Sujets-libres.fr

Informatique, logiciels libres, internet, humeurs et… le reste !

Imprimante 3D -> ça avance

Rédigé par -Fred- 8 commentaires

Je n'ai pas écrit beaucoup sur le blog ces derniers temps mais pour autant, je n'ai pas chômé. Mon imprimante avance, j'ai rassemblé la quasi totalité du nécessaire pour la construire et je prends mon temps pour bien la monter. J'ai préféré choisir les éléments un à un afin de bien passer du temps sur chaque élément. Ce n'est sans doute pas moins cher qu'un kit mais c'est formateur.

Il me reste la tête d'impression à choisir. Je me documente encore un peu pour cette partie car c'est ce qui va beaucoup conditionner la qualité de l'impression (j'ai déjà écarté l'option de la pâle copie de cinquième zone).

Voilà ce que ça donne :


Ajout du 25/12/2015 :

Là sur la machine, il ne manque que la tête d'impression :


Ajout du 26/12/2015 :

J'ai fait le premier essai de l'imprimante, plus précisément du bon fonctionnement des moteurs et des butées. Pas de couac à signaler (ouf car même en s'entourant de quelques précautions, on ne sait jamais) mais bien entendu de nombreux réglages à prévoir.

Notepad++ et la GPL

Rédigé par -Fred- 10 commentaires

Le message suivant provient de Don Ho, créateur du célèbre Notepad++, et fait suite aux résultats du premier tour des élections régionales en France du dimanche 6 décembre 2015, élection où le FN a fait de bons scores. Note : au passage, j'utilise Notepad++ au travail et il est vraiment pratique.

« Désinstalle Notepad++ si tu as voté FN.

Je me fous de perdre les utilisateurs et je veux que tu saches : ton Notepad++ est écrit par un immigré, et il t’emmerde. »

Bon, en elle même, l'opinion de l'auteur n'est pas (du tout) le problème et il est parfaitement en droit de s'exprimer. Le fait que pour communiquer, il mette à profit la notoriété du logiciel qu'il a créé ne me choque pas non plus. Par contre, le souhait exprimé est en contradiction avec les termes de la licence GPLv3 appliquée à Notepad++.

Extrait de la traduction Française de la GPLv3 :

Article 2. Permissions de base.

Tous les droits accordés suivant cette Licence le sont jusqu’au terme des Droits d’Auteur (“copyright”) sur le Programme, et sont irrévocables pourvu que les conditions établies soient remplies. Cette Licence affirme explicitement votre permission illimitée d’exécuter le Programme non modifié. ...

En utilisant cette licence, on ne peut normalement pas interdire l'usage de son logiciel à certaines personnes, sous prétexte qu'elles ont des idées qui ne conviennent pas. Les licences libres ont justement ça de spécial qu'elles garantissent aux utilisateurs qu'ils ne seront pas victimes de ce type de dérive. Aujourd'hui, ceux qui ont voté pour tel parti politique, demain ceux qui sont pour tel projet de loi, après...

En tant qu'utilisateur désireux de respecter le souhait de l'auteur, ça devient compliqué, d'autant que l'auteur va exprimer des souhaits contradictoires et qu'il est susceptible d'élargir les restrictions d'usage quand bon lui semble.

Il y a donc peut être une question à se poser maintenant quand à la conservation la GPL ou non pour Notepad++. Question de cohérence.

Une prise de recul inattendue

Rédigé par -Fred- 1 commentaire

Nous devenons probablement des champions du traitement de l'information, submergés que nous sommes par elle et de toutes parts. En contrepartie, il est amusant de constater que nous nous focalisons de plus en plus sur l'instant, l'immédiat, et que nous délaissons et jetons ce qui peut paraitre périmé, dépassé. Se faisant, on peut dire que l'on privilégie notre capacité de traitement à notre capacité de mémorisation.

Conscient de cela, je cherche à prendre du recul de diverses manières. Je lis plus volontiers qu'avant, avec une préférence pour ce qui peut me faire réfléchir et/ou me faire prendre du recul. Si vous me donnez le choix entre un livre d'histoire et une revue d'actualité, il est fort probable que je choisisse la première des deux options.

De mon point de vue, les numéros de "Manière de voir", édités par "Le Monde diplomatique", sont donc extrêmement intéressants. Prenez une thématique donnée, rassemblez un ensemble de textes plus ou moins récents qui traitent du sujet, et vous y êtes. J'ai eu envie de parler de l'édition "Manière de voir", numéro 133 de février/mars 2014, sobrement nommée "Souriez, vous êtes surveillés". Plus précisément, c'est l'un des articles qui m'a interpelé : Les "pièges liberticides" de l'informatique, de Louis Joinet.

Ce texte pourrait avoir été écrit très récemment mais il n'en est rien puisqu'il a été rédigé en 1979 !

Il y est question des risques liés à l'utilisation des nouvelles technologies vis à vis des libertés. Nombre de problématiques très actuelles y sont décrites (comme le profilage des individus, surveillance de masse, "cyber-guerre", les contre-pouvoirs face aux potentialités liberticides, ...), alors même qu'internet ne serait au mieux accessible pour le grand public "que" 20 ans plus tard.

A la lecture, si l'on a pas fait attention à la date de texte, seules quelques références peuvent paraitre étrangement anciennes, et encore. Le texte se concentre aussi sur les risques, vis à vis des libertés, inhérents à l'usage massif de l'informatisation par l'état. Ce point traduit la préoccupation de l'époque.

Je ne connaissais pas Louis Joinet non plus et pourtant, il a entre autre fait parti des fondateurs du syndicat de la magistrature et il fut le premier directeur de la CNIL (la première loi informatique et libertés date de 1978). C'est quelqu'un qui très tôt s'est intéressé à l'impact des technologies sur nos sociétés.

Pourquoi raconter tout cela ? Tout simplement parce que cela montre qu'il n'est pas nécessaire d'être né avec une technologie pour en comprendre les potentiels problèmes et risques. Le texte ma fait comprendre un peu mieux que les problèmes que peuvent poser les usages liés à l'informatique aujourd'hui sont bien plus universels qu'il n'y parait au premier abord.

Projet d'imprimante 3D

Rédigé par -Fred- Aucun commentaire

Il peut se passer un certain temps entre l'envie de démarrer un nouveau projet et le passage à l'acte. Je l'ai vécu sur mes projets précédents et ce nouveau projet n'échappe pas à la règle.

Je me lance donc dans la fabrication d'une imprimante 3D. Pour que ce projet ait le plus de chances d'aboutir, j'ai souhaité rester sur quelque chose d'assez simple et d'abordable financièrement. J'ai déjà passé un certain temps à me documenter afin d'un peu mieux connaitre cet univers et ce qui est raisonnablement faisable dans mon cas. Le modèle retenu est celui de la RepRap Prusa Mendel i2.

Dans un premier temps, j'avais décidé de partir sur une construction tout en médium, de manière un peu comparable à ce que j'avais pu faire sur le résolveur de cube. Toutefois, j'ai décidé de me raviser un peu car cette approche risque de rallonger considérablement le temps nécessaire à la fabrication de la machine. Par ailleurs, ce que j'ai déjà pu faire avec du medium ne me convient pas. Je part donc sur un kit de pièces imprimées afin d'assurer.

L'électronique va être confiée à l'ensemble classique (dans ce domaine en tout cas) Arduino + RAMPS 1.4 + contrôleurs A4988. Les Moteurs pas à pas sont là aussi des "classiques" NEMA 17, habituels sur ce type de projet.

Pour ce qui est du soft et ce que je teste en ce moment, on retrouve le soft Marlin dans l'arduino. Sur le PC, j'utilise le projet accessible à l'adresse suivante : https://github.com/reprappro

A terme, je souhaite imprimer des pièces en PLA. Plus de nouvelles par la suite...

Un peu de balles pour le fun...

Rédigé par -Fred- Aucun commentaire

Je prétexte un peu le test d'ajout de vidéos sur le blog pour rediffuser celle là. La vidéo date de 2007 si je me souviens bien mais je ne l'avais pas encore postée ici :

[edit] :
Et tant qu'à faire, ci-dessous un peu de diabolo de la même époque. Cette vidéo est plus lourde, de l'ordre de 2,7Mo. Si ma bande passante en upload ne permet pas de la visionner dans de bonnes conditions, je la retravaillerai.

La mauvaise nouvelle, c'est que j'ai peu progressé depuis. La bonne, c'est que même si je jongle moins aujourd'hui, ce genre de chose ne se perd pas :D .

Pas de plugin particulier d'utilisé ici car tout se fait nativement en HTML5

Blog compromis, ma réponse à l'incident

Rédigé par -Fred- 2 commentaires

Je vois peu de retours d'expérience concrets sur le net, alors je vais vous livrer le mien. Je ne suis pas spécialiste de la question. Mon analyse est donc probablement imparfaite ou incomplète. Toutefois, je le fais pour plusieurs raisons :

  • Les quelques visiteurs qui passent ici doivent savoir si mon blog est, ou a été, à risque.
  • Communiquer sur un cas réel me semble intéressant. Il est désagréable de parler de son propre cas mais au moins, j'ai accès à toutes les informations.
  • Si je suis en mesure de faire des erreurs, je ne dois pas être le seul. Expliquer quelles ont été mes erreurs pour que d'autres ne les commettent pas ne peut être que bénéfique.
  • Donner la possibilité à mes visiteurs de me faire un retour, notamment sur ma manière de réagir à cet événement, sera peut être pour moi l'occasion de progresser.

Analyse

Comment cela a été possible ?

J'ai passé un peu plus de temps à analyser mes logs et les seules informations que j'ai pu trouver se trouvent dans les logs d'apache. Rien ailleurs et pour cause, les faits datent du 5 novembre 2014. Il n'y a donc plus rien à voir dans les autres logs depuis longtemps.

Je constate donc une forte activité de la part de l'attaquant le 5 novembre 2014, date à laquelle l'un des fichiers a été déposé et exploité. Le fichier en question est un script php déposé dans un répertoire que j'avais créé manuellement à la racine de mon blog wordpress (pas grand chose dans ce dossier à part des photos présentes sur mon blog et quelques bricoles).

Je suspecte donc que l'un des plugins ou l'un des thèmes utilisé sur mon blog contenait une faille permettant l'upload de fichiers. Je précise toutefois que les plugins et thèmes utilisés proviennent tous de sources officielles (trouvés et installés via le panel d'administration du blog). J'écarte peut être trop vite Wordpress lui même mais dans le mesure où il se met à jour automatiquement, les failles connues sont comblées rapidement. Sauf à exploiter une 0 Day, c'est donc peu probable.

Certains répertoires avaient aussi des autorisations trop élevées. Je ne pense pas que ce soit du fait de l'attaquant mais plutôt moi qui a certainement un jour modifié cela (suite probablement à un problème de mise à jour wordpress).

Les logs montrent par ailleurs que pour lister les failles de mon blog et de quelques sites hébergés sur mon serveur, l'attaquant à utiliser au moins un outil open source de recherche de vulnérabilités web. L'outil en question est intéressant pour deux raisons. D'une part, il permet d'auditer ses propres sites, et d'autre part, il me permet de comprendre certains comportement étranges de mon serveur il y a quelques mois (CPU serveur chargé à presque 100% à cause d'un nombre anormal de processus apache2). J'ai donc compris que mon serveur avait fait l'objet de scans en vue d'y trouver des vulnérabilités.

A quoi servaient ces fichiers ?

Le premier fichier n'était clairement fait pour ne pas être lisible facilement (instructions codées en ascii, codes en base64, gzinflate...). Une fois décodé, il montre un peu plus ce à quoi il est destiné car il contient tout un tas de commandes permettant notamment de rechercher des fichiers sensibles du système (utilisable en environnement *nix ou windows). J'ai exécuté le fichier en machine virtuelle dans firefox (avec le module firebug) et je vois qu'il tente de se connecter à des ressources dispo sur un site externe (je continue à essayer de comprendre plus de ce côté là).

L'exécution du scripts en question en machine virtuelle montre qu'il tente de communiquer avec un serveur distant. Le domaine de ce serveur est en .ro . A ce que je peux voir rapidement, ce serveur héberge un certain nombre d'outils permettant le piratage de sites web.

Un autre fichier a été déposé plus récemment (fin juillet) et contient un exploit selinux. Un autre répertoire contient, si je comprend bien, un outil d'analyse open source. Je ne trouve pas de trace quand à l'utilisation de l'un ou l'autre de ces outils, contrairement à l'autre outil dont je parle au dessus et pour lequel je peux voir que l'attaquant l'a utilisé environ 1h sur ma machine.

Comprendre ce qui a été fait et les motivations

Je constate que l'attaquant a possiblement disposé d'une bonne vue de la structure des différents sites hébergés sur mon serveur et accessibles. Il ne me semble pourtant pas que des dégâts aient été fait. Rien non plus en base de donnée (en tout cas, s'il y a eu quelque chose à une époque, il n'en reste rien).

Actions

Actions curatives

Comme détaillé dans un billet récent, j'ai très rapidement vérifié que ma base de donnée Wordpress était saine. J'ai ensuite réinstallé une instance toute propre de Wordpress sans aucuns plugins, histoire d'avoir une solution fonctionnelle le temps de trouver une solution plus durable et plus sûre pour mon blog. La solution retenue a donc été de passer à Pluxml car l'outil correspond parfaitement à mes besoins.

Actions préventives

Pour ne pas avoir à subir un nouvel épisode de ce type, j'ai décidé d'être plus strict au niveau de la gestion de mon serveur. J'ai donc déjà nettoyé et réduit au maximum le nombre de services ouverts sur l'extérieur. Que ces autres services n'aient pas été touchés aujourd'hui ne signifie pas qu'ils ne le seront pas à l'avenir ou qu'ils ne puissent pas donner d'informations à d'éventuels attaquants. Certains services utiles ne sont plus ouverts qu'en local (munin notamment) et d'autres sont tout simplement fermés (webmail rainloop). Au niveau Web, je n'ai conservé sur l'extérieur que ce blog et deux pages statiques.

J'effectue à présent un suivi de l'activité de mon serveur de manière plus stricte. Je suis en train de réfléchir à automatiser ce qui peut l'être et qui est spécifique à mon installation. J'ai un peu chamboulé mon programme de pré-rentrée afin de remettre un peu d'ordre là où c'était nécessaire.

Conclusions

Mes erreurs ont été multiples. Je considère avoir globalement été trop laxiste, que ce soit au niveau de mes réglages apache qu'au niveau des services ouverts sur ma machine. Peu regardant aussi sur l'activité de mon blog. J'aurais, si j'avais bien fait les choses, dû voir immédiatement l'arrivée de ces fichiers.

Je considère avoir eu de la chance. Cette expérience m'a permis de connaitre l'existence d'outils intéressants d'audit de sites web. Je vois d'ailleurs mieux comment se comporte mon serveur lorsqu'il fait l'objet d'une analyse par ce type d'outil.

J'ai aussi pris conscience de l'importance des logs. Il est donc essentiel d'être réactif, sous peine de ne pas avoir de données exploitables. Se faire poutrer une fois, ça peut arriver. Ne pas avoir les éléments pour réagir, c'est l'assurance que ça arrivera une seconde fois.

Douce fin pour mon téléphone mobile

Rédigé par -Fred- Aucun commentaire

A l'heure où il est courant de lire pléthore d'articles et de vidéos au sujet de tel ou tel nouveau smartphone, service ou OS mobile, j'ai trouvé intéressant de parler de mon rapport au mien (de mobile). Je n'ai pas souhaité basculer sur un téléphone intelligent, faute d'une raison valable et parce que ces appareils restent, par certains aspects, intrinsèquement assez limités. Par ailleurs, le côté addictif des smartphones me semble effrayant. Je trimbale donc toujours un vieux téléphone ultra basique.

Depuis un certain temps déjà j'ai dans l'idée de me passer complètement de téléphone mobile. Je suis tout sauf technophobe et pour la petite histoire, j'ai occupé il y a quelques années un poste de préparateur industrialisation chez un fabricant de téléphones mobiles (on ne parlait pas encore de smartphones à l'époque). C'est par cette expérience que j'ai vraiment commencé à comprendre ce qu'était finalement un téléphone portable, à savoir un bout de PCB, quelques composants dessus et un peu de plastique autour, le tout fonctionnant grâce à un petit logiciel embarqué. Cette description est un poil caricaturale mais si vous ouvrez un téléphone mobile, vous n'y trouverez rien d'autre. Aujourd'hui, les machines sont plus puissantes mais ne méritent pas plus de faire l'objet d'un quelconque culte idiot.

Bref, j'utilise parfois cet appareil pour téléphoner (3 ou 4 appels brefs par mois) et pour me réveiller le matin. Pourtant, il est toujours dans ma poche et allumé, au cas où, mais les appels reçu sont aussi peu nombreux que ceux émis. Un vrai réveil matin serait donc à presque aussi efficace. Mais à côté de ça, l'objet en lui même présente des aspects négatifs à l'usage.

Si je me met brièvement en mode parano, mes moindres déplacement physiques sont traçables à chaque fois que je le porte sur moi. Au mieux, ça ne m'apporte rien puisque je n'ai pas spécialement l'usage d'une balise de positionnement et que je n'ai même jamais tenté de demander ces informations à mon opérateur mobile. Dans le pire des cas, ces données peuvent techniquement faire l'objet d'un traitement anonymisé ou non par mon opérateur.

Sans me placer en mode parano maintenant, mon mobile permet à n'importe lequel de mes contacts de me joindre à tout moment. On peut logiquement me rétorquer que c'est à ça que ça sert, ce qui est tout à fait vrai. Mais si je ne souhaite pas être joignable via mon portable, et que pour cela je ne réponde volontairement pas, que je l'éteigne ou que je ne l'emporte pas avec moi, cela peut être mal perçu. En effet, donner ses coordonnées de mobile signifie être joignable et ne pas l'être peut soit donner lieu de s'inquiéter, soit être perçu négativement. Il n'est plus normal aujourd'hui de ne pas être joignable et il devient souvent nécessaire de se justifier lorsque justement, on ne répond pas. J'y vois une certaine forme de pression sociale.

Doucement donc, je commence à m'en détacher. Je ne l'emporte plus systématiquement avec moi, il reste plus souvent éteint, voir déchargé. Je le conserve mais bon, j'en fait un truc encore moins indispensable.

Fil RSS des articles