PROJET AUTOBLOG

Le Blog de Genma

source: Le Blog de Genma

⇐ retour index

Yunohost, Let's Encrypt, A+ in SSLLabs - English version

jeudi 1 janvier 1970 à 01:00

French version / Version française : https://blog.genma.fr/?Yunohost-Let-s-Encrypt-A-au-SSLLabs

Prerequisites : You need to have some knowledge about Let's Encrypt, How SSL/TLS configuration works (basics).

I've followed How to : Install Let's Encrypt certificates and it works. Nothing to say, it helps to have a secured connexion. But in order to have the best TLS configuration, I've test my domain domain and subdomains on the https://www.ssllabs.com/ website. The Default Let's Encrypt configuration gives a B level as results. It's confirmed with the Calomel SSL addons on Firefox. So the Default TLS & Let's Encrypt configuration is not optmised.

Attention : more the grade is high, more the access to the website is restricted. Old browsers (on old computer O.S. or old Smartphone O.S. like Android 2.2, 4.0...) won't be able to connect to your websites.

Only using Firefox in it's latest version on each off my devices (PC or smartphone), it's not a problem for me to have the best grade.

So I've read many how to secure nginx. I've compared the nginx configuration files theses how-o preconize with the one Yunohost has by default. The default nginx file in Yunohost is secured (obsolete algorithm are disabled). But I've gone deeper with some modification.

Nginx Configuration file of my subdomain : /etc/nginx/conf.d/blog.mydomain.org.conf :

ssl_protocols TLSv1.1 TLSv1.2;
#ssl_ciphers ALL:!aNULL:!eNULL:!LOW:!EXP:!RC4:!3DES:+HIGH:+MEDIUM;
ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';

To compare to he one Aeris (the hacktivist) recommands, for an extrem configuration :

TLSv1.2 + EECDH + AESGCM + SHA-2 only :P

What is missing in order to have a better level grade in SSLLabs test, it's Diffie Hellman. We need to generate a file for Diffie Hellman, it's done with :

sudo mkdir -p /etc/nginx/ssl &&
sudo openssl rand 48 -out /etc/nginx/ssl/ticket.key &&
sudo openssl dhparam -out /etc/nginx/ssl/dhparam4.pem 4096

It takes times, depending on processor performance and the capacity to generate random numbers.

After the file generation, in each nginx configuration file of each domain and subdomains, you have to to this :

nano /etc/nginx/conf.d/blog.mydomain.org.conf
# Uncomment the following directive after DH generation
openssl dhparam -out /etc/ssl/private/dh2048.pem -outform PEM -2 2048
# ssl_dhparam /etc/ssl/private/dh2048.pem;
ssl_dhparam /etc/nginx/ssl/dhparam4.pem;

After, you verify ngix configuration files are ok with the command :
nginx -t

You restart nginx with :
service nginx restart

You can now restest your domain on SSLLabs and your grade will be an A+ normally.

Aeris says to me on Twitter

Remove EDH completely. Avoid the (very long) (and weak) DH generation. No compatibility trouble AFAIK.

Du pseudonymat au pseudonyme

jeudi 1 janvier 1970 à 01:00

Depuis que je tiens ce blog, 12 ans maintenant, je fais une gestion de mon identité numérique et régulièrement, je fais des billets de réflexions sur la séparation de cette identité publique, Genma, de mon identité civile. Je me pose des questions, je remets en doute ma pratique de vouloir séparer cette identité (Outer mon hacktivisme ?), le faire qu'on en puisse pas Faire le lien entre mon pseudo et ma véritable identité.

Dans ce billet, je voudrais vous faire part d'une décision que j'ai prise, mûrement réfléchi. Je vais passer du pseudonymat au pseudonyme. Explications.

Anonymat, pseudonymat, pseudonyme

L'anonymat, c'est être anonyme. C'est ne pas avoir de pseudonyme régulier, ne pas avoir une identité numérique cohérente autour d'un même pseudonyme. C'est ne pas pouvoir rattacher un pseudo à une personne physique.

Le pseudonymat, c'est avoir un pseudonyme, une présence cohérente en ligne sous ce pseudonyme (un blog, des comptes sur les réseaux sociaux) et éventuellement une vie associative et publique sous ce pseudonyme. Les personnes vous connaissent ou reconnaissent et vous appellent sous ce pseudonyme. Mais ne peuvent pas ou ne font pas le lien avec vos autres identités, civile ou autre pseudonyme. On est un cran de dessous de l'anonymat.

Le pseudonyme, c'est une sorte de surnom, de nom de plume ou d'artiste. Le nom civil de la personne est connue. Mais le nom civil sert pour la vie personnelle et privée, administrative. Le pseudonyme sert pour la vie et la personne publique. Le lien se fait aisément, tout le monde connait le pseudonyme, moins l'identité civile.

Du pseudonymat au pseudonyme

Jusqu'à récemment, Genma était un pseudonymat pour moi. Très peu de personnes connaissaient mon identité civile si elles connaissaient mon identité publique, pseudonymale. Et inversement. Mais avec une activité personnelle publique qui est sortie d'Internet ces dernières années, en m'impliquant dans des associations (et non plus seulement sur les forums et projets en ligne), en donnant des conférences, je suis amené, pour des raisons administratives (remboursement de frais de transports, salaires...) à donner mon identité civile, qui se voit alors associer à mon identité publique. De plus en plus de personne me connaissant sous mon identité publique me connaissent alors sous mon identité civile. Celles et ceux que je rencontre le savent : je donne mon prénom facilement. Mais si je n'y répondrais probablement pas si on m'interpelle avec quand je suis dans le cadre du personnage public.

Le lien Genma, mon identité civile se fait donc de plus en plus facilement (même si en ligne cela reste encore bien séparé). Dans l'autres sens, mon identité civile vers mon identité publique Genma, c'est quasiment impossible. Les nouvelles rencontres que je fais, les nouvelles personnes que je côtoie, c'est via ma vie et mes activités publiques.

Genma devient donc peu à un peu un pseudonyme et non plus un pseudonymat. On peut savoir et connaitre mon identité civile. Et là où pendant très longtemps cela m'aurait gêné, je me fais une raison. Je dois vieillir. Le fait de connaître mon nom, ça n'apporte rien. Aucune information qu'on ne pourrait savoir de plus via mon identité publique, si ce n'est toute la partie vie personnelle et intime qui n'est de toute façon pas mise en ligne (même sous pseudonymat).

Faire reconnaître mes vraies compétences

Le billet Outer mon hacktivisme ? avait initié une réflexion sur le fait de comment faire reconnaitre mes vraies compétences. Sur mon CV, désormais, je mets une partie Résumé de carrière avec ce que je fais depuis que je travaille, mon parcours professionnel. Et je mets une seconde partie tout aussi riche si ce n'est plus, que j'appelle Résumé du parcours personnel, qui correspond à tout ce que je fais depuis plus de 12 ans sous le pseudonyme de Genma. Il y a eu le blog, mon autodidaxie en informatique, puis récemment mon implication dans différents projets et association du monde du logiciel libre.

Ce parcours personnel, je souhaite le valoriser, l'utiliser professionnellement pour trouver un emploi au sein duquel je serai épanoui car j'utiliserai mes vraies compétences, la maturité acquise via toutes ces expériences personnelles. J'ai vieilli, mûri, grandi en étant Genma. Ce pseudonymat m'a permis d'apprendre plein de choses (le blog en est un bon résumé / un beau témoignage de cette évolution personnelle).

Le pseudonyme, le fait de mettre Jérôme "Genma" MonNomDeFamille dans l'entête du CV, de clairement citer le blog avec son adresse, c'est mettre fin à mon pseudonymat. En donnant explicitement mon pseudonyme à mon futur employeur, je lui dis clairement qui je suis, ce que je sais faire et ce que je vaux. J'attends de L'Entreprise qu'elle fasse la distinction et respecte le fait que j'ai une identité publique (de même qu'elle doit respecter ma vie privée en dehors de mes heures d'employabilité). Il y a une forme de contrat implicite : il y a le personnage publique avec sa liberté de paroles, de ton, etc. Et la personne privée (liée à mon identité civile) qui est sous contrat avec une entreprise, qui lui doit des comptes etc. Donner mon pseudonyme permet de vérifier mes dires : ma présence en ligne, mon implication dans des projets, de voir les conférences que j'ai donné, mes écrits. Tout ce qui me permet de montrer mes capacités, mes connaissances, le fait que les technologies que je mentionne sur le CV sont maitrisées (par exemple).

Quelles conséquences ?

Si je veux à nouveau avoir un pseudonymat, il faudra que je recommence de zéro, que je récréé une identité de toute pièce (avec les outils adéquat pour ne pas relier cette identité numérique à qui je suis) et donc ne pas l'utiliser en dehors du monde numérique...

Mon identité civile finira par être liée à mon pseudonyme et celles et ceux qui me connaissent prendront un malin plaisir à en rire, à me taquiner avec ça. Il y aura sûrement d'autres conséquences que je n'ai pas encore envisagées à l'heure actuelle, on verra bien et ce sera toujours l'occasion de faire des nouveaux billets pour ce blog :) Comme d'habitude, à suivre donc...

Wallabag comme outil de contournement de proxy

jeudi 1 janvier 1970 à 01:00

Parfois les proxy d'entreprises sont mal configurés et un peu trop restrictif, bloquant certains sites sur des bases de mots clefs trop génériques, et de ce fait, des sites que l'on devrait pouvoir consulter de manière légitime se retrouvent bloqués par ce proxy nazi. Il est parfois possible de demander à l'équipe informatique de débloquer spécifiquement ce site, via une demande en trois exemplaires avec une lettre argumentée d'au moins 500 signes et un délai d'attente de trois semaines (j'exagère à peine). Parfois non.

Dans cet article, je voudrais donc évoquer un usage détourné de Wallabag, le logiciel (pour un usage classique, je vous renvoie vers mon billet Le combo gagnant pour optimiser sa veille)

Wallabag est un logiciel que l'on peut héberger soi-même sur son propre serveur à la maison, un serveur que l'on loue ou on peut utiliser une instance de confiance gérée par un tiers comme Framabag par exemple. Avec cette application, vous ne perdrez plus les contenus du Web qui vous intéressent mais que vous n'avez pas le temps de parcourir. D'un clic, vous enregistrez votre sélection et vous la lirez quand vous voudrez. L'application sauvegarde votre sélection pour vous permettre d'en profiter quand vous en aurez le temps.

C'est donc Wallabag et la connexion du serveur qui héberge cette application qui se connectent au site web pour récupérer la page web dont on donne le lien, en purge le contenu inutile et met à disposition la page épurée....

Et là vous me voyez venir vu le titre du billet.

Eh oui. Si l'adresse de votre instance Wallabag n'est pas bloqué par le proxy, il suffit de vous connecter et de demander à Wallabag de sauvegarder le lien de la page inaccessible. Il y a de fortes chances que ça marche. Si ça ne marche pas, ça ne sera pas lié à un problème d'accès à la page, mais plus à un problème de structure de la page en elle-même, pour laquelle Wallabag n'arrive pas à déterminer la partie corps de texte permettant d'en faire une page épurée, lisible au sein de Wallabag ou exportable sous la forme d'epub ou de pdf.

Cette méthode est peut-être capillotractée mais elle a le mérite d'être simple et marrante (je trouve). On pourrait conseiller l'usage d'un tunnel SSH, de Tor, d'un VPN ou autre solution... (qui seront plus efficaces, ici la méthode ne permet que la consultation de contenu textuel) Mais il sera plus dur de prouver l'évidence que l'on contourne volontairement le proxy et en connaissance de cause (et par conséquence le fait qu'on ne respecte pas la charte informatique, ce qui peut amener à des problèmes). Dans le cas de Wallabag, l'instance n'étant pas bloqué, on peut être considéré comme de bonne foi, non ? :)

Je lance ma page Tipeee

jeudi 1 janvier 1970 à 01:00

Je lance ma page Tipeee et elle est accessible ici https://www.tipeee.com/genma/. Je vais remettre ici le contenu de cette page qui explique le pourquoi etc.

Pourquoi ce Tipee ?

Si c'est gratuit c'est vous le produit. Adage bien connu. Comme la rédaction des billets de blog est une passion mais me prend du temps, votre participation sera une forme de reconnaissance au partage de savoir et de connaissances que je fais ;) Le but n'est pas de faire une version premium du blog, avec un accès à un contenu limité. Juste de faire une nouvelle expérimentation qui donnera lieu à la rédaction de nouveaux billets thématiques.

Un des buts de ce Tipee est également de donner un peu plus de visibilité au blog et par effet de rebond à mes autres projets comme les conférences que je donne par exemple.

Objectifs

Le but n'est pas de m'enrichir, mais de faire une expérimentation, de voir ce que pourrait donner le financement participatif. D'où des paliers et des contreparties qui évolueront.

Les objectifs actuels sont provisoires, j'ai essayé de trouver des objectifs réalisables et sympathiques. A noter que parmi les objectifs, il y a la location d'un serveur pour faire de l'hébergement, apprendre des nouvelles choses, en rédiger des articles pour partager ces nouvelles connaissances acquises.

Contreparties

Etant donné les objectifs, il n'y a actuellement pas de contrepartie en dehors d'un Merci. En fonction des retours, de la réussite relative de ce Tipee, les contreparties évoluerons. Je pourrais envisager des goodies (stickers ou autre) par exemple.

Conclusion

Je n'ai pas d'attente ou d'espoir particulier. Je me doute que des personnes soient prêtes à donner un peu d'argent pour un blog qui est gratuit. Mais sait-on jamais, dans ce cas c'est par ici : https://www.tipeee.com/genma

Les ransomwares ou rançongiciel

jeudi 1 janvier 1970 à 01:00

C'est au détour d'une conférence sur l'hygiène numérique où je vois que l'on parle de la très forte hausse des Ransomware ou Ransongiciels que je me suis aperçu que moi-même, je n'en avais jamais parlé.

Comme tout terme informatique qui est d'abord anglophone, un ransonware est la contraction de ranson et de software et se traduit donc en français par rançongiciel. Un ransomware, ou rançongiciel, est un logiciel malveillant qui prend en otage des données personnelles. Pour ce faire, un rançongiciel chiffre des données personnelles puis demande à leur propriétaire d'envoyer de l'argent en échange de la clé qui permettra de les déchiffrer. Source de la définition

Un site complet d'information https://stopransomware.fr/ a été créé pour en parler, donner des conseils etc.

Si vous ne connaissez pas les ransonware, ce sont donc des virus qui bloquent complètement votre ordinateur en vous demandant de payer au FBI, à la Gendarmerie ou autre. Vos données sont chiffrées (cryptées, sic) et sont donc rendues inaccessibles. Ces virus ne sont souvent détectés par les antivirus qu'après avoir fait un certain nombre de victimes. D'où la nécessité de faire une prévention et une information d'un maximum de personnes.

Comment éviter ça ?

Comme toujours, on attrape pas ce virus par hasard, c'est souvent lié à une action ou une absence d'action de l'utilisateur de l'ordinateur. Il faut donc suivre quelques règles d'hygiène numérique de base :
- ne pas installer n'importe quoi (pas de logiciels piratés, de mise à jour de flash issues de sites douteux...) ;
- ne pas cliquer n'importe où (pas de clic sur l'alerte au virus quand on surfe sur Internet...) ;
- ne pas ouvrir les pièces jointes reçues d'un inconnu par mail et se méfier quand on connait la personne...
- bien mettre tous ces logiciels à jours (navigateur, système d'exploitation...)

Rien de nouveau donc. Uniquement les règles classiques.

L'importance des sauvegardes

Le soucis qu'il y a en plus avec les ransomwares c'est qu'il faut également faire attention à ses sauvegardes. On a beau être sensibilisé à la nécessité des sauvegardes, il ne faut pas faire ses sauvegardes sur un disque qui est connecté en permanence. Car dans le cas d'un ransomware, ce dernier chiffre tous les disques et donc également le disque dur externe USB que l'on branche pour faire ses sauvegardes... L'ordinateur est chiffré, ce n'est pas grave, on a une sauvegarde... Qui est elle même chiffrée et donc inutilisable... Sur le sujet des sauvegardes je vous renvoie à mon billet de de la règle des 3-2-1 avec une sauvegarde externalisée des données les plus importantes. Si le disque dur de sauvegarde se fait chiffré par le virus rendant l'accès aux données impossibles, il reste encore l'autre disque de sauvegarde avec la deuxième copie des données.

Le chiffrement c'est bien

Enfin, il faut bien comprendre que le chiffrement est mauvais dans le cas où il est fait par un virus et pour lequel on ne peut pas déchiffré les données. Chiffrer ses données est et reste une très bonne pratique de sécurité. Si on chiffre ses données avec un logiciel que l'on connait et avec une phrase de passe que l'on connait, on créée un coffre-fort numérique, on protège ses données. Et c'est très bien. Là où le chiffrement fait par le virus nous porte préjudice c'est que nos données sont mises dans un coffre numérique dont on n'a pas le code/la clef... Et donc qu'on ne peut pas ouvrir...

Voilà j'espère que vous aurez appris quelque chose, que ça vous rappellera l'importance de bien faire ses sauvegardes (Rappelez vous que l'excuse de je n'ai pas le temps ; je sais je devrais mais je ne le fais pas... poserons soucis le jour où vous aurez besoin d'avoir une sauvegarde et que vous n'en aurez pas...)

Si vous avez été confronté ou connaissez quelqu'un qui a été confronté à un ransomware, n'hésitez pas à laisser un petit témoignage en commentaire.