Le gouvernement impossible

Constituer un gouvernement fédéral semble une fois de plus compliqué après les élections. Il se dit qu’avec les "exclusives" des partis, cela pourrait même être impossible.

Pour y voir plus clair, votre serviteur a écrit un simple programme qui affiche toutes les combinaisons possibles de gouvernements, en tenant compte des sièges obtenus par chaque partis, de leurs incompatibilités, et de ne pas dépasser une certaine proportion de francophones ou de néerlandophones.

A ce stade, ça semble jouable 🙂🇧🇪

Government with 6 parties and 78 seats: (PS (20), CD&V (12), PVDA+/PTB (12), Open Vld (12), sp.a (9), ECOLO (13))
Government with 6 parties and 75 seats: (PS (20), CD&V (12), Open Vld (12), MR (14), sp.a (9), Groen (8))
Government with 7 parties and 86 seats: (PS (20), CD&V (12), PVDA+/PTB (12), Open Vld (12), sp.a (9), ECOLO (13), Groen (8))
Government with 7 parties and 80 seats: (PS (20), CD&V (12), Open Vld (12), MR (14), sp.a (9), Groen (8), cdH (5))
Government with 7 parties and 77 seats: (PS (20), CD&V (12), Open Vld (12), MR (14), sp.a (9), Groen (8), DéFI (2))
Government with 7 parties and 79 seats: (PS (20), CD&V (12), Open Vld (12), sp.a (9), ECOLO (13), Groen (8), cdH (5))
Government with 7 parties and 76 seats: (PS (20), CD&V (12), Open Vld (12), sp.a (9), ECOLO (13), Groen (8), DéFI (2))
Government with 8 parties and 88 seats: (PS (20), CD&V (12), PVDA+/PTB (12), Open Vld (12), sp.a (9), ECOLO (13), Groen (8), DéFI (2))
Government with 8 parties and 82 seats: (PS (20), CD&V (12), Open Vld (12), MR (14), sp.a (9), Groen (8), cdH (5), DéFI (2))
Government with 8 parties and 81 seats: (PS (20), CD&V (12), Open Vld (12), sp.a (9), ECOLO (13), Groen (8), cdH (5), DéFI (2))
Government with 8 parties and 75 seats: (CD&V (12), Open Vld (12), MR (14), sp.a (9), ECOLO (13), Groen (8), cdH (5), DéFI (2))

Résultat des élections

Crédit image : La Libre

 Smart City OLLN et contrat bancal

La Ville d’Ottignies-Louvain-la-Neuve mène depuis près d’un an un projet pilote de commune dite intelligente, ou Smart City selon l’appelation anglophone communément utilisée. Pour ce faire, elle a passé un contrat avec Proximus. Et bien qu’il ne s’agisse que d’un pilote, et que le projet soit déjà bien engagé, cela vaut la peine de jeter un oeil sur la convention qui lie les deux parties.

Un contrat déséquilibré, rédigé largement à l’avantage de Proximus, avec des clauses d’exclusivité, de limitation de responsabilité, et lui conférant la propriété des données, laissant la Ville au bon vouloir de son "partenaire", si on peut parler de partenariat dans de telles conditions. Avec en plus des clauses de confidentialité à la fois inquiétantes et ridicules.

En espérant que la Ville, si elle décidait de conclure un contrat au-delà du pilote, ne s’engagerait pas à nouveau sur une base aussi défavorable.

 Fritz!Box DSL monitoring in Python

Let’s start off the year with a small home project. I have a Fritz!Box 7430 DSL gateway (wireless router and VDSL modem). After I ran into degraded performance, I wanted to record how my line performs. The box has a web interface with mighty functionalities and it exposes nerdy data - although I’m still looking for the obvious "disconnect DSL" button, dude please. The interface is surprinsgly clear compared to the standard market crap (bbox I’m looking at you). It’s more expansive than a Sagem counterpart but it’s well worth it.

DSL Summary screen

So you can get info like:

  • Current throughput

  • Maximum attainable throughput

  • S/N ratio

  • CRC error count

  • Approximate cable length

and much more that I can imagine a usecase for.

DSL Info screen

But it does not record historic info, so I have no way to nag my ISP about reduced performance over the long run. And an error may be present long before I realise it (for instance after I started playing an online game or after I elected to Netflix and chill).

The obvious geeky thing to do was to write a tool that collects the relevant data. Python was the tool I needed for the job.

The main obstacle was to figure out how to simulate the login screen. For some reason (maybe an illusion of security by obfuscation?), the login process relies on a javascript md5 encoded challenge. After I figured out what was going on, I found code emulating that process on GitHub and re-used it.

Too bad the FritzBox firmware is confused about how to handle data. On some pages, you can see JSON served by the box. But unfortunally, the info I need where stored on a page fully generated in HTML. So I went for good old ugly HTML scraping.

I still have to figure out how to interpret data and how to act on them. Probably I’ll add simple alerts for obvious cases.

In the meantime, here it is, licensed under GNU GPL.

Happy hacking

 Scam PC

Devant moi, un PC portable à réinstaller entièrement après que son propriétaire fût victime d’une arnaque à distance, un scam.

Le scénario est le suivant :

  • Un arnaqueur vous contacte par téléphone, se faisant passer pour un employé Microsoft par exemple.

  • Il prétend qu’une anomalie ou un virus a été détecté sur votre PC.

  • Il parvient à vous convaincre d’allumer votre PC et, sous prétexte de partager son diagnostic, vous fait installer un logiciel de prise de contrôle à distance.

  • Il exécute une commande logicielle en réalité inoffensive, et vous fait croire que le résultat est le signe d’un virus.

  • Pour vous en débarrasser, il vous en coûtera quelques euros (5 ou 10 par an).

  • En continuant à user de pressions psychologiques, l’arnaqueur vous convainc de vous connecter à votre banque en ligne pour effectuer un virement. Le nombre “200” que vous entrez comme montant ? Ce n’est rien qu’un code de contrôle, vous dit-il.

Voici la victime délestée de 200 euros. Dans certains cas, l’addition peut grimper. Eric Darchis m’a rapporté un cas à 5000 euros. Ici, la victime a finalement eu la présence d’esprit de tout couper, et de ne pas utiliser son PC pour d’autres opérations bancaires.

Ne vous imaginez pas que ce sont des as de l’informatique : certains s’amusent à se faire passer pour des personnes sans défense et, retournant leur arme contre eux, à prendre contrôle de la machine de l’attaquant, ou de leur webcam. Certains en profitent pour rendre le PC des méchants inutilisable.

Loin d’être des experts en informatique, ces arnaqueurs sont par contre d’excellents manipulateurs. Quand on lit ce compte-rendu, on se dit : mais c’est bien sûr, il ne fallait pas se laisser entrainer. Mes ces organisations sont manifestement drillées et expertes dans l’art de manipuler à distance et de prendre l’ascendant sur leurs proies, en jouant sur la peur et la culpabilité, et en utilisant un ton autoritaire ou aggressif si besoin.

Plainte est déposée à la Police et auprès de la banque qui, bien entendu, refusera d’indemniser, puisque la victime a volontairement exécuté le virement sans qu’il y ai de menace. Et ne pensez pas un seul instant que les services de police feront autre chose que d’acter votre plainte.

Trois heures et…​ pas d’IP

L’opération de lavage de cerveau aura duré… plus de trois heures!

En examinant l’Event Viewer de Windows, j’ai pu retracer les grandes étapes, dont l’installation sans doute avortée de ScreenConnect, suivie d’un reboot, puis de GoToAssist, également suivie d’un reboot. Le programme était résident quand j’ai repris la machine, sans connexion vers les scammers cependant. En essayant de retrouver l’adresse IP du peer, information basique que je pensais retrouver dans les fichiers journaux des applications en question, c’est la consternation…​ Aucune info n’est enregistrée par ces deux programmes! Non, ce ne sont pas les attaquants qui ont pris soin de couvrir leurs traces. Les programmes légitimes en question s’en sont chargé pour eux. Je ne sais pas si les scammers ont choisi ces logiciels en connaissance de cause, profitant de ce choix de conception.

Conseils élémentaires

Les conseils tombent sous le sens :

  • Ne pas donner suite à une demande d’un inconnu, que ce soit par email ou par téléphone.

  • Ne jamais révéler un de vos mots de passe.

  • Associer inconnu et connexion à votre banque doit déclencher une alerte mentale.

  • Si vous vous êtes malgré tout engagé dans l’escroquerie, vous déconnecter dès que possible.

  • Ne rallumez pas votre machine avant de l’avoir fait examiner / réinstaller par un professionnel ou une personne qui s’y connait, au cas (peu probable) où une connexion persisterait.

  • Faites bloquer vos cartes bancaires.

  • Déposez plainte auprès de la police.

 LEAN GDPR radical pour freelances

On dit que les cordoniers sont les plus mal chaussés, mais le consultant LEAN GDPR ne peut pas sérieusement prétendre aider ses clients à être en conformité sans l’être lui-même.

Sur ma landing page de consultant indépendant, j’avais installé un Google Analytics. Presque par habitude, sans but précis. Au cas où. Et sur mon blog, j’ai délégué les commentaire à une service tiers : Disqus. Enfin, tout cela était hébergé par gandi.net, que je viens de migrer sur AWS. OVH ne subsiste que comme registrar.

En récoltant des données à caractère personnel sur mes visiteurs, même si je n’ai aucune intention de les identifier ou de les pister, j’agis en temps que responsable de traitement et ces sociétés (Google, Disqus, AWS, OVH) sonts mes sous-traitants. Cela implique toute une série d’obligations, entre autres :

  • Fonder mon traitement sur une base légale, par exemple en obtenant un consentement explicite des visiteurs.

  • Un contrat écrit est obligatoire entre responsable du traitement et sous-traitant.

  • D’établir une plusieurs fiches de traitement.

  • Mener une analyse d’impact en cas de risque élevé (pas d’application ici).

  • Organiser des processus internes (bon, là, je suis seul à bord…​).

  • Documenter la conformité.

Le responsable du traitement ne peut se déforcer sur le sous-traitant; autrement dit, je reste responsable de la conformité de ces sous-traitants au GDPR. Peu importe que je ne sois qu’une petite société. Il m’appartient de vérifier ce qu’il en est, et d’appliquer des paramètres de gestion adéquats.

Google Analytics

Dans une approche LEAN, je me suis demandé à quoi me servait Google Analytics. En réalité, je ne me connecte jamais pour voir combien de visites ont eu lieu sur mon site. Cette information me servirait-elle à quelque chose? Non. Du coup, à quoi bon collecter des informations à caractère personnel (et alimenter le "G")?

Pas données collectées, pas de fiche de traitement, pas d’obligations GDPR.

Un problème réglé.

Disqus

Les commentaires sont mon blog étaient gérés par Disqus. En mars 2018, deux mois avant l’entrée en vigueur du GDPR, je n’avait rien trouvé de concret sur leurs intentions en la matière. J’en ai conclu que ce sujet n’intéressait pas vraiment Disqus et j’ai décidé de désactiver les commentaires, peu utilisés de toute façon. En écrivant cet article, je découvre cette mise à jour récente, mais elle arrive tardivement.

Même principe qu’avec Google Analytics. Pas de données collectées, pas de soucis GDPR. Sauf qu’en plus ici, ma confiance dans mon sous-traitant était assez faible.

Amazon Web Services

Cela n’a pas été une mince affaire, mais j’ai migré l’hébergement de mes sites vers AWS (coûts très faibles, elasticité illimitée mais courbe d’apprentissage assez rude). Le GDPR exige un contrat écrit. Il faut un peu chercher pour trouver leur DPA mais on peut mettre la main sur un contrat en bonne et due forme à imprimer, signer et retourner à AWS.

Par "écrit", il ne faut selon moi pas nécessairement un document signé de manière manuscrite par les deux parties. Une signature numérisée suffit.

16 pages de lecture tout de même, avec les inévitables tournures "Unless otherwise defined" (rolling eyes), mais tous les points prévus s’y retrouvent, en ce compris la question assez amusante des audits :

At Customer’s written request, AWS will provide Customer with a confidential Report so that Customer can reasonably verify AWS’s compliance with the security obligations under this Addendum.

J’aurais préféré pouvoir accéder directement au datacentre pour me faire une idée.

Tellement LEAN

Je lis souvent, sur des fils de discussion, qu’il suffit d’ajouter l’une ou l’autre mention sur votre site "et c’est bon". C’est aller un peu vite en besogne.

Bien sûr, ma solution plutôt radicale ne convient pas à tous le monde. Je ne l’applique d’ailleurs qu’à ma seule activité de freelance, qui se base sur mon réseau (dans la vraie vie ou sur internet mais sans fichier maison), à destination B2B, sans réel besoin de collecter des données. Rien ne vous empêche d’avoir des commentaires sur votre blog ou mettre en place un Google Analytics pour autant que vous respectiez les obligations du GDPR. La tâche est loin d’être insurmontables, mais le temps à y consacrer peut ne pas en valoir la peine.


Older posts are available in the archive.