Cloudfrancois's blog

Survivre à l'aire d'aujourd'hui, (aire du numérique mais pas que)

Unknown — Fri, 21 Nov 2025 00:00:00 +0000

Je ne sais pas pour vous, mais pour moi les temps que nous vivons sont lourds, pesants.

On aurait déjà bien assez à s'occuper à trouver des réponses et solutions au truc qui nous pend au nez à coup sûr (le réchauffement climatique) pour s'ajouter en plus les dingz de guerre, de libertarianisme à la con et autre délires de haineux révisionnistes.

Bref c'est lourd, la merde à atteint le ventilateur et il y en a partout sur les murs.

Pour ma part j'ai mis plusieurs choses en place pour ne plus subire tout ça ; ça ne fait pas que ces problèmes n'existent plus, mais au moins je choisis quand je m'expose à ces sujets.

Parce que oui, pour moi ce qui me mine c'est quand se retrouve entremêlés dans un fil de réseau social des trucs artistiques, beaux, des réflexions et ... les malheurs du monde, la politique crasse etc (et ça fait bien pareil sur mastodon/fediverse hein).

La solution qui pour l'instant marche pour moi c'est d'ajouter des catégories / listes, d'y mettre les comptes ou les mots clés ; et à chaque fois qu'un message innaproprié arrive dans le fil principal, de faire en sorte que ce compte/ message n'y arrive plus à l'avenir.

Ainsi je choisis quand je vais lire ma colonne déprimante ou quand je vais lire ma colonne "safe".

Et je fais ça avec tous les contenus, parce qu'être exposé en permanence à ces contenus, mélangés avec des contenus agréables et ben ça marche pour le moral en fait.

En catégorisant, je choisis ma dose d'infos nazes et quand je m'y expose. C'est un choix ce n'est plus subit.

Prenez soin de vous, on a toutes et tous besoin les uns des autres (enfin presque).

Installation de Helix sous Debian trixie

Unknown — Wed, 10 Sep 2025 00:00:00 +0000

Helix, un éditeur pour votre terminal (qu'on peut faire entrer dans la catégorie des IDE, vu le nombre de fonctionnalités offertes), est enfin disponible dans les packages debian depuis la version 13 (trixie).

Voici quelques commandes pour être opérationnel (juste l'éditeur et la coloration syntaxique) :


</span># Installation de helix via apt
</span>sudo</span> apt install hx
</span>
</span># On récupète les grammaires et on les compile (ça permet d'avoir la configuration syntaxique)
</span># https://docs.helix-editor.com/guides/adding_languages.html#common-issues
</span>hx --grammar</span> fetch
</span>hx --grammar</span> build
</span>
</span># Pour avoir les thèmes correctement affichés on a besoin d'activer le support "true color"
</span># https://github.com/helix-editor/helix/discussions/8031#discussioncomment-11378127
</span>mkdir -p ~</span>/.config/helix
</span>tee ~</span>/.config/helix/config.toml <<</span>EOF
</span>[editor]
</span>true-color = true
</span>EOF
</span>
</span>tee -a ~</span>/.bashrc <<</span>EOF
</span>export COLORTERM=truecolor
</span>EOF
</span></code></pre>
On peut vérifier que notre installation est opérationnelle :</p>
hx --health
</span>tail ~</span>/.cache/helix/helix.log
</span></code></pre>



Mise à jour vers Debian trixie, problèmes de NAT
Unknown — Tue, 09 Sep 2025 00:00:00 +0000
Suite à la mise à jour d'une machine, ayant un role de routeur avec NAT, d'une Debian 12 bookworm à une Debian 13 trixie,
il se peut que le NAT ne fonctionne plus.</p>
Pas la peine de chercher du coté de nftables.</p>
Lors de la mise à jour l'ip forwarding configuré de /etc/sysctl.conf</code> saute (le fichier est renomé en
/etc/sysctl.conf-dpkg-bak</code>)</p>
Pour un retour à la normale rapide :</p>
cp</span> /etc/sysctl.conf-dpkg-bak /etc/sysctl.d/custom.conf
</span>sysctl --system
</span></code></pre>
Références :</p>

debian.org/releases/stable/release-notes/issues.html</a></li>
</ul>


Les intelligences artificielles sont des outils totalitaires idéaux
Unknown — Tue, 01 Jul 2025 00:00:00 +0000

Je sais que je me lance dans une écriture pour faire un brain dump des idées qui me passent par la tête et je vois
très bien que ça va finir comme d'habitude avec un billet de blog d'une qualité pourrave - en tous cas de qualité
bien inférieure à ce que je voudrais obtenir.</p>
Mais plutôt que de ne jamais le publier pour cause de mauvaise qualité
je tente une nouvelle méthode de production : je vais publier ce billet tel quel et le mettre à jour au fur et à mesure).</p>
Je ne sais pas si et quand je terminerai la rédaction ; bref pour tout ça, chère personne qui passera par là : désolé :-)</p>
</blockquote>
Je vous refais pas le topo, tout le monde saute dans tous les sens avec la Hype des IA génératives ; mais je voudrais
qu'on prenne le temps de faire une petite pause dans la frénésie pour tenter de toucher, de lister, un peu les choses
qu'on perd en échange de quelques images/vidéos/starter packs générés.</p>
Ce qui a démarré l'envie d'écrire ce billet c'est la découverte de
MCP (Model Context Protocol)</a>, un protocole utilisé pour outiller des
LLM</a> et alimenter leur contexte avec des données diverses et variées ;
mais aussi le fait que de plus en plus de gens n'utilisent plus les moteurs de recherche pour leurs recherches mais
plutôt un LLM - au point que le business model de Google est mis en danger par de nouveaux acteurs qui ont bien pigé
le filon</a>.</p>
En découle l'idée qu'il est pas sûr qu'il existe encore demain, sur le Web du contenu lisible par des humains
vu que les gens utilisent des LLM pour se renseigner : pourquoi continuer à s'embêter à publier pour des personnes vu
que ces personnes ne verront jamais la documentaiton en direct puisque la personne consommera la réponse générée par le
LLM sans jamais consulter la documentation source.
Et à quoi bon continuer à publier une documentation comme on le fait jusque-là parce qu'on sera plus efficace à générer
du contenu dans un format plus adapté au scrapping des LLM, ... Je parle de documentation mais on peut élargir à tout
site Web : à la manière des sites Web de presse ont été encouragés à produire du contenu au format AMP - soit disant optimisé
pour le mobile mais surtout très pratique pour que Google puisse afficher le contenu des journaux directement dans Google
News sans que les gens aient besoin d'aller sur les sites des journaux - les privant au passage de leurs revenus publicitaires.
Bref sur ce point je paris qu'on re-verra du déjà vu.</p>
S'il y a moins de contenu de qualité publié de façon lisible sur le Web, il y aura moins de raison d'aller sur le Web
et plus de raisons de passer par des LLM.</p>
On en vient à qui possède/fabrique les LLM, à leur possibilité d'entraver l'usage de ces outils à la tête du client,
aux biais ajouté par dessus le contenu originel, etc. Du fait qu'il y a une poignée de fournisseur de LLM comment faire
si le fournisseur refuse de donner une information (on le voit déjà sur des sujets qui sont jugés par l'éditeur ou par
le Pays dans lequel il est établi) ou si le LLM réécrit l'histoire ?</p>
Si on parle d'usages, il y a des moments où ça peut être pratique mais il y a aussi bien des usages qu'on devrait refuser :</p>

reconnaissance faciale / contrôle des populations</li>
armement</li>
discrimination</li>
décisions de justices</li>
opérations administratives (pouvant mettre en difficulté les personnes)</li>
tout ce qui risque de maintenir au pouvoir les mêmes personnes</li>
</ul>
Pour qu'une liberté puisse être déféndue, que la résistance puisse se faire, il faut des interstices - des degrés de
libertés pour permettre à des gens de contre-carrer le système. Sans ce degré de liberté - qu'on pourrait nommer "failles" -
il est difficile voir impossible de résister. Faisons l'exercice de pensée : où en serait l'Europe avec de tels outils
dans les années 30/45 ? Y serait-on encore ?</p>


Terraform : backend dynamique
Unknown — Mon, 23 Jun 2025 00:00:00 +0000
Terraform ne permet pas l'utilisation de variables dans le block backend</code> ; ce qui
nous interdit d'utiliser des trucs pratiques comme le fournisseur
external</a>, fournisseur permettant
d'appeler un programme externe pour alimenter des variables terraform ; programme pouvant être un
gestionnaire de secrets, par exemple.</p>
Par exemple, on peut lire des secrets depuis passwordstore</a>)
via un wrapper maison, qui implémente le protocole attendu par external</code> :</p>
#!/usr/bin/env bash
</span>set </span>-e
</span>jq -M -n --arg</span> pass_secret "$</span>(</span>pass</span> show </span>$</span>1</span>)</span>" '</span>{secret: $pass_secret}</span>'
</span></code></pre>
Et ensuite, on peut l'utiliser ainsi :</p>
data "external" "mon_secret" {
</span>  program = ["./pass-wrapper.sh", "mon/chemin/dans/pass/mon-secret"]
</span>}
</span></code></pre>
Manque de bol, c'est pas possible de faire ça avec un block backend</code> dans terraform
(opentofu débloque ça).</p>
Avec terraform on doit soit passer par des variables d'environnement soit via
des arguments à la ligne de commande.</p>
En ligne de commande ça donne ça (on dira que ce fichier s'appelle monscript.sh</code>):</p>
#!/usr/bin/env bash
</span>declare </span>-a backend_vars</span>=(
</span>    "</span>endpoint=https://monstockage-s3.example.com</span>"
</span>    "</span>bucket=monbucket</span>"
</span>    "</span>key=monfichier.tfstate</span>"
</span>    "</span>access_key=</span>$</span>(</span>pass</span> show monbuckets3/access_key)</span>"
</span>    "</span>secret_key=</span>$</span>(</span>pass</span> show monbuckets3/secret_key)</span>"
</span>)
</span>backend_configs</span>=""
</span>for</span> var </span>in </span>"$</span>{</span>backend_vars[@]</span>}</span>"; </span>do
</span>    </span>backend_configs</span>+="</span> -backend-config='</span>$</span>{</span>var</span>}'</span>"
</span>done
</span>export </span>TF_CLI_ARGS_init</span>="$</span>backend_configs</span>"
</span></code></pre>
source</span> monscript.sh
</span></code></pre>
On peut ensuite appeler terraform init</code>.</p>


Nextcloud : lire les données d'un événément d'agenda, depuis la base de données
Unknown — Fri, 28 Mar 2025 00:00:00 +0000
Les événements de calendrier de nextcloud sont stockés dans la table oc_calendarobjects</code> au format
bytea (dans le cas d'une base postgresql).</p>
Pour obtenir la représentation plaintext (format ical) de ce champ on peut utiliser la fonction convert_from()</code> :</p>
select</span> convert_from(calendardata, '</span>UTF8</span>') </span>from</span> oc_calendarobjects </span>limit </span>1</span>;
</span></code></pre>


Surcharge (override) d'un shell.nix
Unknown — Wed, 16 Oct 2024 00:00:00 +0000
Partons du principe qu'un projet utilise un fichier shell.nix</code> partagé
entre plusieurs personnes, et qu'on souhaite l'utiliser tout en ajoutant notre propre
configuration (par exemple pour ajouter des paquets dont on a personnellement besoin).</p>
Exemple de fichier shell.nix</code> :</p>
# shell.nix
</span>{ </span>pkgs ? </span>import </span><nixpkgs> </span>{} </span>}</span>:
</span>pkgs</span>.</span>mkShell </span>{
</span>  </span>buildInputs </span>= [
</span>    </span>pkgs</span>.</span>kubectl
</span>  ];
</span>  </span>shellHook </span>=
</span>    ''
</span>    source <(kubectl completion bash)
</span>    alias k=kubectl
</span>    complete -F __start_kubectl k
</span>    </span>'';
</span>}
</span></code></pre>
Notre fichier de surcharge, ici local.nix</code> :</p>
# local.nix
</span>let
</span>  </span>pkgs </span>= </span>import </span><nixpkgs> </span>{ };
</span>  </span>shellNix </span>= </span>import </span>./shell.nix </span>{ </span>inherit </span>pkgs</span>; };
</span>in
</span>  </span>pkgs</span>.</span>mkShell </span>{
</span>    </span>buildInputs </span>= </span>shellNix</span>.</span>buildInputs </span>++ [
</span>      </span>pkgs</span>.</span>helix
</span>      </span>pkgs</span>.</span>rustc
</span>    ];
</span>    </span>nativeBuildInputs </span>= </span>shellNix</span>.</span>nativeBuildInputs </span>++ [];
</span>    </span>propagatedBuildInputs </span>= </span>shellNix</span>.</span>propagatedBuildInputs </span>++ [];
</span>    </span>propagatedNativeBuildInputs </span>= </span>shellNix</span>.</span>propagatedNativeBuildInputs </span>++ [];
</span>    </span>shellHook </span>= </span>shellNix</span>.</span>shellHook </span>+ "</span>\n</span>" +
</span>      ''
</span>      </span>'';
</span>  }
</span></code></pre>
On peut alors obtenir un shell avec à la fois la configuration partagée
et notre configuration locale :</p>
nix-shell</span> local.nix
</span></code></pre>
Il y a peut-être plus propre ; mais pour l'instant ça me suffit :-]</p>


Faire tomber en marche la reconnexion automatique du VPN d'un NAS synology
Unknown — Mon, 13 May 2024 00:00:00 +0000
L'article qui suit part du principe qu'on souhaite avoir un NAS synology avec un profil openvpn (client donc), qui se connecte à un serveur ; en vue de pouvoir accéder au NAS à distance - même s'il est derrière un NAT et sans nécessiter de configuration particulière au niveau parfeu du réseau (dans la majorité des cas).</p>
Le mécanisme de reconnexion automatique de synology ne fonctionne pas ou très mal (certain·e·s parlent du fait que leur mécanisme arrête de tenter sa chance au bout d'une minute d'échec...).</p>
Pas assez fiable pour imaginer droper un NAS dans la nature en le gardant joignable pour ses sauvegardes hors-site.</p>
Une solution plus robuste est de créer une tâche planifiée (DSM -> Panneau de configuration -> Planificateur de tâches</code>) et de créer
une tâche avec les paramètres suivants :</p>

utilisateur : root</code></li>
Exécuter les jours suivants, répéter: Quotidienne</code> [sic]</li>
Heure de début : 00:00</code></li>
Répéter : Toutes les minutes</code></li>
Dernière heure d'exécution : 23:59</code></li>
Script défini par l'utilisateur : voir ci-dessous.</li>
</ul>
Le script (quasi-Verbatim de celui-ci</a>) :</p>
CHECKIP</span>='</span>10.1.0.1</span>'  </span># IP à vérifier, si celle-ci ne ping plus alors le vpn est relancé ; typiquement la gateway du tunnel est une solution
</span>NAME</span>='</span>mon-vpn</span>'  </span># doit correspondre au nom du profil VPN à redémarrer
</span>ID</span>='</span>p1489396766</span>'  </span># trouvé via `grep conf_id /usr/syno/etc/synovpnclient/vpnc_last_connect`
</span>PROTO</span>='</span>openvpn</span>'  </span># nom du proto VPN utilisé
</span>
</span>if </span>ping -c</span> 1 $</span>CHECKIP </span>&> /dev/null
</span>then
</span>  </span>synovpnc</span> get_conn
</span>  </span>route
</span>else
</span>  </span># echo "Killing VPN ($NAME)"
</span>  </span># synovpnc kill_client n'est pas bulletproof
</span>  </span>#synovpnc kill_client --name=$NAME
</span>  </span># un peu violent de tuer tous les processus openvpn mais au moins ça marche
</span>  </span># (tant qu'on a qu'un seul tunnel)
</span>  </span>pkill</span> openvpn
</span>  
</span>  </span>echo </span>"</span>Reconnecting VPN (</span>$</span>NAME</span> - </span>$</span>PROTO</span>)</span>"  
</span>
</span>  </span>echo</span> conf_id=$</span>ID </span>> /usr/syno/etc/synovpnclient/vpnc_connecting
</span>  </span>echo</span> conf_name=$</span>NAME </span>>> /usr/syno/etc/synovpnclient/vpnc_connecting
</span>  </span>echo</span> proto=$</span>PROTO </span>>> /usr/syno/etc/synovpnclient/vpnc_connecting
</span>  </span>synovpnc</span> reconnect</span> --protocol</span>=$</span>PROTO --name</span>=$</span>NAME
</span>fi
</span>exit</span> 0
</span></code></pre>


Expression régulière pour convertir des liens en markdown
Unknown — Sun, 18 Feb 2024 00:00:00 +0000
Pour faire du search and replace / chercher et remplacer dans un document pour convertir des URL au format mardown, on peut utiliser l'expression régulière suivante :</p>
(?<!\[)(?:(?<!\]\(\s?))(https?:\/\/(www\.)?[-a-zA-Z0-9@:%._\+~#=]{1,256}\.[a-zA-Z0-9]{1,6}\b([-a-zA-Z0-9@:%_\+.~#?&//=]*))
</span></code></pre>
L'URL est alors capturée dans le matching group $1</code>.</p>
On peut ensuite utiliser son outil/IDE (par exemple VSCodium / VScode) avec l'expression [1]($1)</code> pour convertir toutes les URL qui corresponde à la Regex ci-dessus :</p>
</p>
Limitations connues :</p>

Si l'URL contient les caractères []()</code>, alors l'expression régulière ne marchera pas.</li>
</ul>


PostgreSQL : identifier les requêtes lentes
Unknown — Fri, 16 Feb 2024 00:00:00 +0000
Pour identifier rapidement les requêtes qui prennent beaucoup de temps avec un impact minimum sur l'environnement d'exécution, on
peut demander à PostgreSQL d'écrire dans les journaux (logs) les requêtes dépassant un certain temps d'exécution.</p>
Note : contrairement à pg_stat_statements</a>, les opérations qui suivent peuvent être réalisées sans redémarrer/recharger le serveur PostgreSQL.</p>
Pour écrire les requêtes SQL dépassant un temps d'exécution de 2s dans les journaux PostgreSQL, exécuter cette
commande (il faudra être owner de la base mabase</code> ou admin PostgreSQL) :</p>
-- log les requêtes qui mettent plus de 2s
</span>ALTER DATABASE </span>mabase </span>SET</span> log_min_duration_statement = </span>2000</span>;
</span></code></pre>
On peut alors se connecter sur mabase</code> et vérifier que la valeur de log_min_duration_statement</code> a bien changé :</p>
\c mabase
</span>select</span> current_setting('</span>log_min_duration_statement</span>')::interval;
</span></code></pre>
À partir de cet instant, les requêtes dépassant notre seuil de 2s de temps d'exécution sont loguées dans les journaux
PostgreSQL (typiquement dans /var/log/postgresql/postgresql-*-main.log</code>).</p>
Attention à ne pas laisser indifiniment la journalisation de ces requêtes actives : elles peuvent remplir les logs de façon significatives.</p>
Pour désactiver ces logs, exécuter cette requête :</p>
ALTER DATABASE </span>mabase </span>SET</span> log_min_duration_statement = -</span>1</span>;
</span></code></pre>


Déplacer le dossier de données (data-root) de docker
Unknown — Fri, 09 Jun 2023 00:00:00 +0000
Pour déplacer le dossier de données de docker, ne suffit pas :</p>

d'arrêter docker</li>
de déplacer le dossier</li>
de mettre à jour la configuration du démon et redémarrer</li>
</ul>
Si on s'arrête là il est très probable qu'il ne soit pas possible de redémarrer les conteneurs docker.</p>
Le symptome est visible dans les logs (via journalctl -u docker</code> par exemple).</p>
Chaque conteneur a une configuration dans un fichier config.v2.json</code> (typiquement à l'emplacement <dossier data-root>/<container_id>/config.v2.json</code>). Ce fichier de configuration
peut spécifier des chemins absolus qui utilisaient l'ancien emplacement du dossier de données.</p>
L'erreur typique, que l'on peut voir (avec journalctl -u docker</code>) après avoir redémarrer le démon et les conteneurs est :</p>

error evaluating symlinks from mount source "/var/lib/docker/volumes/mycontainer/_data": lstat /var/lib/docker: no such file or directory</p>
</blockquote>

Arrêter les services :</li>
</ul>
sudo</span> systemctl stop docker
</span>sudo</span> systemctl stop docker.socket
</span>sudo</span> systemctl stop containerd
</span></code></pre>

Copier ou déplacer le dossier vers la nouvelle destination</li>
</ul>
mv</span> /var/lib/docker /my/new/destination
</span></code></pre>

Mettre à jour le fichier de configuration du démon docker (/etc/docker/daemon.json</code>) :</li>
</ul>
{
</span>  "</span>data-root</span>": "</span>/my/new/destination</span>"
</span>}
</span></code></pre>

Mettre à jour la configuration des conteneurs pour remplacer l'ancien chemin avec le nouveau (chemin pouvant être mentionné dans les chemins des volumes, par exemple) :</li>
</ul>
find</span> /my/new/destination</span> -name</span> config.v2.json</span> -exec</span> sed</span> -i </span>'</span>s|/var/lib/docker|/my/new/destination|g</span>' {} </span>\;
</span></code></pre>

Redémarrer les services</li>
</ul>
sudo</span> systemctl start containerd
</span>sudo</span> systemctl start docker.socket
</span>sudo</span> systemctl start docker
</span></code></pre>


Faire fonctionner l'extension Ansible pour VSCodium lorsque celui-ci est installé via flatpak
Unknown — Thu, 09 Feb 2023 00:00:00 +0000
Quand on utilise VSCodium</a> installé via flatpak</a>, on peut avoir l'erreur suivante :</p>

Command failed: ansible-config dump /bin/sh: ligne 1: ansible-config : command not found</p>
</blockquote>
Si on utilise un venv</h2>
Pour corriger le tir, ajouter la configuration suivante au fichier settings.json</code> de VSCodium (en remplaçant /home/myuser/venv</code> par le chemin de votre virtualenv) :</p>
{
</span>    "</span>ansible.python.activationScript</span>": "</span>/home/myuser/venv/bin/activate</span>",
</span>    "</span>ansible.python.interpreterPath</span>": "</span>/usr/bin/flatpak-spawn --host /home/myuser/venv/bin/</span>",
</span>    "</span>ansible.validation.lint.path</span>": "</span>/usr/bin/flatpak-spawn --host /home/myuser/venv/bin/ansible-lint</span>",
</span>    "</span>ansible.ansible.path</span>": "</span>/usr/bin/flatpak-spawn --host /home/myuser/venv/bin/ansible</span>"
</span>}
</span></code></pre>
Il faudra bien sûr avoir installé dans le virtualenv les outils ansible</code> et ansible-lint</code> :</p>
cd</span> /home/myuser/
</span>python3 -m</span> venv venv && </span>source</span> venv/bin/activate
</span>pip</span> install ansible ansible-lint
</span></code></pre>
Si on utilise Ansible et ansible-lint via le gestionnaire de paquets</h2>
On peut simplement ajouter au fichier de configuration utilisateur (Ctrl+Shift+P</code> ➡️  "Preferences: Open User Settings (JSON)") :</p>
{
</span>  "</span>ansible.ansibleNavigator.path</span>": "</span>/usr/bin/flatpak-spawn --host /usr/bin/ansible-navigator</span>",
</span>  "</span>ansible.validation.lint.path</span>": "</span>/usr/bin/flatpak-spawn --host /usr/bin/ansible-lint</span>",
</span>  "</span>ansible.ansible.path</span>": "</span>/usr/bin/flatpak-spawn --host /usr/bin/ansible</span>"
</span>}
</span></code></pre>


Message à caractère informatif à destination des collectivités
Unknown — Sun, 14 Aug 2022 00:00:00 +0000
A l'heure où j'écris ces lignes il est très difficile de trouver un fichier GPX contenant des activités sur le territoire français. Cas type : les coins permettant la baignade sur la Dordogne (et sa région).</p>
On trouve bien des cartes comme ici</a> ou ici</a> mais leur utilisation est pénible et ne permet pas une réutilisation facile des données tel que de charger les points dans un GPS ou encore construire une carte avec un service tel que umap</a> pourtant très utile pour prospecter les choses à faire dans une région - par exemple.</p>
Imaginez un peu ce que ca donne coté usager qui veut découvrir votre région : on doit croiser plusieurs sources d'infos, plusieurs cartes etc alors qu'on pourrait tout simplement tout charger sur une carte : celle de son GPS et découvrir la région en se laissant aller à découvrir les divers coins que votre région a à proposer.</p>
Actuellement, pour faire ce travail de recoupement ça demande beaucoup trop de temps et d'effort à passer coincer sur un ordinateur / smartphone alors qu'en vacances on a autre chose de plus intéressant à faire.</p>
Ce qui me fâche, encore plus que de perdre mon temps en vacances à bidouiller un truc informatique c'est que le fichier GPX en question est forcément accessible aux gens qui construisent ces cartes mal faites : pourquoi dès lors ne pas distribuer ce fichier ?</p>
Pour rappel, un fichier GPX est compatible avec à peu près tous les GPS ; c'est facile d'utilisation et surtout c'est interopérable : on peut faire quelque chose de ces données. On peut même charger plusieurs fichiers GPX en même temps dans son GPS (par exemple avec l'application opensource OSMand</a>) pour avoir une vue globale des points d'intérêts.</p>
Partant de là, pourquoi priver les usager de ces données puisqu'elles existent ?</p>
Bref, après quelques recherches sur comment extraire ces données et quelques lignes de codes voici le GPX tant attendu :</p>
Dordogne baignade</a></p>


Monter facilement un environnement de développement pour Ansible en utilisant Vagrant
Unknown — Wed, 01 Jun 2022 00:00:00 +0000
D'abord, on défini une instance Vagrant</a> basée sur debian</a> bullseye (11) via ce VagrantFile (Ici on utilise le fournisseur libvirt</a>, mais vous pouver sûrement utiliser celui que vous voulez - j'en ai pas testé d'autres) :</p>
$script = <<SCRIPT
</span>
</span># installe les dépendances pour Ansible
</span>apt-get update -y && apt-get install -y python3
</span>
</span># On s'assure que tout est bien installé
</span>apt --fix-broken install -y
</span>
</span>SCRIPT
</span>
</span>Vagrant.configure("2") do |config|
</span>  config.vm.provider "libvirt" do |v|
</span>    v.memory = 512
</span>    v.cpus = 1
</span>  end
</span>  # disable NFS sharing
</span>  config.vm.synced_folder ".", "/vagrant" , disabled: true
</span>  config.vm.provision "shell", inline: $script
</span>  config.vm.box = "debian/bullseye64"
</span>end
</span></code></pre>
Puis, on lance l'instance Vagrant:</p>
vagrant</span> up
</span></code></pre>
Puis, on va créer un fichier de configuration ssh ssh_config</code> qui sera consommé par le client ssh d'Ansible</a> :</p>
vagrant</span> ssh-config > ssh_config
</span></code></pre>
Et enfin dans l'inventaire Ansible, on ajoute cette machine (adapter /home/user/chemin/vers/ssh_config</code> pour pointer vers le fichier ssh_config</code> créé ci-avant) :</p>
vagrant_1 ansible_host=default ansible_user=vagrant ansible_ssh_common_args="-F /home/user/chemin/vers/ssh_config"
</span></code></pre>
Et voilà, on a un environnement reproductible, simple et très rapide à mettre en place.</p>
A noter qu'on peut aussi provisionner une instance Vagrant avec Ansible</a>. Mais c'est un autre sujet.</p>


Vagrant stuck on Waiting for domain to get an IP address...
Unknown — Fri, 13 May 2022 00:00:00 +0000
When you get stuck with "Waiting for domain to get an IP address..." while running a vagrant box with libvirt provider, you should look at your logs (journalctl -f</code>) and you may find the following error :</p>

dnsmasq-dhcp[]: DHCP packet received on virbr1 which has no address</p>
</blockquote>
This means there is no IP address on our bridge. A simple solution is : delete vagrant network :</p>
sudo</span> virsh net-destroy</span> --network</span> vagrant-libvirt
</span>sudo</span> virsh net-undefine</span> --network</span> vagrant-libvirt
</span></code></pre>
Then, we can try to boot our box again:</p>
vagrant</span> destroy</span> --force
</span>vagrant</span> up
</span></code></pre>


J'ai vu un mec
Unknown — Tue, 12 Apr 2022 00:00:00 +0000
J'ai vu un mec sur la plage.</p>
J'ai vu un mec sur la plage qui ramassait des choses.</p>
J'ai vu un mec sur la plage qui se penchait inlassablement.</p>
J'ai pensé que ce mec pêchait, comme on en voit régulièrement pêcher : un sac à la main et des bottes aux pieds.</p>
Curieux de savoir ce que ce mec pêchait je lui ai démandé.</p>
Ce mec ne pêchait pas.</p>
Ce mec ramassait des déchets ; dont beaucoup de déchets plastiques.</p>
Il se baissait tellement souvent pour ramasser quelque chose qu'une image m'est revenue : l'image de fin de Margin Call, quand un des banquiers du film creuse et creuse son trou pour enterrer son chien.</p>
Ce mec se baissait tellement souvent que j'avais mal au dos pour lui, que chaque fois qu'il se baissait j'étais de plus en plus en colère des résultats de ces élections présidentielles qui ne traitent aucunement du premier problème auquel nous avons à faire face : le réchauffement climatique.</p>
Par son geste, ce mec faisait son possible là, maintenant, tout de suite pour améliorer son environnement direct.</p>
Par son geste, à chaque fois qu'il se baissait, il rappelait au monde que bientôt il y aura plus de plastique dans l'océan que de poissons¹.</p>
Nous sommes à un moment dramatique pour l'humanité et encore une fois à cette présidentielle nous finissons avec des candidats qui ne traiteront rien de l'enjeu climatique.</p>
Ce mec continuera pour longtemps à se baisser ramasser des bouts de plastique, j'ai mal pour lui, je ne sais quoi faire pour lui à part être reconnaissant de tout ce qu'il fait. Ce geste répétitif qui est le sien est insignifiant par rapport à l'ampleur des changements que nous devrions entamer pour arrêter de considérer notre monde comme notre poubelle.</p>
Mais bon, semble-t-il que trop de monde s'en fout pour qu'on n'ai pu changer de braquet à cette élection.</p>
Pardon mec, continue ton chemin modeste et en tous cas tu as été d'une grande inspiration pour moi pour écrire ce court billet qui lui aussi ne changera rien, j'en suis convaincu, à la marche du monde.</p>
¹ https://www.cnetfrance.fr/news/en-2050-y-aura-t-il-autant-de-plastiques-que-de-poissons-dans-les-oceans-39917973.htm</a></p>


Données de Santé en France : où en est-on ?
Unknown — Fri, 26 Feb 2021 00:00:00 +0000

Mise à jour : le 24/02/2020 la CNIL fait un état des lieux du sujet et rappelle les obligations des responsables de traitements de données et particulièrement pour les données très sensibles comme celles concernant la santé : https://www.cnil.fr/fr/violation-de-donnees-de-sante-la-cnil-rappelle-les-obligations-des-organismes-la-suite-dune-fuite-de</p>
</blockquote>
(attention, ne cherchez pas une réponse exhaustive à cette question dans ce billet - c'est un sujet vaste et j'ai pas mon master en droit)</p>
Vous l'avez peut être vu passer : une fuite de données de santé concernant des patients français a eu lieu. Cette fuite est massive (on parle d'environ 500 000 enregistrements). Ce fichier est maintenant en accès libre sur Internet ce qui représente un risque important pour les patients concernés. ⚠️ Attention, si vous êtes tenté·e d'aller chercher ce fichier cet acte est très probablement illégal (Code de la Santé Publique, article L1110-4 IV: peine d'un an d'emprisonnement et 15000€ d'amende).</p>
Votre humble serviteur ne va pas redonner tous les détails concernant cette fuite de données car la presse en a déjà beaucoup parlé et il me semble ici important de parler d'autre chose : les obligation qui reposent sur les épaules des gens qui collectent et traitent des données de santé. J'ai tenté de plonger dans un peu de droit, ce n'est pas mon domaine alors n'hésitez pas à être vigilant·e·s, à vérifier, à recroiser les informations.</p>
A la fin de cet article je vais poser des questions sur le sujet des données de santé, sur l'usage qui est fait des ordinateurs dans notre parcours de santé et interroger l'état où nous en sommes arrivés dans ces pratiques. Si le droit vous barbe, vous pouvez aller directement à la fin, je tenterais de reprendre dans cette liste de questions celles qui me sont venues à la lecture des quelques texte de loi que j'aborde au début de cet article. Bonne lecture à vous.</p>
Si vous n'avez pas le contexte de ce quoi on parle, voici quelques articles de presse :</p>

https://www.franceinter.fr/societe/ce-que-l-on-sait-de-la-fuite-sans-precedent-de-donnees-medicales-de-laboratoires-d-analyses</a></li>
https://www.francetvinfo.fr/internet/securite-sur-internet/cyberattaques/piratage-informatique-ce-que-l-on-sait-de-la-fuite-de-donnees-medicales-de-pres-de-500-000-patients-francais_4308983.html</a></li>
https://www.nextinpact.com/article/43405/un-leader-europeen-donnees-sante-licencie-lanceur-dalerte-pour-faute-grave</a></li>
Libération, version papier n°12348 du 24/02/2021</li>
</ul>
Bref. Donc on a cette violation de données de santé et le truc qui m'a lancé dans ma recherche du jour et dans la rédaction de cet article c'est la lecture du journal Libération, dans sa version papier (numéro 12348 paru le 24/02/2021). Celui-ci affirme la chose suivante :</p>

Car si la protection des informations ayant une valeur économique est
très régularisée en France avec, entre autres, des directives très claires sur le chiffrement des données bancaires et l'obligation d'alerter les autorités de toute faille possible, rien de tout cela ne semble exister pour les informations médicales.</p>
</blockquote>
En lisant ça je me suis dit qu'il y avait un problème. En France et en Europe on a au moins le RGPD qui parle des données personnelles et qui nous apporte un certain degré de protection. Comment les données médicales ne pourraient-elles pas, au moins, être concernées par le RGPD ?</p>
C'est là que commencent mes recherches.</p>
De ce que j'en ai retenu : les données de santé sont au moins concernées par deux textes :</p>

le RGPD</li>
le Code de la santé publique</li>
</ul>
Le RGPD définit les données de santé sous le terme "données concernant la santé"</em> (article 4-15</a>) comme:</p>

les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne</p>
</blockquote>
Pour résumer : une donnée de santé est une donnée à caractère personnel. Donc il convient de regarder ce que dit le RGPD pour protéger une donnée personnelle. On a, à minima, ça en droits. Il faudra alors chercher ce qui vient s'ajouter à ces droits puisque les données de santé sont particulièrement sensibles.</p>
Pour les données personnelles l'article 9</a> dit que par défaut certaines données ne peuvent pas</strong> être traitées sans que des conditions soient remplies. La liste des données personnelles citée par l'article 9 contient les "données concernant la santé</em>".</p>
L'article 9 explique ce qui est autorisé et ce qu'il n'est pas autorisé de faire avec ces données.
Attention cependant, l'article 9 ne parle pas de la sécurisation des données, on verra ce point plus tard.
L'article 9 nous permet simplement de répondre à la question, si elle existait, de la légitimité ou non pour un laboratoire de faire un tel traitement/collecte de données et dans quelles conditions ces opérations doivent être faites.
La partie sur le consentement est hyper importante ici.
Première question : est-ce que les professionnels de santé que vous avez consulté vous ont tenu au courant du traitement fait avec les données qui étaient entrées dans l'ordinateur du professionnel de santé ?</p>
Toujours dans l'article 9 (paragraphe 3), il est précisé que les finalités de médicales et sociales (je vous laisse lire l'article 9, paragraphe 2-h pour avoir la liste exhaustive) sont autorisées **si et seulement **si ce traitement est effectué:</p>

par un professionnel de la santé</strong> soumis au secret professionnel</strong></li>
par des organismes nationaux compétents</strong></li>
ou à une autre personne soumise à une obligation de secret</strong> et sous la responsabilité du professionnel de santé</strong></li>
</ul>
Autrement dit on ne fait pas n'importe quoi</strong>. La responsabilité première est de respecter le secret professionnel, et en l'occurence le secret médical.
On parle, avec les données de santé d'une catégorie de données des plus sensible pour les personnes concernées.
Vous n'avez pas envie que tout le monde sache votre statut VIH, que vous êtes enceinte, que vous êtes trans, que vous avez un diabète, etc. Pas vrai ?</p>
La CNIL a mis une FAQ</a> à destination des professionnels de santé. Elle rappelle entre autres que :</p>

Les données que vous collectez sur les patients doivent être adéquates, pertinentes et limitées à ce qui est strictement nécessaire à la prise en charge du patient au titre des activités de prévention, de diagnostic et de soins.</p>
</blockquote>
Donc on n'a pas le droit de collecter n'importe quoi</strong> parce qu'on peut le faire. On doit être responsable</strong> de ce qu'on saisit dans son ordinateur.</p>
Coté sécurisation, le professionnel est responsable "des accès non autorisés ou illicites [...], de la perte, la destruction [...]" des données (voir là encore la FAQ de la CNIL</a>). A cette fin, le professionnel doit prendre prendre des précautions afin de protéger les données du patient. Pour faire ça, le professionnel doit mettre des contre-mesures</strong> en place. Ces contre-mesures peuvent être organisationnelles</strong> ou techniques</strong>. Le but est de protéger la confidentialité</strong> et de garantir l'intégrité des données</strong>. Dans le cas du jour il semble que même les mots de passe des utilisateurs n'étaient pas chiffrés</a>.</p>
Si cette charge de la sécurisation est trop lourde à exercer par le professionnel de santé (on pense entre autres aux petites structures comme les cabinets libéraux), alors le professionnel peut se tourner vers un sous-traitant. Le sous-traitant doit apporter des garanties en terme de sécurité</strong> au regard du risque en présence.
On le rappelle, ici on parle de données de santé, coté risques on est servis (allez une idée en l'air bien pessimiste : "je suis une assurance et je ne veux surtout pas me retrouver à assurer des gens qui vont passer l'arme à gauche dans 3 mois - certaines infos de santé sont cruciales pour préserver mes profits - nananère").</p>
Pour effectuer ce traitement vous devez tenir un registre</strong> qui liste les traitements que vous effectuez. En ayant fait ce travail ca devrait être un jeu d'enfant de répondre aux questions des patients qui se demande ce qu'il adviendra des données les concernant.</p>
Enfin, rappelons-le **lorsqu'une violation de données a eu lieu et que celle-ci représente un risque ou un risque élevé **alors la personne responsable du traitement de données se doit de notifier l'autorité de contrôle</strong></a> (en France c'est la CNIL</a>) dans les 72h</strong>. Ces 72h comptent à partir du moment où la violation a été constatée par la personne ayant procédé au traitement de données.</p>
On ne manquera pas de mettre en évidence que pour relever une violation de données encore faut-il mettre en place des dispositifs techniques et organisationnels pour y parvenir. Quand c'est la presse qui vous apprend qu'il y a un problème, c'est un très gros problème.</p>
Lire, comme on a pu le lire dans la presse au sujet de cette fuite de données, que les gens qui traitent les données s'attendaient à recevoir une notification de la part des autorité est assez étonnant.
Attendre que l'autorité prévienne le responsable du traitement c'est laisser beaucoup d'eau couler sous les ponts et c'est pas comme ça qu'il est attendu, au regard du RGPD, que ça se passe.
Certes les autorités peuvent notifier une entreprise qu'elle a un soucis de sécurisation mais en principe la notification de l'entreprise vers l'autorité de contrôle (la CNIL) est sensé être la norme :</p>

Le responsable du traitement constate une violation de données</li>
Le responsable du traitement notifie les autorités dans les 72h</li>
Le responsable du traitement prévient les gens concernés par la violation (clients, patients etc)</li>
</ul>
Ici on n'est pas dans une démarche de "pas vu pas pris".
On est dans une démarche pro-active et on est sensés être en capacité d'être les premiers à avertir d'une violation de données.
Par capacités on entend des capacités techniques (monitoring, etc) et des capacités organisationnelles.
Ce fonctionnement est une très bonne idée car il y a une très bonne raison à détecter rapidement et à prévenir rapidement en cas de fuite de données : Toute donnée peut être utilisée pour d'autres fins.
Une autre fin c'est par exemple une attaque future. Par exemple une campagne de Phishing (Hammeçonnage), du Social Ingineering (Ingénérie sociale), etc. On peut aussi utiliser ces données pour obtenir des droits d'accès supplémentaires sur d'autres systèmes d'information etc.</p>
Dans le cas présent, si les mots de passe sont en réellement en clair (non chiffrés) et que le fichier contient aussi les emails des patients alors il y a une énorme probabilité</strong> pour pouvoir accéder aux boites mails des patients</strong> puisque les gens ont la mauvaise habitude d'utiliser le même mot de passe sur plusieurs services. Quand on voit que plein de services se basent sur le mail pour les procédures d'authentification il y a de quoi craindre.</p>
Vous comprenez alors pourquoi il est important de pas faire n'importe quoi avec les données des gens et pourquoi il faut prévenir les gens concernés au plus vite. Parce que ces gens doivent pouvoir savoir que leurs données sont dans la nature et que, pour certaines d'entre elles, il est possible d'atténuer les effets (par exemple en changeant en urgence le mot de passe de son courriel)</strong>.</p>
Quand une fuite de donnée intervient comme ici, le manque de sécurité d'une partie provoque un manque de sécurité collectif.</p>
L'article 32</a> parle, de son coté, des obligations de sécurité attendues:</p>

le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque</p>
</blockquote>
L'article 32 évoque très clairement des moyens connus de protection : le chiffrement, la pseudonymisation etc. Ce sont des moyens connus mais encore trop rarement mis en oeuvre.</p>
On a parlé du RGPD mais pas encore du Code de la Santé Publique</strong>.</p>
Les articles importants semblent être les L1110-4, L1111-7 et L1111-8.</p>
Le L1110-4</a> rappelle (paragraphe I) qu'une personne prise en charge</strong> médicalement "a droit au respect de sa vie privée et du secret des informations la concernant</strong>".
Ce même article précise (paragraphe II) que les professsionnels de santé peuvent échanger des données</strong> avec d'autres professionnels si ces professionnels traitent un même patient et ce si et seulement</strong> si c'est nécessaire</strong> à la coordination</strong> ou à la continuité</strong> des soins, pour la prévention</strong> ou le suivi</strong> médico-social et social.
Au paragraphe III dit que si les informations sont partagées entre professionnels et que ceux-ci ne sont pas dans la même équipe de soins alors le consentement du patient est nécessaire</strong>.
Au IV : une personne a le droit de s'opposer au partage d'informations, elle peut le faire à tout moment et doit être informée que ce droit existe.
Enfin, si vous tentez de récupérer ces informations malgré tout vous encourrez 1 an de prison et 15k€ d'amende (V)</p>
Le L1111-7</a> rappelle qu'une personne a le droit d'accéder à ses propres informations.</p>
Le L1111-8</a> décrit les obligations en terme d'Hébergement de Données de Santé (HDS) :</p>

on ne peut héberger une donnée que si la personne prise en charge a été informée et que celle-ci n'a pas formulé d'opposition avec un motif légitime (paragraphe I)</li>
seul un hébergeur certifié peut héberger des données de santé (paragraphe II)</li>
seul un hébergeur agréé par le ministère de la culture (sic) peut héberger des données de santé (paragraphe III)</li>
un hébergeur de données de santé ne peut utiliser les données pour une autre finalité que pour l'hébergement même de ces données (paragraphe 5)</li>
</ul>
Là encore il existe une FAQ, éditée par L'agence du numérique en santé</a>.</p>
J'ai une question qui me vient en lisant la question 2 de la FAQ ci-dessus et aussi le passage suivant qu'on peut trouver sur esante.gouv.fr</a> :</p>

Les hébergeurs de données de santé sur support numérique (en dehors des services d’archivage électronique) doivent être certifiés.</p>
</blockquote>
Est-ce à penser que les services de sauvegarde (backup) ne sont pas concernés par la certification/agrément ?
Comme le niveau de sécurité est toujours basé sur le plus faible maillon de la chaine, que penser ?
Est-ce que l'hébergement en interne (c'est à dire sans passer par un sous-traitant) ne nécessite pas de certification / agrément et qu'il faut se contenter des obligations posées par l'article 32 du RGPD</a> ?</p>
Questions en vrac</h2>

Pourquoi certains laboratoires d'analyse médicalent utilisent le numéro de téléphone comme mot de passe pour accéder aux analyses ?</li>
Comment peut-on fournir / exploiter un système d'information traitant des données de santé alors que ce système d'information ne procède même pas au chiffrement des mots de passe des utilisateur (alors que de ne pas le faire est une mauvaise pratique en terme de cybersécurité depuis des lustres)</li>
Comment tolérer que des informations de santé puissent passer sur des boites mail de toutes sortes (par exemple une boite mail gérée par un des GAFAM) alors que par ailleurs on exige des certifications pour héberger des données de santé ?</li>
Comment peut-on tolérer l'usage de plateformes de visioconférences non certifiées pour la réalisation de consultation médicale à distance (pendant le confinement on a vu un usage massif de plateformes qui sont loin de briller par leur sécurisation et pas mieux du coté du respect de la vie privée)</li>
Est-ce que le professionnel de santé chez qui vous allez vous tient au courant de ce qu'il enregistre dans son ordinateur et des traitements qui seront fait de ces informations ?</li>
Pourquoi doit-on accepter dans certains cas de voir ses rendez-vous médicaux arriver dans un calendrier partagé géré par google ?</li>
Est-ce que les entreprises qui font du backup (sauvegardes) de données de santé sont soumises à agrément / certification au même titre que les Hébergeurs de Données de Santé ?</li>
Quelle certification / agrément est nécessaire pour les professionnels qui hébergent dans leurs locaux les données de santé de leurs patients ?</li>
Ajoutez vos questions aux commentaires ;)</li>
</ul>
Photo CDC</a> @ Unsplash</a></p>


Définition et réflexions autour des silos
Unknown — Thu, 21 Jan 2021 00:00:00 +0000
J'ai eu plusieurs fois à expliquer ce qu'est un silo en informatique, alors c'est parti pour une version écrite et j'espère complète.</p>
Un silo, vous connaissez sûrement ça dans le domaine de l'agriculture : c'est un lieu où on va stocker des denrées pour faciliter leurs conservations.</p>
Et bien en informatique on a aussi des silos.</p>
Un silos en informatique c'est en fait un service qui rassemble des utilisateur·ice·s.</p>
Plus il y a d'utilisateurs à utiliser le service, plus ce service est attractif, plus le silo grandit.</p>
Un des gros problèmes qui émerge de cette construction de silo c'est qu'une fois qu'un silo est constitué dans un domaine d'activités donné (par exemple la location d'appartement, le réseau social, les market place type amazon, de covoiturage ...) il est très difficile d'offrir un concurrent au silo déjà en place et ce pour une raison très simple.</p>
Quand un service à plein d'utilisateurs, il est très attractif. Par exemple si vous pensez "je veux louer un logement pour le weekend" vous allez pensez Airbnb parce qu'ils ont été là en premier, que la base d'utilisateur·ice·s est immense et qu'il y a une très grande quantité d'offres sur ce service. Si demain un service concurrent pointe le bout de son nez, il aura beau faire des efforts de publicité considérables il peinera à faire sa place puisque chaque utilisateur·ice qui tentera d'y chercher son bonheur se retrouvera confronté·e à un choix moindre dans les offres (voir à aucune offre) et donc repartira déçu. Pour éviter la frustration, cet·te utilisateur·ice se retournera alors vers la plateforme qu'ielle connait, qui lui offre de la satisfaction à coup sûr. Et, au passage, cet·te utilisateur·ice gardera en tête sa mauvaise expérience chez la concurrence et le bouche à oreille finira par freiner les potentielles futures personnes qui auraient pût être tentées de tester cette concurrence.</p>
Vous pouvez essayez d'imaginer la même chose pour le covoiturage. Vous avez blablacar, vous êtes quasi sûr de trouver votre course. Mais vous avez aussi Mobicoop, La roue verte etc. et pourtant vous serez tentés de passer par blablacar ne serait-ce parce que vous avez envie d'être efficaces dans ce que vous entreprenez.</p>
Pour résumer ces silos représentent plusieurs problèmes majeurs :</p>

Il est très difficile de voir une concurrence émerger</li>
Il est quasi impossible de faire communiquer deux silos puisque chaque entreprise n'a pas d'intérêt autre que de garder au maximum captif ses utilisateurs et deux concurrents ont peu d'intérêt à collaborer (sans compter que l'entente entre concurrents peut être considérée comme une pratique anticoncurrentielle</a>.</li>
</ul>
L'existence des silos est parfois très évidente quand on imagine les cas cités plus haut. Mais il y a d'autres choses qu'on peut observer.</p>
Comment fait un réseau social pour s'imposer aujourd'hui et capter ses utilisateur·ice·s ? En général ce réseau social va aller chercher une nouvelle forme de présenter les choses, un nouveau format de contenu, de nouvelles intéractions. Ainsi ce qui différencie Facebook, d'Instagram, Tiktok &co c'est surtout le format des contenus. Instagram, Tiktok auraient copié les fonctionnalités de Facebook il n'auraient pas le nombre d'utilisateur·ice·s qu'ils ont aujourd'hui. (Les réseaux sociaux basés sur du code libre devraient probablement s'en inspirer pour capter plus de monde :p)</p>
Pour terminer et finir d'incister sur cette notion de silo: si votre silo est le premier sur le domaine d'activités que vous visez il y a de très grandes chances pour que vous soyez et restiez le silo de fait pour ce domaine d'activités.</p>
En tant qu'entreprise possédant un silo, vous avez parfois intérêt à acheter un silo concurrent soit pour le tuer, soit pour acquérir des technologies associées, soit pour récupérer ses utilisateur·ice·s.</p>
C'est entre autres ce qu'a fait Facebook en achetant Instagram (1Milliard de dollars</a>) et Whatsapp (19 Milliards de dollars</a>).</p>


Est-ce peine perdue ?
Unknown — Mon, 06 Apr 2020 00:00:00 +0000
15 ans. 15 ans que je pousse mes proches à adopter une hygiène numérique la moins pire possible. Essentiellement pour les protéger face aux dérives, abus, et dangers que certains outils numériques représentent. Outils qui ressemblent parfois plus à des armes qu'à des outils¹.</p>
Tous ces efforts pour quoi au final ?</p>
De plus en plus, et le confinement n'y arrange rien, il y a une sorte de relâchement. Les gens ont besoin de communiquer ensemble "quel qu'en soit le moyen". Et vers quels moyens se tournent-ils ?</p>
Toujours les mêmes : des boites US, qui ne se privent pas de revendre les données personnelles, d'en faire des agrégations, du recroisement, voir qui détruisent le choix légitime d'être anonyme (voir ci-dessous pour un exemple). D'autres sont troués dès lors que l'on sort de la plaquette marketing.</p>
Là cette fois le combo ça a été Facebook + Zoom. On ne reviendra pas sur le premier : il y a pas grand chose de nouveau sur le soleil je vous renvoie vers les films Brexit ou Nothing to Hide. Par contre pour zoom voila là pétachiée de trucs qui trainent à son sujet (et c'est que les problèmes que j'ai croisé en une semaine de lecture inatentive à son sujet) ; chaque élément de la liste ci-dessous devrait faire fuire les gens pour aller vers des alternatives respectueuses² :</p>

Possibilité d'exécuter du code malveillant</strong> sur un poste utilisateur équipé de l'application</a></li>
Possibilité pour une personne malveillante de déclencher le micro et la webcam à l'insu de l'utilisateur</strong></a></li>
Laisse fuiter email, photos des utilisateurs</strong></a></li>
Zoom balançait des informations chez Facebook</strong> même pour les gens qui n'ont pas facebook</a></li>
via une faille Zoom il est possible de récupérer un login et le mot de passe windows</strong></a></li>
Zoom permet de casser l'anonymat</strong> des utilisateurs via des recroisements de données avec Linkedin</a></li>
Il était possible pour n'importe qui de s'infiltrer dans une réunion</strong></a></li>
Les conversations ne sont pas chiffrées de bout en bout</strong> (c'est à dire d'un utilisateur à un autre) ce qui veut dire que Zoom a techniquement les moyens d'intercepter, d'enregistrer et d'assister à une réunion.</a></li>
Certaines communications et clés de chiffrement passent</strong> "accidentellement" par la Chine</strong></a></li>
La direction interministérielle du numérique (DNUM</strong>) déconseille fortement Zoom</strong></a></li>
Des comptes Zoom piratés sont en vente sur les internets</a></strong></li>
</ul>
Vous trouverez plus de détails sur le sujet, par exemple sur l'article "Zoom : retour sur une accumulation de failles</a>" de NextInpact (abonnés) ou encore ici</a>.</p>
Bref avec tout ça comment arriver à comprendre que des gens utilisent encore ce genre d'outils ?</p>
Là j'ai réagit pour mes proches mais je sais aussi que plein de boites utilisent Zoom (et d'autres qui l'interdisent), que des gouvernements l'utilisent, que la croissance de cet outil est phénoménale avec la crise du Covid-19 mais un outil présentant de tels problèmes devrait faire fuire immédiatement les gens. Car un produit qui présente tant de problèmes avec un nombre d'utilisateurs conséquent et une croissance rapide attire forcément les vilains que ce soit des gens dans leur garage jusqu'aux états puisqu'il y a du gros poisson, en abondance, "yapuka ferrer".</p>
Quand bien même il n'y aurait pas des failles de sécurité sur cet outil je m'interroge sur ce qu'ont en tête les gens qui le construise. Recroiser les données avec Facebook et Linkedin c'est pas anodin. Et encore c'est le peu qu'on sait de cet outil. Est-ce que quand j'appelle quelqu'un je m'attend à ce que l'outil que je choisis fasse autre chose que de permettre cet appel² ? Est-ce que j'ai demandé du café, du thé et du cyanure au passage² ?</p>
Il y a pourtant des alternatives (coucou BigBlueButton ou jitsi) ; avec de nombreuses instances qui ont été installées exprès (ou pas) pour répondre au besoin de lien pendant la crise actuelle. Ya juste l'embarras du choix.</p>

Instance Big Blue Button de FAImaison</a></li>
Instances jitsi</a> ; ou là</a></li>
</ul>
Pourtant les copain·e·s se mobilisent et documentent les alternatives</a> mais il semble que ça ne suffise pas.</p>
A l'heure où les gouvernements comptent sur notre docilité pour nous faire installer des apps de "suivi", "tracing" pour lutter contre le covid-19</a>, à l'heure où tous nos déplacements</a> sont scrutés</a> ; où les acteurs du numériques redoublent d'ingéniosité Orwellienne pour faire toujours pire, il est toujours temps de se poser des questions sur ses choix. C'est pas juste d'autres outils, c'est pas juste un autre mode de vie, c'est de la survie. C'est une réflexion du "comment je me protège ?".</p>
Vous imaginez ce qu'aurait été le monde avec des pouvoirs dictatoriaux (stasi &co) avec de tels outils de suivi et d'écoute de population ? Je (Content Warning sex) pense qu'ils s'en seraient tellement tripoté la nouille qu'on aurait rempli la banque du sperme pour au moins 20 générations.</p>
Nous parlons énormément (trop) du déconfinement alors que nous n'avons aucune porte de sortie (pour l'instant) pour envisager de nous revoir dans le même meetspace. Il nous faut attendre les avancées scientifiques, attendre que les équipements médicaux arrivent, etc. Une solution technique impliquant du tracking n'est pas la solution. Ce n'est ni acceptable ni souhaitable.</p>
Vu le taux d'acceptation des technos dégueulasses pour communiquer en temps de confinement (et le reste du temps) il nous reste quoi comme marge de manœuvre pour imaginer la suite de nos jours sans tracking, sans acceptation de ces dispositifs coercitifs ? Quelle liberté restera-t-il aux personnes qui refusent de tels dispositifs ? Que restera-t-il de nos échanges libres, de nos rencontres, de nos réflexions pour un autre demain que ce que nous réserve le capitalisme dont les derniers faits d'arme (outre priver les populations de se protéger avec des masques) sera la perpétuation et l'amplification d'un Capitalisme de Surveillance ?</p>
N'oublions pas, qu'en temps de confinement plus que n'importe quand, nous communiquons via des artifacts techniques. Il est important de choisir des outils où on peut avoir confiance, où on est certain qu'il n'y aura pas des tiers pouvant écouter nos échanges. Choisir un outil ne garantissant pas le minimum de sécurité (chiffrement de bout en bout correctement implémenté) c'est comme si on se donnait rendez-vous dans une pièce avec des micro espions qui captent ce que nous disons : nous ne les voyons pas, pourtant techniquement rien ne les empêchent d'être là. Peut-être que personne n'écoute, mais comment le savoir ? Toujours ce panopticon</a> qui traine dans les parages.</p>
J'en arrive à un point où j'ai même plus envie d'aider mes proches et d'aller vers un chacun pour sa gueule. Ça fait 15 ans que je me casse le cul tout ça pour quoi au final ?</p>
¹ quand un outil contient plus de fonctionnalités de tracking/espionnage/collecte d'informations que de fonctionnalités légitimes, je m'autorise à me poser la question.</p>
² nous sommes en droit d'exiger que l'on nous respecte ; les outils numériques n'ont pas à nous poignarder dans notre dos quand nous les utilisons ; nous devons pouvoir les utiliser en ayant l'esprit libre.</p>
Photo: "The Singing Ringing Tree, Crown Point, Burnley, Lancashire" - Pigalle</a></p>


Confinement : Hey, pourquoi tu parles pas à table ?
Unknown — Thu, 26 Mar 2020 00:00:00 +0000
Quand cette question m'a été posée, j'avais déjà remarqué ça depuis un certain temps : elle ne m'étonna pas.</p>
Je savais bien pourquoi, submergé par les sentiments, les idées, les craintes, le stress, je savais bien pourquoi je ne parlais pas.</p>
Fallait-il pour autant le faire, parler, et communiquer par la même occasion mon stress à mes proches alors qu'ielles étaient encore à l'état de sidération due à la vitesse à laquelle le confinement avait été mis en place, à la détresse du personnel soignant, etc ?</p>
La réponse a alors été non. Je continuerai à cogiter mais le fruit de mes réflexions irait sur le papier. Le papier serait l'endroit où je pourrai tout noter, rassembler, trier ordonner.</p>
Ici, je vais vous livrer mes pensées en deux billets :</p>

Le premiers, celui-ci, la rage contre ces gouvernements qui ont tout fait pour détruire nos services publics dont ceux de la santé. Au profit du privé et de quelques-un. Les mensonges à répétition de ces derniers jours pour tenter de faire croire que la situation était sous contrôle, anticipée, ... alors que tout laisse à douter de cette version.</li>
L'après crise sanitaire. Parce que oui il y aura un après et c'est cet après qui m'inquiète bien plus que la crise sanitaire. Au moment même où les gens décomptent, et c'est bien normal, le nombre de cas et de décès. Penser l'après, ça peut aider à tenir, à éviter de tourner en rond dans son bocal. Quelque part c'est un peut rêver de demain, chercher ce que l'on souhaite pour notre avenir, pour en construire un objectif de vie.</li>
</ul>
Commençons donc.</p>
Submergé par la rage</h2>
J'ai la rage. La rage que nos services publics aient été massacrés pendant des années à coups de hache, sous prétexte que ça "coûte un pognon de dingue". Créant par la même occasion des déserts médicaux et des déserts de services : on ne compte plus les les petites villes qui n'ont plus aucun accès à aucun service, ceux où même La Poste a disparu.</p>
</a></p>
Donner le nécessaire au service au public ce serait un problème, ce serait pas possible, le public ne sait pas faire, le privé sait (je suis sûr que vous aussi vous avez déjà entendu ces conneries).</p>
Et pourtant, le privé ça donne quoi ? En temps normal : ça donne des prestations plus chères pour les fonds publics (on doit bien marger quand on est une boite privée quitte à réduire la qualité du service rendu pour le même montant facturé - chose qu'il n'y a pas besoin de faire quand on est un service public). Et c'est sans compter les entreprises qui se gavent à coup de partenariats public-privé</em>, de CICE, de CIR (coucou les société de service informatique - entre autres - qui volent de l'argent sur des projets qui n'ont absolument rien à voir avec la recherche), de flat tax, de suppression d'ISF, de dividendes toujours plus conséquents quand les salaires stagnent, l'évasion fiscale,...</p>
Réduire ces coûts (coté privé) ce serait impossible alors que de l'autre côté, on comprime, on dépouille, on détruit le service public, ce bien commun. A coups de discours autour de "le privé c'est mieux que le public", "le public sait pas faire", ... alors on passe tout au privé y compris les services les plus sensibles et vitaux (santé, eau, électricité, télécoms, assainissement, recyclage, ...). Et pourquoi le privé le fait ? Ben parce qu'il le peut et qu'en plus c'est son essence. Et pourquoi il le peut ? Parce qu'il y a des défaillances (quand ce ne sont pas des connivences) dans le contrôle des prestations. Ces mêmes contrôles qui manquent dans les chaînes hiérarchiques où l'on a toute la latitude pour faire de la merde dès lors que le supérieur en fait, que le supérieur du supérieur en fait et ainsi de suite. Vous avez déjà vu des médiocres dans votre entreprise ? Il se passe quoi quand on met un subordonné sous un médiocre ? Il se passe quoi quand on met un corrompu au dessus d'autres gens ? On doit bien finir par se dire "oh ben si le boss le fait, j'ai de la marge pour faire pareil ou presque".</p>
Le défouloir : l'écriture</h2>
Nous sommes donc en Mars 2020 quand je commence à écrire ces lignes et déjà l'ancien monde, celui qui nous a mis dans la merde en nous privant de la clairvoyance, de l'anticipation, de la transparence et de masques.</p>
Et même si Macron ne le veut pas, nous on est là et même s'il veut pas qu'on ait un esprit critique sur leur gestion de cette crise</a>, la démocratie exige qu'on fasse cet exercice. "Essayez la dictature</a>" - non désolé on a déjà essayé. Et n'en déplaise à votre majesté, les "gens qui sont rien" ont le droit de se poser des questions sur cette gestion de la crise. Ne serait-ce que les annonces du type les masques</a> ça sert à rien</a> (alors que la vrai annonce aurait dû être #yenAPas) pour dire quelques semaines après que même une écharpe c'est mieux que rien ou encore de parler de dé-confinement pendant plusieurs jours et pleurer après que les gens se relâchent à la veille de lancer une application de "contact tracing")
</a></p>
Et ne parlons pas du chantage au tracking :</p>
</a></p>
La vague impression que n'importe qui d'autre aurait mieux agit qu'eux</h2>
Mon premier réflexe a été de me dire que c'était bien étonnant qu'au ministère de la santé il n'y ait personne pour faire une veille comme je le fais dans un autre domaine (informatique). Étonnant surtout quand on voit la quantité de publications sur le sujet. Même sans faire trop d'efforts, le confinement je l'ai "senti" arriver quasi une semaine avant sa mise en place effective. Parmi les premier papiers parlant du sujet on en trouve par exemple :</p>

le 24/01/2020 : dans The Lancet : A novel coronavirus outbreak of global health concern</a></li>
le 26/01/2020 : dans Science : Wuhan seafood market may not be source of novel virus spreading globally</a></li>
le 31/01/2020 : dans The Lancet : Nowcasting and forecasting the potential domestic and international spread of the 2019-nCoV outbreak originating</a>
in Wuhan, China: a modelling study</a></li>
</ul>
A noter qu'il y a peut être bien eu des cas de covid19 en Italie en novembre 2019</a>, en tous cas des médecins ont observé quelque chose qui s'en rapproche. En Chine le début est en novembre aussi</a>.</p>
Il était évident que cette épidémie sortirait de la Chine. Sans même compter sur l'idée qu'on a mis dans la tête des gens que c'était OK d'aller passer un week-end / une semaine à l'autre bout du monde parce que les avions c'est pas cher.</p>
La cerise sur le gâteau</h2>
La cerise sur le gâteau : apprendre dans Le Monde que l'ancienne ministre de la santé (Agnès Buzyn) savait, au moins le 11 Janvier que cette affaire allait prendre une ampleur de fou</a>. Et on a fait quoi entre le 11 janvier et le 17 Mars (date du confinement) ?</p>
N'aurait-on pas pu anticiper les commandes de masques, de tests, anticiper la doctrine de confinement, généraliser les tests des gens revenant de Chine ? Non, on a poursuivi l'organisation du premier tour des municipales</a>. A-t-on pris des pincettes avec les équipes qui ont rapatrié les gens de Chine au tout début de l'épidémie</a> ? Et le rassemblement de Mulhouse du 17/24 février</a> ?</p>
Au hasard n'aurait-on pas dû suivre le rapport</a> de Santé Publique France de MAI 2019</strong> où on apprend (voir aussi le Canard Enchaîné à ce sujet</a>) :</p>

En cas de pandémie, le besoin en masques est d’une boîte de 50 masques par foyer, à raison de 20 millions de boîtes en cas d’atteinte de 30% de la population.</p>
</blockquote>
</a>
Encore avec le Canard Enchaîné on apprend que plusieurs rapports recommandaient d'agir pour prévenir</a> ce genre de situations ; alors oui c'est difficile de se dire qu'on va devoir mettre de l'argent dans un truc qui arrivera "peut être" mais si c'est pour affronter une situation économique comparable à 1945</a>, à quoi bon ?</p>
Tiens mais Santé Publique France c'est quoi au fait</a> ? Ah tiens ça a été créé en 2016, c'est une fusion de plusieurs entités, et le bousin ne semble pas avoir été éprouvé avant cette crise du coronavirus #baptèmeDuFeu</a>. L'article de mediapart "Masques: les preuves d’un mensonge d’État</a>" achève le tableau en faisant un inventaire des déclarations publiques des ministres, président, portes paroles, mis en face des faits. C'est édifiant.</p>
Cet article de public sénat</a> décrit un peu le pourquoi on en est là coté masques TL;DR #spasNous #spasNotreFaute #cestLaFauteDesZautres.</p>
Encore un autre article, cette fois dans Le Point : "Comment la France se prive de 150 000 à 300 000 tests par semaine</a>" :</p>

Depuis le 13 mars, le gouvernement dispose d'une solution pour augmenter considérablement les capacités de tests de la France. Mais rien n'a bougé.</p>
</blockquote>
13 mars ? 4 jours avant le début du confinement. On aurait probablement pu, grâce aux vétérinaires, tester, tester, tester. Comme le font l'Allemagne et la Corée du Sud quoi</a>. Cassons le thermomètre c'est plus pratique, et puis comme on dit ironiquement dans mon secteur d'activité : "Tester c'est douter".</p>
La couronne sur le génépi c'est quand même les déclarations dans le Monde de l'ancienne ministre de la santé </a>qui a démissionné en janvier pour se lancer dans les municipales en pleine crise du coronavirus. On apprend aussi le 4 avril dans mediapart qu'il y a une autre pilote de moins dans l'avion</a> : la conseillère santé du président...  qui avait annoncé la couleur (la date de son départ) dès son recrutement. La présidence avait 2 ans pour trouver un remplaçant... et on s'est retrouvé sans personne à ce poste de fin janvier à début mars. #leTempsJouePasContreNousNonNonOnDisrupteraAussiLeTemps</p>
Se faire prendre pour des lapins de 3 semaines</h2>
Et pendant tout ce temps on a dit tout et son contraire aux gens (les masques et les tests c'est pas utile alors que l'OMS dit le contraire</a>, puis c'est utile; il faut surtout pas sortir mais faut quand même aller travailler</a>; on fermera pas les écoles</a> mais on les ferme le soir même; faut pas sortir au resto mais on se balade sur les bords de seine, c'est "C’est le moment de faire des bonnes affaires en Bourse</a>" d'après la secrétaire d'état auprès du ministre de l'économie alors que ça se casse la gueule comme jamais 2 jours après</a> etc), rendant la communication illisible, du talonnement à tous les étages quand ya plus personne à la barre du navire les matelot·e·s se mobilisent pour tenter de gagner du temps. Il y a eu toutes les personnes qui se mobilisent pour créer des équipements médicaux de base (allant du bricolage à des trucs bien plus sérieux), d'autres qui se sont mobilisés dans les hôpitaux, d'autres pour qu'on puisse bouffer, etc. Bref on a fonctionné sans les couronnés de ce monde.</p>
On ne parlera pas non plus des masques périmés</a> (qui peuvent avoir des élastiques qui lâchent au pire moment) voir moisis</a>.</p>
On a réussi à trouver la force, l'ingéniosité que l'on a en nous pour trouver des solutions alors que "là haut" ielles sont gavés au mondialisme tout centralisé autour de trop peu de production de matériels essentiels et en comprimant tellement tout qu'on n'a même pas de marge de manœuvre avec du stock. On fait cocorico avec nos 30 place supplémentaires dans notre hôpital de campagne</a> quand à Londres ielles montent 4000 lits en 10 jours.</p>
Ca fait plus d'un an que l'hôpital réclamait des solutions, à coup de mépris on leur a craché à la gueule "ya pas d'argent magique" qu'on entend. Là on en trouve</a> de "l'argent magique" (spoiler : ça n'est pas magique: on s'endette et va falloir, selon leur vision des choses raquer pendant combien ? 10 ? 20 ans pour "rembourser" ça ?).</p>
Et surtout, quoi qu'il arrive n'oublions jamais à quel point les puissants sont méprisants et huileux quand ils sont à genoux.</p>
1ers de cordée = dernières lignes</h2>
Le 25/03 le président, dans son discours depuis Mulhouse, a osé dresser un tableau des premières, secondes et troisième lignes renversant l'échelle des normes jusque là en vigueur avec ses "premiers de cordée".</p>
On remarquera bien aisément que dans son tableau ses premiers de cordée ne sont même pas présents, même pas en 4ème ligne dans son discours. Normal, on se demande bien où ils sont ces premiers de cordées dans la lutte.</p>
Aujourd'hui le monde est suspendu aux performances, à la résistance, à la persévérance  des maillons essentiels de nos vies, maillons qui le reste du temps sont payés au lance-pierre là où le trader (par exemple) inutile gagne des millions... Pour quelle utilité sociale ?</p>
Aujourd'hui le monde court comme un dingue pour tenter de sauver les pots cassés. Cassés par des politiques managers/RH qui n'ont eu de cesse de tout casser ce que nous avions de plus cher : le service public. Pour donner aux entreprises sans compter avec le CICE, pour graisser la patte des plus riches, en supprimant l'ISF et en mettant en place la flat tax, frauder au chômage partiel</a> il y a du monde.</p>
La casse des conquis sociaux n'attend pas la fin de la crise sanitaire</h2>
Il y a aussi du monde pour casser les conquis sociaux : Le 25/03/2020 marque un tournant historique avec les 25 ordonnances prises par le gouvernement qui nous fait entre autres retourner à la semaine de 60h, remet en question les congés payés etc. Un beau retour en arrière. Qui peut croire qu'on peut rester en bonne santé au delà de 35h hebdomadaires ? C'est quoi le but de nos vies : produire produire produire jusqu'à l'épuisement sans occasion d'espérer d'avoir du temps libre qu'on nous promet à la retraite qu'on nous raccourcit toujours plus ? Combien mourront au boulot par épuisement ? C'est ça le progrès ? C'est ça le bénéfice ce système capitaliste pour le peuple ?</p>
La patience devrait nous amener</a> à les voir jugés</a> (si tant est que la justice puisse être indépendante et suffisamment efficace).</p>
On ne peut se satisfaire de danser entre des "on se souviendra de ceux qui n'ont pas été à la hauteur</a>" et en même temps des "soyez fiers d'être amateurs</a>".</p>
Sauver le capitalisme, son besoin croissance qui n'a aucun sens ?</h2>
Il est temps de quitter le modèle économique poussé par Milton Friedman et d'affirmer que le capitalismo-néo-libéralisme truc ne marche pas. Ça tue des gens et qu'il est inconcevable de garder un tel modèle économique basé sur des trucs qui n'existent juste pas (la terre a des **FUCKING RESSOURCES FINIES **la croissance c'est pas possible).</p>
Aujourd'hui pour sauver encore une fois le capitalisme - ce bidule qui ne marche pas malgré 40 ans de promesses et 40 ans d'échecs - on cherche encore à rajouter une pile de merde sur toute la merde avec l'émission de Coronabonds</a>.</p>
On la fait courte : les Coronabonds c'est : on mutualise de la dette au niveau Européen parce que la dette d'État ça suffit pas.</p>
Et dans 10 ans, au prochain échec du capitalisme néolibéral on ferait quoi ?</p>
Des World Bonds ?</p>
Des Mars Bonds ?</p>
Jusqu'où cette connerie ira-t-elle ? On doit en arriver là ? Montrer qu'on est "cap", comme si on était resté en CM1 dans la cour de récré, de jouer à ça avec le premier banquier qui passe : "If you can't agree on debt mutualization in such a social crisis, it may never be done</a>" ?</p>
Arrêtes tes conneries range ta pelle et ton seau ton château de cartes prend l'eau !</p>
Doit-on rappeler que derrière chaque dette souscrite il y a un remboursement et que ce remboursement se fait sur le dos du peuple qui doit trimer de longues années (voir à survivre des des plans d'austérité) pour satisfaire les prêteurs ?</p>
Qui a encore envie de plus de dette et plus d'austérité dans les rangs du peuple ? Qui a envie de se voir dire "faudra bosser plus dur", "faudra faire des efforts", "faudra travailler plus" (comme si on se touchait la nouille jusque là) ?</p>
Et à contrario qui a envie de voir ces raclures de banksters disparaître ?</p>
Alors, à l'heure où les bien pensant d'avant nous dessinent un monde d'après, alors qu'ils nous ont défoncé le monde d'avant et celui d'aujourd'hui, il est temps de réfléchir à ce que l'on veut pour demain. Nous n'avons pas besoin de leurs "lumières".</p>
photo: "Lost in Thought" de Julien Lamour, CC-BY-SA</a></em></p>


Protection des données personnelles : avons-nous eu le bon discours ?
Unknown — Mon, 03 Feb 2020 00:00:00 +0000
C'est suite à la lecture du papier de Reuters</a> à propos de l'instauration au Venezuela du même système de score social</a> que celui que l'on peut trouver en Chine que j'en suis venu à me poser cette question.</p>
Le score social c'est quoi ? C'est un moyen de calculer la réputation des citoyens en fonction de ce qu'iels font (attitude, respect des règles ou non, ...). De là en découle plein de choses fortement impactantes sur la vie et ce de façon plus ou moins visible et d'une plus ou moins directe des façons : allez-vous avoir le droit à un crédit pour acheter votre maison ? Est-ce que vos enfants pourront aller dans une bonne école ? Est-ce que votre assurance acceptera de vous assurer et si oui à quel taux ? etc.</p>
Pour le dire autrement c'est un superbe outil coercitif. Du genre de ceux auquel on ne peut pas échapper (parce que le simple fait de ne pas adhérer à un des dispositifs le composant peut être jugé de façon négative) et dont les règles s'appliquent de façon systématique (c'est à dire que l'on a peu de chances de passer sous les radars et de ne pas se faire prendre).</p>
Il arrive même à certain·e·s citoyen·ne·s de voir leur score évoluer sans trop savoir pourquoi : les règles ne sont pas forcément limpides : il faut alors deviner ce qui a pu influer sur le score ou non. Il arrive même que le simple fait d'être en relation avec une personne ayant un mauvais score impacte négativement votre propre score</a> (coucou isolement social pour ceux qui sont déjà au plus mal).</p>
Pour que ce score fonctionne, il faut des données, beaucoup de données.</p>
Ces données nous en créons tous les jours et nous le faisons depuis longtemps. Elles sont générées et stockées par les divers services et appareils que nous utilisons. Avec notre concours direct ou involontairement. Tiens en parlant d'appareils vous saviez que Samsung a les données des utilisateurs des téléphones de sa gamme Galaxy</a> ?</p>
Pour expliquer qu'il est important de protéger sa vie privée, ses données, nous disions aux gens "attention les vilains loups du marketing vont vous envoyer des pubs". Certes c'est vrai, certes cette menace est très proche mais ce discours est, je pense, assez inaudible : elle ne représente pas un risque facilement mesurable par les gens.</p>
Hors avec le crédit social on a un outil qui nous prive très clairement de notre liberté d'action : si on n'agit pas comme le pouvoir en place le veut, alors notre score baisse et impacte directement nos possibilités de faire ou non des choses. Le pouvoir pouvant être un état mais aussi toute organisation choisissant d'y avoir recours.</p>
Quid encore d'un tel système sur la capacité démocratique d'un peuple ? Que deviennent nos vies le jour où le score change parce qu'une nouvelle politique arrive ? Croit-on vraiment que nos données, qui servent à calculer ce score, seront effacées lors de ce changement de régime ?</p>
Sommes nous encore libres dans une société où chacun de nos faits et gestes est monitoré, tracké ?</p>
Un tel système de score est à la porte de nos pays. On a déjà des exemples d'assurances qui vous proposent de baisser le prix de votre cotisation si vous équipez votre voiture d'un tracker</a> qui collecte la vitesse</a>, les accélérations</a>, le respect ou non des limitations de vitesse, ... ou encore la brosse à dents</a> qui dit à votre assurance</a> si vous avez raté un brossage et s'il est assez long (sinon paf adieu les remboursements dentaires).</p>
Pour installer un tel outil, on ne le présente bien entendu pas sous l'angle coercitif mais on explique aux gens tous les bénéfices</a> réels ou supposés qu'apporte un tel système : "mettez ce boîtier dans votre voiture, ça vous fait baisser le coût de l'assurance" (ce sera peut être le cas en premier lieu, mais à quel prix sur les libertés et la vie privée ? Et que faire une fois que le système est massivement adopté pour s'en échapper lorsqu'on n'en voudra plus ou qu'un nouveau tour de vis arrivera ?).</p>
Autre exemple : les applications de suivi de santé, de règles &co ou de rencontre. Nombre d'elles récoltent une quantité d'informations sensibles et les envoient sur des serveurs de sociétés voir les revendent pour des usages biens plus cra cra</a>.</p>
Il nous faut revoir notre discours pour faire sentir aux gens que l'immense bénéfice qu'apportent ces services représentent une menace réelle aux portes de nos vies sans aucune mesure par rapport aux gains supposés, vendus, mis en avant. Il nous faut requestionner ces menaces pour les actualiser (le système était déjà complètement fucked up quand on a commencé à en parler au public et aujourd'hui nous touchons à des usages dégueulasses qui étaient même pas immaginables au début de nos luttes).</p>
Il nous faut aussi exiger des mainteneurs de nos outils libres d'arrêter de faire les cons et de considérer plus que sérieusement une meilleure conception des outils tant en terme d'accessibilité, de design que de simplicité dans le temps (coucou GPG t'es le parfait exemple de ce qu'il faut pas faire).</p>
Voyez-vous je doute que l'exportation du Score social Chinois se limite au Venezuela. La Chine est prête à fournir le système sur étagère (autrement dit prêt à l'emploi) comme semble l'indique le papier de Reuters cité plus haut. On trouve aussi des implémentations prêtes à l'emploi pour débusquer les mauvais candidats à l'embauche</a>. Il ne s'agit que de temps avant que ce système arrive dans nos contrées. Tout comme le grand pare-feu chinois qu'on pouvait imaginer, un moment, rester en Chine qu'on n'aurait jamais le malheur d'y goûter. Aujourd'hui de nombreux indices laissent à penser que ce ne sera pas le cas (lois répressives, demandes de suppression de contenus de façon automatisée, attaques contre les VPN et le chiffrement, mise en place de politiques sécuritaires en coopération avec d'autres nations, ...).</p>
Côté français, on a déjà énormément d'outils de contrôle de flux des populations : vidéo surveillance, reconnaissance faciale, badges, cellulaires, lecture de plaques minéralogiques, documents d'identité biométriques, cartes bancaires (dont le sans contact nous rapproche du moment où les espèces disparaitront - seul moyen de paiement encore anonyme aujorud'hui), ... qui nous sont imposés dans l'espace public, ils viennent en complément des données que nous semons en ligne.</p>
L'avantage de ce système c'est qu'il est de plus en plus documenté et développé en Chine et donc qu'on ne manque pas d'exemples à donner aux gens pour alimenter leur imaginaire coercitif et l'enfer qui nous attend toutes et tous demain. L'inconvénient c'est que ca va hyper vite. Bien trop vie comparé au peu de monde qu'on touche actuellement avec des outils de sensibilisation tels que les cafés vie privée ou les projection-débats dans les cinémas.</p>
Quand un pouvoir est en déclin, pour se maintenir le plus possible, il use de tous les moyens dont il dispose à défaut de pouvoir fédérer les gens en agissant dans son intérêt. Et outre ce pouvoir on peut voir les puissances industrielles essayer de conquérir de nouveaux territoires. Exemple à Valenciennes où Huawei a offert les caméras de vidéosurveillance</a> à la ville. Caméras avec des capacités de reconnaissance faciale et dont.... le fabricant garde un accès distant.</p>
J'aurai bien aimé parler ici de la manipulation des scrutins qu'on a pu observer sous Trump ou le Brexit tout en n'oubliant pas qu'en France plusieurs candidats dont Macron ont fait appel à des sociétés similaires telles que Nation Builder</a> par exemple. Sommes nous aussi libre dans un système qui autorise des entreprises à
manipuler l'information d'une portion significative du corps électoral
pour influer sur les élections comme on a pu le voir avec le Brexit par
exemple (à ce titre je vous recommande chaudement le film "Brexit, the uncivil war"</a>). Le point crucial ici étant que l'ère où nous étions toutes et tous confronté·e·s aux mêmes informations / au même temps de parole pour les différents courants politique est terminée. Aka : le CSA LOL. Et ce qu'on comprend à travers ce film c'est pourquoi le dispositif de manipulation électorale est resté si longtemps dans l'ombre : le corps électoral visé excluait - de fait - les journalistes
puisque ces personnes ne font pas partie du panel visé (par exemple critère intrinsèque des journalistes : iels sont plus aisé·e·s que le panel visé). A ce propos nous devrions parler avec les gens qui bossent dans le marketing. Histoire de se prendre une belle baffe avec ces outils dégueulasse que nous sommes à des milliers de lieues de croiser et d'utiliser.</p>
Quelques petits liens pour continuer à exlorer le sujet :</p>

Amazon, Facebook, Google... "ces entreprises qui exploitent notre intimité"</a> (Olivier Tesquet, Interview France 24)</li>
Capitalisme de surveillance</a> (Shoshana Zuboff, monde diplomatique)</li>
Citoyens sous surveillance</a> (Ignacio Ramonet, monde diplomatique)</li>
Bon et mauvais Chinois</a> (René Raphaël &</li>
</ul>
Ling Xi , monde diplomatique)</p>

En Chine, un mauvais score sur le Social Credit System peut empêcher de prendre un avion ou un train</a> (Nextinpact)</li>
Forum Technopolice</a> où vous apprendre et contribuer à la connaissance du capitalisme de surveillance et à son avancée dans nos vies</li>
The Great Hack</a></li>
Brexit : the uncivil war</a></li>
</ul>


Retour d'expérience : petit atelier pour recueillir les envies des membres de FAImaison
Unknown — Tue, 16 Apr 2019 00:00:00 +0000
Lors de la dernière assemblée générale de FAImaison</a>, nous avons fait un petit atelier dans le dernier tiers de temps que nous avions ensemble.</p>
Le but de cet atelier était de récolter les envies des membres de FAImaison, présent·e·s à l'assemblée générale. Ces envies ne sont pas contraignantes dans les actions de FAImaison pour l'année à venir mais ont permit de découvrir ce qui intéressait les personnes à l'instant T.</p>
Le déroulé a été le suivant. Nous avons commencé par distribuer un lot de post-it (environ 5-10 à chaque personne présente).</p>
Nous avons demandé aux personnes d'inscrire sur chaque post-it une idée, une envie de ce que devrait faire FAImaison cette année. On a laissé quelques minutes aux personnes pour faire ça.</p>
Ensuite chacun·e est allé déposer ses post-it dans une urne (oui le vote à bulletin secret c'est important même si ça fait rire parfois tellement ça peut paraître archaïque dans des milieux où l'entre-soi est hyper présent).</p>
Alors que les membres étaient en train de travailler sur un autre atelier en petits groupes, nous nous sommes mis à deux personnes pour trier les post-it par grande thématique (le but c'est de simplifier la vue globale de tous les post-it pour l'étape d'après - il est aussi possible de faire ce tri en groupe avec tou·te·s les membres mais nous manquions de temps pour le faire)</p>
Puis, on a distribué des gommettes de deux couleurs différentes (3 gommettes de couleur verte, une rouge). On a demandé aux membres de voter "favorable" avec leurs gommettes vertes et de poser un veto (si nécessaire) sur une des idées exprimées. Les membres ne pouvaient pas voter pour leurs propres post-it.</p>
On compte ensuite les gommettes et on est capable de voir le top 5 des envies pour l'année et les divers vetos si il y en a.</p>
Nous avons pu, en quelques instants, élargir à bien plus de personnes ces réflexions, là où nous les aurions plutôt produites en petit groupe, au détour d'une discussion informelle.</strong></p>
A titre d'information voici ce qui est ressorti de cet atelier chez FAImaison :</p>

"Éthique" : prendre en compte la consommation (ressources, énergie...) - réfléchir à l'impact écologique de nos activités/du numérique (8 gommettes vertes)</li>
Communication extérieure : proposer ACTIVEMENT à d'autres associations nantaises les services de FAImaison (7 gommettes vertes)</li>
Evolution des services : mettre en place l'IPv6 (6 gommettes vertes)</li>
Fonctionnement interne : faire qu'il soit cool d'aller chez FAImaison, qu'on prenne plaisir à faire sans que ce soit une corvée pour un petit nombre (bureau) - distribuer davantage les "corvées" du bureau - répartir plus largement parmi les membres bénévoles de l'association les tâches et la circulation des informations qui restent parfois cloisonnées à l'intérieur du bureau	(4 gommettes vertes)</li>
Fonctionnement interne : Une collégiale à la place du bureau - réduire la charge du bureau, externaliser par exemple le suivi ADSL (4 gommettes vertes)</li>
</ul>
et un veto :</p>

Pas d'atelier gestion de la brique internet dans les ateliers Café Vie Privée</a>, formation et sensibilisation</li>
</ul>


Referendum d'initiative citoyenne, porte ouverte au vote électronique ?
Unknown — Sun, 06 Jan 2019 00:00:00 +0000
La mobilisation des "Gilets Jaunes" a évolué partant d'un refus des taxes sur les carburants pour maintenant exiger le Referendum
d'initiative citoyenne (RIC). Ce dernier semble être une revendication permettant de cristalliser les manifestants qui, jusque là,
ajoutaient jour après jour à leur liste de nouvelles revendications.</p>
Quelles seront les modalités d'un tel scrutin ? Ça reste à définir. Cependant, s'il vous plaît, n'allez pas vous échouer sur l'impasse
du vote électronique. Ce serait une erreur.</a></p>


Responsabilité de notre génération dans la folie environnementale
Unknown — Wed, 14 Nov 2018 00:00:00 +0000
Que se passe-t-il ? Avons-nous rien compris des erreurs passées ?</p>
Il y a un problème écologique, c'est un fait. La planète crève de nos modes de consommation. Nous ne savons pas gérer ni la demande démesurée en matières premières ni les déchet que seront les produits que nous achetons aujourd'hui.</p>
On aurait pu faire les fières en affirmant que les problèmes actuels incombent entièrement aux générations précédentes, celles des 30 glorieuses qui ont produit et produit et produit, consommé, consommé et consommé.</p>
Mais non, on ne peut pas faire ça.</p>
Aujourd'hui encore on déconne grave et personne ne semble assez outré pour mettre au banc des accusé les nouveaux irresponsables qui se permettent des choses aberrantes à l'heure d'une prise de conscience écologique nécessaire.</p>
Que faisons-nous aujourd'hui ? Que produisons-nous ? Que construisons nous ? Pour quel bénéfice ? Peut-on se permettre de telles choses ?</p>
Ce billet d'humeur couve depuis un moment, j'avais bien en tête quelques exemples comme les chauffages sur les terrasses des cafés et restaurants qui sont une aberration parce que le degré d'isolation est nul au mieux très faible. (on vous demande d'isoler vos maisons pour réduire votre consommation en chauffage, par contre mettre du chauffage sur un espace non fermé là pas de soucis) :</p>
</p>
Un chauffage comme celui de la photo ci-dessous consomme, à l'unité, entre 2000W et 3000W</strong>. Il est probablement équipé d'un thermostat mais pourquoi faire ? Comme il n'y a pas d'isolation, la déperdition de chaleur en terrasse étant continue, le radiateur fonctionne à plein temps.</p>
"Oui mais tu comprends c'est un produit d'appel pour inviter les gens à s'installer en terrasse, c'est pas grave si ça tourne des heures sans que personnes ne soit en dessous"</p>
A-t-on le droit ? A-t-on le droit de consommer autant d'énergie alors qu'on a un grave problème de production d'énergie à l'heure où les gens sont demandeurs de moyens de locomotion électrifiés et où on ne sait pas produire en quantité suffisante **et **proprement cette électricité. On a besoin de tuer toutes nos centrales nucléaires et aussi celles au charbon, ce n'est pas avec ce genre de consommations qu'on pourra y arriver ni même commencer à y songer.</p>
Et vient ce qui a déclenché la rédaction de ce billet (je passe aussi tous les écrans que j'ai croisé durant mon cours séjour à Paris, écrans qui ne servent à rien puisqu'ils affichent du contenu statique, un écran pollue moins qu'une feuille de papier, c'est ça ? on n'arrête pas le progrès ?)</p>
Écran publicitaire dans les toilettes</h2>
Dans un restaurant où je suis passé prendre un verre, avant de partir, petit tour aux toilettes.</p>
Et là je tombe sur quoi ? Oui, un écran dans les chiottes. Tu sais le lieu où très probablement tu vas aller faire tes besoins dos à la chasse d'eau et où il n'y a personne une bonne partie du temps.</p>
</p>
A-t-on le droit ? A-t-on le droit de demander à la planète des ressources naturelles pour ça ? A-t-on le droit de consommer l'énergie demandée par ces écrans (et je ne parle là encore pas des écrans publicitaires dans les rues, aux abris bus, ...) ?</p>
Cette société est folle.</p>
Et en plus pour imprimer du selfie. Meure connerie humaine.</p>


Savoir s'éclipser
Unknown — Thu, 10 May 2018 00:00:00 +0000
Ce weekend, nous étions en assemblée générale de la Fédération FDN</a>.</p>
Dans ce lieu magnifique, le château de Justiniac (45 minutes au sud de Toulouse), nous avons pu échanger avec quelques fournisseurs d'accès à Internet associatifs qui composent la Fédération.</p>
</p>
Plusieurs méthodes d'animation de débat (comme le bocal à poissons</a> ou
le débat en pétales</a>) ont été utilisées afin de répondre à des questions comme "A-t-on besoin d'une trésorerie dans la fédération ?" et offrant ainsi
à toutes et tous un espace d'expression orale.</p>
Durant ces débats sont apparus plusieurs avis au sein des différents groupes mais aussi des tensions interpersonnelles plus ou moins vives (j'ai notamment remarqué celles provenant de membres
historiques).</p>
À la sortie des débats je me dit que, finalement, si on en arrive à organiser les débats avec des outils comme ceux-là c'est que le collectif en a besoin, qu'il a besoin de sortir des positions
clivantes parfois portées depuis de nombreuses années par ces membres historiques.</p>
Ce que je retiens de ces expériences collectives c'est que le collectif peut très bien trouver des solutions, les membres qui tenaient leurs positions depuis plusieurs années pouvaient tout
simplement s'éclipser des débats pour laisser au collectif le choix de la solution retenu, laissant ainsi un espace libre, non influencé par un historique plus ou moins interpersonnel qui
pourrit, tronque, la réalité des discussions.</p>
Parfois, s'éclipser est le meilleur des cadeaux que l'on puisse faire à un collectif.</p>
Je regrette que de ces membres historiques, trop peu aient décidé de se retirer pour laisser le collectif agir et décider sans influence créée par ces tensions interpersonnelles.</p>
</p>


Cannot find any contact in Signal for Android
Unknown — Wed, 02 May 2018 00:00:00 +0000
Some day I got the following output in logcat while Signal was refreshing my (empty) contact list :</p>

AccountManagerService: insertAccountIntoDatabase: Account {name=Signal, type=org.thoughtcrime.securesms}, skipping since the account already exists</p>
</blockquote>
After this, my contact list was still empty, which was very strange.</p>
I found a solution for rooted devices, connect to your phone using adb shell</em>, then run the following commands:</p>
$</span> su -
</span># sqlite3 /data/system_ce/0/accounts_ce.db
</span>sqlite</span>> delete from accounts where type = '</span>org.thoughtcrime.securesms</span>';
</span></code></pre>
Then kill Signal, then relaunch (you may need to remove all data associated to Signal (via Settings > Applications > Signal)</p>
article photography by Mika Andrianoelison at https://www.flickr.com/photos/92781053@N02/15712691511</a></em></p>


Une version de Signal sans Google Play Services (Custom Signal version without Google Play Services)
Unknown — Wed, 02 May 2018 00:00:00 +0000
(English version below)</em>
Signal</a>, nous sommes nombreu·x·ses à utiliser cette application de messagerie sécurisée. Elle est plutôt simple d'utilisation (il suffit de la donner à n'importe quel utilisateur pour s'en rendre compte), elle marche plutôt pas trop mal (sauf quand la centralisation prouve que ca marche pas et que l'application n'est pas disponible), elle supporte la voix, l'audio et le transfert de fichiers.</p>
Il y a un hic</em> dans les cas suivants :</p>

Les Google Play Services nécessitent une mise à jour</li>
L'utilisateur ne veut pas ajouter de compte Google à son device (et le téléphone dispose des Google Play Services)</li>
L'utilisateur ne veut pas utiliser Google pour être notifié qu'un message Signal arrive</li>
</ul>
A ma connaissance, dans tous ces cas, le seul moyen actuel d'arriver à faire fonctionner Signal est de disposer d'un Android sans</strong> Google Play Services.</p>
Si d'aventure vous utilisez une distribution d'Android et que vous êtes dans un des 3 cas précédents ou encore que vous utilisez MicroG</a> pour vous passer de code propriétaire pour faire fonctionner les applications dépendant de services Google, vous êtes alors coincé·e.</p>
C'est là qu'intervient le projet dont je vais parler maintenant. Il s'agit d'une version de Signal modifié de façon à ce que Signal pense que les Google Play Services ne sont pas disponibles (même si c'est le cas).</p>
J'utilise cette technique depuis environ un an, après de multiples corrections de mes scripts d'automatisation, il est maintenant temps d'ouvrir au public cette solution de contournement (même si ce serait plus simple de pouvoir le choisir directement dans les paramètres de Signal, par exemple).</p>
Vous pourrez découvrir ce projet sur signal.cloudfrancois.fr</a></p>

(Version Française ci-dessus)</em></p>
We are a lot of people using Signal</a> on a regular basis, this secured messaging app allows us to send text, files, do audio and video calls in a easy manner, give the app to a random user, and see the result. It runs quite well (as long as centralization works).</p>
But we are some to have an issue with Signal when:</p>

We do have Google Play services installed but not up to date (and we don't want to update since it requires to have a Google Play Account)</li>
We do not want to add a Google Play Account on the device</li>
We do not want to use Google at all</li>
</ul>
To my knowledge there is no solution to run Signal in those cases as long as your Android device has Google Play Services installed.</p>
There is also an issue with MicroG</a>, a peace of software which provides FOSS implementation of Google Play Services : it may tell you that Signal cannot connect to the network. You are trapped.</p>
This is where the project I want to introduce now has a role to play. It is simply a version of Signal where we tell Signal that Google Play Services are never available (even if it is available).</p>
I use this version for more than one year, and it works pretty well. After some tuning of my automation scripts, I found it's time to open this project to the masses, because we need it (may Signal contributors add a clean way to do the same using a setting directly from the app, ...)</p>
You may find more details at signal.cloudfrancois.fr</a></p>


Le vote électronique : pourquoi il ne faut pas franchir le pas.
Unknown — Sat, 23 Sep 2017 00:00:00 +0000
Le vote électronique, ça revient souvent, c'est même dans le programme de Macron, comme dans celui de nombreux politicien·n·e·s avant lui. Je cite¹ :</p>

Plus d’efficacité, c’est aussi plus de numérique : nous avons besoin de numériser notre démocratie, en instituant un vote électronique qui élargira la participation (sic), réduira les coûts des élections (sic) et modernisera l’image de la politique (sic).</p>
</blockquote>
Ah la promesse d'augmenter le taux de participation (je passe sur le multiple combo-bullshit : prouvez-moi qu'une machine à voter coûte moins cher que les bulletins de vote papier ou encore que la modernisation de la politique ne tient que par le truchement matériel et technique et non par l'arrêt de pratiques odieuses</a>).</p>
La simplification, ça me rappelle vaguement l'argument utilisé avec le fichier des gens honnêtes aka</em>TES</a> :</p>

L’objectif est désormais d’avoir un service moderne, rapide, gratuit et plus facilement accessible pour les citoyens</p>
</blockquote>
Je ne sais pas vous, mais j'ai demandé un passeport juste avant la mise en application de TES</a>. Il m'a fallu attendre un délai intolérable pour l'administration Française (roulements de tambours)..... tadam 1 semaine pour obtenir ce document. Que c'est long une semaine oulala (ironie).</p>
Bref passons sur la recherche d’honnêteté pour vous faire gober le dernier truc numérique et potentiellement fliquant/fichant/augmenteur de pouvoir (pour eux) et attardons-nous sur le pourquoi le vote électronique est une idée idiote et dangereuse.</p>
Voici les principaux critères pour assurer un vote de confiance :</p>

secret du vote</li>
assurance qu'un votant n'a qu'une seule voix exprimée (c'est à dire unicité du vote)</li>
fiabilité et vérifiabilité du décompte des voix et sincérité du vote</li>
transparence du processus et contrôle du bon déroulé de celui-ci</li>
</ul>
Je vais prendre la liste à l'envers parce que le dernier point se suffit à lui seul pour pouvoir comprendre que le vote électronique n'est pas une bonne idée et ce pour très longtemps².</p>
La transparence du processus et son contrôle</h1>
Un énorme avantage du vote papier, en plus de satisfaire pratiquement tous les autres points cruciaux d'un vote listés dans ce billet³,  c'est qu'il est compréhensible par n'importe qui.</p>
Je vote</h2>
Pour rappel, voici comment le scrutin papier fonctionne :</p>

vous êtes inscrits à votre bureau de vote et vous vous y rendez pour participer au scrutin</li>
il est alors de bon ton de  prendre un bulletin de chaque candidat (c'est un premier élément protégeant le secret de votre vote : jusque dans l'isoloir vous êtes en capacité de voter pour tous les candidats. Ne pas prendre un bulletin c'est donner un indice aux gens présents dans le bureau de vote que vous serez en incapacité de voter pour les candidats pour lesquels vous n'avez pas pris de bulletin ; il est aussi possible d'utiliser ceux que vous avez-reçus par la poste)</li>
vous entrez dans l'isoloir : vous êtes seul·e face à votre choix, choix que vous exprimez en glissant le bulletin choisi (ou le mot coup-de-votre-coeur du moment) dans l'enveloppe⁴ que vous aurez prise sur la même table que les bulletins de vote.</li>
vous vous présentez devant les responsables du bureau de vote qui vérifient votre identité, que vous êtes bien inscrit·e sur la liste électorale. Ils vérifient aussi que vous n'avez pas déjà voté</li>
vous pouvez enfin accéder à l'urne et y déposer votre enveloppe</li>
vous signez le registre pour attester que vous avez voté</li>
</ol>
Ça c'est pour donner sa voix.</p>
Je regarde que tout se passe bien</h2>
En fait, c'est pas la seule chose que vous pouvez faire dans le bureau de vote : vous pouvez très bien participer à l'entièreté du déroulé de l'élection (du dépôt de votre vote jusqu'au dépouillement en passant par l'observation du déroulé du vote).</p>
Vous pouvez observer le vote :</p>

Soit en simple citoyen (garder un œil sur les urnes pour éviter le bourrage, etc.</em>)</li>
Soit en tant qu'assesseur pour un parti politique afin de contrôler les agissements des camps adverses (c'est important d'avoir des assesseurs dans les différents camps, sans eux il est difficile de contester ensuite</a>.</li>
</ul>
Plus il y a d'yeux dans le bureau de vote, mieux c'est. Et puis les trucs bizarres dans les élections c'est quand même fréquent. Exemple de choses qui pourraient arriver (pardon c'est déjà arrivé</a>) : le président du bureau de vote qui se tire avec l'urne sous le bras.</p>
L'urne est LE truc à garder à l'œil et à surveiller : mettre deux bulletins dans une enveloppe ? C'est un vote nul si les deux bulletins ne sont pas pour le même candidat (si c'est le même candidat on compte une voix). Tenter d'introduire de l'erreur au dépouillement ? C'est compliqué (voir ci-dessous).</p>
Je participe au décompte des voix exprimées</h2>
Lorsque le bureau ferme ses portes, le dépouillement peut commencer. Le dépouillement est accessible à tout le monde, n'hésitez pas à y participer.</p>
Ah le dépouillement : c'est long, c'est fastidieux, ça va pas assez vite, c'est comme ça qu'on se l'imagine et que les fabricants  de machines à voter (et les politiciens promoteurs de ces engins) nous le rabâchent aux oreilles. Et par la même occasion ça va suffisamment vite pour qu'on puisse faire une soirée drama à la télé pour bien faire monter le suspens autour d'un résultat donné et arrêté sur des résultats de sondages et non sur le décompte final.</p>
Pourtant, le dépouillement c'est un des moments les plus intéressants : en tant que citoyen je peux donner de mon temps et je fais de mon mieux pour que tout marche comme il faut : je suis actif.</p>
Le dépouillement, c'est un processus humain accessible à tous et toutes pour lequel il y a différentes façons de s'assurer qu'il n'y a pas de malversation.</p>
Comment se passe le dépouillement ?</p>

On ouvre les urnes, on sort les enveloppes (qui contiennent donc les bulletins de vote) et on compare le nombre d'enveloppes et le nombre de personnes ayant signé le registre : ces nombres doivent coller.</li>
On fait des paquets de 10 par exemple</li>
On constitue des tablées où des gens vont compter les voix exprimées pour chaque candidat</li>
On distribue aux différentes tablées des lots d'enveloppes constitués aux 2°). Les tables reçoivent le même nombre d'enveloppes que la table d'à coté</li>
L'énoncé du déroulé est donné par une des personnes gérant le bureau de vote (soit le président, soit l'assistant·e du maire, etc.</em>). Ces mêmes personnes sont là pour répondre aux questions des citoyens, elles font aussi appliquer le code électoral</a> et vérifient que les opérations de dépouillement respectent ce code. Exemples pratiques : on a un bulletin avec quelque chose d'écrit dessus c'est quoi ? un nul ? un blanc ? Il y a deux bulletins dans la même enveloppe ? Je ne comprends pas le formulaire ?</li>
Ensuite à la tablée on va, par exemple retrouver 4 personnes (2x2) : une personne qui ouvre l'enveloppe, lit le bulletin à la personne à côté d'elle qui en prend note en marquant un "petit bâton" sur le formulaire officiel, le bulletin est passé aux 2 autres personnes une qui lit aussi le nom du candidat, et la dernière personne marque aussi d'un bâton la voix exprimée. Ainsi sur une table on a deux formulaires qui tient compte des voix exprimées, formulaires renseignés par des personnes différentes qui sont à même de comparer au plus tôt les différences de décompte afin de voir très vite si il n'y a pas de décalage entre les deux formulaires. La personne qui lit le nom du candidat est aussi en mesure de regarder que la voix a bien été prise en compte sur le formulaire.</li>
On continue comme ça pour l'ensemble des bulletins distribués sur la table</li>
Quand toutes les enveloppes de la table ont été dépouillées, on appelle le/la président·e du bureau ou son assistant·e : celui/celle-ci va comparer que les deux formulaires comportent le même nombre de voix : si ça colle et que la somme des voix relevées correspond au nombre de bulletins déposés sur la table alors tout va bien. Si ça colle pas faut trouver l'erreur et dans le pire des cas tout recommencer.</li>
</ol>
Bien entendu, dans un bureau de vote il y a très rarement qu'une seule table de dépouillement. Les autres tables suivent la même méthodologie.</p>
Autour de ces tables de dépouillement des citoyens peuvent aussi jouer le rôle d'observateurs pour s'assurer que le décompte a lieu dans les règles.</p>
Vous l'aurez compris : les moyens humains sont importants mais en contre-partie les possibilités de fraude à ce niveau sont vraiment minimales.</p>
En plus de ça on peut aussi comparer les résultats des différentes tables. Avoir une table à 80%/20% des voix et une autre à 45%/55% c'est déjà louche. Dans une même commune on tombe assez facilement sur des résultats semblables entre les différentes tables.</p>
Quand tout ça est fini on additionne le nombre des voix par candidat de chaque table. Chacun peut sortir sa tête ou sa calculette et additionner pour contrôler que le résultat final est bon.</p>
Donc vous voyez comment ça se passe, pour que ça se passe mal faudrait vraiment une grosse mutinerie dans la commune : c'est pas réaliste.</p>
Mais le must du must c'est qu'en tant que citoyen, je peux aussi contrôler le décompte qui est communiqué au ministère de l'intérieur, ministère qui est en charge de la préparation, du suivi et du déroulé de l'élection : les chiffres calculés en bureau de vote peuvent être contrôlés sur le site du ministère</a>, par moi, simple citoyen. Si ça correspond pas : il y a un loup et ça se voit très vite.</p>
Idéalement il faudrait que cette surveillance soit constante sur toute la durée du scrutin : un relâchement et toutes les pires choses sont possibles pour faire élire son/sa pote.</p>
Le code électoral est la référence pour le déroulé du vote, c'est compréhensible par tout le monde.</p>
Simple, clair, compréhensible par n'importe qui : pas besoin d'être un expert, le contrôle est humain et vérifiable et le code électoral fait foi (on n'est pas confronté à un algorithme que l'on pense à tort ne faire que des additions mais qui se doit aussi de faire du traitement des données, de la protection de données, du chiffrement, de la transmission, ... bref du citoyen-pas-friendly)</p>
Oui mais alors le vote électronique ? C'est pas transparent ? Je ne peux pas contrôler</h2>
Ben en fait pas du tout.</p>
Le vote électronique pose la question de la chaîne de confiance entre moi citoyen et la prise en compte de mon choix, sa non-altération (il faut pas que le système me fasse voter pour quelqu'un d'autre que celui/celle que je veux ni même qu'il oublie de compter ma voix) et sa transmission jusqu'au ministère de l'intérieur.</p>
Et dans cette chaîne de confiance, il y a plusieurs entités auxquelles on me demande de donner un blanc-seing à défaut de comprendre tout le dispositif technique. Bref je dois avoir confiance</a> envers :</p>

Le fabricant de la machine</a> (il doit respecter le cahier des charges, il ne doit pas y avoir de bug dans la machine, la machine ne doit pas être modifiable/attaquable</a> par qui que ce soit (ni par un votant, ni par des gens du bureau de vote, ni par le fabricant, ni par les opérateurs réseau/prestataires de service qui se trouvent entre mon choix et la communication de mon choix, ...)</li>
L'état et les partis : peuvent-ils corrompre le fabricant de la machine par exemple ? Ou même sans ça est-ce que l'entreprise est vraiment neutre, est-ce que la machine à voter l'est ?</li>
(et il y en a probablement d'autres, en réfléchissant, si je trouve je complète la liste plus tard, mais là n'est pas l'important).</li>
</ul>
En fait tout réside dans le fait que le vote électronique repose sur un ensemble de connaissances que seuls des expert·e·s averti·e·s peuvent comprendre et qu'un nombre trop restreint de personnes peuvent contrôler :</p>

non accès aux codes sources des applications utilisées dans le vote électronique</li>
impossibilité de s'assurer que le logiciel qui tourne dans la machine correspond bien au code qu'on est en train de lire (oui une machine ça se met à jour et on peut vous montrer sur papier le code source d'une ancienne version du logiciel par exemple)</li>
non accès aux spécification du matériel (matériel non libre), impossibilité de vérifier que celui-ci se comporte tel qu'attendu</li>
</ul>
On a donc une énorme chape de plomb technique posée là sur le processus de vote et pour laquelle on demande aux citoyens</a> de faire confiance à défaut de la comprendre et de pouvoir la contrôler par soit-même.</p>
Politique, argent, entreprises, on sait bien que tout ce petit monde est faillible et appelé à agir pour se tirer la couverture à soi-même (d'ailleurs j'écrirais prochainement sur la conduite des campagnes électorales grâce à des outils prédictifs⁵.</p>
On passe donc d'un processus clair, transparent, humain à multiples contrôles et contre-contrôles où les différents aspects du vote de l'expression du votant à la prise du votant sont transparents et clairs à un dispositif complètement opaque qui exclut la majorité des citoyens du contrôle du dispositif électoral et qui est sensé affirmer le résultat de l'élection par magie noire comprise par les initiés uniquement.</p>
Fiabilité, vérifiabilité et sincérité du vote</h1>
Si on oublie les égarements d'urnes/bourrages d'urnes qu'on pourrait prévenir très facilement avec plus de moyens humains, l'ensemble du scrutin papier répond aux besoins de :</p>

fiabilité : c'est du papier, ça ne s'altère pas pendant le scrutin, on a plusieurs paires d'yeux pour compter, contrôler, contre-contrôler etc.</em></li>
vérifiabilité : dans le doute on peut recompter</li>
sincérité : le nom inscrit sur le papier du bulletin n'est pas réécrit par magie avec le nom d'un autre candidat</li>
</ul>
Coté vote électronique ça donne :</p>

fiabilité : les bugs informatiques qu'ils soient logiciels ou matériels ça existe (dans l'aéronautique on équipe les aéronefs à minima de deux systèmes répondant au même cahier des charges mais pas implémentés par les mêmes personnes/avec les mêmes composants pour limiter ces aléas, c'est dire ...)</li>
vérifiabilité : on fait comment ? on demande à la machine de réimprimer le rapport pour être sûr que l'imprimante marche bien ? :p ou on lui dit de cracher les votes ligne par ligne et on compte à la main ?</li>
sincérité : c'est de l'informatique, le logiciel fait bien ce qu'il veut. Comme dit précédemment, aucune assurance que le gâteau qu'on mange a été confectionné avec la recette que le cuisinier a bien voulu te donne sur le papier.</li>
</ul>
Unicité du vote et secret du vote</h1>
Ces deux points (unicité et secret) sont intéressants car ils sont l'un-l'autre exclusifs : pour s'assurer électroniquement que vous ne votez qu'une fois il faut collecter votre identité et la vérifier avant de vous laisser voter.</p>
Aujourd'hui ce contrôle est, peut être, fait de façon manuelle et sur papier comme pour le vote classique mais ça ne saurait durer : quand nous aurons accepté de mettre la main dans le tout informatique, on informatisera aussi la collecte d'identité associée à ce vote.</p>
Prenons, pour mieux illustrer ce point, le vote par Internet : pour assurer l'unicité il faut une identité numérique unique par citoyen, il faut aussi authentifier⁶) le votant.</p>
Oui mais voilà comment fait-on avec un ordinateur pour assurer à la fois l'anonymat (le secret) du vote mais en même temps assurer l'identité du votant ? Techniquement c'est difficile et quand bien même le logiciel de vote serait parfait, les ordinateurs des gens et leur utilisation de l'outil ne l'est pas. Je suis sûr que vous connaissez au moins une personne avec un ordinateur très lent, vérolé, avec des pubs, des toolbars, et autres mochetés numériques. Garantir la sécurité d'un dispositif comme celui du vote électronique n'est pas possible dans ces conditions.</p>
Et rappelons que, même si on est sceptique sur l'impact du vote : les élus raffolent de l'expression de ce vote puisque ça leur donne légitimité à agir et ce, quel que soit le contexte et la réalité du vote (quand on vote pour empêcher un désastre est-ce encore une expression de soutien ?).</p>
Conclusion</h1>
Ne laissons pas de place au doute, au manque de confiance dans le processus de vote lui-même : le processus papier actuel fonctionne très bien, il est compréhensible par un maximum de personnes sous le format papier (et s'il était question d'économiser le papier, éradiquons déjà la publicité par voie postale et on reparle, peut être).</p>
Le vote électronique est l'outil d'exclusion démocratique par excellence pour une majorité écrasante de citoyens dont je fais partie malgré que je bosse dans l'IT : je ne pourrais jamais donner ma confiance à des outils</a> qui poignardent</a> les gens</a> dans le dos</a> en temps normal</a>) qui entrent, dans le cadre du vote, dans un processus extrêmement sensible quand on parle de la conduite de la Nation.</p>
Est-ce que c'est le juste chemin de dire aux gens qu'il doivent accepter de ne pas comprendre et de ne se fier qu'aux avis des experts qui sont embauchés possiblement par les mêmes entreprises qui commercialisent les machines à voter...</p>
Bref, refusons ces outils, le moment du dépouillement est, je trouve, important en plus d'être intéressant, ne serait-ce que pour partager ce moment avec d'autres personnes.</p>
Je préfèrerais que l'État me permette de voter dans le bureau de vote de mon choix (sans avoir à anticiper de plusieurs mois : c'est pas toujours possible) plutôt que de me condamner à faire une procuration, à trouver une personne de confiance qui est pas déjà porteuse d'une procuration ou à défaut qui m'oblige à faire des centaines de kilomètres pour déposer mon bulletin dans l'urne...</p>
PS : ce billet fait suite à de nombreux débats récurrents, d'experts, de chercheurs qui se taraudent la tête à la recherche du vote électronique parfait. Le véritable déclencheur delà rédaction de ce billet c'est le visionnage de la conférence Éthique et algorithmes</a></em> de Gilles DOWEK (cette conférence fait partie d'une série de 4, intitulée Les enjeux scientifiques de l'éthique du numérique</a></em>.</p>
Merci à Esther</a>, à goofy</a> et fabien</a> pour la relecture de ce billet.</p>
Merci aussi à Olm-e</a> pour avoir porté à ma connaissance le site poureva.be</a> qui permet d'approfondir le sujet.</p>

¹ https://en-marche.fr/emmanuel-macron/le-programme/vie-politique-et-vie-publique</a></p>
² Si la totalité de la population vient à être experte en informatique et en infosec d'ici à 50 ans, alors je reconsidérerais ce qui est écrit dans ce billet. En attendant l'analphabétisme existe toujours 135 ans</a> après la mise en place de l'instruction obligatoire (on est d'accord c'est pas qu'affaire d'éducation, en plus). On constate quelque chose de semblable dans l'informatique : les gens ne savent pas comment marche leur ordinateur, et les parents sont émerveillés parce que leur mome passe leur temps sur l'ordinateur, ce qui n'en fait pas du tout des experts ou des doués de la chose</a> ce qui n'est pas nécessairement le cas et on entre dans la même logique : on pense que c'est acquis alors que ça ne l'est pas et on pense qu'on peut bâtir de façon correcte sur ces fondations argileuses.</p>
³ j'émettrais une réserve quand même sur l'unicité : lors de la présidentielle de 2017 il y a eu des bizareries</a> sur la gestions des listes électorales</a>.</p>
⁴ dans ce billet, je ne peux pas aborder les autres modes de scrutins possibles car il y en a beaucoup. Certaines méritent d'être citées comme celle de Condorcet</a>, méthode qui pourrait nous éviter de réduire notre voix à une simple opposition au dernier fasciste à la mode. (note que la méthode de Condorcet est quand même plus complexe à comprendre que le simple comptage bête et méchant que celui du scrutin uninominal majoritaire à deux tours que nous connaissons aujourd'hui en France, mais c'est toujours plus accessible que le dernier algorithme sorti de la cafetières d'un math-scientist et se l'implémentation - humaine (et donc faillible) - de celui-ci)</p>
⁵ Je pense par exemple à des entreprises comme NGP VAN</a>, Digitalebox</a> ou encore NationBuilder</a>. NationBuilder a été utilisée entre autres par Trump, les promotteurs du Brexit, Macron</a> et Mélenchon</a> pour comprendre ce que les gens attendent à un instant T de la campagne. D'ailleurs c'est le fait que ces deux candidats à l'élection présidentielle française aient fait appel à cette entreprise pour une même élection qui m'a interpellé : dans quelle mesure l'outil de NationBuilder est neutre, qu'il n'y a aucun biais de collecte, d'analyse et de construction des rapports à destination des clients (biais qui peuvent être involontaires:  après tout ce sont des humains qui fabriquent ça ou encore des biais volontaires : au plus offrant je lui donne des rapports réels, au moins offrant je lui glisse la peau de banane sous le pied .... le temps qu'il s'en aperçoive il devra dépenser une énergie folle pour corriger le tir ; et j'aimerais aussi aborder l'impact de plateformes au centre de nos vies comme les réseaux sociaux qui, pour certains d'entre eux, sont la fenêtre n°1 vers l'information en intégrant des lecteurs de news directement dans le réseau social.</p>
⁶ authentifier c'est à dire s'assurer que l'identité numérique utilisée pour voter est bien utiliser par la personne à qui appartient cette identité : ne pas voter pour quelqu'un d'autre sans son autorisation</p>


Censure et surveillance de l'Internet Français, main rouge sur Google, Wikipedia et OVH : et après ?
Unknown — Thu, 20 Oct 2016 00:00:00 +0000
Lundi dernier, les clients du FAI Orange, lorsqu'ils consultaient Google, Wikipedia ou OVH étaient redirigés sur le site du ministère de l'Intérieur</a>, si tant est qu'ils utilisaient les résolveurs DNS de Orange.</p>
On le dira jamais assez, la censure c'est sale, la surveillance aussi. Il en va de même pour les méthodes de blocage d'accès à un service sur Internet (dans le cas présent, ce blocage peut aussi empêcher d'envoyer des mails à des gens hébergés sur les domaines de google, wikipedia ou ovh).</p>
Un résolveur DNS, c'est un serveur. C'est grâce à lui que votre ordinateur sait comment appeler Wikipedia quand vous demandez wikipedia.org. Pour réussir cette prouesse, le serveur DNS va donner à votre ordinateur l'adresse IP de Wikipedia quand votre ordinateur lui demande "wikipedia.org".</p>
En temps normal, tous les résolveurs DNS doivent répondre de la même façon : le résolveur DNS ne doit pas prendre de décision sur la réponse à renvoyer : seul le propriétaire du site consulté doit avoir la main là dessus.</p>
Le blocage actuel est réalisé par votre FAI grâce à un résolveur DNS qui ment à votre ordinateur en indiquant l'adresse IP du ministère de l'Intérieur (minint) quand vous demandez l'accès à un site considéré comme dangereux par le Gouvernement (ou par votre FAI : la liste des sites bloqués n'étant pas public, il est possible d'y ajouter www.jacquieetmichel.net si votre FAI trouve ça drôle)</p>
C'est donc en ajoutant à Internet un équipement défaillant (résolveur DNS menteur) qu'il a été possible de transférer le trafic vers Google, Wikipedia et OVH vers le site du ministère de l'Intérieur lundi dernier.</p>
Quand vous êtes redirigés vers le site du minint, ils sont bon princes de vous afficher la main rouge</a></del> le point d'exclamation rouge (pardon) :</p>
</p>
Oui ils sont bon princes.</p>
Combien de temps se retiendront-ils de mettre en place un bon gros proxy qui laissera aux gens l'accès aux site de manière transparente tout en pouvant savoir qui voit quoi ? Ouais les boites noires du pauvre en somme.</p>
On pourrait même aller jusqu'à altérer le contenu des sites visés, trop génial.</p>
En soit, rien</strong> ne les empêche de le faire : quand votre FAI vous ment en changeant la réponse de son résolveur DNS, votre navigateur ne voit aucune différence comparé à une réponse vraie, légitime, de confiance.</p>
Par exemple, prenons cet article : http://wikipedia.org/wiki/Censure</a> (je m'autorise l'approximation du nom d'hôte : je ne sais pas quel est le domaine de Wikipedia qui était visé) :</p>
Lundi dernier, la seule chose qui changeait c'est que quand vous demandiez wikipedia.org, vous ne tombiez pas sur la machine de wikipedia mais sur une machine du ministère de l'Intérieur.</p>
Ce changement est complètement invisible pour l'utilisateur : votre navigateur affichait bien "http://wikipedia.org/wiki/Censure</a>" dans sa barre d'adresse.</p>
Techniquement, ca veut dire que la requête HTTP suivante était envoyée au ministère :</p>

Host: wikipedia.org
GET /wiki/Censure</p>
</blockquote>
A partir de là, le serveur du ministère de l'intérieur répond "bêtement" avec la main rouge.</p>
Techniquement, il est complètement possible de renvoyer autre chose qu'une main rouge à l'utilisateur : on peut très bien lui retourner le contenu original (ou modifié) de la page "/wiki/Censure" de Wikipedia, tout en faisant un détour par le minint.</p>
Il existe des techniques pouvant limiter les dégâts :</p>

coté serveur (DNSSEC, certificate pining, ...), mais qui les implémente ? Réponse : vraiment pas grand monde.</li>
de votre coté vous devriez changer de résolveur DNS</a> pour en utiliser un de confiance (indice : clairement pas celui de votre FAI), vous devriez également utiliser tor</a>.</li>
</ul>
Nextinpact a d'ailleurs publié un super article</a> faisant le tour de l'état de l'art en la matière et expose les problématiques en présence.</p>
Internet est donc cassé (qui en doutait ?), c'est un exemple de plus de la mainmise de certains sur cet outil symbole de notre liberté d'expression et pourtant : who cares¹ ?</p>
Sous prétexte de lutte contre la fraude ou le terrorisme, nos communications peuvent être épiées et altérées par un État.</p>
¹ Perso, j'ai rien entendu sur les quelques chaines de radio-france que j'ai exprès lancé exprès, juste-pour-voir™.</p>


Synchroniser une présentation (slides) html/css/js entre plusieurs navigateurs
Unknown — Tue, 11 Oct 2016 00:00:00 +0000
Jeudi dernier, en réunion de FAImaison, j'avais une petite présentation à faire.</p>
Comptant fortement sur la disponibilité d'un vidéo projecteur je ne m'étais pas plus inquiété que ça.</p>
En arrivant dans la salle : malheur pas de vidéoprojecteur. Nous sommes trop nombreux pour suivre sur un unique écran.</p>
Qu'à cela ne tienne, je me lance dans l'écriture d'un bout de script pour que chaque personne puisse suivre la présentation sur son propre laptop.</p>
L'idée est la suivante : le présentateur speech, fait avancer / reculer les slides, l'action du présentateur est répercutée sur tous les navigateurs de l'auditoire : sweet.</p>
L'objet de ce billet et de vous présenter la solution développée en mode rache en 10 minutes et vous annoncer la libération de cet outil qui est très facile à intégrer à vos slides :)</p>
Pour éviter qu'un petit malin profite de l'occasion, je met en place un mécanisme simpliste pour être le seul autorisé à piloter les navigateur des personnes connectées. Les actions possibles sont malgré tout très limitées : changer une ancre dans l'URL, rafraîchir la page, compter le nombre de clients connectés : simple.</p>
Principe</h5>
</p>
Le principe est simple :</p>

Chaque navigateur charge la page HTML contenant les slides (fichier HTML, feuilles de style CSS et scripts JS)</li>
Un navigateur, qui s'auto-désigne comme "emitter" surveille les changements d'URI (changement d'ancre)</li>
en cas de changement, il envoie l'information au serveur</li>
Quand le serveur reçoit une notification de l'"emitter", il vérifie cette notification est légitime. Si c'est le cas, le serveur pousse l'information à chaque client "receiver".</li>
</ul>
L'auditoire garde la main sur son navigateur : par exemple, il peut changer de slides, son navigateur sera à nouveau synchronisé au prochain changement de slide effectué par le présentateur.</p>
Exemple d'utilisation : à gauche le navigateur du présentateur, à droite un navigateur utilisé par un membre de l'auditoire :</p>


</video>
L'utilisation est simple.</p>
Utilisation</h5>
Récupérer les sources</h6>
On va récupérer les sources de web-slideshow-sync et les déposer dans le répertoire où vous avez votre présentation (fichier html, fichiers js, css, images, videos) :</p>
$</span> cd ma-super-presentation
</span>$</span> git clone https://git.legeox.net/capslock/web-slideshow-sync.git
</span>$</span> mv web-slideshow-sync/* ./
</span></code></pre>
Dans le répertoire de votre présentation, vous devez avoir les fichiers suivants :</p>

package.json : liste les dépendances de web-slideshow-sync (pour la partie serveur)</li>
web-slideshow-sync-client.js : fichier js à intégrer à vos slides</li>
web-slideshow-sync-server.js : script serveur : il servira vos slides et permettra la synchronisation des navigateurs</li>
</ul>
Intégrer web-slideshow-sync à votre présentation</h6>
Ouvrez le fichier HTML de votre présentation, et ajoutez les lignes suivantes juste avant la balise < / body> :</p>
<</span>script </span>src</span>="</span>/web-slideshow-sync-client.js</span>"></</span>script</span>>
</span>
</span><</span>script </span>type</span>="</span>text/javascript</span>">
</span>    </span>webSlideshowSyncClient</span>({
</span>        showControls: </span>true
</span>    })
</span></</span>script</span>>
</span></code></pre>
L'option showControls</em> nous permet d'afficher quelques contrôles utiles sur le navigateur du présentateur :</p>

un bouton pour forcer le rafraîchissement de la page des gens déjà connectés (utile si vous apportez des modification de dernière minute à vos slides)</li>
un compteur pour savoir combien de personnes participent à la présentation</li>
</ul>
Installer les dépendances pour la partie serveur</h6>
Allez dans le répertoire de votre présentation, puis tapez la commande :</p>
$</span> npm i
</span></code></pre>
Si aucune erreur n'est retournée, le serveur doit pouvoir se lancer avec la commande :</p>
$</span> npm start
</span>Starting</span> HTTP on port 8000 ; </span>Starting</span> WebSocket on port 8102
</span>Speaker</span> code : "</span>7a78eb384a5e6a7680ea1a03c1d636656009ea606800f2cfb35fdfaf8d0ae6b65ede373ffc6de27668f5d4b8944834d3</span>"
</span>
</span>Speaker</span> URL : http://0.0.0.0:8000/?isServer&</span>code</span>=</span>7a78eb384a5e6a7680ea1a03c1d636656009ea606800f2cfb35fdfaf8d0ae6b65ede373ffc6de27668f5d4b8944834d3
</span>Attendants</span> URL : http://0.0.0.0:8000/
</span>
</span>2016-10-11T21:33:14.230Z </span>[ ]</span> Serving HTTP files on port 8000 ...
</span></code></pre>
Le serveur nous donne plusieurs éléments :</p>

le speakerCode</em> est un code que le présentateur doit mettre dans l'URL de son navigateur afin que le serveur accepte de propager les événements aux autres navigateurs</li>
l'URL à utiliser par le présentateur (elle reprend le speakerCode ainsi que le numéro de port du serveur HTTP qui se charge de servir votre présentation</li>
l'URL à communiquer à votre auditoire</li>
</ul>
Le serveur propose plusieurs options pour réutiliser un speakerCode, changer les numéros de ports, l'interface sur laquelle seront bindés les serveurs etc :</p>
% npm start -- --help
</span>
</span>  </span>Usage:</span> web-slideshow-sync-server </span>[</span>options</span>]
</span>
</span>  </span>Options:
</span>
</span>    </span>-h, --help</span>              output usage information
</span>    </span>-w, --wsport </span><n>        set WebSocket port (defaults : 8102)
</span>    </span>-p, --httpport </span><n>      set HTTP Web server port (defaults: 8000)
</span>    </span>-i, --ifacebinding </span><s>  set Interface on which listening (defaults : 0.0.0.0)
</span>    </span>-c, --code </span><s>          set Speaker code (defaults : randomly generated)
</span>    </span>-n, --nohttp</span>            disable HTTP server, websocket is the only server that will start
</span></code></pre>
Ce logiciel Libre est placé sous license GPLv3 et disponible ici : https://git.legeox.net/capslock/web-slideshow-sync</a></p>
En espérant que ça vous soit utile :)</p>


Partager un scanner en réseau
Unknown — Mon, 10 Oct 2016 00:00:00 +0000
Je numérise tous les documents que je reçois, c'est pratique pour le mettre dans mon cloud personnel hébergé chez moi.</p>
Comme cette tâche est fastidieuse et que mon espace de vie n'autorise pas d'avoir un scanner toujours à coté de mon laptop, j'ai décidé de le partager sur le réseau local pour pouvoir y accéder facilement.</p>
Voici donc les étapes à suivre pour réaliser ce partage de scanner en réseau. Seuls des logiciels Libres sont utilisés ici. Vous utiliser un Windows ou un MAC ? : TL;DR; passez votre chemin c'est pas traité dans l'article.</p>
Voici le matériel utilisé :</p>

un petit ordinateur (raspberrypi par exemple)</li>
un scanner usb</li>
</ul>
En parlant petit ordinateur, vivement qu'on puisse avoir un raspi zero avec un chip wifi intégré, ca évitera l'effet pieuvre de l'actuel :</p>
</p>
Le Hub USB est là uniquement pour deux choses : avoir une alimentation suffisante pour l'ensemble et pour pouvoir avoir simultanément du Wifi via un dongle USB et le scanner.</p>
Coté logiciel on utilise la librairie Sane (Scanner Access Now Easy; c'est pas juste un titre marketoaccrocheur : si le partage d'imprimante en réseau était aussi simple que c'est le cas avec les scanners, l'humanité serait plus belle :))</p>
Passons à la mise en pratique.</p>
Sur notre petit ordinateur</h6>
Sur notre petit ordinateur, on va installer les logiciels suivants :</p>

libsane : backends sane</li>
sane-utils : daemon sane, commande scanimage entre autres</li>
</ul>
$</span> sudo apt install libsane sane-utils
</span></code></pre>
Ensuite, on branche le scanner et on part à sa recherche avec la commande scanimage pour vérifier que libsane dispose du backend adéquat :</p>
$</span> scanimage</span> -L
</span>device </span>`</span>genesys:libusb:001:006</span>'</span> is a Canon LiDE 110 flatbed scanner
</span></code></pre>
Notre scanner est reconnu, on remarque que le backend utilisé est "genesys", qu'il est branché en USB, sur le bus 1, port 6 et que c'est un "< vous savez lire > scanner" :)</p>
Dernière configuration nécessaire sur notre petit ordinateur : indiquer quelles machines seront autorisées à utiliser nos scanners sur le réseau.</p>
Pour faire ça, on va éditer le fichier /etc/sane.d/saned.conf</strong> pour ajouter la liste des machines autorisées, ou, si on veut pas trop se prendre le choux, l'ensemble du réseau local.</p>
Dans mon cas, j'ai ajouté la ligne suivante au fichier :</p>

192.168.1.0/24</p>
</blockquote>
Autorisant ainsi toutes les machines de mon réseau 192.168.1.X à accéder au scanner.</p>
Après avoir sauvegardé ce fichier, on va indiquer au daemon sane qu'il doit être actif en éditant le fichier /etc/default/saned</strong>, en passant la variable RUN</strong> à yes</strong> :</p>
$</span> cat /etc/default/saned
</span>RUN</span>=</span>yes
</span>RUN_AS_USER</span>=</span>saned
</span></code></pre>
Ensuite, indiquer à systemd d'activer une socket pour saned :</p>
$</span> sudo systemctl enable saned.socket
</span></code></pre>
Puis on la démarre :</p>
$</span> sudo systemctl start saned.socket
</span></code></pre>
On prendra soin de relever l'adresse IP de cet ordinateur :</p>
$</span> ip a s dev eth0
</span>2:</span> eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
</span>    </span>link/ether</span> ad:3f:12:42:42:42 brd ff:ff:ff:ff:ff:ff
</span>    </span>inet</span> 192.168.1.12/24 brd 192.168.1.255 scope global eth0
</span>       </span>valid_lft</span> forever preferred_lft forever
</span></code></pre>
Soit "192.168.1.12" ici.</p>
Si vous utilisez un parefeu, et vous devriez, on doit ajouter la règle suivante (adaptez les valeurs à votre setup) :</p>
$</span> sudo iptables</span> -A</span> INPUT</span> -s</span> 192.168.1.0/24</span> -p</span> tcp</span> --dport</span> 6566</span> -j</span> ACCEPT
</span></code></pre>
Sur chaque ordinateur devant accéder au scanner</h6>
On installe nos outils classiques pour scanner un document :</p>

libsane : backends sane (le backend net est celui qui nous intéresse ici)</li>
sane-utils : daemon sane, commande scanimage entre autres</li>
simple-scan : une belle interface graphique qui permet de faire du scan simplement (c'est celui par défaut sous ubuntu notamment)</li>
</ul>
Maintenant, configurons le backend "net", qui permet d'accéder à un scanner depuis le réseau. Ouvrir le fichier /etc/sane.d/net.conf, ajouter l'adresse IP du petit ordinateur :</p>
$</span> cat /etc/sane.d/net.conf
</span>192.168.1.12
</span></code></pre>
Vérifions que notre ordinateur client détecte bien le scanner partagé sur le réseau :</p>
$</span> scanimage</span> -L
</span>device </span>`</span>net:192.168.1.12:genesys:libusb:001:006</span>'</span> is a Canon LiDE 110 flatbed scanner
</span></code></pre>
Voila, notre scanner est prêt à l'emploi ❤</p>


L'Internet Libre c'est pas fourni, ça se fabrique
Unknown — Mon, 12 Sep 2016 00:00:00 +0000
Je suis membre de deux fournisseurs d'accès à Internet, au sein de la fédération FDN</a> : FDN</a> et FAImaison</a>.</p>
Je vais vous parler de ce second FAI et (Fournisseur d'Accès à Internet) et de ses membres.</p>
Nous sommes 94 membres à l'heure où ce post est écrit et il y a 38 abonnés (ADSL, Wifi, etc).</p>
Jusque là tout va bien : on a abattu un bon gros boulot en s'installant dans un Datacenter</a>, on passe de bons moments que ce soit en réunions, en soirées, autour d'un barbecue, d'une bière, les fesses dans un canoë prêté très gentiment par certains membres (si si).</p>
Bref c'est cool de s'investir dans ce genre d'associations.</p>
Il y a quand même un hic.</p>
Ce n'est pas nouveau, mais c'est pénible et assez décourageant.</p>
Nous sommes toujours le même nombre de bénévoles à faire avancer le bateau. Notre taux de recrutement de membres actif est d'environ 1 par an max... et encore des actifs s'en vont.</p>
Nous sommes toujours aussi nombreux à piocher le charbon alors qu'il y en a de plus en plus qui veulent monter dans la locomotive sans pour autant aider à ce qu'elle n'avance.</p>
Nous serions 50 à bosser, ce serait plus facile pour chacun d'entre-nous. Mais au final on est toujours aux alentours de la dizaine. Et sur les épaules de ces trop peu nombreux membres repose tout le poids de ceux qui consomment</strong> le service.</p>
Pourquoi écrire ce billet tout à coup alors que c'est pas neuf ? Parce qu'en deux jour j'ai eu deux impatients.</p>
Un premier qui trouvait scandaleux qu'on mette plus de 24h pour virer son adresse d'une mailing list.</p>
Le second parce qu'il est en rade d'adsl depuis plus de 3 jours et qu'il commence à trouver le temps long (on le comprend, paix sur toi cher adhérent).</p>
Je ne vais pas lui jeter la pierre à celui-là, moi aussi j'ai besoin que ça fonctionne quand je suis chez moi.</p>
Par contre pour le second... Oui 24h pour désinscrire un email d'une liste c'est long, on en a conscience et c'est justement pour ça qu'on compte remplacer prochainement notre valeureux outil de mailing-list, qui a très bien fait son job jusque là, pour en utiliser un où les gens seraient autonomes.</p>
Oui mais pour amener à bien ce genre de projet, il faut du temps. Du temps de gens qui savent faire. Il faut un niveau d'expertise certain pour réaliser ces projets : ce n'est pas accessible tout de suite à tout le monde. On ne va pas demander au premier venu d'aller manger du BGP. Ni d'aller réfléchir à une nouvelle architecture ou encore à étendre notre infra.</p>
Par contre le premier venu peut très bien dépanner son prochain. C'est possible et c'est même documenté</a>.</p>
Si on ne sait pas lire, on s'en sort même par empirisme, au pire les copains "sachant" ne sont pas très loin (c'est du FAI local hein) et ils sont même parfois gentils.</p>
Proposer de la VM avec de la  Haute disponibilité pour le FAI lui-même mais aussi pour ses membres, proposer du vpn backé sur du radius+ldap+SI c'est pas magique ça prend du temps et c'est pas facile.</p>
En tant que membres, vous devriez songer à aider ces pauvres bénévoles qui doivent se mettre sur ce genre de chantiers en leur portant secours et bienveillance d'autant plus quand un des nôtres est en rade.</p>
Aller aider le prochain avec son soucis de connectivité c'est aussi aider à ce que les projets de fond puissent avancer.</p>
C'est l'histoire d'un bout de soirée avec un adhérent qui ne manquera pas de vous accueillir avec café/thé/bière ou autre.</p>
Dépanner son prochain c'est aussi s'assurer qu'on ne sera pas tout seul dans le noir le jour où ça nous arrivera :solidarité, entraide.</p>
Autre solution, rester égoïstement dans notre canap', laisser les autres s'essouffler à tenter de sauver le monde.</p>
Qu'est ce qui amène à ce genre de situation ? Comment s'en sortir ?</p>
Peut être devrions-nous arrêter de parler de fourniture d'accès à Internet.</p>
Nous ne fournissons pas de l'Internet, on le fabrique, on se donne accès à Internet.</p>
Oui, ça pue la sueur. Mais derrière cette sueur, il y a la liberté, le respect de nos vies privées.</p>
Vous abandonner à l'inaction en espérant que le truc tombe en marche, c'est pas la bonne idée. Par contre venir nous soutenir, même si ce n'est qu'en nous prodiguant des câlins, en nous offrant de gentilles attentions, .... ce serait un déjà un début. Ça ne ferait pas avancer directement les choses, mais ça y contribuerait, on se sentirait moins seuls.</p>
Peut être qu'on devrait reconnaître l'investissement de chacun par l'intermédiaire de quelque artifice (goodies accessibles uniquement à ceux qui se bougent, augmenter le prix d'adhésion pour ceux qui n'en foutent pas une, ...)</p>
Je vais probablement devoir annuler une soirée pour aller dépanner l'adhérent en mal de connexion. Une énième soirée qui va passer à la trappe. J'ai du mal à croire que parmi ces 94 adhérents il n'y en ait aucun avec un peu de temps libre ce soir là.</p>
(je mets les questions suivantes à la première personne du singulier, mais vous pouvez le lire avec du "nous" à la place) :</p>

Dois-je arrêter de faire des sacrifices pour tenter que ça marche mieux ?</li>
Dois-je laisser les gens dans la merde pour que ça leur fasse les pieds ?</li>
Dois-je me barrer de cette association et faire des trucs qui marchent ailleurs, avec des gens potentiellement moins égoïstes ?</li>
Dois-je tenir un carnet de bord avec tous les sacrifices que j'ai concédé de faire pour que ça avance et balancer la liste à la prochaine AG ?</li>
</ul>
FAImaison serait le seul FAI, la seule association, à se poser ce genre de questions, il n'y aurait pas de problème : ça viendrait probablement de l'association elle-même.</p>
Nous ne sommes pas les seuls. Ne devrions-nous pas réfléchir à des solutions pour booster l'engagement de nos membres ?</p>
A défaut de s’entraider au moins aimons-nous, serrons-nous les coudes, c'est pas parce que le monde a tendance à vouloir s'autodétruire qu'on doit contribuer à en faire de même entre nous.</p>
Merci à opi pour son aide à la relecture de ce billet <3</p>
Et vous, avez-vous une idée à tester pour améliorer les choses ? Si vous vous reconnaissez dans le cas du non-contributeur, pourquoi en est-il ainsi selon vous ?</p>
En espérant vous lire dans les commentaires, voici une petite musique du moment :</p>
</a></p>


Monitorer la validité de ses certificats avec support du SNI et nagios
Unknown — Wed, 31 Aug 2016 00:00:00 +0000
J'ai trouvé peu d'informations en ligne concernant la vérification de la validité de certificats TLS via nagios et avec le support du SNI (utilisé quand vous hébergez plusieurs sites Web derrière une même IP et sur un même port exemple : via des vhosts).</p>
L'emploi du module check_http (/usr/lib/nagios/plugins/check_http</code>), fourni avec nagios, est une des solutions possibles.</p>
On va tout d'abord créer une nouvelle commande dans /etc/nagios/objects/commands.cfg</code> :</p>
define command{
</span>    command_name check_sni_cert
</span>    command_line /usr/lib/nagios/plugins/check_http -S \
</span>        -H $ARG3$ -w 5 -c 10 -p $ARG1$ -C $ARG2$ --sni
</span>}
</span></code></pre>
Détail des options choisies :</p>

-H : hostname à tester</li>
-w : temps de réponse à incident en cas d'avertissement (secondes)</li>
-c : temps de réponse à incident en cas d'erreur critique (secondes)</li>
-p : numéro de port sur lequel effectuer la connexion</li>
-C : nombre de jours avant l'expiration du certificat en dessous duquel un avertissement/une erreur critique sont levés (format nombreJoursAvantWarning,nombreJoursAvantErreur</em>)</li>
--sni : support du SNI</li>
</ul>
On peut alors utiliser cette nouvelle commande en créant un nouveau service, par exemple dans /etc/nagios/objects/localhost.cfg</code> :</p>
define service{
</span>    use local-service
</span>    host_name localhost
</span>    service_description SSL Cert: www.example.com
</span>    check_command check_sni_cert!443!20,5!www.example.com
</span>}
</span></code></pre>

use</code> : permet de définir, entre autres, l’intervalle entre deux vérifications, l'intervalle entre une erreur et la vérification que cette erreur est résolue, ... On peut créer un service qui aura des paramètres adaptés à notre use case du moment : par exemple ne faire la vérification que tous les 2 jours.</li>
host_name</code> : nom d'hôte sous lequel ce service sera visible</li>
service_description</code> : description textuelle du service</li>
check_command</code> : la commande à exécuter pour notre test (détaillée ci-dessous)</li>
</ul>
check_command</code> fait appel à la commande check_sni_cert</code> que nous avons créé au tout début de cet article.</p>
Les arguments de cette commande sont séparés par un "!".</p>
Les paramètres de cette commande sont donc :</p>

443 : connexion effectuée sur le port standard HTTPS</li>
20,5 : déclencher une alerte de niveau critique si le certificat expire sous 5 jours, déclencher une alerte (warning) si le certificat expire sous 20 jours</li>
www.example.com : le vhost qu'on veut tester</li>
</ul>


Python et problèmes d'encodages différents entre deux systèmes
Unknown — Wed, 03 Aug 2016 00:00:00 +0000
Vous avez un soucis d'encoding avec votre programme python mais ce soucis n'est pas présent sur une autre machine ?</p>
Avant de vous lancer dans des investigations coûteuses ; vous devriez vérifier l'encoding du terminal dans lequel votre programme est exécuté.</p>
Voici un petit OneLiner pour y arriver :</p>
$</span> python</span> -c </span>"</span>import sys; import locale; print('stdin encoding=%s ; stdout encoding=%s ; file system encoding=%s ; system locale=%s' % (sys.stdin.encoding, sys.stdout.encoding, sys.getfilesystemencoding(), locale.getdefaultlocale()))</span>"
</span></code></pre>
Dont la sortie devrait avoir cette tronche :</p>
stdin encoding=UTF-8 ; stdout encoding=UTF-8 ; file system encoding=UTF-8 ; system locale=('fr_FR', 'UTF-8')
</span></code></pre>
Merci à Gordon</a> pour m'avoir soufflé cette solution, vous pouvez aussi lire le post très intéressant à ce sujet
sur Sam&Max</a>.</p>


J'ai rien à cacher
Unknown — Mon, 01 Aug 2016 00:00:00 +0000

« Dire que vous n’en avez rien à faire de la vie privée parce que vous n’avez rien à cacher, c’est comme dire que vous n’en avez rien à faire de la
liberté d’expression parce que vous n’avez rien à dire ».</p>
</blockquote>
Edward Snowden</p>


Your browser does not support the video tag.
</video>


Windows et les devs : pas sûr que ce soit une grande idée
Unknown — Mon, 01 Aug 2016 00:00:00 +0000
Il y a de ça presque un mois, je tweetait les photos suivantes :</p>

MAGNIFIQUE la borne de parking avec vnc, écran tactile et phpMyAdmin... #internetOfShit</a>pic.twitter.com/RZpHAe6PZ8</a>
— CapsLock (@LeCapsLock) 7 juillet 2016</a></p>
</blockquote>
</p>
</p>
Oui il s'agit bien d'une borne d'entrée sur un parking avec deux-trois trucs de rien du tout qui sautent au yeux :</p>

un phpMyAdmin (donc une interface pour gérer ses bases de données)</li>
un écran tactile</li>
vraissemblablement un VNC / whatever autre système de prise de main à distance</li>
à priori un vieux windows xp si ce n'est plus vieux</li>
un navigateur Web Opera qui se révèlera être outdated :</li>
</ul>

@LeCapsLock</a> Sur une vieille version d'Opera qui tourne encore sous Presto xD
— TroniQ89 (@TroniQ89) July 19, 2016</a></p>
</blockquote>
Il était donc possible d'utiliser le phpMyAdmin avec mes petits doigts potelés, d'aller consulter la base client, les données bancaires etc... A l'heure du cloud souverain™ de mes deux, de l'invocation du darkweb</em> pour la moindre chose normale qu'on peut faire sur Internet, ça fait du lourd, on en a gros</a>.</p>
Outre le fait que n'importe quel utilisateur pouvait dumper toute la base, que les softs soient vieux, il y a quand même un point majeur qui m'a fait tiquer dans cette histoire.</p>
Et puis j'ai un peu analysé, cherché à comprendre comment on peut en arriver à de telles cauchemars type Internet Of Shit</a>.</p>
J'en suis arrivé à la conclusion que nos chers amis devs n'auraient probablement eu un tel fail s'ils avaient utilisé autre chose que Windows.</p>
Je m'explique : sous Windows quand tu penses contrôle à distance, tu vas nécessairement te pencher en tout premier lieu sur des solutions graphiques à la vnc / teamviewer et autres. Quand ton canal d'affichage n'est exposé à aucun public, que la machine n'a pas d'écran etc, ... pourquoi pas à la limite : ça passe.</p>
Mais dans le cas présent ton canal d'affichage il est exposé au public, coco.</p>
T'aurais été sous n'importe quel autre système (au hasard GNU/Linux) tu aurais d'abord pensé SSH, tunnel SSH pour attraper ton MySQL et mettre à jour ton soft.</p>
T'aurais probablement eu zéro interruption de service (puisque tes utilisateurs auraient pû continuer à utiliser ta borne pendant la maintenance), que des avantages que je te dis.</p>
T'aurais même probablement moins galéré puisque le texte c'est moins lourd à transférer que l'image de ton desktop.</p>
Bref, je pense que Windows hors de l'équation et tu aurais eu, cher dev, la chance de faire des choix moins cons.</p>


Opérations de bases pour rendre nginx moins indiscret
Unknown — Sun, 31 Jul 2016 00:00:00 +0000
Par défaut, nginx renvoie différentes informations un peu gênantes du point de vue de la sécurité de votre serveur et de ses applications :</p>

Numéro de version de nginx</li>
Le fait que c'est bien un nginx qui répond</li>
</ul>
Dans le cas de certains serveurs applicatifs, d'autres informations peuvent fuiter entre autres par le biais des entêtes HTTP leakant ainsi des informations non-vitales pour la bonne exécution de votre application mais particulièrement savoureuses pour vos futures amis qui voudront défoncer votre serveur et vos applis.</p>
Voici donc un peu de configuration pour limiter ces effets.</p>
WARNING</strong> : On précisera que ce que nous faisons ici n'est pas plus que de cacher la merde sous le tapis. Si votre logiciel contient une faille dans une version donnée, votre logiciel gardera sa faille malgré tous les soins que nous porterons aux configuration ci-dessous. En un mot : mettez vos infras à jour #screugneugneu</p>
Empêcher la fuite du numéro de version de nginx</h6>
Pour cacher le numéro de version de nginx, on ajoute à la clause http</strong> de votre fichier de configuration de nginx (la plupart du temps /etc/nginx/nginx.config</em>), le paramètre server_tokens</strong> avec une valeur à off</strong> :</p>
http {
</span>  [...]
</span>  server_tokens off; # prevent nginx leaking its version
</span>  [...]
</span></code></pre>
Ensuite on recharge la configuration :</p>
$</span> sudo systemctl reload nginx
</span></code></pre>
Pour vérifier que la configuration est bonne, on peut naviguer vers une page qui n'existe pas sur votre serveur afin d'obtenir une page d'erreur 404. Si vous avez la page d'erreur par défaut de nginx, ça devrait ressembler à ceci :</p>
Avant d'avoir passé server_tokens à off :</p>
</p>
Après le passage de server_tokens à off :</p>
</p>
Supprimer l'entête Server</h6>
À la réponse des requêtes qu'il traite, nginx ajoute par défaut l'entête suivante :</p>

Server: nginx</p>
</blockquote>
Pas cool.</p>
Pour empêcher ça, on va devoir ajouter le module headers_more</a>. Sur debian/ubuntu, ce module est installé via le paquet nginx-extras</strong></p>
On installe donc ce paquet :</p>
$</span> sudo apt install nginx-extras
</span></code></pre>
On peut alors ajouter à notre section http de notre fichier /etc/nginx/nginx.conf</em> la clause suivante more_set_headers</strong> :</p>
http {
</span>  [...]
</span>  more_set_headers 'Server: '; # prevent leaking nginx name ; needs nginx-extras
</span>  [...]
</span>  server_tokens off; # prevent nginx leaking its version
</span>  [...]
</span></code></pre>
Ensuite on recharge la configuration :</p>
$</span> sudo systemctl reload nginx
</span></code></pre>
Pour vérifier que ce changement est pris en compte, on peut utiliser l'inspecteur du navigateur (souvent accessible via le raccourci clavier Ctrl+Shift+I</strong>, aller dans l'inspecteur réseau, puis regarder les entêtes (headers) de réponse.</p>
Avant la modification :</p>
</p>
Après la modification : cet entête n'est plus exposé.</p>
Remarque</strong> : l'information est toujours disponible en consultant des pages renvoyant des erreurs (types 4xx/5xx) :</p>
</p>
Il conviendra de proposer à vos utilisateur des pages d'erreur personnalisées</a>.</p>
Bloquer les entêtes renvoyés par nos serveurs applicatifs</h6>
Venons-en aux serveurs applicatifs qui peuvent être indiscrets. C'est par exemple le cas des serveurs nodejs basés sur Express.</p>
Par défaut on a un magnifique (ironique hein) entête qui nous dit tout joyeusement "hey coucou je suis une app tournant sous le framework Express !"</p>
</p>
Nice.</p>
Alors soit vos développeurs codent normalement et suppriment ce vilain entête quand la variable d'environnement NODE_ENV est à production ; soit ils ne le font pas.</p>
Dans ce dernier cas, en plus de leur coller une bonne paire de baffes, on va réparer leur bêtises en attendant un patch.</p>
Notre nginx est configuré pour faire reverse proxy de noter app nodejs. On peut donc lui demander de nous supprimer l'entête X-powered-by</strong>. Pour ce faire, on va utiliser le paramètre proxy_hide_header</strong> dans notre section location</strong> :</p>
location / {
</span>   [...]                     
</span>   proxy_hide_header X-powered-by;
</span>   proxy_pass http://192.168.1.1;
</span>   [...]
</span>}
</span></code></pre>
Ensuite on recharge la configuration :</p>
$</span> sudo systemctl reload nginx
</span></code></pre>
Cet entête a disparu :</p>
</p>
Vous pouvez rappeler à vos collègues de vous fêter un joyeux Adminsys day</a> la prochaine fois <3</p>
Remarque finale</h6>

Les entêtes HTTP c'est important, prenez-en soin.</li>
nginx ou les autres serveurs web (apache &co) : même combat</li>
ne croyez pas pour autant être en sécurité, un petit coup de nmap pourra vous convaincre que nos petits efforts sont bien minces :)</li>
des fois gérer un header ça permet aussi de se protéger de failles de sécu en urgence en attendant que les softs soient patchés, exemple : HTTPPoxy</a></li>
</ul>


Iptables : ouvrir un port local et rediriger le trafic sur un autre port local
Unknown — Tue, 17 May 2016 00:00:00 +0000
Pour transférer le trafic d'un port à un autre on utilise en général une règle de ce type :</p>
$</span> sudo iptables</span> -t</span> nat</span> -A</span> PREROUTING</span> -p</span> tcp</span> --dport </span><nouveau port> -j REDIRECT</span> --to-ports </span><port vers lequel rediriger le trafic>
</span></code></pre>
exemple :</p>
$</span> sudo iptables</span> -t</span> nat</span> -A</span> PREROUTING</span> -p</span> tcp</span> --dport</span> 80</span> -j</span> REDIRECT</span> --to-ports</span> 3118
</span></code></pre>
Ça fonctionne bien pour les machines se connectant au nouveau port ainsi créé (80 ici).</p>
Par contre si on essaye de se connecter au port 80 depuis la machine où la règle iptables a été ajoutée, ça ne fonctionne pas (symptome : Connection refused).</p>
La raison est que cette règle, placée sur la chaine POSTROUTING, n'est pas utilisée lorsque l'on accède à un port via l'interface de loopback (lo).</p>
Il faut donc ajouter une règle sur la chaine OUTPUT de l'interface de loopback :</p>
$</span> sudo iptables</span> -t</span> nat</span> -A</span> OUTPUT</span> -o</span> lo</span> -p</span> tcp</span> --dport </span><nouveau port> -j REDIRECT</span> --to-port </span><port vers lequel rediriger le trafic>
</span></code></pre>
Use case pratico-pratique : je forward via ssh du trafic HTTP sur un port ne nécessitant pas d'accès privilégié (numéro de port supérieur à 1024) mais mon navigateur reçoit une redirection vers localhost sur un autre port que celui forwardé (par exemple port 80 ; http://localhost/</a>).</p>
Dans ce cas on pourrait utiliser la règle suivante pour rediriger le trafic arrivant sur le port 80 vers le port 3118 (qui écoute déja localement, grâce au tunnel SSH) :</p>
$</span> sudo iptables</span> -t</span> nat</span> -A</span> OUTPUT</span> -o</span> lo</span> -p</span> tcp</span> --dport</span> 80</span> -j</span> REDIRECT</span> --to-port</span> 3118
</span></code></pre>
Dans tous les cas nous penserons bien sûr à activer l'ip forwarding :</p>
echo</span> 1 > /proc/sys/net/ipv4/ip_forward
</span></code></pre>


Pagination avec psql
Unknown — Mon, 16 May 2016 00:00:00 +0000
Petite astuce, si vous voulez rendre l'affichage d'une requête plus lisible via l'outil en ligne de commande psql</code> lorsque vous avez une grande quantité de données est à afficher :</p>
$</span> export PAGER=less
</span>$</span> export LESS='</span>-iMSx4 -RSFX -e</span>'
</span>$</span> psql
</span></code></pre>
Et voilà on a un beau pager en utilisant less</code></p>


Restreindre l'accès d'un utilisateur à sshfs uniquement
Unknown — Mon, 22 Feb 2016 00:00:00 +0000
Petite astuce rapide pour restreindre l'accès d'un utilisateur pour qu'il puisse faire du sshfs mais pas trop plus.</p>
On considère pour la suite que notre utilisateur se connecte à l'aide d'une clé.</p>
On va restreindre son accès à la commande sftp-server :</p>
$</span> cat /home/<username>/.authorized_keys
</span>command</span>="</span>/usr/lib/openssh/sftp-server</span>"</span>,no-port-forwarding,no-x11-forwarding,no-agent-forwarding </span><cypher> <key> <comment>
</span></code></pre>
Remplacer  par le cypher, la clé et le commentaire que vous utilisez habituellement</p>
De plus on peut restreindre le shell de notre utilisateur à cette même commande :</p>
$</span> sudo usermod</span> -s</span> /usr/lib/openssh/sftp-server <username>
</span></code></pre>


Comparer facilement deux fichiers avec leur représentation hexadécimale
Unknown — Wed, 23 Sep 2015 00:00:00 +0000
Des fois on a besoin de comparer deux fichiers, on peut le faire par leur taille, par comparaison de leurs empreintes (hash</code>), mais cela peut ne pas suffir.</p>
Une solution possible : les comparer en observant leurs représentation hexadécimale.</p>
Pour ça on va utiliser deux outils déjà installés sur la plupart des distributions : xxd et vimdiff.</p>
xxd va nous créer la représentation hexadécimale des fichiers et vimdiff va nous aider à comparer ces représentations</p>
$</span> xxd fichier1 > fichier1.hex
</span>$</span> xxd fichier2 > fichier2.hex
</span></code></pre>
Ensuite on a plus qu'à ouvrir fichier1.hex et fichier2.hex dans vimdiff :</p>
vimdiff</span> fichier1.hex fichier2.hex
</span></code></pre>
Ce qui nous donne un truc comme ça :</p>
</p>


Bilan du streaming vidéo de la conférence de Jean Marc Manach au Conseil Général de Loire Atlantique
Unknown — Wed, 12 Nov 2014 00:00:00 +0000
Le 9 octobre dernier, se tenait la conférence de Jean Marc Manach "Vie privée, un problème de vieux cons ?</a>".</p>
FAImaison s'est alors proposée pour diffuser en ligne cette conférence puisque nous l'avions déjà fait pour notre cycle de conférences un peu plus tôt dans l'année.</p>
Note : l'enregistrement de cette vidéo est accessible en torrent</a>, sur media.faimaison.net</a> mais aussi sur youtube</a></p>
Ce post est un petit retour sur les nouveaux choix techniques pour cette conférence, les contraintes que nous avions et c'est également pour moi l'occasion de donner un peu plus d'informations sur l'infrastructure que nous utilisons jusqu'à présent.</p>
À ce retour s'ajoutent les retours de FAImaison</a> et du Conseil de Développement de Loire Atlantique</a> (CLDA44).</p>
Les contraintes</h1>
Jusque là nous avions déjà une petite série de contraintes que nous nous imposions (liste non-exhaustive) :</p>

On doit utiliser des logiciels libres</li>
On doit se passer de tout acteur majeur et centralisant</li>
On doit pouvoir suivre la conférence avec une connexion de 512Kbps</li>
En cas de problème, la diffusion doit reprendre d'elle même (tant du coté salle, que du coté serveur ou bien du coté client)</li>
</ol>
Pour le premier point</strong>, on a toujours du Icecast, le flux est poussé par de l'oggfwd après être passé dans un coup de ffmpeg. Il y a une brique maison en plus : le répartiteur de charge (load balancer, abordé plus bas dans ce ce post).</p>
Pour le second point</strong>, DIY</a>, on installe tout: de la capture, à la diffusion en passant par la répartition de charge. Il en va de même pour la communication événementielle et le suivi / monitoring de l'ensemble durant l'événement. Cette fois nous avons fait appel aux membres de la FFDN</a> pour disposer d'un nombre suffisant de machines. Merci aux nombreux bénévoles ayant répondu ! <3 <3 <3</p>
Pour le troisième point</strong> : on choisit soigneusement les paramètres d'encodage.</p>
Pour le quatrième point</strong> on met plusieurs dispositifs en place :</p>

On s'appuie sur des listes de lectures: si un serveur de la liste de lecture devient indisponible, le client est censé essayer le suivant</li>
La page Web que l'on met à disposition utilise un lecteur utilisant les capacités HTML5 (balise video) sur laquelle on a ajouté le support des listes de lecture</li>
L'ensemble des processus de la chaîne se relance automatiquement en cas d'anomalie</li>
</ul>
L'utilisation des listes de lecture permet de s'assurer que la lecture reprend en cas d'incident. En général on dispose de plusieurs secondes avant que le client n'ait parcouru toute la liste de lecture et qu'au final on le "perde".</p>
L'installation : ce qui a changé</h1>
Comme à chaque conférence, c'est une superbe occasion d'essayer de nouvelles méthodes ou de nouveaux outils :)</p>
Les choses qui ont changé :</p>

Capture en HD plutôt qu'en SD</li>
Amélioration du lecteur vidéo HTML5/js</a></li>
Diffusion de plusieurs flux simultanés (vidéo qualité maximale, vidéo qualité réduite, audio uniquement)</li>
Augmentation du nombre de serveurs (on nous a annoncé une probable fréquentation de 4000 clients simultanés; chiffre basé sur le nombre de visite de la page de l'événement)</li>
</ul>
Pour la partie capture HD on a utilisé un appareil photo numérique</a> et une carte d'acquisition HDMI</a>.</p>
Vu le manque de temps sur le choix d'outils et qu'il n'était pas possible de contrôler le cadrage de la vidéo en direct (l'écran de l'appareil photo s'éteignant quand un câble HDMI y est connecté), un écran a été branché sur la carte d'acquisition:</p>
</p>
Schématiquement parlant, ça donne ceci :</p>
</p>
Vu depuis le bas de l'amphi, l'installation ressemblait à ça :</p>
</p>
Taux de fréquentation</h1>
Nous avons eu un pic de 180 clients simultanés. Bien loin de la capacité d'accueil de 4000 connexion que nous avions prévu. Cela dit vu le sujet traité et le fait que la diffusion avait lieu en pleine journée, ce n'est probablement pas si étonnant. En conséquence nous n'avons pas pu vérifier que ca tenait le volume prévu même si il n'y a aucune raison théorique pour que ça ne tienne pas.</p>
Une autre explication qu'on devine : les codecs utilisés excluaient certains utilisateurs de-facto (on a utilisé de l'ogg theora puisque c'est ce que supporte Icecast pour le moment). Ainsi les utilisateurs d'Internet Explorer ou de Safari devaient passer par un lecteur vidéo tiers en utilisant l'URL du flux donné sous le lecteur Vidéo intégré à la page dont nous avions communiqué l'adresse.</p>
</p>
Comment ça fonctionne ?</h1>
Allez c'est parti, expliquons le fonctionnement de cette infrastructure de streaming !</p>
Pour commencer, prenons un cas simple: une source vidéo, un serveur de diffusion, des clients.</p>
On va faire ça en allant de la salle où a lieu la captation jusqu'au client qui visionne la vidéo diffusée.</p>
</p>
Le principe général est simple: on prend un contenu (une capture en direct d'un événement, un fichier déjà existant, ...), on l'encode dans un format suffisamment léger pour être diffusé en ligne puis on pousse ce contenu encodé sur un serveur de diffusion; serveur auprès duquel les clients peuvent récupérer ce contenu.</p>
L'encodage a lieu sur le lieu de captation, le serveur de diffusion est quelque part sur Internet derrière une bonne connexion (oubliez l'ADSL). Le lieu où se déroule l'événement n'a pas besoin d'avoir une connexion si énorme que ça puisqu'un seul flux doit être envoyé au serveur de diffusion (en général une connexion ADSL suffit). C'est au niveau du serveur de diffusion que le besoin en bande passante (montante) est le plus élevé.</p>
Dans la salle</h2>
Partons de l'hypothèse que l'on veut diffuser en direct une captation d'un événement (on pourrait diffuser un fichier vidéo existant bien sûr).</p>
Note : L'accès à la salle quelques jours avant la diffusion est un plus pour se rassurer et voir ce qu'il y a de disponible sur place en terme d'accès à une source d'électricité, à la connexion au réseau, ...</p>
</p>
Pour une installation minimale pour diffuser un événement, on a besoin :</p>

D'électricité :)</li>
D'une connexion à Internet :)</li>
D'une caméra</li>
D'un ordinateur capable de lire le flux de la caméra et de faire l'encodage de celui-ci</li>
</ul>
À cette liste j'ajouterais quand même à ce minimum un micro.</p>
Captation audio</h3>
Pour la captation audio, on prend de préférence un micro à proximité de l'intervenant. Il n'y a rien de plus pénible que de suivre une conférence en entendant un bruit de fond (celui émis par le public en général) en plus de la voix de l'intervenant.</p>
On évitera également l'utilisation de micro d'ambiance (exemple de micro d'ambiance: le micro intégré à la caméra ou au PC).</p>
On privilégie un micro à main, un micro cravate, un micro de table/pupitre. Si la diffusion a lieu depuis une salle équipée d'une sonorisation, il y a de bonnes chances de pouvoir accéder à une sortie audio propre et mixée (il faut alors prendre contact avec les gérants et techniciens du lieu). Dans ce dernier cas c'est souvent du gâteau; la seule inconnue restant la connectique mise à disposition pour récupérer le flux audio.</p>
</p>
Il faudra donc prévoir plusieurs combinaisons de câbles et d'adapteurs pour être sûr de pouvoir se raccoder à peu près n'importe quelle installation de sonorisation. Le plus souvent c'est du XLR, du jack 6mm, ou 3.5mm, plus rarement du RCA. Avoir un micro de secours est tout aussi intéressant.</p>
</p>
Maintenant que nous avons notre entrée son, on va parler un peu des caméras.</p>
Captation vidéo</h3>
Choisir sa caméra c'est pas forcément si simple. Ci-dessous, une liste de points de vigilance qu'il est intéressant de garder à l'esprit :</p>

La caméra ne doit pas être sur batteries (c'est un ennui de moins)</li>
Elle doit disposer de la résolution adaptée à l'exigence de qualité</li>
L'image de la caméra doit être récupérable en direct sur un ordinateur (captation en direct; une caméra qui ne sait qu'enregistrer sur un support de stockage sans exporter l'image qu'elle capte en direct n'est pas intéressante)</li>
Fonctionner sur votre système d'exploitation et compatible avec vos logiciels (drivers / modules disponibles, ...)</li>
La caméra doit être adaptée à vos conditions d'éclairage</li>
Le nombre d'images par secondes doit rester stable quelque soit la luminosité</li>
Aucun affichage en sur-impression (overlay) ne doit être ajouté à l'image</li>
Si la caméra a un autofocus, il est intéressant qu'il soit débrayable</li>
Si la caméra a un zoom, c'est mieux</li>
Si la caméra dispose d'une vis pour un trépied photo/vidéo, c'est mieux</li>
</ul>
On trouve 3 types de caméras principalement :</p>

Les Webcams</li>
Les appareils photo</li>
Les camescopes/caméras dédiées</li>
</ul>
Pour faire des tests une Webcam suffit.</p>
Par contre, pour assurer la diffusion d'un événement, c'est un peu moins sûr : une Webcam peut faire l'affaire mais c'est pas toujours la panacée.</p>
On pense par exemple à certaines caméra dont le débit d'image à la seconde (i/s, fps) varie selon la luminosité du lieu (ces caméras jouent sur la durée d'exposition pour afficher une image plus claire dans des conditions sombres), c'est le cas de la HD5000</a> par exemple. Dans un cas comme celui-ci, quand on fait l'encodage on peut se retrouver avec un décalage son / image.</p>
Les Webcams sont pas toutes bonnes pour capter dans les conditions de votre événement: s'il celui-ci a lieu en environnement sombre ou à l'extérieur c'est pas la même histoire.</p>
De la même façon, une Webcam est en général moins pratique à manipuler pour cadrer et zoomer pendant la diffusion.</p>
Leur principal intérêt est le prix faible pour se lancer : il n'y a pas besoin d'ajouter de carte d'acquisition pour récupérer l'image d'une Webcam.</p>
</p>
Idéalement on évitera les Webcams.</p>
Il peut être tentant de faire la captation avec un appareil photo doté d'un mode vidéo.</p>
</p>
Si vous avez la chance d'avoir un modèle qui s'alimente par bloc secteur, qu'il n'affiche pas en surimpression (overlay) d'information à l'image (chez Canon le firmware alternatif Magic Lantern</a> ajoute cette option) et qu'il dispose d'une sortie USB (mode Webcam finalement) ou HDMI, ca peut être une bonne idée.</p>
Comme dit plus haut, ne pas hésiter à se monter un labo et à éprouver le matériel: si l'événement dure 4h, ne pas hésiter à tester votre installation pendant au moins 4h. C'est durant une phase de test de ce type que j'ai remarqué les 2 mesures anti-piratage de films intégrée à mon reflex. Les deux mesures se déclenchent sur des périodes de temps régulières mais différentes. La première toute les ~25 minutes : le miroir se baisse et remonte : on perd l'affichage quelques instants. La seconde est plus gênante : au bout d'un moment (~50 minutes) la carte d'acquisition reçoit des informations erronées (décalage de timecode) et du coup l'encodage plante.</p>
Dans le cas d'un appareil photo avec une sortie HDMI / composite, il faudra disposer d'une carte d'acquisition vidéo adéquate.</p>
Petite vigilance sur le choix de la carte d'acquisition d'autant plus si l'entrée voulue est du HDMI : le marché des cartes d'acquisition pour joueurs est assez développé, on trouve sur le marché des cartes d'acquisition qui ne font qu'enregistrer le contenu capté sur un disque dur sans possibilité de faire de l'acquisition en direct sur un PC : il n'est donc pas possible de diffuser en direct un événement avec de telles cartes.</p>
Finalement, on revient souvent au constat qu'il faut prendre l'appareil qui est fait pour ça. Et c'est le bon vieux petit camescope à papa.</p>
</p>
Comme pour les précédentes solutions pas forcément la peine de se lancer dans la course à l'armement tant que les prérequis de base sont respectés.</p>
Il faudra souvent recourir à une carte d'acquisition vidéo. Il convient de faire quelques tests là encore mais c'est à priori moins hasardeux.</p>
Dans notre cas ce qui a le mieux marché jusque là c'est un vieux camescope sortant un flux en 756i</a> sur une interface firewire. En plus c'est du matériel qui devient accessible, la carte d'acquisition est peu cher aussi (environ 30€).</p>
Quelques détails à vérifier, comme pour la solution à base d'appareil photo, on ne veut pas d'indication en incrustation sur l'image, pas même quand on utilise le zoom de la caméra.</p>
L'encodage</h3>
Maintenant que nous avons notre source vidéo et audio, il nous faut un ordinateur qui va encoder ces flux, les assembler et les envoyer vers un serveur de diffusion.</p>
Chez FAImaison, on a mis ça sous le format de mallette, c'est pratique pour le transport, il y a assez de place pour mettre des câbles, des adaptateurs, et même d'avoir un réseau pré-câblé avec des points d'accès Wifi :</p>
</p>
Quand tout le bazar est enlevé :
</p>
Point d'amélioration possible : choisir des matériaux plus robustes.</p>
Autre chose d'intéressant avec la formule mallette : le réseau.</p>
La mallette intègre sa propre "infrastructure" réseau. Par là on entend un routeur qui prend en "entrée" le réseau du lieu, et "sort" sur un point d'accès Wifi et sur un réseau "streaming" (où on branche le PC de la mallette et éventuellement d'autres machines: suivi, supervision, monitoring, communication événementielle, ...).</p>
</p>
Cette infrastructure permet deux choses intéressantes : proposer du Wifi aux visiteurs et avoir un réseau dédié à nos machines (streaming, monitoring, événementiel, ...).</p>
Amener du Wifi est très apprécié par les visiteurs (encore plus quand le lieu d'accueil n'en donne pas d'habitude). Le problème c'est que les utilisateurs de ce réseau ont besoin de bande passante, notre stream aussi. Pour nous assurer que la partie streaming dispose d'une quantité de bande passante suffisante, on met de la QOS</a>.</p>
Si le lieu dispose déjà d'un accès public, on dit aux visiteurs d'utiliser notre réseau et on ne communique pas la procédure pour utiliser le réseau Wifi du lieu.</p>
Pour conclure sur la partie matériel : vous pouvez faire avec les moyens du bord et adapter au fur et à mesure. Pour ma part je continue d'améliorer le dispositif.</p>
Coté logiciels, on utilise :</p>

ffmpeg (+video4linux)</li>
oggfwd</li>
</ul>
Une commande typique :</p>
ffmpeg -f</span> alsa</span> -ac</span> 1</span> -ar</span> 48000</span> -i</span> hw:0,0</span> -f</span> video4linux2</span> -i</span> /dev/video0</span> -s</span> 640x480</span> -r</span> 10</span> -codec</span>:v libtheora</span> -qscale</span>:v 7</span> -codec</span>:a libvorbis</span> -qscale</span>:a 5</span> -f</span> ogg - | </span>oggfwd</span> server.example.com 8000 password /mountpoint
</span></code></pre>
ffmpeg :</p>

-f alsa -ac 1 -ar 48000 -i hw:0,0</code> permet de configurer l'entrée son</li>
-f video4linux2 -i /dev/video0 -s 640x480 -r 10</code> permet de configurer l'entrée vidéo</li>
-codec:v libtheora -qscale:v 7 -codec:a libvorbis -qscale:a 5 -f ogg</code> permet de configurer les codecs et la qualité vidéo/audio de sortie</li>
</ul>
Ensuite, on passe ça à l'exécutable oggfwd qui a pour objet de se connecter au serveur de diffusion Icecast et de lui envoyer le flux encodé.</p>
</p>
Cette commande prend en premier paramètre le nom ou l'adresse IP du serveur Icecast, puis le port, le mot de passe et le nom du point de montage sur lequel le flux sera accessible. La commande oggfwd offre des arguments</a> pour, entre autres, changer le titre du flux.</p>
Pour résumer, la ligne de commande précédente prend le premier périphérique alsa sur un canal, avec une fréquence d'échantillonnage de 48kHz; le premier périphérique vidéo avec une résolution de 640x480 à 10 images par seconde; encode ces deux et l'envoie au serveur de diffusion. Le flux est ensuite visible à l'adresse http://server.example.com:8000/mountpoint</a></strong>.</p>
Le Serveur de diffusion</h2>
Le but du serveur de diffusion est de prendre en entrée un flux vidéo (en provenance du lieu de notre événement) et de le "recopier" vers les clients qui en font la demande. Ainsi il faut disposer de suffisamment de bande passante montante pour accueillir l'audience estimée. Il faudra ajuster la résolution, la qualité, le nombre d'images par secondes, les bitrates audio / vidéo en fonction des ressources disponibles.</p>
Jusque là nous avons utilisé Icecast</a> comme serveur de diffusion.</p>
On me pose souvent la question de la consommation en ressources de la machine qui héberge un serveur Icecast. Réponse : très peu</a>.</p>
Que faire quand le serveur de diffusion atteint les limites des ressources qui lui sont allouées ?</p>
C'est ici que ca devient intéressant :)</p>
Passage à l'échelle</h2>
Un serveur Icecast avec une connexion 100Mb/s peut servir environ 200 connexions maximum avec une vidéo à environ 500Kb/s.</p>
Vous en conviendrez c'est peu. Surtout quand on a réussi sa communication :)</p>
Icecast propose un mode relais</a>. Il y a 2 configurations possibles :</p>

Relais simple</li>
Master/slave</li>
</ul>
Dans le premier cas</strong>, chaque relais agit comme un client du serveur principal en ne recopiant qu'un point de montage (flux) spécifique. C'est pratique mais pas très flexible (il faut changer la configuration de chaque relais à la main pour ajouter un nouveau point de montage).</p>
Le second cas</strong> est plus intéressant : le master est la machine vers laquelle on pousse le flux vidéo depuis le lieu de l'événement, les machines configurées en slave vont chercher la liste des points de montage disponibles sur le master et les rendent accessibles à d'autres clients.</p>
</p>
Le master et les slaves proposent les mêmes points de montage (je simplifie un peu, puisqu'on peut avoir des points de montage en plus sur le slave que n'aura pas le master, etc...).</p>
La méthode classique pour répartir les clients sur les différents serveurs de diffusion (donc master + slaves) c'est de créer une liste de lecture avec les différents serveurs.</p>
[playlist]
</span>NumberOfEntries</span>=</span>3
</span>Title1</span>= Un super stream
</span>File1</span>=</span>http://server1:8000/mountpoint
</span>Title2</span>= Un super stream
</span>File2</span>=</span>http://server2:8000/mountpoint
</span>Title3</span>= Un super stream
</span>File3</span>=</span>http://server3:8000/mountpoint
</span></code></pre>
Il y a deux inconvénients :</p>

Les lecteurs HTML5 ne supportent pas les listes de lectures. Par contre on a un super membre de FAImaison qui nous a développé une lib</a> qui permet de faire ca (et qui permet aussi la reprise sur incident).</li>
Le premier serveur en haut de cette liste est celui qui sera utilisé en priorité par tous les clients (sauf si on a des clients avec le mode aléatoire actif).</li>
</ul>
C'est là que vient alors l'idée d'un répartiteur de charge dynamique. Le principe est simple : choisir quel serveur sera utilisé par un client donné.</p>
L'idéal étant d'avoir une charge répartie uniformément sur les différentes machines (ce sont des machines prêtées par des membres de la FFDN</a> qui ont pas nécessairement qu'Icecat à faire tourner). Heureusement, Icecast permet de créer des templates au format XSL. Il est alors possible de récupérer la charge du serveur par point de montage, le nombre de connexions maximum, ...</p>
<</span>load</span>>
</span>  <</span>mount </span>name</span>="</span>/mountpoint</span>" </span>max_listeners_count</span>="</span>100</span>" </span>current_listeners_count</span>="</span>1</span>"/>
</span></</span>load</span>>
</span></code></pre>
En se basant sur ces données, on peut rediriger chaque client vers le serveur le moins chargé à l'aide d'un logiciel</a> (représenté par le bloc "Load Balancer") :</p>
</p>
Dans un premier temps, le client demande au "load balancer" une liste de lecture. Le "load balancer" créé la liste des serveurs de diffusion disponibles du moins chargé au plus chargé et l'envoie au client. Le client joint alors le premier serveur de la liste qui lui a été donné. En parallèle, le "load balancer" interroge chaque serveur de diffusion pour connaître la charge actuelle (et réelle) de ceux-ci.</p>
Ce logiciel propose également une interface de monitoring pour surveiller l'ensemble des machines de diffusion et rapporter l'audience globale et l'audience par serveur.</p>
</p>
En haut de la page on retrouve l'audience globale, ici : durant des tests avant la conférence de Jean-Marc Manach :</p>
</p>
Ce "load balancer" a été développé en Python</a>, avec le framework django</a>; celery</a> avec un backend RabbitMQ</a> ont été utilisés pour gérer des tâches asynchrones comme celles de récupérer la charge des différents serveurs ou encore de sauvegarder l'audience à intervalles réguliers. Des solutions moins « DIY » sont à explorer</a>.</p>
Les pistes d'amélioration</h1>
Comme à chaque fois on trouve de nouvelles pistes d'amélioration.</p>
Quelques idées en vrac :</p>

Revoir les matériaux de la mallette</li>
Changement de caméra</li>
Plus de redondance (éviter les SPOF</a>, actuellement le serveur master et le load balancer ne sont pas redondés)</li>
Tester HAProxy</a> en lieu et place du "load balancer" custom</li>
Tester des solutions p2p</li>
</ul>
~</p>


OpenSSL: Heartbleed
Unknown — Wed, 09 Apr 2014 00:00:00 +0000
En ce mardi 8 avril, il a été dit beaucoup de choses sur la façon de corriger la faille CVE-2014-0160</a> dite Heartbleed de OpenSSL.</p>
Cette faille permet de lire un bloc de mémoire de 64Kb sur le serveur utilisant OpenSSL en versions 1.0.1a à 1.0.1f incluses. En réitérant une requête spécialement forgée, il est possible de lire plusieurs blocs de mémoire.</p>
Bruce Schneier</a> évoque une criticité de 11 sur une échelle allant de 1 à 10.</p>
Les identifants pouvant être révélées sont, entre autres:</p>

Identifiants de connexion (nom d'utilisateur, mot de passe; cas relevé sur les services de Yahoo par exemple)</li>
Certificats</li>
Clés privées</li>
Données sensibles</li>
Tout donnée</li>
</ul>
Tout processus utilisant l'implémentation TLS de OpenSSL est concerné.</p>
L'ensemble des étapes de résolution ci-dessous doit être appliqué. Pour rappel, une clé privée permet de déchiffrer une communication. Si un tiers possède la votre, il peut alors lire ce qui s'échange sur votre service mais aussi ce qui a été échangé par le passé s'il en a capturé les flux.</p>
Pour corriger cette faille, il faut absolument effectuer les étapes suivantes:</p>

Mettre à jour la bibliothèque OpenSSL. La faille est corrigée dès la version 1.0.1g</li>
Redémarrer les services utilisant la bibliothèque OpenSSL</li>
Révoquer les certificats utilisés par les services utilisant la bibliothèque OpenSSL</li>
Régénérer les clés privées de ces services</li>
Générer de nouvelles CSR (Certificate Signing Requests) afin d'obtenir de nouveaux certificats</li>
Installer les nouveaux certificats</li>
Redémarrer les services</li>
</ul>
Pour lister les services devant être redémarré, vous pouvez utiliser la commande suivante après la mise à jour de la bibliothèque OpenSSL:</p>
$</span> lsof</span> -n </span>| </span>grep</span> ssl  | </span>grep</span> DEL
</span>mosh-serv</span> 1234             mshsrv  DEL       REG                9,3            6697418 /var/lib/openssl-1.0.1g/image/usr/lib64/libcrypto.so.1.0.0
</span></code></pre>
Vu que des données de vos utilisateurs ont put être divulguées, il convient également:</p>

d'invalider sessions et cookies</li>
de forcer la réinitialisation des mots de passes d'accès à vos services afin que les utilisateurs ne gardent pas un mot de passe pouvant se promener dans la nature.</li>
de révoquer et régénérer toute donnée sensible stockée par vos services</li>
</ul>
Et mieux, d'implémenter Perfect Forward Secrecy</a></p>
D'autres informations peuvent être trouvées sur heartbleed.com</a></p>
Pour conclure, j'ai entendu encore les même couplets disant que les logiciels propriétaires sont mieux puisqu'ils "garantissent que des gens sont payés à plein temps pour faire de la revue de code". Il convient de rappeler que c'est FAUX. Le seul but d'une entreprise est de faire du pognon. Tout ce qu'offre le modèle propriétaire est une sécurité par l'obscurité sans aucun pouvoir de contrôle pour l'exploitant.</p>
Tous les millions donnés à des éditeurs de logiciels privés permettraient de donner à nouveau un peu plus confiance dans les technologies que nous utilisons s'ils étaient utilisés pour le développement de solutions OpenSource.</p>
L'Opensource n'est pas le problème mais la solution.</p>
Dans le cas d'OpenSSL je me demande comment le mainteneur du repository a fait son job: fait-il une revue de ce qui est intégré à l'upstream ?</p>
Quoi qu'il en soit, la faille a trainé 2 ans. Vous avez intérêt à agir.</p>


git: Définir une règle de merge pour éviter les conflits sur un fichier spécifique
Unknown — Thu, 27 Mar 2014 00:00:00 +0000
Parfois on a besoin de définir des règles dans Git afin que son fonctionnement s'adapte aux besoins du projets.</p>
Par exemple, on peut vouloir qu'un fichier spécifique subisse une règle de gestion lors d'un merge de deux branches.</p>
L'exemple ci-dessous montre comment faire en sorte qu'un fichier "plop" dans un dossier "plip" soit conservé sur la branche sur laquelle on fait le merge. Ainsi la branche "source" et la branche "destination" du merge conserveront leur version du fichier lorsque nous ferons un merge.</p>
La manipulation suivante est à faire sur les deux branches:</p>
$</span> echo "</span>plip/plop merge=ours</span>" >> .gitattribute
</span>$</span> git add .gitattribute
</span>$</span> git commit</span> -m </span>"</span>Git attribute</span>"
</span></code></pre>
Ensuite, il convient de dire à Git qu'on veut utiliser ces règles:</p>
# si vous voulez que ce soit le cas uniquement pour le projet courant:
</span>$</span> git config merge.ours.driver true
</span>
</span># si vous voulez que ce soit le cas pour tous les projets:
</span>$</span> git config merge.ours.driver true
</span></code></pre>
Il ne reste plus qu'à faire un merge.</p>
En cas de conflit, Git fera alors un merge automatique:</p>
$</span> git merge feature1</span> --no-ff
</span>Auto-merging</span> plip/plop
</span>0</span> files changed, 0 insertions(+)</span>,</span> 0 deletions(-)
</span></code></pre>


git: trouver les branches où se trouvent des commits selon un message de commit
Unknown — Fri, 21 Mar 2014 00:00:00 +0000
Pour retrouver l'ensemble des branches où se trouvent un commit selon le message de commit de celui-ci (par exemple si vous travaillez avec des gens qui restent dans leurs habitudes archaïques d'utiliser du cherry-pick comme ils le faisaient avec subversion(svn)), vous pouvez utiliser ceci:</p>
$</span> git log</span> --all --pretty</span>=oneline</span> --source --grep</span>='</span>message de commit</span>'
</span>  </span>821da26c7a3123674cfdc30e6b1ed22d629d003a</span>      refs/heads/develop anno </span>#124 - message de commit
</span>  </span>9cdb2334a43b7f68e10e1544463998727210ed91</span>      refs/heads/master anno </span>#124 - message de commit
</span></code></pre>
Il ne « reste » plus qu'à chercher les différences entre ces deux commits (puisque l'utilisation de cherry-pick permet d'ajouter des différences à un commit cherry-picked):</p>
$</span> git diff 821da26c7a3123674cfdc30e6b1ed22d629d003a 9cdb2334a43b7f68e10e1544463998727210ed91
</span></code></pre>
Il est temps que les gens arrêtent d'utiliser les cherry-pick qui sont faits pour récupérer en ultra urgence un commit déjà effectué pour l'inclure en urgence dans une branche. Ce n'est pas fait pour synchroniser deux branches entre elles car on perd toute traçabilité et on introduit le risque majeur d'oublier des commits.</p>
Le cherry-pick n'est pas une fonction de synchronisation de branches.</p>
Il est même possible de ne jamais l'utiliser en créant une branche spécifique pour un commit de type hotfix, branche qui sera alors mergée sur les différentes branches où le commit doit apparaître.</p>
Quelques informations là dessus pour approfondir:</p>
Why cherry-picking should not be part of a normal git workflow</a></p>


Bilan technique de la conférence "Logiciels Libres, impacts et enjeux sur la société"
Unknown — Tue, 18 Mar 2014 00:00:00 +0000
Ce mardi se tenait la seconde conférence de FAImaison</a> en partenariat avec la Maison de l'Europe de Nantes</a>. Nous recevions Jeanne Tadeusz</a> de l'April</a>.</p>
La conférence s'est tenue à Nantes, à la Médiathèque Jacques Demy dans la salle Jules Vallès.</p>
Le thème: "Logiciels Libres, impacts et enjeux sur la société":</p>
</p>
Comme la dernière fois, voici un petit bilan de ce qui s'est passé coté technique pour l'enregistrement et la diffusion de la conférence.</p>
Nous avons eu 1h30 pour préparer la diffusion vidéo ainsi que l'installation audio. Constat: ça passe, mais c'est juste.</p>
La salle est équipé d'un système de sonorisation sur lequel nous nous sommes en partie reposé.</p>
Il est à noter que le micro HF proposé était d'une qualité bien mauvaise (parasites, coupures du flux audio pendant les interventions)</p>
Nous avons reçu environ 50 personnes dans la salle.</p>
En ligne, nous avons eu jusqu'à 100 clients connectés à l'infrastructure de streaming:</p>
</p>
La chute brutale du nombre de clients est due à une perte de connectivité à Internet. Le temps que tout revienne à la normale (réinitialisation du VPN, relance de l'envoi du flux vidéo) a été trop long et nous avons donc perdu un grand nombre de personnes en cours de conférence lors de la séance de questions réponses.</p>
Ceci fait déjà l'objet d'un axe d'amélioration qui pourra s'orienter sur:</p>

Redondance du lien Internet (pourquoi pas envisager une connexion de backup en 3G/4G ?)</li>
Revoir la partie diffusion du contenu: utilisation de playlists référençant plusieurs serveurs, utilisation d'un lecteur HTML5 sur le site</li>
</ul>
Un autre point très important: la qualité du son.</p>
Celle-ci était inacceptable. Nous travaillerons sur ce point dès la prochaine réunion FAImaison qui aura lieu le jeudi 20 mars.</p>
La qualité d'image n'était pas non plus au top, entre une résolution faible et un soucis d'image fixe que nous a été remonté.</p>
Pour cette partie, on envisage:</p>

Corriger les paramètre d'encodage (nous avions largement assez de bande passante pour proposer mieux)</li>
Juger la pertinence de changer de codec</li>
</ul>
Parlons un peu des gens qui nous on suivi en ligne.</p>
Tout d'abord, leur provenance estimée:</p>
</p>
Mêmes informations sous la forme d'un gros fromage:</p>
</p>
Encore une fois, Twitter a été la source de communication qui a fait le plus connaître le lien de la diffusion de cette conférence:</p>
</p>
Intéressant pour nous qui organisions la diffusion, on retrouve en parts égales Firefox ainsi qu'une catégorie inconnue de clients (probablement des lecteurs vidéo tels que mplayer et vlc):</p>
</p>
Depuis la dernière fois, l'infrastructure a un peu changé.</p>
On utilisait deux serveurs de diffusion dont la répartition de charge était faite... de façon manuelle (en disant aux gens de changer de serveur).</p>
Pour cette conférence, un Load Balancer a été ajouté afin de rediriger les clients de façon automatique selon plusieurs critères comme:</p>

la charge des serveurs</li>
la disponibilité des serveurs</li>
la date à laquelle chaque serveur a dernièrement reçu un client</li>
</ul>
Pour suivre l'état des serveurs de diffusion ainsi que l'audience que nous avions, une page d'informations issues du LoadBalancer était disponible:</p>
</p>
Cette page a été d'une grande aide pour gérer le retour à la normale du flux suite à la perte de connexion.</p>
Un coup d’œil sur le taux d'utilisation des différents serveurs mis à disposition par des bénévoles pour FAImaison est intéressant à donner.</p>
En rouge on retrouve la capacité maximum d'accueil du serveur (les créneaux sont dus au fait que le LoadBalancer a considéré ces serveurs indisponibles à un instant T (on va chercher pourquoi il a vu ça) et en bleu le nombre de personnes connectées:</p>





</p>
Il y a encore du travail pour la répartition de charge.</p>
Pour conclure, on voit qu'il reste du boulot, mais qu'on est sur la bonne voie. Les axes d'amélioration pour la prochaine conférence sont:</p>

Qualité du son</li>
Qualité de l'image</li>
Plus de redondance (connexions, serveurs)</li>
Gestion des erreurs, automatisation du retour à la normale</li>
</ul>
Les graphiques sont issus de Piwik</a> alimenté par les fichiers de log Icecast en provenance des différents serveurs ainsi que du Load Balancer.</p>


Bilan du premier streaming FAImaison
Unknown — Tue, 18 Feb 2014 00:00:00 +0000
Pour la première conférence de FAImaison</a> en partenariat avec la Maison de l'Europe de Nantes</a>, nous avons travaillé sur l'enregistrement et la retransmission vidéo d'événements. Afin que le plus grand nombre puisse écouter Estelle Massé de Access</a>.</p>
Après cet essai en mode "vie vraie", il est temps de faire un petit retour sur ce qui s'est passé du point de vue technique.</p>
Nous avons diffusé au moyen de deux machines: une chez digicube, une autre sur une fibre free.</p>
Dans un premier temps toute la charge a été portée par la machine chez digicube.</p>
NB: les chiffres donnés dans le texte correspondent à ce que nous avons observé sur des outils de monitoring en temps réel, c'est pourquoi les graphiques, créés sur des intervales plus larges, ne correspondent pas forcément à l'unité près.</p>
Nous avons pu accueillir 59 clients sur le flux vidéo (attention: la courbe après 21h55 est éronnée: munin semble avoir décompté en double et ca fait nawak):</p>
</p>
Peu après, on a perdu environ 10 clients:</p>
</p>
On a noté plusieurs pointes à 14Mbits/s avant que le nombre de clients ne chutte, une des causes possible est que la machine principale avait d'autres services et peu de ressources disponibles).</p>
Pour offrir du flux aux gens essayant de nous rejoindre malgré cette belle affluence, nous avons diffusé le lien permettant d'attraper le flux vidéo sur une seconde machine (celle derrière la fibre free et configurée en slave relay</a>).</p>
</p>
Au final, 5 personnes sont arrivées sur cette seconde machine et y sont restées.</p>
Vous en conviendrez, le load balancing comme ca c'était pas prévu (faudrait être fou pour le faire en mode rache volontairement).</p>
Les retours que nous avons eu sur la qualité du stream sont:</p>

bon son</li>
image en mode stopmotion</li>
</ul>
Pour le premier point c'est très bien puisque c'était l'objectif qu'on voulait atteindre.</p>
Pour le second, on a la solution (on l'a testé une fois la conférence terminée sur un point de montage icecast non communiqué au public). Il reste à valider cette solution pour dimensionner les serveurs de diffusion pour les prochains événements (avoir le bon ratio confort/nombre de personnes pouvant être connectées).</p>
Maintenant, parlons un peu des gens ayant écouté la conférence en ligne.</p>
Le lien pour accéder au streaming a été donné vers 8:00 puis communiqué petit à petit. Une piqure de rappel a été lancée un peu avant la conférence puis dès que nous étions en diffusion (un peu avant 19h30):</p>
</p>
Nos visiteurs étaient en majorité en Europe mais on a eu aussi des connexions d'ailleurs (et pas que du vpn puisqu'on a eu des échanges avec quelqu'un du Chili par exemple):</p>
</p>
On voudrait partager une dernière information importante à savoir le canal par lequel les clients on eu le lien vers le flux vidéo et y ont accédé.</p>
Il est intéressant de voir que twitter représente plus de la moitié des sources (51%), suivi par le site de FAImaison (23%):</p>
</p>
Nous avons été heureux dans l'ensemble du résultat obtenu, nous avons identifié des choses à améliorer, des choses à garder aussi.</p>
On vous donne rendez-vous pour la prochaine diffusion (très probablement autour du 20 mars).</p>


Custom certificate for Unifi Controller
Unknown — Sun, 29 Dec 2013 00:00:00 +0000
Some times, you need a Web Server ito use your own certificates issued by your CA in order to consume pages served by this server on a reverse proxy.</p>
Well this is quite simple in standard cases. Not in Ubiquity way...</p>
Reading the manual, you'll see that there is only one command to create a CSR, then you can use it to get a certificate from your CA and voilà... In fact, no...</p>
To start, you have to know that Unifi CSR is totally invalid as its format is completely wrong.</p>

It is not base64 compliant</li>
It mixes CSR content and CSR comments</li>
</ul>
As we must use CSR file issued by UniFi Controller, let's get it:</p>
java -jar</span> /usr/lib/unifi/lib/ace.jar new_cert wifi.local orga '' France FR
</span></code></pre>
Certificate file can be found in /var/lib/unifi/unifi_certificate.csr</em></p>
Now, we must format it. First step: base64 compliance:</p>
fold -w</span> 64 unifi_certificate.csr > unifi_certificate_fixed.csr
</span></code></pre>
Then, edit unifi_certificate_fixed.csr</em> to have</p>
-----END CERTIFICATE REQUEST-----
</span></code></pre>
On a new line at the end of the file</p>
Then we check CSR validity:</p>
openssl</span> req</span> -text -noout -verify -in</span> unifi_certificate_fixed.csr
</span></code></pre>
Now, we need to generate a certificate. To do this, we will use our own CA.</p>
Warning (another one...) CSR file generated by UniFi controller uses PrintableString</em> for its attributes. In many cases, default CA settings uses UTF8Strings</em>.</p>
To succeed on CSR validation tests, our CA must use the same strings types as in CSR.</p>
To do this, we can edit our openssl config file (/usr/lib/ssl/openssl.cnf</em> in debian) and change string_mask attribute to pkix:</p>
string_mask </span>= pkix
</span></code></pre>
Then create a CA.</p>
/usr/lib/ssl/misc/CA.pl -newca
</span></code></pre>
After that, we can generate a new certificate with our CA:</p>
openssl</span> ca</span> -in</span> out</span> -days</span> 360</span> -out</span> unifi_cert.pem
</span></code></pre>
Then, we import this certificate in UniFi controller:</p>
cd</span> /usr/lib/unifi/
</span>java -jar</span> lib/ace.jar import_cert unifi_cert.pem  /etc/ssl/certificate-authority/cacert.pem
</span></code></pre>
If no error message is written to standard output, we have to restart unifi service and try to connect to unifi controller on port 8443 using our favourite Web browser:</p>
/etc/init.d/unifi</span> restart
</span></code></pre>
Troubleshoot:</p>

UniFi controller needs a certificate generated using its CSR. If you do not follow this, controller may fail to start or raise SSL errors</li>
</ul>


La discrimination au sac à dos
Unknown — Mon, 23 Dec 2013 00:00:00 +0000
Non, vous n'aurez pas mon sac à dos</p>
Je ne suis pas un citoyen ?</p>
Je ne suis pas honnête ?</p>
C'est ainsi que vous me considérez quand j'entre dans votre magasin,</p>
Habillé de mon sac à dos</p>
Non je ne vous le laisserai pas,</p>
Pas seulement parce qu'il porte ce qu'il porte</p>
Non qu'il me permet de transporter des effets</p>
Qui me permettront de vous payer</p>
Non je ne vous le laisserai pas</p>
Ne voyez-vous pas la contradiction de me déposséder</p>
Et ce dans un des temples de la consommation</p>
Vous me dites de faire confiance en vos caméras de surveillance</p>
Pourquoi devrai-je le faire ?</p>
Vous même ne leur accordez aucun crédit</p>
Je n'ai pas le choix,</p>
Je me dois de refuser cette discrimination</p>
Je me dois de refuser cette atteinte à ma Liberté</p>
Je n'ai jamais rien volé, pourtant me voila suspect</p>
Malgré tous les bénéfices que vous faites</p>
Malgré vos optimisations fiscales outrancières</p>
C'est vous qui osez me juger, qui osez m'emmerder</p>
Vous osez imposer votre concept de la société</p>
Le jour où on devra faire le ménage, on se souviendra de vous</p>
Nuisibles de ce monde</p>


Liberté chérie
Unknown — Sun, 22 Dec 2013 00:00:00 +0000
Liberté, liberté,</p>
Pour la sécurité, ils t'ont troqué</p>
Pour la sécurité, ils t'ont tué</p>
Tu ne leur avait pourtant rien demandé</p>
Peut-être as-tu oublié de les éduquer</p>
Les éduquer à te respecter</p>
Les éduquer à te conserver</p>
Les éduquer à te protéger</p>
Ce soir la LPM a été votée</p>
Depuis plus rien ne les empêche de nous écouter</p>
Depuis plus rien ne les empêche de nous surveiller</p>
Depuis plus rien ne les empêche de de nous épier</p>
Pour une soit-disant lutte contre le terrorisme,</p>
Nous ne pouvons plus parler</p>
Nous ne pouvons plus échanger</p>
Nous ne pouvons plus publier</p>
Sans être écouté, enregistré, surveillé traqué</p>
Ils appliquent à chaque citoyen la présomption de culpabilité</p>
Sans séparation des pouvoirs,</p>
Tout est devenu possible</p>
Là où la NSA le faisait en lousedé</p>
La France le fait inscrire dans sa loi</p>
T'en fais pas, tu n'es pas seule, ils ont aussi eu notre intimité</p>
Dans cette société panoptique nous sommes enfermés</p>
</p>

Cloudfrancois's blog

Survivre à l'aire d'aujourd'hui, (aire du numérique mais pas que)

Installation de Helix sous Debian trixie

Mise à jour vers Debian trixie, problèmes de NAT

Les intelligences artificielles sont des outils totalitaires idéaux

Terraform : backend dynamique

Nextcloud : lire les données d'un événément d'agenda, depuis la base de données

Surcharge (override) d'un shell.nix

Faire tomber en marche la reconnexion automatique du VPN d'un NAS synology

Expression régulière pour convertir des liens en markdown

PostgreSQL : identifier les requêtes lentes

Déplacer le dossier de données (data-root) de docker

Faire fonctionner l'extension Ansible pour VSCodium lorsque celui-ci est installé via flatpak

Message à caractère informatif à destination des collectivités

Monter facilement un environnement de développement pour Ansible en utilisant Vagrant

Vagrant stuck on Waiting for domain to get an IP address...

J'ai vu un mec

Données de Santé en France : où en est-on ?

Définition et réflexions autour des silos

Est-ce peine perdue ?

Confinement : Hey, pourquoi tu parles pas à table ?

Protection des données personnelles : avons-nous eu le bon discours ?

Retour d'expérience : petit atelier pour recueillir les envies des membres de FAImaison

Referendum d'initiative citoyenne, porte ouverte au vote électronique ?

Responsabilité de notre génération dans la folie environnementale

Savoir s'éclipser

Cannot find any contact in Signal for Android

Une version de Signal sans Google Play Services (Custom Signal version without Google Play Services)

Le vote électronique : pourquoi il ne faut pas franchir le pas.

La transparence du processus et son contrôle</h1> Un énorme avantage du vote papier, en plus de satisfaire pratiquement tous les autres points cruciaux d'un vote listés dans ce billet³, c'est qu'il est compréhensible par n'importe qui.</p>

Je vote</h2> Pour rappel, voici comment le scrutin papier fonctionne :</p>

Censure et surveillance de l'Internet Français, main rouge sur Google, Wikipedia et OVH : et après ?

Synchroniser une présentation (slides) html/css/js entre plusieurs navigateurs

Principe</h5> </p> Le principe est simple :</p>

Utilisation</h5>

Récupérer les sources</h6> On va récupérer les sources de web-slideshow-sync et les déposer dans le répertoire où vous avez votre présentation (fichier html, fichiers js, css, images, videos) :</p>

Partager un scanner en réseau

L'Internet Libre c'est pas fourni, ça se fabrique

Monitorer la validité de ses certificats avec support du SNI et nagios

Python et problèmes d'encodages différents entre deux systèmes

J'ai rien à cacher

Windows et les devs : pas sûr que ce soit une grande idée

Opérations de bases pour rendre nginx moins indiscret

Supprimer l'entête Server</h6> À la réponse des requêtes qu'il traite, nginx ajoute par défaut l'entête suivante :</p>

Remarque finale</h6> Les entêtes HTTP c'est important, prenez-en soin.</li> nginx ou les autres serveurs web (apache &co) : même combat</li> ne croyez pas pour autant être en sécurité, un petit coup de nmap pourra vous convaincre que nos petits efforts sont bien minces :)</li>

Iptables : ouvrir un port local et rediriger le trafic sur un autre port local

Pagination avec psql

Restreindre l'accès d'un utilisateur à sshfs uniquement

Comparer facilement deux fichiers avec leur représentation hexadécimale

Bilan du streaming vidéo de la conférence de Jean Marc Manach au Conseil Général de Loire Atlantique

L'installation : ce qui a changé</h1> Comme à chaque conférence, c'est une superbe occasion d'essayer de nouvelles méthodes ou de nouveaux outils :)</p> Les choses qui ont changé :</p>

Captation vidéo</h3> Choisir sa caméra c'est pas forcément si simple. Ci-dessous, une liste de points de vigilance qu'il est intéressant de garder à l'esprit :</p>

Les pistes d'amélioration</h1> Comme à chaque fois on trouve de nouvelles pistes d'amélioration.</p> Quelques idées en vrac :</p> Revoir les matériaux de la mallette</li> Changement de caméra</li>

OpenSSL: Heartbleed

git: Définir une règle de merge pour éviter les conflits sur un fichier spécifique

git: trouver les branches où se trouvent des commits selon un message de commit

Bilan technique de la conférence "Logiciels Libres, impacts et enjeux sur la société"

Bilan du premier streaming FAImaison

Custom certificate for Unifi Controller

La discrimination au sac à dos

Liberté chérie

La transparence du processus et son contrôle</h1>
Un énorme avantage du vote papier, en plus de satisfaire pratiquement tous les autres points cruciaux d'un vote listés dans ce billet³, c'est qu'il est compréhensible par n'importe qui.</p>