Pour le déchiffrement de serveur distant, à ma connaissance la seule option actuellement est d'utiliser dropbear, mini-serveur SSH embarqué dans l'initramfs (c'est ce qui est fait dans ce journal).
Je trouve ça un peu limité : ça réserve ce genre de configurations aux gens qui sont à l'aise avec SSH, c'est-à-dire aux informaticiens tendance Linux. J'aimerai transférer cette responsabilité aux non-techniciens. Dans ce but, j'ai rédigé un prototype/brouillon de serveur web embarqué dans initramfs pour entrer la phrase de passe.
Bon pour le moment le mot de passe circule en clair car TLS ne fonctionne pas donc l'intérêt est nul ! Mais si quelqu'un trouve l'idée intéressante, toutes les contributions sont bienvenues !
Je me renseigne sur odoo en ce moment et j'ai trouvé ce témoignage d'un intégrateur Odoo très intéressant pour comprendre le logiciel (son histoire, les aspects techniques, les enjeux politiques, etc.). Ce témoignage date de fin 2015, des choses ont pu changer entre temps. Je n'ai rien pour ERPNext, par contre.
Bonsoir,
Chez moi (Debian buster, Thunderbird 60.9, pour un compte imap), thunderbird indique que la suppression des données des messages "supprime du disque local tous les messages, les dossiers et les filtres associés à ce compte. Les messages et les dossiers seront conservés sur le serveur."
La conclusion semble être qu'il ne supprime rien du serveur.
S'il s'agit d'un compte pop (je n'en ai pas sous la main), l'interprétation doit sans doute être différente, puisque pop est le plus souvent utilisé en mode "je rapatrie les nouveaux messages, je les efface du serveur".
Ça nécessite une analyse complète de la surface d'attaque, analyse qui est en cours. Mon idée actuelle, c'est :
architecture mono-serveur (voire bare-metal) : les données et l'appli web sur le même système (le SGBD n'écoutant pas sur le réseau, uniquement en local). Car en pratique, la compromission de l'appli web a les mêmes effets que la compromission que le SGBD, donc les 2 doivent être aussi bien protégés.
partir du mode d'emploi stockage chiffré intégral sur serveur distant proposé Aeris. Il reste deux problèmes liés au déchiffrement : 1/ sa version est pas user-friendly (il faut avoir un accès SSH pour déchiffrer les disques donc démarrer le service … ça nécessite que ça soit un informaticien qui le fasse, notre but serait plutôt de confier cette mission et ces secrets à des personnes de confiance non informaticiennes). 2/ A priori, ça ne résiste pas à une attaque active (dans laquelle l'attaquant a accès à la machine physique, dumpe le /boot donc la clé privée du serveur SSH dropbear, puis remet tout en place et écoute le réseau pour regarder l'admin entrer la phrase de passe).
Pour répondre au 1, coder une interface web pour entrer les clés à distance, et embarquer un mini-serveur web en initramfs, permettrait de rendre le déchiffrement user-friendly (-> ça ferait un bon projet en libre, ça, rétroversé vers Debian !)
Pour répondre au 2, je n'ai pas de réponse pour le moment, mais je me demande si un système à base de nitrokey ou équivalent (HSM) n'apporterait pas la solution définitive.
Enfin, le jour où les circonstances politiques rendent les menaces de tentatives d'atteinte à la confidentialité des données davantage plausibles : planquer l'appli derrière tor (avec une passerelle depuis l'internet classique, passerelle elle-même hébergée loin d'ici) ajoute un niveau de protection & confier les clés de déchiffrement à des personnes de confiance qui ne dépendent pas des juridictions françaises.
La dématérialisation, c'est pour moins cher et plus pratique pour tout le monde!
Toi, tu n'as pas essayé de demander une carte de séjour à Laval.
En pratique, la dématérialisation est aussi utilisée par les administrations pour éloigner ceux qu'elle ne veut pas voir, c'est ce qui est dénoncé dans l'article qui a donné lieu à ce journal.
Oui, "les machines" apportent plus de productivité, donc permettent l'augmentation du niveau de vie.
Mais la si la dématérialisation peut être un progrès pour certains (pour ceux qui sont à l'aise avec ces outils & quand c'est bien fichu), pour d'autres elle est un obstacle. La mettre en place permet déjà de gagner en productivité en automatisant les traitements pour ceux qui sauront l'utiliser, pourquoi vouloir à tout prix que ça devienne obligatoire pour tout le monde ?
Comme le montre la Cimade (asso de solidarité avec les étrangers), c'est avant tout pour les "indésirables étrangers" que le système est bloqué (disclaimer : je suis bénévole dans cette association et auteur du site que je viens de lier ici).
Il se trouve qu'on manifeste sur ce sujet aujourd'hui, à 15h devant les préfectures de Bobigny, Créteil, Nanterre et Évry, avec des collectifs de sans-papiers, des syndicats & plein d'associations. N'hésitez pas à nous rejoindre.
J'ajoute que si vous avez envie de nous soutenir dans ces actions (et dans d'autre), je monte une équipe d'informaticiens-militants (je compte diffuser une annonce bientôt dans le forum petites-annonces). Contactez-moi si vous êtes intéressé (samuel point bizien arobase laposte point net).
Même des sites très gros publics et donc - probablement - très sécurisés se sont fait voler des listes de hash de mots de passe. D'un point de vue de sécurité, il faut supposer que tous les autres composants ont failli pour spécifier la sécurité du composant n+1 que tu es en train de définir.
Dans le cas où tout a failli (ici : "la base de données a fuité"), la dernière protection qui reste est le coût de vérification du hash.
Si je poussais ton raisonnement, je pourrais dire qu'un mot de passe de 3 chiffres suffit, puisque, après tout, les sites sont censés aussi protéger contre les tentatives de brute-force (ce que la plupart font). Ben … tu peux raisonner comme ça mais je donne pas cher de tes identifiants.
De l'intérêt d'un navigateur soucieux de la vie privée : cette "fonctionnalité" (espionner les clics des citoyens) a été introduite en 2006 mais est désactivée par défaut depuis 2008 (il est possible de l'activer manuellement).
Là où Chrome et ses dérivés (Internet Explorer, Opera, …) gardent cette option activée et maintenant vous empêchent de la désactiver.
Malheureusement, MySQL et MariaDB ne supportent que les caractères utf-8 sur 3 octets pour les identifiants (noms de tables/noms de colonnes) : character_set_system : « The character set used by the server for storing identifiers. The value is always utf8. »
En pratique, ce ne sont pas les paquets qui sont signés, mais les listes de paquets. Si j'ai bien compris le fonctionnement d'APT et de la faille, celle-ci se situe entre la vérification de la liste et l'installation des paquets demandés.
Ça donne :
- apt update : APT télécharge les listes de paquets et leur signature <- Première étape : l'attaquant ajoute un fichier .deb avant la signature dans le fichiers Release.gpg contenant les signatures (il peut, il est au milieu de la connexion et celle-ci n'est pas chiffrée). APT valide la signature, il s'en fiche du .deb ajouté (ou de tout autre contenu ajouté).
- apt install xxx : APT commence à télécharger le paquet voulus <- Seconde étape: l'attaquant fait croire à APT qu'il y a une redirection vers une URL qui ne sera pas correctement traitée par APT, et qui fera croire à APT que le fichier a bien été téléchargé et qu'il est à la place du fichier Release.gpg
- APT installe le fichier Release.gpg, croyant que c'est le fichier .deb demandé par l'utilisateur.
Un des avantages de dnsmasq c'est qu'il peut se contenter de faire la partie "PXE" de DHCP : sur un réseau existant (avec un DHCP déjà en place responsable de la configuration du réseau), il envoie les options PxE dès qu'un client demande une configuration IP (le client reçoit donc la configuration IP depuis le serveur DHCP principal + la configuration PxE depuis dnsmasq).
Cette solution règle donc une partie de un problème que tu listais : "(réseau physique différent du lan, parce que je n'ai pas encore trouvé le temps d'avoir le lan sous contrôle)".
Après, tu n'as peut-être pas envie de "polluer" ton réseau lan avec des options PXE pour des postes clients qui seraient configurés par défaut pour démarrer sur le réseau alors qu'ils ne devraient pas.
Après, la complexité du sujet n'est pas à sur-estimer :
- pour un utilisateur de base ou geek un peu plus avancé (développeur, …) le rapport coût/avantage (vs. solution gérée par un pro) est défavorable.
- pour quelqu'un dont l'administration systèmes/réseau est l'activité principale, il y en a pour une petite semaine d'auto-formation (1) (s'il n'a pas les connaissances initiales) et autant de mise en place si l'infrastructure est compliquée.
Donc les PME devraient avoir les moyens de mettre ça en place à partir du moment où elles ont un service informatique (même petit), de même que les assos de passionnés (chatons).
(1) : et encore … cet article est une bonne introduction au sujet, il y a juste à creuser chaque aspect pour comprendre les détails des règles et implémentations. Du coup, ça peut aller assez vite.
Au delà de ceci, si on lit toutes ces propositions, comment est-ce possible qu'il y ait encore autant de spam ?
Je connais au moins un gros serveur du marché, Microsoft Exchange, qui n'implémente que partiellement ces technologies (pour la version "sur site"):
SPF se joue uniquement au niveau des enregistrements DNS, donc Exchange n'a rien à voir avec ça et c'est possible de l'utiliser pour limiter le spam usurpant le nom de domaine (le spam vers d'autres cibles).
En réception, Exchange contrôle les enregistrements SPF et donne un mauvais score au mail s'il n'est pas bon (indice de spam)
Par contre, pas d'implémentation de DKIM pour l'envoi de message (je ne sais pas s'il vérifie les signatures à la réception).
Outlook365 (la version "cloud" d'Exchange) par contre permet l'utilisation de DKIM.
Je recommande aussi LTSP ! Ça simplifie grandement la maintenance (un poste à mettre à jour + une ou 2 images et c'est tout), ça permet d'avoir un compte par utilisateur accessible sur n'importe quel poste client sans s'embêter avec un annuaire (un peu lourd à mettre en place si on a seulement une dizaine de postes clients).
Pour une petite salle informatique autonome, c'est clairement l'idéal pour des usages simples (bureautique/internet). Pour des jeux vidéos ou des traitements lourds (3D), ça va sans doute être compliqué. L'avantage, c'est que ça permet d'utiliser de très vieilles bécanes (512Mo de RAM suffisent, peut-être même 256), il suffit d'avoir un seul poste avec des perfs décentes pour alimenter toute la salle (il faut alors dimensionner ce poste en fonction des usages et du nombre d'utilisateurs simultanés attendus).
Par contre, l'installation demande un peu de tests pour la mise en place, c'est une petite pile de technologies/serveur à maîtriser (DHCP/tFTP/PXE pour le démarrage des machines, ltsp&chroot pour la création des images…). J'ai essayé les solutions LTSP préconfigurées, mais ça n'a pas fonctionné :
- edubuntu n'est plus maintenu
- skolelinux/debian-edu n'a pas fonctionné chez moi
- eole-eclair (académie de Dijon) : interface trop lié aux besoins pour une école en France (plein d'options qui ne servent pas sinon, on sait pas quoi mettre …)
En effet. Pourquoi ça ne marche pas chez moi ?
Malgré mes différents tests, je n'ai pas réussi à le faire fonctionner la semaine dernière.
(quelques nouveaux tests plus tard)
Maintenant, c'est bon. Avec Nautilus (et PCManFM-Qt, et toutes les applications qui dépendent de gvfs), gvfs-mount se comporte correctement.
Le seul truc (qui explique peut-être pourquoi je n'avais pas réussi), c'est que PCManFM-Qt ne propose, pour se connecter à un serveur distant, que SSH/FTP (en clair)/WebDAV/Secure WebDAV /HTTP/HTTPS. Mais pas FTPS. Si on sélectionne "FTP", ça envoie en clair, même si le serveur distant propose TLS/SSL, et pas moyen d'indiquer ftps://server/ comme adresse de serveur distant. Par contre, en faisant clic droit sur l'emplacement actuel, puis "Edit path" et en indiquant ftps://server/, là ça fonctionne. Ça propose de valider à la main le certificat s'il n'est pas valide.
Par contre, ça ne marche pas avec konqueror, ni avec gFTP. Et cette modification dans gvfs semble avoir été ajoutée dans gvfs 1.24, donc cette fonctionnalité n'est pas dans Jessie (qui est de toutes façons oldstable aujourd'hui).
Bref, ce que je dis dans le journal est faux. Il y aurait moyen de l'éditer ? (sinon, je peux juste l'inutiler …).
Dans ce cas, ce serait l'inverse. Le serveur accepte le FTP explicite (sur le port 21) mais pas le FTP implicite. Et les clients FTP ne semblent pas accepter le FTP "implicite" (qui serait le protocole ftps:// a priori).
Et sinon, je préfère aussi le SFTP. Seulement, j'ai l'impression que la majorité des hébergeurs web proposent un accès FTP(s) par défaut, que l'accès SSH/SFTP est plus rare.
L'objectif du blog n'est pas de critiquer toutes les idées portées par les conspirationnistes. Justement, le site part du constat que ceux-ci marquent leur présence de plus en plus fréquemment dans les milieux de "gauche" ou "alter", notamment parce que certaines idées et analyses, notamment économiques, peuvent paraître proche (au premier abord).
Du coup, effectivement, le site dénonce des liens entre Chouard et l'extrême-droite, sans pour autant s'attaquer à son argumentaire (considérant que, par ailleurs, les arguments conspirationnistes ou d'extrême-droite sont dangereux et à contenir/éviter). Cela afin de mettre en garde contre les dérives de certains auteurs et auxquelles peuvent conduire certaines analyses (dont celle de Chouard, donc).
En gros : P, c'est l'ensemble des problèmes que l'on peut résoudre en temps polynômial (i.e. dont le temps de résolution est majoré par une fonction polynômiale de la taille des paramètres), et NP ceux que l'on peut résoudre en temps exponentiel (exemple : à partir d'une expression logique à N variables, trouver des valeurs de vérité qui satisfont l'expression).
On a donc l'inclusion P c NP, mais l'on se demande si l'inclusion est stricte ou s'il s'agit d'une égalité. Dans le second cas, cela signifie qu'il est possible de traiter tout problème de complexité exponentielle en temps polynômial (en réduisant le problème à un autre problème par exemple). Cela aurait pour conséquence d'affaiblir de nombreux protocoles de chiffrement, signatures, etc. qui se basent sur le fait que "casser la clé" revienne à résoudre un problème NP particulier (pour lequel on a encore aucun algorithme en temps polynômial).
Mais si l'inclusion est stricte, ça nous donne une garantie sur la sûreté des algorithmes de chiffrement/déchiffrement : si l'attaque se fait par cassage de clé, elle se fera en temps exponentiel. Il suffit donc de calibrer la taille de la clé pour que le temps nécessaire à la casser soit supérieur à sa durée de vie.
Pour ceux qui veulent avoir des noms de groupe qu'ils pourraient être susceptibles d'aimer (le critère, c'est "j'aime bien", à vous de trouver la corrélation entre ce que j'aime et ce que vous aimez) :
* Diablo swing orchestra (très "célèbre", du moins sur jamendo) : du metal-swing. Très original, et de très bons morceaux. Je n'écoute pas toujours jusqu'à la fin de l'album en une fois (au-delà de 30 minutes de métal, j'ai tendance à saturer), mais le mélange est très intéressant.
* David/Löhstana (particulièrement le titre "le petit guignol" sur le CD "le moins pire") : chanson française satirique, légère et rafraîchissante.
* Code rouge : du rap (belge) à forte densité politique. On retrouve des thèmes assez proches de ceux développés par Keny Arkana.
D'autres noms en vrac (que j'écoute moins en ce moment, mais que j'aime bien quand même) : Sans bagages (rock français), Roger Subirana (épico-symphonique), Grace Valhalla (électro-rock), Lonah (poésie électrifiée), Try^d (rock over the world), ...anabase* (rock français plus "mainstream").
Euh. On se sert des maths pour modéliser certains phénomènes physiques, mais même si c'est un raccourci facile, dire que « l'univers est décrit en langage mathématique » me semble bien présomptueux.
Je suis d'accord (que c'est présomptueux). L'idée que l'univers soit écrit en langage mathématique me semble douteuse.
Mais je ne faisais que citer Galilée (grosso modo).
Et du coup, tu dénatures totalement l'idée qui se cache derrière le rasoir d'Ockham, et qui s'applique à des raisonnements logiques.
Quelle est ta définition de la "logique" ?
Pour moi, il s'agit de dériver des règles à partir d'un ensemble de base d'axiomes.
En partant d'un axiome très simple et universel, « Il existe une entité qui a tout pouvoir sur ce qui est matériel » (ce qui inclut donc nos perceptions), je dérive très simplement toute réalité observée. Ainsi, « il existe entre toute pomme et toute terre une attraction réciproque » est indémontrable dans mon système, mais la propriété « un pomme que l'on regarde tombera par terre » est soit vraie, soit fausse (pour le savoir, il faut faire l'expérience).
Après, il serait sans doute intéressant de chercher à formaliser la règle de dérivation utilisable dans un tel système logique. Mais bon, ce serait aller chercher bien loin.
Juste pour le plaisir de la contradiction, j'ai bien envie de te renvoyer ton rasoir d'Ockham :
En mettant les pieds dans le plat, en s'enfonçant délibérément dans le troll, en mélangeant tout et n'importe quoi, tentons de répondre à la question « Dieu ou la science ? » en se servant du rasoir d'Ockham. D'après wikipédia, le principe dit :
« Les multiples ne doivent pas être utilisés sans nécessité »
En gros, privilégions toujours l'explication qui nous demande le moins d'hypothèses.
Schématiquement, deux paradigmes de pensée s'offrent pour expliquer le monde :
1. Le paradigme scientifique, qui postule que « l'univers est écrit en langage mathématique », et qui suppose l'existence de nombreuses lois universelles (conservation de l'énergie, etc.), intangibles, exprimées dans un langage abscons que peu de gens comprennent (à la louche : moins de 1% de la population mondiale). Il passe aussi par des hypothèses nettement contre-intuitives (la dualité de la lumière, pour ne citer q'un exemple).
2. La religion : elle ne fait que postuler l'existence d'un Dieu tout-puissant, qui crée et domine tout ce que nous pouvons observer et toucher. De là, l'explication de tout phénomène observé est directe : « Dieu l'a voulu ainsi ».
Je trouve que la seconde hypothèse est bien plus simple. Le rasoir d'Ockham coupera bien plus tôt les principes de relativité que les poils de barbe de Dieu.
Après, il est certain que le premier modèle a une valeur prédictive que le second n'a pas.
À noter aussi que les physiciens et bilogistes ne sont pas les seuls à s'orienter vers de tels modèles : le site [http://www.revues.org] regroupe de très nombreuses revues de sciences humaines et sociales en accès libre (en français).
# Interface de déchiffrement : web ?
Posté par Samuel (site web personnel) . En réponse au journal installation d'une debian chiffrée via LUKS sur un VPS. Évalué à 3.
Bonjour,
Pour le déchiffrement de serveur distant, à ma connaissance la seule option actuellement est d'utiliser dropbear, mini-serveur SSH embarqué dans l'initramfs (c'est ce qui est fait dans ce journal).
Je trouve ça un peu limité : ça réserve ce genre de configurations aux gens qui sont à l'aise avec SSH, c'est-à-dire aux informaticiens tendance Linux. J'aimerai transférer cette responsabilité aux non-techniciens. Dans ce but, j'ai rédigé un prototype/brouillon de serveur web embarqué dans initramfs pour entrer la phrase de passe.
Bon pour le moment le mot de passe circule en clair car TLS ne fonctionne pas donc l'intérêt est nul ! Mais si quelqu'un trouve l'idée intéressante, toutes les contributions sont bienvenues !
[^] # Re: intérêt difficile à déterminer.
Posté par Samuel (site web personnel) . En réponse au journal installation d'une debian chiffrée via LUKS sur un VPS. Évalué à 3.
Une hypothèse : ça protège les images disque (snaphots) qui peuvent être récupérées / envoyées dans un endroit non sûr.
Mais sinon, effectivement, il y a un petit trou dans l'explication ou le raisonnement.
# Témoignage sur Odoo
Posté par Samuel (site web personnel) . En réponse au journal Odoo ou ERPNext ?. Évalué à 2. Dernière modification le 28 octobre 2019 à 09:11.
Je me renseigne sur odoo en ce moment et j'ai trouvé ce témoignage d'un intégrateur Odoo très intéressant pour comprendre le logiciel (son histoire, les aspects techniques, les enjeux politiques, etc.). Ce témoignage date de fin 2015, des choses ont pu changer entre temps. Je n'ai rien pour ERPNext, par contre.
# Supprimer le compte = supprimer les données locales
Posté par Samuel (site web personnel) . En réponse au message Supprimer un compte de Thunderbird. Évalué à 4.
Bonsoir,
Chez moi (Debian buster, Thunderbird 60.9, pour un compte imap), thunderbird indique que la suppression des données des messages "supprime du disque local tous les messages, les dossiers et les filtres associés à ce compte. Les messages et les dossiers seront conservés sur le serveur."
La conclusion semble être qu'il ne supprime rien du serveur.
S'il s'agit d'un compte pop (je n'en ai pas sous la main), l'interprétation doit sans doute être différente, puisque pop est le plus souvent utilisé en mode "je rapatrie les nouveaux messages, je les efface du serveur".
[^] # Re: Un beau défi de conception
Posté par Samuel (site web personnel) . En réponse au message Recherche informaticien·ne·s-militant·e·s pour aide aux personnes exilées. Évalué à 2.
Ça nécessite une analyse complète de la surface d'attaque, analyse qui est en cours. Mon idée actuelle, c'est :
architecture mono-serveur (voire bare-metal) : les données et l'appli web sur le même système (le SGBD n'écoutant pas sur le réseau, uniquement en local). Car en pratique, la compromission de l'appli web a les mêmes effets que la compromission que le SGBD, donc les 2 doivent être aussi bien protégés.
partir du mode d'emploi stockage chiffré intégral sur serveur distant proposé Aeris. Il reste deux problèmes liés au déchiffrement : 1/ sa version est pas user-friendly (il faut avoir un accès SSH pour déchiffrer les disques donc démarrer le service … ça nécessite que ça soit un informaticien qui le fasse, notre but serait plutôt de confier cette mission et ces secrets à des personnes de confiance non informaticiennes). 2/ A priori, ça ne résiste pas à une attaque active (dans laquelle l'attaquant a accès à la machine physique, dumpe le /boot donc la clé privée du serveur SSH dropbear, puis remet tout en place et écoute le réseau pour regarder l'admin entrer la phrase de passe).
Pour répondre au 1, coder une interface web pour entrer les clés à distance, et embarquer un mini-serveur web en initramfs, permettrait de rendre le déchiffrement user-friendly (-> ça ferait un bon projet en libre, ça, rétroversé vers Debian !)
Pour répondre au 2, je n'ai pas de réponse pour le moment, mais je me demande si un système à base de nitrokey ou équivalent (HSM) n'apporterait pas la solution définitive.
Enfin, le jour où les circonstances politiques rendent les menaces de tentatives d'atteinte à la confidentialité des données davantage plausibles : planquer l'appli derrière tor (avec une passerelle depuis l'internet classique, passerelle elle-même hébergée loin d'ici) ajoute un niveau de protection & confier les clés de déchiffrement à des personnes de confiance qui ne dépendent pas des juridictions françaises.
[^] # Re: difficile à dire
Posté par Samuel (site web personnel) . En réponse au message Carte réseau D-link et ipcop. Évalué à 1. Dernière modification le 10 octobre 2019 à 15:20.
Au boulot, pfSense a remplacé avantageusement des ipCop vieillissants. J'en suis très content.
[^] # Re: Inégalité
Posté par Samuel (site web personnel) . En réponse au journal [HS ?] La dématérialisation comme moyen d'exclusion. Évalué à 2.
Toi, tu n'as pas essayé de demander une carte de séjour à Laval.
En pratique, la dématérialisation est aussi utilisée par les administrations pour éloigner ceux qu'elle ne veut pas voir, c'est ce qui est dénoncé dans l'article qui a donné lieu à ce journal.
Oui, "les machines" apportent plus de productivité, donc permettent l'augmentation du niveau de vie.
Mais la si la dématérialisation peut être un progrès pour certains (pour ceux qui sont à l'aise avec ces outils & quand c'est bien fichu), pour d'autres elle est un obstacle. La mettre en place permet déjà de gagner en productivité en automatisant les traitements pour ceux qui sauront l'utiliser, pourquoi vouloir à tout prix que ça devienne obligatoire pour tout le monde ?
# Ça bloque surtout pour les étrangers
Posté par Samuel (site web personnel) . En réponse au journal [HS ?] La dématérialisation comme moyen d'exclusion. Évalué à 10.
C'est important d'aborder ce sujet, merci !
Comme le montre la Cimade (asso de solidarité avec les étrangers), c'est avant tout pour les "indésirables étrangers" que le système est bloqué (disclaimer : je suis bénévole dans cette association et auteur du site que je viens de lier ici).
Il se trouve qu'on manifeste sur ce sujet aujourd'hui, à 15h devant les préfectures de Bobigny, Créteil, Nanterre et Évry, avec des collectifs de sans-papiers, des syndicats & plein d'associations. N'hésitez pas à nous rejoindre.
J'ajoute que si vous avez envie de nous soutenir dans ces actions (et dans d'autre), je monte une équipe d'informaticiens-militants (je compte diffuser une annonce bientôt dans le forum petites-annonces). Contactez-moi si vous êtes intéressé (samuel point bizien arobase laposte point net).
[^] # Re: Il y a un truc qui m'échappe
Posté par Samuel (site web personnel) . En réponse au lien Développeurs, vous devriez avoir honte — Règles de mots de passe. Évalué à 3.
Même des sites très gros publics et donc - probablement - très sécurisés se sont fait voler des listes de hash de mots de passe. D'un point de vue de sécurité, il faut supposer que tous les autres composants ont failli pour spécifier la sécurité du composant n+1 que tu es en train de définir.
Dans le cas où tout a failli (ici : "la base de données a fuité"), la dernière protection qui reste est le coût de vérification du hash.
Si je poussais ton raisonnement, je pourrais dire qu'un mot de passe de 3 chiffres suffit, puisque, après tout, les sites sont censés aussi protéger contre les tentatives de brute-force (ce que la plupart font). Ben … tu peux raisonner comme ça mais je donne pas cher de tes identifiants.
# Kate
Posté par Samuel (site web personnel) . En réponse au message quel IDE pour du web ?. Évalué à 3.
Bonjour,
Je réponds pour "IDE en général" (je fais du web, mais je n'ai pas cherché d'IDE dédiés à ces usages) :
# Firefox nous protège depuis ... 2008 !
Posté par Samuel (site web personnel) . En réponse au lien Chrome, Safari et d'autres navigateurs ne vont plus permettre de désactiver l'audit de lien.. Évalué à 10.
De l'intérêt d'un navigateur soucieux de la vie privée : cette "fonctionnalité" (espionner les clics des citoyens) a été introduite en 2006 mais est désactivée par défaut depuis 2008 (il est possible de l'activer manuellement).
Là où Chrome et ses dérivés (Internet Explorer, Opera, …) gardent cette option activée et maintenant vous empêchent de la désactiver.
# Fonctionne avec sqlite, mais pas Mysql/mariadb
Posté par Samuel (site web personnel) . En réponse au journal Des emojis en SQL ? C'est possible… et on peut aller au-delà !. Évalué à 0. Dernière modification le 02 avril 2019 à 09:43.
Malheureusement, MySQL et MariaDB ne supportent que les caractères utf-8 sur 3 octets pour les identifiants (noms de tables/noms de colonnes) :
character_set_system : « The character set used by the server for storing identifiers. The value is always utf8. »
[^] # Re: Signature des paquets ???
Posté par Samuel (site web personnel) . En réponse au lien Un méchant bug de sécurité identifié et corrigé dans Linux apt. Évalué à 6.
En pratique, ce ne sont pas les paquets qui sont signés, mais les listes de paquets. Si j'ai bien compris le fonctionnement d'APT et de la faille, celle-ci se situe entre la vérification de la liste et l'installation des paquets demandés.
Ça donne :
- apt update : APT télécharge les listes de paquets et leur signature <- Première étape : l'attaquant ajoute un fichier .deb avant la signature dans le fichiers Release.gpg contenant les signatures (il peut, il est au milieu de la connexion et celle-ci n'est pas chiffrée). APT valide la signature, il s'en fiche du .deb ajouté (ou de tout autre contenu ajouté).
- apt install xxx : APT commence à télécharger le paquet voulus <- Seconde étape: l'attaquant fait croire à APT qu'il y a une redirection vers une URL qui ne sera pas correctement traitée par APT, et qui fera croire à APT que le fichier a bien été téléchargé et qu'il est à la place du fichier Release.gpg
- APT installe le fichier Release.gpg, croyant que c'est le fichier .deb demandé par l'utilisateur.
[^] # Re: Beaucoup de NIH ici
Posté par Samuel (site web personnel) . En réponse au journal Debian, installations automatiques et ARM. Évalué à 1.
Un des avantages de dnsmasq c'est qu'il peut se contenter de faire la partie "PXE" de DHCP : sur un réseau existant (avec un DHCP déjà en place responsable de la configuration du réseau), il envoie les options PxE dès qu'un client demande une configuration IP (le client reçoit donc la configuration IP depuis le serveur DHCP principal + la configuration PxE depuis dnsmasq).
Cette solution règle donc une partie de un problème que tu listais : "(réseau physique différent du lan, parce que je n'ai pas encore trouvé le temps d'avoir le lan sous contrôle)".
Après, tu n'as peut-être pas envie de "polluer" ton réseau lan avec des options PXE pour des postes clients qui seraient configurés par défaut pour démarrer sur le réseau alors qu'ils ne devraient pas.
[^] # La complexité de l'auto-hébergement des mails
Posté par Samuel (site web personnel) . En réponse au journal Sur l'intérêt des systèmes de protections des courriers électroniques (DKIM, SPF et DMARC). Évalué à 5.
Il me semble que c'est le cas, oui. À une plus petite échelle, c'est le sujet d'une Réflexion autour de l’auto-hébergement et des CHATONS d'Aeris qui défend ce point de vue.
Après, la complexité du sujet n'est pas à sur-estimer :
- pour un utilisateur de base ou geek un peu plus avancé (développeur, …) le rapport coût/avantage (vs. solution gérée par un pro) est défavorable.
- pour quelqu'un dont l'administration systèmes/réseau est l'activité principale, il y en a pour une petite semaine d'auto-formation (1) (s'il n'a pas les connaissances initiales) et autant de mise en place si l'infrastructure est compliquée.
Donc les PME devraient avoir les moyens de mettre ça en place à partir du moment où elles ont un service informatique (même petit), de même que les assos de passionnés (chatons).
(1) : et encore … cet article est une bonne introduction au sujet, il y a juste à creuser chaque aspect pour comprendre les détails des règles et implémentations. Du coup, ça peut aller assez vite.
[^] # Re: coquille ?
Posté par Samuel (site web personnel) . En réponse au journal Sur l'intérêt des systèmes de protections des courriers électroniques (DKIM, SPF et DMARC). Évalué à 1.
Je connais au moins un gros serveur du marché, Microsoft Exchange, qui n'implémente que partiellement ces technologies (pour la version "sur site"):
Outlook365 (la version "cloud" d'Exchange) par contre permet l'utilisation de DKIM.
[^] # Re: Autres pistes…
Posté par Samuel (site web personnel) . En réponse au journal GNU/Linux Manjaro ! + projet ARM à 300 € !?. Évalué à 2.
Je recommande aussi LTSP ! Ça simplifie grandement la maintenance (un poste à mettre à jour + une ou 2 images et c'est tout), ça permet d'avoir un compte par utilisateur accessible sur n'importe quel poste client sans s'embêter avec un annuaire (un peu lourd à mettre en place si on a seulement une dizaine de postes clients).
Pour une petite salle informatique autonome, c'est clairement l'idéal pour des usages simples (bureautique/internet). Pour des jeux vidéos ou des traitements lourds (3D), ça va sans doute être compliqué. L'avantage, c'est que ça permet d'utiliser de très vieilles bécanes (512Mo de RAM suffisent, peut-être même 256), il suffit d'avoir un seul poste avec des perfs décentes pour alimenter toute la salle (il faut alors dimensionner ce poste en fonction des usages et du nombre d'utilisateurs simultanés attendus).
Par contre, l'installation demande un peu de tests pour la mise en place, c'est une petite pile de technologies/serveur à maîtriser (DHCP/tFTP/PXE pour le démarrage des machines, ltsp&chroot pour la création des images…). J'ai essayé les solutions LTSP préconfigurées, mais ça n'a pas fonctionné :
- edubuntu n'est plus maintenu
- skolelinux/debian-edu n'a pas fonctionné chez moi
- eole-eclair (académie de Dijon) : interface trop lié aux besoins pour une école en France (plein d'options qui ne servent pas sinon, on sait pas quoi mettre …)
Bref, à envisager si ça correspond à tes besoins.
[^] # Re: GNOME - nautilus
Posté par Samuel (site web personnel) . En réponse au journal Les clients graphiques FTP par défaut sous Debian ne gèrent pas TLS/SSL. Évalué à 1.
En effet. Pourquoi ça ne marche pas chez moi ?
Malgré mes différents tests, je n'ai pas réussi à le faire fonctionner la semaine dernière.
(quelques nouveaux tests plus tard)
Maintenant, c'est bon. Avec Nautilus (et PCManFM-Qt, et toutes les applications qui dépendent de gvfs), gvfs-mount se comporte correctement.
Le seul truc (qui explique peut-être pourquoi je n'avais pas réussi), c'est que PCManFM-Qt ne propose, pour se connecter à un serveur distant, que SSH/FTP (en clair)/WebDAV/Secure WebDAV /HTTP/HTTPS. Mais pas FTPS. Si on sélectionne "FTP", ça envoie en clair, même si le serveur distant propose TLS/SSL, et pas moyen d'indiquer ftps://server/ comme adresse de serveur distant. Par contre, en faisant clic droit sur l'emplacement actuel, puis "Edit path" et en indiquant ftps://server/, là ça fonctionne. Ça propose de valider à la main le certificat s'il n'est pas valide.
Par contre, ça ne marche pas avec konqueror, ni avec gFTP. Et cette modification dans gvfs semble avoir été ajoutée dans gvfs 1.24, donc cette fonctionnalité n'est pas dans Jessie (qui est de toutes façons oldstable aujourd'hui).
Bref, ce que je dis dans le journal est faux. Il y aurait moyen de l'éditer ? (sinon, je peux juste l'inutiler …).
[^] # Re: mauvais protocole ?
Posté par Samuel (site web personnel) . En réponse au journal Les clients graphiques FTP par défaut sous Debian ne gèrent pas TLS/SSL. Évalué à 1.
Dans ce cas, ce serait l'inverse. Le serveur accepte le FTP explicite (sur le port 21) mais pas le FTP implicite. Et les clients FTP ne semblent pas accepter le FTP "implicite" (qui serait le protocole ftps:// a priori).
Et sinon, je préfère aussi le SFTP. Seulement, j'ai l'impression que la majorité des hébergeurs web proposent un accès FTP(s) par défaut, que l'accès SSH/SFTP est plus rare.
[^] # Re: La dette EST le système
Posté par Samuel (site web personnel) . En réponse au journal Un budget équilibré, est-ce trop demander ?. Évalué à 1.
L'objectif du blog n'est pas de critiquer toutes les idées portées par les conspirationnistes. Justement, le site part du constat que ceux-ci marquent leur présence de plus en plus fréquemment dans les milieux de "gauche" ou "alter", notamment parce que certaines idées et analyses, notamment économiques, peuvent paraître proche (au premier abord).
Du coup, effectivement, le site dénonce des liens entre Chouard et l'extrême-droite, sans pour autant s'attaquer à son argumentaire (considérant que, par ailleurs, les arguments conspirationnistes ou d'extrême-droite sont dangereux et à contenir/éviter). Cela afin de mettre en garde contre les dérives de certains auteurs et auxquelles peuvent conduire certaines analyses (dont celle de Chouard, donc).
[^] # Re: Mais ké kidi?
Posté par Samuel (site web personnel) . En réponse au journal P != NP : la preuve. Évalué à 8.
On a donc l'inclusion P c NP, mais l'on se demande si l'inclusion est stricte ou s'il s'agit d'une égalité. Dans le second cas, cela signifie qu'il est possible de traiter tout problème de complexité exponentielle en temps polynômial (en réduisant le problème à un autre problème par exemple). Cela aurait pour conséquence d'affaiblir de nombreux protocoles de chiffrement, signatures, etc. qui se basent sur le fait que "casser la clé" revienne à résoudre un problème NP particulier (pour lequel on a encore aucun algorithme en temps polynômial).
Mais si l'inclusion est stricte, ça nous donne une garantie sur la sûreté des algorithmes de chiffrement/déchiffrement : si l'attaque se fait par cassage de clé, elle se fera en temps exponentiel. Il suffit donc de calibrer la taille de la clé pour que le temps nécessaire à la casser soit supérieur à sa durée de vie.
# Quelques noms
Posté par Samuel (site web personnel) . En réponse au journal Jamendo et torpeur estivale. Évalué à 8.
* Diablo swing orchestra (très "célèbre", du moins sur jamendo) : du metal-swing. Très original, et de très bons morceaux. Je n'écoute pas toujours jusqu'à la fin de l'album en une fois (au-delà de 30 minutes de métal, j'ai tendance à saturer), mais le mélange est très intéressant.
* David/Löhstana (particulièrement le titre "le petit guignol" sur le CD "le moins pire") : chanson française satirique, légère et rafraîchissante.
* Code rouge : du rap (belge) à forte densité politique. On retrouve des thèmes assez proches de ceux développés par Keny Arkana.
D'autres noms en vrac (que j'écoute moins en ce moment, mais que j'aime bien quand même) : Sans bagages (rock français), Roger Subirana (épico-symphonique), Grace Valhalla (électro-rock), Lonah (poésie électrifiée), Try^d (rock over the world), ...anabase* (rock français plus "mainstream").
Bonne écoute.
[^] # Re: Le rasoir d'Ockham retourné
Posté par Samuel (site web personnel) . En réponse au journal Athéisme, agnostisme: manifeste agnostique. Évalué à 1.
Je suis d'accord (que c'est présomptueux). L'idée que l'univers soit écrit en langage mathématique me semble douteuse.
Mais je ne faisais que citer Galilée (grosso modo).
Et du coup, tu dénatures totalement l'idée qui se cache derrière le rasoir d'Ockham, et qui s'applique à des raisonnements logiques.
Quelle est ta définition de la "logique" ?
Pour moi, il s'agit de dériver des règles à partir d'un ensemble de base d'axiomes.
En partant d'un axiome très simple et universel, « Il existe une entité qui a tout pouvoir sur ce qui est matériel » (ce qui inclut donc nos perceptions), je dérive très simplement toute réalité observée. Ainsi, « il existe entre toute pomme et toute terre une attraction réciproque » est indémontrable dans mon système, mais la propriété « un pomme que l'on regarde tombera par terre » est soit vraie, soit fausse (pour le savoir, il faut faire l'expérience).
Après, il serait sans doute intéressant de chercher à formaliser la règle de dérivation utilisable dans un tel système logique. Mais bon, ce serait aller chercher bien loin.
# Le rasoir d'Ockham retourné
Posté par Samuel (site web personnel) . En réponse au journal Athéisme, agnostisme: manifeste agnostique. Évalué à 3.
En mettant les pieds dans le plat, en s'enfonçant délibérément dans le troll, en mélangeant tout et n'importe quoi, tentons de répondre à la question « Dieu ou la science ? » en se servant du rasoir d'Ockham. D'après wikipédia, le principe dit :
« Les multiples ne doivent pas être utilisés sans nécessité »
En gros, privilégions toujours l'explication qui nous demande le moins d'hypothèses.
Schématiquement, deux paradigmes de pensée s'offrent pour expliquer le monde :
1. Le paradigme scientifique, qui postule que « l'univers est écrit en langage mathématique », et qui suppose l'existence de nombreuses lois universelles (conservation de l'énergie, etc.), intangibles, exprimées dans un langage abscons que peu de gens comprennent (à la louche : moins de 1% de la population mondiale). Il passe aussi par des hypothèses nettement contre-intuitives (la dualité de la lumière, pour ne citer q'un exemple).
2. La religion : elle ne fait que postuler l'existence d'un Dieu tout-puissant, qui crée et domine tout ce que nous pouvons observer et toucher. De là, l'explication de tout phénomène observé est directe : « Dieu l'a voulu ainsi ».
Je trouve que la seconde hypothèse est bien plus simple. Le rasoir d'Ockham coupera bien plus tôt les principes de relativité que les poils de barbe de Dieu.
Après, il est certain que le premier modèle a une valeur prédictive que le second n'a pas.
# Revues.org
Posté par Samuel (site web personnel) . En réponse à la dépêche Les résultats du LHC sous licence Creative Commons. Évalué à 0.