Promouvoir et défendre le logiciel libre

20 September 2017

april.png Nouvelles April

Apéro April le 23 septembre 2017 à partir de 19h00 dans les locaux de l'April (Paris)

Le 20 September 2017 à 14:01:02

23 Septembre 2017 - 19:00
23 Septembre 2017 - 22:00

Un apéro April ?

Un apéro April consiste à se réunir physiquement afin de se rencontrer, de faire plus ample connaissance, d'échanger, de partager une verre et de quoi manger mais aussi de discuter sur l'actualité et les actions de l'April. Un apéro April est ouvert à toute personne qui souhaite venir, membre de l'April ou pas. N'hésitez pas à venir nous rencontrer.

L'apéro a lieu à Paris notamment parce que le local s'y trouve ainsi que les permanents et de nombreux actifs. Membre ou pas de l'April vous êtes les bienvenus. Contactez-nous pour organiser un Apéro April dans votre région.

Quand et quoi

Un apéro francilien aura lieu le samedi 23 septembre 2017 à partir de 19h00, car il y a une réunion des membres du CA et des permanents ce week-end là, dans les locaux de l'April au 44/46 rue de l'ouest, bâtiment 8, 75014 Paris (entrée possible par la place de la Catalogne, à gauche du biocop, au niveau des autolib), le téléphone du local est le 01 78 76 92 80 en cas de besoin.

En ouverture de l'apéro nous ferons un court point sur les dossiers/actions en cours.

Pour tous les détails et vous inscrire rendez-vous sur le pad.

Vincent FINANCE

Projets à soutenir

Le 20 September 2017 à 09:55:28

Vu qu'un certain nombre de personnes se sont indignées du prix de vente du dernier iPhone et que beaucoup d'entre elles veulent investir dans des projets sérieux et qui tiennent la route, je me suis permis de vous faire une petite liste qui vous récapitule quelques exemples de personnes, d'équipes et d'associations qui font un travail remarquable et qui ne demandent qu'un petit soutien de votre part.

À cela, je vous fais également la promesse que vous n'aurez pas à vendre votre rein ou à hypothéquer votre maison et vos meubles si vous souhaitez leur faire un don mensuel récurrent : la plupart d'entre eux ne demandent pas plus de 5 € par mois (à quelques exceptions près), ce qui ne représente que la moitié d'un abonnement normal au service de streaming Spotify et ce qui est largement plus accessible que le paiement en 24 fois proposé par votre opérateur préféré pour l'achat d'un téléphone de la célèbre marque américaine ou de son concurrent coréen.

Au moins, vous ne pourrez plus dire que vous n'étiez pas au courant ;) .

Liste de personnes (et d'équipes) sympas à soutenir :

Liste d'associations à soutenir :

tnitot.png Tristan NITOT

En vrac du mercredi

Le 20 September 2017 à 08:42:00

Soleil sur Paris XVI

19 September 2017

Carl CHENET

Déjà 100 abonnés au Courrier du hacker une semaine après son lancement

Le 19 September 2017 à 22:00:28

Une semaine après son lancement, le Courrier du hacker, une newsletter hebdomadaire publiée le vendredi qui propose les meilleurs liens du Logiciel Libre et Open Source francophones, vient de passer les 100 abonnés !

La première édition du Courrier du hacker a été publiée vendredi dernier à 80 abonnés. Le nombre d’abonnés avant la première édition a démontré l’intérêt d’une newsletter hebdomadaire récapitulative.

La source des liens du Courrier du hacker

En effet pour ceux qui ne peuvent pas se connecter régulièrement au Journal du hacker, il était dommage de passer à côté de nombres de liens très intéressants. D’où l’idée de rassembler au sein d’une newsletter arrivant directement dans vos e-mails le vendredi afin de la parcourir tranquillement pendant le week-end.

 

Si vous n’avez pas le temps de suivre l’évolution de l’actualité sur le Journal du hacker, n’hésitez pas à vous abonner via le formulaire ci-dessus ou directement sur le Courrier du hacker.

tnitot.png Tristan NITOT

CNNum et chiffrement

Le 19 September 2017 à 12:59:00

Le CNNum a publié son avis “Prédiction, chiffrement et libertés”. Les recommandations sont à lire et à garder à l’esprit (au point que Snowden a retouitté l’annonce !) C’est tellement bon que je fais un copier coller ci-dessous :

  • Tout projet législatif et réglementaire qui emporte des conséquences importantes sur les libertés doit faire l’objet d’une vaste consultation préalable ;
  • Le principe de l’intervention d’une autorité judiciaire doit être réaffirmé chaque fois qu’est mise en cause une liberté ;
  • Les pouvoirs publics doivent refuser la logique du soupçon, qui ouvre la porte à l’arbitraire, dans la mise en œuvre des politiques sécuritaires sur Internet ;
  • Le chiffrement est un outil vital pour la sécurité en ligne ; en conséquence il doit être diffusé massivement auprès des citoyens, des acteurs économiques et des administrations ;
  • Le chiffrement – et les libertés fondamentales dont il permet l’exercice – constitue un rempart contre l’arbitraire des États. Il nous protège aussi contre le contrôle croissant des acteurs économiques sur nos vies ;
  • Le chiffrement ne constitue pas un obstacle insurmontable pour les enquêtes. Il est possible de le contourner dans le cadre d’une surveillance ciblée. À ce titre, il est surtout un rempart contre la surveillance de masse ;
  • Plus généralement, compte-tenu de l’augmentation des pouvoirs des services de renseignement et des incidences importantes sur la vie des citoyens, le Conseil s’interroge sur la nécessité d’établir un droit au recours effectif et, au-delà un droit à l’explicabilité des algorithmes de prédiction. Il se questionne également sur l’opportunité de renforcer les incriminations pénales relatives aux atteintes aux données personnelles sur le fondement de la vie privée.

La couverture médiatique est significative :

En guise de Post-Scriptum :

Le CNNum sort un communiqué de presse : Pourquoi le Privacy Shield doit être renégocié, qui donne déjà un article dans NextInpact. Extrait du communiqué :

le « Privacy Shield » présente un trop grand nombre de zones d’ombre et ne donne pas suffisamment de garanties à la protection des données personnelles des Européens. Conformément à l’engagement du candidat Emmanuel Macron, cet accord doit être renégocié pour organiser une circulation des données sécurisée, respectueuse de nos droits et libertés et favorable aux entreprises.

Amen.

18 September 2017

bonjourapril.png Bonjour April

Re-Bonjour Étienne au 56Kast

Le 18 September 2017 à 21:09:00

Apéro chatons - 56Kast Étienne

Voilà comment ils font les choses en grand à l'April : rétro, projo, sans oublier l'apéro pour accompagner la prestation d'Étienne.

april.png Nouvelles April

Revue de presse de l'April pour la semaine 37 de l'année 2017

Le 18 September 2017 à 17:43:47

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

En podcast.

Sommaire de la revue de presse de l'April pour la semaine 37

[ZDNet France] Charly Berthet (CNNum): ”Quand Google vous recommande la mauvaise table basse, c'est pas très grave. Si la DGSI se trompe, ça a plus d'incidences”

Par Guillaume Serries, le mercredi 13 septembre 2017. Extrait:
> Les algorithmes doivent être domptés par les citoyens dit le responsable juridique du Conseil National du Numérique. Et une surveillance individualisée est possible sans tomber dans les travers de la surveillance de masse via la mise en place de backdoors dans les outils de chiffrement.
Lien vers l'article original: http://www.zdnet.fr/actualites/charly-berthet-cnnum-quand-google-vous-recommande-la-mauvaise-table-basse-c-est-pas-tres-grave-si-la-dgsi-se-trompe-ca-a-plus-d-incidences-39857244.htm

Et aussi:
[ZDNet France] Chiffrement: le CNNum monte au créneau contre le projet de loi antiterroriste
[Numerama] Face aux menaces de Macron sur le chiffrement, le CNNum défend ce «rempart contre l’arbitraire des États»

[The Conversation] Les plates-formes d’innovation: des communautés porteuses de nouvelles relations de travail

Par David W. Versailles, le lundi 11 septembre 2017. Extrait:
> La digitalisation de l’économie offre aujourd’hui de nouvelles opportunités pour l’innovation. Elle oblige aussi à une accélération du développement des projets, voire à une transformation des modes de travail. Ces opportunités émergent en mobilisant de nouveaux outils technologiques (data analytics, visualisation, imprimantes 3D…) ou se matérialisent en construisant de nouveaux business models.
Lien vers l'article original: https://theconversation.com/les-plates-formes-dinnovation-des-communautes-porteuses-de-nouvelles-relations-de-travail-83121

[Radio-Canada.ca] Les appareils libres, pas si compliqués que ça

Par la rédaction, le samedi 16 septembre 2017. Extrait:
> Le monde des appareils et des logiciels libres a souvent mauvaise presse, notamment en ce qui a trait à sa facilité d'utilisation. Mais pour Jean-François Fortin Tam, spécialiste de ces systèmes alternatifs, cette réputation n'est pas toujours méritée, et la population gagnerait à essayer les services libres.
Lien vers l'article original: http://ici.radio-canada.ca/premiere/emissions/la-sphere/segments/entrevue/38612/appareils-libres-linux-purism-ordinateur-portable

[Numerama] Une campagne veut rendre public le code source des logiciels financés par le contribuable

Par Julien Lausson, le vendredi 15 septembre 2017. Extrait:
> Des organisations proches du logiciel libre lancent une campagne de sensibilisation appelant à rendre public le code source financé par le contribuable.
Lien vers l'article original: http://www.numerama.com/politique/289690-une-campagne-appelle-a-rendre-public-le-code-source-des-logiciels-finances-par-le-contribuable.html

Et aussi:
«Argent Public? Code Public!» exhortent des ONG

Voir aussi:
L'April rejoint 30 autres organisations pour la campagne «Argent public? Code Public!»

[Numerama] Un singe photographe peut-il prétendre au droit d'auteur? La justice ne tranchera pas

Par Julien Lausson, le mercredi 13 septembre 2017. Extrait:
> On ne connaîtra pas le mot de la fin, sur le terrain juridique, de l'affaire du singe ayant fait un autoportrait avec un appareil photo. Alors que l'affaire devait aller en cour d'appel, un accord à l'amiable a été trouvé.
Lien vers l'article original: http://www.numerama.com/pop-culture/288913-un-singe-photographe-peut-il-pretendre-au-droit-dauteur-la-justice-ne-tranchera-pas.html

[Developpez.com] Mozilla et la Free Software Foundation condamnent la réforme de l'UE sur le droit d'auteur

Par Michael Guilloux, le mercredi 13 septembre 2017. Extrait:
> Au début de cette année, des informations ont fuité sur la fameuse Directive du Parlement européen et du Conseil sur le copyright, un projet de réforme des droits d’auteur dans le cadre du marché numérique unique. Deux articles dans le texte de l’UE avaient particulièrement provoqué pas mal de remous. Le premier, l’article 11, traitait du droit de reproduction des publications de presse et de les rendre accessibles au public.
Lien vers l'article original: https://www.developpez.com/actu/160091/Mozilla-et-la-Free-Software-Foundation-condamnent-la-reforme-de-l-UE-sur-le-droit-d-auteur-qui-propose-un-filtrage-massif-de-contenu-sur-Internet

Et aussi:
[ZDNet France] Open source: levée de boucliers face aux propositions européennes sur le copyright
La réforme du droit d’auteur inquiète l’univers du logiciel libre

Voir aussi:
Savecodeshare: une campagne pour protéger les forges logicielles et les communautés du libre

[ZDNet France] Oracle: vers une spin off de Java EE à la fondation Eclipse

Par Steven J. Vaughan-Nichols, le mercredi 13 septembre 2017. Extrait:
> Oracle confirme qu'il se sépare de Java EE au profit d'une fondation open source appuyée par IBM et Red Hat. "Après un examen minutieux, nous avons choisi la Fondation Eclipse" affirme Oracle.
Lien vers l'article original: http://www.zdnet.fr/actualites/oracle-vers-une-spin-off-de-java-ee-a-la-fondation-eclipse-39857218.htm

Note

Les articles de presse utilisent souvent le terme « Open Source » au lieu de Logiciel Libre. Le terme Logiciel Libre étant plus précis et renforçant l'importance des libertés, il est utilisé par l'April dans sa communication et ses actions. Cependant, dans la revue de presse nous avons choisi de ne pas modifier les termes employés par l'auteur de l'article original. Même chose concernant l'emploi du terme « Linux » qui est généralement utilisé dans les articles pour parler du système d'exploitation libre GNU/Linux.

16 September 2017

Luc DIDRY

Cas d’usage de Last

Le 16 September 2017 à 12:53:46

Last est un logi­ciel que j’ai codé il y a peu. Il veut dire « Let’s Aggre­gate Superb Toots » et permet de créer un site à partir d’une liste de pouets (toots en anglais, c’est le terme dési­gnant les mini-articles du réseau social libre et décen­tra­lisé Masto­don).

Le prin­cipe est simple : on clone le projet, on modi­fie le fichier de confi­gu­ra­tion selon ses goûts, on y ajoute les pouets à récu­pé­rer, on committe, on push sur un serveur Gitlab avec les Gitlab pages acti­vées et hop ! Ça fait des choca­pic^W un site repre­nant tous les pouets. La marche à suivre complète est expliquée sur https://luc.frama.io/last­man/fr.html.

Je trouve Last de plus en plus inté­res­sant comme outil. Je m’en sers pour faire un recueil de mes mercre­dis fictions, ainsi que pour regrou­per des pouets-feuille­tons comme BackUp et Dans la vallée (avec l’ai­mable auto­ri­sa­tion de leurs aut·­ric·e·ur).

Mais en plus ça permet de faire des sites par rapport à une théma­tique, un évène­ment, un voya­ge… J’ai un pote qui est en vacances en Indo­né­sie. Il poste pas mal sur Masto­don, avec de superbes photos et annonce sur son blog qu’il va y reprendre ses pouets, parce que ce sont de belles photos.

C’est un cas parfait pour Last ! Pourquoi ? Parce qu’au lieu de reprendre le texte (copier/coller, mettre la date et l’heure) et les photos (clic droit, enre­gis­trer sous) pour écrire un article, il n’y a qu’à copier/coller les adresses des pouets dans last.conf, et hop ! Sachant qu’on peut éditer last.conf direc­te­ment depuis l’in­ter­face de Gitlab, on n’a même pas besoin d’avoir git ! Et ça donne plutôt bien : https://petit.frama.io/indo­ne­sie 🙂

Je trouve que ça permet de retrou­ver le côté « blog » du micro-blogage. En effet, Masto­don, Twit­ter et consorts sont des plate­formes de micro-blog­ging, mais va essayer de relire tous les pouets ou tous les tweets d’une personne, même les plus impor­tants ! Avec Last, l’au­teur (ou tout autre personne) peut sauve­gar­der les articles qu’il souhaite pour les retrou­ver plus faci­le­ment, les mettre en valeur… On retrouve un temps long, contrai­re­ment aux plate­formes en ques­tion où le flux d’ar­ticles ne s’ar­rête jamais.

Last but not least (😛), Last crée un flux RSS pour le site généré et un epub, vous permet­tant de tout lire de façon décon­necté, bien tranquille­ment sur votre liseuse 😉

Bref, je suis plutôt content de mon petit outil 😀

Photo d’illus­tra­tion : Alexandre Cham­bon

Parta­ger

tnitot.png Tristan NITOT

Le piratage d'Equifax

Le 16 September 2017 à 06:48:00

Piratage d’Equifax : jusqu’à 143 millions de victimes, des données très sensibles dérobées. C’est un exemple, l’un des meilleurs à ce jour avec Yahoo, que les données ne sont pas comme l’or noir mais comme de l’uranium : en posséder beaucoup est très dangereux. Ca pourrait s’arrêter là, mais Equifax incarne en plus ce qu’il y a de plus moche dans les grosses boites. Ainsi, ils ont mis en place un truc intéressant : en vérifiant si vos données personnelles ont été fuitées par Equifax, vous acceptez de ne pas poursuivre l’entreprise en justice (Equifax a depuis fait marche arrière sur ce sujet, devant le scandale médiatique que cela générait). Cerise sur le gâteau, la firme a tardé à révéler l’information aux personnes concernées, et pendant ce temps là des cadres dirigeants vendaient leurs actions, tout en niant qu’il puisse s’agir de délit d’initié. Il y a des torgnoles qui se perdent !

Le scandale ne s’arrête pas là, puisqu’en creusant un peu, on constate que :

J’encourage les anglophones à lire le billet de l’excellent Bruce Schneier, On the Equifax Data Breach.

Mise à jour : Nouvelle faille de sécurité chez Equifax Brésil, qui permet de se connecter sur sa base de données en utilisant simplement “admin/admin” (via Fabian Rodes).

Nouvelle mise à jour : le directeur informatique (CIO) et le directeur de la sécurité informatique (CSO) ‘partent en retraite’. O_o

15 September 2017

april.png Nouvelles April

Savecodeshare : une campagne pour protéger les forges logicielles et les communautés du libre

Le 15 September 2017 à 07:58:19

La FSFE (Free Software Foundation Europe) et l'OFE (Open Forum Europe) ont lancé la campagne savecodeshare pour sensibiliser sur les risques que l'actuel projet de réforme du droit d'auteur fait peser sur le logiciel libre et les communautés de développeurs.

Un projet de réforme de la directive sur le droit d'auteur est en cours d'étude au Parlement européen. Basé sur une proposition de la Commission européenne, ce projet est largement décrié pour ses atteintes aux libertés fondamentales, même par des États-membres.

En particulier l'article 13 et le considérant (38), qui marquent une nouvelle attaque des lobbies du droit d'auteur contre le principe d'irresponsabilité par défaut des intermédiaires techniques. Le texte prévoit notamment une obligation pour les plateformes d'hébergement de mettre en place des « mesures de reconnaissances des contenus » aussi appelées « robocopyright ». (Calimaq, auteur du blog Scinfolex, propose une critique très intéressante de ce genre de mécanisme).

La FSFE et l'OFE ont lancé une campagne — savecodeshare — contre cet article, s'inquiétant de ses conséquences potentielles sur les forges logicielles. Et à travers celles-ci sur le logiciel libre et les communautés de développeurs. Afin de sensibiliser sur cet enjeu, les deux assocations ont rédigé un papier blanc (PDF en anglais) disponible sur le site de la campagne; Savecodeshare.eu.

Sur la réforme en cours du droit d'auteur nous vous invitons également à suivre les campagnes Savethelink et FixCopyright, notamment soutenues par l'euro-député Julia Reda. La Quadrature du Net est également très active sur ces questions.

14 September 2017

april.png Nouvelles April

L'April aux Rencontres régionales du logiciel libre à Nantes le 21 septembre 2017

Le 14 September 2017 à 13:51:46

21 Septembre 2017 - 09:00
21 Septembre 2017 - 17:30

Les Rencontres Régionales du Logiciel Libre de Nantes est une journée dédiée aux professionnels du logiciel Libre. Ces rencontres regroupent des conférences et ateliers destinés aussi bien aux services informatiques qu'aux services métiers.

Les inscriptions sont gratuites mais obligatoires, vous pouvez vous inscrire en ligne.

L'April sera présente lors cette journée. Magali Garnero alias Bookynette, administratrice de l'association, participera à deux tables-rondes.

  • Quelle activité pour le logiciel libre en région ? à 11h dans la salle Loire
  • Le livre et le libre, des auteurs et des succès à 14h15 dans la salle Loire également

Libres échanges - Philippe Jaillon

Le 14 September 2017 à 13:13:22


Philippe Jaillon

Titre : Libres échanges
Intervenant : Philippe Jaillon, enseignant chercheur
Lieu : Rencontres Mondiales du Logiciel Libre
Date : Juillet 2017
Durée : 25 min 49
Visionner la vidéo
Licence de la transcription : Verbatim
NB : Transcription réalisée par nos soins.
Les positions exprimées sont celles de l'intervenant et ne rejoignent pas forcément celles de l'April.

Description

L’Internet et les ordinateurs sont des outils formidables. Des outils à qui nous confions de plus en plus d’informations, à qui nous faisons des confidences, à qui nous confions nos plus précieux secrets… Mais ces outils, pour réussir dans ces taches, ont été dotés de propriétés et de fonctionnalités qui les rendent dangereux dès lors que nous en perdons le contrôle ou qu’ils nous échappent.
Cette intervention propose de faire un rapide panorama des aspects de la sécurité qui ont traits au respect de notre vie privée insensible à tous nos besoins d’échanges, qu’ils soient liés à la position stratégique de certains acteurs, aux développements de nouveaux services bien moins inoffensifs qu’il ne le paraissent, aux applications ou aux protocoles mal conçus ou mal utilisés… aux processeurs tellement bavards, qu’a les écouter, on peut en apprendre tous les secrets qu’ils cherchent à nous cacher.

Transcription

Libres échanges, une espèce de clin d’œil au nom qui a été donné aux RMLL cette année [Libre et change, NdT].

Un très bref CV. Je suis enseignant chercheur à l’École des mines de Saint-Étienne. Mes domaines de prédilection ce sont les réseaux de communication, les objets connectés et puis la sécurité de ces deux domaines. Et je suis particulièrement sensible aux problèmes de respect de la vie privée, d’où ma question de tout à l’heure.

De quoi est-ce que je vais vous parler ? Aujourd’hui, est-ce que l’Internet est le support qu’on nous a vendu il y a vingt ans ou trente ans au libre-échange ? C’est-à-dire est-ce que je suis libre de parler, d’échanger, avec qui que ce soit sur Internet ?

On va se dire qu’il y a des tas de choses qui ont été inventées ces dernières années, souvent par des personnes empreintes de liberté. Internet c’est né, on va dire ce sont les babacools américains de la côte Ouest qui rêvaient d’un monde où chacun pouvait parler à chacun, etc., même s’ils ont fait ça pour l’armée.

Donc les objectifs initiaux étaient louables. Mais qu’est-ce qu’il en reste aujourd’hui quand on regarde l’usage qu’on peut faire de toutes ces technologies ? Eh bien je vais vous faire, en fait, un cours de réseau. Donc qu’est-ce que c’est, aujourd’hui, communiquer dans l’Internet ? D’abord il faut utiliser des protocoles qui sont communs, les fameux protocoles qui ont été inventés dans les années 70 par Vint Cerf1 et compagnie. Ces protocoles, alors je ne sais pas comment dire, ils ne sont pas vraiment libres, mais ils sont publics. L’intérêt c’est de pouvoir communiquer ensemble. Donc les spécifications sont disponibles pour tout le monde. Elles ont été financées et puis maintenant, elles sont utilisables librement.

Pour pouvoir communiquer, eh bien il va falloir utiliser un service qui est sur le réseau. C’est-à-dire si je veux communiquer, si je veux faire du mail, il va falloir que j’utilise un relais de messagerie ; aujourd’hui c’est un service. Qu’est-ce qui va se passer ? Je vais envoyer mon mail, dès lors que ce mail est envoyé, eh bien il m’échappe, déjà ! Et puis il y a certains services, on en connaît plein, qui ne sont pas forcément des services libres. Aujourd’hui, Facebook, je ne peux pas admettre que ça soit un service libre. Google je ne suis pas sûr que ce soit un service libre. D’accord ? Il en existe des tas comme ça, Instagram, enfin tous ceux que vous pouvez imaginer, qui ont pignon sur rue, et qui sont super utilisés par une grande partie des internautes. Bien !

Donc conclusion. En fait, quand on communique sur l’Internet, d’abord on n’est pas seul, quand on entreprend une communication on a évidemment soi comme participant, le réseau et puis le service que j’ai représenté ici par un machin qui s’appelle un serveur. D’accord ! Donc on est trois et puis il y en a un au milieu, le réseau, je ne le connais pas vraiment en fait.

Première chose à savoir, c’est que les communications entre moi et le serveur, elles vont être observables tout au long de leur acheminement. Le petit fil rose, eh bien, je ne vais pas dire n’importe qui, mais tout un tas de personnes est susceptible d’observer ce qui circule sur le petit fil rose. Déjà ! Donc en termes de liberté, il est hors de question de chuchoter à l’oreille de quelqu’un.

Le premier équipement auquel, en général, on confie nos données c’est ce qui s’appelle un routeur. Un routeur, c’est quoi son travail ? C’est de regarder les données et de se dire pour qui sont-elles ? C’est plus que le facteur. Le facteur regarde l’enveloppe. Un routeur pourrait se restreindre à ça, mais en général, les routeurs, pour des tas de raisons, ils font plus, ils regardent plus loin. Ça s’appelle le deep packet inspection2, par exemple. Pourquoi ? Pour prioritiser les trafics, etc.

De toutes façons, pour communiquer, il va être nécessaire de faire super confiance au réseau.

Comment est-ce qu’on fait pour établir une connexion ?

Si on connaît l’adresse IP de son correspondant, qui est l’identifiant unique de chacun dans l’Internet, eh bien pas de problème, on va demander. Alors on demande à qui ? On demande au réseau.

On va demander au réseau quelle est l’adresse physique de l’équipement, si celui-ci est sur son propre réseau. Vous avez tous dû repérer quelque part que vous aviez un machin qui s’appelait l’adresse MAC ; l’adresse MAC est un identifiant qui est censé être à peu près unique, l’idée c’est qu’il soit unique dans un réseau local, et qui est associé physiquement à votre machine. De moins en moins de machines permettent de changer son adresse MAC. Donc on va demander au réseau quelle est l’adresse MAC de son correspondant et on va lui transmettre les données directement. Bon ! Qu’est-ce qu’on fait en disant ça ? On hurle, en fait, dans la salle : « Eh, t’es quelle place Marcel ? » Donc l’assemblée entière est au courant que je veux discuter avec Marcel.

Et puis sinon, si mon correspondant n’est pas dans mon propre réseau, je vais demander l’adresse MAC de mon routeur, celui qui a été configuré quelque part dans mon système, et je vais transmettre à ce routeur les informations qui lui permettront d’acheminer les données vers le correspondant. Conclusion : tout mon réseau local est averti de mes intentions. Quand je veux parler à quelqu’un tout le monde autour de moi sait que je veux parler à quelqu’un. Vous allez me dire ce n’est pas super grave que tout le monde, dans le cercle familial, sache que je veux parler avec, je ne sais pas quoi, ma fille ou avec un copain ; si c’est ma maîtresse, ça devient gênant, quoi !

Si je ne connais pas l’adresse IP de mon correspondant, il va falloir que je trouve un moyen de l’obtenir. Le moyen aujourd’hui pour l’obtenir s’appelle le DNS, le Domain Name System. C’est une espèce de méga base de données mondiale, distribuée, répartie ; donc pareil, construite historiquement en se disant à quel endroit est-ce que je vais faire l’association entre le nom d’une machine et son adresse IP ? Eh bien quel est le meilleur endroit ? Chez le propriétaire de cette machine. Donc les propriétaires des machines, qu’est-ce qu’ils faisaient ? Ils mettaient en place un service dans leur réseau dans lequel ils faisaient cette association et puis ils en informaient le responsable de niveau supérieur en disant « eh bien voilà les machines du réseau de l’École des mines, le serveur DNS est à tel endroit, etc. » Ça permettait à n’importe qui dans le monde de pouvoir récupérer ce type d’information.

Aujourd’hui, plus personne ne le fait. Quand vous, vous vous abonnez à l’Internet, si vous avez envie de disposer de votre propre nom de domaine et donc d’avoir des machines directement accessibles dans votre propre réseau, il va falloir mettre en place un DNS. C’est beaucoup d’ingénierie ; donc qu’est-ce qu’on fait ? On le confie à son prestataire, Libre ou pas libre le prestataire ; ils offrent tous ce service.

Donc au lieu d’interroger « le propriétaire », entre guillemets, du réseau, on interroge un tiers en lui demandant : « S’il te plaît, tu pourrais me donner l’adresse IP de la machine de Philippe Jaillon ? » Et il va répondre. Il est là pour ça. Mais au passage, qu’est-ce qu’il sait ? Il sait que vous, vous avez envie de discuter avec Philippe Jaillon. D’accord ? Donc on commence à informer des gens qui sont hors de son cercle, de « son premier cercle » entre guillemets. Parce que qui sont ces grands opérateurs ? En France c’est Gandi par exemple, c’est Orange, ça peut être d’autres. Ça peut être Verisign. Symantec offre ce type de service si vous leur achetez un nom de domaine, etc.

Donc le DNS, comment est-ce que ça fonctionne ? Là pareil, on va interroger le réseau pour connaître l’adresse de son correspondant. Comment est-ce qu’on fait ? Quand on est à la maison, eh bien on a en général une box qui a été raisonnablement configurée par son opérateur de manière à ce que toutes ces requêtes se fassent chez lui, pour des histoires d’efficacité, on va dire. On ne va pas dire qu’il cherche à nous tracer, mais… De toutes façons ils auraient d’autres moyens de nous surveiller.

Quand c’est mon téléphone, eh bien si je me paye un téléphone Android directement piqué chez Google, eh bien c’est super top, parce que le service auquel il faut que je m’adresse c’est 8.8.8.8 qui appartient à M. Google. Donc là ça devient rigolo parce que chaque fois que je vais faire une connexion dans l’Internet, je vais demander à M. Google son assentiment.

Quand on fait une recherche, comment ça fonctionne ? Eh bien le relais auquel on s’adresse va commencer par interroger ce qu’on appelle la racine, donc il y a treize machines dans le monde qui sont la racine du service DNS, et qui savent qui gère « com » qui gère « fr », qui gère je ne sais pas quoi, « it », « au », etc.

Après je vais à interroger ce qui s’appelle le gestionnaire du top-level domain, donc justement le fameux .net, .com. .au, .fr, et en lui demandant, par exemple si on on veut se connecter à l’École des mines : « S’il te plaît quel est le service qui gère, enfin quelle est la machine qui gère EMSE de "fr" ? » Donc « fr » me répond : « Pas de problème c’est cette machine », et puis je vais interroger cette machine-là. Alors on n’interroge pas en permanence la racine ; on l’interroge régulièrement malgré tout.

Les gestionnaires de top-level domain on les interroge aussi régulièrement. En plus, si vous configurez mal votre DNS, vous pouvez dire il est nécessaire de vérifier la validité de l’adresse IP qui sera fournie toutes les cinq minutes. Alors que vous ne changez jamais d’adresse IP, auquel cas vous auriez pu dire tous les mois. C’est prévu dans le protocole.

Et puis, au passage, le propriétaire du relais DNS, que ce soit mon opérateur ou M. Google, il a un énorme pouvoir sur moi. Pourquoi ? Parce que s’il ne me répond pas, je ne sais rien, je ne communiquerai pas ; et s'il me répond, ce n’est pas sûr qu’il me réponde la vérité. Qu’est-ce qui me dit que l’adresse IP qu’on me fournit est celle du serveur web de l’École des mines ou du relais de messagerie de l’École des mines ? Rien ! Rien du tout !

Donc maintenant, après avoir fait cette requête, eh bien on sait qu’il y a beaucoup de monde, dans le monde, qui sait qu’on est en train de vouloir contacter quelqu’un. Évidemment tous ces gens-là font des statistiques, enfin tout ce que vous voulez.

Après on va prendre un service, on va prendre le cas du Web qui est quand même aujourd’hui le plus utilisé, puisqu’on fait même du mail par le Web. Je ne connais plus grand monde qui utilise le protocole dédié au mail. Donc je connais l’adresse IP du serveur du service que je veux contacter ; eh bien mon navigateur web va s’y connecter sur le fameux port numéro 80 qui est dédié au Web. Donc il va réclamer un document et il va mettre un certain nombre d’informations dans ce document, dans sa requête. Il ne va pas dire : « Je veux juste la page machin. » Il va dire : « Je veux la page machin, mais je suis un navigateur web Firefox, version x ou y, etc. » Des cookies, évidemment ; mes préférences. Et tout ça en clair.

Pour des raisons d’efficacité, un serveur web, on ne va pas s’y connecter, en général, directement. Donc qu’est-ce qui se passe ? Souvent on va passer par ce qu’on appelle un proxy. Qu’est-ce que c’est qu’un proxy ? C’est un service qui va relayer votre communication. Ce relayage, il se fait comment ? Il se fait explicitement : vous avez configuré dans votre navigateur web, quelque part, qu’il y avait un proxy et qu’il fallait passer par lui. Sinon, on n’a pas besoin de ça, on peut capturer votre trafic. Un des routeurs qui est sur votre chemin peut capturer votre trafic et le rediriger vers un proxy. En plus, depuis la version 1.1 du protocole HTTP, donc qui est déjà assez ancienne, qui a presque une dizaine d’années, eh bien il y a des informations qui simplifient ça. Tous les firewalls de la planète font ça de manière transparente et, bien évidemment, votre opérateur le fait sans vous le dire.

On peut se dire pas de problème, on va essayer de sécuriser tout ça. On va utiliser un protocole qui va s’assurer que mes communications seront confidentielles. Donc vous avez le fameux TLS [Transport Layer Security] ou HTTPS. Donc qu’est-ce qui se passe quand on fait du HTTPS ? Eh bien on utilise un autre service où on va se connecter à la machine et on va commencer par négocier des paramètres de sécurité : quel est l’algorithme de chiffrement, etc. On va échanger des informations d’identité. Par exemple, le serveur va présenter un certificat prouvant qu’il est bien votre banque. D’accord ? Éventuellement vous, vous pouvez présenter un certificat prouvant que vous êtes bien qui vous prétendez être.

Ces informations, c’est-à-dire prouver qu’on est bien qui on prétend être, il faut être capable de le vérifier. Historiquement, on vérifiait ça localement, eh puis on s’est aperçu que ça marchait très mal. Donc on utilise aujourd’hui des services en ligne qui vous disent si le certificat qui vous est présenté est valide ou pas.

Donc quand vous vous connectez à un serveur web en utilisant le protocole TLS, vous récupérez le certificat du serveur que vous venez de contacter. Vous voulez le vérifier et vous le vérifiez en vous adressant à un autre service, le service OCSP [Online Certificate Status Protocol]. Ce qui est rigolo, enfin rigolo, c’est qu'aujourd’hui, une grande société commerciale qui s’appelle Comodo, fournit 40 % des certificats qui sont utilisés. Et c’est à cette société que vous demandez, chaque fois que vous vous connectez, si le certificat est valide. Et puis si ce n’est pas un certificat offert par Comodo, il est offert, enfin offert, vendu par Symantec, parce que les grands de l’Internet, les GAFA, Google, Facebook et compagnie, Wikipédia aussi, ont acheté un certificat chez cet opérateur.

On indique donc à ces opérateurs-là qu’on veut se connecter, parce que sinon on ne demanderait pas de vérifier le certificat.

En plus de ça, comme tout à l’heure pour des raisons d’efficacité, de contrôle ou de sécurité, de nombreux opérateurs relayent, utilisent des proxys, pour les communications chiffrées. Qu’est-ce que ça veut dire relayer des communications chiffrées ? Ça veut dire être capable de les déchiffrer et de se faire passer pour vous auprès de ces services. Les opérateurs font ça sans trop de vergogne. Vous, vous vous faites avoir certaines fois. Quand ? Si vous ignorez les avertissements de votre navigateur web ou si le proxy, le service d’interception, est capable de produire des certificats valables pour votre navigateur.

Par exemple, ce qui s’était passé en Tunisie pendant le « Printemps arabe », eh bien l’État tunisien était opérateur de certification et donc il était capable de fabriquer des vrais faux certificats pour Google, Facebook, etc. Et ça a permis à l’État tunisien d’arrêter tout un tas de personnes avant manifestation, etc.

Et puis ce n’est pas fini, parce qu’on a aussi la notion de reverse proxy et de cache distribué. Ça c’est quoi ? Vous avez de plus en plus d’attaques en déni de service, vous avez entendu parler de ça sans doute, et les sites web ont un mal de chien à se protéger contre ça. Donc vous avez des gens qui ont dit : « Ce qu’on pourrait faire, c’est aider les sites web à se protéger contre ce type de choses. Nous, on va mettre en place des choses. Donc plus personne n’accédera directement à votre serveur web, mais il accédera à mon service et, de mon service, je rebondirai vers votre serveur web. Comme ça vous serez protégé. » Vous, en tant que serveur, que service, vous ne voyez plus jamais vos clients directement et donc, au passage, un tiers supplémentaire est au courant qu’une certaine personne a envie de se connecter à ce service.

Donc les reverse proxy, vous avez une société qui s’appelle Cloudfare qui fait ça. Il y a beaucoup d’entreprises, de sites, Wikipédia est protégé par Cloudfare, et vous avez les caches distribués, comme par exemple Akamai, pour tous les grands sites commerciaux.

Donc ce qu’il y a encore, c’est que les communications sont à nouveau traitées par un nouvel intervenant.

Donc si on fait un beau dessin, voilà. Au début j’avais cette petite flèche pour discuter dans mon réseau local et puis après, pour pouvoir me connecter à un certain serveur web, je commence par interroger le DNS et maintenant je peux me connecter au serveur web. Mais on a vu qu’il y avait maintenant des serveurs OCSP pour pouvoir faire des communications sécurisées. Donc on enlève cette flèche verte, on a maintenant une flèche rouge pour savoir si le certificat présenté est valide et on a à nouveau une flèche verte. Oui, mais il y a aussi des proxys. En fait voilà, OCSP, ça se fait au-dessus du web, donc ça passe au travers de mon proxy qui se connecte au serveur OCSP. Mon navigateur web se connecte au proxy qui se connecte au serveur web. Mais on a vu qu’il y avait aussi des reverse proxy.

Donc une communication dans l’Internet, aujourd’hui c’est ça. Et vous voyez, je vous ai mis des espèces de nuages de couleurs différentes, ce sont des gens dont, comment dire, les intérêts sont différents des vôtres, que vous ne maîtrisez pas.

Vous avez acheté, vous fournisseur de service, un certificat chez quelqu’un. Vous allez imposer à tous les utilisateurs de passer par le service de votre fournisseur de certificat. Vous avez un reverse proxy, pareil, les utilisateurs devront passer par là.

Vous, vous avez un abonnement internet chez je ne sais quel prestataire qui remplace un proxy, vous allez passer par son proxy, etc. D’accord ?

Donc ce qu’on voit aujourd’hui c’est que une communication dans l’Internet ce n’est pas une communication quoi ! C’est un ensemble de communications.

[Combien de temps, il me reste ? C’est fini ? Aller c’est fini !]

J’avais des tas d'autres transparents sur les interceptions TLS, sur les protocoles avec des choses enfouies et je vais vous parler juste d’un dernier truc qui s’appelle le browser fingerprinting. C’est, on va dire, c’est le grand truc ces dernières années, alors ces dernières années, vous voyez, il y a un article qui le présente qui date de 2010. Vous avez un site web de l’EFF [Electronic Frontier Foundation] qui s’appelle Panopticlick3 ; je vous engage à y aller parce que c’est terrifiant. Donc l’idée c’est quoi ? C’est de tracer les utilisateurs, même si ceux-ci utilisent des services qui vont essayer de les rendre anonymes, qui vont essayer de préserver leur identité, etc., donc Tor4, tout ce que vous voulez. C’est hyper difficile à détecter et surtout à empêcher, si vous voulez continuer à utiliser les services.

L’idée c’est quoi ? On est 7 milliards à peu près. En base 2, sept milliards il faut 33 bits pour fabriquer le nombre. Ces 33 bits ça s’appelle l’entropie. Dès que je sais quelque chose sur quelqu’un, eh bien je suis capable de faire diminuer ce nombre de bits. Si, par exemple, je sais que vous êtes un homme ou une femme eh bien entre guillemets, je supprime un bit d’entropie. Je divise par deux la diversité, donc il ne reste plus que 32 bits à trouver.

Si je connais votre signe astrologique, grosso modo votre mois de naissance, il n’y a que 12 classes pour les mois de naissance, eh bien je vais faire diminuer l’entropie par 3,58 bits. D’accord ! Donc il y a presque 4 fois moins de personnes, enfin 12 fois moins de personnes qui sont d'un signe de naissance.

Si je connais votre date de naissance, pareil. Là, ce coup-ci, je vais faire diminuer de 8 bits. Si je sais que vous vivez à Paris je vais faire diminuer de 16 bits. Si je sais que vous vivez à Saint-Étienne, je vais faire diminuer de 16 bits presque 17 bits. D’accord ? Si je sais que vous vous vivez à l’île d’Yeux, qui est une petite île en Vendée, eh bien je vais faire diminuer de 20 bits. Pourquoi ? Parce qu’il y a 4500 habitants. Donc voilà.

Maintenant vous regardez ce tableau et ça, ce n’est même pas des informations que j’ai besoin de vous demander. La taille de votre écran ; en général votre navigateur web l’envoie au serveur. La time zone dans laquelle vous êtes, c’est-à-dire est-ce que vous êtes, on va dire Middle Europ, Central Europ, etc., il l’envoie aussi.

Quels sont les headers que vous acceptez ? Donc là par exemple je dis : « J’aime le HTML, et puis j’accepte le gzip et le Deflate5 et je suis en langue français de France. » Parce que vous avez français de Canada, français de Suisse, etc.

Ça c’est le nombre de bits qui baisse, notre entropie qui baisse. Et ça, ça fait que avec juste ces informations-là, il ne reste plus que quelques milliers de personnes qui sont différentes dans le monde. Et je joue avec mes étudiants à leur faire sentir ça, en leur demandant de ressembler à leur collègue, leur voisin de table. Eh bien, on n’y arrive pas. Si on utilise sa machine personnelle, on n’y arrive pas. On est différents. D’accord ? Bon. J’en ai terminé.

jzimmermann.png Jérémie ZIMMERMANN

Global campaing on intelligence sharing

Le 14 September 2017 à 12:55:35

Paris, 14 September 2017 — Yestarday, Privacy International, FIDH, LDH and La Quadrature du Net have written to the French surveillance oversight bodies (the CNCTR - Commission nationale de contrôle des techniques de renseignement - and the Délégation parlementaire au renseignement) in the context of a global campaign for greater transparency around secretive intelligence sharing activities between governments. We publish here the press release issued yesterday by Privacy International.

Privacy International, in partnership with 30+ national human rights organisations, has today written to national intelligence oversight bodies in over 40 countries seeking information on the intelligence sharing activities of their governments.

Countries may use secret intelligence sharing arrangements to circumvent international and domestic rules on direct surveillance. These arrangements can also lead to the exchange of information that can facilitate human rights abuses, particularly in countries with poor human rights records or weak rule of law.

National intelligence oversight bodies hold intelligence agencies accountable to the public by exercising scrutiny over the legality, propriety, effectiveness, and efficiency of the intelligence activities of their governments.

The countries written to include the Five Eyes Alliance, which is a secretive, global surveillance arrangement between the United States, the United Kingdom, Canada, Australia and New Zealand. The letter was also sent to nearly all of the countries forming surveillance partnerships that have grown from the Five Eyes: the Nine-Eyes (the Five Eyes plus Denmark, France, the Netherlands and Norway), the 14-Eyes (the Nine-Eyes plus Belgium, Germany, Italy, Spain and Sweden), and the 43-Eyes (the 14-Eyes plus the 2010 members of the International Security Assistance Forces to Afghanistan).

Specifically, PI and national human rights organisations are seeking more information about whether these national oversight bodies:

  • Are informed about the intelligence sharing activities of their governments;
  • Can independently oversee the intelligence sharing activities of their governments;
  • Can access all relevant information about the intelligence sharing activities of their governments;
  • Can review decisions by their governments to share intelligence and/or conduct independent investigations into the intelligence sharing activities of their governments; and
  • Cooperate with other oversight bodies to supervise the intelligence sharing activities of their governments.

A deadline of 31 October 2017 has been given for each national oversight body to respond. PI has created an interactive map, which illustrates the countries included in the campaign and the national intelligence oversight bodies that have been contacted in each country. The map will be updated when responses are received.

PI has also provided national oversight bodies with a briefing highlighting the international human rights implications of intelligence sharing arrangements between governments, with recommendations to increase transparency around these activities.

Scarlet Kim, Legal Officer at Privacy International, said:

"As intelligence agencies around the world have expanded their surveillance capabilities, so has the amount of information they exchange with each other, including data collected in bulk. These sharing arrangements are shrouded in secrecy and shielded from accountability. National oversight bodies perform a critical role in holding intelligence agencies accountable. The public has a right to know whether their mandates include scrutiny of intelligence sharing and what form this scrutiny takes."

13 September 2017

april.png Nouvelles April

Place du libre dans l'enseignement de l'informatique et de la science des données - Mihaela Juganaru-Mathieu

Le 13 September 2017 à 14:09:20


Mihaela Juganaru-Mathieu r

Titre : La place du libre dans l'enseignement de l'informatique et de la science des données
Intervenante : Mihaela Juganaru-Mathieu
Lieu : Rencontres Mondiales du Logiciel Libre
Date : Juillet 2017
Durée : 23 min
Visionner la vidéo
Diaporama support de la conférence : format PDF
NB : Transcription réalisée par nos soins.
Les positions exprimées sont celles des intervenants et ne rejoignent pas forcément celles de l'April.

Description

Enseigner l’informatique peut se faire de différentes manières et le moyen le plus sûr de donner aux étudiants des habitudes de programmation, de développement logiciel et de travail bien fait est de leur faire faire des travaux pratiques.

On se pose toute de suite la question du système d’exploitation, du langage, de l’environnement de programmation.

Nous, enseignants, avons donc le choix. Et le choix doit être réfléchi, entre portabilité, fiabilité de l’outil et usage collectif, potentiel de développement. Parfois, nous nous trouvons dans la position de prescripteurs, quand nos élèves viennent nous demander de ce qu’ils pourraient installer chez eux.

Il arrive aussi que notre relation avec le libre se fasse à travers nos étudiants qui travaillent avec des outils libres adaptés à des tâches particulières.

Le logiciel libre est donc souvent la meilleure option support pour faire apprendre comme pour résoudre des problèmes de l’industrie.

Transcription

Ceux qui étaient tout à l’heure à écouter Vincent en début d’après-midi ne sont pas là parce qu’ils vont entendre quasi le même son de cloches. Je vais parler plutôt de la place que j’accorde au Libre en tant qu’enseignante en informatique et en science des données.

Je viens de Saint-Étienne, plus précisément de l’École des mines de Saint-Étienne, je vais commencer par vous dire un bref CV, le pourquoi de la chose. Mon approche logiciel libre qui, ma foi, n’est absolument pas du tout militante par éducation, c’est juste que je suis tombée dans la marmite et je me suis trouvée bien. Je vais parler aussi de la place que j’accorde moi, en tant enseignante, et puis je vais parler aussi du retour que mes étudiants me font systématiquement en diverses occasions, surtout que j’ai eu à faire à des populations d’étudiants assez disparates.

Peut-être que mon accent vous intrigue. Je suis d’origine roumaine et j’ai fait, à partir du DEA, des études en France, donc en informatique à l’École des mines de Saint-Étienne. À l’époque c’était très à la mode le calcul parallèle, donc j’ai fait du calcul parallèle, plus précisément de l’équilibrage de charges.

Ensuite, j’ai travaillé comme ingénieur d’études dans une SSII [société de services en ingénierie informatique] qui faisait du logiciel avec bases de données, programmation C, programmation graphique des interfaces. Et puis, depuis 2000, très précisément septembre 2000, je suis maître-assistant à l’École des mines en informatique, avec des fonctions d’enseignement et de recherche.

Une courte pause dans le cursus de maître-assistant : j’ai dû faire un séjour au Mexique, pour des raisons personnelles, suivant la famille, et puis l’occasion était trop belle pour ne pas travailler là-bas, donc j’ai travaillé quatre trimestres comme professeur invité à l’Universidad Autónoma Metropolitana. J’ai enseigné en espagnol et j’ai eu des étudiants mexicains. Des étudiants avec, ma foi, un profil très différent de ce que j’avais en France. Et puis récemment, depuis 2014, je suis responsable d’une formation de 160 heures dans le cursus ingénieur civil des mines, donc pour les étudiants en formation initiale à l’École des mines, pour les initier aux problèmes du big data.

Y a-t-il besoin que j’explique le big data ? C’est plutôt un syntagme à la mode, mais ça cache, en fait, une réalité dans laquelle on demande beaucoup plus de soin dans la programmation qu’auparavant, du fait de grand volume des données, du fait de la vitesse à laquelle les données arrivent et surtout d’un certain besoin, d’un certain fantasme de pouvoir extraire rapidement de la valeur de ces données qui peuvent être d’un format très variable. Donc ces quatre faits, finalement – valeur, vitesse, variabilité de format [volume, NdT] - sont les caractéristiques du big data.

Petite image, peut-être que Bibiana n’est pas trop dépaysée, les jacarandas de la cour, d’une des cours intérieures de l’université mexicaine.

Tout petit retour en arrière. Donc Universidad Autónoma Metropolitana à Mexico, c’était la troisième grande université du pays, localisée sur cinq campus à Mexico DF [District fédéral], donc à la capitale. Je travaillais sur un campus et sur ce campus on formait surtout des ingénieurs, du moins les élèves avec lesquels j’étais en contact, et ceux qui étaient dans un cursus informatique, computation comme on dit là-bas. Donc j’ai eu des étudiants de tronc commun, ce qu’on appelle des étudiants de tronc commun, qui sont assez différents des élèves du cycle ICM [Ingénieurs Civils des Mines] de tronc commun donc en première année. Il manque quelques quatre années de différence. Je parlerai tout à l’heure de mes étudiants.

J’ai eu des élèves au fil des années, donc des élèves de l’École des mines, naturellement, des élèves d’un master spécialisé à l’époque. Donc c’étaient des gens qui avaient une certaine formation professionnelle, mais qui n’étaient pas informaticiens donc qui voulaient appendre pour intégrer le métier d’ingénieur de développement informatique. Et puis j’ai eu des étudiants de niveau mastère maestria au Mexique, mastère en France, donc plutôt niveau bac + 4. Donc un panel assez large d’étudiants.

J’avoue aussi que dans ma vie j’avais toujours rêvé d’être professeur, ce qui est très étrange mais voilà ! Et puis je me disais « je ne veux pas être professeur chez les petits, je veux être professeur chez les grands, parce que ce qui m’intéresse c’est transmettre le savoir.» Je parlais de mes prétentions du haut de mes quinze ans, il ne fallait pas faire gaffe, mais n’empêche que j’étais formatée pour ça. Et quand on a des étudiants de tronc commun et des étudiants en général, le savoir est quelque chose qu’on transmet, mais je vous assure, le plus compliqué c’est savoir comment on le transmet, malgré tout. C’est vrai qu’on n’a plus les problèmes des petites classes - maîtresse est-ce que j’écris avec le stylo rouge ou avec le stylo bleu ? Dieu merci - mais quand même, on a toujours un problème du comment de la chose. Surtout que j’en parlerai tout à l’heure, on a des étudiants qui changent, on a des profils qui changent et aussi des attentes, maintenant, des générations qui changent.

J’ai enseigné un panel très large des cours depuis toujours, donc même quand j’étais étudiante en thèse, j’assistais des travaux pratiques en programmation, beaucoup de programmation. Donc à Mexico, surtout, j’ai assuré quatre trimestres le cours d’introduction à la programmation.

Mes recherches portent surtout sur la fouille du texte et apprentissage automatique. Du coup j’assure aussi des cours comme ça. J’ai enseigné un cours de grid et cloud computing il y a quelques années ici même à Télecom Saint-Étienne ; des cours de calcul parallèle, recherches op [opérationnelles], algorithmique, donc ça ce sont mes passions et puis des cours de bases de données, bases de données avancées. Donc j’ai fait pas mal de choses.

Et puis, si j’assure toujours à une variété de publics une variété de cours, étonnamment mes supports de cours sont toujours faits en LaTeX, de la manière la plus sobre possible. Ça ressemble à peu près à ceci. Les slides de cours c’est toujours le même format. Le choix étant dicté par LaTeX et puis par le format final. D’habitude, je le mets en PDF pour être sûre qu’ils vont pouvoir le lire et le relire. Pareil les sujets d’examen, de TP, tout est fait en LaTeX et je n’aime plutôt pas Word et je vous expliquerai pourquoi.

Ça ce sont d’autres locaux de l’École des mines de Saint-Étienne, ceux précisément qui sont sur le site de Manufrance et où se trouve mon bureau.

Pourquoi LaTeX1 ?

Je vais vous parler de logiciel libre et le LaTeX a été le premier choix logiciel libre que j’ai fait de manière inconsciente. J’avais besoin de rédiger ma thèse. Auparavant j’avais rédigé le rapport de DEA ; ça s’appelait à l’époque master recherche. J’avais besoin de réaliser quelque chose de joli, il faut dire, dans lequel j’écrivais aisément des formules mathématiques et surtout, c’est entre parenthèses, j’avais besoin de gérer proprement mes références bibliographiques. Pour moi c’était mortel ! Déjà avant, les références bibliographiques, dans un petit rapport de DEA, c’était intenable : quand on en rajoutait une il fallait renuméroter, c’était l’enfer ! C’était l’horreur ! C’était les années 90, et je me suis dit tu vas apprendre LaTeX, tu verras c’est beaucoup plus facile. Et je suis tombée dans la marmite et j’y suis restée. Au point que même si j’ai une lettre à écrire aux autorités officielles je la fais d’abord en LaTeX et je l’envoie en PDF mais ça c’est une autre question.

Et puis du coup, petit à petit, je commençais à avoir une conscience du Libre plus ou moins développée. En société de service informatique on fait surtout ce qu’on nous dit de faire, on ne se pose pas trop de questions. On voit quand même des prix de licences logicielles qui sont assez faramineux et puis on arrive à une carrière en enseignement supérieur on se pose la question : il faut que je leur apprenne à programmer et que j’aide un collègue en TP d’analyse numérique, mais quels logiciels on va utiliser et pourquoi ? Et puis on se posait la question, en salle ils vont utiliser tel logiciel, mais chez eux, s’ils veulent travailler, ils vont utiliser quoi ? Donc on se pose tout de suite la question de sur quel support informatique on va enseigner, nous enseignants en informatique. Les papiers ne suffisent pas ; il faut surtout mettre la main à la pâte et programmer, programmer, essayer des tas de choses, jusqu’à ce qu’on comprenne ce qu’on fait et jusqu’à ce qu’on acquière les bons réflexes, les bonnes manières de travailler.

Donc on se pose forcément la question sur quel support enseigner. Et ma foi, ce que je vais vous raconter par la suite, ce sont surtout des choix de ce type.

Mon séjour au Mexique

[C’est dommage que Vincent qui a expliqué à 14 heures des choses ne soit pas là.] Je commence, très contente de moi, directe, mes cours avec les élèves. Première question qu’ils me posent c’est : « Professora, quels logiciels doit-on acheter ? » Et là je tombe des nues. Je savais quel était le salaire de base, quel était le salaire moyen. Je savais aussi qu’il y avait un marché parallèle des logiciels sur une grande rue du centre de Mexico dans lequel on achetait avec vingt pesos, enfin un peu plus de six euros, Photoshop par exemple. Mais pour moi, c’était impensable d’engraisser qui que ce soit, soit de manière licite soit de manière illicite. Donc il fallait faire quelque chose.

En support pour l’enseignement j’utilisais des serveurs Linux. Il s’agissait notamment de programmer en C. Donc on utilisait GCC2 et puis les éditeurs soit Vim3, soit vi4, soit quelque chose qui s’appelait Tiny ou nanonano en éditeurs de programme. Mais il fallait aussi se poser la question « mais s’ils n’ont pas la connexion internet chez eux », on était quand même au Mexique, qu’est-ce que je vais leur dire de prendre en échange ? [Ah celui-là je ne l’ai pas mis. Si.] Et du coup, à mes élèves de Mexico, j’avais suggéré DevC++5 qui était un outil graphique, donc un IDE [integrated development environment] d’interface graphique, basé sur le compilateur GNU, qui leur permettait de n’importe quel système d’exploitation — soit Windows, soit Linux — de pouvoir faire des programmes, les compiler, les exécuter, voir si ça marche.

Au fil du temps, les outils informatiques que j’ai utilisés

Donc je suis très grande fan de GCC et de shell, ça vous l’avez compris, C c’est parmi mes langages favoris. J’ai beaucoup utilisé Scilab6, plutôt en guise de MATLAB7, enfin comme correspondant à MATLAB, et aussi parce j’ai un besoin très furieux de calculer le déterminant d’une matrice pour voir si la matrice est singulière ou pas. J’ai plutôt tendance à ouvrir Scilab qu’autre chose.

J’ai dû enseigner au fil du temps aussi un cours d’un XML [Extensible Markup Language] pendant quelques années et, du coup, je me suis appuyée sur xsltproc [Processeur xslt en ligne de commande], donc faire des feuilles de style XSLT8, et sur QizxQizx ; comme moteur XqueryXquery - Langage de requête informatique. Donc, au fil du temps, SchemeScheme - Langage de programmatiion naturellement, du PrologProlog - Langage de programmation logique., dans la version SWI-Prolog à l’époque où j’avais expliqué donc le SWI-Prolog ; Protégé9, à l’époque où j’avais enseigné mon cours de maestria en intelligence artificielle.

Je les prends dans le désordre, vous voyez bien, et puis gLite10 qui est un middleware pour faire du Grid computing, qui est libre ; donc c’est issu d’un projet de recherche aux États-Unis, commencé fin des années 90, qui continue toujours et qui permet justement d’illustrer toutes les fonctionnalités de ce que doit être un middleware supportant le calcul de grille.

Et puis je l’ai mis très foncé avec sa petite icône, un logiciel très étrange, enfin très étrange, qui s’appelle Raptor, que j’utilisais beaucoup pour les étudiants du tronc commun au Mexique, donc c’étaient des étudiants qui n’avaient jamais programmé, qui n’avaient pas fait de cours d’Excel ni rien du tout, qui étaient censés faire par la suite diverses filières d’ingénieurs, des chimistes, des ingénieurs de l‘environnement, des ingénieurs en construction, des informaticiens, enfin de la computation comme ils appelaient, mais qui n’avaient pas programmé ou peu. Il y en avait certains qui savaient programmer. Et, d’un point de vue pédagogique, il fallait que je sache passer, que j’arrive à passer la notion de ce que c’est qu’est test, ce que c’est qu’une boucle for, ce que c’est qu’une boucle while. Et Raptor, je vous conseille d’essayer de le retrouver, donc le software RAPTOR11, c’est un petit logiciel qui permet de dessiner des diagrammes de flux, mais pas seuleemnt les dessiner mais aussi les exécuter pas à pas ou les exécuter dans leur globalité. Donc ce qui est extrêmement convenable et c’est une manière très visuelle de voir : je passe par ici, je prends la branche de noms et j’exécute et je fais ma boucle et voici le résultat qui s’affiche en clair. En plus, le logiciel, il faut le dire en passant mais je n’ai pas utilisé ça, permet d’exporter son diagramme de flux dans un programme en C ou en C++, qui fera l’affaire.

Donc ça ce sont les outils que j’ai aimés le plus. J’en ai vu plein. Je déplore parfois, par exemple, et c’est dommage que Vincent soit parti, des logiciels pour faire des jolies figures autres qu’en LaTeX parce que c’est quand même long en LaTeX, qui ne sont pas entretenus ou peu entretenus, donc j’ai des formats de figures qui ne s’ouvrent plus, malheureusement. Mais bon !

En sciences de données, donc big data. C’est un grand mot. Ce qui se cache derrière c’est un besoin de traiter des choses d’un point de vue informatique mais aussi d’un point de vue apprentissage automatique donc tout ce qui est «je fais des prédictions ou je fais du descriptif pour pouvoir "faire parler" mes données, entre guillemets ».

Donc je me suis permis de marquer les choix que j’apprécie le plus. D’une part Octave12 qui est une façon très élégante et très puissante de programmer. Scilab, toujours, qui est aussi un outil de programmation dans lequel je peux manipuler autant des valeurs simples que des valeurs scalaires que des matrices et aussi des outils de visualisation intéressants.

Python13 et Scikit-learn. Donc de la programmation en Python. Maintenant tous les étudiants de classe préparatoire font du Python, du moins ils sont censés savoir faire du Python. Et Scikit-learn c’est une API, donc un plugin qui va venir s’intégrer dans Python pour pouvoir faire de l’apprentissage automatique.

En dernier lieu et pas tout à la fin, c’est l’outil R14 avec son IDE RStudio. Donc j’ai mis R, j’ai mis aussi Rstudio, parce qu’une collaboratrice qui est au Mexique m’envoie son code R et je vois qu’elle utilise R tout simple sans profiter de RStudio qui me semble un outil extrêmement confortable. Et cet outil R, d’une part il est libre, mais d’autre part il y a une certaine aisance dans l’usage. Il y a des packages différents qui nous permettent de faire des tas de choses. L’interfaçage est relativement facile mais là où le bât blesse, quand même, c’est que comme c’est développé dans un mode bazar, à savoir tout le monde qui a besoin de quelque chose soit il prend un package soit il le développe ; il arrive que les packages sont parfois incompatibles et aussi que les structures de données de base de R sont relativement compliquées. [Ah oui j‘ai parlé de vous pas mal de temps, parce que Vincent a dit : « Moi je dis pareil. »]Donc je conseille aussi R pour pouvoir se lancer dans le domaine de l’apprentissage automatique. Oui ?

Organisateur : C’est terminé, normalement.

Mihaela Juganaru-Mathieu : C’est time-out. OK.

Organisateur : Mais nous sommes au moment de la pause. S'il y a des gens ici qui acceptent de laisser passer la pause, tout va bien. Vous êtes la dernière intervenante.

Mihaela Juganaru-Mathieu : OK. Bon ! En outil connexe pour traiter des gros volumes de données, je conseillerai Hadoop15 et MapReduce. Donc Hadoop et Spark. SparkSpark étant un produit du programme Apache. Les bases NoSQL16 donc notons les SQL Cassandra et MongoDB17.

Un tout petit mot sur les étudiants auxquels j’ai eu à faire

Depuis les années 80, quand j’étais étudiante en thèse jusqu’à maintenant, les générations, les profils ont tellement changé ! On a à faire à complètement une autre génération. Je n’ai plus aucun étudiant qui n’a jamais touché à un ordinateur. Ce n’était pas le cas dans les années 2000 : on voyait toujours des étudiants qui n’avaient jamais touché et pire, qui n’avaient pas envie de toucher.

N’empêche qu’il y a toujours un écart entre les passionnés et les autres. Les autres utilisent l’ordinateur parce qu’ils en ont besoin ou parce qu’on leur dit de le faire. Ce ne sont pas les passionnés qui sont très intéressants, ce sont surtout les autres. Qu’est-ce qu’on va leur prescrire et comment on va leur dire quoi installer ? Comment faire ? Comment s’en sortir ? Et surtout prendre confiance dans l’outil informatique.

Du coup donc, ce que les étudiants attendent de nous, c’est un accès aisé au support, donc Bibiana parlait du Moodle. J’ai découvert moi aussi depuis quelques années Moodle et c’est extrêmement facile pour mettre ses cours en PDF sur Moodle, a contrario d’entretenir une page web sur son serveur école exprès pour ça. Donc c’est infiniment plus commode et plus facile. Plus le rendu des TP : on a besoin aussi en TP d’outils performants et fiables, plutôt faciles dans leur prise en main parce que maintenant plus personne n’est capable d’assister et d’écouter un prof se promener au tableau en expliquant : si vous appuyer sur la touche F1 il va se passer ceci/cela. Donc on cherche plutôt des outils fiables et plutôt faciles en main donc parfois on met dans la balance les deux. Et puis les étudiants ont besoin d’outils pour gérer leurs projets et le travail collaboratif.

Les retours des étudiants

Ils sont quand même beaucoup moins timides qu’il y a des années, ils ont la parole et ça c’est très bien et ils nous disent ce qu’ils en pensent. En plus, au travail de fin d’études, on leur demande directement, explicitement, qu’est-ce que vous avez pensé de la formation ? Et parfois, il leur arrive de nous prescrire eux-mêmes du Libre et de nous dire que c’est mieux que ce vous avez fait, vous savez telle ou telle chose. Donc voila !

Et puis on a d'autres retours, un peu indirect, tout aussi intéressant, du moins à l’École des mines de Saint-Étienne, qui sont les retours de stages. J’avais parlé du travail de fin d’études, du stage de deuxième année dans lequel les étudiants nous présentent ce sur quoi ils ont travaillé et, comme on est quand même une filière technique, ils nous parlent des outils qu’ils ont vus. Et c’est là qu’on prend connaissance des divers logiciels qui existent dans ce monde et qu’on n’a pas aussi ; que parfois ils sont libres et que parfois on découvre qu’ils peuvent être très utiles dans l’enseignement par la suite.

Je vais m’arrêter là, juste pour dire qu’il faut qu’on garde toujours en tête qu’on a un rôle formateur, donc on a un rôle très fort. Qu’il faut qu’on reste ouverts au logiciel libre et surtout qu’on fasse du Libre. Merci.

Organisateur : Garde ce microphone, il y a l’autre.

Mihaela Juganaru-Mathieu : OK.

Public : Je suis extrêmement content de voir quelqu’un qui utilise LaTeX pour une démonstration et ça m’a fait très plaisir de voir tous les logiciels libres décrits dans un contexte d’utilisation vraiment approprié. Ce que tu as raconté de ta découverte de LaTeX ça me rappelle beaucoup de souvenirs personnels, d’un directeur de thèse qui me dit : « Ah je n’aime pas ce style dans les citations. Est-ce que vous pourriez changer, faire votre bibliographie autrement ? » Je suis revenu dans le quart d’heure suivant, avec la nouvelle présentation.

Mihaela Juganaru-Mathieu : Et là il a été épaté. Ouais !

Public : Il a été bluffé ! Il pensait m’en donner pour deux jours ! Donc utilisez LaTeX. Si vous ne le savez pas, eh bien apprenez LaTeX, ça vaut vraiment la peine.

Mihaela Juganaru-Mathieu : Surtout pour les mathématiciens, physiciens, tout ce qui est formule ça va extrêmement plus vite et plus durable, quand même, dans l’écriture, que Word.

L'April rejoint 30 autres organisations pour la campagne « Argent public ? Code Public ! »

Le 13 September 2017 à 10:07:50

Le 13 septembre 2017 la FSFE (Free Software Foundation Europe) a lancé la campagne « Argent Public ? Code Public !  », avec 31 organisations signataires dont l'April. Signature qui s'inscrit pour l'association française de promotion et de défense du logiciel libre en totale cohérence avec son objectif principal : la priorité au logiciel libre et aux formats ouverts dans les administrations publiques.

Pour l'April la priorité au logiciel libre est une pierre angulaire pour construire une informatique qui soit au service des utilisateurs, donc des citoyens, et non pas un outil pour ceux qui souhaitent les asservir. Une informatique libre et loyale au service de l'intérêt général.

La campagne (Public Money ? Public Code ! en anglais) s'articule autour d'une lettre ouverte, qui affiche une ambition générale d' « amélioration des procédures de marchés publics pour les logiciels » et appelle à ce que tout logiciel « financé par le contribuable » soit publié sous licence libre. Nous vous encourageons toutes et tous à la signer.

Rappelons qu'en France, depuis la loi « pour une République numérique » ratifiée le 7 octobre 2016, les codes sources « produits ou reçus  » par les administrations sont considérés comme des documents administratifs à part entière et sont à ce titre communicables à quiconque en fait la demande. Voir ici pour plus de détails sur cette loi et l'action de l'April.

Une vidéo de quelques minutes a été également réalisée dans le cadre de cette campagne. Celle-ci présente, de manière très pédagogique, les enjeux d'une informatique libre et loyale pour les services publics. Des sous-titres sont disponibles en plusieurs langues, dont le français. La vidéo est sous licence CC-By 4.0, les sources sont disponible ici.

Pour en savoir plus; voir le site officiel de la campagne publiccode.eu et le communiqué de la FSFE.

vbernat.png Vincent BERNAT

VPN IPsec routé avec Linux et strongSwan

Le 13 September 2017 à 08:20:42

La façon la plus courante d’établir un tunnel IPsec sous Linux est d’utiliser un démon IKE, comme celui du projet strongSwan. Voici un exemple minimal de configuration1 :

conn V2-1
  left        = 2001:db8:1::1
  leftsubnet  = 2001:db8:a1::/64
  right       = 2001:db8:2::1
  rightsubnet = 2001:db8:a2::/64
  authby      = psk
  auto        = route

La même configuration peut être utilisée des deux côtés. Chacun sait déterminer s’il est « left » ou « right ». Les terminaisons du tunnel sont 2001:db8:­1::1 et 2001:db8:­2::1. Les réseaux protégés sont 2001:db8:­a1::/64 et 2001:db8:­a2::/64. En utilisant cette configuration, strongSwan met en place les politiques de sécurité suivantes dans le noyau :

$ ip xfrm policy
src 2001:db8:a1::/64 dst 2001:db8:a2::/64
        dir out priority 399999 ptype main
        tmpl src 2001:db8:1::1 dst 2001:db8:2::1
                proto esp reqid 4 mode tunnel
src 2001:db8:a2::/64 dst 2001:db8:a1::/64
        dir fwd priority 399999 ptype main
        tmpl src 2001:db8:2::1 dst 2001:db8:1::1
                proto esp reqid 4 mode tunnel
src 2001:db8:a2::/64 dst 2001:db8:a1::/64
        dir in priority 399999 ptype main
        tmpl src 2001:db8:2::1 dst 2001:db8:1::1
                proto esp reqid 4 mode tunnel
[…]

Ce type de tunnel IPsec se base exclusivement sur ces politiques de sécurité pour décider de l’encapsulation des paquets (policy-based VPN). Chaque politique de sécurité est constituée des éléments suivants :

  • une direction (out, in ou fwd2),
  • un sélecteur (un ensemble de critères tels que réseaux source et destination, ports, …),
  • un mode (transport ou tunnel),
  • un protocole d’encapsulation (esp ou ah),
  • les adresses source et destination du tunnel.

Quand une politique de sécurité s’applique, le noyau recherche l’association de sécurité correspondante (en utilisant reqid et les adresses du tunnel) :

$ ip xfrm state
src 2001:db8:1::1 dst 2001:db8:2::1
        proto esp spi 0xc1890b6e reqid 4 mode tunnel
        replay-window 0 flag af-unspec
        auth-trunc hmac(sha256) 0x5b68[…]8ba2904 128
        enc cbc(aes) 0x8e0e377ad8fd91e8553648340ff0fa06
        anti-replay context: seq 0x0, oseq 0x0, bitmap 0x00000000
[…]

Si aucune association de sécurité n’est trouvée, le paquet est mis de côté et le démon IKE est prévenu pour en négocier une. Lorsqu’un paquet encapsulé est reçu, l’entête contient le SPI qui permet d’identifier l’association de sécurité à utiliser. Deux associations de sécurité sont nécessaires pour un tunnel bi-directionnel :

$ tcpdump -pni eth0 -c2 -s0 esp
13:07:30.871150 IP6 2001:db8:1::1 > 2001:db8:2::1: ESP(spi=0xc1890b6e,seq=0x222)
13:07:30.872297 IP6 2001:db8:2::1 > 2001:db8:1::1: ESP(spi=0xcf2426b6,seq=0x204)

Toutes les implémentation d’IPsec permettent de travailler avec des politiques de sécurité. Toutefois, certaines configurations sont ardues à mettre en place de cette façon. Par exemple, considérons l’architecture suivante pour des VPN redondants reliant trois sites :

VPN redondants entre 3 sites

Une configuration possible pour le tunnel entre V1-1 et V2-1 serait :

conn V1-1-to-V2-1
  left        = 2001:db8:1::1
  leftsubnet  = 2001:db8:a1::/64,2001:db8:a6::cc:1/128,2001:db8:a6::cc:5/128
  right       = 2001:db8:2::1
  rightsubnet = 2001:db8:a2::/64,2001:db8:a6::/64,2001:db8:a8::/64
  authby      = psk
  keyexchange = ikev2
  auto        = route

À chaque fois qu’un réseau est ajouté ou retiré d’un site, les configurations de tous les sites doivent être mises à jour. De plus, le chevauchement de certains réseaux (2001:db8:­a6::/64 d’un côté et 2001:db8:­a6::cc:1/128 de l’autre) pose quelques problèmes supplémentaires.

L’alernative est d’utiliser des tunnels routés : tout paquet traversant une pseudo-interface sera encapsulé en utilisant une politique de sécurité associée à l’interface. Cela résout principalement deux problèmes :

  1. Des démons de routage peuvent être utilisés pour distribuer les routes à protéger sur chaque site. Cela réduit grandement la quantité de configuration à gérer quand de nombreux réseaux sont présents.
  2. L’encapsulation et la décapsulation peut s’exécuter dans une instance de routage ou espace de noms différent. Cela permet de cloisonner efficacement le routage privé (où les utilisateurs du VPN se trouvent) du routage public (où les terminaisons VPN se trouvent).

VPN routé avec Juniper

Regardons d’abord comment un tel concept est mis en place sur une plateforme JunOS (comme le Juniper vSRX). Les tunnels routés sont une fonctionnalité qui existe depuis longtemps sur celle-ci (héritage des Netscreen ISG avec ScreenOS).

Nous allons configurer le tunnel entre V3-2 et V1-1. Tout d’abord, nous mettons en place l’interface tunnel. Elle est associée à l’instance de routage private qui ne contiendra que les routes internes (avec IPv4, elle ne contiendrait que des routes de type RFC 1918) :

interfaces {
    st0 {
        unit 1 {
            family inet6 {
                address 2001:db8:ff::7/127;
            }
        }
    }
}
routing-instances {
    private {
        instance-type virtual-router;
        interface st0.1;
    }
}

La seconde étape consiste à configurer le VPN :

security {
    /* Configuration de la phase 1 */
    ike {
        proposal IKE-P1 {
            authentication-method pre-shared-keys;
            dh-group group20;
            encryption-algorithm aes-256-gcm;
        }
        policy IKE-V1-1 {
            mode main;
            proposals IKE-P1;
            pre-shared-key ascii-text "d8bdRxaY22oH1j89Z2nATeYyrXfP9ga6xC5mi0RG1uc";
        }
        gateway GW-V1-1 {
            ike-policy IKE-V1-1;
            address 2001:db8:1::1;
            external-interface lo0.1;
            general-ikeid;
            version v2-only;
        }
    }
    /* Configuration de la phase 2 */
    ipsec {
        proposal ESP-P2 {
            protocol esp;
            encryption-algorithm aes-256-gcm;
        }
        policy IPSEC-V1-1 {
            perfect-forward-secrecy keys group20;
            proposals ESP-P2;
        }
        vpn VPN-V1-1 {
            bind-interface st0.1;
            df-bit copy;
            ike {
                gateway GW-V1-1;
                ipsec-policy IPSEC-V1-1;
            }
            establish-tunnels on-traffic;
        }
    }
}

Il s’agit d’un VPN routé car l’interface st0.1 est associée au VPN VPN-V1-1. Une fois le tunnel fonctionnel, tout paquet entrant dans st0.1 sera encapsulé et envoyé vers la terminaison 2001:db8:­1::1.

La dernière étape est de configurer BGP dans l’instance private pour échanger les routes avec le site distant :

routing-instances {
    private {
        routing-options {
            router-id 1.0.3.2;
            maximum-paths 16;
        }
        protocols {
            bgp {
                preference 140;
                log-updown;
                group v4-VPN {
                    type external;
                    local-as 65003;
                    hold-time 6;
                    neighbor 2001:db8:ff::6 peer-as 65001;
                    multipath;
                    export [ NEXT-HOP-SELF OUR-ROUTES NOTHING ];
                }
            }
        }
    }
}

Le filtre d’export OUR-ROUTES doit sélectionner les routes à publier aux autres sites. Par exemple :

policy-options {
    policy-statement OUR-ROUTES {
        term 10 {
            from {
                protocol ospf3;
                route-type internal;
            }
            then {
                metric 0;
                accept;
            }
        }
    }
}

La configuration pour les autres terminaisons est similaire. La version complète est disponible sur GitHub. Une fois les sessions BGP opérationnelles, les routes des autres sites sont apprises localement. Par exemple, voici la route pour 2001:db8:­a1::/64:

> show route 2001:db8:a1::/64 protocol bgp table private.inet6.0 best-path

private.inet6.0: 15 destinations, 19 routes (15 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both

2001:db8:a1::/64   *[BGP/140] 01:12:32, localpref 100, from 2001:db8:ff::6
                      AS path: 65001 I, validation-state: unverified
                      to 2001:db8:ff::6 via st0.1
                    > to 2001:db8:ff::14 via st0.2

Elle a été apprise de V1-1 (via st0.1) et V1-2 (via st0.2). Elle fait partie de l’instance de routage private mais les paquets encapsulés sont matérialisés dans l’instance de routage public. Il n’y a pas besoin d’échanger de routes entre ces deux instances pour que cela soit fonctionnel. L’étanchéité est donc assurée et le VPN ne peut pas servir de passerelle entre l’intérieur et l’extérieur. Il aurait été possible d’utiliser des règles de filtrage pour obtenir le même effet mais cette séparation simplifie le routage et évite qu’un problème de configuration se transforme en un désastre de sécurité.

VPN routé avec Linux

Depuis Linux 3.15, une configuration similaire est possible en utilisant les interfaces « VTI » (virtual tunnel interface)3. Tout d’abord, créons un espace de noms « privé » :

# ip netns add private
# ip netns exec private sysctl -qw net.ipv6.conf.all.forwarding=1

Les interfaces constituant le domaine « privé » doivent être déplacées dans ce nouvel espace de noms (aucune IP n’est configurée car nous utilisons les adresses locales au lien) :

# ip link set netns private dev eth1
# ip link set netns private dev eth2
# ip netns exec private ip link set up dev eth1
# ip netns exec private ip link set up dev eth2

Ensuite, nous créons l’interface tunnel vti6 (similaire à st0.1 dans l’exemple JunOS) :

# ip tunnel add vti6 \
   mode vti6 \
   local 2001:db8:1::1 \
   remote 2001:db8:3::2 \
   key 6
# ip link set netns private dev vti6
# ip netns exec private ip addr add 2001:db8:ff::6/127 dev vti6
# ip netns exec private sysctl -qw net.ipv4.conf.vti6.disable_policy=1
# ip netns exec private sysctl -qw net.ipv4.conf.vti6.disable_xfrm=1
# ip netns exec private ip link set vti6 mtu 1500
# ip netns exec private ip link set vti6 up

L’interface tunnel est créée dans l’espace de noms initial et déplacé dans celui « privé ». L’espace de noms d’origine est mémorisé par l’interface et sera utilisé pour recevoir et envoyer les paquets encapsulés. Tout paquet passant dans l’interface aura temporairement la marque 6 qui sera utilisée pour trouver la politique IPsec configurée par la suite4. Le noyau met en place un MTU assez faible pour tenir compte de toutes les protocoles et algorithmes possibles. Nous le rétablissons à 1500 et laissons le PMTUD jouer son rôle.

La configuration de strongSwan est la suivante5 :

conn V3-2
  left        = 2001:db8:1::1
  leftsubnet  = ::/0
  right       = 2001:db8:3::2
  rightsubnet = ::/0
  authby      = psk
  mark        = 6
  auto        = route
  keyexchange = ikev2
  keyingtries = %forever
  ike         = aes256gcm16-prfsha384-ecp384!
  esp         = aes256gcm16-prfsha384-ecp384!
  mobike      = no

Le démon IKE configure la politique de sécurité adéquate dans le noyau :

$ ip xfrm policy
src ::/0 dst ::/0
        dir out priority 399999 ptype main
        mark 0x6/0xffffffff
        tmpl src 2001:db8:1::1 dst 2001:db8:3::2
                proto esp reqid 1 mode tunnel
src ::/0 dst ::/0
        dir fwd priority 399999 ptype main
        mark 0x6/0xffffffff
        tmpl src 2001:db8:3::2 dst 2001:db8:1::1
                proto esp reqid 1 mode tunnel
src ::/0 dst ::/0
        dir in priority 399999 ptype main
        mark 0x6/0xffffffff
        tmpl src 2001:db8:3::2 dst 2001:db8:1::1
                proto esp reqid 1 mode tunnel
[…]

Cette politique s’applique quelle que soit la source et la destination tant que la marque de firewall est égale à 6, ce qui correspond à ce qui est configuré au niveau de l’interface tunnel.

La dernière étape est de configurer BGP pour l’échange des routes. Nous utilisons BIRD à cet effet :

router id 1.0.1.1;
protocol device {
   scan time 10;
}
protocol kernel {
   persist;
   learn;
   import all;
   export all;
   merge paths yes;
}
protocol bgp IBGP_V3_2 {
   local 2001:db8:ff::6 as 65001;
   neighbor 2001:db8:ff::7 as 65003;
   import all;
   export where ifname ~ "eth*";
   preference 160;
   hold time 6;
}

Une fois que BIRD a démarré dans l’espace de noms « privé », les routes distantes sont apprises :

$ ip netns exec private ip -6 route show 2001:db8:a3::/64
2001:db8:a3::/64 proto bird metric 1024
        nexthop via 2001:db8:ff::5  dev vti5 weight 1
        nexthop via 2001:db8:ff::7  dev vti6 weight 1

Cette route a été apprise depuis V3-1 (à travers vti5) et V3-2 (à travers vti6). Comme avec JunOS, nous n’avons copié aucune route entre les espaces de noms. Ceux-ci sont isolés. Ainsi, le VPN ne peut pas servir de passerelle entre les deux domaines. Cela nous assure qu’un problème de configuration (par exemple, démon IKE qui ne démarre pas) n’entraînera pas une fuite accidentelle des paquets internes.

En bonus, le trafic en clair est observable avec tcpdump sur l’interface tunnel :

$ ip netns exec private tcpdump -pni vti6 icmp6
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vti6, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
20:51:15.258708 IP6 2001:db8:a1::1 > 2001:db8:a3::1: ICMP6, echo request, seq 69
20:51:15.260874 IP6 2001:db8:a3::1 > 2001:db8:a1::1: ICMP6, echo reply, seq 69

La configuration complète est disponible sur GitHub. La documentation de strongSwan contient aussi une page dédiée aux VPN routés.


  1. Libreswan est une alternative qui devrait fonctionner de manière identique pour les besoins de cet article. 

  2. fwd est utilisé pour les paquets arrivant pour une adresse non locale. Cela ne fait de sens qu’en mode transport et il s’agit d’un concept propre à Linux. 

  3. Les interfaces VTI ont été introduites dans Linux 3.6 (pour IPv4) et Linux 3.12 (pour IPv6). La possibilité de les changer d’espace de noms est disponible depuis Linux 3.15. 

  4. La marque est mise en place juste le temps de regarder la politique de sécurité à appliquer. Elle n’affecte donc pas les autres usages possibles (filtrage, routage). Netfilter peut également placer une marque et il convient donc de s’assurer qu’il n’y a pas de conflit possible. 

  5. Les algorithmes de chiffrement utilisés sont les plus robustes compatibles avec JunOS. La documentation de strongSwan contient une liste complète des algorithmes disponibles ainsi que des recommendations concernant la sécurité

debian-france.png Debian France

Mini-debconf 2017 à Toulouse au Capitole du Libre

Le 13 September 2017 à 07:33:35

L'association Debian France [1] organise une mini-debconf à Toulouse. Cet évènement accueillera toutes les personnes intéressées par le projet Debian avec une série de conférences et d'ateliers autour de ce thème. Cette mini-debconf aura lieu en même temps et au même endroit que le Capitole du Libre [2] les 18 et 19 novembre 2017 à ENSEEIHT : 26 rue Pierre-Paul Riquet à Toulouse.

Nous aimerions avoir la moitié des conférences en anglais, les anglophones sont donc les bienvenus !

Les conférences et ateliers seront programmés sur la même grille que les conférences du Capitole du Libre. Il sera, ainsi, aisé de basculer de la mini-debconf au capitole du libre et inversement bien sur ;)

Les propositions de conférences sont ouvertes, vous pouvez vous inscrire par mail à minidebconf[at]france[dot]debian[dot]net et sur la page wiki [3]. Date limite pour soumettre une conférence : le 30 septembre 2017

11 September 2017

Carl CHENET

Le meilleur du Journal du hacker une fois par semaine dans vos e-mails

Le 11 September 2017 à 22:00:02

Je lance une nouvelle newsletter Le Courrier du hacker, publiée le vendredi (1ère édition vendredi 15 septembre) qui fournira dans un format condensé le meilleur des articles publiés sur le Journal du hacker, le relais des meilleurs contenus de la communauté du Logiciel Libre francophone.

Il s’agira d’un projet personnel, non-officiel et indépendant du Journal du hacker.

En effet cette précision est importante car je suis l’un des fondateurs du Journal du hacker et on pourrait donc attendre que je ne consacre à mon activité vis-à-vis du Journal que des projets visant à l’améliorer directement. Mais je suis très satisfait de l’actuel Journal du hacker, nous avons une nouvelle version dans les tuyaux qui entrera en production d’ici la fin de l’année et le développement de ce média aujourd’hui âgé de 2 ans et demi m’impressionne. Présent sur Twitter, Diaspora* et Mastodon, la circulation sur les réseaux sociaux des contenus qui y sont relayés est incroyable.

Je souhaite encourager par cette initiative l’appropriation par tous du Journal du hacker. Il s’agit d’un média communautaire auquel chacun peut participer directement ou en interagissant indirectement en exploitant son contenu.

Le meilleur du Journal du hacker une fois par semaine directement dans vos e-mails ? Abonnez-vous donc au Courrier du hacker !

jzimmermann.png Jérémie ZIMMERMANN

European Copyright Reform: A New Directive Against Fundamental Freedoms

Le 11 September 2017 à 15:22:54

Paris, 11 September 2017 — NGOs are no longer alone to claim that the draft of the new European Copyright Directive, currently discussed by the European Parliament, contains prejudicial provisions regarding fundamentals rights and freedoms. Six member states sent observations to the EU Council to bring its attention to the dangers some measures could entail, in particular an obligation to automatically filter the platforms. As a significant vote on the text draws near in September, it is important that citizens mobilise and that we draw the right conclusions from this latest repressive drift.

Belgium, Czech Republic, Finland, Hungary, Ireland, the Netherlands: for these six states, article 13 of the draft directive discloses problems of compatibility regarding respect for fundamental rights and freedoms that are guaranteed within the Union. Those provisions could force websites that "host a large body of creations" to implement automatic measures to identify and filter contents. This obligation to filter should operate pre-emptively, meaning upon loading the users' contents, and not only after the fact.

The six states consider such a plan likely to violate freedom of speech and information, protection of personal data, and freedom of enterprise. It also tends to weaken the status of hosts that are protected by the eCommerce directive and imposes an obligation of widespread surveillance on them, which is incompatible with European case law.

This analysis reflects the ones La Quadrature du Net has voiced about article 13, especially last March. NGOs unanimously denounce the risks. The Wikimedia Foundation dreads its repercussions on the collaborative encyclopedia Wikipedia. The Free Software Foundation Europe sees in it a threat to open source software development. Representatives from the research community think that the draft directive will have severe repercussions on Open Access and Open Science.

In fact, this automated a priori filtering of contents would entail consequences even more dire than what would have followed the ACTA agreement that the European Parliament rejected in 2012 as against our freedoms. The harm caused by automated filters, like ContentID on YouTube, is already noticeable, as well as the unfair situation in which Internet users find themselves in order to defend their rights. Generalizing these "censorship machines" will lead the European Web into a cul-de-sac.

It is important for civil society associations to learn from this drift into censorship. The strategy followed since the Reda report in 2015 consisted of abandoning the positive proposals such as the legalisation of non-profit sharing of contents, in favour of more moderate positions, aiming at creating more copyright exceptions. This approach proved a failure, because there is no compromising with the copyright maximalists who pretend to represent the authors' interests and drive the political leaders into a repressive spiral.
France, once again, plays an especially shady role in this process; the last political changes haven't moved a bit the positions of the Government, and the French Members of the European Parliaments still flawlessly aligned on the cultural industry's will.

The draft Directive will be revewed this week in the EU Council, and a crucial vote is planned in Parliament on 29 September. There is little room to influence its course. La Quadrature du Net calls upon citizens to act right now by contacting their European representatives through the FixCopyright platform set up by the Mozilla Foundation.

april.png Nouvelles April

Revue de presse de l'April pour la semaine 36 de l'année 2017

Le 11 September 2017 à 14:04:57

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

En podcast.

Sommaire de la revue de presse de l'April pour la semaine 36

[Les Inrocks] ”Nothing to Hide”: pourquoi ce docu sur la surveillance de masse nous concerne-t-il tous?

Par Bruno Deruisseau, le samedi 9 septembre 2017. Extrait:
> Grâce à la collecte de nos données numériques, les agences de renseignement disposent aujourd'hui d'un accès quasi-total à notre intimité. Sorti cette semaine, "Nothing to Hide" propose, en évitant l'écueil de la paranoïa, une prise de conscience des enjeux de la surveillance de masse et des moyens dont chacun dispose pour s'y soustraire.
Lien vers l'article original: http://www.lesinrocks.com/2017/09/09/cinema/nothing-hide-pourquoi-ce-docu-sur-la-surveillance-de-masse-nous-concerne-t-il-tous-11983255

[Le Monde.fr] Après Irma, des internautes mobilisés pour cartographier en urgence les zones dévastées

Par la rédaction, le vendredi 8 septembre 2017. Extrait:
> En quelques heures, les cartes des îles frappées par l’ouragan ont été actualisées par la communauté OpenStreetMap. Un travail précieux pour les secours.
Lien vers l'article original: http://www.lemonde.fr/pixels/article/2017/09/08/apres-irma-des-internautes-mobilises-pour-cartographier-en-urgence-les-zones-devastees_5182936_4408996.html

Et aussi:
[NewZilla.net] Ouragan Irma / Les internautes se mettent au travail

[ZDNet France] Firefox s'essaie au nu intégral sur les données et la vie privée

Par Christophe Auffray, le jeudi 7 septembre 2017. Extrait:
> La confidentialité, c'est un sujet sacré, voire une valeur fondamentale pour un navigateur comme Firefox. Mais le logiciel a aussi besoin des données des utilisateurs. Comment concilier les deux? Par la transparence et la clarté. S'agit-il d'une première étape avant l'activation par défaut de la télémétrie?
Lien vers l'article original: http://www.zdnet.fr/actualites/firefox-s-essaie-au-nu-integral-sur-les-donnees-et-la-vie-privee-39856962.htm

[Le Monde Informatique] L'improbable abandon du contrôle de Java SE par Oracle

Par Paul Krill, le lundi 4 Septembre 2017. Extrait:
> Si Oracle a indiqué étudié le transfert de Java EE vers une fondation open source, la question se pose également pour Java SE. Et la position de big red est ici très différente.
Lien vers l'article original: http://www.lemondeinformatique.fr/actualites/lire-l-improbable-abandon-du-controle-de-java-se-par-oracle-69239.html

Note

Les articles de presse utilisent souvent le terme « Open Source » au lieu de Logiciel Libre. Le terme Logiciel Libre étant plus précis et renforçant l'importance des libertés, il est utilisé par l'April dans sa communication et ses actions. Cependant, dans la revue de presse nous avons choisi de ne pas modifier les termes employés par l'auteur de l'article original. Même chose concernant l'emploi du terme « Linux » qui est généralement utilisé dans les articles pour parler du système d'exploitation libre GNU/Linux.


Powered by Planet!
Mise à jour: Le 22 September 2017 à 13:03:08