Côte d'Ivoire En Côte d’Ivoire, l’opération d’indemnisation des victimes des déchets toxiques devait s’achever en principe jeudi soir 18 mars. Le dédommagement des sinistrés contaminés par l’épandage sauvage des déchets du navire Probo Koala, en août 2006, avait commencé début mars. Mais elle devra être prolongée car, sur les sites d’indemnisation, la pagaille était telle que tout le monde n’a pas pu recevoir son chèque. Et le mécontentement était palpable. Une femme et son enfant passent à proximité d’employés d’une firme qui tentent de dépolluer la zone touchée par le rejet des déchets toxiques du Probo koala, près d’Abidjan. AFP / Issouf Sanogo

Apple a supprimé de l'App Store Zits&Giggles, un jeu lancé en mars 2009 dont le principe plus ou moins de bon goût était de percer des boutons d'acné. La faute en revient à son ...

Aucun symbole, objet ou image discriminatoire et raciste n'a sa place dans une garderie d'enfants, a souligné vendredi le gouvernement flamand, qui est arrivé à un accord de principe afin de modifier les règles à ce sujet.

Le président de la Commission estime qu'une telle initiative ne contreviendrait en rien au principe de non-renflouement en vigueur dans la zone euro.

Le président de la Commission estime qu'une telle initiative ne contreviendrait en rien au principe de non-renflouement en vigueur dans la zone euro.

Le président de la Commission estime qu'une telle initiative ne contreviendrait en rien au principe de non-renflouement en vigueur dans la zone euro.

Le président de la Commission estime qu'une telle initiative ne contreviendrait en rien au principe de non-renflouement en vigueur dans la zone euro.

Il y a un peu de changement sur planet-libre ces derniers temps. D'abord Jonas a été avalé par la baleine du temps, notre benjamin de l'équipe s'est en effet retiré un peu de la vie informatique pour se consacrer à une vie plus saine, puis la fine équipe de modérateurs a gagné du galon. Nous passons donc avec Frédéric Bezies, Christophe Gallaire, et Philippe Scoffoni administrateurs du planet pour prêter main forte à Thomas et à Grégoire qui je pense préfèrent se préoccuper du développement technique de l'outil bilboplanet plutôt que de régler des problèmes "administratifs".

Ceux qui trouvaient déjà la modération détestable, seront ravis d'apprendre qu'en plus de nos traditionnels travaux de censure journaliers, nous aurons la joie de sélectionner les sites figurant sur le planet, de les refuser et même de faire sauter les comptes quand quelqu'un nous replace douze fois des messages n'ayant qu'un rapport vague avec le libre.

Fruit du hasard ou pas, mais il se trouve que nous avons ces derniers temps des emplois du temps de ministre et qu'un petit coup de main ne serait pas de refus, c'est pour ça que nous lançons cet appel. La modération du planet n'est pas bien compliquée, il suffit déjà d'être un lecteur assidu, et de faire sauter les articles qui ne cadrent pas avec le planet.

Les candidats doivent avoir une bonne connaissance du libre, avoir compris le principe du fonctionnement du planet-libre, avoir les épaules larges ou aimer se faire traiter de facho de façon régulière, et suffisamment d'humour pour collaborer avec la promotion en place, sachant qu'on peut considérer Greg et Thomas comme des gens normaux, Philippe aussi, par contre en ce qui me concerne, Fred Bezies ou le Grand Maître C, c'est déjà plus difficile, un peu de recul et d'humour sont donc à prévoir. Malgré nos désaccords, nos caractères parfois haut en couleur, nous n'avons jamais eu de problèmes entre nous, comme quoi c'est possible.

J'ai ouvert un message dans le forum du planet, nous vous attendons, une petite présentation avec un blog ce serait pas trop mal.

Billet original de Cyrille BORNE.Votez pour cet article sur le Planet Libre.

Aucun symbole, objet ou image discriminatoire et raciste n'a sa place dans une garderie d'enfants, a souligné le gouvernement flamand, qui est arrivé à un accord de principe afin de modifier les règles à ce sujet.

2010/03/19 18:23 | Un tout nouveau site basé sur le principe communautaire et totalement gratuit vient d'être lancé. Le

Entre filles et garçons, les parcours universitaires demeurent nettement différenciés. Alors que les filles constituent 70 % des étudiants en lettres et sciences humaines, elles sont moins de 30 % dans le domaine des sciences fondamentales. Dans les classes préparatoires, elles ont investi les prépas littéraires (75 %) mais ne représentent que 30 % des prépas scientifiques.

Aux filles les lettres, aux garçons les sciences ? Ce principe reste vrai. Et la sélection ne se fait pas seulement au moment de l'entrée dans l'enseignement supérieur : les filles sont déjà minoritaires en filière scientifique au lycée. Les choses changent tout de même. Ainsi, les filles ont dépassé les garçons dans les prépas scientifiques. Et elles progressent dans les écoles d'ingénieurs : de 15,7 % des élèves en 1985 à 25,9 % en 2007. Reste qu'au rythme de 10 points en 20 ans, il leur faut encore un demi-siècle pour atteindre la parité...

Evolution du nombre de diplômés des écoles d'ingénieurs de 1985 à 2007 1985
1990
2000
2004
2007
Ensemble garçons + filles13 0031608024 62426 81727 520% de femmes15,718,722,824,725,9Toutes les écoles d'ingénieurs décernant des diplômes sont situées en France métropolitaine.Source : Ministère de l'Education nationale - Repères et références statistiques 2009 Proportion de filles par discipline universitaire Effectif total
Part de filles
en %Lettres, pluri-lettres, langues, sciences humaines, sociales420 14970,9Médecine, odontologie, pharmacie190 86661 ,9Droit, sciences politiques179 12564,6Sciences économiques, gestion136 47451,2 AES38 02959,8Sciences fondamentales et applications, pluri-sciences180 99029,8Sciences de la nature et de la vie69 74258,9STAPS (sport)32 15232,3IUT116 22339,4TOTAL1 363 75056,9Source : Ministère de l'Education nationale, Année universitaire 2007-2008 Proportion de filles dans les classes préparatoires et dans les grandes écoles Effectif total
Part de filles
en %Classes prépa (CPGE)78 07243 - scientifiques48 36130 - économiques18 32355 - littéraires11 38875Ecoles d'ingénieurs104 21827Ecoles de commerce87 66648Normale sup (ENS)3 68039ENA (promotion 2008)8140Polytechnique (2008)39914Source : Ministère de l'Education nationale, Ena, Ecole polytechnique - Année scolaire 2007-2008

Voir aussi : "Les filles meilleures élèves que les garçons ?"

Ca y est... "il" est là. Sisi, the instigateur du projet Veda est dans nos murs !! Attention, le sérieux est de mise à l'occasion de cette fournée. En effet, le sage et vénérable Sigfrodi nous fait l'insigne honneur de daigner condescendre à nous livrer son test de Arcomage, jeu de réflexion sur Nintendo DS. Originellement juste un jeu de combat de cartes in game dans Might & Magic VII, il voit s'affronter deux voisin antagonistes dont chacun tente d'élever sa tour avant l'autre, ou démolir carrément l'édifice d'en face. La version passée ici à la loupe est un homebrew gratuit, au principe accrocheur et aux bonnes illustrations, mais à la difficulté trop basse et manquant de variété.

Après le gnou velu, on passe au loup spatial. C'est en effet notre cher Spacewolf1 qui nous emmène au merveilleux pays des gnons dans le tronche. Dynasty Warriors : Gundam 2 est un beat 'em all où l'on dirige des mechas. Or pour les obtenir tous, il s'agira de gérer intelligemment les relations entre factions existantes, ce qui permettra aussi d'obtenir les licences indispensables pour contrôler d'autres mobile suits ; sans compter les pièces à collecter. En dépit d'une prise en main simple et de mechas bien dessinés, on regrette quelques soucis de caméra, des décors vides, la présence de clipping, la lassitude qui s'installe et l'absence des voix japonaises présentes dans d'autres opus.

Sur Xbox à présent, Raeglin s'est faufilé dans des couloirs obscurs pour nous ramener ses impressions sur Splinter Cell : Chaos Theory, jeu d'infiltration dans lequel on effectue des missions en catimini, loin de se la jouer bourrin, en éliminant les ennemis furtivement sans donner l'alarme. Proposant des mouvements et armes neufs par rapport aux jeux précédents de la série, un visuel très bien réalisé, des voix intéressantes, une maniabilité bien pensée et une difficulté conséquente, il devrait plaire aux amateurs du genre.
Hulk : Ultimate Destruction, lui, s'apparente davantage à un GTA like orienté action. Vu le personnage incarné, on ne s'étonnera pas que les missions consistent en du bousillage tous azimuts (la majeure partie de l'environnement étant destructible), d'autant que les mouvements du géant vert sont variés et loufoques, bien souvent. Techniquement ce n'est pas le plus beau jeu que vous ayez jamais vu, mais son player fun est indéniable et la liberté d'action totale.

On passe à la Super Famicom avec un RPG testé par Antekrist, Treasure Hunter G, fort traditionnel si ce n'est qu'il met en place un système de combat non-aléatoire avec une grille de déplacements qui demande un petit temps d'adaptation et limite le gameplay. On notera tout de même la très bonne réalisation du jeu.
Et on termine sur Saturn avec un cute 'em up vertical incorporant des éléments de jeu de réflexion. Eh oui, Twinkle Star Sprites nous impose de réaliser des enchaînements spécifiques et des combos lors de l'affrontement avec les adversaires, afin de compliquer la vie de notre concurrent (CPU ou second joueur) qui se déplace sur la moitié droite de l'écran en lui balançant plein d'ennemis supplémentaires ! On signalera l'aspect visuel brouillon, entre effets en pagaille, nombre de sprites conséquent et couleurs affirmées, mais surtout des parties intenses et jouissives. À découvrir.

...

Mince, j'ai publié un test de Sigfrodi. La boucle est bouclée. La mort peut m'emporter à tout moment désormais, je pourrai clamer haut et fort : "OUI !! J'AI VÉCU !!!". ^^

Motion Fighter, l’un des projets compatibles PS Move les plus prometteurs qui soient à l’heure actuelle disposera en effet d’un compteur de calorie, sensé indiquer au joueur le nombre de calories perdues après chaque session de jeu. Un peu le même principe que celui proposé par Wii Fit me direz-vous. Oui, mais cette fois, les tâches à accomplir sont quand même nettement plus viriles (et balancer dans une conversation “j’ai perdu 300 calories en défonçant 15 gus”, c’est quand même plus glorieux que “j’ai perdu 300 calories en sautant sur ma Wii Board…)

via kotaku

L'Allemagne est ouverte à l'idée d'une aide du Fonds monétaire international (FMI) à la Grèce si elle en avait besoin, a déclaré vendredi le porte-parole du gouvernement à Berlin. La Grèce n'a pour le moment pas demandé d'aide financière et Berlin part du principe que ses efforts pour redresser ses finances publiques vont réussir, a déclaré le porte-parole du gouvernement Ulrich Wilhelm. "Au cas où il faudrait en venir là, le gouvernement n'exclut pas le recours aux ressources du Fonds monétaire international", a-t-il ajouté.

Le principe de la vente couplée d'un téléphone avec un forfait, et par là un prix plus attractif pour obtenir le terminal peut désormais s'appuyer sur un cadre légal en Belgique. La ...

Réunion à la rédaction de Paquet Fedora du Jour: "- L'autre jour, ton article sur Frozen Bubble - Oui et alors? - Ben un lecteur nous a dit d'essayer MonkeyBubble, parce que c'était plus fun? J'ai testé et il a raison - M*****, on passe pour des !#§*ù$ là, qu'est ce qu'on fait? - On publie un article discrètement sur ce jeu, l'air de rien, et tête basse - Ok, ok... - Au fait, ça va avec ta femme? -..."
La suite de la conversation n'a que peu d'importance pour le sujet qui nous concerne.

Dans la famille des clones de Puzzle Bobble, je demande le petit frère, Monkey Bubble! Le principe reste identique: Tirer des bulles de couleur sur les amas situés en haut de l'écran. Si au moins trois bulles de la même couleur se touchent, elles tombent en entrainant toutes les bulles retenues seulement par elles. Si les bulles atteignent le bas de l'écran, vous perdez. Si au contraire vous arrivez à vider l'écran, vous gagnez.
Monkey Bubble présente de simples graphismes cartoon en 2D, mais très bien finis. La petite bande son roots est des plus agréables et vous donnera envie de vous jeter furieusement vers votre bar pour vous préparer un mojito.
Monkey Bubble prévoit également le multijoueur avec un mode deux joueurs sur le même écran ou le jeu en réseau.

Ne vous trompez pas, Monkey Bubble est bien le jeu de Puzzle qu'il vous faut, si vous n'avez rien à faire pendant les deux heures suivantes bien entendu, car vous allez forcément y rester accroché.

Installation en ligne de commande : yum install monkey-bubble

Installation avec l'interface graphique : Jeux > Game in the spirit of Frozen Bubble

Localisation dans le menu : Applications > Jeux > Monkey Bubble

Lancement en ligne de commande : /usr/bin/monkey-bubble

Site web : http://home.gna.org/monkeybubble/

Billet original de Paquet Fedora du Jour.Votez pour cet article sur le Planet Libre.

Je lisais encore ce matin un article évoquant la possibilité d’exploiter des applications windows sur un bureau linux (voir ulteo, synstancia etc...)

J’en rage un peu de voir qu’il a fallut attendre le début d’une nouvelle décénie avant que l’on voit des applications crédibles aller dans ce sens... J’en veux un peu à mandriva sur ce coup là parce que dans les specs edu de 2008 ce point été abordé. En effet de nombreux utilisateurs et administrateurs avaient évoqués le fait qu’un bureau linux sans prise en charge des applications windows était voué a rester limité pour ne pas dire confidentiel (au moins dans l’éducation nationale).

2 exemples à cela  (1 en autonome sur les postes et un client/serveur):

1- l’application permettant de faire passer le brevet de sécurité routière (obligatoire) fournie par le ministère est exclusivement sous windows (et il y en a d’autres...)

2- La salle multimédia, le labo langue etc... sont vendu par le prestataire sous windows uniquement.

Alors comment faire ?

Les solutions préconisés étaient une intégration native d’un émulateur windows (wine pour les versions free et code weavers pour la power pack puisque il y a un partenariat commercial) pour les postes nomades utilisant des applications autonomes. Une intégration native signifiait que le lancement d’une application ou de son installation devait apparaître dans une fenêtre identique à celle d’une application linux et que les raccourcis ne devaient pas figurer dans un onglet wine mais dans les menus classiques de la distribution.

Deuxième solution (complémentaire) la possibilité de lié un bureau linux à un serveur TSE afin d’executer les applications windows ne passant pas sur un émulateur ou de type client serveur et déporter la fenêtre de manière transparente sur le bureau (ce que fait syntancia ou ulteo).

Dans les 2 cas le but recherché est le même :

1- Faire de linux un système ouvert dans le sens de l’interopérabilité dans son utilisation

2- Limiter le nombre de système propritaire tout en comblant le besoin de l’utilisateur

3- Donner comme vu à l’utilisateur un système linux (graphiquement) avec ces logiciels habituelles quelques ils soient...

Alors tout cela est bien sur discutable dans le principe. Doit on Faire un mélange des genres ?

Forcé de constater que tout les linux confondu ça ne represente même pas le parc de windows vista alors que l’on sait bien se que tout le monde en pense...

Alors M. et Mme (pas oublier Anne) Mandriva, c’est quand que vous jouerez (au moins pour la powerpack) la carte de l’interopérabilité ?

Billet original de Jeff.Votez pour cet article sur le Planet Libre.

En décembre dernier, Google avait introduit sur ses pages anglaises, sa fonction de recherche en temps réel. Le principe ? Elle met à jour le moteur en temps réel afin d'indexer un contenu juste après sa mise en ligne.

Festivals > L'édition 2010 du Printemps du Cinéma se déroule du dimanche 21 au mardi 23 mars. Le principe est toujours aussi simple : 3,50 euros la séance dans toutes les salles de cinéma participant à l'opération. Courez-y !

>> Lire tout l'article | sur AlloCiné - le Vendredi 19 Mars 2010

Lettre ouverte d'électeurs de la région PACA qui dénoncent la présence, —en position éligible— sur la liste de Michel Vauzelle (PS), du président de l'Association pour le Bien-être du Soldat Israélien (ABSI). Être pour une paix fondée sur l'égalité des droits Ou être complice d'une armée d'occupation, Nous avons choisi. La guerre au Proche-Orient n'est ni une guerre religieuse, ni une guerre raciale, ni un conflit communautaire. Elle porte sur des principes universels : le refus du colonialisme et de (...) - Infos globales / En débat

Article publié le 13/03/2010

Depuis une dizaine d'années, Google étend ses tentacules dans tous les domaines de l'informatique. Tout a commencé avec un moteur de recherche, puis les services se sont multipliés : hébergement de vidéos, d'images, e-mail, cartographie du monde, actualités, édition de documents en ligne, chat, réseau social, navigateur et maintenant systèmes d'exploitation (Android pour smartphones et bientôt Chrome OS). Si des alternatives viables existent pour tous ces domaines, le moteur de recherche reste, de loin, le plus utilisé. Fautes d'alternatives ? Pas sûr...

Avant de commencer, une question s'impose : pourquoi se passer de Google si il fonctionne très bien ? Tout est question de monopole et de contrôle de l'information. A l'heure actuelle, 85 % des recherches se fait via Google. Il ne faut pas chercher loin avant d'entrevoir les dérives que cela peut entraîner : si Google supprime une page de ses résultats, celle-ci disparaît aux yeux de 85 % de la population. Ceci constitue un contrôle potentiel de l'information suffisamment dangereux pour remettre en cause le monopole du géant de Mountain View.

Les autres poids lourds

En concurrence directe avec Google, plusieurs essayent de se faire un nom sur le marché.

Tout d'abord, Yahoo, qui essaie tant bien que mal d'empiéter sur les plates-bandes de Google. Yahoo propose un package assez complet : moteur de recherche assez performant, e-mail, actualités, hébergement d'images... Le concurrent direct, mais avec un gros point faible : Yahoo ne propose rien de bien original face au géant.

Récemment, Microsoft a laissé tombé son MSN search totalement ignoré de tous par Bing, étroitement lié aux services déjà existants comme Hotmail. Là encore, rien de nouveau sous le soleil qui mérite l'attention...

Parmi les autres concurrents, Exalead a, pendant un temps, attiré l'attention de par ses innovations technologiques, mais le succès n'a jamais été au rendez-vous.

Le seul intérêt de ces moteurs est de présenter leurs résultats dans un ordre différent de celui de Google, ce qui est déjà un avantage.

Les moteurs « caritatifs »

Basés sur les moteurs de recherche cités ci-dessus, ces moteurs ont pour but d'aider des associations grâce aux bénéfices générés par la publicité. Hooseek, Doona, Veosearch ou encore Ecosia permettent de sélectionner des associations qui recevront une certaine somme à chacune de vos utilisations.

A noter, un gros point noir : il est souvent nécessaire de créer un compte de manière à « choisir les associations qui seront rétribuées ». Il faut être conscient que cela signifie la création d'un profil utilisateur qui en dira long sur vos centres d'intérêt.

Les moteurs qui préservent l'anonymat

La politique de traitement des données utilisateurs de Google a déjà été pointée du doigt : grâce à l'utilisation de cookies ou d'un compte iGoogle, le géant peut dresser un profil de chaque utilisateur et, entre autres, proposer de la publicité ciblée.

C'est dans un esprit totalement opposé que des moteurs respectueux de la vie privée sont apparus. Tout d'abord, Ixquick, qui non seulement propose une version sécurisée de son moteur de recherche (https), mais ne conserve aucuns adresse IP (ce qui est certifié par de jolis logos dont je n'ai aucune idée de la validité réelle). Ixquick agit également comme un méta-moteur : il consulte plusieurs moteurs de recherche et compile les résultats.

Ensuite, Yauba, qui dans le même esprit ne conserve aucune trace des utilisateurs. Yauba possède également un avantage intéressant, celui de compiler les résultats de recherche par source : sites web, blogs, actualités, vidéos. Finalement, il intègre un proxy qui permet de visiter anonymement les résultats de recherche.

Notez qu'au niveau anonymat, le fait d'avoir une adresse IP dynamique et d'effacer les cookies à chaque session (sélectionner « Conserver les cookies jusqu'à la fermeture de Firefox », dans l'onglet « Vie privée » de Firefox) permet déjà un anonymat relatif, ou du moins évite de créer un profil utilisateur dans n'importe quel moteur de recherche. A moins de faire des recherches sur des sujets pas très nets, c'est souvent largement suffisant.

Les moteurs P2P

Pour aller plus loin dans la décentralisation des recherches, il existes des moteurs de recherche fonctionnant sur le principe du P2P. Ceci permet d'échapper à toute forme de filtrage éventuel.

YaCy (sous licence GPL) est un moteur de recherche fonctionnant sur ce principe : chaque personne installe son client, et la recherche va se faire en interrogeant les autres clients connectés. Il dispose également de son propre « web crawler », c'est-à-dire qu'il peut indexer des liens à partir d'un page de référence. Je dois avouer que je n'ai pas été vraiment convaincu... Il semble que la recherche ne tienne pas compte de la langue, et du coup on se retrouve avec des résultats plutôt inexploitables. Je m'y suis peut-être mal pris, remarquez...

À mi-chemin entre le moteur P2P est le méta-moteur, Seeks est un moteur de recherche libre (AGPL) dont le but est de garder en cache les recherches d'un groupe de personne ayant les mêmes centres d'intérêt. En pratique, on l'installe sur un serveur, et à chaque requête Seeks va (i) chercher dans son cache les éventuelles recherches similaires et (ii) rapatrier les résultats des grands moteurs de recherche (Google, Yahoo, Bing et Cuil). Il dispose également d'une option de « clustering », qui est censée regrouper les résultats selon leur contenu (et ainsi les classer selon les homonymies). Le projet est encore un peu jeune et pas exempt de bugs, mais je dois avouer que je suis fan. A terme, Seeks permettra aux utilisateurs de classer les résultats, et les noeuds Seeks pourront communiquer pour partager leur index.

Des nÅ“uds publics ont été mis en place, notamment sur le site principal ainsi qu'un autre accessible en connexion sécurisée. Pour ajouter Seeks dans la barre de recherche Firefox, copiez ce fichier dans le dossier ~/.mozilla/firefox/xxxxxxxx.default/searchplugins (créez searchplugins si nécessaire). Il n'est, pour le moment, pas possible de faire une recherche d'images via Seeks.

Dans le prochain article, nous verrons comment installer son propre nœud Seeks.

Billet original de Marty.Votez pour cet article sur le Planet Libre.

Article publié le 23/09/2009

Depuis quelques mois, les solutions de VPN payant type Ipredator ont fleuri sur la toile. Ces solutions d'anonymat, séduisantes au premier abord, possèdent un gros point noir : qui se cache réellement derrière ces VPN ? N'y a-t-il pas un risque que ces « bienfaiteurs de l'Internet libre » ne revendent un jour toutes les données collectées ? Comme on n'est jamais mieux servi que par soi-même, nous allons voir comment monter son propre serveur VPN grâce à OpenVPN. Par ailleurs, ce VPN pourra aussi vous servir à passer les éventuelles restrictions mises en place sur votre lieu de travail, ou sécuriser votre connexion lorsque vous devez vous connecter sur des réseaux publics peu sécurisés.

Configuration du serveur

Avant toute chose, vous devez avoir accès à un serveur, si possible avec une bande passante suffisante. En effet, ce serveur va servir de relai entre vous et la cible distante : la bande passante en upload du serveur deviendra votre bande passante en download maximale. Dès lors, mieux vaut se tourner vers un service professionnel, offrant souvent une bande passante allant jusqu'à 100 Mb/s (environ 12 Mo/s). Cherchez donc du côté des VPS (Virtual Private server) : vous aurez toutes les possibilités d'un serveur dédié, mais à prix (et performances) réduit. Un serveur OpenVPN est très léger, donc 128 Mo de RAM devraient être suffisants. En France, Gandi, OVH ou LWS ont des offres intéressantes à moins de 15 € par mois. Partagée entre 2 ou 3 personnes de confiance, cette solution est rapidement plus avantageuse qu'une solution type Ipredator. Attention tout de même car beaucoup de VPS promettent une bande passante de 100 Mbits/s, mais en pratique ce n'est pas le cas. La bande passante n'est pas partagée de manière équitable entre les différentes machines virtuelles, et résultat les performances laissent à désirer (j'ai déjà eu le cas avec du 100 Mbits/s qui en pratique approchait péniblement le 100 kbits/s...). Cherchez donc des solutions où la bande passante est moindre, mais assurée (comme Gandi le propose).

Avant de mettre en place votre VPN, pensez à sécuriser votre serveur. Une machine avec IP fixe accessible 24h/24 sera irrémédiablement la cible d'attaques.

Installation de OpenVPN et création des clés et certificats

Installez tout d'abord OpenVPN, bien souvent disponible dans les dépôts de base de votre distribution :

marty@server:# apt-get install openvpn

OpenVPN peut fonctionner avec plusieurs types d'authentification. Nous utiliserons l'authentification par clés et certificats, plus sûre que le classique login/mot de passe. Pour générer les clés et certificats nécessaires, des scripts ont été créés et se situent, sous Ubuntu 9.04, dans le dossier /usr/share/doc/openvpn/examples/easy-rsa/2.0. Commençons par copier tout ceci dans un répertoire de travail (tout le processus doit s'effectuer en tant que root) :

marty@server:# cd /etc/openvpn marty@server:# cp -r /usr/share/doc/openvpn/examples/easy-rsa/2.0 /etc/openvpn marty@server:# mv 2.0/ easy-rsa/ marty@server:# cd easy-rsa/

Modifiez tout d'abord les variables du fichiers vars :

export KEY_COUNTRY="US" export KEY_PROVINCE="CA" export KEY_CITY="SanFrancisco" export KEY_ORG="Fort-Funston" export KEY_EMAIL="me@myhost.mydomain"

Initialisez-le via la commande :

marty@server:# . ./vars

(vous devez bien écrire point/espace/point, ce n'est pas une erreur).

On efface les éventuelles clés présentes :

marty@server:# ./clean-all

On crée le certificat et la clé de l'Autorité de Certification (CA) :

marty@server:# ./build-ca

Les fichiers ca.crt et ca.key sont alors créés dans le dossier keys, et les variables précédentes devront être confirmées. Ces fichiers sont les fichiers centraux de la sécurité de votre serveur OpenVPN. La clé vous servira à signer les clés du (des) serveur(s) ainsi que des différents clients, et le certificat servira de « carte d'identité » à laquelle serveur(s) et clients se réfèreront.

On crée le certificat et la clé pour le serveur :

marty@server:# ./build-key-server server

Laissez toutes les options par défaut (y compris la demande de mot de passe), et répondez « yes » à la question de la signature :

Certificate is to be certified until Sep 5 14:02:19 2019 GMT (3650 days) Sign the certificate? [y/n]:y 1 out of 1 certificate requests certified, commit? [y/n]y

Le certificat du serveur sera alors signé avec la clé de l'Autorité de Certification. Les fichiers server.crt et server.key seront créés.

On crée le certificat et la clé pour le client :

marty@server:# ./build-key client1

De la même manière que pour le serveur, on laisse toutes les options par défaut et on accepte la signature par avec la clé de la CA. Les fichiers client1.crt et client1.key seront créés. Il est recommandé de créer une paire certificat/clé par client, de manière à pouvoir les révoquer par la suite si nécessaire (au cas où le client les perdrait).

Pour que notre serveur fonctionne, nous auront également besoin des paramètres de Diffie-Hellman :

marty@server:# ./build-dh

Le fichier dh1024.pem est créé. J'avoue, je n'ai pas compris à quoi cela servait précisément dans le cas de OpenVPN...

Finalement, nous augmentons encore la sécurité de notre serveur grâce à tls-auth :

marty@server:# openvpn --genkey --secret keys/ta.key

Le fichier ta.key est créé.

Résumé des fichiers créés

Au terme dela génération de ces diverses clés et certificats, nous obtenons les fichiers suivants :

• ca.crt : certificat de l'Autorité de Certification
• ca.key : clé de l'Autorité de Certification
• server.crt : certificat du serveur
• server.key : clé du serveur
• client1.crt : certificat du client1
• client1.key : clé du client1
• dh1024.pem : paramètres de Diffie-Hellman
• ta.key : clé utilisée pour tls-auth

En vert, les fichiers qui ne sont pas secrets, en rouge les fichiers secrets. Attention toute particulière au fichier ca.key qui sert à signer tous les certificats. Il permet d'autoriser ou non un client, et il est donc fondamental qu'il soit gardé secret !

En pratique, les fichiers nécessaires sont :

• serveur : ca.crt, server.crt, server.key, dh1024.pem et ta.key
• client1 : ca.crt, client1.crt, client1.key et ta.key

Notez bien que le fichier ca.key n'est nécessaire ni sur le serveur, ni chez aucun client ! Gardez-le en lieu sûr ;-)

Fichier de configuration serveur

Toute la configuration s'effectue dans un fichier quelconque, ci-après server.conf. Voilà un exemple typique :

#Configuration serveur mode server # c'est le fichier de configuration du serveur proto tcp # protocole TCP port 443 # port 443 (https) dev tun # mode routé #Clefs ca keys/ca.crt cert keys/server.crt key keys/server.key dh keys/dh1024.pem tls-auth keys/ta.key 0 # 0 pour le serveur cipher AES-256-CBC # algorithme de chiffrement #Configuration VPN #client-to-client # permet la connexion entre clients server 10.8.0.0 255.255.255.0 # adresse IP attribuées sur le VPN push "redirect-gateway def1 bypass-dhcp" # redirection du flux de données push "dhcp-option DNS 208.67.222.222" # utilisation de DNS alternatifs push "dhcp-option DNS 208.67.220.220" keepalive 10 120 # ping toutes les 10 secondes, # considéré comme down après 120 secondes sans réponses #Divers user nobody # on passe de l'utilisateur root à nobody group nogroup # nogroup est typique d'Ubuntu, groupe nobody pour les autres chroot /etc/openvpn/ovpn_jail # chroot de openvpn persist-key # n'accède plus à certaines options, persist-tun # car réduction des privilèges utilisateur comp-lzo # compression des données #Log verb 3 # verbosité du log (1-9, 4 recommandé) mute 20 # ne répète pas plus de 20 fois un message status openvpn-status.log # fichier de statut log-append /var/log/openvpn.log # fichier de log

Tout d'abord, le port utilisé (443) a été choisi parce qu'il n'est jamais bloqué (port https). Vous pouvez utiliser un autre port plus aléatoire si vous ne devez pas contourner de blocages quelconques.

Le mode routé (dev tun) est préféré au mode bridgé pour sa plus grande simplicité de configuration. Si vous avez une utilisation « basique » du VPN, ne vous préoccupez pas de ça.

De nombreux algorithmes de chiffrement sont disponibles. Nous choisissons ici le chiffrement AES 256 bits, qui est assez élevé. Si votre serveur rame, tentez de passer à du 128 bits.

client-to-client permet à deux clients de se connecter l'un à l'autre, par exemple via un serveur NFS. Dans notre cas, cette ligne est commentée.

server 10.8.0.0 255.255.255.0 définit le range d'adresses IP locales qui seront attribuées. Le serveur prendra l'adresse 10.8.0.1, et les clients 10.8.0.2, 10.8.0.3, 10.8.0.4... Attention : cette adresse ne doit rentrer en conflit avec aucune autre. Évitez donc d'utiliser les habituelles 192.168.x.x ou 10.108.x.x.

La ligne contenant « redirect-getaway » spécifie que tout le flux doit être redirigé vers le VPN. Attention à cette ligne qui peut différer d'une version à l'autre. Il semble que sous CentOS, il ne faille pas mettre les mots clés « def1 bypass-dhcp », alors que sous Ubuntu 9.04 cela est obligatoire.

Par la suite, la sécurité est améliorée en diminuant les privilèges du programme (« user nobody », « group nogroup ») et en effectuant un chroot (le dossier spécifié doit être créé). De cette manière, une éventuelle faille d'OpenVPN ne pourra être exploitée qu'en tant qu'utilisateur restreint, dans un environnement restreint.

Vous pouvez faire un premier test, en commentant la ligne « log-append » pour que le log s'affiche directement dans le terminal. Pour cela, on lance (en root, dans le dossier où se trouvent le fichier server.conf ainsi que le répertoire keys) :

marty@server:# openvpn server.conf OpenVPN 2.1_rc11 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] [PKCS11] built on Mar 9 2009 Diffie-Hellman initialized with 1024 bit key /usr/bin/openssl-vulnkey -q -b 1024 -m Control Channel Authentication: using 'keys/ta.key' as a OpenVPN static key file Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication TLS-Auth MTU parms [ L:1560 D:168 EF:68 EB:0 ET:0 EL:0 ] ROUTE default_gateway=XXX.XXX.XXX.XXX TUN/TAP device tun0 opened TUN/TAP TX queue length set to 100 /sbin/ifconfig tun0 10.8.0.1 pointopoint 10.8.0.2 mtu 1500 /sbin/route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.8.0.2 Data Channel MTU parms [ L:1560 D:1450 EF:60 EB:135 ET:0 EL:0 AF:3/1 ] chroot to '/etc/openvpn/ovpn_jail' and cd to '/' succeeded GID set to nogroup UID set to nobody Listening for incoming TCP connection on [undef]:443 Socket Buffers: R=[87380->131072] S=[16384->131072] TCPv4_SERVER link local (bound): [undef]:443 TCPv4_SERVER link remote: [undef] MULTI: multi_init called, r=256 v=256 IFCONFIG POOL: base=10.8.0.4 size=62 MULTI: TCP INIT maxclients=1024 maxevents=1028 Initialization Sequence Complete

La première ligne en gras indique que l'interface tun0 a bien été créée (c'est le réseau virtuel), et les 3 autres que le chroot ainsi que le changement de propriétaire ont bien fonctionné. Dans un autre terminal, le ifconfig donne :

eth0 Link encap:Ethernet HWaddr 00:16:3e:51:5f:e9 inet addr:XXX.XXX.XXX.XXX Bcast:XXX.XXX.XXX.255 Mask:255.255.252.0 inet6 addr: fe80::216:3eff:fe51:5fe9/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:162377096 errors:0 dropped:0 overruns:0 frame:0 TX packets:153812357 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:4278174076 (4.2 GB) TX bytes:2956197161 (2.9 GB) lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:127075 errors:0 dropped:0 overruns:0 frame:0 TX packets:127075 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:77312107 (77.3 MB) TX bytes:77312107 (77.3 MB) tun0 Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 inet addr:10.8.0.1 P-t-P:10.8.0.2 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

L'adresse IP du serveur sur le réseau virtuel (tun0) est bien 10.8.0.1.

En l'état, votre serveur ne fonctionnera pas. Pourquoi ? Parce que le firewall n'a pas été configuré bien sûr ;-)

Configuration du firewall

Avant toute chose, on s'assure que le forwarding est activé en tapant dans un terminal (en root) :

marty@server:# echo 1 > /proc/sys/net/ipv4/ip_forward

Comme dans la section précédente, nous utiliserons Webmin pour configurer le firewall.

Dans la section Packet filtering, on ajoute les règles :

Incoming packets (INPUT) Accept If protocol is TCP and destination port is 443 Accept If input interface is tun0 Forwarded packets (FORWARD) Accept If input interface is tun0 Accept If output interface is tun0

Et dans la section Network address translation :

Packets after routing (POSTROUTING) Masquerade If source is 10.8.0.0/24 and output interface is eth0

Adaptez évidemment en fonction du protocole, port et adresse IP choisis.

Avec Iptables, cela donne :

iptables -A INPUT --dport 443 -p tcp iptables -A INPUT -i eth0 iptables -A FORWARD -i tun0 -j ACCEPT iptables -A FORWARD -o tun0 -j ACCEPT iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE

Ces règles sont peut-être un peu trop permissives, il est surement possible de les améliorer.

Configuration du client

Configurer un client est très simple, car cela repose sur la création dun fichier client.conf, à la manière du server.conf. Voilà le fichier client.conf associé au server.conf précédent :

#Configuration client client # mode client dev tun proto tcp-client remote XXX.XXX.XXX.XXX 443 #Remplacer XXX par l'adresse IP ou le nom d'hôte resolv-retry infinite nobind persist-key persist-tun #Clefs ca keys/ca.crt cert keys/client1.crt key keys/client1.key tls-auth keys/ta.key 1 #1 pour le client cipher AES-256-CBC #Ces 3 lignes sont inutiles si spécifié dans la configuration du serveur #redirect-gateway def1 bypass-dhcp #dhcp-option DNS 208.67.222.222 #dhcp-option DNS 208.67.220.220 comp-lzo verb 3

Il faut bien s'assurer que les options sont identiques entre client et serveur (compression, port, protocole, chiffrement...), car une seule erreur et ça ne fonctionnera pas. Après avoir fourni les clés fichiers nécessaires (voire section précédente) ainsi que le fichier client.conf au client concerné, installé OpenVPN sur la machine cliente, il suffit de lancer dans un terminal (après avoir préalablement lancé OpenVPN sur le serveur):

marty@client:# openvpn client.conf OpenVPN 2.1_rc7 i486-pc-linux-gnu [SSL] [LZO2] [EPOLL] built on May 8 2009 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for more info. /usr/bin/openssl-vulnkey -q -b 1024 -m Control Channel Authentication: using 'keys/ta.key' as a OpenVPN static key file Outgoing Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication Incoming Control Channel Authentication: Using 160 bit message hash 'SHA1' for HMAC authentication LZO compression initialized Control Channel MTU parms [ L:1560 D:168 EF:68 EB:0 ET:0 EL:0 ] Data Channel MTU parms [ L:1560 D:1450 EF:60 EB:135 ET:0 EL:0 AF:3/1 ] Local Options hash (VER=V4): '2f2c6498' Expected Remote Options hash (VER=V4): '9915e4a2' Attempting to establish TCP connection with XXX.XXX.XXX.XXX:443 [nonblock] TCP connection established with XXX.XXX.XXX.XXX:443 Socket Buffers: R=[87380->131072] S=[16384->131072] TCPv4_CLIENT link local: [undef] TCPv4_CLIENT link remote: XXX.XXX.XXX.XXX:443 TLS: Initial packet from XXX.XXX.XXX.XXX:443, sid=4421b77a 4dc14e71 VERIFY OK: depth=1, /C=US/ST=CA/L=SanFrancisco/O=Fort-Funston/CN=Fort-Funston_CA/emailAddress=me@myhost.mydomain VERIFY OK: depth=0, /C=US/ST=CA/L=SanFrancisco/O=Fort-Funston/CN=server/emailAddress=me@myhost.mydomain Data Channel Encrypt: Cipher 'AES-256-CBC' initialized with 256 bit key Data Channel Encrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Data Channel Decrypt: Cipher 'AES-256-CBC' initialized with 256 bit key Data Channel Decrypt: Using 160 bit message hash 'SHA1' for HMAC authentication Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA [server] Peer Connection Initiated with XXX.XXX.XXX.XXX:443 SENT CONTROL [server]: 'PUSH_REQUEST' (status=1) PUSH: Received control message: 'PUSH_REPLY,redirect-gateway def1 bypass-dhcp,dhcp-option DNS 208.67.222.222,dhcp-option DNS 208.67.220.220,route 10.8.0.1,topology net30,ping 10,ping-restart 120,ifconfig 10.8.0.6 10.8.0.5' OPTIONS IMPORT: timers and/or timeouts modified OPTIONS IMPORT: --ifconfig/up options modified OPTIONS IMPORT: route options modified OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified TUN/TAP device tun0 opened TUN/TAP TX queue length set to 100 ifconfig tun0 10.8.0.6 pointopoint 10.8.0.5 mtu 1500 route add -net XXX.XXX.XXX.XXX netmask 255.255.255.255 gw 192.168.1.1 route add -net 0.0.0.0 netmask 128.0.0.0 gw 10.8.0.5 route add -net 128.0.0.0 netmask 128.0.0.0 gw 10.8.0.5 route add -net 10.8.0.1 netmask 255.255.255.255 gw 10.8.0.5 Initialization Sequence Complete

et ça devrait fonctionner ! Pour vérifier, on tente d'abord un ifconfig qui devrait renvoyer quelque chose de similaire à ce qui s'affiche sur le serveur, et vérifier son adresse IP sur http://checkip.dyndns.com. Vous devriez alors avoir l'adresse IP du serveur. Par ailleurs, vérifiez également que vos DNS ont été changés (allez sur le site http://www.opendns.com/, et si c'est le cas « You're using OpenDNS » devrait être indiqué). Si ce n'est pas le cas, changez-les manuellement dans le fichier /etc/resolv.conf ou via l'applet de configuration réseau.

Un peu d'automatisation...

Côté serveur, on peut lancer OpenVPN grâce à la commande :

marty@server:# nohup openvpn server.conf &

nohup permet de ne pas terminer la commande (en l'occurence, openvpn) lorsqu'on coupera la connexion SSH. Selon la distribution utilisée, il est possible qu'OpenVPN se lance automatiquement au démarrage.

Côté client, il vous faudra installer le paquet network-manager-openvpn pour pouvoir effectuer la configuration depuis l'applet réseau. Avec les versions récentes de ce dernier, il suffit de glisser-déposer le fichier client.conf dans l'onglet VPN pour que la configuration soit automatique. On activera/désactivera alors simplement la connexion via l'applet réseau.

Conclusion

En principe, tout devrait être fonctionnel. Si ce n'est pas le cas, n'hésitez à pas demander de l'aide au support de votre hébergeur, certains nécessitant une configuration supplémentaire pour fonctionner.

Vous pouvez également vérifier le trafic réseau grâce à Wireshark (à lancer en root). Allez dans Capture → Options, puis cliquez sur Start. Dans la colonne Info, vous devriez voir la mention « Encrypted data » de nombreuses fois, et des transferts vers le port https (si vous avez choisi le port 443, évidemment). Si c'est le cas, c'est que ça fonctionne !

Billet original de Marty.Votez pour cet article sur le Planet Libre.

Article publié le 27/08/2009

Dans cet article, nous aborderons la connexion à distance vers un PC sous GNU/Linux. L'intérêt premier est évidemment l'administration d'une machine à distance, mais cela peut également être utile pour la récupération de fichiers lors de voyages à l'étranger. Outre la mise en place d'un serveur SSH, nous traiterons de la gestion firewall, du routeur éventuel ainsi que de l'adresse IP dynamique.

Configuration du serveur

Le serveur est la machine à laquelle vous voulez vous connecter, et qui retiendra la majorité de notre attention. Cette machine devra être équipée d'une distribution GNU/Linux quelconque. Une installation sous Windows est possible, mais semble être plus du bricolage qu'autre chose.

IP fixe sur le LAN

Par défaut, l'attribution de l'adresse IP sur le réseau local (LAN) se fait par DHCP, et est donc variable. Cela peut poser des problèmes lorsque, par exemple, le routeur devra transférer les données vers votre serveur. La première chose à faire est donc d'attribuer une IP fixe à votre serveur. Pour cela, vous devez connaitre l'adresse IP de votre passerelle ainsi que la gamme d'adresses IP attribuées. Par exemple, chez la passerelle est 192.168.1.1 et les IP sont attribuées entre 192.168.1.2 et 192.168.1.254. La configuration à appliquer dans votre système devra ressembler à ça :

Configuration en IP fixe

Cette fenêtre varie d'une distribution à l'autre, mais elle est souvent accessible via un clic sur l'applet de connexion réseau. Vous devrez peut-être aussi indiquez les serveurs DNS (permettant de faire le lien entre une adresse IP et le nom de domaine) ; indiquez ceux d'OpenDNS, à savoir 208.67.222.222 et 208.67.220.220.

Installation du serveur SSH

Installons tout d'abord le serveur SSH, à savoir OpenSSH. Sous debian/Ubuntu :

marty@serveur:~$ sudo apt-get install openssh-server

À ce stade, le serveur est déjà opérationnel, mais allons tout d'abord faire un tour dans les options de configuration du fichier /etc/sshd.conf. La majorité des options par défaut sont bonnes, mais nous allons en modifier quelques unes. Tout d'abord le port d'écoute, par défaut 22, peut être modifié :

Port 12345

Changer le port par défaut permet de réduire les tentatives de connexion par des robots. Évidemment, une personne physique effectuant un scan de port complet pourra facilement trouver les ports ouverts. Ensuite, s'assurer que la connexion en root est impossible :

PermitRootLogin no

Root est le seul utilisateur commun à toutes les distributions (excepté Ubuntu, pour lequel il est désactivé par défaut et remplacé par sudo). Par conséquent, interdire la connexion à root obligera un attaquant éventuel à trouver un nom d'utilisateur existant. Et finalement, désactiver l'authentification par mot de passe :

PasswordAuthentication no UsePAM no

Comment allons-nous nous connecter au serveur ? Et bien en utilisant ce que nous avons appris précédemment, à savoir une paire de clés ! De manière similaire à ce que nous faisions avec GnuPG, nous génèrerons une paire de clé sur chaque client, et nous fournirons la clé publique au serveur. De cette façon, seuls les clients ayant une clé enregistrée sur le serveur pourront s'y connecter. Notez que dans un premier temps, vous devrez avoir un accès physique au serveur pour copier la clé publique. Si ce n'est pas le cas, laissez les paramètres précédents sur « yes » le temps d'enregistrer votre clé.

Quand ces modifications ont été appliquées, relancez le démon ssh :

marty@serveur:~$ sudo /etc/init.d/ssh restart Routeur et configuration du firewall via Webmin

Si vous êtes derrière un routeur, et que votre serveur doit être accessible depuis d'extérieur de votre LAN, vous devez transférer le port choisi vers votre serveur. Concernant le firewall, si vous savez comment configurer le votre, ouvrez simplement le port que vous avez attribué, sous le protocole TCP. Si ce n'est pas le cas ou que vous voulez découvrir Webmin, lisez donc la suite ;-)

Tout bon serveur qui se respecte se doit d'avoir un firewall bien configuré. Sous GNU/Linux, le firewall intégré au système est Netfilter. Il existe plusieurs possibilités pour le configurer :

• en ligne de commande, grâce à iptables ou shorewall
• en utilisant le firewall Firestarter
• grâce à Webmin, un outil d'administration graphique assez général

Si Firestarter reste la solution la plus simple, c'est aussi la moins « propre » vu ses possibilités limitées et sa configuration basique. Iptables requiert quant à lui un peu d'expérience pour être manipulé correctement. Reste alors Webmin, assez simple d'accès tout en proposant des possibilités de configuration poussées. C'est celui-ci que nous allons utiliser. Notez que les firewalls graphiques n'enregistrent pas leur configuration directement dans Netfilter : ils ont besoin d'être lancés pour que les règles soient appliquées. En outre, si deux firewalls fonctionnent en même temps, ce sont les règles du dernier ayant été lancé qui seront appliquées. Veillez donc à n'avoir qu'un firewall bien configuré sur votre machine pour éviter les embrouilles ;-)

Procurez-vous tout d'abord Webmin, celui-ci étant disponible pour de nombreuses distributions. Après installation, rendez vous sur la page https://localhost:10000/ via votre navigateur web. L'utilisateur est root, et votre mot de passe est votre mot de passe root. Pour les utilisateurs d'Ubuntu, veuillez vous référer à cette page pour activer le compte root. Rendez à la page Networking → Linux Firewall.

Dans la partie Incoming packets (INPUT), voici les 5 règles de base à appliquer :

Accept If state of connection is ESTABLISHED,RELATED Accept If source is 127.0.0.1 and input interface is lo Accept If protocol is ICMP Log packet Always Drop Always

La règle « Log packet » va, comme son nom l'indique, établir un log des paquets qui seront rejetés dans /var/log/messages. Pour les retrouver facilement, je conseille d'ajouter dans la case « Additional parameters » (lors de la création de la règle) l'instruction :

--log-prefix "[IPTABLES DROP]: "

Dans la partie Forwarded packets (FORWARD), on refuse tout :

Drop Always

Je laisse la partie Outgoing packets (OUTPUT) vide, ce qui signifie que toutes les connexions sortantes sont autorisées. Vous devriez trouver assez facilement comment créer ces règle, ce n'est pas bien compliqué. Veillez tout de même à sélectionner « Equals » au lieu de « Ignored » pour les cases modifiées. L'ordre des règle est très important : elles seront appliquées de haut en bas. Il faut donc toujours que la règle « Drop Always » soit la dernière !

Pour SSH, la règle à appliquer dans Incoming packets (INPUT) est :

Accept If protocol is TCP and destination port is 12345

Nous parlons bien de port de destination. En effet, comme ce sont les paquets entrant, leur destination est bien notre serveur. 12345 est évidemment à remplacer par le port que vous avez choisi. Cliquez finalement sur « Apply Configuration », et choisissez « Yes » pour « Activate on boot ».

Protection contre les attaques « brute force » : fail2ban

Une attaque par « force brute » est une attaque tout ce qu'il y a de plus basique. Elle consiste à essayer toutes les combinaisons possibles de lettres/chiffres jusqu'à trouver le bon mot de passe. Elle est souvent combinée à une attaque par dictionnaire pour améliorer la vitesse de cassage. On comprend facilement que l'efficacité de ce type d'attaque dépend de la solidité du mot de passe choisi : « banane76″ risque d'être découvert beaucoup plus rapidement que « a0D€8È}~v£2%ï2″.

Pour se prémunir d'une telle attaque sur son serveur SSH, les précautions précédentes (pas de connexion en root, changement du port pour limiter les attaques par des robots) permettent déjà de limiter les risques. Si la connexion par mot de passe est désactivée, ces attaques seront totalement inefficaces. Cependant, on peut vouloir laisser cette possibilité active pour une raison ou une autre. Fail2ban va nous aider à nous protéger contre les attaquants éventuels (et n'ayez crainte, vous devrez y faire face très rapidement). Le principe est simple : bannir les adresses IP qui ont effectué trop de tentatives infructueuses de connexion, via une règle dans le firewall.

Tout d'abord, installer fail2ban :

marty@serveur:~$ sudo apt-get install fail2ban

Ouvrez ensuite le fichier /etc/fail2ban/jail.conf, et cherchez les parties suivantes :

[DEFAULT] ignoreip = 127.0.0.1 bantime = 900 findtime = 600 maxretry = 3 [ssh] enabled = true port = ssh filter = sshd logpath = /var/log/auth.log maxretry = 6

La partie [DEFAULT] contient les options par défaut, alors que la partie [ssh] les options propres à SSH (sans déconner !). Passons-les en revue :

• ignoreip permet d'ignorer les connexions venant d'une certaine adresse IP, ici l'adresse IP locale
• bantime est la durée de bannissement d'une adresse attaquant
• findtime est le laps de temps pendant lequel les connexions d'une même IP vont être analysée
• maxretry est le nombre maximum de tentative de connexions infructueuses avant bannissement

Dans mon cas, si le serveur reçoit 6 connexions infructueuses (maxretry) en moins de 10 minutes (findtime), l'adresse IP sera bannie 15 minutes (bantime). Dans le cas de SSH, un mot de passe est demandé 3 fois à chaque connexion, ce qui fait au maximum 72 essais par heure et par adresse IP.

Après configuration, relancez fail2ban :

marty@serveur:~$ sudo fail2ban-client reload

Vous pouvez également vérifier s'il fonctionne correctement :

marty@serveur:~$ sudo /etc/init.d/fail2ban status

Voilà, avec ça vous devriez être tranquille.

Adresse IP dynamique

Si votre FAI vous attribue une adresse IP dynamique (adresse IP de votre ordinateur sur Internet, pas sur le réseau local !), vous aurez besoin d'un service comme DynDNS. Celui-ci vous permettra d'associer à votre serveur un nom de domaine, et ce gratuitement. L'adresse IP sera mise à jour grâce au logiciel ddclient que nous installerons plus tard.

Vous devez tout d'abord vous créer un compte sur le site de DynDNS. Allez ensuite sur la page « Host Services », et cliquez sur « Add New Hostname ». Choisissez un nom de domaine, sélectionnez « Host with IP address » et indiquez votre adresse IP. Pour mettre à jour l'IP, trois possibilités :

• le faire manuellement via l'interface de DynDNS (peu pratique)
• via l'interface de votre modem/routeur/*box : certains appareils disposent en effet de la possibilité d'enregistrer un compte et de mettre à jour votre IP automatiquement
• en installant ddclient

Installez ddclient :

marty@serveur:~$ sudo apt-get install ddclient

La configuration du fichier /etc/ddclient.conf devrait ressembler à ceci :

## ddclient configuration file daemon=300 # check every 300 seconds syslog=yes # log update msgs to syslog pid=/var/run/ddclient.pid # record PID in file. ssl=yes ## Detect IP with our CheckIP server use=web, web=checkip.dyndns.com/, web-skip='IP Address' ## Default options protocol=dyndns2 ## DynDNS username and password here server=members.dyndns.org login=YYYYYYYY password='XXXXXXXX' ## Dynamic DNS hosts blablabla.tatata.com

Indiquez votre login, mot de passe (entre guillemets simples) ainsi que le(s) nom(s) de domaine. J'ai choisi de faire la mise à jour toutes les 5 minutes.

Configuration du client

Côté client, la configuration est très simple. Après installation du paquet openssh-client, connectez-vous grâce à la commande :

marty@client:~$ ssh -p 12345 login@blablabla.tatata.com

où login est votre login sur le serveur et 12345 à remplacer par le port choisi. Notez que si vous vous connectez depuis votre réseau local, il y a de fortes chances pour que l'utilisation du nom de domaine ne fonctionne pas. Il faudra plutôt utiliser l'adresse IP fixe du serveur. Si vous avez laissé le port par défaut (22), l'option -p est inutile.

Authentification par clé publique/privée

Rappelez-vous : nous devions utiliser la connexion par clé publique/privée ! Dans le cas où la connexion via mot de passe est désactivée, cette commande ne fonctionnera pas. Générons la paire de clé :

marty@client:~$ ssh-keygen -t dsa

Laissez les options par défaut, et indiquez une phrase de passe. Ensuite, vous devrez copier le contenu du fichier ~/.ssh/id_dsa.pub dans le fichier /home/login/.ssh/authorized_keys de votre serveur. Si la connexion par mot de passe n'est pas désactivée, vous pouvez utiliser la ligne :

marty@client:~$ ssh login@blablabla.tatata.com "echo $(cat ~/.ssh/id_dsa.pub) >> .ssh/authorized_keys"

(sur une seule ligne) Grâce à la même commande que précédemment, connectez-vous sur votre serveur. Votre phrase de passe vous sera demandée à la place de votre mot de passe, et si cela fonctionne, vous pouvez désactiver l'autorisation par mot de passe si ce n'est déjà fait (soyez tout de même sûr de pouvoir accéder physiquement au serveur au cas où votre clé privée serait perdue).

Taper sa phrase de passe, c'est chiant... Oui, je sais. Nous allons donc utiliser ssh-agent pour nous faciliter la vie. Dans un terminal, tapez :

marty@client:~$ ssh-add

et entrez votre phrase de passe. Connectez vous sur votre serveur et là, magie, votre phrase de passe ne vous est plus demandée ! C'est là un énorme avantage d'utiliser l'authentification par clé publique/privée plutôt que par mot de passe. Il suffit d'entrer sa phrase de passe en début de session, et on est tranquille toute la journée ;-) Il est possible de fournir la même clé publique sur plusieurs serveurs SSH : une fois la passphrase enregistrée, les connexions se font sans mot de passe. Qui plus est, on n'a pas à retenir un mot de passe différent pour chaque serveur.

Transfert de fichiers

Il est possible de transférer des fichiers via SSH grâce à la commande scp. Pour envoyer un fichier sur le serveur :

marty@client:~$ scp -P 12345 fichier marty@serveur:/dossier/serveur

Pour récupérer un fichier du serveur :

marty@client:~$ scp -P 12345 marty@serveur:/dossier/fichier /dossier/client

Attention, c'est bien un P majuscule !

Le logiciel gftp permet de faire graphiquement la même chose que scp. Il se présente sous la forme de deux fenêtres, une pour le client et une pour le serveur.

Gftp

Faites attention de sélectionner le bon type de fichier (ASCII -- fichier texte simple -- ou Binaire -- le reste) dans le menu « FTP ».

Et les autres OS ?

Le noyau de Mac OS X étant un dérivé de BSD, les lignes de commandes devraient être identiques. Sous Windows, allez voir du côté de PuTTY pour la ligne de commande et WinSCP comme équivalent de gftp.

Billet original de Marty.Votez pour cet article sur le Planet Libre.

Article publié le 07/07/2009

Il est temps à présent de s'attaquer à la partie la plus sensible du sujet : comment partager des données anonymement. Nous verrons ici qu'il est tout à fait possible d'être anonyme grâce à la décentralisation et au chiffrement des données. Les réseaux existants (Bittorrent, eDonkey2000, etc.) n'ayant pas été prévu dans cette optique, il nous faudra en utiliser de nouveaux. Le point fort de certains logiciels présentés est de combiner un réseau existant avec un réseau décentralisé, de sorte que les nouveaux réseaux mis en place ne pêchent pas par leur manque de choix.

Je vous rappelle qu'il est interdit d'utiliser ces logiciels à des fins illégales (piratage, contrefaçon ou toute autre activité étant considérée hors-la-loi par les lois en vigueur dans votre pays de résidence). Vous pouvez toutefois les utiliser pour toutes autres utilisations privées, ou pour télécharger des données libres.

Il faut être un minimum honnête avec les créateurs qu'on apprécie. Si vous aimez un disque, un film ou un jeux, achetez-le, allez aux concerts ou au cinéma. Internet permet un accès à une culture gigantesque, et la moindre des choses est d'encourager ceux qui vous font plaisir. Outre l'honnêteté, ayez à l'esprit que c'est vous seul qui êtes responsable si un artiste arrête de produire car il ne gagne plus assez.

Bittorrent : OneSwarm, un début prometteur

Mis en place en 2002, le protocole de peer-to-peer (P2P) Bittorrent a connu un succès fulgurant, notamment pour les raisons suivantes :

• Vitesses de téléchargement nettement supérieures à celles atteintes par les autres réseaux P2P (quelques explications), notamment grâce à un système de « récompense » (plus on envoie vite, plus reçoit vite) assez agressif.
• Nombre de fakes (fichier dont le contenu ne correspond pas au nom) réduit grâce à la centralisation des liens sur les trackers et l'impossibilité de renommer un fichier partagé.

De nombreuses distributions Linux ont alors pu être distribuées de cette façon. Le protocole étant ouvert, de nombreux logiciels clients sont apparus, les plus célèbre étant µTorrent, Azureus (Vuze) ou Deluge. Une première avancée fut l'arrivée du chiffrement des données : impossible alors pour le FAI de détecter que les données transitant étaient de l'échange de fichier. Restait un problème majeur : la centralisation des adresses IP des utilisateurs sur les trackers. Il suffit de se connecter à ce tracker pour connaître toutes les personnes partageant ce fichier. Qui plus est, de nombreux sites (notamment les trackers privés) gardent des logs assez complets, permettant de déterminer qui a partagé quoi (voir par exemple l'affaire de SnowTiger).

Récemment, OpenBittorrent (ainsi que PublicBT ou encore Torrage), un tracker Bittorrent ouvert à tous, a été lancé. L'idée est tellement simple qu'on se demande pourquoi elle n'a pas été appliquée avant. Habituellement, lorsque vous recherchez un fichier, vous devez naviguer sur le site du tracker (The Pirate Bay, Demonoid, SnowTiger...), voire sur un méta-moteur (Btjunkie, Mininova...). L'inconvénient est que le serveur qui gère les connexions Bittorrent est lié au serveur de recherche de fichiers. Si le serveur de recherche de fichiers tombe sous le coup de la justice, il entraine celui qui gère les connexions et les torrents sont perdus. OpenBittorrent est un tracker public, et ne détient aucune information sur les fichiers dont il se fait le relai. Chacun peut, lorsqu'il crée son torrent, ajouter le tracker OpenBittorrent et utiliser sa bande passante pour les connexions. Juridiquement parlant, il est très difficile de condamner ce tracker car :

• Il ne pourra matériellement pas garder des logs détaillés.
• Il ne pourra effectuer aucune censure ou filtrage vu qu'il ne détiendra aucune information sur les fichiers qui lui sont ajoutés.
• Il n'est lié d'aucune façon avec les personnes qui l'utilisent.

La partie la plus sensible vis-à-vis de la loi, c'est-à-dire l'indexation des fichiers, est donc dissociée de tout serveur gérant les connexions. Si un moteur de recherche de fichiers torrent doit fermer, cela n'aura aucun impact sur la santé du réseau car d'autres moteurs de recherches existent. En théorie, OpenBittorrent serait donc intouchable juridiquement... De plus, le service d'indexation des fichiers n'a aucune information sur les données que vous avez partagées. Un « miroir » de OpenBittorrent a été mis en place, il s'agit de PublicBT.

Plus fort que Openbittorrent, BitTorrent Hydra est un tracker ouvert qui utilise le réseau Tor pour faire transiter les requêtes. Grâce à l'anonymat fournit par Tor, il est impossible de savoir où se situe ce tracker. Attention, cela fournit un anonymat au tracker, pas aux utilisateurs.

Notons aussi l'existence de proxys spécialisés dans le trafic Bittorrent, comme superchargemytorrent. Moyennant quelques euros, le serveur servira de passerelle pour vos téléchargements, chiffrant par la même occasion l'entièreté du flux. Il suffit de configurer le proxy dans les paramètres de votre client Bittorrent.

Lancé récemment, OneSwarm est un logiciel libre basé sur Azureus. Entièrement compatible avec le réseau Bittorrent, il utilise également son propre réseau totalement chiffré et décentralisé. Un fichier téléchargé sur le réseau Bittorrent classique sera automatiquement mis en partage sur le réseau de OneSwarm, de sorte qu'il soit disponible sans passer par le tracker. A l'instar de I2P ou Freenet, chaque utilisateur joue également le rôle de passerelles entre les autres utilisateurs. Il est donc impossible de savoir d'où viennent réellement les données, où elles vont et ce qu'elles sont réellement (car chiffrées de bout-en-bout). L'intérêt majeur de OneSwarm est de pouvoir pratiquer le friend-to-friend (F2F) : on ne se connecte alors qu'à des personnes de confiance, ce qui rend l'utilisateur invisible sur le réseau hors de son cercle d'ami.

OneSwarm est encore un peu jeune et n'est pas exempt de bugs. Cependant, il est activement développé ce qui augure de très bonnes choses pour la suite

Installation et configuration

Note du 10 mars 2010 : depuis la rédaction de cet article, le logiciel a fortement évolué. Référez-vous au site officiel pour plus de détails.

OneSwarm est open-source et disponible pour Windows, Linux et Mac OS (Java est requis). Après installation (une simple décompression du fichier compressé sous Linux), lancez l'exécutable et vous verrez apparaître l'interface dans votre navigateur Web. A ce sujet, il semble que ça ne fonctionne pas trop avec Internet Explorer, à vérifier. En l'état, il n'est possible que d'utiliser le réseau Bittorrent classique. Vous pourrez ajouter des fichiers .torrent comme vous le faisiez avec d'autres logiciels.

Pour utiliser le réseau chiffré anonyme, il vous faudra ajouter des amis dans votre liste. Si vous n'avez pas d'amis, cliquez sur Add Friend et choisissez l'option « Subscribe to a friend feed from a community server ». Configurez comme sur la figure ci-dessous, et des amis vous seront ajoutés automatiquement. Cette liste sera régulièrement mise-à-jour, et vous pourrez à tout moment ajouter d'autres serveurs. Vous noterez que lors de l'ajout d'amis, l'option « Limited » est cochée par défaut. En fait, un ami ajouté avec cette option ne pourra pas voir votre liste de fichiers. C'est donc fondamental pour la sécurité d'enlever ce statut limité aux personnes de confiance uniquement.

OneSwarm - Ajout d'amis

OneSwarm - Configuration d'un community server

Vous pouvez également ajouter ajouter un ami manuellement, grâce à l'option « Add friends manually using public keys ». OneSwarm fonctionne sur le principe de chiffrement asymétrique. Vous échangez votre clé publique avec celle de votre ami, et le tour est joué.

OneSwarm - Ajout manuel d'amis

Il est tout de même conseillé d'avoir quelques amis pouvant accéder à vos données, de manière à ce que vos fichiers puissent également être partagés. OneSwarm gère également les groupes d'amis via « More actions → Manage visibility ». Vous pourrez alors partager certains fichiers avec un groupe en particulier uniquement.

Après avoir ajouté des amis, il vous suffit de faire une recherche dans le champ dédié. Le choix est encore un peu maigre, mais les dernières nouveautés arrivent assez vite compte tenu de l'utilisation parallèle du réseau Bittorrent.

eMule : utilisation de I2P avec iMule

Apparu en 2000, le réseau eDonkey2000 (sur lequel se base eMule) est un réseau encore largement utilisé pour le partage de fichiers. Son succès est dû principalement au grand choix de fichiers disponibles. En effet, contrairement au réseau Bittorrent centré sur le partage d'un nombre limité de fichiers, le réseau eDonkey2000 permet :

• Le partage d'une grande quantité de fichiers, avec un système poussé de gestion de file d'attente.
• Une vitesse moindre. Si cela semble être un handicap, en pratique l'utilisateur laissera un fichier plus longtemps en partage.
• Une décentralisation des données, car les utilisateurs n'ont pas besoin de se connecter à un tracker unique pour être mis en relation. Cependant, on trouve plus facilement des fakes, car il suffit de renommer un fichier.
• Un outil de recherche intégré au logiciel

Le plus célèbre des logiciels supportant le protocole eDonkey2000, eMule, propose deux réseaux pouvant fonctionner de manière indépendante ou en parallèle. Tout d'abord le réseau eDonkey2000 classique, pour lequel des serveurs permettent de mettre en relation les utilisateurs et centraliser la liste des fichiers partagés par toutes les personnes connectées. Ensuite le réseau Kademlia, où les serveurs sont inutiles car les utilisateurs font également office de « mini-serveurs » pour mettre en relation les utilisateurs connus.

eMule étant un logiciel libre, de nombreux MOD sont apparus (versions d'eMule modifiées apportant certaines options). Parmi eux, aMule a été porté sous Linux, puis a servi d'inspiration pour iMule. iMule utilise un troisième réseau pour partager les fichiers : le réseau I2P. Tout comme pour Kademlia, les utilisateurs servent de relai pour mettre en relation les utilisateurs, mais ils servent également de relai pour faire transiter les données d'une personne à l'autre (comme OneSwarm). Cependant, il semble qu'il ne soit pas possible (pour le moment) d'utiliser iMule comme un client eMule classique, en parallèle de son utilisation sur le réseau I2P.

Je n'ai, à ce jour, pas encore testé iMule (il vous faut une distribution récente ou Windows, ce que je n'ai pas). Le site du créateur est assez lent, et il n'est pas rare qu'il soit injoignable. Parcourez le forum de I2P, vous y trouverez surement un sujet parlant de la dernière version en date et des liens pour la télécharger.

Direct Download, ou DDL (RapidShare, MegaUpload...) : toujours tranquille ?

Apparus récemment, les sites de partage de fichiers volumineux ont rapidement été détournés pour le partage illégal de fichiers. En effet, contre quelques euros par mois, ces sites proposent une vitesse de téléchargement inégalable en P2P, tout en assurant l'anonymat des utilisateurs. Cependant, il persiste plusieurs inconvénients :

• Le prix de l'abonnement : même faible, il n'est pas nul. De plus, il faudra faire un choix parmi les nombreux sites existants, et les limitations sont excessives si on n'est pas abonné.
• Trouver un fichier en particulier n'est pas toujours chose facile, car il existe de nombreuses « boards » (sites où sont centralisés les liens).
• Sur plainte d'un éditeur, un fichier sera purement et simplement supprimé des serveurs, et il faudra attendre que quelqu'un veuille bien le remettre.
• La centralisation des informations : pour trouver un fichier, on devra d'abord s'inscrire sur une board pour avoir accès à la liste des fichiers proposés (les IP sont très souvent enregistrées). Ensuite, payer l'abonnement au site de partage pour télécharger dans de bonnes conditions (utilisation d'une carte de crédit → très facile de retrouver son propriétaire). Si pour l'instant, ces sites promettent de ne pas stocker les logs permettant de savoir qui a téléchargé quoi, qui sait ce qui se passera dans le futur.

Pour celui qui en a les moyens, RapidShare et ses équivalents sont très pratiques une fois que les boards intéressantes ont été trouvées. Malheureusement, ceci implique de laisser de nombreuses traces de son passage, et rien ne dit qu'à l'avenir les utilisateurs ne soient pas inquiétés. N'oublions pas qu'aucun de ces services n'est hébergé dans un pays laxiste en matière de piratage (RapidShare est basé en Allemagne, MegaUpload aux USA...), donc un minimum de collaboration des forces de police pourrait faire mal.

L'ancêtre : Usenet

Usenet est l'ancêtre de nos forums, et est apparu en 1979, soit bien avant le World Wide Web. Il est articulé autour du principe de « groupes de discussions » (ou newsgroups) : un groupe de discussion est un groupe rassemblant les articles d'un sujet précis, ces articles étant stockés sur des serveurs communicant ensemble. S'il est possible de déposer des articles sur ces serveurs, ils est également possible d'y déposer des fichiers. Moins populaire que les logiciels de P2P, cette méthode est toujours utilisée par quelques irréductibles qui apprécient les vitesses de téléchargement élevées et l'anonymat relatif.

Cependant, qui dit serveur centralisant les fichiers, dit service payant. Pour avoir accès à ces newsgroups, il faudra s'abonner chez un fournisseur proposant plusieurs offres dont le prix varie en fonction du volume de transfert alloué. Notons que certains FAI, comme Free, proposent un service de newsgroup inclus dans l'abonnement.

Installation et configuration

Après avoir pris un abonnement chez un fournisseur (par exemple Giganews), vous devrez choisir parmi les nombreux newsreader. Choisissez-en un qui gère facilement les fichiers, car ce n'est pas le cas de tous (rappelons qu'à la base, Usenet est fait pour l'échange d'articles, pas le téléchargement de fichiers). Parmi ceux qui reviennent souvent, GrabIt sous Windows et Pan sous Linux. La configuration du logiciel varie de l'un à l'autre, mais reste assez facile : vous aurez besoin de l'adresse du serveur du fournisseur, du port, de votre nom d'utilisateur et mot de passe. Ensuite, partez à la recherche des fichiers NZB (ce sont les fichiers rassemblant les informations qui permettent de télécharger les différentes parties du fichier désiré) sur les moteurs de recherches comme Binsearch, Newzleech ou MegaNZB. Une fois sauvé, ouvrez le NZB avec votre logiciel, et le tour est joué.

Un VPN pour cacher son IP

Déjà présenté dans un précédent article, l'utilisation d'un VPN vous permettra de masquer votre adresse IP, que ce soit lors de l'utilisation du P2P ou du direct download, tout en conservant une vitesse de téléchargement correcte. Outre le fait qu'il faille faire confiance aux propriétaires de ce VPN concernant les données et logs conservés, le paiement de ce service entrainera irrémédiablement des traces de votre passage.

Les réseaux alternatifs

En marge des réseaux de P2P les plus connus que sont Bittorrent et eDonkey2000, de nombreux réseaux parallèles ont vu le jour. Historiquement pionnier dans le domaine, GNUnet est un logiciel de P2P conçu pour résister à la censure : chiffrement bout-à-bout, décentralisation des données, utilisateurs servant de relais pour brouiller les pistes, friend-to-friend, etc. Toutes ces recettes ont été reprises dans OneSwarm, ou dans d'autres logiciels comme Ants P2P ou MUTE.

Malgré la grande qualité des idées fondamentales de ces projets, ces réseaux pêchent par le manque de choix, et par un développement nettement moins actif que OneSwarm. La dernière version de Ants P2P date de 2007, celle de MUTE de 2008, et aucun développement ne semble être prévu. Le développement de GNUnet est plus actif, mais mon dernier essai s'est soldé par un échec car le logicel ne semblait pas très stable.

Les solutions hybrides

Et si nous pouvions combiner les avantages du P2P (décentralisation, recherche aisée, choix) avec ceux du téléchargement direct (rapidité et anonymat) ? Séduisant n'est-ce pas ? C'est ce que proposent des proxys Bittorrent comme Furk, Torrent Relay ou même ImageShack (ce dernier nécessite une inscription pour voir apparaitre l'option). Le proxy se charge de télécharger le fichier à votre place, et quand cela est fait il ne vous reste plus qu'à le récupérer comme un téléchargement classique. Les connexions sont évidemment sécurisées, les taux de téléchargement très bons et vous évitez les éventuels filtrage par votre FAI. Notons que Furk garde sur ses serveurs les fichiers déjà téléchargés par d'autres utilisateurs, et vous y donne accès gratuitement (avec des restrictions sur la vitesse, cependant). Tout cela est bien évidemment payant, avec les risques que cela comporte.

Je ne suis cependant sceptique quant à la légalité de la chose... Si les sites habituels de DDL comme RapidShare peuvent avoir un fond de commerce tout à fait légal, ces sites ne sont là principalement que pour faciliter le téléchargement d'Å“uvre protégées. Ce n'est d'ailleurs pas pour rien qu'il sont situés au Canada ou aux Pays-Bas, pays plus laxistes en la matière. J'ai donc de gros doutes sur leur pérennité.

Conclusion : peer-to-peer ou direct download, que choisir ?

Impossible de donner une réponse précise, car comme nous l'avons vu chaque méthode a ses avantages et ses inconvénients. Tentons de faire un petit récapitulatif...

Les avantages du peer-to-peer :

• Une décentralisation des données, rendant difficile l'élimination des fichiers mis en partage.
• Une visibilité temporaire : dès qu'on ne partage plus le fichier, on disparait de la liste des utilisateurs (mais gare aux trackers privés Bittorrent gardant des logs détaillés). Cependant, il faut tempérer cette « visibilité » : si toutes les personnes téléchargeant un fichier peuvent connaitre votre adresse IP, il leur faudra intenter une action en justice pour mettre un nom dessus. Notons que grâce aux nouveaux réseaux, cette visibilité devient quasi nulle.
• Une notion de partage et de communauté plus forte : l'utilisateur n'est pas un simple consommateur, il peut partager avec les autres membres ce qu'il apprécie.
• Un service gratuit.

Les inconvénients du peer-to-peer :

• L'introduction de fakes est plus ou moins aisée (très facile dans le cas d'eMule, plus difficile dans le cas de Bittorrent).
• Une vitesse pas toujours au rendez-vous.
• Les risques juridiques plus élevés : en mettant à disposition des autres utilisateurs du contenu non-libre de droit, des sanctions supplémentaires sont à craindre. On est largement hors du cadre de la « copie privée ». Notons que les condamnations ont toujours été faites sur base de la mise à disposition illégale de contenu.

Les avantages du direct download :

• Une vitesse maximale.
• Un anonymat relatif : seuls les responsables du site ou newsgroup sur lequel vous téléchargez savent ce que vous faites.
• Très peu de fakes, car les liens sont référencés sur des boards où les participants n'ont aucun intérêt à donner de faux liens aux autres, sous peine d'être rapidement éjectés.
• Les risques juridiques moindres car vous n'avez pas mis en partage vos données.

Les inconvénients du direct download :

• Un service payant.
• Des traces nombreuses, au risque qu'elles soient permanentes, rendant votre identification facile et la liste de vos actions aisément consultable.
• Un contenu susceptible de disparaitre des serveurs en cas de plainte de l'ayant-droit.

Pour le moment, les solutions payantes semblent les plus sures d'un point de vue juridique : ne partageant rien vous-même, vous risquez moins que si vous mettez à disposition des données. Cependant, ces solutions sont aussi les plus jeunes, contrairement aux utilisateurs des réseaux P2P qui ont déjà subi plusieurs attaques des ayants-droits (voir par exemple le jugement de cette américaine). Rien ne dit que la facilité avec laquelle vos téléchargements peuvent être listés ne se retournera pas contre vous un jour ou l'autre...

Billet original de Marty.Votez pour cet article sur le Planet Libre.

Google est vraiment partout ! Le géant du web et Intel se sont associés avec Sony pour développer une plate-forme appelée Google TV qui va permettre l’intégration du Web dans le salon grâce à une nouvelle génération de téléviseurs.

Le principe, l’idée de base serait de ne pas intégrer idiotement un navigateur internet sur votre téléviseur mais plutôt une version adaptée à une navigation simplifiée. L’utilisation d’un système de widgets serait plus que probable.

Logitech serait également de la partie pour la fabrication d’une télécommande adaptée.

Pour Google, c’est une occasion de plus de promouvoir sa plateforme Android déjà disponible sur mobile et tablette. C’est également une solution pour étendre sa plateforme Google TV Ads déjà présente sur une poignée de satellites.

Le projet est en cours depuis plusieurs mois mais pour le moment, les porte-paroles de Google, Intel et Logitech ont refusés tous commentaires. On aura droit comme d’habitude à beaucoup de rumeurs sur le web.

La web-TV est un marché immergeant sur lequel Apple et Microsoft ont déjà fait leurs marques. Connaissant Google et Intel, on peut imaginer que la plateforme ne se limitera pas aux seuls TV Sony, sauf si finalement, ce projet ne devient qu’un gadget de plus.

via nytimes

A suivre sur La Google-TV

Des chercheurs de l’université de Californie ont réussi à placer un objet visible à l’œil nu dans un état de superposition quantique. Une première qui permet de mieux comprendre les principes de la mécanique quantique.

Ce mercredi, la ministre du Développement durable, de l'Environnement et des Parcs du Québec, Line Beauchamp, a déposé à l'Assemblée nationale un texte réglementaire en vue de transférer la totalité des coûts de la collecte sélective aux industriels...

“Quand je signais mes mails avec mon identifiant et mon mot de passe, ce n’était pas seulement de la provocation : ma sécurité est basée sur le fait que je sauvegarde mes données, pas sur un secret qui risquerait – si je le croyais protégé – de m’être préjudiciable.”
– Laurent Chemla

Pionnier de l’internet et auteur des “Confessions d’un voleur“, livre incontournable (et téléchargeable gratuitement) pour qui veut comprendre les valeurs (et l’histoire) de l’internet tel qu’il s’est développé dans les années 90, Laurent Chemla a une conception somme toute particulière de la vie privée.

A l’instar de tous les professionnels de la sécurité informatique, il sait que la première chose à faire, pour se protéger, est de sauvegarder régulièrement ses données, sur un support externe, que c’est le meilleur moyen de résister, et survivre, à un plantage, un piratage, une saisie ou le crash d’un ordinateur : ce qui a -souvent- le plus de valeur, ce n’est pas le matériel, mais les données qui y sont stockées.

Les professionnels de la sécurité savent également qu’il se trouvera toujours quelqu’un de plus compétent qu’eux, disposant de plus de moyens ou de temps, et qu’aucun système n’est sécurisable à 100%. On sait, d’autre part, que la sécurité des logiciels libres -dont le code source est librement consultable- est a priori plus fiable que celle des logiciels propriétaires, dont le code est un “secret“.

D’une part, parce que personne ne peut vérifier que ne s’y trouve en fait une faille de sécurité, voire une porte dérobée ou un cheval de Troie. D’autre part, parce qu’on ne peut pas faire confiance à quelque chose de “secret” : un secret peut être découvert, extorqué, contourné, et somme toute préjudiciable, comme le résumait Laurent Chemla, “parce qu’alors je ferais confiance à ce mot de passe et que j’agirais donc comme s’il était impossible à craquer, ce qui serait toujours faux“.

A rebours de la sécurité par l’obscurité, qui postule que le système est d’autant plus sécurisé que l’attaquant ne connaît pas dans le détail le fonctionnement du système, le principe de Kerckhoffs prône ainsi, et a contrario, la transparence, au motif que seule la clé doit rester secrète, et que la serrure sera d’autant plus sécurisée que son mécanisme peut être vérifier, et valider, par les pairs.

S’inspirant des postures de John Brunner qui, dans Sur l’onde de choc, livre “pré-cyber-punk” publié en 1974, prophétisait que la liberté passerait par le fait que tout sur tout soit rendu public, et de Bill Thompson, éditorialiste à la BBC qui en appelle à un “nouveau Siècle des Lumières” basé sur la libre circulation et le partage des données, Laurent Chemla estime même que “le meilleur moyen de protéger l’individu, c’est que tout soit public” :

“Il faut en finir avec la notion de vie privée. Il faut en finir avec la notion d’information confidentielle ou secrète. L’information veut être libre, et elle le sera.”

D’une part, parce que cela permettrait de déborder ceux qui font profession de nous surveiller de torrents de données quasi impossible à endiguer, ce que l’on a vu, par exemple, avec les attentats du 11 septembre 2001, qui auraient peut-être pu être évités si seulement les services de renseignement américain avaient réussi à analyser correctement les données qui, pourtant, étaient à leur disposition.

Mais, et surtout, cela aurait également pour effet que “les surveillants seraient eux aussi surveillés, ce qui détruit tout le modèle économique des sociétés qui font leur beurre des données personnelles qu’elles “possèdent”. Tous les pouvoirs basés sur le secret ou la détention d’information confidentielle seraient réduits à néant. Mais est-ce si grave ? Et quels sont-ils, ces pouvoirs, en fait ?” :

“Aucun régime totalitaire ne survivrait dans une transparence totale. Pas de corruption possible, pas de secret défense, pas de mot de passe. Au final, seuls ceux qui voudront exercer un quelconque pouvoir (politique, médiatique…) seraient surveillés par tous.

Tout le monde saurait que je couche avec la femme du voisin ? La société n’a qu’à s’adapter à ce fait nouveau et au final ça n’intéresserait plus personne (à part le voisin) passé l’attrait de la nouveauté. Parce que ça ne servirait à rien de vouloir découvrir ce que ne cache pas son voisin.”

La vie privée des uns commence là où elle confirme celle des autres

A contrario, Lawrence Lessig, fondateur du Centre pour l’internet et la société à l’école de droit de Stanford, et grand défenseur des libertés sur le Net, estime pour sa part que le rêve d’une société transparente est aussi celui d’une société totalitaire, et que la transparence fragilise plus la démocratie qu’elle ne la renforce :

“Comment pourrait-on être contre la transparence ? Ses vertus et son utilité publique semblent si évidentes. Pourtant, je m’inquiète de plus en plus d’une erreur au fondement même de cette bonté incontestée. Nous ne sommes pas suffisamment critiques sur où et comment la transparence fonctionne, ni sur les risques de confusion, voire pire, qu’elle entraîne.

Je crains que le succès inévitable de ce mouvement – s’il est mené seul, sans aucune sensibilité à la complexité de l’idée d’une disponibilité parfaite de l’information – ne finisse par inspirer, non des réformes, mais le dégoût. Le “mouvement de la transparence nue”, comme je l’appelle, n’inspire pas le changement. Il va tout simplement faire disparaître toute confiance dans notre système politique.”

Dans la philosophie des Lumières, “la liberté des uns s’arrête là où commence celle des autres“. Ce qui, reformulé positivement, peut également s’entendre comme “la liberté des uns commence là où elle confirme celle des autres“. Se pourrait-il que, de même, “la vie privée des uns commence là où elle confirme celle des autres” ?

Ainsi, si Jeff Jarvis a fait le choix de révéler son cancer de la prostate, estimant qu’il avait plus à y gagner qu’à y perdre, il n’en a pas moins mis des limites à l’exposition de sa vie privée, et il ne parle pas, par exemple, de sa sexualité : sa femme pourrait ne pas apprécier.

Si la vie privée se définit par le contrôle que l’on a sur ses données personnelles, et l’exposition (ou non) de son intimité, pour lui, il s’agit aussi, d’abord et avant tout, de ne pas non plus révéler d’informations attentatoires à la vie privée de quelqu’un d’autre.

Cette limite vaut non seulement pour ceux qui décident de rendre publique une partie de leur vie privée, mais également pour ceux qui en prennent connaissance. Ainsi, une chose est de mettre en ligne, pour ses “amis“, des photos de soi dans une posture qui pourrait potentiellement déplaire à sa maman, une autre est de se la voir reprocher par son employeur… Néanmoins, il y a fort à parier que cette situation tende à se banaliser.

La vie privée n’est pas morte

A la toute récente conférence SXSW, la sociologue et ethnographe du numérique danah boyd rappelle ainsi que “ce n’est pas parce que quelque chose est “public” que l’on a pour autant envie que d’autres le rendent encore plus “public” :

“Il existe une grosse différence entre quelque chose qui peut être publiquement accessible et quelque chose qui fait l’objet d’une publicité. Faire de la publicité à quelque chose qui, certes public, n’était guère visible peut s’apparenter à une violation de la vie privée.

Il est facile de penser que “public” et “privé” sont deux choses binaires et bien séparées. Certaines estiment que tout ce qui n’est pas “public” est “privé”. Mais cette opposition ne suffit pas à comprendre ce que nous entendons par “vie privée”.

Lorsque l’on s’exprime dans un hall, ou un bar, on s’exprime en public, mais on attend des autres personnes présentes qu’elles ne s’immiscent pas dans la conversation. Dès lors, on peut parler, en privé, dans un espace public.

Les murs ont peut-être des oreilles, mais c’est tout de même très rare. A contrario, dans les espaces et salons virtuels, les murs ont toujours des oreilles, mais également des micros. Et ce que l’on y a partagé, raconté, est indexé, archivé, répliqué, et peut même parfois être retrouvé via des moteurs de recherche…”

danah boyd prend également grand soin de rappeler que tout le monde n’a pas forcément, ni vocation, ni intérêt, ni facilité particulière, à aborder sereinement le fait de devenir une personnalité publique : certains ne savent pas forcément s’exprimer facilement en public, d’autres préfèrent rester cachées ou anonymes (de peur de leur ex-mari, agresseur, etc.).

D’autres, enfin, du fait même de leur statut de personnalité publique “IRL” (in real life), peuvent paradoxalement être incités à ne pas avoir de vie publique sur le Net, ou alors sous un autre nom. Quid, par exemple, des enseignants ? Peuvent-ils risquer d’évoquer sur le Net leur “vie privée“, croyances politiques ou religieuses, vacances ? Quid de leurs blogs, MySpace, ou Facebook ? Jusqu’où peuvent-ils ne pas être “que” les professeurs de vos enfants ?

“D’autres nouveaux outils vont venir compliquer les frontières de ce qui est public et de ce qui est privé, de ce que nous avons à y perdre ou à y gagner, rappelle danah boyd. La vie privée, pas plus que la vie publique, n’est en passe de disparaître, mais la technologie va continuer à en brouiller les cartes :

“Le désir de vie privée n’a rien à voir avec le fait que nous aurions des choses à cacher, mais avec le fait que nous voulons garder le contrôle de nos données. Souvent, la vie privée n’a rien à voir avec le fait de se cacher, mais, au contraire, de créer des espaces où nous pouvons nous libérer, où exercer nos libertés. Et chercher à avoir encore plus de vie publique ne signifie aucunement renoncer à contrôler sa vie privée.

Quel que soit le nombre de fois où vous entendrez un dirigeant, mâle, blanc et hétérosexuel d’une entreprise technologique pronostiquer la mort de la vie privée, rappelez-vous que “Privacy Is Not Dead” (la vie privée n’est pas morte). La vie privée, c’est le fait de pouvoir contrôler comment l’information circule, et comprendre les paramètres sociaux de sorte à pouvoir se comporter de manière appropriée.”

Une ère de la transparence, du pardon et de la résilience

Amy Bruckman, qui étudie l’influence des réseaux sociaux sur l’éducation, estime que la façon décomplexée qu’ont les jeunes de s’exposer en ligne, d’en rire ou de s’en moquer, ne peut finalement qu’inciter les citoyens à plus de tolérance, d’incompréhension et, in fine, de respect du “droit à l’oubli“… sauf à imaginer que la quasi-totalité des “natifs du numérique” puisse être de facto écartée des postes de pouvoirs, en attendant que la génération d’après ait appris à écarter tout risque d’être ainsi ridiculisé. Une perspective peu probable tout de même…

Cette alternative a le mérite de poser les termes du débat : il nous revient, collectivement, de décider si nous voulons aller vers plus de tolérance, vers une société de sousveillance décomplexée où tout le monde a le droit d’observer tout le monde (dans le respect de ce que l’on a décidé de rendre public, ou pas), ou bien si nous voulons d’un monde encore plus sécuritaire, coincé, une société de surveillance et de suspicion qui ne connaîtrait pas le pardon, et qui opposerait ceux qui auraient le droit nous surveiller, et de nous sanctionner, et ceux qui n’auraient que le droit de se taire.

En tout état de cause, et dans la mesure où les données seront de plus en plus nombreuses, et facilement accessibles, dans la mesure où nous serons, dans le même temps, de plus en plus interconnectés, il sera probablement de plus en plus facile de retrouver la trace de certaines de nos erreurs (de jeunesse, ou pas), même si celles-ci sont ensevelies sous des volumes toujours plus grands de données.

Reste que, et c’est probablement plus important, l’internet est un espace public, un vecteur de socialisation, et nous n’y faisons pas tant d’erreurs que cela, d’autant que celles des autres nous servent aussi d’exemples à ne pas suivre.

Sans forcément connaître la nétiquette, qui définit les règles du savoir-vivre sur l’internet, tout internaute apprend ainsi rapidement qu’IL NE SERT À RIEN DE CRIER SUR LES GENS en leur écrivant en majuscule, et qu’il est généralement contre-productif de s’énerver (sauf à vouloir gagner un point Godwin), que les insultes ou les menaces peuvent vite vous êtes reprochés, etc.

Si les moteurs de recherche n’oublient rien, les êtres humains, si, ne serait-ce que parce qu’ils apprennent à faire avec. Citant David Weinberger, Jeff Jarvis estime ainsi qu’”une ère de la transparence doit aussi être une ère du pardon“. Encore faudrait-il peut-être plutôt parler, en l’espèce, de résilience, à savoir la capacité qu’ont les êtres humains de faire face à un choc, d’y résister, et d’apprendre à vivre avec.

Doux rêve, utopique voire fleur bleue ? Pas forcément, dès lors que l’on estime que ce ne sont pas les ordinateurs, non plus que des tiers ordonnateurs, qui doivent contrôler les êtres humains, mais que c’est bien aux citoyens d’être maîtres de leurs données, et destins.

Quand les utilisateurs réclament le contraire de ce que prévoit la loi pour les protéger

Aux Etats-Unis, certains “libertariens“, hostiles par principe à toute forme de régulation par l’Etat, qualifient ainsi de “paternalisme de la vie privée” la propension qu’ont certains à considérer que les utilisateurs seraient trop bêtes, ou moutons, pour parvenir à protéger tout seuls leur vie privée sur l’internet, et qu’il faudrait le faire à leur place. De fait, le débat tourne généralement autour de trois propositions :

• protéger les gens par la loi, et l’imposer aux prestataires, comme aux utilisateurs, ce que fait déjà la CNIL, par exemple,
• donner aux gens la possibilité de “paramétrer” les “préférences” des logiciels et services web qu’ils utilisent, ce que font les “services du web 2.0,
• faire pression, en tant que consommateurs, pour que les éditeurs ne nous mettent pas “à poil sur le Net” à l’insu de notre plein gré, ce que font les utilisateurs avertis de ces questions.

De récents travaux de recherche révèlent une quatrième voie, en s’intéressant à la façon qu’ont les internautes, non pas tant de parler de ce qu’ils entendent par “vie privée” (ce qui renvoie, forcément, au “paradoxe de la vie privée“), mais aux moult manières qu’ils ont, concrètement, de la protéger.

En l’espèce, on découvre que le problème relève moins de la notion de “vie privée” que de celle de dignité, et que la solution a moins trait aux “cases à cocher“, non plus qu’aux interdits érigés par la loi, qu’aux nouvelles formes de socialisation et de rapports humains que génèrent l’internet.

C’est en tout cas la thèse de deux professeurs de droit, Avner Levin, du Privacy & Cyber Crime Institute, et Patricia Sánchez Abril, de la School of Business Administration de Miami, dans un article intitulé “Two Notions of Privacy Online” (deux notions de la vie privée en ligne).

Après avoir interrogé 2500 utilisateurs des réseaux sociaux de 18 à 24 ans sur leurs perceptions et pratiques de la vie privée en ligne, ils en sont arrivés à la conclusion que la perception que l’on se fait d’ordinaire de la vie privée est erronée, et que ni la législation, ni les mesures d’autorégulation, non plus que les conditions générales d’utilisation ou les chartes de protection de la vie privée des réseaux (ou silos) sociaux, ne répondent à leurs attentes, en tant qu’utilisateurs, non plus qu’à leurs pratiques, en tant qu’internautes.

Alors que l’objet même des réseaux sociaux est de faciliter les interactions sociales, le “contrôle” des informations qui y sont stockées, et donc de sa vie privée, n’y sont généralement perçue que sous le seul angle des données sensibles qu’il conviendrait de sécuriser.

Or, les utilisateurs ne sont pas des administrations, non plus que des entreprises privées. Et si l’on attend effectivement des responsables des fichiers clients, sociaux ou policiers que les données qu’ils contrôlent ne soient pas interconnectées, ou utilisées en-dehors du cadre de ce pour quoi elles ont été collectées, a contrario, nos données n’acquièrent jamais autant de valeur, dans les réseaux sociaux, que lorsqu’elles génèrent du lien social, et des interactions…

Comme le résument les deux chercheurs, “les individus qui se socialisent en ligne attendent de leurs réseaux qu’ils améliorent et non qu’ils entravent leur vie sociale“. Dit autrement : leur présence, sur ces réseaux, a d’autant plus de valeur que les données qu’ils y publient sont lues, commentées et partagées par d’autres utilisateurs. Manière, non seulement de renforcer les liens avec leur communauté, mais également d’entrer en contact et de partager des informations avec de nouveaux “amis” potentiels.

Or, l’approche juridique de la protection de la vie privée va précisément à l’encontre de l’interconnexion et du croisement des fichiers… On est au coeur du “paradoxe de la vie privée“.

La vie privée ne se résume pas à des cases à cocher

Les “paramètres” et “préférences“, en terme de confidentialité, sont-ils à même de répondre positivement à ce paradoxe ? On peut en douter.

Facebook proposait ainsi, jusqu’à ce que, en décembre 2009, ce réseau social modifie son approche de la “privacy“, 7 façons de contrôler “qui peut vous trouver dans une recherche, ce qu’ils peuvent voir et comment ils peuvent vous contacter“, 10 façons de contrôler la rediffusion de ce que vous publiez sur les murs de vos amis, 16 façons de contrôler qui peut voir les informations de sa page de profil, et 22 façons de contrôler ce que les autres utilisateurs peuvent voir via les applications ayant accès à votre profil... soit quelque 55 cases à cocher ou menus déroulants censés nous aider à protéger notre vie privée...

Depuis, Facebook propose 12 menus déroulants permettant de définir qui peut accéder à son “profil” (”Tout le monde / Amis et leurs amis : Amis uniquement / Personnaliser” -s’ensuit un long menu déroulant permettant d’inclure ou d’exclure tels ou tels de ses “amis“), et les différentes pages qui le composent :

. A propos de moi
. Informations personnelles
. Date de naissance
. Opinions politiques et religieuses
. Famille et relations (situation amoureuse, sexe qui vous intéresse et relations que vous recherchez)
. Formation et emploi
. Photos et vidéos dans lesquelles vous avez été identifié(e)
. Albums photos
. Mes publications
. Autoriser mes amis à publier sur mon mur
. Publications de mes amis
. Commentaires sur les publications

Histoire de parfaire le tableau, rajoutons-y 9 façons de paramétrer la confidentialité de ses coordonnées (”Pseudonyme de messagerie(...)

L'association Carrefour Culturel Arnaud Bernard réorganise cette année le Forom des Langues du Monde le 13 Juin 2010. En ouverture de cette manifestation aura lieu le 12 Juin 2010 : LA CAPITADA.

Communiqué de presse

FOROM DES LANGUES DU MONDE 2010
Place du Capitole
19 ème édition du Forom des langues du monde.

En ouverture, le samedi 12 juin de 17h à 25h (la veille du Forom des Langues) aura lieu : la CAPITADA
C'est dans le cadre du Forom des Langues du Monde que s'installeront sur la place des conteurs, des chanteurs, des musiciens de toutes les communautés linguistico-culturelles de Toulouse (180 recensées), des débatteurs, des poètes, des slammeurs, des tençonneurs, des magiciens, des conférenciers, des gens qui veulent s'exprimer d'une façon ou d'une autre (Hyde Park, Agora socratique...) et toujours dans une philosophie toulousaine et occitane de l'égalité culturelle de toutes les langues du monde.

Le Dimanche 13 juin de 10h à 19h :
LE FOROM DES LANGUES DU MONDE

Le forom est une journée durant laquelle de nombreuses langues parlées à Toulouse seront exposées sur les stands des associations. A partir de 10h se succéderont des performances artistiques et culturelles des divers représentants des langues/cultures toulousaines, gratuitement et en plein air (avec plus de 90 associations présentes).

DÉBATS (en cours d'élaboration)
A partir de 15h, se tiendront les débats qui ont pour thème les rapports entre langage, pensée-discours et société. De nombreux intervenants (historiens, linguistes, poètes, élus, hauts fonctionnaires en charge des questions culturelles) seront présents pour discuter des propositions élaborées dans le cadre du Forom des langues : proposition pour une Déclaration Universelle des Devoirs envers les Langues et le Langage (écrit et présenté par Henri Meschonnic en 2001) et proposition de Nationalisation des Langues et Cultures de France (présentée par Claude Sicre en 2007).

Le principe de ce forom a été repris par 17 autres villes en France (Pamiers, Nantes, Brest, Nice, Strasbourg, Perpignan, Montauban, Decazeville, Bordeaux, Avignon, Castanet Tolosan, Lyon- Villeurbanne, Bayonne, Le Bugue, Sceaux, Lille,) et à l'étranger (Hanovre, Leewarden, Copenhague, Liège). -//- agenda Manifestation culturelle - Toulouse, Haute-Garonne (31) - le 12-06-2010 -//-

Les fameux Bundle de chez Weecast sont de retour. Pour celles et ceux qui n'en connaitraient pas encore le principe, il s'agit de packs de tutos proposés à un prix très très intéressant. Petite... [[ This is a content summary only. Visit my website for full links, other content, and more! ]]