« Vous notez que je n’ai pas choisi des trolls comme Jacques Myard ou Frédéric Lefèbvre », j’ai beaucoup aimé ton intro :)
EDIT : pas que l’intro, la suite est intéressante aussi.
oui c’est très riche ; #censure #chine #firewall #dns_google #piratage #souveraineté
Rob Blokzijl, fondateur du #RIPE et un des pionniers de l’Internet en Europe, est mort.
▻https://labs.ripe.net/Members/mirjam/tribute-to-dr-robert-blokzij-1943-2015
« Toutes les données publiques des parlementaires, compilées et vérifiées, c’est l’ambition du projet Arcadie. Un service lancé pour les élections régionales par une ancienne assistante parlementaire, Tris Acatrinei, malgré la réticence de certains élus. »
▻http://www.nextinpact.com/news/97507-projet-arcadie-service-pour-tout-savoir-parlementaires.htm
NextInpact fait dans le publi-rédactionnel :p ? 75 euros par mois, ça fait cher le projet « citoyen ». Je ne sais pas si toutes les fiches sont de la même teneur que celles gratuites mais comment dire...
@sabineblanc « Citoyen » ne veut pas dire gratuit, à ma connaissance, il y a des gens qui bossent derrière, de manière non bénévole.
disons que je préfère l’approche de Regards citoyens, open data sur toute la ligne, en cohérence avec leurs objectifs.
@sabineblanc Arcadie ▻https://projetarcadie.com est désormais en accès gratuit
Un portrait de l’auteure : ▻http://www.garconne-magazine.fr/startup-femme-tris-acatrinei-projetarcadie-assemblee-nationale-sen
@sabineblanc Et maintenant tout est ouvert et gratuit ▻https://www.facebook.com/projetarcadie/posts/2069811183244308
L’affaire Fillon a considérablement augmenté l’intérêt pour le Projet Arcadie, qui est désormais mainstream : ▻http://tempsreel.nouvelobs.com/rue89/rue89-nos-vies-connectees/20170324.OBS7075/fillon-gate-et-donnees-publiques-qu-est-ce-que-le-projet-arcadi
RFC 7696 : Guidelines for Cryptographic Algorithm Agility and Selecting Mandatory-to-Implement Algorithms
Bien des protocoles de l’IETF utilisent la #cryptographie. Ils s’en servent pour la confidentialité, pour l’authentification, pour la signature. L’utilisation pour la confidentialité a évidemment crû en importance depuis les révélations d’Edward Snowden, malgré la guerre contre le chiffrement que mènent de nombreux gouvernements, qui voudraient pouvoir continuer à espionner tranquillement leurs citoyens. Or, un problème de la cryptographie est que les algorithmes ne sont pas éternels : la #cryptanalyse trouve parfois, au bout d’un temps plus ou moins long, des moyens de casser un algorithme, qui doit alors être abandonné. Il est donc indispensable que les protocoles utilisant la cryptographie aient la propriété d’agilité. Cette propriété désigne le fait qu’on puisse changer d’algorithme sans changer le protocole.
▻http://www.bortzmeyer.org/7696.html
#RFC
Very good article about the #blockchain technology (the one which powers #Bitcoin but not only Bitcoin), for non-technical users, with an emphasis on what it may enable and change.
The first example (in Honduras) is not very convincing but read on the rest.
▻http://www.economist.com/news/briefing/21677228-technology-behind-bitcoin-lets-people-who-do-not-know-or-trust-e
nobody really knows how much power the network consumes. If everyone were using the most efficient hardware, its annual electricity usage might be about two terawatt-hours (...)
Some of bitcoin’s critics have always seen it as the latest techy attempt to spread a “Californian ideology” which promises salvation through technology-induced decentralisation while ignoring and obfuscating the realities of power—and happily concentrating vast wealth in the hands of an elite. The idea of making trust a matter of coding, rather than of democratic politics, legitimacy and accountability, is not necessarily an appealing or empowering one.
two terawatt-hours « comme même »...
1 TWh = 1 térawatt-heure = 1 milliard de kilowatt-heure = 10^9 kWh. Un kilowatt-heure est l’énergie dépensée pendant une heure par une machine dotée d’une puissance d’un kilowatt, ou mille watts. Pour donner une idée, un radiateur électrique a une puissance de l’ordre du kilowatt, une tranche de centrale nucléaire produit une énergie de l’ordre du gigawatt (1 million de kilowatts) d’électricité.
Soit 0,25 à 5 centrales nucléaires dont l’énergie est pompée par la validation du blockchain.
Tu parles d’une révélation : on apprend ici que les Autorités de Certification #X.509 émettent des certificats pour n’importe qui.
▻https://nakedsecurity.sophos.com/2015/10/14/can-we-really-trust-the-browser-padlock-fake-banking-sites-giv
Ici, c’est carrément des «certificats faibles»... ▻http://www.scmagazine.com/fraudsters-exploit-weak-ssl-certificate-security-to-set-up-hundreds-of-phishing-sites/article/444711
Les Autorités de Certification #X.509 émettent des certificats pour n’importe qui et parfois même à l’insu de leur plein gré (Comodo / Diginotar) ou par mégarde ( IGC / CA vs Google)
On a beaucoup parlé des attaques #DoS par réflexion + amplification en les présentant souvent comme spécifiques à #UDP. Mais un article récent (mais passé curieusement inaperçu) montre qu’on peut en faire également avec #TCP.
TCP Handshake Amplification
DDoS amplification attacks currently typically use UDP-based protocols with spoofed source IPs. The reason being that there is no 3-way handshake in UDP.
However, it turns out there are TCP-based protocols are also vulnerable to amplification attacks. Better even, the handshake itself can be abused for amplification.
Authors of the 2014 research mentioned in Stéphane’s article (and below) have identified 4.8 million devices vulnerable to an average TCP-based amplification factor of 112x. Of those, they identified thousands of hosts that can be abused for an amplification of almost 80.000x.
They identified that there are hosts responding to a SYN with an excessive amount of RST packets, and others that transmit actual payload data via PSH packets – even before the three-way handshake has been completed.
From the point of view of an attacker, the number of amplifiers is important to scale up the overall attack bandwidth.
Compared to UDP-based amplification attacks, the fact that there are much more amplifiers makes this form still the most attractive.
An attacker has to scan many more IPv4 hosts in order to find a large enough number of TCP-based amplifiers.
Why would TCP-based amplifiers be interesting?
• They could be interesting to attackers who have little bandwidth available and who want to amplify as much as possible.
• Also, TCP traffic is considerably harder to filter at the network edges than UDP-based protocols. It is not easy to make a difference between legitimate and malicious TCP traffic without appliances that keep trace of and inspect the states of TCP connections.
• Another reason why TCP-based is more complicated is that TCP-based amplification traffic does not carry payload that can be inspected for validity.
The paper:
Hell of a Handshake: Abusing TCP for Reflective Amplification DDoS Attacks
(Marc Kuhrer, Thomas Hupperich, Christian Rossow, Thorsten Holz)
▻http://www.christian-rossow.de/publications/tcpamplification-woot2014.pdf
SYN/ACK: The majority of amplifiers cause amplification by repeatedly retransmitting SYN/ACK packets upon our SYN segments. This attack type amplifies traffic up to 80x on average, and for SIP even up to 1,596x.
PSH: The number of amplifiers that transmit payload data via PSH (without a completed handshake) is low for most protocols. Nevertheless, the amplification factor is higher compared to the SYN/ACK amplifiers.
RST: The by far highest amplification is observed for hosts that transmit a tremendous number of RST segments. As such, an attacker could abuse the 4,242 vulnerable Telnet hosts to achieve an average amplification rate of 79,625x. Compared to SYN/ACK, the RST amplifiers of most protocols also have a much higher traf- fic volume—even though the number of hosts is significantly lower. That is, the 8,863 SYN/ACK amplifiers of NetBIOS transmitted about 25 MB of traffic, while the RST amplifiers caused traffic of more than 12 GB. Similarly, even though we observed most of the FTP ampli- fiers sending SYN/ACK packets (causing a total of 3.2 GB of traffic), the RST amplifiers transferred 15.1 GB of traf- fic in the same amount of time, a multitude of factor 5x.
#DDoS
« Lundi dernier, le 5 octobre, Axelle Lemaire, notre secrétaire d’État au numérique French Tech Digital Dolby-Surround (le son était malheureusement coupé pendant les débats sur la loi renseignement), a annoncé qu’elle était pour le "chiffrement". Plus exactement elle annonçait, je cite le bon compte-rendu de NextInpact, "la signature d’une charte entre les opérateurs français pour le cryptage des boites email". »
Très bonne explication (avec dessins) de la différence entre un chiffrement du courrier de bout en bout vs. étape par étape.
▻https://nonblocking.info/le-chiffrement-batard-venu-des-enfers
#chiffrement #SMTP #TLS #vie_privée
Pour les développeurs informatiques, un outil absolument génial, inspiré par les pratiques les plus avancées de l’industrie allemande.
▻https://github.com/The-Compiler/pytest-vw
« VW makes failing test cases succeed in continuous integration tools. [...] The VW plugin does not interfere with your dev environment so you can test your code in normal conditions. [...] It automatically detects Continuous Integration environments and makes your test suites succeed even with failing assertions or unwanted exceptions. »
Les macarons du diable. : Reflets
►https://reflets.info/les-macarons-du-diable
"On pourrait penser que tout a déjà été dit sur ce sujet : « trop de publicité tue la publicité, qui va devoir survivre en devenant du contenu sponsorisé, parce qu’il faut bien payer les créateurs de contenu, et puis si vous n’aimez pas la pub vous n’avez qu’à ne pas nous lire ! » (l’ai-je bien résumé ?).
Il me semble que tous ces articles négligent un aspect pourtant fondamental (mais tu vas devoir te taper tout l’article pour le connaître)."(Permalink)
Je suis un techno-snob, un informaticien machiste et un bouffeur de newbies mais j’ai bien aimé ce Storify, rassemblant une longue série de tweets sur la geekerie, les femmes, le RTFM, la pédagogie...
▻https://storify.com/theotix/stop-le-rtfm-et-appliquez-cette-philosophie-de-par
Je vais peut-être rédiger une proposition pour la consultation « République Numérique » sur le futur Projet de Loi Numérique ▻https://www.republique-numerique.fr
Comme je manque de temps pour faire plusieurs propositions sérieuses (et que la consultation est certainement bidon : il n’y a pas eu de consultation sur les lois importantes, genre loi Macron ou projet de loi Renseignement, alors qu’on en fait une sur le petit projet - largement vide - d’une ministre très secondaire), je me demande sur quoi je vais travailler. Alors, moi aussi, je consulte en ligne. N’hésitez pas à metre vos commentaires ou votes sur cette superbe plate-forme d’open-démocratie participative ouverte et citoyenne qu’est SeenThis :
Suppression des boîtes noires d’espionnage ? (Titre II chapitre II section 2 article 22)
Suppression de la taxe Copie privée sur les disques durs et l’hébergement en ligne ? (Titre I chapitre II section 1)
Suppression de l’article répressif 323-3-1 du Code pénal qui pénalise la recherche en sécurité informatique ? (Je ne sais pas encore où placer ça.)
Interdire les DNS menteurs ? (Titre II Chapitre I Section 3 Article 13)
Voter sur les propositions du gouvernement, par contre, n’a pas d’intérêt : presque toutes sont un progrès mais un progrès ultra-limité. Si on vote Pour, le gouvernement dira qu’on soutient sa minuscule avancée, si on vote Contre, on refuse cette avancée.
Il y a déjà une proposition pour la suppression des boîtes noires ▻https://www.republique-numerique.fr/consultations/projet-de-loi-numerique/consultation/consultation/opinions/section-2-confidentialite-des-correspondances-privees/article-22-respect-des-correspondances-privees-numeriques/versions/coherence et une proposition sur un sujet proche (supprimer les écoutes sans contrôle du juge) ▻https://www.republique-numerique.fr/consultations/projet-de-loi-numerique/consultation/consultation/opinions/section-2-confidentialite-des-correspondances-privees/amendement-de-la-loi-renseignement-pour-ajout-du-juge-judiciair
Sur les DNS menteurs, il y a une proposition mais franchement trollesque ▻https://www.republique-numerique.fr/consultations/projet-de-loi-numerique/consultation/consultation/opinions/section-1-neutralite-de-l-internet/loyaute-du-dns
Les articles dans la presse, au sujet de cette consultation : ▻http://www.liberation.fr/economie/2015/09/26/la-republique-numerique-a-l-heure-du-changement_1391110 ▻http://www.numerama.com/magazine/34311-loi-sur-la-republique-numerique-un-bon-texte-et-une-methode-innovant ▻http://www.nextinpact.com/news/96601-loi-lemaire-co-construire-republique-numerique-avec-cure-d-amaigri ▻http://www.slate.fr/story/107511/loi-numerique-fantome-renseignement
Léon Zitroll est chaud :p
Le fait pour un service de communication de répondre à une requête de résolution de nom par un résultat volontairement falsifié est passible d’une contravention de 7 milliards d’euros assortie d’une obligation de soins.
Serait-il possible qu’après tout ce temps, toutes ces plaintes, tout ces coups de gueule.. que quelqu’un dans un Gouvernement quelqu’il soit aie finalement entendu raison ? Axelle Lemaire serait-elle donc beaucoup plus concernée qu’on ne le pense ? J’avoue que pour le coup je suis agréablement scotché par son initiative. Et j’aimerai avoir beaucoup plus de temps pour faire des contribution argumentées , h"las du temps je n’en aurai clairement pas, donc j’avoue compter sur des gens comme vous . Bortzmeyer pour faire les propositions qu’il faudra. Je me pose néanmoins une question. Combien de fois avons nous été déçu par des initiatives de ce genre (oui je sais je cherche peut être le loup la où il n’y en a pas, mais vous comprendrez aisément qu’après la LPM, la Loi Renseignement et tout ce qui nous est passé dessus auparavant, sans compter ce qui se présente à l’échelle européenne, je fasse preuve d’un soupçon de paranoïa, que j’espère sans fondement.. :) )
Mes observations sur cette consultation : ▻http://www.bortzmeyer.org/republique-numerique-consultation.html et leur reprise par Rue89 avec des commentaires ▻http://rue89.nouvelobs.com/2015/09/28/republique-numerique-projet-est-loi-miettes-261410
Pour la copie privée, quelqu’un s’y est collé : ▻https://www.republique-numerique.fr/consultations/projet-de-loi-numerique/consultation/consultation/opinions/section-1-ouverture-des-donnees-publiques-1/suppression-de-la-taxe-copie-privee
Et un point auquel je n’avais pas pensé, la liberté de panorama, est désormais traité dans une proposition de Wikimédia : ▻https://www.republique-numerique.fr/consultations/projet-de-loi-numerique/consultation/consultation/opinions/section-1-les-communs/instaurer-la-liberte-de-panorama-en-france
À noter que la plate-forme de consultation permet de s’enregistrer comme « citoyen » ou comme « association » mais que toutes les contributions jusqu’à présent étaient celles de citoyens. Wikimédia inaugure donc le bal des associations.
Et les différents points de vue sur cette consultation : ▻http://pixellibre.net/2015/09/la-republique-numerique-ce-nest-pas-pour-maintenant
« Quand une grande part de la société est à la recherche de nouveaux modes de consommation, plus respectueux de l’environnement, plus éthiques aussi, qu’elle développe la culture du partage (des ressources, de la musique, du savoir...) alors que l’état abandonne l’écotaxe, soutient l’agriculture intensive au détriment des petites exploitations, et lutte contre toutes les innovations qui risqueraient de mettre à mal des rentes qui remontent au siècle passé (taxe copie privée étendue au "cloud", redevance audiovisuelle étendue aux "box", loi Thevenoud imposant 15mn d’attente aux VTC, et tant d’autres...). »
►http://blogs.mediapart.fr/blog/laurent-chemla/040915/la-fracture-temporelle
"the result is Africa becoming a dumping ground for all of that equipment (as the vendors scramble to off-load these toxic assets) — either as cheap equipment for the market or as “technical aid”. [...] I’ve seen this before — stores filled with ’donated’ networking equipment that the recipient was unable to use because the technology was old and worthless or never even existed in most African countries (think hubs and routers with ATM interfaces in Northern Cameroon or Nigeria)."
▻http://www.circleid.com/posts/20150713_ipv4_exhaustion_5_implications_for_africa_running_out_last
Un formidable FUD anti-logiciel libre, plein de contre-vérités, par une association d’avocats. On se croirait revenu 15 ans en arrière.
▻https://www.anaafa.fr/index.php?option=com_content&view=article&id=989:les-logiciel-gratuits-en-ent
@stephane sauf erreur de ma part, le lien ne pointe pas vers un contenu correspondant à ton commentaire.
@jefmathiot Oui, merci du signalement, c’est corrigé.
C’est clairement de la publi-information :
– l’utilisation d’un logiciel est associé à une licence
– les contrats, c’est un truc de juristes, et ça peut vous coûter très cher si vous faites des bêtises
– coucou, je suis avocat
Pour le reste, le simple fait que le point d’entrée de l’auteur sur le FOSS soit la gratuité prouve qu’il n’entrave rien. C’est hallucinant qu’il ose se présenter comme un spécialiste de la question.
RFC 7558 : Requirements for Scalable DNS-SD/mDNS Extensions
Pour résoudre des noms de domaine en informations (comme l’adresse IP) sur le réseau local, sans configurer de serveur #DNS, nous avons #mDNS (RFC 6762). Pour découvrir des services (par exemples les imprimantes) avec ce mDNS, nous avons #DNS-SD (RFC 6763. Mais ces deux techniques, mDNS et DNS-SD, ne fonctionnent que sur un seul segment du réseau, à l’intérieur d’un domaine de diffusion. Il serait bien pratique de pouvoir les utiliser dans un réseau étendu (comme l’Internet...). Ce #RFC décrit le problème, les souhaits et établit une liste d’exigences pour cette extension de mDNS et DNS-SD « au-delà du lien local ». (À l’heure actuelle, on n’a pas encore de solution satisfaisant ces exigences.)
« Cryptographie de comptoir », un coup d’épée dans l’eau sans doute, mais ça me détend. ▻http://nonblocking.info/cryptographie-de-comptoir
RFC 7578 : Returning Values from Forms : multipart/form-data
Voici la nouvelle définition du type de données Internet multipart/form-data, qui est notamment envoyé par les navigateurs #Web une fois qu’on a rempli un formulaire (enfin, certains formulaires). Elle remplace la définition du RFC 2388.
#Cisco rachète #OpenDNS (et aura donc accès à toutes les requêtes DNS des utilisateurs). Rappel : utiliser un résolveur #DNS public d’une grosse boîte US (OpenDNS, Google Public DNS) est une très mauvaise idée, question #vie_privée.
▻http://www.enterprisenetworkingplanet.com/netsecur/cisco-acquires-opendns-for-635-million.html
@stephane tu as des resolvers à conseiller ? C’est pour un ami ;)
@jefmathiot Ceux du FAI, ou bien des résolveurs locaux, c’est la seule solution qui se tienne. ►http://www.bortzmeyer.org/son-propre-resolveur-dns.html
Merci pour ton article. Il y a quelques temps j’ai mis en place un résolveur local qui forward les queries vers les résolveurs du FAI. Mais ce que je n’arrive pas à comprendre c’est en quoi le résolveur du FAI serait plus fiable, dans la mesure ou DNSSEC n’est pas encore très déployé ?
Ce n’est pas une question de fiabilité mais de vie privée. (En France, Free valide avec DNSSEC sur ses résolveurs.)
Un résolveur local qui forwarde au FAI est bien si le FAI ne ment pas. Sinon, il vaut mieux ne pas forwarder.
Un #hackerspace ouvre le feu (à boulets rouges, mitraille et clous à trois pointes, le tout enrobé de napalm) contre l’innovation officielle et la French Tech. « vous incarnez une “innovation” d’État creuse, centralisée, administrative, nourrie à la subvention, qui se gave de hashtags »
▻http://www.tmplab.org/2015/06/22/bullshit-bingo-prix-du-mois-de-mai-attribue-a-la-fonderie-idf
Et leur cible :
#innovation #R&D #hacking #fablab
Et ce bingo de buzzwords innovants :
D’ailleurs la liste des soutiens de la Fonderie en bas de page est assez éloquente ... On se demande ce qu’OSM est allé faire là dedans ...
Gros retour de la chemise à carreau, digne des années 2000 post-grunge-bulle-internet. Est-ce un signe du bullshit ambiant ?
De nos jours la chemise à carreau n’est plus liée au grunge mais aux hipsters. Surtout associée à une barbe ou une moustache. Hipsters-french-tech. :)
▻http://nonblocking.info/in-bed-with-tls-part1
Ma modeste tentative d’aborder #TLS, #DHE et #Logjam de manière simple, et en français. Retours et critiques appréciés.
▻http://www.wired.com/2015/06/dark-web-know-myth
Très bonne mise en perspective du #dark_Web et de sa place. À comparer à la propagande de, par exemple, le reportage de France Inter de la semaine dernière.
At the moment, the space is probably used mostly for criminal purposes, but its relevance to the world of cybercrime and other domains has been grossly exaggerated.
J’ai fait récemment une petite étude sur le sujet, à la recherche de certains délits environnementaux, et même conclusion : ce n’est pas là que ça se passe. Mais les fantasmes journalistiques font que beaucoup de gens le croient.
Et, au même moment, un très bon article dans Libération sur ce même thème (accessible publiquement) ▻http://www.liberation.fr/economie/2015/06/18/tor-mails-toi-de-tes-oignons_1332660