bortzmeyer

https://www.bortzmeyer.org/

Je tombe sur une documentation de Microsoft expliquant leur produit Purview, qui fait de la « conformité des communications ». En gros, Microsoft permet de configurer le serveur de messagerie électronique d'une entreprise (tous les exemples donnés sont dans ce contexte, mais cela doit pouvoir s'appliquer ailleurs) afin d'espionner ce que les utilisateurs racontent et le bloquer, ou bien le signaler au chef (ce signalement est vraiment un des exemples). Sur quels critères ? C'est configurable. Dans la version en français citée plus haut, il y a les catégories habituelles (racisme, pornographie) mais un article en anglais explique que cela pourra aussi s'appliquer au cas d'employés qui disent du mal du patron ou envisagent de quitter la boite. Comme tous les systèmes de censure, il dépend des valeurs de l'organisation qui le conçoit et, par exemple, la documentation nous dit que le système est «  particulièrement sensible à la langue discriminatoire à l’égard des communautés afro-américaines/noires par rapport à d’autres communautés » (le racisme anti-arabe serait moins grave que le racisme anti-noir ?) À noter que le texte en français semble avoir été traduit avec les pieds par une IA débutante. Par exemple, il traduit « racy » par « racé ».

Un certain nombre de personnalités viennent de publier une tribune « Pour un ministère du numérique de plein exercice » appelant à ce que, dans le futur gouvernement, le numérique soit pris en charge par un ministre, pas un simple secrétaire d'État soumis au ministre des finances et de l'économie. Je suis plutôt d'accord avec cette idée, qui est tout à fait logique vu l'importance du numérique dans tous les aspects de notre vie. Mais cela ne me semble pas vraiment la revendication essentielle du moment. Ceci dit, cette tribune soulève d'autres problèmes. D'abord, elle contient des opinions que je ne partage pas comme de dire « nous nous réjouissons du nombre de licornes françaises qui enchaînent les records de levées de fonds ». D'une part, un certain nombre de ces entreprises ont une activité dont l'utilité sociale est… disons très contestable, d'autre part je ne vois pas de raison de me réjouir de succès purement financiers (surtout dans une tribune qui, à juste titre, regrette le rattachement du secrétaire d'État au numérique au ministère des finances). D'autres phrases dans la tribune relèvent du même enthousiasme pour « nos belles startups » (j'ai dû relire plusieurs fois pour m'assurer qu'il n'y avait pas de smiley). Ensuite, d'un point de vue plus technique, des affirmations comme le fait que « informatique quantique, […] les métavers et crypto-actifs » vont bouleverser notre société mériteraient davantage de prudence. L'informatique quantique, par exemple, est loin d'avoir atteint ce stade et il y a peu de chances qu'elle l'atteigne avant la fin du mandat du futur ministre du numérique. De telles affirmations relèvent plutôt de la techno-béatitude, et de l'agitation marketing de jolis mots. Mais le principal problème de ce texte est dans ce qu'il ne dit pas.

  • Il vante les DSA et DMA européens sans un mot de critique, par exemple sur la sous-traitance de la censure aux GAFA que contient le DSA.
  • Il parle d'« accélérer la transformation numérique » sans rappeler que cette transformation est souvent un moyen de diminuer le service public, et d'en priver les populations les plus fragiles (qui, certes, n'investiront pas dans les licornes…).
  • Il parle des « apports du télétravail » comme si celui-ci était unaniment considéré comme souhaitable.
  • Il ne dit pas un mot de la défense des libertés, notamment de la liberté d'expression, si menacée sur l'Internet aujourd'hui.

Pour tous ces manques, même si on m'avait proposé de signer ce texte (cela n'a pas été le cas), je ne l'aurais pas fait.

J'avais acheté ce clavier sur Amazon : https://www.amazon.fr/gp/product/B07YG1VBGW/ref=ppx_yo_dt_b_asin_title_o04_s00?ie=UTF8&th=1

J'ai voulu mettre un commentaire disant qu'après quelques mois, les diodes du clavier restent partiellement allumées, même quand on choisit le mode sans éclairage (Fn – Inser sur le clavier).

Amazon a refusé mon commanire avec « Merci de nous avoir envoyé des commentaires client sur Amazon. Après un examen approfondi des données envoyées, votre commentaire n'a pas pu être posté sur le site Web. Nous apprécions le fait que vous ayez pris du temps pour nous envoyer vos commentaires, mais nous vous rappelons que les commentaires doivent respecter les règles suivantes : Quelques problèmes fréquents à garder en tête : Votre commentaire doit se concentrer sur les fonctions spécifiques du produit et sur votre expérience avec ce dernier. Les évaluations sur le vendeur ou la livraison du produit doivent être soumises via ${hash-get link}. Nous n'autorisons pas le contenu obscène ou grossier. Cela s'applique aussi aux produits pour adultes. Les publicités, le matériel promotionnel ou des posts répétés pour faire remarquer la même chose excessivement sont considérés comme du spam. Veuillez ne pas inclure d'URLs externes à Amazon ou de contenu personnellement identifiable dans votre commentaire. Toute tentative de manipulation du contenu de la Communauté ou de ses fonctionnalités, y compris la soumission de contenu erroné, mensonger ou non authentique, est strictement interdite. Référence RAN7YJZHNLS51. © 2022 Amazon EU Sarl. Luxembourg, Reg# B-101818, 38 avenue John F. Kennedy, L-1855 Luxembourg. RVA # LU +20260743. »

Inutile de dire qu'il n'y avait pas d'insulte ou d'obscénité dans mon commentaire. On notera que le message d'Amazon ne précise pas quelle règle j'ai violée, et le CM d'Amazon sur Twitter refuse de répondre.

Bref, quand vous ne lisez que des commentaires favorables sur un produit, dites-vous que c'est peut-être que les autres ont été supprimés.

Zettlr est un éditeur de textes conçu autour du langage de formatage Markdown, et doté de fonctions qui visent le public « académique » (rédaction de mémoires de master ou d'articles scientifiques). Zettlr est un logiciel libre, qui tourne sur diverses plates-formes (j'ai fait les tests sur Ubuntu). Zettlr se veut WYSIWYM (What You See Is What You Mean) ce qui veut dire que ce qui s'affiche reflète le contenu et la structuration, pas l'apparence finale. Zettlr est juste un éditeur, le rendu final sera fait par un navigateur Web (si vous exportez en HTML) ou bien par LaTeX (pour produire du PDF).

Si vous venez du monde des éditeurs Unix comme emacs, et que vous tapiez le Markdown dedans, il faudra apprendre quelques nouveaux concepts, comme la gestion des dossiers (qui est très spéciale). Si vous venez du monde des obésiciels WYSIWYG comme Microsoft Word ou LibreOffice, vous devrez apprendre à penser contenu et structuration, et à remettre à plus tard la présentation. (Même si vous restez sur ces logiciels, c'est de toute façon une bonne idée que de penser en WYSIWYM, par exemple en utilisant systématiquement les styles.) Zettlr dispose d'une documentation détaillée, bien traduite en français.

Je ne vais pas vous refaire le tutoriel de Zettlr, qui est inclus dans le logiciel, et est le premier truc à s'ouvrir. (J'ai d'ailleurs eu du mal à le lancer, le logiciel n'est pas installé dans les répertoires normaux du système d'exploitation, il a fallu taper /opt/Zettlr/zettlr pour démarrer.) Je vais juste décrire quelques points importants.

Le plus exaspérant est la gestion des dossiers et des fichiers. Zettlr insiste pour faire cela lui-même, mettre les fichiers dans un autre répertoire que celui d'où on a lancé l'application, et a des concepts bien à lui. C'est documenté, certes, mais, personnellement, ce n'est pas ce que je veux. J'organise mes fichiers et mes répertoires à ma façon, et je voudrais bien que l'éditeur la respecte. D'autant plus qu'il ne fournit pas tellement d'aide pour sa gestion si particulière, par exemple il n'affiche pas le répertoire racine (c'est un terme spécifique à Zettlr) courant. Si on a deux documents ouverts, dans des répertoires racine différents, aucun moyen de voir ce répertoire racine. Bref, il faut apprendre les concepts de Zettlr.

Zettlr est un éditeur Markdown, et le mode normal d'utilisation est donc de taper du Markdown. Toutefois, Zettlr vous aide, si vous avez oublié la syntaxe particulière de telle ou telle fonction Markdown : un menu donne les principaux codes. Ainsi, les liens hypertexte sont bien gérés, choisir Link dans le menu affiche les codes Markdown et, une fois les deux champs (le texte et l'URL) remplis, Zettlr affiche un lien souligné, qu'on peut éditer simplement en cliquant dessus. C'est à peu près pareil quand on met en valeur ou en code informatique.

En parlant de Markdown, il faut se rappeler qu'il n'existe pas de Markdown standard. Si le RFC 7763 décrit le type « MIME » text/markdown, il se garde bien d'en donner une définition (pour les raisons détaillées dans le RFC 7764). Zettlr utilise la variante Pandoc et vous aurez donc peut-être des difficultés à échanger vos fichiers Markdown avec des utilisateurs d'autres logiciels. Ce n'est pas la faute de Zettlr, c'est la situation du monde Markdown. Et ce choix de Pandoc permet d'avoir des extensions vraiment indispensables comme les tableaux, les notes de bas de page ou les images.

Je l'ai dit, Zettlr est clairement orienté vers un public « académique », qui fait des documents sérieux, et ne se soucie pas d'effets esthétiques rigolos, l'apparence étant de toute façon décidée plus en aval dans le processus de publication. Le WYSIWYM convient donc bien. En raison des demandes de ce public, Zettlr fournit des services orientés publication scientifique. C'est le cas des compteurs de caractères et mots (avec des statistiques pour évaluer votre productivité quand vous écrivez le chef d'œuvre de votre vie, 800 pages). Moins anecdotique, Zettlr permet de produire des citations. La méthode recommandée s'appuie sur Zotero.

Voilà, en résumé, Zettlr marche, je n'ai pas trouvé d'inconvénient sérieux. La gestion des fichiers et répertoires n'est vraiment pas faite pour moi mais, qui sait, si j'écrivais un second livre, peut-être que je m'y ferais. En tout cas, j'ai écrit ce court compte-rendu avec Zettlr (avant de copier-coller le Markdown dans le CMS, qui l'accepte).

Le 23 septembre, je reçois (sur une adresse personnelle) un spam venant d'une entreprise de spam (l'émetteur SMTP est publi-redactionnel.deltapresse.fr / 77.32.194.137) et me proposant EN CRIANT « PROPOSITION D'UN PUBLIREPORTAGE DIFFUSÉ SUR LE FIGARO ». Le texte prétend que « Le tournage se déroule dans le studio du Figaro au 14 Boulevard Haussmann à Paris 9ème » et que « Vous bénéficiez des audiences du Le Figaro , premier site d’information en France, disposant d'une cible qualifiée aux quatre coins de l'Hexagone. (Note de ma part : À mon avis, un hexagone a six coins, mais passons.) Cette émission est préparée en amont avec notre présentateur « Itinéraire Entreprise ». C'est donc vous qui choisissez les sujets que vous souhaitez aborder lors de l'entretien. L’objectif ? Promouvoir votre société, votre savoir-faire et vos compétences. Grâce à cette interview vidéo, vous pourrez communiquer en misant sur votre personnalité et être vu partout et tout le temps. » Il s'agit bien de publicité, pas d'un reportage : « Préparation : Notre présentateur “Itinéraire Entreprise” vous contacte une semaine avant pour préparer l'interview en amont. Cet exercice vous permet d'anticiper les questions pour vous sentir plus en confiance lors du tournage » et pour faire plus pro « Transport : Un chauffeur est à votre disposition pour vos trajets à Paris intramuros et vous emmène directement dans les locaux du Figaro Boulevard Haussmann. Maquillage : À votre arrivée, une hôtesse d'accueil vous reçoit et vous accompagne dans la loge pour une séance de maquillage en accord avec la lumière du plateau. » Le résultat : on sera connu « Photo : Des clichés professionnels sont capturés pour la création de visuels sur vos réseaux sociaux. Interview : Une prise de parole est opérée face caméra avec notre présentateur. Rédaction : Un article de 750 mots récapitulatif est rédigé par notre attachée de presse. Il comprendra vos coordonnées ainsi que trois liens vers votre site internet et vos réseaux sociaux. Relais digital : Notre partenaire Delta Presse diffuse votre article à un panel de plus de 95 000 journalistes pour un relais sur différents médias. (Note de ma part : J'en profite pour vous recommande les savoureux tweets d'un journaliste spécialisé en informatiuqe qui se moque des innombrables communiqués de presse débiles qu'il reçoit, mot-croisillon CommuniquéIdiotDuJour sur Twitter.) Publication : La vidéo et l'article sont diffusés sur la page économie du Le Figaro. Une page web sur le Le Figaro hxxps://www.lefigaro.fr/economie/dossier/itineraire-entreprise ) vous sera complètement dédiée. Tracking (Note de ma part : comme c'est mignon, comme terme : les spammeurs n'ont pas honte de dire qu'ils fliqueront les visiteurs, par exemple avec des web bugs.) : Un suivi de l'audience de votre interview est réalisé par nos soins. Vous bénéficierez d'un taux de rebond et d'un référencement efficace grâce à l'interview et de ces liens dont raffole Google. Une fois diffusée, vous recevrez une copie de cette interview pour votre site internet et vos propres réseaux sociaux. » À aucun moment, ils ne parlent du prix que cela me coûtera si j'étais assez bête et assez vaniteux pour accepter. J'ignore si le Figaro est vraiment impliqué, je vais leur demander.

Le 4 août 2020, le « Community Manager » de la Direction Générale des Finances Publiques à écrit sur Twitter « Un nom de domaine est imitable » en réponse à une question d'un utilisateur qui s'inquiétait d'un message de hameçonnage reçu, message qui prétendait venir de ne_pas_repondre@dgfip.finances.gouv.fr. Puis le même « Community Manager » a donné des détails dans un autre tweet.

Le problème de la sécurité du courrier électronique et de la sécurité sur l'Internet en général est compliqué. Il n'est pas facile d'expliquer dans les 280 caractères d'un tweet des questions subtiles d'authentification sur les réseaux informatiques. Néanmoins, comme il s'agit ici d'un service officiel et important, il me semble qu'une grande rigueur dans les faits est nécessaire. Voyons donc ce qui n'allait pas dans ces deux tweets.

D'abord, mon explication : l'expéditeur, dans le courrier électronique, n'est pas authentifié. Pas du tout. Je peux trivialement envoyer un message qui prétend venir de macron@elysée.fr ou de inspecteur@impots.gouv.fr et cela passera. Conséquence pratique de ce problème : il ne faut pas agir uniquement sur la base d'un message électronique. Surtout s'il s'agit d'argent. Ne visitez pas un site Web inconnu, et surtout ne laissez pas votre nom et votre mot de passe uniquement parce que l'adresse de ce site Web figurait dans un message prétendant venir de l'État.

Les experts en Internet me feront remarquer que c'est plus compliqué que cela : d'abord, il y a deux adresses d'expéditeur dans un message, celle de l'enveloppe et celle de l'en-tête. Et des techniques comme SPF ou DKIM permettent de l'authentification partielle de l'expéditeur. Certes, mais rappelez-vous du contexte : il s'agissait de répondre sur Twitter, donc rapidement, et à quelqu'un qui n'était pas expert et n'aurait peut-être pas eu la patience d'écouter de longues explications.

Mais cela n'empêche pas de faire attention à l'exactitude des informations données. Commençons avec « Les noms de domaine sont imitables ». La phrase est tellement vague qu'il est même difficile de la critiquer. Fait-elle allusion au cas particulier du courrier électronique, où on a vu que le mensonge est techniquement facile ? Ou bien à des risques spécifiques aux noms de domaine, comme le détournement d'un nom suite à un piratage d'un des acteurs de la chaine de gestion des noms ? Ou à des attaques techniques sophistiquées, nécessitant des techniques de défense comme DNSSEC ? Ou encore à la possibilité d'un escroc d'utiliser un nom qui ressemble assez au vrai pour tromper l'utilisateur distrait ? Difficile de le savoir.

Ensuite, le tweet original dit « dans ce cas précis notre adresse ne comporte pas de _ mais des - ». Cela ne change rien. Le hameçonneur aurait pu tout aussi bien, sans difficulté, prétendre envoyer depuis ne-pas-repondre@dgfip.finances.gouv.fr. S'il ne l'a pas fait, ce n'est pas parce qu'il y a une quelconque impossibilité technique, c'est juste qu'il était négligent ou, plus probablement, qu'il a pensé que personne ne ferait attention.

Ensuite, le deuxième tweet dit « Oui un nom de domaine est imitable mais pas l'adresse entière ». Là, la phrase est assez précise pour qu'on puisse dire qu'elle est fausse. Dans l'usurpation d'une adresse de courrier, il n'y a pas de différence entre le nom de l'utilisateur (à gauche du @) et le nom de domaine (à droite du @). S'il y en a une, elle va plutôt dans l'autre sens : des techniques existent pour limiter l'usurpation sur le nom de domaine, mais il y en a beaucoup moins pour le reste de l'adresse.

Pour résumer : vérifier l'adresse de l'expéditeur du message ne sert pas à grand-chose, surtout si on n'est pas expert du domaine, il faut plutôt vérifier l'adresse Web vers laquelle le message essaie de vous faire aller. Si c'est censé venir du gouvernement français, le nom de domaine dans cette adresse Web se terminera forcément par .gouv.fr.

Le projet NSA d'un serveur DNS a été décrit dans un article de CyberScoop et résumé par NextInpact (voir aussi cet article). L'article original n'est pas très détaillé techniquement donc il y a forcément pas mal de spéculation dans les commentaires. Il s'agirait apparemment de créer un résolveur DNS souverain, menteur et (partiellement) public. Souverain car géré par un pays (les États-Unis) pour lui-même. (Un exemple de résolveur DNS souverain est le Bouclier Canadien fait par le registre du .ca, un autre exemple est un projet indien  qui n'avance pas.) Menteur car il est prévu qu'il altère les réponses DNS, par exemple pour gêner l'accès aux serveurs utilisés par le logiciel malveillant. (Et peut-être pour bloquer le porno aussi.) Partiellement public car il semble qu'il sera réservé aux entreprises étatsuniennes travaillant pour l'armée. (Un autre exemple de résolveur DNS pour l'État existe en Grande-Bretagne, le 25.25.25.25, géré par le registre du .uk.) Faire gérer ce résolveur par la NSA est amusant. C'est l'occasion de rappeler que les protocoles sécurisés comme DoH (DNS sur HTTPS) ou DoT (DNS sur TLS) ne protègent que contre un tiers, pas contre le gérant du serveur. (On n'a pas encore d'information fiable sur les protocoles qui seront disponibles sur ce service.)

À propos d'un article sur DoH et la situation en Inde

Arun Mohan Sukumar a écrit un article https://thewire.in/tech/mozilla-dns-over-https-protocol-privacy-geopolitics au sujet du protocole DoH (DNS sur HTTPS). Rien de nouveau ou d'original, à part sous l'angle géopolitique puisqu'il mentionne des arguments liés à la situation en Inde. La plupart des arguments donnés dans l'article sont archi-classiques et je les ai déjà traités sur mon blog https://www.bortzmeyer.org/doh-et-ses-adversaires.html Je ne vais mentionner ici que ceux spécifiques à l'Inde et à l'Asie. D'abord, des services comme des résolveurs DoH de confiance sont particulièrement importants en Inde. Le pays est certes une démocratie (dirigée actuellement par un parti intégriste et autoritaire) mais c'est aussi un pays où la censure de l'Internet est très fréquente, justifiée par des arguments puritains ou politiques (la situation au Cachemire est un bon prétexte pour qualifier toute opposition de propagande terroriste, ou pour estimer qu'elle risque d'encourager des violences). Les Indiens cherchent donc à contourner cette censure et DoH est un outil parmi d'autres pour cela. Bref, quand l'article dit « enabling this protocol essentially undercuts national laws or ISP policies prohibiting certain content », je réponds « oui, et c'est bien le but ». L'argument de sécurité est assez ridicule quand la seule référence est un article vague sur le nombre d'attaques DNS, mêlant des attaques sans rapport entre elles. Ensuite, sur l'argument géopolitique, oui, la souveraineté locale est un problème réel, et faire passer ses requêtes DNS d'un FAI local qui ment et surveille à une boîte états-unienne qui surveille n'est pas forcément un progrès. La solution n'est pas d'interdire ou d'empêcher les utilisateurs de choisir un résolveur tiers, la solution est de leur fournir des résolveurs de confiance, qu'ils aient envie d'utiliser.
DoH lui-même n'est qu'une technique : on peut parfaitement faire du DoH avec un résolveur menteur, et l'article note d'ailleurs qu'il y a un tel projet en Inde. Mais, en Inde comme en France, les grands discours ministériels sur la souveraineté numérique ne sont pas toujours suivis d'effets concrets. Tiens, l'article oublie de dire, alors qu'il parle de DNS, que le domaine national .in est géré depuis des années par une entreprise états-unienne... PS : le document de l'IETF cité n'est pas un document de l'IETF mais un Internet-Draft. Tout le monde peut en écrire un, ils ne font l'objet d'aucune validation. Celui-ci a été écrit par un FAI étatsunien qui regrette la perte de contrôle sur les utilisateurs liée à DoH. PS : un interprète me dit que le dialogue « Tumhara khoon hai khoon?! Kya humara khoon pani hai? », non traduit dans l'article, est un affrontement verbal, genre « mon sang n'est pas de l'eau ».

Introduction

Le défi était « une explication pédagogique des informations que retourne dig nomdedomaine.tld NS et CNAME ». Voici une tentative de réponse.

Petit détour sur dig

dig est un programme informatique qui interroge des serveurs Internet pour trouver de l'information au sujet d'un nom de domaine. Après le nom de la commande (« dig »), on trouve le nom de domaine concerné, et un type.

NS

Le type NS signifie « serveurs de noms » (NS est le sigle « name server » en anglais). La commande « dig cam.ac.uk NS » va nous renvoyer les serveurs de noms de l'université de Cambridge. Ces serveurs de noms sont les machines qui répondent aux questions sur ce domaine. Elles voient donc passer les questions des internautes. Si elles sont toutes en panne, le domaine ne marche plus.

CNAME

Le type CNAME dit qu'on cherche le « vrai » nom d'un domaine qui est un alias, un surnom. Ce système d'alias permet d'avoir plusieurs noms « pointant » tous vers un vrai nom. Ainsi, la commande « dig f7ds.liberation.fr CNAME » nous permet de voir que le vrai nom du domaine f7ds.liberation.fr n'est pas sous liberation.fr. (Le vrai nom est liberation.eulerian.net, Eulerian étant une entreprise de surveillance des internautes, à des fins publicitaires.) Mais toutes les utilisations de CNAME n'ont pas pour but de tromper l'utilisateur.

Et pour en savoir plus

Alternatives à dig

Vous n'êtes pas obligé·e·s d'utiliser dig. Le système des noms de domaines (DNS, pour « domain name system » en anglais) peut être interrogé par bien d'autres programmes. Par exemple, sur le Web, l'adresse https://dns.bortzmeyer.org/gouv.td/NS vous permettra de voir les serveurs de noms du domaine du gouvernement tchadien. (C'est donc l'équivalent de « dig gouv.td NS ».) Si vous utilisez le réseau social « fédivers » (parfois appelé Mastodon), vous pouvez écrire à DNSresolver@botsin.space avec un nom de domaine et un type, et vous aurez la même information.

Tout savoir sur le DNS

Mon cours sur le DNS dans une école d'ingénieurs est en ligne.

Test de guillemets Comme le disait Ronsard  « c'est mieux avec des guillemets français ».