marquez a écrit 51 commentaires

  • # le carnet inclus dans sanipasse

    Posté par  . En réponse à la dépêche Sanipasse : le déconfinement libre !. Évalué à 3.

    Apparemment, l'appli propose de stocker localement les qrcodes scannés ou importés.
    Deux questions très terre-à-terre :
    - c'est stocké où et sous quelle forme dans le navigateur de l'ordi ou du smartphone ? le cache navigateur ?
    - lorsqu'on scanne un 2D-DOC valide et qu'on l'enregistre dans le carnet, le code qui est remontré ensuite est un qr-code, pas le 2D-DOC d'origine.
    Ce Qr-code (fabriqué par l'appli sanipasse si je comprends bien, à partir des infos extraites du 2d-doc) est il signé correctement, peut-il valider le contrôle d'une appli telle que "tousanticovid-verif" ?

    merci pour les infos, et merci pour le partage en opensource de cet outil.
    Des internautes attentifs ont remarqué que les boites noires gouvernementales, développées à l'arrache, ne sont pas si respectueuses que ça de nos données personnelles sensibles

  • [^] # Re: J'ai eu le problème

    Posté par  . En réponse au message Free et l'ipv4 fullstack. Évalué à 3.

    merci pour les infos.

    Je n'ai pas été clair dans mon message précédent, les sites inaccessibles ne sont pas hébergés chez free, mais sur un réseau adossé à renater. Les clients qui consultent sont chez Free.
    C'est ce que j'ai du mal à comprendre, du coup.

  • # la suite du feuilleton de l'été

    Posté par  . En réponse au message Invalidation du privacy shield. Évalué à 3.

    suite à l'arrêt obtenu de la cour de justice de l'union européenne (CJUE), constatant que les entreprises n'informent pas correctement leurs clients de cette modification (en expliquant de manière claire la contrainte de la règlementation américaine), Max Schrems et son équipe attaquent de grandes entreprises qui continuent de procéder à des transferts UE->US de données personnelles.
    le topo complet ici :
    https://noyb.eu/fr/101-plaintes-deposees-sur-les-transferts-ue-usa

  • [^] # Re: Pas du tout, en effet.

    Posté par  . En réponse au message Invalidation du privacy shield. Évalué à 1.

    je n'encourage pas du tout les gros opérateurs type Gafam, un opérateur français qui met en oeuvre des mesures de sécurité adéquate (et vérifiables, c'est important, le contrôle est à la charge du responsable de traitements) serait préférable. Il en existe qui sont certifiés pour prendre en charge l'hébergement des données de santé, il y a peut être adéquation, à vérifier, avec le statut de zone à régime restrictif que vous évoquez.

    Effectivement, abandonner de l'open source pour aller sur des solutions propriétaires, c'est un peu dommage. On se met une paire de menottes numériques, et on enferme en quelque sorte ses données dedans. Il y a des coûts cachés de migration (liés à la résistance au changement, adoption utilisateur, etc), ce sera difficile de revenir en arrière. On ampute en quelque sorte l'avenir, la possibilité de choisir l'outil qui correspond vraiment à son besoin si celui-ci évolue.

    Concernant la problématique de l'externalisation, je ne crois pas que la sécurité puisse se résumer à un simple développement de compétences personnelles (nécessaire pour les outils opensource comme pour les outils commerciaux).
    La sécurité englobe la sauvegarde, la supervision et l'administration, la continuité de service, la formation, etc. Tout ceci demande des moyens (financiers, humains) qui manquent cruellement dans le secteur public. Il ne s'agit pas simplement de dégager sa responsabilité, mais de faire correctement.
    On voit encore trop souvent des infrastructures qui ne tiennent que par la bonne volonté d'un gourou qui lance des incantations sur des machines hors d'âge.
    Je crois que l'hébergement interne demande des ressources, financières, humaines, se raisonne et se conçoit sur le long terme. Bref, il faut une stratégie, et les moyens de l'appliquer.

    quelques sites, pour une piqure de rappel sur le sujet :
    * Zataz,site de Damien Bancal, sur l'actualité des piratages et ransomwares.
    * Les mises en demeure de la Cnil à lire régulièrement, démontre qu'il vaut mieux investir (en dégageant des moyens humains et financiers en interne, ou externaliser avec des prestataires sérieux) que payer une amende à la cnil.
    * le rapport d'activité de la cnil 2019 qui indique avoir reçu, pour l'année 2018, 1170 notifications de violations de données personnelles (ces violations ont elles toutes été détectées, puis signalées ? j'ai un doute).

  • # Pas du tout, en effet.

    Posté par  . En réponse au message Invalidation du privacy shield. Évalué à 1.

    [disclaimer : je ne suis pas juriste, merci à ceux qui apporteront des précisions ou me corrigeront]

    Plusieurs thématiques dans ce post :

    • celle du RGPD, règlement européen de 2016, qui traite du transfert de données personnelles de résidents UE vers d'autres pays explicitement dans ses articles 44-49. En bref, le transfert n'est possible que vers les pays respectant le RGPD (pour faire court, les données ne sont traitées que pour la seule finalité de départ, pas de transfert à un tiers, commercial ou étatique, sans consentement de l'usager). Beaucoup de pays intègrent la liste (via accord d'adéquation, le privacy shield en fait partie). https://www.cnil.fr/fr/transferts-de-donnees-hors-ue-ce-qui-change-avec-le-reglement-general-sur-la-protection-des-donnees

    Le Cloud Act (loi fédérale US) permettant le transfert de données vers les autorités, un accord international (le Privacy Shield) a été mis en place pour encadrer juridiquement les transferts de données personnelles EU-US.

    Les grosses sociétés proposant du Saas (Microsoft…) ont réagi rapidement à cette décision, indiquant que l'imbroglio juridique est en cours, mais que les clients peuvent être rassurés, bien sûr.

    • le consentement de l'étudiant : difficile pour l'étudiant de s'opposer au traitement de ses données personnelles, ces traitements sont nécessaires (intérêt légitime, ou nécessité, dans le cadre administratif, pour l'école de répondre à ses obligations légales), ils ont donc une base juridique établie. La Cnil est claire là-dessus.
      L'étudiant peut par contre demander la copie de ses données (les rectifier, etc) et liste des traitements associés en contactant le délégué de protection de données désigné par l'école.

    • enfin, le point de vue de l'école :
      Entre deux risques :

      • le risque que l'administration US accède aux données personnelles des élèves.
      • le risque que les données fuitent dans la nature parce qu'elles ont été hébergées en interne, ou chez un hébergeur sous-traitant qui ne respecte pas le RGS de l'Ansii, puis piratées.

    Il convient de choisir le moindre risque. Le bon sens consiste évidemment à choisir un hébergeur français certifié, pour obtenir le niveau de protection adéquat et le respect complet du rgpd, mais l'école n'est pas dans l'illégalité en choisissant un sous-traitant international. L'articulation US-UE reste une zone d'ombre juridique.

  • # Etre prudent avec l'upgrade à distance.

    Posté par  . En réponse au message Mise à jour de Debian Jessie vers Stretch. Évalué à 1.

    Quelques points de vigilance :

    L'upgrade peut dans ce cas nécessiter de changer l'ordre de services au démarrage, dans des cas complexes d'utilisation de scripts réseau sysvinit (utilisation de vlans, openvpn, etc). Ces galères simples ne peuvent se dépanner à distance en ssh, il faut alors accéder à la console locale. Il est prudent de faire une maquette préalable pour vérifier ça.

  • # ?

    Posté par  . En réponse au message Portable qui freeze sur batterie mais pas sur secteur. Évalué à 2.

  • [^] # Re: problème coté client

    Posté par  . En réponse au message Dns et suffix. Évalué à 0.

    Tu as bien un type de noeud hybride dans le ipconfig /all ? ça influe sur l'ordre de résolution(wins/dns).

  • # problème coté client

    Posté par  . En réponse au message Dns et suffix. Évalué à 0.

    le problème vient peut être du suffixe dns mal renseigné pour tes clients xp.

    Il y a un suffixe dns principal à renseigner dans les propriétés du poste de travail, et dans le cas où il y a plusieurs zones dns concernées, on peut rentrer toute une liste dans les propriétés TCP-IP de la carte du poste.

    Voir http://www.labo-microsoft.org/articles/win/delegation_dns/1/
    pour plus d'infos sur le mécanisme de résolution de nom sous windows.

  • # FreeNas

    Posté par  . En réponse au message Quel NAS utilisez-vous. Évalué à 2.

    Testé au boulot : Freenas, sur un dell poweredge2950 (6 disques sas 160Go)
    Points forts :
    - stable, pas de pb de mises à jours (même sur les versions beta)
    - système sur clé usb. Les disques internes à la machine sont le volume utile.

    Les fonctions testées :
    - connectable ldap ad. J'ai quand même créé des groupes dédiés dans mon annuaire pour simplifier les acls.
    - partage afs, pour une machine avec une pomme dessus qui sauvegarde en mode Time machine.
    - partages cifs (avec connexion ad ci-dessus)
    - partage nfs en lecture pour hyperviseurs vmware.
    - partage iscsi pour hyperviseurs vmware. Testé en connexion gigabit avec une machine virtuelle expérimentale.

    Points faibles :
    - extensibilité via plugins bsd, avec un système de conteneurs (ex: torrent, dnla…). Points de montage de ces conteneurs difficile à comprendre.

    A voir, j'ai bossé un moment avec OpenFiler (surtout en mode san), pour moi le produit est dans la même catégorie.

  • # LiveCd

    Posté par  . En réponse au message version. Évalué à 6.

    je crois moi aussi que le conseiller a botté en touche en te proposant de bazarder ton système existant. Ceci dit, une des grandes forces de Linux est de pouvoir fonctionner sans avoir besoin d'être installé sur le disque dur !
    Le mieux pour toi est donc de récupérer des Live-Cd de différentes distributions, de démarrer l'ordi avec, et d'évaluer celle qui te convient le mieux : matériel intégralement reconnu, interface audacieuse ( comme ubuntu) ou interface classique (suse, cent os,…).
    On ne pourra pas toutes les citer, elles sont listées sur le site distrowatch, et chacun ses goûts…
    Si l'une d'entre elles te séduit, tu pourras l'installer sur le disque dur, en dual boot, a coté de ton système existant, pour te former progressivement, au gré des infos que tu glaneras à droite, à gauche.

  • [^] # Re: duplicati

    Posté par  . En réponse au message stratégie de sauvegarde ?. Évalué à 1.

    je ne connaissais pas duplicati : libre, gratuit, planifiable, sauvegarde vers cloud possible.
    Je vais tester de suite !

  • [^] # Re: IMAP pour tous

    Posté par  . En réponse au message stratégie de sauvegarde ?. Évalué à 2.

    cette remarque sur imap est pleine de bon sens.
    Je vais creuser de ce coté et séparer les installations thunderbird.
    Une install sur chaque poste, avec la connexion imap pro. Les comptes perso (pop) resteront sur un seul poste.

    merci.

  • # contact ?

    Posté par  . En réponse au message Linuxgraphic a un besoin urgent d' administrateur, connaissant notamment le CMS Joomla. Évalué à 1.

    Si c'est toujours d'actualité, il faut contacter qui et où ?

  • [^] # Re: Où est le problème ?

    Posté par  . En réponse au journal Quand le libre cherche à décourager ses adeptes.... Évalué à 2.

    "quand tu en es à déployer des logiciels par GPO, c'est que tu es bien vacciné M$."

    Euhhh...je n'ai pas d'action chez eux. D'ailleurs, comment on fait, pour déployer un logiciel sur 300 postes MS quand on est tout seul ? on passe sur chaque poste ?

    Certains développeurs ont bien compris cette problématique, en allant même jusqu'à proposer LUP, un outil qui s'interface avec le serveur local microsoft de mise à jour (wsus). Ce genre d'initiative devrait être mis sur le devant de la scène, car il nous simplifie vraiment la vie.

  • [^] # Re: donc en fait

    Posté par  . En réponse au journal Quand le libre cherche à décourager ses adeptes.... Évalué à 3.

    Ben oui. Ce serait un point de départ. Pour les raisons évoquées plus haut, dans les organisations de petite taille ou de taille moyenne (comprendre < 1000 postes), on ne peut pas tout migrer du jour au lendemain sous linux.

  • [^] # Re: Et sinon, dans la vraie vie ?

    Posté par  . En réponse au journal Quand le libre cherche à décourager ses adeptes.... Évalué à 6.

    Je te rejoins sur les problématiques des logiciels commerciaux, et leur coût faramineux au regard de leur piètre qualité de réalisation. Je travaille dans cet environnement.
    Peu de changements sont possibles à cause du verrouillage contractuel ou institutionnel.

    Par contre, lorsqu'il n'y a pas ces contraintes, le libre devrait s'imposer comme la solution naturelle...et ce n'est pas le cas. Il faut soutenir la comparaison (coût de déploiement, de formation des usagers, de maintenance requis pour une migration), et malheureusement, parfois, la solution libre ne tient pas la route, à mon grand regret.

    Coté virtualisation, certaines applis sont livrées pour redhat, d'autres pour debian, d'autres sont codées avec les pieds et réclament des librairies spécifiques...Dès qu'on sort des dépôts de la distrib, il faut mettre les mains dans le cambouis.

  • [^] # Re: Où est le problème ?

    Posté par  . En réponse au journal Quand le libre cherche à décourager ses adeptes.... Évalué à 8.

    je ne suis pas d'accord avec ça. Il y a quelques années, la pile TCP-IP était fermée et payante. ça semblerait aberrant aujourd'hui.
    Il me semble normal que le libre aie des représentants dans les principaux usages :
    - les serveurs/services (apaches, etc)
    - les os (gnu/linux, bsd et tous leurs dérivés, etc)
    - les applis (bureautique, navigation, etc).
    - les matériels type smartphones.

    L'enjeu derrière une suite bureautique libre est celui du format ouvert de stockage de données. Enjeu d'importance : lecture future des archives, accès de tous à une doc, etc.

  • [^] # Re: Où est le problème ?

    Posté par  . En réponse au journal Quand le libre cherche à décourager ses adeptes.... Évalué à 4.

    Le workaround est simple, en effet : on fabrique un .msi à partir du fichier .msi de départ d'installation.
    Pourquoi ne pas proposer un .msi tout prêt, localisé, pour le déploiement, à l'image de ce que propose FrontMotion pour Firefox ?

  • [^] # Re: c'est automagique

    Posté par  . En réponse au message Problème avec l'utilisation des paramètres proxy système dans Firefox sous windows.. Évalué à 0.

    effectivement.

    Ici il ne l'est pas (c'est un pfsense avec squid intégré).
    Non pas à cause des soucis d'authentification/log (on peut très bien faire un proxy transparent avec une interrogation ident pour obtenir le nom de session windows de l'utilisateur), mais parce qu'on a une répartition multiwan du proxy (oui oui, pfsense le permet).

    Passer en GPO les coordonnées du proxy est à creuser. Un fichier .pac avec toutes les conditions/exceptions de domaines me semble plus simple à gérer, surtout avec les ordinateurs portables des intervenants.

    Il serait plus simple que le paramètre par défaut de la version windows de firefox soit "Pas de proxy" ou "Detection automatique" que "proxy système" qui dans certains cas ne marche pas et amène donc de la confusion.

    bon bah je continue à creuser...

  • [^] # Re: c'est automagique

    Posté par  . En réponse au message Problème avec l'utilisation des paramètres proxy système dans Firefox sous windows.. Évalué à 0.

    ça ne suffit pas (on a déjà une gpo qui positionne le paramètre utilisateur windows "connexion automatique").

    le souci est vraiment que la version windows de firefox ne récupère pas les paramètres windows, en tout cas en "detection automatique de proxy" (wpad ou option 252 dhcp)?

  • [^] # Re: c'est automagique

    Posté par  . En réponse au message Problème avec l'utilisation des paramètres proxy système dans Firefox sous windows.. Évalué à -1.

    effectivement c'est une bonne idée qui va forcément marcher.

    Le problème, c'est que tu imagines bien que s'il y a un proxy, c'est qu'on est en entreprise, avec 300 bécanes derrière le proxy, et avec windows pour tout un tas de (mauvaises) raisons :)

  • [^] # Re: c'est automagique

    Posté par  . En réponse au message Problème avec l'utilisation des paramètres proxy système dans Firefox sous windows.. Évalué à -1.

    c'est ce que je pense, au vu de la lecture (rapide) de toolkit\system\windowsproxy\nswindowssystemproxysettings.cpp
    la configuration automatique (c'est à dire pas d'adresse ip ou d'url indiquée en dur) dans le système ne semble pas prise en compte.

    je ne trouve rien à ce sujet dans le bug report de mozilla, ou alors pour de très vieilles versions...
    https://bugzilla.mozilla.org/show_bug.cgi?id=621429

    je voudrais juste avoir la confirmation que la version actuelle de firefox pour windows ne traite pas correctement ce paramètre : De plus, il est coché par défaut sur une nouvelle installation, ça manque de sens. Arrivez vous à reproduire ce problème, l'avez vous contourné d'une manière à laquelle je n'aurais pas songé ?

  • [^] # Re: c'est automagique

    Posté par  . En réponse au message Problème avec l'utilisation des paramètres proxy système dans Firefox sous windows.. Évalué à 1.

    pourquoi ça marche pas alors ?
    ça lit vraiment la clé de registre HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable ?

  • [^] # Re: j'ai pas du tout comprendre

    Posté par  . En réponse au message Route sans recours à iptables. Évalué à -1.

    je confirme cette réponse :
    - supprimer l'entrée ajoutée automatiquement concernant eth1.

    • il faut rajouter une route de retour dans ta passerelle vpn : sur 192.168.10.254, il faut indiquer que l'accès à 10.60.196.126 (et éventuellement 10.55.xx.0) se fait via 192.168.10.50.

    je ne pense pas qu'il y ait quoi que ce soit d'autre à rajouter sur le serveur linux pour que ça marche.

    en résumé :
    - site distant 1,2,3 :
    192.168.10.254 = passerelle pour 10.55.7.0, 10.55.11.0, 10.60.196.4, 10.60.196.126, 192.168.10.0
    - passerelle vpn :
    192.168.10.50 = passerelle pour 10.55.7.0, 10.55.11.0, 10.60.196.4, 10.60.196.126
    - serveur linux :
    192.168.10.254/eth1 = passerelle pour 10.60.196.1, 10.60.196.2, 10.60.196.3
    10.60.196.126/eth0 = passerelle pour 10.55.7.0, 10.55.11.0
    - 10.60.196.126 :
    ? = passerelle vers 10.55.7.0, 10.55.11.0
    10.60.196.4 = passerelle vers 10.60.196.1, 10.60.196.2, 10.60.196.3, 192.168.10.0

    ?