Le Blog Utux

HTTP 200 GET /

La gratuité du web

Rédigé par uTux 7 commentaires

Je suis un vieux, je ne suis pas inscrit sur facebook et j'utilise encore les flux RSS pour suivre mes sites favoris. Un agrégateur de flux RSS permet, comme son nom l'indique, de vérifier l'existence de nouveaux éléments et les notifier a l'utilisateur. L'effet intéressant c'est que cela permet de mesurer la masse d'information que l'on reçoit. Par exemple certains utilisateurs ont tellement de flux qu'ils sont notifiés de plusieurs milliers d'éléments par semaine, ça fait beaucoup.

En ce qui me concerne je suis abonné à plusieurs sources. Longtemps "suiveur" de Phoronix j'ai fini par laisser tomber pour deux raisons :

  1. Ce site inonde mon agrégateur de flux RSS, parfois plusieurs dizaines d'articles par jour.
  2. Le manque de pertinence de l'information proposée. Pour illustrer mon propos voici un article exemple : Sarah Sharp Steps Down As Linux Kernel Developer. Reprise d'une mailing list, aucune analyse, aucune critique, juste les polémiques inutiles en commentaires.

Pourquoi une telle dégradation de la qualité de l'information ? Selon moi c'est simplement pour survivre.

L'économie gratuite du web est en crise car le modèle de financement par la publicité est à bout. A la télévision ou à la radio on peut zapper mais ce n'est pas mesurable, entendez par là que les annonceurs ne savent pas combien de personnes ont effectivement écouté la publicité. Par contre sur le web, avec les bloqueurs de publicité c'est possible, les annonceurs savent combien de fois la publicité a été vue. Cela leur permet de rémunérer plus ou moins le site qui les affiche, et c'est ça le problème car plus il y a d'utilisateurs d'AdBlock/uBlock, moins il y a d'argent. C'est donc le prétexte rêvé pour accuser les internautes de tuer les sites qu'ils visitent en bloquant la publicité.

La culture du financement par la pub, fléau du XXIe siècle et solution par défaut à tous les problèmes me tape sur le système. Un web sans bloqueur de publicités est simplement inenvisageable pour moi. Tuxicoman a mesuré le nombre de requêtes HTTP, le volume et le temps de chargement des pages sur des sites connus avec et sans bloqueur de publicité, son constat est le suivant : ~90% du temps d’affichage des articles de ces sites est dépensé par l’utilisateur pour quelque chose dont il se fout : la publicité et l’espionnage de son comportement.
La solution ne passe donc pas par la culpabilisation ou le rejet des utilisateurs d'AdBlock/uBlock mais par un changement sérieux de politique de la part des annonceurs, ou de modèle économique pour les acteurs du web.

Beaucoup de sites d'information proposent déjà des abonnements payants aux visiteurs, leur permettant ainsi de ne pas avoir de publicité. Phoronix en fait partie et pour convaincre les visiteurs de débourser de l'argent, il faut se démarquer. Pour cela soit il faut faire de l'information de qualité, soit mitrailler à longueur de journée des contenus courts. C'est visiblement la seconde option qui a été choisie et c'est regrettable. A l'inverse, Nextinpact mise sur l'information de qualité. En effet les articles sont plus long et surtout l'information est analysée et critiquée. Le journaliste Marc Rees par exemple lit les textes de loi pour nous en expliquer le principe et grâce à lui nous avons suivi l'arrivée de la Loi sur le renseignement, avec une analyse plus pertinente que beaucoup de media qui se contentaient de dire "cette loi va régulariser ce qui se faisait avant, c'est pour votre sécurité, faites pas chier, vous n'allez pas en mourir, lol". Coluche disait : Les journalistes ne croient pas les mensonges des hommes politiques, mais ils les répètent, c'est pire !. NextInpact fait exception et c'est pourquoi je me suis abonné (payant).

D'autres sites suivent la voie du rachat et de la centralisation. Jeuxvideo.com par exemple s'est fait racheter par Webedia, grand annonceur de contenus publicitaires. Cette dépendance est risquée car quid de la liberté de publication des journalistes quand celui qui donne le chèque a tout intérêt à placer un maximum de publicité et de contenus sponsorisés. Le journaliste est-il libre de dire que le gros jeu du moment est une bouse sachant que le site sur lequel il publie diffuse de la publicité pour ce même jeu ? Non. Real Myop, co-auteur d'une émission vidéo à succès (Speed Game) diffusée sur jeuxvideo.com, dénonce la dégradation de l'ambiance et des conditions de travail depuis leur rachat par Webedia ayant même poussé plusieurs chroniqueurs à la démission : article à lire ici. De plus, que se passera-t-il si la majorité des sites d'information finissent dans les mains d'un seul groupe et que ce dernier décide d'imposer un abonnement payant aux visiteurs ?

En conclusion, on constate que la roue tourne. En effet les sites gratuits d'information qui ont tué les journaux papier sont à leur tour en train de mourir et cherchent comment être rentables ou simplement comment survivre. La croissance explosive du web a atteint son maximum, et tout comme la crise des jeux vidéo de 1983, beaucoup d'éditeurs disparaîtront, ceux qui survivront changeront de modèle économique ou le conserveront et auront le monopole.

Récit d'une attaque portmap

Rédigé par uTux 3 commentaires

Tout a commencé avec des problèmes de lenteur sur notre connexion à internet au bureau. Un petit tour dans l'interface d'administration de la Freebox a montré une utilisation importante de la bande passante en upload même la nuit lorsque toutes les stations de travail sont éteintes. Heureusement derrière la Freebox il y a un routeur sous Linux par lequel tout le trafic passe, nous avons donc des outils plus poussés pour analyser ce qui transite.

iptraf a montré que le trafic n'était pas émis depuis une station de travail mais était généré en local (par le routeur lui-même) : était-il compromis ? Présence d'un rootkit ? Une petite vérification des processus avec ps et top semble indiquer que non, rien d'anormal. J'ai également vérifié à coup de md5sum que les binaires bash, ps, w, who, top n'avaient pas été altérés (en comparant avec une version sauvegardée il y a 1 mois).

Donc le routeur génère le trafic mais ne semble pas compromis, d'où vient donc le problème ? Sortons l'artillerie lourde : tcpdump. On sniffe 10secondes de trafic puis on récupère notre fichier pour l'ouvrir dans wireshark, c'est plus simple à lire. L'analyse montre un trafic composé exclusivement de paquets UDP / protocole Portmap. Une petite recherche rapide sur Google "high portmap trafic" me mène vers des articles d'Aout 2015 détaillant une forme de ddos basée sur portmap. C'est un ddos par amplification, c'est à dire que nous recevons des requêtes forgées qui font que nous générons ensuite des attaques vers d'autres serveurs. Or il se trouve que suite à un lourd historique (dette technique) la configuration du pare-feu était incorrecte et le port 111/UDP (portmap) du routeur était accessible depuis internet. La fermeture de ce port a mis fin aux attaques.

tcpdump / wireshark sont les meilleurs amis du sysadmin, et j'ai découvert également iptraf qui permet d'avoir une vue d'ensemble du trafic ce qui permet d'établir un premier diagnostic. Un pare-feu bien configuré est indispensable car même si des services ne sont pas utilisés ou sont censés répondre uniquement en local, des failles sont toujours possibles.

Encore du nettoyage de PC

Rédigé par uTux 12 commentaires

L'histoire

On m'a confié un PC portable qui est lent et qui "affiche des publicités partout sur le web". Rien d'anormal jusque là vu que le web est pourri par la publicité, sauf qu'il y en a même sur Linuxfr et pour le coup c'est plutôt inquiétant. Des bannières, des onglets qui s'ouvrent, des pages qui me proposent de "nettoyer le registre pour accélérer mon PC", bref de la mauvaise herbe. Le PC est un SONY VAIO et est rempli de crapware/bloatwares préinstallés par le constructeur. Des logiciels bidons, des surcouches à l'interface graphique, des bidules de cloud etc etc. La machine rame et ventile alors qu'elle ne fait rien, le démarrage est long alors qu'en mode sans échec tout va vite.

Je commence par vérifier les extensions Firefox/Chrome/IE, mais rien d'anormal. Je supprime le profil Firefox et le recréé, mais le problème persiste, des pubs s'ouvrent toujours. Je passe un coup de malwarebytes, fait du tri dans le planificateur de tâches et le msconfig, vérifie le fichier hosts, les DNS, mais le problème persiste. Reboot en mode sans échec, scan malwarebytes / eset nod32 online scanner / Spybot. Entre 500-700 menaces détectées à chaque fois et supprimées mais les publicités reviennent quand même.

Je créé un nouveau compte utilisateur pour tester et reboote en mode normal. Pendant quelques minutes tout fonctionne bien mais les pub apparaissent à nouveau. Ces adware sont coriaces, j'ai épuisé tous mes recours et la prochaine étape est le formatage. Je démarre sur un LiveUSB de Fedora et copie les données sur un disque dur USB (je ne voulais pas le faire depuis Windows pour ne pas copier les adware/virus dessus).

Après avoir réinstallé Windows puis les pilotes essentiels ça va tout de suite beaucoup mieux car l'OS peut enfin s’atteler à d'autres tâches que faire tourner les crapwares de SONY VAIO. Les publicités qui altèrent les pages web ont enfin été éradiquées.

L'analyse

Ces crapwares / adwares sont coriaces. On ne peut pas toujours les désinstaller proprement, et ils s'enracinent de plus en plus profondément (par exemple avec les tâches planifiées). Les sociétés crapuleuses qui les développent surfent entre la légalité et l'illégalité. En effet contrairement aux virus qui s'installent discrètement sans consentement de l'utilisateur, un adware obtient toujours l'accord de ce dernier. Il est fourni comme "sponsor" pré coché lors de l'installation d'un autre logiciel, et en laissant la case cochée l'utilisateur accepte les conditions d'utilisation et installe le nuisible. Comme les gens ne lisent pas ou ne savent pas, ils valident.

Par conséquent l'ordinateur est inutilisable alors que matériellement il est excellent. On comprend le malaise qui existe dans l'informatique grand public car ce nettoyage m'a pris du temps : environ 8h réparties sur plusieurs soirées, qu'un réparateur professionnel aurait facturé au prix fort (à juste titre, c'est son métier). La plupart des gens vont alors supporter la lenteur, les publicités, alimentant par ailleurs le cliché "ordinateur = de la merde lente" et finiront par en acheter un nouveau qui aura exactement les mêmes tares.

A quand des antivirus qui bloquent les adwares ? Par exemple la barre Ask.com => poubelle. En 2016 j'affirme que les adwares sont devenus plus problématiques que les virus, et qu'à part le bon sens et l'expérience il n'y a pas vraiment de moyens pour s'en protéger.

Tox : bien mais pas encore prêt

Rédigé par uTux 9 commentaires

tox, pour faire simple, est une alternative à Skype qui se concentre sur le chiffrement et la décentralisation. C'est tellement décentralisé qu'il n'y a pas de serveur ni de comptes, chaque utilisateur se voit attribuer un ID unique auto-généré et trouve ses amis via DHT comme bittorrent. Il existe plusieurs clients : µtox, qtox, toxic...

Le bon : le client qtox est joli, contrairement aux clients jabber qui nous rappellent toujours l'époque IRC. La possibilité de faire des captures d'écran, des les envoyer, et d'avoir une miniature des images dans la conversation est intéressante. L'absence de serveur résout le problème récurrent des serveurs Jabber public, c'est à dire l'instabilité. Ça marche plutôt bien.

Image tirée du projet sur github.

Le mauvais : les ID utilisateur sont assez indigestes, le copier-coller est donc obligatoire. L'intégration du client qtox n'est pas parfaite, ainsi selon le desktop l'icône systray est plus ou moins visible, voir carrément absente. Gros problème avec les notifications de messages qui passent souvent inaperçues : je rate souvent des messages que l'on m'envoie et mes contacts aussi ("ah mince, tu m'as écrit il y a 15 minutes mais je n'avais pas vu"). Les appels vidéo/audio ne fonctionnent pas à tous les coups (écran noir puis webcam bloquée). Mais le problème le plus bloquant c'est la liste de contacts non synchronisée. Si vous vous connectez à votre compte depuis un autre poste, la liste de contacts sera vide. Dans mon cas j'ai contourné le problème en synchronisant le dossier ~/.config/tox sur seafile.

EDIT : sur les versions plus récentes de qtox, la visibilité des notifications a été améliorée.

Tox pose les bonnes questions et tente d'y apporter une solution. Malheureusement il y a beaucoup de problèmes qui le rendent peu utilisable même pour les geeks. Attendons de voir s'ils seront résolus ou si la conception (absence de serveur par exemple) fait qu'il n'y aura jamais de solution.

Free + bridge + IPv6

Rédigé par uTux 40 commentaires

Comme je l'ai dit dans mon article sur la fibre Free, la Freebox n'est vraiment pas terrible, j'ai donc rapidement acheté un routeur pour la remplacer. J'ai pris un Asus RT-AC66U, modèle relativement satisfaisant qui supporte le Wi-Fi 5GHz mais aussi plusieurs firmwares alternatifs (actuellement Merlin).

J'ai beaucoup hésité à écrire cet article sachant qu'il serait indigeste, mais il constitue un bon exercice pour IPv6 et peut aider ceux qui ont leur Freebox en bridge.

Principe

En IPv4 le principe est simple : on configure la Freebox en bridge ce qui permet au routeur de récupérer directement l'IP publique. A lui ensuite de faire le NAT pour donner l'accès à internet aux machines du réseau. Mais en IPv6, comment fait-on ?

Tout d'abord la stack IPv4 ne change pas, on va configurer notre IPv6 à côté sans incidence. On n'utilise pas de "NATv6" mais du bon vieux routage à l'ancienne, avec de la délégation de préfixe, bref un vrai réseau tout propre. En fait, chaque machine du réseau aura une "IPv6 publique" (cette affirmation est un pléonasme). On va avoir besoin de :

  • 1 sous-réseau IPv6 en /64 pour la partie WAN, avec 2 adresses (Freebox et Routeur côté WAN)
  • 1 sous-réseau IPv6 en /64 pour la partie LAN, avec 1 adresse (Routeur côté LAN)

Voici ce que cela donne avec un schéma et des adresses bidon :

Mise en place

La première chose à faire consiste à se rendre dans l'interface de configuration de la freebox grâce à l'adresse mafreebox.free.fr qui fonctionne même si vous êtes en bridge.

Puis rendez-vous dans : Paramètres de la Freebox, onglet Mode avancé, Configuration IPv6.

  1. A cocher, bien évidemment.
  2. Adresse IPv6 de lien local de la Freebox.
  3. Le premier préfixe qu'on va déléguer au routeur (pour le WAN). Notez qu'il se termine par 5430.
  4. Mettre l'adresse IPv6 de lien local de l'interface WAN du routeur (à récupérer par exemple avec ip addr ou ifconfig en SSH sur le routeur).
  5. Le second préfixe qu'on va aussi déléguer au routeur (pour le LAN cette fois). Il se termine par 5431.
  6. Mettre l'adresse IPv6 de lien local de l'interface WAN du routeur - la même que pour le point 4.
  7. Encore un préfixe, mais on ne va pas l'utiliser, on a tout ce qu'il nous faut !

Maintenant, on passe à la configuration du routeur. Voici pour l'Asus RT-AC66U :

  1. Type de connexion, ici c'est du statique.
  2. Le WAN du routeur (premier préfixe 5430 suivi de ::2).
  3. 64.
  4. Le WAN freebox (premier préfixe 5430 suivi de ::1).
  5. Le LAN du routeur (second préfixe 5431 suivi de ::1).
  6. 64.
  7. Pour info.
  8. Type d'advertisement sur votre LAN. Le stateless laisse les machines s'auto-configurer. Stateful est du DHCPv6. Il vaut mieux sélectionner stateless.

Comment tester

Conclusion

La Freebox n'a pas une seule IPv6, ni même un seul réseau IPv6, elle en a plusieurs. Et dans notre cas elle en délègue deux à notre routeur. Les avantages ? Possibilité de gérer vous-même le pare-feu (la Freebox n'en a pas) et aussi de modifier plusieurs éléments (comme les DNS diffusés).

Fil RSS des articles