Présentation du site

Journal d'un Admin - La connaissance est la seule chose qui grandit quand on la partage http://journaldunadminlinux.fr/

A propos de l'auteur : Vinnie - Je suis ingénieur système Unix depuis bientôt plus de 5ans et ayant fait pas mal de mission je commence à avoir ma petite expérience. Sur ce blog je partage toutes mes connaissances, tuto, astuces et autre avec le monde en espérant que cela pourra aider quelqu'un.

La critique du Genma

Le site est récent (le premier article date de mai 2013), il contient des rubriques classiques comme "Actualité", "Astuces". Mais il contient aussi et surtout quelques tutoriaux et articles sur Esxi, les outils de l'administrateur, Virtualbox et la Virtualisation en générale (avec d'autres outils comme ceux fournis par RedHat par exemple). C'est d'ailleurs via un message sur un forum pour faire la promotion de cet article que j'ai connu ce site.

J'ai beaucoup aimé la phrase descriptive du site La connaissance est la seule chose qui grandit quand on la partage, incitant au partage. Moi qui suit en grande partie autodidacte (pour ce qui concerne l'informatique), qui aime apprendre et partager (d'où ce blog), j'ai de suite été séduit. Je me suis abonné au fil RSS du site : http://journaldunadminlinux.fr/feed/ et je verrai si le site se maintient sur le temps.

En tout cas, je ne peux qu'encourager cette initiative, d'où le présent article pour faire la promotion de ce site à mon échelle.

Dans cet article, je voudrais mettre en avant une nouvelle fonctionnalité de tracking à laquelle on ne pense pas forcément. On pense aux cookies, au bouton "J'aime" et "+1", aux URL indiquant de quel site on vient. C'est sur le Shaarli de Sebauvage que j'ai lu deux commentaires importants que vous retranscrits ici pour vous faire comprendre de quoi il s'agit. Ces commentaires étant suffisamment explicites, je n'en dirai pas plus.

Google Webfonts

Google Webfonts, The Spy Inside ? Mais pourquoi est-ce que les gens ne comprennent pas ? Google AdSense (publicité). Google Analytics (statistiques). Google WebFonts (polices de caractères). Google Maps (cartes). Bouton Google+ (partage). YouTube (inclusion de vidéos dans les pages web). Google CDN pour jQuery et les autres libs Javascript... Tu m'étonne que Google est trop content de fourguer tous ses services "gratuits" aux webmasters ! Si la moindre ressource Google est incluse dans une page, cela fait automatiquement une requête vers les serveurs Google à chaque affichage de la page, lui permettant de profiler tous les internautes, les suivant de site en site, de page en page, dans leur surf quotidien. Le tout avec la collaboration des webmasters trop contents de profiter de ces outils "gratuits"... qu'ils paient avec la vie privée de leurs visiteurs.Source

Éviter de subir le CDN de Google

La plupart des sites utilisent pour jQuery (et autres libs js), Rom1 a eu une idée géniale : Chaque fois qu'une page utilise le CDN de Google, il redirige vers un site à lui, en local. Double bénéfice : Il n'est plus traqué par Google (en tous cas pas par les requêtes vers le CDN), les sites continuent de fonctionner, et il améliore un peu la vitesse de chargement des pages (puisque les javascripts sont chargés depuis un serveur web local). Le seul inconvénient est qu'il faut maintenir une copie locale des librairies javascript, et penser à les mettre à jour (J'imagine qu'on pourrait même faire un script pour ça :-) Source

Petit billet écrit rapidement et donc forcément perfectible ;-)

Goto Fail

Nombreux sont les articles ayant parler de la fameuse faille d'Apple et ce qu'il faut comprendre c'est que cette faille permet à un attaquant de réaliser un Man-In-The-Middle sans que le client ne s'en apercoive. Pour comprendre la faille, je vous conseille de lire :
Le blog de Quack1
Et surtout la publication de Stephane Bortzmeyer sur SeenThis
Pour en savoir plus sur l'attaque de l'homme du milieu.

Vulgarisons

Comme tout ça reste très "technique", voici une petite explication pour vulgariser.

Quand on se connecte de façon sécurisé au site de sa banque par exemple, on prend soin (normalement) de bien avoir le "cadenas" dans la barre d'adresse (connexion en httpS). Ce cadenas indique que le mot de passe sera chiffré/protégé et que personne à part le site de la banque ne peut le voir. Là, on voit le cadenas. Mais quand on se connecte à sa banque, il peut très bien y avoir un PC d'un pirate qui se connecte et se positionne entre notre machine et le site de la banque. Le PC du pirate sert d'intermédiaire. Le cadenas apparait, on pense qu'on se connecte de façon sécurisé, et en fait, le PC du pirate voit toutes les informations, il voit le mot de passe... Et après il peut en faire ce qu'il veut.

C'est valable pour le cadenas dans le navigateur, mais aussi si on regarde ses mails via un client comme "Mail" (l'Outlook de chez Apple). Là aussi le mot de passe peut être vu par le pirate.

Ce que l'on peut en apprendre

Ce n'est pas parce qu'on est une société qui vaut et qui a des milliards de dollars que l'on fait du super code. Et surtout qu'on corrige une faille de façon rapide...

Quand on se connecte à un WIFI public dans lequel on ne doit pas avoir confiance, on doit utilise des moyens de connexions pour se protéger : un VPN ou TOR. Et utiliser une connexion en HTTPS aux sites que l'on consulte.

Un complément de solution est d'installer une extension comme Certificate Patrol qui avertit si le certificat SSL que l'on connaissait précédemment est différent celui que l'on va utiliser pour la connexion courante.

Et surtout on utilise du logiciel libre. Oui ce n'est pas exempt de faille, mais on peut avoir un peu plus confiance dans un code ouvert que dans un code fermé. Oui il peut y avoir des failles, mais au moins le code est accessible, quelqu'un peut voir les failles et les corriger.

Ma critique du monde Apple - en utilisant la fameuse analogie de la voiture

Utiliser Apple, ce serait comme conduire une superbe voiture sans permis, au super design, qui roule toute seule. Et quand il considère que le modèle est obsolète - parce que l'on a fait plus de 10.000km, - et ne fournisse plus de mises à jour, il faut acheter un nouveau modèle... alors que l'ancien pourrait encore marcher. Mais verrouiller au possible, on ne peut rien faire. Ce que je reproche une fois de plus à Apple, c'est qu'à trop vouloir simplifie la vie des gens, l'utilisateur de base ne veut pas apprendre. Or la sécurité de base, ça s'apprend. On apprend le code de la route pour utiliser une voiture et on n'en est pas mécano pour autant. On n'a pas être mécano, mais il ne faut pas conduire sans permis et sans notion de code de la route.

Dans le cas de la faille de sécurité, c'est un peut comme si les freins de la voiture ont lâchés, et qu'on ne ne peux pas faire réparer. Il faut attendre qu'Apple répare. Et en attendant, on roule avec une voiture sans frein.

Chez moi, je possède deux PC et quelques disques durs externes. Comme il y a eu récemment des cambriolages dans mon quartier, je me suis posé la question de ce qui se passerait si on me volait ces PC ou ces disques. Car comme je le dis dans ma conférence Petit guide d'hygiène numérique Mon PC ne marche plus, on me le vole... Quelles sont les données que je perds ? Quelle importance ont ces données pour moi ?. Je me suis donc posé la question et voici ma réflexion sur le sujet.

De l'analyse des données

Quand je trouve une clef USB (par exemple), le réflexe que j'ai c'est d'en analyser le contenu (en méfiant et en prenant mes précautions, une clef peut contenir des virus). Je cite souvent l'anecdote suivante dans les conférences que je donne. Sur une clef USB, j'ai trouvé un rapport de stage, avec le nom de l'auteur et quelques autres informations personnelles. En me basant sur ces données et via une recherche Internet, j'ai pu contacté le propriétaire de la clef, bienheureux de pouvoir la retrouver (sachant que le rapport de stage était la dernière version qu'il avait fait et qu'il n'en avait pas de sauvegarde).

Quand je récupérais des vieux PC abandonné sur le trottoir pour les pièces détachées, j'analysais les disque durs.
Pour lutter contre ça, un formatage ne suffit pas et il faut faire un SHRED
voir mes articles à ce sujet

Pourquoi n'en serait-il pas fait de même par le voleur de mon matériel informatique ? Vu que je suis sous Linux et que ça boote dessus par défaut, que je chiffre mon home par défaut que j'ai des conteneurs TrueCrypt (utiliser conjointement sous Windows et Linux), que tous mes comptes sont protégés par un mot de passe (même si ce n'est pas une sécurité absolue), je pense que la personne se contenterait de prendre un DVD de Windows, de formater et de réinstaller. Elle n'irait pas utiliser un live-cd pour commencer à fouiller dans le PC.

A moins que ce ne soit un hacker/bidouilleur un peu geek, comme moi. Mais il se heurterait très rapidement au chiffrement et à la protection correspondante.

Disques durs, clefs USB

Et pour les disques durs externe en USB ? Ils me servent de stockage/d'archivage. Il y a de la musique, des vidéos... rien que je ne considère comme confidentiel, je n'ai donc pas mis de sécurité particulière (pas de chiffrement). Par contre toutes les données confidentielles que je mets dessus en sauvegarde (documents, profil Firefox) sont au minimum dans un conteneur TrueCrypt. Les données accessibles sont donc sans risques, et celles qui sont sensibles sont protégées.

Mais comme je le disais, ces disques me servent de sauvegarde. Ils vont par paire, j'en ai deux lots de deux de capacité équivalente, je les copie/synchronise deux à deux. C'est mieux que rien comme sauvegarde, le système de miroir. Sachant qu'une partie de ces données est également, pour les plus importantes, sur un troisième disque dur.

Le problème est que tous ces disques sont en un seul et même endroit. Même s'ils sont cachés à des endroits différents, ils sont sur un même lieu physique. Je pense en mettre un sur deux chez mes parents, et faire un roulement pour que ce ne soit pas toujours les mêmes disques que j'utilise, pour que mes sauvegardes soient à jour.

Conclusion

J'ai donc un travail de réflexion et une politique de sécurité à mettre en place rapidement... A suivre donc. Enfin pour ce qui est du cloud, quid de la confidentialité et pérennité du service ? Je peux chiffrer avant d'envoyer dessus.

A lire
L'importance des sauvegardes...
Une solution simple est peu coûteuse pour sauvegarder de façon sécurisée ?

Vous êtes à la recherche d'une mailing-liste utilisant GPG ? Schleuder est fait pour vous.

Schleuder est une liste de diffusion de gpg compatible avec la capacité de retransmission des mails. Il est conçu pour servir d'outil pour la communication de groupe : les abonnés peuvent communiquer de chiffré (sous pseudonyme) entre eux, recevoir des courriels de non-abonnés et envoyer des emails à des non-abonnés via la liste. Schleuder prend soin de s'occuper du chiffremet/déchiffrement, de la suppression des en-têtes, des conversions et du formatage, etc En outre Schleuder peut envoyer sa propre clé publique à la demande et de recevoir des commandes d'administration par email.http://schleuder2.nadir.org/

Une fois mis en place sur un serveur de mail (n'étant qu'un usager de l'outil, ne l'ayant pas installé, je ne saurais dire si c'est simple), l'usage est alors simple.

Il suffit de récupérer la clef publique de la mailing-liste. On écrit en chiffré un mail à l'adresse de la mailing-liste, on chiffre en utilisant la clef publique. Et le mail est ensuite retransmis à chacun des correspondants de la liste. Ceux qui utilisent le chiffrement le recevant chiffré via leur clef publique, les autres abonnés la recevant en clair.

L'avantage est que l'on peut communiquer avec différents correspondants sans nécessairement avoir la clef publique de chacun. On écrit à une seule adresse, et c'est le serveur, qui lui doit disposer de toutes les clefs publiques, qui s'occupe de déchiffré/rechiffré et diffusé le mail.

Ce n'est pas plus compliqué que d'envoyer un mail chiffré à un correspondant ; la mailing-liste diffusant des mails chiffrés.

Il faut avoir confiance dans le serveur (il chiffre et déchiffre les mails reçus) mais de même il faut avoir confiance dans les destinataires finaux (qui sont à même de déchiffrer le message). Si l'on ne veut qu'une "trace" / un message soit gardé, on utilisera un autre protocole de messagerie différent du mail.