202102 Mardi Globenet février 2021

Mardi Globenet du 9 février 2021

Mardi Globenet du 09 février 2021

Participant·es
Présent·es : WhilelM, Mathieu, Rozlav, Guitch, Jacques, Taffit, Jonathan, Emile, Charly, Simon, Émile, taffit, Sebian, Hugo

ODJ

* secrétaire mensuel ?
* Faire tourner le secrétariat des réunions (et l’animation)
* Demande de VM LentardNet (cf plus bas)
* Mail de Franciliens.net (cf plus bas)
* accès compte bancaire
* contact avocats
* vm temporaire
* DDOS du 16 janvier
* demosphere
* OLN : ICE (Initiative Citoyene européenne) contre surveilance par biométrie
* Offre pour le CRID
* proposer à nos hébergés de mettre en place ipv6 (vm et dédiés)
* greffon etherpad SPIP : https://code.attac.org/attacfr/ep_export_spip
* malware
* firewall
* routeurs
* alternC
* elec
* Soirée lancement Passerelle (BBB + peertube live).
* Fiche tarifaire
* Flyer de présentation de Globenet
* Programmation d’une réunion technique ?

Demande LentardNet

Nous cherchons à monter un FAI associatif avec un service VPN orienté
auto-hébergement et aimerions pour cela :

- 1 petit serveur privé virtuel
- 24 (si possible 32) adresses IPv4 et un bloc IPv6 (/48 serait
parfait), avec délégation du reverse DNS
(https://tools.ietf.org/html/rfc2317 pour les adresses IPv4
éventuellement éparpillées)

Explication à propos de la demande d’adresses supplémentaires : nous
avons fait une demande de ressources auprès de Gitoyen mais des doutes
ont été levés concernant la rentabilité. C’est pourquoi nous vous
demandons un petit nombre d’adresses le temps de prouver la viabilité du
projet. Ainsi, d’une manière ou d’une autre, cette occupation de vos
ressources est vouée à être temporaire. Néanmoins, pour éviter tout abus
d’hospitalité, nous vous proposons de payer cela 30€/an.

Une fois nos adresses Gitoyen obtenues, nous espérons que vous pourrez
les annoncer et nous les router et serions ainsi heureux de pouvoir
continuer à utiliser le serveur virtuel.

Demande franciliens.net

Il nous aura fallu du temps mais nous avons désormais la machine, elle
est installée... maintenant nous sommes prêts pour la mettre à Paris Bourse !

Petite question : nous souhaiterions qu’elle soit dans votre U, mais
qu’elle soit interconnectée directement avec Gitoyen.
Est-ce que ce serait possible ?

Aussi, nous souhaiterions mettre en baie une autre machine : un APU PC
Engine.
Il s’agit d’une machine basse consommation, et pour l’emplacement nous
pouvons le poser sur la machine que nous mettrions en baie.
Est-ce que ce serait possible pour vous ?

==============================

Rôles Secrétariat mensuel pour les réunions du mardi

Tâches :

  • Envoyer mail de rappel 2 3 avant le mardi
  • Remplir l’ODJ : tout le monde au fur et à mesure du mois \o/
  • relire et publier le CR sur le site

Secrétaire mensuel février : Mathieu
Animateur mensuel février : John Livingston
Secrétaire en mars : Simon
Animateur en mars : rozlav

Contraintes horaires : Mathieu, éventuellement WhilelM ( 23h)

Réponse au support

Besoin de s’organiser davantage sur cette question : répondre ou rediriger
John volontaire pour février, Simon pour être formé
[TODO] : Ajouter Simon et rozlav sur support@ et contact@

Demande Lentardnet

Objectif : monter un service VPN (type FDN, Francilien), à l’image de La Brique (avec pour projet de faire la promotion de l’autohébergement). 20 à 30 abonné·es.

Pas tout à fait les services proposés par Globenet : IP associées aux VM, plutôt Gitoyen pour des ranges IPs
Hormis configuration pare-feu et consommation bande passante, hors du domaine de Globenet pour demandes de cette nature.
Dommage que Globenet ne fasse pas de VPN. Questionnements autour d’un service VPN de la part de l’association (statut, charte).
Implications légales à questionner avant d’y passer.

Franciliens bossent sur leur infra. Constatent que ce qui coûte cher c’est essentiellement les ressources en IPv4. Question de la responsabilisation des utilisateur·rices concernant l’usage de l’IP. Franciliens facture 8€/mois pour l’instant. Un cinquantaine d’abonnné·es, peut-être 60. Cherchent à lisser leur percentile / BP en accueillant de nouveaux·elles utilisateur·rices. Nouvelles ressources chez Gitoyen (plages d’IPs et routage).

Conclusion : Globenet n’est pas encore tout à fait prêt à proposer ce type de service. IPv4 ressource rare. Question du recyclage des IPs (récupération par Globenet des IPs non utilisées). Responsabilité de Globenet dans le fait de s’engager à prêter des IPs. Et des questions : quelles différences avec les associations qui proposent ce type de service ?

Demande d’éclaircissements concernant le projet de FAI : 30-40 abonné·es jusqu’en 2018-2019. Objectif : 1 à 2€ par mois.
Étude faite chez Franciliens : https://pad.gramaton.org/pp/?p=franciliens-consultation-changement-tarifs
Décision du bureau de ne pas faire ce VPN bas débit : https://f.franciliens.net/administratif/reunions/2020-11-19_reunion-bureau-novembre.md - tenter de faire une seule offre, et la faire bien, plutôt que de rajouter des offres avec des tarifications différentes (et faire un peu comme les gros FAI).

Pas vraiment les forces à Globenet pour s’atteler à ce nouveau chantier. Question du projet politique pas clair.

Rappel des fondements historiques de La Brique. Le projet Lentardnet semble assez éloigné de l’initiative La Brique.

Question de la charte (et du manifeste).

Franciliens

1U à Bourse. Avec câble qui va directement chez Gitoyen. +1U chez Gitoyen.
WhilelM se demande si ça ne va pas poser problème ce câble (notamment parce que l’accès au DC devient de plus en plus compliqué). Le plus simple serait de se faire héberger par Gitoyen.

Accès au compte bancaire

John a accès au dolibarr de globenet pour la gestion, mais pas encore au compte bancaire. Est-ce qu’on valide son accès aux comptes bancaires pour pouvoir valider les paiements ?
Même question pour Emile. John souhaiterait qu’on en discute à chaque réunion pour nous assurer collectivement que tout le monde est raccord sur les accès à la banque.
Le problème, c’est la double authentification. Problématique de la gestion des profils délégué·es (avec une bonne granulométrie - assez simple à mettre en œuvre au Crédit Mutuel).

Question des données personnelles des personnes qui passeraient des paiements auprès de Globenet et ne souhaiteraient pas que tou·tes les membres soient au courant.
Soulève également la question de la structuration : organisation en interne, en particulier en ce qui concerne les nouveaux·elles arrivant·es.
Dolibarr est déjà une bonne source d’information. Après, avoir au moins un backup au cas où le référent principal n’est pas dispo (John, en l’occurrence).
Question de l’ouverture des comptes en lecture aux membres, mais curation des comptes. L’interface du Crédit Mutuel permet de paramétrer des comptes avec des date d’expiration.
Question des rapprochements d’écriture. Depuis 4 ans, rapprochements bancaires et comptabilisation est au carré (hors 2016 et avant). Encore 1 an avant que la base soit au top au mois suivant. Solde initial du compte est erroné.

WhilelM propose que tout membre investi dans GN puisse avoir un accès en lecture seule aux comptes (et à dolibarr).

Ok pour donner l’accès en lecture et aux virements aux comptes à Emile et John.

contact avocats

Jacques a discuté avec BBS qui cherche aussi. Rien de concret pour l’instant.
WhilelM a des contacts d’avocat⋅e⋅s (une membre de la quadrature du net). C’est dans dolibarr, dans les Tiers avec le tag « avocat ».
Il y a aussi l’avocat qui a été contacté par Ritimo par le passé.
John avait aussi un cabinet d’avocat spécialisé dans son ancienne boite, mais il ne retrouve pas le nom. Il va demander.

Actions à faire : prendre contact.
Doit-on parler du cas T*va ?
Mathieu souligne qu’il y a plusieurs spécialisations pour les avocat⋅e⋅s. Ce n’est pas la même chose entre le droit numérique, et les histoires de procédures baillons, etc...

TODO : compléter la liste dans dolibarr avec l’avocat de l’ancienne boite de John. Simon doit avoir un contact aussi à ajouter. Jacques a aussi un nom à soumettre.

Mathieu est intéressé pour se rapprocher de l’avocate membre de la quadrature.
TODO : Whilelm va nous envoyer pour validation un texte à proposer pour le premier contact.

vm temporaires

Demande en urgence des VM temporaire pour dépanner une personne (suite à un hébergeur qui déposait le bilan).
On lui a mis à disposition les VM, et proposé de facturer le coup de la BP (car gros volume à transférer).
On a éteint la 2e VM. La 1ère tourne toujours.
Restent à valider les coûts qu’on va lui facturer.

DDOS du 16 janvier

… et la blague : transfert un samedi soir dans la nuit. Mais Passoire s’écroule sous la charge des transferts.
Il se trouve qu’il y a eu un DDOS (paquets UDP forgés vers le port 123, par amplification NTP) au même moment sur les services d’Acrimed. Et leur Spip ne disposait pas de page 404 dédié, ce qui a permis une autre attaque le même week-end. Gitoyen a été sollicité pour mettre en place un blackhole sur l’IP d’Acrimed. Puis contacts avec Acrimed pour se coordonner sur la réponse à donner. Troisième effet kiss kool : il y a eu aussi un DDOS sur yunohost un tout petit peu après (requêtes de téléchargement de leurs ISOs) - qui ne mettait pas en péril le réseau, mais risquait de coûter des sous. YunoHost a mis en place des quotas de débit et ont écrit un script pour bloquer les IPs qui itéraient sur les téléchargements des ISOs.

OLN : ICE (Initiative Citoyenne européenne) contre surveillance par biométrie

Observatoire des Libertés Numériques.
Campagne de l’EDRI (https://edri.org/our-work/reclaim-your-face-biometric-surveillance/ ) : "Reclaim Your Face" A signer ici : https://europa.eu/citizens-initiative/initiatives/details/2021/000001_frUne conférence de presse est prévue.

Globenet est-elle d’accord pour signer ? Pour faire figurer l’appel sur le site ? Pour relayer l’appel de l’EDRi (sous forme de widget) ?

Il va falloir relayer l’appel pour la pétition sur le site Européen. Une nouvelle réunion est prévue le 10 février. Il serait utile que les associations se relayent pour communiquer sur les différents aspects de ces lois.

Quand il y a un texte, JacquesB fera suivre le texte sur benevoles@. Si pas d’objection, Globenet sera ok pour co-signer.

demosphere

Nombreuses informations et allers-retours.
En décembre, tension sur problématiques de ligne éditoriale et modération. L’une des personnes a annoncé son départ, et le lendemain, le cofondateur du site n’avait plus confiance dans le collectif et intimait au groupe de ne plus utiliser le nom ni se réclamer de l’initiative. Problème de défiance à l’égard de certains collectifs, fébrile à l’idée que Démosphère soit associé à elleux. Depuis, a produit une nouvelle publication sur le site Demosphère Paris qui réfute tout nouvel appel à don.

Aux dernières nouvelles, un groupe de personne est motivé pour relancer la dynamique (IPAM, entre autres). Des associations estiment qu’il est important de relancer le site. John est sur le coup pour réaliser une évaluation du code PHP. John pense qu’en 15 jours de travail, il serait en capacité de mettre en place une forge, et déployer une nouvelle instance. Une autre personne du collectif a commencé à étudier le code à son tour. WhilelM va la contacter pour se coordonner, trouver des financements pour du dev et de l’adminsys pour relancer le projet.

Licence du biniou : AGPL, pas de forge, doc dans le code, manque config Apache. John a passé une journée et a réussi à déployer une instance fonctionnelle (pas la totalité des services, toutefois : webmail et scrapper associé), flux RSS, sites web à parser (300 fichiers, 100.000 lignes de code). Code propre et lisible, règles un peu datées. Manquent doc d’installation et documentation utilisateur·rices.
Dépendances curieuses dans le code (conteneur docker et libreoffice / chromium pour snapshot de site).

 10 jours pour le déploiement + 5 jours pour la configuration, l’installation d’une forge, la documentation, la personnalisation, etc.
John est intéressé par la prestation.

Demande d’IPAM : temps et coût et former des personnes pour l’utiliser (afin d’aller chercher des financements).
Question de la transmission, maintenance et évolution : John a encore un peu de mal à mesurer l’effort à apporter, mais très intéressé

La question de nom de « demosphere » : peut-on le garder dans le code ?

Offre pour le CRID

Voir le courrier destiné au CRID, soumis sur benevoles@
Reste à produire un devis et à vérifier que le périmètre leur convient, et optionnellement l’usage des services mutualisés.
Interlocuteur niveau 1, prestataire historique du CRID.
Contacts avec NextCloud GMBH avec offre Premium. Retour et questions de NC INC. Possibilité de souscrire auprès de NC pour bénéficier de la documentation.

Parler avec Carine de notre proposition. Avec un projet de devis.

On parle des différences entre onlyoffice/collabora, à ce sujet un article notable :
https://blog.jospoortvliet.com/2020/06/collabora-vs-onlyoffice.html

Réunion technique

Certain·es n’ont pas pu être présent·es. Quid de plannifier une réunion technique immédiatement,
Emile pas dispo la semaine prochaine, indécis les semaines suivantes. WhilelM pas avant le 1er mars.

Malware

https://urlhaus.abuse.ch/url/995210/
Question de la procédure pour analyse / escalade
Question de CiviCert
Refaire une communication au niveau de globenet sur « comment réagir à un mail de phishing ».
Mathieu fera tourner le mail qu’il a adressé au réseau ritimo à ce sujet

Passerelle 22 : rétrécissement des espaces démocratiques

NB : https://www.worteks.com/2020/12/21/streaming-rtmp-bigbluebutton-vers-peertube/

Affluence assez conséquente attendue : panel haut en couleur (Frank Barat, Mathieu Rigouste, Arié Alimi, Juliette Rousseau, Khrys, etc.)
Potentiellement : instance BBB d’Octopuce, diffusion Peertube de Globenet, enregistrement du flux via OBS

Problème : pas de tchat intégré. Solution imaginée : iFrames sur une page du site de ritimo (une pour le Peertube, une pour le tchat), potentiellement prévoir de mettre un quota pour interdire l’accès à de nouveau·elles

Retour d’expérience du Canard Réfractaire : https://framacolibri.org/t/fonctionnalite-live-retour-dutilisation/10070, et ça en particulier : https://framacolibri.org/t/fonctionnalite-live-retour-dutilisation/10070/13
Pour le tchat : https://github.com/Chocobozzz/PeerTube/issues/3098
Exemple : Oragano
John propose d’essayer de mettre sur videos.gn un outils qui met côte à côte chat et video.

Retour sur l’intervention en DC de décembre

2 interventions : fin décembre et mi janvier.

elec

Une 2e arrivée électrique est disponible dans la baie. Ça va déclencher une intervention pour changer l’elec dans la baie.
Les 2 arrivées sont sur batterie, et c’est redondé par générateur.

mise a jour de peertube

Emile et John ont mis à jour peertube en v3.
Le live est activé et dispo.

alternC

Il se pose encore des questions. Emile fait encore des tests. Faudra qu’on en parle

  • problème de DNS. Aujourd’hui, tous nos hébergés relèvent leurs mails sur mail.gn. Mais comme on ne va pas tout migrer, y’aura des mails des 2 cotés. Existe-t-il des proxy/load-balancer IMAP/POP/SMTP ? (pour rediriger la connexion sur panel ou panel1 en fonction du domaine)
  • quand lance-t-on cette migration ? Commencer à contacter certains hébergés ? Des gros ? Prévenir que ça risque de casser des choses, et qu’il va falloir nous aider un peu (remontée de bugs, changement de paramètres, contacts avec les utilisateur⋅rice⋅s, ...)

Note de John : une piste pour utiliser nginx comme proxy IMAP/POP/SMTP qui répond à nos besoins : https://cristian.livadaru.net/switching-mailservers-with-nginx-mail-proxy/

routeurs

Configurés et fonctionnels.
Emile fera une présentation aux root avant de mettre en prod. Prévoir 2h environ. Peut se faire sur un peertube live :o).
C’est une occasion de présenter notre infra aux personnes curieuses. D’où l’intérêt du live, et de la redif sur peertube. Si c’est public, il faudra peut être écarter certaines infos.
On planifie la réunion vendredi 12 février 16h.
TODO : mettre sur mobilizon :o)

points non traités