Introduction

Quand on travaille sur le logiciel libre, on finit, au bout d'un certain nombre d'années par se rendre compte que la masse de travail à achever est encore immense et qu'il manque sacrément de contributeurs pour tout faire.

C'est ce que je constate sur des projets comme QGIS: beaucoup d'utilisateurs ont des idées très intéressantes mais hélàs, même avec la meilleure volonté du monde, le flot des développeurs ne suffit pas à combler ces besoins. En conséquence, le projet voit s'amonceler un tas de nouvelles idées qui prennent du temps à être mises en place, fautes de moyens humains, les plages de développement s'allongent, il faut faire des choix, prioriser, etc.

Parfois cela peut même conduire à mettre en péril des pans entiers de sécurité comme ce fut le cas avec GnuPG il y a quelques années.

C'est que travailler sur du logiciel libre, ça prend du temps. Quand on fait ça sur son temps libre comme moi, le niveau de contribution est assez faible. Je me rends bien compte que les types qui sont payés pour faire ça sont bien plus productifs que mes petites heures glanées ici et là. D'ailleurs, on le voit à leur nombre de commits et aux messages de la mailing-list de développement.

Se pose finalement, la question du financement de tout ça ! Car, au delà de l'aspect éthique des choses, il faut bien que le développeur puisse vivre, pas forcément de son travail mais au moins subsister physiquement. En règle générale, les développeurs de logiciel libre sont loin d'être des golden boys avides de flouz. Leurs besoins sont donc très en deça des besoins du commun des mortels mais il leur faut un minimum quand même: de quoi satisfaire au moins les besoins indispensables à couvrir comme la bouffe, la flotte, un toît sur sa tête, un ordinateur pour coder, de quoi payer un peu d'électricité, un endroit pour pouvoir se focaliser, etc.

Si on veut des logiciels libres de qualité, il faut donc un moyen de rétribuer un minimum certains développeurs. On peut observer un peu tous les profils, du type payé pour le projet dans une SS2L ou un grand groupe comme RedHat, au type qui fait ça pour ses loisirs. Néanmoins, dans la tranche intérmédiaire, le besoin de €$ est visiblement indispensable, surtout quand les méthodes traditionnelles du financement de logiciel classique ne peuvent s'appliquer.

Après ce constat sévère, voyons maintenant comment je me suis mis à une plate-forme de financement de logiciel libre.

Comment je suis arrivé à tester Liberapay ?

Cela fait maintenant quelques années que j'essaye de rétribuer les projets libres que j'utilise au quotidien. Généralement, en début d'année, au moment des étrennes, je fais ma campagne de dons.

Mais, même en 2018, cette opération n'est pas si simple que ça. En effet, il y a un site de don par projet libre que j'utilise voire parfois, on ne peut pas faire de dons du tout. Il faut d'abord explorer les projets manuellement sur Internet, trouver la page de dons, étudier quels sont les moyens de paiement acceptés. Enfin, on peut passer à l'analyse des coûts en fonction de la devise utilisée, des frais bancaires, du mode de paiement (un virement SEPA dans l'Union Européenne ou par carte bancaire)...

L'ensemble requiert un peu de temps, surtout, si on veut faire les choses bien, c'est à dire en maximisant la quantité d'argent qui arrive dans la poche du ou des développeur(s) tout en minimisant les frais de gestion (car ce qu'on veut rémunérer, c'est le développeur, pas le type qui fait la transaction).

Pour autant, j'ai toujours eu un peu de méfiance vis à vis des acteurs du financement participatif qui font un peu la pluie et le beau temps. Ces startups du genre qui finissent toujours par mettre la clef sous la porte après s'être rendu compte que ça ne rapportait pas assez et pas assez vite et qui finissent par essayer de se faire du fric en revendant des données personnelles à "d'autres partenaires" ou en envoyant une floppée de spams pour te forcer à acheter leur ultime option qui tue.

Dans le courant du mois de novembre 2017, Patreon, qui est la plate-forme de financement continu d'un peu de tout la plus connue, a décidé de modifier unilatéralement ses conditions de rémunération. En résultat de ce changement, beaucoup de développeurs ont cherché d'autres moyens pour se financer. Comme en dehors de Patreon, tous les projets qui ont été lancés ont été exterminés à l'exception de Liberapay; ces developpeurs ont commence à faire un peu de pub pour Liberapay.

C'est le cas de Joey Hess, un ancien développeur Debian ultra-connu pour qui j'ai un profond respect (et je ne suis pas le seul d'ailleurs). J'ai lu son article de blog et ça m'a convaincu d'aller faire un tour sur Liberapay.

Les gens que je finance

J'ai décidé de porter mes dons à 100€ sur l'année. Ce n'est pas beaucoup mais c'est déjà un bon début. Voici les liens vers les personnes à qui je verse une modeste obole:

Qu'est-ce-qui est bien dans Liberapay ?

D'abord, le site web n'a aucune publicité et ça fait franchement du bien. Même mieux, le site n'utilise aucune ressource tierce: je n'ai aucun bloquage dans µBlock, ce qui est assez rare pour le souligner. C'est loin d'être le cas pour Patreon qui ne m'affiche pratiquement rien si je ne modifie pas ma configuration de µBlock.

  • Pas de spam après la création du compte.
  • C'est du logiciel libre.
  • Ça gère Libravatar, une alternative moins intrusive que Gravatar.
  • Ça semble léger en terme de technologie et du coup, c'est léger dans mon navigateur comparé à Patreon par exemple.
  • L'interface de traduction est WebLate, la solution libre de référence de traduction communautaire.
  • On se repère finalement assez bien.
  • Il existe des widgets pour indiquer sur son site combien on reçoit ou combien on donne.
  • Il y a une page de stats simple à comprendre, faite pour le long terme.

Quelques conseils pour donner

Pour ma part, j'ai toujours pensé qu'un virement SEPA était l'opération la moins chère pour effectuer un don d'argent au sein d'un pays de l'Union Européenne. Mais c'était sans compter sur les frais bancaires de ma banque qui me facture 3,3€ par virement ponctuel, en 2018, alors que je me tape toute la paperasse à écrire, attendre mon passage au guichet pour dépenser mon propre fric. 3,3€ sur un don de 50€, ça fait beaucoup ! On est à environ 7% de frais ce qui est énorme.

Donc, si vous avez une banque restée en 1918 comme la mienne, je vous invite à réaliser un achat de crédits plutôt par carte bancaire si vous êtes pressés, ce n'est pas si cher que ça.

Que manque-t-il à Liberapay ?

Parmi les seuls reproches que je peux faire à la plate-forme Liberapay, on trouve le manque de projets ou d'acteurs d'intérêt. En effet, point de Mozilla Foundation, de The Document Foundation, des développeurs emblématiques du Kernel Linux, idem pour Debian (même si ça commence à changer), etc.

Ce qui m'a fait adhérer (et donner), c'est principalement la présence de Joeyh Hess dont j'utilise un logiciel depuis près de 10 ans (ikiwiki, qui fait tourner ce site web d'ailleurs). S'il y avait d'autres projets phares, ça attirerait plus de monde sur le site. Comme ce dernier est plutôt pas trop mal fait, on pourrait alors utiliser ses fonctions d'exploration pour trouver autre chose que les projets très exposés.

Très clairement, le site manque de financeurs et les niveaux de rémunération sont quand même faibles même si la plate-forme brasse environ 10000€ par mois.

Ce qui serait vachement bien, ce serait de trouver les projets majeurs du logiciel libre sur Liberapay histoire que plus de gens puissent participer: des pans entiers de Debian avec des développeurs connus ou méritants (ou moins méritants mais ayant besoin d'un financement), des projets que j'utilise de Apache à BorgBackup en passant par Bind, Exim, Dovecot, Radicale, Roundcube, LibreOffice, archive.org, i3-wm, , Tor, i2pd, etc... et bien sûr QGIS !

Pour rester sur une note positive, on peut toutefois constater que les montants de financement ne font qu'augmenter, ce qui est une très bonne chose. C'est juste moins spectaculaire que sur d'autres plate-formes déjà bien implantées.

Une autre chose qui me manque, c'est de pouvoir m'adresser, via la plate-forme, aux personnes que je finance. Mon objectif est juste de leur donner une information, ce que j'aime dans leur projet, en quoi il me plaît et surtout les encourager à persévérer dans leur action. Néanmoins, je n'oublie pas aussi que les développeurs ont déjà de très nombreux moyens de récupérer cette information. C'est juste qu'on pourrait lier la rétribution avec des mots d'encouragement.

Maintenant, quand on fait un don, ce n'est pas pour demander quelquechose en retour, sinon ce n'est plus un don !

Conclusions

Sans être parfait, Liberapay se propose de financer le logiciel libre par le logiciel libre.

Le projet semble d'ailleurs assez résilient. Il n'a qu'un niveau de dépenses assez faible, qui doit être limité à quelques frais de gestion et d'hebergement. Si vous suivez l'actualité des sites de financement participatifs, vous vous rendez compte que la majorité, en dehors de Patreon a disparu, comme le défunt Gratipay.

Avec sa petite équipe limitée à 1 développeur qui ne gagne pas encore le SMIC avec la plate-forme, Liberapay fait quand même son bonhomme de chemin. Je pense que la sauce va prendre, il faut juste être patient et sans doute se concentrer un peu plus sur la communication ou sur la mise en communauté. Quelques "gros acteurs" pourraient apporter un nouveau flot de contributeurs.

Bien entendu, comme avec toutes ces plate-formes, ce qui fait le succès, c'est aussi la communication publique qu'on peut faire dessus. C'est chose faîte avec cet article.

Posted mar. 15 mai 2018 21:37:07 Tags:

Introduction

Ah, le courrier électronique, son utilisation est simple et quasi-universelle mais il existe tellement d'options et de fonctionnalités à ajouter à ce monument d'Internet qu'on oublie à quel point que faire fonctionner une plate-forme de courrier électronique requière de sérieuses compétences.

Aujourd'hui, nous allons mettre en place une technologie de filtrage au niveau du serveur pour filtrer les courriers en amont, en fonction des besoins de chaque utilisateur. Mission pas facile mais que nous allons néanmoins relever grâce à la technologie Sieve.

Récapitulatif de ce qu'il faut mettre en place

Exim4 propose la gestion de Sieve mais à un niveau assez bas: un fichier de filtre doit être déposé dans le répertoire de l'utilisateur pour qu'Exim le gère correctement. Mais, je pense que cette fonctionnalité n'est pas assez user-friendly.

On peut également implémenter Sieve du côté du serveur IMAP mais cela implique d'utiliser un service de délivrance de courrier et que ce service soit assuré par le serveur IMAP lui même. Dans le monde du courrier électronique, il existe deux grands types de service de délivrance de courrier "IMAP": LDA et LMTP. Nous retiendrons LMTP qui est plus "moderne" et surtout mieux implémenté dans Dovecot que LDA (qui repose sur un binaire externe).

Bien entendu, il faut dire au MTA qu'il doit utiliser ce service LMTP, il faudra donc modifier la configuration d'Exim4.

Une fois LMTP activé, on pourra mettre en place la gestion de Sieve dans Dovecot. Néanmoins, le problème sera identique à celui d'Exim: il reste à fabriquer les fichiers de filtres et à les déposer sur le serveur...

Heureusement, il existe un service dédiéà ça: ManageSieve. Il en existe une implémentation dans Dovecot que nous allons installer et configurer.

Enfin, si on souhaite que les filtres soient personnalisés, il reste à offrir une interface permettant de les déposer depuis le Webmail. C'est ce qui est permis par l'extensions ManageSieve de Roundcube et que nous allons également mettre en place.

On le voit, il y a du boulot en perspective... Commençons dès à présent et pas à pas !

Installation de LMTP pour Dovecot

Avant de commencer, il nous faut un serveur LMTP. Il existe une extension Dovecot qui fait très bien ce travail.

Installation

Sous Debian, c'est assez simple:

# apt install dovecot-lmtpd

Le paquet fait moins d'1Mo, pas de problème sur un PlugComputer.

Configuration

Pour configurer correctement ce mode de transport du courrier électronique, il ne faut pas oublier quelle est notre cible. En effet, nous voulons qu'Exim utilise le service LMTP pour transmettre les courriers électroniques qui seront ensuite gérés par Dovecot, lequel appliquera alors les filtres Sieve.

L'activation du protocole LMTP se fait dans le fichier maître de configuration, à savoir /etc/dovecot/conf.d/10-master.conf:

# Configuration du service LMTP
service lmtp {
  # On active le protocole LMTP sur une socket UNIX
  unix_listener lmtp {
    #mode = 0666
  }

  # On désactive le protocole LMTP par TCP
  #inet_listener lmtp {
    # Avoid making LMTP visible for the entire internet
    #address =
    #port = 
  #}
  # On va réserver 2 processus pour LMTP
  process_min_avail = 2

  # On veut que LMTP loggue les erreurs
  executable = lmtp -L
}

La configuration fine du protocole LMTP se fait dans le fichier /etc/dovecot/conf.d/20-ltmtp.conf:

##
## Configuration LMTP
##

# Pas de proxy LMTP
lmtp_proxy = no

# Pour les alias délimités, on va poser les courriels dans la 
# boîte finale et non dans la boîte aliasée.
lmtp_save_to_detail_mailbox = no

# Pas de vérification de quota
lmtp_rcpt_check_quota = no

# Toujours écrire dans la boîte aux lettres finale
# et non dans la boîte aliasée.
lmtp_hdr_delivery_address = final

protocol lmtp {
  # Les extensions gérées par lmtp
  mail_plugins = $mail_plugins
  # Le fichier de log spécifique
  info_log_path = /var/log/dovecot/dovecot-lmtp.log
  # Il faut enlever la partie du domaine pour nommer nos utilisateurs
  auth_username_format = %n
}

Intégration de LMTP dans Exim4

Maintenant que nous disposons d'un service LMTP, il reste à le faire utiliser par Exim. Par défaut, au moins, dans ma configuration simple d'Exim, j'utilise un mode de délivrance de courrier assez basique: Exim pose le message sous forme de fichier dans une arborescence Maildir. Il s'agit du transport maldir_home.

Pour mettre en place LMTP dans Exim, vous devrez configurer un router dédié ainsi qu'un transport vers le service. Nous allons placer ce transport dans le fichier /etc/exim4/conf.d/tranport/30_exim4-config_dovecot_lmtp:

dovecot_lmtp:
        driver = lmtp
        socket = /var/run/dovecot/lmtp
        #maximum number of deliveries per batch, default 1
        batch_max = 200
        # on supprime les suffixes/préfixes
        rcpt_include_affixes = false

Il reste ensuite à utiliser ce transport. Le moyen le plus simple consiste à utiliser le fichier de macros fourni par Debian: /etc/exim4/update-exim4.conf.conf et de modifier la variable dc_localdelivery qui permet d'indiquer le transport servant à la délivrance locale des courriels. Donc mon cas, j'ai juste modifié la valeur à :

dc_localdelivery='dovecot_lmtp'

Ensuite, vous pouvez redémarrer Exim (via systemctl bien-sûr) et faire un test d'adresse (via l'option -bt) pour lire le transport qui sera utilisé.

Mise en place de Sieve dans Dovecot

Installation

Ok, LMTP est en place et fonctionnel, il nous reste à nous occuper de la configuration de Sieve dans Dovecot. Il faut juste installer le paquet dovecot-sieve et son pendant administratif dovecot-managesieved:

# apt install dovecot-sieve dovecot-managesieved

Configuration

La configuration est assez simple. Il faut juste activer le module dans le transport adapté (ce sera LMTP pour nous) et configurer le fichier de l'extension.

Vous devrez d'abord activer le module sieve de LMTP. L'action se trouve dans la conf de LMTP, /etc/dovecot/conf.d/20-lmtp.conf:

protocol lmtp {                                                                                                                                             
  mail_plugins = $mail_plugins sieve                                                                                                                        
  ...
}

Ensuite, l'action se déroule dans /etc/dovecot/conf.d/90-sieve.conf. Je dirais que la configuration par défaut fait très bien le job dans la majorité des cas. La ligne la plus importante étant sans doute celle qui indique l'emplacement du répertoire de filtre et le fichier par défaut:

sieve = file:~/sieve;active=~/.dovecot.sieve

Cette ligne indique que le répertoire des filtres sieve sera ~/sieve et que le filtre par défaut à utiliser sera le lien symbolique ~/.dovecot.sieve.

A ce stade, la configuration est totalement compatible avec celle de l'interface ManageSieve de Roundcube donc, pour 90% des cas, ça ne sert à rien d'aller plus loin.

Pour plus d'informations, je vous invite à lire la page de référence.

Mise en place de ManageSieve dans Dovecot

Il reste maintenant à configurer ManageSieve dans Dovecot. Nous souhaitons activer le service uniquement sur localhost car l'accès à la configuration se fera via Roundcube qui est sur la même machine, donc pas besoin de présenter un port sur une IP publique.

Vous devez simplement renseigner le fichier de configuration /etc/dovecot/conf.d/20-managesieve.conf avec le contenu suivant:

##                                                                                 
## Configuration ManageSieve pour Dovecot                                          
##                                                                                 

# Nous activons ManageSieve                                                        
protocols = $protocols sieve

# Configuration de la connection au service                                        
service managesieve-login {
  inet_listener sieve {
    address = ::1, 127.0.0.1
    port = 4190
  }

  #inet_listener sieve_deprecated {                                                
  #  port = 2000                                                                   
  #}                                                                               

  # Number of connections to handle before starting a new
  process. Typically       
  # the only useful values are 0 (unlimited) or 1. 1 is more secure,
  but 0         
  # is faster. <doc/wiki/LoginProcess.txt>                                         
  #service_count = 1                                                               

  # Number of processes to always keep waiting for more connections.               
  #process_min_avail = 0                                                           

  # If you set service_count=0, you probably need to grow this.                    
  #vsz_limit = 64M                                                                 
}

#service managesieve {                                                             
  # Max. number of ManageSieve processes (connections)                             
  #process_limit = 1024                                                            
#}                                                                                 

# Service configuration                                                            

protocol sieve {
  # Maximum ManageSieve command line length in bytes. ManageSieve
  usually does     
  # not involve overly long command lines, so this setting will not
  normally       
  # need adjustment                                                                
  #managesieve_max_line_length = 65536                                             

  # Maximum number of ManageSieve connections allowed for a user from
  each IP      
  # address.                                                                       
  # NOTE: The username is compared case-sensitively.                               
  #mail_max_userip_connections = 10

  # Space separated list of plugins to load (none known to be useful
  so far).      
  # Do NOT try to load IMAP plugins here.                                          
  #mail_plugins =                                                                  

  # MANAGESIEVE logout format string:                                              
  #  %i - total number of bytes read from client                                   
  #  %o - total number of bytes sent to client                                     
  #managesieve_logout_format = bytes=%i/%o                                         

  # To fool ManageSieve clients that are focused on CMU's timesieved
  you can       
  # specify the IMPLEMENTATION capability that Dovecot reports to
  clients.         
  # For example: 'Cyrus timsieved v2.2.13'                                         
  #managesieve_implementation_string = Dovecot Pigeonhole                          

  # Explicitly specify the SIEVE and NOTIFY capability reported by the
  server      
  # before login. If left unassigned these will be reported
  dynamically            
  # according to what the Sieve interpreter supports by default (after
  login       
  # this may differ depending on the user).                                        
  #managesieve_sieve_capability =                                                  
  #managesieve_notify_capability =                                                 

  # The maximum number of compile errors that are returned to the
  client upon      
  # script upload or script verification.                                          
  #managesieve_max_compile_errors = 5                                              

  # Refer to 90-sieve.conf for script quota configuration and
  configuration of     
  # Sieve execution limits.                                                        
}

Mise en place de ManageSieve dans Roundcube

Maintenant que nous avons configuré l'infrastructure de bas niveau, il reste à configurer Roundcube. Ce dernier propose une extension bien nommée puisqu'elle s'appelle ManageSieve.

Installation

Vous devez vous assurer que vous disposez du paquet roundcube-plugins pour disposer de cette fonctionnalité:

# apt install roundcube-plugins

Mise en oeuvre

Vous devez activer l'extension en vous assurant qu'elle soit dans les extensions autorisées de Roundcube. Pour cela, allez modifier le fichier /etc/roundcube/config.inc.php:

// List of active plugins (in plugins/ directory)                                  
$config['plugins'] = array(
'archive',
'calendar',
'carddav',
'emoticons',
'managesieve',
'zipdownload',
'enigma'
);

Il reste ensuite à paramétrer finement l'extension. On peut le faire en ajoutant le fichier /etc/roundcube/plugins/managesieve/config.inc.php avec le contenu suivant:

<?php
// Le port managesieve utilisé. Ce sera 4190, le port réservé.                     
$config['managesieve_port'] = 4190;

// L'emplacement du serveur. Dans notre configuration, ce sera                     
// localhost car Roundcube est sur la même bécane.                                 
$config['managesieve_host'] = 'localhost';

// Méthode d'authentification utilisée.                                            
// Nous n'en employons aucune car nous sommes sur la même bécane.                  
$config['managesieve_auth_type'] = null;

// Option pour utiliser un compte alternatif pour
l\'authentification.             
// Ici, nous n'utilisons pas cette option.                                         
$config['managesieve_auth_cid'] = null;
$config['managesieve_auth_pw'] = null;

// On s'en fout d'utiliser TLS pour se connecter.                                  
$config['managesieve_usetls'] = false;
$config['managesieve_conn_options'] = null;

// default contents of filters script (eg. default spam filter)                    
$config['managesieve_default'] = '/etc/dovecot/sieve/global';

// Nom du script utilisé lorsque l'utilisateur n'a rien configuré.                 
$config['managesieve_script_name'] = 'managesieve';

// On est en 2018, UTF-8 est partout !                                             
$config['managesieve_mbox_encoding'] = 'UTF-8';

// Option pour Dovecot.                                                            
$config['managesieve_replace_delimiter'] = '';

// Ici, on peut désactiver des plugins Sieve.                                      
// Ce ne sera pas le cas sur notre configuration.                                  
$config['managesieve_disabled_extensions'] = array();

// Nous ne sommes pas en mode Debug.                                               
$config['managesieve_debug'] = false;

// Nous désactivons les options spécifiques de Kolab.                              
$config['managesieve_kolab_master'] = false;

// Extension des fichiers Sieve. Ce sera .sieve pour se conformer à                
// Dovecot.                                                                        
$config['managesieve_filename_extension'] = '.sieve';

// Une liste de noms de scripts Sieve non présentés à l\'utilisateur.
// Dans notre cas, nous n'en avons aucun.                                          
$config['managesieve_filename_exceptions'] = array();

// Une liste de domaine fermée pour contraindre les redirections.                  
// Vers d'autres domaines de courriel.                                             
$config['managesieve_domains'] = array();

// Options pour la gestion des absences.                                           
// Nous activons l'interface de gestion d'absences.                                
$config['managesieve_vacation'] = 1;

// Durée par défaut de l'absence en jours.                                         
$config['managesieve_vacation_interval'] = 7;

// Pré-remplissage de l'adresse utilisée pour la réponse.                          
$config['managesieve_vacation_addresses_init'] = true;

// Méthodes utilisées pour renvoyer le message d'absence.                          
$config['managesieve_notify_methods'] = array('mailto');
?>

Un exemple de filtre

Ce script permet de détecter ce qui vient d'une mailing-list et de le balancer dans une boîte dédiée.

# rule:[QGIS developper mailing list]                                                                                                                       
if anyof (header :contains "from" "qgis-developer@lists.osgeo.org", header :contains "return-path" "qgis-developer@lists.osgeo.org")
{                                                                                                                                
        fileinto "QGis-dev";
}

Mais, le plus simple est d'utiliser l'interface de Rouncube, c'est plus user-friendly !

Conclusions

Bon, c'était un poil complexe quand même ! Il y en a de partout et nous avons bien travaillé quand même. Faisons le bilan:

  • Nous avons modifié la configuration du MTA (Exim4) pour lui faire utiliser un transport dédié.
  • Nous avons mis en place un service LMTP via Dovecot.
  • Nous avons intégré et configuré la gestion de Sieve dans Dovecot.
  • Nous avons intégré et configuré un service ManageSieve via Dovecot.
  • Nous avons installé une extension de Rouncube permettant à l'utilisateur final de gérer ses propres scripts.

Pas simple effectivement pour une fonctionnalité qui peut sembler assez basique. Mais c'est ainsi: le courrier électronique applique à fond le principe UNIX: une fonctionnalité = un outil dédié. C'est comme ça et ça démontre qu'il sera toujours complexe d'administrer une plate-forme de courrier électronique. Le niveau de compétences à avoir est quasi identique pour une plate-forme mono-utilisateur que pour une plate-forme d'entreprise.

Voilà de quoi ajouter à votre CV qui ne pourra que satisfaire vos futurs recruteurs...

Posted dim. 14 janv. 2018 20:25:35 Tags:

Introduction

Dans la lutte contre le SPAM, j'ai déjà adopté certaines mesures comme le greylisting. C'est efficace même si cela n'est pas parfait. Néanmoins, il y a un élément dont je ne dispose toujours pas. En effet, je ne sais pas qui est le vendu de l'histoire...

Car régulièrement, au gré de ma vie numérique connectée, je dois laisser trainer mon adresse de courrier électronique. Bien entendu, même si les sites qui récupèrent cette information s'engagent tous à ne pas la refourguer à d'autres compagnons, mon niveau de confiance est proche de l'ensemble vide. Mais alors, que faire ?

Les alias délimités viennent à notre rescousse

Un moyen simple consiste à utiliser ce que j'appelle des alias délimités. C'est sans doute une mauvaise traduction de l'option 'recipient delimiter' du MTA Postfix. Cela consiste en l'utilisation d'un caractère de délimitation au sein d'une adresse de courrier électronique.

Concrètement, cela prend la forme suivante: si vous avez une adresse de courrier en toto@mondomaine.example, vous pouvez utilisez aussi une adresse du type toto_cequevousvoulez@mondomaine.example. Elle sera acceptée par votre MTA et le message sera routé vers toto@mondomaine.example.

L'astuce consiste à utiliser un délimiteur (ici, c'est '' mais ça peut être ce qu'on veut) en suffixe d'une adresse autorisée, c'est-à-dire qui existe réellement sur votre serveur. Ainsi, lorsque vous confiez votre adresse à un site marchand qui en a vraiment besoin, vous pouvez simplement utiliser totonomdumarchand@mondomaine.example comme adresse. Elle sera reconnue par votre MTA et vous recevrez du courrier électronique directement à votre adresse principale, sans aucune configuration.

L'intérêt de cette méthode consiste à fournir uniquement des adresses personnalisées pour chaque site sur lequel vous avez un compte. De cette manière, si vous récupérez du spam, il vous suffit d'afficher l'adresse d'origine (elle est présente dans les en-têtes et nombreux sont les MUA qui l'affichent (souvent pas par défaut).

Ainsi, vous saurez quel site a proprement revendu ou refourgué votre précieuse adresse. Google implémente cette astuce avec le délimiteur '+'.

Après cet intermède de haut niveau, passons à la mise en oeuvre...

Quelques rappels sur la configuration d'Exim4 sous Debian

Bon, ce qui est bien avec Debian et aussi avec Exim, c'est qu'une fois que la configuration est correctement implémentée, on n'a plus à y toucher pendant de nombreuses années.

Concrètement, le vrai fichier de configuration utilisé par Exim est situé dans /var/lib/exim4/config.autogenerated. Ce fichier est, comme son nom l'indique, généré par un programme dédié nommé update-exim4.conf (oui, je sais, un exécutable avec un .conf dedans, c'est peu courant). Ce dernier utilise la configuration éclatée située dans /etc/exim4/conf.d ainsi que le fichier de macros /etc/exim4/update-exim4.conf.conf (ça fait beaucoup de .conf non ?).

Pour modifier la configuration d'Exim, vous devez donc modifier des choses dans les fichiers situés dans /etc/exim4/conf.d puis lancer update-exim4.conf et relancer votre service exim4 (systemctl restart exim4).

Implémentation des alias délimités dans Exim4

Je ne vais pas vous ré-expliquer les principes d'Exim, il me faudrait un livre entier. Vous pouvez néanmoins vous réferrer à la documentation officielle qui est pour le coup, complète.

Comme tout ce qui a trait à la délivrance de courrier électronique dans Exim, nous allons simplement créer un router spécifique qui se charge de vérifier la présence du délimiteur en suffixe, de l'enlever avec tout le reste de l'adresse initiale et de balancer le message vers un autre routeur, chargé lui des adresses "officielles".

Je vous invite à créer un fichier nommé /etc/exim4/conf.d/router/310_recipient_delimiter (le nom est important pour l'ordre d'enchaînement des routers) avec le contenu suivant:

### router/300_recipient_delimiter
##################################

# Ce router gère la redirection vers les adresses dynamiques, définies
# avec un délimiteur. ex: toto__whatever est redirigé vers toto

recipient_delimiter:
  debug_print = "R: recipient_delimiter for $local_part@$domain"
  driver = redirect
  domains = +local_domains
  local_part_suffix =  __* : ..*
  data =  ${quote_local_part:$local_part}@$domain
  redirect_router = system_aliases

Voici les quelques explications indispensables à la compréhension de ce que nous faisons.

D'abord, nous créons un router spécifique. Il est nommé recipient_delimiter. Vous pouvez mettre ce que vous voulez comme nom mais, pour rester conforme à ce qui existe dans la littérature des MTA, j'utilise le terme recipient delimiter.

debug_print est une instruction qui imprime un message lorsqu'on est dans le mode debug d'Exim (cf plus bas). Il affiche une chaîne de caractères qui nous permet de prendre connaissance des variables local_part et domain. Ces variables contiennent respectivement la partie initiale de l'adresse en cours de traitement (toto) et le domaine traité. Le fait de mettre $ devant un nom de variable permet d'afficher son contenu (c'est $ qui permet le développement du contenu de la variable).

driver = redirect indique que ce router est de type redirect. C'est le router d'Exim qui permet la redirection de message vers d'autres routers. C'est pleinement ce que nous cherchons à faire: rediriger toto__whatever vers toto qui sera gérée par un autre router (system_aliases dans notre cas).

domains est la liste des domaines acceptés par ce router. Dans notre cas, il s'agit des domaines du système, stocké dans la variable local_domains. En fait cette variable est une liste nommée, on utilise le caractère + pour indiquer qu'on souhaite utiliser le contenu de la liste et non la chaîne de caractères en direct.

local_part_suffix est une condition pour que le router capture le message. Concrètement, si le contenu de cette condition est vérifié, alors le message est géré par notre router recipient_delimiter. Si ce n'est pas le cas, alors le message n'est pas traité par ce router (et il y a de fortes chances pour qu'à la fin, il soit rejeté). La chaîne de correspondance utilise la syntaxe d'Exim des listes. Concrètement, le suffixe cherché est du type __* ou ..* qui traite donc les adresses du type toto__whatever ou toto..whatever (* correspond à n'importe quel caractère). Attention, cette option est plus puissante qu'on ne peut le penser. En effet, le simple fait de déclarer un suffixe de partie locale d'adresse suffit à réduire la partie locale de l'adresse à la partie avant le suffixe.

data est une option de configuration des routers de type redirect. Elle indique, dans la syntaxe Exim, un moyen de trouver l'adresse réelle (toto@mondomaine.example) à partir de l'adresse initiale (toto__whatever@mondomaine.example). quote_local_part est un opérateur qui permet de mettre entre quotes la partie locale de l'adresse. Il faut l'utiliser chaque fois qu'on travaille sur la partie locale de l'adresse. Il permet de se conformer à la RFC 2822 qui gère la syntaxe du courrier électronique. On utilise ici local_part directement car local_part_suffix a déjà fait le travail de séparation pour nous.

Enfin, redirect_router est une autre option des routers de type redirect qui permet d'indiquer vers quel autre router ou balance le message qui correspond au suffixe et qui contiendra l'adresse réelle trouvée. Dans notre cas, il s'agit de system_aliases qui gère les alias systèmes et qui est le router que j'utilise pour mes comptes de messagerie configurés. Ce dernier gère la suite comme un grand.

Attention, j'utilise un transport assez simple (celui qui distribue le courrier dans un répertoire utilisateur en direct) mais si vous utilisez un transport plus élaboré qui utilise un service externe, il faudra sans doute configurer le service externe pour prendre en compte aussi l'adresse originelle qui est transmise dans les en-tête du message.

Tester notre configuration

Après avoir appliqué votre configuration, vous pouvez la tester en utilisant l'option -bt du binaire exim, de la manière suivante:

# exim4 -bt toto__nimportequoi
R: recipient_delimiter for toto__nimportequoi@mondomaine.example
R: system_aliases for toto__nimportequoi@mondomaine.example
R: system_aliases for moi@mondomaine.example
R: userforward for moio@mondomaine.example
R: procmail for moi@mondomaine.example
R: maildrop for moi@mondomaine.example
R: lowuid_aliases for moi@mondomaine.example (UID 1053)
R: local_user for moi@mondomaine.example
moi@medspx.fr
    <-- toto@mondomaine.example
    <-- toto__nimportequoi@mondomaine.example
  router = local_user, transport = maildir_home

Ici, on voit que toto__nimportequoi est transformé en toto puis en moi (la véritable adresse car toto est aussi un alias mais non dymanique, déclaré dans /etc/aliases)

En cas de problème, vous aurez probablement un message du type:

R: system_aliases for toto__nimportequoi@mondomaine.example
toto__nimportequoi@mondomaine.example is undeliverable: Unrouteable address

Afficher la source dans Roundcube

Dans Roundcube, l'adresse originelle n'est pas affichée par défaut, vous devrez activer la colonne À pour l'afficher dans la liste des courriels entrants.

Conclusions

Avec ce routeur, vous avez une infinité d'adresses de courrier électronique à votre disposition pour lutter contre le SPAM en sachant qui vous a vendu.

Maintenant, cet article ne parle pas de la contre-offensive possible qui peut prendre une forme légale (si vous avez envie de prendre du temps pour ça), une redirection vers du SPAM par défaut de cette adresse une fois qu'elle a été revendue ou encore plus radical, un bannissement de l'adresse au niveau du serveur.

Références

Posted sam. 13 janv. 2018 17:37:07 Tags:

Introduction

Pour cette fin d'année, je me suis fait un éternel plaisir à parcourir l'intégralité de la production de Stevie Wonder. C'est mon dernier article de 2017 sur une intégrale musicale... J'ai gardé du très bon pour la fin.

Comme d'habitude, j'ai parcouru l'intégralité des quelques 25 albums de l'artiste dans un ordre chronologique.

La huitième merveille de la musique

La carrière musicale de Stevie Wonder commence très tôt. En effet, lors de la publication de son premier album, il n'a que 12 ans ! Surnommé Wonder par ses producteurs en référence à ses talents extraordinaires au chant, aux instruments et à la composition pour un âge auquel nombreux sont ceux qui préferrent jouer aux billes (ou s'échanger des messages débiles sur le énième réseau social à la mode comme on dirait de nos jours).

Bon, à cet âge, Stevie est mineur et il ne peut pas faire ce qu'il veut: il est fortement encadré par la production de la Motown, en plein essor pendant ces années. Cela s'en ressent forcément sur ses albums.

Pour ma part, je n'ai pas eu le temps d'écouter les 5 premiers albums de Stevie Wonder car ils sont peu facilement disponibles et parce qu'il fallait bien limiter mon temps d'écoute à un mois. J'ai préférré me concentrer sur les débuts de fin d'adolescence de l'artiste, vers 1966 (il a alors 16 ans). Voilà pourquoi je commence cette rétrospective avec "Down To Earth", sorti la même année.

Down To Earth (1966)

C'est à partir de l'année 1966 qu'on peut dire que Stevie Wonder prend quasiment sa voix d'adulte, profonde, avec assez de coffre pour paraître crédible.

Que dire de "Down To Earth" ? D'abord qu'on sent qu'il s'agit d'une production de la Motown. Tous les codes de l'époque se retrouve, du thème des chansons jusque dans les choeurs qui accompagnent le chanteur. La musique très centrée sur les violons en fond sonore fait également parti du spectre de la compagnie de Berry Gordy. A cette époque, ce format fait effectivement fureur.

Mais cette fois, la voix de Stevie Wonder fait la réelle différence avec les autres interprètes du label R'nB de référence.

  • "A Place In the Sun" est une ballade très folk sur laquelle la voix de Stevie Wonder passe vraiment très bien. Une bonne piste d'introduction assurément.
  • "Bang Bang", plus Soul encore, montre que la Motown est bien là. On aurait pu faire interpréter la chanson par un groupe comme les Delfonics que ça n'aurait pas suscité de réaction.
  • "Thank you Love" est batie sur le même rythme que "What's Going On?" de Marvin Gaye. Les sonorités sont proches même si l'orchestration est très différente ce qui rend la chanson bien moins subversive, plus gentille. On y ressent quand même une certaine forme de questionnement, d'incertitude dans ses cassures d'harmoniques.
  • "Be Cool, Be Calm" sonne très Soul music à la sauce James Brown. Très dynamique, très Otis Redding comme dans "Respect". Très dans les codes de l'époque mais comme j'aime bien cette musique, j'adore ce morceau.
  • "Sylvia", encore une ballade mais on ne s'en lasse pas un seul instant.
  • "Angel Baby" avec son introduction percutante semble avoir été écrite pour et par Marvin Gaye. On y retrouve un Stevie Wonder qui imite son pair de l'époque: les cris haut-perchés de sa voix, les choeurs féminins font penser directement à "Too Busy to Think about My Baby". Encore l'ombre de Berry Gordy sur cette piste. Mais ça rend plutôt pas mal. J'aime ce dynamisme...
  • "Mr Tambourine Man". En général, je n'aime pas les reprises. Cette fois, il s'agit d'une reprise de reprise. En effet, la chanson de Bob Dylan a été reprise par les Birds. C'est cette version que reprend Stevie Wonder. Bon, je trouve que celle des Birds est plutôt meilleure.
  • "Sixteen Tons" aurait pu être écrite par les Platters, sans problème. Un peu molle dans la bouche de Wonder.
  • "Hey Love" termine l'album de manière plutôt concluante. Rien de bien folichon, plutôt de la tendresse bien faîte.

D'une manière générale, "Down To Earth" s'écoute assez facilement si on aime les références de la Motown de l'époque. La voix de Stevie Wonder suffit à sublimer cette production un peu formattée. A seulement 16 ans, c'est bien l'interprète qui fait toute la différence. C'est franchement un bon début pour ce dernier.

Je vous invite à écouter cet album sans doute peu connu des fans (car vieux et pas facile à trouver). Il n'y a aucun tube connu dessus mais je le classe bien meilleur que tout ce qu'a produit Stevie Wonder depuis ces 20 dernières années, c'est dire !

Up Tight (1966)

Deuxième album pour la Merveille toujours agée de 16 ans. La différence avec l'album précédent reste sans doute dans le dynamisme. Si les codes musicaux restent 100% conformes à ceux de la Motown, je trouve que le rythme des morceaux est bien plus dynamique, en prémices de ce que va produire Stevie dans quelques années.

  • "Love A Go Go". C'est la piste d'introduction de l'album et le moins qu'on puisse dire, c'est qu'elle envoie du bois. Il reste toujours cet aspect très policé (encore et toujours la Motown) mais ça commence à groover pas mal non ?
  • "Hold Me",
  • "Blowin' In the Wind". Comme toujours la règle est confirmée: cette reprise d'une chanson phare de Bob Dylan est nulle, même dans la bouche de Wonder !
  • "Nothing's Too Good For My Baby" nous replonge dans un style très Otis Redding.
  • "Teach Me Tonight", encore une fois j'ai l'impression d'entendre "Tramp" d'Otis Redding.
  • "Uptight, Everything Allright" est la piste majeure de l'album. Bien rythmée, elle nous envoie sur la piste de dance avec un mouvement bien engagé. C'est sans doute le morceau le plus dynamique de cet album finalement assez fougueux. C'est sur cette piste que Wonder commence à marquer des points.
  • Encore une piste dynamique avec "I want My Baby Back", toujours dans le même ton que "Respect".
  • "With a Child's Heart", une piste plus calme, plus en violons, parfaite pour les exclamations des Delfonics encore une fois.

Ok, l'album s'écoute pas trop mal pour les fans de la Motown dont je fais partie. A force, on finit par retrouver tous les autres chanteurs du label dedans mais ça fait partie du jeu.

Néanmoins, dans cet album, Stevie Wonder arrive quand même à placer ses éléments propres, à commencer par sa voix. Le morceau éponyme commence à marquer un peu les esprits. Encore un bon début...

I Was Made To Love Her (1967)

J'ai un peu plus de mal avec cet album qui est composé en grande partie de pistes reprises parmi le catalogue à succès de la Motown. Sans conteste, les originaux sont bien meilleurs.

Pourtant et incontestablement, sur les pistes propres à Stevie Wonder, on assiste à une qualité d'interprétation et de production bien supérieure aux précédents albums.

Ainsi, "I Was Made To Love Her" qui lance l'album annonce un futur Stevie Wonder bien trempé. D'abord l'introduction à l'harmonica reste une de ses signatures. Ensuite, le rythme et la mélodie entraînante de la chanson la rende incontournable dans le répertoire de l'artiste.

"Send Me Some Lovin'" avec son introduction grave et bien construite, continue à rendre cet album bien intéressant. Le dynamique "I'd Cry", construit sur les recettes classiques de la boîte de production rend finalement très bien dans la voix de Wonder, notamment grâce à ce rythme, ces choeurs et ces exclamations si particulières.

Pour le reste, il n'y a que des reprises que je trouve assez moyennes, comme à mon habitude.

Néanmoins, sur ce qui est du vrai Stevie Wonder sur cet album, on peut entendre des titres majeurs.

For Once in My Life (1968)

En dehors de la piste éponyme, je trouve cet album un peu en retrait par rapport aux autres. Peut-être qu'au bout de ces 3 albums, il finissent tous par se ressembler. Car il est vrai que la patte de la Motown a un effet un peu écoeurant à la fin.

Je note toutefois quelques pistes qui ont aiguisé mon appétit:

  • "You Met Your Watch", bien rythmée avec ses cuivres percutants.
  • "Sunny", bien que pour une reprise fasse plutôt bien son job.
  • "I'd Be A Fool Right Now", pour son côté Delfonics.
  • "Do I love Her" pour son côté ballade.

Peut-être un essouflement de cette carrière si prometteuse ? Peut-être tout simplement la fin de l'ère Motown pour Stevie Wonder ?

My Cherie Amour (1969)

En 1969 sort "My Chérie Amour", le bien nommé. La chanson éponyme qui commence l'album est un monument de tendresse et de déclaration d'amour. J'aime assez bien son côté précurseur de ce que pourra être "Isn't She Lovely" qui sortira dans 7 ans.

La deuxième piste n'est pas mal non plus. "Hello Young Lovers" annonce la couleur d'un rythme Soul endiablé digne de ce que pourrait faire un James Brown. Mais après cette piste l'album s'essoufle quand même sérieusement.

L'autre piste d'intérêt de l'album est "Yester-Me Yester-You, Yesterday" avec son refain incontournable.

Mais après, le tout reste plat. Rien d'extraordinaire ne percole de l'ensemble. Tout reste trop comme les autres albums; il y a encore trop de Motown dedans et on finit par se lasser sérieusement.

Bon, espérons que tout cela change pour la décénnie à venir...

Vers la libération et l'apothéose

Vers l'âge de 20 ans, Stevie Wonder commence à obtenir son indépendance musicale et financière de la Motown qui reste son producteur sous le label Tamla. Voyons ce que cette libération peut provoquer chez l'artiste.

Signed, Sealed and Delivered (1970)

Le premier album de la décennie 70 s'annonce plutôt un très bon cru. En effet, on y renifle encore quelques relents des années 60 mais l'ensemble fleure bon la soul music avec le style si particulier de Stevie Wonder.

Dès les premières notes, l'album est posé sur les rails de l'excellence. "Never Had A Dream Come True" amorce la pompe de manière très gospel. "We can Work It Out", très rythmé, mèle années 60 et soul music comme jamais.

La piste éponyme de l'album, une référence de l'oeuvre intégrale de l'artiste, sonne de manière assez conquérante. A l'inverse, on a l'impression de se retrouver dans un temple protestant d'un quartier noir avec "Heaven Help Us All". Plus douce, plus en grâce, elle me semble être un clip de nostalgie de gospel pour un Stevie Wonder qui a à peine la vingtaine.

Le plus sérieux "You can't Judge a Booke By it's Cover" nous renvoie à une séquence plus grave, plus philosophe que les autres morceaux de l'album.

Malgré une très bonne introduction de piano "Sugar" me laisse une trainée mélodique un peu niaise dans ses élans et ses aigus.

L'album se termine sur deux pistes qui sont proches dans les tons. Plus calmes, on y trouve une Stevie moins enthousiaste, plus calme. Pour autant, "Something to Say" s'annonce plus politique que jamais avec ses revendications sur la jeunesse et son supposé manque de sérieux.

Non, vraiment cet album est vraiment très bon et je l'écoute souvent.

Where I'm Coning From (1971)

Stevie Wonder fait des albums depuis ses débuts. Après une production dantesque, que va-t-il arriver ? Peut-on raisonnablement rester bon en étant aussi productif et aussi jeune ?

La réponse de l'artiste se fait sans appel: oui, c'est possible. "Where I'm Coming From" se veut encore plus sérieux que l'album précédent. Plus de sonorités graves, un rythme plus marqué, des titres plus sérieux et, surtout, une teinte instrumentale plus mûre font de cet album une véritable réussite.

Les deux premières pistes "Look Around" et "Do Yourself a Favor" renforce cette impression de force. Alors que "Think of Me As Your Soldier" et "Something Out of The Blue" sont plus en douceur.

Paradoxalement, les pistes "I wanna Talk To You" et "Take up a course in Happiness" forment un ensemble moins réussi, car trop niaises. Elles ressemblent aux musiques trop formattées de la Motown.

En revanche, l'album se termine par deux perles de tendresse: "Never Dreamed You'd Leave In Summer" et "Sunshine in Their Eyes" mélangent tristesse, nostalgie avec espoir infini. J'aime assez bien cette fin d'album.

Pour résumer, avec "Where I'm Coming From", on assiste à l'affirmation d'un jeune Stevie Wonder plus libre dans ses réalisations, qui reste fidèle à un certain style mais qui produit vraiment quelquechose de remarquable. Encore un très bon album !

Music of My Mind (1972)

Maintenant débarassé de l'influence de la Motown pour de bon (et de son contrat avec Berry Gordy), Stevie Wonder rentre plus dans un rôle de créateur compositeur sur cet album.

En effet, il sonne assez différemment des deux derniers albums. Je le trouve beaucoup plus mûr, plus concret, moins léger, plus audacieux dans les instruments.

Ça se remarque dès la première piste "Love Having You Around". Tout en sérieux avec ses tons plus graves; elle introduit plus de sons bizarres, nouveaux que dans les deux derniers albums.

On le retrouve aussi dans "Superwoman" avec une introduction si particulière. La mélodie et les paroles rélèvent une qualité de production qui donne une véritable d'impression de sérieux tout en étant dans la nouveauté. Sans doute une des meilleures pistes de l'album.

La piste qui suit "I Love Every Little Thing About You" reprend la même recette avec une mélodie et un ton de voix un peu différents. Mais c'est la même impression de qualité qui s'en dégage.

Plus légère "Sweet Little Girl" n'est pas en reste avec ses airs d'harmonicas, signature de Stevie Wonder.

Viennent ensuite deux pistes qui se ressemblent musicalement et qui sont bâties sur le même modèle et qui viennent consolider cet album déjà très bon: "Happier Than The Morning Sun" et "Girl Blue".

L'album se termine en apothéose par "Evil", une piste plus mélancolique mais avec une sonorité cantique, solennelle, servie par des choeurs bibliques et un orgue synthétique qui ne dénoterait pas plus que ça dans une église.

Au final, il n'y a aucune piste moins bonne que l'autre sur cet album. C'est pour ça que je l'adore aussi. Plus lent dans le rythme, plus calme, "Music Of My Mind" est assez représentatif de la décennie 70 pour Stevie Wonder: de l'excellence, à n'en pas douter au bout de ces trois albums...

Talking Book (1972)

La même année que Music of My Mind, sort le magnifique "Talking Book". Il est lancé par l'excellente "You are the sunshine of my heart", fruit d'une collaboration à plusieurs voix.

La deuxième piste "Maybe Your Baby", en dehors du tube qui la précède est plus complexe. De nouvelles sonorités un peu dérangeantes s'annoncent. Et pourtant, je lui trouve un sérieux plus fort que sur l'album précédent.

"You and I", plus calme et plus posée, illustre assez bien ce que peut être une ballade romantique. Avec son introduction tout en cordes synthétiques et avec la voix retravaillée de Stevie Wonder pour lui donner un accent un peu metallique, on se sent bien, dans la sérenité.

Dans le même genre calme mais avec un poil plus d'inquiétude, on retrouve "You've Got It Bad Girl". Plus grave, elle comporte pourtant quelques instruments spécifiques, comme ceux qu'on pourra retrouver sur l'album "Innervisions", publié l'année suivante. Moi j'aime bien cette inquiétude.

Enfin, on débouche sur une autre des piste qui forment le top 5 de Stevie Wonder: "Superstitions". Tout est extraordinaire dedans, de l'introduction en rythme avec son export de cordes qui simulent celles d'un piano, au propos de Stevie Wonder. Sans doute une de mes pistes préférées car je trouve qu'elle est très dansante, très groovy tout en offrant une richesse musicale qu'on trouve rarement de nos jours. J'adore cette marque de fond de rythme qui ne change jamais mais sur lequel on peut plaquer à peut près n'importe quoi pour le faire vibrer correctement. Sans compter les cuivres très présents dans cette piste. Le plus simple, c'est de de se remettre l'épisode de Soul Train de l'époque où on voit danser les gens avec Stevie Wonder présent dans la salle derrière son clavier. Ça devait être extraordinaire.

L'autre piste qui forme les 3 tubes de l'album est sans nul doute "Blame it on the Sun". Beaucoup plus calme, plus nostalgique que le reste de l'album, elle permet de trouver la paix, surtout à l'approche de la mélodie du refrain où les choeurs viennent nous soulever vers le bonheur. Pas mal pour quelqu'un qui ne peut pas voir la lumière du soleil...

L'album se conclue avec deux pistes intéressantes sans être extraordinaires mais on est tant marqué par le reste, que c'est de bonne guerre.

D'une manière générale, je trouve l'album encore plus audacieux que "Music of My Mind". Sans doute plus posé encore, je crois qu'on peut dire que depuis le premier album de cette décénnie, Stevie Wonder est sur une pente ascendante dans la qualité de sa production. Après 4 albums en moins de 3 ans, que va-t-il se passer pour ses prochaines productions ? Le pire ou le meilleur ?

Innervisions (1973)

Ah, cet album est une mine d'or; des hits à la pelle; du lourd, du vrai, le top du top de ce que Stevie Wonder peut faire. J'adore cet album, je l'ai vraiment écouté en boucle, notamment ses meilleures pistes. Je n'arrive pas à croire à ce niveau de qualité auprès duquel je suis passé à côté pendant toutes ces années.

Tout commence avec "Too High", un condensé de groove, de cuivres graves, rythmés par une basse simple mais percutante avec un effet d'entraînement de dingue. Ce morceau est une leçon de Soul music. Dans tous les cas, l'album est plutôt bien introduit.

Qui dit innervisions, dit aussi visions. Certes, Stevie Wonder est aveugle et voilà pourquoi il nous propose son interprétation d'un monde avec ce sens en moins, ce regard nécessairement intérieur. La deuxième piste de l'album, nommée "Visions" offre un espace de quiétude, probablement issu de l'intérieur de l'esprit du compositeur, sur un rythme beaucoup plus calme que "Too High". La mélodie nous transmet une certaine dose d'inquiétude aussi, par le biais de décalages harmoniques; ainsi qu'un zeste de mélancolie, apportée par cette guitare sèche bien triste. Une très bonne piste assurément.

Vient ensuite un tube: "Living in the City", un cri de guerre porté par un rythme de fou, pendant près de 7 minutes. Les paroles sont engagées, le groove certain, les percussions en choeur sur un canal endiablé. Un truc que tu écoutes pour te remonter, pour t'endurcir. Même si la voix aigue de Stevie Wonder vient apporter sa force à l'ensemble. Je connaissais déjà cette chanson ultra-connue de Stevie Wonder et je l'avais déjà appréciée dans le passé. Mais j'ai pris plaisir à la ré-écouter sur une version longue.

En lien avec la piste précédente, dans un registre plus doux, arrive "Golden Lady". C'est une de mes pistes préférées de l'artiste. J'adore l'introduction en piano, suivie rapidement par ce souffle électronique d'orgue qui vient aiguiser ma curiosité. La mélodie simple de prime abord se complexifie pour le meilleur sur un rythme posé, calme, assuré. Avant que la voix de l'interprète lance "Golden Lady, I'd like to go there". Les sons électroniques aigus qui ponctuent l'ensemble ajoute une dose juste-comme-il-faut de mélancolie, sublimée par des percussions légères. J'adore l'écouter quand je rentre du bureau...

La piste suivante "Higher Ground" dispose d'un rythme plus groovy, plus léger que "Golden Lady" mais ce groove bien présent s'apprécie à sa juste valeur.

Plus grave encore, "Jesus Children of America" reprend une bonne part de groove mais plus sérieux, plus calme, moins simpliste, plus sombre. Bon, ce n'est pas la piste que je préferre mais la perfection n'est pas de ce monde. Elle est néanmoins d'un très bon niveau.

Par la suite, le morceau qui vient après, dénommé "All in Love is Fair" est un monument de douceur et de mélancolie. J'en ai toujours les larmes aux yeux lorsque j'entends cette introduction en solo de piano sur cette mélodie qui mèle à la fois espoir et tristesse infinie. La voix de Wonder, plaquée sur ce piano inaltérable, se révèle dans une forme de tendresse totale. Alternée dans les graves et les aigus, comme La Merveille sait si bien le faire, on constate que cette voix est un instrument de plus pour l'artiste.

Enfin, on tombe sur l'extraordinaire "He's Misstra Know-It-All" (C'est monsieur je-sais-tout), une chanson adressée à Richard Nixon et à sa politique et à ses manières peu orthodoxes (qui a dit Watergate dans l'assemblée ?).

Ce qui est assez génial, c'est de constater que c'est un album qui est 100% fabriqué par Stevie Wonder: il a lui même assuré l'enregistrement de tous les instruments accoustiques et électroniques; la composition des paroles, des mélodies. Ce type est juste un génie, au sommet de son art. Ce n'est pas un détail: arriver à ce niveau de perfection, quasiment seul est au delà de la portée du commun des mortels.

Fulfillingness' First Finale (1974)

Bon après l'enorme succès d'Innervisions (enfin, succès pour mes petites oreilles à moi), on peut se dire que Stevie Wonder ne peut aller plus haut. C'est sans doute vrai pour l'album "Fulfillingness' First Finale" mais on reste franchement à un très haut niveau de qualité qui est un chouilla juste en dessous d'Innervisions. Mais c'est juste pour faire une petite gradation.

D'abord cet album commence très bien par cette petite piste très sympathique, intitulée "Smile Please". Très joyeuse, elle possède un refrain très enjoué qui fait du bien. Une piste à écouter le matin en allant travailler assurément.

"Heaven Is 10 Zillion Light Years Away" qui suit juste après est également remarquable, surtout dans sa richesse instrumentale. Ces sonorités si spécifiques commencent à irriguer tout le travail de l'artiste et, à la fin, elles finissent toujours par faire du bien à nos oreilles. Pour moi, cette piste symbolise un sentiment de sécurité profond, un certain niveau d'harmonie et de force intérieur qui conduit à me rassurer. Encore une piste pour faire le plein d'énergie avant d'aller travailler.

"Too Shy To Say", avec son introduction plus ridicule nous remet sur les rails de la tendresse et de la ballade amoureuse. Plus mélancolique avec ses sonorités hawaiennes, plus calme, elle vient distiller le rythme lent des vagues sur la plage de ma vie. J'aime bien m'y reposer...

Dans une rupture totale, "Boogie On Reggae Woman" se veut plus groovy que jamais. Voilà qui réveille pas mal, surtout lorsque l'harmonica magique fait son apparition. On passe encore un bon moment.

"Creepin'" se veut alors une piste plus inquiétante, plus lourde, plus coulante, plus calme. Son introduction anémique laisse place à une mélodie simple et très Soul. Apaisant, presque reggae si on avait changé le rythme musical.

Alors que tout bascule pour la piste qui suit, plus jazzy avec ses cuivres et plus rythmée surtout. "You haven't done nothing" comporte d'ailleurs une super introduction avec un son de synthétiseur si typique de l'album.

On aborde ensuite la référence Soul de l'album. "It Ain't No Use" est clairement dans un registre un peu différent des autres pistes de l'album. Plus calme que ce qui suit, elle finit par exploser lors du refrain avec ces choeurs qui clament "bye bye, bye bye bye" sur la voix déchirante de Stevie Wonder. Une leçon de Soul, c'est certain.

Dans le registre de la tristesse et du regret, l'apothéose revient certainement à "They Wont'go When I Go", si mélancolique, si religieuse avec ses quelques instruments et son piano qui pleure alors que Stevie Wonder semble murmurer une oraison funèbre. Toujours cette forme de beauté dans le malheur qu'on retrouve chez le peuple noir et pour laquelle j'ai un respect absolu.

"Bird of Beauty" reste un peu dans le même registre Soul que "It Ain't no Use" car elle adopte des codes similaires: des choeurs féminins, un rythme fluide, une mélodie sympathique. J'aime beaucoup ce côté assuré dans la voix de Stevie Wonder qui se conjugue extrèmement bien avec ces voix féminines.

Pour terminer en beauté, "Please Don't Go" vient prouver une fois de plus que Stevie Wonder est un maître de l'émotion et de la chanson qui donne de l'espoir. La mélodie simple qui donne l'impression de l'avoir déjà entendu ailleurs est une déclaration de regrets comme on n'en fait peu. Néanmoins, tout laisse penser à une forme de rédemption et d'espoir face à la situation: la mélodie n'est pas vraiment triste, les choeurs portent une forme de joie et l'harmonica magique efface tout trace d'inquiétude. Le final nous invite à nous envoler vers le paradis. Les ailes me poussent dans le dos quand j'entends cette musique.

Dans tous les cas "Fulfillingness' First Finale" est un album excellent. Sa richesse musicale le prouve. On y trouve de la Soul, du Groove, de la mélancolie comme de la joie intense et un espoir infini. Il n'y a, encore une fois, rien à jeter dessus. Toutes les pistes ont leur intérêt. La seule différence, c'est que les morceaux qui sont dessus sont un poil moins connus que les références commerciales de Stevie Wonder. Je vous encourage fortement à garnir votre bibliothèque musicale avec cet album, vous ne pouvez pas être déçus...

Songs in the Key of Life (1976)

Deux ans après l'album précédent, Stevie Wonder remet le couvert mais cette fois avec un double album. Mathématiquement, on reste à un rythme soutenu d'un album par an !

Que vaut donc cette production ? Tentons une petite rétrospective... Le premier disque commence par le très raisonnable "Love's In Need Of Love Today". Je le trouve très moderne pour son époque. Il ressemble assez aux meilleures productions de Stevie Wonder pendant les années 80 (et elles sont d'ailleurs rares).

Comme autre nouveauté, on trouve "Village Ghetto Land", très calme où la voix quasi a capella de Stevie Wonder sonne relativement clairement et avec un fort écho pour la chanson.

"Contusion" change tout avec un rythme assez marqué. Cette piste entièrement musicale reste un emblème des années 70 et leurs sonorités spécifiques. J'y vois quand même un zeste de Carlos Santana dans la guitare électrique mise en avant.

Apparaît ensuite "Sir Duke", un hommage très jazzy (mais avec un bon mix Soul quand même). C'est également une piste ultra-connue de Stevie Wonder. J'aime bien l'écouter de temps en temps pour son dynamisme et la force de son refrain.

Elle se poursuit aussi avec une autre piste hyper-dynamique: "I Wish" qui sonnera assez bien aux quadragénaires de 2017 qui ont tous entendu la reprise de Will Smith dans les années 2000. Courir avec cette musique dans les oreilles ne peut qu'améliorer vos performances. Cet air entraînant est vraiment très motivant mais restera imprimé dans votre cerveau assez longtemps...

Vient ensuite une piste très intéressante "Knocks Me Off My Feet", sonne un peu comme le premier morceau de l'album avec des différences musicales notables. Beaucoup moins rythmée que la piste qui la précède, elle n'en conserve pas moins encore une espèce de dénominateur commun pour l'album: une certaine forme d'assurance et un style fluide bien épaulé par une mélodie dont les codes restent très présents sur l'album.

"Pastime Paradise" est également bien connue avec son rythme lent et ses percussions marquantes, le tout dans une musique inquiétante et qui semble dure au premier abord. Ce n'est pas pour rien que dans les années 90, elle sera reprise sous le titre "Gangsta Paradise" par Seal.

Vient enfin une petite merveille nommée "Summer Soft". Elle pourrait se comparer à "I Wish" dans ses codes. Néanmoins, son introduction est plus légère, plus douce malgré un rythme plus soutenu au fur et à mesure qu'on progresse dans le temps. Ce refrain calqué sur un "and she's gone!" prononcé par l'interprètre est tout simplement génial. La conclusion musicale du morceau vaut aussi son pesant de cacahuètes par sa richesse éclatante ponctuée par un grand nombre de sons différents mais bien harmonisés par ce rythme devenu finalement intense. Une autre piste qu'on emporte en allant courir.

Abordons-donc le deuxième album. Il est introduit par l'archi-ultra-connue "Isn't She Lovely", ode à toute naissance de fille. C'est un morceau très long sur cet album (près de 7 minutes) où on peut ressentir pleinement l'émotion transparaitre de la voix de l'auteur/père/compositeur. On ne peut pas ressortir indemne de ce morceau. Le coup de grâce viendra nécéssairement de la séquence finale à l'harmonic, si mélodique (et si difficile à interpréter sur cet instrument limité).

"Joy Inside My Tears" nous offre également un moment de calme et de contemplation. Alors que "Black Man", bien plus rythmé nous rappelle que Stevie sait gérer ces ensembles de cuivres so Soul music.

"If it's Magic" nous replonge dans le calme et la volupté surtout avec son parcours musical à la harpe.

On retrouve un autre tube de l'album: "As". Sous ce titre court, se cache un autre monument de la production de Stevie Wonder. Un rythme extraordinaire, une fluidité musicale proche de la perfection et surtout une mélodie magique, dynamique bien mise en valeur par des choeurs féminins si modernes. Une piste excellente pour partir en vacances tant elle fait ressortir la joie et la légèreté du moment.

Viennent ensuite quelques morceaux d'intérêt:

  • "Another Star", très disco dans ses instruments.
  • "Saturn", avec ses synthétiseurs très années 80 avant l'heure.
  • Le triste "Easy Goin' Evening (My Mama's Call)" qui fait pleurer l'harmonica.

On le voit bien, sur ce double album, on a encore accès à quelquechose qui s'approche de la perfection. Pour moi, c'est le dernier album majeur de Stevie Wonder. Tout ce qui viendra après sera forcément moins bien. Mais on peut déjà remercier l'auteur de nous avoir tant donné dans cette décénnie.

Journey Through The Secret Life of Plants (1979)

Cet album est plutôt instrumental, il se veut la BO d'un documentaire sur la vie des plantes. Bon, pour un documentaire c'est sûrement très bon d'avoir Stevie Wonder dans les crédits mais au final, ce double album me met souvent mal à l'aise car trop "indien boudhiste" comme sonorité. J'ai du mal à pouvoir en écouter plus d'une piste par jour.

Au final, je vous conseille de faire l'impasse; c'est n'est pas comme si Stevie Wonder n'avait rien fait d'autre...

Passage vers le commercial et la légèreté

Au début des années 80 et après quelques années sans sortie d'album, Stevie Wonder change encore de registre et épouse quasi-complètement les codes musicaux de l'époque. Par ailleurs, il quitte le registre expérimental pour se tourner vers des productions plus commerciales.

Hotter Than July (1980)

Et ce virage se ressent dès le premier album de la décénnie 80. "Hotter Than July" fleure bon les vacances au soleil et la légèreté qui va avec. Néanmoins sans être bon à jeter à la poubelle, l'album est franchement en deça de ce que Stevie Wonder nous avait proposé dans la décénnie passée.

Quelques pistes sortent du lot et permettent à l'album de s'en sortir quand même:

  • "All I Do" sonne très eighties mais reste très abordable et s'écoute facilement avec intérêt.
  • "Master Blaster" aurait pu sortir sur "Songs of the Key of Life" vu son architecture et sa teneur. Elle aurait fait un bon complément à "Sir Duke". Ça reste une des pistes majeures de Stevie Wonder des années 80. Je l'aime beaucoup.
  • "Lately", sirupeuse à souhait, d'une grande mélancolie est certainement une production hyper-commerciale. Mais je ne sais pourquoi je l'ai toujours adorée. Sans doute ce calme intense, cette pauvreté musicale assumée et toujours cette voix sublime; au service de la beauté dans le triste.
  • Et enfin, la piste qu'on balance à tous les anniversaires "Happy Birthday". Pas forcément commerciale au premier abord, elle forme l'essentiel d'un évènement festif: du rythme, de la joie, de la légèreté et un refrain que tout le monde peut répéter à l'envie. Un grand succès assurément.

Pour le reste, il reste quand même des choses qui sortent de l'ordinaire mais les codes musicaux sont vraiment transformés par ce qu'on pouvait trouver en mainstream à l'époque. Ce n'est pas ma tasse de thé malheureusement (malgré le fait que ce soit pleinement la musique de mon enfance).

Allez ! On peut lui mettre une note de 6/10 quand même...

The Woman in Red (1984)

Attention, sortez les synthés, les coiffures éclatées, les épaulettes, voici les années 80 dans toute leur "splendeur". Sorti en 1984, "The Woman in Red" est la bande originale d'un film éponyme. Stevie Wonder en assure la BO avec Dionne Warwick.

Bon, c'est très eighties dans les codes. Dans l'ensemble, l'album forme une sorte de tâche dans la carrière de Stevie Wonder à cause de la rupture avec un album comme Songs in the Key of Life. On voit clairement que c'est du commercial.

Pourtant, quelques perles émergent (pas facile de faire du pas terrible quand on s'appelle Stevie Wonder). On retrouve ainsi l'ultra-connu "I Just Called To Say I Love You". Un des morceaux phares de l'artiste.

Sur un plan plus musical, deux autres pistes ont relevé mon attention. Il s'agit de "Love Light in Flight" qui, certes sonne très années 80 mais qui forme un ensemble un peu moins léger, plus profond. Ce qui n'est pas le cas avec l'autre piste. Intitulée "Don't Drive Drunk", elle semble avoir été composée avec le synthétiseur sonore de la Nintendo NES tant les sonorités semblent sortir de la console sur The Legend Of Zelda ou Super Mario. Les petites voix débiles accélérées ont quand même un air très entêtant...

In Square Circle (1985)

On reste dans les années 80 mais cette fois, on sort de la bande originale de film. In Square Circle est un album encore une fois représentatif de son époque. Mais je commence à avoir du mal avec justement.

Tout sonne très codifié. On est vraiment loin des années 70 et clairement dans le léger et le commercial. Les sonorités ne sont pas vraiment intéressantes.

Seuls deux titres archi-connus sont présents sur cet album:

  • Part-Time Lover qui est très bon dans son rythme.
  • Overjoyed qui prouve qu'on peut être dans les années 80 et faire quelquechose de qualité.

En dehors de ces deux références, fuyez !

Characters (1987)

Et la suite de la décénnie 80 s'annonce encore plus creuse pour Stevie Wonder qui poursuit sur sa lancée commerciale. Pour aller vite, seul le bien nommé "Free", qui a eu le malheur d'illustrer la bande son de nombre de publicités pour une banque en France, est digne de Stevie Wonder.

Pour tout le reste, j'ai du mal. Ça a vraiment mal vieilli...

Jungle Fever (1991)

Ah, les années 90, un monde en pleine perdition. Que va faire Stevie Wonder dans cette décénnie maudite pour la production musicale (le rap, la techno craignos, les boys-bands, les comédies musicales niaises, les chanteurs déjà ringards à 19 ans car ils chantent déjà de la merde, formatée par leurs ainés) ?

Heureusement, il ne fera que deux albums. Parmi lesquels la bande originale du film "Jungle Fever" de Spike Lee. J'ai eu l'occasion de voir le film avant de faire cette intégrale. L'idée que j'avais eu à l'époque, c'était que la bande son était plutôt pas trop mal foutue (alors que le film était franchement moyen; faut dire, le personnage principal est Welsey Snipe).

Je confirme: sous un premier aperçu trop techno, l'album s'écoute plutôt bien. Les sonorités ne sont ni trop années 80, ni trop années 90. La mélodie est au rendez-vous, à part sur quelques pistes. Et on si on écoute l'album en se disant que ce n'est pas un album pour nous faire réflechir trop, on passe finalement un bon moment.

La piste la plus emblèmatique, qui résume bien l'album à elle seule est sans doute "Jungle Fever". On y retrouve un truc bien frappé, un peu décalé avec un mélange de sons des années 90 avec des choeurs des années 70 et la voix d'un Stevie Wonder des années 70. Le mélange prend pas trop mal pour mes oreilles.

Conversation Peace (1995)

Après une bonne reprise avec Jungle Fever, l'autre album de la décennie 90 de Stevie Wonder allait-il faire aussi bien ou mieux ?

Selon mon point de vue, "Conversation Peace" n'est pas si mal que ça. Il comporte d'ailleurs quelques pistes d'un grand intérêt:

  • "Taboo to love", calme et posée semble quasiment anachronique dans cet album qui se veut assez dur, comme le voulait les codes de l'époque.
  • "I am New", encore très années 80, il sauve les meubles car très différent des autres pistes de l'album.
  • Enfin, le très bon "For Your Love", assez rempli de miel, s'écoute finalement très bien. Malgré les synthétiseurs à outrance, c'est la mélodie qui sauve tout. Elle sonne aussi très années 80, à la manière d'un "Overjoyed", sorti dix ans plus tôt. La meilleure piste de l'album, à n'en pas douter...

Néanmoins, le reste de la production est trop nineties, trop rap, trop rythmée comme les productions commerciales de l'époque. Des pistes comme "Rain Your Love Down", "Edge Of Eternity" ou encore "Take The Time Out" essayent d'ailleurs d'imiter les codes du rap. Mais Stevie Wonder ne sait pas faire ce genre de musique, clairement. Il a juste emprunté ce qui marchait à l'époque chez les jeunes et y a plaqué son style. Mais la sauce ne peut pas prendre: l'acide se mélange mal avec le lait. A la fin, on a même du caillé en gros morceaux. Ça ne peut pas être fluide, c'est trop hybride. Voilà ce que je reproche à cet album.

A Time To Love (2005)

Ok, 1995 marque pour moi souvent une barrière fatidique pour les artistes. La décénnie 2000 est souvent encore synonyme d'une production très moyenne. Pourtant, Stevie Wonder qui n'a pas sorti d'album depuis plus de 10 ans alors qu'il en était à plus d'un par an dans la décénnie 70 sort un nouvel album.

J'en parlerai assez rapidement car cet album ne m'a pas vraiment marqué. L'ensemble est assez plat. Certaines pistes ne sont pas si mauvaises mais il n'y a rien qui perce vraiment.

Le problème réside justement dans les codes musicaux: trop de rythme cadencé de manière très mécanique, trop de percussions techno et trop de miel et de sirop dans la mélodie. Rien qui sorte vraiment de ce qui se faisait à cette époque(et qui continue à se faire maintenant d'ailleurs). J'ai du mal à apprécier. Particulièrement sur les pistes qui s'approchent des rythmes du rap, nouvelle musique (plus de la percussion avec de la voix humaine d'ailleurs) noire.

Par ailleurs, j'ai clairement l'impression que certaines pistes essaient de reprendre le meilleur de Stevie Wonder dans les années 80. Mais l'ensemble est franchement trop mou. Si on avait appliqué le code musical des années 70, je suis certain qu'on aurait obtenu quelquechose de moins "Mariah Carey" ou Whithney Houston qui dessert forcément Stevie Wonder et son style si aventureux des années Soul.

Pour mieux comprendre, il faut quand même prendre le temps d'écouter l'album pour s'apercevoir que des pistes comme "Shelter In The Rain" ou "Can't Imagine Love Without You" auraient eu leur place sur "Songs in the Key of Life", sans problème car les mélodies sortent un peu du lot. Il manque un zeste de provocation dans cette production.

Mais à travers la décénnie 80 et 90, on sait que les années 70 sont celles du passé. Il n'y a pas de regret à avoir, c'est juste le temps qui passe. Restent quelques afficionados comme moi qui savent s'affranchir des barrières du temps pour se concentrer sur ce qui leur fait plaisir avant tout !

Ce que je retiendrai de Stevie Wonder

Avant de commencer cette intégrale musicale, je savais que j'aimais plutôt bien ce que faisais Stevie Wonder. Maintenant, je sais que je suis fan de sa période des années 70, celle où il se révèle comme un des maîtres de la Soul music. C'est vraiment cette période où il donne le meilleur de lui même, avec un style qui lui va assez bien.

Bien entendu, il y a du moins bon. Comme d'habitude, les années 80 et 90, trop commerciales à mon goût ne sont jamais une réussite pour les artistes qui ont démarré dans les années 60 ou 70. Ça a été le cas pour les Beach Boys ou encore Bruce Springsteen par exemple, dans ce que j'ai écouté cette année.

Mais au final, j'ai découvert un nombre incroyable de pistes qui m'étaient complètement inconnues, en dehors de la portée d'un best-of (même en double album) car trop nombreuses. Je n'en reviens toujours pas de ce niveau de qualité. La décénnie 70 était vraiment, pour Stevie Wonder, une explosion d'excellence. C'est ce que je garderai en mémoire pour le reste de ma courte vie.

Faisons le bilan de cette année 2017 en musique

Voilà, mon pari est tenu: j'ai écouté l'intégrale de 10 artistes sur ces 12 mois. Beaucoup me rétorquerons que c'était surtout des artistes morts, du passé, très connus et que je ne pouvais pas être déçu. Que je n'explore pas assez les nouveautés, que je n'ose pas sortir assez des sentiers battus ou de ma zone de confort.

Néanmoins, je tiens à dire que je fais bien ce que je veux non ? Je gère mes oreilles comme bon me semble. Écouter un artiste qui a terminé sa carrière est plus simple pour moi: au moins je ne suis pas obligé de suivre son actualité, ce qui me fait gagner un temps précieux. Par ailleurs, quand j'ai construit cette liste d'artistes, il s'agissait d'abord d'artistes que je connaissais mais que j'avais envie d'approfondir. Car, faire l'intégrale d'un artiste permet d'être sûr de ne rien oublier de ce que les critiques musicaux auraient pu oublier. Par ailleurs, en 2017, ré-écouter des pistes des années 60 n'est pas forcément anachronique car la musique a quelquechose d'intemporel.

Définitivement, je reste ancré dans les années 70 et parfois 60. Je ne sais pas pourquoi, ce n'est pas du tout ma décénnie. J'y retrouve très souvent les airs que je préferre. Je n'ai vraiment aucune explication car je n'ai finalement jamais entendu cette musique pendant mon enfance, trop marqué par le top 50 des années 80 et 90... Je crois tout simplement que c'est ce que j'aime vraiment. Pourquoi le mettre de côté ?

Quant à la musique d'aujourd'hui, je l'ai abandonnée dans les années 90; sans doute définitivement, par dégoût et écoeurement de ce qui était produit à l'époque. Je n'y peux rien, je n'ai jamais accroché et, avec le temps, je finis par croire que ça ne prendra jamais. Il reste quelques exceptions comme lorsque j'ai écouté "Sigur Ros" qui est sans doute le groupe que j'ai le plus apprécié cette année. J'ai continué à écouter leur musique tout au long de l'année; toujours avec la même admiration.

Vais-je renouveler l'expérience l'an prochain ? J'aimerais bien car il me reste tant à découvrir. La Soul music ne m'a pas encore livré tous ses secrets et pourrais y consacrer encore une année de plus à la découvrir avec des auteurs comme James Brown, Al Green, The Delfonics, Diana Ross ou encore Curtis Mayfield. Le rendez-vous est pris !

Posted mar. 26 déc. 2017 12:14:25 Tags:

Introduction

Comme au mois de novembre, je termine mon périple littéraire pour cette année. Pour le mois de décembre, j'ai pris le temps de lire "Un animal doué de raison" de Robert Merle. Comment suis-je arrivé à ce livre, publié en 1967 ? Pas par hasard, non. En fait, il se trouvait dans la bibliothèque de mes grands-parents paternels (la fameuse bibliothèque peuplée de toute une rangée de livres de Charles De Gaulle). Quand j'étais enfant, la couverture m'attirait beaucoup parce qu'il y avait un dauphin dessus. Quand on est enfant, on est forcément attiré par les dauphins.

Muni de ce souvenir, j'avais de grands espoirs dans le contenu de ce livre...

L'histoire courte

Un résumé consiste à dire qu'il s'agit d'une oeuvre mélant à la fois une pincée de science-fiction et un zeste de politique internationale dans un grand verre de lait. Pourquoi du lait ? Parce que le lait, ça délaye bien, pardi !

L'histoire se situe dans le début des années 1970 aux États-Unis d'Amérique. Un professeur américain étudie les dauphins et parvient à en faire parler un. De mots mono-syllabiques, il parvient à lui enseigner l'anglais, non sans mal. Même si une présentation publique des avancées des travaux du professeur a lieu devant toute la presse, l'activité du professeur est fortement espionnée par plusieurs agences américaines de renseignement intérieur.

Un jour, une de ces agences subtilise le couple de dauphins parlants pour les transformer en arme de destruction sous-marine (c'est écrit à la fin). Pendant ce temps, le professeur retravaille en freelance sur d'autres dauphins... M

Un jour, un navire de l'US Navy explose au large des côtes chinoises. Immédiatement la machine de guerre s'emballe et un ultimatum est posé par les USA envers la Chine avec des menaces d'utilisation d'arme atomique. Entre temps, le professeur négocie le retour de ses deux anciens dauphins dans son nouveau laboratoire indépendant. Quelques jours plus tard, sa planque est attaquée par des tueurs payés par un ennemi extérieur. Après une attaque majeure, on retrouve les corps des deux permiers dauphins parlants.

Mais en fait, ils s'étaient planqués. Le professeur les retrouve rapidement et ils se mettent à parler de ce qui leur est arrivé lorsqu'ils ont été subtilisés. Ils racontent leur entraînement militaire qui les conduisit à poser des bombes sous des bâteaux factices. Un jour, on leur a donné l'ordre d'aller de poser une bombe assez loin. On les a transportés dans un sous-marin, non sans mal, avant de les lâcher en mer avec leur mission. Près du bateau, les mines qu'ils transportaient sur des harnais se sont activées et leur harnais qui se décrochait tout seul d'habitude semblait indémontable. A force de mordillement, ils finirent par se libérer du harnais et quelques minutes plus tard, la bombe explosait, coulant le navire. Les dauphines comprirent qu'ils avaient été utilisés pour une mission suicide censée déclencher la 3ème guerre mondiale.

Le professeur a pris soin d'enregistrer les conversations des dauphins. L'histoire se termine avec les dauphins poussant le radeau du professeur et de son assistante, en vue de révéler les enregistrements au président des USA, pour sauver le monde...

Mes impressions sur le livre

Bon, le livre se lit très facilement mais j'ai été assez déçu. En effet, si l'histoire était sans doute un poil novatrice en 1967, ce n'est plus trop le cas 50 ans plus tard. Le concept a déjà vécu et c'est même une réalité encore en 2017. En effet, il existe un programme militaire utilisant des dauphins. Comble de l'histoire, ce programme prend fin cette année 2017 car les animaux seront remplacés par des drones !

D'un point de vue littéraire, je dois dire que je me suis un peu ennuyé. En effet, le style est assez coupé: l'auteur alterne les phases où il raconte l'histoire et où il se passe quelquechose avec d'autres moments où on a droit à des discussions assez ennuyeuses entre les personnages ou dans des dialogues intérieurs assez pénibles à lire. J'avoue, dans les derniers moments, j'ai carrément zappé ces passages sans intérêt aucun pour l'histoire.

Ainsi, lorsqu'on vire toute cette agitation écrite, on obtient une histoire finalement très courte. Elle est certes d'un bon niveau d'intérêt mais ces moments assez longs à lire ont tendance à noyer le poisson (pardon le mammifère marin).

Par ailleurs, la fin abrupte qui devait sans doute faire un effet à l'époque a plutôt mal vécu. Ça fait style mais on a déjà vu un maximum de fin qui n'en sont pas vraiment et on sait maintenant en 2017 que ne pas finir une histoire est un sacrilège (enfin, c'est mon point de vue assumé).

Conclusions sur "Un animal doué de raison"

Pour mon dernier livre de l'année, j'ai finalement été assez déçu. Ce qui est assez paradoxal, c'est que c'est le premier livre qui m'est venu à l'esprit quand j'ai inscrit cet objectif de lire un livre par mois en 2017... Bon, au moins de tout, j'ai enfin lu ce livre qui m'attendait depuis près de 30 ans sur cette bibliothèque aujourd'hui disparue, avec leurs propriétaires...

Conclusions sur l'expérience de lire au moins un livre par mois

Voilà, c'est mon dernier article de revue littéraire de cette année. Il est temps de faire une petite rétrospective...

Alors, quel est mon avis sur cette expérience ? Il est plutôt positif. A l'origine, je trouvais que je ne lisais pas assez. Depuis quelques années, j'étais passé d'un stade d'une dizaine de livres par an à moins de un (celui qu'on commence et qu'on ne finit pas par manque de temps ou d'intérêt). Pourtant, j'ai toujours lu des tas de livres depuis que je sais lire et cet exercice finissait par me manquer.

Le fait de se contraindre à un livre par mois permet de s'assurer un minimum de lecture régulière. En parler dans un article de blog chaque mois me met également la pression pour ne pas lacher le projet. C'est un mécanisme qui se révèle assez efficace car je n'ai pas flanché une seule fois. Je suis d'ailleurs allé plus loin en ajoutant plus d'un livre par mois, surtout au début. C'est la preuve que ma soif littéraire était finalement assez importante.

En guise de matériel, j'ai quasiment utilisé tout le temps ma liseuse électronique qui commence maintenant à dater un peu. Elle se révèle néanmoins très efficace même si, lorsque j'étais en randonnée sur le GR70, j'ai utilisé des livres papiers, plus lourds mais plus robustes. Même s'il s'agit d'un modèle propriétaire (de chez Amazon qui plus est, le mal capitaliste sauvage absolu), je crois que je ne pourrais pas lire autant de livres si je ne disposais pas de ce périphérique. En effet, tout tient dans un petit sac à dos et pèse moins de 250g, le tout pour une bibliothèque entière.

Pourtant, tout n'est pas forcément rose dans cette histoire. A commencer par le temps qu'il faut pour lire. J'ai essayé dans le train et chez moi avant de me coucher. Ce dernier exercice se révèle assez difficile car la lecture a chez moi un rôle apaisant qui finit par m'endormir rapidement. Pas facile de s'accrocher à un livre dans ces conditions. De plus, raconter tous les mois un résumé de ce que j'ai lu est très consommateur de temps. Il faut que j'y consacre entre deux et trois heures par article, ce qui est long. Pour terminer sur ce point, il faut aussi avouer que d'avoir de la pression sur un sujet donne un sentiment d'obligation, de forcing sur mon temps libre qui est une ressource extrêment rare.

Mais finalement, quelle est la qualité de ce que j'ai lu ? Il faut bien avouer que c'était assez hétérogène en matière de contenu: de la littérature moderne américaine, de la science-fiction, du documentaire vulgarisateur, des écrits d'autistes, du manuel d'organisation, etc. Pour autant, je ne regrette pas grand chose. Mes choix initiaux n'étaient pas si mauvais que ça.

Quel est le meilleur livre de cette année ? D'un point de vue littéraire, celui que j'ai le plus apprécié est sans doute l'attrape-coeur de Jérôme Salinger. Je ne saurais dire pourquoi. La Billebaude d'Henri Vincenot a été une vraie surprise d'intérêt pour moi. Il m'en reste une très bonne impression... Enfin, les écrits de Josef Schovanec m'ont particulièrement parlé, une vraie révélation...

Vais-je reconduire cette expérience l'année prochaine ? Je ne saurais dire... Aurais-je autant de temps à y consacrer, rien n'est moins sûr ! Pourtant, je suis tiraillé entre mon désir de lire des choses nouvelles (ma bibliothèque numérique présente encore de nombreux ouvrages que je n'ai pas encore ouverts) et le fait de lire sous la contrainte. Pourtant, je sais que sans cette dernière je n'aurai pas été aussi assidu. Je vais essayer de lire encore 12 livres par an au moins mais en me contentant de faire une revue globale et courte en fin d'année prochaine... C'est le meilleur compromis qui s'offre à moi pour l'instant. A bientôt !

Posted ven. 01 déc. 2017 22:23:39 Tags:

Introduction

Dans mes résolutions de 2017, il y a marqué "Écouter l'intégralité d'un artiste musical par mois"... Pour le mois de novembre ce sera le duo des Carpenters.

Oui, je sais, c'est sans doute une référence trop polie, trop sobre par rapport aux goûts des années 2010 mais, ça fait bien longtemps que je souhaite pouvoir les écouter dans leur intégralité.

Ticket to Ride (1969)

Tout commence par l'année 1969, vous savez celle où les Muscle-Cars américains sont au top de leurs performances, l'époque d'Easy-Rider, du rock contestaire, des hippies, tout ça !

Mais 1969, c'est également l'année où sort le premier album studio des Carpenters, duo formé par Richard Carpenter, le frère ainé, à la composition et aux claviers et Karen Carpenter, la soeur cadette, à la voix si troublante. Loin du rock, loin de la soul, c'est un album bien gentillet qui sort en cette année de rupture pour l'amérique triomphante.

Car dès ce premier album, le style doux et un tantinet neutre des Carpenters s'affirme. Pas de cris, pas de guitare criarde, pas de sons trop forts ou de bruits mécaniques. Juste une douceur parfois trop polie. Néanmoins, la sauce marche car cet album représente un bon début.

A vrai dire, la première piste ressemble à un cantique religieux ("Invocation"). C'est très déstabilisant pour un départ. Si vous n'avez aucune connaissance de ce que les Carpenters ont produit, vous pouvez très bien avoir la tentation de balancer l'album à la poubelle. Pourtant, cette première piste a le mérite de poser ce qui fait la force du duo: la voix de Karen, si douce, si tendre et si posée, si claire.

La deuxième piste s'inspire un peu de ce que peuvent produire les Beattles à l'époque (ils sont au sommet de leur carrière). Elle emprunte un peu de ses codes à certaines pistes des Beach Boys aussi. Car en effet, les Beach Boys sont également bien connus à l'époque. Souvent les introductions de voix ressemblent beaucoup aux phrasés des Beach Boys avec leur décalage harmonieux. Les Carpenters arrivent également à le faire à eux deux et ils en abusent souvent dans de nombreuses pistes de cet album. C'était le signe d'une époque.

Mais c'est bien "Somday" qui marque le plus cet album. On y trouve une certaine forme de sérénité, de calme, de rythme doux, sous forme d'une ballade légère qui agrémente les vocalises de Karen Carpenter. Elle se révèle d'ailleurs bien mature pour son âge (elle n'a que 19 ans), au moins dans son expression vocale. J'aime beaucoup cette interprétation tantôt grave, tantôt plus haut perchée.

Pour autant, tout n'est pas si bien organisé sur cet album. Le morceau "Ticket to Ride" est d'ailleurs une pâle copie de ce que les Beattles ont fait. Bon, vous savez ce que je pense des reprises. C'est d'ailleurs bizarre d'avoir nommé l'album avec ce titre...

Une piste comme "Don't be afraid" sonne comme les Beach Boys mais fait un peu un aplat pas terrible non plus.

Non, à mon sens, l'autre piste d'intérêt de l'album se nomme "Eve". Elle se fait encore plus douce et plus solennelle (et donc mélancolique) que les autres. Vous savez que j'aime ce genre de mélodie même si cette piste me semble porteuse d'espoir et pleins de points positifs.

Pour résumer rapidement, ce premier album, un peu trop grave et chaste à mon goût forme quand même un ensemble organisé et qui s'écoute assez bien finalement. Il y a même quelques pistes vraiment au dessus du lot même si la forme religieuse est trop présente. Un bon début vraisemblablement...

Close to You (1970)

Ah, si vous ne devez retenir qu'une seule chanson des Carpenters, c'est bien "Close to You". C'est sans doute leur morceau le plus emblèmatique.

Pourtant l'album commence aussi avec un hit: "We've only just begun". Douce, calme comme une mer d'huile; tout y respire le bonheur, la paix. Cette chanson reprend également la forme courante de ce que les Carpenters vont produire pendant près d'une décénnie. Je vous la recommande.

Autre chanson d'intérêt, la piste 3 "Maybe it's you" qui repose aussi sur une recette éprouvée: une introduction simple qui démarre tendrement, des paroles bienveillantes, un crescendo qui se termine par un duo vocal d'harmoniques, le tout servi par une mélodie simple qui se termine par un final très instrumenté, fleuron d'instruments à cordes en concert triste.

Bon parfois, certaines pistes s'essayent à autre chose et on retrouve des ensembles assez moyens qui reprennent les codent de la musique country par exemple comme dans "Reason to believe". La reprise de "Help" des Beattles est également une merde, disons-le clairement !

Par la suite, on retrouve "Close to You", un monument à elle seule dont je vous conseille l'écoute. La voix de Karen fait vraiment la différence sur cette piste, le refrain en harmoniques, l'introduction simple au piano jouent également pour beaucoup.

La piste qui suit, "Baby it's you" commence plutôt mal mais son refrain est mélodiquement une excellence. Rien que pour ça, ça vaut le coup d'écouter l'album. D'ailleurs la piste "Crescent Moon" en reprend les mêmes codes et du coup, on peut bien l'écouter aussi.

Au final, grâce à sa paire de tubes, ce deuxième album des Carpenters est une vraie réussite. Leur style s'est enfin relaché de l'aspect religieux et même si on reste dans quelquechose d'hyper-consensuel, les mélodies valent leur lot d'écoute.

Carpenters (1971)

Un an après "Close to You" sort un album qui sera encore plus une réussite pour les Carpenters. En effet, l'album éponyme du groupe est également un bon arrangement, un album à garder dans un coin pour plus tard...

La première piste, "Rainy Days and Mondays", toujours très douce, présente un refrain assez mélodieux. Je finis par croire que c'est ça la force des Carpenters: si la musique reste gentillette, le refrain est toujours entraînant et on a plaisir à le chanter. Il marque ainsi les esprits ce qui permet d'apprécier le contenu de nombreuses pistes.

Si la deuxième piste "Saturday" est décidément trop niaise et mielleuse, les 4 prochains morceaux sont franchement des tubes. En effet, "Let Me be the One", "Hideway" et surtout "For All We Know" et "Superstar" sortent du lot. Ils fonctionnent tous sur la recette du super refrain... et ça marche assez bien. La voix de Karen Carpenter nous transporte véritablement dans un monde rassurant. En écoutant ces pistes au bureau, je me sentais vraiment apaisé et calme. Tout respirait l'amour, la volupté, la bienveillance. C'est sans doute ça la force des Carpenters...

Pour résumer, cet album est encore meilleur que le précédent qui était déjà très bon. Que va-t-il se passer sur les autres ?

A Song for You (1972)

Toujours à un rythme effréné, les Carpenters sortent un album après un an de travaux. Comme sur les autres albums, on prend ce qui marche et on réutilise les bonnes vieilles recettes.

Du coup, l'album est lui aussi plutôt une réussite, d'ailleurs bien introduit par "A Song For You". Toujours un refrain percutant, une mélodie douce, une voix grave mais tendre, agrémentée cette fois d'une touche nostalgique de saxophone.

Comme il s'agit d'un bon album, autant aller à l'essentiel: les meilleures pistes:

  • "Hurting Each Others": elle démarre très doucement mais le refrain prend une cause percutante, dynamique.
  • "It's Going To Take Some Time" se lance assez maladroitement avec quelques note de piano pas terrible mais, on retrouve toujours ce refrain typique.
  • "Goodby To Love", sans doute la meilleure piste de l'album est proche de la perfection d'un "Close to You" (sans l'atteindre). L'introduction est directement très bonne et bien entendu le refrain, simple, nous emporte encore plus loin. Vient enfin l'apothéose, à la guitare électrique; suprenante mais harmonieuse.
  • "Bless The Beasts and Children", toujours pour son refrain criant mais si délicat.

Encore un bon album, un de plus... Mais à la fin, ils finissent par tous plus ou moins se ressembler. Ça peut devenir lassant en faisant une écoute intégrale. Pour autant, pris séparément, ces albums sont très bons...

Now and Then (1973)

Encore une année de plus et un nouvel album. C'est sans doute le plus connu de tous car il abrite deux des trois chansons les plus connues du duo: "Sing" et "Yesterday Once More".

"Sing" qui ouvre l'album est également un monument des Carpenters abusant de la même recette: une introduction simple, un zeste de piano, une mélodie entraînante, la voix de Karen, si claire et un refrain qui tue. Parfois, on s'approche du miracle avec ces ingrédients simples. Tout ça pour la gloire de la chanson...

Plus triste mais plus glamour et jazzy, "This Masquerade" s'écoute plutôt bien après "Sing". Ce rythme un peu différent fait du bien à l'album, une espèce de respiration.

"Heather" est un morceau complètement musical (pas de paroles) plutôt bien arrangé et qui met en avant Richard Carpenter.

En attendant, "Jambalaya" est une pure merde, une masquarade sans intérêt. Franchement, si vous vous attardez dessus, vous finirez par jeter l'album par la fenêtre, ce qui serait dommage.

On arrive enfin à la grande piste: "Yesterday Once More" ! Je suis sûr que vous avez entendu ces Chalalalas ! Claude François en a fait une reprise assez mémorable (qui ne vaut pas l'originale bien sûr mais qui mérite une certaine forme de respect honorable). Avec un brin de nostalgie, les Carpenters signent une grande musique si percutante. Moi, j'aime beaucoup...

En revanche fuyez "Fun, Fun, Fun", une reprise des Beach Boys franchement nulle. En 1973, ça fait presque 10 ans qu'elle est sortie. Même punition pour "Da Doo Ron Ron" qui fait pitié.

Les pistes qui viennent en revanche, marquent le début d'un truc pas terrible: elles sont courtes, beaucoup plus rythmées et les arrangements sont franchement niais au possible. C'est une partie que j'évite comme la peste: ça pourrait me transformer en bisounours !

A la fois le meilleur comme le pire, voilà ce qui pourrait caractériser "Now and Then"... Le début de la chute ?

Horizon (1975)

"Horizon" est sans doute l'album le plus doux produit par les Carpenters. Si vous avez besoin de tendresse et d'affection, je vous le conseille. il prend même parfois des accents jazz très bien faits.

La piste d'introduction "Aurora" fait écho à la piste finale "Eventide". Elles empaquètent l'album pendant 1:33 chacune et annoncent la teneur de l'album: la quiétude.

La deuxième piste, intitulée "Only Yesterday" dispose d'une bonne introduction même si j'apprécie moins son refrain trop country à mon goût. Mais ça reste une bonne chanson.

Je suis désolé mais j'ai déjà entendu "Desperados" chez d'autres groupes (oui, j'ai écoute le groupe The Eagles, je l'avoue) et cette chanson me va mal... "Please Mr Postman" est, on doit bien l'avouer, un monument de niaiseries qui ont vécues... et qui sont devenues rances.

En revanche, j'ai pleinement apprécié "I Can Dream Can't I?". Elle est tellement jazz qu'on aurait pu faire chanter Frank Sinatra dessus sans que ça choque le moins du monde. J'adore ce style et c'est bien dommage que les Carpenters ne se soient pas davantage penchés sur ce registre. Cette voix si claire était sans doute un moyen d'interpréter de bonnes chansons, classiques et classieuses.

"Solitaire" est franchement une excellente piste bien servie par une introduction à la douceur infinie. Le refrain, franc et entier, vous emporte vers les cieux d'un seul battement de cil.

Pour "Happy", le seul truc qui me chiffonne, c'est justement le refrain qui est trop puissant et qui fait tâche dans l'album qui nous a habitué à plus de sérénité.

Toutes les autres pistes sont plutôt d'intérêt et au final, je trouve cet album d'une assez bonne qualité. Il est plus en douceur d'une manière générale et ça va bien au duo.

A Kind of Hush (1976)

Disons-le tout net, l'album commence de manière assez moyenne: la chanson éponyme "A Kind Of Hush" est un mix entre le générique de Benny Hill et un ersatz de synthétiseurs, mélangé avec un zeste de musique country. L'ensemble n'est pas si mal que ça mais j'avoue que je déteste le refrain qui est trop entraînant, trop simpliste.

Heureusement, la deuxième piste, "You", rattrape tout. Elle est une pure production des Carpenters, dans les canons que j'ai décrit plus haut. Toujours le même refrain qui tue, propulsé en amont par une poussée lyrique de Karen Carpenter. Non, vraiment cette piste est sans doute la meilleure de l'album.

L'autre piste d'intérêt de cet album se nomme "I Need To Be in Love", réalisation ultra-classique, dans la lignée des albums précédents. "One more time" et "I have you", un peu en retrait, restent de bons exemples de douceur, avec un soupçon de trop de miel, encore une fois. "I can't smile without you" s'en sort un peu mieux, voire même plutôt bien, si on prend le temps de la savourer.

Mais, pour le reste, c'est plutôt la déception. En effet, les Carpenters essayent tant bien que mal de changer de registre et ça ne se passe pas très bien. Trop de rythme, trop de niaiseries, trop de miel, des rythmes qui ne leur vont pas bien.

Pour résumer, je ne sais pas si c'est l'impression de déjà vu (entendu plutôt), mais cet album commence à me lasser sérieusement. Globalement, je le trouve en dessous des autres. Serait-ce le début de la fin ?

Passage (1977)

Encore une année, un album pour le duo. Quand on sait qu'ils font également des concerts en parallèle, c'est un peu épuisant non ?

A la fin, ça finit par laisser des traces. En effet, "Passage" est un album avec moins de pistes que sur les albums précédents, il n'y en a que 8.

Cet album esquisse un très léger changement dans la politique de production des Carpenters. La recette traditionnelle reçoit en effet un peu d'épices, notamment au niveau des rythmes et des instruments. De ce fait, au final l'album est moins bon, malheureusement.

Les 3 premières pistes font un peu illusions surtout la bien nommée "I just Fall in Love Again". En effet, cette dernière aurait pu intégrer l'album "Now and Then" car elle comporte tout ce qui fait le style Carpenters: de la douceur, une introduction douce et un refrain explosif. C'est la meilleure piste de l'album, à n'en pas douter.

Mais le reste s'avère moins savoureux. La reprise de "Don't Cry For Me Argentina" en est une illustration assez criante. Commencée comme un atelier lyrique, elle fait pâle figure lorsque Karen pose sa voix. Le mélange ne prend tout simplement pas. Pour les autres pistes, le rythme est trop rapide, la voix trop aigue, la mélodie trop entêtante, trop simpliste.

Pour résumer, "Passage" est un album moins bon que les précédents. On sent une certaine baisse de la qualité dans le duo depuis quelques années. Ils arrivent toujours à sortir des tubes mais il manque sans doute une forme de génie créatif perdu quelquepart.

Christmas Portrait (1978)

Bon, vous savez ce que je pense des albums de noël: c'est généralement de l'excrément, un truc tellement mielleux et niais que ça colle aux doigts et ça finit par coller aux oreilles et à les boucher.

Tradition oblige, ce n'est pas mieux pour les Carpenters. Oubliez-donc cet album, ne l'achetez pas sauf pour faire chier vos invités du 25 décembre !

Made in America (1981)

C'est le dernier album studio de la fratrie Carpenters. En effet, Karen Carpenter meure à l'âge de 33 ans, des suites d'une anorexie chronique. Elle était descendue à un poids trop faible pour survivre.

Que peut-donc donner un groupe, qui a démarré dans les années 70 en faisant de la musique des années 50 dans les années 80 et leur sound system bien particulier ?

Hé bien, le moins qu'on puisse se dire c'est que les Carpenters restent fidèles à leur crédo. Après plus de 10 ans de carrière et de très bonnes ventes d'albums, le groupe a trouvé son public. Donc pourquoi changer ?

Ainsi "Made in America" commence par la piste gentille de "Those Good Old Dreams". Calme, dans la lignée pure du style du duo. Sans aucune accroche des années 80 ou d'un autre courant musical.

Pourtant, même dans une bulle, impossible de ne pas s'inspirer de l'ambiance existante. C'est finalement une pointe de synthétiseur qu'on retrouve sur "(Want You) Back In My Life Again" qui nous met la puce à l'oreille. Les choeurs et les voix d'accompagnement s'inspire aussi de ce qui se fait à l'époque. On retrouve aussi ce style sur "Touch Me" avec un solo de saxophone so eighties. Mais c'est tout ce qu'on trouvera comme concession musicale.

Le reste, c'est du pur Carpenters... Mais que donne-t-il, ce dernier album du duo ? Dans l'ensemble, je le qualifierais d'intéressant. Il ne contient pas vraiment de tube ou de hit mais quelques pistes d'intérêt. D'une manière générale, il n'y a d'ailleurs pas grand chose à jeter. Toutes les pistes ont leur intérêt, en dehors de la niaise "BEachwood 4-5789".

J'ai même apprécié "Because We Are in Love (The Weddin Song)" pour sa pureté. Je peux encore citer "Strenght of a woman" qui me fait penser à Whitney Houston dans son expression ou encore "I Believe You", plus solennelle.

Je m'attendais à pire. En général, les derniers albums qui précedent la mort d'un membre du groupe sont plutôt mauvais car la mort est souvent causée par une maladie ou la prise de drogues. Mais là, ce n'est pas le cas.

Ce que je retiendrai des Carpenters

Quand j'étais plus jeune, je pensais que les Carpenters était un groupe des années 50-60. J'étais loin d'imaginer qu'on pouvait adopter un style aussi consensuel pendant les années 70, années soul, années rebelles, années funk.

J'ai finalement pas mal d'admiration pour leur production, dans son ensemble. Dès le premier album, le ton est donné. On sait qu'il sera simple, poli, calme et gentillet. Mais, une fois ce premier constat passé et en tendant un peu l'oreille, on trouve des choses intéressantes. Je me suis surpris plusieurs fois à siffler les airs de quelques morceaux entêtants comme "Sing" ou "For All We Know".

Néanmoins, il me reste un certain malaise à exprimer. En effet, il m'est arrivé de me sentir mal après avoir écouté les dix albums à la suite. Sans doute trop de douceur, de molesse, de miel finissent par engourdir mon encéphale. Pour autant, ce n'était pas un problème de nostalgie ou de mélancolie comme j'ai pu en rencontrer chez d'autres interprètes... C'est sans doute ce que je retiendrai des Carpenters: on peut écouter un album de temps en temps mais avec parcimonie.

Au final, un bon double best-of des familles devrait suffir le plus souvent à faire le tour du duo ces artistes. Mais ça valait bien le coup de vérifier en écoutant toute leur production.

Encore un mois d'écoute pour cette année 2017. Je me suis prévu l'écoute de Stevie Wonder et de ses presques 25 albums studio: ça va faire mal parce que ça va être long... mais ça va me faire du bien à écouter, je le sais d'avance !

Posted mar. 28 nov. 2017 21:09:25 Tags:

Introduction

Depuis la rédaction de mon article sur Enigma, je suis toujours tenté d'aller plus loin avec GnuPG. En effet, une fois qu'on a pris le temps de créer un trousseau de clefs, on a toujours envie de le garnir d'un maximum de clefs différentes, histoire de pouvoir ouvrir le plus de portes possibles sans se prendre la tête.

Dans le monde de l'informatique, c'est pareil. En ce qui me concerne, je tape le plus souvent une phrase de passe lorsque je lance des commandes via ssh. Mais, plutôt que d'avoir un trousseau GPG d'un côté et des clefs privées/publiques pour SSH, ne peut-on pas tout faire avec un seul outil ?

Après quelques recherches, il semble que c'est possible depuis peu. En effet, on peut gérer l'authentification SSH par clef en utilisant GnuPG. Voici comment j'y suis parvenu en utilisant GnuPG en version 2.1, sous Debian Stretch.

Comprendre ce qu'on fait, c'est mieux

Avant de se lancer, il faut toujours prendre le temps de comprendre ce qu'on fait plutôt que de suivre bêtement une suite de commandes. Ça prend plus de temps mais vous deviendrez un meilleur administrateur système en suivant cette voie.

Je ne vais pas rentrer dans la théorie du chiffrement asymétrique mais juste faire quelques rappels sur le fonctionnement de GPG et de SSH.

Commençons par SSH... SSh permet de se connecter de manière sécurisée à une machine distante qui dispose d'un serveur SSH en écoute sur un port précis (le 22 par défaut). Si SSH permet d'ouvrir une session en utilisant un login/mot de passe, il encourage surtout l'authentification par clefs privée/publique. En règle générale, la clef privée est protégée par une phrase de passe (un long mot de passe).

SSH dispose d'ailleurs d'un agent qui gère ces clefs privées/publiques. En effet, si on utilise souvent SSH, on doit taper sans cesse la phrase de passe de la clef privée. L'agent SSH permet de disposer d'une espèce de cache sécurisé de phrase de passe. Cela évite de taper tout le temps la phrase de passe, le tout, avec une méthode sécurisée sur le poste de travail.

En ce qui concerne GPG, il existe également un agent (gpg-agent). Son rôle est de gérer une espèce de cache de clefs (privées et publiques) pour éviter de vous demander de taper votre mot de passe de clef privée sans arrêt. Il permet aussi de transmettre les clefs publiques à d'autres programmes (comme ssh par exemple). Finalement l'agent GPG fait presque la même chose que l'agent SSH sauf que chacun des programmes dispose de son jeu de clefs à lui, avec ses formats spécifiques.

Enfin, comme l'agent GPG a besoin que vous tapiez votre mot de passe de clef privée de temps en temps, il existe un programme qui permet de saisir ce mot de passe (ou cette phrase de passe bien souvent). Ce programme se nomme pinentry et peut être servi par plusieurs binaires selon l'environnement. En effet, si vous avez une session une session Gnome, vous aurez droit à une belle fenêtre adaptée au style de ce gestionnaire de bureau. En revanche, si vous êtes sur un terminal pur, il vous faudra un pinentry capable de s'afficher sur un terminal (pinentry-curses ou pinentry-tty). Pour ma part, comme j'utilise i3-wm et beaucoup de Qt (grâce à QGIS), j'utilise pinentry-qt4.

Création d'une sous-clef pour l'authentification SSH

Bon, le premier truc à faire, c'est de générer une sous-clef (subkey) dédiée à la fonction d'autorisation. En effet, SSH n'accepte pas n'importe quel type de clef et l'agent GPG non plus.

Voici quelles sont les étapes à suivre. Ce n'est pas très compliqué, il suffit d'utiliser la fonction --edit-key de gpg avec l'option --expert qui seule donne accès à la création de clef d'authentification:

gpg --edit-key --expert mon_compte
gpg (GnuPG) 2.1.18; Copyright (C) 2017 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.


La clef secrète est disponible.

sec  rsa4096/1234567890123456
     créé : 2017-07-22  expire : 2018-07-22  utilisation : SC
     confiance : ultime        validité : ultime
ssb  rsa4096/1234567890123456
     créé : 2017-07-22  expire : 2018-07-22  utilisation : E
ssb  rsa2048/1234567890123456
     créé : 2017-07-22  expire : 2018-07-22  utilisation : S
ssb  rsa2048/1234567890123456
     créé : 2017-07-22  expire : 2018-07-22  utilisation : E
[  ultime ] (1). mon_compte

gpg> addkey
Sélectionnez le type de clef désiré :
   (3) DSA (signature seule)
   (4) RSA (signature seule)
   (5) Elgamal (chiffrement seul)
   (6) RSA (chiffrement seul)
   (7) DSA (indiquez vous-même les capacités)
   (8) RSA (indiquez vous-même les capacités)
  (10) ECC (signature seule)
  (11) ECC (indiquez vous-même les capacités)
  (12) ECC (chiffrement seul)
  (13) Clef existante
Quel est votre choix ? 8

Actions possibles pour une clef RSA : Signer Chiffrer Authentifier 
Actions actuellement permises : Signer Chiffrer 

   (S) Inverser la capacité de signature
   (C) Inverser la capacité de chiffrement
   (A) Inverser la capacité d'authentification
   (Q) Terminé

Quel est votre choix ? A
...
Quel est votre choix ? C
...
Quel est votre choix ? S

Actions possibles pour une clef RSA : Signer Chiffrer Authentifier 
Actions actuellement permises : Authentifier 

   (S) Inverser la capacité de signature
   (C) Inverser la capacité de chiffrement
   (A) Inverser la capacité d'authentification
   (Q) Terminé

Quel est votre choix ? Q
les clefs RSA peuvent faire une taille comprise entre 1024 et
4096 bits.
Quelle taille de clef désirez-vous ? (2048) 4096
La taille demandée est 4096 bits
Veuillez indiquer le temps pendant lequel cette clef devrait être
valable.
         0 = la clef n'expire pas
      <n>  = la clef expire dans n jours
      <n>w = la clef expire dans n semaines
      <n>m = la clef expire dans n mois
      <n>y = la clef expire dans n ans
Pendant combien de temps la clef est-elle valable ? (0)
La clef n'expire pas du tout
Est-ce correct ? (o/N) o
Faut-il vraiment la créer ? (o/N) o
...

Vous disposez maintenant d'une clef GnuPG pour l'authentification. Reste à pouvoir l'utiliser correctement dans SSH...

Substitution de ssh-agent par gpg-agent

Depuis quelques versions maintenant, l'agent de gestion des passphrases de GnuPG (v2 pour rappel) peut servir d'agent SSH en lieu et place de celui fourni avec OpenSSH.

Sur un système moderne comme Debian Stretch, il faut juste le configurer dans le fichier de configuration de l'agent GPG pour lui indiquer l'option enable-ssh-support dans son fichier de configuration. Ce dernier se nomme ~/.gnupg/gpg-agent.conf. S'il n'existe pas, vous devrez le créer et lui ajouter une ligne avec enable-ssh-support.

Ensuite, il faut juste recharger l'agent GPG. Néanmoins, il faut également désactiver l'agent SSH. Ce n'est pas une mince affaire parce qu'il est géré par systemd. Le moyen le plus simple et le plus efficace consiste à fermer et rouvrir la session graphique. En effet, l'unité systemd qui gère l'agent SSH se lance uniquement lors de l'ouverture d'une session graphique.

Bien entendu, si vous avez du temps et que vous souhaitez personnaliser un peu plus le comportement de l'agent GPG, je vous conseille de lire la documentation de ce dernier via man gpg-agent.

Modification du fichier sshcontrol

Pour que l'agent GPG transmette bien des clefs d'authentification à ssh, il faut encore lui indiquer quelle clef utiliser. En effet, si vous avez un trousseau GnuPG étoffé, vous ne voudrez sans doute pas autoriser toutes les clefs à être utilisées par ssh. L'agent GPG dispose d'un fichier dédié dans ~/.gnupg/sshcontrol.

Nous allons donc simplement indiquer notre clef d'authentification que nous avons créé auparavant dans ce fichier. Mais attention, ce dernier exige non pas un uid de clef mais un keygrip. Vous pouvez l'obtenir à l'aide de l'option --with-keygrip:

gpg --list-public-keys --with-keygrip mon_compte
/home/mon_compte/.gnupg/pubring.gpg
-------------------------------
pub   rsa4096/879357560768796E 2017-07-22 [SC] [expire : 2018-07-22]
      1C848291661BD7E20B873A27879357560768796E
      Keygrip = 1801833AA0573C2372AD196729C6B004A4BF891B
uid                [  ultime ] mon_compte <mon_compte@example.com>
sub   rsa4096/792D62F3336393FA 2017-07-22 [E] [expire : 2018-07-22]
      Keygrip = F8894EEFCF321067DA881E2AC471C9BACF0B8067
sub   rsa2048/A44D23DA9C451C04 2017-07-22 [S] [expire : 2018-07-22]
      Keygrip = 8582CAA7B033E8B775809BA05ED37B3463CB0F30
sub   rsa2048/B040BDF79DB1058C 2017-07-22 [E] [expire : 2018-07-22]
      Keygrip = 60B08365121D1B34E911C9EA8138946DB1FE8FCA
sub   rsa4096/519BE81D08A417C7 2017-11-11 [A] [expire : 2018-07-22]
      Keygrip = EB994608FCAB196BF0D79602D3A04F043F5DEE9F

Dans mon cas, la sous-clef utilisée est la dernière (elle a l'option [A] pour authentification). Son keygrip est EB994608FCAB196BF0D79602D3A04F043F5DEE9F. Vous avez juste à renseigner cette valeur dans le fichier ~/.gnupg/sshcontrol avec votre éditeur de texte préféré ou une redirection shell.

Pour vérifier que ça fonctionne, la commande ssh-add -l doit maintenant indiquer la clef d'authentification rentrée en amont.

Export de la sous-clef dans les clefs autorisées de SSH

Maintenant que tout est configuré sur la machine qui va se connecter à distance, il faut quand même indiquer à la machine d'en face quelle clef publique doit être acceptée. Dans le temps, il fallait utiliser un programme tiers de la suite monkeysphere mais, depuis GnuPG 2.1, il existe une commande d'export qui permet de le faire assez simplement. Il s'agit de l'option --export-ssh-key. Elle exporte une clef publique au format accepté par SSH. Il n'y a qu'à l'utiliser de la manière suivante:

gpg --export-ssh-key mon_compte >> ~/.ssh/authorized_keys

Par défaut, cette commande exporte la première clef d'authentification au format SSH, directement prêt à être intégrée dans un fichier d'autorisation SSH.

Pour exporter la clef à distance, vous pouvez simplement utiliser la commande ssh dédiée: ssh-copy-id mon_compte@machine_distante. En effet, cette commande utilise le résultat de ssh-add pour envoyer les clefs à distance. Comme ssh-add utilise maintenant GnuPG, il n'y a pas de problème pour l'utiliser.

Que faire si ça plante ?

Déjà, vous devez voir si l'agent SSH est toujours actif. Si c'est le cas, c'est mauvais signe, vous devez trouver le moyen de le gicler. Le plus simple est de lancer une commande du type set | grep SSH. Elle doit vous retourner uniquement la variable SSH_AUTH_SOCK qui contient la socket de l'agent SSH. Ce denier doit être l'agent GPG. C'est facilement reconnaissable dans le contenu de la variable qui doit afficher un truc avec gpg-agent.ssh.

Autre point qui peut poser problème: il manque une sous-clef privée d'authentification ou une clef d'authentification est inutilisable. Ça m'est arrivé assez facilement en exportant une sous-clef d'authentification en oubliant d'incorporer la sous-clef privée. Après l'import dans un autre trousseau sur une autre machine, la commande gpg --list-secret-keys m'indiquait une sous-clefs inutilisable (ssb#). J'ai du procéder à une exportation complète en utilisant l'option --export-secret-subkeys de GnuPG.

Autre symptôme lié au point précédent: si ssh-add -l n'affiche rien ou un message d'erreur, je vous conseille de jeter un coup d'oeil à votre journal système utilisateur (via journalctl --user -xe) pour voir si vous avez des erreurs concernant une clef manquante dans le fichier sshcontrol. En effet, pour le keygrip d'une clef situé dans le fichier sshcontrol soit pris en compte, il faut absolument qu'il y ait le fichier correspondant dans ~/.gnupg/private-keys-v1.d/. Si ce n'est pas le cas, vous avez sans doute un problème avec une sous-clef privée.

Conclusions

Avec cette recette, vous pouvez enfin vous passer des clefs SSH classiques et de son agent. Ce mode de gestion unifié qui passe par GnuPG vous permettra de renforcer le rôle de cette solution de chiffrement qui se révèle finalement assez complète.

De plus, cela vous encouragera à avoir GnuPG un peu partout sur vos machines et à vous organiser pour gérer votre trousseau au mieux.

Prochaine étape ? Peut-être utiliser une clef de sécurité ou une carte OpenPGP pour gérer le trousseau. Ou encore mettre en place Pass qui utilise nativement GnuPG pour sécuriser les autres mots de passe...

Posted lun. 20 nov. 2017 22:05:30 Tags:

Introduction

Comme au mois d'octobre, je continue mon périple littéraire pour cette année et pour le mois de novembre, j'ai enfin pris le temps d'ajouter un Jack London à ma collection politique. En effet, j'avais déjà lu le "Peuple de l'Âbime" il y a quelques années qui est un reportage journalistique engagé sur les "pauvres" dans l'Angleterre industrielle du début du 20ème siècle. Cette fois, je me suis rabattu sur "Le talon de fer", un ouvrage de fiction politico-économique d'un grand intérêt (enfin, pour moi).

L'histoire

Pour faire un "pitch" rapide, le livre est en fait le journal de bord d'Avis Everhard, de sa recontre avec son futur mari Ernest Everhard jusqu'à sa disparition accidentelle, dans la lutte contre l'organisation du Talon de Fer.

Il raconte, de manière fictionnelle, la montée du socialisme dans l'amérique du début du 20ème siècle, en présentant la montée en puissance d'Ernest Everhard, un leader socialiste et en décrivant la lutte politique puis révolutionnaire qui s'en suit.

Au début, le couple se rencontre lors d'une soirée mondaine où le père d'Avis a invité des personnes de bonne compagnie et un invité à part, Ernest Everhard, un ancien ouvrier devenu philosophe socialiste. Dès le premier chapitre, ce dernier démontre que le système politico-économique réduit des hordes de personnes pauvres à une précarité dangereuse dont ils ne peuvent se sortir vivants. Un a un, il démonte les arguments de ses opposants et prédit l'arrivée d'une révolution socialiste, seul moyen de changer le cours des choses.

Car le système capitaliste exposé dans le livre est un capitalisme débridé, comme à notre époque mais sans aucune forme de protection sociale. Il a également la particularité d'être organisé autour d'une oligarchie concentrée autour de quelques trusts emblématiques (chemins de fer, charbon, métallurgie, etc). Cette oligarchie, dénommée Talon de Fer par Jack London s'est donné l'objectif de soumettre la majorité de la population pour en tirer un bénéfice intéressant pour cette petite caste. London, via la voix d'Everhard présente les choses de manière assez crue: le Talon de Fer n'a aucune considération de ses esclaves et pour ces derniers, la survie passe forcément par la rébellion, il n'y a pas d'autre alternative entre la mort et la lutte.

Everhard prédit une révolution socialiste pour renverser les trusts et établir un système qui empêchera toute possibilité de reconcentration du pouvoir et des moyens dans une forme oligarchique.

Petit à petit, les prédictions d'Everhard se réalisent: le Talon de Fer s'organise, mine petit à petit les lois, créé une milice dédiée, traite avec la classe moyenne pour affaiblir encore plus les prolétaires (ceux qui ne possèdent que leur force de travail pour toute richesse, c'est à dire, ceux qui n'ont rien et qui doivent bosser pour ne pas crever de faim).

Le père d'Avis et un évêque, connaissance de la famille, sont attirés par les théories socialistes et tentent de les appliquer mais ils se rendent compte qu'ils sont exclus de plus en plus de la classe dominante. L'évêque finit ainsi à l'asile et le père d'Avis disparaît mytérieusement

Enfin, la révolution éclate lorsque les élections qui ont fait gagner des sièges aux socialistes et aux ruraux (les Grangers) sont annulées: on les empêche tout simplement de siéger. Un attentat préparé par le Talon de Fer éclate au Congrès et les socialistes sont accusés. S'en suit une répression sévère, dans le sang avec un affrontement immense où de nombreuses personnes meurent.

Très vite, la contre-attaque s'organise. Avis se cache, Ernest est mis en prison puis libéré par ses compagnons. S'en suit une scène apocalyptique à Chicago qui est le siège d'une tentative de révolution socialiste durement matée à coup de mitrailleuse par le Talon de Fer.

Le livre se termine de manière abrupte. La dernière note mentionne qu'il s'agit des dernières lignes d'Avis Everhard avant sa disparition fortuite. Ses dernières lignes répetent sa confiance dans la lutte contre le Talon de Fer et son système capitaliste et dans le triomphe irrémédiable du socialisme.

Quelques réflexions

Le livre est franchement bien rédigé. Pendant très longtemps, j'ai cru qu'il s'agissait d'un reportage politique du début du 20ème siècle, contemporain de la fin de vie de Jack London. En effet, tout avait l'air de décrire la montée du socialisme aux États-Unis vers 1912-1916 (oui, je ne maîtrise pas bien l'histoire de ce pays à cette époque cible). Ce n'est qu'à un moment où l'action de rébellion véritable a été lancée que j'ai enfin compris que ce n'était que de la fiction. C'est dire si le récit de London est précis.

Dans le début de sa vie d'adulte, London adhère au parti socialiste et, dans ce livre, il reprend quelques-unes de ses théories déjà esquissées dans le Peuple de l'âbime, à savoir que l'état de pauvreté profond d'un grand nombre de personnes est en fait orchestré par le système politico-économique, dans l'intérêt de quelques-uns. Mais cette fois, plutôt que de simplement dénoncer, London propose un projet de révolution voire tente même de démontrer que cette révolution est incontournable. En effet, dans cette époque, il n'y a aucune loi sociale. Un ouvrier qui a un accident du travail est simplement renvoyé car non opérationnel. Il finit par mourrir de faim, à l'écart de la société, y compris des autres prolétaires tant ces derniers n'ont pas le temps d'avoir une vie sociale. Les enfants sont également incorporés au travail de manière assez radicale et crue.

Les prolétaires ne possèdent rien et vivent de manière misérable. Tout accident ou erreur de leur part est durement sanctionné par la mort de faim qui survient assez vite.

L'hypothèse de London dans le livre est que le système capitaliste tend à concentrer la richesse aux mains d'une oligarchie qui s'accapare tout: l'argent, le pouvoir; et dont l'objectif est la domination totale. Mais il y a une différence avec ce qui s'est réellement passé dans l'histoire économique des États-Unis d'Amérique. En effet, il y a eu une grosse loi anti-trusts. Alors que dans le livre de London, le mal prend justement racine dans les trusts qui finissent par bloquer tout le système politique qui pourrait nuire à leur survie. Ce n'est pas le cas (enfin, pas trop) dans notre société actuelle qui a su, un minimum, déconcentrer le pouvoir de quelques grosses firmes. Évidemment, si on suit la théorie de London, on peut presque dire que le fait d'accorder un pouvoir fort aux trusts est quasiment la source de tout le mal économique.

Ce qui a aussi attiré mon attention, c'est l'ironie de l'Histoire. En effet, Everhard présente le système socialiste comme le seul idéal capable de renverser le capitalisme et de faire en sorte qu'il ne puisse nuire à nouveau, en proposant un système politique complet, fondé sur une société sans classe. Pourtant, si on compare avec l'Histoire réelle, on ne peut qu'être choqué de constater que les systèmes socialistes ou communistes que nous avons connus étaient, pour la majorité d'entre-eux, des oligarchies sévères, constituées de quelques membres qui avaient le pouvoir et les richesses (les datchas, les Volga Gaz, etc.). Je suis sûr que London aurait répondu en disant que ces oligarchies ne sont pas socialistes mais qu'il s'agit de la dernière tentative de survie du Talon de Fer: prendre la forme d'une révolution socialiste pour ne pas mourrir tout en conservant l'oligarchie dans les faits, mais pas dans les principes.

A un moment du passage du livre, Everhard explique comment le Talon de Fer organise la famine pour mieux se débarrasser des prolétaires et de la classe moyenne, en cours de rébellion. Là encore, si on regarde l'Histoire, on se rend compte que les communistes russes et chinois ont utilisé les mêmes méthodes: les grandes famines de 1936 en sont la meilleure illustration; ce qui est assez paradoxal... Bon, de toute manière, si vous croyez que le communisme c'est ce qui s'est passé de 1917 à 1991 en URSS, dites-vous bien que vous vous trompez. Le communisme, c'est juste la propriété commune des moyens de production. Pas d'oligarchie, de concentration de pouvoir, d'autoritarisme, de goulag, de privation de libertés là dedans. Il n'y a qu'à voir ce qui se passe du côté des Kibboutz israéliens pour s'en convaincre...

Néanmoins, ce que dénonce London et qu'il utilise comme argument imparable pour annoncer l'évènement du socialisme et finalement bien ce qui a été compris et incorporé au système capitaliste, sans doute pour assurer sa survie. En effet, aujourd'hui, il existe une protection sociale, certes toujours remise en question mais bien présente. C'est la principale différence entre le système que décrit London qui est, effectivement invivable pour la majorité du peuple, et le monde de 2017 sur la Terre. C'est cet ajout de socialisme dans un système économique tranchant, dur, inégal mais finalement assez stable, difficile à bousculer qui fait toute la différence; qui amène à un monde à peu près vivable pour la majorité. Bon attention, ce n'est pas parce que quelquechose est stable que c'est forcément une bonne chose (vous pouvez rester stable, dans une flaque de merde, sans pouvoir vous en sortir. C'est stable: vous avez tendance à rester au même endroit, mais c'est aussi la merde !) !

Ma réflexion finale, à la lumière du monde que décrit London, sera de dire que tant que le système capitaliste conservera une bonne part sociale, il ne trouvera guère de système alternatif, il saura conserver un intérêt de la majorité pauvre, privée de pouvoir. Espérons que les politiques n'oublient jamais cet élément sinon, l'horreur du Talon de Fer ne saurait que se reproduire. A partir de maintenant, je désignerai par "Talon de Fer", cette forme de capitalisme sauvage, débridé, complètement non adapté à la survie d'un grand groupe humain sur cette planète !

Conclusions

Le livre se lit très facilement et il est bien écrit. Il dispose de nombreuses notes de bas de page (que j'ai consultées). Ces notes apportent une véritable impression de réalité historique au récit. En effet, la manière dont elles sont rédigées laisse penser qu'elles sont des résumés de situations qui se sont réellement déroulées dans les faits. Néanmoins, vers la moitié du livre, on se rend compte qu'il n'en est rien. Je vous conseille de toutes les lires, on se dirait dans Wikipédia.

Par ailleurs, en homme du monde occidental capitaliste "triomphant", je n'ai pas vraiment eu accès à de la fiction socialiste de cette nature dans ma jeunesse. C'est très frais de lire un livre où on tente de démontrer que la lutte des classes a une véritable explication, une origine sérieuse. Le récit permet d'imaginer un autre monde, bien différent de celui que nous avons l'habitude de cotoyer. Ainsi, c'est une histoire bien disruptive, à mi chemin entre la fiction et une réalité possible. Mais j'aimerais que cette réalité ne prenne jamais forme !

Bon, encore un livre, un mois et mon projet de lire au moins un livre par mois pour l'année 2017 sera rempli et achevé. Je dois donc terminer au moins le livre "Un animal doué de raison" de Robert Merle. Souhaitez-moi bon courage camarades...

Posted sam. 18 nov. 2017 17:23:39 Tags:

Introduction

Bon, vous le savez, nous vivons dans un monde où la surveillance des communications devient quasiment totale. Différents acteurs comme la Stasi (la sécurité de l'État) ou encore Google ou Facebook veulent absolument savoir ce que vous vous racontez entre-vous sous couvert de différents motifs.

Alors que nombre de pays ont instauré depuis très longtemps le secret de la correspondance, il vous faudra recourrir à des mesures techniques plus complexes pour assurer que moins de personnes ne lisent vos précieux courriers électroniques.

L'informatique a depuis longtemps réglé ce problème en utilisant le chiffrement asymétrique. Néanmoins ce dernier a l'inconvénient de ne pas être si trivial à employer.

Et si finalement, ce n'était plus si complexe que ça ? Comment faire pour chiffrer et signer facilement ses courriers électroniques avec un minimum de sécurité ?

La réponse (en fait une des nombreuses réponses) se trouve dans l'extension Enigma de Roundcube. Je présente dans cet article, la manière dont j'ai pu le déployer sur mon serveur Debian Stretch.

Principes d'Enigma

Je ne vais pas revenir sur le fonctionnement du chiffrement asymétrique; c'est un pré-requis à la lecture de cet article.

Ce qui est plus important à retenir, c'est qu'Enigma vous propose de stocker vos clefs GPG privées et publiques directement sur le serveur qui héberge Roundcube. De cette manière, vous disposez d'un moyen simple pour toujours avoir votre clef sous la main, lorsque vous souhaitez l'utiliser pour votre courrier électronique.

Enigma n'est qu'une encapsulation de GnuPg. Son fonctionnement permet de transférer tout ce qui est sensible à l'environnment de GnuPg (en version 2.1 sous Debian Stretch) qui est fait pour ça.

A mon sens, cela permet de faire de ces fonctions de chiffrement/signature quelquechose de simple à utiliser au quotidien plutôt qu'un truc de crypto-anarchiste.

Sachez que si vous importez votre clef privée avec un mot de passe de protection, Enigma vous demandera de renseigner ce mot de passe dès qu'il en aura besoin. Votre clef privée est donc potentiellement à l'abri d'un vol immédiat (mais d'un crackage par force brute ou dictionnaire).

Installation des paquets

Pour faire simple, il vous faut installer au moins le paquet roundcube-plugins. Ce paquet suggère d'utiliser php-crypt-gpg. Néanmoins, ce paquet n'est pas diponible dans Debian Stretch, la version stable de Debian au moment de la rédaction de cet article. Ce paquet est indispensable pour faire fonctionner le plugin Enigma.

Vous pourriez tout simplement attendre que la prochaine version stable de Debian entre en production mais voilà, vous avez lu mon introduction et vous avez décidé de protéger un peu plus vos communications. Comment faire ?

Bon, par bonheur, le paquet php-crypt-gpg est disponible dans Debian Buster, la version testing de Debian. De plus, dans sa version actuellement disponible, il peut parfaitement s'installer dans Debian stable. Donc, un simple téléchargment suivi d'une installation manuelle suffit à rendre le plugin opérationnel:

# apt install --no-install-recommends gnupg2 php-console-commandline
# wget http://ftp.fr.debian.org/debian/pool/main/p/php-crypt-gpg/php-crypt-gpg_1.6.0-1_all.deb
# dpkg -i php-crypt-gpg_1.6.0-1_all.deb  

Oui, vous allez me dire que j'aurais pu utiliser l'apt-pinning. Mais, vous le savez, j'administre mes machines personnelles sur mon temps libre qui est ultra compté. Je vais au plus court et j'assume totalement...

Configuration

Voilà, vous avez tout ce qu'il faut pour activer Enigma. Reste encore à le configurer correctement. Voyons comment faire en détails.

Vous devez d'abord ajouter le plugin Enigma dans la liste des plugins autorisés. La liste est disponible dans le fichier /etc/roundcube/config.inc.php:

// List of active plugins (in plugins/ directory)                                                                                                                       
$config['plugins'] = array(
'archive',
'calendar',
'carddav',
'emoticons',
'managesieve',
'zipdownload',
'enigma'
);

Le principe d'Enigma est de stocker votre clef privée (et publique) sur le serveur qui héberge Roundcube, de manière à pouvoir signer et déchiffrer à volonté. Enigma vous impose de déclarer un répertoire pour stocker les clefs. Nous allons utiliser le répertoire /var/local/enigma. Attention, ce répertoire doit être accessible en écriture à l'utilisateur de Roundcube, c'est à dire www-data:

# mkdir -p /var/local/enigma
# chown www-data:www-data /var/local/enigma

Enfin, vous devez simplement configurer le plugin en rédigeant son fichier de configuration dédié, situé dans /etc/roundcube/plugins/enigma/config.inc.php. Ce fichier permet d'imposer certains paramètres à tous les utilisateurs de votre instance Roundcube (oui, un webmail, c'est fait généralement pour plusieurs comptes). En voici un exemple commenté.

<?php
// Enigma Plugin options
// --------------------

// Le pilote utilisé pour PGP
$config['enigma_pgp_driver'] = 'gnupg';

// Le pilote utilisé pour le contenu S/MIME
$config['enigma_smime_driver'] = 'phpssl';

// Activer le debug dans les journaux
$config['enigma_debug'] = false;

// Répertoire de stockage des clefs (privées et publiques) 
$config['enigma_pgp_homedir'] = '/var/local/enigma';

// Emplacement du binaire gpg (auto-détecté par défaut)
$config['enigma_pgp_binary'] = '';

// Emplacement de gpg-agent (auto-détecté par défaut)
$config['enigma_pgp_agent'] = '';

// Activer la vérification des signatures par défaut
$config['enigma_signatures'] = true;

// Activer le déchiffrement des messages
$config['enigma_decryption'] = true;

// Autoriser le chiffrement et la signature
$config['enigma_encryption'] = true;

// Activer la signature par défaut
$config['enigma_sign_all'] = false;

// Activer le chiffrement des messages par défaut
$config['enigma_encrypt_all'] = false;

// Activer l'envoi de la clef publique dans chaque courriel
$config['enigma_attach_pubkey'] = true;

// Durée par défaut de stockage des mots de passe de clefs privées (en
// minutes). 0 indique que le mot de passe est stocké pendant toute la
// session. 
$config['enigma_password_time'] = 5;

// Interdire la génération de clef privée sur le serveur
$config['enigma_keygen_server'] = false;

// Forcer la configuration de certains paramètres
// (Rien dans notre cas)
$config['enigma_options_lock'] = array();

Avec ces éléments, Enigma est prêt à fonctionner.

Utilisation

Ok, Enigma est prêt, il ne reste qu'à le remplir avec vos clefs. Pour cela, vous devez les extraires au format asc par exemple à l'aide de la commande gpg. N'oubliez pas qu'il faut la clef privée et la clef publique:

$ gpg --armor --export-secret-keys my_account@example.com > privkey.asc
$ gpg --armor --export my_account@example.com > pubkey.asc

Ensuite, ouvrez Roundcube et allez dans la page des paramètres, dans l'onglet Préférences: la section "Chiffrement" doit apparaître:

Préférences Enigma

Vous devriez retrouver tous vos paramètres du fichier de configuration. Néanmoins, en fonction des options de verrou, certains paramètres ne peuvent pas forcément être modifiés ici.

Ensuite, vous devez importer au moins une clef privée et une clef publique (vous pouvez faire les deux en même temps). Pour cela, rendez-vous toujours dans l'onglet "Clés GPG" et cliquez sur le bouton "Importer" situé en haut à gauche:

Import des clefs

Choisissez les fichiers .asc précédemment générés et le tour est joué. Vous devriez voir une référence dans la liste des clefs. Cliquer sur cette référence affichera une page complète d'information sur la dite clef.

Passons maintenant aux opérations de chiffrement et de signature. Composez un nouveau courriel et vous devriez voir apparaître une nouvelle option de sécurité avec un cadenas:

Options de chiffrement/signature des messages

Lorsque vous cochez l'option, joindre ma clef publique, elle sera systématiquement envoyée en pièce-jointe de votre message. Chez moi, elle est cochée par défaut, de manière à ce que les gens puissent la récupérer à moindre frais.

Conclusions

Finalement, l'installation du plugin est assez simple. La méthode que je propose pose quand même un certain problème, principalement au niveau de la sécurité sur la maintenance du paquet php-crypt-gpg. Ne l'oubliez pas !

Néanmoins, le plugin est fonctionnel et il vous permettra de signer vos courriels et de déchiffrer ce que vos correspondant équipés d'une solution de chiffrement asymétrique auront envoyé et ce, de manière assez simple, dès que vous aurez accès à votre instance Roundcube.

Cela vous donnera enfin l'impression de rejoindre une communauté de gens sérieux avec la sécurité de leurs communications. L'étape d'après consiste à convertir tous vos correspondants à utiliser le chiffrement asymétrique pour leur correspondance. Ce n'est pas gagné mais pas impossible !

Posted sam. 18 nov. 2017 08:34:23 Tags:

Introduction

Lors de mon dernier travail sur Cockpit, je me suis rendu compte que ce dernier reposait beaucoup sur systemd. En effet, en essayant l'interface Web de Cockpit, je me suis rendu compte qu'on pouvait ajouter pas mal de renseignements sur la machine via systemd. Vu la quantité d'informations disponibles, un article s'imposait pour présenter l'ensemble des modifications de mon système.

De même, ayant adopté systemd, il m'a semblé plus intéressant d'essayer de gérer la configuration de mes machines en utilisant les mécanismes systemd qui semblent maintenant assez bien éprouvés.

Bon, je sais que systemd est un sujet encore épineux en 2017 mais, je crois qu'en utilisant ses mécanismes de configuration le plus possible, on arrive à une méthode de configuration un peu plus universelle. En effet, sous réserve que d'autres distributions reposent sur les services systemd présentés dans cet article, un administrateur système qui changerait d'environnement serait moins perdu (il y a de grandes différences entre un système RedHat et un système Debian) et, de fait, serait beaucoup plus efficace.

Mais voyons plutôt ce que nous pouvons faire avec systemd.

L'ensemble de ce qui suit a été réalisé sur plusieurs machines sous Debian Stable (Stretch au moment de la rédaction de cet article).

Informations sur la machine via /etc/machine-info

hostnamectl est une commande systemd qui permet de customiser plusieurs éléments:

  • l'emplacement physique de la machine
  • l'environnement de la machine (production/dev/test/etc).
  • le type de machine (chassis).
  • Un nom élégant.
  • l'icône de la machine (dont le nom est au format XDG).

Ces informations sont stockées dans le fichier /etc/machine-info. On peut également les modifier avec hostnamectl.

Gestion du temps via systemd-timesyncd

J'utilisais depuis des temps immémoriaux l'antique ntpdate pour synchroniser l'heure de mon serveur public. Attention, cette option est ultra importante car mon serveur public n'a pas d'horloge temps réel indépendante. Donc, dès qu'il boote, il lui faut récupérer l'heure via le réseau, histoire d'avoir les bonnes dates dans les logs.

Mais avec systemd, il y a un outil pour faire ça: timedatectl. Si je peux virer un paquet de mon système, autant le faire non ? Par ailleurs, la documentation de timedatectl indique que ce dernier stocke la date et l'heure sur disque ce qui permet de reprendre à une date moins vieille que epoch lors du reboot de la machine.

La configuration de timedatectl est assez simple, vous devez simplement renseigner le fichier /etc/systemd/timesyncd.conf avec la bonne liste de serveurs, dans le cadre d'une machine à configuration statique.

#  This file is part of systemd.
#
#  systemd is free software; you can redistribute it and/or modify it
#  under the terms of the GNU Lesser General Public License as published by
#  the Free Software Foundation; either version 2.1 of the License, or
#  (at your option) any later version.
#
# Entries in this file show the compile time defaults.
# You can change settings by editing this file.
# Defaults can be restored by simply deleting this file.
#
# See timesyncd.conf(5) for details.

[Time]
NTP=0.debian.pool.ntp.org 1.debian.pool.ntp.org 2.debian.pool.ntp.org 3.debian.pool.ntp.org

Dans le cas, d'une machine servie par DHCPv4, je vous conseille de ne pas configurer ce fichier mais d'utiliser la directive UseNTP dans la configuration du service networkd et de servir la liste des serveurs NTP via votre serveur DHCP: votre configuration sera alors centralisée correctement.

Ensuite, n'oubliez pas de supprimer le paquet ntpdate, ce qui supprime aussi l'unité systemd associée. Enfin, vous devrez activer le service systemd-timesyncd.service tout en ayant pris soin de recharger le démon systemd.

Gestion des interfaces réseaux via systemd-networkd

Bon ça fait des années que j'utilise le système ifup de Debian qui marche assez bien finalement. Donc pour moi, NetworkManager est un peu "overkill". Néanmoins, systemd présente un mécanisme intéressant pour la gestion des interfaces réseau: il s'agit de systemd-networkd.

Globalement la logique est un peu la même que celle de ifup:

  • On définit un fichier .network de définition d'un périphérique réseau.
  • On y indique les différentes options disponibles dedans.
  • Au démarrage de la bécane, systemd se charge "d'allumer" les différents périphériques réseau.

Voici quelques fichiers que j'utilise au boulot et à la maison, pour vous montrer différentes utilisations possibles et que networkd sait être versatile...

Connexion de l'interface filaire ethernet de base via DHCP

Dans ce qui suit, l'interface réseau ethernet se nomme eno1. Pour savoir ce que vous avez, un simple ip link vous donnera la liste des interfaces repérées par le noyau.

Vous devez créer un fichier se terminant par .network dans le répertoire /etc/systemd/network/ (ex: /etc/systemd/network/ethernet.network) et contenant les lignes à suivre:

[Match]
Name=eno1

[Network]
Description="Primary Ethernet card"
DHCP=yes

Comme vous le voyez, c'est très simple ! Le principe est d'inscrire une directive de match qui permettra de repérerer la carte réseau concernée par le fichier .network. Puis, on indique qu'on souhaite utiliser le DHCP.

Connexion de l'interface filaire ethernet de base via DHCP avec IPv6

Dans le cas qui suit, on souhaite récupérer une adresse IPv4 via DHCP mais utiliser les mécanismes IPv6 d'allocation automatique d'adresses.

[Match]
Name=eno1

[Network]
Description="Primary Ethernet card"
DHCP=ipv4
LinkLocalAddressing=ipv6
IPv6AcceptRA=true

[DHCP]
UseDNS=true
UseDomains=true
UseNTP=true
UseRoutes=true
UseTimezone=true
ClientIdentifier=mac

Pour la directive DHCP, on souhaite:

  • Configurer le DNS via DHCP.
  • Configurer le domaine par défaut via DHCP.
  • Configurer les serveurs NTP utilisés par DHCP.
  • L'authentification DHCP se fera par adresse mac.

Connexion de l'interface filaire ethernet de base via DHCP filtrant

Au bureau, j'ai un serveur DHCP filtrant sur les adresses MAC et qui s'attend à avoir des machines Windows. Pour cela, on va indiquer qu'on souhaite identifier le client DHCP via l'adresse MAC de la carte réseau et on va ajouter un identifiant de vendeur qui aura pour contenu MSFT 5.0 (un truc qui dit que c'est un MS-Windows):

[Match]
Name=eno1

[Network]
Description="Primary Ethernet card"
DHCP=ipv4
LinkLocalAddressing=no

[DHCP]
UseDNS=true
ClientIdentifier=mac
VendorClassIdentifier="MSFT 5.0"

Connexion Wifi avec WPA

C'est la connexion classique sur une borne wifi. Ici, il y a une petite astuce: nous allons utiliser wpa_supplicant (le classique) et créer une "fausse" unité systemd pour indiquer à systemd-networkd qu'il faut utiliser wpa_supplicant.

D'abord, la configuration de la carte réseau Wifi (wlp1s0 chez moi) dans /etc/systemd/network/wlp1s0.network:

[Match]
Name=wlp1s0

[Network]
Description="Primary WiFi card"
DHCP=ipv4
LinkLocalAddressing=ipv6
IPv6PrivacyExtensions=true
IPv6AcceptRA=true

[DHCP]
UseDNS=true
UseNTP=true
UseDomains=true
ClientIdentifier=mac

Dans cette configuration, on configure IPv4 par DHCP, IPv6 par les mécanismes d'annonce de routeur et, bien sûr, on active les extensions de vie privée sur IPv6. Rien que du classique.

Ensuite, il vous faut un fichier de configuration pour wpa_supplicant, nommé de la bonne manière, c'est-à-dire en tenant compte du nom de l'interface. Dans notre cas, ce sera /etc/wpa_supplicant/wpa_supplicant-wlp1s0.conf:

ctrl_interface=/var/run/wpa_supplicant
eapol_version=1
ap_scan=1
fast_reauth=1

network={
    ssid="Foobar1"
    psk="password1"
    priority=1
}
network={
    ssid="Foobar2"
    psk="password2"
    priority=2
}

Enfin, il reste à créer une "fausse" unité systemd et à l'activer:

# systemctl enable wpa_supplicant@wlp1s0.service
# systemctl start wpa_supplicant@wlp1s0.service

Normalement, ça devrait bien fonctionner...

Connexion filaire statique avec une route supplémentaire

Pour la maison, j'ai une bécane qui sert de pont "Wifi" pour le réseau 192.168.1.0. Voici la configuration spécifique de sa carte ethernet:

[Match]
Name=eno1

[Network]
Description="Primary Ethernet card"
DHCP=no
LinkLocalAddressing=no
IPForward=ipv4

[Address]
Address=192.168.1.7/24
Broadcast=192.168.1.255

Bien entendu, vous devez utiliser un mécanisme de forwarding IPv4 via nftables pour que ça fonctionne complètement (mais ça, c'est hors-sujet pour aujourd'hui).

Création d'un pont pour des machines virtuelles sur DHCP filtrant

Au boulot, j'ai besoin d'avoir un pont ethernet pour mes machines virtuelles sous KVM. Pour faire simple, j'utilise un pont via networkd. Mais il y a un peu de magie dans l'histoire: n'oublions pas que mon serveur DHCP est filtrant sur l'adresse MAC. Du coup, je suis obligé d'affecter l'adresse MAC de la carte réseau ethernet au pont et de mettre une fausse adresse MAC pour la carte réseau. C'est chiant mais sinon, ça ne fonctionne pas du tout !

Vous devez créer 3 fichiers:

  • Un fichier de périphérique réseau virtuel pour le pont (br0.netdev).
  • Un fichier de configuration réseau pour le pont (br0.network).
  • Un fichier qui va inscrire la carte ethernet physique dans le pont.

Contenu de /etc/systemd/network/br0.netdev:

[NetDev]
Description="Network Bridge for KVM"
Name=br0
Kind=bridge

Contenu de /etc/systemd/network/br0.network:

[Match]
Name=br0

[Link]
MACAddress=88:51:fc:4e:8a:91

[Network]
Description="Network configuration for Bridge"
DHCP=ipv4
LinkLocalAddressing=no

[DHCP]
UseDNS=true
UseMTU=true
UseDomains=true
ClientIdentifier=mac
VendorClassIdentifier="MSFT 5.0"

Contenu de /etc/systemd/network/ethernet-slave.network:

[Match]
Name=eno1

[Link]
MACAddress=88:51:fc:4e:8a:92

[Network]
Description="Primary Ethernet card (bridged)"
Bridge=br0

Ensuite, relancez le service:

# systemctl restart systemd-networkd.service

Un peu de ménage

Une fois que votre configuration est effective, vous pouvez supprimer les anciens paquets (oui, je sais, ça fait bizarre de supprimer un paquet aussi essentiel que ifupdown mais, vous n'en avez plus besoin):

# apt purge isc-dhcp-client isc-dhcp-common bridge-utils ifupdown
# apt autoremove

Gestion du résolveur DNS via systemd-resolved

Bon, c'est une opération assez simple qui consiste simplement à activer le service systemd-resolved et à remplacer le fichier /etc/resolv.conf par un lien symbolique vers le fichier maintenu par systemd:

# systemctl enable systemd-resolved.service
# systemctl start systemd-resolved.service
# ln -s /run/systemd/resolve/resolv.conf /etc/resolv.conf

Une fois opérationnel, le service se charge de gérer la résolution de noms. Plus besoin de gérer le resolv.conf à la main ou via ifupdown.

Gestion des logs

Après quelques mois de fonctionnement correct, je me suis résolu à passer à journald en totalité. En effet, je trouve que ce dernier, qui est installé si vous utilisez systemd remplit bien son rôle. En maitrisant les commandes de consultation, on arrive finalement à s'en sortir assez facilement.

J'en ai donc profité pour configurer son stockage permanent et virer les résidus de syslog. Voici le contenu de mon fichier /etc/systemd/journald.conf:

[Journal]
Storage=persistent
SystemMaxUse=200M
MaxFileSec=1month
ForwardToSyslog=no

Suivi de systemctl restart systemd-journald. Pour virer rsyslog:

# apt purge rsyslog

Ça fait toujours un paquet en moins à gérer.

Abandonner le traditionnel cron

Oui, systemd gère un peu l'équivalent de cron via les "timers". C'est une approche qui me séduit depuis le début même si, à l'usage, une simple crontab est plus simple à gérer. Car dans le cas de systemd, vous aurez deux choses à faire:

  • créer un service à lancer.
  • créer un timer pour le service.

Néanmoins, d'un point de vue de sysadmin, cela fait sens car de toute manière, le script que vous lancez par le démon cron doit bien se situer quelquepart. Avec systemd, vous avez un peu de travail supplémentaire mais vous pouvez lire assez facilement l'emplacement du service/script. Ce référencement est quasiment obligatoire (il est indiqué dans la définition du service), c'est donc plus beaucoup plus propre, aucun risque de se demander où est situé le script à lancer.

Néanmoins, se débarrasser de cron n'est pas chose aisée. En effet, certains paquets appellent explicitement cron ou au moins le paquet cron-daemon. Mais, bonne nouvelle, il reste un subterfuge: il existe un "cron like" basé sur systemd: systemd-cron. Ce paquet installe le paquet virtuel cron-daemon.

Donc, un simple:

# apt install --no-install-recommends systemd-cron

fera l'affaire. Bon, vous me direz: quel est l'intérêt de remplacer cron par un autre paquet ? Moi, je vous répondrais que c'est pour la beauté du geste !

Conclusions

En fin de l'année 2017, systemd a bien progressé. Il fait beaucoup de choses de facto. Ce n'est pas parfait, notamment pour cron mais c'est surtout lié à la manière d'empaqueter les logiciels sous Debian.

Dans mon objectif de réduire le nombre de paquets à administrer sur une machine aux capacités limitées, systemd remplit parfaitement son rôle. Je ne peux que vous recommander de l'utiliser. Certes parfois, vous allez rencontrer des bugs car tout n'est pas parfait. Mais je trouve que le concept d'un système de configuration déclaratif est quand même beaucoup plus clair qu'un système mélangeant code Shell et fichier de conf.

Par ailleurs, et pour relancer une énième polémique, je trouve que systemd est finalement assez KISS et correspond bien à la philosophie Unix qui implique d'utiliser des outils dédiés pour chaque action. Car, c'est bien ce qu'on retrouve dans systemd: les informations sur la machine se gèrent avec hostnamectl, le réseau avec networkd, la gestion du temps avec timesynd, la gestion de la résolution DNS avec resolved. Systemd propose donc bien pleins d'outils dédiés pour chaque action d'administration système.

Dans tous les cas, pour moi, il n'y a plus de débats possibles: mon serveur public démarre bien plus vite et sans accroc depuis que j'utilise systemd. Auparavant, j'avais toujours mon service dovecot qui ne fonctionnait pas (simplement parcequ'il s'activait au mauvais moment par rapport à l'état de configuration de la carte réseau). J'ai passé des journées entières pour débugguer cette situation sans jamais y parvenir. La migration systemd a tout simplement réglé mon problème après quelques heures de recherche dans les logs.

Posted ven. 17 nov. 2017 20:21:35 Tags: