Soviet wet dreams become reality in Holland

In an article in yesterday’s newspaper “Het Parool”, the Council of Chief Constables of the Dutch police declared that the Dutch police uses hacking computers as a technique to obtain information on alleged criminals. They also introduce Trojans as a means to obtain evidence. “The police is quite happy with these techniques”, according to the Parool article.

Well, well. Last time we checked, hacking computers still was a crime, or at least a punishable offence, when carried out by civilians.

We are well aware that the police have the power, and the right, to do things that ordinary citizens are not allowed to. Like entering other people’s homes, which seems an appropriate example as entering somebody else’s computer is very similar to entering somebody’s home.

But before the police can search anybody’s home, they need a warrant. In the Parool article, there is no mention of warrants, the police seems to be happy hacking away as they like, on their own initiative, and without any prior authorization.

This reminds us of Germany, where similar techniques by the German police were forbidden last year.

That interdiction seems completely logical to us. Entering computers of citizens without justification and without authorization by a Justice official, without supervision, without the usual checks and balances, this kind of methods belong to a police state.

Not that we are far from a police state in the Kingdom of the Netherlands (or in the whole of the EU for that matter): already ISP’s have to keep traffic data for a period of 6 months to 2 years, and make it available to the Authorities on their demand.

Government-sanctioned hacking of citizens’ computers is only the logical next step. Actually, we can’t blame the police for doing this (although we hope the more decent officers spend some sleepless nights over this violation of privacy). But how would they be to blame? The whole European Union is poised to enter the privacy of its citizens. It’s the esprit du temps.

The defunct Soviet Union dreamt of doing this.

The EU can, and the Dutch police does.

 Four days after the arrest of cartoonist ‘Gregorius Nekschot’, here is a resume of the known facts.

In 2005, Abdul-Jabbar van der Ven filed a complaint against Nekschot, because of the alleged insulting and hatred-inciting nature of Nekschot’s cartoons.

According to the Dutch DA, it took three years to discover the individual who used the nickname “Gregorius Nekschot”. They claim to have found out his real identity by tracing the person who made monthly payments for the hosting of the website http://www.gegoriusnekschot.nl (comment: how clever! And that took only three years! Karma to the Dutch police!)

Yesterday, the DA claimed  that the rather heavy measure of 30 hours of arrest was due to the fact that it wanted to broaden the scope of its investigation: instead of investigating a single cartoon, according to them they sought to ascertain that ‘Nekschot’ was “inciting hatred on a long-term basis and making a profession of insulting”, hence the fact that “the accused was held longer than would normally have been the case”.

Today there is no mention of this anymore in the press releases of the Dutch DA. The latest official version is that “Nekschot is suspected to have expressed himself in such an insulting way regarding a group of people because of their race or religion that it can be considered as discrimination. In the cartoons under investigation he attributes negative characteristics to groups of people because of their race or religion.  Furthermore, the DA is inclined to think that his cartoons possibly incite hatred towards these groups.”

So out goes the accusation of long-term incitation of hatred, no mention anymore of the “making a living out of insulting.” Yet those were yesterday’s reasons for what the DA qualified itself as the reasons for “a longer arrest than normal.”

According to the Dutch DA’s press release, the house search and the arrest were carried out by ten people: a judge, a DA, two DA assistants and six policemen without uniform.

In a telephone interview Nekschot didn’t mention specifically that a policeman told him that “his anonymity would be lost now”, although the loss of his anonymity was discussed.

The strangest thing right now is that the DA claims today, after Nekschot’s arrest and the confiscation of his computer, that it decided that eight cartoons were ‘punishable’ (we suppose that means that the DA wants to put Nekschot on trial for those eight drawings).

Hello? What’s is the chronology here? Does the DA arrest people, raid a house with ten officers, and only then it decides that eight drawings might infringe the law?

Wouldn’t it be more logical if the DA looked at the drawings in 2005 (when the original complaint was filed), judged then and there that indeed, yes or no, there was (or not), “expression in such an insulting way regarding a group of people because of their race or religion that it can be considered as discrimination”, and then go looking for the supposed culprit?

Now it seems to be the other way around. First the Dutch DA tried to find the culprit, and only when they found him they try to stick charges on him.

Strange.

Virtual bullet

A Dutch cartoonist who publishes his drawings under the nickname “Gregorius Nekschot” has been arrested early Tuesday morning by a team of 10 policemen. The police also confiscated his computer, his mobile phone and other material from his home. This was announced by Dutch comedian Hans Teeuwen in a late-night talk show yesterday evening. Nekschot’s lawyer and the office of the Dutch DA have confirmed this information.

Allegedly, one of the policemen told Nekschot that “this would mean the end of his anonymity.”

“Nekschot” (literally meaning “bullet shot in the neck”) is a marginally known cartoonist specialized in what some call questionable art, sometimes but far from exclusively aimed at islam. From the sketchy information available today, his arrest followed a complaint filed against him, probably in 2005, by a Dutch convert to islam who calls himself “Abdul-Jabbar van der Ven” (born as Jilles Lambertus Henricus van der Ven, a Dutchman from a catholic family). Subject of the complaint was a cartoon by Nekschot that Van der Ven considered insulting. 

More information should be available today and in the days to come, but what is known now is amazing and scary. Maybe new facts will answer some of the immediate questions that arise:

1. Is it normal in the Netherlands to be arrested without a court order?

A thief or criminal who is caught red-handed by the police can be arrested without court order, of course. A majority of Dutchmen actually wishes for this to happen more often. But a complaint filed three years ago (if 2005 is the exact year, this hasn’t been officially confirmed yet) hardly suggests the urgency or necessity of a police arrest. Normal procedure would be to send a court order, a convocation to appear, not ten policemen.

It seems that the DA (the Dutch “OM” or “public ministry” is not the exact equivalent of the American DA, but it does mean the public prosecution, depending from the Ministry of Interior, so in this context “DA” should do) justifies the arrest by arguing that it broadened the scope of its investigation: instead of examining the single complaint by Van der Ven, it is investigating if Nekschot “made a profession out of insulting people”, which is a more serious charge and allows for stronger police measures.

So be it. But even so, there is a huge disproportionality between the charges and a police raid at dawn. Raiding Mohammed Bouyeri’s home the morning he went out to shoot, stab and kill Theo van Gogh would have seemed proportional and justified. Unfortunately it didn’t happen. But raiding the home of a cartoonist, whose drawings appear in newspapers, in books and on internet, which should constitute enough evidence for the police to build a case if there is any, that seems very difficult to justify. Except in countries where the police doesn’t need justification.

Not mentioning the bitter fact that it is becoming more and more difficult for citizens to get the police to intervene in simple cases like car accidents or even burglary: try to call the police, they will rarely if ever show up.

How they were able to mobilize ten (10!) policemen is amazing in a country where you cannot count on even one (1!) to intervene if you get robbed.

2. Is it normal in the Netherlands to spend a day and a half in jail for publishing “hate cartoons”?

As we have seen above, there has been no court decision yet, so Nekschot’s incarceration happened in the context of the DA’s investigation to determine if he makes a living out of inciting hatred. How serious are those charges? Nekschot’s oeuvre is public so everybody can form an opinion for himself. It is of course up to Justice to decide if these drawings are insulting or if they fall under the freedom of expression, if the DA decides to prosecute.

But there are two points that have to be considered here:

Firstly, Nekschot has been publishing his cartoons for years, on his website http://www.gregoriusnekschot.nl and elsewhere. If the DA justifies the raid and Nekschot’s arrest by saying that they went beyond Van der Ven’s single complaint, and wanted to investigate if Nekschot has a history of insulting and incites hatred on a professional basis, again, the material is publicly accessible and has been so for years. What is the added value of (1) raiding his home and (2) holding and interrogating him for 36 hours? What other material, not printed in books and newspapers and published on internet did the DA and the police hope to discover? And why would they need it? And how could unpublished material (on his hard disk for instance) constitute proof anyway, unless you want to introduce the concept of “thought crime”?

Secondly, talking about inciting hatred: during the last decade there has been an increasing number of cases where islamic leaders in the Netherlands have been –literally– preaching hatred. Hatred against christians, hatred against “infidels”, hatred against apostates. More and more cases have been documented, there are clips on youtube.com, and recently a school kids visiting a mosque (“multicultural awareness programme”) were called “dogs” by the local imam.

If for some questionable reason the DA deems it the right thing to do to send in a police squad, to do a house search and to arrest a cartoonist, then it should apply the same zeal against the minority (hopefully) of islamic leaders who spout their venom on a regular basis, over a long period of time and on a professional basis.

3. Is Nekschot really insulting and inciting hatred?

As said before, this is up to Justice to settle, but everybody is entitled to his or her opinion. Personally we think most of Nekschot’s drawings (which we only discovered today) are rather tasteless, although some made us smile (wryly). In other words, we will not buy the book and we won’t subscribe to his newsletter. Period, that’s it. We certainly do not feel more negative or less positive about certain ethnic or religious minorities. Seeing a cartoon where Mohammed sodomizes Anne Frank makes us wish we hadn’t, but it doesn’t change our feelings about either. The only thing it incites us to do is, again, to abstain from buying Nekschot’s books. Maybe it incites others to buy it, good for them.

As for the “insulting” part, well, it’s hard to pretend Nekschot’s drawings are uncontroversial innocent works of art. It is imaginable that some people feel indeed insulted by some of the cartoons. In which case they would be wise not to look at them. Just as reactionary (or simply long-toed) christians did not watch “Life of Brian” or “The Last Temptation of Christ”. All these artworks can be considered insulting. But criminally insulting? The Western battle for freedom of expression is also the battle for the freedom of expression of ideas we do not like, including ideas we feel insulted by.

Subsidiary question: Are the imams who call non-muslim children “dogs”, who wish a tongue cancer onto Ayaan Hirsi Ali and all other kind of documented niceties, are these people insulting and inciting hatred? We cannot measure with two standards. The cases of both Nekschot and islamic extremists should be examined with the same zeal and integrity, and depending on the findings, they should be prosecuted or not, and then tried (or not) with identical impartiality.

If that should result in Nekschot’s conviction and the imams’ exculpation, so be it. Whether people would personally agree or not is less important than the public perception of impartial and equal application of the law.

Right now, the public perception in Holland is rather the contrary: there is a growing irritation at the behaviour of certain muslims and Islamic leaders, and the perceived inaction of the government and the administration in dealing with it. At the same time, by acting excessively over a series of drawings, the same administration is chasing voters in the arms of the two recently founded Dutch populist parties.

4. Political agenda?

It is always tempting to think of hidden political agendas, and before you know it you are talking about conspiracy theories. As long as there is no more detailed information available, it would seem wise to stay prudent.

At the same time it is true that some high-profile members and cabinet ministers of Holland’s biggest political party, the CDA (christian centre), have been advocating censorship of “Fitna”, a movie critical of islam, launched by Geert Wilders (founder of one of those populist parties). Has this antidemocratic attitude seeped down to lower levels? Were the police and the DA trying to please their political masters?

Finally, the gravest question of all:

5. Anonymity?

As stated before, Gregorius Nekschot is a nickname. The artist has carefully hidden his real identity because he didn’t want to end up like Theo van Gogh, to put it bluntly. Although his drawings seem to mocking christians too, as well as jews, whites, blacks, politicians, ideologies, you name it, it appears that most of the members these groups will just shrug at those cartoons. Whereas criticizing islam somehow seems to get you into all kind of trouble. There are ten, maybe twenty people under permanent protection in the Netherlands (the security services keep the actual number secret), none of them because they mocked the Flying Spaghetti Monster. Nekschot has no protection; he sought his safety in (relative) anonymity.

Yesterday evening Teeuwen, who had a brief telephone conversation with Nekschot after the release of the latter, stated on TV that one of the policemen of the arrest team told Nekschot: “This means the end of your anonymity.”

Teeuwen called this “rather intimidating”, but it is more than that. It means that the police (and possibly the DA) were perfectly aware that Nekschot’s arrest would mean that his real identity becomes public (and it does not take a rocket scientist to understand that). But what the policeman was really saying is: “this means the end of your safety.” That’s not intimidation; it’s an implicit threat.

A virtual bullet in the neck for Nekschot.

September 26, 2006 - The final stage in the EU’s historic “big bang” enlargement of 2004 was completed today when the European commission announced that Romania and Bulgaria would be allowed to join on January 1 next year.
(The Guardian)

There used to be a time when the entry of new member states in the EU/EEC was subject to popular debates, both in the candidate countries and in the existing member countries. The most spectacular debates took place in Norway where the population rejected membership in 1972, and the same year in France where the French withdrew their opposition to the entry of Great Britain in the then-EEC. And when the UK entered the EEC on January 1 1973, together with Ireland and Denmark, it was actually a festive occasion.

Debates and referenda have always been milestones in the expansion of the CEE and the EU. Malta, Slovenia, Hungary, Lithuania, Slovakia, Poland and the Czech Republic all held a referendum to validate their request for admission. The respective entries of Spain, Portugal and Greece have been widely discussed all over Europe – after all these countries were still dictatorships when the EEC was created.

Just as Bulgaria and Romania who were at that time members of the Warsaw pact, communist countries behind the iron curtain. So where is the debate today? Where are the referenda? Although the public opinion in both countries is favourable to EU membership (and why shouldn’t it, enter the EU and Brussels will start bankrolling you as if money didn’t count), no referendum was held in either country. But more important: in no member country of the actual EU, a debate has taken place about the usefulness of welcoming two of Europe’s poorest countries within the EU. No debate, except maybe behind closed doors in some Brussels formal or informal meetings.

Why is there no debate? For the very same reason why there should be one: the fact that the very ideas behind and the structure of the actual EU have been thoroughly shaken by the French and by ourselves last year when we said “no” to the EU constitution. It is no wonder that “eurocrats” aren’t inviting us to discuss the merits of having Romania and Bulgaria in the EU: the people cannot be trusted anymore to blindly validate or even discuss the choices of their opaque bureaucracy. What if the people disagreed with the European Commission? We can’t have that now, can we?

There should be a debate. There even should be two debates, as quickly as possible:
1. A debate on the entry of Bulgaria and Romania on January 1 2007, or another date
2. A debate on what exactly we want to do with the European Union

The second debate hasn’t taken place yet after we and the French told the EU leaders what to do with their proposed constitution. Instead of asking themselves, no, instead of asking US what kind of Union we want (if we want one that is) the whole well-oiled European mechanism went on doing its things as if nothing happened.

As worrying as that may be, the first question, about the entry of Bulgaria and Romania, is more urgent as the date for their proposed entry in the EU is 96 days from now. Do we want to welcome two of the poorest and most corrupted countries of Europe in the European Union? Experts agree that neither country is even close to meeting the lowest standard for doing so. Why is it suddenly so urgent to let these countries in?

Currently, the Netherlands pay the third-largest net contribution to the European Union, after Germany and Great Britain (yes, we pay more than a country like France, however improbable that may sound), and the largest per capita contribution. Maybe we should have something to say about what happens with our money, how it is distributed, and what new countries are eligible to receive it and on what conditions.

The current leaders of the European structure seem to be fleeing forward. In order to avoid serious subjects like the very structure of the EU and its objective, it is concentrating on recruiting new members. This is not justified by the current situation, and they have received no popular mandate to do so. Instead of trying to exercise their responsibilities regarding the people who elected them and who they are supposed to work for, they are looking for a territorial expansion that is more serving their political agenda than the interest of their voters.

We already have nearly all Southern countries of the EU that don’t meet the current EU criteria. Budget deficits and state debts are structurally beyond the limits imposed in theory by the rules we fixed ourselves collectively. Euro countries France, Spain, Portugal, Italy and Greece are incapable of managing their public finances according to the Euro rules. Sanctions are rare and few between, if they exist at all, so they have no incentive to get their act together.

Before even thinking of letting new people in, we should clean the house first.

La chasse aux démons - Tutoriel pour débutants

En faisant un peu le ménage, nous pouvons libérer de la mémoire et accélérer notre ordinateur, le tout en réduisant ses vulnérabilités potentielles.

Un démon (mot mal copié de l’anglais daemon) est une application,  un service, lancé en tâche de fond lors du démarrage de Linux (au risque de me fâcher avec certaines personnes, cela ressemble un peu aux “services” de Windows). En fonction de ce que vous faites de votre ordinateur, certains de ces démons peuvent vous être utiles, d’autres moins. Ce n’est pas une mauvaise idée que d’arrêter les démons qui ne vous servent pas, ne fût-ce que pour deux raisons: chaque démon utilise de la mémoire et ralentit (un peu) votre ordinateur, et chaque activité sur votre ordinateur représente un risque (plus ou moins grand) de sécurité. Autrement dit, en éliminant les démons inutiles, nous libérons de la mémoire, accélérons notre ordinateur, le tout en réduisant nos vulnérabilités potentielles. 

Identifiez vos démons
Ce sous-titre ainsi que le nom de ce papier ont été créés principalement à l’intention des moteurs de recherche, pour détourner les visiteurs de Psy-Mag.fr

Pour déterminer quels démons sont lancés au démarrage de votre Linux, il faut jouer un peu aux Sherlock Holmes: en effet, les démons lancés sont déterminés par le “runlevel” de votre système. Un tout petit mot sur la notion de “runlevel” ou “niveau d’exécution”: Linux connaît en règle générale sept niveaux d’exécution, numérotés de 0 à 6. D’autres runlevels peuvent exister également, notamment un niveau “S” ou “s”, et des niveaux 7 et 8. Mais bien que très intéressante, cette information n’a aucun rapport avec le sujet de cet article. Le runlevel est défini lors de la configuration du système, et peut être modifié si vous le souhaitez (encore que je ne vois pas très bien pourquoi). Voici ce à quoi correspondent généralement (mais pas toujours, d’autres distributions Linux peuvent utiliser d’autres conventions, notamment pour les niveaux 2 à 4) les différents niveaux d’exécution:

• runlevel 0 = arrêt de l’ordinateur
• runlevel 1 = système mono-utilisateur
• runlevel 2 = système multi-utilisateur, sans NFS
• runlevel 3 = système multi-utilisateur
• runlevel 4 = merci de me faire signe si vous avez une idée
• runlevel 5 = système multi-utilisateur avec login graphique
• runlevel 6 = redémarrage du système

Le niveau d’exécution 3 (par exemple) n’entraînera pas forcément le lancement des mêmes démons que le niveau 5.

Alors, comment déterminer son runlevel? En tapant tout simplement sur la ligne de commande (encore elle):

runlevel

Dans le cas d’une installation Linux par Knoppix, le runlevel est 5, mais ne me croyez pas sur parole :). Un ordinateur où Debian est installé de manière « classique » sera en runlevel 2.  La commande “runlevel” n’est disponible que pour le super-utilisateur (root).

Le paramétrage du runlevel du système se fait dans le fichier /etc/inittab.

Avec cette information, nous pourrons localiser le dossier qui contient les liens vers les démons lancés à ce niveau. Ouvrez un “explorateur (navigateur) de fichiers” (par exemple ‘Konqueror” sous KDE, ou “Nautilus” sous Gnome¹) et déplacez-vous vers le dossier “etc”. Il s’agit d’un dossier qui se trouve à la racine de votre disque dur (un raccourci: tapez “/etc” sur la ligne en haut de votre navigateur)². Le dossier /etc contient un grand nombre de sous-dossiers, dont sept nous intéressent particulièrement ici: rc0.d, rc1.d, rc2.d, rc3.d, rc4.d, rc5.d et rc6.d. “RC” signifie “Run Control” ³, et ma théorie est que le “D” veut dire “daemon”.

Ces dossiers contiennent donc les éléments concernant les démons lancés aux niveaux respectifs. Dans notre cas, pour le runlevel 5, allons dans “rc5.d” (la barre affichera: “file:/etc/rc5.d”): il contient une quinzaine de fichiers dont les noms ressemblent à “S14ppp”, S99kdm” etc. En réalité il ne s’agit pas de vrais fichiers, mais de “liens” ou “liens symboliques” qui {pointent} vers des fichiers [[Pour les curieux: ces liens pointent vers des fichiers qui se trouvent dans le répertoire "/etc/init.d".]]. Le premier caractère du nom de fichier (« S » ou « K ») indique si le démon sera démarré (Start) ou arrêté (Kill) au démarrage de l’ordinateur. Le nombre qui suit donne l’ordre de démarrage, et le reste est tout simplement le nom du démon en question.

C’est ici que nous allons faire le ménage.

Si vous avez installé Linux avec Knoppix, il n’y a probablement pas beaucoup de ménage à faire: seul le fichier “atd” (dont le nom est affiché sous la forme “S89atd” ou similaire) est vraiment superflu⁴. Deux façons pour faire le ménage: (a) supprimer le fichier (si si! Il ne s’agit que d’un lien, qui peut être recréé si nécessaire) ou (b) le renommer, par exemple en remplaçant le “S” majuscule initial par un “s” minuscule, ou encore par un “K”, ce qui le rend “impuissant”; dans les deux cas, ce démon ne sera pas rechargé aux futurs démarrages.

Si vous avez installé Linux d’une autre façon, il se peut qu’il y ait d’autres démons à neutraliser, par exemple:

• bind (démon de serveur de nom de domaine DNS)
• sendmail (serveur mail qui n’a aucun rapport avec votre logiciel d’email)
• httpd (serveur de sites Web Apache; inutile si vous n’avez pas de serveur sur votre ordinateur)

Dans la catégorie “ça va sans dire mais encore mieux en le disant”:

1. Les suppressions/renommages de ces fichiers peuvent seulement être faits par “root”, le super-utilisateur
   
2. Mieux vaut procéder fichier par fichier, et redémarrer entre chaque intervention, surtout si vous n’êtes pas à 100% sûr de l’utilité du démon : ainsi, en cas de problème, vous connaissez le “coupable”
   
3. Pour la même raison, mieux vaut renommer que supprimer : une éventuelle erreur est tellement plus facilement réparable
   
4. Google est votre ami : ce tutoriel pour débutants ne fait que synthétiser mes propres expériences et des éléments trouvés ailleurs. Des articles entièrs sont consacrés à chacun de ces démons!

Voici un article (en anglais) qui explique quels démons peuvent être enlevés, et pourquoi. Il va sans dire (mais tellement mieux en le disant) qu’il est préférable de n’enlever que les démons dont vous êtes sûr de pouvoir vous passer. Cet article (en français) sur lea-linux est également très utile.

Liste non-exhaustive des démons les plus communs

Certains de ces démons sont spécifiques à une distribution en particulier, d’autres sont « universels ». J’ai essayé d’indiquer si ces démons peuvent vous être utiles ou pas, sans aucune garantie ni responsabilité.

alsa
Démon de Advanced Linux Sound Architecture. Nécessaire si le son de votre ordinateur est géré par Alsa, sinon inutile.

anacron
Service complémentaire de cron: exécute les tâches que cron n’a pas pu exécuter quand l’ordinateur était éteint. Utile si vous vous servez de cron, et vous avez programmé des tâches importantes (sauvegarde, etc.)

apmd
Advanced Power Management Daemon. Service qui gère les économies d’énergie. Utile si votre ordinateur est APM-compatible (comme la plupart des portables).

arpwatch
Démon qui trace les connexions ethernet/IP. Inutile si vous ne savez pas ce que c’est (comme moi).

atd
Service permettant d’exécuter des commandes à des heures programmées. Inutile, utilisez cron si vous avez besoin d’un « programmateur ».

autofs
Démon qui permet de monter automatiquement les disquettes et CD-Rom lors de leur insertion. Cela permet de les accéder sans la commande manuelle « mount » et peut donc être utile, même si certains disent que cela réduit la durée de vie des CD-Rom R/W (à cause d’un nomdre plus grand d’accès).

bootparamd
Serveur qui fournit des informations de démarrage à des stations de travail sans disque dur. Vulnérable et inutile si vous n’avez pas de telles stations.

bind
Démon de serveur de nom de domaine DNS. Inutile si vous ne faites pas tourner de serveur DNS sur votre ordinateur. NB: il n’y a aucun lien entre la présence ou non de « bind » sur votre ordinateur et les serveurs DNS de votre FAI.

cron ou crond
Lanceur/programmateur automatique de tâches. Peut être utile, par exemple, pour des sauvegardes automatiques. Si vous n’avez rien programmé vous-même, vous pouvez vous en passer. Attention toutefois: si vous utilisez un serveur de mail comme Sendmail, Postfix ou Exim, sachez qu’ils se servent de cron. Les clients mail ne s’en servent pas.

dhcpd
Démon du serveur de protocole DHCP, qui attribue des adresses IP aux ordinateurs de votre réseau. Utile si votre ordinateur est un serveur DHCP (Dynamic Host Configuration Protocol). Inutile si vous n’utilisez pas DHCP (par exemple si vous avez des adresses statiques, ou pas de réseau), ou si votre ordinateur est {client} DHCP.

dm
Gère la souris en mode console (texte). Normalement inutile, sauf si vous voulez avoir quelques fonctionnalités réduites de la souris en mode terminal (sans interface graphique).

exim
Serveur de mail. Alternative à Sendmail ou Postfix. Démon inutile si vous n’avez pas de serveur de mail (à ne pas confondre avec votre programme de mail normal, qui lui est un client).

fingerd
Serveur qui transmet des informations sur votre système à des tiers. Prévu pour des administrateurs système. Par définition vulnérable, et vivement déconseillé.

…ftpd
Les démons dont le nom termine par « ftpd » sont des serveurs de fichier dy type « FTP » (File Transfert Protocol). Vulnérable, et inutile si vous n’avez pas de serveur FTP.

gdm
Gnome Display Manager. Gestionnaire de login graphique comme XDM et KDM (pour KDE). Vous aurez besoin d’au moins d’un de ces trois pour avoir un login graphique.

httpd
Démon du serveur web Apache. Inutile si vous n’avez pas de serveur internet ou intranet sur votre ordinateur.

inet ou inetd
Sorte de « méta-serveur » qui lance d’autres démons et auquel peuvent se référer d’autres serveurs comme telnet, ftp etc. Inutile si vous n’avez aucun démon qui s’y réfère.

kdm
KDE Display Manager. Gestionnaire de login graphique comme XDM et GDM (pour Gnome). Vous aurez besoin d’au moins d’un de ces trois pour avoir un login graphique.

klogd
Kernel Log Daemon. Intercepte et enregistre les messages du noyau. Peut fonctionner en tandem avec syslog.

kudzu
Démon d’autodétection de la configuration matérielle de votre système. Si vous ne changez pas tous les jours de configuration, il est inutile de faire tourner kudzu en tant que démon: il peut être invoqué manuellement quand nécessaire.

linuxconf
Démon pour le paramétrage logiciel de votre système. Si vous ne changez pas tous les jours de configuration, il est inutile de faire tourner linuxconf en tant que démon: il peut être invoqué manuellement quand nécessaire.

logoutd
Démon de contrôle appartenant à la suite « Shadow Password ». S’il est installé, vous en avez à priori besoin.

lpd
Service d’impression.

makedev
Application utilisée pour créer les entrées dy répertoire /dev. N’est pas un démon, mais se trouve parfois dans le répertoire des démons.

named
Serveur DNS. Inutile si vous n’avez pas mis en place votre propre serveur DNS interne ou externe. Ne pas confondre avec les serveurs DNS de votre FAI qui eux sont indispensables.

netfs, nfs, nfs-common, nfs-kernel-server
Démons de NFS (Network File System), protocole qui permet de partager des partitions et disques durs entre des machines Linux, en tant que serveur et/ou client. Inutile si ce n’est pas votre cas.

ntp
Network Time Protocol. Ntpd ou xntpd est nécessaire si vous utilisez NTP en tant que client et/ou serveur de temps (heure). Sinon inutile.

pcmcia
Démon qui gère vos cartes pcmcia. Inutile si vous n’avez pas de telles cartes.

portmap
Démon nécessaire pour les services NIS et NFS. Inutile dans les autres cas.

postfix
Serveur de mail. Alternative à Sendmail ou Exim. Démon inutile si vous n’avez pas de serveur de mail (à ne pas confondre avec votre programme de mail normail, qui lui est un {client}).

ppp
Démon du Point to Point Protocol, le protocole qui gère les connexions internet par modem. Utile si votre ordinateur est connecté directement à internet, inutile si vous êtes connecté via un réseau (ethernet par exemple).

random
Démon permettant de générer des nombres pseudo-aléatoires. Utilisé par des applications de chiffrement (cryptographie).

rmnologin
N’est pas un démon proprement dit, mais un script de login qui se trouve dans le même répertoire que les démons.

routed
Service de routage obsolète. Inutile.

rstatd
Serveur de statistiques du noyau invoqué par inetd ou xinetd. A priori un risque de sécurité, et à éliminer.

smb
Démon de SAMBA, protocole qui permet de partager des disques durs entre des machines sous Linux et des PC Windows. Inutile si ce n’est pas votre cas.

sound
Démon sensé gérer le son. On s’en passe très bien.

squid
Démon de « proxy ». Inutile si vous n’avez pas installé le serveur de proxy « squid ».

ssh ou sshd
Démon d’OpenSSH, protocole de connexion sécurisée à un autre ordinateur. Inutile si vous ne vous servez pas de ssh, slogin etc.

syslogd
Démon qui enregistre les messages provenant du système. A garder.

telnetd
Démon de Telnet, protocole d’accès à distance à un autre ordinateur. Ce protocole étant non-sécurisé il représente un risque important, et il est conseillé de le remplacer par ssh par exemple, si vous avez besoin d’un tel protocole. A éliminer si possible!

xdm
X Display Manager. Gestionnaire de login graphique comme KDM (pour KDE) et GDM (pour Gnome). Vous aurez besoin d’au moins d’un de ces trois pour avoir un login graphique.

xfs
Serveur de polices de caractères. Indispensable pour faire tourner l’interface graphique.

xinetd
(Extended intetd) Sorte de « méta-serveur » qui lance d’autres démons et auquel peuvent se référer d’autres serveurs comme telnet, ftp etc. Version améliorée de inetd. Inutile si vous n’avez aucun démon qui s’y réfère.

xntp
Extended Network Time Protocol. Xntpd ou ntpd est nécessaire si vous utilisez NTP en tant que client et/ou serveur de temps (heure). Sinon inutile.

Votre ordinateur à l’heure atomique 

Linux propose plusieurs outils pour gérer l’heure de votre ordinateur. Nous allons examiner ici quelques-uns d’entre eux qui sont liés au Network Time Protocol (NTP).

Avant-propos

Quand j’avais dix ou douze ans environ, les premières montres digitales arrivaient sur le marché. J’étais fasciné par elles, et j’essayais de les régler pour que leurs « : » clignotaient exactement en même temps. Je me souviens aussi que, encore plus jeune, j’observais les horloges des quais de gare, en me demandant comment elles faisaient pour être toujours à la même heure (les trotteuses faisant une pause en haut, pour redémarrer toutes en même temps).

Depuis, cette douce folie ne m’a jamais vraiment quitté. Inutile d’essayer de compter le nombre de montres, radios et autres appareils que je possède ou ai possédé qui ont un système de mise à l’heure automatique plus ou moins fonctionnel (par radio ou encore GPS). 

Bien entendu, l’arrivée de l’ordinateur personnel a ajouté une dimension toute nouvelle à ma Quête de L’Heure Parfaite. Ainsi, j’étais beta-testeur en 1993 pour un logiciel trouvé par l’intermédiaire de la communauté CalvaCom, logiciel qui non pas seulement faisait des mises-à-jour par modem, mais qui en plus calculait la « dérive » moyenne de l’ordinateur et appliquait des corrections en fonction de ses statistiques. Le paradis, je vous dis! Malheureusement j’ai oublié le nom de cette application (pour Macintosh) ainsi que celui de son développeur (quelque part dans les Yvelines).

Si je vous dis qu’aujourd’hui, à l’heure (sic) d’Internet mais aussi celle des réseaux locaux et de la synchronisation de sauvegardes, disques et services, il est essentiel d’être à l’heure (et à la même heure partout), vous aurez tout de suite compris qu’il s’agit là juste d’une excuse que je me suis fabriqué a fin de justifier ma petite passion.

NTP - Network Time Protocol - Protocole de Temps Réseau

Linux propose plusieurs outils pour gérer l’heure de votre ordinateur. Nous allons examiner ici quelques-uns d’entre eux qui sont liés au Network Time Protocol (Protocole de Temps¹ Réseau) ou NTP. 

Le protocole NTP est développé par un groupe appelé « Network Time Synchronization Project », constitué de bénévoles et subventionné par plusieurs organisations publiques américaines militaires et spatiales. Leur site officiel se trouve ici. Beaucoup d’informations dans ce papier proviennent de ce site, mais ici nous allons nous limiter aux applications pratiques:

Ce document se veut une introduction simple à NTP, ainsi qu’un tutoriel pour débutants. En suivant cet article, vous pourrez régler l’horloge de votre ordinateur sur l’heure atomique de manière permanente, et créer un réseau local synchrone.  Pour en savoir plus sur les aspects théoriques et techniques vous pouvez suivre les liens en bas de page, à commencer bien sûr par celui de ntp.org.

Un mot sur le fonctionnement de NTP en général (sous forme d’image simplifiée): NTP marche avec des serveurs et des clients (comme beaucoup de services). Le serveur sert l’heure aux clients, mais également à d’autres serveurs. Les serveurs sont classés dans une hierarchie de couches ou « strates » qui va de 1 à 16: la strate « 1 » est le plus près de La Véritable Heure Qu’Il Est Pour De Vrai (grâce à des horloges atomiques, du césium et tutti quanti).

Les simples mortels que nous sommes n’avons pas accès à ces serveurs-là: ils ne servent l’heure qu’à des serveurs de le deuxième strate. Ceux-là, nous avons le droit d’y accéder (enfin, à certains d’entre eux, voir plus loin). Un serveur de temps qui se règle sur un serveur de deuxième strate est appelé serveur de troisième strate, et ainsi de suite jusqu’à la strate 16, qui correspond à un ordinateur pas réglé du tout et en l’heure duquel on ne peut avoir aucune confiance.

Les serveurs des strates 1 et 2 sont « validés », ils sont intégrés dans des listes officielles consultables. A partir de la strate 3, aucune déclaration n’est nécessaire, et une entreprise ou un particulier peut parfaitement installer son serveur de temps de strate 3 chez elle ou lui. Une liste des serveurs NTP français² de strate 1 et 2 se trouve par exemple ici. Généralement, on trouve sur ces listes des indications concernant les autorisations d’accès: restreint ou libre, et souvent on vous demande d’envoyer un mail à l’administrateur du serveur de temps pour l’informer que vous faites régulièrement appel à ses services.

Mettre l’horloge à l’heure de manière ponctuelle³

La commande « ntpdate », suivie par le nom d’un serveur NTP, permet de régler l’horloge interne de votre ordinateur, ni plus ni moins. Pour vérifier si cette commande est bien présente sur votre système, vous pouvez vous connecter en tant que « root » (super-utilisateur), ouvrir un console « ligne de commande » (oui, je sais, je n’aime pas trop ça non plus), et taper: 

whereis ntpdate

Si « ntpdate » est bien installé, le système répond:

ntpdate: /usr/sbin/ntpdate

Sinon, il faut installer « ntpdate ». Sous Debian⁴, cela se fait par la commande (toujours en tant que « root » dans la console):

apt-get install ntpdate  

⁵

Maintenant, pour mettre votre ordinateur à l’heure il suffit de taper (toujours sur la ligne de commande):

ntpdate ntp.obspm.fr

⁶

En réponse, vous obtiendrez un message de ce genre:

19 Nov 10:06:03 ntpdate[23773]: step time server 145.238.110.68 offset 38.518511 sec

et voilà, votre ordinateur a été mis à l’heure! C’est magique, non?

Allons un peu plus loin

Maintenant que nous savons régler l’heure de notre ordinateur par NTP, il suffit de lancer la commande décrite ci-dessus de temps en temps, et tout va bien.
Non?
Euh, oui, enfin non, c’est à dire, oui bien sûr, mais ce n’est pas très excitant voyons! La moindre des choses serait que l’ordinateur effectue {lui-même} cette commande régulièrement, vous ne trouvez pas? Alors, aussitôt dit, aussitôt fait!

Le système Linux intègre une sorte de valet de chambre qui fait tout ce que l’on lui demande à l’heure que l’on lui demande; il s’agit d’un service nommé « cron ». Cron fait partie de toutes les distributions Linux, mais son mode de configuration peut varier; normalement il exécute les lignes d’un fichier et/ou le contenu d’un ou plusieurs dossier à des intervalles définis par l’utilisateur (et lors de l’installation du système). On peut donc se servir de « cron » pour une mise-à-l’heure régulière de l’horloge de l’ordinateur: il suffit simplement d’ajouter une ligne (ou un fichier) dans le fichier (ou dossier) adéquat pour que « ntpdate » soit exécuté aux heures voulues, et le tour est joué.

Ce papier ne décrit pas comment configurer votre service « cron », et ceci pour trois raisons: (1) ce n’est pas dans le contexte de l’article, (2) étant donné que toutes les distributions ne traitent pas le sujet de la même manière, ça risque d’être long, (3) ça a déjà été très bien fait ici⁷ et (4) dans le cas spécifique de NTP, il y a mieux que « cron » pour automatiser la mise-à-l’heure⁸.

Mieux

Vous vous souvenez peut-être du paragraphe où l’on parlait du « calcul de dérive » de l’ordinateur (bon là, je sais que vous m’avez vu venir avec mes gros sabots, mais vous êtes sympa et vous jouez le jeu), et vous demandez si NTP sait faire la même chose? Et bien oui. 

Et même plus: NTP peut consulter plusieurs serveurs de temps à des intervalles « intelligentes » (plus souvent au début et lorsqu’il y a des variations plus importantes, de manière plus espacée quand l’heure du système est plus stable). Il peut utiliser des filtres compensant les délais du réseau. Il peut utiliser des signatures chiffrées pour s’assurer de la validité du serveur. Il vous permet de créer votre propre serveur de temps chez vous, à votre domicile ou dans votre entreprise (un serveur de troisième strate donc), avec un poste qui s’ajuste sur un serveur externe, et les autres qui font appel à votre propre serveur de temps.
Et beaucoup plus encore … 

Pour ce faire, nous allons utiliser un autre utilitaire développé par le Network Time Synchronization Project, appelé « ntpd » pour « Network Time Protocol Daemon ». Un « démon » est une sorte d’agent chargé en mémoire (souvent au démarrage) qui veille, non pas sur nous - nous avons des anges pour cela, mais sur des processus de notre ordinateur. On pourrait appeler le service « cron » (ou plus précisément « crond ») dont nous parlions tout à l’heure un « démon à tout faire ». 

Comme pour « ntpdate », vous pouvez vérifier si « ntpd » est déjà installé sur votre système en tapant dans une fenêtre de terminal / console de commande:

whereis ntpd

Si le « démon » est présent, le système vous donnera son emplacement. S’il n’est pas présent, il convient de l’installer. Sous Debian[[Pour les autres distributions, voir remarque ci-dessus]] l’installation s’effectue avec la commande:

apt-get install ntp

Cela installera deux programmes: « ntp » et « ntp-simple », en même temps que le démon ntpd.

D’ailleurs, sous Debian c’est tout ce qu’il y a faire: le démon est automatiquement configuré et lancé. J’aurais pu écrire un tutoriel « L’heure atomique sous Debian » qui se serait resumé à cette seule ligne. Imaginez un peu l’économie pour le lecteur! 

Configuration de ntpd

Mais il est quand-même plus intéressant d’avoir une idée de ce qu’il se passe, et de modifier, si nécessaire, la configuration de notre démon du protocole de temps réseau. Pour cela, nous allons d’abord arrêter le démon ntpd, au cas où il serait déjà lancé (soit au démarrage, soit à l’installation), avec la commande: 

killall ntpd

Ensuite, nous allons regarder sous le capot de NTP. Allez dans le répertoire « /etc » (cette fois-ci, vous pouvez le faire dans votre environnement graphique préféré) et localisez et ouvrez le fichier « ntp.conf ». Si ce fichier n’existe pas (mais c’est peu probable, il est normalement créé lors de l’installation de NTP et ntpd), créez-le avec un éditeur de texte.

Ce fichier ntp.conf (ou /etc/ntp.conf, pour l’appeler par son nom complet) est un fichier de configuration Linux typique: il s’agit d’un fichier « texte », facilement modifiable à l’aide de n’importe quel éditeur de texte. Les lignes qui commencent par un # sont ignorées par Linux: elles servent pour faire des annotations, et sont appelées « lignes de commentaire ».
Le fichier ntp.conf représente la véritable « tour de contrôle » de NTP: nous pouvons configurer un nombre impressionnant de paramètres, options, services etc. à l’aide de ce fichier. Nous n’allons pas les passer en revue toutes: à vrai dire un seul paramètre nous intéresse à ce stade. Pour les autres, je vous invite à consulter les liens en annexe.

Le plus important est d’indiquer à NTP où il doit aller chercher l’heure (comme avec la commande « ntpdate » ci-dessus). Autrement dit, il faudra que nous lui donnions le ou les adresses d’un ou plusieurs serveurs de temps⁹. Pour ce faire, nous allons mettre des signes « # » devant toutes les lignes du fichier (ça les transforme en commentaires, et elles ne seront pas prises en compte par « ntpd » lors que nous le démarrerons tout à l’heure). Ensuite, nous allons ajouter au moins une ligne selon le modèle suivant:

server                  ntp.nom.dun.serveur

Remplacez « ntp.nom.dun.serveur » par le nom¹⁰ d’un serveur de temps de deuxième strate ouvert que vous aurez déniché dans une liste, par exemple celle-ci, et mettez une tabulation entre le nom du paramètre (« server ») et sa valeur (« ntp.nom.dun.serveur »). Nous pourrions nous arrêter là: un seul serveur suffit, en théorie. Toutefois, il est conseillé d’en mettre au moins trois, surtout dans un environnement de production. Cette redondance n’améliorera pas forcément beaucoup la précision de votre horloge, mais elle garantit surtout le bon fonctionnement si l’un des serveurs est en panne ou devient inaccessible.

Pour définir plusieurs serveurs, ajoutez une ligne par serveur selon le même modèle:

server                  ntp.nom.dun.serveur
server                  ntp.nom.dun.autre.serveur
server                  ntp.nom.dun.troisieme.serveur

Vérifiez bien dans la liste des serveur que le(s) vôtre(s) soi(en)t ouverts au public, et si vous l’adoptez, n’oubliez pas d’envoyer un mail si demandé. Vous aurez dans certains cas droit à une « newsletter » de leur part. 

Lancement de ntpd

Voilà, vous avez configuré l’essentiel. Pour le reste, NTP utilisera des valeurs par défaut, qui sont optimisées pour une utilisation « standard ». Un petit exemple: au premier démarrage, ntpd consultera les serveurs de temps toutes les 63 secondes. Au fur et à mesure qu’il obtient des données sur le comportement de votre ordinateur, il baisse le rythme pour finir par un sondage toutes les 1024 secondes (un peu plus de 17 minutes). Si un écart anormal intervient, ntpd reprend ses consultations plus rapides. Les données obtenues sont écrites dans un fichier nommé « ntp.drift » dans le dossier /etc (sauf si vous avez précisé un autre nom ou un autre endroit dans le fichier ntp.conf). Lors des démarrages suivants, ntpd fait appel à ce fichier. Il faudrait vraiment avoir une raison spéciale pour modifier les valeurs par défaut. 

Pour finir, sauvegardez le fichier « /etc/ntp.conf » que vous venez de modifier, et lancez le démon « ntpd » en tapant sur une ligne de commande (dans un terminal):

ntpd

A nous la précision atomique!

Vérification

Comment contrôler que notre horloge est désormais aussi précise que nous le souhaitons? En tout cas pas en vous fiant au carillon d’Europe 1, ça fait quelques années qu’ils ont sacrifié l’exactitude sur l’autel du marketing. Heureusement il y a mieux que ça: la commande « ntpdc ». Il suffit de retourner sur la ligne de commande et de l’utiliser comme suit: 

ntpdc -c sysinfo

¹¹

En retour, nous aurons un message qui ressemblera à celui-ci:

system peer:          lptfpc46.obspm.fr
system peer mode:     client
leap indicator:       00
stratum:              3
…

Sans aller dans les détails - encore une fois, ce n’est pas la vocation de ce tutoriel - nous pouvons constater que nous sommes bien client du serveur de temps de l’Observatoire de Paris, et que notre ordinateur est dans la strate 3 (logique, étant donné qu’il est client d’un ordinateur de la deuxième strate).

Problème rencontré et solution

Pour écrire ce papier, j’ai expérimenté le protocole NTP sur plusieurs ordinateurs et sous plusieurs systèmes d’exploitation (Linux Debian et Mandrake, NetBSD). La seule erreur que j’ai pu rencontrer était la suivante:
Lors de la vérification du bon fonctionnement avec la commande « ntpdc » décrite ci-dessus, il m’est arrivé d’obtenir le message suivant: 

system peer:          0.0.0.0
system peer mode:     unspec
leap indicator:       11
stratum:              16
…

Pour en savoir plus, j’ai redémarré ntpd après avoir ajouté la ligne suivante au fichier ntp.conf:

logfile                   /var/log/ntpd

Ainsi, le démon crée un « log » ou journal d’activités à l’endroit défini dans le fichier de configuration. Après lancement, ce journal contenait les entrées suivantes:

19 Nov 23:05:52 ntpd[729]: time set -0.001031 s
19 Nov 23:05:52 ntpd[729]: synchronisation lost
19 Nov 23:07:34 ntpd[729]: ntpd exiting on signal 15
19 Nov 23:07:39 ntpd[741]: signal_no_reset: signal 17 had flags 4000000

Or, en laissant fonctionner l’ordinateur pendant quelques heures, voire un jour, cette situation s’est résolue « d’elle-même », et ce même journal indique maintenant sur la dernière ligne:

20 Nov 05:27:11 ntpd[740]: kernel time discipline status change 1

Bien entendu, il ne s’agit pas d’un miracle: en réalité, il n’y avait pas de vrai problème! Seulement, « ntpd » a besoin de se « stabiliser », faire connaissance avec l’ordinateur en quelque sorte. Et comme « ntpd » est très prudent, cela peut prendre du temps, et même générer des erreurs si les écarts sont trop importants, au quel cas « ntpd » s’arrête tout simplement pour éviter de faire n’importe quoi. Pour cette raison, il est d’ailleurs conseillé de lancer « ntpdate » avant le premier démarrage de « ntpd »: cela garantit qu’il n’y aura pas d’écart significatif entre l’heure de l’ordinateur et l’heure trouvée par « ntpd ».

Votre propre serveur de temps

Nous avons mentionné la possibilité de monter son propre serveur d’heure sur un réseau local, en entreprise ou à domicile. Si vous avez suivi ce petit tutoriel et vous avez installé les différentes composantes de NTP, créer votre serveur n’est pas bien compliqué. En réalité, si vous avez configuré le protocole tel que suggéré ci-dessus, vous avez {déjà} monté votre serveur de temps! En effet, vous pouvez utiliser - dans cette configuration - n’importe quel client opérationnel en tant que serveur pour vos autres ordinateurs: 

Décidez quel ordinateur sera votre serveur de temps. Ne changez pas sa configuration, mais allez dans le fichier ntp.conf des autres ordinateurs de votre réseau, et remplacez la/les ligne(s)

server                  ntp.nom.dun.serveur

par

server                  nom.ou.adresse.ip.interne.de.votre.propre.serveur

Sauvegardez et relancez « ntpd » sur vos clients. Si tout se passe bien, une vérification par « ntpdc -c sysinfo » permet de constater que (1) vous êtes bien connecté à votre propre serveur, et (2) vos clients se trouvent maintenant dans la strate 4 (car ils dépendent d’un serveur de la strate 3):

system peer:          192.168.0.9
system peer mode:     client
leap indicator:       00
stratum:              4

Divers

Un mot sur l’heure de votre ordinateur: si vous travaillez sous Unix, Linux ou BSD, il est probable que votre machine tient une « double compatibilité », avec une horloge réglée sur l’heure GMT (Greenwich Meridian Time, identique à toutes fins utiles à UTC, Universal Time - Coordinated), et l’autre réglée sur l’heure qui correspond à votre fuseau horaire.

Si vous déployez NTP au sein d’une entreprise (« environnement de production ») et surtout si NTP intervient dans la synchronisation de serveurs et de services, ce simple tutoriel ne suffit pas: vous devriez notamment regarder de plus près les aspects de sécurité (pour que personne puisse venir dérégler l’heure sur votre réseau) et de redondance (pour être à l’abri de pannes). Vous trouverez ci-dessous quelques liens qui mènent vers des informations plus approfondies.

Régler l’heure sous Windows

Pour être le plus complet possible, voici le guide du réglage de l’horloge sous Windows. Comme pour NTP, je n’entrerai pas dans les détails, il convient de considérer ce mini-tutoriel comme une introduction. A noter toutefois que, contrairement aux solutions Linux/BSD, ce réglage est payant: il vous sera facturé 0,1124 Euros (tarif TTC 9/2003). 

• Cliquez sur « Démarrer » (en bas à gauche)
• Faites glisser la souris jusqu’à « Paramètres », ensuite « Panneau de Configuration »
• Double-cliquez sur l’icône « Date et Heure »
• Une fenêtre avec une montre s’ouvre. Avancez la montre à l’aide de la souris jusqu’à la minute suivante (et zéro secondes)
• Téléphonez au 3669
• Au troisième top, fermez la fenêtre à l’écran en cliquant sur « OK »
• Raccrochez

Voilà, pas de jaloux. 

Liens

• Site officiel du protocole NTP. LA référence (anglais)
• Plus d’informations sur le service de temps NTP, Université de Bretagne (français)
• La synchronisation horaire des équipements informatiques, Université de Rennes (français)
• Page avec plus de détails sur la configuration de NTP/ntpd (français)
• Une liste de serveurs de temps NTP français (strate 1 et 2)
• Site de l’Observatoire de Paris
• Page sur NTP par le Comité Réseau des Universités
• Conventions du SI (Système International): Temps Atomique, UT, UTC, etc. (anglais)
• Guide très exhaustif et pratique sur NTP et sa configuration (anglais)
• Linux et le temps
• Serveur de temps

Introduction à la saga Microsoft. Avertissement: l’auteur n’est pas un grand amateur de la firme de Redmond. Il explique pourquoi.

« Un Système d’Exploitation pour les amener tous et dans les ténèbres les lier… »

Le titre de ce papier vous a peut-être donné un indice: je ne suis pas très impressionné par les gars de Redmond. On pourrait même dire que mon antipathie pour Microsoft est devenue une haine incontrôlée à la Don Quichotte.  Alors pourquoi tant de haine ?

Bien entendu, j’ai été accusé d’antipathie personnelle, voire jalousie, à l’égard de Bill Gates et ses milliards, et d’avoir des préjugés infondés envers tout ce qui est Microsoft. Tout ceci est faux. Je n’ai rien contre Bill Gates, pourquoi je le devrais ? Je ne le connais pas, je ne l’ai jamais rencontré. Je suis d’accord avec ceux qui disent qu’il pourrait bien être le meilleur vendeur de l’histoire.  Et j’ai toujours considéré que même un seul milliard dans presque n’importe quelle monnaie représente plus d’argent que je pourrais raisonnablement dépenser.

Non, je m’oppose plutôt à ses pratiques d’affaires, et à celles de sa société, et ce pour un grand nombre - de plus en plus grand -  de raisons. L’essentiel de ces raisons est constitué de faits simples et vérifiables.

Laissez-moi vous expliquer.

Clause Limitative de Responsabilité

Ce qui suit représente mon point de vue personnel. Il ne représente pas nécessairement le point de vue de mes employeurs, clients, associés, amis ou mes animaux domestiques, ni celui de mes plantes. Si vous lisez ceci et un arbre tombe sur votre maison à cause d’une inexactitude de ma part, je ne pourrais en être tenu responsable.

Toutes les marques déposées mentionnées dans ce texte appartiennent à leurs propriétaires respectifs.

Résumé

Microsoft a le contrôle du marché actuel des logiciels, et possède un monopole de fait dans le monde des PC. Ce monopole n’a pas été obtenu - et n’est pas maintenu - en offrant aux utilisateurs de meilleurs produits que la concurrence. Au contraire, Microsoft est surtout réputé pour vendre des produits peu fiables, construits à partir de morceaux venus d’ailleurs. Windows est un système d’exploitation techniquement inférieur,  basé sur une architecture sérieusement compromise et un modèle de sécurité faible, le tout codé de manière approximative. Il en va de même pour les autres applications de Microsoft. Les nouveaux produits sortis par Microsoft n’offrent pas de vraies améliorations comparés aux précédents ni à ceux de la concurrence, et le retour sur investissement qu’ils représentent se situe entre très peu et zéro, et ce en dépit des déclarations officielles de Microsoft prétendant que la société est innovatrice et orientée vers ses clients.

Au lieu de produire de meilleurs logiciels, Microsoft s’est concentré sur l’utilisation de tactiques marketing brillantes mais douteuses à fin d’imposer ses produits  aux utilisateurs, et de créer et maintenir un monopole. Ces méthodes comprennent une dépendance forte des applications du système d’exploitation, la vente combinée d’applications avec Windows pour écarter la concurrence, la vente forcée de Windows avec des ordinateurs neufs, une compatibilité limitée délibérée entre ses logiciels et ceux de la concurrence, des contrats interdisant aux tiers de traiter avec d’autres sociétés que Microsoft, et des représailles contre des revendeurs qui ne coopèrent pas.

En outre, les développeurs de logiciels sont amenés, à travers de kits de développement peu chers ou gratuits, et par le sabotage des alternatives, à écrire des applications qui contiennent des appels propriétaires au système, qui ne sont pas portables sur d’autres plate-formes, et qui par le fait sont liées à MS-Windows.

Ces méthodes contribuent à l’inflation des marges commerciales obscènes de Microsoft, et ce au détriment des intérêts de la communauté des utilisateurs, du marché des logiciels et du domaine de la technologique informatique en général.

Table des matières

1. De la part de ceux qui vous ont présenté EDLIN
Microsoft et l’innovation   

2. Le pas-si-bien, le mauvais et le moche
La qualité générale des produits Microsoft   

3. Le pouvoir de lier
Formats et standards   

4. Domination mondiale
Du commerce jusqu’à la mégalomanie   

5. Mauvaises pratiques, tricheries
A la recherche des limites du comportement légal

6. Caveat Emptor
Réfléchissez avant d’acheter

7. Où êtes-vous obligé d’aller aujourd’hui?
Détermination de prix et autres pratiques monopolistiques 

8. La route devant
Retours en baisse et tendances 

9. Annexe A: Vue générale des défauts les plus sérieux de Windows 

10. Liens

Les chapitres suivants seront mis en ligne au fur et à mesure que leur traduction avance. Revenez donc bientôt pour la suite :) 

Traduit par polderpundit avec l’aimable autorisation de l’auteur, Frank van Wensveen.

La version originale, complète et à jour de ce document se trouve ici (en anglais) : 

Why I Hate Microsoft

Des logiciels gratuits qui peuvent coûter cher

Pourquoi s’intéresser à la licence d’utilisation de Windows Media Player (WMP) ? Parce que ce logiciel risque de faire des petites choses que tous les logiciels ne font pas (encore). Des petites choses que vous ne verrez pas forcément. Mais qui sur le plan juridique nécessitent quand-même votre accord. Alors, avant de cliquer sur « OK », prenez quelques minutes pour lire cet article, si vous voulez bien.

Qu’est donc un CLUF ?

CLUF = Contrat de Licence Utilisateur Final (en anglais : EULA = End User Licence Agreement), la licence d’utilisation qui vient avec un logiciel commercial, shareware et certains freeware. Quand vous achetez un logiciel (ou un OS, Système d’Opération) dans une boîte, le CLUF se trouve souvent dans la toute petite pochette en plastique que vous n’ouvrez jamais (regardez dans votre placard, je parie qu’il y en a quatre ou cinq qui traînent), ou encore dans une enveloppe marquée : « L’ouverture de cette enveloppe signifie votre accord avec les termes de la licence » (qui se trouve donc … à l’intérieur). Quand vous achetez un logiciel par internet et vous le téléchargez, le CLUF s’affiche dans une toute petite boîte de dialogue (pour le lire, il suffit de faire défiler les 7 pages) et un grand bouton « I AGREE », « I ACCEPT » ou encore « OK » en bas.

Grosso modo, le CLUF est là pour vous rappeler vos droits et devoirs, et vous rappeler surtout que vous n’avez pas acheté le logiciel (ou l’OS) en question, mais juste une licence d’utilisation [1].

Windows Media Player est, comme son nom le laisse supposer, une application, développée par Microsoft, et destinée à la lecture de fichiers « multimédia », notamment des vidéos et de la musique. A ce titre, et dans le contexte actuel par rapport à la protection (copyright) de ce type de fichiers, et du DRM (Digital Right Management ou Gestion de Droits Digitaux (voir aussi cet article), concept cherchant à contrôler l’utilisation de tels fichiers, WMP peut paraître comme une pièce maîtresse potentielle dans l’arsenal de Microsoft.

En effet, les maisons d’édition de disques cherchent désespérément des moyens efficaces (surtout depuis le contournement par un garçon de 15 ans du système de cryptage de DVD « CSS ») de protection des œuvres qu’elles distribuent, pour combattre les copies illégales et le piratage. Selon la nouvelle terminologie, une œuvre ainsi protégée s’appelle « Secure Content » ou « Contenu sécurisé » (retenez bien ce terme, vous en entendrez parler souvent).

Microsoft propose une système conçu pour garantir une telle protection ou sécurisation : ça s’appelle Windows Media Rights Manager. Et quand on sait que le chiffre d’affaires mondial de l’industrie du disque pèse 30,3 milliards de dollars (soit environ 30 milliards d’euros), on s’imagine aisément le désir de Microsoft de prendre une part de ce gâteau, en proposant des licences de sa technologie aux industriels de ce secteur…

Comment le DRM de Microsoft assure-t-il la protection des fichiers ?

Plus qu’un cryptage « simple », le Windows Digital Right Manager est basé sur un triangle d’échanges d’informations entre le fournisseur du contenu, l’ordinateur du client, et un « serveur de licences » (Clearinghouse License Server). Voici un petit diagramme que vous pouvez trouver sur le site de Microsoft :

En résumé, la musique est transformée dans un format propriétaire de Microsoft (Windows Media File) et « emballée » dans un « paquet sécurisé » à l’aide d’une clé de licence, achetée à Microsoft par le fournisseur de musique. Le paquet sécurisé peut ensuite être librement distribué, vous avez même le droit de le copier autant de fois que vous le voulez, vous pouvez le donner à des amis, et même le partager sur internet. Et pour cause, car ce fichier ne sert à rien sans une licence utilisateur, qui vous sera délivrée (contre une petite participation) par le « serveur de licences ».

Que contient la licence utilisateur ?

La licence permet de débloquer le « paquet sécurisé ». Elle est personnalisée pour chaque ordinateur de chaque client, et elle peut contenir les informations / instructions suivantes :

•  le nombre de fois qu’un morceau peut être joué,
•  sur quel appareil la musique peut être jouée (par exemple : le droit de transférer le morceau vers un player portable aux normes SDMI (Secure Digital Music Initiative) [2],
•  quand l’utilisateur peut commencer à écouter la musique, et la date d’expiration,
•  si la musique peut être gravée sur un CD,
•  si l’utilisateur peut sauvegarder et restaurer la licence,
•  le niveau de sécurité requis pour pouvoir jouer le fichier Windows Media,
•  et beaucoup d’autres encore…

C’est le fournisseur de contenu (la maison de « disques » par exemple) qui décide des instructions contenues dans la licence. C’est elle aussi qui définit quand vous pouvez obtenir la licence (lors du téléchargement, lors de la première lecture, etc), et si ce processus, ainsi que celui du contrôle de légitimité de votre licence, ont lieu « ouvertement » (vous êtes informé de ce qu’il se passe) ou « silencieusement » (derrière votre dos en quelque sorte)

Ça vous paraît compliqué ?

Microsoft écrit à l’attention de ses clients (pas vous, les éditeurs de musique) :

    « A DRM system is different from traditional security models in that the consumer is both your user and the one you want to protect your content from. Because of this, and because DRM adds extra steps to the process of content distribution, consumers do not want DRM.” [3] »

Ça donne :

    « Le DRM diffère d’un système traditionnel de sécurité dans le sens où le client [oui, là c'est bien vous] est à la fois votre utilisateur et celui contre qui vous souhaitez protéger le contenu [c'est nous qui insistons]. Pour cette raison, et parce que le DRM ajoute des étapes supplémentaires à la distribution de contenu, les clients ne veulent pas de DRM. »

“Maintenant que j’ai ma licence et ma musique, je peux l’écouter ?” 

Oui, mais pas avec n’importe quel logiciel ! Pour écouter de la musique sécurisée, il faut un lecteur sécurisé (Microsoft appelle ça un « Logiciel DRM », c’est-à-dire un logiciel qui reconnaît et est reconnu par le Windows Media Right Manager). Ça peut être un logiciel développé par une autre société et validé par Microsoft, mais quelque chose me dit qu’ils préfèrent que vous utilisiez Windows Media Player. Mais ne vous inquiétez pas (ou inquiétez-vous !), ça revient au même.

“Tout ce que l’homme crypte, l’homme peut décrypter”

Nous savons tous que des codages, cryptages et autres protections soi-disant « incontournables » sont détournés tous les jours. Alors, tout en souhaitant bien sûr une longue vie et beaucoup d’enfants au Windows Media Rights Manager, ce beau système ne risque-t-il pas d’être « cracké » au bout d’une semaine ?

Oui, et c’est même prévu par Microsoft.

Aussi, le Windows Media Right Manager intègre une fonction de « révocation ». Lors d’un téléchargement de licence, le serveur de licences peut vous envoyer (« silencieusement ») une liste de logiciels de lecture « révoqués », c’est-à-dire des applications « crackées » et qui ne sont donc plus dignes de la confiance de Microsoft. Si votre lecteur en fait parti :

•  soit il sera désactivé, et vous ne pourrez plus lire votre « contenu sécurisé », qu’il soit obtenu de manière légale (en fonction de la définition de la licence par le vendeur) ou pas,
•  soit vous serez obligé d’effectuer une mise à jour du lecteur, faute de quoi ce sera la même punition.

« Mais ils n’ont pas le droit de faire ça ! »

Non, ils n’ont pas le droit. Sauf si vous cliquez sur le bouton « J’accepte » du CLUF, dont voici un extrait :

    Extrait CLUF Windows Media Player 9:

    « Les fournisseurs de contenu utilisent la technologie de gestion des droits numériques Microsoft (« DRM ») contenue dans les Composants SE [4] pour protéger l’intégrité de leur contenu (le « Contenu sécurisé ») afin d’empêcher toute enfreinte (sic) aux droits de propriété intellectuelle, y compris les droits d’auteur, qu’ils détiennent dans ce contenu. Certaines parties des Composants SE et des applications tierces telles que les lecteurs de média utilisent Microsoft DRM pour diffuser le Contenu sécurisé (les « Logiciels DRM »). Si la sécurité des Logiciels DRM a été compromise, les propriétaires dudit Contenu sécurisé (les « Propriétaires de Contenu sécurisé ») peuvent exiger que Microsoft révoque le droit aux Logiciels DRM de copier, d’afficher et/ou de diffuser le Contenu sécurisé. La révocation ne modifie pas la capacité des Logiciels DRM à diffuser les contenus non sécurisés. Une liste des Logiciels DRM ayant fait l’objet d’une révocation est transmise à votre ordinateur chaque fois que vous téléchargez une licence de Contenu sécurisé via Internet. Par conséquent, vous acceptez que Microsoft puisse également, en association avec une telle licence, télécharger vers votre ordinateur des listes de logiciels révoqués dans l’intérêt des Propriétaires de Contenu sécurisé. Microsoft ne recueillera de votre ordinateur aucune information pouvant vous identifier personnellement, ni aucune autre information, au cours du téléchargement desdites listes de logiciels révoqués. Les Propriétaires de Contenu sécurisé peuvent également exiger que vous mettiez à jour certains des composants Microsoft DRM contenus dans les Composants SE (les « Mises à jour DRM ») avant d’en accéder le contenu (resic). Lorsque vous tentez de diffuser ledit contenu, les Logiciels DRM vous signalent qu’une Mise à jour DRM est requise, puis sollicitent votre consentement avant de télécharger la Mise à jour DRM. Les Logiciels DRM tiers peuvent agir de même. Si vous refusez la mise à jour, vous n’aurez plus la possibilité d’accéder au contenu qui requiert la Mise à jour DRM ; toutefois, vous pourrez toujours accéder au contenu non sécurisé ainsi qu’au Contenu sécurisé qui ne requiert pas la mise à jour. »

Vous en avez assez ? Pourtant, j’ai gardé le meilleur pour la fin.

Les trois mamelles du DRM : Individualisation, Révocation, Secure Audio Path

•  Individualisation : les licences délivrées par le « serveur de licences » sont personnalisées : elles définissent très précisément ce que l’on peut faire avec tel contenu sur tel ordinateur.
•  Révocation : Lorsque un logiciel de lecture est compromis (« cracké »), la possibilité de lire du contenu sécurisé peut être révoquée.
•  Secure Audio Path : Tiens, on en avait pas encore parlé de celui-là. Qu’est-ce donc ?

SAP est le futur système destiné à éviter le détournement du signal audio (la musique) par un autre logiciel (style TotalRecorder), entre le décryptage par le lecteur et l’arrivée à la carte son. Pour que SAP fonctionne, il faut que votre carte son soit agréée DRM. Dans ce cas, un canal sécurisé pourra être créé entre le logiciel DRM et le composant DRM du kernel de votre OS [5]. Du bruit est ajouté au signal audio, le tout est transporté vers la carte son, qui « nettoie » le signal et le restitue. Il est prévu que le fournisseur de contenu peut exiger, par l’intermédiaire de la licence utilisateur, la présence d’une carte son DRM-compatible. Il peut également activer ou désactiver la sortie digitale de cette carte.

Conclusion

•  Réflechissez avant d’accepter la licence d’utilisation de Windows Media Player.
•  Réfléchissez avant d’acheter votre prochaine carte son.
•  Réfléchissez avant d’installer Windows sur votre ordinateur.

Vous pourriez avoir de la visite.

Notes :

[1] Bien entendu, ceci ne s’applique pas aux applications développées en Open Source, les logiciels et systèmes d’opération libres. 
[2] Vous remarquerez qui nous sommes dans un monde totalement « sécurisé ». A vous de voir si c’est rassurant.
[3] Source : Microsoft himself
[4] SE = Système d’Exploitation, ou OS
[5] à ce jour, seul Windows ME a un kernel qui gère le DRM, les utilisateurs de cet OS auront vraiment été des cobayes sur tous les plans. Et d’après Microsoft : « Secure Audio Path is planned to be a feature of future Microsoft operating systems », autrement dit, il est prévu d’intégrer SAP dans des versions futures de Windows. Suivez mon regard… Palladium !

Le commencement, les fondateurs

Jésus est né de parent plutôt pauvres. Bill est un gosse de riches (quoique moins que ses enfants …) Mais leurs, comment dire, entreprises ? empires ? ont vu le jour à un tournant de l’histoire : l’arrivée des Romains en Judée pour l’une, l’arrivée des ordinateurs personnels à l’université et dans le monde des Grands Systèmes pour l’autre.

 L’inspiration

L’église catholique s’est très largement inspirée du judaïsme avant de le modifier un peu et d’en faire son produit phare. Microsoft s’est très très largement inspiré du « Basic » que Gates a connu à l’université avant de le modifier si peu et d’en faire son premier fonds de commerce. Il est a souligner que dans les deux cas, les modifications initiales étaient minimes (l’un d’eux a même avoué, d’après des témoins, qu’il ne voulait rien modifier ; l’autre n’a rien modifié mais a proclamé le contraire)

 Les débuts joyeux

Au début, pour les deux entreprises, c’était surtout une histoire de fun et de passion. Leurs créateurs croyaient en leur produit, et ils ont formé un groupe de fans autour d’eux, constitué de gens parfois marginaux. Ils prenaient des repas ensemble, le pain et les copies se multipliaient. Ils s’amusaient quoi, tout en discutant des améliorations à apporter au monde.

La conquête initiale

Par la suite, et par des concours de circonstances politiques (pour Microsoft, c’est parce que maman (Mary Gates) connaissait un responsable d’International Business Machines ; l’autre maman (Marie tout court) était partie depuis longtemps ; l’échelle du temps n’a aucune importance dans cette histoire. Mettez ça sur le compte de la théorie de la relativité, du Big Bang ou de El Nino si vous voulez), les deux ont réussi à s’infiltrer au sein de la plus grande puissance dans leur domaine : celle d’IBM et celle des Romains.

La fin du produit - le début du marketing

Les produits respectifs étaient devenus les standards du marché. Aussi, le produit en lui-même n’avait plus d’importance, ni sa qualité. Imperfections, mises-à-jour tardives et bourrées de défauts, management défaillant, peu importe, la position d’un quasi-monopole permettait de faire n’importe quoi. Les deux entreprises ne s’en sont pas privées, et l’on remarquera par ailleurs que toutes ces traditions sont encore scrupuleusement respectées au jour d’aujourd’hui. Les problèmes éprouvés par les clients ont toujours été la moindre des soucis de ces boîtes, et le Service Après Vente n’a jamais été leur point fort. Que ce soit sous forme d’appel téléphonique ou de confession, dans les deux cas l’utilisateur paye cher les problèmes qu’il rencontre avec le produit. 

Écrasement de la concurrence

On a déjà remarqué que le produit en lui-même avait perdu son importance pour les gérants . Ce qu’il compte pour une entreprise arrivée à ce point, c’est d’abord d’écarter les concurrents potentiels pour préserver le monopole ; c’est cette fin qui justifie tous les moyens, qui peuvent s’appeler ‘inquisition’, ‘bugs intentionnels’, ‘croisades’ ou encore ‘campagnes de désinformation’. De multiples sociétés concurrentes se sont ainsi retrouvés devant les tribunaux, en faillite ou sur le bûcher. Deux exceptions à noter : Apple et les Anglais. Dans les deux cas (l’histoire jugera) ces exceptions n’auront pas durablement troublé la domination mondiale de l’entreprise en question. 

Conquête et création de nouveaux marchés

Une fois le monopole bouclé, et pour conserver une dynamique de progression, les deux entreprises ont été obligées d’élargir leurs marchés. Ceci peut passer par la conquête (voyages du pape, rachat, croisades (encore), copie ou vol, missionnaires) ou par la création et la diversification (constructions immobilières, Xbox, interdiction des préservatifs, logiciels, scouts, mises-à-jour, commerce d’absolutions). Les deux entreprises ont bien compris que l’immobilisme, se contenter de l’acquis, équivaut à reculer dans un monde qui bouge. Ils ont bien compris que le fait que leur gérant soit l’homme le plus riche du monde n’est pas une fin en soi. Les deux ont employé ou emploient des méthodes dont il faut nuancer le jugement, mais qui sont pour le moins critiquables. 

Rapprochement du pouvoir civil

L’église catholique a mis quelques siècles avant de devenir incontournable pour arriver aux postes d’empereur, roi et autres fonctions haut placées. Par la suite, et pendant longtemps, pouvoir civil et religieux ont été inséparables. Quant à Microsoft, fournisseur privilégié d’administrations, éducation et armées, la justice américaine va à Canossa ces jours-ci. Les deux entreprises se sont montrés magistrales dans l’art du lobbying. Leurs représentants ont d’ailleurs été vus régulièrement au Capitole.

Fidélisation : Sanctions et Sanctifications

Le bâton et la carotte. C’est ainsi que l’on peut qualifier leur stratégie commerciale commune, destinée à garder le client. Appartenir à l’église était incontournable, non seulement pour les dirigeants de l’époque comme on l’a vu ci-dessus, mais également pour le ‘peuple’. Tout comme maîtriser au moins deux produits Microsoft l’est aujourd’hui, ne fut-ce que pour trouver du travail. Ça, c’est le coté bâton. Coté carotte, la fidélité imposée est récompensée, bien entendu. Que ce soit par un séjour à durée indéterminée au paradis, ou par des mises-à-jour à durée bien déterminée, les deux promesses sont alléchantes, voire irrésistibles, surtout comparé à la peine et au malheur quotidiens (dont parfois les produits sont à l’origine !). 

Perspectives

L’église catholique, malgré ses efforts, a l’air d’être dans une phase moins agressive et conquérante en ce moment (ça fera rire les élèves de CE2 dans 200 ans, quand le pape sera président du monde. Le même ? Oui, le même). J’ai essayé de démontrer que Microsoft, avec des méthodes tout à fait similaires, a bâti en 20 ans une position comparable à celle que l’église à mis 2000 ans à construire (ceci dit, chez les dinosaures on comptait en millions d’années, eh oui, tout va plus vite ma brave dame). Mais Microsoft n’a pas encore épuisé tout l’arsenal marketing que l’église a inventé (ou copié avec réussite) : ainsi, par exemple, la filière “tu ne pêcheras point, car l’omniprésent te voit” n’a pas encore été exploité à fond. Enfin, c’est en cours d’élaboration, ça pourra s’appeler TCPA ou autre chose, peu importe le nom de la rose …

Extroduction

Le but de cet article est d’étudier et de comparer les similitudes entre la naissance et le développement de Microsoft, et ceux de l’église catholique. Toutes les opinions exprimées directement ou indirectement n’engagent que moi ; elles peuvent être à but volontairement provocateur (je préfère ‘titillant’), mais jamais intentionnellement blessant.

Et pas de prosélytisme !

D’autres articles dans cette série qui ne verront probablement jamais le jour : 

•  Luther et Linux
•  Votre Palladium, vous l’emporterez au Paradis
•  Melinda & Magdalena
•  Le bug de l’an 0