Linux sur desktop, vraiment sécurisé ?

En fait, tout est parti d’un tweet trollesque d’un consultant spécialisé en Googlerie.

Je me pose réellement la question de la sécurité d’une distribution Linux utilisé par un utilisateur Lambda.

Pour être très clair :

Je ne parle pas d’une distribution Linux utilisée sur un serveur. Je parle ici d’une distribution utilisée sur un desktop. Pour moi cela est tout à fait différent car les vecteurs d’attaque ne sont pas les mêmes.

Hormis cas très particuliers, il y’a peu de services à l’écoute sur un système de bureau, contrairement à un système serveur.

L’attaque d’un serveur vient des services hébergés sur ledit serveur. Les vecteurs d’attaques sont donc ces services et l’OS sous jacent.

L’attaque d’un ordinateur de bureau vient … des actions de l’utilisateur, principalement. Clics sur des liens foireux, lancement d’exécutables douteux, etc etc.

Une distribution linux encourage l’utilisateur à utiliser des dépôts centralisés. C’est bien, cela limite les risques d’installation de logiciels venant de sources non authentifiées. Mais est-ce suffisant ? Les dépôts des distributions ne contiennent pas tous les logiciels dont on peut avoir besoin. Et quand ils les contiennent, les logiciels ne sont pas forcément sans failles (au hasard : Flash, Oracle Java) …

Tous ces logiciels forment autant de vecteurs d’attaques potentiellement utilisables pour voler des données, prendre le contrôle de l’ordinateur, etc etc.

Alors, pourquoi y’a t’il aussi peu de vers, virus, chevaux de troie et aux malwares sur Linux ?

Parce qu’il n’y a pas assez d’utilisateurs pour intéresser les hackers, tout simplement.

Vous allez objecter qu’un système basé sur Linux est massivement distribué auprès du grand public, et ce partout dans le monde.

Oui, et vous allez me donner le bâton pour vous battre.

Android est très diffusé. Cet OS est perclus de vers, malwares en tous genre : 97% des malwares mobiles sont sur cet OS (source). Notez que les 3% restants sont sur Symbian, et que Windows Phone et iOS sont étonnements absents du classement.

Une des choses qui limite les dégâts est le fait que 99% des utilisateurs installent leurs logiciels uniquement en passant par le playstore Google. Cependant, les boutiques alternatives qui existent ne sont pas aussi rigoureusement contrôlées que le Playstore. Pour être tout à fait honnête, l’énorme majorité des malwares présents sur Android provient des pays d’Asie, les stores alternatifs asiatiques présentant un taux de malwares assez affolant, pouvant atteindre 1 application sur 20 infectée. Et vu le nombre moyen d’applications installées sur un smartphone, il y’a de fortes probabilités qu’au moins 1 malware soit présent sur chaque smartphone utilisé en Asie.

Ca tombe bien, c’est le plus gros marché. Il est donc normal que les hackers soient intéressés par le développement de malwares, si les vecteurs d’infections existent et qu’ils sont faiblement contrôlés.

L’étude que je n’ai pas réussi à trouver et qui serait extrêmement intéressante, c’est le taux de malwares et autres cochonneries dans les logiciels pirates sur Android. Parce que ce type de logiciels est un vecteur important de Warez sur les autres OS. Sans chiffres précis, il est délicat d’être objectif. Mais quand on lit cet article, on ne peut pas s’empêcher de se dire que oui, ce comportement est universel quelque soit la plateforme.

Or, les logiciels payants à destination du grand public sont rares sur Linux. Si le système devient plus présent sur les bureaux des particuliers et des professionnels, l’offre de logiciels payants va s’étoffer, en particulier les jeux vidéos.

Et les logiciels pirates vont suivre (c’est une constante immuable) …

Et les saloperies suivront aussi (ça aussi, c’est une constante immuable) …

Et les utilisateurs Linux auront ainsi la joie d’avoir besoin d’antivirus, comme les utilisateurs Android en ont besoin.

Faire l’autruche en niant ces états de fait, c’est s’exposer à de gros problèmes.

Car il y’a une chose qui est pire que l’absence de sécurité : c’est l’illusion de sécurité. C’est un peu (à mon avis) le sentiment des utilisateurs d’ordinateurs sous Linux. Ils se croient en sécurité, sans se demander POURQUOI il n’y a pas de virus sur leur système (en oubliant fort obligeamment que le premier virus est apparu sur un système Unix).

 

Sophos UTM – Matériel

Après l’introduction expliquant le but d’un UTM Sophos, je vais vous présenter un peu le matériel que j’ai retenu pour monter mon UTM chez moi.

Le cahier des charges était le suivant :

  • petit

  • SILENCIEUX

  • fiable

  • assez puissant pour supporter un éventuel upgrade de lien Internet.

  • support d’au moins 2 contrôleurs réseaux gigabit Intel ou Broadcom (PAS de contrôleurs realtek)

 

Petit

J’ai une étagère assez petite pour déposer tout mon matériel informatique, ce qui suppose donc que cet UTM doit être le plus petit possible. Le matériel ITX s’impose. Ca tombe bien, mon précédent routeur/firewall était lui aussi composé de matériel au format Mini ITX.

Silencieux

S’agissant de matériel actif en 24/7, je ne veux aucune pièce mobile dans cet ordinateur. Donc exit ventilateurs, disques dur, etc etc. Évidement, cela limite la puissance de traitement car les processeurs acceptant le fanless ne sont pas légions.

Puissance

Sophos UTM étant basé sur snort (entre autres choses), il faut donc que le matériel soit assez puissant pour supporter la charge d’une connexion VDSL, mais aussi éventuellement d’une connexion fibre. Autant le dire tout de suite, j’étais initialement parti sur le fait que la connexion Fibre serait supportée à débit maximal via plusieurs connexion simultanées. Le fait de supporter le débit d’une connexion fibre via une seule connexion n’était pas dans le cahier des charges, c’est un bonus

2 contrôleurs Intel Gigabit (ou plus)

Je hais les cartes réseaux Realtek. Ces cartes sont l’équivalent réseau des winmodems de l’époque (je parle d’une époque que les moins de 20 ans n’ont pas connus, une époque préadsl)

Ces contrôleurs réseaux sont quasiment uniquement gérés par le CPU, alors qu’un contrôleur Intel ou Broadcom va lui traiter beaucoup plus de choses en interne, déchargeant ainsi le CPU.

Inutile de dire que pour mon cahier des charges, un contrôleur Realtek représente le mal absolu : le CPU sera peu puissant (fanless) donc autant le dédier à l’inspection de paquets, et non au traitement de la carte réseau.

Le matériel retenu

Pour monter mon UTM, je suis donc parti de la base existante, et j’ai uniquement changé la carte mère et la RAM.

J’ai donc à disposition :

un boitier antec ITX ISK 300 65 w

un SSD corsair de 60 Go

auquel j’ai ajouté :

1 carte mère Jetway NF9N (processeur celeron 2930 4 coeurs)
1 carte d’extension Jetway (4 ports réseaux Gigabit Intel )
8 Go de RAM

La carte mère Jetway disposant déjà d’un port Intel i211AT Gigabit, cela me fait 5 ports Gigabit Intel à disposition.

Largement de quoi faire.

Assemblage

L’assemblage de ce petit monde est réellement très simple. Il faut juste bien penser à installer l’I/O Shield présentant les 5 ports réseaux.

la carte peut être alimentée par une seule prise 12V, et donc à cet effet, le SSD/disque dur nécessaire à son fonctionnement peut être alimenté directement depuis la carte mère. C’est pour cela qu’est fourni avec un câble un peu bizarre, avec à son extrémité un connecteur de lecteur de disquettes.

Configuration

Notez bien que je ne parle ici que de la postconfiguration spécifique au matériel. Un post plus détaillé sur la configuration dee Sophos UTM viendra dans un futur proche.

Après assemblage et installation de Sophos UTM depuis le CD, je restaure la configuration que j’avais déjà fait sur le précédent matériel.

Après quelques redémarrages, je peux enfin passer à la postconfiguration pour adapter au nouveau matériel.

La première (et seule) action à réaliser est d’ajouter de nettoyer la configuration réseau : Supprimer les interfaces qui n’existent plus et rajouter les 5 interfaces dans le bridge.

Performance

La très très bonne surprise du moment en fait. Suite à l’installation du machin, j’ai commencé par vérifier que tous les paramètres de détection d’intrusion étaient déjà actifs, et j’ai lancé un bon vieux iPerf pour tester.

J’ai testé d’abord l’iPerf sans avoir d’UTM entre les deux extrémités. J’ai obtenu un débit de 940 Mbps. J’ai relancé le test plusieurs fois pour être sûr, les valeurs n’ont bougés que de l’épaisseur du trait.

J’ai donc déplacé le client iPerf sur le switch de la livebox, pour avoir le client coté « public » de l’UTM et le serveur (une VM sur mon XenCenter) de l’autre coté.

Sans que je puisse me l’expliquer, les débits mesurés par iPerf ont variés de 450 Mbps à 560 Mbps.

Bien entendu, pendant le test, un des coeurs du Celeron est occupé à 100% par un processus Snort : ce qui limite le débit est donc bien le CPU.

J’ai relancé plusieurs fois ce test pour être certain des valeurs, sur des durées allant de 1 à 30 minutes.

Ce qui fait que ce matériel pourra amplement encaisser le trafic le jour ou je passerai au FTTH et que j’aurais un débit de 500 Mbps/200 Mbps.

Depuis que l’UTM est démarré, l’occupation RAM n’a pas dépassé les 25 %. Je sais, 8 Go de RAM sont BEAUCOUP trop pour mon utilisation, mais le fait est que je compte garder ce matériel pendant 5 à 8 ans, et qui sait quelle sera la consommation de Sophos UTM d’ici là ?

C’est certain que pour l’instant, avec ma pauvre liaison VDSL 25/1 Mbps, ce système est largement surdimensionné.

Mais au dela de la puissance et de la scalabilité*, je cherchais surtout un système construit à partir de composants de bonne qualité.

Mon but ici est d’avoir le système le plus fiable possible.

Ce système étant en coupure de mon accès Internet, je ne veux pas qu’il tombe en panne, de préférence pendant que je suis en vadrouille à Paris pour une formation de 5 jours. Même si je pense que j’arriverais sans problème à guider mon fils ainé pour qu’il le bypasse, ce n’est bien entendu pas le but.

S’agissant d’une carte mère qui peut être utilisée dans le monde embarqué, je n’ai que peu de doutes sur la fiabilité du matériel.

Sophos UTM Introduction

Avec deux ados a la maison, le besoin de filtrer l’accès a Internet devient une nécessité. Le controle parental Windows n’étant ni fonctionnel sur leurs smartphones, ni sur leurs 3DS XL, j’avais besoin d’une solution indépendante.

Pendant très longtemps, j’ai utilisé un PC sous Linux configuré en proxy transparent. Mais la maintenance de cette solution était très chronophage, je me suis donc mis en recherche d’une autre solution.

Etant administrateur certifié Netasq, j’ai envisagé cela, mais pourquoi avoir la même chose à la maison qu’au boulot  ?

Donc j’ai téléchargé l’édition Home de Sophos UTM. Et je l’ai installé sur la même machine qui faisait fonctionner le routeur Linux. Inutile de préciser que cette machine devra avoir deux interfaces réseaux, si vous ne disposez pas d’un switch compatible VLAN.

Si vous faites parti des malchanceux qui ne peuvent pas régler leur boite en mode modem, il faudra créer un bridge entre votre interface privée et l’interface publique. L’idée est que l’UTM soit en coupure entre votre réseau et votre boite opérateur, afin qu’il voit tout le trafic et qu’il puisse l’intercepter et donc le filtrer.

 

Pebble

Jawbone UP, Fitbitt, Garmin Vivofit, et maintenant une Pebble (et toujours le vivofit à mon poignet). J’avoue qu’avoir un dispositif connecté mon poignet m’intéresse fortement, et j’attends la sortie de l’Apple Watch avec une certaine impatience, pour ne pas dire une impatience certaine.

Mais ça, c’était avant

Avant que je découvre la Pebble au détour d’un article sur un énième site Internet. Cet article annonçait la commercialisation de la montre chez un opérateur mobile, assorti d’un remboursement de 30 €. Ce qui fait la montre à 99€.

Je me suis donc précipité dans une boutique pour acheter l’objet, un peu avant Noël.

Je vais vous livrer mes impressions sur la chose.

Le packaging

La boite est en carton, sobre mais agréable à l’oeil, et qui rentre facilement dans la poche d’un manteau ou dans un petit sac. Quand on ouvre le carton, on retrouve la pebble en premier plan, à la mode Apple. On sort le tout, pour découvrir que sous la Pebble, il y’a le cordon USB de recharge, qui est aimanté. On y trouve aussi 2 petits documents, dont le guide de démarrage rapide.

Ergonomie

La montre est confortable à porter. J’ai acheté celle qui est tout en plastique. Comme toutes les montres de ce type, il faut absolument éviter de trop serrer le bracelet, sous peine de se retrouver avec d’énormes marques.

Cependant, sur un poignet d’homme, la montre n’est pas démesurée et reste confortable à porter. Elle ne fait pas non plus transpirer outre mesure.

L’autonomie & la recharge

Alors là, je ne vais pas y aller par 4 chemins : c’est la meilleure smartwatch du moment sur ce point là (même si la Garmin annoncée lors du CES 2015 sera encore meilleure). Je recharge ma Pebble une fois par semaine. Et la recharge prend 2h.

Celle-ci se fait via un câble USB, avec un connecteur propriétaire coté montre. Celui-ci est aimanté, mais je ne sais pas si c’est le cas de toutes les montres, ou seulement de la mienne, mais l’aimant est très très très faible, et au final le câble se débranche souvent.

Les personnalités

Avec la montre viennent 3 personnalités par défaut, qui sont très simples, mais assez jolies. La première est très intéressante pour apprendre à lire l’heure en anglais, puis qu’elle affiche l’heure telle qu’on la prononce dans cette langue. La seconde est une montre à aiguilles classique, et la troisième est une montre digital qui affiche les heures et les minutes.

Cependant, quand on installe l’application compagnon de la Pebble, on peut télécharger des centaines de personnalités, et surtout des applications qui vont étendre encore les possibilités de la Pebble.

L’application compagnon

IMG_2049.PNG

 

Veuillez noter que je ne vais présenter que les fonctionnalités de l’application iOS, étant donné que je n’ai plus d’Android depuis des années. 

La Pebble sans cette application, c’est comme avoir les pâtes sans fromage, il manque quelque chose d’essentiel.

En effet, cette application permet d’exploiter les fonctionnalités de la Pebble, et permet d’installer des nouvelles applications, ainsi que de nouvelles personnalités.

Notez que si vous avez un smartphone compatible Bluetooth 4 LE et que si vous êtes dans un rayon proche de celui-ci, la communication se fait en consommant beaucoup moins d’énergie.

Elle permet de gérer les applications installées sur la montre. Du fait du stockage limité, la Pebble ne peut embarquer que 8 applications simultanément. Mais pour l’instant, je n’ai pas trouvé cela limitant. Le compagnon permet de conserver les applications téléchargées mais non installées, afin d’éviter d’avoir à les prendre une seconde fois sur les serveurs de Pebble. On peut bien entendu purger les applications de la galerie, afin de faire du ménage sur son smartphone.

Les notifications

Je vais pas tourner autour du pot : c’est selon moi l’intérêt majeur d’une smartwatch par rapport à une montre classique.

Et la Pebble traite le sujet de fort belle manière. En effet, l’application Pebble sur l’iPhone se branche sur le notification center, ce qui lui permet de voir toutes les notifications. Et quand je dis toutes …

Les premières heures, mon poignet tremblait toutes les 3 minutes ou presque. Ceci m’a conduit à repenser les notifications sur mon iPhone, afin d’éviter d’avoir le poignet qui passe son temps à trembler. Au final, je filtre les notifications Mail pour que seuls les mails des VIP soient notifiés, et j’ai désactivé la notification à l’écran pour la plupart des applications. En fait, pour chaque application je me suis demandé si cela avait un intérêt qu’elle m’affiche ses infos directement. Au final, j’ai énormément réduit le volume d’informations qui arrivent sur ma montre pour ne retenir que celles qui m’importent. Ce qui a pour effet bénéfique que je regarde au final moins souvent mon téléphone.

Parmi les notifications, la réception d’un appel est particulièrement pratique, car on peut décrocher directement depuis la montre. Si on a un kit piéton ou une oreillette Bluetooth, on prend directement l’appel. Ce qui évite d’avoir à sortir son téléphone dans la rue. Et pour moi qui avait tendance à rater souvent des appels parce que je n’entendais pas mon téléphone sonner, ou que je ne le sentais pas vibrer à ma ceinture, c’est un énorme changement ! Je n’ai plus raté un seul appel téléphonique depuis que j’ai la Pebble à mon poignet.

Les applications tierces que j’ai acquis

Les applications Pebble sont gratuites. On paye les applications compagnon sur le smartphone. Bien sûr, l’application majeure qui permet de gérer sa Pebble est gratuite, et mise à jour régulièrement.

Cependant, j’ai investi dans une application supplémentaire sur la Pebble, qui me permet de consulter mon agenda depuis la montre. Ce qui est pratique quand on ne veut pas sortir son smartphone de sa poche.

Smartwatch+

IMG_2050.PNG

Véritable couteau suisse, cette application permet d’accéder aux calendriers du smartphone (notez le pluriel, j’ai deux calendriers Exchange, un pro et un perso qui sont affichés par la montre), aux rappels (même chose que pour les calendriers), à la météo et pleins d’autres choses. La fonctionnalité qui m’est très pratique est « Find my Phone », qui permet de faire sonner le smartphone. Vous imaginez aisément à quoi elle peut servir.

L’inconvénient est l’appairage entre la montre et le smartphone ne se fait qu’en bluetooth « normal » donc la consommation d’energie est beaucoup plus importante. Et là, ça devient problématique pour mon iPhone 5S, qui se vide en une journée, à peine. avant d’avoir une pebble, je ne le rechargeais que le soir, et il était à 35 ou 40 % de batterie.

 

Là, je suis obligé de le brancher le soir en rentrant chez moi, et bien souvent avant même de rentrer chez moi en utilisant une batterie USB. C’est un inconvénient majeur à mon avis et cela mitige un peu l’intérêt des applications additionnelles de ce type.

OS X : Restaurer depuis la ligne de commande

Ok, Time Machine est un outil génial, qui existe depuis Leopard (2007).

Cet outil permet de gérer ses sauvegardes sur son Mac. Ca parait stupide dit comme cela, mais au final c’est un outil comme j’aime : on le paramètre et on l’oublie.

Quand j’ai acheté mon MacBook Pro, j’ai acheté en même temps une borne TimeCapsule de 1To. Donc mon backup n’est pas hébergé sur un disque dur externe branché sur mon Mac, ce qui ajoute un peu plus de sécurité encore.

Hier soir, j’ai fait une connerie, j’ai supprimé un répertoire dans ma copie de travail du site internet d’une amie. Comme je développe en PHP poru ce site, j’ai installé un subversion sur mon serveur personnel pour gérer les multiples versions des fichiers, et pouvoir revenir en arrière.

 

Or, je suis tombé sur un OS en voulant commiter la dernière version du site. J’ai suivi quelques tutoriels sur StackOverflow, mais du coup, j’ai foutu en l’air la copie de travail sur mon Mac : impossible de la synchroniser.

 

Pour le coup, j’ai voulu dégainer Time Machine pour restaurer le répertoire supprimé, mais las, c’est un répertoire commençant par un . et donc, il n’apparait pas dans le finder.

 

C’est là que la commande tmutil intervient. J’avais déjà utilisé cette commande pour désactiver les sauvegardes locales (une fonctionnalité apparue sur 10.8 et qui permet de faire des sauvegardes même si on est pas sur son réseau local). Mais grâce à cette fonction, on peut contrôler complètement TM, en particulier restaurer des fichiers.

Accrochez vous, la commande est étonnante de simplicité :

pc55:~ oupsman$ tmutil restore -v /Volumes/Copies\ de\ sauvegarde\ Time Machine/Backups.backupdb/MacBook\ Pro\ de\ Benoit\ SERRA/2014-05-26-193829/Macintosh\ HD/Users/oupsman/wordpress /Users/oupsman/Documents/

It’s that easy

Par fainéantise et pour tester la validité de mon procédé, j’ai restauré la totalité du répertoire de travail, alors que j’aurais pu restaurer uniquement le répertoire supprimé.

Dans ce cas, j’aurais juste tapé cette commande :

 

pc55:~ oupsman$ tmutil restore -v /Volumes/Copies\ de\ sauvegarde\ Time Machine/Backups.backupdb/MacBook\ Pro\ de\ Benoit\ SERRA/2014-05-26-193829/Macintosh\ HD/Users/oupsman/wordpress/.svn /Users/oupsman/Documents/

Vous notez que je ne restaure pas à l’emplacement d’origine des données. C’est une vieille habitude, et une bonne pratique, afin de s’assurer qu’on ne casse rien en restaurant.

 

BAN, PAN, WAN LAN et autres TLA

TLA = Three letters acronyms. Je vais essayer de démystifier ici les différents acronymes que l’on peut recontrer dans le monde du réseau.

Attention, article vulgaire. Enfin de vulgarisation, mais c’est presque pareil.

On voit beaucoup d’acronymes à trois lettres dans le domaine des réseaux. Après la lecture de cet article, les WAN, MAN et BAN n’auront plus de secrets pour vous.

On distingue donc 5 acronymes dans le réseau. Je passerais que les FLA (four letters acronyms) qui sont souvent des déclinaisons d’un TLA.

WAN

World Area Network. Ce terme barbare désigne un réseau dont l’étendue est le monde. Ainsi, votre accès Internet est un réseau WAN. Et c’est pour cela que vous branchiez votre box internet (ou votre modem) sur le port WAN de votre routeur.

MAN

Metropolitain Area Network. Ici, cela signifie que le réseau est à l’échelle de la ville. Une société qui a plusieurs sites répartis sur la même ville va souscrire une offre MAN chez un opérateur. Cela permet à plusieurs LAN (cf plus bas) de communiquer entre eux. Ainsi, un lien MAN est communément plus performant qu’un lien WAN.

LAN

Local Area Network. Réseau Local en français. Cela désigne un réseau d’ordinateurs répartis dans une petite zone géographique. On retient en règle général un réseau d’ordinateurs compris dans un rayon de 100 à 200 mètres. Mais on peut ponctuellement étendre un LAN via des liens fibre optiques (ou autre) pour atteindre jusqu’à un kilomètre environ

VLAN

Virtual Local Area Network. Cela désigne un réseau local virtuel. Cela permet d’isoler des périphériques réseaux (serveurs, postes clients, imprimantes et j’en passe) les uns des autres. Tous ces équipements sont raccordés physiquement sur les mêmes équipements actifs, mais ceux-ci sont capables de les séparer de manière logique.

 WLAN

Wireless Local Area Network. Un réseau local qui passe par des ondes radios. Du WiFi quoi.

PAN

Personnal Area Network. Cela désigne des réseaux personnels, c’est surtout utilisé pour du Bluetooth pour relier entre eux des équipements personnels. La portée est de 10 mètres en règle général, on est ainsi vraiment à l’échelle d’une pièce.

BAN

Body Area Network. Cela désigne des réseaux à l’échelle du corps. Exemple : le NFC, qui permet le paiement sans contact. Ou le RFID, pour par exemple votre badge pour accéder dans le bâtiment ou vous travaillez. Ou encore, la puce tatouage de votre animal de compagnie.

 

Evolution vs Révolution …

Et voilà, c’est fait.

La grand messe est dite.

Il faut arrêter de croire que d’un modèle à l’autre, il y’aura une révolution. Ce n’est pas comme ça que peut évoluer un marché aussi porteur que la téléphonie mobile.

On prend l’exemple d’Apple : la gamme a réellement commencé à être intéressante avec le 3Gs (enfin, disons que c’est à la sortie du 3Gs que j’ai commencé à m’y intéresser de près)

L’évolution entre le 3Gs et le 4 a été légère. Celle entre le 4 et le 4s a été tout aussi légère. De même que l’évolution entre le 4s et le 5, ou entre le 5 et le 5s (par charité, je n’évoquerais pas le cas du 5c, qui est selon moi un accident dans la gamme).

Mais regardez l’évolution entre le 3GS et le 5s (4 ans d’écart) : elle est énorme, on peut presque parler de révolution.

Apple se garanti donc de ne pas (trop) se mettre à dos les clients ayant renouvelés ou acquis leur iPhone dans les 2 dernières années.

De nombreux possesseurs de 3Gs vont renouveler, quelques possesseurs de 4 aussi, et peu des possesseurs du 4S ou du 5 sont sauter le pas. Et c’est NORMAL.

Imaginez, vous achetez à prix d’or un smartphone et 1 an après, le modèle qui sort l’explose complètement. Vous auriez la haine non ? Et aucune société ne peut pas le permettre.

On peut broder autant que l’on veut sur le manque d’innovation d’Apple, qui ne parvient plus à surprendre à chaque annonce, et bla et bla et bla.

Sauf que …

Les dernières annonces qui ont réellement surpris étaient l’iPad 1 et l’iPhone 1. C’est à dire, des produits différents, innovants, et pour lesquels les rumeurs étaient muettes, ou presque.

Car oui, si on n’est plus surpris des annonces Apple, c’est peut être tout simplement parce que les rumeurs dévoilent quasiment toutes les caractéristiques techniques des iDevices, avant même qu’ils ne sortent. N’est-ce pas dommage ?

Personnellement, je ne m’intéresse pas aux rumeurs, je préfère les faits concrets. Que cela soit pour les appareils photos ou pour le matériel « informatique ». Cela permet d’être agréablement surpris par les annonces, sachant que je n’attends rien de particulier coté matériel : je veux un truc qui marche.

Parce que oui, le principal reproche que je fais aux différentes marques, c’est qu’elles insistent beaucoup trop sur le hardware, ou sur telle ou telle fonctionnalité logicielle. Mais elles oublient un point important, c’est que la technologie doit s’effacer derrière l’utilisabilité de leur produit.

En fait, la technologie en tant que telle n’apporte rien. Elle doit porter des usages supplémentaires, ou améliorer l’usage existant. Changer de technologie pour la technologie n’est pas une finalité, et surtout ne doit pas l’être.

Savoir que l’iPhone 5s dispose d’une batterie de 1570 mAh ou d’une batterie de 1200 mAh, je m’en contre cogne. Par contre, savoir qu’il tient 10h en conversation, 4h en navigation GPS et 250h en veille (alors qu’un smartphone n’est JAMAIS en veille), ça cela m’intéresse.

Savoir qu’il dispose d’un processeur 64bits, je m’en fiche. Savoir par contre qu’il fait des photos nettes dans 99.999% [1] des cas, parce que le processeur dispose de suffisamment de puissance de calcul pour analyser finement les photos prises et corriger la netteté, ça, ça m’importe.

Savoir qu’il dispose d’un coprocesseur M7 pour gérer les capteurs sensoriels, ça m’en secoue une sans faire bouger l’autre. Par contre, comprendre que grâce à cette puce, iOS réveillera moins souvent le A7, très consommateur en énergie, est important. Que grâce à cette puce, le 5s analyse les conditions pour s’y adapter, et arrêter de scanner les réseaux environnants quand on est en voiture, et ainsi éviter de consommer de la batterie (pour la puce Wifi) et du temps CPU pour les calculs (et donc de la batterie, puisque l’activité CPU consomme de la batterie), ça c’est très bien. Que le smartphone analyse les mouvements et détecte que si il est immobile, il n’a pas besoin de réveiller les applis aussi souvent pour les accès réseaux, tout cela concourt à une meilleure autonomie et augmente l’utilisabilité du terminal.

Passons maintenant au logiciel.

iOS 7 semble prendre un chemin plus intéressant que les autres systèmes. La simplification et l’allègement de l’interface sont à l’ordre du jour. iOS 7 marque enfin la fin du skeumorphisme, ce qui est loin d’être un mal. La nouvelle interface de l’application Paypal m’a ainsi fait très plaisir à voir. On abandonne le splash screen imitation cuir bleu au lancement, pour un splash screen plus sobre. L’ensemble de l’application est aussi plus sobre à l’oeil.

Les premières captures d’écran d’iOS 7 montrent un système plus sobre à l’oeil, moins bling bling. Le multitâche semble enfin être géré correctement, même si le système limite toujours le nombre de tâches qui tournent en arrière plan. Ceci concourant à une meilleure autonomie.

Ce qui me semble être la bonne approche, au contraire des autres constructeurs, qui vantent les capacités de leur batterie, le nombre de coeurs de leur processeur ou la capacité RAM de leur téléphone. Mais oublient fort obligeamment de parler des utilisations possible pour ce concours de bitecette débauche de puissance.

Et c’est dommage, car il faudrait insister sur ce point.

A mon avis.

Mais il n’engage que moi.

[1] chiffre fictif et je me contrefous du chiffre réel : je n’ai qu’un usage point and shoot de mon iPhone. Quand je veux faire une photo parfaitement nette et piquée, je prend mon 5D Mark 2 avec mon flash et mon 24-105 L…

Configuration d’une passerelle Linux pour accéder au VPN Ovh

Annoncée le 12 avril en version bêta par Octave himself, l’offre VPN OVH pour les particuliers est très intéressante :

débit symétrique de 10 Mbps

Support jusqu’à 3 clients (premier client à 5 € HT par mois puis 1 € HT par client supplémentaire)

Basé sur IPSec donc standard du marché utilisable partout et par toutes les plateformes, même les plus exotiques (Windows Phone …. )

 

Si les tutoriaux disponibles sur le site sont clairs et expliquent la procédure à suivre pour configurer le VPN sur un terminal client, ce post de blog a pour ambition d’expliquer comment faire pour configurer ce VPN sur une passerelle Linux, pour en faire profiter l’ensemble des terminaux raccordés dans la maison (TV connectées, lecteurs bluray, and so on … )

NB : les commandes sont celles utilisées par Debian, parce que c’est ce qui tourne sur mon routeur

On commence par installer les paquets nécessaires :

root@proxy:~# aptitude install vpnc vpnc-scripts
The following NEW packages will be installed:
vpnc
0 packages upgraded, 1 newly installed, 0 to remove and 16 not upgraded.
Need to get 95.5 kB of archives. After unpacking 258 kB will be used.
Get: 1 http://ftp.fr.debian.org/debian/ wheezy/main vpnc amd64 0.5.3r512-2 [95.5 kB]
Fetched 95.5 kB in 0s (212 kB/s)
Selecting previously unselected package vpnc.
(Reading database … 101409 files and directories currently installed.)
Unpacking vpnc (from …/vpnc_0.5.3r512-2_amd64.deb) …
Processing triggers for man-db …
Setting up vpnc (0.5.3r512-2) …

On attend ensuite impatiement le mail confirmant l’inscription, qui arrive au bout de quelques minutes :

support@ovh.com
8:34 AM (9 minutes ago)

to me

OVH – http://www.ovh.com
2 rue Kellermann
BP 80157
59100 Roubaix

Bonjour,

Nous vous confirmons l’activation de votre compte VPN chez OVH.

Vos informations de connexion groupe sont les suivantes :

– Serveur / Adresse / Passerelle : 111.222.123.234

– Groupe / Identifiant IPsec : gyyyy.vpn
– Clé partagée / PSK / Mot de passe IPsec : nonmaisvouscroyezquejevaismettrelevraimotdepasse?

Vos informations d’utilisateur sont les suivantes :

– Nom d’utilisateur : user1@gyyy.vpn
– Mot de passe : xxxxxxxxxx
Vous trouverez de l’aide pour la configuration sur différentes plateformes sur nos guides :
– Windows : http://www.ovh.fr/g1052.vpn-ovh-configuration-windows
– Mac OS : http://www.ovh.fr/g1045.vpn-ovh-configuration-mac
– Linux : http://www.ovh.fr/g1046.vpn-ovh-configuration-linux
– iOS : http://www.ovh.fr/g1047.vpn-ovh-configuration-ios
– Android : http://www.ovh.fr/g1048.vpn-ovh-configuration-android
– BalckBerry : http://www.ovh.fr/g1049.vpn-ovh-configuration-blackberry

RAPPEL des conditions de l’essai gratuit du VPN OVH :
– Accès gratuit activé pour une durée de 1 mois maximum
– IPv4 fixe publique dédiée Française
– Compte pour 1 utilisateur
– Service et infrastructure soumis à modifications sans avis préalable

Cordialement,

L’équipe OVH

Pendant la phase de Bêta gratuite, vous pouvez nous contacter et partager vos avis ou questions via notre mailing-liste vpn@ml.ovh.net
Inscrivez-vous en envoyant un e-mail à : vpn-subscribe@ml.ovh.net

Cordialement,

Support Client OVH
Support Technique : 08.99.49.87.65 (1,349 Euro/appel + 0,337 Euro/min)
Support Commercial : 08.20.69.87.65 (Numéro Indigo 0,118 Euro/min)
Fax : 03.20.20.09.58
E-mail : support@ovh.com
Du lundi au vendredi : 8h00 – 20h00
Le samedi :            9h00 – 17h00

On crée le fichier de configuration (default.conf, on se fait pas ch.er) :

#IPSec gateway <gateway>
#IPSec ID <group-id>
#IPSec secret <group-psk>
#IKE Authmode hybrid
#Xauth username <username>
#Xauth password <password>
IPSec gateway 111.222.123.234
IPSec ID gyyy.vpn
IPSec secret nonmaisvouscroyezquejevaismettrelevraimotdepasse?
#IKE Authmode hybrid
Xauth username user2@gyyy.vpn
Xauth password pisquoiencore?

On lance ensuite la connexion :

root@proxy:~# vpnc default.conf
VPNC started in background (pid: 12511)…

On ajoute ensuite ceci dans le firewall du Linux :

VPN=’tun1′

#VPNERIES
${IP4T} -t nat -A POSTROUTING -o ${VPN} -j MASQUERADE

Pour n’autoriser que google (au hasard) à passer par le VPN :

On commence par noter la passerelle par défaut habituelle (ou pas … )

Une fois que la connexion au VPN est établie, VPNC remplace la route par défaut poru que tout le trafic passe par le VPN.

On supprime donc la route :

route del default dev tun0

On refait la configuration DHCP de notre box (afin de récupérer la default gateway, je suis un gros flemmard) :

dhclient eth0.200

On ajoute ensuite les routes vers les 2 /16 que je connais de Google :

route add -net 74.125.0.0 netmask 255.255.0.0 dev tun0

route add -net 173.194.0.0 netmask 255.255.0.0 dev tun0

 

 

 

Pendant ce temps là …

Pendant que la France a les yeux rivés sur Jérôme CAHUZAC et sur le projet de loi « Mariage pour tous », dans d’autres parties du monde, il se passe des trucs pas franchement cools, voir même carrément pénibles.

Ainsi, il y’a tout juste 2 ans, une certaine centrale nucléaire faisait la une des journaux. A raison. Les évènements qui s’y déroulaient à l’époque étaient graves, très graves et pouvaient potentiellement mettre en péril l’humanité.

Au vu du silence radio dans les médias depuis ces évènements, on pourrait penser que la situation est stabilisée, ou du moins sous contrôle.

Que nenni.

Ainsi, on apprend qu’un réservoir de stockage aurait fuit, répandant ainsi 120 tonnes d’eau contaminées.

Quelle visibilité dans les médias ? Aucune. Certes on trouve des articles sur les différents sites d’informations, mais ils sont planqués au fin fond des sites, et n’ont aucune visibilité.

Il y’a 2 ans, ces articles faisaient la une des sites.

Cette centrale continue à être dangereuse (elle est tellement bien protégée qu’un rat a réussi à faire court circuit et stopper le système de refroidissement d’une piscine de stockage de combustible usagé) mais les médias n’en parlent plus. Pire, le public ne sait même plus ce qui s’y passe. Je ne dis pas qu’il faut revenir à la situation d’il y’a deux ans, ou les médias tombaient dans le sensationnalisme, mais un minimum d’information serait bon. sans être obligé d’aller la chercher au fin fond des sites bien sûr.

Car personnellement, apprendre qu’un Ministre de la République dispose d’un compte en Suisse, compte sur lequel il aurait déposé plus d’argent que j’en gagnerais jamais dans toute ma vie, je m’en contre cogne. Mais alors un point que vous pouvez pas imaginer.

Par contre, savoir que des possibles produits toxiques sont répandus dans la mer ou dans l’atmosphère, ça me concerne. De près.

 

 

Oh les fouilles merdes, vous avez fini oui ?!

Derrière ce titre violent, se cache un billet désabusé.

Désabusé par l’actualité qui a marqué (de loin) ce 1er avril.

Suite au décès d’un candidat de Koh Lanta, le médecin de l’émission a été accusé de tous les maux.

Il s’est suicidé le 1er avril, s’estimant sali par les médias.

Au dela du suicide, tragique, c’est surtout l’attitude des médias depuis le décès du candidat qui me choque.

Ces médias, tant papier qu’en ligne font plus du sensationnalisme que du journalisme sur ce sujet. Ils ne font que colporter des ragots, des rumeurs sans être capable de les étayer par des faits vérifiables.

Pire, ils font passer ces ragots pour des faits. Alors que cela n’en sont pas.

Malheureusement, cela a des conséquences. Qui peuvent prendre assez facilement des conséquences démesurées. Certaines personnes attachent une grande importance à leur honneur, en particulier les personnalités qui ont une visibilité publique.

D’ou les innombrables procès en diffamation qui émaillent les médias actuels.

Cependant, l’effet est parfois tellement important, que même la réhabilitation d’un procès ne peut rien y faire. Ce qui conduit parfois au suicide.

Alors Messieurs les journalistes, contentez vous de faire votre métier et de relater des faits. Et non des rumeurs. Vérifiez vos sources, étayez vos conclusions. Faites votre travail quoi !

Cela contribuera à sauver des vies.

Comme une envie de vomir

J’ai comme une envie de vomir. Non je n’ai pas une quelconque maladie gastrique. Et ne j’ai rien mangé récemment qui puisse déclencher une intoxication alimentaire.

Non, ce qui me rend malade, c’est les évènements de Dimanche 24 mars 2013..

Cette manifestation « pour tous » me laisse un mauvais goût dans la bouche.

Déjà, que les organisateurs puissent oser se prétendre défendre tout le monde, ça me dégoute. Qu’ils veuillent exprimer leurs pensées et leurs avis sur la question du mariage pour tous est louable : nous sommes en démocratie, tout le monde a le droit de s’exprimer.

Mais qu’ils cherchent à m’associer à leurs idées, à leur expression de la démocratie, là je ne l’accepte pas.

Que leur lecture et leur compréhension du projet de loi soit biaisée leur échappe.

Je ne ferais pas de lecture du projet de loi sous l’angle juridique. Maitre Eolas l’a admirablement réalisé pour moi, ici et ici

Cette loi cherche juste à rétablir l’égalité. Tout simplement. Cette égalité refusée sous prétexte de mœurs différentes.

Je vais juste vous livrer ici mes réflexions sur ce projet de loi et essayer de rétablir des vérités (et donc démonter des arguments).

Non, cette loi ne cherche pas à faire croire qu’un enfant peut naitre de l’union d’un couple homosexuel, contrairement à ce qu’on peut lire dans les commentaires de certains articles sur lemonde.fr (1).

Non ce projet de loi ne remet pas en cause la filiation. Seuls sont modifiés les articles traitant du mariage. Qui pourrait ainsi être consenti entre 2 personnes du même sexe.

Non cela ne remet pas en jeu la notion actuelle de Famille. Cela élargit cette notion et donne (enfin je dirais) la même protection aux couples homosexuels qu’aux couples hétérosexuels.

Non les homosexuels en couple n’ont pas la même protection que les couples (hétéros donc) mariés.

Non la vie de couple ne se résume pas au mariage. Non les enfants ne naissent pas tous dans des couples mariés : dans 53% des cas, les premiers enfants d’un couple naissent hors mariage. Le mariage vient après, car en gros 60 % des seconds enfants naissent dans un couple marié.

Oui, cette loi revoit la notion d’adoption et stoppe la discrimination dont sont victimes les couples homosexuels. Une personne célibataire est parfaitement en droit d’adopter un enfant. Cependant, les demandes d’adoption de la part de personnes vivant avec un compagnon du même sexe sont systématiquement refusées. La France a perdu un procès devant la cour européenne des droits de l’homme pour ce motif …

Non les enfants adoptés et/ou élevés par des couples d’homosexuels ne risqueront rien. A ma connaissance, les pays ayant déjà légalisés ce genre de chose depuis des années n’ont pas vu d’augmentation des crimes, des suicides et autres choses. Arrêtons de nous balancer des études à la gueule, études qui vont bien entendus dans notre sens et que nous prenons pour argent comptant. Il ne faut pas laisser son cerveau au vestiaire, ce que font bien des opposants au projet.

 

 

(1) vous noterez que ceux qui défendent cela croient, pour certains, dur comme fer que Jésus est né d’une femme n’ayant eu aucune relation sexuelle.

Youtube & Free

Free a des problèmes de peering avec Google. C’est indéniable.

Free ne veut pas payer l’upgrade des lignes et supporter les modifications de trafic due à Google. C’est normal, c’est comme ça que fonctionne Internet depuis le début.

Ceci dit, c’est quand même nous, les utilisateurs, qui somment lésés car il est impossible d’aller sur Youtube le soir, et quasiment impossible d’y aller en journée.

Alors la solution, c’est de changer d’opérateur ? Que nenni …

On peut commencer par utiliser une des offres VPN qui pullulent, et dont ce n’est pas le but premier, mais on ne va pas s’attacher à des détails.

On peut aussi, quand on a loue déjà un serveur dédié chez OVH, installer un petit openvpn dessus, et l’utiliser ensuite pour surfer sur Youtube.

C’est ce que j’ai fait.

Je passerais sur la configuration de base de l’openvpn, c’est très bien détaillé dans différents sites sur Internet.

Cependant, j’y ai ajouté une couche de difficulté supplémentaire, qui est de faire en sorte que le serveur ne prenne en charge QUE le trafic vers Google.

Il suffit d’ajouter quelques lignes dans le fichier de configuration Openvpn :

push "route 74.125.0.0 255.255.0.0"
push "route 173.194.0.0 255.255.0.0"

Bon, vous allez me dire que si l’utilisateur est malin (et il le sera !) il peut tripoter la configuration de sa bécane pour qu’elle route TOUT son trafic via le VPN, risquant ainsi de faire passer des flux peu recommandable.

C’est pour cela que la configuration d’iptables sur le serveur VPN est un poil plus complexe :

#!/bin/bash
set -x

# Ressetting Firewall
iptables -F
iptables -t nat -F
iptables -X LOGGING

# Known networks
VPN="10.8.0.0/24"
GOOGLE="74.125.0.0/16,173.194.0.0/16"

# Interfaces
IFACE="eth0"
VFACE="tun0"

#Creating a LOGGING table for dropped packets

iptables -N LOGGING
iptables -A LOGGING -m limit --limit 60/min -j LOG --log-prefix "IPTables-Dropped: " --log-level 4
iptables -A LOGGING -j DROP

# Allow traffic initiated from VPN to access "the world" only if destination is a Google address

iptables -A FORWARD -i ${VFACE} -o ${IFACE} -s ${VPN} -d ${GOOGLE} -m conntrack --ctstate NEW -j ACCEPT
iptables -A FORWARD -j LOGGING

# Allow established traffic to pass back and forth

iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

# Masquerade traffic from VPN to "the world" -- done in the nat table

iptables -t nat -A POSTROUTING -s ${VPN} -d ${GOOGLE} -o ${IFACE} -j MASQUERADE

Commentaires ouverts, lâchez vous.