Serveur mail d’envoi + signature DKIM + liberté de choix d’adresse de l’expéditeur

On entend souvent les clients OVH se plaindre à propos du mail:

  • envoi compliqué, soumis à des quotas par heure et par IP
  • réputation médiocre des serveurs d’envoi partagés avec les autres clients
  • selon l’offre d’hébergement, impossible d’envoyer un mail à partir d’un alias ou adresse de redirection
  • absence de signature DKIM
  • mails envoyés qui disparaissent parfois, et aucun moyen de les retracer
  • webmail roundcube remplacé par Outlook Web (les choix ça ne se discute pas)

Dans ce tuto pas à pas, je vous propose de réaliser un serveur mail ayant les fonctionnalités suivantes:

  • envoi uniquement
  • pas de réception de mail (donc pas de problématique de filtrage du spam, etc)
  • pas d’hébergement de boîtes mail (le serveur ne contient aucune donnée à conserver)
  • c’est “votre serveur”, donc une adresse IP dédiée dont la réputation ne tient qu’à vous
  • soumission de mail uniquement via TLS sur le port 587 pour les utilisateurs autorisés.
  • Le port 25 est fermé.
  • le login d’authentification n’est pas relié à l’adresse mail de l’expéditeur
  • ajout de la signature DKIM pour un ou plusieurs domaines
  • accès aux fichiers log permettant un diagnostic (livraison ? refus ? etc)
  • En option, installation d’un serveur webmail roundcube, les messages restant sur le serveur IMAP. C’est publié ici !

Le tuto est réalisé sur la base d’un serveur VPS à 3€ TVAC par mois, loué au mois sans engagement, chez le fournisseur Hetzner. Il a un processeur 1 coeur, 20 GB de disque, 2 GB de RAM. C’est largement suffisant pour ce qu’on veut en faire. Vous avez le choix du fournisseur de cloud VPS. Il faut un VPS où vous avez le droit ‘root’.

Au niveau logiciel, debian 10.3, postfix, sasl, opendkim.

Il faut baptiser ce serveur (lui donner un nom complet dans un de vos domaines). Je déconseille formellement les nouveaux noms de domaines .site, .xyz, .pro, .bid, .best et autres, aussi bien dans le nom du serveur que dans les adresses mail d’expéditeur. Ces suffixes sont trop abusés par les spammeurs.

Appelons notre serveur bazooka.example.com dans la suite.

Supposons que vous avez 2 clients Tom et Jerry qui doivent recevoir chacun un login pour pouvoir envoyer des mails via ce serveur. Vous devez avoir confiance dans vos clients. Si l’un d’eux se met à spammer, il va pourrir la réputation de l’adresse IP de votre serveur.

Tom possède 2 domaines asteryx.be et obelyx.be dont les mails sortants devront être signés DKIM en sortie par notre serveur. (à la date de rédaction, ces 2 domaines sont libres)

Au niveau DNS, on devra

  • ajouter une entrée A pour bazooka.example.com. La mise à jour se fait dans la zone DNS là où le domaine example.com est hébergé.
  • mettre à jour le reverse (une entrée PTR) liée au serveur VPS. Cette mise à jour se fait chez le fournisseur du VPS et doit intervenir après l’étape précédente. N’oubliez pas de faire de même pour votre adresse IPv6 le cas échéant. C’est nécessaire pour le mail sortant.
  • ajouter une entrée TXT pour chacune des clés publiques DKIM. Cette mise à jour se fait par Tom ou son prestataire, auprès de l’hébergeur des domaines asteryx.be et obelyx.be.
  • Si vos domaines ont un enregistrement SPF, n’oubliez pas d’y ajouter l’adresse IP de votre nouveau serveur sous la forme IP4:123.45.67.89 . Idem pour l’adresse IPv6.

Hop à vos claviers ! Vous êtes supposé être capable d’utiliser ssh, putty, vi ou nano, et les commandes basiques.

Le serveur VPS est livré avec Debian 10 “tout nu”.

Commencez par changer le mot de passe de ‘root’, minimum 10 caractères, lisez mon article : Votre mot de passe est-il sûr ? .
Ou mieux, abandonner les bons vieux mots de passe au profit des clés ssh.

Mise à jour du système

apt-get update && apt-get dist-upgrade

Une petite parenthèse ici: si vous ne souhaitez pas que l’éditeur vi fasse de l’analyse syntaxique en couleurs, tapez la commande suivante:

echo syntax off >> ~/.vimrc

On va indiquer le nom du serveur, en éditant /etc/hostname : mettre le nom complet bazooka.example.com ; et /etc/hosts  : à côté de l’adresse IP remplacer l’ancien nom par le nom complet, un espace, puis le nom court:

123.45.67.89 bazooka.example.com bazooka

Définition de notre fuseau horaire:

dpkg-reconfigure tzdata

Un reboot à ce stade ne fait pas de tort: “reboot” ou “shutdown -r now”.
Ensuite on va installer les packages qui nous intéressent, d’abord nos boîtes à outils:

apt-get install whois at telnet ntp mailutils dnsutils

et ensuite

apt-get install postfix

Cette installation pose une question. Il faut dire qu’il s’agit d’un “internet site” et renseigner le nom de ce serveur: bazooka.example.com

On continue:

apt-get install sasl2-bin libsasl2-modules

Comment cela fonctionne-t-il ?

Postfix transporte du mail mais ne gère pas l’authentification des utilisateurs. Pour cela on fait appel à un “sous-traitant” nommé SASL, une librairie qui sert exclusivement à cela.

Installation de SASL

Dans notre serveur, SASL validera sur base d’un compte Unix.
Configuration de SASL, on édite le fichier /etc/default/saslauthd

On change la ligne:
START=yes
Remarquez MECHANISMS=”pam” qui indique l’utilisation du compte Unix

et la dernière ligne doit être remplacée par:

OPTIONS="-c -m /var/spool/postfix/var/run/saslauthd"

Sauvez le fichier.

On doit mettre Postfix dans le groupe SASL pour pouvoir avoir accès au socket de communication inter-processus.

adduser postfix sasl

et on redémarre le démon:
service saslauthd restart

On crée un compte pour tom

adduser tom
(-> répondre aux questions )

chsh tom
(-> répondre: /usr/sbin/nologin )

On vérifie que SASL est capable de valider le login/pass de Tom:

testsaslauthd -u tom -p goodpassword -f /var/spool/postfix/var/run/saslauthd/mux
0: OK "Success."
testsaslauthd -u tom -p badpassword -f /var/spool/postfix/var/run/saslauthd/mux
0: NO "authentication failed"

On fait de même pour jerry.

Configuration de Postfix

Postfix s’appuie essentiellement sur deux fichiers /etc/postfix/master.cf et /etc/postfix/main.cf.

Editez /etc/postfix/master.cf pour apporter les modifications suivantes:

  • Mettez en commentaire la ligne qui commence par “smtp”. Ceci empêchera la réception de mail sur notre serveur.
  • Décommentez la ligne qui commence par #submission ainsi que la dizaine de lignes de continuation qui suivent.

Editez /etc/postfix/main.cf  et ajoutez ce bloc de lignes, mettez-le par exemple en-dessous des paramètres TLS

# suggéré via blog.demees.net
smtpd_restriction_classes = mua_sender_restrictions, mua_client_restrictions, mua_helo_restrictions
mua_client_restrictions = permit_sasl_authenticated, reject
mua_sender_restrictions = permit_sasl_authenticated, reject
mua_helo_restrictions = permit_mynetworks, reject_non_fqdn_hostname, reject_invalid_hostname, permit
smtpd_sasl_auth_enable = yes
smtpd_sasl_path = smtpd
smtp_tls_security_level = may
message_size_limit = 40960000

Plus bas, vérifiez que la ligne “myhostname=” contient bien le nom complet du serveur, par exemple bazooka.example.com.

Il faut relier Postfix avec le démon saslauthd, via le fichier /etc/postfix/sasl/smtpd.conf :

pwcheck_method: saslauthd
mech_list: PLAIN LOGIN

Sauvez, et puis tapez la commande: postfix reload

A ce stade le serveur mail est opérationnel, mais sans DKIM.

Installation de OpenDKIM

Comme pour SASL, l’ajout de DKIM se fait par un module complémentaire.

Postfix et DKIM vont communiquer par un “socket” TCP n° 12301 choisi arbitrairement et que vous pouvez altérer à votre guise, des deux côtés de la configuration.

apt-get install opendkim opendkim-tools

A nouveau, on va éditer les fichiers de configuration, puis créer des clés pour les domaines dont il faut authentifier les mails.

Edition de /etc/opendkim.conf

On va ajouter tout un bloc de paramètres, et s’assurer de bien désactiver (mettre en commentaire) toute instruction contradictoire déjà présente.

# suggéré via blog.demees.net, inspiré d'un tuto sur Digitalocean
AutoRestart Yes
AutoRestartRate 10/1h
UMask 002
Syslog yes
SyslogSuccess Yes
LogWhy Yes
Canonicalization relaxed/simple
ExternalIgnoreList refile:/etc/opendkim/TrustedHosts
InternalHosts refile:/etc/opendkim/TrustedHosts
KeyTable refile:/etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable
Mode s
PidFile /var/run/opendkim/opendkim.pid
SignatureAlgorithm rsa-sha256
UserID opendkim:opendkim
Socket inet:12301@localhost

Edition de /etc/default/opendkim : une seule ligne “SOCKET” doit subsister comme ceci. Les autres lignes “SOCKET=”doivent être mises en commentaire.

SOCKET=inet:12301@localhost

On doit encore ajouter quelques lignes à la configuration de Postfix pour lui indiquer comment communiquer avec OpenDKIM.

Ajoutez ces lignes dans /etc/postfix/main.cf, par exemple juste en-dessous de celles qu’on a ajoutées précédemment:

#OpenDKIM
milter_protocol = 2
milter_default_action = accept
smtpd_milters = inet:localhost:12301
non_smtpd_milters = inet:localhost:12301

On a encore du travail avec OpenDKIM

mkdir /etc/opendkim
mkdir /etc/opendkim/keys

On va créer une paire de clés par domaine. J’explique pour asteryx.be, il en est de même pour obelyx.be.

cd /etc/opendkim/keys
mkdir asteryx.be && cd asteryx.be
opendkim-genkey -s selector1 -d asteryx.be
chown opendkim:opendkim selector1.private

Il en résulte deux fichiers: selector1.private (clé privée à garder précieusement) et selector1.txt (clé publique à publier via DNS)

On va encore créer les fichiers suivants dans /etc/opendkim :

/etc/opendkim/TrustedHosts

127.0.0.1
localhost
192.168.0.1/24
#*.example.com

/etc/opendkim/SigningTable

*@asteryx.be selector1._domainkey.asteryx.be
*@obelyx.be selector2._domainkey.obelyx.be

/etc/opendkim/KeyTable

selector1._domainkey.asteryx.be asteryx.be:selector1:/etc/opendkim/keys/asteryx.be/selector1.private
selector2._domainkey.obelyx.be obelyx.be:selector2:/etc/opendkim/keys/obelyx.be/selector2.private

selector1 et selector2 sont des exemples, vous pouvez mettre ce que vous voulez en format alphanumérique, ce peut être bazooka, mail, mars2020. Il faut juste que ça corresponde avec l’entrée DNS que vous allez créer.

Vous transmettez le fichier asteryx.be/selector1.txt à l’administrateur du domaine asteryx.be. Celui-ci doit s’arranger pour ajouter cette clé publique dans un enregistrement TXT de sa zone DNS. Ca peut se trouver un peu compliqué car le contenu du champ est assez long. Parfois on doit passer par une édition en mode texte pour ajouter un tel enregistrement. La clé publique à publier dans DNS se trouve dans le fichier selector1.txt .

Voici un exemple avec k3 comme nom de selecteur et le nom de domaine fdm.ovh.

root@k3:/etc/opendkim/keys/fdm.ovh# cat k3.txt
k3._domainkey   IN      TXT     ( "v=DKIM1; h=sha256; k=rsa; "
          "p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuWfTdOfeAXRt7nZkRSy46JWpk6mTC1vPtvUVdEQmYv+fzHesqWxtV8Ww7uq8L63p2L6OU8p61Deslodj3YjFL8vw9nVgt3/I1igPaPMuRcbHaM4WQnjOw6exP+U8qMTZEIpTgByowmmIruWXx/60QamRWGxdBxEWR9wZAgMZNYlVuafR+HjcdS1m2sVZqNSPFqx/q1E8ZnAyHI"
          "L0rQ7/qtIMHAB4MlK/eVvPPmGvx4djlaQJpCZfgMDdg0dzJMMvUMu37csCQcW/2XkoSOm6N2GlCEvKeYA2fZ66sKPKR3RhIuPZR/XHwLM/2fcsuUu6A/NiMSW1okmt/prI1xNaIQIDAQAB" )  ; ----- DKIM key k3 for fdm.ovh

après importation réussie dans DNS vous pouvez vérifier avec la commende dig, tout est sur une ligne. La commande nslookup peut vous présenter la réponse en plusieurs lignes où chaque morceau est encadré avec des apostrophes (“).

# dig +short k3._domainkey.fdm.ovh txt
"v=DKIM1; h=sha256; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuWfTdOfeAXRt7nZkRSy46JWpk6mTC1vPtvUVdEQmYv+fzHesqWxtV8Ww7uq8L63p2L6OU8p61Deslodj3YjFL8vw9nVgt3/I1igPaPMuRcbHaM4WQnjOw6exP+U8qMTZEIpTgByowmmIruWXx/60QamRWGxdBxEWR9wZAgMZNYlVuafR+H" "jcdS1m2sVZqNSPFqx/q1E8ZnAyHIL0rQ7/qtIMHAB4MlK/eVvPPmGvx4djlaQJpCZfgMDdg0dzJMMvUMu37csCQcW/2XkoSOm6N2GlCEvKeYA2fZ66sKPKR3RhIuPZR/XHwLM/2fcsuUu6A/NiMSW1okmt/prI1xNaIQIDAQAB"

C:\> nslookup -q=txt selector3._domainkey.fdm.ovh
Server:  s.home.local
Address:  192.168.99.2

Non-authoritative answer:
selector3._domainkey.fdm.ovh    text =

        "v=DKIM1; h=sha256; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA16O6zg653ZlnH6gSj+XcW1+bM07qXMuQ3dOOkcCgUQ6xAOMe+EtlMSGs7SdvcCG5PM7d0G3VxZx2CpXU56M3pa3/j7yV3CE2Iq+YEKeNoo/rdiTD5wbGnGmcIOxrLKfzUQoGGdfLjXt8L0OBaFa5xjamZQk/bjz+zIWRKEoXpG95N2VbAU"
        "U1oR3wbLzwuz6W2KOViP1ihK5/iIUbNBKPOF/Ue6lz8bZuSVJc54+PWdHxv/t+E51wvErFHpoFEVNnCdFbLZWL6fZ0pGdFKIv1sllKNhHw1orwGi/4UGuitLtnRsPIw2qjFXWC8XKDUrVKUDxf0i3I9wK9LEXBp63e9QIDAQAB"

Pour être certain que tout est bien réalisé et que tout redémarre de manière ordonnée, faites un reboot (toujours avec la commande “reboot” ou la commande “shutdown -r” ; jamais via le panneau d’administration de votre cloud ! jamais en tirant la prise !)

Enfin il nous reste une petite intervention à faire: si le serveur doit envoyer des mails à postmaster ou root, vous souhaitez les recevoir sur votre adresse habituelle.

Editez le fichier /etc/aliases, ajoutez une ligne

root: moi@example.net

sauvez et tapez la commande : newaliases.
Faites un test avec la commande: “echo test|mail root”

Ceci termine l’installation du serveur mail.
La maintenance est minimale. Par défaut Debian fait le ménage régulier des fichiers log pour que le disque ne se remplisse pas. Le serveur est peu vulnérable aux attaques si les mots de passe sont bien choisis.

Configuration de votre logiciel client

Dans votre client mail, par exemple Thunderbird, vous configurez un nouveau serveur d’envoi avec les paramètres suivants:

Thuderbird SMTP settings

Le mot de passe sera demandé lors de la première utilisation.

Et le webmail Roundcube ?

Je vous l’avais annoncé en titre. Avec le confinement du Coronavirus, j’ai trouvé le temps de rédiger cet article ! C’est par ici …

 

Posted in Internet niouzes, Serveurs | 12 Comments

Votre mot de passe est-il sûr ?

Des listes de mots de passe circulent sur internet.

Plusieurs sites proposent ces dictionnaires en téléchargement, par exemple https://crackstation.net/

Pour voir si votre “excellent mot de passe” existe dans cette liste, cela se fait en deux temps.

  1. calculez le hash sha-256 de votre mot de passe. Le hash est une procédé irréversible qui ne permet pas de reconstituer ce qui a été hashé.
  2. présentez ce hash au site en question. S’il vous rend le mot de passe non hashé, c’est qu’il se trouve dans son dictionnaire, et est donc à déconseiller.

Pour calculez le hash d’un fichier, il y a des sites web par dizaines. Par exemple https://xorbin.com/tools/sha256-hash-calculator

Si vous ne voulez pas soumettre votre secret à un site inconnu, utilisez votre linux favori:

# echo -n “p@ssword”|sha256sum
0fd205965ce169b5c023282bb5fa2e239b6716726db5defaa8ceff225be805dc –

Puis vous allez sur crackstation.net et vous introduisez le hash (sans le “-” final)

Il vous restitue instantanément p@ssword car il est dans son dictionnaire.

Posted in Informations générales, Internet niouzes, Serveurs, Utilitaires | Comments Off on Votre mot de passe est-il sûr ?

Collection de liens

Cet article est destiné à être en évolution permanente.

Outils Internet-Webmaster-etc.

  • Pingdom Tools (http://tools.pingdom.com) : Analysez le temps de réponse de votre site Internet
  • Google Tools (Pagespeed Insights) : Analysez la qualité globale de votre site Internet, tel qu’il est vu depuis un PC et/ou un mobile
  • Vérifiez si l’adresse IP de votre serveur mail est blacklistée:

1. http://MultiRBL.Valli.org
2. http://JustSpam.org
3. http://BlacklistAlert.org/ 

  • Wormly (https://www.wormly.com/tools) : Vérifiez si votre serveur SMTP est correctement configuré. Vérifiez si votre site SSL possède des certificats corrects et utilise les bonnes options TLS, et pas de SSL v2 v3, etc.
  • SSLLabs : Vérifiez si votre site SSL est bien conforme aux standards du protocole.
  • Comment StartSSL, une boîte israélienne fournissant des certificats SSL gratuits ou bon marché, a été rachetée incognito par des Chinois qui ont cru pouvoir faire n’importe quoi dans ce monde très strict des autorités de certification: article de Arstechnica.
  • DNSViz va analyser l’exactitude de votre zone DNS. Notamment détecter les anomalies DNSSec.
  • Comment écrire mon nom sans aucun caractère latin ? FᚱēⅾēᚱᎥс Ꭰе Ⅿееѕ http://www.irongeek.com/homoglyph-attack-generator.php

Vie Privée

http://www.youronlinechoices.com/fr/controler-ses-cookies/

Plongée sous-marine

Aviation

  • orbifly.fr (lien vers la page météo de ce site d’écolage d’aviation aux instruments)
  • buienradar.be (lien vers un site hollandais qui annonce les précipitations)

Linux Tools

Windows stuff

Posted in Informations générales, Internet niouzes, Utilitaires | Comments Off on Collection de liens

Domotique, ajout de Zigbee

Mon installation domestique est basée sur Domoticz, qui tourne sur un Raspberry Pi 3B+.

Je tiens absolument à ne dépendre d’aucun fournisseur Cloud bien que je sois convaincu qu’ils font des solutions très sexy et abouties.

Autour de celui-ci :

un IPX-800 acheté il y a environ 5 ans placé sur rail DIN dans le tableau électrique, (8 entrées, 8 sorties relais NO/NC, 4 entrées analogiques)

ipx800

puis plusieurs Sonoff reflashés avec ESP Easy.

Sonoff Pro 4ch

J’ai acquis un interface Zigbee qui se connecte directement sur le Raspberry Pi et utilise en fait le port série. Celui-ci est vendu par la société française Zigate.fr et l’objet porte le nom de PiZigate.

    

Qu’est-ce que Zigbee ?

Zigbee est un protocole de communication sans fil, à très faible consommation électrique. Dans un réseau Zigbee se trouvent d’une part des appareils connectés au secteur électrique (lampes, prises, etc) et d’autre part des appareils fonctionnant sur pile (détecteur d’ouverture de porte, détecteur d’inondation, bouton poussoir, capteur de température/hygrométrie, etc). Les appareils sur secteur se chargent de relayer les signaux transmis par les petits appareils à pile afin de former un réseau maillé et que tout puisse communiquer même s’ils sont trop loin de la base, pris individuellement.

Que peut-on utiliser avec Zigbee ?

Parmi d’autres, les éco-systèmes Philips Hue et Ikea fonctionnent avec Zigbee. Dans les marques chinoises on trouvera notamment tout un assortiment sous la marque Aqara. C’est d’une qualité de finition irréprochable, et les prix sont attractifs.

ampoule multicolore blanc chaud à blanc froid


détecteur d’inondation


détecteur d’ouverture de porte


capteur de température, hygrométrie, pression atmosphérique

Ca fonctionne de manière fiable, au doigt et à l’oeil !

 

Posted in Bricolage | Comments Off on Domotique, ajout de Zigbee

Si vous avez oublié un mot de passe, demandez-le à Google !

Ce billet s’adresse plutôt aux utilisateurs d’Android et de Chrome.
Les aficionados de la Pomme auront probablement confié leurs précieux mots de passe à cette société-là.

Préambule: il est important que personne ne connaisse votre mot de passe Gmail / Google.

Allez voir ce site: https://passwords.google.com et puis Password Checkup.
(Si vous êtes parano et demi, ne cliquez pas sur ce lien, mais retapez l’adresse dans une autre fenêtre)

Vous devrez retaper votre mot de passe Google, et c’est très bien ainsi, car on va voir bien des choses.

Google va vous énumérer des sites où ce mot de passe a (probablement) été compromis, ceux où vous avez utilisé le même password, et ceux où vous avez un mot de passe “faible”.

En cliquant sur la petite flèche à droite, on peut détailler.Je viens de vous dévoiler que j’ai utilisé le même mot de passe sur tous ces sites.

On peut détailler encore plus. Cliquez sur ces trois petits points

Vous pouvez voir ce mot de passe et même le sélectionner pour le recopier ailleurs.


Postambule: il est important que personne ne connaisse votre mot de passe Gmail / Google.

Tous ces mots de passe stockés là le sont par votre propre volonté. Vous avez demandé à Google de les mémoriser, soit dans votre téléphone, soit dans une autre application Google comme Chrome.

Mais de là à les voir affichés en clair, c’est inattendu. Parmi les mots de passe mémorisés, seuls ceux posant problème peuvent être affichés.

 

 

 

Posted in Informations générales, Internet niouzes, Serveurs, Utilitaires | 1 Comment

Hervé Doyen (bourgmestre de Jette) dans La Libre du 4 octobre 2019

Encore un NIMBY à l’horizon…

Jette (par la voix de son bourgmestre Hervé Doyen) vient de découvrir avec effroi qu’il y a des avions à Bruxelles, 4000 atterrissages au-dessus de sa commune en 2018 !
Je le cite: “Quelle est l’origine de cette prescription qui soulage l’Oostrand”

Cher Monsieur Doyen, l’Oostrand se mange pendant la même année 2018: 16000 atterrissages et 41000 décollages.
Et ce ne sont pas des vaches dans un no-mans land, ce sont des maisons construites avant les années 1950 ! Avec des vrais humains dedans !

Voici une retransciption de la contribution de Mr. Doyen:

https://www.lalibre.be/debats/opinions/arretons-l-aberration-du-survol-de-bruxelles-5d94c5379978e22374c4e00b

Arrêtons l’aberration du survol de Bruxelles

Contribution externe

Publié le jeudi 03 octobre 2019 à 09h31 – Mis à jour le jeudi 03 octobre 2019 à 14h41

Une opinion d’Hervé Doyen et de Claire Vandevivere, respectivement bourgmestre de Jette et échevine de l’Environnement et du Développement durable.
Face aux arguments économique et commercial du développement de l’aéroport de Zaventem, on ne peut plus mépriser le bien-être et la santé de plus d’un million d’habitants.

Il y a peu, les bourgmestres de Koekelberg et Molenbeek s’exprimaient pour dénoncer le survol de leur commune, le temps d’une journée exceptionnelle. Ce survol était motivé par un vent d’est et surtout l’indisponibilité d’une balise pour cause de rénovation : tous les atterrissages se réalisaient par guidage satellite vers la piste 07L. Ce tracé survole Anderlecht, Molenbeek, Koekelberg et Schaerbeek vers Haren, soit une trajectoire passant légèrement plus au sud que l’approche habituelle par vent d’est qui traverse, notamment, la commune de Jette.

Nous ne faisons pas ici du sous-localisme. Au contraire, nous nous réjouissons que M. Laaouej et Mme Moureaux constatent que des avions traversent la capitale et nous nous associons, solidairement, à leur coup de sang. Nous dénonçons en effet ce dangereux survol depuis des années. Une démarche solidaire que devraient soutenir tous les élus de la Région bruxelloise.

Pourquoi ? Rétroactes

Depuis 2014 et la levée passée inaperçue du “caractère subsidiaire et exceptionnel de l’utilisation des pistes 07 en atterrissage” (1), force est de constater l’augmentation exponentielle du survol du nord de Bruxelles : inexistant jusque dans les années 2000, il a décuplé en quelques années pour dépasser les 4 000 atterrissages par an. Cette route aérienne survole de 175 000 à 285 000 personnes (2), parfois toutes les deux minutes pendant la journée entière, voire plusieurs jours d’affilée, à très basse altitude ! Depuis, dans la commune de Jette, nous passons notre temps et notre énergie à répondre aux courriers d’incompréhension et de colère légitimes de citoyens excédés par un survol intempestif que personne ne voyait venir.

Et les Bruxellois peuvent avoir de solides craintes : à quelle sauce seront-ils mangés demain ? Si nous nous réjouissons du caractère obligatoire en 2020 des atterrissages par guidage satellite (procédure plus sûre), il ne faut pas qu’il devienne l’alibi pour ouvrir en 07L une véritable autoroute en cas de vent d’est, nuit y compris. Car dans sa “Vision 2040”, Brussels Airport ambitionne d’augmenter sa capacité de pointe, et ce, notamment “en utilisant les trois pistes pour l’atterrissage dans le cadre de l’utilisation alternative des pistes”.

Nous y voilà, et nous dénonçons

1. La densité : le survol de Bruxelles se fait au mépris du nombre de ses habitants. C’est une aberration, aussi bien pour des raisons environnementales, de nuisances sonores, de santé publique que, bien sûr, de sécurité.

2. On nous dit que l’augmentation des atterrissages en 07L n’est motivée que par des raisons de sécurité, les avions devant décoller et atterrir face au vent. Qui peut croire une seconde que le vent d’est a augmenté au point de décupler l’utilisation de cette route aérienne en quelques années ? Pourquoi ce qui était possible hier ne le serait plus aujourd’hui ?

3. Quelle est l’origine de cette prescription qui soulage l’Oostrand et arrange Brussels Airport pour les raisons de rendement économique ? De manière générale, comment les décisions sont-elles prises chez Skeyes (ex-Belgocontrol) ? Les citoyens, associations, autorités publiques et même parfois le Médiateur font face à l’opacité des décideurs de l’aéroport. Récemment, les experts indépendants chargés de l’étude d’incidence sur les nuisances sonores dénonçaient “la nature opaque, arbitraire, non coordonnée, fragmentée et partisane de la réglementation et de la gouvernance de ces questions” (3).

4. Quand la Flandre – parce que oui, il s’agit d’un dossier communautaire – avance l’argument économique et commercial au regard du développement de l’aéroport, nous avons un problème quand elle fait fi de celui de la santé publique (pollution et nuisances sonores).

5. De même, quand elle brandit l’argument de l’emploi à l’aéroport (dit “national”), nous rappelons que seuls 15,7 % des travailleurs sont bruxellois pour 73,8 % qui viennent de Flandre (4) !

La solution sera fédérale

Nous savons que l’implantation de l’aéroport, niché si près de la capitale, ne nous aide pas et pourtant il existe des solutions : allongement des pistes, survol des territoires les moins densément peuplés, utilisation des aéroports régionaux, respect des heures nocturnes et des normes de bruit… En attendant, la volatilité et l’imprévisibilité des routes aériennes de même que le manque global de transparence ont eu raison de la confiance des citoyens dans la gestion de cet aéroport.

À Jette, nous sommes à la pointe de ce combat depuis des années, parfois en collaboration avec la Région : motions, pétitions, installations de sonomètres, actions juridiques (fort coûteuses en argent public !). Pourtant, la solution sera fédérale ou ne sera pas. Aussi, si le prochain gouvernement ne prend pas la mesure du scandale du survol excessif de la capitale, si les décideurs n’adoptent pas une attitude constructive, alors clientélisme, poursuites et conflits continueront de se multiplier. Car on ne peut nier plus longtemps le bien-être de plus d’un million d’habitants.

(1) ULB-IGEAT&additvalue – Historique du survol de la Région de Bruxelles-Capitale. Rapport final 30/11/2016, p. 116.

(2) Ibidem, p. 114.

(3) ENVISA, Aéroport de Bruxelles National. Étude des impacts sur l’environnement en ce qui concerne la pollution sonore. Rapport du chapitre deux, p. 230.

(4) : https://hiva.kuleuven.be/nl/nieuws/docs/20190521-communiqueaviato-frf.docx

Posted in Informations générales | Comments Off on Hervé Doyen (bourgmestre de Jette) dans La Libre du 4 octobre 2019

La vérité sur le nombre de décollages et atterrisages à Brussels Airport en 2018

Repris de https://twitter.com/AWACSS01/status/1179739735717269511

Keywords: EBBR, Zaventem, pistes, 01, 19, 07L, 07R, 25L, 25R, VOR, RNP, ILS, Helen, Denut, Sopok, Pites, Rousy, Civ, Lno, Spi, Canal, Delta, Kok, Elsik, Nicky, Ring, Ikea, Toyota, Zulu,

Posted in Informations générales | Comments Off on La vérité sur le nombre de décollages et atterrisages à Brussels Airport en 2018

La petite histoire de l’Europe

(trouvé sur Facebook)

Petite histoire du Brexit, with flags

1950 :

?? “On a pris cher ce coup-ci, faut que jamais on recommence, hein ?”

?? “Ach, je suis d’accord.”

?? active fin d’occupation de la Rhur et de la Sarre

???? activent CECA

???? invitent ????????

?? “WTF, c’est quoi cette merde ?”

??“Rien à foutre, ça marchera jamais”

???? ????????lancent CEE et Euratom

??“Bon, qu’est ce que je peux faire pour les emmerder ?”

1960 ??lance AELE

??????????rejoignent AELE

?? lance union douanière

1961

?? “J’peux venir jouer avec vous ?”

?? “Tu peux crever”

?? ????????“T’es sûr ?”

?? “J’le connais c’est un punk, il me casse tous mes jouets depuis 1000 ans, sur la vie de ma mère, il rentre pas”

?? “M’en fout, je veux même pas faire partie de votre club de merde”

?? lance PAC

?? tue droits de douane

?? fusionne avec CECA et Euratom

?? lance exécutif communautaire

??“Allez quoi, je peux venir ?”

?? “Crève”

?? “Maieuh”

?? perd Charles De Gaulle

?? ?? ?? ??déposent adhésion CEE

?? ?? quittent AELE

AELE “What ???”

?? “Punk is not dead”

?? ?? ?? rejoignent ??

?? “Welcome … euh, il en manque pas un ?”

?? “Nan, je viens pas pour finir, vous aime pas”

?? “Bon ok”

?? lance homme malade de l’Europe

?? lance winter of discontent

?? “HELP!!!”

?? lance aides européennes

?? se goinfre

?? lance Dame de fer

?? active parlement européen élu au SUD

?? défonce dictature des colonels

?? enterre Salazar

?? “Je peux viendre ?”

?? rejoint ??

?? enterre Franco

???? “Et nous ?”

???? rejoignent ??

?? quitte AELE

AELE “Ouinnn, personne ne m’aime”

?? “T’es moche et tu sers à rien”

AELE “‘tain, c’est toi qui m’a créée”

?? “Je ne sais pas qui vous êtes madame, je ne vous ai jamais vue”

?? a finit de se goinfrer d’aides européennes

?? “Burp”

?? “Bon, va falloir contribuer au budget pour développer les nouveaux entrants et aider les régions désindustrialisées”

?? lance budget européen

?? “Quoi ? faut payer pour boire ici ?!”

?? “Et, ça y est, ça commence, t’as fini d’être chiant ?”

?? “NAN !”

?? lance bourrique de fer

?? “I want my money back”

?? “Non”

?? boude

?? lance politique de la chaise vide

?? subit paralysie institutionnelle

?? “Putain, sérieux, t’es reloud”

?? “Punk is not dead”

?? lance rabais britannique

?? “Quoi ! C’est pas juste !” #couillesSurUnPlateau

?? lance PAC sur ??

?? miamiamiammiam “De quoi on parlait ?”

?? “Ach, c’est très bien ça, mais si on faisait une monnaie commune ?”

?? “Cool, et on l’appellerait l’écu”

?? ?????????? ?? ???????? “Lol”

?? “Maieuh”

?? enterre VGE #AuRevoir

?? “Bon, j’en veux pas de votre merde d’Euro, là, je garde ma livre”

?? “Comme tu veux”

?? “J’en veux pas”

?? “Oui, on a compris, on t’oblige pas”

?? “Mais vraiment pas”

?? “T’es lourd”?? “Mais, vous me filez des institutions européennes, comme l’autorité bancaire par exemple”

?? “Mais, t’es même pas dans la monnaie unique ?”

?? “M’en branle, sinon je boude”

?? “Qu’est ce que j’avais dit ?”

?? ???????? ?? ???????? “TA GUEULE”

?? “Bon, après avoir tout bien libéralisé, j’ai le peuple qui tire la gueule. Qu’est ce que je vais leur dire ?”

?? active presse europhobe

?? active diktat européen

?? active c’est pas moi, c’est Bruxelles

?? “Hein ? Mais t’as décidé avec nous”

?? “Ta gueule, c’est technique”

?? subit désamour européen

?? “Amène ta gueule, on va taper Saddam”

?? “Pourquoi ?”

?? “Ta gueule, c’est technique”

?? lance preuves d’armes de destruction massive

?? subit guerre à la con pour de mauvaises raisons

?? “Ay caramba !!”

?? subit mécontentement

?? subit freedom fries

?? “Putain, ça va nous péter à la gueule cette merde”

?? “Mais non, je gère”

?? lance gère queudale

?? lance subprimes

?? “On est riches !”

?? subit Enron

?? “Ah non, on est pauvres”

?? lance récession mondiale sur vos gueules.

?? “Mais, c’est pas vrai, ils peuvent pas tenir leurs banques ?”

?????????? “HEEELLPPPP”

?? “Putain, c’est chaud”

?? nationalise temporairement

?? subit attaque sur l’Euro

?? “Bon, faut aider les autres, sinon, on va tous se casser la gueule”

?? “J’vais crever !”

???? “Grmbl, bon okay”

?? “Non, je les aime pas et pis l’Euro, ça me concerne pas”

?? “T’as bien profité et la crise c’est aussi ta faute, avec ta réglementation bancaire de merde, viens aider !”

?? “Nan”

?? “D’ailleurs, j’en ai marre, je veux une Europe à la carte”

?? “Gné ?”

?? “J’veux prendre que ce que j’aime et vous laissez la merde et pis je veux payer moins”

?? “Euh, c’est un package, t’es au courant ?”

?? “Ouais, et ?”

?? “Ben traités, toussa, t’es un peu obligé de contribuer”

?? “Attention, je vais bouder”

?? “Mais arrête bordel !”

?? lance aides massives

?? “Doucement avec mon blé, hein ?”

?? “Arg, vous êtes vilains”

?? “Ouais, mais si tout le monde payait ses impôts aussi chez toi ?”

?? “Maieuh”

?????? lancent réformes douloureuses

?? lance banquiers en taule

?? “Et, si on parlait de moi ?”

?? “Toi aussi t’es dans la merde ?”

?? “Non, pourquoi ?”

?? “Bah alors ?”

?? “JE VEUX QUE TU T’OCCUPES DE MOI !”

?? “Désolé, pas désolé, j’ai pas le temps, il y a un peu le feu !”

?? “J’t’aime plus, de toute façon, t’es pas ma mère !”

?? “WTF ?”

?? lance promesse de référendum

?? “J’ai un mauvais pressentiment”

?? “Mais non, ils sont pas aussi cons!”

?? “Tu parles de mecs qui mangent de la cuisine anglaise et trouvent ça bon”

?? “Quand même, y a des limites”

?? lance référendum

?? “Ah tiens non”

?? “Sérieux, tu vas cracher sur tout ce qu’on t’apporte pour être tout seul ?”

?? “Je suis l’Angleterre éternelle !”

?????????????? “Hé !!”

?? “Vos gueules les ploucs, c’est moi qui commande”

?? “Non, mais, ils vont pas le faire ?”

?? “Tu les connais pas, je te dis”

?? “Rationnellement, c’est pas possible, tu vois pas le bordel ?”

?? lance vote

?? subit brexit

?? “Punk is not dead”

?? “Scheiße”

?? “Je te l’fais pas dire”

?? “C’est pas permis d’être aussi cons !!”

?? “Hold my beer”

?? TRUMP

?? “Ah si …”

?? “Aaahahha, je me sens libre !!! je vais pouvoir faire ce que je veux !”

?? lance article 50

?? “J’avais pas un truc qui s’appelait Good Friday Agreement moi ?”

??????? “Hé !!”

?? “Vos gueules les ploucs, c’est moi qui commande”

?? lance Michel Barnier

?? lance unité européenne

?? lance préparation négociations

?? “Bon, ben, t’as deux ans”

?? lance promesse d’un accord top mega génial

?? lance grosse festia

?? subit gueule de bois

?? perd Boris Johnson

?? perd Nigel Farrage

?? “Putain, sont passés où ces cons qui m’ont promis monts et merveilles ?”

?? “Bon, on va faire comme d’habitude, foutre la merde”

?? lance dissension sur ??

?? est vaccinée

?? “WHAT !”

?? “T’étais pas anti vaccins ?”

?? “Nan, c’est moi, mais chacun sa connerie”

?? subit à la bourre

?? subit ministres incompétents

?? subit vie politique paralysée

?? “Bon spas tout ça, mais nous on va s’organiser, hein ?”

?? lance déménagement des institutions

?? lance douanes à Calais

?? “Ahahahahah, je vous l’avais dit que je pouvais signer des accords”

?? signe avec Nouvelle-Zélande

?? “T’as pas un truc plus urgent ?”

?? “Nan”

???? négocient

???? font accord

??“Spas trop mal, il y a peut être le truc sur l’Irlande, mais ça va passer”

?? retoque l’accord

?? “Frotte la carte, ça va passer”

?? retoque l’accord

?? “Putain, c’est quoi le problème ?”

??

?? “Mais parles quoi !”

??

?? retoque l’accord

??“Je sais pas comment vous faîtes pour rester zen, même moi, je lui aurai pété la gueule et je suis pacifiste”

?? “Tu n’aides pas là”

?? “EU sucks, brexit rocks”

?? “C’est les congrès des relouds ici ?”

?? “Fallait pas l’inviter, je vous l’avais b…”

?? “Si tu finis cette phrase, je t’article50”

?? lance couinage pour avoir un délai

?? “Ok, mais tu bosses sérieusement”

?? lance glandouille

?? “Je vais le buter”

?? “J’ai un truc à dire !”

?? “Ah putain, spas trop tôt”

?? “Je veux sortir”

?? “Ok, moi aussi je veux que tu sortes, au début pas trop, mais là, si.”

?? “Tu me donnes quoi pour que je sorte ?”

?? “Gné ?”

?? “Tu te fous de ma gueule ?

?? “Et mon idée d’armée européenne ?”

?? “Me tente pas toi, c’est pas le moment … mais garde l’idée quand même, au point où on en est”

?? “Si tu me donnes rien, je boude”

?? “Je peux vraiment pas le frapper ?”

?? lance couinage pour un ultime délai

?? “C’est le dernier et maintenant, tu bosses sérieusement, hein ?”

?? lance Boris Johnson

?? “Bon, je n’avais pas bien compris ce qu’était la dépression, mais là, je vois bien”

?? “Hey buddy !! prout”

?? “Hey my friend !! prout”

???? prout, lol, prout, accord commercial, prout

?? “Je vous gène pas trop ?”

?? lance droits de douane sur ??

?? “lol bien ouéj”

?? “T’es concerné aussi”

?? “ahaha … WHAT !!!”

?? “Punk is not dead”

?? “Bon, tu veux vraiment rien me filer, aller, l’Irlande, c’est de la merde, laisse tomber le Good Friday Agreement”

?? “HEY !”

?? “Tu rêves”

?? “Et ben, ça sera de ta faute si on n’a pas d’accord, et pas de la mienne”

?? “Je ne suis pas payée assez cher”

?? “On va pas en sortir, je te préviens, le 31 octobre, c’est TER-MI-NE”

?? “T’as pas à me dire ce que je dois faire, je fais un no-deal si je veux, je suis libre”

?? “Bonjour, je suis le Parlement et je ne suis pas d’accord avec ce qu’il vient de dire”

?? “Ils sont combien dans sa tête en vrai ?”

?? “Non, non, c’est rien, c’est personne. Vous voulez le no-deal, vous allez l’avoir”

?? “J’ai pourtant entendu quelqu’un”

?? “Ouais, moi aussi”

?? “Nous ne sommes pas d’accord avec le no-deal”

?? “Donc, vous allez signer l’accord avec le backstop ?”

?? “Non, pourquoi ?”

?? “Alors, vous voulez quoi ?”

?? “Pleure dans un coin”

???? “Le no-deal” – “Un accord”

?? lance plan de prévention contre les AVC.

?? lance suspension du Parlement

?? “Dans ta face”

??????? “Ahem”

?? “Quoi ?”

??????? “C’est illégal !”

?? “Toi, l’histoire de Mary Stuart, j’ai pas du te l’expliquer assez fort”

??????? déclare illégale la suspension du Parlement

?? “Il a le droit ? ”

All credits to @collabblues

Posted in Uncategorized | Comments Off on La petite histoire de l’Europe

Let’s Encrypt everything, la grosse arnaque du siècle !

Rappelez-vous de l’époque où on utilisait HTTPS uniquement pour les communications ayant un caractère privé (on parle aussi de TLS, SSL, certificats, etc).

A cette époque, pour obtenir un certificat, il fallait se diriger vers une autorité de certification, démontrer qu’on était autorisé à faire cette demande, payer une certaine somme, et installer ce certificat sur le serveur web, pour bénéficier d’une protection des communications transmises via le web. Toute cette procédure était assez malaisée pour le “webmaster moyen”.

Puis la grande vague “Let’s Encrypt” est passée par là depuis fin 2015, et tout le monde est en train de tout encrypter, facilement et gratuitement. Même les horaires de l’autobus. Même le présent blog. Même l’édition gratuite de la gazette. Même la recette du pot-au-feu de Mme Michu.

En fait tout le monde s’en fichait un peu, jusqu’au moment où Google, déjà victorieux de la troisième guerre mondiale, celle de l’information, a décidé de pénaliser les sites non-HTTPS dans ses résultats de son moteur de recherche en les éjectant de la première page.

Non content de crypter le trafic web mondial, il faut passer à la vitesse supérieure. On va de plus en plus encrypter le trafic DNS (conversations de machine à machine – entre autres répondre aux questions telle que celle-ci: quelle est l’adresse IP de xxx.com) , de telle manière que personne entre l’utilisateur et le serveur DNS questionné ne puisse “sniffer le câble” et prendre connaissance des questions DNS, et donc des sites visités et des habitudes de surf de l’utilisateur.

En fait tout ça me plaît lorsque que j’utilise le wifi gratuit mis à disposition par stib.brussels, ou bien un hôtel d’une grande chaîne ou le petit restaurant viet du coin. Ils n’ont pas à savoir si je vais sur Facebook et quels sont mes amis, ni intervenir dans mes conversations Skype. Ca me rassurerait “presque” d’oser utiliser ma banque en ligne.

Bien au contraire, les e-mails (ou mèl, ou courriels, …) sont très mal protégés. En 2019 la quasi-totalité des communications e-mail sont sécurisées. A moins d’utiliser Gmail, Hotmail ou équivalent, vous savez sans doute trop bien que c’est compliqué de configurer une messagerie sur votre téléphone ou PC. En contrepartie si les communications sont sécurisées, tous vos e-mails sont stockés en clair sur les disques durs de la société qui héberge vos mails. C’est à dire que vous êtes à poil devant Apple si vous mettez tout dans iCloud ; devant Microsoft pour Hotmail, Office365, Live, Onedrive ; devant Google pour Gmail et Googledrive…

Quand vous envoyez une information commerciale importante ou sensible à plusieurs personnes, combien de fois pouvez-vous affirmer qu’il n’y a pas au moins un destinataire chez ces Google, Apple et consorts ?

Tout ceci a un effet insidieux sur la sécurité des entreprises. Le responsable de la sécurité informatique se trouve fort démuni lorsqu’il doit prendre toutes les mesures contre les infections de virus et autres bestioles malfaisantes, exfiltration de données d’entreprise, visites de sites inacceptables, et j’en passe et des meilleures.

 

 

Posted in Informations générales, Internet niouzes, Serveurs | Comments Off on Let’s Encrypt everything, la grosse arnaque du siècle !

Croisière(s) plongée en Egypte – Oceanos – Nautile Evo – SIP Plongée Bruxelles

Je vais faire un très bref compte rendu sur les deux derniers voyages plongée en 2018 et 2019 en Mer Rouge, Egypte. Ces voyages ont été organisés par notre club SIP Plongée et en particulier Pierre qui en a pris l’intiative.

2018

Sur l’ Oceanos, croisière Sud. Très chouette croisière, excellent bateau, tous les souvenirs sont dans ma tête car j’ai noyé mon Lumix le deuxième jour (et pour retourner le couteau dans la plaie nous avons eu la visite d’un Longimanus alors que mon appareil barbotait dans son caisson) . J’ai terminé la semaine en faisant quelques films sympa avec ma Gopro3.

2019

Sur le Nautile Evo, nous étions 25 plongeurs pour une dizaine de membres d’équipage et 3 instructeurs. Le groupe étant auto-encadré les instructeurs étaient plutôt des guides / conseillers quand ils nous accompagnaient sous l’eau.

Sur cette croisière BDE (Brothers-Daedalus-Elphinstone), nous avons eu des prestations au top. La météo a été très calme et nous avons pu faire nos 16 plongées. Les marteaux se sont malheureusement fait désirer.

Je vous partage quelques photos (mais pas celles montrant les autres participants, RGPD oblige). Ce sont les premières photos en voyage plongée avec mon nouvel appareil Sony RX100 (voir ici).

Après le voyage j’ai pris l’initiative de collecter et redistribuer toutes les photos que les participants ont bien voulu partager. Méthode pour corriger les heures et mettre les dates et heures dans les noms de fichier: voir ici.

 

 

Posted in Photo, Plongée | Comments Off on Croisière(s) plongée en Egypte – Oceanos – Nautile Evo – SIP Plongée Bruxelles