🚲 Tanguy Ortolo a écrit 12252 commentaires

Quelle solution de chiffrement (libre/open-source) avec une communauté toujours active conviendrait le mieux pour ce cas de figure? Cryptsetup, LUKS, Veracrypt, dm-crypt, autre ?

LUKS, sans hésiter. Comme dit plus haut, cryptsetup et dm-crypt désignent grosso modo la même chose.

Le point à prendre en compte est que pour démarrer un système GNU/Linux, on lance un noyau Linux, pour lequel on a chargé en mémoire un système de fichier racine initial, qu'on appelle l'initrd. Dans cet initrd, il y a un programme init, et tout ce qu'il faut comme pilotes, outils et bibliothèques pour pouvoir accéder au périphérique sur lequel se trouve le vrai système de fichiers racine, et monter ce dernier.

Toi, tu veux chiffrer ce système de fichiers. Il faut donc une prise en charge de ce chiffrement dans l'initrd. Et ça, je pense que ça ne laisse qu'un seul candidat, LUKS, qui est certainement intégré à l'initrd prévu par ta distribution (en installant au besoin un paquet spécifique), et probablement le seul qui soit ainsi intégré.

Comment ne pas commettre d'erreur avec les pièges que je sens venir: Le bios EFI ; le MBR ; Grub ; Windows ; bitlocker ; le chiffrement éventuel du /boot ; autre ? A quoi faut-il particulièrement faire attention?

Pour l'EFI, aucun problème, il n'a rien à voir avec le système de fichiers chiffré qui servira de / ou de /home sous GNU/Linux. Tout ce qu'il faut, c'est que la partition système EFI, sur laquelle se trouve ton chargeur de démarrage, soit lisible par l'EFI, donc pas chiffrée.

Pour GRUB, là c'est plus particulier. Il a apparemment une prise en charge de LUKS, mais je ne sais pas ce qu'elle vaut. Généralement, dans ce genre de cas, il me semble qu'on met en place un /boot non chiffré. C'est là que GRUB ira chercher le noyau et l'initrd à lancer. Il n'y a pas de problème à ne pas chiffrer ce système de fichiers, puisqu'il ne contient que des informations publiques, à savoir un noyau Linux et un initrd assemblé selon les règles d'une distribution GNU/Linux connue.

Windows n'est en aucun cas concerné par le chiffrement d'un système de fichier utilisé exclusivement par un système GNU/Linux. Pareil pour Bitlocker.

Je ne pense pas vraiment dédier une partition à une utilisation particulière genre multimédia ou autre (je ne vois pas trop l’intérêt actuellement), donc je garderai sûrement mes points de montage en dehors du home.

Pourtant, à part la musique et les vidéos, peu près tout ce qu'on manipule est assez léger pour tenir sans problème sur un SSD, non ?

• est-ce qu'il vaut mieux monter directement les disques dans /home/ ? Mais je pense que je perdrais la possibilité de n'avoir qu'une partie de l’arborescence sur un disque

Oui, si tu as un système de fichier dédié aux fichiers multimédia, ça pourrait être pertinent que le monter directement sous /home/$USER/multimedia par exemple.

• lien symbolique ou mount --bind, lequel est le "mieux"?

Lien symbolique : c'est plus simple et tout aussi utilisable depuis n'importe quel logiicel. Et c'est faisable par un simple utilisateur.

• comment vous faites vous?

Alors, pour allier espace de stockage d'un DD et vitesse d'un SSD, lvmcache : une partition du DD sert de stockage principal, et une partition du SSD sert de cache pour écrire vite des choses qui sont ensuite tranquillement mises définitivement sur le DD, et pour lire vite des choses qui viennent d'être écrites ou qui sont souvent lues.

Pour des usages spécifiques, tel que partager des données avec un Windows, j'utiliserais un système de fichier monté quelque part sous /media, mais je n'ai pas cet usage ici.

C'est curieux, j'ai rencontré un problème de DNS aussi, depuis une connexion câblée chez SFR. C'était plus spécial, ceci dit : j'utilise depuis longtemps mon propre résolveur. Et, je ne sais trop comment, les requêtes DNS qu'il faisait se retrouvaient bloquées, jetées, ou les réponses n'étaient pas transmises, bref, ça ne marchait plus du tout.

Un redémarrage du modem-routeur, et c'est rentré dans l'ordre. Je n'aime pas ça du tout.

Ce n'est pas vraiment exact, je vais préciser.

Si tu fais de Signal ton logiciel de SMS/MMS, tu verras dans Signal une liste de conversations, avec SMS, MMS et messages Signal agrégés. À partir de là :

• si quelqu'un, n'importe qui, t'envoie un SMS ou un MMS, ça y apparaîtra ;
• si quelqu'un t'envoie un message Signal, ça y apparaîtra dès que tu seras connecté à Internet ;
• si tu écris à quelqu'un qui n'utilise pas Signal, ça lui enverra un SMS ou un MMS ;
• si tu écris à quelqu'un qui utilise Signal, par défaut ça lui enverra un message Signal, qui partira quand tu seras connecté à Internet, et qui arrivera au destinataire quand il sera connecté à internet ;
• si tu veux envoyer un SMS ou un MMS à quelqu'un qui utilise signal, c'est possible, il y a une option pour cela en cliquant longuement sur l'icône d'envoi du message.

Le « problème » lorsque les gens utilisent Signal comme logiciel de SMS/MMS, en somme, c'est que les messages destinés à des utilisateurs de Signal partent par défaut comme messages Signal, qui ne sont transmis que s'il y a une connexion à Internet. Il faut en être conscient, c'est tout.

Je suis pas super calé en réseau mais il peut y avoir un rapport entre le DHCP et la vitesse de ma coo ? Je pensais que ça servait uniquement à obtenir une IP sur le réseau local.

Et à obtenir la liste des résolveurs DNS. Peut-être a-t-il modifié la liste que le modem-routeur envoie à l'ordinateur en DHCP.

Depuis plus de problèmes (ça fait 3 ans), à croire qu'ils se passent des listes de clients chiants.

Si c'est bien le cas, ça nous rend service, certes, mais ça ajoute un beau traitement illicite de données personnelles à ces pratiques de démarchage déjà illégales ! Ça ne me surprendrait pas plus que ça, bien sûr.

Si le but est de se débarrasser vite fait d'un appel indésirable, il y a plus simple : raccrocher directement. Pourquoi ne pas faire simple, tant qu'à faire ?

Personnellement, je n'éprouve pas spécialement de pitié pour les gens qui font ce genre de boulot de merde. Il me semble qu'il y a d'autres boulots de merde, aussi accessibles, qui contrairement au démarchage téléphonique, ne sont pas aussi nuisibles. Par ailleurs, autant que je sache, le taux de chômage n'est pas spécialement plus élevé dans les pays où les législateurs ont eu le courage de subordonner le démarchage téléphonique à un accord préalable (opt-in).

Faire perdre du temps à un démarcheur n'est pas spécialement sympa, en effet. À vrai dire, mon but assumé est de leur nuire, donc c'est voulu. Mais leur métier consiste à emmerder les gens, donc c'est au moins un traitement réciproque et équilibré.

Le démarchage de quelqu'un qui est sur Bloctel est déjà illégal, mais parfois on tombe sur des pratiques qui sont elles-mêmes franchement illégales, comme les arnaques à l'isolation à 1 € – un cas qui abuse d'une aide qui existe vraiment, mais qui a donné lieu à tellement de contentieux que le démarchage est maintenant purement et simplement interdit dans ce secteur d'activité – ou encore les tentatives d'inscription à une formation payée par le compte personnel de formation.

Dans ces cas, les démarcheurs tentent grosso modo d'obtenir des informations afin de toucher une subvention en votre nom. Si on veut jouer le jeu pour obtenir assez d'information pour signaler leur délit, il faut évidemment faire attention de ne leur donner que des informations bidon.

Un démarcheur pour une arnaque au CPF, par exemple, va chercher à obtenir des choses comme votre numéro de sécurité sociale. Le plus simple est sans doute de répondre en modifiant pas mal de chiffres de son vrai numéro. La clef de vérification ne passera plus, mais ça devrait suffire le temps de converser un peu.

Il peut être utile de se constituer une liste d'informations fictives pour ne pas hésiter. Si le démarcheur demande votre nom, demander s'il ne l'a pas déjà, et s'il ne l'a effectivement pas, donner le nom d'un personnage de roman pas trop connu, ou quelque chose comme ça.

Je vais collecter soigneusement toutes vos idées, il y a du très bon, et de quoi faire un journal avec tout ça !

Très bon, ça, je n'y aurais jamais pensé.

Ah, ça a l'air pas mal pour s'amuser, bonne idée. J'adore les questions bizarres comme celle sur l'hygiène dentaire.

Dans ton cas, ce n'était sans doute pas du démarchage illégal. Éventuellement une transmission illégale de ton numéro de téléphone par Netflix ?

Oui, évidemment. Mais bon, ne rien dire et attendre, vu mes objectifs (1. signaler, 2. m'amuser), ça c'est pour la seconde partie de l'appel, après avoir eu les informations qu'il faut pour pouvoir signaler le délit.

Meilleure méthode, ça dépend quel est le but. Si le but est de collecter des informations sur l'appel, c'est certainement efficace en effet.

Ah, il faut que tu démarres sur la clef USB. Ça se fait en redémarrant l'ordinateur, en appuyant sur une touche pour interrompre son démarrage normal, qui sinon aurait lieu depuis le disque dur, et pouvoir afficher un menu permettant de choisir de démarrer sur un autre périphérique, en l'occurrence la clef USB.

Renseigne-toi d'abord pour connaître la touche qui permet cela, parce que ça dépend des marques et des modèles d'ordinateur (de carte mère, en fait). Ça peut être F1, F2, F10, F12, Échap, Suppr, bref c'est vraiment très variable, malheureusement.

De mémoire, sur les ordinateurs Apple, c'est une touche qui s'appelle Option.

Cela fait bien dix ans que les ordinateurs faits par Apple sont des PC – des PC sous MacOS, mais des PC quand même – donc il n'y a pas d'inquiétude à avoir quant à cette compatibilité.

Essaie quelque chose comme Ubuntu par exemple, ou toute autre distribution qu'on pourra te conseiller. Il n'y a aucune raison que ça ne tourne pas sur tes deux ordinateurs, et si par hasard ça ne fonctionnait pas bien, bah, ça n'aura rien coûté, c'est l'intérêt d'utiliser un système sans rien installer après tout.

J'ai peur que ce ne soit pas si simple. La possibilité de dénoncer une transaction par CB n'est pas faite pour les différends entre client et fournisseur, mais pour les cas de fraude, autrement dit, de débit non autorisé par le titulaire de la carte.

En clair, si tu vois un débit pour un achat que tu n'as jamais fait, tu peux demander à ta banque de l'annuler, ce qu'elle fera sans problème à condition que tu atteste sur l'honneur n'avoir jamais effectué cette transaction.

Ce n'est pas le cas ici : le client a bien effectué une transaction. Le vendeur (pour la banque, le vendeur, c'est LBC, hein) n'a pas respecté sa part de la vente, ou pas correctement, mais le débit n'est pas frauduleux. Le client ne peut pas attester sur l'honneur n'avoir jamais effectué cette transaction sans se parjurer, ce qui en France s'appelle faire une fausse déclaration. Ce n'est pas un truc à tenter, parce que suite à une annulation de débit, LBC se retournerait contre la banque, en apportant toutes les infos relatives à la transaction, notamment les divers échanges qui prouvent sans problème que le client a bien acheté un ordinateur, même si ça s'est ensuite mal passé. Et qui prouveraient donc que la déclaration est fausse, et c'est parti pour des ennuis qu'il vaut sans doute mieux éviter.

Le bon matériel, ça peut être un simple téléphone. Il me semble que les hauts-parleurs de nos téléphones sont capables d'émettre des ultrasons.

Oui, enfin, une fonctionnalité intitulée « désinstaller Magisk » qui n'a aucun effet, c'est au mieux un gros bug.

Comme dit dans le commentaire auquel je faisais référence, ça m'empêchait d'utiliser adb root, du coup j'ai essayé de désinstaller Magisk, sans que les méthodes officielles n'aient le moindre effet. J'en suis venu à bout en réinstallant une sauvegarde intégrale de mon téléphone, mais encore là, un bout de Magisk était toujours présent, Dieu sait comment il avait pu se réinstaller. C'est ça qui m'a semblé vraiment sale, donc je ne toucherai plus à ce machin.

À propos de root sous Android, tu entendras probablement parler de Magisk. Ce logiciel est une implémentation de su, pour faire simple, qui a pour caractéristique d'être capable de se cacher pour que d'autres logiciels ne puissent pas détecter que le téléphone est rooté. Parce que oui, certains logiciels refusent de fonctionner sur un téléphone rooté, bienvenue dans l'univers merveilleux d'Android.

Vu ton message initial, tu as peu de chance d'être intéressé par ce genre de fonctionnalité. Personnellement, j'ai essayé Magisk, et ça m'a paru suffisamment crade pour me dégoûter d'y toucher à nouveau.

Rooter le téléphone, c'est simplement une opération qui permet d'y obtenir un accès en tant que root. Pour un utilisateur de GNU/Linux, ça a l'air d'une évidence, mais ça ne l'est pas du tout dans l'univers Android : par défaut, on n'est que simple utilisateur sur son téléphone.

Bref, à quoi cela sert-il ? Eh bien, à faire tout ce qu'on ne peut pas faire en tant que simple utilisateur, par exemple :

• explorer l'intégralité du système de fichiers (en ligne de commande ou en graphique) ;
• sauvegarder des logiciels et leurs données ;
• installer automatiquement des mises à jours des logiciels déjà installés directement depuis une logithèque telle que F-Droid.

LineageOS fournit un paquet qui permet d'activer un accès root, qui doit être installé depuis le système de récupération. Ensuite, on peut choisir si on autorise l'accès root pour ADB, qui est un accès au téléphone depuis un ordinateur, ou encore pour les autres logiciels qui en feraient la demande. Lorsqu'un logiciel essaie d'obtenir un accès root, l'utilisateur est prévenu et doit l'autoriser, comme n'importe quelle autre permission.

Je cherchais à peu près ça il y a un ou deux ans, et j'ai trouvé mon bonheur dans le reconditionné, chez Laptopservice.

Les avantages, en vrac :

• ça évite de fabriquer un nouveau appareil ;
• ça évite qu'un appareil en état de marche soit jeté ;
• ça coûte moins cher que du neuf ;
• ça fait bosser des travailleurs handicapés en France, c'est qui est un spécificité de ce reconditionneur.

De mémoire, les ordinateurs portables viennent avec une licence Windows. Je ne pense pas qu'on puisse leur demander un rabais en refusant la licence, qu'ils achètent en gros à un tarif spécial pour le reconditionnement. En revanche, ça peut valoi le coup de leur mettre en commentaire qu'on n'est pas intéressé par cette licence et qu'ils peuvent en faire l'économie et la garder pour d'autres ordinateurs.

Ah, et j'oubliais, c'est du très bon état évidemment. C'est plus facile sur des ordinateurs que pour des téléphones qui sont si faciles à endommager !

Édition : L'ouverture de la porte commence en la tirant vers l'intérieur, avant de l'ouvrir effectivement vers l'extérieur. Donc impossible à ouvrir en vol en effet. C'est fait pour, ça évite qu'elle ne s'ouvre toute seule en vol.