Sujets-libres.fr

Informatique, logiciels libres, internet, humeurs et… le reste !

Quand une attaque informatique touche plusieurs pays

Rédigé par -Fred- Aucun commentaire

J'ai récemment été surpris par les attaques informatiques très médiatisées. Ce n'est pas tant pour les attaques en elles même que pour leur médiatisation en fait. La bonne nouvelle, c'est que la sécurité informatique et les bonnes pratiques qui doivent permettre d'atténuer leurs effets sont sous le feu des projecteurs. Il en faudra encore d'autres pour que les messages de base passent mais c'est un bon début.

Chose amusante vue dans le traitement que font les médias, outre le nombre estimé de machines infectées, on nous donne aussi à chaque fois le nombre de pays concernés (150 ici, là 99 (ou quelques dizaines), ...). Je pensais, c'est drôle, qu'il n'y avait pas de frontières sur internet. Pour être plus précis, je pensais que les seules frontières sur internet étaient une sorte de sur-couche plus artificielle encore que le reste, comme par exemple le fait que l'on ne puisse pas accéder à tel ou tel contenu parce qu'on se trouve dans tel ou tel pays du monde. Je présume que de telles restrictions, permettant d'être en accord par exemple avec des lois locales, se basent essentiellement sur les adresses IP et plus précisément sur leur géolocalisation en fonction de leur répartition aux différents opérateurs de l'internet.

Vraiment ici, les traitements des faits que j'ai pu lire sont assez étranges de ce point de vue. On compte le nombre de pays touchés pour donner une idée de l'importance de l'attaque alors que tout le monde peut théoriquement être touché. Heureusement qu'il y a un nombre fini de pays dans le monde, ça limite la surenchère. Qu'un pays soit anormalement plus touché que les autres est probablement très intéressant mais ce nombre non corrélé avec d'autres informations a vraiment peu d'intérêt. En passant, si l'on est rigoureux, une seule machine infectée dans un pays suffit pour pouvoir comptabiliser le pays en question, raison de plus pour se méfier de ce type de données pas forcement fausses mais sujettes à toutes les interprétations.

Mon adresse email est inhabituelle

Rédigé par -Fred- 16 commentaires

Cela fait 10 ans cette année que je gère mon mail comme un grand. C'est super d'avoir ses adresses mail personnelles sur son propre serveur mail. Je peux en créer autant que je veux dessus, avec n'importe quel nom, du plus drôle au plus court en passant par des choses plus passe partout. Je ne risque pas en tout cas de ne pas pouvoir en créer une car une autre personne l'a déjà prise. Pour les quelques adresses créées, je suis généralement resté sur des choses courtes ou assez évocatrices en fonction des besoins. Je peux par exemple décider de créer une adresse en cas d'inscription à une liste de diffusion ou quand je sais que je risque de me faire spammer lorsque je dois quand même laisser une adresse valide quelque part. Dans ce dernier cas, je pourrais aussi me créer des adresses jetables ailleurs.

La contrepartie, c'est que mon nom de domaine est ce qu'il est d'une part, et qu'il est surtout inhabituel pour le quidam dans une adresse mail. En soit, il n'est pas trop compliqué car composé de deux mots existants intercalés par un tiret et qu'il est enregistré sur le TLD .fr . Toutefois, il est devenu de plus en plus rare de voir des adresses mail autres que celles fournies par gmail, yahoo et les FAI en général. Non content de présenter un problème de manque de diversité (la centralisation est énorme sur les services mail en général), cela renforce l'idée qu'une adresse mail doit forcement se terminer par un truc comme gmail.com, yahoo.fr, orange.fr, etc... Cela me pose parfois un problème lorsque je donne une adresse personnel de vive voix. Une fois l'étonnement de mon interlocuteur passé, vient le moment où il faut bien épeler le truc. C'est là qu'on peut avoir l'impression d'agacer alors même que ce n'est pas le but. Est-ce que je peux leur en vouloir individuellement ? Non bien entendu. L'environement global conduit massivement vers cela, c'est tout.

Fut un temps, je donnais encore une adresse yahoo dont les mails étaient redirigés vers l'une des boîtes mail sur mon serveur pour éviter de gêner mon monde sans doute. J'ai passé le cap et maintenant, je donne directement l'adresse sur mon domaine. Si c'est pénible, ce n'est pas mon problème. Moi, c'est l'adresse que j'utilise et que je consulte et ce n'est pas moins une adresse mail qu'une autre avec un nom de domaine plus commun. Une lubie de geek ? En partie au début probablement mais aujourd'hui non, je vois les choses de manière plus simple. L'outil est assez ouvert pour permettre à quiconque de le faire (comprendre "quiconque" par le fait que c'est techniquement possible et qu'il n'y a pas d'interdiction à le faire) et je pense que je suis la personne la mieux placée pour gérer mes serveurs mail. Finalement, mes adresses ne sont pas plus compliquées que celles proposées par les gros services de mail mais la complexité ne se retrouve pas au même endroit.

Mise à jour blog vers PluXml 5.6

Rédigé par -Fred- Aucun commentaire

Quelques jours après la sortie officielle de la version 5.6 de PluXml, je viens de faire la mise à jour de mon blog. Je ne suis pas trop à la recherche de la dernière "fonctionnalité de la mort qui tue" car l'usage que j'en fait est finalement assez basique. La principale raison de la mise à jour tient dans le fait qu'elle prend en compte quelques corrections de bugs. J'apprécie toujours autant la simplicité d'utilisation, la légèreté forcement et la simplicité de mise à jour.

L'enjeu derrière nos usages numériques

Rédigé par -Fred- 1 commentaire

J'ai eu récemment la chance de pouvoir faire une présentation de GNU/Linux à quelques personnes d'horizons variés et aux motivations diverses. J'avais bien entendu préparé mon intervention et j'avais prévu de pouvoir faire le grand écart afin de répondre à un éventail assez large de questions. En effet, je ne savais pas à l'avance qui j'aurais en face de moi.

La présentation s'est plutôt bien déroulée malgré un petit couac lorsque j'ai voulu présenter l'installation d'un système dans une machine virtuelle (l'effet Bonaldi, pour ceux qui se souviennent :p ). J'avais en outre prévu une petite présentation de l'historique ayant amené à la situation actuelle dans le logiciel libre en général, un focus sur ce qu'est une distribution GNU/Linux, un moment pour discuter de GNU/Linux au quotidien et un autre pour parler de quelques idées reçues.

Chose intéressante, et dont je veux parler dans ce billet, les interrogations de l'une des personnes venue assister à cette présentation. Il s'agissait d'un utilisateur Windows n'ayant pas apprécié la mise à jour quasi forcée vers Windows 10 et le côté intrusif de ce système, donc pas quelqu'un de spécialement technique à la base mais plutôt un utilisateur normal quoi. Un ami à cette personne lui avait conseillé d'installer (GNU/)Linux à la place parce que ce système protège la vie privée et qu'il ne décide pas tout seul de ce qui est bien pour vous.

En passant, j'étais un peu gêné car le système d'exploitation quel qu'il soit est capable de plein de choses, c'est sûr, mais il n'a pas directement vocation à protéger la vie privée de ses utilisateurs. Bon, dans le cas de Windows, la tendance va plutôt dans le sens opposé mais pour en revenir à GNU/Linux, même si cet environnement n'est pas curieux de nature concernant vos données, ce n'est qu'un outil. C'est votre usage de l'outil qui est le plus important là dedans.

L'idée que j'ai essayé de faire passer lors de cette présentation, c'est que l'enjeu important derrière nos usages numériques, c'est la confiance que l'on porte dans les systèmes que l'on utilise. Le mot "Confiance" est vraiment central. En fait, et c'est là ou je veux en venir, c'est qu'en fonction des outils qu'on utilise et des usages que l'on en a, on va tous consciemment ou non définir notre zone de confiance propre. Dans cette zone, on peut s'exprimer librement, expérimenter, penser quelque chose puis se dire que non, c'était une bonne grosse idée de merde, on peut avoir une certaine intimité, de la même manière que dans la vie réelle. Hors de cette zone, il y a tout ce qui est potentiellement public et que l'on peut donc vous reprocher ensuite. Par défaut, vous vous modérez, vous êtes prudent et vous montrez peut être même une nouvelle personne au monde qui vous entoure. Un être humain normal a besoin de ces deux zones.

Partant de là, la limite de la zone de confiance de l'utilisateur dont je parlais plus haut se situe à peu près entre ses mains et son clavier. C'est en tout cas se qui se passe à mon sens quand on ne peux pas faire confiance à sa propre machine car elle ne joue pas avec vous mais pour un autre. Comme dans la vraie vie, il me semble dangereux de ne plus avoir d'espace où avoir une vraie intimité. Une zone où cacher toutes ces choses auxquels on ne pense plus quand on prétend ne rien avoir à cacher par exemple. Agrandir et préserver cette zone demande de nombreux efforts mais c'est important et nécessaire. Tous ceux qui se cassent un peu la tête pour utiliser ou faire du logiciel libre, pour s'auto-héberger ou pour avoir un regard critique sur leurs pratiques en ligne ont probablement, consciemment ou pas, déjà fait ce constat bien avant moi.

L'auto-hébergement garde-t-il du sens si le plus important n'y est pas ?

Rédigé par -Fred- 13 commentaires

Récemment, Genma a publié un article au sujet de l'impact de diverses coupures électriques sur son activité auto-hébergée : Coupure-de-courant-et-auto-hebergement. Diverses idées sont développées dans ce billet mais celle qui a retenu mon attention est la suivante : L'auto-hébergement c'est bien mais il ne faut pas le faire pour les services sensibles et desquels on est fortement dépendant. J'ai bien entendu laissé un commentaire sur son blog mais je trouvais justifié de développer un peu plus mon point de vue ici.

En gros, le blog et le mail seraient à ne pas héberger derrière une ligne ADSL car on ne peut se permettre soit un blog inaccessible, soit la non réception de ses mails. On a chacun des priorités variables mais je conçois aussi que ces deux usages soient importants. Dans le cas des coupures électriques à répétition il est évident que ça perturbe fortement l'activité de ces services et que si c'est prolongé, ça fini par causer des pertes définitives de données. Typiquement, vous commencez à perdre des messages si votre serveur mail n'est pas en mesure de les réceptionner pendant plusieurs jours d'affilée et dans la mesure du possible, il est préférable d'éviter ça. A l'inverse les divers services moins importants peuvent être auto-hébergés.

J'ai en fait une approche diamétralement opposée et forcement, j'en arrive à préconiser à peu près l'inverse. J'ai décidé de m'auto-héberger, non pas pour tester des services mais parce que j'ai éprouvé le besoin de reprendre le contrôle de mes données personnelles, notamment le mail. J'ai alors décidé de m'auto-héberger. Forcement de mon point de vue, l'auto-hébergement perd fortement de son sens si on décide de ne pas y stocker les données que l'on a de plus précieuses.

Alors oui, le faire soit même présente des risques car on a rien sans rien. Il faut cependant se donner les moyens de ses ambitions. Dans des billets de blog divers et variés, je vois que certains peuvent utiliser des machines peu fiables pour faire de l'auto-hébergement (typiquement des Raspberry Pi avec un système sur carte SD). Sur le principe bon, pourquoi pas, c'est amusant et très formateur. Le côté Geek en plus, c'est cool aussi.

Pourtant quand on se lance là dedans pour vraiment rapatrier ses données personnelles, le jeu doit être pensé sérieusement dès le départ. Grossièrement, il faut déjà penser à se faire son analyse de risques puis identifier ceux qui sont les plus impactants et corriger ce qui doit vraiment l'être par des actions les plus efficientes possible. Et comme on pense à l'avenir, et bien on planifie ce qui n'aura pas pu être mené immédiatement tout en prévoyant des mesures palliatives si d'aventure le pire devait arriver.

Dans le cas de multiples coupures électriques de quelques heures il est assez simple d'évaluer l'impact que ça peut avoir sur ses services auto-hébergé. On peut alors apprécier les risques encourus : perdre des visiteurs de blog ? voir ses mails arriver avec 1 jour de retard ? Perdre carrément des mails ? Risquer de la casse matérielle ? Perte définitive des données stockées ? Risque très probable d'avoir d'autres priorités que les services auto-hébergés à gérer lorsque la coupure survient ? Tout ça est prévisible et si on pense son auto-hébergement sérieusement on peut immédiatement éliminer certains risques, atténuer les effets encourus par d'autres risques et dans tout les cas avoir une meilleure vue sur l'ensemble des risques résiduels. Le tout encore une fois, c'est de penser ce jeu de manière sérieuse car le risque, ça se gère.

Je pense que différentes motivations poussent à s'auto-héberger. Je me garderai bien d'être catégorique sur ce qu'il convient ou non de faire. La seule chose sur laquelle il faut à mon sens être clair quand on parle d'auto-hébergement, ce sont justement les motivations qui conduisent à s'y essayer. Ça aide à mettre en perspective les propos des uns et des autres et à les replacer dans le bon contexte. Les propos de Genma sont tout à fait pertinent dans son contexte et, à mesure que j'y réfléchi, pas du tout dans le mien.

Fil RSS des articles de ce mot clé