Category Archives: Geek stuff

copyrightdirective, fr, Geek stuff, neutralité, vie privée, Weberies 2.0

La démission française sur la liberté d’expression numérique

1 Comment

Un point sur la directive copyright semble utile (j’avais écrit ici une petite introduction précédemment, pour les lecteurs qui ne sont pas au courant de l’article 13 de cette directive).

La nouvelle du jour, c’est qu’après des mois de tergiversations, la position française (totalement acquise aux ayants-droit) semble avoir eu gain de cause, ce qui est inquiétant. Les garde-fous demandés par les défenseurs des libertés en ligne semblent avoir été largement ignorés.

Ainsi, ni PME ni les sites à but non lucratif (ce dernier point ne semble pas certain, mais ce n’est pas encore très clair) ne seraient exclus du champ de l’article 13, ce qui revient à mettre une barrière d’entrée infranchissable à ceux-ci en face des GAFAM puisque ces derniers disposent déjà des technologies de filtrage nécessaires pour être à l’abri de l’article. Et il risque d’en résulter une censure sans subtilité des contenus produits par les utilisateurs, voire disparition pure et simple (ou inexistence) de certains services (voir ici le tout dernier article de Julia Reda, députée européenne allemande, pour les détails).

Revenons sur les facteurs qui font que la position française en la matière est particulièrement extrémiste.

Les institutions françaises et les ayants-droit

Sans revenir en détail sur la situation française autour de l’exception culturelle, un peu de contexte est nécessaire.

Depuis des décennies, la concrétisation de l’exception culturelle est le passage de lois de protection de l’industrie du spectacle, éventuellement au détriment de l’intérêt public.

Il y a ainsi eu les lois cherchant à protéger le cinéma contre la télévision (chronologie des médias), puis le cinéma et la télévision contre la cassette VHS et le DVD, puis les chaînes privées brouillées, puis la VHS et le DVD contre les importations contrariant les exclusivités nationales, puis le CD contre la musique en ligne, puis tout cela contre le piratage. Cette liste n’est, bien sûr, pas exhaustive (des séries de lois similaires existent concernant le livre).

S’y ajoutent les diverses taxes et redevances destinées à soutenir la même industrie : redevance télévisuelle (dont une bonne partie sert à acquérir des droits de diffusion), redevance copie privée (supposée dédommager les ayants-droit pour les copies de sauvegarde des œuvres que vous avez légalement acquises, mais que vous paierez également pour stocker vos vidéos de vacances ou en achetant votre téléphone), droits divers sur votre abonnement Internet, etc.

S’y ajoutent un certain nombre d’instances et d'”autorités administratives indépendantes”, suivant le terme consacré : la Hadopi et le CSA, mais aussi le CSPLA (conseil supérieur de la propriété littéraire et artistique) ou la commission pour la rémunération de la copie privée, qui décide unilatéralement du montant de la redevance copie privée. Toutes ces entités dépendent du ministère de la culture.

Une des missions principales attribuées au ministère de la culture est de réaliser, au niveau français, la législation pour protéger les ayants-droit, et à l’échelle européenne, le lobbying pour légiférer dans le même but, en particulier la directive copyright (dite “directive droit d’auteur” en France) qui nous intéresse en ce moment.

Officiellement, la mission du ministère est de « rendre accessibles au plus grand nombre les œuvres capitales de l’humanité et d’abord de la France ». En pratique, cette mission est interprétée de manière limitative : ne comptez pas sur le ministère pour défendre les licences libres ou le domaine public, car il s’agit d’un casus belli vis-à-vis des industries littéraires et du spectacle, et celles-ci l’ont clairement exprimé à plusieurs reprises.

Enfin, ce panorama ne serait pas complet sans un mot sur la représentation française au parlement européen : elle a été à l’avenant lors du vote de juillet, dans une écrasante majorité en faveur des ayants-droit, sans nuance et tous partis confondus, à l’exception notable des Verts.

Les médias et les ayants-droit

La couverture par les médias généralistes en France de la directive copyright a été quasiment inexistante, sinon pour :

  • accorder des tribunes aux ayants droit, pour défendre l’utilité de l’article 13, en en ignorant les effets néfastes ;
  • s’indigner du lobbying — réel — de Youtube et Google contre la directive, en oubliant totalement que les ayants-droit ne sont pas en reste, loin de là, en matière de lobbying ; et qu’au delà de ces 2 lobbies bien visibles et d’un storytelling binaire mais facile, devrait être évoqué l’intérêt général, celui des citoyens.

En ce qui concerne la presse, la directive prévoit l’article 11, censé obliger les moteurs de recherche à rémunérer les journaux pour le trafic que les premiers leur apportent. Pour en arriver à cette absurdité (qui équivaut à demander une commission à un taxi pour qu’il ait le droit de déposer ses clients à tel hôtel), il faut tordre le droit d’auteur et les usages d’Internet, en piétinant le droit de citation.

Les lobbyistes des articles 11 et 13 sont donc entrés depuis l’été 2018 dans un jeu de donnant-donnant. « Je soutiens ton article 11, en échange tu soutiens mon article 13, et réciproquement ». En effet, le sort de ces deux articles est lié : l’un comme l’autre visent clairement Internet sous couvert de cibler les GAFAM ; l’un comme l’autre sont contestés depuis des mois par les associations de défense des libertés ; et le reste de la directive copyright est relativement consensuel.

Ainsi, les tenants de l’article 11 (la presse) se sont vu reprocher par ceux de l’article 13 (les ayants-droit de l’industrie du spectacle) l’échec du vote de juillet 2018, qui aurait permis une validation accélérée au parlement européen, en donnant mandat au rapporteur Axel Voss pour terminer l’écriture de la directive.

Autrement dit, le sort de la directive copyright repose essentiellement sur le consensus qui sera obtenu sur ces articles 11 et 13 ; et cela traîne, car la position française, totalement calquée sur les demandes des ayants-droit, est loin de faire l’unanimité dans l’Union Européenne.

En France, le sujet ne suscite guère d’intérêt médiatique sinon pour s’indigner épisodiquement de manière pavlovienne de l’hégémonie des GAFAM, comme dans cette récente édition de l’Instant M de France Inter qui, toute occupée à dénoncer l’activisme de Youtube, en oublie accessoirement celui des ayants-droit, mais surtout arrive à faire l’impasse sur le sujet de la liberté d’expression, ce qui est plus gênant.

Précisons que je n’ai rien contre cette émission. C’est simplement l’exemple le plus récent auquel j’ai été confronté, mais il en existe bien d’autres, dans le Monde, dans Les Échos, et ailleurs, sous forme, souvent, de tribunes d’opinion à des collectifs d’artistes, ou d’interviews d’artistes en vue. Ainsi, pour ne citer que Jean-Michel Jarre, dès les titres, la tonalité est claire :

  • Le Monde : Jean-Michel Jarre : « YouTube ne doit pas devenir un monopole »
  • France Info : Jean-Michel Jarre défend les auteurs face aux “monstres d’internet”

On cherchera en vain des articles aussi médiatisés exprimant des positions allant clairement contre les articles 11 et 13 de la directive, ceux-ci étant essentiellement du ressort de la presse spécialisée, ou relégués dans des rubriques “actualité numérique”.

Il faut quand même noter quelques exceptions. J’ai eu la chance et l’honneur d’être sollicité par France 24 pour défendre le point de vue des utilisateurs et hébergeurs Internet, ainsi que pour des articles de BFMTV et Marianne, ce dont je les remercie. J’ai également été invité par l’April à l’émission Libre à vous sur Radio Cause Commune, qui est revenue à plusieurs reprises sur la directive. Enfin, on ne peut oublier la couverture régulière de ces sujets, et de tout ce qui concerne le lobbying numérique des ayants-droit, dans Nextinpact, sous la plume de Marc Rees.

La situation associative française

Plus préoccupant, et plus surprenant, l’une des associations phares de défense des droits numériques en France, la Quadrature du Net, a fait preuve d’un mutisme quasi complet sur le sujet de la directive, hors quelques déclarations de principe contre l’article 13 jusqu’à l’été 2018, suivies de prises de positions niant le danger de la directive pour l’« Internet libre », totalement à contre-courant du sentiment général dans les associations similaires.

La Quadrature n’a pas jugé possible non plus de prendre le temps de signer la lettre ouverte d’EDRI, au contraire de 90 des associations européennes et internationales les plus en vue se préoccupant de droits numériques, dont l’EFF états-unienne.

C’est d’autant plus ennuyeux que la Quadrature du Net dispose, dans le domaine associatif numérique, d’un historique et d’une écoute médiatiques qui n’ont guère d’équivalent en France. Son absence peut en partie expliquer la couverture médiatique univoque observée sur le sujet.

On note un autre absent de marque, le Conseil National du Numérique, qui semble se cantonner désormais aux missions que lui confie le gouvernement Macron.

Les deux principales associations françaises ayant réellement fait campagne contre la directive sont l’April, association de défense du logiciel libre, et Wikimédia, la branche française de la fondation qui édite le bien connu Wikipédia, concerné directement par les articles 11 et 13. On peut citer également le CNLL et Renaissance Numérique parmi les signataires de la lettre ci-dessus.

Un article 13 extrême

Même parmi les ayants-droit, l’article 13 ne faisait pas l’unanimité. Ainsi, en décembre, des ayants-droit du cinéma et du sport se sont désolidarisés de l’article tel qu’il était rédigé, estimant qu’il allait trop loin et ne bénéficierait qu’aux grandes plateformes. C’est également la position des associations.

Un résultat à la hauteur des efforts français

Comme précisé plus haut, il semble qu’après un combat entre la position française et celle d’autres pays, dont l’Allemagne, la directive copyright soit en train de passer avec un article 13 in extenso, minimaliste vis-à-vis de la protection des droits des citoyens et des intermédiaires techniques, la position de la France ayant prévalu. Rien n’étant jamais gratuit dans ces négociations, difficile de dire contre quel abandon réciproque la défense des ayants-droit a été troquée vis-à-vis de l’Allemagne.

Une situation plombée

En France, comme on l’a vu, la situation politique est verrouillée depuis des décennies par les ayants-droit, au détriment de l’intérêt général, et sans espoir ni même volonté d’en sortir.

Par parenthèse, car le domaine de la SVOD (vidéo par abonnement en ligne) est très anecdotique au regard des impacts potentiels des articles 11 et 13, le prochain échec sera celui d’un concurrent potentiel à Netflix, coulé d’avance par une législation et un écosystème hexagonaux hostiles à toute innovation en la matière, et une absence de vision. Ainsi, après avoir plombé molotov.tv par l’accumulation de règles sur les magnétoscopes virtuels, après le quasi échec de Canal Play qui en est réduit à imposer des procédures de désabonnement compliquées pour retenir ses abonnés (on notera que Vivendi n’a pas voulu acquérir Netflix à ses débuts), on nous prépare salto.fr, sur fonds publics, qui croit pouvoir s’imposer par des exclusivités sur les séries de France Télévision (celles-ci seront retirées de Netflix), et qui, inévitablement, rejoindra quelques temps après son ouverture la longue liste de nos échecs de stratégie industrielle et politique.

Et maintenant ?

La première chose à faire, urgente et essentielle, serait de sortir du raisonnement mortifère (et réactif) « ce qui est mauvais pour les GAFAM est bon pour l’intérêt général » qui actuellement motive et oriente l’essentiel de l’action législative française en matière numérique.

D’une part, parce que ce qui semble mauvais pour les GAFAM ne l’est pas forcément réellement pour eux. Ainsi, Google/Youtube dispose déjà de la technologie nécessaire pour appliquer l’article 13, ce qui lui donne une avance considérable sur le reste de l’industrie. Ensuite, on a appris récemment que Facebook, derrière une opposition de façade à l’article 13, poussait discrètement le législateur à l’adopter, parce que Facebook possède également une avance technologique en la matière.

D’autre part, ce qui semble mauvais pour les GAFAM, a, a priori, des chances de l’être également pour des acteurs similaires, les hébergeurs et autres intermédiaires techniques, qu’ils soient à but lucratif ou non, et Wikimédia l’a bien compris. Difficile de se plaindre de la prééminence persistante des GAFAM lorsqu’on a savonné également la planche des services concurrents, à moins que le plan soit de renforcer cette prééminence pour avoir un lieu de contrôle, surveillance et taxation centralisé plus simple à gérer par les états.

Dans un autre registre, on voit déjà dans les tentatives de taxation de Google et Facebook par l’état français que le crayon du législateur peut déborder : il suffit qu’un article de loi soit mal rédigé pour qu’il ait un impact bien au delà de Google ; la loi étant supposée ne pas viser un acteur particulier, ce qui serait discriminatoire, elle doit établir des principes, mais les acteurs similaires (dans le monde publicitaire en particulier) existent et, s’ils sont probablement ravis qu’on taxe Google, ils souhaiteraient éviter qu’on les taxe pour la même activité.

Il suffit de transposer la situation fiscale à celle des articles 11 et 13 pour imaginer les dangers vis-à-vis de la liberté d’expression.

Ensuite, parce que se focaliser sur la lutte contre les GAFAM revient à négliger les citoyens. Ceux-ci auraient du mal à migrer en masse vers d’autres services, même si cela pourrait être souhaitable, à supposer que de tels services existent. Notamment, restreindre par la loi la liberté d’expression sur les GAFAM, même si elle n’y est pas parfaite, revient à restreindre la liberté d’expression tout court.

Enfin, la loi doit poser des principes généraux et fonctionner le moins possible par exceptions. Ainsi, l’article 13 prévoit une liste limitative d’exceptions, qui correspondent à des services déjà existants. Mais l’imagination des développeurs de sites et d’applications est plus fertile que celle du législateur et des lobbies du moment, et les possibilités d’Internet plus larges. Ainsi, si les forges de logiciel ou les encyclopédies en ligne n’existaient pas déjà, avec des acteurs de taille notable pour les défendre, les exceptions correspondantes auraient été tout simplement oubliées.

À côté de quels autres services et usages encore inconnus sommes-nous en train de passer en écrivant la loi contre les acteurs hégémoniques du moment et pour soutenir tel ou tel groupe d’intérêt sur des modèles d’un autre temps qui, tôt ou tard, devront être repensés en fonction des possibilités de la technologie, et non contre celle-ci ?

Et pour revenir à la liberté d’expression : elle est — en partie — incluse dans le paragraphe qui précède, dans ces futurs services, même si elle mériterait un développement. Rappelez-vous du Minitel, un modèle qui a eu son heure de gloire, mais très encadré à tous points de vue, et en particulier pour préserver le modèle de la presse papier. Pensez-vous vraiment que la liberté d’expression y était aussi étendue que sur Internet aujourd’hui ?

Et plus largement, les attaques récentes contre l’anonymat en ligne par le gouvernement, beaucoup de politiques même dans l’opposition, et certains syndicalistes et éditorialistes montrent que la position de la France sur les articles 11 et 13 est loin d’être un accident de parcours.

fr, Geek stuff

la biographie de Louis Pouzin et l’aventure Cyclades

On ne présente plus Louis Pouzin : il a été, notamment, l’un des pionniers français des réseaux informatiques, dès les années 1960 et 1970, avec le réseau Cyclades.

Sa biographie vient d’être publiée aux éditions Economica, dans la “Collection Cyberstratégie”, par Chantal Lebrument et Fabien Soyez, avec une préface du blogueur clermontois Korben.

Cette biographie couvre principalement la carrière professionnelle de Louis, mais évoque également sa jeunesse et ses études.

Le livre nous place ainsi au cœur du combat entre les réseaux informatiques et les réseaux télécoms des années 70-90, finalement remporté par les premiers. C’est de ce passé que provient l’insistance maniaque de certains informaticiens l’ayant vécu à parler de réseau informatique plutôt que de réseau de télécommunications.

Le lecteur est plongé dans les affres de la SIMCA, de la société Bull, du Plan Calcul, de l’IRIA (aujourd’hui INRIA), du CNET, et d’un certain nombre d’entités moins connues. La société Bull, notamment, a longtemps défrayé la chronique en France avec ses tentatives pas toujours couronnées de succès (euphémisme) pour populariser sa gamme de machines face à ses gros concurrents états-uniens.

À travers les citations des anciens de Cyclades, le livre évoque aussi une partie des carrières de ces derniers. Ainsi, deux d’entre eux, Michel Gien et Hubert Zimmermann, ont travaillé chez Chorus Systèmes, bien connue dans les années 1990.

On découvre également de l’intérieur l’ambivalence, encore actuelle, d’un état français se voulant stratège, prêt à financer des projets de pointe, mais esclave d’alternances politiques et de raisonnements administrativo-politiques qui ne favorisent pas les meilleurs résultats à long terme, voire produisent des gâchis purs et simples.

L’époque MIT

Après un début de carrière en France, Louis Pouzin a passé une année au MIT, travaillant sur un système d’exploitation bien connu de l’époque : Multics.

Multics fut un des premiers systèmes à “temps partagé” (timesharing) : plusieurs utilisateurs peuvent utiliser simultanément l’ordinateur, et travailler comme s’ils avaient l’ordinateur à eux seuls. Le temps partagé permet un meilleur partage des ressources informatiques, et un travail plus facile. Cela semble très banal aujourd’hui, mais auparavant, les travaux informatiques étaient réalisés par lot : chacun mettait sa tâche dans une file d’attente (souvent, un bac de cartes perforées). Les travaux étaient traités séparément, un par un. Il fallait donc attendre son tour pour voir son travail traité, puis attendre le résultat de celui-ci, le tout pouvant prendre des heures ou des jours. On n’imagine pas le développement agile dans ces conditions…

Là, Louis invente le shell : l’interpréteur de commandes, un élément encore aujourd’hui central dans tous les systèmes.

Le livre évoque cette période, ainsi que, au retour en France, l’évangélisation à travers l’Europe, pour Bull, des clients de la société au timesharing.

Les prémisses de Cyclades : les communications informatiques des années 1970

Dans les années 1970, chaque constructeur informatique avait sa propre gamme, de l’unité centrale aux périphériques, quasi totalement incompatible avec celle de la concurrence. Même les formats de données texte n’étaient pas unifiés, l’ASCII se battant avec l’EBCDIC.

Pour faire communiquer deux ordinateurs sur une longue distance, on utilisait des modems et une ligne téléphonique classique, avec un ordinateur à chaque extrémité, comme pour deux correspondants humains. Ce fonctionnement était défendable pour une utilisation humaine, mais d’une inefficacité catastrophique pour relier des machines.

Tout était donc à créer : l’architecture des réseaux, mais aussi les protocoles d’échange indépendants des architectures de machines.

Cyclades, Arpanet et RCP

Une série de recherches et d’expérimentations ont donc lieu dès la fin des années 1960, essentiellement dans les pays occidentaux, pour réaliser les premiers réseaux informatiques. Ces programmes de recherche ont donné naissance, notamment, à Arpanet, le prédécesseur états-unien d’Internet, mais aussi, côté français, à Cyclades. Il s’agit, à l’époque, d’interconnecter les rares et gros ordinateurs entre eux, et d’en donner accès à distance aux utilisateurs, pour mutualiser les ressources.

Cette période de Cyclades est la plus passionnante et représente presque la moitié du livre.

Le livre couvre en détail la genèse du projet, au sein du Plan Calcul, la constitution de l’équipe — une belle bande de geeks ne comptant pas leurs heures et leurs voyages d’évangélisation, reliés par la passion –, les échanges internationaux nombreux, notamment avec les états-unis, les conférences, les aléas politiques, la reconnaissance des idées et des réussites propres à Cyclades, mais aussi la concurrence avec RCP, le projet monté par le CNET.

Cette partie s’appuie largement sur les travaux de Valérie Schafer et Pierre Mounier-Kuhn sur les débuts de Cyclades et de l’lnternet, qui nous détaillent le processus d’apparition des concepts, attributions et partages, de publication de papiers en reprise par d’autres équipes.

Les divergences principales entre Cyclades et RCP tournent autour de la notion de “paquet”. Dans Cyclades il est transmis tel quel (on finira par l’appeler “datagramme”) ; dans les réseaux d’inspiration télécom, on préfère l’enrober dans un “circuit virtuel”, imitant le fonctionnement du réseau téléphonique (on retrouve la même divergence de culture aux USA, aux débuts d’Arpanet, avec les ingénieurs d’ATT prenant de haut les informaticiens de BBN sur la façon de construire un réseau).

Ce choix du datagramme contre le circuit virtuel a de larges ramifications : le circuit virtuel complique le réseau, le rend moins résilient aux redémarrages d’équipements. Il complique également les interconnexions entre réseaux.

Le livre décrit les tensions entre les équipes Cyclades et RCP, les interventions de la hiérarchie pour faire taire les vilains petits canards, la tentative de fusion des projets, et la décision politique, à l’élection de Valéry Giscard d’Estaing en 1974, de ne poursuivre qu’un seul projet.

Le succès de RCP, X.25, Transpac et le Minitel

C’est RCP, projet issu de l’administration des télécoms, qui, soutenu politiquement, donnera naissance à Transpac (et, en partie, au standard X.25).

Transpac sera, entre autres, utilisé comme support pour le Minitel, et sa première révolution pour l’utilisateur sera la possibilité de communiquer numériquement à travers son propre pays à un tarif indépendant de la distance.

X.25 sera handicapé par son architecture, et en pratique les échanges internationaux fondés sur celui-ci resteront marginaux, éradiqués par un Internet naissant au fonctionnement et tarification plus simples (l’ATM, lui aussi fondé sur les circuits virtuels, qui devait prendre la relève de X.25, connaîtra le même sort funeste, pour des raisons similaires).

Selon Bernard Nivelet, ancien responsable du centre de calcul de l’IRIA, cité dans le livre, “l’attitude de la DGT nous a fait perdre environ 15 ans de maîtrise industrielle”.

Cyclades et TCP/IP

Aux USA, dès 1972-1973, un certain Vinton Cerf qui travaille à la conception de TCP/IP avec Robert Kahn, a compris l’intérêt du travail réalisé sur Cyclades, et s’en inspire.

D’après le livre, c’est dans TCP version 2 (à l’époque, IP et TCP sont traités séparément) que ces idées seront intégrées. Outre l’idée du datagramme, dont Cyclades a été le premier à montrer la faisabilité en réel, TCP/IP reprendra l’idée de fenêtre glissante (qui permet d’adapter la vitesse de transmission à la capacité du réseau), mais aussi les idées sur l’interconnexion des réseaux (le catenet dans les papiers Cyclades, terme repris tel quel dans l’IEN-48 de Vint Cerf en 1978, qui cite Louis Pouzin dès l’introduction).

À leur tour, ces concepts faciliteront la transition “douce” d’Arpanet de son protocole historique vers TCP/IP version 4, par morceaux, en 1983, avant de continuer sa croissance en agrégeant de nouveaux réseaux, aboutissant à l’Internet que nous connaissons.

“Ce sont les américains qui ont sauvé le datagramme”, expose Louis Pouzin. Mais dans Cigale (le réseau physique de Cyclades), “on avait défini que l’adresse destinataire n’était pas un point fixe, hardware (une adresse IP), mais une adresse virtuelle, dans les ordinateurs des utilisateurs”.

Il faut saluer la transparence du livre, qui permet aux anciens de l’équipe Cyclades de rappeler que beaucoup des idées du projet proviennent d’un travail collectif, et s’émeuvent que les projecteurs aient été beaucoup placés sur Louis Pouzin.

L’après Cyclades

La fin du livre évoque les aventures plus récentes de Louis Pouzin : les rencontres d’Autrans, le SMSI, le FGI, RINA, l’internationalisation de l’Internet, et les alternate roots (les racines DNS ne dépendant pas de l’autorité ICANN, sujet controversé qu’il serait trop long de développer ici). Le livre est écrit là sur un ton plus militant,  pas toujours facile à suivre, citant quelques anecdotes croustillantes de clashs, notamment entre Louis et les représentants de l’ICANN. On y note une coquille répétée surprenante quoique classique, l'”IUT” pour évoquer l’UIT (ITU en anglais). On y apprend aussi que Louis Pouzin est fan du langage Perl !

Pour terminer sur une note plus personnelle, j’ai eu l’occasion de croiser Louis Pouzin à différentes occasions, la première fois lorsque je travaillais au centre de calcul de l’ENST (école nationale supérieure des télécommunications, maintenant Télécom ParisTech), rue Barrault à Paris. On peut aussi croiser Louis, qui s’intéresse à tout ce qui peut concerner un geek, lors de sessions du FGI comme lors de conférences sur Bitcoin, et il manifeste toujours avec le sourire la même gouaille et la même ardeur à refaire le monde 🙂

Le centre de calcul de l’ENST a été relié à Cyclades, comme l’évoque le livre, par l’un des anciens de l’équipe. À l’époque où j’y ai travaillé, les traces de Cyclades avaient disparu depuis longtemps. Il y aurait également eu une époque où l’école avait été reliée “de force” à RCP pendant sa phase expérimentale. Seul subsistait, au début des années 2000, un lien X.25 utilisé pour le serveur Minitel des résultats du concours Mines-Ponts.

Depuis, le centre de calcul lui même a été déplacé et les locaux totalement reconstruits, lors du désamiantage du bâtiment dans les années 2000.

La première fois que j’ai eu accès à un papier sur Cyclades, Presentation and major design aspects of the CYCLADES computer network, j’ai été frappé par la similarité entre la structure de Cyclades et celle de l’Internet :

CYCLADES uses a packet-switching sub-network, which is a transparent message carrier, completely independent of host-host conventions. While in many ways similar to ARPANET, it presents some distinctive differences in address and message handling, intended to facilitate interconnection with other networks. In particular, addresses can have variable formats, and messages are not delivered in sequence, so that they can flow out of the network through several gates toward an outside target.

Traduction : CYCLADES utilise un sous-réseau à commutation de paquets, qui est un transport transparent de messages, complètement indépendant des conventions hôte-hôte. Bien qu’à de nombreux égards similaire à ARPANET, il présente des différences notables dans la gestion des adresses et des messages, destinées à faciliter l’interconnexion avec d’autres réseaux. En particulier, les adresses peuvent avoir des formats variés, et les messages ne sont pas délivrés en séquence, afin de pouvoir sortir du réseau à travers plusieurs portes vers une cible extérieure)

Ce papier sur Cyclades n’est malheureusement pas disponible librement (on retrouve les problèmes actuels liés à la diffusion des papiers de recherche, un système passant par les fourches caudines des éditeurs de recherche, rendu caduc par Internet). Il date de janvier 1973, pour des concepts qui n’ont été réellement déployés qu’à partir de 1982-1983 dans l’Internet.

Louis Pouzin explique même dans le livre que TCP/IP ne va pas jusqu’au bout des idées de Cyclades sur l’adressage, qui étaient (de ce que j’en ai compris) destinées à permettre l’interconnexion de réseaux hétérogènes.

C’est là que s’arrêtent la plupart des travaux récents que j’ai pu lire sur ces sujets : on aimerait des détails plus techniques sur les fondamentaux de Cyclades, et notamment son format de paquet et ses protocoles élémentaires, que je n’ai réussi à retrouver nulle part à ce jour.

Un livre relatant l’histoire du côté RCP apporterait peut-être, également, un éclairage intéressant sur cette période.

En conclusion, je recommande vivement la lecture de ce livre à ceux qui veulent en savoir plus sur Louis Pouzin, mais aussi lire de belles histoires de geeks passionnés sur le réseau Cyclades, les avatars du Plan Calcul, le tout dans un contexte où l’informatique naissante était très différente de l’environnement que nous connaissons aujourd’hui, mais qui a littéralement construit les réseaux que nous utilisons maintenant quotidiennement.

Complément

On lira également avec intérêt la fiche de lecture de Laurent Bloch sur son blog, qui entre dans des explications détaillées sur le datagramme, la fenêtre glissante, ainsi que le modèle OSI, une autre contribution essentielle, dont je n’ai pas parlé ici.

Deux articles de Fabien Soyez sur Louis Pouzin, “à la base du livre” pour le citer : Louis Pouzin n’a pas inventé Internet, mais sans lui, il n’y aurait pas d’Internet partie 1 et partie 2.

Commentaire intéressant de Chantal Lebrument (co auteure), sur twitter :

Avoir trouvé un éditeur qui accepte ce livre a pris 2ans, tous ont refusé… donc bien contente qu’une maison d’édition de qualité ait décidé de porter ce projet.

 

On peut trouver le livre en ligne notamment chez :

 

copyrightdirective, en, Geek stuff, neutralité

Article 13 of the Copyright Directive considered harmful

[this is a translation+partial update of my original post in French here]

The “directive on copyright in the Digital Single Market“,  in short “Copyright Directive”, having passed the JURI commission vote with amendments on 20 June  2018, will soon be voted in a plenary session of the European parliament, 5 July 2018.

I wrote the following text before calling some Members of the European Parliament (MEPs), thus participating in the campaign started by saveyourinternet.eu.

I would like to invite you to do the same, not before you have read some of the references quoted at the end of this page, and consulted https://juliareda.eu/2018/06/article-11-13-vote/

Two articles are especially dangerous.

  • Article 11, about referencing and quoting press articles; we will not develop this issue any further here.
  • Article 13, about so-called “upload filters” on all content sharing sites (ie all sites who have a function of sharing content, including comments/videos/photographs/audio on social networks).

The stated goal of article 13 is to protect rightholders of the entertainment industry against the hegemony of the big web sharing platforms, most notably Youtube, which alledgedly results in revenue “evasion” when rightholder’s contents are illegally uploaded and consulted on these platforms.

The proposed solution is to create a legal obligation to deploy system blacklisting protected contents, on all content sharing sites, for all types of content, even those that don’t need protection (for example, computer software source code).

We are going to examine how such systems work, why they are costly to implement, with significant collateral damage, and why the targeted platform already implement measures to satisfy the stated goal.

Content blacklist systems

They can be roughly classified in three categories :

“Exact match” detection

They are relatively cheap in terms of resources. They work on raw digital data. They don’t need to be aware of formats or media type, not even of the detailed original content to protect, thanks to the use of so-called “hashing” or “digest” algorithms.

These features make these systems very easy to implement and operate, and very cheap. The algorithms are free and open source software, or public domain (for the underlying mechanism), and they are easily adapted to any platform.

On the other hand, these systems are very easy to bypass, through minor changes in the protected file. In consequence, they constitute a very poor protection for rightholders.

Detection “by similarity”

These systems are much more sophisticated. They have a knowledge of media formats, and are able to extract characteristic elements, similar to a fingerprint of the protected content.

This process enables a much wider detection of the content, even heavily modified, for example a barely audible background sound in a family video ou amateur show.

The most famous system in this category is Content-Id, implemented by Youtube, described here by Google. A lot of comments on Article 13 refer to Content-Id as a model. Article 13 itself seems to have been written with Content-Id in mind.

Systems “by similarity” are very expensive to develop and implement. According the the Google video quoted above, Content-Id required an investment of over $100 million.

There are also no free and open source implementation of such systems, which makes it even more difficult to deploy: you need to develop a custom, in-house system, or acquire a license for an existing commercial system, if you find one.  The companies in a position to provide such specific services are rare.

Furthermore, the detection performance (false positive and false negative rates) of these systems is difficult to estimate. First, for the above mentioned reasons (proprietary systems with limited access), second, because the underlying technical processes are based on heuristics which stops them from being fully reliable.

Finally, these system present an important drawback: as explained by Google in the Content-Id presentation video, rightholders must provide the original content, or protected excerpts from the content, which is difficult to achieve on a wide scale (many works and many actors on both roles, rightholders and content sharing platforms).

“watermarking” systems

These systems are mentioned in the annex of the directive. They are only presented here for the sake of completeness. Their costs are comparable to those of similarity detection systems, but they are of limited scope, probably not reasonably usable in the context of Article 13.

Blacklist management

Black list management, independently from the above technical criteria, constitutes an issue in itself.

Article 13 does not really provide satisfactory solutions to the following issues:

  • false positive (over-blocking): blocking legitimate content.
    • erroneous blacklisting by an alleged rightholder
    • erroneous blocking of content protected by an exception (parody, memes, etc), but in which the blacklisting systems have identified protected content.
    • erroneous insertions in the blacklist for other reasons. This happened repeatedly, for example, in the French police DNS blocking systems, including by misconfigured test systems. See [FR] Google.fr bloqué pour apologie du terrorisme suite à une « erreur humaine » d’Orange.
  • false negative (under-blocking): not blocking illegitimate rightholder content. Content protection is difficult to implement, even on the rightholder side: many works have not even been digitalized by their legitimate rightholders.
  • adding new content to the blacklist may require manual, hence heavy, checks, to reduce false positives, but does not guarantee their elimination.
  • unwieldy and unreliable complaint mechanisms: all over-blocking and under-blocking issues have to be handled via human, or even judicial, intervention. But there are daily reports of abusive content removal here or there. For example, under the United States DCMA (Digital Millennium Copyright Act), some rightholders have been known to request content removal on works they didn’t own, by mere title similarity, or by claiming DMCA procedures to force removal of price lists in price comparators.
  • individuals and small companies are defenceless against abusive blocking of their content, if the site-internal reporting mechanism fails to address the issue in time. In most cases, action in court or even using an alternative dispute resolution system (13a) will be too expensive and too slow, resulting in a posteriori self-censorship.

Article 13 in its final redaction does not satisfactorily address these concerns, the last point above being the most worrisome.

The Content-Id system

Although Content-Id is owned by Google and Youtube-specific, it deserves a more thorough examination, as it seems to have been an implicit model for Article 13.

Content-Id is a “detection by similarity”. To use it, rightholders have to provide Youtube with the videos they wish to protect, or samples of these.

When a protected content is identified in a posted video, 3 options are available:

  • block the video
  • monetize the video (advertisement)
  • obtain traffic data, for example to know in which countries the video is popular.

According to Google, Content-Id has already enabled payment of several billions of dollars to rightholders, and the system includes hundreds of millions of videos.

Impact assessment of the directive

The summary of the impact assessment, as annexed to the project, is very incomplete: as compared to the full impact assessment study, it mentions only in part the impact for rightholders, limiting itself to a legal discussion in the digital single market. It doesn’t mention either the efficiency and technical feasibility of Article 13, or its consequences on Internet sites and the Internet ecosystem. It is advised to refer to the full impact assessment study.

1. Disappearance or marginalization of  contributive sites

Contributive sites based on free (Creative Commons, etc) content will not have the resources to exploit, not to mention develop or even rent/subscribe to systems similar to Content-Id.

The impact assessment study provides a real example of the subscribing costs to such a service: €900/month for a small site (5000 transactions/month, ie about €0.18/transaction; a transaction being a single check, needing to be executed for every post by a user).

The study only considers commercial sites where sharing is the main purpose. This fails to recognize the impact on high volume contributive sites, social networks, amateur or family photo sharing sites, classified advertisement, etc, for which there is no significant revenue stream as compared to the cost of monitoring posted content.

Most notably, social networks are targeted, as Article 2/4b of the directive excludes only 3 very specific types of sites from the requirements of Article 13.

  • services acting in a non-commercial purpose capacity such as online encyclopaedia
  • providers of cloud services for individual use which do not provided direct access to the public
  • open source software developing platforms
  • online market places whose main activity is the online retail of physical goods

As a consequence, this first impact on freedom of speech seems underevaluated.

2. All content types are targeted

Most content protection systems currently operated focus on contents from the entertainment industry:

  • videos and movies
  • music

On the other hand, Internet sharing applies to many other types of contents, for example photographs.

Again, the burden on Internet sites will be significant, with the same risks for abusive blocking, which also amplifies the consequences on the other listed issues.

3. Issues with respect to Freedom of Speech

As explained above and confirmed by many non-profit organizations, similarity detection systems are unable to differentiate illegal use from legal use such as a quote, a meme, a parody, etc.

It also happens frequently that works that are initially free of use are erroneously blacklisted, for example after being presented or quoted in protected TV shows or TV news.

In any case, content detection systems already result, when they are implemented, in abusive censorship. To force their generalization through the Directive can only be severely harmful to Freedom of Speech, especially on social networks, making it more difficult to exercise the above mentioned legal exceptions.

Finally, as explained, widening content detection systems to all types of contents can only make this risk more acute.

4. The proposed legal dispositions are inefficient to protect rightholders

As explained, similarity systems like Content-Id are not usable at global scale because of their cost, and exact match systems are easy to bypass.

Furthermore, similarity systems are already deployed on major sites, as explained by the impact assessment study:

In all, as content recognition technologies are already applied by the major user uploaded content services, it is likely that this option would not lead to significant increases in unjustified cases of prevented uploads compared to the current situation

In other words, Article 13 is not needed since the goals it seeks to achieve are already implemented where it matters.

5. The proposed dispositions may be harmful to cultural diversity

The impact assessment studies estimates that Article 13 will promote cultural diversity, which is assumed to be a natural byproduct of rightholder protection.

But Article 13 hampers the ability of contributive and/or non-profit sites, which without a doubt are also part of cultural diversity. Most of their contents are free of rights, hence with naturally maximized visibility and dissemination.

This is evidenced by Wikipedia’s statistics: 5th site in the world, according to the Alexa study. Furthermore, according to Wikimédia France: “platforms will prefer precaution by blocking more content than necessary, which will hamper their diversity, by preventing participation from people less accustomed to new technologies” (translated from « les plateformes opteront pour un principe de précaution en bloquant plus de contenu que nécessaire ce qui réduira la diversité de ces plateformes en empêchant les personnes peu aguerries aux nouvelles technologies d’y participer » here)

In summary, Article 13:

  • would not improve the rightholder’s situation with respect to the big platforms, since these already have deployed content detection and revenue sharing systems;
  • would not improve, either, the rightholder’s situation with respect to non-profit or low traffic platforms, which don’t have the ability to operate complex detection systems, don’t violate protected works other than accidentally thus in a limited way, and are already in position to remove illegal content.
  • represents, on the other hand, the following risks:
    • arbitrary censorship
    • reinforcement of the hegemony of big platforms by introducing significant barriers to entry
    • disappearance or marginalization of non-profit platforms, or fallback of these platforms on static content, removing the content sharing angle which is a key characteristic of the Internet;
  • represents, as well, serious risks regarding Freedom of Speech and Cultural Diversity.

For the above reasons, and as expressed by numerous organizations and renowned experts, it seems likely that Article 13, if kept in the directive, will do more harm than good on the European Internet.

A few references

The Open Letter on EP Plenary Vote, of which (as eriomem.net CEO) I am a signatory:

http://copybuzz.com/wp-content/uploads/2018/07/Copyright-Open-Letter-on-EP-Plenary-Vote-on-Negotiation-Mandate.pdf

2 articles (amongst many others) on Julia Reda’s blog :

Open letter by 70 Internet experts https://www.eff.org/files/2018/06/12/article13letter.pdf

Positions of the EFF (Electronic Frontiers Foundation) https://www.eff.org/deeplinks/2018/06/internet-luminaries-ring-alarm-eu-copyright-filtering-proposal

https://www.eff.org/deeplinks/2018/06/eus-copyright-proposal-extremely-bad-news-everyone-even-especially-wikipedia

Other sites campaigning against Article 13:

https://www.liberties.eu/en/news/delete-article-thirteen-open-letter/13194

https://saveyourinternet.eu/

Statement by the Wikimédia Foundation:

https://blog.wikimedia.org/2018/06/14/dont-force-platforms-to-replace-communities-with-algorithms/

divers, fr, Geek stuff, vie privée

500 000 doublons sur les listes électorales françaises ; pas grave

10 Comments

[Ce billet étant en grande partie déductif (voire spéculatif), veuillez lire un conditionnel implicite dans tout ce que j’affirme ci-dessous ;  je suis ouvert à toute correction technique sur des erreurs que j’aurais pu éventuellement commettre sur le processus électoral]

Vous n’en avez peut-être pas entendu parler, comme moi, qui l’ai découvert par hasard hier. Je vous invite à commencer par lire cet article du Monde datant du 13 avril 2017. L’article est rempli de petits détails qui comptent :

Vote en 2017 : quelque 500 000 électeurs sont inscrits deux fois sur les listes électorales

500 000 électeurs français environ sont inscrits sur 2 listes électorales, en général suite à déménagement : une fois à leur nouvelle adresse, et une fois à leur ancienne adresse.

Lors d’un déménagement, l’électeur s’inscrit à la mairie, et c’est l’administration, plutôt que l’électeur, qui s’occupe des formalités de radiation à l’ancienne adresse. L’article explique le processus : la nouvelle mairie remonte l’information d’inscription à l’INSEE, qui se charge de transmettre une demande de radiation à l’ancienne mairie.

Or, le processus semble ne pas fonctionner correctement : les radiations ne sont pas toutes actées, pour des raisons obscures. Les mairies accusent l’INSEE, qui assure que de son côté tout est exécuté dans les règles. Le tout circule par… la poste.

Il existe donc à ce jour 500 000 radiations qui n’ont pas été effectuées et qui correspondent à autant de doublons dans les listes.

Et c’est là que la situation, déjà préoccupante en elle-même, devient de plus en plus ubuesque.

Le ministère de l’intérieur, chargé de l’organisation du scrutin et d’assurer sa “sincérité”,  semble tout simplement n’avoir aucune intention de changer quoi que ce soit avant le premier tour du 23 avril (je n’ai trouvé aucun communiqué officiel sur la question).

Si on creuse un peu (il suffit en fait de lire attentivement l’article qui précède), on s’aperçoit que le problème ne date pas de 2017. En 2012 déjà, 400 000 électeurs étaient inscrits en double.

Si on suppose que le volume d’erreur est resté relativement fixe et qu’on extrapole la période 2012-2017 au passé, on peut calculer qu’à raison d’environ 100 000 doublons supplémentaires par période de 5 ans, le problème date d’environ 25 ans, donc remonte à 1992 approximativement, et est connu de l’administration depuis au moins 5 ans — version optimiste ; au pire, 25 ans — plutôt que 2 semaines, et persiste néanmoins aujourd’hui.

Que faudrait-il faire pour y mettre fin ? C’est difficile à dire, car les détails qui filtrent sont rares ; et on nous assure que le problème est très complexe. Apparemment l’INSEE dispose d’une liste nationale (puisque c’est lui qui sait à qui communiquer les radiations), et les mairies disposent évidemment chacune des listes électorales locales, bureau par bureau (puisqu’elles réalisent les inscriptions et radiations).

Il serait possible (mais cela serait étonnant) que l’INSEE ne garde tout simplement pas trace des notifications de radiations proprement dites. Il est néanmoins très probable que l’INSEE conserve un historique des versions successives (au moins sur les années récentes ; peut-être pas sur les années plus anciennes, s’il existe des lois interdisant la conservation longue de ces données de nature très personnelle) du fichier national, dont il est facile de déduire la liste des radiations.

Quelques petites informations supplémentaires sur la procédure sont données dans les interviews de cette vidéo de LCI :

Présidentielle 2017 : 500 000 électeurs inscrits en double, le ministre de l’Intérieur sommé de “faire son boulot” pour éviter des fraudes

Le responsable électoral de la mairie de Paris 17e décrit rapidement ce que j’ai exposé plus haut.

On y entend également un avocat spécialisé en droit électoral nous expliquer que 500 000 doublons correspondent à environ 1% du corps électoral, soit 1% indûment compté en abstention ; ce qui selon lui ne serait pas très grave. Pour un premier tour de présidentielle, c’est relativement exact (hors tentatives d’exégèse du taux d’abstention) ; pour les législatives, où les candidats de second tour doivent obtenir au moins 12,5% des inscrits, cela peut changer significativement les choses.

La raison citée par la place Beauvau pour minimiser la gravité de la situation, et excuser l’absence de mesure avant le 23 avril, est que, de toute façon, la loi punit sévèrement le fait de voter en double : de 6 à 24 mois d’emprisonnement et jusqu’à 15 000 euros d’amende.

Or, retrouver les contrevenants semble quasiment impossible dans le cas général : en effet, pour cela il faudrait, d’abord, effectuer le dédoublonnage — opération dont on nous dit qu’elle est difficile, ce que semble confirmer le fait qu’elle n’ait pas été réalisée depuis 5 ans –, et, en plus, croiser le résultat avec les listes d’émargement bureau par bureau. Les listes d’émargement étant tenues de manière manuelle, puisque c’est la signature du votant qui y atteste de son vote, leur vérification a posteriori ne peut être également que manuelle.

Le plus triste à mon sens est que cette situation touchant un des éléments les plus essentiels de notre démocratie perdure depuis au moins 5 ans et soit minimisée voire ignorée par l’administration dans la plus parfaite opacité.

PS : pendant que ces trous béants persistent, les pouvoirs publics communiquent avec conviction sur les efforts déployés pour sécuriser nos élections contre les attaques informatiques provenant de puissances étrangères hostiles.

Ajout du 23 avril 2017 : on me fait remarquer dans les commentaires que la poste est supposée ne pas réexpédier les cartes d’électeur, et on me dit sur twitter que cela figure même sur l’enveloppe, ce que je n’avais pas remarqué. En effet.

fr, Geek stuff, vie privée, Weberies 2.0

Sécurité des serveurs web avec TLS, petite toilette d’automne 2016

4 Comments

Résumé pour gens très pressés : ce n’est pas si difficile que cela en a l’air.

Résumé pour gens pressés : même sans être un gourou de la cryptographie, il est possible de sécuriser son site au niveau approximatif de l’état de l’art (du moment — ce n’est jamais une tâche définitive) en s’appuyant sur des sites de recommandations réalisés par des spécialistes.

Après avoir passé quelques heures à peaufiner ma configuration, je pense utile de partager ce que j’ai appris pour dispenser autour de moi un peu de bonheur artificiel par l’entremise de la sécurité cryptographique.

L. Hirlimann (@lhirlimann) m’a récemment orienté sur un excellent site de la fondation Mozilla, observatory.mozilla.org,  qui permet de vérifier la configuration sécurité basique de votre site web, à commencer par l’aujourd’hui indispensable TLS, et mutualise également (par défaut, mais c’est débrayable) les résultats des non moins excellents :

1. TLS, les algorithmes cryptographiques

Au-delà de ses origines mathématiques, la cryptographie est une affaire de paranoïaques qui n’ont pas tous exactement le même avis sur ce qui est casher ou pas à un instant donné.  Les audits rapides réalisés par les sites qui précèdent vous en convaincront rapidement.

Ainsi, après quelques premières modifications rapides sur ma configuration TLS, SSL Labs attribuait un A+ à ce site, alors que tls.imirhil.fr l’affublait d’un catastrophique F sous prétexte que l’algorithme DES n’était pas désactivé.

Bien entendu, cela évolue aussi au fil du temps, qui fait qu’un algorithme donné va passer en quelques petites décennies à peine du statut de “sûr” à celui de “passoire”, que ce soit par l’évolution des performances brutes ou par celles de la recherche en attaques cryptographiques.

Par ailleurs, vous aurez éventuellement également le plaisir de vous faire rappeler à l’ordre par ces analyses si votre implémentation TLS comporte des trous de sécurité connus. J’ai découvert qu’il est assez facile de se faire avoir, même avec un système d’exploitation que l’on pensait à jour.

Les “suites” cryptographiques recommandées varient au fil des sites spécialistes que l’on consulte.

Voici, pour ne pas vous faire languir, celle que j’ai concoctée pour satisfaire les sites cités (!) ci-dessus, et qui est certainement sujette à commentaires et critiques (attention, c’est supposé tenir sur une ligne sans retour) :

EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA
-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-S
HA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:
ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-
SHA:DHE-RSA-AES128-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-
SHA256:AES256-SHA:AES128-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!PSK:!RC4

N’allez surtout pas croire que j’ai construit ni même analysé en détail ce qui précède : la liste provient à l’origine de https://www.digicert.com/ssl-support/ssl-enabling-perfect-forward-secrecy.htm dont l’objet est d’expliquer la configuration d’un serveur web pour éviter qu’un vol de clé privée permette le déchiffrement a posteriori des communications, une mesure à prendre suite aux révélations de l’affaire Snowden sur les capacités de la NSA, et suite également à l’affaire Lavabit.

J’ai simplement amendé la liste pour y ajouter !DES:!3DES: pour évacuer ce vieil algorithme des choix et passer chez tls.imirhil.fr d’un catastrophique F à un passable B.

Si comme moi vous utilisez Apache, cette liste est à placer dans la directive SSLCipherSuite.

Problème : l’incantation qui précède est difficile à comprendre, et donc à modifier, si on n’a pas lu la documentation. En particulier il ne suffit pas d’ajouter !DES pour se débarrasser également de 3DES. Ce n’est pas facile à découvrir rapidement en passant par les sites ci-dessus, qui pour éviter d’être surchargés ne permettent pas des accès trop fréquents (limite à 5 minutes au mieux).

J’ai donc découvert également l’excellente (tout le monde est excellent ici, vous l’aurez compris) commande :

openssl ciphers "la chaîne"

et son avatar plus bavard :

openssl ciphers -v "la chaîne"

qui permettent de tester la chaîne immédiatement en local pour voir ce qu’elle produit sans avoir à attendre la réponse d’un serveur situé à l’autre bout de la planète.

2. Sécurité “web” :  contenu et entêtes

Ce qui précède ne concerne que la partie TLS, c’est-à-dire la couche de chiffrement.

C’est ensuite que observatory.mozilla.org prend tout son sens, en complétant l’expertise cryptographique avec l’expertise web des auteurs de Firefox par le tableau suivant (exemple pour ce site au jour de la publication de ce billet) :mozJe ne vais pas entrer dans les détails ; chaque point correspond à des catégories particulières d’attaques plus ou moins pertinentes pour chaque site, et comme vous pouvez le voir je n’ai pas encore débloqué tous les trophées. On y trouve des recommandations sur :

  • HSTS (Host Strict Transport Security), permettant au site de s’engager vis-à-vis du navigateur sur la disponibilité de https.
  • Subresource Integrity, pour valider les contenus inclus (en particulier scripts) stockés sur des serveurs tiers ;
  • X-Content-Type-Options, pour interdire au navigateur d’interpréter n’importe quoi (par exemple une supposée image téléchargée par un attaquant) comme un script ;
  • X-Frame-Options, pour bloquer des attaques par détournement de clics (clickjacking) ;
  • les redirections diverses afin d’amener l’utilisateur à un site https même dans le cas où il ne s’y est pas dirigé lui-même initialement ;
  • etc

observatory.mozilla.org vous donne par les liens bleus (dont j’ai recopié certains ci-dessus) toutes les explications détaillées sur les possibilités et le sens de chaque option de configuration.

Sous Apache, cela se configure comme ci-dessous, à condition d’avoir chargé le module mod_headers.

Attention : les options pour mon site ne sont certainement pas exactement celles dont vous aurez besoin ; en particulier vous pouvez facilement vous tirer une petite balle dans le pied et vous retrouver avec Javascript désactivé sur certaines fonctions essentielles. Ce fut mon cas, ce qui m’a fait perdre temporairement l’éditeur Wysiwyg de WordPress, et le problème est encore potentiellement présent dans l’exemple qui suit.

Attention également aux sauts de ligne si vous recopiez.

  # HSTS 366 days
Header set Strict-Transport-Security "max-age=31622400"
# Prevent browsers from incorrectly detecting non-scripts as scripts
Header set X-Content-Type-Options: nosniff
# Block site from being framed
Header set X-Frame-Options "DENY"
# Do the same thing, but with Content Security Policy
# +Disable unsafe inline/eval, only allow loading of resources
# (images, fonts, scripts, etc.) over https (recommended)
Header set Content-Security-Policy "default-src https:; frame-ancestors 'none'"
# Block pages from loading when they detect reflected XSS attacks
Header set X-XSS-Protection "1; mode=block"

Ces recommandations permettent d’élucider le comportement souvent mystérieux des navigateurs en ce qui concerne le contenu sécurisé, dans le but de comprendre comment passer du cadenas https “avec avertissement” c0 au cadenas “vert”c1.

Je n’ai pas encore tout à fait réussi en ce qui concerne la page https://signal.eu.org/osm/, malgré la mise en œuvre de Subresource Integrity.

3. Les cookies

Pour les cookies, c’est encore différent, cela dépend de l’environnement (framework) web que vous utilisez. Concernant WordPress je n’ai pas encore trouvé si/où cela se gérait, pour Django voici ce que j’ai configuré dans le fichiers settings.py :

LANGUAGE_COOKIE_AGE=1209600
CSRF_COOKIE_HTTPONLY=True
CSRF_COOKIE_SECURE=True
SESSION_COOKIE_AGE=1209600
SESSION_COOKIE_HTTPONLY=True
SESSION_COOKIE_SECURE=True

4. One more thing

Enfin, vous pouvez aussi pour tout cela vous faire assister par un autre site proposé par la fondation Mozilla, le générateur de configuration pour serveur web, qui vous conseillera sur la configuration de l’agrafage (stapling) OCSP et certains des points qui précèdent :

https://mozilla.github.io/server-side-tls/ssl-config-generator/

 

 

Nul doute qu’il y a des précisions ou corrections à apporter à ce qui précède, si vous le jugez utile n’hésitez pas ci-dessous.

Mise à jour : @_eric_quinton me signale gentiment sur twitter ce document de l’ANSSI :  Le nouveau (juillet 2016) C’est très complet mais très technique, et cela mixe recommandations à destination des administrateurs de site comme à destination des développeurs de suites crypto, ce qui complique la lecture.

divers, fr, Geek stuff, neutralité

Censure sans juge d’Internet et délit d’opinion

2 Comments

Vous avez peut-être (mais sans doute pas) entendu parler des lois LOPPSI et Terrorisme (cette dernière votée fin 2014) et de leur décret d’application (sorti en début d’année 2015).

Ces lois permettent à la police, sans intervention d’un juge et sans aucune transparence, de bloquer, avec l’aide de certains fournisseurs d’accès (pour l’instant, seuls les 4 plus gros en France, à savoir Orange, Free, SFR et Bouygues) un site Internet faisant l’apologie du terrorisme.

Pour ne pas accabler le gouvernement, il faut savoir que le PS a combattu le blocage sans juge avec succès lorsqu’il était dans l’opposition, pendant le mandat Sarkozy, avant de le voter quasi unanimement en 2014, avec l’aide du PCF (qui voulait en fait voter contre mais ne s’en est aperçu qu’après).

Le blocage, techniquement parlant, est un blocage DNS, mais cela n’a guère d’importance ici.

Le premier site dont quelqu’un (un journaliste spécialiste du djihadisme, David Thomson) constate publiquement le blocage — puisque tout cela côté administration se fait dans l’opacité la plus totale — est islamic-news.info. C’est un site dont, personnellement, je n’avais jamais entendu parler jusqu’à ce jour. Si vous cliquez sur ce lien, vous allez vous retrouver :

  • ou bien sur une page d’avertissement du ministère de l’Intérieur, si votre FAI est l’un des quatre susnommés et que vous utilisez leurs serveurs DNS ;
  • ou sinon sur rien du tout, le site en question (chez un hébergeur français) ayant été manifestement coupé (on ne sait pas par qui).

Théoriquement, le principe de subsidiarité veut que l’hébergeur ait 24 heures pour couper le site incriminé ; le blocage DNS n’étant supposé être activé qu’à l’issue de ce délai et en l’absence de coupure par l’hébergeur ou l’éditeur. En fait, le blocage DNS n’était théoriquement destiné qu’à censurer sur le territoire français, les sites étrangers, non soumis à la LCEN. On voit donc que le ministère de l’Intérieur a interprété au sens large la loi qui a été votée en l’appliquant à un site hébergé en France.

Les deux blocages ayant été mis en place, rien ne dit que ce délai a été respecté (mais rien ne dit non plus le contraire), en raison de l’opacité des procédures. [mise à jour 16/3/2015] En fait, l’hébergeur affirme ne pas avoir été notifié au préalable. “Pq personne ne nous a notifié LCEN pour fermer le site ? J’apprends ce matin qu’il a été bloqué par le M Intérieur !?”.

Voici la page d’accueil de la police (qui ne fonctionne que si on arrive par un lien “principal” du site bloqué, et pas par un lien interne).

police

Cela dit il est facile de voir la page d’accueil du site (hors images) car celle-ci est encore visible dans le cache Google :

cacheislamicinfo

 

Il s’agit d’un site d’actualités islamiques apparemment assez “engagé”, comme d’autres sites non moins engagés mais sur d’autres sujets, également situés en France.

Le site fait-il vraiment l’apologie du terrorisme ? Difficile à dire, on entre là dans le jugement de valeur.

Et c’est bien tout le problème.

La police a “jugé” (guillemets) que oui, ce site fait l’apologie du terrorisme. Nous sommes obligés de lui faire confiance, n’ayant ni accès à l’intégralité du site, ni la possibilité de trouver quel est le contenu incriminé précisément (cela ne me saute pas aux yeux sur la page d’accueil).

La décision de la police n’a pas à être motivée, tout juste est-elle susceptible de recours gracieux, hiérarchique puis contentieux — les nouvelles règles sur l’acceptation implicite de l’administration en l’absence de réponse de sa part dans le délai imparti ne s’appliquent pas ici, ce serait trop beau :

En l’absence de réponse de l’administration dans un délai de deux mois à compter de la date de réception de votre recours, celui-ci doit être considéré comme implicitement rejeté.

Ensuite un recours est possible auprès du tribunal administratif de Cergy-Pontoise, ce qui est rendu d’autant plus difficile que la décision à contester n’est ni publique ni motivée.

La loi suscitée permet également à la police française d’exiger le déréférencement par Google et les autres moteurs de recherche, sans aucun recours prévu en revanche de ce côté.

Nous nous retrouvons donc dans un régime où la police, sans contre pouvoir réel car avec des voies de recours extrêmement difficiles et aléatoires, peut décider de ce que nous avons le droit de voir ou pas.

Vous pensez peut-être que, pour lutter contre le terrorisme, cela est parfaitement anodin et normal, et que les services administratifs de la police n’ont de compte à rendre à personne en termes de transparence.

[Mise à jour du 17/3/2015 “Beauvau n’avait pas prévu de communiquer initialement” sur ce sujet, nous apprend un article du Monde, mais dans ce même article nous apprenons que ces sites ont été ciblés parce qu’ils “ne constituaient pas des médias stratégiques pour les services de renseignement français, qui en ont besoin pour surveiller des candidats au djihad“. Autrement dit, les sites bloqués ne sont que des sites de seconde zone pour amuser la galerie, sans souci d’efficacité autre que médiatique. ]

Sachez alors que Christiane Taubira, ministre de la justice, propose l’extension de ce blocage sans juge aux contenus antisémites et racistes — sur simple estimation opaque et non motivée de la police, là encore.

Sachez enfin qu’un député PS, Guy Delcourt, du Pas de Calais, a demandé très récemment l’extension de ce blocage aux injures envers les élus (uniquement envers les élus), sous couvert de protection de la démocratie. C’est ici, trouvé par l’œil affûté de Nextinpact :

http://questions.assemblee-nationale.fr/q14/14-75404QE.htm

 

Dans l’indifférence, pour ne pas dire l’approbation, quasi-générale,  l’état de droit continue donc de s’effriter peu à peu avec la mise en place par nos gouvernements et parlementaires de procédures d’exception, sous prétexte de protection de… l’état de droit.

[mise à jour du 18/3/2015] à lire absolument car elle donne un tout autre point de vue, la réponse de l’auteur du site islamic-news.info chez Numérama.

[mise à jour du 16/3/2015] Incidemment, on remarquera que la page Facebook de Islamic-News existe toujours : seul un blocage complet de Facebook en France serait possible, ce à quoi la police n’a pas osé procéder. Le blocage DNS va donc pousser les groupes fondamentalistes à recentrer leurs contenus sur les sites comme Facebook et Youtube, qui pratique une censure qui leur est propre.

Compléments :

[mise à jour du 16/3/2015] Il y a (au moins) 2 autres messages à d’autres adresses IP, dénichés par Stéphane Bortzmeyer.

90.85.16.50 prévue pour le “contenu illicite” en général, sans précision.

mi-illicite

90.85.16.51 pour la “pornographie enfantine”

mi-porno

[mise à jour 16/3/2015 18h20] apparemment le ministère d’Intérieur n’apprécie pas que l’on aille consulter sa page d’interdiction sans vouloir aller sur un site interdit.

miforbid

J’ai donc créé les adresses interieur0.eu.org  interieur1.eu.org interieur2.eu.org

[mise à jour du 17/3/2015 9h38] Un article d’Amaëlle Guitton indique les autres sites bloqués, qui eux sont encore accessibles si on n’utilise pas un DNS menteur : .

fr, Geek stuff, thd

FTTH à Paris, après 6 ans, victoire !

1 Comment

Cette fois ça y est !

Ce vendredi (21 mars), soit, à quelques jours près, 6 ans après les premières démarches de la copropriété auprès d’un autre opérateur (timeline précise à venir), monsieur SFR est venu enfin installer la connexion fibre, après un rendez-vous pris le 12 mars via le site sfr.fr, et des confirmations le 20 au soir par téléphone que tout est prêt :

  • l’accès au local technique de l’immeuble (point de mutualisation), nécessaire pour relier la fibre de mon appartement à la fibre de l’opérateur choisi
  • le code de l’immeuble et autres détails d’intendance

L’accessibilité des goulottes pour passer la fibre du palier vers mon appartement restait à évaluer lors de la pose.

Comment l’installation se déroule-t-elle ?

D’abord l’installateur vérifie l’existence d’une goulotte reliant le répartiteur de palier à mon appartement. Il y passe alors une fibre largement dimensionnée, déjà préparée au bout d’une prise murale.

Voici la prise ouverte, après le câble posé, avant fixation de la prise. Les deux connecteurs optiques verts correspondent à deux arrivées, l’un sera utilisé par SFR, l’autre permet si je le souhaite de m’abonner à un deuxième opérateur.

IMG_20140321_121431_cut

Ensuite le technicien installe l’ONT (Optical Network Terminator), un petit appareil réalisant la conversion entre la fibre optique et la bonne vieille paire torsadée, avec sortie sur une prise ethernet RJ45 1 Gbps. Sur cette prise sera connectée la box SFR, éventuellement à travers un tableau de répartition ethernet classique. Ici, la LED “PON” reste allumée en orange, car le réseau côté opérateur n’est pas encore branché.

IMG_20140321_122423_cut

Puis nous descendons au sous-sol pour réaliser la connexion entre la fibre opérateur et la fibre immeuble vers mon appartement. Ici, de haut en bas on aperçoit :

  • le tableau de répartition vers les deux bâtiments de l’immeuble
  • le tableau de répartition de la partie Bouygues des fibres SFR-Bouygues arrivant de l’extérieur
  • le tableau de répartition de la partie SFR des mêmes fibres
  • en bas, boitier fermé, l’arrivée fibre Orange.

On note au passage que je suis le premier abonné de l’immeuble…

 

IMG_20140321_124234_r

Une fois ce branchement réalisé, il faut encore effectuer le branchement d’étage, qui consiste là en une soudure de fibre pour raccordement au boiter d’étage. Le câble jaune avec étiquette SFR provient du sous-sol et contient toutes les fibres pour cet étage ; le petit câble blanc est la sortie vers mon appartement.

IMG_20140326_145946_r

Et voilà !

Il ne reste plus qu’à installer la box SFR, la brancher sur le reste du réseau local, et faire quelques tests sur speedtest.net.

3397072527

Sympa : 19 fois le débit de mon ADSL en descente, 52 fois en montée. À nous les envois de vidéo HD !

Notez quand même que le temps de ping évalué par Speedtest est complètement farfelu, en fait le ping réel est aux alentours de 2-3 millisecondes vers les serveurs “proches”, le lien fibre lui-même vers le premier routeur de l’opérateur ne comptant que pour moins d’une milliseconde. C’est donc environ 5 fois mieux que l’ADSL en mode FastPath (6 ms) et beaucoup mieux que l’ADSL en mode par défaut (20 à 25 ms).

 

Si vous accédez à ce blog en IPv4, vous passez par la fibre, mais il me reste encore à passer ma connexion IPv6 sur SFR, ce qui n’est pas extrêmement simple (et pas complètement terminé) quand on veut appliquer par sécurité un peu de filtrage. IPv6 tel que délivré par les FAI a encore un peu de chemin à faire avant d’atteindre le même niveau de maturité qu’IPv4. J’en reparlerai.

 

fr, Geek stuff

Apprendre à programmer à un enfant avec Scratch

2 Comments

Ça fait longtemps que je cherchais un moyen simple d’apprendre à mes enfants à programmer.

Je leur avais déjà montré comment faire de petits calculs en Python, alors que l’ainé connaissait à peine la table de multiplication. Ça les a intéressés, mais sans vraiment accrocher. La ligne de commande, ce n’est pas folichon.

Et puis après plusieurs recommandations, dont celle de Raphaël Pierquin, co-fondateur des coding goûters, je suis tombé sur Scratch, un projet du MIT.

Et en quelques minutes, mon fils Paul (9 ans) était accroché et avait compris le principe général. Il y a passé plus de 30 minutes hier soir et ça n’a pas été facile de l’en détacher ; et il y est revenu aujourd’hui.

Capture-scratch

(cliquer pour agrandir)

Seul petit défaut : il faut Flash dans son navigateur. La traduction française est un peu rude par endroits, mais ce n’est pas gênant.

À part ça, tout est très bien pensé.

En quelques instant l’enfant découvre ce qu’est une instruction, un programme, une boucle, un paramètre, un événement. Il comprend la rapidité de l’ordinateur qui fait que plusieurs ordres successifs donnent l’impression de s’exécuter simultanément. Il voit aussi la bêtise de l’ordinateur, qui exécute servilement ce qu’on lui demande plutôt que ce qu’on voudrait qu’il fasse.

Le premier tutoriel est très bien fait et permet de faire un tour rapide des fonctions. Ensuite, on peut aller voir les projets des autres, les copier et les modifier à sa guise.

C’est très ludique tout en présentant de façon solide les concepts de base de la programmation.

La copie d’écran ci-dessus montre ce que Paul a réalisé en environ 30 minutes, en partant de rien, en suivant le tutoriel et en ayant tout de suite envie d’inventer son propre programme avec ses idées à lui.

J’ai eu besoin de le guider un peu au début, en lui laissant la souris que sinon il m’aurait rapidement arrachée des mains pour se débrouiller tout seul, et il a continué de manière autonome, s’interrompant parfois pour me demander un peu d’aide sur des points un peu subtils de l’interface ou des commandes disponibles.

Un beau souvenir.

Mise à jour : Franck Farcy (@CallMeLx) me signale learn.code.org, plus simple et moins ouvert à la créativité, mais sympa aussi, sous forme d’exercices à compléter, qui ne nécessite pas Flash puisqu’il est réalisé en HTML5. Les exercices commencent avec les personnages de Angry Birds et les vidéos d’explication incluent notamment Mark Zuckerberg et Bill Gates 🙂

Capture-code-org

(cliquer pour agrandir)

 

bitcoin, fr, Geek stuff, vie privée

Bitcoin, ce n’est pas qu’une question d’argent

19 Comments

À force de lire des articles ici ou la sur Bitcoin et la spéculation, on finit par croire qu’il n’y a que ça à en dire, et qu’il n’y a que lui.

D’abord, la spéculation : oui, il y en a. Si le Bitcoin n’était pas monté à $1000 au mois de novembre, on n’en parlerait sûrement pas autant aujourd’hui.

Mais il ne faut pas surtout pas oublier, en vrac :

  • que le Bitcoin est la première monnaie non centralisée ;
  • qu’il s’inspire des technologies pair-à-pair ;
  • que son procédé représente de réelles avancées théoriques en matière d’informatique répartie ; le Bitcoin n’est pas juste un logiciel écrit en vitesse sur un… coin de table à la fin d’un repas bien arrosé.
  • qu’il existe donc, maintenant, de nombreuses autres crypto-monnaies bâties sur ce modèle plus ou moins modifié ;
  • et surtout, que les avancées citées plus haut ont bien d’autres applications que la création de monnaie !

Car le fonctionnement du Bitcoin se fonde sur un journal de transactions réparti et sécurisé, horodaté et inaltérable.

Si la première application en est la monnaie, il y en aura bien d’autres. C’est une certitude.

Par exemple les registres de toutes sortes, actuellement centralisés : déjà le namecoin s’intéresse aux noms de domaine, dans un mélange assez curieux.

Mais on peut imaginer de transposer ainsi une bonne part de tous les registres administratifs. Registre des naissances, de propriété, notariat, preuves d’antériorité, authentification de documents…

Bref, le Bitcoin est beaucoup plus qu’une simple évolution de la monnaie.

On n’a pas fini de voir des industries entières forcées de réviser leur activité, un nouveau point commun entre le Bitcoin et Internet.

Les levées de boucliers commencent donc à peine.