer un autre virtualhost avec un autre domaine (genre datalove.guiguishow). Rien d'irréparable, juste il faut faire le ménage et écrire les redirections qui vont bien sachant que, puisqu'on est entre virtualhosts, il faut gérer http/https et ne pas rediriger bêtement tout en http ou tout en https.
  
  
• L'absence de PHP signifie l'absence d'un champ de recherche. Or, c'est clairement la fonctionnalité que j'utilise le plus pour retrouver ce que j'ai écrit, pour retrouver des commandes, etc. Hors de question d'être dépendant d'un service externe et encore moins de Google. Visiblement, il existe un plugin avec du JSON et du jQuery dedans pour faie le job : http://moparx.com/2014/04/adding-search-capabilities-within-your-pelican-powered-site-using-tipue-search/ . Remplacer PHP par une bouse bien lourde en JavaScript, j'aime le concept… Ou pas. Utiliser YaCy ?
  
  

• L'import depuis WordPress ne sera pas parfait, il suffit de lire des témoignages pour le vérifier : http://jonathan.michalon.eu/passage-a-pelican.html ou http://blog.jasonantman.com/2014/02/converting-wordpress-posts-to-pelican-markdown/ . J'ai testé et j'ai constaté les problèmes suivants :

  • Le nom d'auteur importé est le login dans WordPress, pas le nom de plume (oui, WordPress peut séparer les deux). Un coup de sed peut être nécessaire ;
    
    
  • Certains caractères comme « < », « > » sont échappés dans le markdown, lors de l'import. Il n'y a rien dans l'export XML WordPress, c'est vraiment Pandoc qui ajoute l'échappement durant l'import. Il faut les identifier et les sed ;
    
    
  • Sur mon WordPress, la table des matières de chaque article est créee dynamiquement par une extension (Table of Contents Generator codée par Scott Yang). Donc forcément, les tables des matières ne sont pas exportées par WordPress. Il faut donc les refaire à la mimine ou prévoir de se coder un script. ÉDIT DU 25/09/2016 À 21H05 : ou utiliser https://github.com/getpelican/pelican-plugins/tree/master/extract_toc FIN DE L'ÉDIT ;
    
    
  • Il faut importer soi-même les images car l'importateur se contente de faire un lien vers l'existant. De même, les légendes sont importées avec leur style CSS qui, du coup, fait partie de la nouvelle légence (genre « [caption id="attachment_36' class="aligncenter" width="300" caption="ma légende"] ». Pour corriger les légendes, il faudra forcément utiliser des regex look-behind. Pour l'import des images, c'est tout à la mimine. Dans mon cas, on parle d'environ 300 images, hein ;
    
    
  • Tous les liens sur des images (afin de les voir en grand) sont en http uniquement et sont des liens absolus… C'est comme cela que WordPress les stocke. Sur mon blog, j'ai un plugin pour réécrire les liens en https quand l'utilisateur se ramène en https : Content over SSL. Avec Pelican, j'imagine qu'il doit y avoir une syntaxe Apache pour arriver au même résultat ;
    
    
  • De la même manière, il faut corriger les liens internes genre ceux qui pointent vers wp-content/uploads puisque ce dossier a vocation à disparaître après la migration ;
    
    
  • Pelican ne supporte pas le multi-catégories : chaque article a une seule catégorie et des tags. Voir https://github.com/getpelican/pelican/issues/350 . Du coup, l'importateur fusionne toutes les catégories d'un même article en une seule genre un article dans les catégories nommées « divers » et « humeur » se retrouve dans une catégorie nommée « divers-humeur ». Forcément, cela fait exploser le nombre de catégories et ruine l'effet même des catégories puisque chaque article se retrouve dans une catégorie au lieu d'une union de catégories.
    
    
  • Sur mon WordPress, pour mettre en valeur les bouts de code et les commandes et pour faire de la coloration syntaxique, j'utilise l'extension wp-syntax. Sauf que cette extension prend un temps colossal à parser dynamiquement les articles. Du coup, pour chaque nouveau billet, je copie le code html qu'elle génère (« <div class="wp_syntax"><pre lang="langage">mon merveilleux code ici</pre></div> ») directement dans le billet puis je désactive l'extension. Forcément, ça ne marche plus suite à l'importation : le code est isolé dans le markdown. Il faut jouer avec des regex (et des regex capturantes) pour corriger tout ça et positionner les délimiteurs attendus ( voir http://docs.getpelican.com/en/3.6.3/content.html#syntax-highlighting ). Bref, y'a de quoi bien se prendre la tête. :S
    
    
  • Sans compter d'autres mauvaises surprises. Relire 138 articles dont la plupart sont des pavés, ça prendra forcément beaucoup de temps.

Vu tous ces points, on se rend compte que la migration depuis WordPress va nécessiter beaucoup de travail, notamment l'import depuis WP, la personnalisation du thème et l'installation d'un moteur de recherche. Une mise à jour de WordPress me prend 5 minutes montre en main (+ 5 minutes supplémentaires le temps de basher WordPress sur IRC :P ). Une faille de sécurité WordPress est tombée en moyenne tous les 2 mois sur la dernière année. Il me faut donc 5 minutes tous les 2 mois soit 30 minutes par an. La question devient donc : combien de mises à jour de WordPress faudrait-il avant que le passage à Pelican soit rentabilisé ? On sent bien qu'on est sur plusieurs années d'équivalence.

Notes diverses sur Pelican

• ÉDIT DU 25/09/2016 À 21H10 : y'a un article sympa sur Pelican dans GNU/Linux magazine France numéro 184. FIN DE L'ÉDIT.
  
  
• Avec jessie-backports, l'installation se résume à : apt-get installl python-ps4 python-lxml pandoc pelican
  
  
• Importer depuis Wordpress au format markdown :
  • Dans l'interface d'admin WordPress : « Outils » -> « Exporter », laisser cocher « Tout le contenu » -> « Télécharger le fichier d'export ». Source : http://marieguillaumet.com/exporter-et-importer-wordpress-quelques-astuces/
    
    
  • pelican-quickstart puis cd dans le dossier de votre nouveau blog puis pelican-import --wpfile ../export.xml -m markdown -o content [--dir-page --dir-cat] . Attention : si votre blog contient de bon gros pavés, il faudra pas mal de RAM pour effectuer la conversion. Genre 512M de RAM ne suffisent pas pour convertir mon blog, pandoc se fait tuer par l'OOM-killer de Linux.
    
    
  • make html pour générer localement votre blog. make serve pour lancer un serveur web minimaliste local et accéder à votre blog via localhost:8000 . Il est tout à fait possible de make html pendant qu'un make serve est en cours de fonctionnement.
    
    
  • pelicanconf.py : définir les paramètres à utiliser pour générer la copie locale, votre site web de dev'. publishconf.py : la même mais pour le site web de prod'.

En résumé, j'ai creusé (un peu) le monde des générateurs de sites web statiques et j'ai approfondi Pelican. Mais, je ne migrerai pas mon blog existant car cela représente trop de travail pour assurer la qualité de l'import.

Héhé :)

Jeter un disque défaillant ? Nan jeter toute la machine. Nan, jeter toute la baie. Nan, remplacer toute la salle. Nan, tout le datacenter.

Suite à mon essai de GNU IceCat, j'ai encore découvert des paramètres pas cool dans Firefox.

• extensions.blocklist.enabled => false

  Enable the blocklist. Retrieve the list from the server specified in extensions.blocklist.url at the interval specified in extensions.blocklist.interval. If blocklisted extensions or plugins are already installed, disable them, and prevent blocklisted extensions from being installed in the future.
  ( http://kb.mozillazine.org/Extensions.blocklist.enabled )

• layout.spellcheckDefault => 2

  Enable spellchecker for multi-line controls and single-line controls. (Default in Camino)
  ( http://kb.mozillazine.org/Layout.spellcheckDefault )

• dom.battery.enabled => false
• device.sensors.enabled => false
• camera.control.face_detection.enabled => false
  => bon, ça parle tout seul.

• media.gmp-manager.url => http://127.0.0.1/
• media.gmp-manager.url.override => "data:text/plain,"
• media.gmp-provider.enabled => false

  GMP is a special purpose extension point for authorised 3rd party codecs and EME (Encrypted Media Extensions) CDMs (Content Decryption Modules).
  ( https://wiki.mozilla.org/GeckoMediaPlugins )

• browser.selfsupport.url => ""
  => Permet d'évaluer Firefox. La notification apparaît que pour une poignée d'utilisateurs mais Firefox (pour avoir simplement un échantillon) se connecte bien régulièrement chez Mozilla (pour savoir s'il fait partie du lot qui doit afficher la notification, j'imagine). Voir https://support.mozilla.org/fr/kb/rate-your-firefox-experience-heartbeat

• browser.newtabpage.directory.source => "");
• browser.newtabpage.directory.ping => ""
• browser.newtabpage.introShown => true
  => Ça, c'est pour le très controversé ajout de pub lors de l'ouverture d'un nouvel onglet. Bon, a priorio, ça ne me concerne pas vu que j'ai configuré browser.newtab.url -> about:blank , mais bon.

• social.directories" => ""
• social.remote-install.enabled => false
• social.share.activationPanelEnabled => false
• social.shareDirectory => ""
• social.toast-notifications.enabled => false
• social.whitelist => ""
  => Ça, c'est pour virer ce qu'il reste de l'API Social de Firefox…

On peut aussi empêcher la mise à jour automatique des moteurs de recherche mais je ne l'ai pas fait :

• browser.search.update => false

J'ai mis à jour mon shaarli sur ma configuration Firefox.

Il est déjà assez pénible de voir le terme systématiquement renvoyé à la cybercriminalité pour ne pas devoir, en prime, faire la chasse aux fantasmes agités à tout propos.

«Fausse alerte terroriste à Paris : un hacker de 16 ans interpellé», «Une Tesla piratée à distance par des hackers chinois», «Internet en Corée du Nord : des hackers dressent l’inventaire». On n’en a choisi que trois, mais des titres d’articles du même tonneau, ces derniers jours, il y en a eu des dizaines sur le Web. [...]

Or, de quoi parle-t-on ici ? Dans le premier cas, d’un irresponsable canular téléphonique qui, pour spectaculaires qu’aient été ses résultats, ne nécessite pas de compétences poussées – que l’adolescent arrêté se présente comme un hacker ne fait pas du délit dont il est accusé une prouesse technique. Dans le second cas, d’une faille découverte par les chercheurs d’un laboratoire chinois en cybersécurité. Enfin, dans le troisième, d’un changement de configuration (possiblement par erreur) sur le serveur de noms de domaine de la Corée du Nord, changement qui a rendu accessible la liste de ces derniers et a été repéré, notamment, par un chercheur en sécurité informatique. Avec pour résultat d’offrir un accès inédit à la partie du Web la plus fermée au monde (et manifestement pas la plus florissante).

On pourrait rappeler que pour les communautés hackers elles-mêmes, le terme renvoie d’abord à une façon d’appréhender la technologie : la comprendre, la bidouiller, la détourner, résumait Wikipédia il y a quelques années. Que le hacking – une culture, des pratiques – ne saurait donc se réduire au piratage informatique, même si ce dernier en est la dimension la plus médiatisée. [...] On pourrait même convoquer le Comité invisible qui, dans A nos amis, écrit : «Là où l’ingénieur vient capturer tout ce qui fonctionne pour que tout fonctionne mieux, pour le mettre au service du système, le hacker se demande "comment ça marche ?" pour en trouver les failles, mais aussi pour inventer d’autres usages, pour expérimenter.»

A défaut de réussir à appréhender dans sa complexité le terme «hacker», du moins devrait-il être possible de ne pas le mettre à toutes les sauces. Il est certes plus vendeur de titrer sur le piratage d'une Tesla par de mystérieux «hackers chinois», avec toute l'imagerie que l'expression peut véhiculer, plutôt que sur la découverte d'une faille par des chercheurs en cybersécurité. [...]

Via https://twitter.com/bearstech/status/778876525554860032 via https://twitter.com/bluetouff