J'avoue n'avoir aucune idée de comment traduire les messages de scripts… en C, je sais faire, mais en sh? Ceci est un appel à bonne âme: un journal sur comment traduire du script serait plussé par au moins moi :)
S'il y a peu de chaînes de caractères, on peut se contenter de définir un fichier shell par langue, chacun exportant les variables contenant les chaînes de caractères dans une langue particulière, puis au moment de la conception de l'initrd copier la langue voulue dans l'image.
en_US.UTF-8.sh :
CUW_PLEASE_UNLOCK="Please enter passphrase for unlocking %s"
fr_FR.UTF-8.sh :
CUW_PLEASE_UNLOCK="Merci d'entrer la phrase de passe pour déverrouiller %s"
Blague à part, systemd impacte vraiment l'initrd? Pour dracut, il me semblait que c'est juste un système de de build, une sorte d'autotools spécialisé, et clevis, je connais pas.
systemd peut se charger de déverrouiller un périphérique et chercher le programme approprié pour récupérer le mot de passe auprès de l'utilisateur si besoin. On pourrait imaginer ajouter un "provider de mot de passe" consistant en ce petit serveur. Par contre, un initrd n'embarque a priori pas systemd, donc je ne sais pas si c'est pertinent de chercher dans cette direction.
clevis est un système générique pour déverrouiller des choses, avec plusieurs mécanismes pour stocker/récupérer le secret voulu. Parmi ces mécanismes : sss (Shamir secret) pour diviser le secret en plusieurs bouts, tpm2 pour stocker la clé sur un module matériel dédié à la protection des secrets (Hardware security module), tang consistant à verrouiller le secret par une clé présente sur un serveur, permettant de faire en sorte que le déverrouillage ne se fasse que si l'ordinateur est sur le réseau avec ce serveur (network-bound disk encryption). Clevis est notamment utilisé pour déverrouiller des disques LUKS dans des initrd générés par dracut (cf. par exemple clevis-dracut dans Debian).
À vrai dire, c'est un tout petit prototype et je n'ai pas le temps d'améliorer pour le moment. Ce qui manque, au minimum :
faire fonctionner TLS (sinon, c'est clairement dangereux !)
packager pour Debian
Ensuite, dans une optique d'utilisabilité plus large il faudrait :
(pour les utilisateurs) permettre de traduire les messages automatiquement
(pour les utilisateurs) implémenter un code javascript qui lit la clé depuis l'URL (la clé serait placée après un #, à la fin de l'URL) : ça permettrait de confier la clé de déchiffrement sous forme d'un simple lien (qui serait lui-même proposé dans un document HTML, PDF ou ce que tu veux sur une clé USB confié au "gardien du secret")
(pour les administrateurs) utiliser une solution plus générique pour la configuration de l'initrd (dracut, clevis ou systemd-*). Chacune de ces solutions aboutit à une proposition d'architecture assez différente.
J'ai fait une version basique avec un routeur sous openwrt récemment, c'est assez facile !
Voici la recette:
Une box OpenWRT avec 3 ports : un pour contrôler la machine (« LAN » client DHCP, port SSH ouvert), deux pour s’intercaler sur le lien réseau qu’on veut écouter (si on veut écouter A ↔ B, on place la box C entre les 2 : A ↔ C ↔ B, ça nécessite un câble de plus).
Installer tcpdump sur la box
Le port de contrôle : zone = LAN / INPUT = ACCEPT / OUTPUT = ACCEPT
Le port d’espionnage : zone = WAN / INPUT = DROP / OUTPUT = DROP / FORWARD = DROP (pas sûr que ça soit nécessaire)
Le port d’espionnage = interface bridge sur les deux interfaces (eth1 / eth2 ou whatever), protocol = unmanaged / cocher force link et décocher « use builtin IPv6 management » (ça évite d’émettre des trames réseau) / assign zone = wan.
Puis la configuration de /etc/config/network :
config interface 'lan'
option ifname 'eth0'
option proto 'dhcp'
config interface 'wan'
option type 'bridge'
option proto 'none'
option ifname 'eth1 eth2'
option delegate '0'
option force_link '1'
(selon les modèles, c'est parfois eth0.1 et .2 qu'il faut indiquer plutôt que eth1/2)
Pour écouter, y'a plus qu'à se connecter SSH sur la machine et faire : tcpdump -i br-wan -o mon-ecoute.pcap, puis récupérer et ouvrir ce fichier avec wireshark. Comme le fichier grossit rapidement, il vaut mieux faire ça pas trop longtemps et sur une clé USB, ou envoyer ça directement sur le réseau et le récupérer sur une autre machine)
Bon, pour intégrer burp ou mitmproxy, c'est sans doute un peu plus de travail. Il est possible d'installer python sur openwrt, donc mitmproxy doit pouvoir l'être aussi.
Note que dans cette configuration, la box est "indétectable" par le réseau qu'elle espionne. Si cette fonctionnalité ne t'es pas nécessaire car tu la mets sur le même réseau que le lien que tu veux débugger/surveiller, tu peux simplifier la configuration et mettre une seule interface "br-lan", client DHCP et accès INPUT/OUTPUT ouvert. Mais il faudra alors soit ajouter des filtres pour la capture tcpdump, soit écrire la capture dans un fichier mais pas l'afficher dans ta session SSH ou l'envoyer sur le réseau car sinon tu crées une boucle qui explose très très vite :) .
Pour le déchiffrement de serveur distant, à ma connaissance la seule option actuellement est d'utiliser dropbear, mini-serveur SSH embarqué dans l'initramfs (c'est ce qui est fait dans ce journal).
Je trouve ça un peu limité : ça réserve ce genre de configurations aux gens qui sont à l'aise avec SSH, c'est-à-dire aux informaticiens tendance Linux. J'aimerai transférer cette responsabilité aux non-techniciens. Dans ce but, j'ai rédigé un prototype/brouillon de serveur web embarqué dans initramfs pour entrer la phrase de passe.
Bon pour le moment le mot de passe circule en clair car TLS ne fonctionne pas donc l'intérêt est nul ! Mais si quelqu'un trouve l'idée intéressante, toutes les contributions sont bienvenues !
Je me renseigne sur odoo en ce moment et j'ai trouvé ce témoignage d'un intégrateur Odoo très intéressant pour comprendre le logiciel (son histoire, les aspects techniques, les enjeux politiques, etc.). Ce témoignage date de fin 2015, des choses ont pu changer entre temps. Je n'ai rien pour ERPNext, par contre.
Bonsoir,
Chez moi (Debian buster, Thunderbird 60.9, pour un compte imap), thunderbird indique que la suppression des données des messages "supprime du disque local tous les messages, les dossiers et les filtres associés à ce compte. Les messages et les dossiers seront conservés sur le serveur."
La conclusion semble être qu'il ne supprime rien du serveur.
S'il s'agit d'un compte pop (je n'en ai pas sous la main), l'interprétation doit sans doute être différente, puisque pop est le plus souvent utilisé en mode "je rapatrie les nouveaux messages, je les efface du serveur".
Ça nécessite une analyse complète de la surface d'attaque, analyse qui est en cours. Mon idée actuelle, c'est :
architecture mono-serveur (voire bare-metal) : les données et l'appli web sur le même système (le SGBD n'écoutant pas sur le réseau, uniquement en local). Car en pratique, la compromission de l'appli web a les mêmes effets que la compromission que le SGBD, donc les 2 doivent être aussi bien protégés.
partir du mode d'emploi stockage chiffré intégral sur serveur distant proposé Aeris. Il reste deux problèmes liés au déchiffrement : 1/ sa version est pas user-friendly (il faut avoir un accès SSH pour déchiffrer les disques donc démarrer le service … ça nécessite que ça soit un informaticien qui le fasse, notre but serait plutôt de confier cette mission et ces secrets à des personnes de confiance non informaticiennes). 2/ A priori, ça ne résiste pas à une attaque active (dans laquelle l'attaquant a accès à la machine physique, dumpe le /boot donc la clé privée du serveur SSH dropbear, puis remet tout en place et écoute le réseau pour regarder l'admin entrer la phrase de passe).
Pour répondre au 1, coder une interface web pour entrer les clés à distance, et embarquer un mini-serveur web en initramfs, permettrait de rendre le déchiffrement user-friendly (-> ça ferait un bon projet en libre, ça, rétroversé vers Debian !)
Pour répondre au 2, je n'ai pas de réponse pour le moment, mais je me demande si un système à base de nitrokey ou équivalent (HSM) n'apporterait pas la solution définitive.
Enfin, le jour où les circonstances politiques rendent les menaces de tentatives d'atteinte à la confidentialité des données davantage plausibles : planquer l'appli derrière tor (avec une passerelle depuis l'internet classique, passerelle elle-même hébergée loin d'ici) ajoute un niveau de protection & confier les clés de déchiffrement à des personnes de confiance qui ne dépendent pas des juridictions françaises.
La dématérialisation, c'est pour moins cher et plus pratique pour tout le monde!
Toi, tu n'as pas essayé de demander une carte de séjour à Laval.
En pratique, la dématérialisation est aussi utilisée par les administrations pour éloigner ceux qu'elle ne veut pas voir, c'est ce qui est dénoncé dans l'article qui a donné lieu à ce journal.
Oui, "les machines" apportent plus de productivité, donc permettent l'augmentation du niveau de vie.
Mais la si la dématérialisation peut être un progrès pour certains (pour ceux qui sont à l'aise avec ces outils & quand c'est bien fichu), pour d'autres elle est un obstacle. La mettre en place permet déjà de gagner en productivité en automatisant les traitements pour ceux qui sauront l'utiliser, pourquoi vouloir à tout prix que ça devienne obligatoire pour tout le monde ?
Comme le montre la Cimade (asso de solidarité avec les étrangers), c'est avant tout pour les "indésirables étrangers" que le système est bloqué (disclaimer : je suis bénévole dans cette association et auteur du site que je viens de lier ici).
Il se trouve qu'on manifeste sur ce sujet aujourd'hui, à 15h devant les préfectures de Bobigny, Créteil, Nanterre et Évry, avec des collectifs de sans-papiers, des syndicats & plein d'associations. N'hésitez pas à nous rejoindre.
J'ajoute que si vous avez envie de nous soutenir dans ces actions (et dans d'autre), je monte une équipe d'informaticiens-militants (je compte diffuser une annonce bientôt dans le forum petites-annonces). Contactez-moi si vous êtes intéressé (samuel point bizien arobase laposte point net).
Même des sites très gros publics et donc - probablement - très sécurisés se sont fait voler des listes de hash de mots de passe. D'un point de vue de sécurité, il faut supposer que tous les autres composants ont failli pour spécifier la sécurité du composant n+1 que tu es en train de définir.
Dans le cas où tout a failli (ici : "la base de données a fuité"), la dernière protection qui reste est le coût de vérification du hash.
Si je poussais ton raisonnement, je pourrais dire qu'un mot de passe de 3 chiffres suffit, puisque, après tout, les sites sont censés aussi protéger contre les tentatives de brute-force (ce que la plupart font). Ben … tu peux raisonner comme ça mais je donne pas cher de tes identifiants.
De l'intérêt d'un navigateur soucieux de la vie privée : cette "fonctionnalité" (espionner les clics des citoyens) a été introduite en 2006 mais est désactivée par défaut depuis 2008 (il est possible de l'activer manuellement).
Là où Chrome et ses dérivés (Internet Explorer, Opera, …) gardent cette option activée et maintenant vous empêchent de la désactiver.
Malheureusement, MySQL et MariaDB ne supportent que les caractères utf-8 sur 3 octets pour les identifiants (noms de tables/noms de colonnes) : character_set_system : « The character set used by the server for storing identifiers. The value is always utf8. »
En pratique, ce ne sont pas les paquets qui sont signés, mais les listes de paquets. Si j'ai bien compris le fonctionnement d'APT et de la faille, celle-ci se situe entre la vérification de la liste et l'installation des paquets demandés.
Ça donne :
- apt update : APT télécharge les listes de paquets et leur signature <- Première étape : l'attaquant ajoute un fichier .deb avant la signature dans le fichiers Release.gpg contenant les signatures (il peut, il est au milieu de la connexion et celle-ci n'est pas chiffrée). APT valide la signature, il s'en fiche du .deb ajouté (ou de tout autre contenu ajouté).
- apt install xxx : APT commence à télécharger le paquet voulus <- Seconde étape: l'attaquant fait croire à APT qu'il y a une redirection vers une URL qui ne sera pas correctement traitée par APT, et qui fera croire à APT que le fichier a bien été téléchargé et qu'il est à la place du fichier Release.gpg
- APT installe le fichier Release.gpg, croyant que c'est le fichier .deb demandé par l'utilisateur.
Un des avantages de dnsmasq c'est qu'il peut se contenter de faire la partie "PXE" de DHCP : sur un réseau existant (avec un DHCP déjà en place responsable de la configuration du réseau), il envoie les options PxE dès qu'un client demande une configuration IP (le client reçoit donc la configuration IP depuis le serveur DHCP principal + la configuration PxE depuis dnsmasq).
Cette solution règle donc une partie de un problème que tu listais : "(réseau physique différent du lan, parce que je n'ai pas encore trouvé le temps d'avoir le lan sous contrôle)".
Après, tu n'as peut-être pas envie de "polluer" ton réseau lan avec des options PXE pour des postes clients qui seraient configurés par défaut pour démarrer sur le réseau alors qu'ils ne devraient pas.
Après, la complexité du sujet n'est pas à sur-estimer :
- pour un utilisateur de base ou geek un peu plus avancé (développeur, …) le rapport coût/avantage (vs. solution gérée par un pro) est défavorable.
- pour quelqu'un dont l'administration systèmes/réseau est l'activité principale, il y en a pour une petite semaine d'auto-formation (1) (s'il n'a pas les connaissances initiales) et autant de mise en place si l'infrastructure est compliquée.
Donc les PME devraient avoir les moyens de mettre ça en place à partir du moment où elles ont un service informatique (même petit), de même que les assos de passionnés (chatons).
(1) : et encore … cet article est une bonne introduction au sujet, il y a juste à creuser chaque aspect pour comprendre les détails des règles et implémentations. Du coup, ça peut aller assez vite.
Au delà de ceci, si on lit toutes ces propositions, comment est-ce possible qu'il y ait encore autant de spam ?
Je connais au moins un gros serveur du marché, Microsoft Exchange, qui n'implémente que partiellement ces technologies (pour la version "sur site"):
SPF se joue uniquement au niveau des enregistrements DNS, donc Exchange n'a rien à voir avec ça et c'est possible de l'utiliser pour limiter le spam usurpant le nom de domaine (le spam vers d'autres cibles).
En réception, Exchange contrôle les enregistrements SPF et donne un mauvais score au mail s'il n'est pas bon (indice de spam)
Par contre, pas d'implémentation de DKIM pour l'envoi de message (je ne sais pas s'il vérifie les signatures à la réception).
Outlook365 (la version "cloud" d'Exchange) par contre permet l'utilisation de DKIM.
Je recommande aussi LTSP ! Ça simplifie grandement la maintenance (un poste à mettre à jour + une ou 2 images et c'est tout), ça permet d'avoir un compte par utilisateur accessible sur n'importe quel poste client sans s'embêter avec un annuaire (un peu lourd à mettre en place si on a seulement une dizaine de postes clients).
Pour une petite salle informatique autonome, c'est clairement l'idéal pour des usages simples (bureautique/internet). Pour des jeux vidéos ou des traitements lourds (3D), ça va sans doute être compliqué. L'avantage, c'est que ça permet d'utiliser de très vieilles bécanes (512Mo de RAM suffisent, peut-être même 256), il suffit d'avoir un seul poste avec des perfs décentes pour alimenter toute la salle (il faut alors dimensionner ce poste en fonction des usages et du nombre d'utilisateurs simultanés attendus).
Par contre, l'installation demande un peu de tests pour la mise en place, c'est une petite pile de technologies/serveur à maîtriser (DHCP/tFTP/PXE pour le démarrage des machines, ltsp&chroot pour la création des images…). J'ai essayé les solutions LTSP préconfigurées, mais ça n'a pas fonctionné :
- edubuntu n'est plus maintenu
- skolelinux/debian-edu n'a pas fonctionné chez moi
- eole-eclair (académie de Dijon) : interface trop lié aux besoins pour une école en France (plein d'options qui ne servent pas sinon, on sait pas quoi mettre …)
En effet. Pourquoi ça ne marche pas chez moi ?
Malgré mes différents tests, je n'ai pas réussi à le faire fonctionner la semaine dernière.
(quelques nouveaux tests plus tard)
Maintenant, c'est bon. Avec Nautilus (et PCManFM-Qt, et toutes les applications qui dépendent de gvfs), gvfs-mount se comporte correctement.
Le seul truc (qui explique peut-être pourquoi je n'avais pas réussi), c'est que PCManFM-Qt ne propose, pour se connecter à un serveur distant, que SSH/FTP (en clair)/WebDAV/Secure WebDAV /HTTP/HTTPS. Mais pas FTPS. Si on sélectionne "FTP", ça envoie en clair, même si le serveur distant propose TLS/SSL, et pas moyen d'indiquer ftps://server/ comme adresse de serveur distant. Par contre, en faisant clic droit sur l'emplacement actuel, puis "Edit path" et en indiquant ftps://server/, là ça fonctionne. Ça propose de valider à la main le certificat s'il n'est pas valide.
Par contre, ça ne marche pas avec konqueror, ni avec gFTP. Et cette modification dans gvfs semble avoir été ajoutée dans gvfs 1.24, donc cette fonctionnalité n'est pas dans Jessie (qui est de toutes façons oldstable aujourd'hui).
Bref, ce que je dis dans le journal est faux. Il y aurait moyen de l'éditer ? (sinon, je peux juste l'inutiler …).
Dans ce cas, ce serait l'inverse. Le serveur accepte le FTP explicite (sur le port 21) mais pas le FTP implicite. Et les clients FTP ne semblent pas accepter le FTP "implicite" (qui serait le protocole ftps:// a priori).
Et sinon, je préfère aussi le SFTP. Seulement, j'ai l'impression que la majorité des hébergeurs web proposent un accès FTP(s) par défaut, que l'accès SSH/SFTP est plus rare.
L'objectif du blog n'est pas de critiquer toutes les idées portées par les conspirationnistes. Justement, le site part du constat que ceux-ci marquent leur présence de plus en plus fréquemment dans les milieux de "gauche" ou "alter", notamment parce que certaines idées et analyses, notamment économiques, peuvent paraître proche (au premier abord).
Du coup, effectivement, le site dénonce des liens entre Chouard et l'extrême-droite, sans pour autant s'attaquer à son argumentaire (considérant que, par ailleurs, les arguments conspirationnistes ou d'extrême-droite sont dangereux et à contenir/éviter). Cela afin de mettre en garde contre les dérives de certains auteurs et auxquelles peuvent conduire certaines analyses (dont celle de Chouard, donc).
En gros : P, c'est l'ensemble des problèmes que l'on peut résoudre en temps polynômial (i.e. dont le temps de résolution est majoré par une fonction polynômiale de la taille des paramètres), et NP ceux que l'on peut résoudre en temps exponentiel (exemple : à partir d'une expression logique à N variables, trouver des valeurs de vérité qui satisfont l'expression).
On a donc l'inclusion P c NP, mais l'on se demande si l'inclusion est stricte ou s'il s'agit d'une égalité. Dans le second cas, cela signifie qu'il est possible de traiter tout problème de complexité exponentielle en temps polynômial (en réduisant le problème à un autre problème par exemple). Cela aurait pour conséquence d'affaiblir de nombreux protocoles de chiffrement, signatures, etc. qui se basent sur le fait que "casser la clé" revienne à résoudre un problème NP particulier (pour lequel on a encore aucun algorithme en temps polynômial).
Mais si l'inclusion est stricte, ça nous donne une garantie sur la sûreté des algorithmes de chiffrement/déchiffrement : si l'attaque se fait par cassage de clé, elle se fera en temps exponentiel. Il suffit donc de calibrer la taille de la clé pour que le temps nécessaire à la casser soit supérieur à sa durée de vie.
Pour ceux qui veulent avoir des noms de groupe qu'ils pourraient être susceptibles d'aimer (le critère, c'est "j'aime bien", à vous de trouver la corrélation entre ce que j'aime et ce que vous aimez) :
* Diablo swing orchestra (très "célèbre", du moins sur jamendo) : du metal-swing. Très original, et de très bons morceaux. Je n'écoute pas toujours jusqu'à la fin de l'album en une fois (au-delà de 30 minutes de métal, j'ai tendance à saturer), mais le mélange est très intéressant.
* David/Löhstana (particulièrement le titre "le petit guignol" sur le CD "le moins pire") : chanson française satirique, légère et rafraîchissante.
* Code rouge : du rap (belge) à forte densité politique. On retrouve des thèmes assez proches de ceux développés par Keny Arkana.
D'autres noms en vrac (que j'écoute moins en ce moment, mais que j'aime bien quand même) : Sans bagages (rock français), Roger Subirana (épico-symphonique), Grace Valhalla (électro-rock), Lonah (poésie électrifiée), Try^d (rock over the world), ...anabase* (rock français plus "mainstream").
[^] # Re: Interface de déchiffrement : web ?
Posté par Samuel (site web personnel) . En réponse au journal installation d'une debian chiffrée via LUKS sur un VPS. Évalué à 1.
S'il y a peu de chaînes de caractères, on peut se contenter de définir un fichier shell par langue, chacun exportant les variables contenant les chaînes de caractères dans une langue particulière, puis au moment de la conception de l'initrd copier la langue voulue dans l'image.
en_US.UTF-8.sh :
fr_FR.UTF-8.sh :
Puis dans le script générant la page web :
systemd peut se charger de déverrouiller un périphérique et chercher le programme approprié pour récupérer le mot de passe auprès de l'utilisateur si besoin. On pourrait imaginer ajouter un "provider de mot de passe" consistant en ce petit serveur. Par contre, un initrd n'embarque a priori pas systemd, donc je ne sais pas si c'est pertinent de chercher dans cette direction.
clevis est un système générique pour déverrouiller des choses, avec plusieurs mécanismes pour stocker/récupérer le secret voulu. Parmi ces mécanismes : sss (Shamir secret) pour diviser le secret en plusieurs bouts, tpm2 pour stocker la clé sur un module matériel dédié à la protection des secrets (Hardware security module), tang consistant à verrouiller le secret par une clé présente sur un serveur, permettant de faire en sorte que le déverrouillage ne se fasse que si l'ordinateur est sur le réseau avec ce serveur (network-bound disk encryption). Clevis est notamment utilisé pour déverrouiller des disques LUKS dans des initrd générés par dracut (cf. par exemple clevis-dracut dans Debian).
[^] # Re: Interface de déchiffrement : web ?
Posté par Samuel (site web personnel) . En réponse au journal installation d'une debian chiffrée via LUKS sur un VPS. Évalué à 1.
À vrai dire, c'est un tout petit prototype et je n'ai pas le temps d'améliorer pour le moment. Ce qui manque, au minimum :
Ensuite, dans une optique d'utilisabilité plus large il faudrait :
[^] # Re: article intéressant
Posté par Samuel (site web personnel) . En réponse au lien Wacom récupère le nom de toutes les applications que vous utilisez. Évalué à 7. Dernière modification le 06 février 2020 à 09:55.
J'ai fait une version basique avec un routeur sous openwrt récemment, c'est assez facile !
Voici la recette:
Puis la configuration de /etc/config/network :
(selon les modèles, c'est parfois eth0.1 et .2 qu'il faut indiquer plutôt que eth1/2)
Et celle de /etc/config/firewall :
Pour écouter, y'a plus qu'à se connecter SSH sur la machine et faire :
tcpdump -i br-wan -o mon-ecoute.pcap, puis récupérer et ouvrir ce fichier avec wireshark. Comme le fichier grossit rapidement, il vaut mieux faire ça pas trop longtemps et sur une clé USB, ou envoyer ça directement sur le réseau et le récupérer sur une autre machine)Bon, pour intégrer burp ou mitmproxy, c'est sans doute un peu plus de travail. Il est possible d'installer python sur openwrt, donc mitmproxy doit pouvoir l'être aussi.
Note que dans cette configuration, la box est "indétectable" par le réseau qu'elle espionne. Si cette fonctionnalité ne t'es pas nécessaire car tu la mets sur le même réseau que le lien que tu veux débugger/surveiller, tu peux simplifier la configuration et mettre une seule interface "br-lan", client DHCP et accès INPUT/OUTPUT ouvert. Mais il faudra alors soit ajouter des filtres pour la capture tcpdump, soit écrire la capture dans un fichier mais pas l'afficher dans ta session SSH ou l'envoyer sur le réseau car sinon tu crées une boucle qui explose très très vite :) .
# Interface de déchiffrement : web ?
Posté par Samuel (site web personnel) . En réponse au journal installation d'une debian chiffrée via LUKS sur un VPS. Évalué à 3.
Bonjour,
Pour le déchiffrement de serveur distant, à ma connaissance la seule option actuellement est d'utiliser dropbear, mini-serveur SSH embarqué dans l'initramfs (c'est ce qui est fait dans ce journal).
Je trouve ça un peu limité : ça réserve ce genre de configurations aux gens qui sont à l'aise avec SSH, c'est-à-dire aux informaticiens tendance Linux. J'aimerai transférer cette responsabilité aux non-techniciens. Dans ce but, j'ai rédigé un prototype/brouillon de serveur web embarqué dans initramfs pour entrer la phrase de passe.
Bon pour le moment le mot de passe circule en clair car TLS ne fonctionne pas donc l'intérêt est nul ! Mais si quelqu'un trouve l'idée intéressante, toutes les contributions sont bienvenues !
[^] # Re: intérêt difficile à déterminer.
Posté par Samuel (site web personnel) . En réponse au journal installation d'une debian chiffrée via LUKS sur un VPS. Évalué à 3.
Une hypothèse : ça protège les images disque (snaphots) qui peuvent être récupérées / envoyées dans un endroit non sûr.
Mais sinon, effectivement, il y a un petit trou dans l'explication ou le raisonnement.
# Témoignage sur Odoo
Posté par Samuel (site web personnel) . En réponse au journal Odoo ou ERPNext ?. Évalué à 2. Dernière modification le 28 octobre 2019 à 09:11.
Je me renseigne sur odoo en ce moment et j'ai trouvé ce témoignage d'un intégrateur Odoo très intéressant pour comprendre le logiciel (son histoire, les aspects techniques, les enjeux politiques, etc.). Ce témoignage date de fin 2015, des choses ont pu changer entre temps. Je n'ai rien pour ERPNext, par contre.
# Supprimer le compte = supprimer les données locales
Posté par Samuel (site web personnel) . En réponse au message Supprimer un compte de Thunderbird. Évalué à 4.
Bonsoir,
Chez moi (Debian buster, Thunderbird 60.9, pour un compte imap), thunderbird indique que la suppression des données des messages "supprime du disque local tous les messages, les dossiers et les filtres associés à ce compte. Les messages et les dossiers seront conservés sur le serveur."
La conclusion semble être qu'il ne supprime rien du serveur.
S'il s'agit d'un compte pop (je n'en ai pas sous la main), l'interprétation doit sans doute être différente, puisque pop est le plus souvent utilisé en mode "je rapatrie les nouveaux messages, je les efface du serveur".
[^] # Re: Un beau défi de conception
Posté par Samuel (site web personnel) . En réponse au message Recherche informaticien·ne·s-militant·e·s pour aide aux personnes exilées. Évalué à 2.
Ça nécessite une analyse complète de la surface d'attaque, analyse qui est en cours. Mon idée actuelle, c'est :
architecture mono-serveur (voire bare-metal) : les données et l'appli web sur le même système (le SGBD n'écoutant pas sur le réseau, uniquement en local). Car en pratique, la compromission de l'appli web a les mêmes effets que la compromission que le SGBD, donc les 2 doivent être aussi bien protégés.
partir du mode d'emploi stockage chiffré intégral sur serveur distant proposé Aeris. Il reste deux problèmes liés au déchiffrement : 1/ sa version est pas user-friendly (il faut avoir un accès SSH pour déchiffrer les disques donc démarrer le service … ça nécessite que ça soit un informaticien qui le fasse, notre but serait plutôt de confier cette mission et ces secrets à des personnes de confiance non informaticiennes). 2/ A priori, ça ne résiste pas à une attaque active (dans laquelle l'attaquant a accès à la machine physique, dumpe le /boot donc la clé privée du serveur SSH dropbear, puis remet tout en place et écoute le réseau pour regarder l'admin entrer la phrase de passe).
Pour répondre au 1, coder une interface web pour entrer les clés à distance, et embarquer un mini-serveur web en initramfs, permettrait de rendre le déchiffrement user-friendly (-> ça ferait un bon projet en libre, ça, rétroversé vers Debian !)
Pour répondre au 2, je n'ai pas de réponse pour le moment, mais je me demande si un système à base de nitrokey ou équivalent (HSM) n'apporterait pas la solution définitive.
Enfin, le jour où les circonstances politiques rendent les menaces de tentatives d'atteinte à la confidentialité des données davantage plausibles : planquer l'appli derrière tor (avec une passerelle depuis l'internet classique, passerelle elle-même hébergée loin d'ici) ajoute un niveau de protection & confier les clés de déchiffrement à des personnes de confiance qui ne dépendent pas des juridictions françaises.
[^] # Re: difficile à dire
Posté par Samuel (site web personnel) . En réponse au message Carte réseau D-link et ipcop. Évalué à 1. Dernière modification le 10 octobre 2019 à 15:20.
Au boulot, pfSense a remplacé avantageusement des ipCop vieillissants. J'en suis très content.
[^] # Re: Inégalité
Posté par Samuel (site web personnel) . En réponse au journal [HS ?] La dématérialisation comme moyen d'exclusion. Évalué à 2.
Toi, tu n'as pas essayé de demander une carte de séjour à Laval.
En pratique, la dématérialisation est aussi utilisée par les administrations pour éloigner ceux qu'elle ne veut pas voir, c'est ce qui est dénoncé dans l'article qui a donné lieu à ce journal.
Oui, "les machines" apportent plus de productivité, donc permettent l'augmentation du niveau de vie.
Mais la si la dématérialisation peut être un progrès pour certains (pour ceux qui sont à l'aise avec ces outils & quand c'est bien fichu), pour d'autres elle est un obstacle. La mettre en place permet déjà de gagner en productivité en automatisant les traitements pour ceux qui sauront l'utiliser, pourquoi vouloir à tout prix que ça devienne obligatoire pour tout le monde ?
# Ça bloque surtout pour les étrangers
Posté par Samuel (site web personnel) . En réponse au journal [HS ?] La dématérialisation comme moyen d'exclusion. Évalué à 10.
C'est important d'aborder ce sujet, merci !
Comme le montre la Cimade (asso de solidarité avec les étrangers), c'est avant tout pour les "indésirables étrangers" que le système est bloqué (disclaimer : je suis bénévole dans cette association et auteur du site que je viens de lier ici).
Il se trouve qu'on manifeste sur ce sujet aujourd'hui, à 15h devant les préfectures de Bobigny, Créteil, Nanterre et Évry, avec des collectifs de sans-papiers, des syndicats & plein d'associations. N'hésitez pas à nous rejoindre.
J'ajoute que si vous avez envie de nous soutenir dans ces actions (et dans d'autre), je monte une équipe d'informaticiens-militants (je compte diffuser une annonce bientôt dans le forum petites-annonces). Contactez-moi si vous êtes intéressé (samuel point bizien arobase laposte point net).
[^] # Re: Il y a un truc qui m'échappe
Posté par Samuel (site web personnel) . En réponse au lien Développeurs, vous devriez avoir honte — Règles de mots de passe. Évalué à 3.
Même des sites très gros publics et donc - probablement - très sécurisés se sont fait voler des listes de hash de mots de passe. D'un point de vue de sécurité, il faut supposer que tous les autres composants ont failli pour spécifier la sécurité du composant n+1 que tu es en train de définir.
Dans le cas où tout a failli (ici : "la base de données a fuité"), la dernière protection qui reste est le coût de vérification du hash.
Si je poussais ton raisonnement, je pourrais dire qu'un mot de passe de 3 chiffres suffit, puisque, après tout, les sites sont censés aussi protéger contre les tentatives de brute-force (ce que la plupart font). Ben … tu peux raisonner comme ça mais je donne pas cher de tes identifiants.
# Kate
Posté par Samuel (site web personnel) . En réponse au message quel IDE pour du web ?. Évalué à 3.
Bonjour,
Je réponds pour "IDE en général" (je fais du web, mais je n'ai pas cherché d'IDE dédiés à ces usages) :
# Firefox nous protège depuis ... 2008 !
Posté par Samuel (site web personnel) . En réponse au lien Chrome, Safari et d'autres navigateurs ne vont plus permettre de désactiver l'audit de lien.. Évalué à 10.
De l'intérêt d'un navigateur soucieux de la vie privée : cette "fonctionnalité" (espionner les clics des citoyens) a été introduite en 2006 mais est désactivée par défaut depuis 2008 (il est possible de l'activer manuellement).
Là où Chrome et ses dérivés (Internet Explorer, Opera, …) gardent cette option activée et maintenant vous empêchent de la désactiver.
# Fonctionne avec sqlite, mais pas Mysql/mariadb
Posté par Samuel (site web personnel) . En réponse au journal Des emojis en SQL ? C'est possible… et on peut aller au-delà !. Évalué à 0. Dernière modification le 02 avril 2019 à 09:43.
Malheureusement, MySQL et MariaDB ne supportent que les caractères utf-8 sur 3 octets pour les identifiants (noms de tables/noms de colonnes) :
character_set_system : « The character set used by the server for storing identifiers. The value is always utf8. »
[^] # Re: Signature des paquets ???
Posté par Samuel (site web personnel) . En réponse au lien Un méchant bug de sécurité identifié et corrigé dans Linux apt. Évalué à 6.
En pratique, ce ne sont pas les paquets qui sont signés, mais les listes de paquets. Si j'ai bien compris le fonctionnement d'APT et de la faille, celle-ci se situe entre la vérification de la liste et l'installation des paquets demandés.
Ça donne :
- apt update : APT télécharge les listes de paquets et leur signature <- Première étape : l'attaquant ajoute un fichier .deb avant la signature dans le fichiers Release.gpg contenant les signatures (il peut, il est au milieu de la connexion et celle-ci n'est pas chiffrée). APT valide la signature, il s'en fiche du .deb ajouté (ou de tout autre contenu ajouté).
- apt install xxx : APT commence à télécharger le paquet voulus <- Seconde étape: l'attaquant fait croire à APT qu'il y a une redirection vers une URL qui ne sera pas correctement traitée par APT, et qui fera croire à APT que le fichier a bien été téléchargé et qu'il est à la place du fichier Release.gpg
- APT installe le fichier Release.gpg, croyant que c'est le fichier .deb demandé par l'utilisateur.
[^] # Re: Beaucoup de NIH ici
Posté par Samuel (site web personnel) . En réponse au journal Debian, installations automatiques et ARM. Évalué à 1.
Un des avantages de dnsmasq c'est qu'il peut se contenter de faire la partie "PXE" de DHCP : sur un réseau existant (avec un DHCP déjà en place responsable de la configuration du réseau), il envoie les options PxE dès qu'un client demande une configuration IP (le client reçoit donc la configuration IP depuis le serveur DHCP principal + la configuration PxE depuis dnsmasq).
Cette solution règle donc une partie de un problème que tu listais : "(réseau physique différent du lan, parce que je n'ai pas encore trouvé le temps d'avoir le lan sous contrôle)".
Après, tu n'as peut-être pas envie de "polluer" ton réseau lan avec des options PXE pour des postes clients qui seraient configurés par défaut pour démarrer sur le réseau alors qu'ils ne devraient pas.
[^] # La complexité de l'auto-hébergement des mails
Posté par Samuel (site web personnel) . En réponse au journal Sur l'intérêt des systèmes de protections des courriers électroniques (DKIM, SPF et DMARC). Évalué à 5.
Il me semble que c'est le cas, oui. À une plus petite échelle, c'est le sujet d'une Réflexion autour de l’auto-hébergement et des CHATONS d'Aeris qui défend ce point de vue.
Après, la complexité du sujet n'est pas à sur-estimer :
- pour un utilisateur de base ou geek un peu plus avancé (développeur, …) le rapport coût/avantage (vs. solution gérée par un pro) est défavorable.
- pour quelqu'un dont l'administration systèmes/réseau est l'activité principale, il y en a pour une petite semaine d'auto-formation (1) (s'il n'a pas les connaissances initiales) et autant de mise en place si l'infrastructure est compliquée.
Donc les PME devraient avoir les moyens de mettre ça en place à partir du moment où elles ont un service informatique (même petit), de même que les assos de passionnés (chatons).
(1) : et encore … cet article est une bonne introduction au sujet, il y a juste à creuser chaque aspect pour comprendre les détails des règles et implémentations. Du coup, ça peut aller assez vite.
[^] # Re: coquille ?
Posté par Samuel (site web personnel) . En réponse au journal Sur l'intérêt des systèmes de protections des courriers électroniques (DKIM, SPF et DMARC). Évalué à 1.
Je connais au moins un gros serveur du marché, Microsoft Exchange, qui n'implémente que partiellement ces technologies (pour la version "sur site"):
Outlook365 (la version "cloud" d'Exchange) par contre permet l'utilisation de DKIM.
[^] # Re: Autres pistes…
Posté par Samuel (site web personnel) . En réponse au journal GNU/Linux Manjaro ! + projet ARM à 300 € !?. Évalué à 2.
Je recommande aussi LTSP ! Ça simplifie grandement la maintenance (un poste à mettre à jour + une ou 2 images et c'est tout), ça permet d'avoir un compte par utilisateur accessible sur n'importe quel poste client sans s'embêter avec un annuaire (un peu lourd à mettre en place si on a seulement une dizaine de postes clients).
Pour une petite salle informatique autonome, c'est clairement l'idéal pour des usages simples (bureautique/internet). Pour des jeux vidéos ou des traitements lourds (3D), ça va sans doute être compliqué. L'avantage, c'est que ça permet d'utiliser de très vieilles bécanes (512Mo de RAM suffisent, peut-être même 256), il suffit d'avoir un seul poste avec des perfs décentes pour alimenter toute la salle (il faut alors dimensionner ce poste en fonction des usages et du nombre d'utilisateurs simultanés attendus).
Par contre, l'installation demande un peu de tests pour la mise en place, c'est une petite pile de technologies/serveur à maîtriser (DHCP/tFTP/PXE pour le démarrage des machines, ltsp&chroot pour la création des images…). J'ai essayé les solutions LTSP préconfigurées, mais ça n'a pas fonctionné :
- edubuntu n'est plus maintenu
- skolelinux/debian-edu n'a pas fonctionné chez moi
- eole-eclair (académie de Dijon) : interface trop lié aux besoins pour une école en France (plein d'options qui ne servent pas sinon, on sait pas quoi mettre …)
Bref, à envisager si ça correspond à tes besoins.
[^] # Re: GNOME - nautilus
Posté par Samuel (site web personnel) . En réponse au journal Les clients graphiques FTP par défaut sous Debian ne gèrent pas TLS/SSL. Évalué à 1.
En effet. Pourquoi ça ne marche pas chez moi ?
Malgré mes différents tests, je n'ai pas réussi à le faire fonctionner la semaine dernière.
(quelques nouveaux tests plus tard)
Maintenant, c'est bon. Avec Nautilus (et PCManFM-Qt, et toutes les applications qui dépendent de gvfs), gvfs-mount se comporte correctement.
Le seul truc (qui explique peut-être pourquoi je n'avais pas réussi), c'est que PCManFM-Qt ne propose, pour se connecter à un serveur distant, que SSH/FTP (en clair)/WebDAV/Secure WebDAV /HTTP/HTTPS. Mais pas FTPS. Si on sélectionne "FTP", ça envoie en clair, même si le serveur distant propose TLS/SSL, et pas moyen d'indiquer ftps://server/ comme adresse de serveur distant. Par contre, en faisant clic droit sur l'emplacement actuel, puis "Edit path" et en indiquant ftps://server/, là ça fonctionne. Ça propose de valider à la main le certificat s'il n'est pas valide.
Par contre, ça ne marche pas avec konqueror, ni avec gFTP. Et cette modification dans gvfs semble avoir été ajoutée dans gvfs 1.24, donc cette fonctionnalité n'est pas dans Jessie (qui est de toutes façons oldstable aujourd'hui).
Bref, ce que je dis dans le journal est faux. Il y aurait moyen de l'éditer ? (sinon, je peux juste l'inutiler …).
[^] # Re: mauvais protocole ?
Posté par Samuel (site web personnel) . En réponse au journal Les clients graphiques FTP par défaut sous Debian ne gèrent pas TLS/SSL. Évalué à 1.
Dans ce cas, ce serait l'inverse. Le serveur accepte le FTP explicite (sur le port 21) mais pas le FTP implicite. Et les clients FTP ne semblent pas accepter le FTP "implicite" (qui serait le protocole ftps:// a priori).
Et sinon, je préfère aussi le SFTP. Seulement, j'ai l'impression que la majorité des hébergeurs web proposent un accès FTP(s) par défaut, que l'accès SSH/SFTP est plus rare.
[^] # Re: La dette EST le système
Posté par Samuel (site web personnel) . En réponse au journal Un budget équilibré, est-ce trop demander ?. Évalué à 1.
L'objectif du blog n'est pas de critiquer toutes les idées portées par les conspirationnistes. Justement, le site part du constat que ceux-ci marquent leur présence de plus en plus fréquemment dans les milieux de "gauche" ou "alter", notamment parce que certaines idées et analyses, notamment économiques, peuvent paraître proche (au premier abord).
Du coup, effectivement, le site dénonce des liens entre Chouard et l'extrême-droite, sans pour autant s'attaquer à son argumentaire (considérant que, par ailleurs, les arguments conspirationnistes ou d'extrême-droite sont dangereux et à contenir/éviter). Cela afin de mettre en garde contre les dérives de certains auteurs et auxquelles peuvent conduire certaines analyses (dont celle de Chouard, donc).
[^] # Re: Mais ké kidi?
Posté par Samuel (site web personnel) . En réponse au journal P != NP : la preuve. Évalué à 8.
On a donc l'inclusion P c NP, mais l'on se demande si l'inclusion est stricte ou s'il s'agit d'une égalité. Dans le second cas, cela signifie qu'il est possible de traiter tout problème de complexité exponentielle en temps polynômial (en réduisant le problème à un autre problème par exemple). Cela aurait pour conséquence d'affaiblir de nombreux protocoles de chiffrement, signatures, etc. qui se basent sur le fait que "casser la clé" revienne à résoudre un problème NP particulier (pour lequel on a encore aucun algorithme en temps polynômial).
Mais si l'inclusion est stricte, ça nous donne une garantie sur la sûreté des algorithmes de chiffrement/déchiffrement : si l'attaque se fait par cassage de clé, elle se fera en temps exponentiel. Il suffit donc de calibrer la taille de la clé pour que le temps nécessaire à la casser soit supérieur à sa durée de vie.
# Quelques noms
Posté par Samuel (site web personnel) . En réponse au journal Jamendo et torpeur estivale. Évalué à 8.
* Diablo swing orchestra (très "célèbre", du moins sur jamendo) : du metal-swing. Très original, et de très bons morceaux. Je n'écoute pas toujours jusqu'à la fin de l'album en une fois (au-delà de 30 minutes de métal, j'ai tendance à saturer), mais le mélange est très intéressant.
* David/Löhstana (particulièrement le titre "le petit guignol" sur le CD "le moins pire") : chanson française satirique, légère et rafraîchissante.
* Code rouge : du rap (belge) à forte densité politique. On retrouve des thèmes assez proches de ceux développés par Keny Arkana.
D'autres noms en vrac (que j'écoute moins en ce moment, mais que j'aime bien quand même) : Sans bagages (rock français), Roger Subirana (épico-symphonique), Grace Valhalla (électro-rock), Lonah (poésie électrifiée), Try^d (rock over the world), ...anabase* (rock français plus "mainstream").
Bonne écoute.