GuiGui's Show

Dans le cadre du contrat qu’elle signe avec le registre (contrat de registre), l’ICANN demande à tous les opérateurs de registre de sauvegarder quotidiennement une copie de leurs données. Cette sauvegarde ne peut pas s’effectuer chez l’opérateur de registre lui-même et doit se faire auprès d’un tiers de confiance, dit « opérateur de séquestre ». Cette obligation contractuelle a pour objectif de s’assurer que les données du registre seront toujours accessibles, notamment pour qu’en cas de défaillance de l’opérateur technique de registre, le TLD puisse être repris par un opérateur de secours (l’opérateur de secours est prévu dans le contrat de registre). L’opérateur de séquestre est donc un intermédiaire entre l’ICANN et l’opérateur technique de registre, qui sauvegarde les données de la zone et vérifie leur conformité aux standards de l’ICANN.

Concrètement, l’opérateur technique de registre envoie chaque jour à l’opérateur de séquestre avec lequel le registre a contractualisé, une copie des données de l’extension. Elle contient toutes les informations associées aux noms de domaine enregistrés, à leurs contacts et à leurs différents paramètres.

J'ajoute (source) :

L'inclusion de serveurs DNS récursifs, qui ne traitent pas de matériel protégé par le droit d'auteur et n'ont aucune relation avec les parties concernées, dans les rangs des mécanismes de blocage légalement obligatoires constitue un dangereux précédent. L'affirmation de cette injonction est, en substance, la suivante : s'il existe une possibilité technique de refuser l'accès à un contenu par une partie ou un mécanisme spécifique, la loi exige que le blocage ait lieu sur demande […] Si ce précédent se confirme, il apparaîtra à nouveau dans des injonctions similaires à l'encontre d'autres tiers distants et non impliqués, tels que les logiciels antivirus, les navigateurs web, les systèmes d'exploitation, […]

Je note que l'injonction initiale a été délivrée par le tribunal d'Hambourg, celui-là même qui a fait fermer le site web officiel de YouTube-dl.

Je note aussi qu'un tribunal allemand peut délivrer une injonction à une entité suisse (Quad9) via la convention de Lugano (source). Mais le nom de domaine, sous le TLD du Tongo, n'était pas enregistré en Allemagne, l'hébergeur DNS n'était pas en Allemagne, et l'hébergeur web non plus…

Quad9 va faire appel (devant la Cour de Dresde).

ÉDIT DU 23/12/2023 :

Suite : Quad9 Turns the Sony Case Around in Dresden. Excellent article qui contient toutes les infos (lien vers la décision, voies de recours restantes, résumé du jugement, perspectives, etc.). C'est rare.

Je retiens : un service de résolution DNS n'a pas de rôle central ; en tant que fournisseur d'accès (mere conduit), exception de responsabilité ; Sony n'avait pas entrepris suffisamment de démarches auprès de l'auteur du site web litigieux et de son hébergeur (c'est le point décisif du jugement, la censure pourrait être légitime en dernier recours, donc on n'en a pas terminé avec ce genre de procès) ; Sony dispose encore de voies de recours (donc c'est pas forcément terminé).

Quad 9 fait déjà face à une autre demande de filiales italiennes des majors habituelles…

Cloudflare a aussi été inquiété et le jugement de la Haute Cour régionale de Cologne est également tombé début décembre 2023 : même logique pour la résolution DNS (accès, neutre / pas de rôle central, blocage inefficace), mais confirmation du blocage par le CDN / WAF de Cloudflare. Pour la réso DNS, le jugement est conforme au Digital Services Act (DNS != hébergement, donc exception de responsabilité, comme les autres services de simple transport. Mais, alors que les CDN sont classés comme services de mise en cache et exemptés de responsabilités par le DSA, la Cour ne suit pas. Clouflare a l'intention de faire appel.

Pour Quad 9, on notera que les tribunaux allemands ont rejetés un blocage en fonction de l'IP du demandeur (d'où un blocage au niveau mondial) au motif qu'un VPN permet de contourner le blocage. D'un autre côté, Cloudflare a bloqué l'accès au site web en Allemagne via son CDN, et ça a convenu… Vers une récolte plus massive de données persos par les fournisseurs de résolution DNS publics ?

FIN DE L'ÉDIT DU 23/12/2023.

La magie de nunux, c'est aussi de pouvoir retrouver un fichier effacé à partir d'une chaîne de caractères avec un outil courant : grep -a -C 2000 "global_objects\.add" /dev/sda2 | tee recovered_data. :)

(Il existe également TestDisk.)

Le génie de Free, ce n'est pas uniquement la box Internet, mais aussi le DSLAM Ethernet afin de contourner l'interdiction d'Orange d'installer tout commutateur Ethernet dans un NRA. Ethernet permet de réduire les coûts.

De son côté, Neuf, ne souhaitant pas fabriquer un DSLAM Ethernet, gagnera le droit d'utiliser des équipements Ethernet devant l'Autorité de la concurrence.

Si Ethernet se répand dans les réseaux informatiques d'entreprises (ok, + les PME que les grands comptes avec des DSI enkylosées par « les télécoms disent que c'est nul »), il faudra attendre le milieu des années 2000 pour que les télécoms finissent par regarder sérieusement

Et encore, c'est aiguillonnés par la pression de la concurrence qui n'a pas hésité à bâtir les 1ers réseaux alternatifs en optant pour une transmission reposant principalement sur #Ethernet. Or à l'époque, hors de l'ATM bien-de-chez-nous, point de salut

Pour vous donner une petite idée de comment Orange voyait l’avenir des réseaux en 2001, avant que le dégroupage finisse par voir le jour après un long parcours d'embûches : l'offre de référence de l’époque interdisait tout simplement les commutateurs

Sauf que c'était sans compter les trublions de @Free qui ont lus les specs (et écouté Moreno) et qui ont alors décidé de jouer au + con. Si les commutateurs Ethernet standalone sont interdits, qu'à cela ne tienne, on va installer un DSLAM qui sortira directement en #Ethernet
[…]
Bref, le couple infernal FT / les gens qui vendent du souverain bien de chez nous mais inadapté au vrai monde refusent les commutateurs Ethernet ? Faisons nous-même notre propre DSLAM qui sortira directement en Ethernet #Genie #Rob4Ever

Et là, grand moment. Bien entendu FT va aller pleurnicher auprès @ARCEP & Ministres, que c'est pas du jeu, ça se saurait si Ethernet était une vraie technologie, c'est du bricolage qui ne peut que faire le jeu des méchants Américains de Cisco, vite, interdisez-moi cela au + vite

L'@ARCEP est bien embêtée. OK, quand FT fâchée, FT toujours faire ainsi, mais en même temps, les mecs, vous avez écrit « stand-alone » et dans les baies de Free & LD, y'a pas de commutateur Ethernet indépendant. Donc RAS, laissez-nous pivoter maintenant, voulez-vous.

Déjà, au fond, y en à l'@ARCEP qui trouvent cela plutôt rigolo, et qui se disent qu'on va vraiment, mais alors vraiment se marrer si ces Gus sortis de nulle part si ce n'est du Minitel rose vont jusqu'au bout de leur délire.
[…]
Car non seulement le DSLAM en question sortait en #Ethernet en natif, et que cela pouvait pas le faire que de demander de le découper à la disqueuse pour virer Ethernet mais en plus il ne figurait au catalogue d'aucun équipementier du marché. C'est. Quoi. Ce. Truc ?

Sur le moment, il y en avait un autre qui était emmerdé. C'était LD/NeufTelecom/Cegetel qui lui aussi croyait beaucoup à #Ethernet, mais pas au point de jouer du fer à souder pour fabriquer ses propres DSLAM. Donc un bon vieux commutateur Ethernet des familles, viré illico par FT

Du coup, rétrospectivement, le vrai coup de génie de Free, au-delà de la Freebox, c’est le DSLAM maison (car en fait un équipementier télécom n'est juste qu’un intégrateur, si Alcatel y arrive, pourquoi pas d'autres ?) : ça prend tout le monde de vitesse

D'un côté ça met FT dans une rage noire, et pendant que FT monopolise son intelligence sur des conneries, ben ils délaissent le marché. Et ça emmerde Neuf qui pensait pas que ce troll de Xavier allait aller jusqu'au bout de son idée de DSLAM #Ethernet inside. Rep a sa les X.

Nos amis de Neuf (mais respect infini & éternel pour cette magnifique bande que celle de Jacques Veyrat, des adversaires comme ça, ce sont des gens qui vous poussent dans vos meilleurs retranchements) finiront au terme d'un long combat par obtenir le droit de coller de l'Ethernet

Par la suite, lorsque le pari formulé à l’été 2000 sur un escalator d'Universal Studios finira par payer, et plutôt très bien (car le dégroupage + #Ethernet apporte un effet de levier monstrueux sur la marge en raison des coûts évités), le DSLAM no-name deviendra un peu + sexy

Pour le début du thread (qui explique l'histoire d'Ethernet), voir ici.

OVH. Site web espagnol proposant la GPA au marché français. Historique.

Sans déconner ?! :O Oui, DevOps a toujours été un état d'esprit collectif, un processus collectif, pas du solutionnisme technologique ni de la pensée magique.

Tester vos supports (clés USB, microSD, SSD, etc.) : Il peut être utile de tester vos supports USB pour être sûr qu'ils ne sont pas défectueux ou qu'ils ne mentent pas sur leur capacité (Certains supports annoncent une grande capacité, mais ont en réalité une capacité plus faible et les écritures bouclent.

=> f3, paquet Debian du même nom.

Logiciel de prise en main à distance. Auto-hébergeable. Léger. Multi-systèmes. Libre (AGPL).

Directive UE NIS 2 (2022/2555) aka SRI 2 = suite de NIS 1 (2016/1148) aka SRI = cybersécurité.

NIS 1 : chaque État devait définir une stratégie, désigner une autorité compétente pour déclarer les incidents de sécurités, définir les exigences minimales de sécurité, et les contrôler, désigner les opérateurs de service essentiel (OSE), c'est-à-dire les grands acteurs privés en fonction des enjeux écos et sociaux (300 ont été désignés en France) + coopération européenne (CSIRT, coordinations des autorités nationales).

La notion d'Opérateur d'Importance Vitale (OIV) ne vient pas de NIS 1 mais de la Loi de Programmation Militaire (LPM) de 2013.

NIS 2 :

• Doit être transposée avant octobre 2024 ;
  
  
• Élargit les secteurs d'activité concernés : administrations publiques, collectivités territoriales (c'est une possibilité laissé aux États, la France n'a pas encore décidé), énergie, transport, santé, bouffe, chimie, eau, déchets, etc. Cf. diapos 18 et 19 ;
  
  
• Les exigences seront proportionnées à la taille (CA ou nombre d'employés) et à l'activité. Cf. diapo 30. Entité essentielle (EE) ou entité importante (EI), les OSE de NIS 1 vont disparaître. Exception notable : tous les registres de noms DNS de premier niveau et tous les fournisseurs de services DNS (genre un récursif ouvert) sont des EE, quelle que soit leur taille. Les fournisseurs de réseaux de communications électroniques (FAI pour faire court) ou de services de communications électroniques (FSI) accessibles au public >= taille moyenne sont des EE ;
  
  
• Les "acteurs du numérique" (définition diapo 31, mais y'a les registres, registrars et services DNS, cloud, réseaux sociaux, et places de marché) relèvent de la compétence de l'autorité de l'État dans lequel ils prennent leurs principales décisions en matière de cybersécurité. Leurs exigences seront définis par la Comission européenne, pas par l'autorité nationale… Les FAI ou FSI dépendent des autorités de tous les États où ils sont présents… ;
  
  
• Désignation des entités : arrêté ministériel sur avis de l'ANSSI ;
  
  
• Obligations des entités : enregistrer un contact auprès de l'ANSSI, déclarer un incident de sécurité sous 24 h (NIS 1), prendre des mesures techniques / opérationnelles / organisationnelles (analyse du risque, gestion des incidents, sauvegardes, PRA, formation, contrôle des accès dont auth à plusieurs facteurs, etc ;
  
  
• Pouvoirs de l'ANSSI : inspections, scans, injonction (d'appliquer un correctif, par ex.), demander la suspension d'une certification ou l'exercice d'un dirigeant ;
  
  
• Les registres DNS de premier niveau sont tenus de maintenir exactes et complètes les infos sur les titulaires de noms.

À ce stade, beaucoup de choses sont encore flou. Comme pour le RGPD, la mise en conformité sera exigée bien après l'entrée en vigueur de la transposition.

#SIMSwapAttack : arrêt de la Cour de Cassation (Com. 22/01/2020 n°18-18.640) qui ouvre la voie à la possibilité d’une condamnation en garantie des opérateurs fautifs (ici #SFR) en cas de piratage de carte bancaire (par interception SMS 2FA via sim swap)

Arrêt de la Cour de cassation de janvier 2020.
Arrêt de la même Cour de juin 2022.

Je cite ce dernier :

[…] il n'est pas reproché à l'appelante de ne pas avoir garanti la fiabilité du choix effectué par l'intimé de sécuriser des opérations bancaires au moyen de codes adressés par sms, mais d'avoir délivré à un tiers, sans vérifier son identité, une carte sim destinataire de sms d'authentification bancaire […]

Ça va amener a toujours plus de paperasse et de contrôle d'identité…