PROJET AUTOBLOG


Le Blog de Genma

source: Le Blog de Genma

⇐ retour index

Yunohost, Let's Encrypt, A+ au SSLLabs

jeudi 1 janvier 1970 à 01:00

Prérequis pour comprendre cet article Connaitre Let's Encrypt, le principe de SSL/TLS, savoir mettre en place la configuration de Let's Encrypt.

Dans le cadre de l'autohébergement de mon cloud personnel sur Yunohost, j'ai remplacé le certificat autosigné par un certificat Let's Encrypt, pour le domaine principal ainsi que les sous-domaines. Pour ce, j'ai suivi le tutoriel How to : Install Let's Encrypt certificates, pas à pas. Ca marche, le certificat est mis en place et permet d'avoir une connexion sécurisée de qualité.

Toutefois, comme je cherche à avoir la configuration TLS (pour les connexions HTTPS) la meilleure possible, j'ai testé l'adresse de mon nom de domaine (et des sous-domaine associé) sur le site https://www.ssllabs.com/. Par défaut la configuration est bonne et correct mais ne donne qu'une note de B comme résultat.

Ce qui est confirmé avec une extension comme Calomel SSL qui montre que la configuration n'est pas optimum/la plus élevée.

Attention : plus la note est élevée, plus la configuration est stricte et rend incompatible l'accès avec les anciennes versions des navigateurs (d'ordinateur ou d'OS mobile).

N'accédant à ce cloud personnel que par un navigateur récent, Firefox, quelque soit mon appareil (PC ou smartphone), ce n'est pas un soucis et mon but est donc d'obtenir la meilleur note possible.

Par défaut la configuration est bonne mais donne donc un B comme résultat. J'ai donc regardé ce que m'indiquait le résultat du test du SSLLabs, j'ai consulté différents tutoriaux sur comment sécuriser nginx...

J'ai comparé les modifications faites à la configuration nginx conseillée à celle qui est mise en place par défaut par Yunohost, la configuration est bien faite et sécurisée (les algorithmes obsolètes sont désactivés par exemple). J'ai toutefois été un peu plus loin en apportant quelques modifications :
Extrait de la configuration de Nginx /etc/nginx/conf.d/blog.mondomaine.org.conf :

ssl_protocols TLSv1.1 TLSv1.2;
#ssl_ciphers ALL:!aNULL:!eNULL:!LOW:!EXP:!RC4:!3DES:+HIGH:+MEDIUM;
# On réduit les différents algos de chiffrement utilisable
ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';

A comparer avec ce que recommande Aeris par exemple, en configuration extrême :

TLSv1.2 + EECDH + AESGCM + SHA-2 only :P

Ce qu'il manque pour avoir une meilleure note, c'est d'avoir du Diffie Hellman. Il faut générer le fichier pour Diffie Hellman, ce qui se fait via :

sudo mkdir -p /etc/nginx/ssl &&
sudo openssl rand 48 -out /etc/nginx/ssl/ticket.key &&
sudo openssl dhparam -out /etc/nginx/ssl/dhparam4.pem 4096

C'est assez long, ça prend une bonne dizaines de minutes (et est très dépendant de la puissance processeur et la génération de nombres aléatoires...)

Ensuite, dans la configuration de Nginx de chacun des domaines et sous-domaine on modifie le fichier de la façon suivante :

# nano /etc/nginx/conf.d/blog.mondomaine.org.conf

# Uncomment the following directive after DH generation
# > openssl dhparam -out /etc/ssl/private/dh2048.pem -outform PEM -2 2048
# ssl_dhparam /etc/ssl/private/dh2048.pem;
ssl_dhparam /etc/nginx/ssl/dhparam4.pem;

Une fois ces modifications apportées, on valide que la configuration nginx est sans erreur

nginx -t

On redémarre alors nginx via

service nginx restart

Et on peut de nouveau tester la configuration sur le site du SSLLabs. Et normalement on devrait avoir une note supérieure.

Comment suivre une chaîne YouTube sans abonnement / compte ?

jeudi 1 janvier 1970 à 01:00

Cette astuce est déjà connu et grandement diffusée sur des blogs et autres tutoriels, mais elle n'est connue que des personnes qui se sont posés la question :-)

Je la remets donc ici car cela peut-être utile à d'autres qui sont sensibilisés à l'usage et l'importance du RSS (comme j'ai déjà essayé de le faire via différents billets comme La centralisation des RSS avec Feedburner ou Redonnons au fil RSS la place qu'il mérite), à celles et ceux qui se degooglisent. On peut alors suivre et profiter de la foison d'excellentes vidéos que l'on peut trouver sur Youtube, les regarder qu'on le veut, ne pas avoir à s'abonner aux chaînes (ce qui nécessite un compte Google avec tous les inconvénients que cela à).

Il faut donc se rendre sur la chaîne youtube, la page qui liste les différentes vidéos et récupérer son adresse, qui doit ressembler à ça :

https://www.youtube.com/channel/XXXXXXXXXXXX

Pour avoir un fil RSS de la chaîne, on transforme cette adresse en

https://www.youtube.com/feeds/videos.xml?channel_id=XXXXXXXXXXXX

Et on a alors un fil RSS que l'on peut ajouter dans son agrégateur RSS favori, FreshRSS pour ne pas le citer.

Une de mes clef GPG révoquée était une fausse

jeudi 1 janvier 1970 à 01:00

Il y a peu de temps on m'a signalé que ma clef GPG avait été révoquée. J'ai regardé. Ce n'est pas le cas. Une mise à jour des clefs via les serveurs de clefs m'a rapatrié une clef publique associée à mon mail dont les informations sont les suivantes :

A comparer avec ma vraie clef publique :

Les identifiants des deux clefs sont identiques, les mails associés également, cela prête donc à confusion..

Les différences

- La date de création. Je n'ai pas crée de clef à cette date là mais en août 2013.
- Les signatures de la clef : si on regarde, la fausse clef n'a jamais été signée par personne. La mienne a été signée par un certain nombre de personnes comme on peut le voir facilement sur les serveurs de clef. D'où l'importance de Les Key signing party et de constituer une toile de confiance
- L'empreinte détaillée est différente, l'empreinte courte (la fin) est la même.
- Date de révocation : la fausse clef a été révoquée.

A quoi ça sert ?

Comme il est assez aisé de générer une clé dont la fin de l'empreinte est similaire, le but est alors de se faire passer pour la personne. Dans ce, cas, se faire passer pour moi.

On envoie un mail avec mon mail en expéditeur, on peut signer le mail avec GPG et la personne qui reçoit ce mail, si elle ne vérifie pas correctement et si elle récupère cette fausse clef, croit que je suis bien l'expéditeur. Bah oui, j'ai signé avec GPG, le mail sera considéré comme signé et donc sûr, vrai. Alors que c'est faux. Et si on met un lien de hameçonnage / phishing dans le mail, la personne étant en confiance, elle sera plus enclin à cliquer dessus...

Un bel exemple qu'il faut bien faire attention et que GPG ne résout pas tout. Au contraire...

GPG peut très vite donner un faux sentiment de sécurité.

Comment est-ce possible ?

Les GPU (processeur des cartes graphiques) sont de plus en plus performants, sont très puissants pour faire des calculs mathématiques en parallèle (pour les jeux vidéos) et on peut utiliser cette puissance pour faire d'autres calculs. Une clef GPG, ce n'est que de l'application de mathématique...

Benjamin Sonntag le disait sur son Twitter : Et y'en a même qui se sont amusés à créer des clés au short-id = aux clés PGP les plus signées https://evil32.com

A regarder par les personnes anglophones et sensibilisées / intéressés par cette problématique les sites https://evil32.com et https://github.com/lachesis/scallion (Scallion est un outil qui permet de générer des clefs GPG et des adresses .onion via le processeur de la carte graphique).

Le but est donc de générer un certain nombre de clefs jusqu'à trouver une clef ayant une fin d'empreinte correspondant à la fin de l'empreinte de la clef GPG que l'on veut pour faire l'usurpation.

Dans le cas des .onion, c'est sur ce principe que Facebook a pu avoir une adresse comme facebookcorewwwi.onion/ Derrière l'adresse, il y a une notion de clef publique/privée. En effet, les adresses .onion sont une base32 string des 80 premiers bits du hash SHA1 de la clef privée du serveur. Voir les documentations détaillées sur les adresses en .onion)

Une nouvelle clef

Suite à ce billet, j'ai révoqué la clef pour qu'il n'y ait plus de confusion et j'ai récrée une autre paire de clef publique/privée. Elle n'est pas encore signée, elle a pour date le 17 août et commentaire "Nouvelle clef - Aout 2016". Merci d'utiliser cette nouvelle clef pour les correspondances éventuelles.

Stranger things

jeudi 1 janvier 1970 à 01:00

En 1983, à Hawkins dans l'État de l'Indiana, Will Byers, un jeune garçon de douze ans, disparaît subitement. Le chef de la police, Jim Hopper, va être amené à enquêter sur le projet controversé MKULTRA au Laboratoire national de Hawkins du département de l'Énergie (DoE), qui semble la cause de l'apparition de phénomènes surnaturels.

Les créateurs de la série ont cité les oeuvres des années 1980 de Steven Spielberg et de Stephen King comme étant les principales influences de la série6.

Stranger Things que l'on pourrait traduire par "Des choses étrangères" ou "Des choses de plus en plus étranges" (j'aime beaucoup ces deux traductions possibles du titre qui résument très bien la série) est la série de cet été année voir de l'année. C'est disponible sur Netflix, en VF et VO (A voir en VO, c'est suffisamment bien articulé et joué pour être très compréhensible) (ou sur d'autres canaux plus illégaux).

Attention
- Nombreux sont les articles d'analyses de la série et plus particulièrement de ses influences. Je conseille vivement de lire ces articles APRES car ils contiennent de nombreux spoils. Personnellement, j'ai vu la série une première fois. Lu ces articles. Et revu la série une seconde fois.
- Prévoir 8h devant soi. Car si on accroche à l'ambiance de la série, très vite, on se retrouve à faire "Encore un épisode avant d'aller me coucher" et au final on voit la série en entier (la saison 1, qui comporte 8 épisodes).

La critique de Genma

Comme je le disais, j'ai vu la série deux fois (je devrais plutôt parler de saison 1 vu qu'on espère vraiment une suite, même si la saison 1 se suffit à elle-même, donne pas mal d'éléments de réponses mais si la fin est ouverte). Le premier visionnage m'a permis d'apprécier l'ambiance, l'atmosphère. La seconde, d'apprécier les détails, clins d'oeils, de chercher les références dans les décors (posters de films), les petites remarques et citations...

Au premier et encore plus au 2ème visionnage, Eleven est clairement LE personnage que je préfère. Et celles et ceux qui ont vus la série, Deadpool le film et Mad Max Fury Road ne pourront qu'approuver cette image :

Nombreuses sont les influences et hommages de cette mini-série aux années 80. Cette série c'est un peu comme si on mélangeait des films comme Les Goonies, Stand By Me, E.T. The Things, des références Geek (Donjons et Dragons, les comics X-Men), avec un petit côté Akira, X-Files et Twin Peaks pour l'ambiance. Et une fois la série vue, il faut voir la vidéo qui montre toute les références et clin d'oeil aux années 80.

Cette série, c'est très clairement une madeleine de Proust moderne. A l'heure où on a eu le droit a pas mal de remake de films cultes des années 80-90, bien moins bon que ces derniers (Total Recall, Robocop car n'est pas Paul Verhoeven qui veut : on perdait tout l'intérêt de la critique de la société etc. pour avoir un simple blockbuster boosté aux effets spéciaux modernes), Stranger Things a su capté le jus des années 80 pour le moderniser.

Le grain de l'image, la façon de tourner, l'ambiance, un grand soin a été apporté dans les détails : ls jouets, les posters dans les chambres, les émissions et séries qui passent à la télévision, les coupes de cheveux et les vêtements... Tout est fait pour retranscrire l'ambiance des années 80 telle qu'on se la rappelle de part les films américains de cette époque.

Niveau histoire, l'influence de Stephen King, cité d'ailleurs dans la série directement ("Tu as toujours peur des clowns", ou indirectement (via l'influence évidente et assumée : il y a du Charlie/Firestarter, des clins d'oeils à Ca/It (le lance pierre, l'agression au couteau, le groupe d'enfants...). Fan de cet auteur durant mon adolescence et à l'entrée de mon âge adulte (j'ai lu plusieurs fois tous les classiques, l'intégrale de Carrie jusqu'à Rose Madder, pour situer), je connais bien cette ambiance. Le maître de l'horreur l'a dit lui-même sur son twitter officiel :

Watching STRANGER THINGS is looking watching Steve King's Greatest Hits. I mean that in a good way.

Que dire de plus si il a adoubé cette série ?

La série se regarde, mais elle s'écoute aussi. La musique... Ah la musique. Les chansons, peu nombreuses, sont très bien choisies et viennent appuyer l'ambiance ou le récit. Quand aux musiques d'ambiance, au synthé, elles sont très 80"s et juste... parfaites. La bande originale a été réclamée et vient de sortir et disponible à la vente sur Itunes.

Certains reprocheront le fait que ce soit de la pure nostalgie des années 80, le manque d'inventivité évidant avec toutes les références, le fait que ce soit un groupe de pré-adolescents qui soient les héros... On s'en moquera. Si la série est critiquée par les intellectuels du cinéma, c'est que justement, c'est une bonne série.

J'avais débuté cette série un peu par hasard, parce que le synopsis m'a donné envie, parce que je voyais quelque mention par-ci, par là, les billets de critique se multiplier. Et ça a été une claque. Le premier visionnage il y a 15 jours, j'ai enchaîne les 8 épisodes à la suite, sans pause. Ce week-end, j'ai revu la série, en 3 fois. Je ne revois que très rarement les saisons de série, je laisse passer plusieurs mois voir années pour des films, et là, en 15 jours, j'ai enchaîné deux visionnages...

A croire que, enfant des années 80 et geek, j'étais la cible parfaite de cette série. :) Que dire de plus, si je n'ai que j'attends une saison 2 avec impatience, que cette bande d'amis sont les amis d'enfance et Elfe le 1er amour que beaucoup d'entre nous aurait rêvé d'avoir :)

Lifehacking - L'importance du matériel

jeudi 1 janvier 1970 à 01:00

Un bon artisan doit avoir de bons outils pour faire du bon travail. Le meilleur musicien ne sera pas aussi bon si son instrument de musique n'est pas de qualité. Il en est de même pour l'informatique.

Ce n'est pas la taille qui compte

En fait si. Pendant deux ans, sur ma mission précédente, j'avais pour travailler du bi-écran. Un écran écran 23" et un écran 15" (celui du portable), l'un au-dessus de l'autre. Avec ma nouvelle mission, je suis passé sur un unique écran de 17", avec un PC plus lent (je suis passé d'un Core i5 à un Pentium 4). De même, la connexion Internet est passé de 100Mbits à 2Mbits.

Cette baisse de performance dans la réactivité de la machine, du débit réseau, de confort au niveau de la taille de l'écran ont eu une influence certaine sur mon confort dans mon travail sur mes performances... Chaque recherche sur Internet prend plus de temps, le fait d'ouvrir (ou de laisser ouvert) plusieurs onglets ralenti la machine... Le fait d'avoir plusieurs programmes qui tourne la relanti tout autant.

De même, le fait de retourner sous Windows XP quand on avait Windows Seven a un impact. J'avais acquis un certain nombres d'habitudes et d'automatismes permettant de gagner du temps dans mon usage de mon PC, et la perte de différentes fonctionnalités comme les fenêtres qui s'agrandissent en plein écran quand on les rapproche du bord haut de l'écran ou qui prennent la moitié de l'écran quand on les rapproche du bord gauche ou droit (des fonctionnalités bien utiles pour avoir deux programmes côté à côté quand on a un écran de grande taille), jouent sur ma rapidité.

Un seul écran, un OS plus ancien, une machine plus ancienne... (Et l'impossibilité d'ajouter des programmes permettant d'avoir ces fonctionnalités manquantes car leur ajout conduirait un ralentissement certain de la machine), toutes ces petites choses font que les secondes perdues se cumulent au cours de la journée et font que je me sens, que je suis moins efficace.

Je réalise alors l'importance d'avoir un espace de travail virtuel (les écrans) assez grand pour pouvoir éviter de jongler d'une fenêtre à l'autre sans cesse et surtout l'importance d'avoir du bon matériel...

Plus vite, toujours plus vite

Dans un article sur mes conditions de travail, j'avais évoqué la lenteur de mon PC de travail, bien que ce dernier soit une machine correcte (processeur Core I5, 4 Go de RAM). Sur cette même machine, j'ai mis en place un double boot. Il y a le Windows 7 Pro 64 bits installé par mon entreprise. Et Ubuntu 13.04 64 bits, installé par mes soins. Le Windows 7, bien qu'ayant eu beaucoup d'optimisation (désactivation de nombreux services lancés au démarrage par défaut) est lent. Trop lent. Anormalement lent. Surtout quand je le compare à une installation du même OS sur un autre PC qui a une configuration inférieure...

Sur cette même machine, Ubuntu est bien plus rapide avec une installation par défaut. Alors quand j'ai besoin de lancer ce PC (que j'utilise aussi à titre personnel) pour aller relever mes mails ou faire une recherche sur Internet, ou tout autre activité non Windows spécifique, je boote sous Ubuntu. Et je retrouve de la réactivité et donc de la productivité. Et en plus je peux automatiser facilement des tâches, mettant en place des scripts shell.

En quoi ça concerne le lifehacking ?

J'aime aller vite, automatiser les tâches qui peuvent l'être, d'où mon intérêt pour le lifehacking. Et je déteste perdre mon temps et passer du temps à attendre ma machine, sans pouvoir faire quelque chose. Comme je le disais dans mon introduction, pour faire du bon travail, il faut les bons outils. Avoir le bon OS mais aussi un certain confort matériel sont des nécessités pour pouvoir travailler au mieux. Comme ces choix (matériels et OS) sont des choix, des décisions, et que dans ma recherche d'être plus efficace et plus productif, je me suis mis au lifehacking, j'estime que la maîtrise de ces choix est bel et bien un aspect du lifehacking. D'où le titre et la rubrique de cet article.