GuiGui's show

Quand vous tentez de vous associer à un AP public (j'ai rencontré ce problème sur les réseaux FreeWifi et SFR Wifi Public), il peut arriver qu'aucune adresse ne vous soit attribué par le serveur DHCP. Parfois, et c'est encore plus fort, vous obtenez, sans rien toucher, une IP à peine 5 minutes après l'échec. Toujours plus fort : vous surfez tranquillement, vous êtes brutalement déconnecté et il vous est impossible d'obtenir une IP.

Je parle ici d'une utilisation raisonnable : vous avez toujours utilisé uniquement votre identifiant, vous ne l'avez pas prêté, vous n'avez pas tenté de faire une mauvaise action telle quelle soit, vous faites un fair-use du réseau (en terme de temps d'utilisation et en terme de quantité de données transférée), etc ...

De plus, je pars du principe que la réception du signal radio est bonne car le problème n'est clairement pas lié à une mauvaise réception ou à un système d'exploitation ou bien encore à un chipset wifi.

On peut émettre plusieurs hypothèses plus ou moins réalistes : plage IP totalement distribuée par le serveur DHCP, blacklistage de votre adresse MAC, doublon de MAC, DoS du serveur DHCP, ... Certaines hypothèses n'expliquent cependant pas certains des scénarios énoncés au début de ce billet.

Je connais au moins deux solutions pour avoir une IP quand un serveur DHCP refuse de nous servir :

1. Attribuer manuellement une IP à l'interface réseau. Inconvénients : il faut connaître le plan d'adressage du réseau et trouver une IP non utilisée.
2. Changer son adresse MAC pour une MAC générée au pif. Avantage : rien d'autre à faire.

Intuitivement, j'ai éliminé la première méthode et je ne l'ai jamais essayée car le problème m'a toujours semblé venir des couches inférieures. Je vous conseille donc la deuxième méthode. En effet, en changeant l'adresse MAC de mon interface wifi, j'ai constaté que, à chaque fois, le serveur DHCP du réseau wifi public (uniquement testé sur FreeWifi et SFR Wifi Public, pour rappel) se réveille et m'attribue une IP.

Petit rappel de la commande permettant de changer, jusqu'au prochain reboot, l'adresse MAC d'une interface réseau :

sudo ifconfig <interface> hw ether <nouvelle_MAC>

Un blocage par MAC de la part des opérateurs me semblait improbable : complexe à établir/maintenir, probabilité importante de faux positifs. De plus, l'adresse MAC "d'origine" de mon interface wifi est parfois acceptée, parfois refusée par la même borne dans un intervalle qui se compte parfois en minutes et parfois en jours.

Hé bah pourtant, il semble bien y avoir un filtrage MAC, chez Free en tout cas : il suffit de chercher et on trouve ça, ça et encore bien d'autres ... En revanche, je n'ai rien trouvé concernant SFR ...

Personnellement, vu les circonstances dans lesquelles ce problème apparaît chez moi, je tique encore sur la possibilité d'un filtrage MAC volontaire. Mais comme je ne peux fournir une explication complète et que la réponse des opérateurs (et surtout de Free) se fait visiblement attendre ...

On va résumer vite fait la situation : la facture concernant ma ligne téléphonique fixe étant restée un peu trop longtemps dans le compartiment "à lire", j'ai payé ma facture France Télécom/Orange avec 3 jours de retard.

Jusque-là, rien d'extraordinaire. Mais, aujourd'hui, je reçois un appel téléphonique aux alentours de 13h15. Un serveur vocal de France Télécom/Orange me rappelle que j'ai un retard de paiement de ma facture et m'invite, si je le désire (oui, je sais : pléonasme dans ma phrase), à la régler dès à présent à l'aide d'une carte bancaire. Vu que j'ai déjà payé et que je suis frileux à l'idée de voir mes numéros de CB circuler sur une ligne téléphonique à la sécurité plus que douteuse, je raccroche (j'ai donc suivi la deuxième option proposée par le serveur vocal).

Je me dis que c'est quand même bizarre ce coup de téléphone, car, à ma connaissance, les relances de paiement des autres entreprises se font par courrier postal : c'est la première fois que je vois une relance de paiement téléphonique. L'horaire d'appel est également suspect : 12h-14h est plus un créneau pour les télémarketeux et arnaqueurs de tous poils que pour des démarches sérieuses ...

Après je pense à l'aspect anti-sécurité de la chose : il suffit de réaliser une pondeuse téléphonique qui imite le serveur vocal de France Télécom/Orange et à nous les pépètes. Oui, il faut tomber sur des clients FT/Orange en retard de paiement + qui ont envie de régler maintenant + qui sont prêts à le faire par téléphone mais le peu de personnes qui tomberont dans le piège suffiront à rendre l'arnaque rentable : c'est le principe même des arnaques téléphoniques. Il serait donc bien étrange que France Télécom/Orange s’engage sur ce créneau.

Je jette un rapide coup d’œil sur orange.fr. On nous parle bien d'un courrier de rappel en cas de retard de paiement. Les articles 9 et 11 des Conditions Générales d'Abonnement au service téléphonique ne sont pas vraiment précis : on apprend juste qu'une majoration sera appliquée dès la première émission d'un courrier de rappel. Mais rien ne précise si France Télécom/Orange procède à un rappel téléphonique automatisé avant l'envoi de ce courrier. En même temps l'article 9 ne dit pas qu'il est possible de payer sa facture grâce au couple CB/téléphone, mais le "notamment" protège FT ... Je Google rapidement sur le sujet, mais je ne trouve rien sur ma situation. Mauvais chercheur ?

Vu que le 1014 est gratuit depuis une ligne France Télécom (c'est-à-dire, à partir du moment où vous payez un abonnement à FT, même en dégroupage partiel donc), je décide de me renseigner sur le sujet. Juste pour le lulz, je vais vous parler du serveur vocal qui raccroche dès que je fais un choix parmi ceux qu'il me propose et qui sont les plus pertinents ... Tans pis, je me résigne à demander un déménagement de ligne/création d'une nouvelle ligne. Ah, un téléconseiller décroche. Comme d’habitude, ça laisse supposer un centre d'appel délocalisé m'enfin ça, c'est un autre sujet ...

Le téléconseiller m'affirme que FT/Orange procède à une relance téléphonique automatisée via un serveur vocal et que je n'ai donc pas été appelé par un arnaqueur. Comme d'habitude dans ce genre de situation, je reformule ma question au cas où je me suis mal exprimé ou que l'on se soit mal compris. J'obtiens la confirmation. Devant son air étonné, je lui explique la principale raison de mon appel : comment madame Michu va-t-elle différencier un faux appel d'un vrai ? Malgré mon insistance, je n'ai pas eu de réponse sur ce point : le téléconseiller a répondu à côté de la plaque : lui me parlai de la simplicité pour le client que ce système procure alors que moi je ne remettais pas en cause le fait de pouvoir payer sa facture par téléphone et les avantages que cela apporte (c'est un autre sujet et j'ai déjà donné mon avis plus haut), ni le fait que FT/Orange relance ses clients par téléphone (c'est encore un autre sujet), mais le fait que FT/Orange relance ses clients par téléphone ET invite à régler en CB par téléphone. J'ai donc laissé tomber et salué mon correspondant.

Moi, je sens le fail ... Déjà que madame Michu a du mal à éviter le phishing sur le net et les arnaques basiques par téléphone alors si en plus FT/Orange ouvre des vecteurs d'attaque supplémentaires ... Néanmoins, je suis toujours sceptique sur ce fait donc je rappellerai, peut-être, le 1014 dans quelques jours.

À défaut d'être un billet technique, ce billet se propose de regrouper quelques-unes de mes découvertes plus ou moins récentes en informatique.

Table des matières

Différence entre un firewall stateless (pare-feu sans états) et un firewall stateful (pare-feu avec états)

Une bonne définition et une présentation détaillée de l'apport de sécurité amené par le stateful sont exposées ici (même si cette problématique n'est pas le thème majeur du billet) : Palo Alto Networks : Faut-il repenser notre vision du Firewall ? chez Guiguiabloc. Je rajouterai juste que le mode stateful permet une hausse des performances puisque les paquets appartenant à une connexion existante ne sont pas analysés "à fond" contrairement aux premiers paquets de chaque connexion.

Sécuriser un échange chiffré sur le long terme

Pourquoi vouloir sécuriser une connexion déjà sécurisée et temporaire, comme par exemple une session SSL/TLS, sur le long terme ? Imaginons simplement qu'une personne ou une organisation malveillante (pensez plus loin que les soit disant méchants pirates : autorités, prestataire réseau, ...) ait, un jour, l'occasion de faire un man-in-the-middle passif entre vous et un quelconque serveur avec lequel vous effectuez une connexion sécurisée : elle ne verra qu'une connexion chiffrée. Bien. Supposons maintenant qu'elle conserve votre échange avec le serveur et qu'un beau jour, elle soit en mesure de récupérer la clé privée du serveur (mauvais recyclage, saisie du serveur, ...) : elle sera en mesure de déchiffrer l'échange conservé. Afin d'éviter ceci, une méthode existe : le perfect forward secrecy (on peut traduire ça en "confidentialité persistante" ou en "confidentialité de transmission parfaite" mais je pense qu'il vaut mieux garder ça en anglais pour le coup). Cette technique s'applique aux protocoles d'échange de clé qui utilisent la cryptographie asymétrique (= à clé publique) et, de ce fait, aux protocoles utilisant ces derniers : SSL/TLS, SSH, IPSec, ... Notez que l’utilisation du perfect forward secrecy (PFS) est une option en SSL/TLS ou dans IPSec. Par contre, la version 2 de SSH, utilise, par défaut, diffie-hellman pour l'échange des clés et utilise donc le PFS.

Si cette méthode fait parler d'elle ces derniers temps, c'est tout simplement à cause de l'annonce de Google qui nous informe l'avoir mise en place sur ses services qui proposent un accès sécurisé (GMail, Google search, ...).

Je voulais donc profiter de l’occasion pour vous proposer d'en apprendre plus au sujet du PFS via ces deux sites :

• Perfect forward secrecy sur Wikipedia en
• SSL/TLS & Perfect Forward Secrecy chez Vincent Bernat. C'est en anglais mais très accessible (et si vous ne voulez pas faire un effort, une version française est également disponible : SSL/TLS & Perfect Forward Secrecy chez Vincent Bernat (FR)). Via GCU-Squad.

ÉDIT du 23/12/2011 à 17h50 :

J'ai modifié le paragraphe sur le PFS car il contenait un combo de boulettes. D'une part, le blog de Vincent Bernat est aussi accessible en langue française pour les irréductibles et d'autre part, le style d'écriture laissait entendre que le PFS n'était possible qu'avec SSL/TLS alors que je me servais uniquement de l'annonce de Google, qui pour le coup concerne uniquement SSL/TLS, pour évoquer le PFS.
Fin de l'édit

GNOME 3 - gestion de l'énergie et ordinateur portable - ne pas hiberner quand on ferme l'écran

Avec GNOME 2, il suffisait d'aller dans les paramètres systèmes. Plus aujourd'hui ... Qu'à cela ne tienne : utilisons gsettings :

$ gsettings set org.gnome.settings-daemon.plugins.power lid-close-ac-action blank

Dans la même veine, GNOME 3 ne laisse plus le choix de ne rien faire lorsque le niveau de la batterie atteint un niveau critique. Qu'à cela ne tienne (bis) :

$ gsettings set org.gnome.settings-daemon.plugins.power critical-battery-action nothing

Et pour avoir une idée des autres paramètres disponibles pour la gestion de l'énergie, il suffit d'utiliser cette commande :

$ gsettings list-keys org.gnome.settings-daemon.plugins.power

Présentation de Netkit

À tous ceux qui veulent faire des expériences réseaux "sanstoutcasser", je recommande Netkit. J'avais déjà entendu parler de ce projet dans GNU/Linux Magazine France mais je ne l'avais pas testé. C'est aujourd'hui chose faite et je le recommande. Il ne me reste plus qu'à essayer quelques uns des intéressants labs proposés sur le wiki du projet.

Et pour faire, facilement, une capture réseau sur un lien entre deux machines d'un lab, c'est par ici : New package of uml_dump for netkit 2.7 chez Kartoch's Blog. Ce patch fonctionne encore tel quel avec la version 2.8 de Netkit.

ÉDIT du 28/02/2012 à 23h45 : Et pour ceux qui se demande quelle est la syntaxe de vdump, voici (copier/coller du Kartoch's Blog) : vdump <domaine de collision> | wireshark -i - -k . Pour trouver le domaine de collision entre deux machines d'un lab Netkit, il suffit de regarder le lab.conf. Par exemple, quel paramètre dois-je passer à la commande vdump pour écouter le trafic réseau entre pc1 et pc2 en fonction de l'extrait de lab.conf suivant ?

pc1[0]="A"
root[0]="A"
root[1]="B"
bidule[0]="B"

pc2[0]="A"

Réponse : vdump A | wireshark -i - -k
Fin de l'édit

ÉDIT du 23/12/2011 à 17h50 : Et pour ceux qui veulent une configuration plus poussée et/ou mieux comprendre comment ça se passe sous le capot, je vous propose de lire ceci : Labo virtuel avec User Mode Linux chez Vincent Bernat.
Fin de l'édit

Fichier avec des zones vides (sparse file)

À ceux qui se demande comment font les logiciels de virtualisation pour créer des disques dur de taille dynamique (transition depuis Netkit : done), ne vous posez plus la question : il s'agit de sparse files. Je vous dirige vers Wikipedia pour une définition : sparse file sur Wikipédia. Si vous souhaitez obtenir plus de renseignements, c'est par là : Sparse files – what, why, and how chez UNIX Administratosphere. Ce type de fichier est également utilisé par les utilitaires de sauvegarde. Par exemple : Clonezilla sauvegarde l'intégralité de votre disque dur, même les zones vides, sans pour autant créer une image disque de même taille (je ne parle pas d'une quelconque compression).

Pour ma part, j'ai fait le rapprochement entre le nom (sparse file) et les usages en lisant le "Kernel corner" du numéro de novembre 2011 de GNU/Linux Magazine France qui parle de deux nouvelles opérations ajoutées à l'appel système lseek dans la version 3.1 du noyau Linux : SEEK_HOLE et SEEK_DATA qui permettent, respectivement de se placer au début d'une zone vide ou d'une zone de données.

Pointeur de fonction : maFonction(void) != maFonction() ?

N'étant pas un as du développement logiciel (chacun son truc on va dire), je me posais une question toute simple : pourquoi ce code compile-t-il sans erreur ni avertissement ?

void maFonction(void (*f)(double)) { 
     ; 

}
 
void FUSR1() {
     ;
}
 
int main(void) {

     maFonction(FUSR1);
     return 0;
}

Pour ceux que cela intéresse, la réponse se trouve ici : Pointeur de fonction : maFonction(void) != maFonction() ? sur la catégorie "C" du forum du SdZ.

Masque de réseau identique ne signifie pas réseau identique

Récemment, j'ai dépanné une personne se plaignant que deux machines, soit disant sur le même réseau, ne puisse pas se pinger. Le problème venait en fait du fait que cette personne croyait que les deux machines étaient sur le même réseau alors qu'elles ne l'étaient pas. Elle se fiait au masque de réseau, pourtant identique.

Les machines avaient des IPs ressemblant à : 192.168.0.1/30 et 192.168.0.5/30. Un /30 suppose que le dernier octet soit composé de 6 bits pour l'adresse réseau et 2 bits pour l'adresse machine. Cela donne donc un masque égal à 255.255.255.252. Calculons le pas : 256 - 252 = 4. Toutes les 4 adresses, nous changeons donc de sous-réseau :

192.168.0.0/30 est l'adresse du premier réseau
192.168.0.1/30 est la première machine du premier réseau
192.168.0.2/30 est la deuxième machine du premier réseau
192.168.0.3/30 est l'adresse de broadcast du premier réseau

192.168.0.4/30 est l'adresse du deuxième réseau
192.168.0.5/30 est la première adresse du deuxième réseau

192.168.0.6/30 est la deuxième adresse du deuxième réseau
192.168.0.7/30 est l'adresse de broadcast du deuxième réseau

...

On voit clairement que les machines 192.168.0.1/30 et 192.168.0.5/30 ne sont pas sur le même sous-réseau et qu'une passerelle sera donc nécessaire pour les faire communiquer.

Ce qui m'a mis la puce à l'oreille pendant que je faisais les vérifications d'usage (cablage), c'est l'interrogation de la personne : "les masques sont identiques mais les adresses de broadcast sont différentes, je ne comprend pas comment c'est possible. Si elles ont le même masque, les machines sont sur le même réseau et elles devraient donc avoir la même adresse de broadcast".

Comment indiquer un port supérieur ou égal à 1024 dans iptables ?

Une autre question que l'on m'a posé récemment. Il suffit simplement d'utiliser la syntaxe "1024:". Exemple :

iptables -t filter -A OUTPUT -o eth0 -s 172.16.0.0/24 -d 192.168.0.5/32 -p tcp -m tcp --sport 1024: --dport 80 -m state --state NEW -j ACCEPT

Pourquoi Windows 7 ne voit pas le disque dur et ses partitions lors d'une réinstallation ?

Encore un dépannage étonnant 🙂 . L'ordinateur est équipé de Windows 7 Ultimate et d'Ubuntu tous deux installés par le propriétaire de la machine. Celui-ci souhaite réinstaller Windows 7 Ultimate en reformatant. Mais le programme d'installation ne détecte pas le disque dur et ses partitions.

Le mode AHCI est activé dans le BIOS mais cela ne devrait pas avoir d'importance puisque Windows 7 contient les drivers nécessaires. Je pars néanmoins à la recherche des drivers Intel AHCI et les mets sur une clé USB (voir le début de Adding Intel Matrix Drivers to Your XP Image for AHCI SATA Support chez Symantec Connect Community pour extraire les fichiers .inf de l'exécutable fourni par Intel). Windows les détecte bien mais affiche un message d'erreur en tentant de les charger. Encore plus fort : désactiver l'AHCI dans le BIOS ne résoud pas le problème !

Je pense pour un problème de disque dur et je démarre sur un live-cd de Gparted. Le disque dur se compose d'une partition de type inconnu de 200 Mo, de la partition dédiée à Windows, de la partition dédiée à Ubuntu et d'une partition dédiée au stockage des données. Mais à quoi sert donc cette partition de type inconnu ? L'utilisateur n'a pas le souvenir d'avoir créé cette partition ...

Doutant que la suppression de cette partition soit la solution au problème, je tente de cherche d'autres pistes. L'utilisateur m'incite à détruire la partition et je me laisse convaincre. Et le pire, c'est que cela fonctionne ! La suppression de cette partition a permis au programme d'installation de Windows 7 de détecter le disque dur et ses partitions contre toute logique (en même temps avec Windows ... je dis ça, je dis rien 🙂 ).

Je n'ai par contre aucune piste concernant l'origine de cette partition atypique ...

Et comme mot de la fin : écoutez les personnes que vous dépannez, elles n'ont pas toujours tords 😉 .

Depuis un peu plus de 15 jours, le GuiGui's Show avait disparu des écrans. Je vais vous expliquer rapidement le pourquoi du comment, à titre d'information.

Flashback.

Nous sommes début novembre et le blog est encore inaccessible ... Ça devient une habitude. En effet, depuis quelques mois, ce blog est indisponible au moins une fois par mois. Cela a commencé en juillet, puis fin août, puis le 5 et le 6 septembre, puis le 6 octobre et quasiment une semaine en novembre. Et je ne parle ici que des indisponibilités totales dont j'ai la connaissance, ce qui exclu les indisponibilités de courte durée mais répétitives (= les visiteurs ont le droit à une page blanche pour la moitié de leurs requêtes) et les indisponibilités dont je n'ai pas eu connaissance.

Je songeais, depuis début septembre, à passer à un hébergement payant offrant plus de garanties. Mais, je pensais que rien ne pressais et j'ai donc laissé l'affaire traîner. Mais à partir du 14 novembre, mon compte a été suspendu pour un dépassement de la limite de la charge CPU ayant eu lieu plus de 1000 fois. Ce qui amène les questions suivantes : Quel événement a provoqué cette surcharge ? Pourquoi l'hébergeur ne m'a-t-il pas prévenu dés les premiers dépassements ?

Ces deux questions restent des mystères. Une attaque informatique aurait d'abord affectée la bande passante et semble improbablement. Seuls les comptes client payants ont accès aux logs donc je ne peux pas affiner mes recherches.

Une deuxième piste se profile cependant. Les CMS comme WordPress sont réputés gourmands par rapport à d'autres applications web dynamiques et les hébergeurs mutualisés n'ont pas été conçus pour ce genre d'applications mais s'y sont adaptés afin d'élargir leur clientèle. Il est donc possible que mon WordPress ait fait exploser la charge CPU. Mais là encore, cela ne correspond pas à la situation de ce blog : le nombre de visiteurs et de pages vues sont stables sur le dernier trimestre (août, septembre, octobre) et le CMS est toujours le même : je n'ai pas rajouté d'extensions ou autre, juste fait les mises à jour de WordPress ... WordPress est-il devenu soudainement plus chronophage ? Cela m'étonnerai car rien ne remonte à ce sujet sur Google. Ce dépassement de la limite de charge CPU reste donc suspect car, si l'environnement n'a pas changé, alors il aurait dû survenir plus tôt.

Au final, je suppose qu'il s'agit d'une manœuvre commerciale de l'hébergeur afin de faire souscrire à son offre payante un maximum de personnes ayant assez profité de l'offre gratuite. Je m'aperçois d'ailleurs que je n'ai plus accès à quoi que ce soit : ni phpmyadmin, ni FTP, entre autres. Le message d'erreur est clair : je doit passer à l'offre payante pour que mon compte soit remis en service avec les services associés. Sur le principe même je trouve cela lamentable. À partir de cet instant, l'offre payante pouvait être la plus attractive du monde que je l'aurais refusée : mes données n'ont pas à être retenues en otage dans l'attente d'un paiement. Attention : je fais bien la différence entre un hébergement payant où l'hébergeur suspend mon compte et supprime mes données car je n'ai pas payé le service à la date convenue et un hébergement gratuit où l'hébergeur maintient mes données en otage pour me faire passer à son offre payante. À ceux qui ne voient pas l'intérêt de faire des sauvegardes régulières de leurs données, j'espère vous avoir donné un exemple supplémentaire de ce que vous encourez. En ce qui me concerne, j'étais à jour dans mes sauvegardes donc pas de problèmes.

Je me met donc à la recherche d'un hébergeur mutualisé payant car je souhaite un sérieux et des garanties que les hébergeurs gratuits ne peuvent pas proposer (vous n'avez pas de contrats avec eux et vous n'êtes pas leur priorité, par exemple). Les étapes les plus difficiles sont clairement de fixer les critères de choix les plus importants à vos yeux (bande passante nécessaire, espace de stockage nécessaire, applicatifs nécessaires, ...), de comparer les nombreuses offres qui se ressemblent et de lire et de comprendre les conditions générales et particulières de vente (19 pages dans mon cas, vache !). Le reste, c'est de la technique et ça, on connaît ;).

Me voici donc parti de 000webhost, filiale (indirecte) de II Hosting Media pour Free-h, service d'Inulogic. Hébergement en France par un hébergeur français (non, il n'y a pas de redondance d'information dans cette phrase) d'où un temps de réponse très bon, sans engagement (liberté quand tu nous tiens), payable mensuellement, dans mes prix, une équipe visiblement compétente et passionnée, une offre claire sans limites bidons (pas d'option payante par-ci par-là, pas de limite bloquante (ex. : nombre de connexions simultanées aux bases de données, max "hits", ...) ici et là), du SSL presque partout (espace client, Plesk, phpmyadmin, ...) ... Pour l'instant, je n'ai que trois bémols à signaler : on utilise encore des applications propriétaires comme Plesk, le FTPS n'est pas proposé et l'hébergement est payable par allopass ce qui laisse une porte ouverte à une certaine clientèle à même de faire laguer les autres hébergements avec des applications non optimisées et des comportements suspects ;). Reste à voir la réaction du matos et de l'équipe de Free-h lorsque ce genre d'incident survient.

J'ai profité de la migration pour faire quelques optimisations qui n'étaient pas possibles sur l'ancien serveur comme activer la compression des contenus avant envoi au client ou avoir des permaliens plus clairs (date + titre du billet), par exemple.

J'ai également vérifié, un minimum, la sécurité : application à jour, htaccess "complet" (en fonction de mes connaissances en fait), prendre connaissance de mon nouvel environnement (configuration matérielle et logicielle du serveur, réseau ...), ...

Je profite de ce billet pour vous dire que le GuiGui's Show est désormais accessible intégralement via le protocole HTTPS. Oui, même les images. Pour ceux qui veulent laisser le choix entre HTTP et HTTPS à leurs visiteurs et qui galèrent avec les images et autres contenus : Enable Complete support for SSL on WordPress chez Pro Sauce. Bon d'accord, le certificat est celui de Free-h et pas le mien donc vous allez vous manger un message d'avertissement de votre navigateur. Mais 2011 a bien montré la limite des certificats X.509 (même si des mecs avaient déjà conceptualisé tout ça depuis bien longtemps). Bon d'accord, le certificat est signé par AlphaSSL qui est un prestataire low-cost qui me semble avoir la main très légère sur les vérifications d'identité. Bon d'accord, AlphaSSL appartient à GlobalSign, autorité de certification dont le ComodoHacker prétend avoir eu accès. Mais malgré tout, le GuiGui's Show est accessible en HTTPS :D.

Et pour ceux qui s'exclament "WTF ! il t'as fallu tout ce temps pour choisir un hébergeur et migrer un simple blog ?!" : oui 😀 . Ce blog n'est qu'un passe-temps, un lieu où je viens partager mes connaissances et mes découvertes. Ce n'est donc pas un blog professionnel, pas un blog qui génère des revenus et créer de l'activité. Donc, comme tout passe-temps, il a une priorité moins forte quand d'autres activités chronophages mais plus importantes entre en concurrence avec lui.

Voilà, ce billet touche à sa fin. Par contre, vous allez devoir attendre un peu avant de voir arriver de nouveaux billets techniques :).

À l’heure du déjeuner, j’écoutais Claude Guéant faire son show à propos de l’incendie du local parisien de Charlie Hebdo et je souhaite réagir brièvement.

Je remarque une première chose : alors que le gouvernement et les députés appelaient au respect de la présomption d’innocence il y a encore peu dans l’affaire Squarcini, les voici qui ont déjà jugés cet “attentat” : c’est forcement des intégristes islamistes (notez, au passage, le lien qui est fait entre intégriste islamiste et attentat ... FEAR ! 2012 approche donc FEAR !). Et oui, ils ont une bonne tête de vainqueur, les intégristes islamistes ... Tss ... Même quand une piste nous paraît la plus crédible parmi les autres, on se doit de garder une réserve, au cas où ... Dans l’affaire présente, la récente satire “Charia Hebdo” pourrait très bien avoir été un prétexte pour d’autres personnes sans aucun lien avec l’islam de se venger du journal pour de précédents articles et/ou de jeter encore de l’huile sur la question brûlante de la place de cette religion dans la République. Le doute doit être permis mais il doit l’être pour tout le monde, pas que quand ça nous arrange. Je dis ça, je dis rien.

Puis je remarque une deuxième chose : Guéant me parle de liberté de la presse et de ... quoi ? ... “liberté d’expression”. Avec les 5 ans de règne de l’UMP, je ne sais même plus ce que c’est que ce truc mais en tout cas ça leur semble soudain très important. Ça l’était moins dans l’affaire Wikileaks ... Ça l’était moins dans l’affaire Copwatch-nord-idf il y a encore peu ... Et pour la liberté de la presse, cela semblait peu important lors de la récente (encore !) affaire des Fadettes ... Pour Wikileaks et copwatch-nord-idf, je ne veux pas remettre en cause leur utilité, mais je suis ouvert pour parler de la mauvaise méthode utilisée par le second.

C’est dingue comme ces membres du gouvernement changent d’avis très rapidement quand ça les arrange bien. Mais bon, on est habitué ... on pourrait passer une semaine à temps plein (voir plus ...) à lister les retournement de veste express du gouvernement français. Le dernier retournement important en date qui me vienne à l’esprit, c’est la Libye, Amesys puis l’intervention de l’OTAN dans ce pays quelques temps après.