Soit un abonné à internet quelconque pris dans la tourmente de la loi qui se verrai couper sa connexion au réseau au motif, donc, d’un défaut de sécurisation de son accès. Outre le fait, comme signalé dans l’article de Marc Rees, que la haute autorité devrait transmettre au parquet le fait qu’il y ai eu une infraction au droit d’auteur pour que des poursuites soient engagées, on sait aussi que le ayants droits peuvent tout à fait lancer ce type de procédure en même temps que les saisines adressées à la HADOPI.

Deux cas de figures possibles :

L’abonné n’est lui-même l’auteur du téléchargement illégal. Il peut donc être poursuivi par la haute autorité pour défaut de sécurisation de son accès mais aucune poursuite basée uniquement sur les relevés d’adresses IP effectués par les ayants droits ne saurait avoir lieu sans investigation complémentaire, la simple adresse IP ne pouvant préfigurer de qui était derrière l’IP à l’instant ou l’infraction a été commise.

L’abonné est l’auteur du téléchargement illégal. Il commencera donc par être poursuivi par la haute autorité qui l’aura flashé sur les autoroutes de l’information et probablement condamné à une coupure d’accès et/ou à une amende légère s’il est flashé trois fois de suite. Il sera donc condamné, d’après la loi, parce qu’il n’aura pas veillé “à ce que cet accès ne fasse pas l’objet d’une utilisation à des fins de reproduction, de représentation, de mise à disposition ou de communication au public d’œuvres ou d’objets protégés par un droit d’auteur ou par un droit voisin sans l’autorisation des titulaires des droits prévus aux livres Ier et II lorsqu’elle est requise.” (Art L336-3)

Il pourra (devra, si on suit l’article 40 du code de procédure pénale) aussi être poursuivi par le parquet avec les ayants droits en tant que parties civiles pour l’acte de mise à disposition illégale du fichier en lui même.

Quelle serait alors la probabilité qu’un juge estime qu’une condamnation au motif de contrefaçon serait une double peine, partant du principe que “ne pas veiller à la bonne utilisation de son accès internet” et “mal utiliser son accès internet” sont deux actions identiques exprimées de deux façon différentes. HADOPI deviendrait donc une possibilité simple pour se protéger de tout risque de poursuite directe de la part des ayants droits ?

Amis juristes, éclairez moi, j’ai l’impression que je déraille totalement.

Crédit photo : Ian Lloyd (flickr)

Après les émotions d’hier, il est temps de revenir à nos bon vieux fondamentaux techniques.

Laissons de coté les croyances de certaines personnes haut placées mélangeant firewall et traitement de texte. Un firewall c’est un logiciel (non, pas un matériel, malgré ce que d’autres personnes tentent de vendre) qui sert à filtrer des paquets.

Nous avons deja abordé le fonctionnement d’IP et de TCP, je n’y reviendrais donc pas.

Contrairement à une croyance tenace, probablement hérite de films plus ou moins anciens, on ne peut pas, même en étant très doué, pirater tout et n’importe quoi via internet.

La première chose à avoir pour pirater une machine, c’est une porte qui puisse être défoncée. Dans la vrai vie, vous pouvez toujours taper dans un mur dans le but d’y faire un trou pour rentrer, sur le réseau, si une machine refuse vos demandes de connexions pernicieuses, vous ne pourrez jamais la forcer à les accepter.

Partant de la, un firewall sur une machine qui refuse déjà toute connexion, ca n’a strictement aucune utilité.

La ou ça a un intérêt, c’est

• d’une part lorsqu’on ne maîtrise pas ce qui est installé sur une machine (généralement faute de compétences) .
• mais aussi et surtout lorsqu’on souhaite autoriser de manière sélective l’accès à des ports ou renforcer la sécurité de logiciels qui ne proposent que des contrôles trop légers à son gout.
• et enfin, les firewall peuvent également servir à filtrer le trafic sortant. C’est par exemple le cas des réseaux d’entreprise qui veulent interdire MSN, le P2P ou autre.

Quelques exemples pratiques :

• Madame Michu a tout un tas de logiciels sur son PC. Elle a activé le firewall de Windows pour se protéger comme Mme Albanel elle a dit. Mme michu devrait penser à aller faire un tour dans les paramètres du firewall pour bien vérifier que des logiciels ne se sont pas octroyés plus ou moins discrètement le droit de passer outre la protection.
• Un hébergeur peut installer un firewall centralisé entre sa sortie vers internet et ses clients pour gérer en un seul point la sécurité de la plateforme. Dans ce cas, on pratique généralement le “tout est fermé en entrée et on ouvre sélectivement ce dont on a besoin et tout est ouvert en sortie et on ferme sélectivement ce qui pose problème au cas par cas”.
• Une entreprise dont le patron est très axé productivité peut installer, en plus d’un routeur qui fait du NAT (et protège donc mécaniquement de tout trafic entrant, tout en permettant de n’avoir qu’une seule IP publique), un firewall filtrant le sortant pour n’autoriser que l’accès au web, voir pire, une redirection automatique vers un proxy qui permettra de choisir précisément quels sites peuvent être autorisés ou interdits.

Si vous avez bien suivi les exemples, vous avez compris qu’un firewall peut se trouver aussi bien sur la machine finale à protéger qu’en amont dans le réseau. Intéressons nous au second cas en détaillant un peu le fonctionnement.

Comme je l’ai dit dans quelques précédents articles, un paquet de données sur internet transporte plusieurs informations (en plus de sa “charge utile” : la partie du paquet constituée des données à transmettre) dont :

• Les adresses IP source et destination
• Les ports source et destination
• Le protocole utilisé au dessus d’IP
• Les éventuels numéros de séquence de la connexion s’il s’agit de TCP

Le logiciel faisant office de firewall dispose d’un certain nombre de directives autorisant ou interdisant les éléments ci dessus.

Le comportement générique d’un firewall (celui qu’on voit le plus souvent chez le particulier) est d’interdire la totalité de ce qui peut entrer et d’autoriser tout ce qui peut sortir.

Si vous êtes un peu au calme et attentif, vous avez tout de suite saisi le problème. Il n’y a pas de notion de communication mais uniquement des paquets sur le réseau. Si on autorise toutes les sorties mais qu’on interdit toutes les entrées, on ne risque pas de pouvoir communiquer avec qui que ce soit.

Pour contourner ce problème, le firewall fait un suivi systématique des connexions légitimement ouvertes et fermées. Concretement, lorsque votre navigateur va établir une connexion avec l’extérieur, il choisi un port local et envoie son paquet a destination de dehors sur le port 80 (web). Le firewall va stocker les 4 informations (port et IP source, port et IP destination) pour laisser passer la réponse (qui aura strictement les mêmes informations mais dans l’autre sens). Lorsqu’une demande de clôture passe, le firewall supprime cette autorisation temporaire (il la supprime aussi s’il n’a pas vu passer de paquets depuis un certain temps de l’ordre de quelques minutes pour éviter de laisser une porte béante ouverte si la communication n’a pas été terminée proprement.

Dans une activité de protection de serveurs, ce fonctionnement n’est pas nécessairement opportun. On prendra par contre soin d’ouvrir en entrée le port 80 d’un serveur web pour que les visiteurs puissent accéder au contenu. A coté de ça, si la machine n’a pas besoin d’accéder au réseau, toutes ses sorties seront fermés pour éviter qu’un attaquant ayant éventuellement compromis la machine ne puisse l’utiliser pour faire du mal ailleurs.

Mais, me direz vous, si on fait bien attention à ce qui tourne sur une machine et qu’on n’a donc que le strict nécessaire et que les autres ports sont fermés, à quoi sert le firewall ?

Eh bien par exemple, si vous installez un serveur MySQL et que vous souhaitez qu’il puisse être consulté depuis une machine ailleurs sur le net, même si MySQL embarque un contrôle d’accès par identifiants et par IP, le port 3306 sera tout de même ouvert à tous les vents et exposera donc la machine a un petit malin qui pourrait vouloir y rentrer ou le harceler dans le but de le faire planter ou de le saturer. On prendra donc soin d’interposer un firewall qui ne laissera passer le trafic que depuis le serveur distant qu’on souhaite autoriser et qui fermera de facto le port aux autres IP qui pourraient vouloir tenter de se connecter.

L’avantage du firewall situé sur le réseau, c’est que la sécurité est centralisée. Si vous détectez une IP qui tente d’entrer par tous les moyens,  vous pouvez la bloquer pour l’ensemble du réseau d’un seul coup. Le problème de la centralisation, c’est que si votre firewall rencontre une difficulté (plantage, saturation, mauvaise configuration…), toutes vos machines sont plus ou moins dans le noir.

C’est pour quoi on porte généralement une attention toute particulière à tout ceci et que les machines les infrastructures les plus critiques disposent soit d’un firewall dédié en amont, soit d’une configuration de protection locale, voir des deux, couplé à un système permettant de contourner un firewall “en panne” pour ne plus reposer que sur la configuration de sécurité locale.

Lorsque dans un film, vous entendez l’acteur jouant le rôle du héro-robin-des-bois crier qu’il a réussi à casser le deuxième firewall et qu’il en reste encore 3, c’est pour le show. on empile rarement 5 firewall et au final, le problème de sécurité se situe le plus souvent sur l’application qui est ouverte à tous les vents sur le firewall que sur celle qui est masquée derrière un port fermé.

En matière de sécurité, la règle est simple : plus un logiciel est utilisé et répandu,  plus il est sujet à des problèmes de sécurité. Non qu’il soit plus vulnérable en lui-même, il est simplement plus intéressant pour une personne souhaitant exploiter une faille de passer du temps à casser un logiciel répandu qui lui ouvrira les portes de nombreuses machines plutôt que de tester les vulnérabilités d’un logiciel rarissime.

Crédit photo : rouge & bleu (flickr)

Hier soir, j’ai prévenu ma fille (4 ans) qu’aujourd’hui je rentrerais tard parce que j’avais beaucoup de travail et qu’il faudrait qu’elle et son frère soient sages avec maman.

Fatalement, elle m’a demandé “et tu va faire quoi au travail ?”. Je me suis creusé un peu la tête, et la seule façon que j’ai trouvé de lui expliquer à été de lui dire “Je vais voir des gens très importants pour leur expliquer qu’ils faut qu’ils réparent quelque chose que d’autres gens ont cassé”. Ce à quoi elle a tout naturellement répondu “ils ont fait une bêtise les autres gens ? C’est pas bien”.

Voila, la vérité sors de la bouche des enfants …

Aujourd’hui avait donc lieu l’audience au conseil d’état à propos de la demande de référé-suspension déposée par FDN fin août contre les décrets d’application d’HADOPI.

Pour ceux qui débarquent, FDN a déposé deux recours sur le fond (qui prennent plusieurs mois avant d’obtenir une décision de la part du conseil) sur les deux décrets décrivant respectivement la manière de collecter les données nominatives des internautes pointées du doigt pour mauvais traitement à des oeuvres protégées par des droits d’auteurs, et d’autre part la procédure à appliquer en matière d’envoi d’avertissement par email, courrier, puis le lancement d’une procédure pénale en vue d’une condamnation pour défaut de sécurisation de son accès internet.

FDN a également déposé un recours en référé suspension sur le décret instaurant les modalités d’information/répression, procédure plus rapide (à la fois dans le délais avant l’audience et dans le délais entre l’audience et l’ordonnance du juge) dont le but est de suspendre (et pas d’annuler) le décret en question. Le motif principal de cette suspension est le fait que le décret en question se base principalement sur le précédent qui est jugé illégal par FDN puisque l’ARCEP n’a pas été consulté avant la parution du décret. Entre temps, FDN a trouvé quelques autres motifs qui ont été ajoutés au dossier.

Pour les gens pressés à qui mes tartines font peur, sachez que le président de l’audience rendra son ordonnance mercredi prochain. Les parties auront cette ordonnance en priorité, les médias suivront.

Je tiens, avant de commencer :

• à m’excuser d’avance si la qualité orthographique du présent billet n’est pas satisfaisante, mais la journée à été rude, il faut battre le fer pendant qu’il est chaud, et je ne pourrais donc pas faire une relecture poussée.
• à remercier l’ensemble des gens qui ont activement participé à la propagation de l’information sur mon livetweet, je ne pourrais malheureusement pas les recontacter tous. C’était probablement le premier direct depuis une audience au conseil d’état.

Les parties en présence étaient :

• pour FDN, Benjamin Bayart (le président de l’association) et Jérémie Zimmermann (porte parole de La Quadrature du Net)
• Pour le ministère de la culture, trois personnes dont j’ignore le nom (je m’en excuse auprès d’eux, mais aucune présentation n’a eu lieu avant l’audience)
• Pour le ministère de la justice, trois autres personnes (même motif, même punition, mêmes excuses)
• Deux personnes du conseil d’état qui seront probablement en charge du jugement sur le fond des recours portés par FDN, ils n’ont pas pris part à la discussion (idem que les six précédents du coté des noms)
• Le juge du référé, Bernard Stirn, qui est également le président de la section du contentieux du conseil d’état
• La greffière, personne par ailleurs très avenante et sympathique (merci de votre accueil, si d’aventure vous veniez à lire ce billet)

Le public (les audience du conseil d’état sont ouvertes au public) :

• Quelques membres de FDN (ça se compte sur les doigts d’une main)
• Deux journalistes (AFP & Bloomberg)
• Trois étudiants en droit (qui ont bien ri de nos blagues avant l’audience)
• Une poignée de personnes que je n’ai pas su identifier

Que se passe-t-il en amont d’une audience au conseil d’état ?

Chaque partie en présence envoie un mémoire récapitulant ses arguments dans l’affaire devant être jugée. En l’espèce, FDN était requérant (à l’origine de la demande auprès du conseil), le ministère de la culture, porteur originel du projet de loi, était défendeur, accompagné du ministère de la justice, c’est donc FDN qui a, le premier, transmis son dossier au conseil, dossier auquel les deux ministère ont répliqué en début de semaine. FDN à ajouté un second mémoire portant sur le renversement de la charge de la preuve, préparé dans la nuit et faxé ce matin même, auquel le ministère de la justice à répondu aux alentours de 15h45.

Ces documents sont ceux sur lesquels le président de l’audience se basera pour rendre sa décision, en plus du débat qui a eu lieu pendant l’audience elle-même. Ils sont majoritairement constitués de suite de termes juridique qu’on peut qualifier de barbares, avec une mention spéciale poilue à celui produit par FDN, puisque le président et les membres du bureau ont participé à sa rédaction.

FDN n’était accompagné d’aucun conseil (avocat) à l’audience (même si nous avons eu de sérieux coup de main dans la préparation des mémoires, les intéressés se reconnaîtront, MERCI !)

Comment ça s’est passé ?

Nous nous sommes retrouvés au bar jouxtant les batiments du conseil d’état vers 16h avec quelques membres de FDN, le président et votre serviteur. Nous avons descendu quelques cafés pour bien pousser notre stress pendant que le président revoyait son argumentaire suite à la réponse tardive du ministère de la justice.

Vers 16h30, nous avons tous migré vers le conseil d’état ou nous avons, après avoir patienté dans le hall d’accueil, été reçu par la greffière qui nous a rapidement expliqué le déroulé de l’audience.

Vers 16h55 nous sommes montés dans la salle, chacun à pris sa place, et le président a débuté la séance à 17h pile (tocsin de l’horloge de la salle faisant foi) par un récapitulatif de la problématique du jour.

Je ne vous ferais pas le détail de l’ensemble de l’audience, je l’ai livetweetée. Vous pouvez la relire ici. Une extraction PDF légèrement retravaillée est disponible ici. La séance s’est terminée sur le même tocsin d’horloge (marquant 18h) à peine une demi seconde après la dernière phrase du représentant du ministère de la justice. Il était temps, nous avions tous soif.

Juste quelques impressions d’un spectateur :

• Les locaux du conseil sont assez intimidants. Vous voyez Versailles ? On est pas loin, il y a juste moins de dorures.
• Le président n’intervient que très peu au cours de l’audience.
• Les divers représentants des ministères se sont surtout appliqués à recentrer le débat sur les termes légaux et ce qui semble être le protocole d’une audience au conseil d’état.
• Benjamin, malgré sa tendance à lancer des trolls poilus a réussi à se maîtriser pour ne pas (trop) couper la parole à ses interlocuteurs
• Il a fait quelques écarts purement techniques mais bien vulgarisés pour illustrer son propos et les conséquences concrètes des divers points abordés.
• L’audience elle-même concerne, comme on pouvait s’en douter, les parties présentes à la table, il a donc parfois été très difficile de saisir les phrase qui ont été échangées, nous étions assis à une bonne quinzaine de mètres des deux principaux orateurs.

Et maintenant ?

Ben maintenant on attends.

Une impression d’un membre de FDN pour finir (parce que je sais qu’au fond, vous n’attendez que ça).

La façon dont le président a terminé l’audience nous laisse à penser que nous n’avons pas totalement perdu notre temps. Maintenant, étant donné que nous avons tous, aujourd’hui, mis les pieds au conseil d’état pour la première fois de notre vie, on peut aussi se tromper.

Me voila arrivé à la limite des zones de couverture 3G, je vous retrouve bientôt pour des billets vulgarisateurs (ou vulgaires), des critiques ouvertes, des howto, des dialogues constructifs, etc …

Bonne soirée !

Crédit photo : José Goulão (flickr)

Une fois n’est pas coutume, je ne vais pas m’adresser en priorité aux néophytes et amateurs de tous poils mais à mes collègues du réseau (les autres peuvent lire quand même, hein).

Nous sommes tous d’accord, le filtrage d’internet, c’est mal. Que ce soit imposé par l’état, par des boites privées ou par le patron de sa boite.

Parmis mes activités non documentés, j’ai, pendant quelques temps, participé à une association qui faisait la chasse aux pédophiles et dont les principaux buts étaient la sensibilisation des gens au problème et surtout l’amas d’information pour aider les forces de l’ordre à retrouver les enfants (enfermer les méchants c’est bien, retrouver les victimes, c’est mieux).

Nous sommes tous d’accord, la pédophilie, c’est ultra mal. C’est le levier qu’utilise aujourd’hui le législateur pour faire avaler la pilule du filtrage d’internet à l’opinion publique. Comment répondre “non, filtrer c’est pas bien” quand on vous parle de familles et d’enfances détruites ?

Pourtant, ce n’est pas la seule voie. Dans un article paru il y a peu, Numerama expose les chiffres de la lutte contre ce fléau en Allemagne ou l’heure n’est pas au filtrage mais à la suppression. Manifestement, ça marche, 98% de suppression dans un délai d’une semaine et 100% en une journée pour les contenus hébergés dans le pays. Mais pour que ça marche vraiment, il faut que tout le monde s’y mette.

Je parlais il y a peu de “sursaut de conscience populaire” avec quelqu’un qui se reconnaitra. Ne lui en déplaise, je pense que d’autres sursauts des consciences sont plus importants aujourd’hui que celui qu’il a en tête.

Il est est globalement difficile de trouver ce genre de contenu, même en le cherchant explicitement, mais on peut parfois tomber dessus par hasard et il existe bel et bien.

Vous êtes administrateur système ou réseau ? Partez à la chasse, récoltez les données permettant l’identification et transmettez les aux forces de l’ordre directement (IRCGN, STRJD, CNAIP, N-TECH …) ou via le site de signalement www.internet-signalement.gouv.fr.

Vous êtes geek et savez vous débrouiller avec le réseau ? signalez les contenus douteux à l’opérateur ou ils sont hébergés et via le site ci-dessus. Sensibilisez votre entourage à ces bons réflexes.

Pour vous internet est un gros nuage obscur et magique ? Vous pouvez lire ce blog et surtout sensibiliser vos élus à l’importance de faire le bon choix en matière de traitement de l’illégal sur le réseau.

Cacher un trafiquant de drogue pour qu’on ne puisse pas le voir ne l’a jamais empêché de vendre sa marchandise. C’est pareil pour la pédopornographie. Montrons qu’il n’y a pas besoin de loi spécifique pour réguler le réseau sur des questions aussi critiques et sans équivoques.

(cet appel est, comme le reste de ce blog, un contenu sous licence creative commons. N’hésitez pas à tweeter, facebooker, diffuser, copier, adapter, traduire …)

Le conseil d’état se prononcera demain à 17h (idéal comme occupation pour l’apéro) sur le recours exercé par FDN cet été. Le juge du référé sera le président de la section du contentieux, Bernard Stirn. FDN à reçu hier et aujourd’hui les observations du ministère de la culture et du ministère de la justice qui s’est invité tout seul à la fête. Certains passages sont pour le moins … surprenants.

Stay tuned & follow @turblog on twitter. Accrochez vous bien, ça risque d’être rapide comme séance de livetweet.

Crédit photo : Le Monolecte (flickr)

Gruik gruik. Bon, ok, on parle de ports. Donc ni de porcs ni des endroits ou on range les bateaux meme si ca s’ecrit pareil. Il faudra lire l’article en entier pour comprendre l’illustration.

En informatique, un port designe deux choses

• les endroits ou vous branchez les cables sur une machine (port serie, port USB …)
• de petites choses tres virtuelles dont nous allons parler tout de suite.

Voyons comment vulgariser la chose. Les réseaux informatiques fonctionnent par couche. La couche la plus haute (7, ou 5 selon les représentations) est généralement le protocole parlé par l’application que vous utilisez. Votre navigateur web, par exemple, sait entre autre parler avec le protocole HTTP, base du web (à ne pas confondre avec le langage HTML qui, lui, sert à “programmer” les pages web elles-mêmes). La plus basse (1), c’est le protocole qui sert à coder le signal sur le support de transmission (modulation de fréquence électrique, de fréquence radio, …)

Lorsqu’une application de couche haute souhaite communiquer, elle parle à la couche inférieure. Ainsi, votre navigateur web parlant HTTP va envoyer à la couche transport (4) une demande “hey, je veux établir une connexion avec telle adresse IP en TCP”. Cette couche va discuter avec celle d’en dessous (3) qui va mettre toutes ces informations dans un paquet IP puis descendre le tout au niveau inférieur (2)  qui sait comment causer à la carte réseau qui va elle-même traduire le message sur votre câble réseau (1) jusqu’au modem ADSL qui va dépiler toutes ces informations pour remonter jusqu’à la couche 3 afin de savoir ou envoyer le paquet (et ainsi de suite de routeur en routeur qui dépilent et empilent les données entre la couche 1 et la couche 3) jusqu’à la destination qui remontera au dessus à la couche 4 pour vérifier que la transmission est bien passée et envoyer la donnée utile (l’adresse du site que vous voulez consulter) au serveur web qui va formuler sa réponse et rebelotte dans l’autre sens.

C’est un peu imbitable, je sais, mais la morale de l’histoire à retenir, c’est que les couches inférieures n’ont strictement aucune notion de ce que savent faire les couches supérieures (c’est également vrai dans l’autre sens). En gros, votre navigateur web ne sait pas transporter des paquets dans un réseau et un modem ADSL ne sait pas ce qu’est le protocole HTTP.

Partant de la, pour que la liaison puisse se faire correctement, les logiciels de couche 5 discutent avec TCP (situé en couche 4 si vous avez bien retiendu la leçon) via des numéros dis “numéros de ports”. Il y en a 65534 disponible dans le protocole TCP (et pareil en UDP). Lorsque votre machine discute avec l’une de ses semblable dans l’un de ces deux protocoles dédiés au transport d’information, la transmission est identifiée par l’adresse IP source, l’adresse IP destination mais aussi le port source et le port destination. C’est ce qui vous permet de pouvoir télécharger une page web pendant que votre client peer2peer fonctionne sans que tout ne se mélange à l’arrivée.

Pour faire une analogie foireuse (once again), imaginez que vous ne puissiez pas voir ni comprendre pourquoi quelqu’un qui frappe à votre porte est la. Vous établiriez un code qui dirait que le facteur frappe au volet de la cuisine, le monsieur d’EDF à celui du salon et le livreur de lait sonne à la cloche. Votre maison disposerai donc de 3 ports de communication chacun dédiés à une fonction bien précise. Une fois la personne qui arrive est bien identifiée, elle peut rentrer dans la maison (la couche haute) par la porte.

Dans la pratique, les 65000 et quelques ports sont loin de tous être dédiés à une fonction précise. On compte un peu plus d’un millier de ports réservés par des applications courantes en TCP comme en UDP, mais dans l’absolu chacun fait ce qu’il veut. Un serveur web tourne traditionnellement sur le port 80 mais rien ne vous empêche d’en faire tourner un sur le port 42687 ou sur le 22 théoriquement réservé à SSH.

Pour revenir rapidement sur les différences entre TCP et UDP, déjà abordée dans un billet précédent, le distingo majeur est que TCP contrôle la transmission. Chaque paquet est numéroté et vérifié avant d’être envoyé au logiciel du dessus, de sorte qu’il est impossible qu’une information détériorée n’y parvienne, contrairement à UDP qui permet de passer les paquets dans l’ordre de leur arrivée (qui n’est pas nécessairement l’ordre d’émission)

Pour bien comprendre, prenez le cas du téléphone via internet qui utilise UDP. Quand il y a un problème sur le trajet, vous n’entendez plus votre correspondant (ou bien si le problème est vraiment très court vous entendez un petit glitch dans la conversation). Dès que le problème est résolu, la communication est rétablie et vous continuez à discuter.

Imaginez maintenant que le téléphone sur IP fonctionne sur TCP. En cas de problème de transport, TCP renvoi les demandes en disant “j’ai pas bien reçu la réponse, recommence” jusqu’à ce que la séquence de paquet soit continue et propre. La séquence en question contenant votre voix, si le problème dure mettons 5 secondes, lors du rétablissement, soit vos 5 secondes de paroles seront compressées et restituée à votre interlocuteur bien plus vite que l’original (donc incompréhensible), soit votre conversation sera décalée de 5 secondes.

C’est pour cela qu’on qualifie donc généralement UDP de protocole de transport pour les applications temps réel ou la récupération de données datant de plus de quelques milisecondes n’a aucune espèce d’importance, alors que TCP est utilisé pour tout le reste ou il faut absolument avoir toutes les données en bon état pour que ça fonctionne mais ou on n’est pas a une ou deux secondes près (une page web avec des images pleines de trous, ça le fait pas)

Crédit photo : Giorgio Montersino (flickr)

Notre amie haute autorité du moment a encore sorti un communiqué de presse aujourd’hui (après celui de samedi qui gueulait après un site proposant une assurance juridicotechnique contre les sanctions de la nouvelle loi).

Et je me fends la poire. Je découvre avec grande joie le monde impitoyable de la presse avec ce blog, c’est un grand bonheur.

Grosso modo, la presse, c’est un tas de gens qui se tirent la bourre à longueur de temps (24h/24 et 7j/7) pour savoir qui sortira son article en premier sur le dernier sujet sensible du moment. Vous ajoutez à cela l’immédiateté de la publication d’internet et vous obtenez un tas de gens accroché aux basques des gens qui publient des communiqués pour les reprendre partiellement, en tirer juste ce qui les intéresse (en bien ou en mal) sans jamais publier le communiqué en lui même.

Comme en prime, le sujet HADOPI est grââââve à la mode en ce moment, ça fleuri, ça foisonne !

Alors c’était quoi, ce communiqué de presse ? C’était la haute autorité qui repousse la date de la fin de la consultation à propos des logiciels labellisés HADOPI censés sécuriser l’ordinateur de Madame Michu.

Et la, les journalistes, ils rapportent l’info sur une demi ligne, dévient pendant deux pages sur une probable violation du droit administratif quand HADOPI contraint les gens à s’identifier pour obtenir le document. Certains vont même jusqu’a prétendre que l’argument avancé dans le communiqué de presse (“La question de la protection et de la sécurisation des accès à internet est cruciale à l’heure où le numérique revêt une dimension toujours plus importante et soulève de plus en plus d’intérêt”) est faux …

Ben non les enfants, parce qu’à force de faire du bruit, ça soulève de plus en plus d’intérêt. Moi, par exemple, j’aime bien gueuler contre les lois que je trouve idiotes, mais j’aime bien creuser un peu aussi, et cette consultation j’aimerais bien y répondre parce qu’avec le bruit qui a été fait autour de tout ça cet été dans nos petites galaxies associatives, je me suis intéressé au sujet, mais le 10 septembre, ça faisait trop court comme délai pour moi.

Quand est-ce que les journalistes se posent 2 minutes pour réfléchir à leurs papiers et faire un travail de fond sans toujours chercher le sensationnel qui va leur rapporter de l’audience (et/ou de la page vue) ? Manifestement jamais. Il n’y a que les gens qui s’intéressent réellement aux sujets qui prennent le temps de les creuser (au grand bonheur des journalistes qui font ce qu’ils savent bien faire, tirer le truc intéressant et jeter le reste).

Par exemple, comme travail de fond, on pourrait citer celui de la Quadrature à propos d’HADOPI. Partisan, certe, mais propre, argumenté, documenté et très bien illustré. En un mot, bravo. Les autres ne font finalement office que de flux RSS avec une fonction “résume moi ça en une page” … Dommage que ce soit au détriment du contenu et de l’information.

Décision du conseil d’état à propos de la demande de suspension du décret 2010-872 formulée par FDN mercredi 8 septembre à 17h. J’ai prévu de livetweeter la chose (@turblog et dans le blender situé dans la première colonne à droite de ce blog) si d’aventure la SNCF m’autorise à me déplacer sur Paris, ce qui semble faisable, d’après le planning prévu.

Et puis, moindre importance mais il y aura des bulles, la réunion préparatoire pour la constitution d’un FDN Like Parisien. Ça se passe au Trappiste (au début de la rue St Denis) vendredi en fin de journée.

Crédit photo : Simon Collison (flickr)

En tant qu’interface chaise clavier (oui, c’est de vous que je parle), pour connaitre l’IP qu’utilise votre ordinateur, vous pouvez lancer ipconfig qui va vous renseigner sur l’adresse de l’ordinateur. Si cette adresse commence par 10, par 192.168, par 172.16 (et une poignée d’autres que je ne détaillerai pas ici tant on les croise rarement), vous avez perdu, c’est une adresse locale qui ne va pas plus loin que le modem ou le routeur qui se situe à proximité.

Pour connaitre votre adresse sur internet, vous devez utiliser un petit service extérieur, par exemple ici.

L’IP n’a rien de confidentiel puisque comme je l’ai deja expliqué dans d’anciens articles, chaque paquet de données qui sort de chez vous la porte sur le front comme le nez au milieu de la figure. Le service qui vous l’indique ne fait donc pas de magie noire, il ne fait que l’extraire de votre propre demande pour vous la montrer.

Mais le sujet de ce billet s’adressait surtout aux machines elle-mêmes. Pour ressituer la problématique, nous allons encore une fois prendre windows comme exemple. Vous êtes peut-être déjà consulté la rubrique “paramètres réseaux” et constaté, au choix, que l’adresse locale de votre machine était renseignée à la main ou, plus probablement, que la case “obtenir automatiquement une adresse” était cochée.

Alors, comment marche cette attribution automatique ? Tant que l’ordinateur n’a pas d’IP, il ne peut théoriquement pas communiquer avec ses petits copains, sauf qu’à coté d’IP existe un protocole nommé ARP qui fonctionne avec les adresses MAC (voir par ici pour avoir une vague idée de ce que c’est).

Concrètement, le PC sans domicile fixe va envoyer un SOS général à tout le reseau local, demandant en gros “heee, y’a quelqu’un qui peut me renseigner ??”. La, deux solutions :

• soit il n’y a personne et, au bout d’un certain temps l’ordinateur abandonne et choisi une IP au hasard dans un bloc privé (c’est ce qui faisait que les PC sous Windows dans les années 90 mettaient tant de temps à démarrer lorsqu’ils étaient sur un réseau local mal configuré, maintenant ça va mieux, Windows n’attendant pas bêtement d’avoir une IP valide pour finir de démarrer).
• soit une machine embarque de quoi parler DHCP et peut fournir l’information. Le logiciel en question regarde l’adresse MAC du demandeur (seul information nominative concernant la machine qui soit disponible à ce stade de la configuration réseau) et suit ses directives de configuration pour repondre sur le réseau “toi, la machine qui à telle MAC et qui se demande qui elle est, je t’annonce que ton nom est machin, que ton adresse c’est truc, que pour sortir d’ici il faut demander à telle adresse et que si t’as besoin de poser des questions à un DNS, c’est par la que ca se passe”.

Mais DCHP ne s’arrête pas à ça. Il est aussi capable par exemple d’indiquer à une machine quelque chose qui ressemble à “si tu n’as pas de système d’exploitation disponible, tu peux aller demander de quoi démarrer à l’autre la bas”. Il indique aussi une durée de vie à l’information qu’il fourni. Passé ce délai, votre ordinateur va aller reposer la question pour obtenir des infos fraiches (qui, la plus part du temps, n’auront pas changé)

Ce mécanisme d’affectation d’adresses et d’informations réseau est, même s’il ne porte pas forcement le nom de DHCP, également utilisé par votre machinbox pour obtenir l’IP publique fournie par le FAI.

Le fait de bénéficier d’une IP fixe ne dispense pas nécessairement d’utiliser de l’allocation d’adresses dynamique, ne serait-ce que par exemple parce que les DNS peuvent changer et qu’il est tout de même plus simple de modifier la configuration d’un serveur central qui distribue l’information plutôt que d’avoir à prévenir tous les clients du changement et d’attendre jusqu’à la fin des temps qu’ils aient tous effectué la modification pour terminer sa migration.

Pour commencer, de quoi s’agit-il ? Le nom semble vouloir dire quelque chose, Loi d’Orientation et de Programmation pour la performance de la Sécurité Intérieure. Contrairement à HADOPI, cette loi est loin de ne concerner qu’Internet v.s. un autre secteur. Elle concerne en réalité la sécurité nationale dans les grandes largeur mais, contrairement au titre, elle est loin d’être une simple orientation. La discussion va redémarrer dans les prochains jours sur un texte de base accompagné de plus de 350 amendements (des propositions de modifications plus ou moins profondes du texte).

Ce texte traite, en vrac et sans tout reprendre, les problèmes de sécurité routière avec un durcissement des sanctions, la création d’un délit de distribution d’argent à des fins publicitaires dans la rue, l’assouplissement des règles concernant la vidéo surveillance, la création du délit de vente à la sauvette, l’autorisation des scanners corporels, la protection des agents des services secrets en cas de procès, la possibilité pour les préfets d’instaurer un couvre feu pour les mineurs, l’augmentation des pouvoirs des policiers municipaux, la création d’un délit d’usurpation d’identité sur internet, la possibilité, sur décision de justice, d’obliger tous les FAI à filtrer un site et, enfin, last but not least, la possibilité de recourir à la captation à distance de données informatiques.

Je ne suis pas allé lire le détail de tout ceci, ce sont bien entendu les deux derniers points qui attirent mon attention.

Le premier. Aujourd’hui, lorsque quelqu’un souhaite rendre inaccessible un site aux internautes français, à défaut de pouvoir le faire fermer, il fait un procès ou il assigne les fournisseurs d’accès. Il y a potentiellement un bon millier de fournisseurs d’accès en France, mais 99.9% des internautes français sont concentrés chez un petit nombre qui tient encore sur les doigts des mains. Ce sont donc ces FAI qui sont assignés et contrait, sous astreinte, de filtrer les sites incriminés (voir affaire ARJEL / Stanjames).

C’est furieusement inefficace, puisque les sites en question sont toujours consultables par les clients des autres FAI et surtout parce que ça coute un pognon fou pour en arriver à un bénéfice bien maigre pour la personne qui se sent lésée.

La solution idéale, serait qu’un juge puisse ajouter l’adresse d’un site à une liste que tous les FAI (sans exception) serait contraint de filtrer. Bon, concrètement, ça revient d’une part à rendre publique la liste de tous les sites pédopornographiques du monde, puisque c’est ce qui est visé par l’article proposé dans la loi, et d’autre part, ça crée un précédent en matière de filtrage global, ce qui risque inévitablement de mener à des dérives dans les mois ou années qui viennent. C’est peut-être pas l’idéal, messieurs les députés.

Le second, je vous met l’article proposé, c’est instructif :

« Art. 706-102-1. – Lorsque les nécessités de l’information concernant un crime ou un délit entrant dans le champ d’application de l’article 706-73 l’exigent, le juge d’instruction peut, après avis du procureur de la République, autoriser par ordonnance motivée les officiers et agents de police judiciaire commis sur commission rogatoire à mettre en place un dispositif technique ayant pour objet, sans le consentement des intéressés, d’accéder, en tous lieux, à des données informatiques, de les enregistrer, les conserver et les transmettre, telles qu’elles s’affichent sur un écran pour l’utilisateur d’un système de traitement automatisé de données ou telles qu’il les y introduit par saisie de caractères. Ces opérations sont effectuées sous l’autorité et le contrôle du juge d’instruction.

L’article 706-73 énumère : meurtre en bande organisée, torture et barbarie, trafic de stupéfiant, enlèvement, traite des êtres humains, proxénétisme, vol en bande organisée, extorsion, destruction en bande organisée, trafic de fausse monnaie, terrorisme, utilisation d’armes et d’explosif en bande organisée, blanchiment, association de malfaiteurs et non justification de ressources correspondant au train de vie.

Il semble que certains qualifient l’échange multilatéral de fichier protégés par le droit d’auteur de “vol en bande organisée”. Donc, concrètement, un juge peut décider d’imposer à un fournisseur d’accès d’installer au coeur de son réseau un équipement d’interception de trafic pour matérialiser des preuves contre une bande organisée s’adonnant au piratage de fichier. C’est un peu un tank pour écraser une mouche et ça n’a l’air de rien, mais on imagine aisément les dérives de la chose à l’avenir.

Ah, et s’il y a urgence :

« Art. 706-102-5. – En vue de mettre en place le dispositif technique mentionné à l’article 706-102-1, le juge d’instruction peut autoriser l’introduction dans un véhicule ou dans un lieu privé, y compris hors des heures prévues à l’article 59, à l’insu ou sans le consentement du propriétaire ou du possesseur du véhicule ou de l’occupant des lieux ou de toute personne titulaire d’un droit sur celui-ci.

Moralité, des OPJ risquent de se pointer un dimanche matin à 2h30 dans votre datacenter pour brancher un alcatel 7450 ESS à votre coeur de réseau et reconfigurer vos routeurs sans vous prévenir et sans vous demander votre avis. On leur souhaite bon courage, mais fort heureusement, le législateur a tout prévu :

« Art. 706-102-6. – Le juge d’instruction ou l’officier de police judiciaire commis par lui peut requérir tout agent qualifié d’un service, d’une unité ou d’un organisme placé sous l’autorité ou la tutelle du ministre de l’intérieur ou du ministre de la défense et dont la liste est fixée par décret, en vue de procéder à l’installation des dispositifs techniques mentionnés à l’article 706-102-1.

Je doute qu’il y ai des masses d’experts en matière de coeur de réseau opérateur, de BGP et compagnie, mais nous verrons bien.

En bref, maintenant, vous combinez les deux, et vous avez crée le fameux bouton rouge pour arrêter internet dont rêve Obama.

Sinon, à part ces articles un peu rédigés, le gros du contenu du projet de loi est constitué de “dans l’article bidule alinéa machin, le mot trois est remplacé par six” ou bien “après le mot confiscation est ajouté le mot obligatoire”, “les mots ‘à titre expérimental’ sont supprimés” et un somptueux “après le mot puni sont insérés les mots d’un an d’emprisonnement et”.

Vive la liberté !

Pour corriger ça et aussi pour récolter d’autres questions pertinentes si certains en ont (voir rubrique contact, la haut), vous trouverez ci dessous la liste des interrogations que je lui ai transmise ce jour. Il m’a promis une réponse dans le courant de la semaine prochaine.

Je me suis posé des questions sur l’opportunité d’organiser une interview live, mais il m’a semblé, au final, plus constructif qu’il dispose du temps nécessaire au développement de réponses plus intéressantes que ce que nous avons vu sur La Tribune, histoire d’engager une démarche de dialogue et pas d’opposition systématique comme je le disais hier dans mon billet-bisounours.

• Quelles sont précisément les missions actuellement définies et arrêtées de la haute autorité dont vous vous occupez ? (les nouvelles et les héritées)
• Qu’avez-vous à répondre (hormis que ce n’est pas vous qui faites la loi) aux gens qui critiquent la loi ayant crée la HADOPI, l’accusant de favoriser le direct download et le streaming, activités hautement rémunératrice pour quelques entreprises peu scrupuleuses au détriment du P2P qui ne détournait aucun fond financier de façon directe ?
• A ce propos, même si vous n’êtes pas partie prenante directe dans les méthodes de recherche des ayants droits, comment voyez vous la solution technique à mettre en place pour les observer et attraper les “vilain pirates” utilisant d’autres méthodes de téléchargement que le P2P ? N’est-il pas à craindre que la tentative de faire respecter les droits des uns n’empiète de trop sur la liberté des autres (violation du secret de la correspondance via le DPI par exemple) ? En bref, si votre autorité a pour mission de défendre le droit d’auteur, a-t-elle également un code de bonne conduite concernant les droits de tous les citoyens sur Internet ?
• A propos de ces méthodes de recherche, on a le sentiment que TMG, la société actuellement retenue par les ayants droits pour effectuer le “sale boulot”, n’est soumise à aucune charte déontologique. Il semble que des sociétés du même genre se livrent, en Suisse, a des tentatives d’intimidation directe des internautes. En tant qu’autorité, avez-vous votre mot à dire sur ce point ? Comment tout ceci va-t-il évoluer en France ?
• Les coordonnées de l’internaute que vous récupérez auprès du FAI sont-elles communiquées aux ayants droits qui vous ont saisi ? si oui, dans quels cas et par quel moyen ?
• Comme vous le savez, internet est un organisme vivant autonome et il s’adapte très vite. Ces quelques derniers mois ont été un florilège de nouvelles offres de VPN et autres solutions permettant de faire fuir son trafic de manière sécurisée à l’étranger pour échapper à la répression légale automatisée qui s’installe. N’avez-vous pas peur que toute la communication autour du respect des droits sur internet ne participe à l’émergence d’un réseau totalement chiffré qui entravera énormément le travail des services de police en matière de lutte contre la criminalité (la vraie, celle qui blesse ou qui tue directement des gens) alors qu’ils peuvent encore aujourd’hui suivre et traquer assez facilement (par exemple) les pédophiles ?
• La tournure du volet répressif de la loi peut faire croire que l’objectif est uniquement que les gens sécurisent leur réseau local et leur ordinateur comme si les pirates de films et de musiques étaient embusqués derrière la haie du jardin avec leur ordinateur portable alors qu’il est de notoriété publique qu’une grande partie de la population consomme directement des contenus médias téléchargés illégalement, surtout chez les jeunes. N’y a-t-il pas une erreur dans le discours et sa cible ?
• Comment vous assurez-vous qu’un abonné suspendu ne se réabonne pas ailleurs ? Il a été question d’un répertoire national. Étant donné le nombre de FAI en France et la facilité de création d’une entité pouvant être FAI, cela reviendrai à le rendre consultable publiquement, ce qui pose un grave problème vis à vis de la loi informatique et liberté. Qu’avez-vous prévu sur ce point ? Ne se dirige-t-on pas vers l’établissement d’une législation drastique sur le métier de fournisseur d’accès qui serait un grave frein à l’innovation et à la diversité ?
• A propos de fournisseurs d’accès, une question un peu technique, à qui seront envoyées les demandes d’identification des internautes ? Au titulaire du bloc d’adresse IP ? au titulaire de l’AS qui route ce bloc ? au titulaire du nom de domaine correspondant au reverse de l’IP ? Si d’aventure il vous était impossible de joindre aucun de ces trois contact, que peut faire la HADOPI ?
• Si d’aventure les ayants droits étaient techniquement en mesure d’identifier qu’une personne sur le territoire français s’adonne à des activités répréhensibles relevant de votre autorité sans pour autant être capables de fournir une adresse IP appartenant à un fournisseur d’accès français, quels seraient alors votre rôle et vos moyens d’actions ?
• Quels seront concrètement les moyens de défense d’un internaute qui arriverait au stade 3 de la réponse graduée ? Y a-t-il un accompagnement prévu pour les internautes en détresse à partir du premier ou du second stade ?
• Comment seront traités les accès collectifs rendant impossible l’identification de l’internaute physique (cybercafés, hotspot wifi, entreprises, ..) ? A défaut de pouvoir financièrement ou matériellement identifier les internautes et ce qu’ils font sur le réseau, se dirige-t-on vers un internet limité à une liste de sites prédéfinis comme l’a proposé Mr Vialatte l’été dernier devant l’assemblée nationale ? Quel impact sur l’économie et sur les usages du réseau autres que le web ?
• Sur le cas spécifique des entreprises, celles-ci ont généralement plusieurs accès à Internet. Dans le cas d’une procédure arrivée à terme avec la haute autorité, l’entreprise se retrouverait donc totalement interdite de réseau ? Cela semble improbable. Ne risque-t-on donc pas de déplacer le problème du foyer des internautes vers leur lieu de travail ou d’étude avec tout ce qui en découle (perte de productivité, engorgement aux prudhommes dans des procédures de licenciement, …)
• N’est-il pas, selon vous, hypocrite de vouloir à la fois développer le (très) haut débit sur le territoire français et en même temps vouloir taper sur les gens qui téléchargent sous prétexte de les faire rentrer dans le droit chemin alors qu’il est de notoriété publique qu’un gros débit d’accès permet surtout d’accéder à des contenus dits contrefaits ? Si on se base sur l’offre légale actuelle, en utilisant à fond les ressources d’une connexion ADSL 2Mbps (ce qui doit être à peu près la moyenne de capacité des accès internet en France) rien qu’une heure par jour, il faut déjà un budget mensuel de 5400 Euro rien qu’en MP3.
• Autre incohérence, à l’heure où on pousse de plus en plus les gens au travail à domicile (salarié en télétravail ou indépendant avec le statut d’auto entrepreneur), comment peut-on également menacer de supprimer l’outil principal du travail en question pour un problème qui relève du comportement privé et absolument pas de la vie professionnelle ?
• J’ai discuté il y a quelques mois avec un membre du SNEP qui me disait que l’objectif de tout cela était de créer un effet ciseaux entre la peur du gendarme d’un coté et la facilité de consommation légale de l’autre. Où est, dans la communication de votre haute autorité, la place réservée à l’attractivité de l’offre légale ? Vous sentez-vous, pour l’instant, victime d’une sur-médiatisation du coté répressif ou d’une impossibilité de mouvement face à une industrie qui freine des 4 fers l’évolution de son modèle économique ?
• Quel est votre point de vu personnel sur les poursuites à l’encontre de gens ayant téléchargé des contenus qui sont déjà passés à la télé ou à la radio alors qu’ils n’auraient pas été poursuivis s’ils avaient enregistré ces contenus avec un magnétoscope numérique ? Même si ce n’est pas la HADOPI qui dicte le catalogue “espionné”, ne faudrait-il pas se concentrer sur les contenus qui n’ont pas encore été diffusés sur des plateformes média d’où on peut les récupérer (les films entre leur sortie en salle et leur passage TV) ? Votre fonction recouvre-t-elle également une partie conseil et discussion avec les ayants droits pour que la “chasse” reste cohérente ?
• Une dernière question technique pour la route et après je ne vous embête plus .. HADOPI est-elle IPv6-ready ?

Tous les routeurs de tous les ISP du monde et a fortiori les routeurs centraux des carriers appliquent par défaut une règle qui interdit le “source routing”. Donc, pas de chance, si vous envoyez un paquet avec une adresse source différente de la votre il ira tout simplement à la poubelle sans bruit … Ca serait un peu trop facile quand même ;-)

Hormis le fait qu’il est strictement impossible, pour ce que Michael appelle un “carrier” (un fournisseur de transit mondial, dans notre jargon), de configurer ses équipements pour détecter les fausses IP dans les paquets, tant le trafic est dense et mouvant (il peut à un instant T arriver par telle route puis basculer par telle autre), je me suis posé la question de savoir si, depuis mes derniers tests datant d’il y a plusieurs années, les fournisseurs d’accès avaient effectivement configuré leurs routeurs de coeur de réseau pour dire “si tu vois passer un paquet en provenance des abonnés vers dehors et qu’il n’a pas une IP source sous notre responsabilité, jette le”.

Je n’ai bien entendu pas testé tous les FAI de France et de Navarre, ce serait trop long, mais j’ai fais deux tests. La méthodologie est basique, je dis à ma machine qu’elle est responsable de la fausse IP et j’utilise la fonction -S de ping pour envoyer un paquet avec cette IP source. Du coté de la destination, je lance un logiciel d’écoute sur le réseau (tcpdump) en lui demandant de m’afficher tout le trafic qui provient de cette fausse IP source. Si je vois arriver les paquets que j’envois, c’est qu’aucun des opérateurs traversés n’a jeté mes demandes. Je ne vous fais pas de copier/collé du résultat, c’est totalement falsifiable, il faudra me croire sur parole ou tester vous-même pour vérifier.

Premier test, envoyé depuis un réseau situé derrière TATA Communications (opérateur indien), un paquet avec une IP Bouygues Telecom vers le réseau de BULL : je recoit sans problèmes les paquets.

Second test, envoyé depuis une machine hébergée chez Free (Dedibox), un paquet avec une IP de l’hébergeur OVH vers une machine chez Orange : ça passe aussi.

La méthode est discutable :

• Elle ne met pas en jeu des machinbox chez l’abonné final, peut-être que ces box font aujourd’hui un filtrage sur l’IP source. Et même si elles n’en font pas, elles sont quasiment toutes aujourd’hui configurées en mode routeur, empêchant de facto de sortir avec une autre IP que celle de la box, puisque c’est elle qui la gère. Reste qu’il est toujours possible d’utiliser un modem acheté dans le commerce qui ne souffrira d’aucune manipulation étrange de la part du fournisseur d’accès.
• Elle n’a été testé qu’en ICMP, peut-être que certains opérateurs font des choses contre nature avec TCP et/ou UDP, mais je doute.
• Elle ne met en jeu que 5 ou 6 réseaux (si on compte ceux traversés par les données) j’ai eu la flemme de chercher des accès ailleurs pour faire un test à grande échèle (je n’ai rien de dispo chez SFR, par exemple).

Une chose est claire, il est tout à fait possible, de nos jours, d’envoyer des paquets falsifiés d’a peu près n’importe ou sur le réseau, n’en déplaise à Monsieur anti-hadopi.com qui semble persuadé du contraire.

Crédit image : Steeev (flickr)

Amis ayants droits, vous êtes dans votre droit, puisque c’est votre droit.

Vous avez le droit de tenter de faire condamner cette partie de l’humanité qui est quasi la seule à pouvoir payer pour votre subsistance, vous l’avez toujours eu, puisque cette humanité a toujours, depuis 40 ans, échangé certaines de vos oeuvres sans payer de droits tout en payant pour certaines autres.

N’avez-vous pas remarqué ? Lorsque la cassette audio est arrivée dans les années 60, avec sa possibilité de fixer soi même sur un support magnétique tout son, celui de la voix, celui de la radio, celui du vinyle que vous aviez vendu puis de le dupliquer à volonté, vous avez hurlé au massacre. Le CD était la solution, mais manque de pot, des malins ont trouvé un moyen de les dupliquer et l’ont industrialisé. Vous avez inventé les DRM, solution radicale, aussitôt contournée. Vous avez poussé à la création d’une loi inapplicable et bancale qui va lancer des filets à des endroits d’ou ceux que vous qualifiez de pirates sont déjà partis depuis des mois.

Et depuis 1980, à en croire les chiffres que vous avancez régulièrement, les ventes chutent de moitié tous les ans. Attendez, je compte, vous ne vivez donc plus qu’avec 0,000000093% des revenus que vous aviez à l’époque ou Jean-Philippe Lecat était ministre de la culture. Ça doit être difficile, la vie, avec l’inflation qui s’ajoute à ça.

Restons sérieux, combien d’argent avez-vous dépensé depuis 1963 pour combattre une chimère ? Combien d’argent vous à rapporté cet investissement ? Quel était le chiffre d’affaire général de votre profession cette année la ? Ajouté à l’inflation, par combien a-t-il été multiplié en 2010 ? Avez-vous seulement une méthodologie fiable pour estimer ces chiffres ?

Vos ennemis d’aujourd’hui ne sont pas les gens qui font du peer2peer ni même les clients du direct download. Lorsque vous n’avez pas la possibilité d’emmener les enfants à EuroDisney, vous allez au square. Si on vous interdit de square, ça ne vous fera pas plus aller à EuroDisney.

Vos ennemis sont tous les gens qui prennent l’argent de votre clientèle pour leur fournir vos contenus et qui encaissent cet argent à votre place. Si vous ne parvenez pas à les faire enfermer, la seule solution est de faire mieux, plus vite et moins cher qu’eux.

Vous et moi savons très bien que vous le pouvez. Essayez, juste pour voir, avec le nouvel album d’un de vos artistes multimillionnaire qui n’a rien à perdre, proposez le en téléchargement pour 50 centimes d’euro l’album en partenariat avec les fournisseurs d’accès (paiement par le client sur la facture du fournisseur d’accès), je suis sur que vous gagnerez autant d’argent qu’en le vendant 10 euro sur iTunes.

Vous n’empêcherez pas les gens de s’échanger vos oeuvres gratuitement, au mieux vous réussirez peut-être à ralentir la distribution tout en poussant les vrais criminels à chiffrer leurs échanges sur le réseau, les rendant encore moins détectables.

Demain vous ferez interdire les sites de direct download via une loi ? Les internautes utiliseront des VPN à l’étranger et continueront. Vous ferez interdire les VPN par une loi ? Ils iront se cacher dans des session web tout à fait classiques. Vous mettrez un flic derrière (ou dans) chaque ordinateur via une loi ? Certains relanceront le marché de l’occasion pour un internet libre et gratuit. Le réseau a 10 ans d’avance sur ce que vous réfléchissez à faire. Réveillez-vous.

Vous avez participé au fait qu’internet soit devenu indispensable à l’humanité en le rendant marchand, maintenant il faut faire avec.

Si vous voulez avancer et comprendre comment tout ça fonctionne et comment l’exploiter, venez discuter avec les gens qui sont nés dans internet. On a l’air de se moquer de vous tout le temps mais on sait aussi discuter. Nous avons des choses à vous apprendre sur notre monde et vous en avez très certainement aussi à nous transmettre du votre.

Comme l’a fort bien dit jcfrog dans son interview donnée à Et-Demain “il y a une solution”, et je vous jure que ce n’est pas de taper sur un réseau qui n’est que la somme de ce que les gens en font. Nos boites email sont ouvertes !

(Comme indiqué dans la rubrique ‘à propos’, l’ensemble des textes de ce blog, hors citations, sont sous licence creative common)

Il existe une infinité de mécanismes permettant de virtualiser des liens, si bien qu’aujourd’hui, la topologie logique d’un réseau telle qu’on la voit quand on l’étudie n’a pas grand chose à voir avec la réalité.

Avant d’aller plus loin, je dois vous parler des switchs. Dans les temps reculés de l’histoire des réseaux, on utilisait des hubs (bon, pas si reculé que ça, j’en ai encore un accroché à un mur dans mon sous sol).  Le principe etait simple, tout paquet arrivant sur le hub était immédiatement copié sur tous les ports pour aller vers toutes les machines qui se chargeaient de faire le tri. C’était pas le Pérou, du coup on a inventé le switch qui, lui, fait le tri et n’envoie a chaque machine que le trafic qui lui est réellement destiné.

Le hub, tout comme le switch, n’a (sauf exception) pas la moindre fichue idée de ce qu’est une adresse IP. Il ne fonctionne qu’avec les adresses MAC propres a chaque équipement. Lorsqu’une machine a un paquet pour une autre, elle lance a la cantonade (broadcast) un appel sur le réseau local “heyy, c’est quoi la mac qui utilise telle IP” et construit son petit paquet avec cette MAC. Le switch, quant a lui, connait toutes les macs présentes et sait que ce paquet ira sur tel port. Il sait aussi faire des choses magiques comme par exemple se virtualiser lui même.

Prenons un exemple tout bête. Lorsque vous branchez votre box ADSL, vous la reliez d’un coté a votre ordinateur et de l’autre a la prise de téléphone. La box agit, entre autre, comme un convertisseur de média entre l’ADSL utilisé par votre FAI et l’ethernet utilisé par l’ordinateur.

Imaginez maintenant que votre FAI arrive directement en ethernet chez vous (avec la fibre par exemple). Si la machinbox n’effectue aucune action intéressante, vous pouvez éventuellement brancher directement la fibre sur votre ordinateur. Mais si votre FAI ne vous octroie qu’une seule IP, vous aurez besoin de la machinbox pour faire du NAT. vous branchez donc la fibre a la box, la box a un switch et vos ordinateurs aussi.

Mais vous pouvez aussi brancher la fibre au switch et pas a la box. Du coup, vous vous dites que le trafic fait directement fibre -> ordinateur. Eh ben raté, votre switch peut tout a fait créer un réseau virtuel (VLAN) entre la fibre et la box et un second entre la box et les ordinateurs. Vu depuis votre chaise vous avez un réseau en étoile autour de votre switch, mais vu depuis l’extérieur, vos ordinateurs sont derrière la machinbox.

Abordons un exemple plus poilu. Vous avez crée votre petit réseau de voisinage dans votre bled et pour le raccorder à internet via la fédération FDN, vous devez tirer 120km de fibre a travers la foret des Landes pour aller jusqu’à un datacenter situé à Bordeaux.

Ça va vous couter les deux couilles, mais une entreprise locale est prête à financer une partie de l’opération si elle elle peut utiliser la fibre par la suite. Par contre, le milieu associatif, c’est pas trop son trip, elle, au bout, elle veut mettre Orange. Bon, l’erreur est humaine, il ne faut pas lui en vouloir.

Pas de problème monsieur, un switch à chaque bout de la fibre, un vlan pour le petit FAI, et un autre pour l’entreprise. Les flux de données emprunteront le meme chemin pendant un temps mais seront 100% isolés l’un de l’autre.

Un autre exemple de virtualisation très répandu, c’est L2TP. C’est l’un des protocoles qui, lorsque vous êtes (par exemple) abonné chez FDN, transportent vos données depuis votre modem ADSL jusqu’au coeur du réseau FDN. Vous n’avez strictement aucun moyen de savoir par ou passe votre trafic, ni géographiquement, ni du point de vue des opérateurs intermédiaires.

Il existe beaucoup d’autres moyens de virtualiser le réseau, la liste serait trop longue, mais il faut quand même que je vous parle des fameux VPN (parce qu’à la base, je ne voulais parler que de ça).

Pour bien comprendre le VPN, il suffit de faire comme si c’était un lien physique et bien réel. Vous êtes abonné chez votre FAI, mais pour éviter de vous faire trancher votre internet par HADOPI quand mamie télécharge Derrick, il vous faut une IP qui n’a pas un tatouage “français” sur la tête. Vous allez donc prendre votre pelle, votre pioche et un gros bateau et aller tirer votre fibre jusqu’à New York ou vous trouverez l’IP qui fera le bonheur de grand maman.

Ou alors, vous êtes plus pragmatique et vous faites un VPN. point de vue réseau, c’est strictement la même chose, à ceci prêt que le VPN sera toujours moins performant qu’une liaison directe puisque les données empruntent des chemins détournés.

En pratique, quand vous établissez un VPN, vous créez une carte réseau virtuelle dans l’ordinateur (et dans celui de l’autre coté) et un système de transport quelconque assure la création d’un câble virtuel entre les deux. Ce câble peu éventuellement être chiffré pour assurer la confidentialité des données (c’est d’ailleurs à ça que servaient les VPN au départ, cacher le contenu des transmissions aux opérateurs intermédiaires)

Le VPN le plus basique se bornera à ouvrir une connexion TCP entre votre ordinateur et un serveur VPN chez le fournisseur, mais il existe un tas de moyen vicieux et plus ou moins performant pour faire un VPN. Le lien virtuel peut être établi a peu près sur n’importe quoi, au travers de multiples connexions pouvant ressembler à une session de navigation sur le web pour tromper un firewall d’entreprise qui n’autorise que le web par exemple. On peut aussi utiliser le système DNS ou l’ICMP. Certains sont même allés jusqu’à créer des liens virtuels de ce genre ou les données sont transportées par pigeons voyageurs (système de transmission loin d’être inefficace point de vue débit) pendant que d’autres réfléchissent à la meilleure façon d’utiliser pastebin ou twitter pour la transmission.

Lorsque les gens qui veulent réguler et censurer internet auront compris ces principes, on aura fait un grand pas :)

Network Address Translation, non, il ne s’agit pas de téléporter des IP mais de les transformer. De transformer par exemple les adresses d’un petit réseau local numérotées dans le bloc 192.168.0.0/24 en une seule et unique IP publique attribuée par le FAI pour que tous les ordinateurs du réseau puissent avoir accès à l’exterieur.

Pourquoi le FAI ne donne pas plusieurs adresses ? D’une part parceque ca fait un sacré boulot de suivi, d’autre part parce qu’on manque globalement d’adresses sur l’ensemble du réseau et enfin parce que la moyenne des clients d’aujourd’hui n’a pas besoin de plus d’une IP. Notez que notre FDN national fourni des IP par bloc sur simple demande justifiée et argumentée et sans surcout (ben oui, les IP, ça ne s’achète pas, en vrai, ça se demande poliment)

L’autre vrai fausse bonne raison de faire du NAT, c’est la sécurité. Lorsqu’une machine dispose d’une IP routable, elle est directement exposée à tout ce qui arrive de l’extérieur. Si d’aventure un logiciel fonctionne sur la machine et agit comme un serveur avec un port ouvert, il est potentiellement exploitable de l’extérieur pour compromettre la machine.

Le NAT déporte le problème sur l’équipement à qui l’adresse IP publique est attribuée, généralement, votre machinbox. Lorsqu’un paquet arrive de l’extérieur vers cette IP sans correspondre à un flux de données qui a été démarré par un ordinateur situé dans notre réseau, la machinbox réponds  ”va te faire voir” voir ne répond pas du tout.

C’est une vrai fausse sécurisation, parce que lors de l’inévitable passage à IPv6, ça va faire tout drôle à beaucoup de gens de se retrouver en frontal avec la jungle d’internet sans aucune protection en amont. C’est d’ailleurs un sujet donnant lieu à des débats assez poilu … “faut-il instaurer un NAT IPv6 ?” ou encore “est-il de la responsabilité du FAI de s’assurer que rien de méchant n’arrive jusqu’à l’ordinateur du client ?”. Pour ma part, comme avec les enfants, répétition / pédagogie, mais éviter au maximum les mesures coercitives, même si “c’est pour votre bien”.

Lorsqu’on veut distribuer du contenu depuis chez soi derrière sa machinbox, on est mal, dans la mesure ou par défaut on ne peut faire que des connexions qui démarrent de chez soi, exit donc les gens qui viennent consulter votre site, votre machinbox les renverra dans leur pénates à grands coups de pieds dans l’arrière train. On a, en plus, souvent des problèmes de performances, la machinbox n’étant pas toujours capable de suivre la cadence lorsqu’on établi trop de connexions en même temps (cas du peer2peer, par exemple)

Heureusement (chez les 3 plus gros en tout cas), vous pouvez paramétrer la machinbox pour l’obliger à transmettre ce qui vient de dehors, c’est à dire récupérer une connexion entrante sur l’IP publique pour la faire atterrir sur une machine qui a une IP privée sur le réseau local. Ça ne règle pas le problème de perf, mais au moins, vous êtes joignable.

Il ne faut pas oublier que dans notre ami TCP (le protocole situé au dessus d’IP, utilisé par une grosse partie des applications sur le réseau), il y a un nombre de ports limités disponibles (plus de 65000 tout de même, il y a de quoi voir venir), mais surtout, qu’un port précis correspond généralement à quelque chose. Le web d’aujourd’hui utilise le 80 pour les transmissions de données en clair et le 443 pour les transmissions chiffrées, mais ce n’est qu’une convention, vous pouvez parfaitement accéder à un site tournant sur  un serveur situé sur un autre port en utilisant une URL précisant le port : http://www.lesite.com:80/

Du coup, puisque vous n’avez qu’une adresse IP publique, vous n’avez qu’un seul port 80 publique, impossible donc de le répartir directement entre deux machines différentes chez vous, à moins de vouloir expliquer à vos visiteurs qu’il faut taper http://www.monpetitchezmoi.com:8081/ dans leur navigateur.

Vous allez donc expliquer à votre machinbox que “le port 80 de ton IP publique, tu va le renvoyer vers le port 80 de l’IP 192.168.0.10″. Cette IP est celle de votre machine (“ipconfig” dans cmd sous windows pour connaitre l’IP réelle de sa machine, “ifconfig” sous FreeBSD ou Linux)

Que va faire la machinbox ? Elle va attendre sagement les paquets qui vont arriver, et lorsqu’un paquet dira qu’il veut accéder au port 80 de l’IP publique en TCP, elle va tout simplement changer l’adresse IP de destination pour y mettre l’adresse de la machine locale et envoyer le paquet en l’état sur le réseau local. Lorsque votre machine va répondre, elle va indiquer son IP privée comme source du paquet, la machinbox va donc remettre l’IP publique à la place avant de renvoyer le paquet sur Internet pour que le demandeur de la connexion s’y retrouve.

Histoire d’être complètement exhaustif, elle va aussi toucher au port source du paquet pour s’y retrouver elle-même, mais ça n’a pas grand intérêt ici.

Vous voilà paré pour que l’extérieur puisse communiquer avec votre ordinateur. Du coup, vous avez une nouvelle obligation, celle de tenir à jour le logiciel utilisé sur votre ordinateur et répondant au port que vous avez ouvert sur votre machinbox, car si il y a une faille de sécurité dans le soft en question, tôt ou tard, elle sera exploitée

Nous reviendront à notre série hébergement avec un billet généraliste à propos de l’ensemble des composantes logicielles impliquées.

Vous avez déjà théoriquement compris, si vous avez tout bien lu la série sur le montage d’un fournisseur d’accès et le début de celle sur le montage d’un hebergeur, que pour être hébergeur, il faut avoir de l’internet (géré par vous même ou par votre fournisseur d’accès, peu importe) avec une ou plusieurs ip fixes (c’est mieux, mais pas obligatoire) et au moins une machine à mettre au bout.

Une machine qui d’ailleurs n’a rien de spécial. Votre PC de bureau voir même le vieux cadavre du PC précédent suffiront, il vous suffit de dire que c’est un serveur et hop, c’en est un. Il faut aussi, si vous publiez effectivement un contenu avec, penser à le laisser allumé tout le temps. Comme je vous le disais au début, le fond du problème est de savoir ce que vous voulez (ou pouvez) externaliser dans ce métier. Pour pouvoir couvrir la totalité du sujet, je vais souvent prendre le parti de l’internalisation totale, mais, pour le billet qui nous occupe, notez que vous pouvez très bien louer un serveur à l’extérieur pour faire tout ceci, si, par exemple, il n’est pas imaginable pour vous d’avoir une machine allumée en permanence chez vous ou que vous prévoyez un trafic d’accès à votre contenu dépassant la capacité de votre liaison internet.

Pour que notre tout nouveau serveur fonctionne comme on le souhaite, il suffit d’y installer des logiciels. Un serveur web, un resolver DNS, un FTP, un MTA ou bien tout simplement, chose beaucoup plus répandue de nos jours (quoi que de moins en moins), un logiciel de peer2peer qui agit a la fois comme client et comme serveur. La qualité de serveur ou de client dépend uniquement du comportement du logiciel que vous installez, pas de votre position sur le réseau, de la taille de votre portefeuille ou autre.

Petit aparté au sujet des logiciels, on attends d’ici une quinzaine la première version de Diaspora, un réseau social décentralisé auquel vous pourrez participer sur le principe du peer2peer, en installant le logiciel sur votre ordinateur. Vous pourrez aussi bien sur l’utiliser sans  rien installer en squattant les installations faites par les autres. C’est une petite révolution dans le monde du réseau social et ça risque de réhabiliter un brin le peer2peer à l’avenir si l’équipe qui a monté le projet se débrouille bien.

Nous verrons un peu plus tard les spécificités logicielles des serveurs fonctionnant avec des systèmes d’exploitation libre (FreeBSD, Linux, …). Nous allons commencer par ce que Mme Michu a probablement à sa disposition sans avoir à trop se casser la tête : Windows.

Microsoft fourni une suite logicielle contenant IIS qui n’est (presque) qu’un vulgaire serveur web. Le pendant de votre navigateur si vous préférez. Mais sa prise en main n’est pas nécessairement évidente pour le néophyte, nous allons donc illustrer l’exemple avec quelque chose de plus simple.

Je dois vous avouer que je n’ai pas utilisé de Windows en tant que serveur depuis plus de 10 ans, je (re) découvre donc en même temps que vous.

J’ai jeté mon dévolu sur lighttpd que vous pouvez télécharger ici (ou ailleurs en cherchant un peu si ce lien venait à disparaître). Je vous passe l’installation en elle même qui n’a rien de particulier. Vous devriez obtenir, à la fin, un joli dossier ou vous trouverez un sous dossier “bin”.

La dedans, un Service-Install.exe permet de terminer la configuration et de faire que lighttpd fonctionne en permanence en tache de fond (qu’il devienne un “service” de Windows). Ne cherchez pas d’interface graphique de configuration, il n’y en a pas.

Une fois terminé l’installation du service et son lancement, ouvrez votre navigateur et allez sur votre site : http://localhost/

Vous tomberez sur la page par défaut de lighttpd qui vous dit grosso modo qu’il est bien installé.

Allez maintenant dans le dossier C:\program filles\lighttpd\htdocs, faites un clic droit sur le fichier index.html puis ouvrir avec -> bloc note, effacez tout ce qui est apparu dans le bloc note et inscrivez juste “je suis le roi d’internet” puis sauvegardez et retournez dans votre navigateur pour rafraîchir la page.

Voila, vous êtes hébergeur (je vous le concède, le contenu est loin d’être intéressant, mais ça, c’est de votre faute).

Pour vous en convaincre, faites vous inviter chez votre voisin pour l’apéro, muni de votre adresse IP notée sur un papier et tapez dans son navigateur http://votre_ip/, vous devriez retrouver votre petite phase. Reste à vous trouver un nom de domaine et à le configurer comme il faut (voir le billet précédent)

Vous venez, mine de rien, de toucher du doigt l’un des principes de la neutralité d’internet : pouvoir publier du contenu sans être contraint de s’appuyer sur un intermédiaire, sans avoir à demander le droit à qui que ce soit. C’est comme ça que Google à commencé.

Vous n’irez bien sur pas très loin puisqu’avec ce que nous avons installé la, vous ne pourrez publier que du texte et de la page HTML brute, sans langage dynamisant (du genre PHP), sans base de données, etc … Mais c’est le début de l’aventure !

Il se peut que ça fonctionne chez vous et pas chez le voisin (c’est même fortement probable). Trois possibilités :

• votre machine a un ou plusieurs firewall en activité à qui il va falloir apprendre à laisser passer les visiteurs extérieurs sur le port TCP 80 (celui du web, en gros)
• votre tout nouveau serveur est situé derrière la machinbox de votre fournisseur d’accès et c’est cette box qui détient votre adresse IP publique et qui envoie donc sciemment balader les visiteurs éventuels. Il faudra consulter la doc pour savoir comment faire pour déplacer l’adresse IP publique sur votre ordinateur ou pour expliquer à la box de renvoyer le trafic entrant vers tel ordinateur chez vous si vous en avez plusieurs et une seule IP publique (généralement, ça figure dans la configuration sous le doux nom de “redirection de ports”)
• votre fournisseur d’accès est un margoulin qui, sous prétexte de vous protéger du grand vilain méchant internet, vous interdit d’utiliser votre connexion comme vous l’entendez. Il est urgent de résilier et de vous tourner, par exemple, vers FDN.

A venir, un article hors série sur les box ADSL et le Nat, pour tordre le cou à la seconde possibilité qui, si mon petit doigt ne m’a pas menti, risque d’être aujourd’hui la plus récurrente.

Ne me considérant pas comme un blogueur influent ou un quelconque leader d’opinion, j’ai fait remarquer à l’intéressé qu’il est plutôt rare, tendance nouveau (et choquant, pas au sens péjoratif du terme) qu’un responsable d’une haute autorité de l’état prenne le temps, sur simple demande, de recevoir un citoyen lambda dans son bureau, surtout dans une phase de lancement où le travail ne doit pas manquer. Il m’a répondu que tous les avis étaient bons à prendre, surtout ceux émanant de professionnels du milieu d’Internet et que je semblais en faire parti. Flatté, j’étais.

Il m’a tout de même bien fait comprendre qu’il se permettait de passer du temps, là, maintenant, à discuter avec quelques personnes parce qu’il pensait que c’était important, mais que son bureau n’était pas non plus ouvert à la terre entière, ce qui peut aisément se comprendre. Bon, en bref, j’ai eu un coup de bol.

Même si on sent parfaitement le coté posé et réfléchi du discours d’une personne qui a longtemps baigné dans le milieu politique et qui soupèse chacune de ses phrases, le dialogue a été globalement ouvert et cordial, voir même parfois poilu sur certains sujets. Je me méfie tout de même, paranoïa aiguë oblige, me demandant si ce fin stratège n’a pas tout simplement essayé de m’embobiner, espérant que je prêche ensuite sa bonne parole sur mon blog. Si vous me trouvez changé dans mes prochains billets, merci de me prévenir d’urgence.

Le présent billet va tenter d’être impartial et neutre, un peu comme le réseau que nous voulons conserver. Exercice difficile, vous me pardonnerez donc si je me vautre comme une otarie bourrée à la bière.

J’ai retenu deux grandes missions de la haute autorité, bâton & carotte.

La première, c’est le bâton ultra médiatisé depuis des mois, la “réponse graduée”, qui consiste à envoyer des emails aux gens s’adonnant au piratage d’œuvres artistiques sur internet puis à venir trancher aux ciseaux leur connexion pour leur faire passer l’envie de recommencer. Bon, en y mettant un peu les formes tout de même, le but premier étant apparemment la pédagogie, même si c’est une pédagogie à coup de règle (de cutter ?) sur les doigts.

Concrètement, même si la loi et la communication faite par HADOPI est totalement hypocrite et ne traite quasiment que des questions de ”sécurisations de l’accès et de l’ordinateur”, tout le monde a bien compris qu’elle visait cette très large part de la population qui consomme des contenus copiés illégalement (en plus d’acheter des disques, des DVD, d’aller au cinéma, au concert, etc… hein… faudrait pas l’oublier).

J’ai manifestement appris à Eric Walter que, de par le monde, une masse notable de gens ont téléchargé et téléchargent encore des quantités faramineuses de contenus qu’ils ne consommeront jamais (dans le sens “écouter un MP3 ou regarder un film”), juste pour les avoir, du téléchargement compulsif en somme. C’est un signe assez flagrant qu’il y a encore du boulot et des messages à faire passer, mais c’est probablement vrai aussi pour l’autre partie de ce grand débat.

Une petite préview pour les curieux, le premier email envoyé aux vilains méchants pirates sera probablement sous la forme “euhhh, il semble que quelqu’un utilise votre connexion internet pour faire des choses pas jolies jolies, ce serait bien de faire quelque chose” sans jamais exprimer d’attaque directe du type “vous piratez, c’est maaaaal”.
Question pédagogie, c’est finement joué, mais je ne suis pas sur que le message passe. Alors que pour la clope et l’alcool au volant on a le droit à de belles images bien choquantes et frontales, ici, on joue encore les jeunes vierges effarouchées.

Il semble que “faire quelque chose” est encore très flou à l’heure actuelle. Installer un logiciel de sécurisation qui n’existe pas encore ? questionner son FAI sur les moyens de renforcer la sécurité de son wifi ? des choses pas nécessairement accessibles à Madame Michu. D’un autre coté, rapporté au nombre de gens qui ont des copies illégales de contenu sur leurs ordinateurs, combien y a-t-il de cas de piratage volontaire de wifi-du-voisin pour s’adonner à du partage de fichier ? probablement très peu.

Il n’empêche que la loi est tournée comme ça et que la haute autorité devra probablement créer une hotline ou quelque chose de ce genre pour guider les internautes en détresse (même si la détresse a pour origine les frasques du fils de Mme Michu qui a soutenu mordicus à sa mère “mais non c’est pas moi, moi je vais sur RapidShare, le P2P c’est hasbeen maman !”)

Suivra, si récidive, un second email accompagné d’un courrier recommandé, repiquant grosso modo le contenu du premier, en insistant un peu plus sur le fait qu’il faut faire quelque chose pour remédier au problème sous peine de sanction pénale, qu’il y a déjà eu un avertissement, etc.

Et pour finir, le dossier sera étudié par le CPD (l’organe de la HADOPI qui décide du sort des vilains méchants) qui, manifestement après étude d’un dossier, décidera de la transmission ou non au parquet qui lui même pourra ordonner une coupure de l’accès.

Les ayants droits se réservant bien sûr la possibilité d’attaquer quelqu’un sur le fondement des anciennes lois toujours en vigueur (300.000 euro d’amende et 3 ans de prison, rien que ça).

Ça, c’est le bâton. Voyons la carotte maintenant (ben oui, souvenez vous, on nous a dit que tout ceci était un principe d’incitation/sanction censé remettre les gens dans le droit chemin).

HADOPI, au même titre que la CNIL, l’ARCEP ou tout autre organisme d’état, est amenée à donner son avis lorsqu’on va le lui demander et peut-être même le donner sans qu’on lui demande quand elle sentira que quelque chose rentre dans son domaine de compétences. Vu de mon petit bout de lorgnette, il y a un flagrant manque de connaissance de terrain concernant Internet partout, y compris (et surtout) au niveau de l’état dans son ensemble, alors que la notion de droit d’auteur,beaucoup plus ancienne, est très bien connue, elle. Il y a donc un sacré retard à rattraper pour obtenir une balance équilibrée.

L’idée est donc de créer des groupes de travail (labs) de travail qui vont plancher sur les sujets que le collège de la HADOPI (les grands chefs indiens) jugera opportuns de traiter pour apporter une vision éclairée et circonstanciée sur le sujet (par exemple “les pingouins, ils font ça dans l’eau ou sur la glace ?”). Les labs auront aussi une autonomie suffisante pour décider de pondre un papier sur un sujet à propos duquel personne ne leur a rien demandé (par exemple “on n’en a rien à secouer des habitudes sexuelles des pingouins, mais ici, on a un sacré problème avec Alcatel qui veut vendre du matériel pour faire de la vilaine DPI en coeur de réseau en faisant croire qu’ils sont des kikoolols”).

Un lab HADOPI, c’est quoi ? C’est un responsable du lab, expert dans le domaine dont traite le lab, qui sera rémunéré par la HADOPI, des rédacteurs qui pondront du contenu en rapport avec le sujet donné et qui seront également spécifiquement sélectionnés pour leurs compétences en rapport avec le lab concerné, des contributeurs, eux aussi sélectionnés mais de manière plus large, qui pourront, à loisir, alpaguer les rédacteurs pour leur faire préciser leurs écrits, apporter des compléments, modifications ou corrections et enfin, tout un chacun qui pourra proposer des contributions écrites (les trop poilues seront vite écartées… ou pas) aux rédacteurs. Tout ceci est censé être accessible publiquement sur une plateforme collaborative en ligne.

On regrette que ce genre d’initiative ne soit pas 100% ouverte aux contributions extérieures, un genre de wiki-hadopi.fr, mais on comprend également assez bien que les sujets vireraient immédiatement à la guerre thermonucléaire globale et que ce n’est pas le but du jeu.

Il semble donc quand même que si les mondes du logiciel libre et des attachés à la neutralité du net se mobilisent, il doit y avoir moyen de pouvoir peser un minimum dans la balance, ou, du moins, de pouvoir donner son avis ailleurs que sur des blogs.

Toujours à la rubrique carotte, la haute autorité compte manifestement inciter (comment, on ne m’a pas dit) le monde des services à la personne pour qu’il se forme à la sécurisation du poste et de l’accès chez le particulier pour aider à régler les problèmes des internautes de bonne foi. Vu de chez moi, je ne vois pas pourquoi Mme Michu, de bonne foi, devait soudain se mettre à payer un type qui va aller activer le WPA dans son routeur alors qu’il est déjà prouvé par A+B que ce protocole de sécurisation du wifi est déjà attaquable de façon simple, mais bon.

Et enfin, un lab spécifique sera dédié à l’accompagnement de l’innovation en matière de distribution de contenu (vérification de business model, conseil, carnet d’adresse…).

Nous avons également discuté de tout un tas de choses que je ne peux pas vraiment inclure dans un même billet tant les sujets abordés ont été variés. Ma position n’a pas réellement changé depuis hier soir, j’ai par contre découvert un peu plus en détail ce que devraient être, si on ne m’a pas menti, les actions de la haute autorité à l’avenir et certains point ne m’ont pas déplu (c’est pour ca que je parle d’eau dans le vin dans le sujet). “Doit faire ses preuves” comme mes profs écrivaient sur tous mes bulletins de notes au collège et au lycée.

Par contre, je pense toujours :

• que les majors sont des brontosaures incapables de se bouger pour survivre dans un monde devenu hostile à leur business.
• que le législateur n’a rien compris aux enjeux d’internet et à son fonctionnement et qu’il est un danger public pour l’ensemble de la population tant qu’il n’essaye pas de remédier à ce manque (non, ça n’a rien a voir avec le fait qu’on puisse conduire une voiture sans être mécanicien).
• que quand on ne peut pas trouver une oeuvre dans une boutique en ligne, on n’a pas nécessairement envie d’aller se bouger à la FNAC ou de commander quoi que ce soit qui arrivera peut-être 6 jours après et qu’on se dirige naturellement vers la source qui peut fournir la chose, les notions de bien ou de mal étant largement masquées par le besoin urgent d’obtenir la chose.
• qu’une quantité non négligeable de petits artistes survivent précisément grâce au piratage de leurs œuvres et que c’est donc leur faire du mal que de diaboliser un média de transport de contenu (mais on se doute bien que ça doit bien arranger les majors si les petits sont moins présents).
• que certains contenus ne devraient pas faire l’objet de poursuites, typiquement, tout ce qui est déjà passé à la TV/radio et qui a donc été fixé durablement sur support numérique par tout un tas de gens sans pour autant que ce soit légalement considéré comme de la copie illégale (ou alors qu’il faut faire sauter l’exception pour la copie privée, les graveurs DVD et tous les équipements média à disque dur).
• que les ayants droits devaient être obligés de proposer le renouvellement du support d’une œuvre au fur et à mesure de l’évolution de la technologie, au prix exact de production du nouveau support (vinyle -> cassette -> CD -> MP3 -> OGG / VHS -> DVD -> Blueray -> mkv) et que personne ne tient compte, dans les diverses enquêtes & stats, de cette énorme manne financière de doubles/triples/quadruples droits payés par une même personne pour une même œuvre.
• que taper avant de discuter n’est décidément pas la bonne façon de faire lorsqu’on souhaite arriver à un consensus, surtout après avoir pris connaissance des projets de la haute autorité en matière de réflexion/discussion.
• j’en ai encore des wagons, mais je pense que j’ai déjà dépassé la longueur du tweetblender de droite, il est donc temps d’aller au lit.

Je vais probablement y retourner dans quelques temps pour obtenir des réponses précises à certaines questions qui sont en train de virer à la légende urbaine sur le net et qu’il faudrait clarifier. Si vous en avez en tête, “faites péter par mail”, comme on dit, mais évitez les troll à poils ras (ou longs), on n’est pas vendredi :)

Crédit photo : ellor1138 (flickr)

Après avoir végété quelques mois, ce petit blog a pris d’un coup du gallon pour afficher sur août quelque chose comme 5300 visiteurs uniques. Merci !

Du coup, ça donne vraiment envie de continuer les chantiers en cours. Promis, je tente de garder la cadence :)

Au chapitres infos rigolote, je sais que mes lecteurs sont en majorité de gros geeks poilus, mais sur ces 10 derniers jours, plus de 55000 hits sur les 263000 qui trainent dans les logs du blog ont été fait en IPv6, soit un peu plus de 20% ! Bravo !

Ah et puis c’est le centième billet publié.

Et j’espère que le 101ème sera le premier d’une longue série qui mènera à quelque chose de positif.

Peut-on utiliser l’IP de quelqu’un d’autre ? La réponse est oui, mais pas sans conditions et certainement pas à l’aide d’un sabre et d’un perroquet.

Il existe sur internet trois grande familles de protocoles servant à faire voyager des données sur internet (il y en a en réalité beaucoup plus, mais ces trois la représentent la majorité des applications)

• ICMP, qui sert principalement aux machines elles-mêmes pour s’échanger des informations sur l’état du réseau et des autres machines (telle machine ne répond pas, tel portion du réseau réclame des paquets plus petits, …) et accessoirement permet de s’assurer qu’une machine répond un minimum.
• UDP, qui sert principalement aux applications dites “temps réel” (la téléphonie, quelques applications de vidéo, …) et dont la particularité est de ne pas effectuer de contrôle d’intégrité de la transmission. En français, avec ce protocole, la machine qui reçoit un paquet n’a aucun moyen de savoir si un autre paquet aurai du être reçu avant et s’est perdu en route.
• TCP, qui représente l’immense majorité des usages (c’est la dessus que voyagent le web, le mail, le FTP, les newsgroup, les vidéos Youtube, etc ..) qui, lui, dispose en interne d’un mécanisme de contrôle s’assurant que tous les paquets émis sont bien reçus et peuvent être remis dans le bon ordre à l’arrivée.

Un ordinateur peut envoyer sur le réseau un paquet avec n’importe quelle adresse IP comme source (de la même façon que n’importe qui peut envoyer un email venant  de nicolas.sarkozy@elysee.fr).

Personne, en tout cas pas derrière une connexion ADSL, ne peut en revanche recevoir des données envoyées à une IP qui n’est pas la sienne (de la même façon que vous ne pouvez pas recevoir de réponse à votre mail envoyé depuis nicolas.sarkozy@elysee.fr)

Partant de la, ICMP et UDP n’ayant aucune notion de contrôle d’intégrité, on peut envoyer à peu près n’importe quoi à n’importe qui, mais les conséquences sont généralement minimes. Sauf envoi massif pour saturer la connexion de l’ordinateur cible, le seul dégât que vous pourriez peut-être causer, c’est de rompre une communication en cours qui se relancerait d’elle même quelques instant plus tard.

Avec TCP, par contre, pour établir une connexion avec une machine distante (par exemple avec le serveur de mail de votre fournisseur) vous devez envoyer une demande de connexion (SYN) qui contiendra un numéro de séquence à respecter et à laquelle, pour simplifier, l’autre va répondre (SYN/ACK) avec un autre numéro de séquence que vous allez devoir reprendre (ACK) pour pouvoir commencer la discussion et la poursuivre. Sans avoir le numéro de séquence envoyé par le serveur (puisque vous ne pouvez pas recevoir les paquets à destination de la fausse IP que vous voulez prendre), il est strictement impossible de maintenir une connexion TCP ouverte.

Il est éventuellement imaginable d’arriver par chance à deviner ce numéro de séquence (c’était plus facile il y a quelques années quand les système choisissaient des numéros de séquence avec un algorithme plus que douteux quant à sa faculté à générer du hasard) et donc de pouvoir envoyer des données, mais c’est sans compter sur la destination réelle des réponses de la cible de votre attaque qui se rebiffera rapidement en disant que “non, je n’ai jamais demandé à établir cette connexion, ferme la !”. Tout ceci se jouant en quelques secondes, on peut valablement dire que “non, on ne peut pas prendre une IP au hasard”, qui plus est pour télécharger un film sur un réseau P2P, chose qui, d’une part, prends généralement quelques heures au bas mot, et d’autre part nécessite de pouvoir recevoir des données.

Ce qu’il est par contre possible de faire, c’est d’utiliser l’ordinateur de quelqu’un d’autre à son insu pour y faire passer ses propres données et, de fait, utiliser son IP. Pour cela, il faut l’avoir piraté d’une manière ou d’une autre (avec un virus envoyé par email que l’internaute à ouvert volontairement, pensant trouver des photos de sa femme, en exploitant une faille de sécurité, ou tout simplement en ayant l’occasion de s’assoir devant pour y installer discrètement un logiciel de prise en main à distance)

De même, avec un réseau wifi, on utilise l’IP du propriétaire de la connexion qui est au bout (exception faite du service Freewifi qui distribue une IP publique différente de celle de l’abonné dont on utilise la box).

Autre méthode, fortement conditionnée par le fait d’être sur un réseau de type réseau local d’entreprise, il n’est pas rare que les switchs reliant tous les ordinateurs ne soient pas configurés pour empêcher les postes de changer d’IP. Vous pouvez donc théoriquement, dans ce cas, utiliser n’importe quelle IP voisine de la votre (celle du collègue parti en vacances et qui a éteint son PC, deux machines avec la même adresse ne pouvant cohabiter). Même chose pour beaucoup de réseaux wifi publics couvrant les zones blanches ADSL.

Enfin, tous les services de VPN permettent, contre une obole mensuelle de l’ordre de 5 euro, de bénéficier d’une adresse IP complètement indépendante de son FAI mais vous ne la volez à personne puisqu’elle est la pour ça. Ceci dit, c’est au détriment de la vitesse et du débit de la connexion, toutes les données devant transiter par la plateforme VPN généralement située très loin et pratiquant le surbooking à outrance niveau bande passante pour être rentable.

La définition de la neutralité du net par cette dame est éloquente et résume à elle seule toute la vidéo.

“La sacrosainte neutralité du net, c’est faire que n’importe quel internaute ai le droit d’accéder à n’importe quel contenu licite depuis n’importe quel terminal”

Je vous laisse apprécier “internaute”, “a le droit, “contenu licite” et “terminal” dans la même phrase et savourer le reste de la vidéo.

En vrac :

• “Comment voulez vous que les réseaux puissent absorber une multiplication par 5 de la consommation d’ici 2013 ?” … ben par exemple en passant à 100Gbps rapidement ? En utilisant des longueurs d’ondes ? en arrêtant de pousser les gens vers le directdownload centralisé et en réhabilitant le peer2peer ?
• “si tant est que le consommateur puisse comprendre”, elle aussi, elle prends les gens pour des imbéciles un peu.
• “il faut que ce soit de manière aussi non discriminatoire et anti concurrentiel possible”. Bravo sur ce coup la. Vous ne devriez pas jouer avec les virgules à l’oral.
• “le monde de l’interco régulée mute vers le monde du peering qui n’est pas régulé”. Énorme, c’est quoi les interco régulées ?!!

Mme Gauthey, elle, elle doit pas avoir Free. La neutralité du net, Madame, c’est de faire en sorte que n’importe quelle machine du réseau puisse joindre n’importe quelle machine du réseau avec n’importe quel protocole et avec la même qualité que sa voisine quel que soit le protocole.

Crédit photo : B.Rosen (Flickr)

En ces temps d’HADOPI galopante, outre les mails, courriers et coupures d’internet éventuelles, la plus grosse menace risque finalement, au moins au début, d’être les arnaques qui vont fleurir.

On peut sans trop se tromper prévoir que quelques petits malins vont envoyer des emails au hasard à tout un tas de gens leur disant qu’HADOPI les a repéré et que pour éviter toute coupure de la connexion, la haute autorité les invite à cliquer sur un lien qui aura l’air très officiel ou ils devront entrer leur numéro de carte bancaire ou de compte en banque.

A la clé, compte en banque vidé depuis l’étranger. On peut le dire sans même avoir à le demander à qui que ce soit, HADOPI ne vous demandera jamais d’argent directement, encore moins en paiement par carte bancaire, et encore moins par email.

Autre arnaque courante, je vais en profiter, il s’agit du scam.

Pour ceux qui savent déjà ce que c’est, pensez à sensibiliser les gens autour de vous, non pas en faisant des chaines d’emails alarmistes mais en discutant avec votre prochain. Ce sera toujours ça de pris.

Pour ceux qui n’ont pas encore croisé la chose, il s’agit d’emails généralement très argumentés et à rallonge vous proposant de participer à une transaction financière soit disant tout à fait légale pendant laquelle vous allez empocher un montant non négligeable, généralement situé entre plusieurs milliers et centaines de milliers d’euro (ou d’une autre monnaie à la mode). L’opération semble au début sans risque puisque la personne souhaite uniquement connaitre votre adresse et vos coordonnées pour pouvoir vous joindre et vous expliquer ce qui va se passer.

Au mieux, vous perdez votre temps, au pire vous vous laissez embobiner et vous finissez par envoyer une somme relativement conséquente à un parfait inconnu, voir vous vous rendez dans un pays lointain ou vous vous faites littéralement détrousser.

Cette arnaque est historiquement venue d’Afrique mais se pratique maintenant d’a peu près partout. Méfiance donc.

J’en profite pour ajouter que tout email présentant des faits un tant soi peu extraordinaire ou dramatique et/ou citant des noms de societés ou de personnes renommées sont pour 99.9% des idioties. Par exemple :

• Vous avez gagné à la loterie Microsoft, cliquez ici
• Un nouveau virus ultra destructeur va bientot arrivé, Symantec l’a confirmé, renvoyez ce mail à tous vos contacts pour les prévenir de ne pas ouvrir un email intitulé “machin chose” ou venant de “bidule”
• La petite Lucie à besoin d’un donneur de sang d’un groupe ultra rare avec un rhésus encore plus rare et il faut téléphoner à l’hôpital untel si vous connaissez quelqu’un qui l’a. Et il faut bien sur le renvoyer à tous les contacts

Dans tous les cas, en cas de doute, mieux vaut s’abstenir, et si vous voulez vraiment en avoir le coeur net, vous pouvez consulter HoaxBuster qui recense la quasi totalité des arnaques et chaines d’email circulant sur le net.

Lorsqu’on fait de l’hébergement de contenu de manière professionnelle, on installe généralement ses serveurs dans un datacenter afin de bénéficier de connexions très haut débit, d’une certaine sécurité pour le matériel et pour l’alimentation électrique. Il n’est cependant pas nécessaire de faire tous ces investissements pour distribuer du contenu de la même manière qu’il n’est pas nécessaire de posséder des routeurs hors de prix et des fibres optiques sous les trottoirs pour devenir fournisseur d’accès.

Le seul impératif, quoi que contournable lorsqu’on veut vraiment, c’est de disposer d’une adresse IP fixe. C’est le cas chez tous les bons FAI associatifs que vous commencez à bien connaitre si vous suivez ce blog mais on en trouve aussi, gratuitement ou moyennant une option peu onéreuse, chez les grands FAI nationaux commerciaux.

Pour connaitre votre adresse, un petit tour sur ici ou sur l’un des multiples services de ce genre vous renseignera rapidement.

Une fois que vous avez une adresse IP fixe, si vous prenez la peine d’installer un logiciel permettant de distribuer du contenu web (nous y reviendront plus tard), tout le monde pourra y accéder en tapant http://<votre_adresse_ip>/ dans son navigateur. Par exemple, vous pouvez tout à fait accéder à Google en tapant http://209.85.229.147/. Notez que ce n’est pas le cas de tous les sites, tout dépend de leur configuration interne. Les serveurs DNS sont la pour vous aider (voir cet article pour les bases à ce sujet).

Il faut reconnaître que ce n’est pas super sexy sur une carte de visite. Généralement, le fournisseur d’accès attribue un nom à chaque IP pour pouvoir s’y retrouver en interne. Par exemple, chez Free, on pourrait trouver une machine qui aurait pour nom mtl93-13-78-289-134-191.fbx.proxad.net (ne cherchez pas, ça n’existe pas). Il faut bien reconnaître que “venez voir mon site, http://mtl93-13-78-289-134-191.fbx.proxad.net/” c’est encore moins bien.

Mais il est tout à fait possible, même pour le commun des mortels, de faire pointer un nom de domaine sur l’adresse de son ordinateur chez soi. Vous pouvez par exemple vous rendre chez n’importe quel registrar, par exemple Gandi, pour acheter le nom de domaine chez-moi.fr (ne cherchez pas à l’acheter, il existe déjà) et, dans l’interface technique proposée, leur dire de faire pointer ce nom de domaine sur votre adresse IP. Et voila, un internaute quelconque peut à présent taper http://www.chez-moi.fr/ et venir chercher du contenu sur votre ordinateur sans avoir à se souvenir de l’IP ou d’un nom farfelu.

Enfin, pour ça, il faut travailler un minimum et installer quelques logiciels pour distribuer du contenu. Théoriquement, si vous n’avez rien fait en ce sens, votre ordinateur ne répondra rien et le visiteur malchanceux obtiendra juste une erreur dans son navigateur.

Notez que techniquement parlant, rien ne s’oppose à ce que vous utilisiez un nom de domaine terminant par autre chose que .FR ou .COM. Par contre, administrativement, vous ne pourrez peut-être pas obtenir tout ce que vous voulez. Par exemple, l’enregistrement du .FR est reservé aux personnes (morales ou physiques) demeurant sur le territoire Français mais n’importe qui peut acheter et utiliser un .BE (Belgique). Les tarifs d’enregistrement sont également très variable, y compris au sein d’une même extension, le marché étant complètement libre. Vous trouverez par exemple, au moins cher, un .COM pour 6 euro par ans alors qu’il n’est pas rare de devoir débourser 60 euro ou plus pour un .JP (Japon).

La suite dans le courant de la semaine, j’essaierai de vous parler des logiciels et je ferais peut-être une petite parenthèse sur les routeurs et les box de fournisseurs d’accès qui doivent être un peu configurées pour que ça marche.

On distingue trois méthodes de facturation de la bande passante :

• Au forfait, le fournisseur vous alloue un lien supportant un débit maximal et vous facture un prix fixe mensuel quel que soit la consommation faite sur le lien. C’est le cas de l’ADSL en France.
• A la consommation, le fournisseur regarde, généralement sur un mois, le nombre de bits qui ont circulé sur la liaison et vous facture un prix par bit transféré
• Au débit, le fournisseur utilisant généralement une méthode de calcul en centile.

C’est un terme assez peu connu, mais utilisé un peu partout. Dans le domaine médical par exemple, lors d’une naissance, on dit que la taille du bébé est dans le 70e centile, ce qui veut dire que sur 100 mesures effectuées à la naissance et triées dans l’ordre croissant, le bébé en question serait classé 70ème.

La plus part des fournisseurs facturent selon la méthode du 95e centile mensuel sur un échantillonnage de 5 minutes. Quelques uns ont adopté le 90e centile, plus avantageux pour le client.

Concrètement, un logiciel de mesure stock toutes les 5 minutes la différence de consommation entre l’instant T et la mesure précédente sur un port réseau. Elle obtient donc un débit en bits par tranche de 5 minutes qu’il suffit de diviser par 300 pour obtenir une moyenne de débit en Mbps sur les 5 minutes en question.

A la fin du mois, si on suppose un mois de 30 jours, on a donc obtenu 8640 valeurs de consommation moyenne sur 5 minutes. On trie ces valeurs par ordre croissant, on supprime les 5% (soit, en l’occurrence, 432 mesures) les plus hautes et on facture la valeur la plus haute restante.

De manière pratique cela revient à offrir au client les 432 tranches de 5 minutes ou il a consommé le plus (soit 36 heures pour un mois de 30 jours). C’est absolument inutile dans le cas d’un client qui consomme de la bande passante de façon purement linéaire, mais ce profil est très rare.

Pour prendre un cas concret, vous lancez un site web en grande pompe a grands renforts de pub radio/télé et de conférence de presse, votre trafic va exploser le jour du lancement puis décroitre rapidement avant de se stabiliser à sa valeur “normale” une dizaine de jours après la campagne de communication.

Pour un site s’adressant aux particuliers, les heures de pointes sont généralement entre 11h et 13h et entre 19h et 23h, soit 6 heures par jour, ce qui vous laisse donc 6 jours pendant lesquels votre consommation maximale ne sera pas comptabilisée.

On constate généralement que la facture 95e centile correspond environ a une valeur située entre 55 et 70% des pointes de consommation effectuées et entre 1.5 et 4 fois plus élevé que la consommation moyenne. Si vous aviez choisi une facturation forfaitaire à un débit limité a cette même valeur du 95e centile constatée, votre site aurait tourné au ralenti en moyenne une heure par jour, pile aux heures de pointe, ce qui n’est généralement pas acceptable.

Vous remarquerez, dans l’image ci-dessus, que la consommation maximale effectuée sur le lien (donc la taille indispensable pour que le trafic soit toujours fluide) a été, sur les 30 derniers jours, de 146Mbps, mais que le 95e centile est de 133Mbps, soit 10% d’économie sans souffrir du ralentissement.

Ceci étant, la méthode de calcul est compliquée à expliquer à un client final, elle n’est donc généralement utilisée que dans les relations contractuelles entre opérateurs qui savent déjà de quoi il retourne.

Pour générer le joli graphique ci-dessus, la première chose à faire est de faire des mesures de façon régulière. Il existe tout un tas de logiciels déjà fait pour ça (Cacti, Zabbix, MRTG …) mais je préfère toujours les choses faites à la main. Voici donc comment récupèrer les compteurs d’octets sur les interfaces d’un switch (l’OID SNMP en question est valable pour presque tous les équipements du marché) :

snmpwalk -v 1 -c .1.3.6.1.2.1.2.2.1

Attention, cette commande va vous inonder si votre switch a beaucoup de ports. Vous trouverez, dans l’ordre :

• Les numéro des interfaces (pour vous y retrouver)
• Les descriptions des interfaces (telle qu’elle a été entrée dans l’équipement)
• Le type d’interfaces
• Les MTU des l’interfaces
• Les vitesse des interfaces
• Les adresses MAC des interfaces
• Les statuts administratif des interfaces (activé ou pas)
• Les statuts logiques des interfaces (pour une interface activé, est-ce qu’une machine est allumée au bout ou pas)
• Les temps depuis lesquels les interfaces sont up (le cas échéant)
• Les compteurs d’octets entrants
• Les compteurs de paquets entrants
• Les compteurs d’erreurs entrantes
• La même chose avec le sortant

Tout ceci étant généralement suivi par un tas d’autres infos spécifiques aux équipements que je ne détaillerai pas ici.

Vous voici armé pour connaitre la quantité d’information (octets et paquets) qui circulent sur chaque port de chacun de vos switchs. Notez qu’il peut être pertinent de surveiller le reste et, par exemple, d’envoyer une alerte a qui de droit lorsqu’un port passe du statut UP à DOWN ou inversement.

Maintenant, comment les stocker. Vous pouvez tout bêtement mettre tout ça dans une jolie base SQL mais des gens ont réfléchi au problème de l’historisation du trafic réseau et ont trouvé une façon de faire plutôt sexy : round robin database. Il s’agit de créer une base de donnée d’une taille fixe qui ne bougera pas dans le temps et ou, lorsqu’on est arrivé à la remplir, les données suivantes effacent les données les plus anciennes.

Vous me direz, c’est bien joli, mais si on veut garder les infos 10 ans, il faut d’emblée prévoir l’espace disque pour 10 ans. Oui et non, RRD étant parfaitement capable de gérer une dégradation de la granularité (non, je n’insulte pas votre maman).

Explications : garder 10 ans les infos, c’est très bien, mais dans 6 ans, vous n’aurez probablement pas besoin de connaitre précisément la consommation de tel port sur une période de 5 minutes. Ce qui intéresse généralement les gens du réseau, c’est de pouvoir obtenir un graphique montrant l’évolution de la consommation sur les X dernières années. Il est donc idiot, dans ce cas, de garder 8640 valeurs de mesures mensuelles dans la base de donnée, RRD va donc faire une moyenne de ces valeurs.

Tous les calculs de moyennes sont paramétrables. On peut par exemple lui dire “conserve une mesure par tranche de 5 minutes pendant 6 mois, la moyenne sur une demi heure pendant 2 ans, sur une journée pendant 10 ans, et sur une semaine pendant 100 ans” ce qui, si vous calculez bien, vous donne 51840 + 35040 + 3650 + 5200 = 95730 points de mesure sauvegardés dans la base pour avoir la possibilité d’avoir un graphique sur 100 ans qui ait une belle gueule contre 10512000 points si vous aviez gardé l’ensemble des mesures faites toutes les 5 minutes. Biensur, si vous demandez le graphique d’une journée d’il y a 5 ans, avec ce système, vous obtiendrez un joli pâté qui vous indiquera la valeur moyenne de la bande passante consommée ce jour la.

Evidemment, pour avoir ce beau graphique, il faut encore penser a remplir son fichier RRD toutes les 5 minutes pendant 100 ans, ce qui est probablement impossible. Il faut par ailleurs prendre grand soin des déclaration de ces moyennes, car une fois que le fichier est constitué, il est relativement difficile de revenir sur ces choix.

Une autre fonction présente dès la déclaration de la base RRD, c’est la notion d’historisation des maximas, minimas et moyennes. En effet, conserver la moyenne de débit d’une journée d’il y a 4 ans, c’est bien, mais savoir quels étaient les maxima et minima de ce même jour, c’est encore mieux.

On déclare donc, lors de la création d’une base RRD, plusieurs RRA qui sont les fameux endroit ou seront stockés les données et qui calculerons automatiquement les moyennes.

Enfin, on peut inclure dans une même base plusieurs sources de données, DS

Par exemple :

“–step”, “300″,
“DS:in:COUNTER:600:0:U”,
“DS:out:COUNTER:600:0:U”,
“RRA:AVERAGE:0.5:1:46080″,
“RRA:AVERAGE:0.5:60:43800″,
“RRA:AVERAGE:0.5:360:29200″,
“RRA:MAX:0.5:1:46080″,
“RRA:MAX:0.5:60:43800″,
“RRA:MAX:0.5:360:29200″,
“RRA:MIN:0.5:1:46080″,
“RRA:MIN:0.5:60:43800″,
“RRA:MIN:0.5:360:29200″

C’est une déclaration classique de base RRD pour le trafic entrant et sortant d’un port de switch. Décortiquons :

• On indique pour commencer l’intervalle de temps entre deux mesures. Ici, 5 minutes.
• On déclare ensuite deux sources de données distinctes en leur donnant un nom (“in” et “out”). On indique ensuite que cette source est un compteur et qu’on va donc lui donner une valeur qui ne fera qu’augmenter avec le temps (sauf quand le compteur revient à 0 quand il a dépassé sa valeur maximale) et qu’il faut donc soustraire la valeur précédente à la nouvelle valeur pour trouver la différence. On indique ensuite le temps en seconde après lequel, si on n’a pas mis à jour la base RRD, elle considèrera que la valeur est inconnue et génèrera un trou dans le graphique (ici 10 minutes). Suivent les valeurs minimale et maximale possibles, soit 0 (le débit sur un lien n’est jamais négatif) et U qui signifie unknown, inconnu, et, dans le cas de RRD, illimité.
• On déclare ensuite une première granularité de RRA pour la valeur moyenne (AVERAGE), suivi du facteur XFF qui indique combien il faut de valeurs inconnues pour que, dans le calcul d’une moyenne, le résultat soit inconnu. Ici, on estime que si la moitié des valeurs sont inconnues, alors, le résultat de la moyenne sera inconnu. On indique ensuite combien de mesures sont utilisées pour faire une moyenne (la première déclaration indiquant généralement 1 pour stocker exactement les mesures prises dans le premier RRA). Enfin, on indique le nombre de points de mesure qu’on stock dans le RRA en question.

Comme vous le remarquez, il n’y a donc pas de notion de temps attachées directement au RRA, tout se joue avec le step déclaré au début. Dans mon exemple, le premier RRA stock 46080 mesures sans faire aucune moyenne puisque le nombre de valeur à prendre en compte pour une mesure est de 1. Le step étant de 300 secondes, ce RRA sera valable pour 46080*300 secondes, soit 160 jours. Je vais donc conserver mes mesures exactes à un interval de 5 minutes pendant 160 jours. Notez que rien ne vous empeche de remplir plus souvent la base RRD

Le RRA suivant indique 43800 points de mesure à stocker mais une moyenne de 60 valeurs pour constituer une mesure. Le second RRA aura donc une durée de 43800*60*300 secondes, soit 25 ans et stockera une mesure toute les 60*300 secondes, soit 5 heures. Le dernier RRA aura une durée de 29200*360*300 secondes, soit 100 ans.

Il est important de noter que les RRA ne sont pas successifs, c’est a dire que ces 3 déclarations ne donneront pas une durée de vie de 100 ans + 25 ans + 160 jours mais bien une durée globale égale à la durée du plus grand RRA.

Concrètement, lorsque vous entrez une valeur dans la base RRD, elle va dans le premier RRA et, dans le cas de notre exemple, dès qu’il y a 60 valeurs entrées dans le premier RRA, la moyenne est calculée et constitue la première valeur du second RRA. Une fois que le premier RRA a 360 valeurs disponibles, il renseigne la moyenne de ces 360 valeurs dans le 3ème RRA, et ainsi de suite. Ceci est bien sur valable pour le RRA AVERAGE. Pour le RRA “MAX”, ce sera la plus grande valeur des 360 retenues qui sera stockées dans le RRA du dessus, et pour MIN ce sera le minimum.

Il existe tout un tas de façon de créer et de mettre à jour une base RRD. La plus simple est probablement avec les commandes shell, mais vous trouverez des librairies perl, php etc .. En Perl, ça donne, pour la base constituée dans notre exemple :

RRDs::update (“fichier.rrd”, “DATE:valeur_in:valeur_out”);

La date en question est idéalement le moment précis ou la mesure à été relevée (et pas le moment ou on met à jour le fichier, ce qui permet de créer un fonctionnement asynchrone, d’un coté les relevés dument horodatés, de l’autre l’alimentation des bases RRD). La date est exprimée au format EPOCH, soit le nombre de secondes écoulées depuis le 1er janvier 1970 à minuit. Si vous ne voulez pas vous enquiquiner à gérer l’horodatage des mesures et que vous êtes certain que la base RRD sera mise à jour juste après la prise de mesure, vous pouvez remplacer la date par “N”, la base RRD prendra l’heure sur la machine au moment ou vous la mettez à jour.

Notez que vous devez faire les mises à jour de façon séquentielle. Vous ne pouvez pas insérer la mesure effectuée à 10h05 après avoir inséré la mesure effectuée à 10h20.

Si votre fichier RRD dispose d’une source (une mesure de température, par exemple), vous ne mettrez bien sur qu’une seule valeur après la date lors de la mise à jour.

Je cause, je cause, mais nous n’avons pour l’instant pas généré de joli graphique. Revenons à une commande utilisable en shell :

rrdtool graph demo.gif –title=”Bande passante” –end=now –start=end-3600s \
DEF:ind=fichier.rrd:in:AVERAGE \
DEF:outd=fichier.rrd:out:AVERAGE \
AREA:ind#00FF00:Input bytes \
LINE1:outd#0000FF:Output bytes

On crée ici un graph intitulé “Bande passante”, basé sur la valeur moyenne des deux sources in et out définies dans notre fichier RRD. On crée pour cela des définitions de source (DEF) et on leur donne des noms (ind et outd). On dit ensuite qu’on veut dessiner une zone pleine partant du bas (AREA) avec la définition ind et en vert (#00FF00). On lui donne un nom un peu plus explicite. On fait pareil avec outd mais avec une ligne bleue.

Nous obtenons donc un graph avec nos deux valeurs qui termine à l’instant présent et qui démarre à l’instant présent moins 3600 secondes (une heure).

Mais nos amis du réseau préfèrent obtenir des graphs exprimés en megabits bits par secondes, pas en octets. On va donc introduire un peu de mathématique en notation polonaise inversée pour rire un peu. Il s’agit de passer d’o/s à Mbps, donc multiplier les octets par 8 pour obtenir des bits, puis diviser deux fois par 1024 pour passer à des Kbps puis à des Mbps. On modifie donc l’appel à graph comme ceci :

rrdtool graph demo.gif –title=”Bande passante” –end=now –start=end-3600s \
DEF:ind=fichier.rrd:in:AVERAGE \
DEF:outd=fichier.rrd:out:AVERAGE \
CDEF:inbits=ind,8,*,1000,/,1000,/ \
CDEF:outbits=outd,8,*,1000/,1000,/ \
AREA:inbits#00FF00:Input Mbps \
LINE1:outbits#0000FF:Output Mbps

Les lignes CDEF créent de nouvelles sources de données basées sur des sources existantes et précisant le fonctionnement. en l’occurence, le CDEF inbits correspond au DEF ind mutliplié par 8, divisé par 1000, et redivisé par 1000. Si vous n’avez pas eu droit à des cours de notation polonaise inversée à l’école, voyez par ici.

On n’oublie bien sur pas de modifier les directives de graph pour qu’elles dessinent des choses en se basant sur les CDEF et pas sur les DEF.

Pour finir, comment afficher sur ce même graph une ligne rouge pour indiquer le 95e centile ? RRD embarque tout ce qu’il faut pour ca, il suffit de modifier notre demande de graph comme ceci (avec affichage sur un mois) :

rrdtool graph demo.gif –title=”Bande passante” –end=now –start=end-2678400s \
DEF:ind=fichier.rrd:in:AVERAGE \
DEF:outd=fichier.rrd:out:AVERAGE \
CDEF:inbits=ind,8,*,1000,/,1000,/ \
CDEF:outbits=outd,8,*,1000,/,1000,/ \
VDEF:inpct=inbits,95,PERCENT \
VDEF:outpct=outbits,95,PERCENT \
AREA:inbits#00FF00:Input Mbps \
LINE1:outbits#0000FF:Output Mbps

HRULE:outpct#FF00FF \
HRULE:inpct#FF0000 \

La directive VDEF crée une valeur fixe sur le graph et les directives HRULE dessinent la ligne elle-même.

Voila, vous savez à peu près tout ce qu’il faut pour démarrer. RRDTool est une suite d’outils très riche, on peut faire de très jolies choses pleines de couleurs. Allez faire un tour par la pour voir certaines oeuvres. Vous pouvez aussi remonter en haut du présent billet pour voir les statistiques des vélib à Paris. Graph réalisé par mat sur son site dédié à vélib.

La base :

Lorsque vous avez un enfant, vous n’avez droit à rien au titre des allocations familiales classiques. Si vous en avez deux, vous avez droit à 123.92 € par mois, si vous en avez trois, 282.70€, puis 158.78 € par enfant supplémentaire. Ceci sans conditions de ressources ou autre. Ceci est valable jusqu’à la majorité des enfants.

Ensuite, vous avez une surprime de 34.86 € par mois et par enfant entre 11 et 16 ans puis de 61.96 par enfant de 16 a 18 ans.

La PAJE :

Il s’agit de la fameuse “prestation d’accueil du jeune enfant”. Elle se décompose en trois parties :

• Une prime à la naissance de 889.72 €, portée à 1779.43 € pour les adoptions et soumise a conditions de ressources (voir tableau 1). Il faut aller apporter la déclaration de naissance à la CAF pour y avoir droit.
• Une allocation de base de 177.93 € par mois jusqu’aux 3 ans de l’enfant et soumise aux mêmes conditions de ressources que la prime de naissance (voir tableau 1)
• Puis, optionellement, un complément libre choix du mode de garde ou libre choix d’activité

C’est la que ça se corse.

Le complément libre choix du mode de garde s’adresse à ceux qui continuent à travailler et qui font garder leur progéniture, chez eux ou chez une assistante maternelle. N’ayant pas fait appel à ce mode de garde jusqu’à maintenant, je vais juste vous renvoyer sur la page idoine de la CAF.

Notre dada à nous, c’est le congé libre choix d’activité. Le principe est que la CAF paie une allocation a peu près équivalente à la garde d’enfant pour ceux qui décident de mettre entre parenthèse leur activité professionnelle pour s’occuper de leurs enfants entre la naissance et l’age théorique d’entrée à l’école maternelle (3 ans)

Il n’y a pas de conditions de ressources pour en bénéficier, mais il faut pouvoir “justifier d’au moins 8 trimestres de cotisation vieillesse au titre d’une activité professionnelle”, respectivement dans les 2, 4 ou 5 dernières années selon le nombre d’enfant (2 ans pour le premier, 4 pour le second, 5 pour le 3ème)

Justifier d’un trimestre de cotisation vieillesse au titre d’une activité professionnelle, ca ne veut pas dire qu’il faut avoir travailler un trimestre, non, ce serait trop simple. Un trimestre de cotisations vieillesse est validé si :

• Vous avez gagné 1654 euro (même si vous n’avez travaillé qu’un mois). Ainsi, si vous avez gagné 15000 euro dans une année, vous avez théoriquement (à vérifier) validé vos 8 trimestres.
• Vous étiez en congé libre choix d’activité et les ressources du foyers correspondaient au tableau 2 (la CAF cotise pour vous au titre de l’AVPF)

Moralité, si vous avez travaillé à mi temps pendant 2 ans pour 500 € par mois, vous n’aurez validé que 7 trimestre dans les deux ans en question. Heureusement pour vous, le fait d’avoir accouché compte pour un trimestre validé.

Autre moralité, si vous avez le mauvais gout d’enchainer la création de progéniture nombreuse, le congé libre choix d’activité pris pour un enfant vous ouvre les droits nécessaire au congé libre choix du suivant. Pratique. Il faut juste faire un enfant tous les 5 ans maximum ou bien retourner travailler entre deux enfants pour que ça fonctionne.

La durée maintenant. Pour le premier enfant, c’est 6 mois, pour les suivants, c’est 3 ans (à croire qu’il n’est pas nécessaire de s’occuper attentivement de son premier enfant plus de 6 mois ..)

Et pour le montant, la base, c’est 371.17 € par mois si vous arrêtez de travailler complètement, 241.88 € si vous êtes salarié à mi temps (ou que vous êtes indépendant à moins de 76h / semaine et moins de 1590.92 € par mois), 139.53 si vous êtes entre 50 et 80% (ou indépendant entre 77 et 122h / mois et moins de 2545.48 € par mois)

Cette base est augmentée de 177.94 si vos ressources sont trop élevées pour percevoir la base de la PAJE.

Les tableaux : (plafonds annuels de ressources)

1)

2)

Quelques exemples :

• Vous avez trois enfants de 4, 2 ans et 2 mois, vous vous êtes arrêté de travailler 1 mois avant la naissance du premier, le revenu du foyer est de 25000 Euro annuel. Vous avez donc droit à 282.70 € d’allocations familiales + 177.93 € de base de la PAJE + 371.17 € puisque vous ne travaillez plus et que votre dernier congé libre choix (pour l’enfant qui a aujourd’hui 2 ans) vous a donné droit a 2 ans continus de cotisation au titre de l’AVPF par la CAF. Soit un total de 831.80 € mensuel jusqu’au 3 ans du petit dernier puis 282.70 € par mois après.
• Vous êtes en couple, vous allez avoir un premier enfant, vous gagnez 45000 € annuels à deux, aucun de vous deux ne compte stopper son activité, vous aurez droit à 167.07 € mensuel au titre du libre choix de mode de garde si vous employez quelqu’un pour garder votre loupiot.
• Vous êtes seul avec 4 enfants de 17, 14, 11 et 2 ans (ça doit pas être facile), vous ne travaillez pas, vous avez le droit à 441.48 € d’allocations familiales de base + 96.82 € de prime étant donné l’age des enfants + 177.95 € d’allocation de base de la PAJE, soit 712.25 € par mois.

Si vous avez un cas particulier à soumettre, laissez un commentaire, je vous aiderai dans la mesure de mes moyens et je compèterais le présent article.

Le plus simple étant généralement, même si c’est souvent agaçant, d’aller voir directement la CAF pour leur demander.

Sachant que 1 octet = 8 bits,  1Mbps, c’est donc 1 million de bits par seconde, soit 125000 octets, soit 125Ko/s. Ce débit est celui de la ligne elle-même, sachant que les données réellement utiles (une page de site web par exemple) sont incluses dans tout un tas d’informations de transport et de vérification qui font qu’au final, une ligne disposant officiellement de 20Mbps aura du mal à fourni plus de 15Mbps réels, parfois moins.

Les utilisateurs d’internet en France sont habitués à la ritournelle classique des gros FAI qui vendent “30 euro les 20Mbps”. On peut, du coup, être tenté de dire que 1Mbps vaut quelque chose comme 1,50 euro.

Pourtant, un abonné dont la ligne ne permet pas d’atteindre plus de 512Kbps paiera aussi 30 euro et lorsqu’on regarde le marché des opérateurs de grande envergure, on trouve un prix plancher d’environ 6 euro et des prix annoncés parfois en centaine d’euro. De leur coté, certains acteurs plus modestes proposent jusqu’a 1€=1Mbps pendant qu’on trouve, dans d’autres pays, des offres ou on ne parle jamais de débit mais de quantité de données qui peuvent être transférées chaque mois.

Alors, ou est la vérité ? Loin, en fait.

Le cout brut de la bande passante correspond en fait au prix de la liaison qui la transporte ajouté au cout des équipements qui sont au bout divisé par la capacité disponible. Il est déjà difficile d’estimer le nombre de liaison sur internet, mais si on commence a vouloir deviner le cout de transport en fonction d’une source et d’une destination, on devient vite cinglé.

Chaque operateur fait donc généralement un calcul global sur son propre réseau en tenant compte, entre autre, du prix des liaisons internes de son propre réseau, de celui de l’éventuelle bande passante vendue par ses fournisseur, de la masse salariale des personnes qui s’occupent du réseau, de l’achat et de l’entretient du matériel  et obtient donc un prix global qu’il divise par la capacité globale du réseau pour estimer son cout.

Certaines liens n’ont qu’un cout de liaison, par exemple le lien vers un point d’échange qui est facturé forfaitairement quel que soit le débit utilisé. D’autres sont facturés a la consommation, par exemple les liens de transit, d’autre encore ne sont pas facturés, par exemple les liens vers les points de peering gratuits, mais on tout de même un cout, le routeur qui est au bout, l’équipe qui gère le routeur, etc …

Mais sur internet, il n’y a aucune notion de grossiste qui ne vendrai qu’a des quantités inaccessible, chacun est donc presque libre d’aller se fournir ou il veut. Comment fait-on, donc,  pour proposer de la bande passante au prix du marché s’il faut déjà l’acheter a ce même prix ailleurs ? On peut utiliser trois leviers :

- acheter à bon prix une grosse quantité pour la revendre plus cher par petite quantité (les prix pouvant aller du simple au quintuple, voir plus, selon la quantité)
- ne vendre que de la bande passante à prix forfaitaire en espérant que les clients ne consommeront jamais la totalité de ce qu’ils ont acheté
- vendre deux fois la même bande passante, une fois à un hébergeur ou autre structure surtout consommatrice de trafic sortant et une seconde fois à un fournisseur d’accès ou autre structure forte consommatrice de trafic entrant.

Si on prends le cas d’un opérateur bien connu dont les abonnés ont tout compris, ils jouent sur les trois leviers à la fois : ils achètent en gros de la bande passante qu’ils revendent forfaitairement à une grande quantité de clients et ont une filiale proposant de l’hébergement reliée à leur réseau qui génère quasi exclusivement du trafic sortant. Ils ont également naturellement un tas de liens payés forfaitairement (vers Londres, par exemple) ou pour écouler une grosse partie de leur trafic (vers SFR, Orange, …)

Mais cette façon de faire est également accessible à des réseaux beaucoup plus modestes comme celui de FDN qui représente surtout du trafic entrant et qui est adossé à Gitoyen dont la majorité des membres écoulent du trafic sortant. Par ailleurs, étant une association, FDN dispose d’une force de travail qui ne coute rien pour maintenir le réseau.

Si on estime qu’un abonné ADSL paie 30 euro un abonnement ADSL, que sur ce tarif on peut consacrer 4 euro à la bande passante, qu’il consomme 1Mbps au 95e centile (article explicatif à suivre sur cette méthode de mesure), qu’on écoule 20% de son trafic sur des échanges gratuits et qu’on vends deux fois le même débit, on peut se permettre d’acheter le Mbps à 10 euro.

Evidemment, si la consommation de bande passante de tous les abonnés augmente sensiblement sur une courte période, le modèle économique tombe vite. C’est l’une des problématiques des FAI depuis quelques temps, n’ayant pas prévu à temps l’explosion de la vidéo en streaming.

Il est aussi possible, dans une certaine mesure, de garantir la bande passante. Dans ce cas, le tarif est bien plus élevé dans la mesure ou on ne peut plus jouer sur le levier du forfait dont le client ne consomme qu’une partie et que les couts humain de maintenance et d’intervention en cas de problème sont bien plus élevés.

Dans un sens, elle me ressemble. Je n’étais pas mauvais en classe, mais pas excellent non plus, juste ce qu’il faut pour avancer. A son âge, je piratais les messageries d’entreprise proposant des numéros gratuits à leurs salariés pour pouvoir discuter gratuitement avec mes amis depuis des cabines téléphoniques pendant les grandes vacances, je programmais en GFA Basic sur Atari, la découverte des communications entre ordinateur via les réseaux fut une révélation et je faisais déjà des nuits blanches devant le clavier alors que je n’avais pas encore passé le brevet des collèges.

A l’époque, bien sur, mes parents ne savaient presque rien de tout ceci, étant encore occupés à se demander si les jeux de rôle que je pratiquais parfois le weekend étaient vraiment des activités saines pour mon esprit et mon corps.

Ma fille, elle, n’est pas tombée dedans quand elle était petite, malgré “l’ordinateur des enfants” qui a été installé dans le salon alors qu’elle avait à peine trois ans. Tant pis, chacun sa route. A défaut de curiosité sur le “comment ça marche à l’intérieur”, elle maitrise parfaitement l’utilisation des engins numériques avec lesquels elle est née. Il y a 10 ans, en 2010, on me disait que je faisais partie de la “génération Y“, j’imagine donc, qu’elle, elle est de la “génération Z”, celle qui, à 2 ans, savait déjà utiliser un iphone.

Elle a 14 ans, et elle a à peu près intégré dans sa petite cervelle d’ado que pirater, c’est pas bien, mais elle a aussi très bien entendu son père pester contre les majors moribonds qui continuent à vouloir faire croire à qui veut bien l’entendre que le piratage est le mal qui réduit les revenus de la création artistique à une peau de chagrin et qui amoindrit donc drastiquement sa qualité et sa quantité.

Et quand on est ado, les raccourcis logiques, aidés par le budget limité, font qu’elle s’en donne à coeur joie avec ses amis en matière de partage de fichiers contrefaits. “C’est mal, mais c’est pas grave, papa faisait pire à mon âge”. Oui, c’est vrai, moi aussi, en plus de tout le reste, je piratais de la musique et des films en l’an 2000. Depuis, ça m’est passé, je suis revenu sur les bons vieux classiques, les Doors, Pink Floyd, un peu d’Iron Maiden de ma jeunesse, et pour le reste, je préfère largement aller voir un concert live que de faire la queue sur itune pour acheter un MP3 que tout le monde a déjà.

Je plaide coupable, j’ai mal élevé ma fille, mais on m’a tellement bassiné pendant tout le début de ma vie d’adulte avec “la démission des parents” que j’ai mis un point d’honneur tout particulier à ce que mes enfants aient un comportement décent avec leurs semblables, exempt autant que possible de violence verbale ou physique. Résultat ? je n’ai pas pris le temps de lui apprendre que quand on viole la loi, quelques précautions doivent être prises. J’espère au moins lui avoir inculqué un peu de discernement.

Je me souviens, en 2011, sous la pression de quelques hommes politiques qui n’avaient rien compris, les fournisseurs d’accès se sont mis à pratiquer des tarifs différents en fonction de la consommation de bande passante du client. L’intention de base était louable, il s’agissait que l’abonné qui avait une ligne de 6km et 512Kbps de débit ne paie pas le même prix que celui qui avait une fibre a 100Mbps, mais le résultat final n’a pas été si reluisant.

Cette loi, pire que les fantômes d’HADOPI et de LOPPSI réunis, traite le mal à la racine. Les fournisseurs d’accès sont tous, sans exception, obligé de surveiller la consommation en bande passante de leurs abonnés, chose qu’ils font déjà puisque cette consommation conditionne le tarif mensuel de l’abonné, et de signaler toute pointe de trafic ayant une provenance non accréditée par le gouvernement. Nous sommes passés d’un principe d’autorisation générale avec des exclusions à un principe d’exclusion générale avec des autorisations.

Ils ont bien fini par comprendre, vers 2013, que le DPI était totalement contreproductif et allait à l’encontre de la liberté d’expression, ils ont donc pour une fois trouvé quelques experts pas trop mal renseignés qui ont planché sur une solution alternative et elle fut vite trouvée.

Depuis 2 mois, les sites à forte consommation de bande passante comme youdailytubemotion.com ont grassement payé leur accréditation à une toute nouvelle autorité administrative et promis de faire la chasse aux fichiers contrefaits. Toute consommation élevée de bande passante depuis un endroit autre que ces sites accrédités est immédiatement signalée par le fournisseur d’accès. Soit dit en passant, le coté légal ou pas de la consommation en question semble finalement importer assez peu, en tout cas aux yeux de ceux qui ont fait la loi.

C’est ce matin que je me suis aperçu de tout ceci, au retour de vacances, en m’asseyant devant mon ordinateur pour constater que mon VPN professionnel était aux abonnés absents, que mon client de messagerie affichait une erreur de connexion en permanence depuis deux jours et que quel que soit le site sur lequel je voulais aller, je me trouvais redirigé toujours sur la même page m’informant que ma connexion avait été restreinte (mais pas coupée pour rester un minimum compatible avec la liberté d’expression) du fait d’agissements suspects sur ma ligne pouvant porter préjudice à des tiers.

Sur cette fort belle page, on me donne le choix entre prouver mon innocence en invitant cordialement un agent assermenté à venir prendre l’apéro et vérifier le contenu de mon ordinateur ou bien payer une caution de 2500 euro en ligne avec ma carte bancaire pour réactiver immédiatement ma connexion dans l’attente de la visite de l’agent en question. Je peux aussi me contenter de ma connexion limitée qui m’autorise à envoyer et à recevoir des mails via l’adresse de mon FAI de 20ko maximum chacun dès fois qu’il me viendrait à l’idée d’échanger des fichiers par mails. Elle m’autorise aussi à consulter les sites gouvernementaux et ceux de toutes les institutions agrées par la haute autorité.

Je paierais volontiers les 2500 euro en question pour avoir la paix, étant certain de pouvoir planquer toutes les contrefaçons présentes sur l’ordinateur de ma chère fille, mais la crise de 2009 n’est toujours pas terminée, les 2500 euro en question sont à peu de choses près le montant négatif se situant actuellement sur le compte courant familial à la banque. Je demande donc la venue du fameux agent. Ce doit être un homme fort occupé, on me promet qu’il viendra d’ici trois ou quatre mois.

Après avoir passé un sérieux savon à la coupable et lui avoir expliqué que la case “limitation du débit utilisé” dans le logiciel de téléchargement c’était pas pour les skateboards, la vie et son accumulation de petites choses à régler reprend ses droits et je me dis que c’est pas le bout du monde, vu que j’aurai toujours accès au réseau depuis le boulot.

Juste histoire de réclamer quelques allocations le temps de retrouver un job, chose plus difficile à presque 45 ans que lorsqu’on en a encore 20.

On me dit qu’il faut remplir le formulaire sur le site web, mais faute d’être entretenue, puisque très peu utilisée vu le taux de pénétration d’internet dans les ménages de nos jours, la borne censée me permettre de remplir le précieux sésame est hors service. On m’invite très cordialement et avec le sourire à aller dans la préfecture voisine, à 350km à l’opposé de chez moi, pour remplir le formulaire en ligne, après s’être passablement foutu de moi sur le thème “houuu il a pas internet chez lui, hasbeen !”

Je décide d’être moins idiot que les propositions qui me sont faites et je m’en vais quémander un accès à l’ordinateur des voisins. Je remplis discrètement mon formulaire, je le valide, tout va bien, je serai informé par email de la suite de ma demande ou bien je pourrais venir consulter à nouveau le site. J’ai volontairement omis de raconter mes mésaventures au dit voisin, pas la peine d’avoir à en parler 107 ans.

J’ai bien fini par devoir lui dire la vérité, au bout de la 8ème fois ou je suis venu chez lui consulter mon dossier pôle emploi (qui n’avance pas mieux qu’avant qu’il se fasse en ligne) sur son ordinateur. “Oui, j’ai du couler ma boite, et en prime, on m’a coupé internet”. Le voisin est gentil et un peu idiot aussi, il ne veut pas qu’on sache qu’il héberge un clandestin du réseau (et chômeur qui plus est) sur son ordinateur. Il m’explique donc que je devrais désormais me débrouiller autrement pour avoir accès au réseau et me claque presque la porte au nez en n’oubliant pas, dans les heures qui suivent, d’en parler avec moult déformations à tout le quartier. Coupé du réseau, chômeur et maintenant paria, tout va bien.

Du coté de mes amis, ne donnant plus de signe de vie en ligne, et l’absence total d’altruisme des temps présents aidant, je pense que j’ai tout simplement dû cesser d’exister pour eux du jour au lendemain sans qu’ils ne se posent trop de question. Il reste toujours la famille, mais elle est loin et nous avons d’autres priorités pour l’instant.

Découragé, je rentre chez moi et découvre une fuite d’eau monstrueuse en provenance du mur de la salle de bain du haut qui, non contente de tremper le mur, ruisselle quasiment partout dans la maison. Coupure générale de l’eau, suivi d’un parcours du combattant pour trouver un plombier pour venir réparer ça, étant donné que mon FAI n’a manifestement pas jugé bon de laisser active ma ligne de téléphonie sur IP et que je n’ai pas encore eu l’occasion de me racheter un portable, le précédent ayant été repris par son propriétaire, mon ancien employeur. Coupé du réseau, chômeur, paria et trempé, nous voilà bien.

Le surlendemain je parviens à alpaguer un voisin méfiant qui me conseille de façon très précise “peut-être dans telle rue, y’en a un je crois” avant de s’enfuir. Le bilan est lourd. Si on admet qu’on adore vivre avec un trou de 70 centimètres dans le mur de la salle de bain et autant dans celui de la chambre, vu que c’est le même mur, nous nous en sommes sortis pour la modique somme de 1200 euro, main d’oeuvre, matériel et nettoyage compris. La prochaine fois, je prendrai une meilleure assurance habitation, et je n’écouterai pas les conseils d’un voisin à qui je fais peur, je sais, merci.

Je ne parle même pas de la nourriture que nous ingurgitons. Nous avions pris la très fâcheuse habitude de nous inspirer, le soir venu, sur un site de recettes de cuisine qui n’a manifestement pas eu la chance d’être dans les petits papiers de la haute autorité.

D’un coté, c’est une bonne chose, puisque pour pouvoir acheter des pâtes et un peu de viande nous avons vendu la voiture (on pollue moins, en prime), nous avons plus de temps pour nous réunir en famille du fait de l’absence de télé, et nous avons fini par vendre aussi les ordinateurs qui ne servaient plus à rien. L’agent assermenté de la haute autorité ne pourra que constater qu’il n’y a point de fichiers contrefaits chez nous lorsqu’il viendra … le mois prochain … peut-être.

Ce n’est finalement pas bien grave puisque de toute façon nous avons été mis à la porte de chez nous par le propriétaire qui a été effaré du trou dans le mur de la salle de bain et de l’absence de paiement du loyer depuis 6 mois. Coupé du réseau, chômeur, paria, trempé et sans domicile fixe, de mieux en mieux.

J’en profiterais pour vous raconter tout ce que j’aurais du faire quand j’en avais l’occasion et qui aurait peut-être aidé à ce qu’internet ne devienne pas ce qu’il est devenu.

Petit décorticage des réponses d’Eric Walter aux questions des internautes apportés ce midi sur le site de La Tribune

Le début est plutôt gentillet, on y apprends rapidement qu’HADOPI n’est pas la pour taper sur les gens mais pour faire émerger une prise de conscience collective qu’il faut donner des sous aux artistes. Bon, soit, jusque la, j’ai vraiment rien contre l’idée.

A la 3ème question, on attaque les choses sérieuses. Comment vont faire les 3 magistrats du CPD pour prononcer 50000 condamnations par jour ? Ben ils vont être aidés pardi. Mais sauf erreur de ma part, on aide pas un magistrat à rendre sa décision, sinon, ce n’est pas le magistrat qui a décidé mais son aide.

4ème question, comment HADOPI différencie un contenu légal d’un contenu illégal ? La réponse est limpide, HADOPI est saisie par les ayants droits, des societés privées, qui décident seuls ce qui est légal ou ne l’est pas. Ce n’est pas à HADOPI de trancher sur cette question. Edifiant, n’est-ce pas ?

Un peu plus loin, à la question du pourquoi la surveillance est confiée à des entreprises privées, Eric Walter réplique qu’il ne s’agit pas de surveillance. On aurait bien aimé savoir ce que c’est alors.

S’en suit une clarification sur la façon de juger si une saisine est valable ou pas. Les ayants droits doivent fournir la preuve qu’ils disposent de droit sur l’oeuvre supposément téléchargée par l’internaute et le CPD vérifiera dûment le procès verbal avant de trancher.

Concernant l’opensource à propos du logiciel de sécurisation libellé HADOPI, le secrétaire général est ouvert à ce que la communauté opensource planche sur le sujet. On dirait qu’il a mal compris le principe de l’opensource. “ben si regardez j’ai un logiciel de sécurisation !” “ben oui mais vous l’avez modifié !” “ben, il est opensource” “oui mais vous avez pas le droit” …

Suit une question d’un entrepreneur à propos des problématiques que je soulevais avant hier. Il botte en touche en disant que les entreprises se protègent déjà contre tout ça. Il a pas du entendre parler des PME et TPE, celui-là.

Il botte également encore moins proprement en touche concernant les fichiers fake sur les peer2peer (quand un internaute pensant légalement télécharger un fichier absolument pas protégé par un quelconque copyright se retrouve avec un film porno à la place. Et pareil pour la procédure en cours auprès du conseil d’état, en précisant tout de même qu’il ne bouscule pas son calendrier pour si peu.

Plus loin, on apprends que les agents des ayants droits qui collectent les adresses IP sont des gens assermentés (moi je croyais que c’était des logiciels qui faisaient la collecte … Ils sont assermentés aussi, les logiciels ?) et que si, par exemple, ils donnaient à HADOPI des IP de gens qui n’ont rien fait, ce serait une grave rupture de leur serment. Oui .. Et ?

Suit une phrase mémorable qui dit que la loi s’applique à tous, et pas seulement aux opérateurs coopératifs. J’attends avec impatience ma première requête d’HADOPI. Je vais peut-être même aller pomper sur la Mule rien que pour ça.

Ensuite, à la question de savoir pourquoi ce ne sont pas les ayant droits qui financent directement HADOPI, on nous répond que c’est déjà le cas puisqu’ils prennent à leur charge toute la partie “observation des réseaux” .. Vous notez bien hein, observation, pas surveillance.

Suit son salaire, 180ke annuel, soit la bagatelle de 15000 euro par mois. Même brut, ça me va. Je veux etre kalife à la place du kalife !

Puis un méaculpa en bonne et due forme, HADOPI ne traite pas des oeuvres artistiques libres de droit, bien sur. Le peer2peer en lui même, c’est bien, sisi.

La dernière question concerne le scam autour d’HADOPI. Faut-il payer en ligne lorsqu’on reçoit un mail qui invite à le faire. La réponse est bien entendu non, même si Mr Walter ne prends pas la peine de le dire.

La Tribune s’étant manifestement pris les pieds dans les fils, j’ai récupéré des bouts de screenshot du tchat au fur et à mesure. Merci à Antoine C & Djidane.

Vous pouvez consulter la transcription complète par ici

Comme le précise Bernard dans l’interview, le cadre règlementaire global est déjà en vigueur depuis la LCEN, les entreprise sont censée conserver des “logs de connexion” afin de pouvoir identifier la personne ayant utilisé la connexion Internet pour des activités peu recommandables. Les décrets d’application de cette loi concernant la durée de conservation des logs ne sont toujours pas parus, mais la profession s’entends généralement pour dire qu’un an est une durée suffisante.

Ce qu’HADOPI apporte de nouveau, c’est qu’une traque systématique va être mise en place. L’unique cas relevé par l’avocat dans l’interview risque donc de ne plus être seul très longtemps.

Mais techniquement, l’obligation de l’entreprise, c’est quoi ? Tout simplement d’être capable de dire “c’est lui” quand on va venir lui demander “qui a fait telle chose tel jour à telle heure depuis votre adresse IP ?”

Quels problèmes cela pose-t-il ? Tout une tripotée en fait, qui ne sont pas tous en rapport avec HADOPI, on va donc éviter de faire une liste hors sujet et en arriver au fait intéressant.

Dans 99%, si ce n’est pas plus, des entreprises, les ordinateurs des salariés se trouvent derrière un routeur qui fait du NAT. Pour les gens qui ne baignent pas dedans, le NAT (Network Address Translation), c’est un mécanisme qui permet de transformer toutes les adresses IP privées (celles du réseau local de l’entreprise) pour les faire tenir dans une ou plusieurs adresses IP publiques (celles attribuées par le fournisseur d’accès).

Vous devinez rapidement la teneur du problème, puisque ces messieurs de l’HADOPI basent la totalité de leurs attaques sur la seule information qu’ils peuvent récolter, ce sera l’adresse IP publique qui sera accusée, donc la société dans son ensemble.

Si les grandes entreprises sont à l’abri, soit parce qu’elles distribuent une IP publique par salarié, soit parce qu’elles ont investi dans des équipements capable de bloquer le trafic peer2peer ou de l’analyser, les TPE et PME (au bas mot plus d’un million d’entreprises ayant entre 1 et 49 salariés) utilisent bien souvent une connexion ADSL de particulier ne distribuant qu’une seule adresse IP, assortie du modem routeur fourni par le FAI qui ne sait absolument pas bloquer le trafic de manière sélective et encore moins l’espionner pour produire un fichier de log.

Autant, la législation mise en place par la LCEN n’était pas réellement gênante, car si un membre des forces de l’ordre venait demander à une entreprise “qui a envoyé ce mail” et qu’il était impossible de lui répondre, il trouverai bien un autre moyen de confondre la personne, et au pire la boite se ferai taper sur les doigts, autant, avec HADOPI :

• La présomption d’innocence n’existant quasiment pas et l’employeur étant dans l’impossibilité de dénoncer le coupable, il se verra donc couper son accès internet (adieu veaux, vaches, cochons !)
• Si par bonheur il pouvait retrouver le vilain pirate (si par exemple il n’a qu’un seul salarié ou qu’il a réussi à prendre le coupable la main dans le sac), comment cela se passerait-il ? le salarié se verrai couper sa connexion internet personnelle, chez lui, alors qu’il n’a rien piraté avec, et même si le patron l’a balancé alors qu’il n’a rien fait ? (ben oui, y’a aussi des patrons qui téléchargent)

Ils y ont pensé, à ça, nos amis du gouvernement ? Manifestement non, puisque donc, dans une TPE avec 3 salariés, ne pas dépenser, à la louche, 700 euro de matériel et 1000 à 3000 euro de prestation d’installation et de formation à l’utilisation pour pouvoir dire qui fait quoi, sans aucun respect pour la vie privée de ses salarié, c’est de la négligence caractérisée et c’est punissable.

Voyons maintenant ce qu’on peut faire si on est patron et qu’on est flippé par le sujet. Il n’y a pas grand choix. On peut :

• soit donner une IP publique à chaque salarié. Pour ça, il faut que le fournisseur d’accès le permette, ce qui n’est le cas ni des agrumes, ni de ceux qui savent faire, ni de ceux qui ont tout compris. C’est par contre le cas de FDN, qui est le seul FAI en France à proposer cette option sans surcout sur l’abonnement.
• soit couper purement et simplement le peer2peer. De petits logiciels libres existent, permettant de filtrer le trafic sur son réseau pour s’assurer que les salariés bossent au lieu d’aller sur facebook, mais leur installation n’est pas à la porté du premier venu.
• soit utiliser un VPN permettant d’évacuer son trafic à l’étranger, sous des cieux ou l’HADOPI n’ira pas regarder. L’offre en la matière est entrain d’exploser, il suffit de demander à Google. Autant d’argent qui n’ira pas chez les ayants droits, en plus de celui qui va déjà chez Rapidshare.
• soit prier pour que le juge soit clément et ne coupe pas la connexion internet de l’entreprise (ou bien que l’HADOPI capote avant l’heure, n’oubliez pas le rendez-vous du 8 septembre)

Jje me concentre sur FreeBSD, on change pas une équipe qui gagne, mais la théorie doit pouvoir être adaptée sur n’importe quel système d’exploitation libre, y compris sur des gestionnaires de paquets différents de celui-ci, moyennant peut être un peu de scripting supplémentaire.

On peut obtenir assez simplement, en SNMP, via l’OID HOST-RESOURCES-MIB::hrSWInstalledName (.1.3.6.1.2.1.25.6.3.1.2) le listing de l’ensemble des ports installés sur la machine.

Reste ensuite, sur la machine centrale, à communiquer avec tous ces serveurs SNMP pour récupérer les infos. Ici un exemple shell très sale :

snmpwalk -v 1 -c <communaute> <IP_de_la_machine> HOST-RESOURCES-MIB::hrSWInstalledName | awk -F ” ” ‘{ print $4 }’

On peut ensuite faire beaucoup de chose, par exemple stocker tout ça dans une base de données et :

• envoyer des alertes par email lorsqu’une modification de version est détectée
• faire un récapitulatif quotidien de toutes les versions présentes sur le parc avec une mise en évidence des versions présentant des failles de sécurité (données récupérables dans la base de portaudit)

Ceci dit, si vous commencez à jouer avec la surveillance précise des numéros de versions, vous allez vite être embêté et vous allez devoir créer un petit script qui sera lancé par SNMP sur une OID privée rien que pour vous ou vous mettrez les infos qui vous intéressent.

La transcription est à lire dans son ensemble (la partie sur la neutralité est  très croustillante), mais un passage m’a particulièrement fais tiquer :

Cette période intermédiaire où on lui demande d’être un ingénieur, et de comprendre ce qu’est un réseau filaire, un réseau mobile, d’entrer des codes et tout cela, est une période curieuse. Quand vous regardez d’autres secteurs, personne ne vous demande par exemple de savoir quoi que ce soit sur les machines qui fabriquent vos vêtements, par exemple. A l’avenir, nous devons éviter que les clients aient à faire avec cette complexité, ce qui veut dire que nous devons investir partout.

Il ne faudrait surtout pas que Madame Michu puisse avoir la moindre petite once d’envie de s’approprier entièrement l’outil qu’elle et ses enfants utilisent quotidiennement. C’est interdit, ça, madame. C’est affreusement subversif, vous ne vous rendez pas compte !

Outre le très mauvais parallèle avec les vêtements qui ne sont pas un outil, je me demande comment on peut encore, après avoir dit ça, marteler aux gens qu’il faut faire attention à ce qu’on fait sur internet, qu’il faut surveiller les activités de ses enfants, etc …

Remarquez, il n’en est pas à une bêtise près dans son discours puisqu’il assure qu’Orange verse à fond dans l’innovation en prenant pour exemple une fort belle innovation qui leur revient sans équivoque, à savoir l’Iphone. On a du me mentir à l’insu de mon plein gré, je croyais que c’était Apple qui fabriquait Iphone, moi.

Bref, contrairement à ce que dit le monsieur aux agrumes, je vous invite a satisfaire votre curiosité dans tous les domaines, y compris sur le fonctionnement d’internet. Ce blog devrait (un peu) vous y aider.

EDIT : Décidément, la “transmission de connerie” fonctionne bien ces derniers temps. Stéphane Bortzmeyer a fait un court article sur le BASIC ce matin, reprenant grosso modo l’idée relevée plus haut : on veut nous rendre de plus en plus cons et c’est relativement récent.

Ayant déjà déployé puppet (administration centralisée de parc) et nagios (monitoring) avec son fidèle compagnon nrpe (qui sert à remonter à nagios les résultats de plugins locaux sur les serveurs), je cherchais un moyen simple de centraliser les informations hardware & software de l’ensemble de mes ouailles.

Le principe adopté est un peu barbare mais a l’avantage de ne pas avoir a déployer d’autre logiciel.

Il se base sur les résultats fournis par dmidecode, qui contiennent, entre autre, le numéro de série de la machine, la composition hardware et tout un tas d’infos rigolottes.

Puppet, quant à lui, retourne déjà, via facter, pas mal d’informations sur l’OS installé. Il parle déjà avec dmidecode mais n’en extrait pas toute la quintessence.

L’idée était donc d’apprendre à facter a discuter un peu plus avec dmidecode pour qu’il retoune l’ensemble des infos que je voulais. En se basant sur les scripts existants pour facter, j’ai donc crée un dmidecode.rb dans le dossier /usr/local/lib/ruby/site_ruby/1.8/facter :

# dmidecode.rb
# Facts related to hardware
#
#

require ‘facter/util/manufacturer’

query = {
‘(Chassis Information|system enclosure or chassis)’ => [
{ 'Power Supply State:' => 'powersupply' },
{ 'Thermal State:' => 'thermalstate' },
{ 'Height:' => 'racksize' }
],
‘Processor Information’ => [
{ 'Family:' => 'CPUfamily' },
{ 'Current Speed:' => 'CPUspeed' },
{ 'Version:' => 'CPUversion' }
],
}

Facter::Manufacturer.dmi_find_system_info(query)

Vous pouvez aussi patcher directement le fichier manufacturer.rb, mais je préfère quelque chose qui ne risque pas d’être écrasé par une mise à jour ultérieure de facter.

Vous remarquez très bien, même si, comme moi, vous n’êtes pas un grand amateur de ruby, qu’on retrouve assez vite ses petits dans le script en question.

Admettons que vous vouliez, en plus, récupérer le mode de fonctionnement du cache, vous ajouteriez un ‘Cache Information’ => [ {''Operationnal Mode:' => 'CacheMode'}],

Une fois que ceci est fait, si vous lancez facter, vous y trouverez les nouvelles infos demandées, pour peu que dmidecode les retourne lui-même, en l’occurrence, pour ma part, je cherchais l’état des alimentations, de la température interne, la hauteur du châssis, le type, la version et la vitesse du CPU.

Vous me direz “fort bien, facter retourne les infos, et maintenant, comment on les centralise ?”. Si vous avez bien développé votre infrastructure puppet, il doit y avoir moyen de les récupérer directement via le puppet central. Pour ma part, je souhaitais que cet outil fonctionne même si puppet était HS, j’ai donc ajouté, dans la configuration de nrpe, une simple petite ligne :

command[facter]=/usr/local/bin/sudo /usr/local/bin/facter -y

et, pour que dmidecode puisse récupérer toutes les infos, dans le /usr/local/etc/sudoers

nagios ALL=NOPASSWD: /usr/local/bin/facter

Vous pouvez être tenté, si facter retourne beaucoup d’infos, de faire un grep dans l’appel situé dans la configuration nrpe, celui-ci limitant a je-ne-sais-combien-de-caractères la réponse qu’il fourni. Le -y force facter à faire une réponse en YAML, plus simple à parser par la suite.

Pour finir, un petit script central, sur la même machine que votre nagios, ira tour a tour questionner toutes les machines et consigner les résultats en base de données (ou générer une alerte, dans le cas d’une alim HS par exemple) via un simple appel :

/usr/local/libexec/nagios/check_nrpe -H IP_de_la_machine -c facter

Evidemment, pour que tout ça fonctionne, il faut déjà avoir une base de données avec le listing de ses machines.

Toutes ces configurations peuvent être faites directement par puppet, évitant ainsi un long et laborieux déploiement.

Ce merveilleux protocole qui est à la base de toute communication sur internet souffre principalement de deux défauts dont un a été corrigé à grande échelle il y a quelques années et l’autre est toujours en activité mais n’est heureusement exploitable que par un nombre assez restreint de personnes.

Nous allons rapidement passer sur le premier qui n’est en réalité pas spécifiquement lié à BGP mais au protocole TCP qui le transporte et qui peut, dans certains cas, être victime d’attaques avec de faux paquets qui vont faire redémarrer la connexion TCP. Rien de bien affolant quand la connexion en question est celle d’un navigateur web avec votre blog favori, mais si une session BGP saute, le trafic ne passe plus, tendance, pendant quelques secondes/minute (selon le routeur concerné) il se perd ou tourne en rond.

Les effets de l’attaque ne sont que passagers (la session BGP se rétabli aussitôt), mais cette menace a été suffisante pour qu’en 2004 une bonne partie des sessions BGP importantes du réseau soient passés sous signature MD5 pour éviter ce genre d’injection de paquets désobligeants. C’est à cette occasion que de nombreux outils statistiques à propos de BGP ont cessé de fonctionner, les mouvements d’annonces sur le réseau ayant été, pendant quelques jours, sans commune mesure avec le trafic habituel, puisque pour activer le MD5 checksum TCP sur une session BGP, il faut la redémarrer. Pour plus d’infos techniques sur BGP & MD5, ça se passe par la.

La deuxième faiblesse de BGP réside, comme souvent, entre la chaise et le clavier (it’s not a bug, it’s a feature) … Beaucoup de gens se souviennent encore très bien de l’épisode Pakistan Telecom v.s. Youtube d’il y a deux ans ou, pendant quelques heures, Youtube était, pour toute la planète, une pauvre machine perdue au fin fond du Pakistan. Si c’est le cas le plus médiatique qu’on puisse trouver, le tipiakage d’adresse IP n’est pas si rare. Pas plus tard qu’hier, le préfixe contenant le fameux DNS public de Google, 8.8.8.8, a été détourné entre 22h53 UTC et 23h01 UTC par Evolva Telecom, un fournisseur d’accès Roumain, sans pour autant que cela ne détourne tout le trafic mondial à destination de ce bloc d’adresse ni que ça ne fasse la une de la presse people online.

Mais comment se fait-ce, vous demandez vous ?

Intéressons nous d’abord à la méthode employée. Je vous invite à (re) lire l’article sur comment trouver la bonne route avant de continuer. Pour reprendre l’analogie utilisée dans cet article, le routage sur internet peut être assimilé à une collection de panneaux indicateurs qui tourneraient en permanence partout en fonction des routes utilisables ou pas. Ces panneaux indiqueraient des endroits de taille variable. Par exemple un petit village ou Paris tout entier, mais aussi, pourquoi pas, une seule et unique rue de Paris qui serait fléchée depuis l’autre bout du monde.

C’est cette petit rue de Paris fléchée depuis l’autre bout du monde qui pose problème, puisqu’à Castelmoron, si vous indiquez une direction pour cette petite rue de Paris, la totalité des gens qui ont prévu de s’y rendre suivront aveuglément cette direction, même si elle aboutit dans l’abri de jardin derrière chez vous, et même s’il y a juste au dessus de votre faux panneau indicateur un vrai panneau marqué “Paris”.

Techniquement, imaginez que vous avez une route sur internet qui décrit un bloc de 4096 adresses (une puissance de 2, vous l’aurez remarqué, puisque les blocs d’adresses annoncés sur internet le sont généralement par blocs indivisibles de 256 adresses). Vous allez donc annoncer quelque chose qui ressemble à 192.168.0.0/20. Les règles de base du routage IP veulent que la route la plus précise prime systématiquement, de sorte que si quelqu’un d’autre annonce 192.168.0.0/24, soit les premières 256 adresses de votre bloc d’IP, la totalité du trafic de tout internet à destination de ces 256 adresses ira chez l’opérateur qui annonce la route la plus précise (vous aurez les 3840 autres adresses dont le trafic ira toujours chez vous).

C’est ce qui s’était passé chez Pakistan Telecom qui avait involontairement (ou pas) détourné l’ensemble du trafic de Youtube.

Le cas d’hier en Roumanie est un peu plus diffus dans l’interception du trafic puisque l’opérateur Evolva avait annoncé strictement la même route que Google. Que se passe-t-il dans ce cas précis ? Eh bien les routeurs pour qui il semble plus court d’aller chez Evolva que chez Google choisissent la route qui va chez Evolva, les autres, eux, continuent d’aller chez Google, ce qui nous donne un impact moins important sur le réseau global.

Comment se protéger de ce genre de chose dans l’état actuel de l’usage de BGP sur le réseau ? eh bien on ne peut pas vraiment. Pour éviter de propager de fausses informations, il faut drastiquement filtrer les routes qu’on apprend de l’extérieur et qu’on renvoie ailleurs (typiquement, ses propres clients), ça, c’est pour protéger les autres de ses propres bêtises ou de celles des gens dont on est responsable.

Quand à se protéger de quelqu’un qui annoncerait indument un bloc à soi, c’est impossible, la seule chose faisable est de surveiller l’état global du réseau pour détecter un changement qui affecterait l’un de ses bloc d’IP (par exemple avec RIS qui propose un outil plutôt bien fait)

Et enfin, pour éviter que son trafic ne suive une mauvaise route qui tomberait là par hasard, il n’y a pas vraiment de moyen actuellement utilisable, si ce n’est de compter sur le sérieux des autres membres de la communauté.

Dès qu’il y a un problème quelque part sur le réseau, on entend des voix s’élever, disant souvent “il y a un problème de peering entre machin et bidule”. C’est la qu’il faut commencer à faire un peu de terminologie. Concrètement, toute connexion entre deux réseaux autonomes est un peering, appairage en français, la question étant, pour caractériser plus précisément la chose, de savoir ce qui circule sur ce lien entre les deux réseaux et de connaitre l’accord commercial qui va avec.

Commercialement parlant, on distingue deux types d’accord. Ceux qui sont payants et ceux qui ne le sont pas. Vulgairement, quand un lien n’est pas facturé entre deux acteurs, on a tendance à dire que c’est un accord de peering et lorsqu’il y a de l’argent en jeu dans un sens ou dans un autre, on utilise plutôt la description “accord de transit”. Ces négociations sont purement privées, et personne ne peut, à priori, savoir qui paie quoi à qui pour quoi, même si on peut souvent le deviner.

Techniquement parlant, on distingue trois types de configuration sur le lien BGP :

• Le cas ou le réseau d’en face n’annonce que ses propres routes et celles de ses clients, on parle de peering
• Le cas ou le réseau d’en face annonce ses propres routes, celles de ses clients et un certain nombre d’autres destinations, on parle de transit partiel
• Le cas ou le réseau d’en face annonce l’ensemble des routes d’internet, on parle de transit

Vous remarquerez que j’ai parlé “du réseau d’en face”. Ben oui, parce que sur ce même lien, vous aussi vous allez probablement annoncer des routes, et pas nécessairement le même genre de route que votre voisin. Dans le cas d’un lien de transit que vous payez au voisin, lui va vous annoncer la totalité d’internet pendant que vous n’annoncerez que vos routes à vous et celles de vos clients.

Là ou ça se corse, c’est lorsque vous rapprochez les accords techniques des accords commerciaux. Comment caractériser un lien qu’aucune des deux parties ne facture à l’autre et sur lequel chaque partie n’annonce pas que ses propres routes mais aussi un petit bout d’Internet ? Comment nommer un lien ou chacun n’annonce que ses propres routes mais où il y a facturation de l’un des deux qui profite de sa position dominante pour obliger l’autre à payer ?

Il va donc un jour falloir inventer de nouveaux mots, même si on arrive à peu près à décrire tout ça entre nous.

Mais revenons aux différents accords. Pour faire simple, internet fonctionne comme une pyramide en haut de laquelle vous trouvez les gros opérateurs mondiaux qui possèdent les câbles bourrés de fibres qui vont aux quatre coins du monde. De par leurs investissements colossaux dans les tuyaux, ces opérateurs sont, si on les réunit, en mesure de joindre à peu près n’importe quel datacenter dans le monde. Entre eux, ces opérateurs pratiquent le peering le plus naturel, c’est à dire qu’ils ne se facturent rien et qu’ils n’échangent que leurs routes et celles de leur clients (et comme ils ont tout internet comme client, ils se font, en réalité, des liens de transit globaux gratuits entre eux). On avait pour habitude de les nommer “tier 1″, mais ce nom est un poil galvaudé ces derniers temps, chacun voulant se faire passer pour.

Viennent ensuite des opérateurs locaux qui vont acheter des sessions de transit (comprenant donc l’annonce de la totalité des routes d’internet) à ces gros opérateurs. Par “locaux” on entend “le fournisseur d’accès lambda” mais aussi  ”le petit opérateur alternatif parisien”. Les gros opérateurs ne refusent généralement pas de vendre, même en relativement faible quantité, du transit à une entité qui en demande. Par exemple, le réseau international de France Telecom (OpenTransit) vend à partir de 10Mbps.

La théorie des poupées russes aidant, il y a, ensuite, une succession d’acteurs qui achètent et revendent de la connectivité Internet, ce qui fait plus ressembler une carte du réseau à une galaxie qu’à une pyramide (voir la belle image là haut)

Ces moyens et petits opérateurs ne sont pas égaux et ne font que peu de sessions de peering (gratuit) entre eux. Plus exactement, les plus gros (comme par exemple le fournisseur d’accès qui n’a pas tout compris) ne veulent pas faire de peering gratuit avec les plus petits (par exemple FDN). Le plus petit est donc obligé de faire passer son trafic chez un fournisseur de transit payant pour atteindre le FAI en question.

Mais, au final, quel est l’intérêt du peering (le gratuit entre deux réseaux qui ne s’échangent que leurs routes à eux) ? Eh bien c’est l’acentralisation et la diversité. Si aujourd’hui un acteur lambda passe plus de la moitié de son trafic en peering, lors d’une saturation de son fournisseur de transit, la moitié de son trafic sera sain et sauf. Mieux, en allant plus loin, établir des liens de peerings collatéraux et multilatéraux (comprendre “avec un acteur d’une taille sensiblement différente”), favorise l’émergence de nouveaux service et garantit, à long terme, que le marché ne sera pas trusté par 1 ou 2 gros acteurs. Imaginez la belle image d’en haut réduite à une simple étoile. C’est ce qui se passerait si le peering disparaissait.

L’autre danger de la réduction des interconnexions, c’est le contrôle que peuvent, du coup, exercer les opérateurs internationaux sur le réseau lui-même et, plus dangereux, les pouvoirs publics de certains pays ou un ou deux acteurs concentreraient la totalité du trafic du pays.

Certains se plaignent que “ça fait beaucoup de travail pour pas grand chose”, mais eh, les enfants, vous faites de l’internet ou de la télé ? ah… vous faites de la télé… ben très bien alors, suffisait de le dire, on va faire de l’internet à coté.

L’article du code de la route en question parle d’interdiction de distribuer aux gens circulant sur une voie, ce qui n’est peut être pas le cas de gens arrêtés à la borne de péage, et puis ça se fait deja beaucoup lors des weekends chargés, boissons, jeux pour enfants, etc …

Mais c’est quand meme marrant de voir qu’ils n’ont pas trouvé mieux pour communiquer, comme si les gens allaient soudain prendre peur devant le bâton de la loi alors qu’ils sont énervés et coincé dans les bouchons en fin de vacances et qu’ils doivent retourner bosser le lendemain.

J’aurais été à la place de ces pauvres gens, j’aurais fais des papillotes avec le tract, je crois.

40 ans après le premier paquet envoyé sur ARPANet, que reste-t-il de ce but originel ? Pas grand chose à vrai dire. Internet est très majoritairement constitué de gros datacenters hébergeant le contenu et de gros réseaux le distribuant à quelques 450 millions de foyers connectés de par le monde, un minitel géant, voir, réflexion faite, une télé géante, les gens interagissant de moins en moins avec l’outil (sans parler des interactions entre personnes).

Et par “gros”, on peut considérer que, sur l’ensemble du contenu disponible dans les datacenters en question, une poignée d’acteurs concentrent 90% du trafic traversant le réseau. De même, localement, dans chaque pays, généralement moins de 4 ou 5 acteurs majoritaires se partagent 99% de la population connectée.

Et au milieu de tout ceci, on trouve le peer 2 peer, apparu aux yeux du monde en 1999 avec Napster mais qui, en réalité, est la base même d’Internet (des machines discutant entre elles), sauf qu’a l’arrivée du célèbre Napster, les machines des utilisateurs se sont mises a discuter entre elles pour échanger des données.

Rien de révolutionnaire, ça se faisait déjà avant, c’est toujours faisable après, simplement, le peer 2 peer (dans le sens “logiciel de partage de fichier”) tel que tout le monde le connait a été mis à la porté de l’utilisateur quelconque, chose qui était jusque la réservé aux geeks et nerds de tous poils.

Aujourd’hui, le peer 2 peer est en chute libre, probablement suite aux assaut juridique répétés des “ayants droits” et tout ceci au profit de plateformes centrales qui, selon certains, pourraient être rachetés par les-dits “ayants droits”, ce qui finirai pour de bon de boucler la boucle. Non seulement la licence globale est déjà la, mais en prime elle ne profite pas encore aux intérêts des majors (à moins que les actionnaires des sites de directdownload bien connus ne soient autre que … non, je dois etre parano …)

Tout ça pour finir par constater que la quasi totalité du contenu (même vos photos de vacances) sont aujourd’hui tenues (et exploité) par une poignée de multinationales et que ça a l’air de ne faire ni chaud ni froid à presque tout le monde. De l’autre coté du réseau, 7 fournisseurs d’accès français qui ont 99% des internautes sous leur houlette sont juridiquement contraint de bloquer des sites web pendant que des centaines d’autres n’ont aucune espèce d’obligation de ce genre.

Que trouvera-t-on, dans les livres d’histoire, à propos d’Internet après 2010 ?

Ne mettez plus vos vidéos que sur youtube, prenez au moins la peine de les dupliquer sur vimeo et dailymotion. Ne collez plus votre blog chez skyblog, non seulement l’interface est laide à souhait mais en plus votre contenu n’est pas mis en avant, essayez ifrance ou une recherche “hébergeur blog” la ou vous savez ou mieux, poussez votre curiosité jusqu’à tenter l’autohébergement. Si vous voulez vraiment que la terre entière admire vos photos de beuverie, ce n’est pas sur facebook qu’il faut les mettre mais sur votre disque dur chez vous avec un serveur web devant, au moins, vous pourrez les enlever le jour ou un recruteur viendra fouiller dans votre passé numérique.

Si rien une once d’envie vous poussait entre les oreilles, n’hésitez pas à venir au devant des gens qui font l’internet associatif d’aujourd’hui. Nous avons tout ce qu’il faut pour vous aider à vous autoconnecter et/ou vous autoheberger, il ne nous manque que votre envie d’y aller.

Nous voila donc déménagé sur un beau Xeon 5520 avec tout plein de ram. Bonne lecture, en IPv6, SVP !

(et comme j’ai fais ça rapidement dans le train, vous avez le droit de me taper dessus si quelque chose ne fonctionne pas comme prévu)

• Le 8 septembre ici même et sur Twitter pour savoir ce qu’il adviendra des recours déposés par FDN auprès du conseil d’état contre HADOPI
• Le 10 septembre à coté de la place du châtelet à Paris pour parler création de FAI, boire des coups et se rencontrer (voir en haut de la colonne de droite pour les détails)
• Soutient à Toile Libre le weekend du 18/19 septembre au CIP-IdF (Métro Corentin Cariou)

Monter un FAI, comme tout sur internet (voir le début de la serie “devenir hebergeur“), peut se faire en revendant les services d’un autre pour peu qu’on y apporte de la valeur ajoutée (on peut aussi le faire sans, beaucoup le font, mais l’intérêt, à la fois pour soi et pour l’autre, est minime, qui plus est dans le monde associatif).

En l’occurence, pour un FAI associatif, le plus simple pour démarrer est de revendre les services de FDN.

Alors concrètement, comment ça se passe ?

• Vous créez votre association (dépôt en préfecture, ouverture de compte en banque, déclaration ARCEP, pour faire simple. Plus de détail sur le site de FDN)
• Votre association se joint à la fédération FDN (quand elle sera sur pied)
• Vous prenez, au nom de l’association, des lignes ADSL chez FDN
• Vous encaissez l’obole mensuelle de vos membres et la reversez à FDN

J’entends d’ici les voix s’élever … “Mais la différence entre ça et des adhérents de FDN en direct, c’est quoi au juste, à part se taper de la paperasse pour rien ?”

• FDN n’a pas vocation à devenir une association avec 2 millions de membres. Tout groupement de membres distinct, c’est autant de travail de fourmi en moins pour FDN et donc autant de temps à passer sur d’autres projets
• Vous assurez un rôle de proximité avec les adhérents, et une force de lobbying locale non dépourvue d’intérêt
• Vous pouvez apporter une valeur ajoutée en groupant plusieurs liens ADSL à partager entre plusieurs adhérents pour bénéficier d’un meilleur débit
• Vous pouvez créer des services locaux (partage de fichier, intranet de la pizzeria du quartier, …)
• En regroupant des gens localement, ce qui reste le plus difficile dans toute cette histoire, vous posez les premières pierres pour créer un FAI à part entière par la suite

Rendez-vous donc sur la page idoine chez FDN. Des initiatives sont en cours dans pas mal d’endroits.

Comme le soulignait hier Guillaume Main sur RWW dans un article court mais efficace, deux nouvelles parues dernièrement font respectivement etat d’ici 2015 d’une catastrophe probable sur l’emploi autour de la création artistique, parlant de 1,2 millions d’emplois perdus à cause du piratage et, de l’autre, d’au moins 1 million d’emplois nouveaux en lien avec le développement du haut et très haut débit.

Ca fait sourire, on se dit que finalement on y perd pas trop au change. Mais allons un peu plus loin.

Comme chacun le sait (majors mis à part), une oeuvre téléchargé est loin d’etre équivalente à un manque a gagner total systématique, pour la bonne et simple raison que l’oeuvre en question n’aurait pas été acheté si elle n’avait pas pu etre piraté et ce dans une grande majorité des cas. Il y a de fortes chances que l’estimation de perte d’emploi sus citée ne tienne pas compte de ce facteur.

Ajoutons à cela que le piratage est un formidable levier publicitaire pour les artistes et tous les participants de la chaîne de valeur comme l’a dernièrement souligné un producteur de porno (particulièrement bien placé puis-qu’utilisant ce levier depuis de nombreuses années), et qu’il crée aussi beaucoup d’emploi dans les secteurs attachés à la lutte contre lui (voir le budget colossal d’HADOPI), on peut valablement se demander si, loin de faire perdre des emplois, il n’en créerait pas.

A contrario, le développement du très haut débit crée, lui, à coup sur, des emplois, ne serait-ce que pour l’établissement des nouveaux réseaux optiques. Non content de ça, le THD crée toute une palette d’emplois, de l’administrateur réseau à l’ouvrier de chantier BTP en passant par le commercial. C’est de mémoire plutôt rare qu’une tendance internationale crée une palette si diversifiée d’emplois en si peu de temps.

Et pour bien faire, en prime, une grosse partie de ces emplois sera assez durable, les nouveaux réseaux optiques rendant désuets les anciens réseaux cuivrés qu’il faudra bien enlever et l’entretient général des équipements optiques demandant plus d’attention que les autres.

Nous sommes donc loin du cas de figure ou l’emploi autour des réseaux remplacerai l’emploi autour de la création.

Comme je l’expliquai dans un billet précédent sur lequel je n’arrive plus à remettre la main, le réseau est une poupée russe géante dans laquelle un nombre assez impressionnant d’acteurs revendent les prestation de celui qui est un peu plus gros à celui qui est un peu plus petit.

Il en va de même pour l’hébergement. Pour faire de l’hébergement, matériellement, il vous faut un réseau (voir la série sur comment devenir FAI) et des machines branchées à ce réseau. Le coeur du métier de l’hébergement étant de savoir s’occuper des-dites machines pour qu’elles puissent restituer le contenu des sites webs aux visiteurs.

Mais si vous savez parfaitement administrer un serveur, vous n’êtes peut-être pas spécialiste en génie climatique, vous n’avez peut-être pas envie d’avoir un réseau à gérer, vous n’avez peut-être pas la surface financière nécessaire à l’achat ou à la location de serveurs, etc …

Vous allez donc passer par des intermédiaires. La question étant de savoir quels métiers vous souhaitez internaliser pour pouvoir être complètement indépendant et quels métiers vous pouvez confier à des prestataires :

• Le stockage du matériel
• Le réseau
• L’achat ou la location du matériel et son entretient
• La surveillance 24h/24 et 7j/7 du matériel et des fonctionnalités logicielles
• L’administration des applications (sécurité, évolution, …)

La question principale pour trancher étant “quelle est ma valeur ajoutée ?”. Le fait de tout internaliser n’est pas forcément un gage de qualité et inversement. Vous pouvez tout à fait sous traiter l’ensemble de ces 5 parties de prestation et apporter tout de même une valeur ajoutée qui serait, par exemple, le fait de prendre le client par la main de A à Z sans qu’il n’ait a se soucier de rien. Il fait créer son site, donne votre nom à la personne qui a crée le site, et c’est tout. C’est le premier échelon que je ne détaillerais pas dans cette série puisqu’il est tout simple, vous prenez une offre mutualisée chez le premier hébergeur venu, vous achetez le nom de domaine pour le client, vous envoyez le site en FTP, vous créez les comptes emails sur l’interface de l’hébergeur, et c’est fini.

Ça parait simple et ça l’est, mais il y a quand même quantité de gens qui sont content de payer pour ne pas avoir à faire ça (et surtout de payer pour qu’au moindre problème ils n’aient pas à passer 5 heures pendus au téléphone)

L’étape suivante, c’est de donner un nom à son ordinateur pour que les gens puissent le trouver. Ce sera l’objet du second volet de la série.

Et ben voila un mystère résolu, le sucre est porté à sa température de fusion dans le centre de la machine puis éjecté par de petits trous situés sur la partie rotative au centre, il se refroidi très rapidement au contact de l’air en formant de petits filaments qui sont attrapés par le bâton qu’on fait tourner dans le bac.

Et du coup, en prime, un howto sur comment fabriquer ce genre de machine !

Ces services peuvent tous s’installer sur une seule et même machine sans trop de problèmes pour un petit FAI.

Un serveur DNS

C’est une base, sinon, la navigation risque d’être moins aisée. Le plus utilisé est bind qui, bien qu’un peu usine à gaz, fait bien son travail. La configuration de base après l’installation est en principe suffisante pour votre besoin. En un mot, vous installez bind sur une machine, vous le lancez, et vous donnez l’IP de cette machine comme serveur DNS à vos utilisateurs.

Attention, changer l’adresse IP d’un serveur DNS entraîne le changement partout chez tous les utilisateurs, il faut donc veiller a soigneusement la choisir pour éviter d’avoir à la changer trop souvent.

Petits tutos trouvé au hasard sur google, la, la et la.

Un serveur DHCP

Si vous fournissez directement de l’internet à vos utilisateurs (comprendre “si vous ne passez pas par de la collecte ADSL”), il est conseillé d’avoir un mécanisme d’attribution automatique des paramètre réseau. C’est le rôle de DHCP. L’implémentation la plus utilisée est encore une fois celle de l’ISC. Le DHCP attribue l’adresse IP, le masque de sous réseau, la passerelle par défaut et le(s) serveur(s) DNS au client (ce qui permet de changer assez simplement l’IP des serveurs DNS, si on considère que personne n’a indiqué ces paramètres en dur dans la configuration de sa machine).

L’utilisation d’un DHCP n’est pas incompatible avec la notion d’IP fixe, en effet, en fonctionnement standard (la configuration par défaut), le serveur DHCP attribue toujours la même IP à la même carte réseau tant qu’il n’est pas à cours d’IP dans le bloc qu’on lui a confié. On peut aussi, manuellement, forcé une IP fixe à une adresse MAC fixe.

La configuration de base fait intervenir quelques directives simples. L’extrait ci dessous est à priori suffisant (avec comme exemple une classe IP 192.168.0.0/24) :

option domain-name “nom_de_domaine_de_mon_fai_a.moi“;
option domain-name-servers 192.168.0.253;
default-lease-time 600;
max-lease-time 1800;
authoritative;
ddns-update-style none;
log-facility local7;
subnet 192.168.0.0 netmask 255.255.255.0 {
option routers 192.168.0.254;
}

notez les passages en gras, dans l’ordre :

• Le nom de domaine de votre fournisseur d’accès que vous avez crée
• L’adresse IP d’un serveur DNS qui accepte les demande de vos utilisateurs (il peut éventuellement être hors de votre réseau), vous pouvez en spécifier plusieurs en séparant avec des virgules
• La définition du bloc d’IP à distribuer et le netmask correspondant
• L’adresse IP de la route par défaut à appliquer à chaque bloc (il faut qu’elle soit dans le même bloc, sinon, ça marche pas)

Un serveur SMTP

Parce que beaucoup d’hébergeur de services emails disent encore aux clients “utilisez le SMTP de votre FAI”, il est de bon ton d’en avoir un. J’ai une affection particulière pour Postfix qui présente l’avantage de fonctionner très rapidement après l’installation puisqu’il suffit de renseigner la liste des blocs d’IP qui ont le droit de l’utiliser pour envoyer des emails dans un fichier de configuration (main.cf) et de le lancer.

Si le serveur SMTP est sur la même classe IP que vos utilisateurs, la simple directive mynetwork_style=subnet suffit. Sinon, vous devez utiliser mynetwork = 192.168.0.0/24 (vous pouvez ajouter des classes ou des IP précises en les séparant avec des virgules)

Et en option ..

Un serveur de mail plus complet, incluant pop3, imap, webmail et sieve en plus du SMTP (plus tard, le tuto)

Un serveur web avec php et mysql embarqués pour que les utilisateurs puissent y coller leurs petites pages perso, leurs blogs, etc .. (ça, ça fera l’objet d’un dossier complet)

Et pourquoi pas, si votre FAI local propose du débit élevé (avec un réseau local ethernet en cuivre ou optique, par exemple), un service de stockage de fichier central, d’impression sur du matériel correct, de communication avec des services municipaux locaux ou d’entreprise, de la voix sur IP, etc …

Le premier, le plus évident, c’est la sécurité du réseau en lui-même. La dessus, il ne vaut mieux pas lésiner, il est en effet un peu enquiquinant d’avoir un routeur BGP ou un switch corrompu.

Pour les équipements purement réseau (switchs, points d’accès wireless, …), vous pouvez vous reposer sur les ACL (Access Control List) qui vous permettent de limiter l’accès à l’équipement à une liste d’IP prédéfinie. De manière générale, on n’active que le snmp (pour pouvoir récolter des statistiques sur l’utilisation de l’équipement) et ssh ou telnet selon notre religion. De plus en plus d’équipements vous proposent des interfaces web qu’il convient de désactiver manu militari.

L’outil magique pour contrôler la sécurité de base qui consiste a tout fermer est nmap qui doit être lancé à la fois depuis une IP autorisée et depuis une IP quelconque ailleurs sur internet pour vérifier que l’IP autorisée n’accède bien qu’a ce qu’on veut et que les autres n’ont bien accès à rien.

Les routeurs basé sur des logiciels opensource (quagga, openbgp, …) ne sont en réalité que des serveurs affectés à un rôle de routage. Il convient de ne pas tout mélanger et donc d’appliquer les mêmes principe qu’avec un switch : snmp, ssh et le service de routage. Exit les serveurs web, ftp ou autre sur les machines qui assurent le transport des données.

Voila pour la partie sécurité applicative. Il vous faut ensuite gérer d’éventuelles attaques de type flood qui consistent à saturer les liens du réseau pour le rendre inutilisable, surtout si vos liens vers internet sont un peu étroits. Pour ce genre de défense, il n’y a pas de recette magique, l’important est de bien suivre ce qui se passe sur le réseau et d’avoir de bonnes statistiques. Un flux entrant important arrive ? Il est impératif de pouvoir trouver ou il va en quelques minutes pour pouvoir demander à votre fournisseur de couper le flux en question avant qu’il ne traverse le goulet d’étranglement qu’est votre connexion vers le reste d’internet. Idem dans le cas du flux sortant (la machine d’un de vos utilisateur est compromise et sert à flooder ailleurs), sauf que dans ce cas c’est vous qui pouvez couper le lien de l’utilisateur.

L’environnement wireless, si c’est le cas de votre projet, rends les choses un peu plus complexes mais il est important de suivre tout ce qui se passe (article à venir sur le monitoring réseau & applicatif)

Votre réseau devait, à présent, être à peu près protégé.

Viennent ensuite les applications que vous gérez pour vos utilisateurs. Il s’agit généralement de serveurs DNS, mail, web et ftp (sans que ce soit limitatif). Le plus pratique est de tous les enfermer derrière un firewall commun qui vous assurera, si les machines sont utilisées par beaucoup de gens, d’avoir un minimum de contrôle sur ce qui circule (en entrant comme en sortant).

Le nerf de la guerre en matière de sécurité est de tenir à jour l’ensemble des applications fonctionnant sur les machines. Un gros firewall devant un serveur web ne sert quasiment à rien si la version de PHP utilisée est pleine de trous. Beaucoup de systèmes d’exploitation libres embarquent aujourd’hui les outils nécessaire au suivi des évolutions de version (portaudit, par exemple, pour ce qui concerne FreeBSD), il ne faut surtout pas s’en priver, et mieux vaut une interruption régulière de quelques minute sur un service que de se retrouver avec une machine compromise.

Le dernier secteur a prendre en compte, ce sont les utilisateurs eux-mêmes. Puisque vous êtes bien décidés à fournir du vrai internet, chacun de vos utilisateur aura donc une ou plusieurs adresses IP publiques et seront donc en première ligne face à toutes les saloperies qui circulent sur le réseau. Les moyens de protections des utilisateurs sont plus un choix politique que technique. Soit vous décrétez que vous vous en fichez complètement et vous laissez tout passer en recommandant aux gens d’installer antivirus et firewall idoines sur leur windows, soit vous fermez tout l’entrant en donnant la possibilité aux personnes averties de l’ouvrir manuellement.

Il existe, entre les deux, une infinité de déclinaisons. Par exemple, Orange à fermé le port 25 en sortie. Ça ne protège absolument pas leurs utilisateurs mais ça leur évite de recevoir un bon paquet de plainte pour spam qui ont pour origine les machines vérolées qui sont chez leurs clients. Certains FAI ferment les ports 137, 138 et 139 qui sont utilisés pour le partage de fichiers entre machine windows pour éviter qu’un utilisateur distrait ne partage toute sa collection de documents perso avec la terre entière.

Toutes ces actions vont, ceci dit, clairement contre la neutralité des réseaux. Il est donc plutôt conseillé de passer du temps à éduquer ses utilisateurs que de le passer à verrouiller des portes. Un peu comme avec un enfant, ça ne sert à rien de mettre un four à porte froide et une barrière devant la cheminée, ils ne comprendront que c’est dangereux qu’une fois qu’ils auront mis la main dessus, et une fois que ce sera fait, il n’y aura plus besoin de barrière ou de porte froide. A contrario, si vous laissez des dispositifs de sécurité trop drastiques, ils n’auront conscience que très tard du danger du feu et pourront donc potentiellement être victimes d’accident plus graves.

C’est par ici, et si des fois ça marchait plus chez la Quadrature, c’est ici.

La problématique traitée dans ce cas pratique est celle d’un groupe d’habitation située en périphérie d’une zone ADSL bien desservie. Cas typique des villes moyennes ou des petits villages agglutinés autour d’une ville plus importante. Les gens situés a plus de 6 ou 7km du NRA sont malheureusement assez rarement éligibles à l’ADSL et quand elles le sont elles ne peuvent que rarement prétendre à plus de 512Kbps.

Les vrais solutions à ce problème passent, dans l’ordre de dépense de la plus basse à la plus haute, soit :

• Par l’installation d’un NRA HD, un simple déport des DSLAM au plus près de l’abonné final pour obtenir un meilleur débit. Pour faire ça, il faut que les lignes soient toutes groupées à un endroit donné, qu’il y ai un local à disposition (ou au moins de quoi planter une grosse armoire en bordure de route) et il faut un paquet d’abonnés intéressés pour amortir le cout. Il faut enfin, et surtout, convaincre Orange du bien fondé de l’opération
• Par le changement des lignes elles-même dans l’espoir d’obtenir une qualité un peu plus élevée
• Par l’installation de la fibre, mais la, on est à un cout prohibitif si on veut fibrer tout le monde

Rien de très accessible à une association, en tout cas pas une qui vient de se monter. Ce qu’une petite association peut faire, par contre, c’est prolonger l’ADSL qui marche bien et qui se situe à proximité du NRA. Pour amener le haut débit dans votre coin de bled paumé, il vous faudra :

• Un local situé à proximité du NRA, si possible dans un bâtiment élevé. Ce peut être une étagère dans le sous sol d’un particulier, un fond de placard dans un local communal quelconque, voir même une boite étanche accrochée à un poteau. Le principal est d’avoir du courant (pas facile sur un poteau, mais ça se fait) et d’être à quelques dizaines de mètres du NRA. Pour trouver sa position, pas de listing, il faut y aller en tâtonnant avec un site de test de dégroupage qui vous indiquera la longueur de la ligne du numéro tester. En prenant 5 ou 6 adresse éparpillées au hasard dans le coin et en traçant des cercles, vous devriez trouver la position du NRA à quelques centaines de mètres près.
• Etre à vue d’au moins un toit de la zone à desservir pour pouvoir établir le pont wireless entre les deux.
• Etre à moins de 10km à vol d’oiseau ou, si c’est plus loin, pouvoir obtenir le même type de local tous les 10km pour effectuer un relais (en étant toujours à vue du précédent et du suivant)
• Votre récépissé de déclaration ARCEP vous donnant le droit d’exploiter les ondes pour créer un réseau ouvert au publique

Une fois que vous avez tout ça, au travail :

• Dans le premier local, celui proche du NRA, vous vous faites livrer plusieurs ligne de téléphone et vous installez l’ADSL sur chacune d’entre elles. Pour être royalement confort, une ligne par utilisateur final, mais vous pouvez très bien prévoir une ligne pour 10 utilisateurs, c’est en fonction du budget mensuel que les gens souhaitent mettre.
• Vous branchez chacune de vos ligne ADSL (avec un modem routeur, idéalement), sur un switch, si possible pouvant gérer les VLAN
• Sur ce même switch, vous branchez un émetteur wireless 5Ghz (par exemple un NanoBridge M5, vendu pour porter 100Mbps à 10km), vous le plantez sur le toit la ou vous voyez votre local suivant et vous installez son frère jumeau de l’autre coté bien en face.

Voila, vous avez déjà transporté votre haut débit dans la zone qui n’en a pas. Maintenant, il faut le distribuer à vos utilisateurs :

• Si vous êtes dans un lotissement 100% privé, autant vous faire plaisir et tirer du câble partout, la fiabilité n’en sera que meilleure. Du câble ou mieux, de la fibre, mais ça vous coutera un peu plus cher à l’installation. Par contre, une fois installé, vous aurez un réseau local béton et ultra rapide avec la possibilité de monter des services locaux (mail, hébergement de petits sites, partage de fichier, …). Pour ce qui est du câble, comptez environ 700 euro la bobine de 1000 mètres. Pour de la fibre, ce sera plus autour de 1 euro le mètre pour 1km.
• Si le câblage est trop compliqué ou trop cher, la voie des airs est encore une fois la solution. A l’endroit ou arrive votre lien directionnel vers le bâtiment qui héberge les modems, vous allez devoir installer une ou plusieurs antennes omnidirectionnelles (pour rester dans la même marque, visez une antenne sectorielle couplée à un point d’accès Rocket M5. Si vous voulez couvrir 360°, il faudra acheter 3 couples antenne/point d’accès) puis, sur le pignon de chaque utilisateur ayant vue sur vos antennes sectorielle, une Loco M5 pointant vers les antennes.

Vous y êtes. Vos utilisateurs ont de l’internet haut débit. Vous allez avoir besoin d’un peu de poudre verte pour configurer tout ça, surtout si vous comptez mettre en commun tous les modems et les utiliser comme une seule et même connexion internet. Je tenterais de faire un article sur le sujet quand j’aurais pu expérimenter ça en vrai.

L’estimation du cout pour une version cablée localement de la solution est difficile, mais pour le wireless, en supposant que les locaux hébergeant les installations ne vous coutent rien, comptez donc, pour 10 utilisateurs sur 2 connexions ADSL, 300 euro de matériel à l’endroit ou sont les modems (les routeurs, le switch, le câblage, un onduleur éventuellement), comptez ensuite 300 euro pour la liaison entre les modems et votre plateforme d’émission locale (les deux NanoBridge, du câblage, …), puis 500 euro pour l’émission locale du signal en supposant que vous n’aurez besoin que de deux antennes sectorielles, et enfin ~800 euro pour les 10 Loco M5 des utilisateurs. Budget global d’installation par utilisateur : 190 €, récurrent mensuel par utilisateur : 9 Euro. Débit dispo par utilisateur si tout le monde va à fond en même temps : 3Mbps.

Le coeur de la solution étant un lien wireless 100Mbps, vous pouvez vous permettre d’empiler 6 ou 7 modems ADSL pour desservir plus d’une trentaine d’habitations dans les mêmes conditions techniques ou bien considérer que les gens ne consommeront pas la bande passante tous en même temps et partir sur 512Kbps réservé par utilisateur et connecter plus de 200 habitations pour 1.50 euro mensuel chacune.

Le plus difficile dans l’opération, outre la configuration de la solution, c’est de trouver les points d’ancrage et de convaincre les gens de se lancer dans l’aventure. Ensuite, le plus dur, c’est que chacun s’investisse dans l’association pour que la plateforme fonctionne bien. Il vaut d’ailleurs mieux faire payer un peu plus cher pour se constituer un petit trésor de guerre permettant de renouveler le matériel ou de faire grandir le réseau, par exemple, fixer le prix a 13 euro mensuel au lieu de 9 ou a 3 au lieu de 1.5 (selon la solution retenue)

Bonne chance !

Alors qu’en France on s’attache a essayer de préserver la neutralité de l’avidité des pouvoirs publiques, nos amis d’outre atlantique s’alarment du comportement des géants du secteur concernant d’éventuels accords commerciaux qui favoriseraient certains contenus au détriments des autres (voir l’affaire google/verizon du début de la semaine)

Mais alors, techniquement, on a bien compris que le gouvernement de chez nous tentait d’imposer l’annihilation pure et simple des contenus jugés subversifs par des institutions plus ou moins privées, mais nos camarades etazuniens, ils veulent empêcher quoi ?

Ben manifestement, il est question que le contenu lambda ait droit à autant de bande passante que le contenu du copain avec qui on a un accord commercial.

C’est idiot à plusieurs titres :

• un fournisseur d’accès ne peut pas garantir de bout en bout que la bande passante sera allouée de manière équitable, puisque de son réseau il ne maitrise rien
• tous les acteurs du petit monde de l’internet pratiquent déjà depuis des lustres le favoritisme envers certains en leur accordant des peerings gratuit pendant qu’ils font payer les autres sans aucune logique technique derrière les choix effectués (même chez nous, même le gentil Free qui défend ses clients contre HADOPI)
• une immense majorité des utilisateurs d’internet se contentent de suivre des liens sans jamais rien taper dans la barre d’adresse et une bonne partie de ceux la commencent systématiquement leur session de surf sur la page d’accueil de leur FAI et sont donc naturellement dirigés vers le contenu bénéficiant d’accords commerciaux pendant que le reste est relégué au fond des X pages de résultats google que personne ne va jamais voir.

Concernant spécifiquement l’affaire Google/Verizon, on se dit qu’un accord pourrait entrainer une monté en flèche des choix dictés par Verizon dans les recherches Google et que Verizon dirigerait prioritairement ses clients vers des contenus Google …

Mais hep, pouce, les campagnes de pub faites sur google et qui font ressortir des résultats commerciaux idiots en haut de la recherche, c’est une atteinte à la neutralité du net alors ? Et le FAI qui propose un champ de recherche “powered by google” sur son portail aussi ? Diable, on n’est pas sortis.

La suite du débat porte sur le projet OpenEdge de Google consistant à déporter chez les FAI une partie des serveurs distribuant le contenu Google pour faire des économies de transports de données pour l’opérateur et améliorer la qualité de service fournie à l’utilisateur final pour le fournisseur de contenu. En bref, une situation gagnant/gagnant. Il y a fort à parier que l’accord en question ne parle même pas d’argent, les deux ayant à y gagner.

Je ne doute pas que le contenu Google soit, du coup, plus accessible que celui hébergé à l’autre bout d’Internet, mais c’est aussi le cas du contenu hebergé directement chez le FAI (tout le contenu des Dedibox qui se trouvent sur le même réseau que Free, par exemple) et de celui hebergé sur les réseaux proches face au contenu taiwanais qui reste difficilement accessible … Mais c’est le principe d’internet hein, tout le monde parle ensemble mais on fait ce qu’on peut avec ce qu’on a. Si le taiwanais veut installer des serveurs plus près du réseau de verizon, il peut, Verizon propose des offres d’hébergement. Il faudrait donc interdire aux gens qui font du réseau d’héberger  du contenu et inversement ? Et tout ça est censé défendre l’innovation ?

Sauf à considerer que Google est devenu indispensable au fait que la terre tourne rond (ce qui est probablement le cas) et qu’il se doit donc d’etre 100% philantropique et impartial en ne faisant rien pour se mettre en avant, je vois pas bien ce qu’on peut réellement critiquer.

Pour terminer, il y a aussi débat sur le haut débit mobile ou le couple Google/Verizon propose qu’il n’y ai pas de contraintes légales specifique au secteur (donc pas différente de ce qu’on trouve deja sur le haut débit fixe) … Traiter deux modes d’accès à internet de la même façon, ca me semble pas mal neutre. (on peut éventuellement ajouter quelques poils en rappelant que l’internet mobile, ça n’existe pas, du moins pas en France)

Et de toute façon, que comptent-ils faire contre une boite qui fabrique des telephones, l’os qui va dedans, une grosse partie des contenus auxquels on accède avec et qui, de toute façon, hiérarchise la totalité du reste des contenus d’internet… Hein ?

Il y a effectivement dans tout ça des pistes qui pourraient mener à des atteintes à la neutralité (par exemple, Verizon pourrait s’engager auprès de Google à bloquer Bing de Microsoft), mais beaucoup moins que ce qu’on essaie de nous faire avaler chez nous. A ce sujet, RWW a encore commis un article de synthèse sur le rapport “Neutralité du net”  pondu par le gouvernement. A lire.

Pour rester sur les américains, le rêve d’Obama d’avoir un bouton pour arrêter Internet me semble largement plus dangereux que les accords Google/Verizon ou même nos LOPPSI et autres ACTA du moment.

Morale de l’histoire, attention à la neutralité savonneuse :)

Non, parlons plutôt technique. La fibre, c’est quoi ? Pour commencer, c’est avant tout un conduit en verre qui sert à transporter de l’information. Jusqu’à présent, en tout cas chez Madame Michu, l’information entrait principalement dans l’habitation au moyen d’impulsions électriques (pour le téléphone et le câble) et accessoirement aussi via des ondes électromagnétiques (pour la radio et la télé)

Les impulsions électriques, c’est bien, mais plus grande est la distance, plus faible est le signal au bout du câble et plus il est déformé par rapport au signal original. C’est ce qui explique que l’ADSL marche de moins en moins bien plus on s’éloigne du central téléphonique. Passé 7 kilomètres, c’est généralement la fin de l’histoire. L’électromagnétisme, c’est bien, ça permet de parcourir de grandes distances (du satellite jusqu’à votre parabole, par exemple), mais on dispose d’un débit très limité puisqu’il est impossible de “viser” le destinataire : tous les gens situés dans la zone d’émission reçoivent tous les mêmes données (ce qui est idéal pour la télévision ou tout le monde regarde la même chose en même temps, mais moins pour Internet ou par définition personne ne regarde la même chose en même temps).

Voici donc venir l’avenir en la personne de la fibre optique. Il s’agit toujours de transporter de l’information, toujours d’un point A à un point B comme le fil du téléphone, mais cette fois ci, on aimerai bien pouvoir aller plus vite (que l’ADSL) et aussi plus loin.

La fibre, telle qu’elle est déployée aujourd’hui par les fournisseurs d’accès, n’est pas une technologie nouvelle. L’origine de l’idée remonte aux Grecs anciens, mais elle n’est applicable qu’avec l’avènement du laser dans les années 60. C’est vers la fin des années 70 qu’on commence réellement à l’utiliser de façon industrielle pour les télécommunications.

Plus vite, c’est facile. La ou le fil électrique s’essouffle à cause des pertes et perturbation au delà de 20Mbps, la fibre sait aujourd’hui transporter sans problèmes, pour un coût peu élevé, 1Gbps (donc 50 fois plus). Les lasers permettant de transporter 10Gbps (donc 500 fois plus que l’ADSL) coutent encore un peu cher de nos jours, mais on commence déjà à parler de 100Gbps (5000 fois l’ADSL). Le tout sans jamais toucher au support physique lui-même, on ne fait que changer le genre de laser qu’on met au bout.

Et puis surtout, la fibre optique transportant de la lumière, on peut utiliser une astuce d’optique très ancienne pour démultiplier les capacités de la fibre. Vous vous êtes surement amusé, lorsque vous étiez gamin, avec un triangle de verre en plein soleil et avez admiré toutes les jolies couleurs que ça pouvait faire sur le mur en face. C’est un prisme qu’on met donc en face d’une fibre et qui va séparer les couleurs qui circulent sur cette fibre. Partant de la, on sait aujourd’hui faire rentrer plusieurs dizaines de couleurs différentes sur une même fibre, chacune de ces couleur pouvant transporter 1Gbps de données (voir 10Gbps). Pour être tout à fait exhaustif, on parle de couleurs qui ne peuvent se voir à l’oeil nu. On parle de lumière en nanomètres, les rayons utilisés dans les fibres étant généralement compris entre 1200 et 1700nm alors que la lumière visible par l’humain se situe entre 380 et 700nm.

Matériellement, ça ressemble à n’importe quel câble électrique. C’est parfois un peu plus fin. Et comme c’est constitué de verre (à l’intérieur), il vaut mieux éviter de le tordre. On peut bien sur le faire tourner, mais on ne fait pas de noeuds avec une fibre optique et on ne la plie pas a angle droit pour la faire passer derrière le buffet, sinon, crac.

Vous me direz “si ça fait crac, il suffit de la changer”. Oui et non. Tout dépends du morceau de fibre dont on parle. L’avantage de l’électrique, c’est que lorsque le fil est cassé, vous prenez un domino (ou du scotch pour les moins soigneux) et vous reconnectez ensemble les deux morceaux. C’est très simple lorsque le câble fait quelques dixièmes de millimètre d’épaisseur et est rigide.

La fibre, elle, mesure quelques µm de diamètre, c’est à dire qu’il faut avoir une cinquantaines de fibre optiques pour arriver à peu près au diamètre du fil de cuivre dans un câble téléphonique. Et la ou le cuivre à juste besoin d’un contact, il faut que les deux morceaux de fibre à raccorder soient pile en face et ne bougent pas. On utilise donc généralement le principe de la soudure qui consiste à fondre ensemble les deux parties de fibre qu’on veut relier en les maintenant bien en face l’une de l’autre. Cette opération ne s’effectue ni à la main ni à l’oeil nu mais grâce à une soudeuse (appareil qui coute tout de même quelques milliers d’euro) qui, de nos jours, fait presque tout toute seule (ajustement et rapprochement des deux brins de fibre, soudure et gainage)

Voila pour le débit et la pratique … Voyons maintenant la distance. Avec le matériel à notre disposition dans le monde industriel (et celui des FAI, donc), on à le choix entre trois grandes familles d’optiques (les petits modules qui envoient et reçoivent le laser). SX, LX et ZX (S pour short, L pour long, et Z probablement parce que ”ultra long” ça faisait idiot, ils ont donc pris la dernière lettre de l’alphabet). On peut respectivement parcourir quelques centaines de mettre avec le SX, le LX permet de monter entre 5 et 10 kilomètres et le ZX peut atteindre entre 40 et 80 kilomètres sur une fibre de bonne qualité.

Certains équipements moins répandus savent parcourir plusieurs centaines de kilomètres mais il faut généralement l’équivalent de la consommation d’un petit immeuble pour les alimenter. Une vrai usine à griller les pigeons si on laisse le laser qui en sort à l’air libre.

Petit aparté sur les distances, lorsqu’une optique ne permet pas de couvrir toute la distance (la traversée de l’atlantique, par exemple), on installe, à intervalle régulier, des répéteurs. Ce sont de petits boitiers qui récupèrent le signal optique pour le ré-amplifier et lui permettre ainsi de parcourir encore plusieurs dizaines de kilomètres. L’ennui de ce dispositif c’est qu’il faut l’alimenter en électricité. C’est pour cela que les câbles sous marin sont si épais. En plus de la fibre, une grosse partie du câble est occupée par des conducteurs électriques qui, au passage, servent de blindage pour les fibres et de tenseur pour le câble lui-même.

Pour finir, comment cela se passe chez Madame Michu quand on viendra lui installer la fibre ? Le câble arrivera la ou elle souhaite avoir sa prise et l’installateur posera un petit boitier (ONT) dans lequel il effectuera une dernière soudure avant d’arriver à une prise (en vert sur la photo) qui sera dirigé généralement vers le bas pour éviter de casser l’embout. Reste ensuite a brancher ce petit bout de fibre au modem fourni par le FAI pour finir par obtenir une prise réseau classique à brancher derrière son PC.

Vous pouvez aussi avoir la chance d’avoir une carte réseau fibre dans votre PC et la brancher directement sur l’ONT.

De l’autre coté de la fibre, c’est comme pour le fil du téléphone, toutes les fibres d’un même ensemble d’habitation (immeuble, quartier, petite ville, ..) arrivent dans un local commun à plusieurs opérateurs ou chaque fibre est branchée sur l’opérateur choisi par l’abonné.

• Conseiller l’état dans tout le processus d’élaboration des projets de lois, décrets et ordonnances. La consultation du conseil d’état est obligatoire pour ces trois cas de figure. Il peut aussi être consulté de manière facultative par l’assemblée ou le sénat à propos des propositions de loi. Enfin, le gouvernement peut demander son avis au conseil d’état sur toute question. De manière générale, les instances demandant (obligatoirement ou pas) l’avis du conseil d’état ne sont pas tenus de suivre l’avis rendu sauf dans le cas des décrets qui ne peuvent être publiés que sous la forme adoptée par le conseil.
• Juger tout litige administratif impliquant une instance publique. C’est le pendant administratif de la Cour de Cassation qui s’occupe du judiciaire. De la même façon, les décisions du conseil d’état sont réputés souveraines et ne sont que très peu sujettes à quelque recours que ce soit

De manière générale, n’importe quelle personne (physique ou morale) peut saisir le conseil d’état lorsqu’elle se trouve lésée dans un litige impliquant une instance publique et que le litige en question est, soit, du ressort de plusieurs tribunaux administratifs, soit d’envergure nationale ou bien concerne une autorité française en dehors du territoire.

Leur site est plutôt bien fait, si le sujet vous intéresse, vous y trouverez à peu près tout ce qu’il y a à savoir.

Je vous ai donc déjà parlé de l’énergie, de la connectivité et du froid, nous allons donc à présent faire un petit tour d’horizon de tout le reste. Vous comprendrez que je ne citerais pas les lieux et prestataires concernés par les choses dont je vais me moquer, d’abord pour ne pas avoir d’ennuis, ensuite pour ne pas leur attirer de problèmes à eux.

Pour commencer, la sécurité. J’ai lu beaucoup de choses comme quoi les datacenters étaient des lieux ultra sécurisés, j’ai même entendu des gens m’assurer que les vitre de leurs bâtiments résistaient à des tirs de mitraillette alors qu’il ne s’agissait même pas de double vitrage.

Trêve d’idiotie, les datacenters (ou en tout cas la vingtaine que j’ai pu fréquenter en France) ont les mêmes murs en briques que ma maison. La seule différence, c’est que pour la grosse majorité, il y a une présence humaine sur site 24h/24 et 7j/7. Ce n’est pas un garde armé et, pour les veilleurs de nuits, la grosse majorité ne sont pas maitre chien et n’ont donc aucun moyen de défense qu’elle soit active ou passive. Le principal risque concernant la sécurité des datacenters ne provient pas d’une bande de terroristes sur-armés qui se pointerai pour embarquer un serveur. Non, il provient de gens tout a fait normaux qui iraient se ballade à des endroits ou il ne faudrait pas et qui toucherai a des boutons qu’on ne doit pas toucher.

Exit, donc, les lecteurs de badges, les empreintes digitales, les analyseurs de main et les scanners d’iris, tout ça, c’est du vent. Tellement du vent que dans beaucoup de bâtiment, on vous fait visiter en vous faisant passer par 3 sas avec 12 caméras et 30 systèmes d’identification pour vous en mettre plein la vue mais qu’il suffit de passer par la zone de livraison et de lever un simple rideau de fer qui n’est jamais verrouillé pour avoir accès a un monte charge qui dessert tout le datacenter sans aucun lecteur de badge a quelque moment que ce soit.

Ensuite, deuxième source d’émerveillement en datacenter, les système d’extinction d’incendie. On distingue 3 grandes familles :

• La plus évidente, la pulvérisation d’eau. Evidemment, quand vous avez 200000 euro de matériel au mètre carré, vous pouvez mal le vivre, mais en réalité, le système de vaporisation produit des gouttelettes tellement fines qu’il n’est pas censé (ou pas trop) endommager le matériel. Et puis, théoriquement, l’électricité à été coupée avant la pulvérisation. C’est la méthode la plus écolo qu’on puisse trouver
• La plus freaky, idéale pour un scenario de film hollywoodien, le gaz qui consomme l’oxygène par réaction. Autant vous dire qu’il ne vaut mieux pas rester dans le coin quand les bouteilles se vident, sinon, PAF le chien.
• La plus répandue, le gaz qui occupe l’espace en poussant l’air normalement dosé un peu plus loin et qui, accessoirement, a parfois aussi des propriétés qui permettent de ralentir les réactions de combustion (c’est par exemple le cas du FM200). C’est pas mortel, mais étant donné la baisse de température à la détente du gaz et la pression dans les bouteilles, il ne vaut mieux pas se trouver trop près de la buse de sortie quand ça claque.

La partie drôle, maintenant. On pourrai naïvement croire que ces choses la sont automatisées et qu’à la moindre étincelle ou petite volute de fumée, PAF, les bouteilles se vident. Eh bien non. D’une part, dans beaucoup de datacenters, il faut que deux détecteurs se déclenchent avant qu’un humain soit averti qu’il y a peut-être le feu, mais en plus, le déclenchement du système d’extinction est manuel. Quand on voit que dans certain bâtiments, les personnes sur place mettent parfois 20 minutes à se rendre compte que les salles d’hébergement n’ont plus d’alimentation électrique, ça fait peur.

Je passerais bien entendu sous silence les endroits ou on peut fumer sans que ça dérange les détecteurs, et je ne vous parlerais pas non plus de ma vilaine manie de faire sauter les fixations plastique de colis au briquet … preuve que tout ça n’est pas très sensible. Une petite mention, toute fois, pour un système que j’ai découvert dernièrement qui semble réservé aux endroits contenant du combustible (un générateur au fioul indoor par exemple) qui, pour le coup, est capable de détecter la moindre variation de température et les émanations de gaz … Ça fait rêver pour ma chaudière ! :)

Vient ensuite un sujet pour lequel je n’ai pas de photo, c’est le bruit. Pour bien vous rendre compte, essayez de mélanger dans votre tête le bruit d’une alarme de voiture un peu lointaine mais particulièrement agaçante (il y a toujours un truc qui fait bip quelque part dans un datacenter, on fini par même plus s’y intéresser), le bruit du ventilateur de l’alimentation de votre ordinateur (que vous multipliez par 100, voir plus), le bruit d’un micro onde et celui d’une machine à laver. Vous y êtes, et ce bruit est permanent. On dispose depuis quelques mois à l’entrée de beaucoup de bâtiments de boules quies, mais il faut avouer que c’est plus difficile de communiquer avec son prochain lorsqu’on a les oreilles bouchées.

Toujours dans le ressenti, si on à la chance de pouvoir éteindre la lumière, selon comment les baies ont été organisée, c’est assez magique (et c’est assez rigolo, si d’autres gens sont entrain de travailler à ce moment la, d’éteindre. C’est systématique, 2 secondes d’adrénaline “MERDE, UNE COUPURE”, puis soulagement “ah non, c’est juste la lumière”). Promis, j’essaie de vous faire une photo la prochaine fois !

On trouve aussi pas mal d’endroit avec trop de place vide, soit parce que quelqu’un vient de partir, soit parce que l’énergie qui avait été prévue pour cet espace à été vendue ailleurs dans le bâtiment. (vous pouvez d’ailleurs voir au fond les armoires de distribution électrique et le coin d’une armoire de climatisation)

Et enfin, on trouve des serveurs. Des tas, de toutes les formes, plus ou moins bien rangés, avec plus ou moins de puissance, de loupiottes, de disque dur, de pouvoir soufflant à l’arrière. Mais aussi des plus surprenants, montés sur des planches de bois ou bien pratiquement uniquement constitués de disques durs (une bonne quarantaine de 2To, je vous laisse imaginer). On trouve des salles très bien rangées mais absolument pas pratiques du tout à l’usage, d’autres très bordéliques mais aussi très confortables, des baies bourrées raz la gueule de machine avec d’autres toutes vides à coté, des salles de colocation ne disposant pas de deux baies identiques et créant une diversité assez étonnante de façon de faire les choses.

Et, parfois, on trouve un tas de geeks en rogne qui s’attroupent dehors. Généralement, c’est la conséquence d’une panne de courant ou autre situation de crise du même genre (celle-ci, c’était en 2003, on a fini la journée par une soirée crêpes au réchaud butagaz devant le bâtiment)

C’est un abus de langage puisqu’en réalité, une fois passé votre modem ADSL, on peut considérer que, dans beaucoup de cas, votre trafic circule déjà sur le réseau de votre FAI, mais peu importe.

L’ADSL sert à parcourir le “dernier kilomètre” entre chez vous et le central téléphonique dont dépends votre ligne. A ce moment, la dite ligne est branchée sur un DSLAM (Digital subscriber line access multiplexer, vulgairement, c’est une grosse boite pleine de modems ADSL, vous voyez sur la photo la haut les gros câbles descendants du plafond pour entrer dans la baie du milieu. J’aborderais la théorie de l’ADSL en lui même dans un autre billet.

Une fois sorti du DSLAM, le trafic est agrégé avec celui de vos voisins (généralement sur une fibre, la petite chose jaune qui sort du second boitier dans la baie) et peut avoir deux destination immédiates :

• Dans le cas d’un opérateur qui dispose de ses propres infrastructures dans le NRA (free en dégroupé par exemple) vous êtes directement sur le réseau du fournisseur et 95% du temps, en fonction de la destination de votre trafic sur internet, il passe par les datacenters parisiens avant d’aller plus loin (chez un autre FAI, chez google, chez moi)
• Dans le cas d’un opérateur non dégroupé sur le NRA en question, le DSLAM appartient à un autre opérateur (généralement Orange) qui, en fonction du login que vous avez indiqué (d4fg654@fti pour Orange, login@truc.nerim pour Nerim, …), transporte directement votre trafic chez votre FAI via un tunnel L2TP sur une porte de collecte (une simple paire de fibre branchée sur un routeur) agrégeant généralement l’ensemble des abonnés sur tout le territoire national.
• Il existe, entre les deux, un tas de situations hybrides, le cas de FDN étant assez interessant :

FDN a souscrit une porte de collecte auprès de Nerim. Ce FAI ne dispose actuellement de très peu d’équipements dans les NRA de France et de Navarre. Ils ont eux même une porte de collecte chez Orange pour couvrir 100% du territoire et une porte de collecte chez SFR permettant de couvrir, à un tarif et à des débits plus intéressants qu’orange sur tous les NRA dégroupés par SFR (ex Neuf).

Ce système etant proche des poupées russes, FDN peut tout a fait livrer une porte de collecte a une autre entité qui pourra faire de même, et ainsi de suite.

Plus de détails juridiques et techniques sur le blog de FDN.

Et pendant ce temps, à Vera Cruz, Free affiche toujours son intention de facturer 8.50 € les demandes d’identification émanant d’HADOPI. RWW a encore une fois pondu un bon article sur le sujet. A lire d’urgence, même s’ils ont oublié de parler des alternatives associatives qui, semble-t-il, ne vont même pas être prise en compte par la-dite autorité (si ça se passe comme pour l’ARJEL)

Détail de la demande adressée ce soir au conseil d’etat :

Paris, le 11 août 2010

Madame, monsieur,

Par le présent recours, les requérants demandent au Conseil d’État de suspendre l’application du décret n° 2010-872 du~26 juillet 2010 relatif à la procédure devant la commission de protection des droits de la Haute Autorité pour la diffusion des oeuvres et la protection des droits sur Internet (HADOPI) prévu par l’article L. 331-30 du Code de la propriété intellectuelle (cf. décret ci-joint, document n° 1, 3 pages).

Notre intérêt à agir est lié au fait que l’association requérante, dénommée FDN, et représentée par son président mandaté à cet effet (extrait du procès verbal de réunion du bureau du 7 août 2010, cf. ci-joint document n°2, 1 page), est destinataire du décret attaqué, en sa qualité de fournisseur d’accès à des services de communication au public en ligne déclaré auprès de l’Autorité de régulation des communications et des postes (ARCEP) (cf. document n°3, 3 pages). En effet, ce décret met en place la procédure prévue par les articles L. 331-21 et suivants du Code de la propriété intellectuelle, et crée notamment à l’article R. 331-37 du même code une nouvelle obligation de communication de données à caractère personnel et d’informations à la charge des fournisseurs d’accès à des services de communication au public en ligne.

Selon l’association FDN, il y a urgence à ce que l’application du décret n° 2010-872 soit suspendue dès lors que celui-ci est entaché d’un doute sérieux quant à sa légalité. Le décret n° 2010-872 est en effet, entaché, d’une part, d’un vice de forme substantiel de nature à engendrer son illégalité sur le fond et, d’autre part, d’un défaut de base légale constitutif d’une erreur de droit.

Le vice de forme substantiel est caractérisé par le fait que le décret n° 2010-872 vise et dépend, pour des éléments essentiels de la procédure d’identification de l’abonné au service de communication au public en ligne qu’il met en place, des dispositions du décret n° 2010-236, lequel fait actuellement l’objet d’une instruction par votre juridiction résultant d’un recours en annulation déposé le 6 mai 2010 (affaire n° 339xxx), soulevant une illégalité interne du décret n° 2010-236 liée au fait que l’ARCEP n’a pas été consultée sur ce décret, alors qu’elle aurait dû l’être en application de l’article L. 36-5 du Code des postes et communications électroniques, ce qui constitue, selon votre jurisprudence, une formalité essentielle.

L’erreur de droit consiste en un défaut de base légale du décret n° 2010-872, lié au doute sérieux portant sur la légalité du décret n° 2010-236. Le recours en annulation du décret n° 2010-236 étant, comme cela vient d’être décrit, pendant devant votre juridiction, le doute quant à la légalité du décret n° 2010-236, engendre de facto, un doute sérieux quant à la légalité le décret n° 2010-872.

Ces deux moyens de droit créent dès lors, pour l’association requérante, un doute sérieux quant à la légalité du décret n° 2010-872.

Quant au caractère d’urgence de la procédure, la Haute Autorité pour la diffusion des oeuvres et la protection des droits sur Internet, chargée de l’application du présent décret, a annoncé, par voie de presse, le 29 juillet 2010, que cette procédure allait être appliquée dans les semaines à venir. L’application immédiate de cette procédure est constitutive d’un préjudice pour l’association FDN dès lors, d’une part, que l’identification des abonnés, qui s’impose à nous en tant que fournisseur d’accès à des services de communication au public en ligne, engendre une charge financière que l’association doit prendre en charge et, d’autre part, que cette identification crée des obligations qui, au regard des contraintes techniques imposées par la HADOPI, sont complexes et requièrent une intervention manuelle importante de nature à mettre en péril les activités principales des fournisseurs d’accès à des services de communication au public en ligne, et, en conséquence, à influer de manière négative sur le marché de la fourniture d’accès à internet.

L’application immédiate de cette procédure est également constitutive d’un préjudice pour l’association FDN dès lors qu’elle entre en contradiction avec l’objet de l’association.

Il y a dès lors, pour l’association requérante, urgence à suspendre, en application de l’article L. 521-1 du Code de justice administrative, tout ou partie des dispositions du décret n° 2010-872 le temps, au miminum, qu’il soit statué au fond sur la légalité du décret n° 2010-236.

Au regard des éléments de fait et de droit ci-dessus, l’association demande qu’il plaise au Conseil d’État de suspendre l’application du décret n° 2010-872 du 26 juillet 2010, en attendant qu’il soit statué, au fond, sur la légalité du décret n° 2010-236 ou du décret objet du présent recours.

pour le bureau,
le président,
Benjamin Bayart

Par contre, chez Bouygues Télécom, on ne se fait pas prier trop longtemps par l’ARJEL pour se conformer aux obligations de filtrages imposées par le TGI de Paris la semaine dernière. C’est donc chose faite, les clients de Bouygues ne peuvent théoriquement plus accéder à www.stanjames.com. Enfin, tout est relatif, les ordinateurs qui utilisent les serveurs DNS de Bouygues obtiennent une fausse information qui ne leur permet donc pas d’accéder au site.Alors comment fait-on pour accéder aux sites bloqués par un vilain DNS menteur ? Ben on utilise un autre serveur DNS. Par exemple, celui de Google qui est publique et qui porte l’IP 8.8.8.8 (facile à retenir, en prime). Je ne rentrerais pas dans le long débat qui consiste à savoir si c’est bien ou mal de donner la liste de toutes ses requêtes DNS à Google. Personnellement, je pense que c’est mal, mais moins mal que de s’adresser à un DNS menteur.

L’avantage du DNS menteur, c’est qu’il ne perturbe l’accès que d’un seul site. Quelles sont les autres manières de bloquer un site chez un FAI ? Comment on passe à coté et quels sont les effets de bords ?

• Le blackholing. Il agit au niveau de l’adresse IP de la machine qui héberge le site. Si vous ne suivez pas mon blog régulièrement, revenez en arrière pour lire l’article qui parle des routes sur internet. Le blackholing permet, sur un réseau autonome défini, de jeter purement et simplement le trafic provenant d’une ou allant vers une adresse IP déterminé (ou un bloc entier). En l’occurrence, en cherchant un peu, on trouve que Stanjames utilise le bloc d’IP 91.199.56.0/24 et que l’adresse précise du site www.stanjames.com est 91.199.56.80. Il suffirai donc à un FAI de blackholer cette IP ou le bloc entier pour être sûr qu’aucun utilisateur n’accède au site www.stanjames.com. Ce faisant, il interdirait également toute communication avec d’autres sites ou services hébergés sur ces adresses. Pour passer à coté, pas de grand mystère, il faut éviter le réseau de son fournisseur, soit en résiliant pour aller chez un autre qui ne filtre pas de cette façon, soit en utilisant un VPN permettant d’écouler son trafic depuis une autre adresse IP que celle de son fournisseur (VPN qui n’a pas nécessairement besoin d’être chiffré)
• Il existe des variations du système de blackholing qui consiste a rediriger le trafic vers une machine appartenant au fournisseur pour pouvoir afficher des pages au visiteur (au mieux “vous avez pas le droit”, au pire, le site d’un concurrent)
• L’inspection de paquets, méthode plus onéreuse pour le fournisseur qui consiste à rechercher des informations précises dans les flux de données puis, le cas échéant, de les couper. Par exemple, lorsqu’on discute avec www.stanjames.com, le navigateur commence par ouvrir une connexion avec le serveur web puis dit “je voudrais que tu me donne la page http://www.stanjames.com/”. Un système d’inspection de paquets peut être configuré pour couper purement et simplement la connexion entre le navigateur et le serveur web lorsqu’il verra passer cette phrase. L’avantage de cette méthode, c’est que si le site en question change d’hébergeur, il sera toujours filtré. Par contre, s’il change de nom, c’est cuit. La encore, pas de miracle possible pour contourner la mesure si ce n’est d’évacuer son trafic au travers d’un VPN qui, pour le coup, devra être chiffré pour que le système d’inspection ne puisse pas retrouver la demande de page web.

On va donc probablement, dans les mois qui viennent, assister à une escalade meurtrière de “je fais mentir mes DNS”, “j’en utilise d’autre”, “je blackhole les IP”, “j’utilise un VPN”, “j’inspecte tes paquets et m’assoie sur le respect de ta vie privée”, “je chiffre tout mon trafic”.

L’effet de bord totalement prévisible ? Une fois que la majorité du trafic d’Internet sera chiffré, toutes les mesures actuelles d’écoute et d’interception par les forces de l’ordre pour des motifs plutôt légitimes (la pédophilie, par exemple) seront incroyablement complexifiées.

D’un autre coté, les personnes se livrant à des activités réellement néfastes et prohibées utilisent déjà des systèmes de protection de leurs échanges … C’est donc encore un très joli coup d’épée dans l’eau.

EDIT : pour preuve de l’épée et de l’eau, un particulier à déjà crée un nom de domaine alternatif pointant sur l’IP du site stanjames.com. Le site est donc de nouveau accessible aux abonnés Bouygues Telecom via ce nouveau nom de domaine qui n’entre pas dans le périmètre de l’ordonnance rendue vendredi dernier par le TGI de Paris.

Comme je le disais trois  paragraphes plus haut, le prochain stade de blocage s’effectue au niveau de l’adresse IP utilisée par Stanjames. Après cela, en dehors des VPN, les solutions globales centralisée sont :

• Pour Stanjames, de changer l’IP du site, quitte à utiliser un autre réseau que le sien (puisqu’ils sont leur propre hébergeur avec leur propre réseau)
• Pour les visiteurs, d’utiliser un proxy anonyme comme on en trouve un peu partout (google est votre ami) pour rebondir avant d’aller vers le site final (méthode qui fonctionne d’ailleurs pour n’importe quel blocage, y compris l’inspection de paquets si le proxy permet de chiffrer les échanges)

Avant de passer à la pratique, il faut envisager les solutions disponibles pour se relier à internet. Pour commencer, il faut évincer deux idées qui peuvent se faire passer pour des évidences quand on n’est pas dans le métier :

• la bande passante chez les opérateurs ne coute pas 1 euro pour 1Mbps (mais plutôt entre 5 et 100 fois plus cher selon les cas)
• mais fort heureusement, lorsqu’on vends a des particulier, nul besoin d’acheter tout ce qui est vendu. Autrement dit, pour s’en sortir financièrement, il faut pratiquer le surbooking.

Avant d’étudier le ratio bande passante par abonné de notre FAI, nous allons commencer par faire un petit tour de la question du très haut débit. Quels sont les acteurs qui, aujourd’hui, proposent plus de 100Mbps symétriques en matière de connexion Internet ? Il y en a beaucoup, en fait. Le principal problème étant qu’on ne les trouve que dans des datacenters.

Il faut, pour s’y rendre, utiliser un système de transport :

• soit un loueur de fibres qui vous livrera un lien entre le centre de votre petit FAI et un datacenter
• soit, si vous êtes géographiquement proche et que vous vous entendez bien avec le-dit datacenter, un pont wifi directement depuis le toit du bâtiment.

Le cout de la seconde solution est difficilement évaluable, le cout de la première est directement fonction de la distance parcourue, sur une base qui avoisine généralement 2€ par mètre et par ans, mais c’est surtout à la discrétion de la commune traversée, plus cher en milieu urbain, etc … Bref, du cas par cas. Ces opérateurs, pour les longs trajets, ce sont généralement les sociétés d’autoroute et RFF (propriétaire du réseau ferré français). Localement, une myriade d’opérateurs oeuvrent plus ou moins dans l’ombre. Ce sont généralement des sociétés privées bénéficiant de contrat de délégation de service publique (et donc de financement) pour exploiter un réseau à l’échèle d’une communauté de communes ou d’un département.

Il existe enfin des opérateurs qui proposent le transport et la connexion internet en un seul produit. Ça peut être une opération intéressante, mais il faut comparer. (Orange, Completel, …)

Il y a aussi et surtout un très gros cout de mise en service variant de 5 a 20000 euro par extrémités. Autant dire que c’est aujourd’hui hors de porté d’une petite association, mais si les pouvoirs publiques s’en mêlent, ça peut se digérer. Pour une association plus conséquente, 2 ou 300 adhérents, par exemple, ça donne environ 150 euro de mise en service par abonné pour obtenir un débit correct, c’est pas grand chose.

Il est aussi possible de faire appel au privé. Une entreprise locale a besoin d’une connexion fibre ? Elle est prête à payer la mise en service mais voudrait diminuer le récurrent ? Votre association paiera un bout de la fibre de l’entreprise pour pouvoir l’utiliser. A chaque bout, le trafic de l’un et de l’autre sera séparé et chacun se débrouillera pour rejoindre Internet par la ou ça lui chante.

Maintenant que vous avez le transport jusqu’à un datacenter, vous y trouverez plusieurs opérateurs. Le débit souscrit conditionne directement le prix unitaire du Mbps. Pour de petites quantité, 10Mbps, par exemple, vous aurez du mal a trouver moins de 20 ou 30 euro par Mbps pour quelque chose de convenable. Si on monte a 100Mbps, on descends tout de suite a un prix unitaire situé entre 10 et 15. Si on monte a 500, on se situe aujourd’hui entre 6 et 7.

Mais combien prévoir ? Aujourd’hui, pour citer le cas de FDN qui dispose de quelques 120 lignes ADSL actives a ce jour, la consommation globale facturable par un opérateur est de moins de 20Mbps, soit environ 170Kbps par abonnés. Longtemps, les grands FAI nationaux n’ont prévu que 50Kbps par abonné sur leur réseau, la tendance est à la hausse avec l’évolution de la consommation et les vidéos, mais on reste très loin des 30Mbps promis a tout le monde avec l’ADSL2+.

Le plus simple reste encore de trouver un fournisseur de transit qui accepte de vous prendre à l’essai (ou avec une limitation maxi de la conso pour ne pas exploser la facture), puis de négocier le tarif une fois que le profil de consommation a été déterminé.

Et tant que la masse critique n’est pas atteinte, si vous n’avez pas de datacenter ou de fibre utilisable à proximité, vous serez encore contraint d’empiler les modems ADSL, en attendant mieux.

Par ordonnance de référé du 6 aout 2010, le tribunal de grande instance de Paris condamne les societés Numericable, Orange, SFR, Free, Bouygues Telecom, Darty et Auchan Telecom à suspendre tout accès depuis le territoire français au site stanjames.com par tout moyen possible, y compris couteux et intrusif.

C’est chouette, pour fêter le 1000em opérateur télécom déclaré à l’ARCEP (voir ici), les 7 plus gros sont obligé de filtrer un site. Heureusement qu’on peut encore utiliser les 993 autres.

C’est quoi, déjà, la graaaande phrase de la France ? Y’a pas “égalité” dedans ? non, j’ai du me tromper … en tout cas, ces 7 la, ils sont moins égaux que les autres (pour une fois).

Mon archive d’emails approchant les 23Go et remontant à une bonne douzaine d’année pour certaines boites, je vous laisse imaginer mon état de nerf. Pour bien continuer, monsieur backups & serveurs de mail (qui se trouve être la même personne) venait de partir en vacances.

Me voila donc parti à la recherche de mes emails dans le serveur de backup. Je vous passe l’article sur l’utilisation quelque peu déroutante de Bacula (qui demeure un très bon produit quand on sait lui parler au creux de l’oreille et qu’on est patient), j’ai fini par réussir à lui faire recracher mes 23Go d’emails sur le serveur mail dans un dossier différent pour pouvoir travailler calmement dessus sans risquer de perturber le fonctionnement du serveur de mail (ben oui, je bosse un peu a coté, quand même)

La problématique étant la suivante :

• Si je recopie bêtement les emails du backup par dessus les dossiers actuels, au mieux je perd l’ensemble des statut des nouveaux emails datant d’après le backup (lu, répondu, …), au pire, je mélange tout, chaque email étant stocké avec un numéro à partir de 1 et je n’ai strictement aucune idée de si par hasard Cyrus ne se met pas a recompter à partir de 1 en cas de boite vidée (ce qui a été le cas d’une grosse quantité de boite)
• Si je met le backup dans un sous dossier de mes dossiers actuels, c’est déjà une bonne chose de faite, mais je ne les vois pas pour autant dans le logiciel de courrier

La solution est un peu alambiquée mais elle fonctionne :

• Créer un dossier “Backup” via le logiciel de courrier
• Y copier le backup de l’utilisateur en console sur le serveur mail
• Lancer la commande cyrus “reconstruct -fr user/<nom_d’utilisateur>” (reconstruct se trouve avec les autres binaires de Cyrus, chez moi /usr/local/cyrus/bin)
• Aller se prendre un café, ca peut prendre un moment
• Lancer son logiciel de courrier et s’abonner à toutes les boites IMAP nouvellement trouvées par Cyrus (Thunderbird a eu du mal a me laisser faire, j’ai du terminer sur un webmail, il y avait semble-t-il trop de boites a son gout)
• S’apercevoir qu’on a perdu tous les statuts des mails récupérés par le backup
• Réimporter une seconde fois le backup au même endroit que la première fois (pour retrouver les statuts, maintenant que Cyrus a retrouvé l’arborescence de boites)
• Déplacer les emails des boites situées  dans le dossier “Backup” vers les boites réelles qui ont été vidées avant la catastrophe (c’est finalement ça qui prends le plus de temps)

Si vous avez eu la chance d’avoir complètement perdu votre serveur mail et donc de ne pas avoir une version des boites avec des vieux mails et une version avec des anciens, c’est plus simple, vous pouvez restaurer votre backup à la racine de la boite utilisateur et vous éviter la dernière phase qui reste la plus fastidieuse, surtout si vous avez des boites avec 68000 emails comme moi.

Bilan des courses, quelques 1.161.000 emails sauvés ! Du coup, j’ai fais du ménage et j’en ai jeté pas loin de 250.000.

Nota : je me suis fortement inspiré des efforts documentaires de Stéphane Bortzmeyer. Pour une version encore plus poilue et brute de fondrie du présent article, rendez-vous ici.

BGP est un protocole faisant partie des protocoles de routage. Rien de magique dedans, il ne s’agit que d’un canal de communication établi entre deux équipements (généralement des routeurs) leur permettant de s’échanger un certain nombre d’information concernant la direction que doivent emprunter les flux de données.

Si vous avez lu les articles conseillés ci-dessus, vous savez déjà que BGP est principalement utilisé pour faire communiquer et permettre l’échange de trafic entre deux réseaux autonomes distincts. On pense souvent que BGP est lui même le protocole de transport de l’information, en réalité, il n’en est rien. Les données se baladant de réseau en réseau circulent à coté du flux BGP, pas dedans. L’intérêt principal du partage d’un même média de communication pour les informations de routage et les données elle-mêmes est que si le média en question tombe en panne, les routeurs ne reçoivent plus d’information sur le lien en question et n’y envoient donc plus d’information. C’est la base de la redondance d’Internet.

C’est un passage obligé pour toute organisation exploitant un réseau autonome et souhaitant se relier au reste d’Internet. Voila pour le quand.

Le pourquoi, à présent. Il existe plusieurs protocoles vaguement similaires à BGP qui sont quasiment tous orientés vers l’efficacité du résultat. Le second en terme de notoriété et d’utilisation dans le monde est OSPF (mais aussi ISIS, RIP, …). Ces derniers ont pour objectif de faire discuter entre eux tous les éléments de routage d’un réseau en se basant sur une confiance mutuelle globale. Ils sont donc généralement plus utilisés à l’intérieur d’un réseau ou la confiance est quasi totale dans tous les équipements du réseau. BGP, lui, a été conçu pour cimenter un réseau planétaire dont on ne maitrise qu’une toute petite partie et qui peut potentiellement contenir des éléments perturbateurs (volontairement ou pas).

Le comment, maintenant. BGP fonctionne biensur sur les gros routeurs industriels du marché (Cisco, Brocade, Juniper, …) mais plusieurs implémentations ont été faites pour les divers systèmes d’exploitation UNIX. Deux sortent du lot, à savoir Quagga et OpenBGP.

N’ayant encore jamais eu l’occasion de tester le second, et cet article s’inscrivant dans la série Comment devenir son propre FAI, je vais bêtement suivre la meute et produire un Niemme howto sur Quagga, et pour pas trop me casser la tête, je ne parlerais que d’IPv4. Pour sortir un peu du lot quand même, je vous apprendrais peut-être que le quagga correspond à deux familles de zèbres dont l’une est éteinte depuis 1883.

L’utilité de Quagga se résume a discuter avec les routeurs voisins et a transcrire le résultat de ces conversations en ajoutant et en retirant des routes dans la table de routage de la machine (accessible avec netstat -rn généralement)

Nous partirons du principe :

• que vous avez déjà réussi à installer un petit routeur sous Linux ou FreeBSD.
• que vous y avez connecté un modem ADSL d’un coté et quelques utilisateurs de l’autre et que ça fonctionne
• que vous avez installé le package Quagga (apt-get install quagga par exemple)
• que vous avez fait le necessaire auprès du RIPE pour obtenir au moins un AS et un bloc d’IP (ou bien que vous vous êtes mis d’accord avec votre FAI pour utiliser un AS privé et un bloc d’IP du FAI lui-même juste pour tester)
• que vous avez choisi un fournisseur d’accès poilu du type FDN, et que vous avez donc le bonheur de pouvoir distribuer du vrai internet avec des vrais adresses IP routables a vos utilisateurs. Ça tombe bien, puisque de toute façon, les fournisseurs d’accès de la cabale des agrumes libres qui savent y faire ne proposent pas d’offre basée sur BGP via l’ADSL et qu’ils ne pourront donc, sauf utilisation de VPN pas jolis, pas vous être utiles dans le cadre du présent article.

Lorsque vous allez demander à votre fournisseur d’accès d’établir un lien BGP, quelles informations allez-vous obtenir ?

• L’adresse IP du routeur BGP du fournisseur (qui a de forte chance d’être la même IP que celle qui est utilisée comme passerelle par défaut par votre routeur, nous utiliserons 80.67.169.41)
• Le numéro d’AS du fournisseur (pour notre exemple, ce sera l’AS 20766)
• Éventuellement un mot de passe MD5 servant à protéger la session BGP d’attaques TCP aveugles

Vous lui aurez vous-même fourni votre numéro d’AS (pour notre exemple, nous utiliserons l’AS 64512 qui se trouve être un AS privé qui n’existera jamais sur Internet) et éventuellement la liste des blocs d’IP dont vous êtes titulaire (qui peut, si vous avez bien fait votre travail avec le RIPE, être trouvé avec votre numéro d’AS. Pour notre exemple, nous utiliseront 172.16.0.0/24 qui se trouve aussi être un bloc privé qui ne devrait jamais apparaitre sur Internet).

Que trouve-t-on avec le package Quagga ? Il y a une pelleté de binaires et de librairies et au moins deux fichiers de configuration : zebra.conf et bgpd.conf. Le premier est la configuration de base du routeur, le second la configuration spécifique à BGP. Ne lancez pas Quagga tout de suite, nous allons commencer par le configurer.

La configuration de base est assez simple (fichier zebra.conf) :

!
hostname mon_petit_routeur.mon_fai_a_moi.fr
password mot_de_passe
enable password second_mot_de_passe
!
interface em0
ip address 172.16.0.129/25
!
interface em1
ip address 80.67.169.42/30
!
interface em2
!
interface lo0
ip address 172.16.0.1/32
!
line vty

Trois groupes de lignes sont à remarquer :

• le nom de l’hôte, qui correspond généralement au nom donné à la machine elle-même.
• les mots de passe, utilisés pour verrouiller l’accès d’administration du routeur (enable étant le mode super_utilisateur_qui_peut_tout_casser).
• la liste des interface réseau du routeur avec les adresses IP qui leur sont associées (ici, il y en a trois plus le loopback).

Nota : votre installation par défaut contiendra surement plus de directives de configuration que ça, vérifiez simplement que celles-ci sont bien présentes, ça suffira amplement pour commencer.

Concernant les adresses IP, vous remarquerez que l’interface em0 a une adresse IP en début du second bloc de votre classe (vos utilisateurs auront donc des IP comprises entre 172.16.0.130 et 172.16.0.254 et utiliseront 172.16.0.129 comme route par défaut), que l’em1 a une IP du fournisseur sur un petit bloc /30 et que le loopback a une IP réelle à vous (dans le premier bloc de votre classe). Le loopback possède également bien sur la célèbre 127.0.0.1 mais on y ajoute également une IP du réseau pour pouvoir parler au routeur depuis notre réseau sur une interface qui existera toujours quelle que soit les interconnexions qui apparaitront ou disparaitront avec le temps.

Du coté de la configuration BGP, ça se corse un peu mais pas tant que ça :

!
hostname mon_petit_routeur.mon_fai_a_moi.fr
password mot_de_passe
enable password second_mot_de_passe
!
ip route 172.16.0.128/25 em0
!
router bgp 64512
bgp router-id 172.16.0.1
   network 172.16.0.0 mask 255.255.255.0
   neighbor 80.67.169.41 remote-as 20766
   neighbor 80.67.169.41 description Gitoyen
   neighbor 80.67.169.41 ebgp-multihop 255
   neighbor 80.67.169.41 activate
!

Qu’avons-nous la ?

• Les trois même lignes que le début du zebra.conf qui ont la même utilité
• La déclaration d’une route statique vers votre classe IP sur l’interface connecté à vos utilisateurs (bien qu’elle devrait déjà être gérée par le système d’exploitation, ça ne fait pas de mal de l’ajouter, ne serait-ce que pour la clarté)
• La déclaration d’une instance BGP précisant votre numéro d’AS
• L’adresse IP d’identification du routeur BGP (la même que celle que vous avez indiqué sur le loopback dans le zebra.conf)
• La déclaration du bloc d’IP que vous gérez et qui sera donc envoyé à vos voisins BGP
• La déclaration de votre premier voisin BGP contenant l’adresse IP indiquée par votre fournisseur, son numéro d’AS, une description texte qui n’a d’intérêt que pour vous y retrouver dans la configuration et une déclaration ebgp-multihop autorisant d’établir la connexion BGP avec un routeur qui n’est pas immédiatement adjacent (votre fournisseur vous dira s’il est nécessaire d’activer cette option)

Ça y est, vous pouvez lancer Quagga. Si tout fonctionne comme prévu, quelques secondes après le lancement vous devriez voir gonfler la table de routage de votre machine (netstat -rn) jusqu’à atteindre quelques 322000 routes différentes et Internet devrait être au courant de l’existence de votre bloc 172.16.0.0/24, vos utilisateurs devraient donc pouvoir accéder à Internet.

Comment aller un peu plus loin ? Connectez-vous à votre routeur BGP en telnet

telnet 172.16.0.1 bgpd
Connected to mon_routeur.mon_fai_a_moi.fr
Escape character is '^]'.

Hello, this is Quagga (version 0.99.7).
Copyright 1996-2005 Kunihiro Ishiguro, et al.

User Access Verification

Password:
mon_routeur.mon_fai_a_moi.fr>

Vous y êtes. Le mot de passe tapé correspond évidemment à celui que vous avez indiqué dans le début du fichier bgpd.conf. Nous allons commencer par vérifier si votre session BGP a bien été établie :

mon_routeur.mon_fai_a_moi.fr> show ip bgp sum

BGP router identifier 172.16.0.1, local AS number 64512
332657 BGP AS-PATH entries
0 BGP community entries

Neighbor        V    AS MsgRcvd MsgSent   TblVer  InQ OutQ Up/Down  State/PfxRcd
80.67.169.41    4 20766   10525   10232        0    0    0      24m        332657

Total number of neighbors 1

Bingo, tout fonctionne à priori, puisque notre voisin 80.67.169.41 semble connecté et nous envoie tout plein de routes. Nous allons en analyser une de plus près (en prenant par exemple l’une des IP de www.orange.fr)

mon_routeur.mon_fai_a_moi.fr> show ip bgp 193.252.122.103

BGP routing table entry for 193.252.122.0/24
Paths: (1 available, best #1, table Default-IP-Routing-Table)
  20766 5511 24600
    80.67.169.41 from 80.67.169.41 (80.67.169.41)
      Origin IGP, localpref 100, valid, external, best
      Last update: Sun Aug 01 12:13:51 2010

On apprends donc que l’ip de www.orange.fr appartient à un bloc /24, que nous n’avons qu’un seul chemin connu pour y aller (normal, nous n’avons qu’un seul fournisseur pour l’instant), que l’origine de ce bloc d’IP est dans l’AS 24600 et qu’il faut passer par l’AS 5511 après celui de notre fournisseur pour y aller. D’autres informations suivent dont vous trouverez l’explication en fouillant un peu.

BGP dispose d’une syntaxe de configuration très riche permettant de faire des choses hors du commun sans pour autant que beaucoup de documentations n’existent sur le sujet. N’hésitez pas a poser vos questions, j’essaierai d’étoffer les exemples avec le temps et de détailler les explications qui sont pour l’instant plus que succinctes.

Ceci dit, d’après quelques spécialistes en droit, ce genre de recours met entre 1 et 3 ans a aboutir. Il reste donc tout ce qui semble fort anticonstitutionnel dans le texte actuellement en vigueur (voir le résumé des travaux de La Quadrature sur le site PCInpact)

Malgré le fait que les “ressources rares” (voir ci dessous) ne soient pas gérées par la très célèbre administration française, c’est tout de même un sacré parcours du combattant.

Pour commencer, de quoi parle-t-on ? D’adresses IP et de numéros de systèmes autonomes. Il ne peut pas y avoir, en tout cas sur les blocs publics, deux machines qui ont la même adresse sur Internet. Si c’était le cas, comment savoir qui parle à qui ? Il en va de même pour les numéros d’AS, d’ou la dénomination de “ressources rares”

Pour gérer l’attribution de ces ressources, l’IANA délègue des blocs aux registres régionaux (RIR). Pour l’Europe (au sens large du terme), c’est au RIPE qu’on a affaire (voir mon article sur la pénurie d’adresses pour comprendre les mécanisme d’allocation successif jusqu’à l’utilisateur final)

Avec le RIPE, vous avez deux moyens de fonctionnement :

• Vous voulez être indépendant, pouvoir ouvrir votre bouche lorsqu’il s’agit de décider quelque chose et participer a l’effort général pour faire d’Internet un monde meilleur, vous devenez LIR (Local Internet Registry), membre du RIPE NCC qui, moyennant une obole annuelle variant de 1300 à 5500 € en fonction du nombre de ressources utilisées plus une petite prime à la souscription de 2000 €, vous donne les clés pour obtenir des blocs d’adresses IP pour les redistribuer à vos clients (oui, l’indépendance, ça coute cher)
• Vous trouvez un fournisseur qui est déjà LIR et qui paie déjà tout ça. Il va être a même de vous procurer un numéro d’AS et des IP qui n’auront, techniquement, aucune différence par rapport à ce que vous auriez obtennu en devenant LIR. Le distingo est au niveau administratif, en optant pour ce système détourné, vous ne pouvez théoriquement pas allouer ces IP a vos clients mais uniquement pour votre propre usage. Dans les faits, les RIR n’ont quasiment aucun moyen de savoir ce que vous faites des IP.

Vous voila armé administrativement. Un bloc de quelques IP vous aura été alloué (de quoi tenir 6 mois de croissance selon les prévisions que vous aurez fourni au RIPE, avec, de mémoire, un minimum de 1024 adresses) ainsi qu’un numéro d’AS vous permettant de voler de vos propres ailes sur le réseau. Le secret, dans la communication avec le RIPE, c’est l’honnêteté, la transparence et les bonnes prévisions.

Une fois que tout ceci est bordé, il faut encore négocier avec vos fournisseurs de connectivité pour qu’ils acceptent de parler BGP avec vous et d’établir une facturation à l’utilisation plutôt qu’au forfait. Autant vous le dire vite, aucun des trois grands FAI nationaux ne propose ce genre de prestation sur de l’ADSL, ce qui réduit pas mal, au moment ou on parle, le champ des possibilités en matière de redondance (mais on y travaille, entre autre via la fédération FDN)

Vous pouvez vous rendre sur mon billet BGP, quand, pourquoi et comment ? pour commencer des choses plus concrètes en matière  de configuration BGP une fois que vous avez les ressources rares idoines à votre disposition.

Dans le prochain épisode, je vous expliquerais comment aller chercher de l’Internet haut débit pour pouvoir brancher votre FAI associatif local a autre chose que des liens ADSL.

Dans la vrai vie, quand vous signez un document avec votre stylo, toute personne qui va voir le document avec la signature en bas va, par défaut, considérer que ce n’est pas un faux, et pour les plus paranoïaques, iront verifier dans un fichier quelconque pour comparer les deux signatures.

Dans le monde de l’informatique, une signature est une suite imbitable de chiffres et de lettres et il ne suffit pas d’enchainer des chiffres et des lettres après un message pour faire croire au destinataire que le message est signé. Pas non plus question d’utiliser toujours la même suite de caractères si on communique avec plusieurs personnes, n’importe qui pouvant la copier/coller dans un email.

On utilise donc un système né presque en même temps qu’Internet qui est constitué de clés asymétriques (voir l’article Wikipedia sur le sujet). De façon très grossière, ce que l’une des deux clés a chiffré ne pourra être déchiffré que par l’autre clé. Le proprietaire de la clé asymétrique garde la partie privée de la clé pour lui et distribue la partie publique.

Partant de la, l’utilisation première de ce système est de permettre à quiconque de chiffrer un message en utilisant la clé publique de son correspondant pour empêcher quiconque intercepterai le message en question de le lire, puisque seul le titulaire de la clé privée correspondante pourra déchiffrer le message.

Mais on peut aussi l’utiliser pour signer, si on passe un message sans sa propre clé privée, seul la clé publique pourra le déchiffrer. C’est a dire que n’importe qui pourra le faire mais cela veut aussi dire que si la personne qui le fait est certaine que la clé publique qu’elle détient viens bien de vous, elle s’assure par la même occasion que le message en question est bien de vous aussi.

Les chiffrements et signatures de messages sont très utilisées par email ou on procède généralement a des cérémonie de signature ou chacun vient avec sa pièce d’identité pour attester qu’il est bien qui il prétend être et fourni aux autres participants le moyen de retrouver a coup sur sa clé publique.

Mais c’est aussi utilisé chaque jour pour le web, le protocole https:// bien connu des boutiques en lignes et autres banques émet, au début de la connexion, la clé publique qui permettra aux visiteurs de déchiffrer les pages web et de chiffrer les réponses envoyées au serveur (cette clé étant elle-même signée par une autre clé dans laquelle le navigateur a, par défaut, confiance)

Mais on peut aussi faire des choses très rigolotes avec les signatures. Imaginez que je vous envoie un email en le signant (attention, ça fait du bruit) :

----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Oh le joli mail signé !
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (MingW32)
Comment: Using GnuPG with Mozilla

iQEcBAEBAgAGBQJMUzq5AAoJEC1hvjYyHGwWdIIH/RwaeeORO5
7av8zSYX6kCoSpElpCZuLZRbLeOSdaKCa+likLvtF61rjXOz+1
L39/RthSf4wvUDdDsiBmmXfxHpkCsotpV873PJBikuPl3pSx+U
CQMXiDS9QO4adH6sjupfE4igV8YniY9+abZoGW92wqaNkeM6DV
ElD1ykFHUhzkO0/zX0CkFKuIiC8A38TJQx8J+hd2d0Q/U5py0f
UWbi3xzKQerh4N5KPNM6EUIWtvmlCZjCeM8HOCn6h8q0es4ffe
FaBlmuognbDcCwNCzGTrbw+V0aH7N8QV+pv2labVjILoJEYpe5
qG9wlYBHOlCMol05AIwlrdqIlDRfl61oE==0fax
-----END PGP SIGNATURE-----

et que vous souhaitez le renvoyer a votre patron en y ajoutant vous même votre propre signature. Votre patron recevra donc un texte avec deux signatures. La votre qu’il connait puisqu’il a votre clé publique et la mienne qu’il ne connait pas mais a qui il va quand même faire confiance puisqu’il a confiance en vous.

Nous y sommes, c’est le principe de fonctionnement de DNSSEC (voir mon article sur comment fonctionne le DNS si vous êtes perdus maintenant). Sur mon serveur, je vais creer une signature pour mes petits noms à moi que je vais fournir à Gandi qui s’occupe d’enregistrer mon nom de domaine et qui sait que je suis bien moi.

A partir de la, Gandi va faire en sorte que ma signature spyou.org soit signée par org qui elle-même va être signée par la signature racine, celle la même dont on parle depuis le début de la semaine et qui vient de pointer le bout de son nez le 15 juillet dernier.

Une personne qui va donc venir demander à mon serveur DNS “qui est blog.spyou.org” va pouvoir suivre la succession de signatures imbriquées les unes dans les autres jusqu’à la racine qui est le seul point de confiance que tout le monde aura ces prochaines années.

Vous me demanderez sans doute “mais avant, on faisait comment ?” ben on faisait pas, on avait bêtement et aveuglément confiance dans la réponse reçue lorsqu’on posait une question et tout un tas de gens pouvaient faire des choses pas très nettes au milieu. Qu’ils se rassurent, vu l’engouement général pour DNSSEC actuellement, ils ont encore de beaux jours devant eux.

L’autre question qu’on me pose souvent, c’est “c’est vraiment sécurisé”. La réponse se trouve dans les mathématiques, plus précisément dans les fonction à sens unique. Les clés de chiffrement asymétriques utilisent une simple factorisation de nombre premiers. Par exemple, 953 et 1409 sont deux nombre premiers et constituent votre clé privée. Votre clé publique, c’est 953*1409=1342777. Les mathématiques d’aujourd’hui ne savent pas retrouver les deux nombres premiers multipliés dans 1342777. (en vérité, c’est faisable avec deux nombres juste en tâtonnant, mais les clés utilisées en contiennent beaucoup plus)

C’est en gros titre dans quelques canards en ligne depuis le début de la semaine. Il parait que 7 gugusses (pas du tout dans un garage) ont les clés pour redémarrer internet en cas de soucis. Même Gizmodo, qui d’habitude recherche un peu de background technique pour ses articles a relayé la nouvelle sans chercher plus loin.

Alors c’est quoi, cette histoire de 7 gugusses qui peuvent redémarrer internet ? D’abord, ça a un rapport avec le poisson d’avril de SVJ de cette année qui prédisait un arrêt d’Internet le 5 mai dernier (arrêt qui n’a pas eu lieu .. Enfin, pas partout). Ce jour la, les 13 serveurs racine DNS mondiaux ont commencé a fournir, en plus des réponses aux questions qui leur étaient posées, des signature numériques, permettant de s’assurer que les réponses étaient réellement valide et qu’un attaquant ne s’était pas glissé dans la communication.

Mais pour qu’un système de signature soit valable, il faut pouvoir vérifier cette signature. C’est la qu’interviennent les 7 gugusses avec leur carte à puce. Ils ont, sur les fameuses cartes en question, une partie de la clé permettant de régénérer la signature principale à laquelle tout le monde est censé faire confiance.

Cette clé a été générée le 16 juin pour la première fois et est utilisable réellement depuis le 15 juillet.

Seulement voila :

• Il faudrait déjà que tout le monde lui fasse confiance, ce qui est aujourd’hui loin d’être le cas
• Il faudrait ensuite que tous les serveurs DNS du monde soient configurés pour utiliser DNSSEC et rejeter toute information invalide ne correspondant pas a cette clé (ou a une autre située plus loin dans la chaine)

Il est possible que, d’ici quelques années, ce soit le cas pour la majorité des serveurs DNS, mais a l’heure ou l’on parle, les 7 gugusses et leurs cartes à puce ont autant de pouvoir sur le bon fonctionnement d’Internet que mon chat sur le problème des embouteillages sur le periph parisien. Et si un problème devait arriver avec la clé en question, il y a fort à parier que le temps que 5 de ces 7 gars se réunissent pour définir une nouvelle clé, tous les administrateurs de serveurs DNS aient purement stoppé la vérification des signature DNSSEC pour assurer un fonctionnement correct de leurs infrastructures.

A titre d’info, les heureux élus sont Bevil Wooding, Dan Kaminsky, Jiankang Yao, Moussa Guebre, Norm Ritchie, Ondřej Surý et Paul Kane. Ce sont les 7 “Recovery Key Share Holders”. Il y a aussi 21 crypto officer et 6 backup recovery key share holders. Et parmis ces 34 personnes qui sont censées avoir un rôle crucial dans la bonne tenue d’Internet, on a pas un seul français … mais depuis le fiasco du lancement du portail france.fr le 14 juillet dernier, on sait bien que les français sont nuls en internet :)

Edit : Le recrutement de ces 34 personnes s’est fait sur la base de la réputation et des écrits en matière d’internet et de sécurité. Quelques français auraient pu être candidat, mais le revers de la médaille de cette glorieuse position, c’est que l’ensemble des frais dévolus a cette fonction sont pour la pomme de la personne concerné. Au final, ça fait joli sur une carte de visite, mais c’est a peu près tout !

Edit2 : comme a son habitude, bortz a sorti un article plutôt bien fait sur le sujet avec une description plus détaillée du pourquoi du comment de la mission des 7 RKSH et des autres TCR dans toute cette affaire.

Edit3 : on me signale, a juste titre, que les 7 gugusses n’ont pas le moyen de définir une nouvelle clé (c’est le rôle des crypto officers), mais simplement celui de déterrer la clé actuellement utilisée si jamais les systèmes qui la détiennent en état de marche l’oublient par inadvertance.

Cet article est protégé par mot de passe. Pour le lire, veuillez saisir votre mot de passe ci-dessous :

Mot de passe :

Ce coup ci, je vise au moins cher, 35 Euro chez Conrad avec, en prime, un petit écran déporté discret pour le conducteur. Ça se passe ici pour ceux qui sont intéressés. Il est théoriquement vendu pour 50cm minimum au sol alors que le MCV est un poil en dessous, mais ça s’est plutôt bien passé pour moi.

Avant d’aller plus loin, le tuto d’origine est signé GGH13 et peut être trouvé ici (je lui ai piqué une photo que j’avais oublié de prendre).

J’avais déjà enlevé l’écran, mais voila le contenu de la boite livrée. Il y a le foret qui va bien pour faire les trous à la bonne taille dans le pare-choc.

Pour le reste, il vous faut :

• Un tournevis plat moyen
• Un torx 20 et un 30
• Une clé de 10
• Et un fer à souder
• Un ciseau à bois
• Un peu de scotch de peintre
• Une demi journée devant vous
• Un aide de camp, c’est plus facile à deux
• De la place pour circuler autour de la voiture

Pour démarrer, il faut reperer de quel coté s’allume votre feu de marche arrière. C’est a droite quand vous faites face à l’arrière de la voiture, mais il vaut mieux vérifier.

Ensuite, retirez les deux blocs optiques arrière. Vous trouverez, sur la gauche et la droite du coffre, des embouts plastiques à dévisser, un en bas et un en haut à moitié caché sous la garniture au dessus de la moquette.

Il y a ensuite 2 vis torx 20 à enlever de chaque coté du coffre sur les parties remontantes du pare-choc. Vous remarquerez un petit clip qui retient le pare-choc juste au dessus.

Ensuite, dans les passage de roues, si vous ne voulez pas vous emmerder avec la garniture intérieure, il vaut mieux l’enlever. Deux vis torx 20 sur le tour de la roue et deux clip plastique au fond sur lesquels il suffit de tirer après un tour de tournevis et vous pouvez l’enlever.

Ce qui vous donne accès au boulon qui maintient cette partie du pare-choc au châssis de la voiture. Vous remarquerez une petite encoche sur le coté du parechoc qui vous permet de glisser votre clé de 10 pour l’enlever, ça va tout seul.

Il y a ensuite deux séries de torx 30 en haut (juste en dessous du joint des portières) et en bas (carrément sous la voiture) du pare-choc :

Arrivé la, vous pouvez théoriquement décrocher votre pare-choc. Pensez à mettre un grand carton en dessous pour éviter de le rayer (pas comme moi, quoi) :

Pour faire ça en douceur, commencez par tirer un peu vers le bas dans le passage de roue, juste à coté de la ou vous avez retiré le boulon avec la clé de 10, puis un peu plus à l’arrière en en tirant vers vous, vous trouverez 3 maintiens plastique, puis ça devrait venir tout seul.

C’est maintenant que ça devient drôle. En fonction du radar que vous aurez acheté, vous aurez un écartement maximum et minimum entre chaque capteurs. Pour ma part, j’ai opté pour 21cm à gauche et à droite du centre du parechoc (pour vous aider, l’un des torx du dessous est tout pile au milieu), puis 20 centimètres entre ces capteurs la et les deux sur les cotés (ce qui les positionne presque à la verticale des catadioptre du parechoc, si le votre est équipé).

Il y a donc 42 centimètres entre les deux capteurs du milieu et 40 centimètres entre ceux du milieu et ceux des cotés. Pourquoi cette mesure ? parce que le parechoc n’est pas creu et qu’il serait dommage d’avoir a l’évider complètement. Si vous regardez bien derrière, vous verrez des alvéoles plastique. Nos deux capteurs du milieu vont chacun tomber pile au milieu d’une de ces alvéoles. Les deux latéraux, quand à eux, se retrouveront dans les grosses alvéoles latérales dans lesquelles il faudra tailler un peu.

Pour ne pas vous rater, je vous conseille vivement un coup de scotch de peintre sur le pare-choc pour prendre vos mesures et griffonner tranquillement.

Ensuite, vous attaquez mollo avec le foret fourni en commençant par les deux du milieu :

Puis sur les cotés. Pas de panique, vous n’irez pas au bout, une fois la moitié du foret enfoncé dans le trou, sortez le et finissez au ciseau à bois, vous êtes arrivé dans les alvéoles arrières du pare-choc.

Une fois que tout est bien dégagé (pensez à la profondeur de vos capteurs), vous pouvez les enfoncer dans les trous. Attention à l’ordre, certains kit de radar de recul ont des étiquettes sur chaque capteur qui doivent être mis chacun dans le bon trou. Regardez la doc.

Fixez tous les fils ensemble avec des colliers plastique sur le bord intérieur des alvéoles et en les faisant partir du coté ou vous avez le phare de recul qui s’allume (sur ma photo, ça part dans le mauvais sens, notez)

Arrive ensuite la partie ou il faut de petites mains menues et agiles. Repérez le trou carré dans la carrosserie situé tout en bas, juste en dessous de la grille d’aération. Vous pouvez faire un petit trou sur le coté du cache pour pouvoir le remettre une fois que vos fils y seront passés (Merci GGH13 pour la photo) :

Si vous passez le bras dans ce trou, vous remarquerez d’une part que c’est bien graissé mais aussi que vous vous retrouvez assez vite dans le trou carré d’ou sort le connecteur de feu arrière. Commencez donc par y remonter vos quatre fils du pare-choc, ce qui va vous permettre de le remonter proprement.

Au fur et a mesure que vous remettez le pare-choc en place, tirez les fils pour avoir tout le mou disponible, ça ne sera pas de trop. Avant de commencer à revisser le pare-choc (ordre inverse par rapport au démontage de tout à l’heure), jeter un oeil en dessous voir si aucun fil ne dépasse.

Continuons dans l’agilité. Si vous tirez doucement sur la moquette qui garni le tour de l’endroit ou est rangé le kit de secours en cas de crevaison, vous allez découvrir l’enrouleur des ceintures de sécurité (sur le modèle 7 places, je n’ai jamais démonté un 5, mais j’imagine qu’il y a également un trou à cet endroit là). Si vous allez y farfouiller avec les doigts, vous retrouverez le cable d’alimentation du feu arrière. C’est par la que nous allons donc rentrer nos fils dans la voiture.

C’est le moment idéal pour passer l’alimentation de votre radar de recul qui viendra se brancher sur la cosse de la photo ci-dessus. Pour réussir ca, je me suis fabriqué un petit outil magique avec deux colliers plastique (en fond de photo les câbles arrivant par le-dit trou) :

Vous voila donc normalement dans le coin arrière droit de votre coffre avec les 4 fils venant des capteurs du pare-choc et le câble d’alimentation. C’est le moment de se détendre un peu et de trouver l’endroit idéal pour mettre le petit écran à coté du conducteur. J’ai opté pour le bas du pare brise, entre l’arrondi du tableau de bord et l’endroit ou vient se loger le GPS.  Vous pouvez aussi le coller sur le rétroviseur ou carrément sur le dessus du tableau de bord.

Pour cacher le fil, il suffit de le pousser doucement avec un tournevis jusqu’à ce qu’il soit caché derrière le joint du parebrise. Attention, à l’extrémité du pare brise, le joint en question aura tendance a s’enfoncer, il faut donc y aller doucement et le récupérer pour le remettre en place. J’ai eu la flemme de démonter la garniture sur le coté du pare brise, j’ai donc laissé le câble apparent à cet endroit, mais il doit être possible de le cacher complètement.

Puis, vous pouvez descendre le long du joint de la portière, puis repasser sous la moquette, puis le joint de la portière arrière, puis la moquette jusqu’au fond du coffre.

Vous êtes presque prêts. Il faut maintenant brancher vos 6 fils à la centrale et la cacher. Je l’ai rentrée sous la garniture, a coté du dérouleur de ceinture, et j’ai un peu forcé pour la caler dedans et qu’elle ne bouge pas. Attention à ne pas mettre les fils coté dérouleur, histoire qu’ils ne soient pas brulés si une brute tire fort sur la ceinture.

Reste l’épineux problème de l’alimentation de la centrale. Certains modèles de radars (les Valéo par exemple) proposent des clips à installer sur les fils du phare arrière, mais dans les modèles low cost, il faut se débrouiller. Vous avez le choix des armes : les dominos, le scotch d’électricien, ou la méthode suggérée par GGH13 : grossir les fils d’alimentation de la centrale au fer à souder et les inserer dans les cosse.

J’ai fais méthode scotch d’électricien pour la première installation il y a 3 ans, mais cette année, j’ai décidé d’opter pour la méthode fer a souder et étain. Ça permet de retirer le radar sans laisser de trace (si ce ne sont les trous dans le parechoc ..) Pour info, le noir c’est la masse et le feu de recul est de couleur beige.

Il ne vous reste plus qu’a mettre la clé dans le contact, à passer la marche arrière et a demander à votre aide de camp d’aller se balader derrière la voiture pour voir si tout va bien.

Bonne route et garez vous bien ! :)

Dans l’exemple précédent vous avez récupérer une connexion à internet chez un opérateur déjà existant qui, bien que fournissant des facilités techniques peu communes, vous rends dépendant de son bon vouloir en matière de ce a quoi vous aurez accès et comment. Il y a peu de risque étant donner le fournisseur, mais le but étant de créer de bout en bout son propre fai, il faudra bien que vous voliez de vos propres ailes un jour.

Vous avez relié a votre adsl FDN trois de vos voisins en plus de votre étudiant fauché, chacun paie 10 euro par mois pour financer l’abonnement ADSL et les 10 euro de trop chaque mois vous servent à cagnotter un peu pour de futurs projets d’extension du réseau.

Un voisin un peu plus éloigné a fait la même chose, et même si vous et lui êtes très jaloux de la réussite de l’autre, il faut vous rendre a l’évidence, vos étudiants respectifs utilisent vos deux réseaux pour s’échanger des films et ce lourd trafic handicape tous les utilisateurs.

Que faire, alors ? Relier vos deux réseaux directement, ainsi, les films de vos étudiants n’auront plus a transiter par les liens adsl et seront, en prime, échangés bien plus rapidement. Vous tirez donc un câble entre “voisins opérateurs” ou faites un pont wifi.

Bravo, vous venez, à votre petite échèle, de fabriquer internet en connectant deux réseaux directement entre eux. Que permet cette connexion directe ? Bien sur vos étudiants sont aux anges et peuvent s’échanger leurs films en 10minutes chrono, c’est le principe du peering : deux réseaux distincts s’interconnecte directement pour echanger le trafic qui va de l’un a l’autre.

Mais surtout, si la liaison ADSL de l’autre réseau tombe en panne, il va pouvoir utiliser la votre et inversement. C’est le principe du transit, vous utilisez un opérateur qui vous assure une liaison avec l’ensemble d’internet. FDN peut agir en tant que fournisseur de transit puisqu’il dispose lui même d’une vue de l’ensemble d’internet mais du coup, vous en bénéficiez aussi et pouvez vous même agir comme fournisseur de transit.

Vous vous doutez bien que ce n’est pas si trivial, et voila pourquoi : avec votre connexion FDN, vous avez reçu un certain nombre d’adresses IP qui appartiennent a FDN. Si votre voisin a, lui aussi, une connexion FDN, tout ira bien, il suffira à FDN de dire “tel bloc d’adresse va sur tel lien adsl sauf si il est HS, dans ce cas il ira sur tel autre” mais c’est pas vraiment le Pérou question redondance et indépendance. Si votre voisin a un lien chez un autre opérateur, FDN ne pourra pas dire “ce bloc d’IP a moi est joignable par tel autre opérateur” pour la simple raison qu’un bloc d’IP ne peut être attaché qu’a un seul opérateur à la fois.

C’est à ce moment que vous devez devenir opérateur pour que votre réseau gère ses propres blocs d’adresses IP. Pas de grands changements structuraux a votre réseau si ce n’est que vous devrez ajouter une petite boite avant chaque sortie vers l’extérieur pour pouvoir parler le langage magique d’internet : BGP (voir mon article détaillé sur le fonctionnement de BGP). Les gros opérateurs mettent de grosses boites à plusieurs dizaines de milliers d’euro pièce, mais pour la taille du FAI qui nous préoccupe aujourd’hui, un simple PC fera très bien l’affaire.

A partir de ce moment, c’est vous qui direz à FDN “coucou, je suis le réseau autonome bidule et je gère tels blocs d’adresses.” vous le direz aussi à votre voisin, ce qui préservera votre capacité à discuter entre vous directement, mais qui,  surtout, vous permettra de profiter mutuellement de vos opérateurs de transit respectifs de façon complètement automatique.

Du coup, si FDN est cassé, vous serez toujours joignable. Mieux, même, si vous décidez que FDN c’est rien que des gros cons et que vous quittez l’association, vous n’aurez qu’à installer le lien de votre nouvel opérateur et couper celui de FDN, vos adresses IP n’auront pas changé et vos utilisateurs n’y auront vu presque que du feu.

Dans la pratique, maintenant, comment fait-on pour devenir operateur, avoir des ip, etc … ? Ce sera l’objet du 4e volet.

Dans ce cas, pas de zone blanche, pas d’impossibilité chronique pour la personne en question de s’abonner à l’ADSL. Il est juste fauché comme les blés mais vous ne souhaitez tout de même pas lui fournir du wifi sur votre adresse IP publique à vous, vous savez très bien que ces satanés étudiants sont tous des pirates nés et qu’ils sont dangereux.

Etant donné la petite taille du fournisseur d’accès que vous vous apprêtez à créer, vous ne pouvez pas investir des milliers d’euro dans une arrivée fibre optique, mais nous allons quand même poser les briques de base qui vous permettrons, si votre petite affaire grossi, de pouvoir le faire plus tard.

Etape 1 - La connexion avec Internet

Pour le démarrage, faisons simple, vous pouvez vous contenter d’un lien ADSL qui sera partagé entre tous les utilisateurs (vous et votre étudiant du fond du jardin, donc). Deux solutions envisageables en fonction de vos envies, de vos connaissances techniques et de vos ressources :

• soit vous prenez un abonnement chez FDN en demandant explicitement plusieurs adresses IP publiques (moins de 31 euro par mois d’ADSL + 13 euro de ligne de téléphone chez France Télécom) et un modem/routeur type Linksys WAG120N qui saura très bien gérer ce groupe d’adresses IP (~50 Euro)
• soit, si vous ne voulez pas vous séparer de votre fournisseur d’accès actuel, vous prenez un service de VPN (FDN réfléchi actuellement à la mise en place de ce genre de chose, en attendant, si vous êtes vraiment motivés pour tester le principe, contactez-moi) qui vous permettra d’obtenir un circuit virtuel distribuant plusieurs adresses IP. Dans ce cas, vous aurez besoin d’une petite boite supplémentaire chez vous qui établira ce circuit pour encapsuler dedans le trafic de votre étudiant. (j’en ai une en projet pour pas cher, si des gens sont intéressés)

Nous verrons plus tard les tenants et les aboutissants de la création d’un opérateur à part entière pour votre petit FAI. Ce n’est pas financièrement viable avant quelques dizaines d’utilisateurs.

Etape 2 – La connexion locale

Si vous avez prévu le coup pendant vos travaux, vous avez déjà du RJ45 qui dessert le studio de votre étudiant. Vous branchez donc simplement l’arrivée du câble chez vous au modem ou à la petite boite et, de l’autre coté, au PC de votre étudiant.

Si vous n’avez pas prévu le coup ou que la distance dépasse 100 mètres, vous avez le choix entre :

• de la fibre optique à poser en aérien ou à enterrer dans un fourreau (comptez ~1 euro par mètre de fibre pour le matériel à acheter si vous faites les travaux vous même) puis un switch avec un port optique (~200 Euro pour un matériel correct) de chaque coté.
• du wifi avec une antenne efficace de chaque cotée (budget entre 15 et 300 euro) et un point d’accès wifi dans le studio qui permettra au locataire de brancher le câble de son ordinateur de façon normale.

Etape 3 – Les services

L’avantage de vous reposer sur un FAI associatif déjà existant est de bénéficier des services qu’il fourni. Server DNS, serveur de mail, hébergement, tout est déjà prêt, et de bonnes âmes vous aideront à prendre votre indépendance si vous le souhaitez. Car une fois que votre lien avec le FAI est établi, rien ne vous empêche (chez FDN en tout cas, et plus tard lorsque vous serez un opérateur à part entière) d’héberger vos services en interne pour ne plus utiliser que la liaison fournie par un autre et aucun autre service.

Etape 4 – Et après ?

Après  ? Ben l’air de rien, vous avez déjà une première base pour fournir de l’Internet à d’autres gens qu’a votre étudiant. Il suffit de tirer d’autres câbles avec les voisins ou d’installer des connexions wifi plus longues pour, par exemple, commencer a desservir le petit village d’a coté qui, lui, n’a pas accès à l’ADSL.

Arrivera un moment ou, si vous avez 25 utilisateurs sur votre connexion ADSL, certains vous diront que ça rame. Qu’a cela ne tienne, il suffit d’ajouter une nouvelle ligne ADSL et de répartir les utilisateurs ou, mieux, d’agréger les deux lignes pour doubler la capacité.

Arrivera peut-être même un moment ou votre zone de couverture sera suffisamment élargie pour toucher deux plaques ADSL différentes et proposer aux gens qui sont entre les deux une connexion répartie entre ces deux plaques pour plus de redondance.

Et enfin, arrivera peut-être un jour ou une délégation de service publique concernant la fibre sera signée par le conseil général du coin avec la possibilité de s’y raccorder, vous troquerez alors votre batterie de modem routeurs ADSL contre une arrivée fibre et ce sera le moment rêvé pour créer un opérateur à part entière, objet du prochain article.

L’important, c’est d’arriver à convaincre. Convaincre les gens que confectionner soi-même son Internet, même si ça prends du temps et de l’argent, c’est mieux, et convaincre ceux qui vont monter dans le bateau avec vous qu’il faudra s’investir, parce que le jour ou l’antenne wifi qui relie Trifouilly sous Jouarre à Banana les Flots tombera de son poteau, il faudra bien que quelqu’un aille la raccrocher. Ce sont la tous les charmes et emmerdes du monde associatif en général qui sont appliqués à l’Internet. Ces gens la ne pourront plus dire “c’est la faute de …”, il faut leur faire comprendre dès le début !

Le froid n’est, finalement, qu’une forme parmi d’autre d’énergie. Comprendre qu’il faut du courant électrique pour faire du froid. Et il en faut beaucoup. Au final, à quelques approximations près, une machine qui consomme 300 watts d’énergie va générer 300 watts de chaleur qu’il faudra refroidir ou évacuer.

Anciennement, on dépensait souvent plus d’énergie en froid qu’en alimentation des machines. On mesure l’efficacité d’un datacenter à son PUE (Power Usage Effectiveness), à savoir la quantité d’énergie consommée de façon globale par le bâtiment divisée par la quantité d’énergie utile réellement consommée par les équipements. Le PUE moyen actuel est d’environ 2, ce qui veut dire qu’on utilise encore la moitié de l’énergie à autre chose que l’alimentation des équipements actifs du datacenter.

Les datacenter les plus performants affichent un PUE de 1.20 à 1.30, et même jusqu’à 1.10 avec certaines méthodes peu catholiques mais très efficaces. Alors comment, au final, faut-il faire pour refroidir efficacement un datacenter ?

Il faut d’abord fixer une cible de température. Ça ne sert à rien de faire cracher 10°C à une climatisation, plus la température à l’entrée sera élevée, moins elle arrivera à la réduire. 18 à 20°C comme cible de température ambiante à l’avant d’un rack, c’est bien.

Il faut ensuite éviter de refroidir n’importe quoi. Lorsqu’on installe des serveurs dans un rack, sauf boitier particulièrement mal fait, l’air rentre par l’avant et ressort par l’arrière. Il est donc naturel de climatiser l’avant d’un rack, ça ne sert strictement à rien de climatiser l’arrière. Au mieux, il faut simplement évacuer l’air chaud, mais depenser de l’energie pour ramener à 18°C un flux d’air qui est a 30°C, c’est idiot. Autant le cracher dehors et en reprendre du plus frais (sauf si, biensur, l’air ambiant extérieur est plus chaud).

Cet air frais, on le canalise dans des “cold corridors” (couloirs froids) qui sont des espaces fermés entre deux rangées de baies. Les arrières de baies sont, quant à eux, a l’air libre pour laisser s’évacuer la chaleur dans la salle puis parfois à l’extérieur au moyen d’extracteurs.

Tiens, puisqu’on parle de dehors. Sous nos latitude tempérées, il fait bien souvent plus frais dehors qu’à l’arrière d’un serveur. Il fait même majoritairement moins de 20°C dehors. C’est le principe du FreeCooling de plus en plus utilisé en conjonction avec des climatisation classique. Quand la température extérieure est plus basse que la cible de température du datacenter, on se borne a faire entrer l’air extérieur dans le bâtiment. Un gros ventilateur, ça consomme beaucoup moins qu’une climatisation.

Quelle est, enfin, la solution la plus efficace ? C’est le refroidissement à l’eau. Très peu d’acteurs dans le monde s’y sont réellement mis, les implication en matière de sécurité pour le matériel étant difficilement maitrisable, mais le PUE d’un datacenter 100% watercooling est proche de 1, surtout si la nappe phréatique disponible est peu profonde et ne nécessite donc pas de trop grosse pompes pour être exploitée. Il y a aussi un gros travail d’intégration à faire, le circuit d’eau devant passer à l’intérieur de chaque serveur.

Pour la quatrième et dernière partie de cette quadrilogie, je vous parlerais de tout le reste, des petits détails sur l’extinction (ou pas) des incendies, de la sécurité, des choses les plus loufoques ou impressionnantes que j’ai pu voir depuis 10 ans, etc …

Comment faire en sorte de s’assurer un accès neutre et donc non filtré au réseau ? Comment mieux apréhender l’outil pour les gens qui ne sont pas nés avec ? Comment desservir les fameuses “zones blanches” que les trois gros FAI gouverne^Hnationaux ne souhaitent pas couvrir ?

Une seule réponse : Créer un FAI.

Ce n’est pas si difficile que ca, mais ce n’est pas non plus une promenade de santé. Heureusement, il y a déjà des gens qui sont passés par la et qui peuvent vous aider.

Avant toute chose, il vous faut une personne morale. Premièrement parce que vous allez fournir des services potentiellement à long terme à des gens et qu’il faut donc qu’ils puissent perdurer avec d’autres si vous laissez tomber, secondo parce que certaines obligations légales et certains risques seront plus facilement gérables avec une personne morale et enfin parceque si vous vous lancez seul dans l’aventure, il y a de fortes probabilité que l’échec soit au bout du chemin.

Ne vous y trompez pas, le plus dur est réellement de trouver des gens motivés. Pour le reste, il n’y a besoin que d’un peu d’huile de coude.

Une fois que les volontaires sont trouvés, vous pouvez monter une association, une entreprise, une coopérative ou tout autre forme de personne morale allant dans le sens de votre projet, le plus simple étant l’association (20 ou 30 euro et une heure à la préfecture)

Un FAI, c’est quoi ? Ce n’est pas quelqu’un qui vous (ou “se”) connecte à internet. Non, un FAI *est* un bout d’internet. On compte quelques 40000 “bouts” d’internet dans le monde et “etre un FAI” revient tout simplement a faire partie de ces 40000. Ne cherchez pas plus loin, il n’y a pas d’entreprises spécialisées qui vendent de l’accès à Internet à de petits opérateurs.

Pour “connecter des gens à internet”, il faut faire partie d’internet et donc avoir au moins un lien avec un opérateur qui en fait lui même partie (rien ne vous empêche, si le coeur et le porte monnaie vous en dit, d’avoir 2500 liens avec 2500 opérateurs)

Votre tout nouveau FAI est donc devenu un bout d’internet. Vous devez maintenant relier votre utilisateur (vous, pour commencer, ce sera déjà pas mal).

La, tout est question de distance et de capacité financière. Si l’arrivée de votre liaison vers votre premier opérateur est dans votre garage, vous n’aurez aucun mal à vous y relier et tous vos voisins aussi. Ça peut avoir l’air idiot comme ça, mais ce sera un très bon début.

Ca y est, vous fournissez un accès à internet. Il vous faut à présent assurer les services minimaux vitaux : un couple de serveurs DNS pour vos utilisateurs et éventuellement un serveur de mail. C’est d’ailleurs un bon exercice pour commencer, que de créer ces deux services avant d’attaquer la partie liaison.

Évidemment, si votre liaison opérateur est à 200km du premier point de livraison que vous souhaitez couvrir, le passage d’un câble entre les deux risque de s’avérer difficile et surtout hors de prix. Vous serez alors obligés de recourir aux services de collecte d’un opérateur disposant des tuyaux nécessaire pour “arroser” tout le territoire.

Mais le recours à ces opérateurs de transport n’est pas une fatalité. Un tas de moyen de liaisons IP existent entre deux points, et si, quand dans 10 ans, quand la moitié des habitants de votre village utiliseront votre service d’accès wifi, la mairie décide de refaire les trottoirs, vous serez très bien placés pour dire au maire de prévoir des fourreaux partout pour y tirer de la fibre.

En attendant, vous pouvez toujours la passer via des poteaux ou vous contenter du wifi, y compris avec les moyens du bord, on fait de très bonnes antennes directionnelles avec des boites de chicorée pour trois francs six sous.

Qu’est-ce qui va différencier ce que vous venez de faire de quelqu’un qui partage son wifi avec son voisin ? C’est tout simplement le fait de distribuer une adresse IP publique et les quelques services annexes au dit voisin. Le fait d’utiliser les supports de communications de divers autres opérateurs ou d’en être le propriétaire réel n’entre pas en ligne de compte dans la qualification d’opérateur réseau. Le tuyau final appartient quasiment toujours à quelqu’un d’autre (RFF, société d’autoroute, ERDF, …)

On se retrouve bientôt pour quelques cas concrets et exemples pratiques ! En attendant, si le sujet vous intéresse, vous pouvez aller visiter le site de FDN.

Crédit : ShimShamB

Alors on pourrait très bien imaginer le scénario “simple” qui consiste à décider d’un jour ou on éteindra le vieux réseau IPv4 et ou on allumera l’IPv6, mais ce n’est qu’un doux rêve et on préfère depuis plusieurs années parler du nouveau réseau IPv6 qui cohabite avec l’ancien réseau IPv4.

Mais d’abord, IPv6, c’est quoi ?

• Un changement de notation des adresses IP qui passent d’un système à quatre octets, chacun des 4 nombres d’une IPv4 etant en réalité un octet, codé sur 8 bits, et pouvant donc prendre une valeur allant de 0 a 255, à un système à 16 octets noté deux par deux sous forme hexadécimale.
  Concrètement, une IPv4 est de la forme 194.117.200.10 mais pourrait aussi être noté sous la forme C2.75.C8.0A
  Pour une IPv6, étant donné la longueur, la notation décimale rallongerai encore la sauce, il à donc été décidé d’utiliser la notation hexadécimale et de remplacer les . par des :  et nous obtenons donc quelque chose du type 2A01:0563:0000:0000:0000:4D6F:0660:AB32. Pour simplifier encore la notation, on a décidé de retirer les 0 situés après les : et même de faire disparaitre tous les groupes de quatre 0 consécutifs, ce qui nous donne 2A01:563::4D6F:660:AB32 ce qui reste tout de même plus difficile à retenir que les bonnes vieilles IPv4.
• Corollaire de l’allongement de la taille des IP, le nombre d’IP disponible est sans commune mesure avec IPv4. On comptait avant le nombre d’adresse disponibles globalement en milliers de milliards. Il s’agit a présent de millions de milliards  d’adresses … par millimètres carrés de la surface terrestre. Autant dire qu’on n’en a pas vu le bout.
• On découpait les IPv4 en petits bouts pour les allouer à des réseaux physiques. Le plus petit étant un groupe de 4 adresses, les plus gros en comportant plusieurs milliers. On ne s’embête plus avec ces découpages vu le nombre d’IPv6 disponibles, il a été convenu que les 8 premiers octets définissaient le réseau et que les 8 derniers définissaient la machine dans le réseau. Conséquence immédiate, lorsque vous avez un sous réseau IPv6 chez vous, vous avez 2^8 fois plus d’adresses à votre disposition que sur le réseau IPv4 actuel dans sa globalité. Vous allez pouvoir en brancher, des équipements.
• Corollaire du colossal nombre d’adresses disponibles pour le réseau final, plus besoin de faire de la translation d’adresses avec des IP privées.
• Un tas de petites nouveautés discrètes permettrons, à l’avenir, des applications assez intéressantes en terme de sécurité et de mobilité.

Tout ce qui existe aujourd’hui sur IPv4 devra donc, pour la bonne santé du réseau, se retrouver un jour ou l’autre sur IPv6. Le présent blog est présent sur les deux réseaux, mais pas en double, non, c’est simplement le serveur sur lequel il est hébergé qui dispose d’une adresse IPv4 et d’une adresse IPv6.

Crédit : markuz

Concretement, qu’a-t-il fallu faire pour que ce blog soit disponible en IPv6 ?

1. Assurer au serveur qui l’héberge une connexion au réseau IPv6. C’est la partie la plus ardue. J’ai l’avantage d’avoir eu la bonne idée de poser cette machine sur un réseau que  je co-gère avec quelques autres personnes et nous sommes assez friands de nouveautés, le réseau a donc assez tôt supporté IPv6. Mais pour en arriver la, il a fallu s’équiper de routeur supportant IPv6, revoir les configuration des firewall et négocier les conditions d’interconnexion au réseau IPv6 avec nos fournisseurs (choses simples et peu couteuses, étant donné la taille du réseau, mais qui peut revenir très cher et durer très longtemps à l’échèle d’un gros opérateur)
2. S’assurer que les logiciels tournant sur ce serveur fonctionnaient avec IPv6, ce qui est le cas de la plus part des logiciels libres disponible en ce bas monde, mais c’est moins sur pour les logiciels commerciaux, certains devant être revus de fond en comble
3. S’assurer que le serveur DNS qui répond pour blog.spyou.org était en mesure de renvoyer une adresse IPv6 aux visiteurs en faisant la demande (la encore, le logiciel libre est un allié de poid)

Et .. C’est tout. Mais c’est relativement simple puisque le site en lui-même est simple. Lorsque vous interposez en plus un firewall, que vous avez une base de donnée distante, etc .. C’est un cauchemar. Ajoutez à cela une structure technique maitrisée par X personnes différentes et autant de sous traitants, vous n’en dormirez pas pendant des semaines, c’est garanti.

Seulement, c’est bien beau d’avoir du contenu en IPv6, encore faut-il avoir des visiteurs qui puisse y accéder.  La théorie des ensembles est drastique. On peut très bien faire rentrer tout IPv4 dans IPv6, il y a largement la place, mais pas l’inverse. Impossible donc, lorsqu’on a qu’une IPv4, d’accèder à un contenu situé sur un serveur qui n’a qu’une IPv6. Ceci nous oblige donc  aujourd’hui, et tant qu’un nombre très conséquent d’utilisateur n’auront pas d’IPv6, a adresser en double tous les serveurs. La consommation galopante d’IPv4 continue donc.

Pire encore, certains freinent des 4 fers pour ne pas qu’IPv6 arrive trop vite, arguant que si le réseau IPv6, encore trop jeune à leur gout, a un problème, leur business risque d’en pâtir. C’est par exemple le cas de Google qui propose depuis longtemps ses services en IPv6 mais uniquement à certains fournisseurs dument sélectionné et audités pour être bien certain que Google marchera toujours pour les utilisateurs de ces fournisseurs d’accès.

Nous sommes donc encore aujourd’hui dans l’ère ou IPv4 est favorisé et IPv6 est un jouet alors que ce devrait être l’inverse. Il n’y a pourtant besoin que de l’impulsion de quelques géants d’Internet pour que cet état de fait change, mais les sommes en jeu sont trop grandes, et pourtant si petite par rapport à la perte qui va arriver de façon très abrupte quand on va dire “non monsieur, désolé, il n’y a plus d’IPv4″

Crédit : Claude Mongrain

On entends globalement assez peu parler des DNS, sauf dernièrement, entre autre grâce au poisson d’avril de Science et Vie Junior, mais beaucoup de gens ignorent encore de quoi il retourne exactement.

Exercice difficile, mais essayons quand même. Internet est un réseau d’ordinateurs qui communiquent entre eux via tout un tas de protocoles divers qui, pour la quasi totalité des échanges, reposent sur un système d’adressage numérique. Celui qui est massivement utilisé aujourd’hui sur Internet est IP dans sa version 4 qui donne des adresses du type 24.243.128.4. Le réseau parallèle qui commence a se monter en utilisant la version 6 voit quand à lui des adresses du type 2a01:534:6ab:65::aab5, mais ce n’est pas le sujet de cet article.

Quelle que soit la version du protocole IP utilisé, il a très vite été impossible de retenir des adresses de ce genre en mémoire, et il faut bien avouer que commercialement, on voit mal une entreprise marquer en gros sur son affiche “venez sur notre site http://157.166.226.26/” .. non, on préfère indiquer “venez sur notre site http://www.cnn.com/”.

Mais alors, que faire ? Un annuaire pardi. Une machine à qui votre ordinateur pourra demander “dis voir, c’est quoi l’adresse de www.cnn.com ?”.

Internet étant ce qu’il est, il fallait biensur inventer un système décentralisé, ne serait-ce que parce qu’une seule entité ne peut pas gérer la masse de travail phénoménale qui consiste à mettre à jour ces informations pour l’ensemble des noms de domaine sur Internet.

Crédit : MKFM

Un système hiérarchique à donc été conçu. Un peu de la même façon qu’une adresse postale contient, si on la prends par le bas, le pays, puis la ville, puis la rue, puis le numéro, puis éventuellement le bâtiment, l’étage, la porte et enfin le nom de la personne, le systeme DNS contient un certain nombre de domaines de premier niveau (com, net, org, fr, us, eu, etc …), suivi de noms de second niveau (cnn.com, 20minutes.fr, brutele.be, …), suivi de noms de troisieme niveau (www, ftp, mais aussi pourquoi pas lsdhjglrgh) et ainsi de suite quasiment jusqu’a l’infini.

Il existe 13 serveurs racine dans le monde qui portent chacun une lettre et qui connaissent, a eux 13, l’ensemble des noms de domaine du premier niveau. De la même manière que, partout dans le monde, un facteur qui a entre les mains une lettre adressée à la France saura qu’il doit la mettre dans un avion en partance pour la france, les 13 serveurs racine connaissent l’adresse des 7 serveurs qui gerent le domaine de premier niveau .fr.

Ces 7 serveurs connaissent eux même l’adresse de l’ensemble des serveurs DNS qui gèrent tous les domaines du .FR. Ils connaissent par exemple l’adresse des deux serveurs DNS qui gèrent 20minutes.fr. Ces deux serveurs sont les seuls a connaitre l’information qui nous interesse, à savoir “quelle est l’adresse de la machine qui contient le site www.20minutes.fr”. Ce sont des serveurs DNS dits “autoritaires”, c’est à dire que leur unique mission est de fournir une information à propos d’un nom de domaine.

Mais pour que chaque machine d’Internet n’ai pas a aller poser des tas de questions à toute cette succession de serveurs, on a inventé un autre type de serveurs DNS dits récursifs. Ce sont les adresses de ces serveurs qui sont configurées dans votre machine lorsque vous vous connectez à Internet.

Votre machine va donc demander a ces serveurs récursifs “quelle est l’adresse de www.20minutes.fr”. Une fois votre demande recue, si on imagine que le serveur récursif en question vient d’être mis en route, il va donc aller demander, dans l’ordre :

• a l’un des 13 serveurs racine (les seuls dont il a connaissance)  ”dis moi, quelle est l’adresse de www.20minutes.fr”. Le serveur racine va lui répondre “Je ne sais pas, par contre, les 7 machines suivantes (a.nic.fr, b.nic.fr, …) connaissent l’information pour tout .fr, va leur demander et conserve cette information pendant 48 heures”
• Il va en profiter donc pour stocker pendant 48 heures l’information “si on me demande quelquechose qui fini par .FR, il faudra que je demande a l’un des 7 serveurs qu’on vient de m’indiquer” (ce délais est appelé TTL, Time To Live)
• Il va ensuite choisir au hasard un serveur dans la liste que le serveur racine lui a donné et va lui poser la même question
• Le serveur (mettons a.nic.fr) va lui répondre “je ne sais pas, par contre, va demander à gladia.oxalide.net ou à cleon.oxalide.net, eux, ils savent, et garde cette information tant de temps
• Notre serveur récursif va donc retenir 48h que, si on lui demande une information à propos de 20minutes.fr, il faut aller demander à ces deux machines chez Oxalide
• Il va ensuite contacter au hasard l’un des deux serveur indiqué (mettons gladia.oxalide.net) pour lui demander toujours la même question, “quelle est l’adresse de www.20minutes.fr” qui, lui, va avoir la réponse et va lui donner, à savoir “www.20minutes.fr est un renvoi vers www.20minutes.fr.edgesuite.net et garde cette information 10 minutes maximum”

Les lecteurs attentifs auront remarqué qu’on est drolement avancé avec cettte information, nous n’avons toujours pas d’adresse IP d’une machine contenant le site pour aller le lui demander.

C’est vrai, mais en redemandant aux serveurs racine qui gère www.20minutes.fr.edgesuite.net, on obtiendra la réponse de qui gère .net, puis celle de qui gère edgesuite.net, puis celle de fr.edgesuite.net, puis 20minutes.fr.edgesuite.net et enfin, encore une information qui ne nous avancera pas, à savoir que c’est un renvoi vers a671.b.akamai.net. Heureusement, au final, quand on aura, pour la 3ème fois, fait le tour de tout ces serveurs DNS, on apprendra que a671.b.akamai.net pointe sur deux adresses IP qui sont 217.89.107.48 et 217.89.107.41. OUF ! notre navigateur va enfin pouvoir aller établir une connexion avec l’une de ces deux adresses et lui demander la page du site qu’on veut aller voir.

Au passage, notre serveur récursif aura emmagasiné, pour des durées variables, un certain nombre d’informations qu’il pourra redonner à qui en aura besoin, tant que leur durée de vie ne sera pas expirée. On a, au passage, appris que 20 Minutes est prudent et prévoit une durée de vie de l’information “www.20minutes.fr” de 10 minutes (et pas de 20 :)), de sorte qu’il peut, en cas de panne des machines chez Akamai, rediriger l’ensemble de ses visiteurs ailleurs en moins de 10 minutes.

Les lecteurs encore plus attentifs auront décelé un autre problème, nous ne parlons depuis tout à l’heure que de noms, mais comment fait notre serveur récursif pour “aller demander à a.nic.fr” s’il ne connait pas son adresse numérique ?

Eh bien il va redemander aux serveurs racine. Et la, vous me dites, “oui, mais on tourne en rond, il va demander qui est a.nic.fr et on va lui répondre de demander à a.nic.fr” et vous aurez raison. Cest pour cela qu’on a inventé la notion d’enregistrement “glue”. Lorsqu’on a appris aux 13 serveurs racine que le .FR était géré par a.nic.fr, b.nic.fr, etc … on leur a aussi appris les adresses numériques de ces machines.

Il en va de même pour notre exemple de tout à l’heure, les serveurs qui gèrent .NET connaissent les adresses IP de gladia.oxalide.net et cleon.oxalide.net.

Nous voila donc sauvés, nous pouvons, à partir des adresses des 13 serveurs racine, connaitre l’adresse correspondante à n’importe quel nom sur Internet.

Mais si la vie était aussi simple, ce ne serait pas drôle. Vous avez déjà assez mal à la tête pour aujourd’hui, j’attendrai donc quelques jours avant de vous parler des réponses  dépendantes de la géolocalisation, de l’anycast et des signatures DNSSEC.

Ils font des lois sur un sujet qu’ils ne comprennent pas, bon, ça, on fini par avoir l’habitude, mais ils ne respectent même pas les lois préétablies, ça, c’est plus rare.

A refaire, donc, messieurs du Gouvernement. On relira votre nouvelle copie quand elle sera prête, promis !

Alors, il faut commencer par définir “disponible”. Si on regarde les tableaux de l’IANA (l’organisme mondial chargé d’attribuer les ressources numérotées, dont les fameuses IPv4), il y a encore 20 blocs (sur 256 existants) d’environ 16.7 millions d’adresse “UNALLOCATED” et 16 de plus en “RESERVED FOR FUTUR USE”.

En bref, 14% des blocs existants ne sont encore délégué à aucun RIR (Registre Internet Régional).

Parmi les 76% déjà alloué à des RIR ou réservés pour des usages précis (réseaux locaux, multicast, etc …), il faut encore distinguer ceux qui sont encore disponibles de ceux qui sont “ASSIGNED” et ceux qui sont “ALLOCATED”. En gros, le RIR n’utilise pas d’adresse mais ne fait que les deleguer (“ALLOCATED”) à des LIR (Local Internet Registry) qui eux même vont assigner de petits blocs aux utilisateurs finaux (“ASSIGNED”)

Il semble que les RIR aient une vingtaine de blocs d’avance non alloués à des LIR (ce qui nous amène donc a 56 blocs encore utilisables). Quant à connaitre le taux réel d’assignation des LIR aux clients finaux, c’est assez difficile.

Et ce n’est pas tout, il faut encore différencier les blocs assignés aux clients finaux des adresses IP réellement utilisées.

Au final, si on compte bien, il est fort probable que moins de la moitié des IPv4 soit aujourd’hui réellement utilisées. Cela dit, tout ce foin aura au moins l’avantage de pousser les gens vers IPv6 et c’est pas un mal :)

Ce blog est d’ailleurs accessible en IPv6 depuis peu. Ça, c’est fait.

Ca se passe ici et ça vaut vraiment la peine d’aller au bout.

C’est la preuve par A+B que le problème actuellement soulevé par les HADOPI, LOPPSI et autres ACTA vient moins des gens et de la technologie que de la loi et qu’il serait bon de réfléchir à comment la faire évoluer pour éviter :

• De continuer à criminaliser toute une génération (voir plusieurs)
• D’annihiler toute sorte de création (hormis celles contrôlées par les multinationales)
• De détruire le réseau tel que nous le connaissons aujourd’hui

Crédit photo : bpmm

Imaginez que votre réseau domestique soit votre maison avec son jardin autour et son petit cabanon au fond. Vous êtes abonné à un petit fournisseur d’accès Internet comptant une poignée de clients. Ce petit FAI sera, dans mon analogie, Castelmoron-d’Albret (plus petite commune de France avec ses 62 habitants).

La maison, c’est votre PC, et le petit cabanon au fond du jardin est probablement votre portable ou un autre ordinateur. Ils sont reliés ensemble par le petit chemin qui serpente a travers le jardin et vous pouvez, de l’un comme de l’autre, sortir dans la rue par le portillon de votre jardin qui sera considéré comme étant votre modem.

Une fois dans les rues de Castelmoron, vous etes chez votre fournisseur d’accès, il y a quelques croisements permettant de prendre différents chemins dans le village (des routeurs du FAI), d’aller à la Poste (le serveur email du FAI), au bar-tabac-dépôt-de-pain (un serveur FTP ou on trouve beaucoup de choses légales et aussi, parfois, moins) ou bien dans un endroit qui n’existe pas dans nos villes et qui, sur Internet, permet de faire la conversion d’un nom vers une adresse IP (un serveur DNS). Le reste de cet article suppose que vous avez déjà fait la conversion et que vous avez en main l’adresse IP de l’endroit ou vous souhaitez vous rendre.

Crédit photo : destempsanciens

La vie a Castelmoron, aussi belle soit-elle, ne serait pas la vie si vous ne pouviez pas voyager. Oh, biensur, vous pouvez envoyer une lettre (que le serveur SMTP de votre fournisseur se chargera, ou pas, de transmettre au destinataire), mais voyager en vrai, c’est mieux.

Ce village est un réseau autonome (nous utilisons le terme de “système autonome”, ou AS), on peut y survivre complètement coupé du monde, et il est, en temps normal, connecté a d’autres AS voisins.

Pour sortir de Castelmoron, il y a quatre routes, la D230 qui, d’un coté va a Rimon et de l’autre a Saint Romain et deux routes communales qui vont respectivement a Caumont et Saint-Martin-du-Puy, ces quatre voisins sont autant d’AS différents avec lesquels notre petit fournisseur d’accès a établi des liaisons (de vulgaire cables). Pour votre voyage, en fervent amateur que vous êtes, vous avez choisi de vous rendre à Montbazillac. Vous savez fort bien que le chemin le plus rapide est de prendre la D230 en direction de Rimons, puisque c’est écrit sur le panneau apposé à la facade du presbytère.

Crédit photo : Baykus

Chez notre fournisseur d’accès, il n’y a pas de panneau, mais les routeurs de bordure (ceux qui servent au fournisseur à se connecter à ses voisins) obtiennent, lorsqu’ils sont connectés, la liste complète des endroits auxquels on peut se rendre en utilisant cette voie nouvellement crée. Cette liste, au jour d’aujourd’hui, contient environ 312000 lignes qui décrivent l’ensemble d’Internet à l’heure ou j’écris ces lignes. Vous imaginez donc l’espace occupé sur la façade du presbytère par les panneaux.

Vous le savez fort bien, il est tout à fait possible d’arriver à Montbazillac en prenant la route qui mène à Saint Romain, c’est simplement plus long, et surement moins bien indiqué, mais on fini par y arriver. Notre routeur de bordure connecté avec celui de Saint Romain le sait aussi, mais on lui a, en plus, décrit sommairement le chemin à parcourir, et il s’appercoit, en discutant avec son petit camarade, que ce dernier connait une route plus rapide en passant par Rimons. Il va donc laisser la route qu’il a apprise de son collegue de Saint Romain pour diriger vers Rimons les habitants de Castelmoron qui souhaitent se rendre à Montbazillac.

Tout comme les routes de France et de Navarre, Internet est un réseau maillé, il existe plusieurs chemins qui peuvent etre simultanément empruntés pour se rendre d’un point A à un point B.

La ou Internet fait des miracles, c’est que lorsque la route reliant Castelmoron a Rimons n’est plus utilisable (un effondrement, ou une fibre optique coupée par une pelleteuse dans un trottoir devant notre FAI), les routeurs de Castelmoron le savent immédiatement et redirigent le trafic vers Saint Romain (alors que vous, avez votre voiture, vous allez jusqu’à l’effondrement pour faire demi tour ensuite)

Je vous ai dit tout à l’heure que chaque routeur connaissait l’ensemble des destinations possibles sur Internet, ceci entraine, du coup, qu’une route devenue indisponible entre Castelmoron et Rimons empêche les gens du Puy-Eglise de se rendre a Castelmoron par cette route, mais ce n’est pas grave, puisqu’ils peuvent faire un détour par Neuffons et Saint-Martin-du-Puy et arriver a Castelmoron par la petite route communale dont je parlais plus haut. C’est plus long et il y a des nids de poule dans la route, mais on fini par y arriver.

Mais ceci a aussi des répercussions beaucoup plus loin, et c’est ainsi que, sur Internet, lorsqu’une fibre optique casse à l’autre bout du monde, l’information fait souvent le tour du réseau dans son ensemble, et ce en une poignée de seconde sous la forme d’un message du type “la route pour joindre telle ville a disparue” immédiatement suivi d’un second  ”il y a une nouvelle route pour joindre telle ville” avec l’information concernant le trajet alternatif. Imaginez donc notre façade de presbytère avec des panneaux qui changent sans cesse de direction, et surtout, imaginez tous ces tas de panneaux qui changent partout dans le monde quasi en même temps (on compte actuellement une moyenne de 100 changements par minute dans la table de routage mondiale)

Ce protocole magique qui fait fonctionner Internet, c’est BGP (Border Gateway Protocol). Il est tellement magique qu’il fait des choses étranges :

Crédit photo : G.A.N.T

Ces fourreaux contiennent un tas de câbles et dans ces câbles, plusieurs centaines de fibres optiques. Ci-contre, un tout petit câble (comparé à ce qu’on peut trouver ailleurs) qui dessert un immeuble parisien via les égouts.

Ces fibres peuvent virtuellement aller à tout un tas d’endroit, puisque, tout comme on peut mettre un domino sur un câble électrique pour le relier à un autre, on peut couper une fibre et la souder à une autre. Ainsi, si une fibre à été tirée entre Paris et Marseille, on peut éventuellement, plus tard, la couper a hauteur de Lyon pour la rabouter à une autre. Ce sont des opérations plus couteuse que l’ajout d’un simple domino sur un fil électrique, mais ça se fait souvent.

Crédit photo : G.A.N.T

Ces opération de soudures se font par l’intermédiaire de boites d’épissures qu’on trouve un peu partout, aux endroits ou plusieurs fibres se croisent, ce qui permet de créer virtuellement n’importe quel chemin à partir de fibres descendues sous terre.

Tirer une fibre sous un trottoir ou même dans un champ, ça coute très cher. Entre 5 et 20 euro du mètre selon les technologies employées et les conditions. Si les opérateurs essaient d’utiliser de façon intelligente les ressources disponibles à l’extérieur des bâtiments à cause du cout, il en va autrement dans les datacenter ou tirer une fibre ne coute presque rien.

Crédit photo : Ronnie Garcia

Eh oui, dans un datacenter, les fibres, on les met sur des porte-fibre ou dans le plancher. Il suffit d’attraper un bout, de le mettre dans le chemin, puis de tirer. En une demi journée de travail, vous pouvez tirer plusieurs kilomètres de fibre si le bâtiment est bien fait.

Pas étonnant, du coup, que les locataires de ces bâtiments ne cherchent pas a réutiliser l’existant et tirent de nouvelles fibres sans se demander si par hasard une autre ne serait pas déjà en place et inutilisée. C’est ainsi qu’on en arrive aux idioties du genre de celle qui à obligé dernièrement l’un des datacenter historique français à créer des passe-câbles au plafond parce que leur faux-plancher, de 60cm de haut, était plein.

Pour contraster avec les photos de datacenter bien rangés, en voici une petite prise au coeur de l’internet français. Parfaitement Madame, lorsque vous naviguez sur Internet, il y a 9 chances sur 10 pour que les informations que vous voyez sur votre écran aient traversé ce bordel innommable.

Pour lutter contre ce qu’on pourrait qualifier de fléau des temps modernes, la plus part des datacenter interdisent à leur clients de tirer eux-même des câbles dans le bâtiment et facturent mensuellement chaque câble tiré par un de leur client, parfois même, ils facturent aussi la prestation au client qui se trouve de l’autre coté du câble.

Et pour imiter ce qui se fait en matière de soudure à l’extérieur, le principe de “meet me room” (MMR) à été inventé. L’idée est donc, dans un même bâtiment, de ne pas autoriser deux personnes à avoir un câble direct entre elles mais leur imposer, a chacune, d’avoir un câble vers un endroit donné du bâtiment (la fameuse MMR), puis, de faire établir un lien entre ces deux câbles. De fait, lorsqu’un câble devient inutile, il peut être immédiatement recyclé pour se connecter à quelqu’un d’autre, il suffit de changer le lien qui se trouve dans la MMR, qui ne fait rarement plus d’une poignée de mètres de long.

Pour finir, les fameux liens finissent généralement leur vie dans un tiroir optique qui est installé dans la baie ou se trouve l’équipement qui doit être branché en bout de fibre. Une fois le tiroir complètement équipé, on le ferme et on n’y touche plus, histoire de ne pas casser les fibres.

Je vous parlerais peut-être un jour des équipements qui sont en bout de fibre, mais ça n’a plus grand chose à voir avec les datacenter, ce sera donc une autre série.

Pour la prochaine de celle-ci, je vous parlerais probablement du froid et des canards.

Crédit photo : Fuzzytek

Vous avez des enfants entre 0 et 18 ans ou vous en côtoyez souvent (perso ou pro) ?

Il n’y a pas un centime à gagner mais vous m’intéressez. Contactez-moi !

Crédit photo : Dalbera

Un billet (à lire ici) trouvé en fin de semaine m’a refait cogiter à ceux qu’on nomme les hackers au sens large et à l’éducation en particulier.

Je ne vous ferais pas la traduction de l’article entier, non par flemme mais parceque je suis un archi mauvais traducteur qui supprime trop souvent des subtilités linguistique au passage.

Le point qui m’a le plus marqué est à propos de l’éducation qui tente de bourrer le crane de nos enfants avec des connaissance alors que le plus important est d’avoir la compétence d’acquérir la connaissance, ce qui, de nos jours, semble ne pas être une priorité.

Heureusement, les wikipedia et autres sites à contenu culturels sont une mine pour les devoirs et permettent, à ceux qui s’en donnent la peine, de travailler la forme et l’organisation de ce qu’ils ont à dire plutôt que le fond d’un exposé qui traite souvent d’un sujet qui à déjà été moult fois traité et qui ne nécessite donc plus de révélations fracassantes, du moins pas au stade d’un lycéen.

Ce n’est pas encore mon heure, mais j’apprendrais à mes enfants comment hacker les profs pour avoir la paix, c’est une certitude.

Wikipedia, c’est une encyclopédie. Enfin, en théorie. On y trouve beaucoup de choses qui n’ont rien à faire dans une encyclopédie, mais c’est une expression de diversité et c’est parfois très intéressant.

C’est marqué sur la première page mais certains ont du mal à saisir le principe, les tenants et aboutissants. Petit explication donc. Wikipedia est une encyclopédie faite (et faisable) par tout le monde, y compris sans s’y inscrire. Il suffit de regarder en haut de chaque page, a quelques exception près, vous trouverez toujours un bouton “modifier”. Vous cliquez dessus, vous modifiez, vous enregistrez, et c’est fini.

“Oui mais du coup on peut tout effacer”, eh bien non. D’une part parce qu’un certain nombre de robots surveillent les comportements douteux et bloquent très vite ce genre de chose, mais aussi parce qu’une modification sur un wiki n’est jamais destructrice. Il existe toujours une copie de la précédente version et il suffit d’aller dans l’historique de la page pour rétablir l’ancienne version (et ça aussi, tout un chacun peut le faire, moyennant l’inscription gratuite au site)

“Mais des fois, on trouve des énormités sur wikipedia”. Oui, c’est vrai. Mais n’oubliez pas que

• Vous pouvez corriger, dans la seconde, une énormité que vous avez constaté, y’a qu’a cliquer
• Comme tous les médias, il faut vérifier ce qu’on lit/voit/entends et ne jamais le prendre comme parole d’évangile.

A vos claviers !

La consultation publique sur la neutralité du net, c’est par ici, et c’est jusqu’au 17 mai.

Je suis bien sur entrain de faire réchauffer ma réponse au four. Rien ne presse mais ce sera très bientôt sur vos écrans.

Crédit image : La Quadrature

On savait déjà que la 3G, ce n’était pas réellement internet, puisqu’aucun terminal (téléphone ou PC portable avec une clé 3G) ne peut avoir, en natif une adresse IP publique et donc se comporter comme un membre du réseau.

Non, l’internet mobile, c’est en fait un minitel mobile. Sauf a dégainer l’artillerie lourde, vous ne pouvez que consommer du contenu et jamais en produire.

Vous vous souvenez, il y a peu, je vous parlais des différentes raisons qui poussent certains à ne pas respecter la neutralité des réseaux, eh bien nous sommes en plein dedans. D’une part, les opérateurs de téléphonie mobile (tous, sans exception) font de la publicité mensongère, prétendant vendre de l’internet, mais en plus, ils favorisent tous leur propres réseaux & services interne au détriment des autres services.

C’est le cas, par exemple chez Orange, qui réitère régulièrement la farce du téléphone “aux couleurs d’orange” qui a été vidé de tout ce qui faisait son intérêt (en l’occurrence, les applications Google dans les mobiles Android comme le HTC Tattoo, le HTC Hero et pas mal d’autres).

Mais le plus grave dans tout ça, ce n’est pas tant que l’opérateur souhaite s’accaparer sa propre clientèle, après tout, c’est compréhensible. Non, le pire, c’est qu’ils ont réussi à trouver un moyen totalement contre-nature de gagner de l’argent sur le dos de leurs propres clients.

Aujourd’hui, sur votre abonnement Internet à la maison, quand vous regardez une vidéo sur Youtube, que vous recevez un email ou que vous postez un article sur usenet, vous payez toujours le même prix à la fin du mois ou, dans le pire des cas, vous payez en fonction du poids de ce qui a transité sur votre ligne. En téléphonie mobile, non. Le cout de transport de vos données est fonction des ports de destination des paquets. Laissez-moi vous faire une analogie foireuse comme je les adore : c’est un peu comme si votre ticket de bus coutait plus cher sous prétexte que vous dites tout haut au chauffeur que vous vous rendez chez Leclerc et pas chez Carrefour. Pourtant, dans les deux cas, vous prenez le même bus au même arrêt et vous descendez à l’arrêt du centre commercial dans les deux cas.

C’est même pire que ça, le chauffeur du bus vous fait payer un prix différent selon que vous allez acheter des couches ou de la bière dans le même magasin. Pas parce que la bière risque de se renverser dans le bus au retour, non non, juste parce qu’il a décidé qu’un nombre non négligeable de gens achètent de la bière et qu’ils doivent de toute façon prendre le bus pour y aller puisqu’ils n’ont pas d’autre moyen de transport, donc autant les faire payer plus cher.

Heureusement, en téléphonie mobile, on peut cacher de la bière dans un paquet de couche sans que l’opérateur ne puisse le savoir. Mais c’est tout de même rageant pour les pauvres clients qui n’ont pas la compétence technique pour faire ce genre de chose.

Alors même si la pub pour l’internet par Orange est vraiment très bien faite (on ne peut pas leur enlever ça), n’oubliez pas que derrière le marketing, vous trouverez surtout des actionnaires assoiffés de dividende (France Télécom reste l’action la plus rémunératrice du CAC40, et ce depuis des années) et des politiciens assoiffés de mainmise sur le temps de cerveau disponible dans la population (la télé, c’est plus ce que c’était ma bonne dame, il faut trouver autre chose pour les garder à la maison, et si on pouvait en plus leur faire croire qu’ils font une activité plus intellectuelle que celle qu’ils avaient devant la télé avant, ce serait encore mieux !)

Mon blog est censé être visuellement neutre, mais non, vous regardez la photo de Tania au lieu de lire ce que je raconte.

La poste est censée être neutre, dans la limite de la légalité, bien sur, elle n’a théoriquement pas le droit d’ouvrir votre courrier pour vérifier ce qu’il contient.

Une société de télécommunication est neutre, elle n’écoute pas ce que vous dites pour décider si oui ou non il est de bon ton de vous laisser finir votre conversation.

Internet est théoriquement neutre, ou au moins une partie, et pour plusieurs raisons

• La première est que ça coute très cher, surtout si on veut le faire de l’écoute ou de la limitation de façon exhaustive.
• La seconde c’est parce que l’intelligence du réseau ne réside pas dans son coeur mais dans sa périphérie et qu’il devient, du coup, techniquement handicapant d’avoir a filtrer le trafic (le “grand firewall” chinois est d’ailleurs massivement situé à la périphérie du réseau)
• Et enfin, pour qu’un blocage quelconque soit efficace, il devrait être réalisé de façon globale sur le réseau, ce qui supposerais une entente internationale sans précédent

Ce faisant, des têtes pensantes cherchent depuis plusieurs année à contourner ces points bloquants en proposant des alternatives techniques plus ou moins farfelues ayant toutes des effets de bord assez désagréable, tout ça dans l’unique but d’empêcher certains usages :

• Dégâts collatéraux (filtrage de contenu parfaitement légal effectué en même temps que le blocage d’un contenu théoriquement illégal)
• Manipulation technique sur le coeur de réseau entrainants pannes et comportements imprévus (nullroutage d’IP, faire mentir les root-servers, …)
• Blocage d’un certain type de protocole au motif qu’il est massivement utilisé pour le piratage empêchant du coup l’accès a tout un tas d’autres contenus  (le peer2peer, par exemple)

Mais on ne le répètera jamais assez, on n’attaque ni ne puni en aucune manière un vendeur de chez Ikéa au motif qu’un des couteau qu’il a vendu a servi à assassiner quelqu’un et on n’interdit pas non plus la vente de couteaux qui coupent. Il convient donc d’arrêter d’urgence de tenter de modifier l’outil pour empêcher certains usages, au risque que l’outil perde tout son intérêt ou, pire, dans le cas d’internet, qu’il se rebiffe contre ceux qui tentent de le changer.

C’est pourtant ce que toutes les lois en I dont nous entendons parler en ce moment tentent de faire. Créer de nouveaux délits et de nouvelles peines (souvent plus faibles que les anciennes, d’ailleurs) tous assortis de nouvelles obligations pour chaque nouvelle petite contrariété d’une personne puissante peut avoir.

Énormément d’hommes politiques ne se sont toujours pas rendus compte qu’Internet n’est pas un objet mais un être vivant qui réagit quand on l’attaque. Et pour les autres qui ont bien compris que c’était vivant et que ça pouvait se rebiffer, ils s’imaginent qu’Internet, c’est *une* personne, ou, en tout cas, un nombre suffisamment réduit pour qu’il puisse être attaqué. A l’occasion de la campagne pour les régionales, j’ai entendu un pauvre petit bouchon se plaindre : “twitter nous a fait beaucoup de mal”. Non Chantal, Twitter ne vous a rien fait, Twitter, c’est quelques lignes de code informatique rangées bien au chaud dans un tas d’ordinateurs.

Ça, c’était pour le coté légal des problèmes de la neutralité. Il y a aussi le coté commercial. Internet est souvent qualifié de “village global” et ça veut bien dire ce que ça veut dire, tout le monde est dans le même panier. Du coup, la boucherie Sanzot en veut à mort à la boucherie Dutrip, et si Mr Dutrip connait quelqu’un à la DDE, il va avoir tendance à essayer de faire pourrir la route qui mène au commerce de son ami Sanzot pour récupérer ses clients. Il y a peu de temps, Virgin Média a tenté de faire ça au Royaume Uni pour privilégier ses propres services de diffusion audio&vidéo.

Et enfin, le coté technique, le fondement de base du réseau, qui fait qu’un ordinateur connecté n’a pas d’étiquette “serveur” ou “consommateur”, chacun peut aujourd’hui publier du contenu depuis son propre ordinateur sans l’aide d’un hébergeur ou d’un facebook est également attaqué. Le peer2peer est l’usage le plus répandu de cette formidable possibilité, mais chacun peut devenir serveur web, chat ou autre et diffuser soi même son contenu avec sa connexion Internet.

Tous ces gens en veulent à la neutralité pour des raisons financières et parce qu’ils n’ont toujours pas compris qu’Internet n’est, pour l’instant, en tout cas, que la somme des gens qui s’y connectent et y échangent des choses et que si cette facilité de se connecter a donné naissance à des usages contraires aux pensées de certains, tenter de retirer ou de modifier la facilité en question ne supprimera pas l’usage.

En parlant d’échanger des choses, la prochaine fois, je vous parlerais du minitel 2.0 vu par l’ami Benjamin Bayart.

Edit du 8 avril :  RWW a sorti ce matin un article, détaillant l’idée que se fait Orange de la neutralité. On y apprends que Mr Stéphane Richard entends arranger tous les acteurs d’Internet à propos des sous (mais que ça ne concerne pas les citoyens qui ne sont donc que consommateurs) et que de vilains activistes de la neutralité du net accaparent la crédibilité sur le sujet et tentent de faire passer les gentils opérateurs qui veulent développer internet de façon totalement désintéressée pour de sombres marchands qui ne pensent qu’à leur marge.

On y apprend que la “cybercriminalité sur le web” (mais pas sur internet, notez) a explosé ces dernières années et que ça représenterait une perte de 1000 milliards de dollars pour les entreprises. Ouf, on est sauvé, c’est pas eu Euro.

Je me demande toujours comment on peut affirmer que mondialement il y a eu X milliards de pertes, sachant que l’argent ne disparait pas, qu’il ne fait qu’aller de mains en mains, il y a bien quelqu’un qui en a profité de ces milliards. Mais hormis ça, j’aimerais surtout savoir comment on peut estimer un chiffre pareil avec le bout de son nez.

On apprend que les entreprises, surtout en France (ouuu j’ai peur !!), sous estiment encore beaucoup le risque de piratage. Sur quoi, un type mal rasé nous apprend que grace à internet, on peut faire la guerre sans verser de sang (on se demande le rapport avec la choucroute)

Et après, c’est le ponpon. On tombe sur le profil masqué d’un comédien avec une voie déformée qui nous dit qu’il faut 15 ou 20 hackers pour lancer une attaque de grande ampleur (alors que comme dans tout, plus il y a de gens impliqués, plus il y a de fuite et de risque, et que donc généralement quand quelqu’un fait quelque chose de mal, il évite d’en parler a 20 personnes, mais passons …), un barbus l’air grave enchaine en disant que toute personne connecté à internet est potentiellement vulnérable (ouuuuu j’ai peur !!), juste après qu’un pauvre petit chef d’entreprise nous ai montré ses deux PC de bureau accrochés dans une baie de brassage fermée à clé, censée représenter les “données vitales d’une entreprise spécialisée dans les étiquettes de sécurité et régulièrement visitée par la gendarmerie pour savoir si tout va bien coté sécurité informatique”. On se demande bien qui paie qui pour ça et si par hasard ça ne ferais pas partie des 1000 milliards.

Monsieur X, il est un bidouilleur informatique, un testeur, un hacker, depuis l’age de 7 ans, mais on ne sait pas quel age il a. Il nous apprend qu’il y a 3 types de pirates, des blancs, censés être gentils (qui eux ne sont donc pas dans l’illégalité), les gris qui ne font qu’entrer pour regarder (la curiosité est un vilain défaut), et les noirs qui sont l’équivalent des cambrioleurs (ouuuuu j’ai peur !!). Lui, parait qu’il est gris, et la, c’est le drame, la présentatrice nous révèle que l’interviewé est donc dans l’illégalité et que c’est pour ça qu’il est caché, puisqu’il est gris. On leur avait pourtant dit, boire ou conduire, il faut choisir.

Ensuite, monsieur X, il casse le site web d’une entreprise avec un déni de service, PAF, comme ça, en 2 minutes, pour montrer au journaliste. En vrai il a probablement juste tapé l’adresse d’un site qui existe pas dans son navigateur mais eh, c’est pour la télé, c’est pas grave, ils verront pas.

On retrouve ensuite le chef d’entreprise avec ses deux PC dans son armoire qui nous explique qu’un pirate a essayé de rentrer dans ses PC pendant 2 heures sans y arriver. A se demander si c’était pas plutôt un scan bruteforce fait par un bot coincé dans un serveur du tadjikistan qui tentait de trouver un hôte pour installer un bot à spam ou un bouncer IRC pour qu’un mome de 15 ans se la pète sur l’IRC avec ses potes … Mais ça, c’est pas assez sensationnel pour le 20h de TF1, ma bonne dame.

On nous répète le fameux chiffre de 1000 milliards de $, histoire de bien enfoncer le clou. Et pour bien faire peur, on en rajoute en disant que les vilains hackers criminels sont dans les pays de l’est ou en asie (notez, il ne sont pas à Abidjan à vous envoyer des scam africains, ni aux USA ou notre cher président aime aller manger, non non)

Pour continuer, un expert russe de chez Kasperski (un vendeur bien connu d’antivirus) nous explique que les pirates russes sont spécialisés dans la conception de programme complexes et qu’ils connaissent toutes les failles des systèmes d’exploitation et que c’est pour ça qu’ils sont affreux vilains méchants dangereux. C’est bien, donc les autres ils ne font que des programmes idiots et ils connaissent rien. Ouf, la menace ne vient que de la Russie, on est sauvé, on les aime bien eux, ils vont nous aider. Eh ben non, PAF, une experte en cybercriminalité nous dit que c’est pas facile parce que les autres pays ils sont méchants avec nous et y veulent pas nous livrer leurs vilains pirates.

Et pour finir, il y a des milliards de données de plein d’entreprises du CAC40 dans UN serveur qui est ultra surveillé par une boite privée qui contre les attaques quand elles arrivent, parce que bien sur, eux, ce sont des spécialistes qui voient tout. Le tout illustré par une vidéo qui film une armoire de brassage de câble ou il n’y a strictement aucun serveur.

Et en guise de conclusion, on apprend qu’aux USA, les entreprises sont obligées de rendre publiques le fait qu’elles ont été victime de piratage, mais pas en France, et ce serait donc la cause de tous les maux.

.

Merci TF1 pour ce très joli reportage à sensation, les hackers de tout poils vous en seront éternellement reconnaissants, mais ils vous invitent quand même à relire “The Conscience of a Hacker”, à arrêter de mélanger tous les mots pour tenter de faire des phrases crédibles et, pour finir, si vous pouviez cesser de terroriser la population aux heures de grande écoute, ce serait vraiment appréciable.

• SVJ annonce dans son édition d’avril qu’Internet sera coupé le 5 mai (voir mon billet sur le sujet)
• Youtube propose un nouveau format de vidéo, le TEXTp, censé économiser la bande passante
• Maitre Eolas nous annonce qu’il ne parlera plus du droit des étrangers sur son blog à cause d’une sombre mission avec Eric Besson
• LDLC propose un nouveau service de livraison par pigeons voyageurs
• L’APRIL annonce que Mme Albanel a pondu un rapport défendant le logiciel libre
• McForever nous explique par A+B quelle est la cible commerciale d’apple avec son iPad
• ARIASE annonce la création d’un collectif d’internautes pour gueuler après les FAI et les politique à propos du très haut débit
• IOL nous annonce qu’une faction armée Somalienne à pris en otage le terminal Seacom de Djibouti et menace de le faire sauter ce soir si chaque internaute ne donne pas 1$
• Comme chaque année, une nouvelle RFC (5841) est parue, et propose la création d’une nouvelle option TCP pour exprimer l’état d’âme du paquet.
• Nerim prétends, après le rachat de Sivit fin 2009, avoir pour projet d’acheter OVH
• Moto Revue à annoncé l’arrivée imminente d’une appli iphone permettant de brouiller les radars
• Mon gestionnaire de paie m’annonce que j’ai oublié de déclarer 3500 euro d’impôts l’année dernière
• Pour ma part, en guise de poisson, je me lance en auto-entrepreneur, et paf.

Je cherche des gens pour faire du design et de la création autour du monde de l’enfance. Contactez-moi !

Projet rémunérateur selon les ventes.

Je vous ai déjà parlé de l’art de se mettre d’accord entre opérateurs pour faire que le réseau existe, et on pourrait presque se croire dans le monde des bisounours tellement c’est beau et improbable.

Dans la vrai vie, c’est beaucoup moins joli. C’est vieux comme le monde, mais tout le monde tire toujours la couverture à lui (et moi le premier). Concrètement, quel est le problème ? Ce serait le minitel 2.0, ou, pour être plus clair, le fait que le trafic se concentre autour d’un nombre fini et relativement peu élevé d’acteurs et toujours dans le sens fournisseur de contenu -> abonné de FAI. Selon Alec (Alexandre Archambault, responsable des affaires réglementaires chez Free), 5 acteurs sur le marché représenteraient 75% du trafic du fournisseur d’accès (parmi eux, les très connus YouMotion et DailyTube, à moins que ce ne soit l’inverse).

Pour bien appréhender le problème, il faut descendre presque tout en bas des technologies réseau, ce sera l’objet d’un billet plus détaillé, mais en deux mots et par un raccourci que les spécialistes me pardonneront, sur Internet, il n’existe, à un instant donné, qu’un seul chemin entre un point A et un point B. Lorsque le trafic est réparti de façon homogène dans le réseau (tout le monde discute avec tout le monde), le fait d’ajouter des portes de communication entre son réseau et ceux des autres fait que le trafic se réparti plus ou moins naturellement entre ces portes.

Lorsque celui-ci n’est plus homogène (le cas qui nous intéresse avec DailyTubeMotionYou), si le réseau arrive à saturation et qu’on ajoute une porte, au pire elle ne transportera aucun trafic, n’étant pas la mieux lotie pour atteindre ces quelques destinations très prisées, et au mieux, elle sera mise en service pour l’usage quasi exclusif de ces acteurs dominants en matière de contenu, donnant au FAI l’impression qu’il engage des frais pour le seul bonheur du fournisseur de contenu.

C’est la tout le fond du problème, le modèle économique des fournisseurs d’accès (30 Euro par mois illimité avec la possibilité, pour certains, de monter a 20Mbps et plus) ne tient pas face a un usage intensif de la bande passante tel que nous le connaissons aujourd’hui. Et que fait-on quand son modèle économique se casse la gueule ? On cherche d’une part un responsable, et d’autre part un payeur (merci à Benjamin Bayart pour l’analogie avec le monde des majors). Si on peut trouver une seule et même personne pour mettre les deux casquettes c’est encore mieux.

Il y a 10 ans, Internet était un pays de bisounours qui n’était pas encore trop envahi par les multinationales-qui-ont-des-actionnaires-à-satisfaire. Le but était, à l’époque, de construire un joli réseau qui soit intellectuellement satisfaisant pour ses membres et qui nous occupe assez pour pas qu’on s’ennuie. Du coup, quand il s’agissait de tisser des liens entre opérateurs du réseau, même entre concurrents directs, ça se passait plutôt bien et on pouvait espérer, en France en tout cas, passer plus de la moitié de son trafic directement vers l’opérateur de destination (le fameux peering).

D’une part c’était gratuit (pas dans le sens ou ça ne coute rien, il y a toujours des frais matériels inhérents à une connexion réseau) mais dans le sens ou qu’importe le volume de trafic échangé, la facture ne change pas à la fin du mois, et surtout, chacun paie sa part. D’autre part, les échanges directs permettaient de s’affranchir des intermédiaires techniques qui sont autant de points de pannes et saturations potentielles qui nous empoisonnent la vie.

De mémoire (on me corrigera si je me trompe), en France, le premier à avoir changé la règle du jeu a bien sur été France Télécom et ce pour une raison purement mercantile. Ben oui, pourquoi donner gratuitement, et à des concurrents en plus, ce qu’on peut leur vendre ? En l’occurrence, France Télécom, en plus d’être fournisseur de téléphonie et d’Internet, a aussi une filiale qui vends du transit en grosse quantité a des opérateurs (OpenTransit). Mission accomplie, maintenant, quand un opérateur petit ou moyen veut avoir une bonne connectivité vers les clients Orange (et c’est quasi une obligation dans notre métier), il va acheter une porte d’accès chez OpenTransit et la paie à la consommation.

Les autres ont suivi dans cette voie, et c’est le cas un peu partout dans le monde, maintenant, si un nouvel opérateur se monte, il n’obtiendra aucun peering avec qui que ce soit (d’intéressant, s’entends, d’un point de vue technique), ou en tout cas, pas un peering gratuit. Mais si France Télécom l’a, à l’origine, fait pour gagner de l’argent, les autres fournisseurs d’accès disent aujourd’hui que c’est pour ne pas en perdre.

L’argument massue est donc “si vous voulez écouler votre trafic correctement, il faut financer notre réseau”. Vous vous doutez de l’argument contraire : “pourquoi on paierai puisque d’une part ce sont vos clients qui font venir ce trafic sur votre réseau et que d’autre part ils vous paient un abonnement pour ça ?”

Alec (le même que ci-dessus) a développé une théorie intéressante sur le blog de FDN qui est d’affirmer, en gros, que le prix payé par l’abonné permettait, avant le “web 2.0″ de financer la totalité du réseau mais que maintenant qu’on a le “web 2.0″, 30 euro ça ne suffit plus, en ajoutant à cela que le prix payé par l’abonné l’est pour du “best effort” (lire “on fait ce qu’on peut, si t’es pas content, tant pis pour toi”). On a furieusement envie de répondre “ben continuez à faire ce que vous pouvez pour ce prix la, et si certains abonnés veulent payer plus cher pour avoir mieux, laissez leur la possibilité de le faire”. Mais non, c’est interdit de toucher à la facture de l’abonné (sauf bien sur s’il s’agit de compenser les taxes qui poussent comme des champignons)

Vous me direz, puisque de toute façon les fournisseurs d’accès disent ne plus vouloir faire de peering gratuit (sauf quand ça les arrange ou que c’est pour les potes, mais chut, il n’y a pas de discrimination, ils respectent tous à la lettre les articles L.34-8, L.37-2 & D.99-11 du CPCE, puisqu’on vous le dit), et qu’il faudra de toute façon payer un fournisseur de transit pour écouler ce trafic, pourquoi ne pas l’acheter directement au FAI ? Bonne idée, mais :

• C’est entrer dans leur jeu, et franchement, c’est assez déplaisant de se faire forcer la main sur un argumentaire qu’on considère comme bidon
• On peut aussi l’acheter au même fournisseur de transit que le FAI en question, ça coutera grosso modo le même prix, mais avec la satisfaction, en plus, de savoir que le FAI aussi paiera pour recevoir le trafic en question (même si c’est une broutille dans leur comptabilité, c’est très plaisant)
• Certains se font un malin plaisir à imposer un quota minimum lorsqu’on souhaite leur acheter du trafic, pour d’obscures raisons de simplicité de gestion et de facturation. C’est par exemple le cas de Free qui ne vends pas moins d’1Gbps, soit 6000 Euro par mois tout en continuant à dire qu’il ne fait aucune discrimination dans le droit d’interconnexion pour accéder aux abonnés. SFR, pour sa part, ne réponds même pas ou alors par l’intermédiaire du service client pour les particuliers qui conseille vivement de prendre une neuf-box-de-sfr-désolé-bgp-je-ne-sais-pas-ce-que-c’est. Notez qu’on peut, par contre, tout à fait acheter 10Mbps à France Télécom si on veut.

Et puis surtout :

• Les FAI disent ouvertement que le problème vient d’une poignée de gros fournisseurs de contenu
• Ces mêmes gros fournisseurs de contenu, pour l’immense majorité, se contrefichent totalement du petit fournisseur d’accès
• Mais le FAI applique quand même sa nouvelle politique consistant à dire qu’il faut payer
• Et qui trinque ? le petit fournisseur de contenu qui, lui, finalement, ne pose aucun problème technique ou commercial au FAI mais qui devra quand même choisir entre payer très cher un peering direct ou souffrir des problèmes posés par un intermédiaire pour ne pas se ruiner

En bref, on est toujours plus petit que quelqu’un et plus gros qu’un autre, et quand on se fait taper dessus par le plus gros, on a tendance à vouloir à son tour taper sur le plus petit, absolument sans aucune raison valable, juste histoire de donner le change et de se venger de la vie.

C’est un peu comme la récréation à l’école, Internet, quoi. Sauf que des fois, à la récréation, les petits en ont marre et finissent par se grouper pour coller un pain au grand. Remarque, ça finira bien par arriver un jour sur Internet, les fournisseurs de contenu ayant le contenu captif chez eux sans aucun risque qu’il s’en aille ailleurs, ils sont avantagés par rapport au FAI qui, une fois l’engagement passé, peut perdre ses abonnés du jour au lendemain.

Dans un prochain billet, je vous parlerais de la neutralité des réseaux et de l’immigration choisie des vilains paquets transportant des contenus illégaux.

Internet n’étant qu’une entité abstraite, on le trouve maintenant presque partout. Accrochés aux poteaux téléphoniques, ce sont les câbles plus visibles et qui sont souvent faits de cuivre, mais à présent aussi contenant de la fibre optique, on en trouve même enroulés autour des fils à haute tension (ce qui était infaisable avec du cuivre).

Mais le gros du câblage constituant internet n’est pas dans les airs. Il n’est même pas non plus sous nos pieds sagement rangé dans les égouts ou les galeries techniques, non, la plus grande quantité de câble se trouve au fond des mers et des océans. Les premiers tests de câbles sous marins, à l’époque isolés au caoutchouc, remontent a 1838 (voir un petit historique du câblage sous marin). L’image illustrant ce billet est l’état du réseau sous marin d’Alcatel en 2007.

Depuis, on en tire de nouveaux très régulièrement, au gré des nouvelles technologies à la mode, mais il semble, comme dans l’espace, relativement rare qu’on s’intéresse beaucoup aux anciens devenus inutiles. J’ai dégotté un article bien sympathique et très détaillé sur un bateau câblier en mission.

Et enfin, pour rejoindre le fil sur les datacenters, ces câbles finissent tous, au moins à un bout, dans une sorte de datacenter. Pour les câbles finaux desservant les abonnés, ils se rencontrent dans un NRA, noeud de raccordement abonnés, qui se transforme en NRO, noeud de raccordement optique, pour bien faire comprendre aux gens qu’on parle de fibre optique, de la repartent d’autres fibres optiques vers d’autres noeuds, et ainsi de suite de noeuds en noeuds.

Mais il existe aussi des noeuds vers lesquels on ne peut pas aller avec un câble. C’est le cas de certaines régions très reculées du monde, mais aussi beaucoup plus simplement le cas de votre téléphone portable. Internet est donc partout autour de nous, pas seulement dans le sens subjectif qu’il est un élément de plus en plus important dans nos vies mais bien au sens réel du mot, Internet est dans les ondes. Et si vous n’êtes pas dans une zone ou votre téléphone portable capte, vous pouvez être sur qu’un satellite vous arrose quand même de la haut.

TeleGeography propose diverses cartes plus ou moins exactes à propos des télécommunication en général, à voir !

Je vous expliquerai un autre jour comment le trafic se promène dans tous ces noeuds et les infinies possibilités de connexions qu’ils ont entre eux sans se perdre entre vous et la personne avec qui vous discutez sur MSN.

En deux mots, on apprends sur le petit papier en question qu’on a été verbalisé, que le propriétaire du véhicule va recevoir un PV par la poste, mais c’est tout.

Alors, d’un coté c’est bien, ca évite les majoration pour non paiement quand les petits malins s’amusent a récuperer les PV sous les essuie glace des gens, et puis ça simplifie probablement le travail des pervenches qui ne risquent plus, maintenant, de faire des PV avec vice de forme. mais :

• Certains n’ont peut être pas envie que le proprio du véhicule reçoive un PV par la poste (les femmes de maris jaloux, les enfants de parents suspicieux, …)
• Les petits malins peuvent toujours prendre le papier, du coup, on a la surprise le matin dans la boite aux lettres
• Cela veux dire que les pervenches ont accès au fichier des immatriculations, au moins pour Paris, encore une prolifération du fichage
• Et surtout, on sait même pas combien on doit :)

A quand un Paris sans voitures ?

Censurer quelque chose ne l’a jamais fait disparaitre, et, en la matière, on ne le répetera jamais assez, le but de la lutte contre la pédophilie est d’une part de retrouver les enfants qui en sont victime pour les aider, et d’autre part d’enfermer les coupables.

De toute façon, force est de constater que, comme d’habitude, les gens qui le veulent peuvent acceder aux contenus, y compris en Chine. C’est l’objet d’un article de RWW de ce matin, se posant des questions sur le pourquoi du comment Google redirige à présent ses visiteurs chinois vers sa plateforme de Hong Kong qui n’effectue aucun filtrage.

Dans notre petit pays à nous, les industries de la musique, du cinéma, et de l’art en général luttent pour la survie de leur modèle actuel.

Après le vilain peer2peer à qui l’Hadopi était censée tordre le cou, les politiciens commencent à entendre parler de megaupload et autres sites d’archives videos. On va donc logiquement attendre encore 3 ou 4 ans avant d’assister à l’accouchement pénible et difficile d’une loi idiote et de sa soeur jumelle, une nouvelle haute autorité quelconque.

Encore plus drôle dans ces affaires de luttes contre le progrès (voir un article de Numerama à ce propos), le SNEP va devoir se creuser la tête pour trouver un coupable pour la nouvelle baisse de chiffre d’affaire du premier trimestre 2010, juste après la promulgation d’Hadopi, alors qu’il y avait eu une hausse au premier trimestre 2009, période pendant laquelle aucune loi censée être intimidante n’avait encore vu le jour.

Pour mémoire, avant Hadopi, le téléchargement et la conservation illégale d’oeuvres protégées était punis de 3 ans de prison et 300.000 Euro d’amende. Maintenant, grâce à Hadopi, on ne risque plus que de perdre sa connexion Internet, une sanction financière maximale d’environ 400 € si je compte bien, et qui n’ira même pas dans la poche de l’état ou des personnes qui se sentent lésées, non, ça ira dans la poche du fournisseur d’accès.

Peut-être qu’après avoir attaqué le peer2peer, les sites de partages de vidéo en ligne, ils vont se mettre à usenet, au FTP, et pourquoi pas à l’USB. Ben oui, les vilains pirates qui copient 500GO de films et de mp3 d’un seul coup sur un petit disque dur, c’est la faute de l’USB !!

A force, ils finirons peut etre par assimiler que :

• le méchant, dans l’affaire, ce n’est pas madame Michu
• ils ont systématiquement 5 ou 6 trains de retard, faute de conseillers techniques avisés et entendus
• et surtout, qu’ils ont déjà un arsenal juridique disponible pour réprimer les contrefacteurs

Mais pour que tout ça fonctionne, il faudrait encore que le système judiciaire puisse traiter rapidement les cas présentés, et quand on voit qu’il faut un à deux ans pour obtenir gain de cause aux prud’hommes après un licenciement abusif (largement le temps de refaire sa vie, en gros), on imagine très bien comment ça se passe dans un tribunal d’instance ou de grande instance.

Fort heureusement, certains artistes prennent déjà les choses en main et ont bien compris comment utiliser à leur profit l’outil tant décrié par leurs camarades (voir mon billet à propos de Lady Gaga).

Wordpress utilise, pour l’internationalisation, un format à base de scripts stockés dans des fichiers .PO qui doivent etre ensuite compilés en .MO pour être utilisable.

J’ai bien un fichier en_US.mo livré avec le thème, mais pas de .PO. Qu’a cela ne tienne, poedit dispose d’un petit outil bien pratique pour le décompiler en .PO :

msgunfmt [fichier.mo] > [fichier.po]

On peut ensuite, à loisir, éditer le fichier PO produit pour traduire ce qui doit l’être, puis sauvegarder le nouveau fichier PO sous un autre nom, par exemple fr_FR.po. poedit crée automatiquement un fichier messages.mo contenant la version compilée. Il suffit de renvoyer ce fichier avec le bon nom (fr_FR.mo par exemple) sur le serveur et configurer son Wordpress pour utiliser le codex du même nom.

Reste généralement la présentation de la date et de l’heure sur le blog. Wordpress prévoie cette configuration mais bien peu de thèmes utilisent cette fonctionnalité. Il faut donc aller se le faire à la main dans les fichiers PHP du thème. L’appel qui nous intéresse est du genre :

<?php the_time(‘F jS, Y’) ?>

Ce qui donne un format type “Mars 23rd, 2010″. En bon français, on apprécie “23 mars 2010″, il faut donc changer la ligne pour avoir :

<?php comment_date(‘j F Y’) ?>

Vous trouverez la liste complète des directives dates & heures ici.

(pour ceux que ça intéresse, la traduction française du MO du thème NeeWee, c’est là. A renommer en fr_FR.mo et à mettre dans le dossier du thème, évidemment)

53% pour la gauche au niveau national, c’est honorable vu la façon qu’ils ont de se déchirer en interne depuis que Mitterand n’est plus la, mais ce n’est certainement pas écrasant.

Et puis j’ai toujours du mal à comprendre comment on peut avoir un président de droite quand la majorité des régions sont a gauche depuis des lustres … Alors je sais, les suffrages ne sont pas exprimés de la même façon, il doit même y avoir des électeurs qui préfèrent l’UMP à l’Élysée mais la gauche dans leur commune/région, mais du coup, dans notre petite ville provinciale, nous vivons le paradoxe d’une mairie de gauche élue par une “écrasante majorité” de 17% de la population, dans un département de droite, lui même dans une région de gauche, elle-même dans un pays gouverné et dirigé par la droite.

Heureusement, la presse est la pour nous faire rire ! Du coup, Vincent a suggéré une autre ce matin en lisant ça : “C’est de la balle, Huchon !”

J’ai aussi lu quelque part que certains nouveaux élus se disaient “prêts à l’action” pour nos régions, arguant qu’ils avaient deux ans devant eux.

Ah bon ? Deux ans ? parce qu’avant ils n’avaient aucune légitimité pour faire quoi que ce soit (ce qui explique donc qu’ils n’aient rien fait) et que dans deux ans, ils ne pourront plus rien faire ?

Si on en croit les chiffres, il y avait, l’année dernière, 44 millions d’inscrits sur les listes électorales et, au 1er janvier 2010, selon l’insée, 64.6 millions d’habitants dont 14.2 millions de moins de 18 ans.

Nous avons donc autour de 50 millions de gens en mesure de voter mais 44 millions inscrits. Ça fait déjà 6 millions de non inscrits, soit un peu moins de 10% de la population globale et 14% de la population inscrite. Je n’étais donc pas le seul, ouf !

Non inscrit, pourquoi ? Premièrement parce qu’on m’avait dit que le recensement entre 17 et 18 ans emportait l’inscription militaire et l’inscription sur les listes électorales, un devoir et un droit, somme toute. Ça me paraissait équilibré, sauf que j’ai bien été inscrit pour le service militaire (2 ans à me battre pour ne pas le faire) mais pas sur les listes électorales.

En bon rebelle que j’étais comme on l’est souvent à 20 ans, je me suis dit “la France ne veut pas de moi autrement que pour ramper dans la boue ? je ne veux pas d’elle non plus”. Puis, à force de voir défiler les élections, je m’y suis un peu intéressé quand même, mais rien ne m’a poussé à aller m’inscrire. J’étais devenu contestataire non-inscrit.

Ce n’est qu’il y a 2 ans, a l’occasion d’un déménagement qui m’a amené d’une ville de banlieue banale à une ville de province de plus petite taille, que je me suis enfin dit que ma voix allait pouvoir servir à quelque chose. Les parties en présence avaient l’air d’avoir des arguments valables et de faire des choses concrètes pour la population (bien ou mal, je jugerais plus tard, mais au moins, ça bouge)

L’histoire politique locale m’a fait voter au centre aux dernières municipales, par conviction et confiance dans l’homme qui le représentait. Pas passé, tant pis, c’est le jeu ma pauvre Lucette.

Mais depuis (présidentielles et aujourd’hui régionales), c’est blanc à tous les étages. NON, je ne me reconnais dans aucun parti. NON, je ne crois pas que la gauche fera mieux que la droite (ni l’inverse), NON je n’ai pas peur de faire le jeu des extrêmes en votant blanc, et OUI j’aimerais que le vote blanc soit reconnu pour ce qu’il est : l’expression qu’aucun choix proposé ne convient, et que le code électoral soit modifié en conséquence, avec, pourquoi pas, l’ajout d’une obligation de voter comme en Belgique.

Un article intéressant de la RAJF, bien que datant de 2002.
Un plus récent, sur AgoraVox
Le site du vote blanc.

Le secret d’une communication efficace, c’est l’utilisation d’un langage commun. Pas seulement la langue, mais la façon dont on s’en sert. En l’occurence, tout le monde aujourd’hui utilise IP, à la fois langue et langage, pour faire communiquer divers équipements. Et même si c’est encore, pour l’instant, relégué au rang du film de science fiction, les vingts années à venir seront celles du “tout-IP”, on en trouvera même dans les fours et les cafetières.

Mais le besoin de se mettre d’accord ne s’arrête pas la. Internet est connu pour être un réseau décentralisé (héritage de la volonté d’origine dont je parlais dans le billet précédent). En réalité, il n’est pas décentralisé, il est acentré, permettant une pérénité quasi sans faille pour l’information qu’il contient :

Benjamin Bayart, président de FDN

La faiblesse du Minitel était qu’il était un réseau centré. L’avantage d’Internet est d’être décentralisé. Et même acentré. C’est ce qui fait tout la différence entre Internet et les autres réseaux. Et ce qui permet à chacun d’innover. Là, on est à cheval entre les deux. Il y a une citation de Linus Tovalds (créateur du noyau Linux) qui disait en 1995 : « les backups c’est pour les fillettes, les vrais hommes mettent leurs données sur un serveur FTP et laissent le reste du monde créer des miroirs. » Or si vous regardez le noyau Linux, son code source est un paquet de données, au même titre qu’un film ou qu’un livre, dont toutes les versions, depuis la première en 1991-92, sont sur le net. Comme elles sont librement copiables, il y en a des centaines de milliers de copies. Chacun de ces sites peut disparaître, on ne perdra jamais son contenu.

L’acentralisation mène soit à l’immobilisme, soit à l’anarchie sauf si l’ensemble des membres concernés arrivent à se mettre d’accord. Il faut donc des gens pour faire avancer les choses mais sans qu’aucun n’ai la complète main mise sur un point critique (No SPoF)

Internet est donc “géré” par de multiples instances, crées au gré des besoins, quasiment toutes constituées sous forme d’associations réunissant différents acteurs du réseau et ayant chacune une mission bien précise (liste non exhaustive) :

• l’ICANN (Internet Corporation for Assigned Names and Numbers) qui centralise la gestion des ressources numérotées (adresses IP et autre) et des noms de domaine
• l’IETF (Internet Engineering Task Force), structure informelle composée d’une centaine de groupes de travail qui planchent sur les normes utilisées par tous et sur l’évolution d’internet en général (publication de RFC)
• l’ISOC (Internet Society) qui a pour rôle de veiller à la progression et à la bonne marche d’internet

Et enfin, chaque acteur du réseau doit lui même se mettre d’accord avec ses voisins pour que le réseau puisse exister. Internet n’est rien sans les réseaux qui le composent et ils sont tous d’accord (moyennant finance, ou pas) pour faire transiter une partie du trafic d’un point A à un point B, même si ces deux points ne sont pas nécessairement sous leur juridiction. C’est la base de la neutralité, et les réseaux ne sont théoriquement pas censés aller fouiller dans le trafic qu’ils écoulent, ni le modifier, ni donner la priorité à l’un plutôt qu’a l’autre.

Aujourd’hui, certains organes politiques un peu partout dans le monde ont une dent à la fois contre le fait qu’internet n’ai pas d’organe central qui soit attaquable et également contre la neutralité. Aucun n’a manifestement encore compris que l’internet est un organisme vivant qui s’adapte très vite et que toute tentative de limitation ou de censure trouve réponse dans la demi journée qui vient pour permettre a ceux qui s’en donnent les moyens de continuer à accéder à l’information

Par exemple, après le séisme en Haiti, suite à la coupure de la quasi totalité des moyens de communication avec l’ile, les responsables techniques de plusieurs réseaux un peu partout dans le monde se sont coordonnés d’eux même, sans décideur, sans volonté politique aucune, et surtout sans l’aval du pays en question, pour établir une configuration permettant aux sites en .HT d’être toujours joignables sur internet.

Les plus extrémistes lancent immédiatement des “ça se passait comme ça dans les chambres à gaz”, mais revenons sur terre, ce documentaire vise principalement à démontrer la main mise de la télé sur nos vies et notre jugement et la nécessité de conserver, en toute situation, son libre arbitre et sa morale.

La discussion dévie fatalement très rapidement sur l’éducation et on se demande très vite comment faire pour que nos enfants d’aujourd’hui ne se transforment pas en tyrans de demain simplement sous le joug d’une influence dont ils ne se rendront peut-être même pas compte. Et soudain, c’est le drame, comment faire comprendre à un enfant qu’on essaie de faire obéir (pour avoir la paix, le plus souvent, il faut le reconnaitre) qu’il est doté d’un libre arbitre et qu’il devra l’aiguiser avec le temps pour pouvoir s’en servir a bon escient plus tard pour transgresser des ordres ou obligations qui lui seraient imposées, y compris par ses propres parents ?

Parce que finalement, c’est interdit de griller un feu rouge. Pourtant, quand une ambulance toutes guirlandes allumées et sirènes hurlantes se pointe derrière vous, vous grillez le feu sans vergogne pour la laisser passer. C’est du libre arbitre. Et le policier qui vous voit faire de l’autre coté du carrefour et qui ne vient pas vous sermonner aussi, c’est du libre arbitre.

Et nous voila arrivé au fond d’un des problèmes de notre société moderne, le libre arbitre est en chute libre pendant que l’assistanat gagne du gallon.

Edit : un article intéressant de Rue89 qui effectue un parallèle avec des situations identique chez les animaux.

D’une part, c’est fort bien, ça jugule aussi sec les centaines, voir milliers, de vidéos illégalement diffusées par des particuliers qui sont généralement décevantes, quand elles ne sont pas incomplètes ou désynchronisées. Par la même occasion, on ne parle plus de piratage .. puisqu’on se demande bien pourquoi pirater ce qu’on peut avoir gratuitement.

D’autre part, ces artistes, bien que déjà connus, se font bien voir de leur public et fidélisent ainsi. Depuis bien longtemps les journaux ont, sur leurs sites, adopté le modèle du “payant pour avoir tout de suite, gratuit après” et force est de constater que ça fonctionne plutôt pas mal (sauf pour quelques uns qui continuent a vouloir vendre des articles contenant des infos vieilles de plusieurs mois).

Le monde du cinéma tarde a s’y mettre, probablement parcequ’il est encore de nos jours plus long d’échanger un film que d’échanger un clip de 3 minutes ou un MP3, mais les sites comme celui de MegaUploads finiront bien par leur faire entendre raison un jour ou l’autre et le modèle économique changera.

En attendant, on constate que les sorties de film à synchronisation mondiales se multiplient, que les sorties en DVD arrivent de plus en plus vite après les sorties en salles et que les catalogues de VOD s’enrichissent à la même vitesse.

Peut-être bientôt un monde ou on continuera à payer pour aller voir les films en grand et au calme lors de leur sortie mais ou on pourra se les regarder et re-regarder gratuitement, bien au chaud à la maison, en bonne qualité, une qualité qui donnera envie d’aller le voir en salle les prochains films des acteurs / réalisateurs / scénaristes en question.

Le W3C a publié un draft pour une API javascript permettant, sur les équipements pourvus de GPS, d’obtenir les coordonnées de l’équipement. L’OS3 de l’iphone embarque ces possibilités, autorisant enfin les webapp à faire de la géolocalisation.

J’ai trouvé un article fort bien fait sur le sujet spécifiquement appliqué à safari et donc aux iphones et je me suis lancé dans une appli toute bête qui va discuter avec Geonames pour vous afficher l’endroit ou vous vous trouvez. Ça se passe par ici : http://www.spyou.org/gps/ (a aller voir, bien sur, avec un iphone ou autre terminal sachant discuter avec un GPS et embarquant l’API concernée)

Geonames ne fournissant, en dehors des US, que des infos sur les communes et pas sur les rues, ca ne va pas bien loin, mais ça ouvre la porte aux techno de check’in par webapp et autres amusements tendances dans les réseaux sociaux de nos jours.

Edit : j’ai réparé ma démo que j’avais laissé en piteux état il y a quelques temps :)

Un datacenter, c’est d’abord un gros bâtiment comme celui juste à droite (en l’occurence, les datacenter PA2 et PA3 d’Equinix et les salles de Digital Realty Trust, situé à Saint-Denis, et vus du dessus) Vous voyez, sur le bas de la photo, des dessins qui ressemblent à de petites grilles ? Ce sont des places de parking, ça vous donne une idée de la taille de la chose.

Ensuite, pour faire un datacenter, il faut de l’électricité, beaucoup. Elle arrive généralement en moyenne tension (20.000 volts, tout de même) et est convertie sur place dans des salles comme celle-ci. On y entends un bourdonnement caractéristique de la haute tension et qui fait plutôt froid dans le dos. Mieux vaut ne pas y mettre les mains.

Arrive ensuite le moment de sécuriser l’électricité. Le moyen le plus utilisé de nos jours est d’empiler un énorme tas de batteries pour constituer un gigantesque onduleur qui n’a pour unique but que la fourniture de courant aux équipements du datacenter pour une durée allant de 5 à 20 minutes, le temps, en fait, que les générateurs au fioul démarrent et fournissent la puissance necessaire pour assurer l’exploitation. Si l’interruption électrique dure, il faut alimenter les cuves en fioul toutes les 24 à 72h selon la capacité des cuves en question.

Il existe aussi des moyens moins répandus tel que le volant à inertie (une espèce de grosse masse métallique circulaire dont la rotation est maintenue en permanence par le courant électrique qui y entre, et quand il n’y a plus de courant, le volant continue a tourner sur son inertie pendant quelques minutes, produisant ainsi de l’électricité. Avantages : ça ne bave pas de produits toxique et ça n’a pas besoin d’être remplacé. Problèmes : ça consomme un peu d’énergie, ça pèse très lourd et ce n’est pas déplaçable à chaud (ceux qui ont une Powerball savent ce qu’il en est)

Quoi qu’il en soit, ces solutions ne tiennent au mieux que quelques dizaines de minutes. Pour après, il faut un bon vieux moteur qui va produire sur du long terme. Evidemment, il est un peu plus gros que celui de votre voiture. Il fait un peu plus de bruit aussi. Pour bien faire, on en met au moins N+1 (c’est a dire le nombre minimum strictement nécessaire pour fournir la puissance idoine plus un). Certains en mettent N+N (donc le double du nécessaire), d’autres fanfaronnent a N+N+1, certains malades vont même jusqu’à 3N. Quand on sait que 95% des problèmes électriques sont dus a des erreurs humaines et pas a des pannes, ça laisse pensif.

Nous voila désormais équipés pour faire face à une catastrophe majeure (quoi qu’on se demande bien si on aura réellement besoin d’un datacenter le jour ou il n’y aura plus de courant pendant longtemps).

Maintenant, il s’agit de connecter tout ceci à Internet.  Ce sera l’objet du prochain article de la série.

Je recherche des participants pour un projet centré autour des transports en commun, principalement destinés à ceux qui les utilisent quotidiennement sur de longs trajets.

Compétances recherchées :

• développement (php / mysql / travail avec wordpress)
• bonne connaissance des réseaux sociaux (facebook, twitter, viadeo, …)
• graphisme

Si en prime vous êtes utilisateur quotidien des transports en commun, c’est encore mieux.

Ce n’est pas un projet censé être rémunérateur, par contre, c’est censé apporter beaucoup de fun à terme. Contactez-moi !

C’était semble-t-il symptomatique de notre génération, cette (vilaine, selon certains) manie de vouloir tout démonter (surtout ce qui était électronique et coutait les yeux de la tête) pour comprendre comment ça marche.

Les générations précédentes étaient complètement larguées devant l’accumulation rapide des connaissances et compétances des jeunes à ce sujet. Certains se sont rattrapé depuis, on trouve même des grands mères sur Twitter !

Mais les générations suivantes voient plus l’informatique comme un outil. Tant que ça marche pour aller sur Facebook, c’est bien, et quand ça marche plus ou que c’est trop vieux, on balance à la poubelle et on remplace. Je concède qu’il est plus difficile de jouer avec un fer a souder dans un ordinateur récent que dans ceux d’il y a 20 ans, mais quand même.

Non que ce soit un mal de renouveler souvent le matériel (sauf peut-être d’un point de vue écologique), mais bien peu de jeunes gens de nos jours savent comment fonctionne un ordinateur, a quoi sert un bus, voir même pour certain ce qu’est un bit. Conséquence inévitable, lorsqu’on ne connait pas le fonctionnement intrinsèque de son outil, on est très vite handicapé quand il ne tourne pas rond.

Conséquence suivante, la moyenne d’age des travailleurs d’internet étant jeune, quand la majorité des employés d’une entreprise ne connaissent pas l’outil, des bourdes dues à la méconnaissance des technologies conduisent à des conséquences plus ou moins grave. Hier, la SNCF communiquait sur la première page de son site à propos d’un accident de TGV dramatique mais .. inexistant et en début de semaine, la même boite s’aperçoit qu’elle a laisser filer sur Internet une partie de son fichier client contenant des informations nominatives.

Alors messieurs les décideurs, pour la bonne santé de votre business, faites attention dans vos recrutements et essayez, en matière d’informatique et d’internet en tout cas, de privilégier les compétences plutôt que la tenue vestimentaire.

Et pour les petits curieux (il en existe encore, fort heureusement), je tâcherais d’alimenter ce blog avec des articles éclairant le fonctionnement général de tous nos beaux outils.

On y découvre en détail ce qui pourrait bien être l’avenir des majors qui se lamentent depuis plusieurs années à propos du piratage qui serait la raison maitresse de la baisse de leur chiffre d’affaire.

Extrait (Voir l’article entier):

Un aperçu du business de la musique de demain ?

Reste que le saut quantique opéré par l’artiste est tout aussi conséquent que celui réalisé en son temps par Michael Jackson quand il a élevé le vidéo clip au rang d’art, il y a vingt cinq ans, changeant radicalement les règles du jeu du business de la musique.

L’expérience proposée par Jackson dans les années 80 était télévisuelle et universelle, celle que propose Lady Gaga est interactive et individualisée, tout en étant communautaire et mondiale.

Nul doute que de nombreux artistes sauteront à leur tour le pas (certain l’on déjà fait, mais probablement pas de façon aussi flagrante), nul doute que de nombreux John Landis 2.0 ou Michel Gondry 2.0 seront également révélés par la même occasion. Non, le business de la musique n’est pas mort, loin de là, et le chemin que montre Lady Gaga rend le partage de mp3 parfaitement inoffensif.

Tout comme l’imprimerie à mis les copistes au chômage, tout comme la télé à quasi confiné l’usage de la radio à la voiture, le net est entrain de réduire à peau de chagrin les parts de marché et les domaines de compétence de la télé, des majors et de pas mal d’autre chose. Bien ou mal ? Va savoir. Une chose est sûre, ça ne va pas s’arrêter demain.

Certains commencent quand même à réagir de différentes façon. Qobuz propose par exemple, à un prix plutôt abordable, un forfait streaming haute qualité sur l’ensemble des catalogues disponibles et Noomiz prends à contre pied les télés-réalités censées dénicher de nouveaux talents en effectuant un vrai travail d’accompagnement et de direction artistiques avec de jeunes pousses fort prometteuses.

Enfin, un autre article de RWW au sujet des évolutions d’habitude production et de consommation des médias, cette fois ci concernant la BD.

Il parrait que le 5 mai prochain, internet va s’arrêter pour 24 heures, pour une sombre histoire de mise à jour. Difficile a avaler non ? Mais l’article est diablement bien fait et la date correspond pile poil au jour de la signature DNSSec du dernier root-server DNS mondial qui n’y aura pas encore eu droit, le J.

Et en fait, l’article traite bien de ça. Plutot surprenant, mais rassurant un peu quelquepart, pour un magasine adressé à un publique si jeune, à l’heure ou de nombreuses personnes s’inquiètent du peu de curiosité de la jeune génération pour les questions de fond en matière technique.

J’ai dégotté l’article scanné, ça se passe ici.

Et le plus drôle dans tout ça, c’est qu’il va peut-être effectivement y avoir, à cause de ça, une masse de problèmes ce jour là. Pour le coté technique de la chose, si vous souhaitez vérifier la compatibilité de vos resolvers et, plus généralement de vos installations, il faut lancer un petit

$ dig +short rs.dns-oarc.net txt

qui va retourner quelquechose qui ressemble à ca :

rst.x4001.rs.dns-oarc.net.
rst.x3985.x4001.rs.dns-oarc.net.
rst.x4023.x3985.x4001.rs.dns-oarc.net.
"192.168.1.1 sent EDNS buffer size 4096"
"192.168.1.1 DNS reply size limit is at least 4023 bytes

C’est le dernier chiffre qui nous occupe, la taille limite de réponse DNS. Il faut que cette valeur soit autour de 4000. Si c’est trop bas, il faudra chercher tout ce qui, dans votre réseau, limite la taille de paquets UDP qui peuvent être reçus (firewall, ICMP bloqué, fragmentation impossible, MTU mal fichus, etc …)

Voir la recette complète sur le site dns-oarc (en anglais)

Et pour ceux qui se posent des questions sur le pourquoi du comment (beaucoup de gens viennent voir cet article, c’est amusant), Stéphane Bortzmeyer a fait un article de synthèse contenant beaucoup de liens intéressants ainsi qu’un second plus technique sur le sujet. Et pour ceux qui se posent des questions plus générales sur “comment ça marche les DNS ?” j’ai démarré une petite série d’articles à ce propos.

Liens vers d’autres bafouilles sur le poisson de SVJ :

• http://lesconcepts.fr/la-fausse-maintenance-d-internet
• http://whcv.forumactif.com/le-laboratoire-du-necrarque-f26/le-5-mai-2010-internet-ferme-pour-maintenance-t2923.htm
• http://www.commentcamarche.net/forum/affich-17053788-5-mai-2010-journee-sans-internet
• http://www.excel-newbies.fr/index.php/component/content/article/34-general/245-internet-coupe-pendant-24h-le-5-mai-2010