Triste 1er mai

En 2016, en pleine lutte contre les lois El Khomri, mais aussi aux portes de la marentalité, c’était au-delà du cortège officiel que j’avais participé.
Le climat se tendait déjà, avec cette politique du contact du côté des C.R.S., les nasses étaient devenues un dogme du contrôle des manifestations.
Mais j’avais pu en sortir, ne voulant pas prendre le risque de louper l’accouchement s’il arrivait plus vite, et cela avait été possible.

En 2018, c’était en famille, toujours au-delà de ce cortège officiel, précédé de son non moins officiel cortège officieux.
Cortège officieux et décris comme « black-block », plein de musique, de familles, de radicaux joyeux et, en tête, d’authentiques militants « black-block » dont les médias ne retiendront que la détérioration d’un MacDo.
Et entre des personnes blessées et du matériel cassé, je pense que le premier mérite a priori plus de considération car on ne répare pas un mur comme une jambe ou un visage.
C’était le vent charriant les litres d’air pollués par les lacrymo que nous avions cherché refuge dans la gare d’Austerlitz, loin pourtant du point chaud, avec notre enfant qui su déjà dire que ses yeux le piquait.

Cette année, en 2019, alors que nous arrivions à Montparnasse, la station de métro même était déjà polluée par la lacrymo.
Pose en urgence des lunettes de soleil sur le petit visage de notre enfant, doudou en filtre de fortune et marche forcée pour ressortir à l’opposé et tenter de rejoindre la manifestation.
Il nous aura fallu aussi laisser glisser ces milles bienveillantes, mais ô combien vexantes, remarques sur le risque que nous faisions porter à notre enfant.
Mais le problème n’est pas chez nous, il l’est en face, dans ces gouvernement qui transforment une célébration de droits durement acquis par nos prédécesseurs en une occasion de prouver l’incurie de son peuple.
Nous n’aurons pas pu parcourir plus de quelques centaines de mètres car la foule était compacte, les chars syndicaux n’avançaient pas, indice de blocage en aval, et les rues latérales étaient bloquées par des cordons compacts de casqués.
Heureusement, l’un de ces cordons s’ouvrira pour nous laisser partir mais nous n’aurons pas danser beaucoup cette année au son des batucada.

C’est pour moi le 1er mai le plus triste depuis longtemps.
Une bonne journée pourtant mais sans la liesse qui aurait du l’accompagner.

Et en écrivant ce texte, le refus intérieur vif de ne pas écrire force de l’ordre car il ne s’agit plus de cela, il ne s’agit plus d’ordre mais de répression.
Qu’une compagnie de C.R.S se fasse porter pâle, que d’autres se suicident pourraient être un indice du malaise qui se développe chez certains … les autres doivent être cette frange immense qui aime l’extrême droite.

Réunion de débrief pink bloc

Un peu par hasard, j’ai vu dans les événements FB une réunion pour débriefer sur le pink bloc du 31 janvier, lors de la manifestation contre l’état d’urgence.

Arrivée un peu en retard et sans trop connaître les gens, ma politesse n’a pas été grande car je ne me suis pas présentée, ne connaissant pas la dynamique du groupe qui semblait pré-exister.

Néanmoins diverses choses me laissent avec des questions:

  • Pas mal de camarades du NPA se présentant comme tel ce qui me chiffonne car l’aspect partisan n’a jamais eu mes faveurs et les dynamiques sociales m’ont toujours amené à défendre la logique que les partis sont au service de ces dernières et non l’inverse.
    • Les dit·e·s camarades du NPA venaient de la section LGBTI. Le Q se serait il perdu en chemin ? Non pas que j’y tienne mais c’était un point intéressant sur la question de la non binarité sociale. Il me manque peut-être des épisodes
  • Une volonté annoncée d’être les alliés des personnes musulmanes ou assimilées comme telles subissant l’islamophobie, sans pour autant les déposséder de leur parole.
    Paradoxalement, aucun contact ne semblait établi avec les associations travaillant sur ce sujet, ce qui est maladroit, convenons en.
  • Plein de projets supers autour de la ZAD de Notre Dame des Landes ou l’aide aux  migrants à Calais mais bizarrement toujours plus ou moins accolés au NPA, sauf à ce que j’ai compris de travers.
    Et du coup, un agenda qui semble bien large eut égard au nombre des présents, assez éloigné du cortège.

Dernier point, sans rapport avec la réunion, était mon questionnement sur la détention exclusive du mégaphone par un mec.
Pourquoi ne pas avoir fait une rotation plus mixte ? Manque de motivé·e·s ?

Bref, un premier rendez-vous de ce type depuis longtemps et plein de questions.

31c3 – Retombées

Cette année, comme la précédente, ne m’aura pas donnée l’occasion de faire une couverture satisfaisante mais pour des raisons différentes.
Pour le cas présent, cela aura été ma cryptopocalypse personnelle avec la publication de documents par le Spiegel et leur présentation durant la convention.

Pour la NSA, IPSec, les VPNs, SSL/TLS et SSH sont dans le domaine de l’accessible, leur chiffrement, ou bien leur implémentation, prêtant le flan à un déchiffrement possible ou à un contournement.
Il faut bien saisir que certains détails techniques n’étant pas disponibles, la raison technique exacte derrière leur succès reste parfois inconnu.

Pour avoir, au cours de la décennie passée, travaillé, aussi bien à un niveau professionnel que personnel ou militant, à pousser certaines de ces technologies pour augmenter la sécurité, et par la même occasion la protection des données, je me suis sentie affectée par ces révélations.

Mais, et heuresement il y a un mais, certaines technologies restent fiables d’une part et certaines de celles pointées comme vulnérables nécessitent quelques nuances:

  • SSL est en cours d’abandon suite à des attaques du type Poodle.
    Quant à TLS, bien que lui même parfois ménacé par Poodle, s’est vu adjoindre le Perfect Forward Secrecy de manière plus systématique. Sur ce dernier point, rien n’est dit dans les documents de la NSA car, au moment de leur exfiltration, cette pratique restait marginale.
  • Le protocole VPN décrit comme aisément contourné est PPtP dont il était déjà su sa faiblesse. Il faut donc envisager les autres protocoles avec les choix de paramétrages les plus efficaces.
  • IPSec n’est toujours pas un standard et n’est pas une technologie indispensable même si, sur le papier, l’objectif est louable
  • OpenSSH, dans sa dernière mouture, ne dépend plus forcément d’OpenSSL et propose de nouveaux modes de chiffrement.
    Néanmoins tous les clients ne sont pas compatibles, je pense ici à Putty, dont une version 0.64 est sortie sans support avec ces dernières mais dont il est fait mention d’un travail en cours

Il faut aussi avoir en tête l’énorme travail autour des courbes elliptiques et l’efficacité de PGP, Tails ou OTR même si une prédation active est en cours aidée, dans le cas de Tor, par la capacité d’interception sur l’ensemble des lignes constituant le réseau.

Il faut donc assumer que le réseau est globalement hostile mais qu’il n’est pas impossible de contre-attaquer : la vigilance dans le domaine des logiciels libres, l’utilisation de logiciels libres, la promotion du logiciel libre, l’utilisation de paramétrages adéquat, la présence dans les divers comités de régulation d’experts techniques et défenseurs des libertés pour éviter les standars empoisonnés sont autant de moyens de poursuivre la lutte.

Alors même si j’ai sottement écrit que Ssh est mort, je me corrige car il y a de l’espoir ici comme ailleurs.

31c3 : J-1

Cette année, j’essaie de bien faire le choses en préparant en amont mon arrivée, surtout l’accès au réseau sans fil.
L’an dernier, le ton était donné, la connexion 2.4 Ghz avait déjà le suffixe legacy et le wiki du CCC est clair, aucune garantie sur cette fréquence, il faut donc passer au 5 Ghz.

Résoudre l’équation supposait donc de pouvoir se procurer une interface Wifi adaptée avec les contrainte suivantes :

  • Connectique USB 2.0, (souvenons nous de PCMCIA devenu obsolète)
  • Compatible dual-band pour opérer sur les réseaux 5 Ghz, caractéristique difficilement lisible sur les emballages ou les fiches techniques qui ne parlent que de ac ou de n, ce dernier plus courant et pouvant opérer dans les 2 modes
  • Disponible dans une boutique pour ne pas souffrir d’un possible retard de livraison
  • Compatible Linux

C’est donc la bien connue fédération nationale d’achat des cadres qui aura dicté la liste des potentielles candidates puis le cruel croisement des références de cartes avec les bases en lignes pour identifier les élues.

Par une forme de snobisme, j’ai opté pour une interface de petit gabarit, l’antenne sera peut être moins performante mais l’encombrement réduit et dans le contexte, pas trop de doutes à avoir sur la couverture.

La gagnante est donc la DW-171, merci wikidevi.

Sous Arch, le paquet 8812au est disponible dans un dépôt tiers, AUR, et une simple commande d’installation aura assuré téléchargement et compilation.
Pour ne pas redémarrer, un simple modprobe 8812au suffit et voici une interface wlp0s29u1u1 disponible.
Le nom étrange est en fait le nom correct car il est possible de ne plus générer des identifiants génériques suffixés d’un numéro ni de devoir forcer les noms via des règles complexes mais bel et bien d’utiliser un nom contenant le chemin hardware exact qui lui changera pas ou peu.

Pour tester rapidement, j’ai recyclé un profil netcl en copiant/collant celui de mon wifi domestique en modifiant le nom du fichier pour qu’il corresponde à la bonne interface ainsi que la directive interface dans ce dernier. Même si le nom n’était pas indispensable, utilisant netctl-auto, conserver les choses propres aident toujours.
Un arrêt de l’interface, via systemctl stop netctl-auto@wlp3s0.service, et un démarrage de la nouvelle sur le réseau domestique, via netctl start wlp0s29u1u1-xxx, ont confirmé que le hardware fonctionne.

Ensuite, un copier/coller depuis le wiki du 31c3 pour préparer le futur profil que j’utiliserai même si la complète compatibilité n/5 Ghz n’est pas certaine, la documentation n’étant pas limpide. Mais qu’importe, si le ac est disponible, celle-ci ne se posera même pas.

Dernier point, le 31c3 sera plein de gens facétieux et le chiffrement des communication est une bonne pratique même si la configuration Wifi assurera déjà un premier niveau, l’oubli de vérifier le certificat du point d’accès pourrait arriver et poser des problèmes.
Afin d’aller plus loin, j’ai tenté un premier hook pour automatiquement activé openvpn si le réseau s’appelle 31C3.
En suivant la documentation, il faut donc créer le script adéquat dans /etc/netctl/hooks et le démarrage d’openvpn en mode systemctl se fait en sélectionnant le nom du fichier de configuration sans suffixe, ce qui nous donne :

[xxx@localhost ~]$ cat /etc/netctl/hooks/postconnect-31c3 
#!/bin/sh

[[ $SSID == 31C3 ]] && ExecUpPost="systemctl start openvpn@myvpn.service"

L’expérience me dira si tout cela est fonctionnel.