tag:linuxfr.org,2005:/users/acattonLinuxFr.org : les contenus de Antoine Catton2023-08-31T14:59:48+02:00/favicon.pngtag:linuxfr.org,2005:Diary/407472023-06-13T21:30:27+02:002023-06-13T21:30:27+02:00Gandi, passe de « no bullshit » à « bait and switch » ?Licence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<p>Cher journal,</p>
<p>Gandi a pendant très longtemps eu le slogan « <em>no bullshit</em> », que l'on pourrait traduire par « pas d'arnaque » en Français.</p>
<p>Malheureusement, la réputation de Gandi a été plus que ternie depuis quelques années. Et les gamins qui criaient au loup en 2019 <a href="https://www.lesechos.fr/pme-regions/actualite-pme/internet-gandi-accelere-avec-montefiore-998837">quand un groupe d'investissement parisien a acheté l'entreprise</a> avaient raison.</p>
<p>Je l'ai un peu en travers, parce qu'en 2019, je faisait parti des gens qui disait « hé les meufs et le mecs, vous flippez pour rien… Arrêtez de vous agiter. » Et bein, maintenant, je me rend compte que j'ai bien eu tord.</p>
<p>Revenons sur les évènements:</p>
<h2 id="toc-acte-i">Acte I</h2>
<p>En 2020, Gandi perd les données d'un de ses centre de données où sont hébergés des serveurs virtuels. (VPS comme disent les américains qu'on la classe) <a href="https://archive.is/Uu9Yy">Les données et les snapshots sont perdus, aucun moyen de récupérer quoi que ce soit</a>. Tout ça, alors que Gandi a vendu pendant des années les snapshots comme solution de backups pour les serveurs virtuels.</p>
<p>Bon passons. Ça arrive à tout le monde de merder, la ils ont merdés la technique et sur l'assistance technique. Ils ont du avoir une mauvaise journée. On peut leur laisser le bénéfice du doute.</p>
<p>En plus, on peut toujours reporter la fautes sur les victimes. Quel sysadmin ne suit pas <a href="https://www.zdnet.fr/actualites/sauvegarde-dans-le-cloud-la-regle-3-2-1-39925127.htm">la règle de sauvegarde du 3-2-1</a>?</p>
<h2 id="toc-acte-ii">Acte II</h2>
<p>Depuis 2020, Gandi a augmenté ses prix une fois par ci, une fois par là. Rien de grave. Ils faut faire tourner la boutique, surtout que les salaires d'ingés et les prix de l'énergie ne sont pas à la baisse!</p>
<p>Le groupe d'investissement est un groupe d'investissement. Ils ne vivent pas d'amour et d'eau fraîche. Pour les gens qui comprennent pas comment marche le négoce, voila le tuto de base:</p>
<ol>
<li>On achète une entreprise en utilisant un porte-monnaie géant</li>
<li>On "conseille" l'entreprise sur comment faire des affaires. "Conseille" c'est bien un grand mot, hein? On leur dit de réduire les dépenses et d'augmenter les recettes. (Ma grand-mère illettrée faisait ça quand elle avait des mauvais mois. Elle aurait peut être du faire HEC au lieu d'élever des brebis dans les Pyrénées.)</li>
<li>On revends l'entreprise à un pigeon pour un prix beaucoup plus haut que celui auquel on l'a acheté.</li>
</ol>
<p>En février 2023, <a href="https://www.boursorama.com/bourse/actualites/montefiore-investment-cede-sa-participation-dans-gandi-a-total-webhosting-solutions-9b745e53ac6bbe21fac2f4f3a3eff0a0">le groupe d'investissement parisien revends Gandi à un groupe internet néerlandais</a> qui <a href="//linuxfr.org/users/psychofox/journaux/rip-gandi-net">a une mauvaise réputation</a> souvent <a href="https://exquisite.social/@h3artbl33d/109927449357481623">accusé de doucement gonfler les prix pour atteindre jusqu'à trois fois le prix original</a>.</p>
<p>Jusque la, pas de quoi s'inquiéter. C'est juste une affaire de gros sous.</p>
<h2 id="toc-acte-iii">Acte III</h2>
<p>Email de Gandi, aujourd'hui, le 13 Juin 2023:</p>
<p>(le passage a été mis en gras par moi-même, il n'était pas mis en avant dans le message original)</p>
<blockquote>
<p>Depuis 20 ans, nous nous efforçons de vous fournir les meilleurs outils pour gérer votre présence en ligne. Nous ne cessons d'améliorer notre plateforme en ajoutant des fonctionnalités, et en investissant dans nos infrastructures.</p>
<p>[…]</p>
<p>Dans ce cadre, nous vous informons que le service GandiMail (inclus avec votre nom de domaine), prendra fin le 30 novembre 2023. Vous avez la possibilité de convertir facilement chacune de vos adresses e-mail existantes, vers notre nouvelle offre MailBox.</p>
<p><strong>Par ailleurs, notez que nous mettons à jour notre politique tarifaire pour l'ensemble de nos produits à compter du 13 juillet 2023 (<a href="https://gandi.link/eur-prices2023">EUR</a> <a href="https://gandi.link/usd-prices2023">USD</a> <a href="https://gandi.link/twd-prices2023">TWD</a>).</strong></p>
</blockquote>
<h2 id="toc-conclusion">Conclusion</h2>
<p>Est-ce que c'est le début de la fin? Je ne sais pas. Tout ce que peux je dire, c'est qu'en tant que client de longue date, avec beaucoup de nom de domaine chez eux, j'ai eu peu peur pour mes fesses, parce que ça sent la savonnette.</p>
<p>Mais quels sont les alternatives?</p>
<p><a href="https://european-alternatives.eu/category/domain-name-registrar">D'autres entreprises européennes</a> qui vendraient des chaussettes si les marges étaient aussi bonnes que sur les noms de domaines? Les anglois diraient « <em><a href="https://en.wikipedia.org/wiki/Out_of_the_frying_pan_into_the_fire">out of the frying pan, into the fire</a></em> »</p>
<p><a href="https://porkbun.com/">Une entreprise américaine</a> qui essaie d'être le nouveau Gandi? Qui me dit qu'elle vas pas faire la même chose dans 3 ans?</p>
<p><a href="https://framapiaf.org/@arthru/109942709471820424">Un registrar associatif indépendant</a> qui n'est qu'une idée sur <a href="https://joinmastodon.org/">mastodon</a> sans concrétisation? La solution parfaite ÀMHA, mais j'ai pas besoin de réver, j'ai besoin d'une solution.</p>
<p>Les GAFA (Route53 et Google Domains, je ne met pas de lien) qui au moins gèrent l'authentification multi-factorielle avec des clés de sécurités <a href="//linuxfr.org/users/acatton/journaux/cles-de-securite-pas-assez-utilisees">qui me sont tant chères</a>? Je met de coté la centralisation de l'internet. Le problème <a href="https://archive.is/p9Emm">c'est l’impossibilité de récupérer quoi que ce soit quand votre compte est désactivé par des systèmes automatisés</a>.</p>
<p>Bref, me voilà bien dans la panade…</p>
<div><a href="https://linuxfr.org/users/acatton/journaux/gandi-passe-de-no-bullshit-a-bait-and-switch.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/131547/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/acatton/journaux/gandi-passe-de-no-bullshit-a-bait-and-switch#comments">ouvrir dans le navigateur</a>
</p>
Antoine Cattonhttps://linuxfr.org/nodes/131547/comments.atomtag:linuxfr.org,2005:Diary/403832022-09-16T23:56:30+02:002022-09-17T08:49:35+02:00Clés de sécurité, pas assez utiliséesLicence CC By‑SA http://creativecommons.org/licenses/by-sa/4.0/deed.fr<h2 class="sommaire">Sommaire</h2>
<ul class="toc">
<li><a href="#toc-comment-%C3%A7a-marche">Comment ça marche?</a></li>
<li><a href="#toc-quest-ce-que-se-passe-derri%C3%A8re">Qu'est-ce que se passe derrière?</a></li>
<li><a href="#toc-autres-utilisations">Autres utilisations</a></li>
<li><a href="#toc-lappareil-en-lui-m%C3%AAme">L'appareil en lui même</a></li>
</ul>
<p>Cher Journal,</p>
<p>J'ai cherché un peu sur LinuxFR, et j'ai l'impression qu'on en parle presque pas ici… Les clés de sécurité, HSM, U2F, FIDO2 YubiKey, WebAuthn,…</p>
<p>Tout ça c'est des nom différents pour designer à peu près ça:<br>
<img src="//img.linuxfr.org/img/68747470733a2f2f63646e2e766f782d63646e2e636f6d2f7468756d626f722f573469486f794a46576848627546533641596d6b3448565a6453733d2f3078303a3230343078313336302f3234303078313335362f66696c746572733a666f63616c2831303436783831333a3130343778383134292f63646e2e766f782d63646e2e636f6d2f75706c6f6164732f63686f7275735f61737365742f66696c652f31343135353930362f616b72616c65735f3139303232305f333232365f303030332e6a7067/akrales_190220_3226_0003.jpg" alt="Photos avec plusieurs clés de sécurité" title="Source : https://cdn.vox-cdn.com/thumbor/W4iHoyJFWhHbuFS6AYmk4HVZdSs=/0x0:2040x1360/2400x1356/filters:focal(1046x813:1047x814)/cdn.vox-cdn.com/uploads/chorus_asset/file/14155906/akrales_190220_3226_0003.jpg"></p>
<p>En gros, ça ressemble à une clé USB et ça permet l'authentification forte.</p>
<p>Le cas typique pour le particulier ou la grande entreprise c'est la connexion à un site web. Le standard c'est <a href="https://fr.wikipedia.org/wiki/WebAuthn">WebAuthn</a>, supporté nativement par Firefox sur Linux, mais aussi la majorité des autres navigateurs basés sur <a href="https://fr.wikipedia.org/wiki/Blink_(moteur_de_rendu)">moteur de rendu Blink</a>. (Chromium, Brave, et j'en passe des logiciel fermés) Ça marche même sur Smartphone avec des clés qui ont des embouts USB-C ou en utilisant les ondes avec NFC.</p>
<p>Si t'es auteur de site web, il y a <a href="https://webauthn.io/">un site en anglois qui explique comment mettre ça en place</a>.</p>
<p>Beaucoup de sites important fonctionnent avec ce type authentification forte. <em>Google</em> et <em>Twitter</em> sont surement les plus gros. Mais aussi beaucoup de plateformes de développement comment <em>Github</em> et <a href="https://codeberg.org/"><em>Codeberg</em></a>. N'oublions pas plusieurs fournisseurs de services dans le nuage ou de noms de domaines comme les gros <em>AWS</em> et <em>Azure</em>, ou encore chez nous <em>OVH</em>, <em>Gandi</em>, et j'en passe. (Malheureusement rien chez <em>Scaleway</em> et <em>Hetzner</em>…)</p>
<h2 id="toc-comment-ça-marche">Comment ça marche?</h2>
<p>La première fois que tu te connectes à un site (par exemple: <code>example.net</code>), le site te demande d'enregistrer ta clé. Il te demande de toucher ta clé pour l'activer. Une fois touchée, la clé s'allume pour confirmer le contact. Et le site te confirme l'enregistrement de ta clé.</p>
<p>Après ça, la prochaine fois que tu veux te connecter à <code>example.net</code>, après le formulaire où tu as entré ton mot de passe, <code>example.net</code> te demande de toucher ta clé pour confirmer la connexion.</p>
<h2 id="toc-quest-ce-que-se-passe-derrière">Qu'est-ce que se passe derrière?</h2>
<p>Au moment de l'inscription, quand <code>example.net</code> te demande d'enregistrer ta clé, <code>example.net</code> envoie à ta clé de sécurité:</p>
<blockquote>
<p>example.net<br>
chaine_aléatoire</p>
</blockquote>
<p>À ce moment là, ta clé attend d'être touchée pour confirmer la requête. Une fois confirmée par ton doigt, la clé de sécurité créé une paire de clés de chiffrement publique/privée et un identifiant pour <code>example.net</code>. Après ça, ta clé de sécurité répond à <code>example.net</code>:</p>
<blockquote>
<p>clé_de_chiffrement_publique<br>
identifiant<br>
SIGNATURE(chaine_aléatoire, clé_de_chiffrement_privée)</p>
</blockquote>
<p>Après, quand tu veux te connecter. Une fois ton mot de passe entré, <code>example.net</code> envoie à ta clé:</p>
<blockquote>
<p>identifiant<br>
autre_chaine_aléatoire</p>
</blockquote>
<p>Ta clé répond au site, après que tu aies confirmé avec ton doigt:</p>
<blockquote>
<p>SIGNATURE(autre_chaine_aléatoire, clé_de_chiffrement_privé)</p>
</blockquote>
<p>Le site n'a plus qu'à vérifier la signature avec la clé de chiffrement publique qu'il a reçu au moment de l'enregistrement.</p>
<p><strong>Cela veux dire que pour se connecter à <code>example.net</code>, un pirate a besoin d'un accès physique à ta clé de sécurité. Car les clés de chiffrement ne sont conservées que sur ta clé de sécurité et ne peuvent pas être transférées sur ton ordinateur.</strong></p>
<p>Les clés de sécurité assurent donc une sécurité de "qualité militaire" (« <em>military-grade encryption</em> » comme disent les américains qui ont la classe)</p>
<p>Aussi, les clés de chiffrement sont spécifiques à un site et domaine, donc on ne peux pas te suivre si tu utilises la même clé de sécurité pour plusieurs sites ou domaines. Si Twitter et ton site porno préféré échangent leur informations, ils ne peuvent pas savoir que c'est la même clé de sécurité utilisée entre tes deux comptes sur ces deux sites respectifs.</p>
<h2 id="toc-autres-utilisations">Autres utilisations</h2>
<p>Le truc, c'est que les clés de sécurité ajoutent un couche de sécurité non-négligeable au web. Mais pas que!!</p>
<p>Aujourd'hui tu peux utiliser ta clé de sécurité pour sécuriser ton serveur SSH. Avec OpenSSH 8.2+ et une YubiKey (qui gère l’entièreté du protocole FIDO2. C'est le protocole USB qu'utilise le navigateur pour communiquer avec la clé USB), t'as juste à faire un simple:</p>
<pre><code>ssh-keygen -t ed25519-sk -f ~/.ssh/cle_ssh_qui_utilise_la_cle_de_security
</code></pre>
<p>Et t'as plus qu'a forcer ton serveur SSH à n'autoriser que l'authentification par clé SSH, et à utiliser cette clé SSH dans ton <code>authorized_keys</code> sur ton serveur. Et ton client SSH te demandera de toucher ta clé de sécurité pour déchiffrer ta clé SSH à la prochaine connexion.</p>
<p><a href="https://github.com/agherzan/yubikey-full-disk-encryption">Tu peux aussi utiliser un clé de sécurité pour chiffrer et déchiffrer ton disque dur.</a></p>
<p>Tu peux utiliser <code>fido2-tools</code> sur Fedora pour générer et conserver des clés de chiffrement sur ta clé de sécurité, comme ils font dans les banques avec <a href="https://fr.wikipedia.org/wiki/Hardware_Security_Module">une carte PCIe à plusieurs dizaines de milliers d'euros</a>.</p>
<h2 id="toc-lappareil-en-lui-même">L'appareil en lui même</h2>
<p>À la fin, tu dois te demander: « Mais combien ça coûte tout ça? Et c'est proprio? »</p>
<p>Hé, bein… Pas super cher, et pas forcément.</p>
<p>Pas super cher, c'est relatif, mais ça coûte beaucoup moins qu'un plein d'essence ces jours ci. Faut compter dans les 30€ pour les moins cher mais fiables, à 75€ pour celle qui ont des fonctionnalités supplémentaires.</p>
<p>Je ne met pas de lien, sinon je vais me retrouver avec une amende pour placement de produits non déclaré. Mais tu peux trouver tout ça avec ton moteur de recherche préféré.</p>
<p>Dans les proprios, la meilleures de loin c'est la YubiKey. Google aussi vend sa propre clé pour ses clients Google Cloud, la "Titan Key" qui marche parfaitement avec les téléphones qui font tourner Android.</p>
<p>Dans le matériel libre, il y a la SoloKey qui est la moins chère. Et elle est dispo en version "miniature" (ils appellent ça la "SOMU"). Cette version est tellement petite qu'elle fait la taille d'un port USB. Donc on peut la glisser dans un port USB inutilisé, et la laisser sans qu'elle ne ressorte. Quand il y a besoin de l'activer il y a juste à toucher le port USB, elle est là à ta disposition.</p>
<p>Dans le libre il y a aussi la NitroKey, fabriquée en Europe, ils vendent beaucoup de versions. Certaines sont compatible avec GnuPG pour remplacer <a href="http://www.g10code.com/p-card.html">les cartes à puces</a>. Fait attention à bien prendre celle qui a le support "U2F" ou "FIDO2". Par contre, j'en ai une de Nitrokey et je n'arrive pas à la faire marcher avec SSH, juste pour info. (Sur github, les dev disent que c'est pas une priorité. Mais il y a un fork du logiciel interne avec le support SSH. Malheureusement, cela ne peut pas être mis à jour sur les clés de sécurité de production, vu qu'elle ont un dispositif anti-crochetage pour une raison valide.)</p>
<p>C'est tout pour cette semaine. N'hésite pas si t'as des questions. À la prochaine.</p>
<div><a href="https://linuxfr.org/users/acatton/journaux/cles-de-securite-pas-assez-utilisees.epub">Télécharger ce contenu au format EPUB</a></div> <p>
<strong>Commentaires :</strong>
<a href="//linuxfr.org/nodes/128786/comments.atom">voir le flux Atom</a>
<a href="https://linuxfr.org/users/acatton/journaux/cles-de-securite-pas-assez-utilisees#comments">ouvrir dans le navigateur</a>
</p>
Antoine Cattonhttps://linuxfr.org/nodes/128786/comments.atom