D'abord, petit fil sur la censure française du #DoH -- puisqu'il ne s'agit pas que de ça, mais surtout de ça pour l'instant, c'est en creux dans l'intervention ci-dessous.
Actuellement il existe une procédure nationale française de blocage administratif national par la police, sur liste totalement opaque gérée par celle-ci et l'Arjel (autorité des jeux en ligne).
l'Arjel bloque les sites de jeux en ligne hébergés à l'étranger (dont l'hébergeur/opérateur échappe donc à la loi fr) qui contreviennent à la loi française sur la question. La police bloque les sites promouvant le terrorisme. Tout ça, sans juge.
En supplément, la justice peut ordonner au cas par cas des blocages de sites illégaux, comme sci-hub.st, par exemple, ou des sites de streaming illégal, etc.
La liste police+Arjel ne concerne que les 4 plus gros FAI français (SFR, Free, Orange, Bouygues). Pourquoi pas les autres ? Parce que la liste est secrète. En disséminer l'application plus largement ne ferait que rendre sa confidentialité plus difficile.
Une liste secrète, d'un point de vue démocratique, c'est déjà un peu ennuyeux. Personne ne peut savoir qu'il existe en blocage, à moins de tomber dessus. Et même là, ça peut passer pour une panne.
En théorie les recours existent pour lever les blocages abusifs, encore faut-il savoir qu'ils existent (cf plus haut "liste secrète") et savoir qu'il y a une procédure de recours. Ça fait beaucoup de si.
Jusqu'à il y a peu, la liste police était vérifiée par un médiateur envoyé par la CNIL. Depuis (sauf erreur), c'est le CSA qui en est chargé, dans le cadre de sa transformation par LREM en censeur prenant sous sa coupe l'Internet (un précédent auquel nous avions échappé 25 ans).
Restent les décisions de blocage par la justice, qui en général sollicitent les 4 mêmes gros opérateurs. Je ne suis pas assez dans le secret des dieux pour savoir si cela atterrit dans la liste police+arjel ou si c'est géré différemment.
Les décisions de justice sont récupérables pour la plupart, encore faut-il savoir où les trouver (coucou l'#opendata des décisions). Pour être au courant, à moins, comptez sur le travail de veille de la presse essentiellement (coucou @reesmarc).
Le blocage DNS a un inconvénient : il est facile à contourner en utilisant un autre serveur DNS que les serveurs menteurs des 4 FAI concernés. Et c'est facile car il existe des serveurs ouverts depuis des années, dans le but d'avoir un meilleur service DNS.
On peut donc citer 9.9.9.9 (quad9), le plus respectueux de la vie privée. Ou bien 1.1.1.1 (Cloudflare), 8.8.8.8 (Google).
Depuis l'affaire Snowden, qui a révélé les écoutes abusives en masse de la NSA, la plus grande partie d'Internet est passée au chiffrement pour s'en protéger. Le dernier chaînon essentiel, c'est le DNS, qui est en train de passer au chiffrement avec DoT et DoH.
Donc, Firefox et d'autres navigateurs ont promu des systèmes DoH pour améliorer la confidentialité de notre navigation. Firefox propose par défaut Cloudflare. Et comme on pouvait s'y attendre, ça déplaît au législateur français, puisque ça aboutit à contourner son blocage DNS.
Et là je tiens à remercier @ebothorel qui m'a fourni l'occasion de discuter de son amendement, même si ce fut hélas trop court vu le nombre de choses à dire.
Donc le législateur fr souhaite étendre entre autres aux opérateurs DoH la liste nationale de blocage. Pour un opérateur étranger (la plupart le sont), il faudra un représentant sur le territoire national (ou UE suivant le cas) qui "prendra les coups" en cas de non respect.
Déployer du DoH était une occasion pour les français de contrer le risque intrinsèque que comporte DoH par son déploiement de "gafamiser" la résolution DNS en la centralisant sur quelques acteurs de grosse taille.
Inutile de dire que l'obligation de censure risque de nuire à ce mouvement, en créant une contrainte pour les opérateurs DoH qui sera plus facilement absorbée par les gros que par les petits (sempiternelle question de quasi toute législation sur le numérique).
On peut bien sûr créer des seuils d'application, mais ceux-ci créent des... effets de seuil (#surprise), qui peuvent empêcher de petits acteurs de devenir significatifs.
Je ne sais pas comment la liste DoH & al sera gérée. Mais cela repose exactement les mêmes problèmes de secret et de diffusion que la liste DNS. Et après les opérateurs DoH, qui prendra les coups ? N'importe quel intermédiaire en est susceptible.
Et cela pose comme toujours le problème, pas nouveau, de gestion opaque par des autorités administratives (bavures, secret) des listes de censure. Voilà. Fin pour l'instant. Ce fil est bien plus long que je pensais initialement, désolé...
Complément, si vous voulez utiliser un serveur DoH bien de chez nous, celui-ci est opéré par @bortzmeyer. bortzmeyer.org/doh-mon-resolv… (et il faudrait que je retape celui d'eu\.org pour avancer, mais s'il y a des coups à se prendre, ça ne donne guère envie...)
• • •
Missing some Tweet in this thread? You can try to
force a refresh
Au sujet des élections régionales 2021, le @partipirate cherche des candidates et candidats pour pourvoir ses listes. Et ce n'est pas gagné loin de là (doux euphémisme) : pour couvrir toutes les régions il faut 1910 personnes ! ⤵️ vote.partipirate.org/soutenir.php
J'explique un peu. Pour comparaison, aux élections européennes de 2019, il fallait des listes nationales de 79 personnes, paritaires. Ça a déjà été assez difficile pour le Parti Pirate. Ici, on parle donc de 24 fois plus de personnes à trouver.
Dans certains pays, la Suède par exemple, j'ai ouï dire que les listes n'avaient pas à être complètes, puisqu'un parti n'a aucune chance d'avoir toute sa liste élue. En France, il faut des listes complètes. C'est un moyen pratique pour éjecter des petits partis.
La banque fr dans toute sa splendeur : carte bancaire bloquée au renouvellement parce qu'il manquait des pièces KYC... que j'avais fournies il y a 1 an. L'agence qui commande une carte de remplacement cause "carte évidemment en panne" et était même prête à commander une 3e carte.
2 semaines d'allers et retours entre essais au distributeur ou TPE, le guichet de l'agence, le conseiller d'agence, des numéros de téléphone non attribués, des numéros surtaxés, des numéros d'assistance, la messagerie en ligne.
Banque dans laquelle j'ai un compte depuis presque 37 ans... alors le KYC, comment dire.
Tiens, Télérama ne respecte pas la nouvelle recommandation @CNIL, peu regardante sur le RGPD mais qui demande au moins une taille de police équivalente pour le lien "Continuer sans accepter". (et si on faisait un "Allo CNIL" sur le modèle du "Allo place Beauvau" de @davduf)
Un autre cas chez lemagit. Ici, les 2 polices sont de taille identique. Mais le lien en haut accroche moins l'œil que que les boutons en bas, en raison du fond de ces derniers.
Trouvé chez @LInternauteInfo. Les polices sont de taille vraiment très différente. Allo la @CNIL...
Petit fil sur les gaspillages tranquilles. Vous connaissez ce genre de petit bloc incendie ? Il sert à signaler les sorties de secours et c'est un vrai business.
Celui présenté est à LED, plus simple en maintenance. Les plus anciens étaient à ampoule incandescente, qui devait être changée régulièrement.
Le bloc est alimenté par le courant secteur mais dispose aussi d'une batterie qui doit lui permettre d'éclairer une heure en cas de coupure de courant (qui peut advenir justement pendant un incendie).
L'heure de diffusion des stats opendata covid varie tous les jours en ce moment, mais dépasse rarement 18h06. Or aujourd'hui, toujours rien à ce stade. C'est à se demander si aujourd'hui ce n'est pas retardé en raison de l'allocation de notre épidémiologiste en chef.
Surprise, data .gouv .fr est en panne ce soir, en gros depuis l'allocution de Macron. Donc pas de données du jour à ce stade.
J'ai une issue de secours via geodes, qui lui n'est pas en panne mais n'a pas pour autant les données du jour. L'#opendata de santé, une aventure permanente.
J'ai eu l'occasion de tomber sur un support de formation + exercices en sécurité/tests de pénétration (aka "pentesting") basique (niveau débutant) et c'est frappant de voir à quel point ce métier est devenu -- en bonne partie -- un boulot littéralement de "script-kiddies".
Alors avant de me faire démolir la tête, je précise que je ne mets pas tout le monde dans le même sac, je sais qu'il existe des pentesters ultra pointus et compétents, ceux qui sont "en haut de la chaîne alimentaire" et écrivent le code pour 99,9 % des autres.
"script-kiddie" explication : c'est le terme condescendant utilisé pour désigner ceux qui ne pigent pas grand chose à la sécurité et vont utiliser des recettes déjà en boite (et pour la plupart vieilles et périmés = déjà corrigées presque partout) pour attaquer une cible.