- page 1 de 12

4 septembre 2019

Personnaliser l’écran de connexion d’un serveur Linux

Par Damien Clauzel, 4 septembre 2019. Informatique

Quand un serveur Linux démarre, on aime savoir qui il est et comment s’y connecter. C’est surtout vrai dans le cas de mise en réseau par DHCP ainsi que pour les machines virtuelles dans le cloud. Le désespoir est grand on voit la console afficher « Debian GNU/Linux buster/stable Clauzel.eu tty1 » mais qu’on a aucune idée d’où se connecter par ssh.

La solution est d’enrichir le fichier /etc/issue pour demander l’affichage d’informations supplémentaires. Ainsi, la configuration

Nom d’hôte : \n.\o
IPv6 : \6
IPv4 : \4
Système : \S{PRETTY_NAME} \s \m \r

produira l’affichage

Nom d’hôte : Clauzel.eu
IPv6 : 2a01:4f8:1c17:4608::42
IPv4 : 88.99.35.242
Système : Debian GNU/Linux 10 (buster) Linux x86_64 4.19.0-5-amd64

Remarques :

  • ici la balise \6 affichera uniquement la première adresse IPv6 de la première interface. C’est ennuyeux puisque l’IPv6 permet justement de disposer de nombreuses adresses ;
  • il est possible de choisir quelle interface on souhaite afficher, avec \6{eth0}, mais là encore on ne récupère que la première adresse ;
  • il est fort possible que cette solution ne fonctionne pas correctement avec systemd ; mais en même temps, qui utilise systemd sur ses serveurs ?

Documentation : man 8 getty


un commentaire aucun rétrolien

5 février 2019

Utiliser Steam sur un Chromebook

Par Damien Clauzel, 5 février 2019. Informatique

Manipulation réalisé le 2019-02-05 sur un ordinateur Acer Chromebook Spin 11 R751T-C8D8.

Le prérequis est naturellement d'avoir un appareil compatible.

Dans les préférences de ChromeOS, activer les application Linux. Puis lancer le terminal pour installer le client Steam :

sudo apt update
sudo apt install wget
wget https://steamcdn-a.akamaihd.net/client/installer/steam.deb
sudo apt update
sudo dpkg -i ./steam.deb
sudo apt -f install
rm -f steam.deb
steam

Une nouvelle fenêtre de terminal va alors s'ouvrir, avec dedans l'installation de nouveaux paquets. Accepter l'installation.

Note : sur certains Chromebooks, il peut être nécessaire de positionner la variable d'environnement CPU_MHZ="2300.000" avant de lancer le client Steam :

CPU_MHZ="2300.000" /usr/bin/steam

aucun commentaire aucun rétrolien

20 août 2018

Interview pour Le Progrès : « Challenger de Facebook aux USA, Reddit peut-il s’imposer en France ? »

Par Damien Clauzel, 20 août 2018. Communication

Sébastien Jullien, journaliste au Progrès de Lyon voulait préparer un sujet sur Reddit afin d'apporter un coup de projecteur sur ce réseau social encore méconnu en France, et m'a demandé de répondre à quelques questions concernant Reddit et mon activité de modérateur.

Reddit est une plate-forme sociale, permettant de créer des communautés thématiques (hobby, technique, localisation géographique, etc). J'anime entre autre depuis plusieurs années la communauté grandlyonnaise : r/Lyon

@article{Clauzel:2018:Challenger-de-Facebook-aux-USA-Reddit-peut-il-s-imposer-en-France,
  title = {Challenger de Facebook aux USA, Reddit peut-il s’imposer en France ?},
  journal = {Le Progrès},
  year = {2018},
  month = aug,
  day = 20,
  url = {https://damien.clauzel.eu/Publications/Documents/Divers/2018-08-21%20-%20Challenger%20de%20Facebook%20aux%20USA,%20Reddit%20peut-il%20s%E2%80%99imposer%20en%20France%20%3f.png},
  url = {https://damien.clauzel.eu/post/2018/08/20/Interview-pour-Le-Progr%C3%A8s-%3A-%C2%AB-Challenger-de-Facebook-aux-USA%2C-Reddit-peut-il-s%E2%80%99imposer-en-France-%C2%BB},
  author = {Clauzel, Damien and Jullien, Sébastien},
  keywords = {Lyon, Reddit, réseau social, Le Progrès, r/Lyon},
  language = {french},
  abstract = {Momentanément passé devant Facebook aux Etats-Unis en février dernier, le site communautaire Reddit peine à exister en France. Mais, au fait, qu’est-ce que Reddit ?}
}

aucun commentaire aucun rétrolien

20 septembre 2017

Déployer un nœud YaCy sur une adresse IPv6 et avec un accès https

Par Damien Clauzel, 20 septembre 2017. Informatique

Il est possible de mettre en place un nœud YaCy participant à la fédération globale, avec une connectivité IPv6 et HTTPS.

Qu’est-ce que YaCy ? Facile.

YaCy est un moteur de recherche que chacun peut installer pour indexer le web (pages publiques accessibles par internet), pour indexer un intranet ou pour parcourir d'autres données avec une fonction moteur de recherche. YaCy peut être utilisé de façon autonome, mais sa principale force est de pouvoir fonctionner en réseau peer-to-peer, ce qui fait que sa puissance s’accroît avec le nombre d'utilisateurs, qu'il est entièrement acentré (tous les "peers" sont égaux et il n'y a pas un organisme administratif central) et qu'il n'est pas censurable et ne stocke pas le comportement des utilisateurs.

La liberté de l'information ainsi obtenue par le biais des logiciels libres et d'un moteur de recherche distribué est également un des objectifs du projet.

Prérequis

  • avoir une connexion IPv6 opérationnelle avec une adresse publique (nous utilisons ici 2001:41d0:12a:4d00:dcdc::46)
  • disposer d’un nom de domaine (nous créerons ici le champ AAAA YaCy.Clauzel.eu)
  • utiliser Debian/stretch sans systemd
  • avoir apache2 en place (nous ajouterons 2 vhosts)
  • avoir un certbot récent, celui de Debian/stretch est trop ancien et ne gère pas les demandes pour un hôte uniquement en IPv6 :
apt-get install certbot apt-get install certbot
wget https://dl.eff.org/certbot-auto
chmod a+x certbot-auto

Mise en place du nom de domaine

  • Créer l’enregistrement DNS pour le nœud; ici YaCy.Clauzel.eu pointe sur 2001:41d0:12a:4d00:dcdc::46

Installer YaCy

Mise en place initiale :

  • Lire et appliquer la documentation de YaCy ; nous utilisons ici la version 1.92 pour linux. YaCy est installé pour l’utilisateur dédié yacy:yacy dans le répertoire /home/yacy
  • Dans l’interface web de YaCy Mode d'utilisation et compte>avec SSL, activer le HTTPS sur le port 8443
  • Dans l’interface web de YaCy Administration du système>Paramètres d'accès au serveur>staticIP, définissez l’adresse publique du nœud comme étant YaCy.Clauzel.eu

Indiquer à java que nous donnons la préférence à l’IPv6 :

service yacy stop

Dans /etc/init.d/yacy, modifier JAVA_ARGS="-server -Djava.awt.headless=true -Dfile.encoding=UTF-8 -Dsolr.directoryFactory=solr.MMapDirectoryFactory -Djava.net.preferIPv4Stack=false -Djava.net.preferIPv6Stack=true"

service yacy start

À ce moment, YaCy doit tourner en mode Senior et être publiquement joignable à l’adresse http://YaCy.Clauzel.eu:8090

Créer le certificat TLS

Un simple certificat TLS suffit, mais vous pouvez vous faire plaisir avec les options :

service apache2 stop
certbot-auto certonly --standalone -d YaCy.Clauzel.eu --renew-by-default --must-staple --staple-ocsp --agree-tos --uir --hsts
service apache2 start

Préparation du certificat pour java

Les applications java ont ceci de casse-pied particulier qu’elles n’utilisent pas les certificats TLS au format PEM : il nous faut convertir notre certificat.

openssl pkcs12 -export -in /etc/letsencrypt/live/yacy.clauzel.eu/fullchain.pem -inkey /etc/letsencrypt/live/yacy.clauzel.eu/privkey.pem -out /etc/letsencrypt/live/yacy.clauzel.eu/yacy.clauzel.eu.p12 -CAfile /etc/letsencrypt/live/yacy.clauzel.eu/chain.pem -caname root -password pass:JeSuisUnMotDePasse -name yacy.clauzel.eu
keytool -importkeystore -srcstorepass JeSuisUnMotDePasse -deststorepass JeSuisUnMotDePasse -destkeypass JeSuisUnMotDePasse -srckeystore /etc/letsencrypt/live/yacy.clauzel.eu/yacy.clauzel.eu.p12 -alias yacy.clauzel.eu -srcstoretype PKCS12 -destkeystore /etc/letsencrypt/live/yacy.clauzel.eu/yacy.clauzel.eu.key

Mettre en place le certificat

Nous pouvons alors placer notre joli certificat dans l’arborescence de l’application.

service yacy stop
 cp /etc/letsencrypt/live/yacy.clauzel.eu/yacy.clauzel.eu.key DATA/SETTINGS/
 chown yacy:yacy DATA/SETTINGS/yacy.clauzel.eu.key
 chmod 400 DATA/SETTINGS/yacy.clauzel.eu.key

Configurer l’utilisation du certificat

Il reste maintenant à informer l’application de l’existence de ce certificat. Il faut vérifier/définir dans le fichier DATA/SETTINGS/yacy.conf :

port.ssl=8443
keyStore=DATA/SETTINGS/yacy.clauzel.eu.key
keyStorePassword=JeSuisUnMotDePasse
server.https=true
staticIP=YaCy.Clauzel.eu

Puis démarrer YaCy :

service yacy start

À ce moment, YaCy doit être publiquement joignable à l’adresse https://YaCy.Clauzel.eu:8443

Définir des redirections dans apache

Nous ajoutons alors des redirections web, qui permettrons d’accéder directement au nœud sans devoir spécifier le port.

Créer la directive /etc/apache2/sites-available/00-YaCy.conf :

<VirtualHost *:80>
    Define INSTANCE yacy.clauzel.eu
    ServerName ${INSTANCE}
    RewriteEngine On
    RewriteRule ^(.*)$ https://${INSTANCE}:8443 [redirect=301]
</VirtualHost>

<VirtualHost *:443>
    Define INSTANCE yacy.clauzel.eu
    ServerName ${INSTANCE}
    RewriteEngine On
    RewriteRule ^(.*)$ https://${INSTANCE}:8443 [redirect=301]
    SSLEngine on
    SSLCertificateFile /etc/letsencrypt/live/${INSTANCE}/fullchain.pem
    SSLCertificateKeyFile /etc/letsencrypt/live/${INSTANCE}/privkey.pem
</VirtualHost>

Activons cette configuration :

a2ensite 00-YaCy.conf
service apache2 restart

YaCy est désormais accessible à l’adresse https://YaCy.Clauzel.eu, et http://YaCy.Clauzel.eu redirige le visiteur vers l’accès sécurisé

Bonne chance à tous, comme on dit « chez-moi ça marche ».


aucun commentaire aucun rétrolien

4 septembre 2016

Utiliser Steam sur MacOS en 2016 avec un système de fichiers sensible à la casse

Par Damien Clauzel, 4 septembre 2016. Informatique

En 2016 , le client Steam sur Mac a beaucoup changé par rapport à ce qu’il était en 2010. Enfin, pas tant que ça… Il est toujours en 32 bits, exige toujours un système de fichiers non sensible à la casse, son overlay est toujours aussi problématique, et sa gestion des manettes de jeu toujours aussi erratique.

Bref, il convient d’adapter la procédure que nous avions mis en place en 2010. Le principe reste le même : on mets tous les éléments dans une image disque, et on crée des liens.

Ouvrir un terminal

Nous allons travailler principalement en ligne de commande. Eh, jouer se mérite un peu ;) On pourrait faire la même chose en utilisant des outils graphiques, mais cela serait plus long à expliquer.

Créer l’image disque qui accueillera Steam

L’image disque peut être rangée n’importe où : /Applications, $HOME, etc. Nous la mettrons dans $HOME/Applications/Jeux

mkdir -p ~/Applications/Jeux
cd ~/Applications/Jeux
hdiutil create -size 50g -type SPARSEBUNDLE -fs HFS+J -volname Steam Steam
created: /Users/USER/Applications/Jeux/Steam.sparsebundle

Pour d’informations, on se tournera vers le billet sur la manipulation des images disques.

Mettre en place l’application Steam

Ouvrir notre image disque pour Steam et y copier l’application Steam fournie par Valve.

hdiutil attach Steam.sparsebundle
/dev/disk4          	GUID_partition_scheme          	
/dev/disk4s1        	EFI                            	
/dev/disk4s2        	Apple_HFS                      	/Volumes/Steam

On constate ici que notre image disque a été montée dans /Volumes/Steam; elle apparait d’ailleurs sur le bureau. Il suffit maintenant d’y copier l’application Steam de Valve directement depuis l’image d’installation.

Adapter le compte utilisateur pour faire fonctionner Steam

Le principe est de stocker dans notre image disque tout ce qui a trait à Steam, et d’utiliser des liens pour maintenir les chemins d’accès.

mkdir -p /Volumes/Steam/Library
# copiez dans /Volumes/Steam/Library votre dossier applicatif « Steam » existant; ou vous pouvez simplement laisser Steam le recréer… et retélécharger tous vos jeux.
ln -s /Volumes/Steam/Library/Steam ~/Library/Application\ Support/Steam

Il ne reste plus qu’à synchroniser le tout et à refermer.

sync
hdiutil detach /Volumes/Steam
"disk4" unmounted.
"disk4" ejected.

Jouer !

Pour utiliser Steam, il suffit de monter l'image disque (en double cliquant dessus, par exemple), puis de lancer l'application.


un commentaire aucun rétrolien

5 juillet 2016

Personnaliser les en-têtes de courriels envoyés par Mail.app

Par Damien Clauzel, 5 juillet 2016. Informatique

Pour des besoins précis, on a souvent besoin de personnaliser les en-têtes des courriels que l’on envoie. Que ce soit pour y glisser des métadonnées de chiffrement, de transport, de filtrage, d’identité, ou encore de classification, c'est une pratique courante et transparente.

Sous MacOS, le logiciel Mail.app utilise la clé de configuration UserHeaders pour définir les en-têtes utilisateur. Ainsi, dans mon cas j’ajoute les deux en-têtes suivants :

  • OpenPGP : l’empreinte de ma clé PGP, et l’URI de son emplacement ;
  • X-FOAF : l’URI de mon identité pour le web sémantique.

Ces deux champs sont positionné via le terminal :

defaults write com.apple.mail UserHeaders "{ \
    OpenPGP = 'id=322B 89F1 FA51 3211 40F3  B358 5E88 C01E BAFD 1998; preference=signencrypt; url=https://Damien.Clauzel.eu/public/Cles_publiques/GnuPG/Damien_Clauzel.eu_publique.asc'; \
    X-Foaf = 'https://Damien.Clauzel.eu/Damien_CLAUZEL-FoaF.rdf'; \
}"

On constate désormais la présence des nouveaux en-têtes dans les courriels envoyés :

Return-Path: 
Received: from ?IPv6:2a01:e34:ec15:6030:b91e:f8a8:1579:acba? ([2a01:e34:ec15:6030:b91e:f8a8:1579:acba])
        by smtp.gmail.com with ESMTPSA id ue1sm3813420wjc.44.2016.07.01.09.55.57
        for 
        (version=TLS1 cipher=ECDHE-RSA-AES128-SHA bits=128/128);
        Fri, 01 Jul 2016 09:55:57 -0700 (PDT)
From: Damien Clauzel 
X-Google-Original-From: Damien Clauzel 
Subject: XXXXX
Mime-Version: 1.0 (Mac OS X Mail 9.3 \(3124\))
Content-Type: multipart/signed; boundary="Apple-Mail=_C578A8CA-4F46-4294-83B1-893306A67B44"; protocol="application/pgp-signature"; micalg=pgp-sha512
X-Pgp-Agent: GPGMail 2.6b2
X-Foaf: https://Damien.Clauzel.eu/Damien_CLAUZEL-FoaF.rdf
OpenPGP: id=322B 89F1 FA51 3211 40F3  B358 5E88 C01E BAFD 1998; preference=signencrypt; url=https://Damien.Clauzel.eu/public/Cles_publiques/GnuPG/Damien_Clauzel.eu_publique.asc
In-Reply-To: 
Date: Fri, 1 Jul 2016 18:55:56 +0200
Message-Id: 
References:  
To: Example 
X-Mailer: Apple Mail (2.3124)

aucun commentaire aucun rétrolien

23 juin 2016

Monter un volume TimeMachine sous linux

Par Damien Clauzel, 23 juin 2016. Informatique

Si sous MacOS il est immédiat de manipuler les images disques en ligne de commande, le faire sous un autre système POSIX demande un peu d’attention. Nous allons voir ici comment le faire, et plus spécialement pour accéder aux contenus des archives de TimeMachine.

Les archives TimeMachine

Une archive TimeMachine est une image sparsebundle contenant deux volumes :

  • un volume EFI permettant le démarrage d'un Mac sur disque externe ;
  • un volume HFSX (HFS+ sensible à la casse) contenant les fichiers de l'utilisateur.

Nous ne discuterons pas ici des (faibles) qualités intrinsèques du format de volume HFS+, ni de ses nombreux problèmes (telle la fragilité).

La technique

Sous linux, deux outils sont nécessaire pour ouvrir une archive TimeMachine et présenter correctement son contenu :

  • sparsebundlefs : agrège les bandes de l'image sparsebundle afin de présenter une image disque consolidée, exploitable par les outils habituels, tel mount ;
  • tmfs : présente efficacement le contenu d'une image disque contenant une sauvegarde TimeMachine. Cet outil n'est pas strictement indispensable pour accéder aux fichiers, mais la reconstruction de l'arborescence facilite grandement la lisibilité.

GitHub : sparsebundlefs

FUSE filesystem for reading Mac OS sparse-bundle disk images.

Mac OS X v10.5 (Leopard) introduced the concept of sparse-bundle disk images, where the data is stored as a collection of small, fixed-size band-files instead of as a single monolithic file. This allows for more efficient backups of the disk image, as only the changed bands need to be stored.

One common source of sparse-bundles is Mac OS' backup utility, Time Machine, which stores the backup data within a sparse-bundle image on the chosen backup volume.

This software package implements a FUSE virtual filesystem for read-only access to the sparse-bundle, as if it was a single monolithic image.

Debian : tmfs

Description-en: Apple Time Machine FUSE mount

Time Machine File System is a read-only virtual filesystem which helps you to read your Apple Time Machine Backup by reconstructing the hard-linked directories from the HFS+ metadata directory.

You can browse the tmfs mounted Time Machine normally and easily recover data from any backup point contained within.

Exemple

On crée les différents points de montage qui seront utilisés :

  • TimeMachine-DiskImage : l’« ouverture » de l’image sparsebundle présentant une vue manipulable par la commande mount ;
  • TimeMachine-Archive : l’image disque contenant l’archive TimeMachine ;
  • TimeMachine-Ouvert : la vue facilement exploitable de l’archive TimeMachine.
mkdir ~/mnt
mkdir ~/mnt/TimeMachine-DiskImage
mkdir ~/mnt/TimeMachine-Archive
mkdir ~/mnt/TimeMachine-Ouvert

Comme on manipule des points de montage, il faut passer root pour presque toutes les opérations. Remarque : peut suivre le détail de l’ouverture du volume avec les options -s -f -D.

sparsebundlefs \
        -o allow_root,ro,uid=$(id -u $USER),gid=$(id -g $USER),default_permissions,kernel_cache \
        MesSauvegardes.sparsebundle \
        ~/mnt/TimeMachine-DiskImage/

Un disque TimeMachine est bootable et contient donc en fait 2 volumes: celui de démarrage, et un volume contenant les données. Il nous faut donc désormais récupérer l’emplacement du volume contenant les données qui nous intéressent.

parted ~/mnt/TimeMachine-DiskImage/sparsebundle.dmg unit B print

# Disque /home/moi/mnt/TimeMachine-DiskImage/sparsebundle.dmg : 536870912000B
# Taille des secteurs (logiques/physiques): 512B/512B
# Table de partitions : gpt
# Disk Flags: 
# 
# Numéro  Début       Fin            Taille         Système de fichiers  Nom                   Fanions
#  1      20480B      209735679B     209715200B     fat32                EFI System Partition  démarrage, esp
#  2      209735680B  536736673791B  536526938112B  hfsx                 disk image

On prend le début du volume comme offset, et sa taille comme taille, pour faire pointer dessus un point d’entrée. L’ID de la boucle (ici /dev/loop0) est récupéré avec --show.

sudo losetup -f ~moi/mnt/TimeMachine-DiskImage/sparsebundle.dmg --offset 209735680 --sizelimit 536526938112 --show

On monte alors le volume ciblé de l’archive, qui contient notre archive TimeMachine.

sudo mount -t hfsplus -o ro,uid=$(id -u $USER),gid=$(id -g $USER) /dev/loop0 ~moi/mnt/TimeMachine-Archive/

Reste maintenant à ouvrir l’archive TimeMachine.

sudo tmfs \
        ~moi/mnt/TimeMachine-Archive/ \
        ~moi/mnt/TimeMachine-Ouvert/ \
        -o allow_other,ro,uid=$(id -u $USER),gid=$(id -g $USER),default_permissions,kernel_cache

On peut alors accéder — en lecture seule — aux fichiers de l’archive TimeMachine dans le répertoire ~/mnt/TimeMachine-Ouvert.

Ouf ! Ce fut laborieux, mais en posant les choses à plat on comprend la logique : il faut aller chercher en profondeur la bonne partition dans une image disque, et la manipuler avec un outil capable de traiter ses structures de données.

Une fois terminé de travailler, on referme proprement.

sudo fusermount -u ~moi/mnt/TimeMachine-Ouvert
sudo fusermount -u ~moi/mnt/TimeMachine-Archive
sudo losetup --detach /dev/loop0
sudo fusermount -u ~moi/mnt/TimeMachine-DiskImage

aucun commentaire aucun rétrolien

14 avril 2015

J’ai essayé les opticiens discount Lunettes pour tous

Par Damien Clauzel, 14 avril 2015. Compte-rendus de déplacement

J’ai testé pour vous l’opticien qui fait le buzz en ce moment, Lunettes pour tous.

J’ai déjà une très bonne paire de #lunettes de vue pour mon quotidien, et je songeais à acheter une seconde paire solaire, de qualité quelconque, pour quand je me déplace à vélo ou me promène. Lunettes pour tous ayant récemment ouvert à Lyon une boutique au 3 cours Gambetta, j’ai décidé de voir ce qu’ils proposaient.

En rentrant, la première chose qui vient à l’esprit est « Oh, un Apple Store avec des lunettes ». La décoration est à base de meubles bois et blanc, avec des grandes vitrines et un plafond haut. Les personnes sont jeunes, en jeans et pantalons de cuir, avec des t-shirts bleus et des iPads dans les mains pour saisir les informations clients, et des tatouages apparaissent ici et là. L’ambiance est dynamique et le magasin très lumineux, c’est agréable. Et ne vous fiez pas aux rumeurs, il est bien possible de s’assoir sur des banquettes.

Un mardi après-midi en semaine, j’ai compté une trentaine de clients qui suivaient le parcours d’achat. Ils étaient de tous âges, mais principalement jeunes avec quelques personnes âgées en couple.

On commence par choisir une monture sur les présentoirs. Il y en a de très bien à 5€ : solides, élégantes, légères, discrètes. Le choix des formes et des couleurs est limité, mais c’est sans faute de goût et on peut trouver son bonheur dans un style classique.

Une personne recueille alors vos coordonnées et vous ajoute sur la file d’attente pour voir un technicien. Cette liste d’attente est affichée sur un grand écran et on voit sa position remonter vers la tête de liste. Ça défile vite, car le personnel est nombreux.

Rapidement, vous êtes pris par un technicien qui complète votre fiche client avec les informations de l’ordonnance. Il est possible de venir sans, mais je ne sais pas si ça implique un surcoût pour les mesures à faire alors. Hop, centrage avec l’appareil photo de l’iPad (oui, il y a une app pour ça ! 😉) sur la monture choisie, et on discute des possibilités de verres.

Je voulais des solaires premier prix. Le devis proposé est 35€ le verre unifocal pour des corrections simples, aminci 1,5, solaire, traitement anti-rayures, anti-reflets et anti-salissures. Avec la monture, le devis final est donc 75€.

Mauvaise surprise, on est loin des 10€ mis en avant. Ce tarif correspond à une monture basique — comme celle que j’avais choisie — et deux verres bas de gamme blancs nus pour des corrections simples (qu’on appel péjorativement des bouts de Plexiglas). Je n’ai pas la possibilité de faire descendre le prix en prenant un verre plus épais ou en supprimant les traitements, car le magasin n’a qu’un nombre très réduit de références dans sa gamme de produits. Je renonce.

35€ pour un verre solaire de qualité correcte avec traitements est un très bon pris en boutique, il faut compter au moins 10€ de plus ailleurs. Mais le type de lunettes que j’avais en tête peut se commander sur internet pour une grosse quinzaine d’euro.

Malgré tout, je trouve très bien les Lunettes pour tous. Les produits sont de qualité honnête, et on peut obtenir facilement et rapidement des lunettes sans tout le tralala de semi-luxe que l’on a chez d’autres enseignes d’opticiens. Oui, ça va vite — on voit le compteur 7 minutes descendre sur l’iPad — mais c’est conçu pour les personnes qui veulent aller à l’essentiel.


aucun commentaire aucun rétrolien

15 octobre 2014

Accéder à ses données personnelles contenues dans les fichiers de l’État : le parcours du combattant patient

Par Damien Clauzel, 15 octobre 2014. Idées et réflexions

Les fichiers de l’État, et les moyens d’y accéder

L’État collecte et exploite de plus en plus de données sur les citoyens. C’est une bonne chose car cela permet un meilleur traitement administratif, simplifie la gestion des ressources publiques, et d’une façon générale améliore la productivité tout en offrant davantage de possibilités. Mais l’État multiplie également le fichage des citoyens pour des raisons invoquées de sécurité; et le contrôle du contenu de ces derniers est difficile car ils ne sont pas publics, là encore pour des raisons invoquées de sécurité.

La loi prévoit malgré tout un regard possible — mais restreint — des citoyens sur ces données qui les concernent. L’accès se fait au travers de la CNIL, qui est la seule autorité pouvant alors agir au nom des citoyens qui la saisissent. Problème : la CNIL est tout sauf réactive et ouverte au publique.

J’ai commencé une — longue — démarche pour accéder au contenu de ces fameux fichiers à accès restreint, et comme prévu cela ne se passe pas très bien.

Documentation de la CNIL :

2014-08-29 : envoi à la CNIL du courrier de demande d’accès indirects aux fichiers de l’État

La demande initiale est un simple courrier, mentionnant les fichiers que je souhaite consulter, avec la référence du texte de loi me garantissant ce droit. Rien que du très banal.

Objet : Demande d’accès indirect aux fichiers de l’État

Madame la Présidente,

Conformément à l’article 41 de la loi du 6 janvier 1978 modifiée, je souhaite être informé des données me concernant dans les fichiers et services suivants, et en cas de refus d’accès de connaître la justification. Pouvez-vous me transmettre sous forme numérique une copie de ces données ?

• Fichier des personnes recherchées (FPR)
• Système d’information Schengen (SCHENGEN)
• Fichier des comptes bancaires (FICOBA)
• Réseau mondial visas (RMV 2)
• Police nationale (STIC)
• Gendarmerie nationale (JUDEX)
• Fichier National des Interdits de Stade (FNIS)
• Recueil de la documentation opérationnelle et d’information statistiques sur les enquêtes (ARDOISE)
• Fichiers de renseignement des services de l’information générale de la Direction Centrale de la Sécurité publique et de la Préfecture de Police de Paris
• Fichier de renseignement CRISTINA (Direction centrale du renseignement intérieur)
• Sécurité Extérieure (DGSE)
• Fichiers de sécurité militaire (DPSD)
• Fichier de renseignement militaire (DRM)
• Analyse criminelle (ANACRIM)
• Analyse et liens de la violence (SALVAC)

Sincèrement,
  Damien Clauzel

Pièces jointes : recto de carte d’identité et de carte vitale

L’encart de l’adresse pour envoyer les demandes ne précise aucune information sur l’envoi du courrier, mais le générateur de demandes mentionne qu’il faut utiliser un courrier recommandé. J’envoi un courrier simple, car il n’y a aucune raison pour moi de subir des frais supplémentaires.

2014-09-23 : courriel(s) de relance

Pas de nouvelle, bonne nouvelle ? Dans le doute, devant l’absence de réponse, je décide d’envoyer un simple courriel de rappel.

Objet : Relance de demande d’accès indirect aux fichiers de l’État

Madame,

Le 29 août 2014, j’ai adressé à la CNIL par courrier (copie en pièce jointe) une demande d’accès indirect aux fichiers de l’État pour les données me concernant.

Étant sans réponse de votre part, je vous relance donc par ce courriel, afin d’avoir la confirmation que ma demande a bien été prise en compte.

Sincèrement,
  Damien Clauzel

Problème : dans les moyens de la contacter, la CNIL ne propose pas d’adresse courriel, mais uniquement des coordonnées téléphonique, fax, et un formulaire web; avec à côté un numéro de téléphone pour le service presse et un formulaire web pour le webmaster : Accueil du public : Aucun renseignement n'est assuré sur place. La CNIL ne reçoit pas le public. Vous pouvez toutefois déposer des plis à l’accueil. Ça en dit très long du positionnement de la CNIL sur le numérique…

Quelques requêtes Google bien placées sortent une liste d’adresses courriel, pas forcément adaptées à ma demande (RH pour recrutement, etc.). Par exemple, les informations WHOIS donnent les coordonnées d’une personne rattachée au service juridique. L’annuaire du service public est aussi une bonne source pour trouver une personne à contacter directement[1]

Hop, mon courriel de relance est envoyé à la directrice de la Direction des relations avec les usagers et contrôle. Uh, wait… Déjà une réponse ?

Cette notification d'état de remise est générée automatiquement.

Échec de la remise aux destinataires

Mwouais… essayons le directeur adjoint, alors ? Cette fois, le courriel ne semble pas rejeté; reste à savoir s’il sera traité.

2014-10-01 : réponse de la CNIL

Dans un courrier de deux pages, la CNIL m’informe :

  • qu’effectivement je demande bien des informations contenues dans des fichiers à accès indirects ;
  • que certaines données du fichier FICOBA peuvent être demandés directement aux administrations, ce que mentionne pas la documentation du site web de la CNIL ;
  • que la demande pour le fichier ANACRIM nécessite des informations complémentaires, ce que mentionne pas la documentation du site web de la CNIL ;
  • que le fichier ARDOISE n’est plus d’actualité, alors qu’il est mentionné dans la documentation du site web de la CNIL ;
  • que ça va être long (« plusieurs mois »).

2014-10-01 CNIL DAI 1 2014-10-01 CNIL DAI 2





















2014-12-22 : premières informations obtenues par la CNIL

Dans ce courrier de deux pages, la CNIL m’informe :

  • que je ne suis pas fiché par les services du renseignement territorial et que je ne figure pas dans le fichier TAJ. Étant français de naissance et n’ayant jamais quitté l’Union européenne, c’est plutôt normal ;
  • que je ne suis pas concerné par l’enregistrement dans le fichier RMV2, car j’ai la nationalité française ;
  • que la DGSI refuse de communiquer la moindre information sur ce qu’elle pourrait avoir sur moi, au nom de « la sûreté de l’État, la défense et la sécurité publique » ;
  • que la DGSE refuse de communiquer la moindre information sur ce qu’elle pourrait avoir sur moi, au nom de « la sûreté de l’État, la défense et la sécurité publique » ;
  • que la DPSD refuse de communiquer la moindre information sur ce qu’elle pourrait avoir sur moi, au nom de « la sûreté de l’État, la défense et la sécurité publique » ;
  • que je dispose de deux mois pour déposer un recours contre le ministère de l’intérieur et le ministère de la défense, devant le Tribunal Administratif de Paris ;
  • que la CNIL continue à traiter mes demandes encore en cours.

2014-12-22 Réponse CNIL pour accès indirect aux fichiers 2014-12-22 Réponse CNIL pour accès indirect aux fichiers 2





















2015-02-05 : nouvelles informations obtenues par la CNIL

Dans ce courrier d’une page, avec en copie la réponse précédente, la CNIL m’informe :

  • que la Direction du Renseignement Militaire refuse de communiquer la moindre information sur ce qu’elle pourrait avoir sur moi, au nom de « la sûreté de l’État, la défense et la sécurité publique » ;
  • que je dispose de deux mois pour déposer un recours contre le ministère de la défense, devant le Tribunal Administratif de Paris ;
  • que la CNIL continue à traiter mes demandes encore en cours.

2015-02-05 Réponse CNIL pour accès indirect aux fichiers

2015-03-11 : nouvelles informations obtenues par la CNIL

Dans ce courrier d’une page, avec en copie l’extrait FICOBA, la CNIL m’informe :

  • qu’elle m’adresse une extraction du fichier FICOBA (fait 3 pages, je publie ici la première en noircissant mes informations bancaires), reprenant l’ensemble des données bancaires enregistrées me concernant (établissement, nature du compte, date d’ouverture, de modification ou de clôture) ;
  • que je ne suis pas enregistré dans le Système d’Information Schengen ;
  • que je ne suis pas enregistré dans le Fichier des Personnes Recherchées ;
  • que la CNIL continue à traiter mes demandes encore en cours (FNIS et SALVAC).

2015-03-11 Réponse CNIL pour accès indirect aux fichiers 2015-03-11 Extrait du fichier FICOBA, page 1





















Ce qui est important ici est que les informations du fichiers FICOBA sont erronées : elles m’attribuent la possession d’un compte bancaire dont j’ai demandé la fermeture il y a des années. Soit la banque n’a pas correctement procédé à la fermeture et ne m’a jamais adressé de relevé depuis (peu probable), soit elle a fait une erreur dans le relevé et la transmission des informations (probable), soit le fichier a été modifié ultérieurement en interne (peu probable). Je vais donc contacter la banque et demander des précisions.

On trouve également dans l’extrait du fichier FICOBA plusieurs fois les mêmes comptes, déclarés existant à différentes dates. Les données sont des instantanés des ajouts de nouveaux comptes bancaires, avec parfois un rappel d’autres comptes existants, mais pas tous. La logique de construction de l’extrait est assez difficile à comprendre, et surtout difficile à exploiter : il n’y a pas de liste complète à un moment donné, et la suppression de comptes n’apparaît pas. Je suppose qu’on doit pouvoir obtenir une meilleure vue en affinant la requête d’interrogation, mais en l’état c’est très difficilement exploitable.

Un élément intéressant est que la recherche dans le fichier FICOBA a été faite par mon №SPI, alors que les seules informations nominatives que j’ai fourni à la CNIL sont le recto de carte d’identité et de ma carte vitale. Je suppose donc que la table CNTDF de correspondance NIR/SPI a été utilisée pour me retrouver [2]. La section toulousaine de la Ligue des Droits de l’Homme présente bien cette interconnexion des fichiers.

Aussi, cet extrait FICOBA ne mentionne pas les comptes à l’étranger ; ce n’est d’ailleurs pas son rôle.

2015-04-22 : nouvelles informations obtenues par la CNIL

Dans ce courrier d’une page, la CNIL m’informe :

  • que la demande d’informations convenues dans le fichier SALVAC a été faite, mais que les lois ne « permettent pas de vous apporter de plus amples informations » ;
  • que je dispose de deux mois pour déposer un recours contre le ministère de l’intérieur, devant le Tribunal Administratif de Paris ;
  • que la CNIL continue à traiter mes demandes encore en cours (FNIS).

2015-04-22 Réponse de la CNIL pour l'accès aux fichiers indirects

La partie intéressante dans cette réponse est le paragraphe sur les informations obtenues du fichier SALVAC.

En application de ces articles [41 de la loi du 6 janvier 1978 modifié, et de l’article 88 de son décret d’application (№ 2005-309 du 20 octobre 2005 modifié)], toute opposition de l’administration gestionnaire d’un fichier soumis au droit d’accès indirect fait obstacle à la moindre communication de notre Commission, hormis l’indication des voies de recours qui sont alors ouvertes.

C’est à comprendre comme un refus catégorique de la part de la Direction Centrale de la Police Judiciaire que de communiquer la moindre information, invoquant le régime dérogatoire à la loi sur la sécurité intérieure.

C’est donc un fichier au contenu complètement opaque sur lequel les citoyens n’ont absolument aucun regard, même en passant par leurs représentants légaux. Il est non seulement impossible de vérifier la présence d’informations, mais aussi de s’assurer de leur exactitude et de leur pertinence.

Pire, ce fichier ne contient pas uniquement des informations sur les criminels, mais aussi sur les victimes. On peut donc être fichés par l’État indifféremment de son niveau de dangerosité pour la société. Inquiétant.

2015-06-15 : nouvelles informations obtenues par la CNIL et fin du dossier

Dans ce courrier d’une page, la CNIL m’informe :

  • que je ne suis pas enregistré dans le fichier national des interdits de stade (FNIS) ;
  • que la procédure est désormais terminée ;
  • qu’elle me met en pièces jointes l’ensemble des courriers précédents. En fait, tous sauf l’extrait FICOBA et le premier courrier.

2015-06-15 Réponse de la CNIL pour l'accès aux fichiers indirects

Aucune surprise ici, à part que pour la première fois le courrier a été envoyé au tarif « lettre verte » et non comme recommandé avec accusé de réception. 1,06€ au lieu de 5,05€, ça fait 4€ d’économie, ce qui n’est pas rien au vu du nombre de courriers envoyés pour chaque demande d’accès aux fichiers indirects.

Réflexions

En tout, il aura fallu 10 mois à la CNIL pour répondre à me demande d’accès à l’ensemble des fichiers indirects qu’elle liste sur son site web. La demande initiale a été un peu délicate à réaliser, car les moyens de contact de la CNIL sont peu évidents. Si j’étais mauvaise langue je dirais que c’est pour réaliser un filtrage des personnes motivées, mais je doute honnêtement que ça soit le cas. La CNIL étant sous financée et en sous effectif depuis des années, on comprend tout à fait qu’il puisse y avoir quelque hoquets. Mais une fois lancée, aucun besoin de faire de rappel, et les courriers arrivent tous seuls.

La durée de la procédure — 10 mois ! — m’a étonné. C’est long pour quelques simples demandes de consultation. En revanche, les réponses apportées par la CNIL sont très compréhensibles, c’est une très bonne chose.

S’il est effectivement possible de demander à accéder aux fichiers « sensibles » de l’État afin de connaître ce qu’ils contiennent à son sujet, en pratique la réalité est différente. Les services refusent de donner les informations demandées, au nom de « la sûreté de l’État, la défense et la sécurité publique ». De facto, le droit du citoyen prévu par la loi n’est pas effectif, et c’est problématique pour la transparence et la confiance.

Également, une demande comme celle que j’ai fait à la CNIL coûte cher : les courriers de réponse sont envoyés par recommandé avec accusé de réception. Je ne sais pas combien de personnes font des demandes d’accès aux fichiers indirects, mais avec plusieurs courriers de réponse par demande la facture monte vite[3]. Il serait intéressant de dématérialiser toute la procédure en proposant de consulter les résultats en ligne, ou mieux en utilisant des courriels chiffrés[4].

En outre, on met facilement en évidence la faible qualité des données de certains fichiers. Le problème d’actualisation des données dans une base à sources multiples est bien connu — et redouté — des informaticiens.

Expériences similaires

Il y a beaucoup de personnes en France qui sont les victimes de fichage erroné, avec plus ou moins d’impact sur la vie quotidienne. Les faux-positifs sont une des pires choses possibles en matière de fichage de renseignement, car non seulement on est abusivement répertorié, mais en plus on ne le sait pas, et les recours sont quasi impossibles car les services de renseignement/sécurité/justice/défense font tout ce qu’ils peuvent pour garder le contrôle sur leurs méthodes de travail. Se défendre, rectifier les informations, et obtenir un dédommagement pour le préjudice subit est une épreuve immense :

À suivre…

Notes

[1] Que les ayatollahs de la vie privée ne viennent pas hurler : c’est l’État lui-même qui publie ouvertement ces informations

[2] Arrêté du 28 mars 2006 relatif à la mise en service à la direction générale des impôts et à la Banque de France d'une procédure automatisée de transfert des données fiscales

[3] Un recommandé avec accusé de réception coûte 5,05€ en janvier 2015

[4] ce qui nécessite que le gouvernement avance sur la question de l’identité numérique, que les décrets soient mis en place, et les infrastructures déployées. Bref, ce n’est pas pour demain.


9 commentaires aucun rétrolien

26 août 2014

Boycottons Le Parisien

Par Damien Clauzel, 26 août 2014. Idées et réflexions

On croyait cette époque dépassée, mais il reste encore manifestement des Décideurs Pressés Idiots pour maintenir les anciennes pratiques de la publication et du partage des savoirs.

Thierry Crouzet a publié un joli billet, très simple, mais qui frappe juste. Et comme — lui — il a compris comment fonctionne désormais la culture, il l’a publié sous la licence libre CC by-nc-sa. Je le reprends car c’est un texte dont la porté est plus large que ce cas du Parisien, malheureusement applicable à de nombreuses situations. Abuser du droit (d’auteur, ou des marques, ou autre) pour bloquer des publications et renforcer son identité n’est pas acceptable, surtout quand on est un organe de presse.

À titre personnel, je n’ai absolument rien à reprocher à Google dans cette histoire : il fourni un excellent service en indexant le web, pour proposer gratuitement des outils de recherche. Si problème il y a, il est dans l’importance que lui accordent les acteurs du net; plutôt que de chercher à s’opposer à lui, il est bien plus intéressant de construire quelque chose d’autre correspondant mieux à ses propres valeurs et intérêts. C’est là encore une question d’évolution qu’il faut intégrer.

The Parisienne

Quand un journal attaque une blogueuse parisienne pour contrefaçon, juste parce qu’elle est Parisienne, parce qu’elle a nommé son blog The Parisienne[1], c’est tous les blogueurs qui sont attaqués.

On ne nous aime pas, ni dans la presse ni dans l’édition, parce que nous réinventons une parole libre, une parole vraie, une parole qui va là où nul autre n’irait si nous n’étions pas là, une parole qui n’implique aucune prise de bénéfice ni aucune recherche d’intérêt.

Comme nous captons une part d’audience non négligeable, nous impliquons un manque à gagner et nous faire taire s’impose désormais. Le temps du copain-copain et de la complémentarité est-il derrière nous ?

Facile de nous faire chuter. La tactique est éprouvée. Beaucoup de blogs ont déjà fermé après des attaques en diffamation. D’autres résistent. Pensez à Christophe Grébert avec MonPuteaux.com. On ne compte plus les procès pour lui.

Nous sommes des cibles vulnérables. Nous ne gagnons pas d’argent avec nos médias et ceux qui en gagnent encore un peu usent de leurs dernières ressources pour essayer de nous abattre. Dans l’attaque menée par Le Parisien contre The Parisienne, on peut aussi entendre un cri au secours, un cri de désespoir d’une profession encore prestigieuse qui a beaucoup de mal à se réinventer à côté de nous.

Tout ce que va gagner Le Parisien, c’est de perdre encore des lecteurs, et de jeter le discrédit sur ce qui pourrait encore être sauvé, de son côté.

Je me demande si cette attaque stupide ne cache pas quelque chose d’encore plus grave : à cause de la toute-puissance de Google, les acteurs du web se battent sur les mots, sur les adjectifs, sur les consonances pour attraper les internautes. Voilà où La Parisienne doit faire mal au Parisien. Impuissant à endiguer l’hémorragie ouverte dans les kiosques, le journal n’a d’autre voie de salut que le Net, où les gens ne vont pas à lui naturellement, mais grâce à Google. Et voilà où La Parisienne leur nuit peut-être. Je ne fais qu’une hypothèse, qui si elle s’avère juste, risque d’éclabousser plus d’un blogueur.

Je crois malheureusement que si Le Parisien ne retire pas sa plainte nous serons collectivement forcés d’appeler au boycott. Assez terrible de constater que de nombreux politiciens, médias, entrepreneurs n’ont pas encore mesuré la puissance du Net et se prennent les pieds dans son tapis. Réveillez-vous, vous n’êtes plus des intouchables.

Note

[1] antémémoire du billet par Google, car les internets sont résilients


un commentaire aucun rétrolien

- page 1 de 12