PROJET AUTOBLOG


Le Blog de Genma

source: Le Blog de Genma

⇐ retour index

Utiliser le VPN de la Freebox sous Ubuntu

jeudi 1 janvier 1970 à 01:00

Comme je l'expliquais dans mon article La Freebox v6 dispose d'un serveur et d'un client VPN. Dans le cadre du présent article, c'est le mode OpenVPN Routé, qui permet de passer par la Freebox pour aller ensuite sur Internet, que j'utiliserai.

Le cas d'utilisation étant, par exemple, sur un Wifi non protégé, d'avoir communications qui soient chiffrés. On lance le client VPN et tout passe par la Freebox. C'est alors comme si je surfais de chez moi. Sauf que je suis en extérieur. Et je peux me connecter à un WIFI dans lequel je n'ai pas confiance ou une confiance

Lancement du service de VPN

Au préalable, il faut que le service VPN soit activé sur la Freebox v6. Il faut aller dans l'interface d'administration de la Freebox V6 (
http://mafreebox.freebox.fr/) et activer le service,

créer un utilisateur,

vérifier les connexions actives...

Utilisation depuis Ubuntu

Une fois le fichier exporté et récupéré sur un PC qui tourne sur Ubuntu, on peut lancer son importation (en cliquant sur l'icône de gestion du réseau dans la barre en haut à droit, quand on est sous Unity). Bien que l'extension pour les fichiers openvpn soit bien installé, via la commande (car ce n'est pas le cas par défaut) :

sudo apt-get install network-manager-openvpn-gnome

Au moment de l'import du fichier de configuration, j'ai le message d'erreur :

Attention : unknown PPTP file extension

Le fichier de configuration openvpn de la freebox ne fonctionne pas avec le network-manager d'Ubuntu. La faute a qui ? Free ? Le network manager qui n'a qu'un support minimal de ce genre de fichier ? Une recherche sur le Net montre qu'il s'agit d'un bug connu depuis des années, qui n'a pas vraiment de résolution... On m'a conseillé d'utiliser le script suivant pour décomposer le fichier en différent fichier à utiliser pour la configuration du client d'OpenVPN (Source du script sur Github)

#/bin/sh
# make output file
mkdir -p output
# print Gateway
sed -n 's/remote \([^ ]\+\) [0-9]\+/passerelle: \1/p' $1
# create client config file
awk '//{exit} {print}' $1 > output/client.ovpn
# output certificate of CA
awk '// {flag=1;next} /<\/ca>/{flag=0} flag {print}' $1 > output/ca.crt
# output certificate of client key
awk '// {flag=1;next} /<\/cert>/{flag=0} flag {print}' $1 > output/client.crt
# output client key
awk '// {flag=1;next} /<\/key>/{flag=0} flag {print}' $1 > output/client.key

Ce script se lance en faisant ./nom_du_script.sh config_openvpn_routed_genma.ovpn (le fichier étant celui issu de l'export depuis l'interface d'administraition de la freebox). Un répertoire output est créé dans lequel on a différents fichiers :
- ca.crt
- client.crt
- client.key
Et on peut les utiliser en lançant dans un terminal la commande :
sudo openvpn --config client.ovpn --ca ca.crt --key client.key --cert client.crt

Reste à faire

Je n'ai pas encore trouver comment utiliser les fichiers générés via le script dans Network-manager. Sur mon Ubuntu, même si je définis leurs utilisations dans le cas de la création d'une connexion, cela ne semble pas marcher.

Mais je n'ai pas creuser plus loin, la méthode "lancement de la connexion en ligne de commande" me convenant/suffisant.

Utiliser le VPN

Une fois la connexion au VPN lancée, pour valider que l'on est bien sur le VPN, on va sur un site qui permet d'afficher son adresse IP (comme http://www.mon-ip.com/) et si l'adresse IP qui apparait est-celle de la Freebox, c'est que c'est bon, on est bien connecté via le VPN. (Cela nécessite bien sûr de connaitre l'adresse IP publique de sa Freebox)

Conclusion

Je vous renvoie à La Freebox v6 dispose d'un serveur et d'un client VPN en ce qui concerne les réserves quand à l'utilisation du VPN (le fait que ce soit un service de Free, que Free sache tout... Mais de même que Free sait tout ce qui est consulté depuis la connexion à mon domicile). Le but et l'usage de ce VPN n'est pas d'être anonymisé mais de sécuriser (relativement) sa connexion Internet. Autre limitation, le fait que l'on se retrouve avec une connexion limitée à la vitesse de l'upload de la Freebox (1 Mbits dans le cas de l'ADSL).

Https par défaut sur Zimbra.free.fr

jeudi 1 janvier 1970 à 01:00

Depuis des années, j'ai et j'utilise au quotidien deux comptes mails Free, un "Genma" et un sous mon vrai nom. Je me connecte dessus via le webmail. Free propose une connexion en https permettant que le mot de passe ne circule pas en clair, mais le problème est que par défaut, quand on arrive sur la page du webmail, c'est la version http qui est proposée. Il faut cliquer sur "Connexion sécurisée" et on est alors redirigé vers la page en https.

De même, quand on quitte le webmail, on revient sur la page Zimbra.free.fr, on revient sur la page par défaut et il faut de nouveau cliquer sur "Connexion sécurisée" (si on veut consulter un autre compte, comme c'est mon cas).

Afin d'apprendre les bases des règles d'HttpsEverywhere (en me basant sur la documentation HTTPS Everywhere Rulesets) et de m'éviter un clic, j'ai créée et ajouter la règle suivante :





dans le fichier default.rulesets, qui se trouve dans le répertoire du profil Firefox, dans le répertoire /extensions/https-everywhere@eff.org/chrome/content/rules/.

J'ai redémarré Firefox pour prise en compte du fichier modifié. Et ainsi, de façon simple, je suis automatiquement redirigé vers la page en https. Je peux consulter les deux comptes l'un à la suite de l'autre sans avoir à attendre un rechargement de page, vu que je suis tout le temps et par défaut en https...

A lire :
- Free et le https
- HTTPS Everywhere

Gestion automatisée des cookies

jeudi 1 janvier 1970 à 01:00

Toujours dans la série des extensions utiles pour lutter contre le tracking et la surveillance que l'on fait de nous au quotidien au travers de notre surf Internet, voici deux extensions (parmi d'autres) qui servent à gérer les cookies.

Pour rappel, les cookies ce sont ces petits fichiers qui permettent de rester connecter quand on va sur un site, toujours l'afficher dans la même langue et permettent de conserver différentes préférences.... Mais qui sont également utilisés par les publicités qui s'affichent pour mieux cerner le profil du consommateur potentiel. Ces fichiers sont utilisés par certains sites pour suivre notre navigation, ce sont les fameux cookies traceurs.

Afin de mieux gérer les cookies et de décider ce qu'il en ait fait, voici deux extensions qui permettront de gérer de façon assez fines les cookies en question.

SelfDestructing Cookie

A chaque fermeture d'onglet, Self-Destructing cookies supprime les cookies qui étaient associés à la navigation en cours, en affichant une petite animation de destruction du cookie. Ainsi, on est sûr qu'il n'y a plus aucun cookie et que ceux-ci sont supprimés dès que possible, permettant de naviguer de site en site sans être suivi.

Self-Destructing cookies permet de mettre en liste blanche certians site, soit via la gestion native des cookies de Firefox, soit en cliquant sur son icône dans la barre des modules en bas, pour lesquels il n'effacera pas les cookies. Pour tout le reste, les cookies

Pour l'installer : https://addons.mozilla.org/fr/firefox/addon/self-destructing-cookies/

Cookie Monster

Autre façon de faire, celle de Cookie Monster qui gère les cookies au cas par cas. Une fois l'extension installée, on autorise ou non le dépôt de cookies et de cookies tiers, selon des niveaux variables (par noms de domaines, sous-domaines, sites), le but étant là encore de limiter le traçage au cours de la navigation.

Il est également définir des autorisations de façon temporaire ou permanente (liste blanche). Avec cette extension, on n'acceptera donc les cookies que pour quelques sites pour lesquels ils sont réellement utiles/nécessaires.

Pour l'installer https://addons.mozilla.org/fr/firefox/addon/cookie-monster/

Truecrypt et mot de passe Admin

jeudi 1 janvier 1970 à 01:00

Une astuce du wiki d'Ubuntu-fr que je reprends ici car ça peut être utile à d'autres.
Comment accorder les droits administrateurs à Truecrypt sans mot de passe systématique

Truecrypt demande à chaque fois le mot de passe administrateur pour pouvoir monter vos fichiers. Voici les étapes.

Saisir cette commande dans un terminal:
sudo EDITOR=gedit visudo
Puis ajoutez, à la fin du fichier, ceci:
ALL ALL=(root) NOPASSWD: /usr/bin/truecrypt

Une autre façon de faire étant d'ajouter truecrypt dans les règles de "sudo" pour ne pas avoir à saisir le mot de passe de session.

Keepass, TrueCrypt

jeudi 1 janvier 1970 à 01:00

Billet reprenant le commentaire de Cascador à un des billets du blog, que je mets dans un billet dédié pour le mettre en avant.

Keepass est une excellente solution, c'est celle que j'ai choisi. J'y stocke tous mes mots de passe : TrueCrypt, boîtes mails, sites où je suis inscrit, mots de passe WiFi etc.

Il y a un moment où il faut obligatoirement que les mots de passe soient stockés à un endroit unique pour les retrouver facilement. Keepass fait cela simplement et correctement. Je précise que mon Keepass est dans un conteneur TrueCrypt.

Si je puis me permettre, j'ai longtemps réfléchi à comment gérer mes données, mes passwords, mes logiciels sur les différents postes sur lesquels je me connecte (boulot, maison, clients, amis). Voici le résultat de mes réflexions :
- Deux conteneurs TrueCrypt un Perso et un Pro de 10 Go chacun (mot de passe différent pour chaque conteneur)
- Maximiser l'utilisation des logiciels multiplates-formes et portables/web
- Le conteneur TrueCrypt Perso contient mon Keepass, mon profil Firefox Perso, mes docs persos (scans des pièces d'identité, assurances, fiches de paye etc.), mon profil Thunderbird pour mes mails perso
- Le conteneur TrueCrypt Pro contient mon profil Firefox Pro, la sauvegarde de mes documents (Bureau, Mes documents) en cas de plantage de mon poste au boulot, mon Dropbox, mon archive Outlook et mes logiciels pros portables avec leurs configurations que j'utilise tous les jours (WinSCP, Putty, Executor etc.)
- La gestion des mots de passe en 2014 si on souhaite faire sécurisé mais également pratique et rapide, ça n'existe pas. J'ai choisi de rester sur le pratique et rapide avec moins de sécurité (car confié à un tiers) en utilisant LastPass. Ca marche très très bien, ça remplit automatiquement les formulaires des sites pour se loguer, c'est secure, gratuit etc. Comme d'habitude, il faut se faire une idée par soi-même et tester
- On peut aisément placer les deux conteneurs sur une clé USB de 32 Go ou les laisser sur le poste en local suivant l'utilisation (au bureau par exemple)
- J'ai à me souvenir de 4 mots de passe : les deux conteneurs TrueCrypt, le mot de passe de ma session utilisateur au boulot et à la maison (je mets le même), le mot de passe pour ouvrir Keepass

Concernant les mots de passe des sites et comptes mails, ils sont tous différents et générés aléatoirement à partir de Keepass (je les modifie toujours un peu ensuite) avec des longueurs de minimum 14 caractères. Ils sont impossible à retenir, LastPass est là pour ça.

Pour rappel, on peut avoir Firefox installé sur le poste et son profil Firefox sur une clé USB ou sur un autre disque dur, voici un exemple de fichier profiles.ini (situé dans C :\Users\nomdelutilisateur\AppData\Roaming\Mozilla\Firefox sur un poste Windows Seven) de Firefox :

[General]
StartWithLastProfile=1

[Profile0]
Name=default
IsRelative=0
Path=X :\Perso\Profiles\Firefox\Profiles\advrl3lb.default
Default=1

[Profile1]
Name=secure
IsRelative=0
Path=N :\Pro\Profiles\Firefox\Profiles\qsdw5iwc.secure

X :\ et N :\ sont des partitions TrueCrypt montées sur le poste. On appelle ensuite le profil Firefox que l'on souhaite en faisant firefox.exe -P secure.