5964 links

  • GuiGui's Show

  • Home
  • Login
  • RSS Feed
  • Tag cloud
  • Picture wall
  • Daily
Links per page: 20 50 100
◄Older
page 209 / 299
Newer►

  • Assemblée nationale - Pouvoirs publics : application de la loi relative à l’état d’urgence

    L'état d'urgence a été reconduit jusqu'au 26 mai 2016, ce n'est pas un scoop mais je me note ça ici.

    Le scrutin au Sénat : http://www.senat.fr/scrutin-public/2015/scr2015-144.html => 343 suffrages exprimés, 315 pour, 28 contre

    Le scrutin à l'Assemblée : http://www2.assemblee-nationale.fr/scrutins/detail/%28legislature%29/14/%28num%29/1238 => 243 suffrages exprimés, 212 pour, 31 contre

    Il n'y a pas que le gouvernement qui est derrière cette prolongation. C'est cool, les dérives peuvent continuer grâce à tout ce beau monde : 2763 perquisitions pour 63 peines prononcées (source : http://www2.assemblee-nationale.fr/14/commissions-permanentes/commission-des-lois/controle-parlementaire-de-l-etat-d-urgence/controle-parlementaire-de-l-etat-d-urgence/donnees-de-synthese/suivi-judiciaire-des-mesures-prises-pendant-l-etat-d-urgence ) , c'est proportionné ?! Quand on arrive à seulement 4 procédures anti-terroristes (dont 3 enquêtes préliminaires auxquelles il n'y aura peut-être jamais de suite) parmi toutes les infractions constatées (source : http://abonnes.lemonde.fr/les-decodeurs/article/2016/01/08/quand-francois-hollande-gonfle-le-nombre-de-procedures-antiterroristes_4844246_4355770.html ) parmi toutes les actions engagées, on n'est d'accord que les ~ 500 infractions constatées n'ont rien à voir avec le terrorisme ? Et on estime que c'est adapté à la finalité ?! De qui se moque-t-on ?! Depuis quand un bazooka est adapté à la chasse au moustique ?! Voir aussi https://www.nextinpact.com/news/98015-etat-d-urgence-3-021-perquisitions-381-assignations-4-procedures-pour-terrorisme.htm
    Mon Mar 7 13:17:50 2016 - permalink -
    - http://www.assemblee-nationale.fr/14/dossiers/prorogation_application_loi_55-385.asp
    nomarkdown

  • tunnel blocking irc ports. - Johndescs's mini-recording

    « J'ai voulu me connecter à IRC en IPv6 via un tunnel HE (https://tunnelbroker.net/). Hé bah non. Filtré.

    Sur le forum ci-lié on lit : "I realized that I have to go through all the certifications to enable IRC ports."

    En testant au pif avec telnet on trouve qu'on n'a pas de connexion refusée sur 6660-6670 inclus et 6697 mais bien aucune réponse, donc du drop. Nmap confirme [...]

    Pour vérifier que c'est pas sur le retour le filtrage mais bien à l'aller »

    Oki donc du filtrage d'IRC en sortie des tunnels 6in4 HE (souscripteur->HE) . :( Sans doute pour éviter la constitution de botnets avec un C&C IRC IPv6.
    Mon Mar 7 02:06:56 2016 - permalink -
    - http://home.michalon.eu/shaarli/?6ez97g
    nomarkdown

  • Inventeur du mail et de l'@, Ray Tomlinson ne répond plus - Libération

    « Ray Tomlinson est mort samedi 5 mars d’une crise cardiaque à l’âge de 74 ans. C’est en 1971 que cet ingénieur informaticien, qui n’était pas satisfait du protocole de communication utilisé jusqu’alors sur Arpanet, décide de faciliter l’envoi de courriers électroniques sur ce réseau précurseur d’Internet réservé aux scientifiques et aux militaires américains. Tomlinson écrit alors deux programmes: le premier, nommé SNDMSG, sert à envoyer des messages et le second, Readmail, a pour fonction de récolter et de lire ces messages que les utilisateurs d’Arpanet appellent déjà «mails».

    Mais il n’en reste pas là: pour identifier l’émetteur et le récepteur du mail, il a l’idée d’utiliser le vieux symbole d’imprimerie @, l’arobase déjà utilisé sur les machines à écrire américaines qui signifie «at» en anglais. «J’étais en train de regarder mon clavier en me demandant "qu’est-ce que je vais bien pouvoir choisir là-dessus qui ne soit pas une lettre pouvant se confondre avec le nom de l’utilisateur ?"[…] Le signe @ est ce qui faisait le plus sens car les utilisateurs étaient forcément à une adresse "at"», racontera-t-il plus tard au magazine Wired.

    Premier message: «QWERTUYOP» »

    Via https://twitter.com/bearstech/status/706604503575953408 retweeté par Bluetouff.
    Mon Mar 7 02:03:14 2016 - permalink -
    - http://www.liberation.fr/futurs/2016/03/06/inventeur-du-mail-et-de-l-ray-tomlinson-ne-repond-plus_1437857
    nomarkdown

  • La France décore le prince héritier d’Arabie saoudite de la Légion d’honneur

    « La décoration s’est faite dans la discrétion. François Hollande a remis, vendredi 4 mars, la Légion d’honneur au prince héritier d’Arabie saoudite, Mohammed Ben Nayef, également ministre de l’intérieur, reçu à l’Elysée. Cette visite, inscrite à l’agenda présidentiel, n’avait fait l’objet d’aucune communication de l’Elysée. Elle a été confirmée dimanche à l’Agence France-Presse (AFP).

    [...]

    Le prince héritier a reçu cette décoration « au titre de personnalité étrangère, une pratique protocolaire courante », a souligné l’entourage de François Hollande à l’AFP. Le président de la République avait lui-même été « décoré de l’ordre suprême du Royaume » lors d’une de ses visites en Arabie saoudite.

    [ NDLR : bizarrement, le son de cloche est différent du côté de l'Arabie Saoudite : « Après cela, le président français a remis à son altesse la médaille de l’ordre national de la Légion d’honneur qui est la plus haute distinction française pour tous ses efforts dans la région et dans le monde dans la lutte contre le terrorisme et l'extremisme. ». Source : http://www.spa.gov.sa/viewstory.php?lang=fr&newsid=1474085 . ÉDIT DU 05/04/2016 À 17h45 : ça serait même à la demande du prince lui-même, en fait, car il souhaitait renforcer sa stature internationale. Source : http://www.20minutes.fr/politique/1804195-20160311-legion-honneur-prince-heritier-arabie-saoudite-decore-demande FIN DE L'ÉDIT ]

    [...]

    La France entretient des relations très suivies avec l’Arabie saoudite, avec lequel la France a conclu d’importants contrats d’armement et qui est allié important en Syrie dans la lutte contre l’organisation djihadiste Etat islamique (EI).

    [...]

    Le 2 janvier, 47 personnes avaient été mises à mort en une seule journée pour « terrorisme » dans le royaume, notamment le dignitaire et opposant chiite saoudien Nimr Al-Nimr, dont l’exécution a provoqué une crise diplomatique entre Riyad et Téhéran.

    [...]

    En 2015, 153 personnes ont été exécutées en Arabie saoudite, selon un décompte s’appuyant sur des chiffres officiels, un niveau inégalé depuis vingt ans dans ce royaume ultraconservateur régi par une interprétation rigoriste de la loi islamique. Les autorités invoquent la dissuasion pour justifier la peine de mort dans des affaires de terrorisme, de meurtre, viol, vol à main armée et trafic de drogue. »


    La médaille de l'ordre national de la Légion d'honneur pour le prince héritier de l'Arabie Saoudite, ce royaume défenseur des Droits et Libertés des Humaine-s ! Ha mais c'est pour récompenser le fric et le combat sanglant contre Daesh donc c'est bon, ça autorise tout, suis-je bête !

    Via https://twitter.com/bortzmeyer/status/706056634154553345 mais j'attendais que d'autres sources confirment.
    Mon Mar 7 01:49:33 2016 - permalink -
    - http://www.lemonde.fr/proche-orient/article/2016/03/06/la-france-decore-le-prince-heritier-d-arabie-saoudite-de-la-legion-d-honneur_4877454_3218.html
    nomarkdown

  • Mail aux député-e-s concernant le projet de loi renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l'efficacité et les garanties de la procédure pénale

    Pour les infos / mon avis sur ce projet de loi de réforme pénale, voir http://shaarli.guiguishow.info/?T5KPjw

    Pour le mail que j'ai envoyé à mes député-e-s de circonscription, voici :
    « Demain, mardi 8 mars, vous aurez normalement à voter sur l'ensemble du projet de loi renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l’efficacité et les garanties de la procédure pénale.

    Je vous demande de *rejeter* ce texte. Quoi qu'en dise le gouvernement, des mesures prisent et/ou utilisées durant l'état d'urgence entrent dans la loi ordinaire et c'est inacceptable.

    Mes principaux arguments (non ordonnés) :
        * Je refuse que les *perquisitions de nuit des habitations et des techniques de renseignement* (IMSI catcher, sonorisation et fixation d'images, captations de données informatiques,...) deviennent accessibles aux Magistrat-e-s du parquet qui n'ont *aucune garantie d'indépendance* vis-à-vis du Ministère de la Justice. On est donc dans la continuité de ce que permet la loi Renseignement aux services de renseignement et ce que permet l'état d'urgence aux différents Ministères. On rappellera que l'état d'urgence, dont font partie les perquisitions administratives, a permis l'ouverture de seulement quatre procédures anti-terrorisme (dont 3 enquêtes préliminaires), ce qui confirme la *disproportion de l'action engagée* ! Ça ne sera pas différent après l'entrée de ce texte dans notre législation.

        * Je refuse d'autant plus les perquisitions de nuit et l'usage des techniques de renseignement qui sont *intrusives* et parfois *massives* (IMSI catchers) car il s'agit d'une *banalisation de leur usage hors de tout contrôle* (le juge des libertés et de la détention a que trop rarement connaissance de l'ensemble du dossier quand il doit trancher), uniquement basé sur de la *suspicion d'apologie au terrorisme / comportements estimé terroriste*, motif flou s'il en est ! Nous devenons une *société paranoïaque* !

        * Je refuse la *retenue administrative* dans le cadre d'un contrôle d'identité. Toute privation de liberté d'aller et venir doit se faire par le *mécanisme plus contraignant de la garde à vue* !

        * Je refuse *l'alourdissement des peines pour les constructeurs de moyens de cryptologie* qui refuseraient de communiquer les données chiffrées et les clés. Rien qui est public ne permet d'affirmer que les attentats du 13 novembre ont été coordonnés via des communications chiffrées. En revanche, on a des éléments qui montrent qu'un *SMS en clair semble avoir servi à la coordination des attentats de novembre dernier* [1] c'est donc un *non-sens et le signe d'une guerre contre la vie privée et les citoyen-ne-s.*

        * Je refuse *l'élargissement de la fouille préventive aux sacs et bagages* pour peu que celle-ci ait été autorisée par un-e Procureur. Ces fouilles sont *illégitimes* et correspondent à une *logique erronée* (on est suspect de rien, juste présent dans un lieu donné) tout autant que les contrôles d'identité placés sous le même régime. Des études[2] ont démontré que les contrôles d'identité présentent un caractère discriminant (contrôle au faciès) ! Stop aux autorisations générales qui *permettent toutes les dérives* !

        * Je refuse les *caméras-piétons tant qu'un cadre légal plus clair et plus fort* n'est pas défini. Les propos en séance de la rapporteure C. Capdevielle sont éloquents sur l'absence d'un tel cadre : « « La généralisation posera de nombreuses questions de droit et il est probable que des évolutions auront lieu en application de la jurisprudence »...

        * Je refuse que le *Ministère de la Justice dont l'administration pénitencière fasse partie des services de renseignement* et que cette dernière puisse donc utiliser les techniques de renseignement prévues par la loi sur le Renseignement de mi-2015. N'avions-nous pas dit, à l'époque, que la liste des services serait élargie plus tard ? Ça commence.

    Cordialement

    Références :
    [1] https://www.mediapart.fr/journal/france/171115/le-sms-dun-kamikaze-du-bataclan-est-au-coeur-de-lenquete
    [2] http://www.cnrs.fr/inshs/recherche/docs-actualites/rapport-facies.pdf »
    Mon Mar 7 01:44:05 2016 - permalink -
    - http://shaarli.guiguishow.info/?KnOtag
    nomarkdown

  • Assemblée nationale - Police et sécurité : lutte contre le crime organisé, le terrorisme et leur financement

    Le projet de loi de réforme pénale, de son vrai nom « projet de loi renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l’efficacité et les garanties de la procédure pénale » est en lecture accélérée dans notre Parlement français. Le scrutin public sur l'ensemble du texte aura lieu mardi 8 mars (après-demain quoi) à partir de 15h. Nous sommes en procédure accélérée.

    Et comme d'hab', ça sent mauvais :
        * Perquisitions de nuit élargies à la simple suspicion de "terrorisme" (apologie du terrorisme, intuition vis-à-vis du comportement d'une personne) dans le cadre d'enquêtes préliminaires et d'informations judiciaires qui sont donc placées sous la direction d'un Magistrat du parquet... qui n'a pas le statut d'indépendance du juge d'instruction... Banalisation de ce que l'on a connu sous l'état d'urgence, toujours sans contrôle (le juge des libertés, que ce projet de loi propose d'interroger n'a pas souvent connaissance de l'intégralité du dossier/contexte avant décider d'autoriser ou non ) ;

        * Autorisation d'utilisation de certaines techniques de renseignement (oui, celles qui viennent de la loi sur le Renseignement de mi-2015) comme les IMSI catcher (fausse antenne de téléphonie mobile qui scrute toute une zone géographique et collecte les informations comme qui est dans la zone, numéro appelant/appelé,...), la sonorisation et la fixation d'images (aussi dans les lieux privés), la captation de données (mais avec les termes flous du projet de loi, on a affaire à de vraies perquisitions, en réalité). Problème ? Certaines techniques étaient déjà utilisables par la justice comme la sonorisation et la fixation d'images mais uniquement par le juge d'instruction, pas par le procureur et autres Magistrats du parquet qui ne bénéficient pas d'une indépendance vis-à-vis du Ministère de la Justice. La captation était limitée à ce que le suspect affichait sur son écran, il n'était pas permis aux policiers d'aller voir autre chose. C'est désormais chose possible. À ces griefs on ajoute : banalisation des techniques de renseignement déjà contestée. On ajoute aussi : IMSI = collecte massive = surveillance de masse d'une zone géographique donnée et donc quid du secret professionnel et du secret des sources, entre autres ? Un dealer dans un quartier et pouf la surveillance de tous les habitants du coin... Notons qu'il n'y a pas de saisie des correspondances privées à la source (hébergeur ou FSI) mais on y a échappé de peu (amendement déposé mais rejeté).

        * Un autre truc flippant, c'est la retenue administrative dans le cadre d'un contrôle d'identité. En effet, si vous prouvez votre identité, on ne peut pas vous retenir sauf à vous placer en garde à vue ce qui nécessite des raisons plausibles de soupçonner que vous avez commis une infraction (ou que vous êtes sous un mandat d'arrêt). Cette retenue administrative permet de vous garder au poste si l'on vous soupçonne d'avoir des comportements terroristes ou des relations non fortuites avec des personnes au comportement estimé terroriste. Malin, hein ?

        * Actuellement, la loi permet déjà de contrôler préventivement les identités et de fouiller les véhicules de personnes se trouvant dans un espace géographique donné pour une durée de temps déterminé pour peu que tout ça ait été ordonné par un procureur non pas parce qu'il pense que les personnes dans la zone sont suspectes mais pour rechercher d'éventuelles infractions (terrorisme, vol, recel,...). C'est déjà inquiétant (le véhicule ne devrait-il pas être considéré comme un prolongement d'une habitation ?) mais ce projet de loi propose que la fouille des sacs et bagages suive ce même régime. On n'est pas suspect, juste les autorités recherche des infractions et ça permet de justifier un contrôle d'identité, une fouille des véhicules et des sacs/bagages. Super, non ? Des études ont démontré que les contrôles d'identité sont déjà faits au faciès et sont donc basés sur de la discrimination (voir http://www.cnrs.fr/inshs/recherche/docs-actualites/rapport-facies.pdf ) ! Mais continuons !

        * Le Ministère de la Justice et donc l'administration pénitencière seront parties des services de renseignement et pourront donc utiliser... les techniques de renseignements prévues par la loi sur le Renseignement de mi-2015. Elle est pas belle la vie ? N'avions-nous pas dit, à l'époque, que la liste des services serait élargie plus tard ? On remarquera que ce qui n'était pas envisageable pour les député-e-s en 2015 le devient en 2016.

        * D'un point de vue informatique et communications, nos chers députés ont été plus loin que le gouvernement puisqu'un article 4 quater renforce les sanctions contre les personnes (physiques et morales) qui refusent de répondre aux sollicitations des procureurs ou des policiers alors que ces dernières personnes pensent que les premières disposent d'infos pour faire avancer l'enquête. Les deux articles renforcés n'ont jamais été utilisés mais il faut bien brasser du vent et faire croire qu'on lutte contre le terrorisme. Dans ces mêmes articles, on ajoute une sanction (5 ans et 350 000 €) pour les constructeurs de moyens de cryptologie dont le décryptage est nécessaire à une enquête anti-terrorisme qui refuseraient de communiquer les données chiffrées et la clé. On alourdit donc les peines prévues par l'article L245-2 du Code de la sécurité intérieure qui sanctionnent le refus de donner « des clés cryptographiques ainsi que de tout moyen logiciel ou de toute autre information permettant la mise au clair de ces données » (R244-3 du Code de la sécurité intérieure). Refus défini dans l'article L244-1 du Code de la sécurité intérieure. La même chose s'applique si la requête vient des agents du renseignement mais avec un délai de 72h (article L871-1 du Code de la sécurité intérieure).

        * Pour les personnes qui reviennent de l'étranger (pays à risque terrorisme, baratin habituel) et dont on pense qu'ils pourraient porter atteinte à la sécurité publique, on instaure une assignation à domicile administrative et une communication des identifiants (reste à savoir si ça englobe le mot de passe ou non) de tout moyen de communication électronique (même si la personne en change ;) ). Pas de juge judiciaire ici. Je rappelle que dans un état de droit, seul le pouvoir judiciaire peut priver de liberté. ;) Mais privons de libertés des innocents et des manifestants pour des causes nobles, ça ne les rendra pas plus défiance face à l'État. :))))

        * L'apparition de caméras individuelles, portées par les policiers et les gendarmes peut être une bonne chose. La non-activation systématique en est clairement une. Les personnes concernées par une intervention peuvent demander l'enregistrement : bien mais rien ne dit 1) que l'agent le fera -> comment le forcer ? -> quelle preuve ai-je de lui avoir demandé ? 2) qu'il n'y ait pas eu une hausse de la tension avant que l'enregistrement débute (l'enregistrement servirait uniquement à apaiser la tension, pas à résoudre l'incident avec l'agent). Les motifs pour commencer à enregistrer à l'initiative de l'agent me semblent bien flous aussi : « lorsqu’un incident se produit ou, eu égard aux circonstances de l’intervention ou au comportement des personnes concernées, est susceptible de se produire ». Dernier point : « La rapporteure a reconnu que les parlementaires soulevaient là « une question importante », tout en arguant qu’en l’état, la délivrance d’un tel document n’était « pas prévue ». « La généralisation posera de nombreuses questions de droit et il est probable que des évolutions auront lieu en application de la jurisprudence » a-t-elle soutenu ». Bref, les caméras individuelles débarquent sans cadre légal. J-O-I-E.

        * Les parties pourtant sur le renforcement des dispositions autorisant des détentions d'armes et ajoutant un nouveau motif de légitime défense sont bien corsées aussi. Je suis loin d'être un fana des armes, je préfère le dialogue mais, je me souviens aussi de cet extrait de notre Constitution « Le but de toute association politique est la conservation des droits naturels et imprescriptibles de l'Homme. Ces droits sont la liberté, la propriété, la sûreté, et la résistance à l'oppression.». Et je me dis qu'un gouvernement qui cherche à désarmer quand la grogne monte, ce n'est pas forcément sain... Je trouve que c'est signe d'un malaise : à la fois on désarme pour rendre les révoltes sanglantes (quand il ne reste plus que ça...) plus compliquées et pour tenter encore de convaincre l'opinion publique qu'on s'active sur la question du terrorisme. Une clause de plus permettant d'invoquer la légitime défense rendra plus complexe la décision des agents de faire usage de leur arme ou non (sous la pression, t'as pas le temps de dérouler un algo composé de « et » et de « ou » à rallonge) voire leur donnera une liberté supplémentaire pour ouvrir le feu... Je suis donc très sceptique.

        * Enfin, et parce qu'il faut bien rire, je vous propose la lecture de l'exposé des motifs de l'article 13 : « L’article 13 règlemente les cartes prépayées, afin de prévoir leur plafonnement et d’éviter qu’elles ne fassent l’objet d’utilisations abusives permettant la réalisation de transactions financières indétectables dans le cadre de la criminalité organisée ou du terrorisme. ». Si toi aussi tu finances le terrorisme avec des cartes prépayées, tape dans tes mains. Sérieusement, faut arrêter de nous prendre pour des abrutis crédules...

    L'ennui, c'est que ce projet de loi passera pour la simple raison qu'il comporte aussi tout un volet d'harmonisation avec la législation européenne.


    On a encore échappé à une tripotée d'idées de merde (ou de trolls pour focaliser le débat sur des non-thématiques pendant que des choses passent en douce) :
        * Géolocalisation par les opérateurs en dehors de l'acheminement du trafic et en dehors de réquisition judiciaire/administrative via un cheval de Troie : des SMS d'avertissements d'un danger (https://www.nextinpact.com/news/98887-les-operateurs-n-auront-pas-a-localiser-sms-d-avertissement-en-cas-d-attentats.htm

        * Forcer la participation des FAI, des FSI et de tout fabricant d'outils de télécommunication à coopérer aux enquêtes anti-terroristes avec une interdiction de vente sur le territoire national en sanction voire même à les considérer comme complice. Coopérer ça veut tout et rien dire comme fournir la copie en claire conservée dans le Cloud ou filer la clé de chiffrement ou un moyen de déchiffrement. On est en plein dans le débat Apple/FBI. On notera que le député Ciotti, qui a déposé l'amendement d'interdiction de vente semble utiliser lui-même un iPhone pour twitter. :)))) On n'est pas dans la lutte anti-terrorisme mais dans la lutte contre les citoyen-ne-s et la vie privée.

        * Interdire la consultation de contenus terroristes... Le cheval de bataille de Sarkozy pour faire son retour... Mais on ne se réjouit pas du tout puisque cette disposition est intégrée à la proposition de loi tendant à renforcer l'efficacité de la lutte antiterroriste.

        * Pérennisation du blocage de sites Internet faisant l'apologie du terrorisme par le Ministère de l'Intérieur, sans contrôle, permis par l'État d'urgence, lui-même déjà dérivé de la loi anti-terrorisme de 2014... Sauf que la loi anti-terrorisme de 2014 prévoit des délais et l'intervention d'une personnalité qualifiée désignée par la CNIL (voir http://www.nextinpact.com/news/98847-des-deputes-lr-veulent-perenniser-blocage-administratif-version-etat-d-urgence.htm ) mais ça semble déjà trop contraignant pour le Ministère et les député-e-s.


    Pour clore le troll sur le chiffrement :
        * https://www.mediapart.fr/journal/france/171115/le-sms-dun-kamikaze-du-bataclan-est-au-coeur-de-lenquete . Rien qui est public ne permet d'affirmer que les attentats du 13 novembre ont été coordonnés via des communications chiffrées. En revanche, on a des éléments qui montrent qu'un SMS en clair semble avoir servi à la coordination de l'attentat.

        * http://www.lexpress.fr/actualite/societe/justice/attentats-a-paris-salah-abdeslam-a-ete-controle-a-trois-reprises-en-france_1747528.html . Il faut sortir de l'informatique et constater que la faille reste humaine (et je n'ai rien contre ça, c'est normal, naturel,...). Les amendements anti-chiffrement n'y changeront rien et sont une mauvaise réponse.


    Sources pour écrire ce shaarli :
        * http://www.syndicat-magistrature.org/Questions-reponses-critiques-du-2443.html . Je vous en recommande vivement la lecture (avec le PDF joint, OFC) car c'est vraiment accessible et bien expliqué/détaillé.

        * https://wiki.laquadrature.net/Analyse_PJL_crime_organis%C3%A9

        * https://www.nextinpact.com/news/98620-ladministration-penitentiaire-en-passe-detre-service-renseignement.htm

        * http://www.numerama.com/politique/149560-le-gouvernement-veut-donner-au-juge-dinstruction-lacces-aux-mails-archives.html

        * http://www.numerama.com/politique/149590-loi-penale-chiffrement-blocage-de-sites-les-amendements-a-suivre.html

        * https://www.nextinpact.com/news/98848-reforme-penale-constructeurs-moyens-cryptologie-devront-cooperer.htm

        * Ma lecture de l'exposé des motifs du projet de loi :D
    Sun Mar 6 23:18:21 2016 - permalink -
    - http://www.assemblee-nationale.fr/14/dossiers/lutte_crime_organise_terrorisme.asp
    nomarkdown

  • La folie des stickers

    Je n'avais jamais vraiment vu l'intérêt de coller des stickers sur son laptop... Je me disais :
        * « Ouais, c'est cool mais mon ordi va tomber en panne un jour donc je vais perdre toute ma collection ». Solution : comme souvent en informatique, il suffit d'ajouter une indirection soit une feuille de plastique. On en trouve pour utiliser avec un rétroprojecteur ou pour imprimer des décorations pour fenêtre & co ou pour protéger les couvertures de livres. Dans mon cas, j'utilise une feuille de plastique rigide A3 transparente de récup' : on découpe la feuille aux dimensions du laptop, on colle les stickers dessus et on colle la feuille au laptop avec des pastilles autocollantes double face. Pour utiliser sur un nouvel ordi, il suffira de décoller la feuille et, en cas de résistance, de couper les pastilles autocollantes avec un cutter. Forcément, ça ne fonctionne pas si vous achetez un ordinateur plus petit que votre ordinateur actuel. Dans mon cas, je suis absolument sûr et certain de ne pas acheter plus petit que 15 pouces donc c'est réglé.
            La seule question qui reste en suspens, c'est de savoir si ça va résister à la force de frottement lors de l'insertion/retrait dans le sac de transport. Je ne parle pas des stickers, aucun doute qu'ils resteront collés, mais de la feuille elle-même. À voir... mais je n'ai pas de meilleure idée.

        * « Ouais, mais y'a des moments, il faut savoir ranger sa vie perso et lisser un peu ses convictions ». Je suis en désaccord avec cela : un travail sans éthique ne mérite pas d'être effectué. Il faut toujours affirmer ses convictions, en tous lieux. Par contre, ce qui peut être drôle, c'est de coller des autocollants provocateurs pour des occasions précises. Exemple : des autocollants de la CNT (confédération syndicale révolutionnaire et anarcho-syndicaliste) pour un entretien d'embauche pour voir l'humour de la potentielle future entreprise ou des stickers anarchistes lors d'une réunion municipale publique. La méthode de la plaque transparente du point précédent permet cette flexibilité (changer de plaque quasi à volonté).

        * « Ouais, mais je ne suis pas étudiant donc les lieux où je sors mon ordinateur portable, c'est déjà des milieux sensibilisés ». Sensibilisés, oui, mais à quoi ? On sait tous et toutes quelque chose de différent en fonction de nos intérêts. Dans un LUG, par exemple, tout le monde ne connaît pas Replicant, Blender ou XMPP ou la Quadrature du Net ou... et c'est bien normal.

        * « Ouais mais franchement, empiler x couches de stickers les uns sur les autres, ça n'a aucun intérêt ». T'es pas obligé de recouvrir tout ton ordi ni de faire en sorte que les stickers se recouvrent les uns et les autres. Par contre, t'auras un cruel dilemme à résoudre entre tous les messages que tu veux faire passer et la place disponible sur ton laptop. :D


    Je pense également que les stickers jouent plusieurs rôles :
        * Pub/prosélytisme : ils sont une occasion de mettre en avant des actions, des communautés, des choses qui sont rarement mises en avant malgré leurs qualités (OpenStreetMap, BIRD, Replicant, XMPP,...) ;

        * Moyen d'expression visuel tout comme le sont les tags sur des façades de bâtiments (et non, je ne parle pas des « NTM FDP »...) ;

        * Ils créent du lien social : quand on est nouveau dans une asso ou un rassemblement, on peut repérer facilement des sujets pour initier des conversations ;

        * Ils constituent une présentation de soi, les parties « compétences » et « divers/loisirs » d'un CV mises en image, en grosses mailles à savoir « qu'est-ce qui m'intéresse vraiment dans la vie ».


    Voici ce que ça donne sur mon laptop : http://www.guiguishow.info/wp-content/uploads/2016/03/stickers_laptop.jpg

    Pour info, il y a 3 catégories de stickers :
        * Ceux fait maison : OpenStreetMap (à partir de https://wiki.openstreetmap.org/wiki/File:Osm_free_and_open_map.png ) , Replicant (à partir du logo officiel et d'une phrase trouvée dans un visuel de conférence), « Soyons créatifs, [...] », BIRD (fait à partir du header de la page d'accueil du site web officiel http://bird.network.cz/) et IETF (à partir de https://www.ietf.org/images/ietflogotrans.gif). Pour une impression par petits lots, https://camaloon.fr/ fait le job pour pas trop cher.

        * Ceux achetés sur http://www.unixstickers.com/stickers : LaTeX, Debian, Tux, VLC, Hack. On peut aussi y trouver des stickers « GNU/Linux powered » ou « Vim inside » (pour remplacer les Intel inside et Windows powered) et des stickers pour masquer la touche winwin de votre clavier (un troll m'a collé un sticker GNU sur ma touche winwin :D ).

        * Ceux collectés un peu partout.

    Je retiendrai 2 choses :
        * Les stickers ronds sont une véritable plaie car ils sont difficiles à caser et ils occupent beaucoup d'espace problème de la quadrature du cercle spotted) ;

        * Raconter une histoire avec des stickers semble difficile. Exemple : moi je voulais encadrer la république panoptique française avec « PGP, TOR [...] », Nos oignons, Hack, Political memory, « Soyons créatifs [...] » et We make Internet qui sont autant de solutions que je vois pour résoudre ce problème et ne pas se faire avoir. L'ennui, c'est que l'espace est vraiment un facteur limitant. :(


    Bref, affichez-vous mais garde à ne pas devenir addict :)
    Sun Mar 6 17:41:36 2016 - permalink -
    - http://www.guiguishow.info/wp-content/uploads/2016/03/stickers_laptop.jpg
    nomarkdown

  • Lettre à ma banque suite à son absence de réponse concernant ma demande sur la marche à suivre pour désactiver la fonctionnalité sans contact de ma carte bancaire

    Fin octobre 2015, j'ai incisé ma carte bancaire afin de couper le circuit alimentant la puce NFC, ce qui permet de désactiver moi-même la fonctionnalité de paiement sans contact.

    Mes motifs ? Absence de sécurité démontrée (voir http://2012.hackitoergosum.org/blog/wp-content/uploads/2012/04/HES-2012-rlifchitz-contactless-payments-insecurity.pdf ) + une possible captation passive de données personnelles qui préoccupe même la CNIL (voir https://www.cnil.fr/fr/securite-des-cartes-bancaires-sans-contact-quelles-sont-les-avancees-et-les-ameliorations-possibles ).

    Ce mois-là, j'ai également contacté la conseillère de ma banque, par courrier postal, afin de savoir ce que ma banque peut faire concernant la désactivation de cette fonctionnalité non désirée et indésirable à mon humble avis.

    Tout cela est relaté dans un autre shaarli : http://shaarli.guiguishow.info/?o1wmdg

    Nous sommes plus de 4 mois après et je n'ai pas reçu de réponse, bien évidemment. Cela démontre une fois de plus qu'il ne faut jamais rien attendre d'une société commerciale et faire les choses soi-même.

    Je viens donc d'envoyer un autre courrier postal afin de rappeler mes doutes, de rappeler la position de la Banque de France et d'indiquer que j'ai désactivé moi-même la fonctionnalité NFC. L'idée est de faire remarquer que la banque ne m'a pas répondu (pas top pour l'image), que je n'ai cependant pas besoin d'elle et que je ne lâche pas l'affaire : mes doutes sur la fonctionnalité sans contact sont fondés.

    Voici le contenu de mon courrier pour ceux et celles que ça peut inspirer :
    « Madame,

    Par un courrier du 31 octobre 2015, soit il y a plus de 4 mois, je vous interrogeais sur la procédure à suivre afin de désactiver/résilier sans frais le service de paiement sans contact de ma carte bancaire actuelle sans résilier intégralement mon service carte bancaire.

    Mes arguments portaient sur une *absence de sécurité démontrée* ainsi que sur une *possible captation passive de données personnelles* qui préoccupe même la Commission nationale de l'informatique et des libertés[1]. Notez bien que *je ne parle pas de fraudes*.

    Depuis, j'ai pris connaissance que les émetteurs de cartes bancaires ont pris un *engagement auprès de la Banque de France* « concernant la possibilité de désactiver la fonction sans contact des cartes, soit en mettant des étuis de protection à la disposition des utilisateurs, soit en mettant en œuvre la désactivation à distance de la fonction sans contact, soit en permettant le remplacement, à la demande du porteur, d’une carte sans contact par une carte dépourvue de cette fonctionnalité. »[2]. Si même la Banque de France invite à rester vigilant et à constituer des stocks d'étuis anti-NFC, c'est une *affirmation de plus qu'il existe des doutes raisonnables* qu'il faut prendre en considération.

    *En l'absence de réponse de la <nom_banque>* à ma sollicitation d'octobre dernier, *j'ai procédé à la désactivation* mécanique et irrémédiable, par mes propres moyens, du circuit alimentant la puce de communication à champ proche. Ma carte bancaire est toujours fonctionnelle suite à cette incision.

    La <nom_banque> ne m'imposera ni l'usage ni la présence de la fonctionnalité de paiement sans contact.

    Cordialement.

    Références :
    [1] https://frama.link/x9PqTSz5
    [2] Coupure de presse en https://frama.link/rxRmxdqI et rapport annuel de l'Observatoire de la sécurité des cartes de paiement 2014 en https://frama.link/oscp-2014 »
    Sat Mar 5 01:10:21 2016 - permalink -
    - http://shaarli.guiguishow.info/?w0biyQ
    nomarkdown

  • Instagram fait barrage aux liens profonds vers Telegram et Snapchat - Next INpact

    « Instagram a désactivé les liens profonds vers les comptes Telegram et Snapchat des utilisateurs. Selon l’éditeur, il ne s’agit pas d’une vendetta personnelle, mais simplement de recadrer un service qui n’a jamais été prévu pour être utilisé de cette manière.

    [...]

    Cela étant, même si les sites classiques et les blogs sont autorisés, il en va de même pour les pages YouTube et les liens iTunes. Instagram se focaliserait donc sur les outils de communication capables de fédérer des communautés. »

    Ha les réseaux sociaux fermés, qui enferme leurs utilisateurs, c'est toujours aussi magnifique, de vrais réseaux d'asociaux. Au moins, on a le choix de ne pas les utiliser.
    Fri Mar 4 21:04:43 2016 - permalink -
    - https://www.nextinpact.com/news/98911-instagram-fait-barrage-aux-liens-profonds-vers-telegram-et-snapchat.htm
    nomarkdown

  • En pleine bataille avec le FBI, Amazon supprime le chiffrement de FireOS 5 - Next INpact

    « Dans l’affaire qui oppose Apple au FBI, Amazon a choisi de soutenir l’entreprise à la pomme. Elle fait partie de la trentaine de sociétés américaines qui épaulent leur congénère dans un affrontement qui se résume à savoir si le chiffrement peut perdurer dans son état actuel. Et pourtant, alors qu’elle estime visiblement que tel est bien le cas, Amazon a décidé de supprimer le chiffrement de son système d’exploitation mobile, FireOS 5. »

    Syndrome Nimby spotted (https://fr.wikipedia.org/wiki/Nimby) : tant que le FBI va toquer à la porte des autres, ça va mais il ne faudrait quand même pas qu'il vienne toquer à notre porte.

    Tout la communication autour de l'affaire FBI/Apple est uniquement une partie de poker menteur qui détourne l'attention des vraies problématiques : oui, Apple peut accéder aux données sans casser le chiffrement via son cloud (synchro activée par défaut). Fin de l'histoire, le ver est dans la pomme, il faut passer à la suite.

    Je me répète : C'est tout le jeu des GAFA depuis les révélations Snowden : rassurer le grand public (pour ne pas perdre d'audience et donc de chiffre d'affaires émanant de la publicité) avec des mesures de sécurité bidons qui sont seulement des illusions d'optique. Ne leur faîtes pas confiance ! Vos données persos, ça se stocke chez vous ou dans une asso locale sur une infrastructure en logiciel libre communautaire en utilisant du chiffrement dont vous seul avez la clé. Même chose lorsqu'il s'agit de les faire transiter : logiciel libre + communauté + chiffrement de bout en bout.
    Fri Mar 4 20:59:04 2016 - permalink -
    - https://www.nextinpact.com/news/98909-en-pleine-bataille-avec-fbi-amazon-supprime-chiffrement-fireos-5.htm
    nomarkdown

  • It’s 2016, so why is the world still falling for Office macro malware? | Ars Technica

    « The new era of macro-delivered infections poses challenges that didn't exist in the late 1990s. Back then, getting targets to open a poisoned Office document was usually enough to compromise their computer. Now that macros are disabled by default, the attacker has to create a ruse that convinces the mark to enable macros. A favorite ploy is to present a document with blurred, obscured, or misformed text, along with the promise that allowing a macro to run will cause that document to be displayed correctly. Judging from the success of Dridex and Locky, it appears the ruse works well. »

    Ha le social engineering, une ressource illimité.
    Fri Mar 4 20:33:21 2016 - permalink -
    - http://arstechnica.com/security/2016/03/its-2016-so-why-is-the-world-still-falling-for-office-macro-malware/
    nomarkdown

  • L'invisible (1/5) : L’invisibilité comme grille de lecture sociale

    Notes :
        * L'invisibilité / la visibilité que l'on peut aussi désigner comme étant la reconnaissance sociale versus le mépris offre une grille de lecture complémentaire à la lecture habituelle en lutte des classes / utilitarisme (c'est utile donc valorisé et ça va percer, en gros).

        * Invisible signifie qu'une problématique, un besoin n'est pas dans le prisme des politiques sociales, des stats, des rapports. Est-ce que le débat est arrivé sur la place publique ou non.

        * Cas très concret d'invisibilité négative : lors de l'explosion de l'usine AZF de Toulouse, l'hôpital psychiatrique situé à 150 mètres de l'usine et qui a été soufflé par l'explosion sera gommé des cartes géographiques et du débat dans la presse avant d'y entrer 3 semaines plus tard.

        * L'invisibilité peut aussi être un vecteur d'action sociale, un refuge ou une manière différente d'appréhender la vie sociale. Exemple d'invisibilité positive : le mouvement Anonymous qui veut faire transcender des idées plutôt que des personnalités dans ses combats. C'est aussi le cas des actions locales qui recréent de la solidarité, du lien social pour dépatouiller des invisibles sans avoir recours à l'État & co.

        * L'invisibilité est forcément une question de perception, de visibilité par les institutions établies.

        * Notre société a connu un changement de paradigme entre la fin des 30 glorieuses et aujourd'hui : le passage d'une vision des rapports sociaux orientée sur la compassion et l'assistance (exemples : RMI en 1988 ou la fracture sociale comme thème de la campagne présidentielle de 1995) à une émanation de l'idéologie néo-libérale selon laquelle l'individu, autonome et responsabilisé doit trouver seul son chemin et acquérir, par lui-même, les compétences pour s'en sortir par lui-même.

        * Ce changement de paradigme de société éclipse tout un tas de questions. Exemple : si le chômage devient structurel (robotisation), que fait-on des millions de personnes qui ne pourront alors jamais trouver un emploi ? La responsabilisation individuelle conduit à la stigmatisation qui explique, en partie, le non-recours à des droits sociaux (exemple : j'ai le droit à des prestations sociales mais je n'en profite pas volontairement pour pas me faire taxer d'assisté ni avouer un échec personnel). Elle empêche également de penser à une émancipation collective. Au bout du bout, l'individu ne voit plus l'intérêt de se faire représenter collectivement. On constate cela avec le très faible pourcentage de salariés syndiqués même parmi les ouvriers (classe dans laquelle les syndicats étaient très puissants) ou bien encore dans l'absence de participation au débat public de la part des citoyens.
    Fri Mar 4 06:03:08 2016 - permalink -
    - http://www.franceculture.fr/emissions/les-nouvelles-vagues/l-invisible-15-l-invisibilite-comme-grille-de-lecture-sociale
    nomarkdown

  • L'invisible (3/5) : L’infrastructure invisible du web

    « Aujourd’hui ce sont les câbles sous marins qui sont invisibles. Comment et par quels tuyaux courent les giga-octets d’information et de données, pour aller d’une machine à une autre, y compris quand elles sont séparées de plusieurs milliers de kilomètres ? »

    J'en profite pour rappeler que non, Internet, comme le téléphone mobile, ne fonctionne pas par satellite. Le satellite offre une latence trop élevée et celle-ci a une influence négative sur les algos de TCP et donc sur le débit. Ce n'est pas réaliste pour nos usages actuels. Pour le téléphone portable, c'est des antennes terrestres puis un réseau filaire qui acheminent les appels et les SMS.

    Notes concernant l'émission :
        * Sur les câbles sous-marins (qui sont en fibre optique et reposent donc sur de la transmission lumineuse), il y a des répéteurs (matériel passif pour regénérer le signal optique) tous les 80 kilomètres. :O

        * Ces mêmes câbles ne sont pas enfouis dans les océans compte-tenu des énormes profondeurs et de leur disparité. Ils sont enfouis aux abords des terres pour éviter les problèmes (ancres, bateaux,...).

        * Qui décide et qui finance ? Des communautés d'intérêt qui mutualisent les investissements colossaux (plusieurs millions d'euros, le plus gros câble de la carrière du représentant d'Orange a dépassé le milliard d'euros). Historiquement, c'était des opérateurs télécoms mais, de nos jours, on voit de plus en plus des fournisseurs de services prendre des participations dans les consortiums de fabrication+pose+entretien des câbles sous marins.

        * Les discussions dans ces consortiums sont vraiment nombreuses et intenses : discuter de chaque pays que le câble va desservir entre son pays de départ et son pays d'arrivée ; qui représentera la station d'atterrissement ? ; qui pourra louer le câble/segment de câble ? On est clairement dans de la géopolitique internationale puisque le passage du câble dans un pays peut être un facteur de développement économique et humain, par exemple.

        * Chaque pays veut un droit d'atterrissement afin d'avoir du pouvoir et des entrées d'argent. Exemple de Singapour (cité-État qui se veut être la porte de l'Asie) qui investit toujours très gros dans ces câbles afin d'être une plate-forme d'interconnexion de l'Asie et de pouvoir demander des droits d'interconnexion (une donnée arrive sur ce câble sous-marin et repart sur un autre...).

        * La surveillance de masse n'est pas nouvelle : dès le télégraphe, l'Angleterre et les USA surveillaient massivement les communications. Aujourd'hui, on sait écouter de la fibre optique sans la casser donc sans interruption de service donc de manière invisible (voir http://shaarli.guiguishow.info/?-4Cn-A puis http://shaarli.guiguishow.info/?-Q-AFw pour un cas d'usage concret par la DGSE documenté par la presse).

        * Protéger physiquement un réseau public (http://www.submarinecablemap.com) qui s'étend sur des milliers de kilomètres de l'espace public (océans, campagnes, trottoirs,...) afin que personne ne se branche dessus (service de renseignement, concurrent commercial,...) est juste impossible. C'est pour cela que le chiffrement de bout en bout et intégral de nos communications doit devenir la norme.

    Via https://shaarli.cafai.fr/?ZQzlvA
    Fri Mar 4 05:26:21 2016 - permalink -
    - http://www.franceculture.fr/emissions/les-nouvelles-vagues/l-invisible-35-l-infrastructure-invisible-du-web
    nomarkdown

  • #VNCFail : « vous reprendrez bien un peu de non sécurité ? »

    « La sécurité. Le mot-clef qui tourne en boucle actuellement sur les réseaux. Entre la mode des objets connectés, les affaires de chiffrement du FBI ou des attentats de novembre, les failles diverses et variées qui sont publiées chaque matin sinon chaque heure, ce n’est très clairement pas l’actualité qui va éteindre cette tendance.

    Histoire de rigoler un petit peu (et de me faire peur beaucoup), je me suis lancé un petit défi pour mesure l’état de la non sécurité ambiante : tester l’intégralité de la plage IPv4 à la recherche de systèmes VNC ouverts.

    [...]

    IPv4 compte 4 294 967 295 adresses. Le scan de cette plage entière sur le port 5900 (port par défaut de VNC) a pris 8h sur une ligne à 100Mbps (merci ZMap).

    [NDLR : en vrai, si l'on exclu les plages réservées (y comprend multicast et experimental) et les plages pas encore annoncées, il y a beaucoup moins d'adresses IPv4 que cela ].

    Le scan a relevé 5 184 227 ports ouverts sur cette plage, soit 0.12%. Ça peut sembler un faible pourcentage, mais je trouve la valeur absolue assez flippante. Autant de serveurs avec un VNC public, c’est juste totalement effroyable. Un admin sys censé devrait mettre un pare-feu devant et restreindre au maximum les IP pouvant s’y connecter. [...]

    Sur les VNC accessibles, 2 246 s’avèrent n’être protégés par aucun mot de passe, soit 0.043%. [...]

    [ NDLR : Dont 44 trucs mega critique (avec des vies humaines en jeu). ]

    Usine hydro-électrique, génératrice diesel, système d’aération, métro, silo, haut fourneau, système de production de bio-gaz ou d’eau potable… Tout y passe. Autant, les VNC d’avant, ça ne pouvait pas trop faire de dégat sinon la compromission de la machine en question, autant là on parle de systèmes qui peuvent conduire à des morts… Il se passe quoi si je coupe l’aération ? C’est un tunnel et j’asphyxie tous ses occupants ? Et si je change le taux de chloration de l’eau potable ? Ou si je ferme toutes les vannes d’un silo de bio-gaz ?
    Il va sans dire que j’ai contacté les responsables de ces systèmes pour ceux que j’ai pu identifier (trop peu…), ou contacté les CERT des pays concernés. Mais les vitesses de réaction sont très (trop) faibles, par exemple sur les 12 systèmes français signalés, 5 sont toujours accessibles 15 jours après le signalement…
    À noter aussi que la plupart de ces systèmes proviennent d’un seul et même fabriquant, qui semble mettre du VNC par défaut sur ses systèmes SCADA… »
    Fri Mar 4 03:11:59 2016 - permalink -
    - https://blog.imirhil.fr/2016/03/02/vncfail.html
    nomarkdown

  • Date Change for Migrating from SSL and Early TLS

    « The Payment Card Industry Security Standards Council (PCI SSC) is extending the migration completion date to 30 June 2018 for transitioning from SSL and TLS 1.0 to a secure version of TLS (currently v1.1 or higher).

    [...]

    In April 2015, after extensive marketplace feedback, PCI SSC removed SSL as an example of strong cryptography from the PCI Data Security Standard (PCI DSS) version 3.1, stating that it can no longer be used as a security control after 30 June 2016. During the implementation period of PCI DSS 3.1, PCI SSC continued to seek feedback from the market, and has now revised and updated sunset dates.

    The new date of June 2018 offers additional time to migrate to more secure protocols, but waiting is not recommended. »

    Haha ! PCI-DSS 3.1 disait "plus de SSL ni de TLS v1.0 après juin 2016" et finalement c'est reporté à juin 2018 ! Deux ans de plus ! Ça démontre à quel point on n'est pas prêt d'effectuer la transition. La sécurité, c'est comme IPv6 : c'est pour demain. :) On notera aussi que cette décision vient du monde du paiement par carte en ligne, à mettre en rapport avec la soi-disante sécurité des cartes de paiement sans contact. ;) À mettre aussi en rapport avec d'autres industries de collecte massive de données personnelles qui sont encore plus à la bourre. ;)

    Via https://twitter.com/aeris22/status/705338092740329472
    Fri Mar 4 02:04:37 2016 - permalink -
    - http://blog.pcisecuritystandards.org/migrating-from-ssl-and-early-tls
    nomarkdown

  • Blog Stéphane Bortzmeyer: Drown, et quelques remarques sur la sécurité

    « Aujourd'hui a été publiée la faille de sécurité Drown, touchant notamment la bibliothèque cryptographique OpenSSL. C'est l'occasion de se livrer à quelques réflexions sur Drown, TLS et la sécurité.

    [...]

    Pourtant, je suis étonné de constater que certaines choses n'ont pas été comprises. Par exemple bien des gens croient que, puisque leur serveur HTTPS n'accepte pas SSLv2, ils sont en sécurité. Rien n'est plus faux et c'est bien expliqué dans la FAQ de Drown : pour effectuer cette attaque, il suffit que le certificat du site visé (et donc la clé privée) soit disponible sur un autre site, qui, lui, accepte SSLv2. Et, c'est là un point qui m'a personnellement surpris, ce cas est assez fréquent. Comme le note l'article Drown, le modèle de financement des AC encourage à acheter le moins de certificats possibles, et donc à les utiliser sur plusieurs serveurs, ou bien sur le serveur de production et sur celui de développement.

    Prenons un exemple : le serveur du journal quotidien Ouest-France n'est apparemment pas vulnérable, il ne gère pas SSLv2 [...] Mais on trouve, sur un tout autre réseau, une machine 93.17.51.145 qui, elle, accepte SSLv2 et a le certificat *.ouest-france.fr (les certificats avec joker sont évidemment les plus vulnérables à Drown puisqu'on les achète justement pour les mettre sur plusieurs machines) [...] Le journal Ouest-France est hébergé par SDV et cette 93.17.51.145 est apparemment dans les locaux du journal. Machine de développement ? Serveur utilisé pour des applications internes ? En tout cas, contrairement au site Web public, cette machine ne semble pas avoir fait l'objet de tests de sécurité et, à elle seule, elle rend l'attaque Drown possible.

    [...]

    On voit d'ailleurs un effet négatif de la gamification popularisée, dans le monde HTTPS, par SSLlabs. Pendant que tout le monde s'amuse à obtenir la meilleure note possible pour s'en vanter sur les rézosocios (« j'ai un A sur SSLlabs alors que la banque Machin a uniquement un B, je suis trop un geek crypto-expert »), des machines comme ce pauvre serveur restent ignorés.

    Autre question posée par Drown, pourquoi est-ce qu'il y a autant de machines qui acceptent encore SSLv2 ? Il a été officiellement abandonné en 2011 par le RFC 6176. Et le RFC est sorti bien tard, tous les experts savaient depuis longtemps que SSLv2 était cassé sans espoir de réparation. Mais les mises à jour ne se font, sur l'Internet, qu'à un rythme glacial (voir nul). Le problème n'est pas technique, il vient du fait que les mises à jour ne rapportent rien, n'ont pas de retour sur investissement, et ne sont donc en général jamais faites. Tout le monde s'indigne lorsqu'une faille comme Drown est publiée mais, en temps normal, personne ne s'en préoccupe. La prévention est toujours le parent pauvre de la sécurité. L'opérationnel et la sécurité concrète n'intéressent personne.

    [...]

    Mais le danger exact de Drown n'est pas facile à évaluer. On est dans le cas classique en sécurité du verre que l'optimiste voit à moitié plein alors que le pessimiste le voit à moitié vide. L'optimiste va faire remarquer que l'exploitation effective de Drown est très difficile, dans les conditions du monde réel (en laboratoire, ça marche toujours mieux). Le pessimiste rétorquera que les attaques ne vont toujours qu'en s'améliorant. Si Drown est difficile à exploiter aujourd'hui, cela ne durera pas éternellement.

    [...]

    Je suggère d'ailleurs d'en tirer une leçon : ne jamais partager un certificat (et donc une clé privée) entre des machines qui ont des administrateurs différents : le risque est en effet très élevé que l'une d'elles soit moins sécurisée que les autres, permettant une attaque. »
    Wed Mar 2 16:50:35 2016 - permalink -
    - http://www.bortzmeyer.org/drown.html
    nomarkdown

  • Men behind Diffie-Hellman key exchange receive top computer science prize | Ars Technica

    « On Tuesday, the Association for Computing Machinery, the nation’s leading organization for computer science, awarded its annual top prize of $1 million to two men whose name will forever be immortalized in cryptography: Whitfield Diffie and Martin Hellman. »

    \o/ Ils le méritent vraiment. \o/ C'est sur l'échange de clé Diffie-Hellman que repose la confidentialité persistante, c'est-à-dire la capacité de conserver les échanges passés secrets même en cas de compromission de la clé privée. \o/ Historiquement, c'est eux qui ont introduit publiquement le premier exemple pratique de cryptographie à clé publique / asymétrique en 1976 soit un an avant RSA et 1 an après le GCHQ (mais ces travaux étaient secrets).
    Wed Mar 2 08:12:24 2016 - permalink -
    - http://arstechnica.com/security/2016/03/men-behind-diffie-hellman-key-exchange-receive-top-computer-science-prize/
    nomarkdown

  • Roger et ses humains — Wikipédia

    Un robot totalement psychopathe qui débarque dans la vie d'un gamer immature au chômage. Le premier tome est bien dessiné et repose sur de l'humour convenu bien classique qui repose lui-même sur les stéréotypes habituels (la masturbation et la flemme du gamer, Internet is for porn, la drogue,...). On trouve quelques blagues bien senties (l'accident, la maison de retraite,...).

    C'pas la BD du siècle mais on passe quand même un bon moment.
    Tue Mar 1 21:38:01 2016 - permalink -
    - https://fr.wikipedia.org/wiki/Roger_et_ses_humains#cite_note-1
    nomarkdown

  • Mesurons l'évolution du réseau d'ARN avec RIPE Atlas

    Depuis qu'ARN, FAI associatif en Alsace, a une infra, je fais des mesures avec le système Atlas du RIPE.

    Pour découvrir RIPE Atlas, voir la présentation de Stéphane Bortzmeyer lors de la Journée du Conseil Scientifique de l'AFNIC 2015 ( https://www.youtube.com/watch?v=UmCtwTkhnb0 ). En gros c'est un projet communautaire de métrologie basé sur le volontariat : des volontaires partout dans le monde hébergent au moins une sonde (un boitier TP-Link TL-MR3020) que ce soit à la maison, dans un datacenter, au travail... Ces sondes forment un botnet (mais un gentil botnet) : un contrôleur leur distribue des mesures à effectuer (ping, traceroute, http, ssl, ...). Chaque sonde sélectionnée essaye d'effectuer la mesure demandée et retourne le résultat au contrôleur du RIPE qui permet de le récupérer pour analyse (JSON).

        Tout une API REST a été développée autour pour automatiser la création de mesures et leur récupération.

        Les mesures sont publiques par défaut (et la possibilité de les rendre privées disparaîtra bientôt) afin de profiter à la communauté (les chercheurs manquent souvent de données pour bosser, par exemple).

       Évidemment, plein de limites empêchent d'utiliser le système dans un DDoS : il faut des crédits pour lancer des mesures (que l'on obtient en hébergeant une sonde ou en étant membre ou sponsor du RIPE), on ne peut pas lancer plus de 10 mesures concurrentes sur une même cible,...

    Deux biais de mesures présents sur RIPE Atlas dont il faut être conscient avant de lire la suite :
        * RIPE Atlas est représentatif uniquement de lui-même. C'est basé sur le volontariat donc seul un public bien spécifique a des sondes : informaticiens informés. Du coup, cela introduit des biais dans les mesures. Exemple : le taux de déploiement d'IPv6 est largement supérieur aux moyennes mondiales.

        * D'après mes mesures, un écart d'un à deux points sur le pourcentage de paquets perdus/reçus entre deux mesures est normal selon que la mesure a été effectuée en heure pleine ou creuse dans la zone géographique considérée.



    Concernant ARN, j'effectue une mesure ping en IPv4 et en IPv6. Ce qui m'intéresse :
        * La visibilité. Si le réseau dans lequel se trouve la sonde n'a aucune route pour joindre ARN, une erreur ICMP sera retournée à la sonde qui nous la retournera). Si le taux d'erreur dépasse une marge de tolérance, alors il y a un problème puisque le réseau d'ARN n'est pas visible de partout ;

        * Le nombre de paquets perdus. Si le pourcentage est trop élevé, c'est qu'il y a un souci dont il faudra s'inquiéter ;

        * La latence. Une latence moyenne qui augmente, c'est le signe d'un problème (routage pas optimal, attaque provoquant une redirection du trafic type Pilosov&Kapela).

    Pour l'instant, j'ai effectué ces mesures à chaque grande étape de l'évolution de l'infra d'ARN : quand nous étions chez notre premier prestataire puis quand nous étions sur Cogent uniquement puis maintenant que nous sommes sur Cogent et Interoute. Une bonne idée est de monitorer l'infra avec Atlas. C'est parfaitement prévu par le projet qui a même développé une fonctionnalité qui va dans ce sens : le contrôleur analyse les résultats pour vous et positionne un flag dans  si le seuil que vous fixez est atteint, il suffit de récupérer ce flag avec un check_http banal). C'est dans ma TODO.


    Les mesures sont publiques et vous pouvez donc les récupérer pour vérifier que je ne dis pas de bêtises :
        * Octobre 2013 :
            * WW   - IPv4 : https://atlas.ripe.net/measurements/1034521/ - IPv6 : https://atlas.ripe.net/measurements/1034528/
            * West - IPv4 : https://atlas.ripe.net/measurements/1034524/ - IPv6 : https://atlas.ripe.net/measurements/1034531/
            * NC   - IPv4 : https://atlas.ripe.net/measurements/1034522/ - IPv6 : https://atlas.ripe.net/measurements/1034529/
            * SE   - IPv4 : https://atlas.ripe.net/measurements/1034523/ - IPv6 : https://atlas.ripe.net/measurements/1034530/

        * Juin 2015 :
            * WW   - IPv4 : https://atlas.ripe.net/measurements/2048937/ - IPv6 (Cogent uniquement) : https://atlas.ripe.net/measurements/2048953/ - IPv6 (Cogent + Hurricane Electric) : https://atlas.ripe.net/measurements/2049310/
            * West - IPv4 : https://atlas.ripe.net/measurements/2048939/ - IPv6 (Cogent uniquement) : https://atlas.ripe.net/measurements/2048960/ - IPv6 (Cogent + Hurricane Electric) : https://atlas.ripe.net/measurements/2049314/
            * NC   - IPv4 : https://atlas.ripe.net/measurements/2048940/ - IPv6 (Cogent uniquement) : https://atlas.ripe.net/measurements/2048961/ - IPv6 (Cogent + Hurricane Electric) : https://atlas.ripe.net/measurements/2049315/
            * SC   - IPv4 : https://atlas.ripe.net/measurements/2048941/ - IPv6 (Cogent uniquement) : https://atlas.ripe.net/measurements/2048962/ - IPv6 (Cogent + Hurricane Electric) : https://atlas.ripe.net/measurements/2049317/
            * NE   - IPv4 : https://atlas.ripe.net/measurements/2048942/ - IPv6 (Cogent uniquement) : https://atlas.ripe.net/measurements/2048963/ - IPv6 (Cogent + Hurricane Electric) : https://atlas.ripe.net/measurements/2049318/
            * SE   - IPv4 : https://atlas.ripe.net/measurements/2048943/ - IPv6 (Cogent uniquement) : https://atlas.ripe.net/measurements/2048964/ - IPv6 (Cogent + Hurricane Electric) : https://atlas.ripe.net/measurements/2049319/
            * FR   - IPv4 : https://atlas.ripe.net/measurements/2048944/ - IPv6 (Cogent uniquement) : https://atlas.ripe.net/measurements/2048965/ - IPv6 (Cogent + Hurricane Electric) : https://atlas.ripe.net/measurements/2049320/

        * Février 2016 :
            * WW   - IPv4 : https://atlas.ripe.net/measurements/3572810/ - IPv6 (Cogent + Interoute) : https://atlas.ripe.net/measurements/3572818/
            * West - IPv4 : https://atlas.ripe.net/measurements/3572811/ - IPv6 (Cogent + Interoute) : https://atlas.ripe.net/measurements/3572819/
            * NC   - IPv4 : https://atlas.ripe.net/measurements/3572812/ - IPv6 (Cogent + Interoute) : https://atlas.ripe.net/measurements/3572820/
            * SC   - IPv4 : https://atlas.ripe.net/measurements/3572813/ - IPv6 (Cogent + Interoute) : https://atlas.ripe.net/measurements/3572821/
            * NE   - IPv4 : https://atlas.ripe.net/measurements/3572814/ - IPv6 (Cogent + Interoute) : https://atlas.ripe.net/measurements/3572835/
            * SE   - IPv4 : https://atlas.ripe.net/measurements/3572816/ - IPv6 (Cogent + Interoute) : https://atlas.ripe.net/measurements/3572836/
            * FR   - IPv4 : https://atlas.ripe.net/measurements/3572845/ - IPv6 (Cogent + Interoute) : https://atlas.ripe.net/measurements/3572847/

        * Février 2016 - IPv6 + tag « system-ipv6-works » (tag attribué automatiquement par le contrôleur RIPE à une sonde qui a réussie à ping6 plusieurs amers. Beaucoup de sondes sont sur des réseaux sur lesquels un préfixe IPv6 est annoncé avec des Router Advertisements (RA) mais sur lesquels l'acheminement des paquets IPv6 n'est pas fonctionnel... Ces mesures ne sont donc pas comparables avec les précédentes !
            * WW   - https://atlas.ripe.net/measurements/3586435/
            * West - https://atlas.ripe.net/measurements/3586436/
            * NC   - https://atlas.ripe.net/measurements/3586437/
            * SC   - https://atlas.ripe.net/measurements/3586438/
            * NE   - https://atlas.ripe.net/measurements/3586440/
            * SE   - https://atlas.ripe.net/measurements/3586444/
            * FR   - https://atlas.ripe.net/measurements/3586762/

        * Février 2016 - IPv6 + tags « system-ipv6-works » (voir ci-dessus) et « native-ipv6 » (tag ajouté manuellement pour indiquer que l'accès Internet est natif, sans méthode de transition) donc on peut avoir des déclarations mensongères/erronées/dépassées (exemple : https://atlas.ripe.net/probes/13900/#!tab-network ) et des absences de déclaration) :
            * WW   - https://atlas.ripe.net/measurements/3588197/
            * West - https://atlas.ripe.net/measurements/3588198/
            * NC   - https://atlas.ripe.net/measurements/3588199/
            * SC   - https://atlas.ripe.net/measurements/3588200/
            * NE   - https://atlas.ripe.net/measurements/3588201/
            * SE   - https://atlas.ripe.net/measurements/3588202/
            * FR   - https://atlas.ripe.net/measurements/3588203/

        * Février 2016 - IPv6 + tag « system-ipv6-works » (voir ci-dessus) et exclure le tag « native-ipv6 » (voir ci-dessus) :
            * WW   - https://atlas.ripe.net/measurements/3588258/
            * West - https://atlas.ripe.net/measurements/3588259/
            * NC   - https://atlas.ripe.net/measurements/3588260/
            * SC   - https://atlas.ripe.net/measurements/3588261/
            * NE   - https://atlas.ripe.net/measurements/3588262/
            * SE   - https://atlas.ripe.net/measurements/3588263/
            * FR   - https://atlas.ripe.net/measurements/3588264/

        * Février 2016 - Interoute uniquement :
            * WW   - IPv4 : https://atlas.ripe.net/measurements/3588379 - IPv6 : https://atlas.ripe.net/measurements/3588405/ - IPv6 + tag « system-ipv6-works » : https://atlas.ripe.net/measurements/3588438/ - IPv6 + tags « system-ipv6-works » et « native-ipv6 » : https://atlas.ripe.net/measurements/3588466/ - IPv6 + tag « system-ipv6-works » et exclure tag « native-ipv6 » : https://atlas.ripe.net/measurements/3588512/
            * West - IPv4 : https://atlas.ripe.net/measurements/3588380 - IPv6 : https://atlas.ripe.net/measurements/3588406/ - IPv6 + tag « system-ipv6-works » : https://atlas.ripe.net/measurements/3588439/ - IPv6 + tags « system-ipv6-works » et « native-ipv6 » : https://atlas.ripe.net/measurements/3588467/ - IPv6 + tag « system-ipv6-works » et exclure tag « native-ipv6 » : https://atlas.ripe.net/measurements/3588513/
            * NC   - IPv4 : https://atlas.ripe.net/measurements/3588381 - IPv6 : https://atlas.ripe.net/measurements/3588407/ - IPv6 + tag « system-ipv6-works » : https://atlas.ripe.net/measurements/3588440/ - IPv6 + tags « system-ipv6-works » et « native-ipv6 » : https://atlas.ripe.net/measurements/3588468/ - IPv6 + tag « system-ipv6-works » et exclure tag « native-ipv6 » : https://atlas.ripe.net/measurements/3588515/
            * SC   - IPv4 : https://atlas.ripe.net/measurements/3588382 - IPv6 : https://atlas.ripe.net/measurements/3588408/ - IPv6 + tag « system-ipv6-works » : https://atlas.ripe.net/measurements/3588442/ - IPv6 + tags « system-ipv6-works » et « native-ipv6 » : https://atlas.ripe.net/measurements/3588469/ - IPv6 + tag « system-ipv6-works » et exclure tag « native-ipv6 » : https://atlas.ripe.net/measurements/3588516/
            * NE   - IPv4 : https://atlas.ripe.net/measurements/3588384 - IPv6 : https://atlas.ripe.net/measurements/3588409/ - IPv6 + tag « system-ipv6-works » : https://atlas.ripe.net/measurements/3588443/ - IPv6 + tags « system-ipv6-works » et « native-ipv6 » : https://atlas.ripe.net/measurements/3588470/ - IPv6 + tag « system-ipv6-works » et exclure tag « native-ipv6 » : https://atlas.ripe.net/measurements/3588517/
            * SE   - IPv4 : https://atlas.ripe.net/measurements/3588385 - IPv6 : https://atlas.ripe.net/measurements/3588410/ - IPv6 + tag « system-ipv6-works » : https://atlas.ripe.net/measurements/3588444/ - IPv6 + tags « system-ipv6-works » et « native-ipv6 » : https://atlas.ripe.net/measurements/3588471/ - IPv6 + tag « system-ipv6-works » et exclure tag « native-ipv6 » : https://atlas.ripe.net/measurements/3588518/
            * FR   - IPv4 : https://atlas.ripe.net/measurements/3588386 - IPv6 : https://atlas.ripe.net/measurements/3588411/ - IPv6 + tag « system-ipv6-works » : https://atlas.ripe.net/measurements/3588445/ - IPv6 + tags « system-ipv6-works » et « native-ipv6 » : https://atlas.ripe.net/measurements/3588473/ - IPv6 + tag « system-ipv6-works » et exclure tag « native-ipv6 » : https://atlas.ripe.net/measurements/3588519/
           
        * Février 2016 - Cogent uniquement :
            * WW   - IPv6 + tag « system-ipv6-works » : https://atlas.ripe.net/measurements/3588604/ - IPv6 + tags « system-ipv6-works » et « native-ipv6 » : https://atlas.ripe.net/measurements/3588625/ - IPv6 + tag « system-ipv6-works » et exclure tag « native-ipv6 » : https://atlas.ripe.net/measurements/3588666/
            * West - IPv6 + tag « system-ipv6-works » : https://atlas.ripe.net/measurements/3588605/ - IPv6 + tags « system-ipv6-works » et « native-ipv6 » : https://atlas.ripe.net/measurements/3588626/ - IPv6 + tag « system-ipv6-works » et exclure tag « native-ipv6 » : https://atlas.ripe.net/measurements/3588667/
            * NC   - IPv6 + tag « system-ipv6-works » : https://atlas.ripe.net/measurements/3588607/ - IPv6 + tags « system-ipv6-works » et « native-ipv6 » : https://atlas.ripe.net/measurements/3588627/ - IPv6 + tag « system-ipv6-works » et exclure tag « native-ipv6 » : https://atlas.ripe.net/measurements/3588668/
            * SC   - IPv6 + tag « system-ipv6-works » : https://atlas.ripe.net/measurements/3588608/ - IPv6 + tags « system-ipv6-works » et « native-ipv6 » : https://atlas.ripe.net/measurements/3588628/ - IPv6 + tag « system-ipv6-works » et exclure tag « native-ipv6 » : https://atlas.ripe.net/measurements/3588669/
            * NE   - IPv6 + tag « system-ipv6-works » : https://atlas.ripe.net/measurements/3588609/ - IPv6 + tags « system-ipv6-works » et « native-ipv6 » : https://atlas.ripe.net/measurements/3588630/ - IPv6 + tag « system-ipv6-works » et exclure tag « native-ipv6 » : https://atlas.ripe.net/measurements/3588670/
            * SE   - IPv6 + tag « system-ipv6-works » : https://atlas.ripe.net/measurements/3588610/ - IPv6 + tags « system-ipv6-works » et « native-ipv6 » : https://atlas.ripe.net/measurements/3588631/ - IPv6 + tag « system-ipv6-works » et exclure tag « native-ipv6 » : https://atlas.ripe.net/measurements/3588671/
            * FR   - IPv6 + tag « system-ipv6-works » : https://atlas.ripe.net/measurements/3588611/ - IPv6 + tags « system-ipv6-works » et « native-ipv6 » : https://atlas.ripe.net/measurements/3588632/ - IPv6 + tag « system-ipv6-works » et exclure tag « native-ipv6 » : https://atlas.ripe.net/measurements/3588672/


    Pour analyser ces mesures, j'utilise le script Python « atlas-ping-retrieve » de Stéphane Bortzmeyer (http://www.bortzmeyer.org/files/atlas-ping-retrieve.py ). On pourrait aussi utiliser la bibliothèque Sagan (https://github.com/RIPE-NCC/ripe.atlas.sagan ).

    J'ai compilé tout ça dans une feuille de tableur avec de zolis graphiques qui portent uniquement sur l'évolution vers l'infra actuelle donc je n'ai pas graphé ipv6-works car pas de recul ni "Interoute uniquement" ni "Cogent uniquement" car ce n'est pas la configuration que nous utilisons au quotidien. Pour une copie PDF, c'est par ici : http://www.guiguishow.info/wp-content/uploads/2016/02/arn-mesures_atlas.pdf

    Attention : les mesures d'octobre 2013 souffrent de plusieurs biais :
        * Ces mesures sont dépassées puisque tous les réseaux évoluent. Des mesures actuelles vers LDN (hébergé par ce même presta) donnent des résultats similaires aux nôtres en IPv4 et légèrement meilleurs en IPv6 en terme de paquets perdus.

        * Ces mesures sont effectuées en envoyant 3 icmp-request alors que les mesures postérieures sont effectuées avec 5 paquets. Un nombre plus élevé de paquets (multiplié par le nombre de sondes dans la mesure) peut déclencher des limiteurs de trafic et fausser la mesure, par exemple.

        * La cible de ces mesures est une IP (v4 ou v6) alors que la cible des mesures postérieures est un nom (et qu'on ne positionne pas le flag « resolve on probe »). Or, la résolution du nom peut échouer de manière indépendante de la mesure elle-même, ce qui contribue à la fausser.


    Quelles conclusions peut-on en tirer ?
        * Les tunnels 6in4 et autres méthodes de transition vers IPv6, c'est cool car ça fournit de la connectivité v6 là où il n'y en a pas mais globalement, ça perd quand même beaucoup de paquets (ne jamais oublier que 5 echo-request, c'est une durée très courte... donc perdre autant de paquets en si peu de temps, ça doit bien pénaliser les connexions TCP). Par contre, surprise : ces méthodes de transition ne font pas exploser la latence tant que ça : 8 ms en moyenne, toutes régions du globe confondues. :O

        * Il y a vraiment beaucoup de réseaux IPv6 ready (qui reçoivent un préfixe IPv6 via un RA) mais pas IPv6-works. La différence est flagrante (entre 5 et 18 points d'écart et jusqu'à 30 pour la Russie et alentours) ! :O Conclusion : pour faire une mesure IPv6 fiable avec Atlas, il faut vraiment utiliser le tag « system-ipv6-works » sinon, vous remontez des erreurs pour lesquelles vous ne pouvez rien faire (elles sortent de votre périmètre et ne sont pas de votre responsabilité). Un tel écart me fait également dire qu'IPv6, ce n'est très clairement pas encore pour aujourd'hui quoi qu'en disent les optimistes.

        * Interoute a un taux de paquets perdus impressionnant en IPv6 (plus de 50% dans la plupart des cas) ! :O Ce n'est pas le cas en IPv4 où Interoute survit bien à la coupure de Cogent. Fait amusant : on remarque qu'IPv6 confirme les différentes stratégies de déploiement de réseau de ces deux sociétés commerciales : Interoute est euro et asie centré, Cogent est USA-centré à la base. Interoute sauve les meubles en IPv6 en Europe + Russie + FR mais s'écroule en Amériques et Afrique surtout si l'on prend en compte uniquement l'IPv6 natif (donc pas les tunnels 6in4 notamment fournis par HE avec qui Interoute peere très bien). À l'inverse, on voit que Cogent a un déficit en Europe et en Asie.

        * Cogent est beaucoup plus impacté qu'Interoute par l'écart entre les mesures « ipv6 » et « ipv6-works ». Je n'explique pas cela... Peut-être la popularité d'où plus de machines donc plus de fail de configuration des réseaux ? Je veux dire : il semble que Cogent est plus présent qu'Interoute dans les zones géographiques où IPv6 fonctionne mal (Asie et Afrique, par exemple).

        * On remarque également qu'un tunnel 6in4 BGP HE côté ARN perd moins de paquets que de passer via Interoute dans certaines régions du monde comme l'Afrique, la Russie et l'Asie (entre 6 et 16 points d'écart). L'Europe est également concernée (6 points d'écart). Cela tend à confirmer la concentration/centralisation que représente HE et la nécessité d'une interconnexion avec eux.

        * On remarque aussi que la latence vers l'Asie est le double de celle vers les Amériques, ce qui indique que la connectivité vers l'Asie se fait toujours via les USA. :(

        * Un truc qui fait plaisir : l'infra d'ARN a constamment gagnée en visibilité et en diminution de pertes de paquets au fil des évolutions. À l'inverse, la latence n'a pas été diminuée significativement par les évolutions successives de l'infra.

        * Limite des chiffres et de la représentativité d'Atlas, le passage à deux transitaires ne se justifie pas via ces mesures puisque l'écart est trop faible et correspond à la marge de tolérance. Pourtant, qualitativement, l'interconnexion entre Cogent et Google (dont Youtube) est mauvaise (débit pas top) alors que celle d'Interoute est top, Cogent ne propose aucun accès aux préfixes IPv6 de Google, Cogent n'offre aucun accès à certains préfixes IPv4 chinois (moins important pour ARN), Interoute nous permet de tendre vers l'émancipation d'un tunnel 6in4 avec HE (qui est glop techniquement et moralement (concentration du trafic IPv6 chez un petit nombre d'acteurs)). Sans compter que deux transitaires se justifient pour ne pas disparaître des Internet en cas de panne/maintenance.
    Mon Feb 29 21:26:37 2016 - permalink -
    - http://shaarli.guiguishow.info/?nNMTjQ
    nomarkdown

  • [Résolu] Imprimer un tableau sur une seule page (Consulter le sujet) • Forum OpenOffice.org NeoOffice LibreOffice

    Menu « Format » -> item « Page » -> onglet « Feuille » -> dans la liste déroulante « Mode d'échelle », il faut choisir « Adapter les zones d'impression en largeur et en hauteur ». Pour que tout ne soit pas trop tassé, il faut faire varier le nombre de pages, surtout en hauteur.

    Et pour imprimer en mode paysage ? C'est par ici https://help.libreoffice.org/Calc/Printing_Sheets_in_Landscape_Format/fr : menu « Format », item « Page », onglet « Page » et case à cocher « Paysage ».
    Sun Feb 28 21:44:36 2016 - permalink -
    - https://forum.openoffice.org/fr/forum/viewtopic.php?f=4&t=2846
    nomarkdown
Links per page: 20 50 100
◄Older
page 209 / 299
Newer►
Mentions légales identiques à celles de mon blog | CC BY-SA 3.0

Shaarli - The personal, minimalist, super-fast, database free, bookmarking service by the Shaarli community