Le déploiement de matos réseau Huawei dans les réseaux télécoms français est soumis à autorisation ministérielle.
Des autorisations ont été accordées, d'autres non.
Orange et Free ont contesté les refus qu'ils se sont mangés. Il s'agit de mesures de police justifiées par un objectif d'intérêt général, donc il n'y a pas d'atteinte à la libre concurrence. Même verdict en appel pour Free. Free va-t-il se pourvoir en cassation ?
Free a contesté les autorisations accordées à SFR et à Bouygues. Orange a contesté celles de SFR. Même verdict : un concurrent n'a pas intérêt à agir (il n'est pas fondé à contester, ça ne le regarde pas). Y aura-t-il appel ?
SFR et Bouygues ont sollicité une indemnisation. SFR s'est désisté. Ça risque d'être serré vu la doctrine du Conseil constitutionnel.
S'agissant des #Datacenters opérés en France qui sont ICPE, la plupart de ces informations (volume, origine, évacuation & retraitement) sont déjà publiées, notamment dans les dossiers ICPE publiés par les Préfectures que visiblement l'@ARCEP ne lit pas
La base de données Géorisques rassemble une partie des déclarations ICPE (Installation classée pour la protection de l'environnement). J'ai trouvé deux sites géographiques d'OVH, je n'ai pas trouvé DC2 de Scaleway, ni le datacenter de plusieurs petits hébergeurs (des PME, dépassant le million de CA annuel).
Après, oui, chaque préfecture publie les autorisations ICPE dans son registre des actes administratifs (RAA), mais les documents (et les sommaires) sont très souvent des numérisations (scan), donc ils sont inexploitables par une recherche automatisée. Malgré le L300-4 du CRPA, oui…
Sans compter qu'il existe plusieurs régimes ICPE : déclaration, enregistrement, autorisation, etc. Va savoir lesquels sont publiés dans les RAA…
L'ordonnance n° 2021-650 du 26 mai 2021 portant transposition de la directive (UE) 2018/1972 du Parlement européen et du Conseil du 11 décembre 2018 a modifié l'article L. 33-1 du code des postes et des communications électroniques en supprimant l'obligation de déclaration préalable à l'établissement d'une activité d'opérateur de communications électroniques.
Néanmoins, je tique sur :
l'autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP) n'a pas besoins de tous les connaître ex ante pour réaliser sa mission de régulation
Mouais. Ça permet quand même d'apprécier la diversité, la taille, la forme juridique, le périmètre (géographique et fonctionnel), etc. et d'adapter la régulation ex ante. Si le registre n'était pas à jour, ça retirait de l'intérêt, c'est sûr, mais de là à supprimer le registre… Inciter à une actualisation tous les cinq ans ?
Intéressante optimisation pour mettre en cache des ressources hébergées ailleurs : déporter la détection d'une version mise en cache du script PHP vers le serveur web.
Néanmoins, je me demande si les erreurs 404 (qui sont attrapées au vol) ne sont quand même pas consignées dans le journal des erreurs du serveur web, auquel cas, ça tromperait des indicateurs et/ou de la supervision.
La Commission européenne publie un rapport sur l’impact de l’open source [ et open hardware ] sur l’économie. En 2018, 1Md€ investi par les entreprises UE, 65 à 95Md€ de retombées économiques.
Je trouve ça cool, néanmoins, je rappelle que les externalités positives sont difficiles à chiffrer / évaluer (quel que soit le sujet). Donc il faut prendre ce chiffre avec des pincettes.
De plus, dès l'abstract, on a la vieille rengaine de l'open source comme moyen de réduire le coût d'acquisition des logiciels par le secteur public… Open source ne signifie pas gratuit (et il faut arrêter de vouloir optimiser le prétendu coût des services publics).
Microsoft recevrait 7 à 10 demandes secrètes par jour provenant des autorités fédérales en application de la loi. Environ 1/4 - 1/3 de toutes les demandes juridiques reçues par MS. Courriels, messages, autres données sensibles. Y compris ceux d'Américains.
Il y a plusieurs formats de favicon, et plusieurs autres icônes (site épinglé sur le bureau ou dans le menu démarrer ou…). Le testeur et générateur pointé est intéressant.
Un manifest pour personnaliser l'affichage sur mobile.
OpenSearch pour proposer d'ajouter le moteur de recherche de son site web dans la barre de recherche d'un navigateur. Shaarli a la balise « meta » kiVaBien.
Le format du fichier security.txt a été normalisé depuis la publication de cet article.
La spécification du fichier robots.txt a été mise à jour pour refléter la réalité des usages.
Schéma général à suivre par un hébergeur recevant une demande de retrait d'un contenu hébergé en application de la LCEN.
J'y vois deux lacunes : 1) pas assez de dialogue avec l'auteur du contenu avant de décider ; 2) faire le mort, même quand on pense être dans son bon droit, est rarement une bonne idée (je m'aligne ici le conseil d'Alex Archambault en matière de réquisitions visant les opérateurs télécoms). Si t'as mal évalué ton bon droit et/ou la situation…
Largement mieux que kdeconnect (mon retour d'expérience) pour diffuser / enregistrer l'écran d'un smartphone sur son ordi et interagir avec depuis l’ordi. Paquet Debian du même nom.
Ça utilise adb (over USB ou over Wi-Fi). Note : si t'as un système Lineage sur ton ordiphone, l'option pour activer adb over Wi-Fi est directement disponible dans le menu pour les développeurs.
Si tu veux streamer plus d'un smartphone à la fois : scrcpy -s '<adresse_IP_smartphone>:5555'
.
Interface graphique de gestion d'un keystore (magasin de certificats x509) Java. Licence GNU GPL.
Éditeur d'outils sous licence libre ou non parmi lesquels un autoscaler BBB, des espaces de travail Nextcloud avec délégation de droits et tout (comme les cercles natifs mais géré par les utilisateurs eux-mêmes), et un tableau de bord pour Nextcloud.
Outil pour détecter des erreurs de syntaxe dans des scripts shell. Paquet Debian du même nom.
Intéressant : plutôt que de synchroniser l'horloge de chaque VM sur un serveur NTP interne ou externe, on peut configurer le démon de chaque VM pour qu'il se synchronise sur l'horloge de l'hyperviseur exposée par KVM.
Si en plus vous êtes comme moi en charge de la coordination de la sécurité informatique d’une grande école de l’enseignement supérieure, alors les mois de juin et de décembre sont un peu particuliers… En effet, beaucoup d’utilisateurs se déplacent d’un coup dans le monde entier, ce qui affole les outils de détection. C’est le charme du travail avec une grande population d’étudiants.
Mais si en plus, l’école accueille un très grand nombre d’étudiants étrangers, en provenance d’un grand nombre de pays, alors là c’est le pompon : les outils détectent des connexions en provenance de PAYS A RISQUE : Syrie, Russie, Iran, Irak, Libye, Chine, Tchétchénie, Yémen…
La joie des alertes de sécurité inutiles. Dommage que l'auteur n'aborde pas le ratio signal / bruit qu'il obtient dans son contexte, car de là découle (ou non) la lassitude qui amène à ignorer toutes les alertes.
Intéressant. Ça signifie quand même que les équipements se font pilonner par deux démons SNMP (ce qui n'est pas dramatique).
Tester son serveur DNS récursif (UDP / TCP, IPv4 / v6, RPKI, variation du port source et du numéro de requête, validation DNSSEC, prise en charge EDNS et QNAME minimisation).
Pour tester la QNAME minimisation, il existe également : dig TXT qnamemintest.internet.nl
.
Un petit point d'histoire sur HTTP : la version 1.1 (dont la norme précédente datait de 2014) utilise du texte, ce qui est pratique pour les humains (on peut se servir de netcat ou telnet comme client HTTP), mais moins pour les programmes. En outre, il n'a aucun multiplexage, encourageant les auteurs de navigateurs à ouvrir plusieurs connexions TCP simultanées avec le serveur, connexions qui ne partagent pas d'information entre elles et sont donc inefficaces. La version 2 de HTTP (RFC 9113) est binaire et donc plus efficace, et elle inclut du multiplexage. Par contre, les limites de TCP (une perte de paquet va affecter toutes les ressources en cours de transfert, une ressource lente peut bloquer une rapide, etc) s'appliquent toujours. D'où le passage à QUIC pour HTTP/3. QUIC améliore la latence, notamment grâce à la fusion avec TLS, et fournit du « vrai » multiplexage. Autrement, HTTP/3 est très proche de HTTP/2, mais il est plus simple, puisque le multiplexage est délégué à la couche transport.
[…]
La possibilité qu'offre QUIC de faire migrer une session d'une adresse IP vers une autre (par exemple quand un ordiphone passe de 4G en WiFi ou réciproquement) soulève également des questions de sécurité.
On le sait, l'attribution d'une cyber-attaque (« c'est les Chinois ! ») est un exercice difficile. Il faut analyser l'attaque, parvenir à une certitude et, ensuite, assumer de révéler publiquement l'origine. Comme le répète souvent Guillaume Poupard « L'attribution, c'est politique ». Le livre de Mark Corcoral étudie cette question de l'attribution notamment sous l'angle des accusations par les États-Unis : comment se fait l'attribution publique et suivant quels méandres politiques ?
[…]
La phrase de Guillaume Poupard, citée plus haut, a un amusant double sens. Elle dit que ce n'est pas à une agence technique comme l'ANSSI d'attribuer une attaque ; cette attribution publique peut avoir des conséquences et c'est donc au pouvoir politique de prendre ses responsabilités. Mais la phrase dit aussi qu'accuser publiquement tel ou tel pays est aussi un choix politique. Plus cyniquement, on pourrait reprendre la phrase d'un collègue de Topaze : « les coupables, il vaut mieux les choisir que les chercher ». Eh oui, quand un État en accuse un autre, l'accusation n'est pas forcément sincère…