🚲 Tanguy Ortolo a écrit 12252 commentaires

Tant que tu refuseras qu'il puisse exister une autre échelle de valeur que la tienne

Oh, mais je l'admets. En revanche, je pense que la mienne est plus juste, ce qui me semble l'évidence même, parce que si je ne le pensais pas, eh bien j'irais voir ailleurs : après tout, quand on n'est pas d'accord avec quelqu'un, même si on n'est pas forcément sûr de soi il est normal de penser qu'on a raison, le contraire relevant de la schizophrénie.

Qu'il existe un système de pensée qui cautionne ce genre de massacre, et même qui l'encourage, c'est également l'évidence même : c'est notamment le cas de l'islamisme radical qui a inspiré ses auteurs. Et ce système de pensée est pour moi mauvais, en fait indigne de l'humanité, ce qui fait qu'on peut le qualifier de barbare et le combattre sans trop d'hésitation. C'est aussi cela qui permet l'union en ce sens de nombreux courants de pensées normalement adversaires.

La civilisation de haine qu'ils tentent d'établir doit être contenue, et idéalement détruite.

J'ai l'impression que cette affirmation donne lieu à des interprétations gênantes, donc je précise que je parle bien de l'éradication du totalitarisme islamique, et non pas de l'Islam, des musulmans, de la zone géographique sous contrôle de l'EI ou je ne sais quoi encore. Je ne pense pas que faire sauter toute la zone avec une bombe thermonucléaire soit une bonne solution, bien qu'une opération militaire raisonnable soit sans doute incontournable, ne serait-ce que pour sauver les populations locales qui sont bien plus victimes que nous.

Il n'est peut-être même pas nécessaire de passer par les armes ou d'enfermer tous les jihadistes, et j'espère qu'il sera possible qu'ils abandonnent leur foi malsaine pour pouvoir participer à une civilisation digne de l'humanité.

Tu parles bien de notre civilisation qui faisait monter des gens au bûcher sur accusation de sorcellerie ?

C'est le passé, et ça n'a plus court. Tu n'irais pas condamner en masse la civilisation russe actuelle parce qu'elle a permis l'avènement du totalitarisme stalinien, ou la France parce qu'elle a donné lieu à la Terreur ? Réduire toute civilisation, peut-être tout homme, à ses erreurs passées, il y a de quoi désespérer de l'humanité, et sans doute de soi-même, soit dit en passant.

Si je tues ton ami et que je t’explique que c’est Dieu qui m’a ordonné de le faire, que me diras-tu et que feras-tu de moi ?

En supposant que j'arrive à garder la tête froide, ce qui est peu probable, je dirais que ta croyance est complètement erronée, et qu'au lieu de servir Dieu tu t'es mis au service de Satan. Que tu mérites désormais la prison, et qu'indépendamment de cette punition humaine méritée, tu peux encore te convertir.

C'est un point de vue objectif ou bien celui d'un occidental ?

Que les valeurs qui mènent des gens à commettre de telles horreurs sont mauvaises ? C'est le point de vue d'un occidental évidemment. Je serais curieux de voir s'il existe des civilisation dignes de ce nom qui ne considèrent pas un tel massacre comme un mal.

On n'exporte pas la démocratie dans un fourgon blindé.

Tout à fait d'accord. On a essayé de forcer une transition démocratique en Syrie, et, euh, bon, on voit le résultat. Tous les peuples ne sont pas prêts pour vivre en démocratie, et l'hiver qui a suivi de nombreux printemps arabes est là pour nous le confirmer.

L'athéisme est acceptable comme conversion j'espère. Mais je n'utiliserai pas ce mot.

Oui, c'est acceptable. Au point où ils en sont, à adorer le mal en fait, à peu près toute autre croyance conviendrait.

Note que a marche aussi pour ceux qui souhaitent que d'autres se convertissent.

Je n'ai pas compris, désolé.

Tu copies leur discours, la… Du coup, si je suis convaincu par ton discours, me voila embrigadé et me voila motivé à "combattre".

Si tu penses que je cherche à motiver pour combattre la barbarie islamiste, eh bien, ma foi oui, c'est le cas. La barbarie islamiste est mauvaise — ça, je te mets au défi de défendre le contraire — et doit donc être combattue, c'est aussi simple que ça.

Ceci étant, comme je l'ai ajouté, cela n'implique pas du tout que nous soyons parfaits. Nous ne le sommes pas, et nous devons donc toujours travailler à améliorer notre propre civilisation.

La civilisation de haine qu'ils tentent d'établir doit être contenue, et idéalement détruite.

(Ce qui n'empêche pas de vouloir améliorer la notre, de civilisation, mais dans l'immédiat, ce n'est pas forcément le plus urgent.)

C'est le moment de penser à, et de prier pour si vous êtes croyants :

• les victimes évidemment, morts, blessés, ainsi que leurs familles en deuil ;
• les secouristes (pompiers, brancardiers, infirmiers, médecins…) qui œuvrent pour sauver les blessés ;
• les agents des forces de l'ordre qui luttent pour défendre la civilisation contre la barbarie.

Mais également, de façon plus surprenante et plus difficile, pour les barbares eux-mêmes, qui ont pris le plus court chemin vers l'enfer s'il existe, et qui œuvrent de toute façon à la réalisation de l'enfer sur Terre. Que ce soit clair, ces islamistes ne sont pas des victimes, ni des déments — dans le sens où ils sont pleinement responsables de leurs actes —, mais des criminels, meurtriers de masse qui doivent être punis pour cela ; il ne s'agit donc pas de les excuser ni même de les comprendre, mais de souhaiter qu'ils se convertissent, c'est à dire qu'ils abandonnent leur religion de haine pour… autre chose en tout cas. J'ose en effet espérer que tout homme, même le plus égaré, peut être sauvé, retrouver son humanité, regretter ses erreurs et vivre sa vie en œuvrant à sa mesure pour le bien commun, même si cela doit être en prison.

C'est également le moment de réaliser que tout ne se vaut pas, que le bien et le mal ne sont pas des notions purement relatives, et que ces barbares n'exercent pas leur liberté conformément à leur croyance personnelle, mais commettent un mal objectif qui doit être combattu. Les valeurs de notre civilisation ne sont pas forcément parfaites, loin de là, mais elles sont nettement supérieures aux leurs, qui sont presque entièrement mauvaises. La civilisation de haine qu'ils tentent d'établir doit être contenue, et idéalement détruite.

Dieu n'existe pas

Correction, tu crois que Dieu n'existe pas. Il s'agit d'une croyance religieuse, à laquelle on est libre d'adhérer ou non. Asséner ainsi ta croyance me semble un rien péremptoire, sans compter l'interjection « Connerie ! » qui introduit ton propos.

Personnellement, je crois que Dieu existe et je n'hésite pas à exprimer ma foi, mais en respectant les autres croyances, de sorte que je ne me permettrais pas de l'affirmer ainsi en insultant au passage ceux qui ne la partagent pas.

Il n'y a rien après la mort. Il y avait la vie, ils ont tués la vie, retour au néant.

Même remarque, tu crois qu'il n'y a rien après la mort. Il s'agit également d'une croyance religieuse, qui ne me semble d'ailleurs pas liée à l'existence ou non d'un ou plusieurs Dieu, bien qu'en pratique, la croyance en Dieu et en l'Au-delà aillent souvent ensemble (mais pas toujours, le bouddhisme s'écartant largement de cela, me semble-t-il).

Notez que ça n'interdit pas seulement les achats avec contrainte de libération (j'achète, mais seulement si c'est libre), mais que ça va plus loin, en interdisant les achats avec contrainte d'accès aux sources. Et ça, c'est le genre de chose qui concerne particulièrement… les armées, qui à ma connaissance, utilisent actuellement des logiciels propriétaires, mais en les auditant avec accès au source.

Avec un truc pareil, l'Armée ne pourra plus acheter de logiciel en demandant un accès au source pour vérifier qu'il n'y a pas de porte dérobée pour une puissance étrangère par exemple.

Mon avis à moi :

• les stèles sont de trop, le fait d'indiquer une date de mort suffit à faire comprendre qu'Untel est mort, inutile d'insister ;
• tant qu'à faire, ce serait bien de mettre les dates au format ISO (AAAA-MM-JJ) ;
• ce serait bien d'ajouter une citation et une petite liste des actions de chacun.

J'ai rarement vu un mot aussi laid que ce « webinaire », suis-je le seul affecté par cette répulsion lexicale ?

Ça correspond à l'anglais “webinar” évidemment, mais je trouve la version anglaise tout aussi hideuse…

J'ai rarement vu un mot aussi laid que ce « webinaire », suis-je le seul affecté par cette répulsion lexicale ?

À part ça et pour ne pas commencer et finir sur cette remarque négative et vaguement hors sujet, c'est cool, bonne idée que ces séminaires en ligne !

Ah, d'accord, mais ça aussi, ça vaut le coup d'expliquer pourquoi. La raison, c'est que des trucs comme fsck modifient les données, et qu'on peut vouloir repartir des données récupérées sans modification pour utiliser un autre outil. Or, pour ce faire, il faut disposer d'une sauvegarde de l'image récupérée, dans la mesure où relancer la récupération à partir du disque dur endommagé n'est pas du tout souhaitable.

Enfin, il faut toujours travailler sur un double.

Autant indiquer pourquoi ! C'est tout simplement parce que, si le disque dur est partiellement en panne, il est probable que cela ira en empirant, et que des zones de plus en plus grandes vont devenir inaccessibles ou corrompues. Du coup, plutôt que de travailler in situ, mieux vaut rapidement copier tout ce qu'on peut, ce qui permet ensuite d'avoir autant que temps qu'on veut pour travailler sur l'image ainsi récupérée en catastrophe.

GNU ddrescue est correctement conçu pour récupérer un maximum de données, n'hésitez pas à l'utiliser. Comme expliqué dans cette dépêche, lorsqu'il tombe sur une erreur, il saute une large plage pour s'éloigner au plus vite de cette zone et éviter ainsi d'endommager encore plus le disque dur, puis, quand il a fini de récupérer ce qui est facilement récupérable, il repasse plus finement sur les zones à problèmes.

dd_rescue au contraire, est à fuir comme la peste, parce qu'il est très mal conçu pour récupérer des données, ou alors très bien conçu pour en perdre un maximum, selon la façon dont vous le prenez : lorsqu'il tombe sur une erreur, il passe immédiatement plus finement dessus, histoire d'être sûr de bien flinguer le disque dur ou la tête de lecture…

Ça enlève quoi à l'architecte que le bâtiment qu'il a dessiné soit photographié puis imprimé à des milliards d'exemplaires ?

Ça l'empêche de réclamer du fric dessus. Ce qui est totalement indu, puisqu'il a déjà été payé pour son boulot.

Si on veut améliorer la sécu, ça va « forcément » passer par une décision unilatérale et violente des navigateurs et autres, qui va laisser beaucoup de monde sur le carreau.

Je confirme, et j'ai vécu ça au travail. On héberge des clients, et un jour, on nous a demandé d'appliquer une politique de sécurité précise, qui incluait entre autre la désactivation de la prise en charge SSLv3. Cette politique de sécurité n'étant pas du tout optionnelle, on l'a appliquée, sachant très bien que ça allait râler. Et ça n'a pas loupé, une semaine après, on a vu arriver des demandes provenant de notre support client, qui ont donné lieu à des échanges comme :

• Tel client a une erreur « trucbidule SSLv3 not supported », il faut que vous répariez ça.
• C'est normal et voulu, on a désactivé SSLv3. Le client doit mettre à jour ses systèmes. (Ticket fermé par le sysadmin)
• Ça ne va pas, ils ne peuvent plus du tout utiliser leur plate-forme. Il faut que vous réactiviez ça. (Ticket rouvert par le support client)
• On l'a désactivé parce que c'est interdit par la nouvelle politique de sécurité et on ne reviendra pas dessus. Le client doit mettre à jour ses systèmes. Il n'y a pas de solution alternative. (Ticket fermé par le sysadmin)
• On ne peut pas demander ça au client, c'est un problème critique de production. Réactivez SSLv3. (Ticket rouvert par le support client)
• C'est interdit, on ne peut pas faire ça. Je transfère à la hiérarchie pour confirmation. (Ticket envoyé à la hiérarchie par le sysadmin)
• Je confirme, il est interdit de réactiver SSLv3. C'est la politique de sécurité de l'entreprise, pas de discussion possible. (Ticket fermé par la hiérarchie)

Pour info, le site de consultation République Numérique permet d'afficher toutes les propositions d'une personne donnée, donc, pour accéder directement à celles des associations sus-mentionnées, voici :

• celles de Wikimedia France ;
• celles de SavoirCom1 ;
• celles de l'April ;
• celles de la Quadrature du Net.

Là, ce n'est pas vraiment une option, plutôt une sous-commande.

Excellent, je ne connaissais pas !

Comme on l'a vu, il n'est pas réaliste pour l'administrateur d'un serveur de courrier d'imposer le chiffrement pour toutes les transmissions sortantes. En revanche, il peut être utile de le faire pour les noms de domaines destinataires dont on sait qu'ils le prennent en charge avec une configuration correcte.

Voici donc comment le faire avec Postfix. Avertissement : je n'ai pas essayé, pas encore du moins. Dans /etc/postfix/master.cf, définir un nouveau transport forcetls :

# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
smtp      unix  -       -       -       -       -       smtp
force-tls unix  -       -       -       -       -       smtp -o smtp_tls_security_level=verify

Ensuite, définir une table de transports, dans /etc/postfix/main.cf :

transport_maps = hash:/etc/postfix/transport

Créer cette table, en y mettant les noms de domaines pour lesquels on veut transmettre exclusivement en TLS avec vérification :

laposte.net     force-tls:

Hacher cette table, puis redémarrer Postfix :

# postmap /etc/postfix/transport
# service postfix restart

À noter qu'avec cette configuration, pour un nom de domaine donné, Postfix ira chercher les MX, par résolution DNS souvent non sécurisée — DNSSEC est encore loin d'être la norme — puis, s'il fait partie de cette liste des noms de domaines pour lesquels il doit transmettre exclusivement en TLS avec vérification, vérifier que le certificat utilisé couvre bien le nom du MX choisi — et non le nom de domaine destinataire.

Cela laisse donc un vecteur d'attaque, par réécriture des réponses DNS, qui permet à l'attaquant d'indiquer son propre MX qui prendra en charge TLS avec un certificat qui couvre bien son nom. Postfix permet d'éviter cela en vérifiant à la place que le certificat utilisé couvre bien le nom de domaine destinataire. Cela a plus de sens, puisqu'on cherche à s'assurer qu'on est bien en train de transmettre aux serveurs d'un nom de domaine destinataire donné, et non à un MX précis. L'ennui, c'est qu'il semble qu'il est justement courant d'utiliser un certificat qui couvre le nom de MX et non le nom de domaine destinataire, ce qui est donc moins sûr, mais beaucoup plus pratique lorsqu'on fait de l'hébergement virtuel de noms de domaines multiples, faute de SNI : cette vérification correcte serait donc en pratique peu utilisable… À vérifier toutefois ; pour info, cela se fait avec une autre valeur de smtp_tls_security_level ou en modifiant globalement le smtp_tls_verify_cert_match.

Ce que je retiens notamment, c’est que ce qui dissuade de valider strictement les certificats n’est pas la proportion de certificats auto-signés (qui sont en fait négligeables contrairement à ce que je pensais, de même que les certificats signés par des CA non-reconnues), mais la proportion de certificats incorrects

Non, c'est plus simple que ça. Ce qui dissuade de valider les certificats, c'est que, quand on accepte par ailleurs de transmettre les messages en clair quand le serveur en face ne prend pas en charge TLS, ça ne sert tout simplement à rien du tout.

En effet, valider les certificats sert à se prémunir des attaques par réécriture, où l'attaquant fournit son propre certificat usurpé, ce qui est alors détecté. Sauf que, dans un tel cas d'attaque, le première chose que l'attaquant va faire, c'est transmettre la réponse initiale du serveur destinataire, en en enlevant l'indication de prise de TLS. Le serveur émetteur continuera donc en clair, et l'interception pourra avoir lieu.

Par conséquent, vérifier les certificats des serveurs destinataires qui prennent en charge TLS n'apporte de protection contre aucun type d'attaque. Cette vérification n'a d'intérêt que si on n'accepte pas de transmettre en clair, or ce n'est pas une option réaliste aujourd'hui.

ça ne protège que des écoutes passives

Ben si, justement : ce n'est pas celui qui écoute qui décide, donc si les deux serveurs sont OK, ben c'est chiffré.

C'est ce que je dis ! J'ai écrit que ça ne protégeait que des écoutes passives, pas que ça ne protégeait pas des écoutes passives…

Attention, actuellement, le chiffrement des transmissions par SMTP est purement opportuniste, donc vulnérable aux attaques avec réécriture — le fameux homme du milieu. C'est à dire qu'au moment de transmettre un message, on se connecte au serveur distant, puis :

• s'il propose le chiffrement, on démarre une sessions TLS sans vérifier son identité ;
• sinon, on transmet en clair.

On ne peut pas raisonnablement refuser de transmettre sans TLS, parce que plein d'adresses seraient alors injoignables par courrier électronique, leurs serveurs ne proposant pas de chiffrement. Il ne sert à rien de vérifier l'identité du serveur destinataire en contrôlant son certificat, parce que ça n'ajouterait rien, puisqu'on accepte de toute façon de transmettre en clair, ce qui est encore moins sûr.

Donc, dans ce contexte, chiffrer, c'est bien, c'est ce qu'on appelle du chiffrement opportuniste, mais il faut être conscient que ça ne protège que des écoutes passives et aucunement des attaques par réécriture.

La morale républicaine, c'est ce qui a été invoqué pour punir les collabos.

Eh bien ils auraient mieux fait d'appeler ça morale tout court, ou morale nationale, puisqu'on peut voir la collaboration avec l'ennemi comme une traîtrise à la Nation.

La morale républicaine, c'est ce qui a été invoqué pour punir les collabos. C'est à rapprocher du devoir d'insurrection, qui est énoncé dans la déclaration des droits de l'Homme et qui a donc valeur constitutionnelle.

Ah non. Il est énoncé dans la DDHC de 1793, mais pas dans celle de 1789 qui est d'usage plus courante et seule référencée par la Constitution de 1958.

Je maintiens ma position : quoi que puisse être cette morale républicaine, elle semble liée à la République, et je doute qu'elle puisse justifier de violer sa loi.