Autoblog de gordontesos.com

Ce site n'est pas le site officiel de gordontesos.com
C'est un blog automatisé qui réplique les articles de gordontesos.com

Je ferme mon blog

Mon, 26 Sep 2011 17:11:51 +0000 - (source)

Ceci est le dernier billet que vous pourrez lire ici. Je ferme, j’arrête.

Gordontesos.com va rester en ligne, sous forme d’archive statique. Mais plus de commentaires, ni de nouveaux billets. Plus jamais de ça.

Pourquoi ? Parce que j’en ai marre. De cette pression constante, à la foi des incessantes demandes de publication, des attaques personnelles gratuites, allant jusqu’aux menaces. Je veux bien défendre la liberté d’expression, mais face à ces trolls, ça ne vaut définitivement pas le coup. Il faut savoir se donner des priorités dans la vie. Pas mal d’entre vous  estimeront avoir gagné, ce à quoi je répondrai que couper l’envie à quelqu’un de s’exprimer est une piètre victoire.

Bref, c’est fini. Je ne remettrai plus les pieds ici.

Gordon

EDIT :

Wait… WAIT ! Mais pas du tout ! Celui qui me fera taire, renier mes principes ou me fera perdre l’envie d’écrire n’est pas encore né. Effectivement, je ferme ce blog, mais c’est simplement pour déménager sur un nouveau tout beau !

Et puis, c’est pas en tant que troll de guerre que je vais me laisser abattre, hein ! Alors hop, on se retrouve sur gordon.so, y’a de la bière au frigo !

Et bisou à Touff et Paul pour avoir lancé la mode du « j’arrête-de-bloguer-mais-en-fait-non ».


Cartes sur table

Fri, 08 Jul 2011 17:15:44 +0000 - (source)

Comme vous le savez probablement, 11 (!!) députés ont adopté hier un texte de loi mettant en place une nouvelle carte d’identité, bardée de puces, et liée à un fichier informatique recensant l’intégralité de la population, soit 45 millions d’honnêtes gens. C’est, comme bon nombre de choses que le gouvernement veut nous imposer depuis un certain temps, tout bonnement inacceptable.

Comme à chaque fois qu’une telle nouvelle est annoncée, le Parti Pirate et la Quadrature du Net se fendront d’un communiqué, mais, honnêtement, qui les lira en dehors des gens qui suivent cette actualité, et qui sont naturellement déjà convaincus ?

Je prend donc l’initiative de vous proposer une action « coup de poing » : puisqu’on veut mettre en place cette nouvelle carte, profitons au maximum des cartes actuelles.Rendez-vous en mairie et demandez à renouveler votre carte. C’est possible même si elle n’est pas expirée, et vous pouvez tout à fait indiquer la raison de ce renouvellement : vous refusez qu’on vous impose le fichage. Vous garderez le « modèle » actuel, et ce pour 10 ans.

Il serait souhaitable de faire de cette action un mouvement national de contestation. D’une part, ça protègera les citoyens contre cette mesure orwellienne, et d’autre part, ça enverra un message fort à l’Etat, qui pourra s’inquiéter de voir des renouvellements de carte au même moment. À partir d’un moment, combattre par les mots ne suffit plus, il est grand temps de procéder aux actions plus concrètes.

Relayez cet appel, refaites votre carte, incitez votre entourage à en faire de même, bloguez, etc.
Procédure de renouvellement (il faut se munir de l’ancienne carte, de 2 photos d’identité, d’un justificatif de domicile, d’un timbre et, si vous avez un nom d’usage, d’un papier d’identité de votre parent)

Pour ma part, je vais à la mairie dès demain.


Modèle de lettre : contre le filtrage d’Internet

Wed, 06 Jul 2011 12:52:15 +0000 - (source)

Ce billet arrive un peu tard, vu l’actualité parlementaire. Pour info, le contexte étant qu’une loi est actuellement en discussion à l’Assemblée Nationale, dont un article permettrait le filtrage de sites Internet. Pour plus d’infos, je vous conseille de vous rendre sur le site de La Quadrature Du Net, qui en parle très bien. Et, si vous en avez l’occasion, passez un coup de fil à votre député, là tout de suite, avant que cet article ne soit voté, pour peut-être faire changer les choses.

Pour ma part, j’ai contacté Jean-Michel Couve, dont l’attachée m’a proposé de lui écrire un mail expliquant mes arguments. Ce que j’ai fait, et je vous en livre ici le texte, à reprendre, modifier, améliorer, faire circuler, avant de le renvoyer à vos propres députés. C’est sous licence WTFPL, faites-en ce que vous voulez.

Bonjour.

Suite à mon appel de ce jour et sur le conseil de votre attachée parlementaire, je me permets de vous contacter pour vous exprimer ma vive inquiétude vis à vis du projet de loi renforçant les droits, la protection et l’information des consommateurs, et en particulier son article 10-VI-5°, qui, rédigé comme tel, permet à une autorité administrative de filtrer des sites Internet.

Étant administrateur système et président d’un FAI (Fournisseur d’Accès à Internet) associatif, je suis amené à travailler avec Internet au quotidien et de manière professionnelle. De part mes fonctions, je peux vous affirmer que le filtrage d’un site est une gageure technique et morale. Premièrement parce qu’une telle mesure ne résoud pas le problème car cela revient  à simplement cacher un site aux visiteurs potentiels au lieu de le faire fermer. La fermeture du site permettrait en effet d’empêcher quiconque d’y accéder d’une part et de poursuivre plus facilement l’éditeur du site devant la justice d’autre part. Deuxièmement,  un filtrage implique une mise en place de moyens techniques importants et démesurés par rapport au résultat escompté, résultat non fiable qui plus est ; il est en effet à la portée de n’importe quel internaute de contourner un tel filtrage. Enfin, le filtrage est extrêmement dangereux pour les libertés d’expression et d’information qui peuvent très rapidement être bafouées si cet outil, mis entre les mains d’une autorité administrative, devient un outil de censure inacceptable.

Les exemples prouvant l’inanité et les dangers d’une telle décision ne manquent pas, il suffit d’observer les pays dans le monde ayant mené une réflexion sur le filtrage : en Allemagne par exemple, le filtrage d’Internet a été abandonné, au profit de procédures plus efficaces pour obtenir la fermeture des sites Internet illicites (<http://www.laquadrature.net/fr/loppsi-lallemagne-renonce-a-la-censure-du-net>);  en Australie, la liste des sites filtrés a été rendue publique et a non seulement offert une visibilité supplémentaires à ceux-ci, ce qui est évidemment contraire à l’objectif recherché, mais il s’est surtout avéré que des sites tout à fait légaux avaient été injustement bloqués.

C’est en effet un autre des nombreux dangers de cette censure : seul l’organisme ordonnant le filtrage peut  vérifier la bonne exécution de celui-ci et limiter les dérives possibles, sans aucun contrôle démocratique (<http://www.pcinpact.com/actu/news/51172-filtrage-blocage-acma-liste-noire.htm>). Il est, par exemple, très courant, et c’est le genre de choses que je suis amené quotidiennement à effectuer, qu’une seule adresse IP d’un serveur héberge plusieurs, voire plusieurs centaines, de sites web, souvent sans aucun lien entre eux, c’est ce que nous appelons la mutualisation de plateforme et qui est au cœur des services d’hébergement dit mutualisé. Filtrer une adresse IP, c’est prendre le risque de bloquer injustement des sites tout à fait licites, et ce risque ne doit pas être négligé (<http://www.pcinpact.com/actu/news/51278-filtrage-blocage-site-pedopornographie-impact.htm>).

Nonobstant, je sais que plusieurs amendements ont été déposés pour pallier à ce problème, et retirer toute allusion au filtrage d’Internet de cette loi et je souhaiterais vivement que vous vous engagiez en faveur de ceux-ci :
- L’amendement CE 72, déposé par Laure de la Raudière;
- L’amendement CR 228, déposé par Corinne Ehrel et le groupe SRC,
- L’amendement CR 255, de Lionel Tardy.
Ces amendements sont, à mes yeux, absolument nécessaires pour éviter de voter une loi profondément attentatoire aux libertés et droits fondamentaux de notre République (tel que l’a rappelé le Conseil Constitutionnel (<http://www.conseil-constitutionnel.fr/decision//2009/decisions-par-date/2009/2009-580-dc/decision-n-2009-580-dc-du-10-juin-2009.42666.html>)

Notez enfin que mon inquiétude est partagée, non seulement par bon nombre de mes concitoyens, mais également par certains parlementaires : la mission parlementaire de Corinne Ehrel et Laure de la Raudière a demandé un moratoire sur les nouvelles mesures de filtrage d’Internet. De plus, le rapporteur spécial de l’ONU Frank La Rue s’est inquiété dans son dernier rapport de la multiplication des mesures de filtrages qui menacent les libertés. Je vous invite à prendre en considération ces messages.

Je me tiens à votre disposition pour toute information complémentaire. Vous pouvez me joindre au ** ** ** ** **, ou par mail, à <***@***>.

Je vous prie de recevoir, Madame, Monsieur le député, l’expression de mes sentiments distingués.


HTC et son service technique

Mon, 04 Jul 2011 19:50:33 +0000 - (source)

L’affaire est trop grosse, tout comme ma colère ce soir, pour que je me prive d’un article à ce sujet.

Je possède, depuis environ 10 mois, un nouveau smartphone, un HTC Desire Z, sous Android. J’étais globalement satisfait de cette acquisition, même si l’ergonomie du clavier physique était bien en deçà de ce à quoi m’avait habitué mon précédent smartphone (Blackberry Bold 9700). Mais plus que ça, je tiens à soulever qu’HTC, bien qu’étant un constructeur renommé avec de très bons appareils à son actif (c’est par exemple lui qui a été choisi par Google pour construire le Nexus One), sait faire de bien jolies interfaces, mais manque cruellement de testeurs, tant ses applications sont mal conçues, lourdes et extraordinairement bugguées.

À ce sujet, je vais d’ailleurs énumérer quelques-uns de ces problèmes, non sans la maigre satisfaction de savoir que cet article sera peut-être lu et fera réfléchir d’éventuels futurs clients de HTC :

Ce n’est évidemment qu’une petite liste de choses qui me viennent à l’esprit. Cependant, rien qui n’entache sérieusement mon utilisation de l’appareil. À noter tout de même la volonté de HTC de tenter d’empêcher le root de son appareil (il s’agit d’une opération de débridage permettant d’avoir le contrôle sur l’appareil, de supprimer des applications publicitaires inutiles mais rendues obligatoires par HTC, voire de changer de système Android). C’est pourtant l’une des raisons pour laquelle les bidouilleurs de tous poils apprécient Android. Il est extrêmement dommage de voir les constructeurs chercher à verrouiller ça.

Mais ce qui me fait écrire aujourd’hui est autrement plus problématique. Il y a de ça environ un mois, j’ai eu la très désagréable nouvelle de trouver un beau jour l’écran de mon téléphone comme ceci :

Non, je n'ai pas essayé de le scanner en tant que code-barres. Voyez-vous, mon lecteur de codes-barres était ce téléphone.

En plus de ça, j’ai découvert une amusante feature : la couleur des barres variait selon des paramètres utilisés. Mais je dois avouer que ça fait un peu cher le gadget qui fait des trucs colorés aléatoires. Bref, du jour au lendemain, l’écran m’a complètement lâché. J’ai cependant constaté que la partie tactile, ainsi que le reste du téléphone fonctionnait toujours (je parvenais à le débloquer à l’aveuglette, et j’entendais certains sons de notifications). Mais rien d’autre. Voyant que rien ne semblait vouloir rattraper l’animal, je me suis résolu à le renvoyer au SAV de Rue Du Commerce (le site sur lequel je l’avais acheté).

Malgré l’annonce de 4 à 8 semaines lors de l’envoi, c’est pendant 3 semaines, délais d’envoi compris, que j’ai été privé de tout contact avec la 3G. Car j’ai pu déterrer mon ancien HTC, mais celui-ci, pour une obscure raison, n’a pas été capable de communiquer en 3G avec cette carte SIM (et ce, même s’il semblait capter la 3G). Le temps d’un séjour à Paris, vous savez, le genre de truc où il est vraiment appréciable de pouvoir compter sur la 3G, un GPS, de communiquer facilement pour pouvoir se retrouver, etc. Je me sens comme un survivant, après ça.

Mais, quelques jours après mon retour, et après avoir appris que le téléphone avait effectué son périple chez le constructeur, je l’ai reçu aujourd’hui même. Mes réactions, par ordre chronologique :

  1. Youpi, l’écran fonctionne à nouveau ! Joie et allégresse !
  2. Ha, tiens, ils ont réinitialisé l’appareil. Merde, c’est chiant, je vais devoir tout reparamétrer, mais heureusement que mes données importantes étaient sur la carte micro-SD, que j’avais pris soin de ne pas envoyer avec l’appareil (d’ailleurs, j’ai oublié celle-ci à Paris. Mais elle est en sûreté :] ). Ho, et puis, ça me permettra de réinstaller à partir de zéro, avec l’expérience, ça va être rigolo.
  3. Bon, je teste rapidement les fonctionnalités, voir si tout est OK. Ouvrons un navigateur web. Ho shit, il en met du temps, pour charger cette page d’accueil (le site HTC). Vraiment beaucoup de temps. Ça fait plusieurs minutes qu’il n’a strictement rien chargé, il doit y avoir un problème (et je passe les messages « site indisponible »). Bon, c’est peut-être le site qui est down, je vais en tester un autre.
  4. Je déploie le clavier physique, et commence à taper machinalement l’URL d’un moteur de recherche, qui n’a pas l’habitude pour compter les coupures de service parmi les choses qu’on peut lui reprocher. Wait, j’ai raté des lettres, je retape. Toujours pas. Ho, bha tiens alors, en fait, plus de la moitié des touches physiques ne fonctionne plus du tout. C’est ballot, moi qui avais l’habitude d’utiliser au mieux notre alphabet. Et puis, la touche espace, mine de rien, ça peut servir.
  5. Au passage, même après avoir tapé via le clavier tactile l’URL, aucun site ne s’avère joignable.
  6. Ha, ben en fait, j’avais oublié, mais j’ai perdu tous mes contacts. Ça, c’est pas super drôle (bon, nuançons, j’ai pu en récupérer quelques-uns via mon compte google qui s’était synchronisé).

Là, je vous ai fait la version poétique avec des petites fleurs. Vous imaginez allègrement que ma réaction fut un poil plus verbeuse. S’ensuivit un appel rageur au support RdC, qui m’indique ne rien pouvoir faire. Ils m’ont néanmoins conseillé de contacter directement HTC, et de leur renvoyer l’appareil. À cette fin, et à ma demande, ils me font parvenir un bon de retour, m’évitant de devoir payer les frais d’envoi. Bon, sauf qu’en recevant ledit bon, il s’est avéré qu’il permettait d’envoyer l’appareil… à RdC, et non à HTC. Bravo les mecs. Ha, et petit conseil, évitez de mettre une musique d’attente si sa qualité est aussi mauvaise. Ça rend de mauvais poil.

Bon, appel du support HTC. Après une première tentative infructueuse, où je me suis rendu compte après avoir exposé mon problème qu’il n’y avait plus personne de l’autre côté, je réessaie, pour tomber sur un humain ou assimilé. Celui-ci s’est montré parfaitement courtois, et m’a, au bout de 30 minutes, indiqué les conditions de renvoi de l’appareil. Je ferai néanmoins une nouvelle demande à HTC, parce que je n’ai pas vraiment l’intention de prendre à ma charge les quelques 15€ de frais d’expédition pour une faute du support technique.

Voilà donc où j’en suis aujourd’hui : avec un smartphone avec écran mais sans clavier physique, et semblant souffrir d’un certain autisme vis-à-vis du 3G. Et une nouvelle indisponibilité de l’appareil à prévoir. Et avec ça, une rage assez prononcée. D’où cet article, qui, je l’espère, permettra à une ou deux personnes de réfléchir à un éventuel futur achat de produit HTC.

Mise à jour :

Épilogue moins négatif qu’il n’y paraissait initialement, le problème de réception 3G semble être dû à la réception chez moi, vraiment minable. Et, plus étrange, le clavier s’est progressivement remis à fonctionner intégralement. Quand je dis progressivement, c’est que le lendemain de la publication de ce post, seule la rangée du bas était morte (c’est tout de même un poil gênant pour la ponctuation de base ou la barre d’espace). Et, au cours de la journée, celle-ci est également revenue à la vie. Depuis, plus de souci, si ce n’est que quelques touches ont temporairement sauté aujourd’hui. C’est donc assez instable, mais je n’ai vraiment pas envie de le renvoyer à nouveau en SAV (d’autant plus que grâce à la présence d’esprit du service client RdC, je n’ai pas de bon de retour comme ils me l’avaient promis).

Cependant, j’ai remarqué un nouveau problème. Du moins, j’espère vraiment qu’il n’en deviendra pas un : l’une des 4 charnières reliant l’écran au clavier, et mécanisme permettant l’ouverture du smartphone, est manquante. À première vue, le mécanisme n’en est pas sensiblement plus fragile, mais je suppose qu’elle n’était pas là au hasard.


Le web, un danger pour Internet ?

Fri, 06 May 2011 14:58:13 +0000 - (source)

J’aime bien les titres honteusement racoleurs. Et si j’écris celui-ci, c’est pour faire part d’une réflexion plutôt technique sur les usages du réseau des réseaux.

Tout d’abord, pour ceux qui ne seraient pas totalement au fait de la situation, je préfère clarifier les termes suivants :

Maintenant, si on regarde l’évolution d’Internet, on remarque rapidement que le web a pris une importance exponentielle. Il y a 15 ans, il était utilisé pour publier des documents simples. Voilà ce qu’étaient les sites. Aujourd’hui, on publie et visionne des vidéos, on discute avec ses amis, on lit ses mails, on fait ses courses… Les usages n’ont plus rien à voir. Finalement, le web est devenu une sorte de plateforme de déploiement rapide d’applications.

Cependant, j’en viens à me demander si c’est une bonne chose. En informatique (comme en science, en général), les choses aiment bien être à leur place. Et, finalement, ce détournement de l’idée initiale de HTTP est un hack de très grande ampleur. Cependant, faut-il rester sur cet état ? Ne faut-il pas, dans un souci d’optimisation des protocoles, dédier chaque tâche à ce qui est réellement pensé pour elle ? Je pense notamment aux mails. Le mail, ce sont les protocoles POP, IMAP et SMTP (ainsi que leurs variantes encapsulées dans SSL/TLS). Mais un webmail (une page web permettant de consulter ses mails dans un navigateur), c’est du HTTP(s). Là où, lorsqu’on utilise un client logiciel, l’utilisateur utilise directement les protocoles adaptés à son besoin, il va rajouter une couche de HTTP pour joindre son webmail, qui joue le rôle de passerelle. Ainsi, la communication avec le serveur mail est abstraite, et on rajoute un niveau de lourdeur aux requêtes.

Le protocole IP est conçu pour que les paquets puissent emprunter le plus court chemin entre deux hôtes. Je suis convaincu que le même raisonnement devrait être appliqué à ce genre d’applications. Les utilisateurs de webmails justifient souvent leur choix (lorsqu’il est volontaire) par le besoin de pouvoir lire leurs mails en déplacement. Or, le protocole IMAP permet parfaitement de gérer cet usage. Même le POP permet de garder les messages sur le serveur. Et la nature ouverte des protocoles permet d’utiliser l’application cliente de son choix, voire d’en utiliser plusieurs (par exemple, selon l’endroit d’où on se connecte). Ainsi, je ne vois pas ce qui pourrait justifier l’usage d’un webmail face à une application native, d’un point de vue d’utilisateur. On peut arguer que le premier consomme bien moins de ressources, mais personnellement, quand je vois la consommation mémoire de mon navigateur (Firefox), je ne suis pas vraiment d’accord. Le fait est qu’utiliser un webmail rajoute un transport, une couche qui, comme tout logiciel ou protocole, peut avoir des faiblesses. Et, plus on complexifie la communication, plus elle faiblit (en termes de sécurité et performance).

J’ai pris l’exemple du mail, mais ça vaut pour une majorité d’usages qui sont fait du web aujourd’hui : les forums de discussions, les agrégateurs de RSS… Ces usages bénéficient d’un protocole (voire, pour le RSS, d’un simple format). Mais le commerce électronique ? Le microblogging ? Ce sont des applications qui n’existent que sous forme de sites web. Je pense que ces usages mériteraient d’avoir des protocoles propres, et évidemment ouverts, pour optimiser l’usage du réseau.

Prenons l’exemple du e-commerce. Celui-ci obéit à des normes invisibles, qui indiquent par exemple qu’une boutique dispose généralement de liste de produits, de panier d’achat, de procédure de commande. Pourquoi ne pas plancher sur un protocole spécialement pensé pour ça ? Ainsi, une boutique en ligne ne serait plus nécessairement un site web, mais pourrait être une application, et même plus : un utilisateur pourrait utiliser son propre logiciel pour interagir avec les boutiques de son choix, comme on le fait aujourd’hui avec un client mail et n’importe quel fournisseur.

Je pense que cet exemple peut s’appliquer à énormément d’usages actuels du web. Et je pense que le réseau ne s’en porterait que mieux : un protocole direct de e-commerce, ça serait l’assurance de l’interopérabilité, du fonctionnement, de l’optimisation… Par exemple, la plupart des interfaces de paiement en ligne fournies par les banques indiquent, dans leur page d’attente de la validation du paiement « ne retournez pas en arrière, ne rechargez pas cette page ». Pour moi, c’est juste un patch très sale pour dire à l’utilisateur « le protocole que vous utilisez actuellement n’est pas très adapté pour ce qu’on est en train d’en faire ». Dans ce cas, une logique froide voudrait qu’on développe un protocole pour ça, qui n’aurait pas à s’embarrasser d’avertissements de ce genre…

Alors, bien évidemment, la conception, la validation, l’adoption à grande échelle et l’implémentation d’un nouveau protocole est une tâche extrêmement ardue. Mais je ne pense pas qu’il soit sain pour l’avenir de se contenter d’une solution de facilité, qui fonctionne, certes, mais dont la logique n’est pas parfaite.


Howto pratique : l’installation complète d’une Gentoo Linux

Tue, 22 Feb 2011 13:28:28 +0000 - (source)

Et quand je dis « une Gentoo », c’est pour faire référence à sa qualité de « meta-distribution ». Car il n’y a pas une seule Gentoo, mais des milliers différentes, chacune optimisée pour un usage précis. Mais débutons par quelques explications :

WTF is Gentoo ?

Gentoo Linux est un système d’exploitation libre, comme peut l’être Debian ou FreeBSD. Les néophytes, auxquels cet article ne s’adresse absolument pas, en parleront sans doute sous l’amusant sobriquet « Linux ». La principale spécificité de Gentoo est qu’elle est distribuée sous forme de sources uniquement (à une petite poignée d’exceptions près). Ce qui a l’immense avantage d’être extrêmement flexible et modulaire (à l’image du noyau Linux même). Là où Ubuntu s’installe sans trop râler en cliquant frénétiquement sur « Suivant », l’apprenti Gentooiste mettra les mains dans le cambouis et « construira » lui-même son système, pièce par pièce, et en compilant lui-même et avec ses petites options gcc (ou autre, d’ailleurs).

Mais qui dit avantage, dit inconvénient aussi. Sauf les fanboys d’Apple, mais eux sont irrécupérables. L’inconvénient majeur donc, est également l’avantage cité plus haut : faut y mettre les mains. Faut passer du temps pour obtenir un système fonctionnel, mais bon sang de bois, quand c’est le cas, ça tourne bien. Vu que tout aura été compilé en local, les binaires seront optimisés à volonté, et on n’a pas des mainteneurs qui foutent la merde dans les paquets, comme sous Kubuntu, dont l’intégration de KDE est bugguée à souhait. C’est donc la raison d’être de ce billet, qui s’annonce particulièrement long : vulgariser l’installation de Gentoo, celui-ci n’ayant pas vocation de remplacer l’excellente documentation indispensable à tout Gentooiste. Et pour faire dans l’inédit, j’écrirai ce document au cours de ma propre installation d’une nouvelle machine.

Ce qui sera expliqué ici

Toutes les étapes du Handbook seront commentées, avec les difficultés rencontrées par mes soins, mes choix et leur explication par rapport à certains éléments, et autres…

Mon installation a pour objectif de monter une machine de bureau, avec l’accent mis sur la sécurité (le disque dur sera intégralement chiffré), et les performances (histoire d’utiliser au mieux le matos de guerre que je me suis offert).

En parlant de matériel, voici la configuration de référence de ce document :

Le reste ayant peu d’importance, on peut d’ores et déjà prendre en compte ce matériel dans la conception du système :

Ce qui ne sera PAS expliqué ici

Comment installer Gentoo Linux. Ça paraît con, mais il existe une doc officielle, très complète, et qui constitue une référence. Je ne suis pas là pour la remplacer, seulement pour présenter à vif ma propre installation.

A qui s’adresse ce walloftext indigeste ?

À ceux qui auront compris au moins 90% de ce que je viens d’écrire. Ou qui ont beaucoup de temps à perdre.

Let’s go baby !

Malheureusement, je n’ai pas eu la présence d’esprit de mitrailler frénétiquement de photos le déballage et le montage des pièces de la machine, donc je vais religieusement passer sous silence cette étape, qui a eu pour principale difficulté un chaton qui sautait de partout et essayait de se frotter à la carte mère. Une fois la tour assemblée, je me suis mis à la recherche d’une distribution GNU/Linux live en 64 bits, qui servirait d’hôte pour l’installation manuelle de Gentoo. Premier problème, le lecteur/graveur de mon pc portable (jusque là ma machine principale) est en rade (ou plus reconnu par le système, je n’ai pas pris le temps de me pencher dessus). Donc impossible de graver un ISO. J’ai tenté de télécharger 3 ou 4 distributions, que j’ai copiées sur une clé USB (via dd ou Unetbootin), sans succès : soit il s’agissait d’un ISO non prévu pour booter sur USB (avec une mauvaise config d’isolinux), soit c’est Unetbootin qui foirait joyeusement la copie… J’ai enfin réussi à démarrer correctement sous une OpenSuse 11.3 64bits (à savoir que c’est une distrib dont l’iso passe très bien sur une clé USB). Le matériel était bien reconnu (après avoir du passer le SSD en AHCI dans le BIOS). J’en profite pour préciser que si la sortie son ne fonctionne à priori pas, l’augmentation du volume des haut-parleurs peut être une solution viable.

Une fois le système live démarré, donc, on va s’en servir comme hôte pour construire la Gentoo. Et pour plus de facilités, et étant donné que j’ai un boulot, on va s’autoriser de travailler à distance (ce qui n’impacte pas la productivité, car il s’agit d’opérations simples mais longues, qui se font en arrière-plan). Pour cela, SSH est tout indiqué; on aura néanmoins le soin de fixer un mot de passe sur l’user root, ainsi que sur « linux », l’utilisateur du live-cd, grâce à la commande passwd. Ensuite, un « /etc/init.d/sshd start » pour lancer le démon SSH, et on peut se connecter. Si la machine est derrière un routeur, ce qui est le cas de la mienne, il est pratique d’utiliser l’IPV6 pour s’y connecter (en espérant que le FAI le permette). Sinon, un lien VPN est possible, ou alors il faut ouvrir le port 22 sur le routeur. L’opération n’entrant pas dans le cadre de l’installation, et ne me concernant de toutes façons pas, elle sera à votre discrétion.

Enfin, par sécurité, on installera le paquet « screen » sur le système hôte. Celui-ci permettra de ne pas couper les processus en cours dans le terminal si celui-ci, ou la connexion, tombe. Avant de lancer l’install, on tape « screen » pour entrer dans un screen. Je vous laisse lire la doc du lien ci-dessus pour savoir comment récupérer un screen si besoin.

Ha, et avant que j’oublie, le Handbook EN est plus récent, et en général plus fiable, que sa traduction française, pourtant de qualité. Donc, maintenant (si vous suivez toujours), suivez le guide officiel, mes commentaires appuieront certains détails.

1 – Préparation du disque

Comme précisé auparavant, je souhaite optimiser l’utilisation de mon SSD au maximum. C’est à dire lui éviter au maximum les opérations d’écriture trop lourdes. On peut donc distinguer 2 gros dossiers qu’il serait préférable de ne pas placer sur le SSD : /tmp et /var/tmp/portage. Il est tout à fait intéressant de les monter en RAM via tmpfs. Je songe à l’achat d’un disque dur rapide en complément du SSD pour y placer d’autres FS (comme les fichiers medias, qui seraient trop à l’étroit sur le SSD), mais en attendant, ils seront montés sur un disque dur externe USB.

Rappelons au passage que le disque sera intégralement chiffré (même pour les partitions sur le disque mécanique). C’est un élément à prendre en compte à ce stade. La première chose à faire, selon ce guide, est donc d’installer les paquets suivants sur le système hôte (je donne leur nom dans l’arbre Portage, puis, comme j’utilise OpenSuse, leur nom sous ce système) :

Tout d’abord, nous créons les mappings chiffrés avec LUKS : je me baserai sur le guide donné plus haut, dans l’optique de chiffrer toutes les partitions, sauf /boot qui contiendra le script de décryptage (mais qui demandera tout de même d’entrer une passphrase). Le swap est également chiffré.

Il convient évidemment de faire très attention à sa passphrase, et éventuellement à sa clé, selon la méthode employée (une copie chiffrée avec une autre clé, stockée en un ou plusieurs endroits, disons). J’ai utilisé l’algo serpent en 256 bits, essentiellement parce que je trouvais le nom cool (mon petit disque ne contiendra vraisemblablement pas de documents capables de mettre en péril la sécurité nationale). Dans le doute, j’ai utilisé la même clé pour les 3 mappings (root, home et swap).

Au moment de configurer mon kernel, j’ai posé une question à ce sujet sur IRC, et on m’a fait comprendre que la méthode de chiffrement par GPG n’était pas une très bonne idée : en effet, la faiblesse se situe toujours sur la passphrase, étant donné que la clé est stockée sur le disque. De plus, on cumule les éventuelles vulnérabilités de GPG ET de Luks. Ainsi, j’ai préféré opter pour la méthode de la passphrase seule,. La procédure pour changer de passphrase ou de clé est heureusement très simple, n’endommage pas les données, et ne nécessite même pas de démonter les volumes :

# gpg --decrypt /mnt/gentoo/boot/root-key.gpg 2>/dev/null # on tape la passphrase existante, puis on copie la clé renvoyée
# cryptsetup luksAddKey /dev/sda1 # on n'entre pas le mapping, mais bien le périphérique
Enter any LUKS passphrase: # c'est pour ça qu'on a copié la clé précédemment (si on l'avait pipée, cryptsetup ne nous aurait pas demandé de nouveau mot de passe)
key slot 0 unlocked.
Enter new passphrase for key slot: # c'est là qu'on entre le nouveau mot de passe
Verify passphrase: # on le vérifie
Command successful. # à ce stade, il sera possible de déchiffrer le disque avec les 2 clés (celle aléatoire chiffrée par GPG, et la nouvelle). Ce qui est une excellente chose pour éviter de perdre les données, mais dans notre cas, on ne veut qu'une clé. Il suffit de supprimer l'ancienne
# cryptsetup luksDelKey /dev/sda1 0 # le 0 correspondant au slot de la clé. Un cryptsetup luksDump <device> nous montre les slots utilisés.

Voici pour mémoire les commandes à utiliser pour créer, ouvrir et monter une partition cryptée :

# gpg --quiet --decrypt root-key.gpg | cryptsetup -v --cipher serpent-cbc-essiv:sha256 --key-size 256 luksFormat /dev/sda1 # nous formatons en format "Luks" la partition /dev/sda1, avec la clé "root-key.gpg" préalablement générée (voir le guide)
# gpg --decrypt root-key.gpg 2>/dev/null | cryptsetup luksOpen /dev/sda1 root # on crée le mapping lié à cette partition, avec la même clé. /dev/mapper/root sera donc notre partition utilisable.
# cryptsetup luksClose /dev/mapper/root # on ferme le mapping

Le guide nous invite agréablement à poursuivre l’installation pour les phases 5 à 7.

Maintenant qu’on a les mappings, on procède au partitionnement en les utilisant. Voici donc le schéma choisi pour mon système. /dev/sda représente le disque SSD et /dev/sdb le second disque :

/ (/dev/mapper/root => /dev/sda1) : ext4 (options: noatime, discard, errors=remount-ro, nobarrier, commit=50) 45Go
Il s’agit d’options piochées ici et pour optimiser les opérations d’écriture sur le disque : l’ext4 est un choix qui me semble sûr à cause de la maturité du FS, qui reste plutôt simple, et de son support du TRIM des SSD (j’ignore si d’autres le prennent en compte depuis). J’aurais bien aimé pouvoir profiter du BTRFS, mais celui-ci n’est toujours pas stable. Vu la taille du SSD (64Go), attribuer 45Go me semble correct.
/boot (/dev/sda2) : ext2 (options : noatime, noauto) 4Go
La partition /boot (contenant les noyaux, la configuration de grub, etc) n’a pas besoin d’être montée, ni d’être journalisée : elle ne sera utilisée par le système que lors de l’installation d’un nouveau noyau. Sa taille lui permet de contenir confortablement un certain nombre de kernels.
/home (/dev/mapper/home => /dev/sda3) : ext4 (mêmes options que pour /) 15Go
On se donne un petit /home confortable, sachant que les fichiers medias seront stockées ultérieurement sur une partition de sdb. Les options choisies pour / conviennent tout à fait.
/tmp : tmpfs (options: defaults, nosuid, nodev, noexec, noatime) 1Go
On donne 1Go à /tmp, ce qui est largement suffisant. Pour des raisons de sécurité, on supprime toute possibilité d’exécution dessus.
/var/tmp/portage : tmpfs (options: uid=250, gid=250, mode=775, noatime) 5Go
On donne le maximum de RAM possible à /var/tmp/portage, car les fichiers de compilation y seront, et certains packages consomment beaucoup (OpenOffice.org, GCC…). On « donne » ce point de montage à l’user portage
SWAP (/dev/mapper/swap => /dev/sdb1) 10Go
10Go de swap (mémoire virtuelle), j’aurais pu en mettre 12, mais honnêtement, je n’ai fait que récupérer une vieille partition sur mon disque externe :) promis, j’en mettrai 12 sur le vrai DD

Voici, pour info, les commandes de montage effectuées :

# mkdir /mnt/gentoo
# mount -o noatime,discard,errors=remount-ro,nobarrier,commit=50 /dev/mapper/root /mnt/gentoo/
# mkdir /mnt/gentoo/boot
# mkdir /mnt/gentoo/home
# mkdir /mnt/gentoo/tmp
# mkdir /mnt/gentoo/var
# mkdir /mnt/gentoo/var/tmp
# mkdir /mnt/gentoo/var/tmp/portage
# mount -o noatime,noauto /dev/sda2 /mnt/gentoo/boot/
# mount -o noatime,discard,errors=remount-ro,nobarrier,commit=50 /dev/mapper/home /mnt/gentoo/home
# mount -t tmpfs -o defaults,nosuid,nodev,noexec,noatime,size=1G none /mnt/gentoo/tmp/
# mount -t tmpfs -o defaults,uid=250,gid=250,mode=775,noatime,size=5G none /mnt/gentoo/var/tmp/portage/

2 – Construction de l’arborescence

Procédons à la récupération des médias d’installation. Personnellement, j’ai eu l’occasion de tester, presque par hasard, Funtoo, et je dois bien avouer que c’est intéressant : tout d’abord, l’archive stage3, qui permet l’installation, est généralement plus à jour, et surtout, chose très agréable, la synchronisation de l’arbre Portage se fait via git (donc plus rapide, et il ne retransfère pas tout si l’arbre est à jour). Utilisons donc cette archive (note : les archives Funtoo étant en format .xz, il faut s’assurer que le système hôte puisse lire ce format, et au besoin installer les paquets manquants) :

# cd /mnt/gentoo
# wget ftp://ftp.nluug.nl/pub/metalab/distributions/funtoo/funtoo/amd64/stage3-amd64-current.tar.xz # ce lien est évidemment à adapter selon votre localisation et vos préférences
# tar xvJpf stage3-*.tar.xz
# wget ftp://ftp.nluug.nl/pub/metalab/distributions/funtoo/funtoo/snapshots/portage-current.tar.xz
# tar xvJpf portage-*.tar.xz -C ./usr

On se retrouve donc avec l’architecture initiale de notre système Gentoo ! Quel bonheur ! La suite est encore plus marrante.

3 – Configuration de la compilation

Cette étape est primordiale, car elle définit les optimisations du système entier. Elle définit également l’usage précis qu’on fera de ce système, par le biais des USE flags (mots-clés définissant les options à activer pour chaque programme : si nous ne souhaitons pas du support du Bluetooth sur ce pc, inutile de s’encombrer de ces options dans les programmes). Tout cela s’effectue dans le célèbre /etc/make.conf ! (attention, étant donné que nous ne sommes pas encore dans le chroot, il convient d’éditer /mnt/gentoo/etc/make.conf)

Il va falloir déterminer les optimisations selon notre processeur : un cat /proc/cpuinfo permet de mettre en avant les capacités suivantes :

flags        : fpu vme de pse tsc msr pae mce cx8 apic mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe nx rdtscp lm constant_tsc arch_perfmon pebs bts xtopology nonstop_tsc aperfmperf pni dtes64 monitor ds_cpl vmx est tm2 ssse3 cx16 xtpr pdcm sse4_1 sse4_2 popcnt lahf_lm ida tpr_shadow vnmi flexpriority ept vpid

Nous activerons donc dans le make.conf les options reconnues. Tout est expliqué dans ce guide, et il est intéressant de partir d’un système déjà optimisé. Voici donc le make.conf :

ACCEPT_KEYWORDS="amd64"
FEATURES="mini-manifest" # il s'agit d'un ajout de Funtoo, qui permet d'économiser beaucoup de place dans l'arbre Portage. On apréciera donc cette fonction
CHOST="x86_64-pc-linux-gnu"

CFLAGS= »-march=native -O2 -pipe -msse -msse2 -msse3 -mmmx » # le -O2 est un classique, inutile de chercher ailleurs. On active également les flags trouvés plus haut.
CXXFLAGS= »${CFLAGS} »
MAKEOPTS= »-j9″ # W00T ! 9 processus de compilation, car on a un processeur qui casse de la belette en buvant le thé !

Nous reviendrons plus tard sur les USE flags à utiliser. Passons sans plus tarder à l’installation en elle-même du système :)

4 – Installation

Utilisant Funtoo, et donc un arbre Portage basé sur git, il est inutile de spécifier le miroir comme indiqué dans le handbook. N’oubliez pas de copier le fichier /etc/resolv.conf, nous en aurons bien besoin dans le chroot. N’oublions pas non plus de monter les répertoires système :

# mount -t proc none /mnt/gentoo/proc
# mount -o bind /dev /mnt/gentoo/dev

Et c’est parti pour le Chroot !! Entrons ensemble les commandes suivantes :

# chroot /mnt/gentoo/ /bin/bash
# env-update
# source /etc/profile
# export PS1="(chroot) $PS1"

PS : si la commande chroot renvoie une erreur, vérifiez que l’archive stage3 a bien été décompressée (donc que /mnt/gentoo/bin/bash existe), et surtout que votre live cd est bien dans la même architecture que notre nouveau système (ça m’est arrivé, j’étais sur un live-cd 32 bits)

Et voilà ! Comme le dit si bien le handbook, nous sommes dès à présent dans notre Gentoo ! Mais elle va avoir du mal à démarrer seule pour l’instant… Un petit emerge –sync nous mettra l’arbre Portage à jour. Si une erreur survient, vérifiez que vous avez copié le fichier /etc/resolv.conf, car c’est lui qui contient les noms des serveurs DNS à utiliser.

Attention, pour les Funtoo users (donc moi), il convient d’effectuer une opération avant le sync :

# cd  /usr/portage
# git checkout funtoo.org

Nous risquons d’avoir de jolis messages colorés au terme du sync. Ne prenons pas une sale habitude d’Ubuntero en les ignorant :

* IMPORTANT: 1 config files in '/etc' need updating.
* See the CONFIGURATION FILES section of the emerge
* man page to learn how to update config files.

* IMPORTANT: 1 news items need reading for repository 'funtoo'.
* Use eselect news to read news items.

Le premier signifie qu’il faut mettre à jour un fichier de configuration (de supers outils existent pour cela), et le second indique l’arrivée d’une news importante liée à Portage. Occupons-nous tout d’abord de cette dernière :

# eselect news read new

Ne négligez jamais l’importance de ces news. Elles peuvent indiquer qu’un paramètre par défaut a changé, ou l’arrivée prochaine d’une version majeure du compilateur GCC, etc… Elles indiquent de plus si une procédure particulière devra être appliquée. Dans mon cas, il s’agissait d’un changement de flag par défaut dans la variable d’environnement LDFLAGS. Un truc cool, quoi. Je vérifie rapidement que je n’ai pas par hasard déclaré cette variable dans mon make.conf en écrasant ses valeurs par défaut. Ce n’est pas le cas, parfait, on passe à la suite.

Il existe à ma connaissance 2 outils pour gérer les modifications de fichiers de configuration, suite à une mise à jour. Il faut savoir qu’une mise à jour peut apporter des modifications de syntaxe, ou plus probablement de nouvelles options. Lorsqu’on met à jour un paquet, on se retrouve donc confronté à ce « problème » : dois-je écraser mon fichier existant avec celui fourni ? Dois-je au contraire garder le mien et rejeter en bloc les modifications ? est-il préférable de merger dynamiquement les fichiers pour garder ma configuration perso ? Les commandes « dispatch-conf » et « etc-update » vous permettront de faire tout ça ! Historiquement, j’ai toujours utilisé etc-update, mais il paraît que dispatch-conf est plus complet dans certains points. On va utiliser celui-là, pour rigoler :

# dispatch-conf
— /etc/locale.gen     2010-09-12 08:46:57.000000000 +0000
+++ /etc/._cfg0000_locale.gen   2010-09-12 09:06:00.000000000 +0000
@@ -15,5 +15,17 @@
# rebuilt for you.  After updating this file, you can simply run `locale-gen`
# yourself instead of re-emerging glibc.

-en_US ISO-8859-1
-en_US.UTF-8 UTF-8
+#en_US ISO-8859-1
+#en_US.UTF-8 UTF-8
+#ja_JP.EUC-JP EUC-JP
+#ja_JP.UTF-8 UTF-8
+#ja_JP EUC-JP
+#en_HK ISO-8859-1
+#en_PH ISO-8859-1
+#de_DE ISO-8859-1
+#de_DE@euro ISO-8859-15
+#es_MX ISO-8859-1
+#fa_IR UTF-8
+#fr_FR ISO-8859-1
+#fr_FR@euro ISO-8859-15
+#it_IT ISO-8859-1

>> (1 of 1) — /etc/locale.gen
>> q quit, h help, n next, e edit-new, z zap-new, u use-new
m merge, t toggle-merge, l look-merge:

Il s’agit donc du fichier /etc/locale.gen. D’expérience, je sais qu’il s’agit du fichier recensant les locales activées pour le système. Notons que nous n’avons pas encore modifié ce fichier dans la procédure normale d’installation. Notons également que les différences entre les fichiers sont proprement indiquées avec des « + » ou « - » en début de ligne. Nous reviendrons sur ce fichier, donc pour l’instant, acceptons les modifications par un subtil appui sur la touche « u ». Notre arbre est à jour, nous pouvons continuer l’installation.

Juste une chose, si à la fin du sync, vous avez eu un message indiquant qu’une nouvelle mise à jour de Portage était disponible, il vaut mieux l’installer immédiatement : tapez emerge –oneshot portage (emerge étant la commande magique pour utiliser Portage, et fournie dans ce dernier). Vous voyez, ce n’est pas plus compliqué que sous n’importe quel GNU/Linux d’installer un paquet sous Gentoo ! (c’est juste un peu plus long ;) )

La phase suivante nous introduit aux USE flags : il s’agit de la sélection du profil, qui définit grossièrement quelle utilisation on fera de cette machine en activant par défaut certains USE. Tapez eselect profile list pour en avoir un aperçu :

Available profile symlink targets:
[1] default/linux/amd64/2008.0 *
[2] default/linux/amd64/2008.0/desktop
[3] default/linux/amd64/2008.0/developer
[4] default/linux/amd64/2008.0/server

On a, pour cette architecture et sur Funtoo, 4 profils disponibles (le profil actif par défaut étant le premier, comme indiqué par « *« . Il ne faut pas se leurrer du nom « developer », celui-ci ne s’adresse qu’aux développeurs Gentoo, et non pas aux utilisateurs souhaitant un environnement de développement. Le profil « desktop » semble le plus approprié pour nous, activons-le avec eselect profile set 2 (le 2 étant le numéro au début de ligne du profil souhaité).

Occupons-nous maintenant de configurer les USE flags, pour obtenir un système parfaitement personnalisé : tout d’abord, voyons quels USE flags sont activés par défaut :

# emerge --info | grep USE
USE="X a52 aac acl acpi alac alsa amd64 berkdb bluetooth branding bzip2 cairo cdr cli consolekit cracklib crypt cups cxx dbus dri dts dvd dvdr dvdread emboss encode esd exif fam firefox flac fortran gdbm gif gpm gtk hal iconv ipv6 jpeg lame lcms ldap libnotify mad mikmod mmx mng modules mp3 mp4 mpeg mudflap multilib ncurses nls nptl nptlonly ogg opengl openmp pam pango pcre pdf perl png ppds pppd python qt3 qt3support qt4 readline reflection sdl session spell sse sse2 ssl startup-notification svg sysfs tcpd tiff truetype unicode usb vorbis wavpack x264 xcb xml xorg xulrunner xv xvid zlib"
ALSA_CARDS="ali5451 als4000 atiixp atiixp-modem bt87x ca0106 cmipci emu10k1x ens1370 ens1371 es1938 es1968 fm801 hda-intel intel8x0 intel8x0m maestro3 trident usb-audio via82xx via82xx-modem ymfpci"
ALSA_PCM_PLUGINS="adpcm alaw asym copy dmix dshare dsnoop empty extplug file hooks iec958 ioplug ladspa lfloat linear meter mmap_emul mulaw multi null plug rate route share shm softvol"
APACHE2_MODULES="actions alias auth_basic authn_alias authn_anon authn_dbm authn_default authn_file authz_dbm authz_default authz_groupfile authz_host authz_owner authz_user autoindex cache cgi cgid dav dav_fs dav_lock deflate dir disk_cache env expires ext_filter file_cache filter headers include info log_config logio mem_cache mime mime_magic negotiation rewrite setenvif speling status unique_id userdir usertrack vhost_alias"
ELIBC="glibc"
INPUT_DEVICES="keyboard mouse evdev"
KERNEL="linux"
LCD_DEVICES="bayrad cfontz cfontz633 glk hd44780 lb216 lcdm001 mtxorb ncurses text"
RUBY_TARGETS="ruby18"
USERLAND="GNU"
VIDEO_CARDS="fbdev glint intel mach64 mga neomagic nouveau nv r128 radeon savage sis tdfx trident vesa via vmware voodoo"
XTABLES_ADDONS="quota2 psd pknock lscan length2 ipv4options ipset ipp2p iface geoip fuzzy condition tee tarpit sysrq steal rawnat logmark ipmark dhcpmac delude chaos account"

Attention, il y a plusieurs variables en plus du USE (je les ai mises à la ligne pour faciliter la lecture). Par curiosité, constatons que nous disposons par défaut d’options pour les modules Apache à activer, mais également les INPUT_DEVICES par défaut, ainsi que les VIDEO_CARDS (ces variables nous serviront plus tard). En observant les USE flags, on aperçoit par exemple « X », qui indiquera à certains programmes qu’ils doivent se compiler avec le support de Xorg (dans une utilisation serveur, il sera intéressant de désactiver ce flag, et ainsi d’obtenir la version CLI de ces programmes), « alsa », qui indique qu’on veut ce système de gestion audio, « bluetooth », dont j’ai déjà parlé, « bzip2″ qui active cet algorithme de compression, ou « qt* », qui sont plusieurs variables indiquant qu’on veut compiler le support QT. Si on prévoit d’utiliser un système basé sur GTK comme Gnome, il conviendra, à des fins d’optimisation, de désactiver le support QT, et inversement pour KDE. La description des USE flags est disponible dans ce fichier : /usr/portage/profiles/use.desc. Pour éditer les USE flags, on modifie le bienveillant fichier /etc/make.conf : en déclarant la variable USE, on peut ajouter ou retirer des USE flags (ces derniers devant être préfixés de « - »). Il est difficile de savoir quoi choisir la première fois, alors pour ma part, je démarre une autre machine, et je récupère les USE spécifiés, car je sais qu’ils me sont utiles. Voici, après avoir proprement cuisiné ça, le contenu de mon make.conf (je vous préviens, j’ai été gourmand) :

# These settings were set by the metro build script that automatically built this stage.
# Please consult /etc/make.conf.example for a more detailed example.
ACCEPT_KEYWORDS="amd64"
FEATURES="mini-manifest"
CHOST="x86_64-pc-linux-gnu"
CFLAGS="-march=native -O2 -pipe -msse -msse2 -msse3 -mmmx"
CXXFLAGS="${CFLAGS}"
MAKEOPTS="-j9"
VIDEO_CARDS="nvidia"
INPUT_DEVICES="evdev keyboard mouse"
LINGUAS="fr"
# global USE flags
USE="X xorg openvpn samba hal v4l2 sdl dbus xcb glitz crypt webkit consolekit scanner ppds cairo networkmanager msn skype nsplugin acl acpi avahi bash-completion cups curl curlwrappers cvs dri firefox xulrunner gnutls gzip hal idn imap ipv6 jabber jingle libnotify maildir mbox multilib ncurses nsplugin rss smp ssl subversion syslog threads truetype usb xml zeroconf"
# USE flags for development
USE="${USE} php javascript sql mysql mysqli ftp gd iconv imagemagick prce perl ruby posix sqlite sqlite3"
# multimedia USE flags
USE="${USE} alsa mp3 vorbis arts mp4 flac jpg gif tiff png dvd cdr aac cdda cddb css dvdr encode exif ffmpeg gimp gstreamer lame mpeg mplayer odbc ogopengl svg theora vorbis"
# KDE USE flags
USE="${USE} kde qt4 kontact plasma semantic-desktop"
# USE flags removal
USE="${USE} -bluetooth -gnome"

Vous remarquerez que j’ai rajouté les variables dont je parlais plus haut : « VIDEO_CARDS », « INPUT_DEVICES », et « LINGUAS », permettant d’activer le support de ces éléments (qui ne se fait pas via les USE). J’ai également répété pas mal de USE qui étaient déjà par défaut, histoier de les avoir sous le nez explicitement. Occupons-nous maintenant des locales, grâce au fichier cité plus haut : on édite /etc/locale.gen. Voici le mien :

# /etc/locale.gen: list all of the locales you want to have on your system
#
# The format of each line:
# <locale> <charmap>
#
# Where <locale> is a locale located in /usr/share/i18n/locales/ and
# where <charmap> is a charmap located in /usr/share/i18n/charmaps/.
#
# All blank lines and lines starting with # are ignored.
#
# For the default list of supported combinations, see the file:
# /usr/share/i18n/SUPPORTED
#
# Whenever glibc is emerged, the locales listed here will be automatically
# rebuilt for you.  After updating this file, you can simply run `locale-gen`
# yourself instead of re-emerging glibc.
en_US ISO-8859-1
en_US.UTF-8 UTF-8
#ja_JP.EUC-JP EUC-JP
#ja_JP.UTF-8 UTF-8
#ja_JP EUC-JP
#en_HK ISO-8859-1
#en_PH ISO-8859-1
#de_DE ISO-8859-1
#de_DE@euro ISO-8859-15
#es_MX ISO-8859-1
#fa_IR UTF-8
fr_FR ISO-8859-1
fr_FR@euro ISO-8859-15
fr_FR.UTF-8 UTF-8
#it_IT ISO-8859-1

Ensuite, un petit locale-gen suffira à regénérer les locales pour notre serveur.

N’oublions pas qu’il faut paramétrer le déchiffrement des disques au boot : on se replonge dans la doc sur LUKS (celle-ci semble plus précise et simple, on m’a conseillé de la suivre en occultant les parties sur le raid et lvm), et on va générer une image initramfs. Il s’agit d’une image système minimaliste chargée en RAM, qui aura pour but de permettre le chargement normal du système. Pour cela, elle utilisera notamment Busybox, qui est un logiciel permettant d’embarquer de façon portable plusieurs logiciels importants, qu’il faut avoir sous la main lorsque le système n’arrive pas à booter, ou pour les opérations à effectuer dès le chargement du kernel ; en l’occurrence, au chargement du kernel, les disques seront chiffrés, il convient de les ouvrir à ce moment.

Je vous laisse suivre le guide pour la création de l’image initram, que vous modifierez avant de la compresser. Celle-ci contient notamment un répertoire dev/, très important car il contient les nodes correspondant aux partitions. Il faut donc vérifier que toutes les partitions qu’on souhaite déchiffrer sont présentes. Si ce n’est pas le cas, il faut créer le node. Pour ceci, un ls -l /dev/sd* nous donne de précieuses informations :

brw-rw—- 1 root disk 8,  0 22 févr. 09:38 /dev/sda
brw-rw—- 1 root disk 8,  1 22 févr. 09:38 /dev/sda1
brw-rw—- 1 root disk 8,  2 22 févr. 09:38 /dev/sda2
brw-rw—- 1 root disk 8, 16 22 févr. 09:38 /dev/sdb
brw-rw—- 1 root disk 8, 17 22 févr. 09:38 /dev/sdb1
brw-rw—- 1 root disk 8, 18 22 févr. 09:38 /dev/sdb2
brw-rw—- 1 root disk 8, 19 22 févr. 09:38 /dev/sdb3

Les nodes se remarquent par la première lettre de leur chmod : il peut être « p », « b » ou « c ». Référez-vous à man mknod pour en savoir plus. De plus, un node se caractérise par deux numéros, qu’on trouve entre la taille du fichier et sa date de création : ici, c’est 8 et 0 à 2 pour le premier disque, et 16 à 19 pour le second. Ma partition sda1 peut donc être « liée » dans l’initramfs par la commande mknod dev/sda1 c 8 1 (attention, il faut se trouver dans le dossier de l’initramfs pour ça). Ce node peut ensuite être manipulé exactement comme celui dans /dev, c’est à dire qu’on peut le monter, ou lui faire des trucs louches avec Luks. C’est d’ailleurs ce qu’on va faire, en grands sadiques que nous sommes, après nous être assurés que les partitions ont bien été recréées (ici, il nous faudra sda1, sda2, sdb1). Il faut donc créer un « init script », qui sera automatiquement appelé après le chargement du noyau, et qui se chargera de ranger tout ça. Je vous livre le mien tout prêt, étant incapable de retracer les différentes étapes et essais qui m’ont été nécessaires pour parvenir à quelque chose de fonctionnel. Par ailleurs, étant donné que j’utilise la même passphrase pour mes volumes, comme expliqué précédemment, j’ai opté pour une astuce permettant de déverrouiller les trois volumes en une fois. Le fichier à éditer est donc init :

#!/bin/sh

mount -t proc proc /proc
CMDLINE=`cat /proc/cmdline`

mount -t sysfs sysfs /sys

#wait a little to avoid trailing kernel output
sleep 3

#If you don’t have a qwerty keyboard, uncomment the next line
loadkmap < /etc/kmap-fr

#If you have a msg, show it:
clear
cat /etc/msg

#dm-crypt
while [ ! -e /dev/mapper/root ]
do
read -s -p « Enter passphrase:  » lukspass
echo «  »
echo $lukspass | /bin/cryptsetup luksOpen /dev/sda1 root
done
echo « Root opened. »
echo $lukspass | /bin/cryptsetup luksOpen /dev/sda3 home
echo « Home opened. »
echo $lukspass | /bin/cryptsetup luksOpen /dev/sdb1 swap
echo « Swap opened. »
unset lukspass

#lvm
#/bin/vgscan
#/bin/vgchange -ay vg

#root filesystem
echo « Mounting root filesystem read-only… »
mount -t ext4 -r /dev/mapper/root /newroot

#unmount pseudo FS
umount /sys
umount /proc

#root switch
exec /bin/busybox switch_root /newroot /sbin/init ${CMDLINE}

Comme vous pouvez le voir, il est fait référence au fichier etc/msg (ne pas se fier au / initial, il correspond à la racine de l’initramfs), que vous pouvez créer pour insérer un message d’accueil sympathique, comme je l’ai fait :

^[[1;35m                                           .
.vir.                                d$b
.d$$$$$$b.    .cd$$b.     .d$$b.   d$$$$$$$$$$$b  .d$$b.      .d$$b.
$$$$( )$$$b d$$$()$$$.   d$$$$$$$b Q$$$$$$$P$$$P.$$$$$$$b.  .$$$$$$$b.
Q$$$$$$$$$$B$$$$$$$$P"  d$$$PQ$$$$b.   $$$$.   .$$$P' `$$$ .$$$P' `$$$
"$$$$$$$P Q$$$$$$$b  d$$$P   Q$$$$b  $$$$b   $$$$b..d$$$ $$$$b..d$$$
d$$$$$$P"   "$$$$$$$$ Q$$$     Q$$$$  $$$$$   `Q$$$$$$$P  `Q$$$$$$$P
$$$$$$$P       `"""""   ""        ""   Q$$$P     "Q$$$P"     "Q$$$P"
`Q$$P"                                  """
^[[0m^[[0m

Ça, c’est mon côté amateur d’art. Une fois fait, il faut donc compresser notre archive initramfs. Lorsque vous êtes à la racine de votre image, tapez find | cpio -H newc -o | gzip -9 > /boot/initramfs . Pour info, pour décompresser l’archive (si vous voulez la modifier, ou corriger un détail), placez-vous dans un dossier temporaire dans lequel vous modifierez l’image, et tapez gunzip < /boot/initramfs | cpio -i .  Ensuite, avant de pouvoir rebooter, suivez le handbook sur l’installation et la configuration de Grub si ce n’est déjà fait, puis éditez le fichier /boot/grub/grub.conf (sous grub-legacy, j’ai grub2 en horreur). Sous la ligne kernel que vous avez spécifiée, écrivez

initrd /initramfs

Sauvegardez, respirez un bon coup, sortez du chroot (exit), démontez les partitions et points de montage de notre environnement, respirez à nouveau un bon coup, puis rebootez.

Je dois maintenant vous faire une confession : la majorité de ce guide a été écrite il y a plusieurs mois, et je n’ai pas pris le temps de le finir, ni de noter les péripéties qui me sont arrivées après le premier boot. Mais de mémoire, le kernel a bien booté, je me suis pris la tête pendant un moment avec l’initramfs, et puis ça a fini par marcher. J’espère qu’avec mes infos, vous parviendrez à un premier boot correct, à partir duquel vous pourrez commencer à personnaliser réellement votre système : pour un environnement de bureau, rien de tel que le guide Xorg, suivi de l’installation d’un environnement comme KDE, Gnome ou un plus léger Openbox.

Si toutefois le premier boot ne se passe pas bien, formatez intégralement vos disques et reprenez du début. Non je déconne. Rebootez sur le live-cd, et répétez les étapes permettant d’entrer dans le chroot (sans repartitionner, hein :) ). Une fois dans le chroot, et selon le problème, reconfigurez puis recompilez le kernel, éditez l’init script, ou modifier le fichier de configuration qui pose problème, puis répétez l’opération jusqu’à arriver à un boot complet.

Enfin, je tiens à rendre hommage à la communauté française (et québécoise) de Gentoo, particulièrement réactive, intelligente (rien à voir avec les discussions autour d’Ubuntu), qui prend généralement le temps d’aider et de conseiller les novices comme les plus aguerris (même si les « RTFM » fusent). Si vous êtes suffisamment courageux pour avoir suivi ce guide, vous êtes donc bienvenu(e) sur le chan IRC #gentoofr sur irc.freenode.net .

Mise à jour: merci à Skhaen pour la relecture et les corrections


Déconnexion

Fri, 04 Feb 2011 14:11:40 +0000 - (source)

Instant culturel : en français, le mot « déconnexion » prend un X, à la différence de l’anglais, où il est écrit « deconnection ». Voilà.

Mon actualité très personnelle m’a poussé à précipiter plusieurs décisions, dont la finalité rappelle l’effet fantasmé d’Hadopi : la coupure. À la différence près que ce n’est pas mon accès à Internet qui sera coupé, mais plusieurs liens sociaux.

Premièrement, et c’est non sans une certaine honte que je le dis, je parle de mon compte Facebook. Oui, je l’avoue, devant vos regards dépités de fans trahis, qui sont en train de se demander où trouver des poupées vaudou à mon effigie, j’avais jusqu’à aujourd’hui un compte Facebook. Non nominatif, présentant peu de données personnelles, mais malgré tout beaucoup trop intrusif. J’ai donc décidé, d’un geste rageur et anticipé d’une semaine, de supprimer purement et simplement ce compte, sans grand espoir d’efficacité concernant la rétention de mes données par ce Big Brother en puissance. Malgré tout, c’est un premier pas, qu’il vaut mieux, je l’estime, faire plutôt que de laisser le service s’insinuer de plus en plus dans notre vie privée. Car j’ai peu de doutes sur le futur de la société, qui vit grâce à la monétisation des données personnelles d’un demi-milliard de braves gens ; étant donné que la popularité d’un réseau est lié exponentiellement au nombre d’utilisateurs dessus, il sera de plus en plus facile pour Facebook de faire adopter des mesures de plus en plus inacceptables (au hasard, le fichage de l’intégralité de la navigation web d’un utilisateur).

Je tiens à relativiser tout de même : tout n’est pas à jeter chez Facebook, et encore moins ce qu’il est : un réseau social, permettant d’échanger statuts, commentaires, photos, évènements, et que sais-je. Aux ermites dans leur caverne qui renient en bloc cette avancée, je répondrai que le réseau social (dont Facebook est l’exemple type) fait évoluer les interactions, au même point que le mail a révolutionné la lettre manuscrite, qu’IRC a révolutionné (sans chercher à le remplacer) le mail… On a entre les mains la nouvelle évolution, il n’y a que la forme sous laquelle elle s’est présentée qui est critiquable. Car si à l’époque le mail n’avait été fourni que par une société privée, sous forme d’une boîte noire sans contrôle, les mêmes problématiques se seraient posées. Il est nécessaire aujourd’hui de fournir une solution propre, et ouverte, à ce besoin de réseau social. Il existe plusieurs candidats à cette demande, dont Diaspora, qui a pour l’instant ma préférence (pour le sérieux de ses créateurs, la méthode de travail employée, la crédibilité du projet grâce à la fantastique levée de fonds de l’année dernière). Mais, et je regrette la pub trop grande qu’il a eu à ce stade, il faut garder à l’esprit qu’il n’est qu’en alpha : il n’est absolument pas utilisable en production (c’est à dire en utilisation quotidienne), mais devrait être réservé à des fins de tests uniquement, en particulier par des développeurs. Je crois personnellement beaucoup en ces solutions, et j’ai hâte de pouvoir profiter à nouveau d’un réseau social, mais en version propre et libre. J’attendrai simplement le temps qu’il faudra pour m’y remettre.

Pour finir sur ce point, je donne à toutes fins utiles le lien de suppression d’un compte Facebook, fort logiquement bien planqué dans les pages d’aide : http://www.facebook.com/help/contact.php?show_form=delete_account. La suppression est effective sous 14 jours, pendant lesquels toute reconnexion annule la procédure. Pour les plus addicts, il faudra faire attention, si vous décidez de supprimer votre compte, à ne pas craquer durant ce délai.

Ensuite, pour revenir à l’introduction de ce billet, ma seconde coupure sociale est un simple changement de numéro de téléphone, qui n’a de notable que de se produire en même temps que la suppression de mon compte précité. Ce sont les raisons qui le sont plus : pour commencer, et depuis que j’ai changé de téléphone il y a 3 mois, j’ai eu envie de tester la fonction tethering d’Android (partage de connexion, ou « option modem »). Je l’ai allumée 3 minutes montre en main, puis coupée, n’en ayant pas l’utilité immédiate. Plusieurs semaines plus tard, j’ai aperçu avec surprise sur ma facture, qu’une « option modem ajustable 500Mo » m’avait été facturée 20€. Sur le coup, après la surprise, j’en ai déduit que le simple fait d’avoir utilisé cette fonction, entraînant éventuellement quelques kilobits de transfert, avait atteint un premier palier de données fixé à 500Mo. Soit. Le problème a été nettement moins amusant le mois suivant, c’est à dire il y a quelques jours : cette fois, j’ai été facturé de 30€, pour, soit-disant, 750Mo consommés. La différence notable étant que je n’ai plus du tout touché au tethering, cette option est donc parfaitement incompréhensible. J’ai évidemment appelé la hotline sans attendre, pour tomber sur un message qui provoque encore aujourd’hui une hilarité incontrôlable :

« Bonjour et bienvenue chez SFR. Tous nos conseillers sont actuellement en ligne, veuillez rappeler dans 48 heures. »

Illustration de mon désarroi

Évidemment, travaillant juste au-dessus d’un magasin SFR, je m’y suis rendu immédiatement, pour constater amèrement que le seul lien entre SFR et les boutiques SFR est le nom : les vendeurs sont incapables de faire quoi que ce soit en relation avec mon contrat, et n’ont pu m’aider, car leur seule marge de manœuvre était d’appeler eux-mêmes la hotline en vacances. Je ne me suis pas dégonflé, et ai contribué régulièrement à saturer leur ligne, jusqu’à tomber par chance, le soir même, sur quelqu’un. La conversation fut passablement électrique, en raison de mon envie de faire brûler à peu près tout le monde. J’expliquai cependant très courtoisement le problème, et patientai tandis que l’opératrice demandait conseil à son supérieur. Quelques minutes plus tard, elle m’annonça joyeusement qu’elle pouvait faire un geste commercial, et me rembourser ces 30€ sur ma prochaine facture, mais qu’il ne fallait pas m’attendre à ce que ça puisse se reproduire la prochaine fois. Pour vous donnez une idée de la tête que j’ai fait à ce moment, référez-vous à l’image précédente. J’expliquai, avec bien moins de courtoisie, que je ne m’attendais pas à un geste commercial, mais à une correction de l’erreur dégueulasse qui apparaissait sur ma facture. Devant l’entêtement de l’opératrice, j’ai trouvé le moyen de faire en sorte que ça ne se reproduise plus, en demandant à être transféré au service résiliation sans plus attendre.

Car, et c’est vraisemblablement la raison pour laquelle la hotline était injoignable, c’était ce jour-là qu’entrait en vigueur la hausse de TVA, qui permettait à n’importe qui de résilier sans frais son contrat Internet ou mobile (le premier qui parle d’Internet au sujet des forfaits 3G ira me faire le plaisir d’aller dire « coin » sur le chan IRC de FDN). Ainsi, j’ai demandé une résiliation de ma ligne, pour souscrire chez un opérateur qui aurait la décence de ne pas me racketter de la sorte. Me sentant passablement énervé, le téléconseiller a judicieusement évité de tenter de m’arnaquer en me faisant payer de quelconques frais, et m’a promis que la résiliation serait effective sous 10 jours (je n’ai pas encore eu de confirmation, ni par SMS, ni par mail, ni par courrier. Si d’ici quelques jours je n’en ai toujours pas, je me rappellerai joyeusement à leur bon souvenir). Cependant, la portabilité du numéro impliquant d’autres procédures, et étant d’un naturel particulièrement fainéant, j’ai abandonné l’idée de garder mon numéro (l’actuel ayant moins d’un an, il n’avait pas une grande importance pour moi).

Je suis donc dans une phase de recherche de nouvel abonnement 3G, et je suis allé en boutique me renseigner auprès des deux autres membres de la sympathique mafia des télécoms : chez Bouygues et Orange, j’ai eu confirmation que, pour le premier, le tethering était rigoureusement interdit, pour l’autre il était, tout comme chez SFR, surfacturé, au prétexte qu’un octet envoyé vers un ordinateur était plus lourd qu’un même octet envoyé sur un mobile ! J’ai alors pris conscience de l’horreur que représente le « web mobile » pour la neutralité des réseaux, qui est ici bafouée au plus au point (discrimination des données, bridage du débit au-delà d’un quota, interdiction d’une certaine utilisation, écoute des paquets pour lire l’user agent du navigateur afin de surfacturer, et je passe sur le réseau NATé, qui n’a strictement rien de ce qu’on peut appeler Internet). Il est vraiment temps que Free Mobile arrive dans le marché pour massacrer les ententes entre les 3 opérateurs. Je ne m’attend pas vraiment à ce que Free offre ensuite du vrai Internet mobile, mais j’ose croire qu’ils changeront pas mal de choses. En attendant, je ne me suis pas fixé sur un opérateur, et je reste ouvert à toute remarque pour m’aider à en choisir un qui soit suffisamment respectueux de son client et du réseau.

Ainsi donc, me voilà coupé, en partie malgré moi, de certains contacts. Mais, comme je l’ai déjà dit ailleurs que sur ce blog, il existe encore une petite infinité de méthodes pour me joindre : par ce blog, par mail (auto-hébergé sur le domaine de ce blog), sur Jabber (gordontesos@jabber.gordontesos.com), via Twitter même si je l’utilise essentiellement de façon professionnelle, voire en m’invitant à boire un coup, ou à me goinfrer au restau (j’invite aussi, hein). J’espère que cette situation rappellera que les moyens de contact ne se font pas exclusivement sur Facebook, que le vrai mail ne se termine pas en @gmail.com, et que le mot « social » existe depuis bien plus longtemps qu’Internet.


Lettre ouverte aux députés – LOPPSI article 4

Wed, 12 Jan 2011 08:48:07 +0000 - (source)

Ceci est un exemple type de lettre ouverte que j’encourage à personnaliser, puis envoyer à votre député, s’il a voté pour le projet de loi LOPPSI et pour son article 4 qui, je le rappelle permet une censure du net sans aucun contrôle ni la moindre garantie, loin de toute décision judiciaire. Elle a été rédigée par Skhaen et moi-même, à partir du modèle rédigé et publié par le Parti Pirate. Elle est ici diffusée sous licence CC0 1.0 Universal (CC0 1.0) – Public Domain Dedication.

Il est important qu’un maximum de monde contacte ses élus pour leur faire comprendre la volonté forte de leurs électeurs, qu’ils sont censés représenter. Alors copiez cette lettre, modifiez-la si vous voulez (un minimum serait quand même d’éditer la signature et d’accorder quelques détails selon votre sexe et celui de votre député(e). Imprimez-la si vous préférez l’envoyer par courrier (ce qui a plus d’impact), elle a été rédigée de sorte à ce que les liens puissent être facilement lus et réécrits en format papier.

Madame, Monsieur le/la député(e),

Je suis particulièrement concerné, aussi bien professionnellement que personnellement, par Internet et par la législation qui s’y applique (ou tente de le faire). C’est avec intérêt que j’ai suivi l’actualité de la loi LOPPSI 2 (Loi d’Orientation et de Programmation pour la Performance de la Sécurité Intérieur) et plus particulièrement son article 4 [1].

J’ai eu connaissance de votre vote lors de la séance à l’Assemblée nationale du 21 décembre 2010 sur le projet de loi dit LOPPSI [2] et je tiens à vous exprimer ici mon profond désaccord avec les « idées » que vous tentez d’imposer. Bien que l’intention de combattre la pédopornographie soit tout à fait louable, les moyens mis en œuvre seront, comme l’ont souligné beaucoup d’experts[3] et d’associations[4], inefficaces, car les pédophiles n’opèrent  pas de manière « ouverte » avec leurs « clients »[5].

Cette loi ne protégera personne, ni enfants, ni internautes. Filtrer un site consiste uniquement à mettre ses mains devant ses yeux en se disant « je ne vois plus rien ». Les contenus sont toujours présents et il suffit de quelques minutes pour qu’ils soient de nouveaux disponibles[6], et nous ne parlerons pas des techniques de filtrage qui sont contournables sans aucun problème[7]. Mais il est hélas facile d’imaginer là l’opportunité pour un gouvernement, dont les déboires se multiplient, de se doter d’une arme de censure « discrète » et incontrôlable [8] [9] [10].

A force d’ignorer ceci, vous risquez bien plus que de perdre des voix. Ce projet de loi est  hautement liberticide, non seulement pour sa volonté quasi-avouée de filtrage et de censure du seul médium encore libre aujourd’hui, mais aussi pour son effrayant irrespect de la séparation des pouvoirs : c’est à la justice et à elle seule de décréter ce qui est illégal et ce qui ne l’est pas[11], et vous tentez de court-circuiter le processus judiciaire, pour répondre de la mauvaise façon à un problème, que vous vous permettez  d’ailleurs d’utiliser comme symbole pour faire passer une loi inacceptable.

En ma qualité de citoyen et d’électeur, je vous demande solennellement de faire votre travail de représentant(e) du peuple Français, et de voter contre cette loi, et plus particulièrement contre l’article 4.

En vous remerciant,

Gordontesos

Sources :

  • [1] « Loppsi 2, article 4?, par Zythom, expert judiciaire http://ur1.ca/2mwzk
  • [2] http://www.nosdeputes.fr et http://www.laquadrature.net/wiki/Memoire_politique
  • [3] Comme Cédric Blanchet, Ingénieur-chercheur et responsable du département de recherche en sécurité informatique chez EADS France http://ur1.ca/2momz
  • [4] Association L’Ange Bleu (A.N.P.I.C.P. : Association Nationale de Prévention et d’Information Concernant la Pédophilie) : « LOPPSI : la protection de l’enfance, cheval de Troie du filtrage généralisé d’Internet ? » http://ur1.ca/2qsov
  • [5] « Le commerce de la pédopornographie sur Internet de 2000 à 2010? par Fabrice Epelboin pour readwriteweb http://bit.ly/pedobiz
  • [6] « WikiLeaks : une épidémie de sites miroirs à travers le monde » sur PcINpact http://ur1.ca/2t5po
  • [7] « Filtrage d’Internet : la grande illusion (partie 2/2), proxy, routage et chiffrement », par Tristan Nitot http://ur1.ca/2t5h5
  • [8] « Loppsi 2, article 4?, par Zythom, expert judiciaire http://ur1.ca/2mwzk
  • [9] « En Tunisie, le régime se durcit pour éviter qu’Internet le renverse » sur Numerama.com http://ur1.ca/2s40b
  • [10] « Algeria joins the Internet censors club » sur OpenNet.net http://ur1.ca/2t5kg
  • [11] « Émettre des images pédopornographiques, c’est un délit. Donc c’est pour cela qu’on n’a pas mobilisé un juge ; parce qu’on nous fait la critique que le filtrage il sera par une autorité administrative » – Eric Ciotti http://ur1.ca/2pgb5

Censorcheap – sponsorisé par Paul le Poulpe

Wed, 25 Aug 2010 08:19:49 +0000 - (source)

Les plus avertis d’entre vous(nous) le savent déjà, Censorcheap vient de sortir. Mais qu’est-ce que c’est donc ? Le dernier projet de Paul Da Silva est une base de données communautaire de la censure d’Internet dans le monde. En effet, vous n’êtes pas sans savoir que, dans plusieurs pays, les gouvernements cherchent à empêcher aux citoyens d’accéder à certains sites, pour diverses raisons (endiguer la pédophilie dans le monde, se faire du blé, taire toute possibilité de critique ou d’opposition politique…). En France, ça vient d’arriver, avec l’ARJEL, qui a dangereusement ouvert la boite de Pandore, en faisant bloquer un site de pari en ligne (stanjames.com, profitez bien du fait que ce lien fonctionne). Le tribunal a en effet exigé que les FAI (du moins, les 7 plus gros) emploient tous les moyens possibles pour bloquer l’accès à ce site (sans la moindre promesse de dédommagement des FAIs, en gros c’est « démerdez-vous, si vous n’obéissez pas, on vous fera payer comme des gorets ». C’est évidemment une très lourde violation de la neutralité du net, mais aussi et surtout une porte ouverte à d’autres dérives dictatoriales (les syndicats de l’industrie musicale ont déjà dit, à propos d’un filtrage de sites pédopornographiques « si on peut le faire pour la pédophilie, on peut le faire pour la musique »).

Quoi qu’il en soit, et pour revenir à Stanjames.com, le premier (seul ?) FAI à avoir obtempéré pour l’instant est Bouygues (faut-il rappeler l’amitié entre le charmant patron et notre nabot national ?), qui a posé un ridicule filtrage DNS sur le domaine principal (les autres domaines liés à ce site fonctionnent très bien). Le danger de ce blocage est donc anecdotique, tant il est facile de le contourner (par ordre croissant de difficulté : utiliser un autre domaine pointant sur le site, entrer directement l’adresse IP à la place du nom de domaine, changer ses DNS pour ceux d’OpenDNS ou Google, passer par un proxy, un vpn, être son propre FAI et paraître suffisamment négligeable aux yeux de la justice pour ne pas recevoir d’injonction de blocage, déménager en Islande…). Mais ce n’est malheureusement qu’un début, et on peut aisément imaginer que la censure (car c’est bel et bien de ça qu’il s’agit) gagnera en expérience, et saura vite se montrer plus pernicieuse (les fervents défenseurs de l’argument « ouais mais j’ai rien à me reprocher » n’auront aucune crainte en sachant que leur FAI observe de façon automatisée absolument tout ce qui se fait sur leur ordinateur…). Censorcheap, n’étant qu’une base de données, n’a pas immédiatement vocation à contourner ces filtrages. Mais à renseigner, à montrer aux censeurs qu’ils sont à leur tour surveillés. Concrètement, comment ça fonctionne ? Il y a une extension à installer sur son navigateur (pour l’instant, seule l’extension Firefox existe, mais il en viendra d’autres. Et si vous avez le bon sens de refuser d’installer des programmes inconnus, le code source est ouvert, et vous pouvez donc vérifier qu’il ne s’agit pas d’un spyware gouvernemental), qui, lorsque durant votre navigation, vous rencontrerez des erreurs indiquant qu’une page ou qu’un domaine n’existe pas, demandera de façon transparente à la base de données si cette URL est connue pour être bloquée (si la requête renvoie aussi une erreur depuis une source « sûre », on considère qu’elle peut être bloquée). Si elle s’avère réellement bloquée (c’est à dire, si elle a reçu suffisamment de reports), l’extension prévient l’utilisateur de la situation. Le but est donc d’informer avant tout. Et de pouvoir vérifier les abus potentiels et hautement prévisibles du gouvernement et de ses pseudo-autorités indépendantes (HADOPI n’est pas loin). Si la censure augmente, la taille de Censorcheap augmentera aussi, et plus d’utilisateurs sauront que ceux pour qui ils ont voté cherchent à les faire taire. En parallèle, les moyens de contournements seront connus de tous (même la Chine ne peut pas l’empêcher), et c’est autant d’armes qui se retourneront contre ceux qui auront voulu bafouer la liberté d’expression.

En bref, je vous invite à, comme je le fais moi-même, jouer le jeu de Censorcheap, installer l’extension, et surtout, vous tenir au courant de l’évolution de ces dangereuses pratiques. Pour cela, PC INpact, Numerama, La Quadrature du Net, les blogs de Bluetouff, Paul Da Silva, Korben, le mien, et Twitter, sur lesquels vous pouvez suivre tout ce beau monde (et qui est diantrement difficile à censurer).


L’Atild, ou « comment tirer contre son camp »

Mon, 02 Aug 2010 13:11:20 +0000 - (source)

Ce titre vous est sponsorisé par Jérome Bourreau-Guggenheim. Et ne parlera pas de lui, mais de l’Atild, ou « Association pour le Téléchargement sur Internet et la Libre Diffusion », dont le nom en lui-même évoque des concepts que ses membres et fondateurs ne respectent pas.

Vous avez peut-être entendu parler de l’affaire Wawa-Mania, qui pour rappel, était partie d’un billet dans lequel Bluetouff dénonçait le soutien aveugle de certains (journalistes y compris) au fondateur d’une « board warez », Wawa-Mania pour ne pas la citer, poursuivi pour cette activité. Pour reprendre l’argument de Bluetouff, la problématique de l’affaire est que Zac (le fondateur donc) gagnait de l’argent en favorisant l’échange d’œuvres de l’esprit, et ce bien sûr sur le dos des artistes et ayant-droits. Suite à ça, on a pu assister à une véritable levée de boucliers d’une association, l’ATILD, créée par l’employeur de Zac chez AB Conseil (également un membre influent de la ligue ODEBI, pas la société, son patron), entre autres, qui s’était faite connaître quelques jours auparavant pour une opération « coup de poing » contre l’ALPA (vous savez, ceux qui spamment les DVDs de messages vous promettant une mort atroce si vous copiez les films – oui oui, sur les DVDs que vous avez achetés). Le dialogue constructif qu’on aurait pu attendre de gens défendant à priori les mêmes valeurs n’a pas eu lieu, et les interrogations de Bluetouff lui valurent un DDOS bourrin, qui affecta d’ailleurs un certain nombre d’autres sites qui n’avaient rien à voir avec cette histoire. DDOS revendiqué par des membres de Wawa-mania, et encouragé par l’ATILD. Je dois bien dire que cela me met particulièrement mal à l’aise : une association défendant la libre diffusion et le partage s’abaisse à faire taire un blogueur influent, connu pour ses prises de position pour la culture libre, le partage et la lutte contre les atteintes aux libertés. Faire tomber à coup de DDOS un site de propagande financé par le contribuable (et dont le prix me semble beaucoup trop suspect pour ne couvrir que son développement) est une chose, interdire la parole à un blogueur parce qu’il a osé nous critiquer en est une autre, qui est intolérable, tout comme l’encouragement de telles pratiques. Ne pas être capable de répondre aux accusations du blogueur est également une honte, qui ne fait que donner plus de poids à sa méfiance envers l’ATILD/Wawa-mania.

Enfin, j’ai beau prendre un plaisir certain à écrire des billets à côté de la plaque, et complètement sortis de leur contexte d’actualité, mais il y a une chose en particulier, que j’ai trouvé personnellement si aberrante qu’il me semblait important d’y répondre, même si ça n’en vaut pas vraiment la peine. Quelques semaines après la fin de cette affaire, alors que Bluetouff avait fort heureusement, et contrairement à ce qu’il avait laissé entendre, repris son blog, l’ATILD a publié ce qu’on peut qualifier d’attaque gratuite digne d’un nouveau-né. Vous pouvez lire cette diarrhée ici. On peut donc admirer un walloftext sans le moindre argument, qui se permet de diffamer Bearstech (l’employeur de Bluetouff – d’ailleurs, écorcher un nom comme ils l’ont fait sur le site est juste risible), de fouiller sommairement dans les affaires de sa famille (comme les affiliations de son père), de la mise à dos systématique de tous les sympathisants à Bluetouff (qui sont mine de rien tous les médias spécialisés et influents dans ce domaine).

Alors les mecs, il y a un ou deux trucs à comprendre :

Pour finir en beauté, je vous conseille de lire cet article qui complète bien ce que j’ai dit (les commentaires sont épiques).


Powered by VroumVroumBlog 0.1.31 - RSS Feed
Download config articles