GuiGui's Show

Concaténer 3 foutus fichiers mp4 sans se prendre la tête ? MP4Box 1.mp4 -cat 2.mp4 -cat 3.mp4 -out total.mp4

Dans Debian, c'est le package gpac. Ça juste fonctionne sans se prendre la tête avec fffmpeg/avconv < 3

« La secrétaire d’État au numérique Axelle Lemaire a fait rejeter mercredi soir l’amendement proposé par Nathalie Kosciusko-Morizet (NKM), qui avait proposé d’instaurer des backdoors obligatoires dans les appareils permettant de communiquer de manière chiffrée. La ministre s’était déjà dit favorable au droit au chiffrement, mais elle a rappelé cette position au nom de l’ensemble du gouvernement, y compris donc le ministère de l’Intérieur.

« Ce que vous proposez c’est une vulnérabilité by design », a expliqué Mme Lemaire, reconnaissant que c’était une demande croissante des forces de l’ordre. « C’est inapproprié. D’abord parce que ce n’est pas l’objet de la loi. Ensuite parce que le texte confère une nouvelle mission à la CNIL, qui est la promotion du chiffrement. Enfin parce que l’actualité récente montre à quel point le fait d’introduire des failles délibérément à la demande — voire parfois sans le savoir  —des agences de renseignement a un effet qui est de nuire à l’ensemble de la communauté ».

Mme Lemaire a fait référence explicitement à la position des Pays-Bas qui ont fait du chiffrement un droit de l’homme, et de l’affaire Juniper qui pose encore le trouble sur les fournisseurs de matériels.

Avec un backdoor, « les données personnelles ne sont plus du tout protégées », a fait remarque Axelle Lemaire. « Même si l’intention [de donner des moyens aux forces de l’ordre] est louable, ça ouvre aussi la porte à des acteurs qui ont des intentions moins louables, sans parler des dommages économiques possibles pour l’atteinte à la crédibilité des entreprises qui prévoient ces failles ». »

Un de mes disques dur externe de 2To m'a lâché. Pas de problème, j'avais un backup local et un backup distant (cazoù la maison brûle, vol,...).

Mais, du coup, je n'ai plus de backup local. Que faire ? Acheter un nouveau disque 2To ou utiliser 2 disques dur (1To + 320G) que j'ai en rabe (ceci est possible car je peux récupérer le contrôleur SATA/USB du disque qui vient de rendre l'âme) ? La deuxième solution est peu pratique en cas de déménagement et risquée (ces disques ne sont plus de première jeunesse) mais d'un autre côté, ça permet d'utiliser des disques que je garde depuis plusieurs années sans jamais m'en servir...

Comment on agrège les deux disques physiques pour en former un seul au niveau logique ?
    * RAID 0 ? La perte d'un seul disque et c'est la perte de toute la grappe donc, vu l'âge des disques utilisés et le fait que je ne recherche pas la vitesse (ça serait stupide sur des liens USB...), ça sera non.

    * NRAID / mhddfs (https://romanrm.net/mhddfs) ? Le concept est excellent mais non car il écrit sur le disque dur qui a le plus d'espace libre alors que je veux une position fixe des données (tels dossiers sur le premier disque, tels dossiers sur le second), pas de changement automatique.

    * On utilise un lien symbolique d'un disque à l'autre pour ne pas perturber l'humain et le logiciel de sauvegarde ? Yep. /media/disque1/{toto,titi,lala,lolo,tutu} sont des vrais dossiers stockés réellement sur disque1 et /media/disque1/bidule est un lien symbolique vers /media/disque2/bidule donc bidule est physiquement stocké sur disque2. Ainsi, en regardant /media/disque1, on voit toute l'arborescence, tout est transparent, on ne voit pas la répartition entre les disques.

Pour mes backups locales, j'utilise luckybackup. Or, par défaut, il veut juste copier le lien symbolique, il ne le suit pas pour voir son contenu et le comparer. C'est là que la ressource pointée par ce shaarli entre en jeu : il faut demander à luckybackup de passer les options « -k » et « -K » à rsync (logiciel utilisé en nègre par luckybackup). Pour ce faire, il faut aller dans les propriétés d'une tâche, bouton « Advanced », onglet « Command Options », « User defined ».

« Députée des Deux-Sèvres et ancienne ministre des gouvernements Ayrault (d’abord déléguée à la Justice, puis ministre de l’Écologie), Delphine Batho a déposé sur le bureau de la Commission des lois de l’Assemblée nationale un amendement n°CL129 au projet de loi pour une République numérique d’Axelle Lemaire, qui propose d’entamer les travaux de conception d’un « système d’exploitation souverain ».

L’élue socialiste demande d’abord que le gouvernement produise un rapport sur « la possibilité de créer un Commissariat à la souveraineté numérique » [...]

Selon Delphine Batho, le Commissariat à la souveraineté numérique devra concourir « à l’exercice, dans le cyberespace, de la souveraineté nationale et des droits et libertés individuels et collectifs que la République protège ». Il devra chapoter la mise en place d’un « système d’exploitation souverain et de protocoles de chiffrement des données ». »

Tu le sens l'enfumage dans le dernier paragraphe (en relation avec ça http://shaarli.guiguishow.info/?nAe4EA - NKM demande des backdoors contre le chiffrement ) ? Après le fiasco clown français qui n'a fait rire personne (voir http://shaarli.guiguishow.info/?dr2YyQ - Le flop (coûteux) du cloud souverain à la française, suite et fin), on va peut-être avoir droit au système d'exploitation français avec des backdoors françaises conçu là aussi par de grosses sociétés commerciales amies du gouvernement qui ne savent ni innover ni rivaliser, auxquelles on va encore et toujours filer de la thune publique qui sera gaspillée sans tenir compte des échecs passés. Le nationalisme/renfermement sur soi au lieu de contribuer au logiciel libre (qui permet la souveraineté) me fera toujours autant gerber. :( Je *NE* veux *PAS* d'un système d'exploitation français à la con, je veux une contribution forte au logiciel libre et un renforcement de son usage à l'école et dans les administrations ! Stop réinventer la roue, go avancer intelligemment.

« Alors que le projet de loi pour la République numérique d’Axelle Lemaire est examiné cette semaine en commission à l’Assemblée nationale, plus de 430 amendements ont d’ores et déjà été déposés sur le texte, qui promet des débats et une bataille parlementaire plus vifs qu’attendu.

Parmi les amendements figure le n°CL92 de Nathalie Kosciusko-Morizet, extrêmement mal rédigé sur le plan juridique, mais dont les motifs ne laissent aucun doute quant aux intentions. Il s’agit bien de donner aux pouvoirs publics l’accès sur demande aux clés de chiffrement ou à des moyens détournés de déchiffrer un message, et d’obliger les concepteurs de moyens de chiffrement à conserver un double des clés ou à créer un backdoor.

[...]

Le fait que NKM reconnaisse elle-même que l’amendement n’a que pour objet « d’ouvrir le débat » montre que la vice-présidente des Républicains n’a heureusement pas l’espoir de faire adopter son texte. Mais son éventuel examen en commission voire en séance plénière permettra de connaître la position de principe du gouvernement. »

On connaît déjà l'avis du gouvernement. Pour ma part, ça sera un : NON, juste NON, N-O-N à ce genre de merde. Sur son blog, Zythom, expert judiciaire en informatique, nous rappelle deux choses : 1) une enquête ne repose jamais uniquement sur des éléments techniques (voir http://www.liberation.fr/futurs/2015/09/13/cryptographie-la-justice-cherche-la-cle_1381801) donc ne pas casser le chiffrement d'un ordinateur, ordiphone, tablette ou autre ne signifie pas que c'est la fin de l'enquête et l'immunité des coupables 2) si une enquête repose uniquement sur des preuves techniques, ça ouvre la porte à des erreurs judiciaires (lire http://zythom.blogspot.fr/2007/12/lternel-voyage-de-la-science.html).

EDIT DU 13/01/2016 À 20H10 : Suite : http://shaarli.guiguishow.info/?as1-ow - amendement retiré suite à l'avis négatif du gouvernement. FIN DE L'ÉDIT.

« Ainsi l’UFC-Que Choisir raconte l’histoire d’un client du Crédit Agricole, qui avait d’abord demandé sans succès à la CNIL qu’elle oblige la banque à lui fournir une carte non-NFC. Dans un deuxième temps, le client avait demandé que le Crédit Agricole désactive la fonction de paiement sans contact sur sa carte VISA. Mais selon l’association de consommateurs, « pour toute réponse, la banque a mis son client à la porte, le sommant de restituer tous ses moyens de paiement ».

[...]

Selon le site CBanque, seule La Banque Postale proposerait encore des cartes de paiement sans NFC, le « sans contact » n’étant proposé qu’en option gratuite. D’autres banques comme la Société Générale et sa filiale Boursorama Banque proposent une activation et une désactivation à distance, par le client lui-même qui peut choisir l’état de la fonction depuis son smartphone. D’autres enfin, et c’est théoriquement le cas du Crédit Agricole, proposent en principe des cartes sans NFC. Mais entre la théorie et la pratique, il y a un grand pas.

À défaut d’obtenir gain des cause, les clients inquiets pourront toujours s’équiper d’un étui anti-NFC, qui fait office de cage de Faraday. Selon un article de 01Net de 2014, la Banque de France inquiète d’un possible scandale sur le manque de sécurité des cartes de paiement sans contact aurait exigé que les banques se dotent d’un stock d’étuis de protection, à hauteur de 10 % des cartes NFC en circulation. »

La Banque de France a pris cette décision par pure bonté ou c'est la reconnaissance officielle des problèmes dont on a déjà connaissance depuis plus de 4 ans ? :))))

Comme j'oublie à chaque fois, je note ça ici...

Avec irssi et nickcolor :
    * /script load nickcolor

    * /color preview

    * /color set <pseudo> <numero_couleur>. Pour obtenir les numéros des couleurs, c'est la commande précédente.

    * /color save . Pour rendre vos attributions de couleurs résistantes à une fermeture d'irssi.

Sinon, la colorisation des pseudos (comme d'autres trucs qu'on a via des scripts dans irssi) est une fonctionnalité intégrée de base dans WeeChat.

Un truc auquel on pense rarement quand on cause d'auto-hébergement et d'adresse IPv4 dynamique, c'est à quel point c'est relou lorsque l'on utilise XMPP (messagerie instantanée) avec son serveur à la maison.

En effet, lors d'une conversation, XMPP utilise deux connexions TCP entre les serveurs XMPP de chaque correspondant. La première délivre les messages (et les accusés de réception) écrits par le correspondant 1 au correspondant 2. La deuxième connexion... délivre les messages écrits par le correspondant 2 au correspondant 1.

Donc, lorsque le correspondant 1 change d'IP, son serveur XMPP n'en a pas conscience (car l'adresse IP publique est attribuée à un routeur en amont du serveur) et continue donc à vouloir transmettre les messages du correspondant 1 au 2e correspondant comme si de rien n'était... On a donc une première session TCP aux caractéristiques suivantes : {nouvelle_IP_correspondant_1, sport, IP_correspondant_2, 5269 }. Le serveur du correspondant 2 n'a pas cette session dans sa table (lui il a {ancienne_IP_correspondant_1, sport, IP_correspondant_2, 5269 }) et casse donc la session avec un RST en mode "hé, d'où tu me causes, je te connais pas !". Donc le serveur du correspondant 1 monte une nouvelle connexion TCP et... ça fonctionne : correspondant 1 est bien en mesure de parler à correspondant 2.

Par contre, correspondant 2 ne peut pas répondre à correspondant 1 car le serveur XMPP de ce premier continue à émettre à destination de l'ancienne IP du correspondant 1. Comme elle n'est pas réattribuée immédiatement par le FAI, il n'y a pas de RST... Il faut donc attendre l'expiration des timers TCP soit entre 15 minutes et 20 minutes constatées. Étant donné que l'on essaye de transmettre quelque chose (il y a toujours quelque chose à transmettre : état, présence,...), je pense que c'est le paramètre « tcp_retries2 » du noyau qui influe (« The maximum number of times a TCP packet is retransmitted in established state before giving up. The default value is 15, which correspondants to a duration of approximately between 13 to 30 minutes, depending on the retransmission timeout. [NDLR : qui dépend lui-même du RTT de la connexion, de nos jours] ». En cas d'inactivité complète (si c'est possible, je n'y crois pas avec XMPP), je ne pense pas que tcp_keepalive_{time,intvl,probes} agisse puisque ejabberd coupe les connexions TCP de manière normale (FIN+ACK) après 10 minutes d'inactivité).

Une adresse IP dynamique, c'est juste mortel avec XMPP : on obtient une conversation à sens unique et ça casse bien comme il faut le rythme de la discussion. Note à ceux et celles qui ont un accès Internet avec une IP dynamique : bougez-vous pour changer de FAI, sérieusement ! Et si vous voulez faire le beau / la belle avec votre fibre optique, utilisez au moins un VPN chez un FAI de la fédération FDN. :-

En ce moment, voici ce qui me fait vraiment chier sur le web :
    * Les vidéos natives (pas flash) youtube/dailymotion/arte.tv/autre incrustées sur des sites web avec, dans l'URL, « autoplay=1 ». Genre en bas des articles du Monde ou sur Arte.tv (exemple : http://www.arte.tv/guide/fr/060809-000/world-brain?autoplay=1) ou ailleurs (exemple : http://soocurious.com/fr/pole-sud-photographie/ ).
        Putain mais quand j'ai terminé la lecture d'un article de presse, je réfléchis sur ce que je viens de lire pour me faire une opinion donc me gueuler de la merde dans les oreilles, même si c'est relatif au contenu que je viens de lire, c'est pas du tout le bon plan, ça ferme directement mon esprit, pas moyen que j'écoute ce que vous avez à me dire / à me vendre avec une telle intrusion dans mes pensées ! Game over !
        Même chose quand je suis dans l'optique de regarder « 49 clichés qui vous font voyager dans les étendues glacées du pôle Sud » : je suis dans un moment de détente, je ne m'attends pas à une vidéo (on m'a dit « clichés ») et encore moins à une vidéo précédée par une pub pour des serviettes hygiéniques Always... Je m'attends encore moins à tout cela quand cette page web a été shaarlié chez quelqu'un que je suis (et donc à qui j'accorde une certaine confiance). Conclusion : fermeture de l'onglet Soocurious dans la foulée, ça peut finir que comme ça.
        Pour Arte.tv, c'est beaucoup moins facile de gueuler : j'aurai dû voir le « autoplay=1 » dans l'URL transmise par une pote, on nomme ça la vigilance. :(

    * Youtube autoplaye les vidéos par défaut. On peut désactiver ça mais il faut activer les cookies, chose que je ne fais plus depuis 1 mois (voir à la fin de http://shaarli.guiguishow.info/?1E_GKw pour les détails). Par ailleurs, le niveau sonore du lecteur est aussi stocké dans un cookie... donc à chaque fois, le son d'une vidéo est à fond ! Plutôt que de râler, j'ajoute une exception pour autoriser Youtube à stocker des cookies et basta ? N-O-N, car le raisonnement de Youtube est insidieux : *par défaut*, il est normal de se faire crier dans les oreilles et il est normal d'activer un paramètre pour que ce comportement change. Hé bah non, je suis en désaccord : par défaut, tu fermes ta gueule et tu l'ouvres seulement quand je clique sur une vidéo.


Quelles solutions à ces problèmes ?
    * Mon premier conseil sera de bien faire attention à bien révoquer les permissions temporaires que vous accordez avec NoScript car ça peut être indirectement à l'origine des autoplay que je décris ci-dessus. Exemple concret : la pollution sonore en bas des articles du Monde se produisait chez moi car une permission temporaire permettait le chargement du cadre contenant la vidéo alors qu'il est bien bloqué par défaut par NoScript.

    * Dans about:config, passer la valeur de « media.autoplay.enabled » à false. Voir : http://techdows.com/2015/06/stop-html5-videos-autoplay-in-firefox-with-a-preference.html . Il faudra donc cliquer sur chaque vidéo pour que la lecture commence. Testé sur mon ordiphone (Firefox 43 via f-droid) : c'est juste parfait < 3 . Cette solution est totalement noob-friendly vu qu'elle ne casse rien : un clic et pouf la vidéo commence, ce que me semble être intuitif. C'est juste trop beau : cette fonctionnalité n'est pas disponible avant la version 41 de Firefox. Dans Debian stable, nous avons la version 38... :'(

    * En attendant Firefox 41, on peut penser à passer la valeur de « plugins.click_to_play » à true dans about:config. Ça fonctionne avec Java, avec Flash mais pas avec les vidéos natives... Même chose pour bon nombre d'extensions recommandées sur les forums pour faire taire ces autoplay : elles fonctionnement uniquement si l'on utilise Flash. Le temps de flash est révolu, merci de mettre à jour vos connaissances et vos habitudes et de ne plus utiliser cette daube non-libre constamment pleine de failles de sécurité !

    * On pourrait ne plus consulter ces sites web de merde (qui deviennent de la merde à l'instant même où ils font subir ces traitements à leurs visiteurs) dans l'optique de leur faire changer de comportement... sauf que Le Monde et Arte.tv restent des références, quoi qu'on en dise. On peut très difficilement se passer de ces sources d'informations (et c'est bien triste). De plus, une vision "par sacrifice", ça ne fonctionne jamais avec les noobs donc il nous faudrait trouver autre chose de toute façon.

    * Un truc noob-friendly en attendant Firefox 41 : avec des écouteurs, il est possible de régler deux volumes sonores indépendamment : celui quand les écouteurs sont branchés et celui quand ils sont débranchés (en tout cas, ça juste fonctionne avec GNOME sans faire de manipulations compliquées, juste ne pas brancher les écouteurs et régler le volume puis brancher et régler le volume et GNOME fait le reste en se souvenant des réglages). Après ce réglage, il suffit de débrancher (même légèrement) les écouteurs quand on ne s'en sert pas et lala le spam vidéo qui hurlera dans le vide. Cette solution est incomplète puisqu'il faut une intervention humaine à chaque fois et qu'elle ne conviendra pas à ceux et celles qui écoutent de la musique en permanence...

    * On pourrait utiliser Adblock Edge en créant un filtre personnalisé contenant « ||^*autoplay=1 ». D'ailleurs, un filtre « ||dailymotion.com^*autoplay=1$domain=anime301.com|mangaxd.com|pokercast.tv|stream4free.pro » est intégré dans « Easylist ». En l'état, il ne peut fonctionner à cause de sa syntaxe erronée mais si l'on reprend la section « ||dailymotion.com^*autoplay=1 » dans un filtre personnalisé, ça juste fonctionne pour une vidéo Dailymotion appelée dans une iframe comme sur Soocurious. Ça ne fonctionne pas en bas des articles du Monde (car la lecture est déclenchée avec javascript quand le visiteur scrolle sur elle). Ça n'empêche pas non plus l'autoplay des vidéos sur Youtube. Cette solution ne me convient donc pas.

    * Par défaut, les contenus audio/vidéo natifs sont bloqués par NoScript (voir dans l'onglet « Objets embarqués » des préférences). Simplement, Youtube, Dailymotion et tant d'autres sont dans la liste blanche pour ne pas que le surf avec NoScript devienne un véritable enfer (compromis, tout ça). Que peut-on faire ?
        * Soit on vire Youtube et Dailymotion de la liste blanche mais 1) ça ne nous protège pas de plateformes dont nous ignorons l'existence et sur lesquelles les emmerdeurs pourraient stocker la merde qu'ils nous balancent dans la tronche. 2) Si l'on souhaite un jour retrouver la liste blanche fournie par défaut (pour une démo, pour du debug,...), comment faire compte tenu qu'on aura enlevé des sites sans se souvenir desquels ? Je ne recommande donc pas cette solution.

        * Soit, on coche la case « Appliquer ces restrictions également aux sites de confiance » dans l'onglet « Objets embarqués » dans les préférences de NoScript. Dans le même temps, on décoche la case « Demander confirmation avant de débloquer temporairement un objet » sinon ça va devenir très très vite insupportable. Cela bloque tous les spams vidéos dans tous les contextes présentés au début de ce shaarli. Je teste cette solution depuis 15 jours et malgré les contraintes et les dommages collatéraux (que je vais exposer un peu plus loin), j'en suis satisfait. \o/
            Il faudra débloquer chaque vidéo avant de pouvoir la regarder en allant dans le menu NoScript puis « Objets bloqués » puis « Autoriser video/<format>@http://domaine temporairement ». Attention à bien prendre l'option qui propose « temporairement » ET qui n'autorise pas uniquement domaine.example/videoplayback mais bien tout le domaine. D'abord parce qu'il faut autoriser tout le domaine pour que ça fonctionne et ensuite pour pouvoir nettoyer les permissions facilement sinon toutes les vidéos déjà regardées se liront automatiquement donc notre objectif ne sera pas atteint.
            Pour ceux et celles qui ne ferment jamais leur Firefox et mettent leur ordi en suspend-to-ram/disk doivent « Revoquer les permissions temporaires » dans le menu NoScript à la fin d'une bonne grosse séance Youtube/autre ou en fin de journée, pour que le filtrage conserve son efficacité.
            Évidemment, le fait d'appliquer le blocage de tout un tas d'objets aux sites de confiance va faire de la merde : Dailymotion ne fonctionne pas toujours car NoScript ne nous offre pas toujours la possibilité de débloquer « video/mp4@http://www.dailymotion.com » pour voir la pub pré-vidéo ; vu que @font-face (techno CSS) est bloquée par défaut, certaines pages web peuvent avoir des symboles illisibles (genre les icônes dans le menu gauche de l'administration Wordpress) alors qu'elles étaient clean auparavant puisqu'incluses dans la liste blanche ; plein de systèmes de commentaires vont disparaître,... Rien qui me gêne à titre perso mais je comprends que ça puisse énerver. Cette solution n'est clairement pas noob-friendly. :'(

    * On pourrait se dire que, plutôt que de bloquer les contenus audio/vidéo natifs avec NoScript, on pourrait bloquer les iframes. C'est toujours dans le menu « Objets embarqués » des préférences que ça s'active. Néanmoins, on aura le même problème que ci-dessus : les sites web en liste blanche comme Youtube/Dailymotion permettront toujours de vous cracher des vidéos en pleine tronche. On notera donc que NoScript bloque la destination d'une frame et non pas la source. Je veux dire : quand j'autorise une frame « dailymotion.com » je comprends ça comme "autoriser une frame si la balise XHTML « iframe » est située sur le site web dailymotion.com", pas comme "autoriser une frame si le contenu qu'elle contiendra provient de dailymotion.com"... Notons également que cela n'empêchera pas l'autoplay sur Youtube et Arte.tv ainsi que le spam vidéo en bas des articles du Monde (car actionné par javascript) donc cette solution ne répond pas totalement à mon besoin.


Conclusion : si votre version de Firefox est >= 41, passez la valeur de « media.autoplay.enabled » à false dans about:config pour virer le spam vidéo non-Flash qui pollue le web en ce moment (il faudra cliquer sur toute vidéo pour en commencer la lecture). Si vous n'avez pas cette version de Firefox (comme avec Debian stable, par exemple), je n'ai pas trouvé de solution parfaite. La moins pire est donc d'utiliser NoScript en lui demandant de virer les objets embarqués *même* sur les sites web inclus dans la liste blanche (voir item numéro 6 pour les détails et dommages collatéraux). Je teste cette dernière solution depuis 15 jours.

Très bonne vulgarisation, à lire absolument.

« L’authentification a pour but de donner l’accès à une ressource protégée en vérifiant par une manière donnée que la personne qui cherche à obtenir l’accès est bien celle qu’elle dit être. Via un mot de passe ou une phrase de passe, on authentifie une personne par une chose qu’elle sait (son mot de passe). On pourrait aussi authentifier une personne par ce qu’elle détient, un petit objet physique dont on a la certitude qu’elle en est bien l’unique détentrice. On a de la chance, de tels objets existent.

La difficulté de conception de ces objets est d’arriver à trouver une méthode permettant de prouver qu’on est bien détenteur de l’objet à l’instant où on réalise l’authentification. On ne peut évidemment pas se baser sur des choses aussi simple qu’un numéro de série inscrit sur l’objet ou qu’il enverrait par un moyen ou par un autre, puisque qu’il suffirait de récupérer ce numéro une seule fois pour pouvoir s’authentifier sans avoir réellement l’objet sur soi.

La plupart des systèmes d’authentification de ce type repose donc classiquement sur des clefs de chiffrement (symétrique ou asymétrique) dont la clef privée va être en écriture seule sur l’objet, et dont personne ne pourra donc jamais avoir accès sinon le fabriquant (et généralement même pas son utilisateur).

[...]

On va commencer par le plus utilisable en pratique, et le plus libre, Yubikey.

Une Yubikey est une petite clef USB qui simule un clavier USB. À l’intérieur se trouve une clef AES en écriture seule (pas de lecture possible de la clef), possédée aussi par Yubico (l’entreprise fabriquant la Yubikey).

À chaque appui sur le bouton de la clef, celle-ci va émettre une chaîne composée de son identifiant de clef, d’un compteur de session (s’incrémente à chaque branchement de la clef), d’un compteur d’horloge (s’incrémente 8× par seconde) et d’un compteur d’utilisation (s’incrémente à chaque appui sur le bouton). La chaîne complète est chiffrée avec la clef AES interne, et envoyée ainsi à l’application qui cherche à vous authentifier.

Votre application va alors contacter le serveur de Yubico et lui soumettre la chaîne chiffrée. Le serveur possédant lui aussi la clef privée, il peut déchiffrer les données et les vérifier. S’il est capable de déchiffrer les données et que l’identifiant d’utilisateur correspond bien à celui associé à la clef, on est en présence d’une clef valide. Si les valeurs de tous les compteurs sont bien strictement supérieures à celles de la dernière chaîne validée, on est en présence d’un nouveau identifiant et non d’un rejeu d’une chaîne interceptée.

La dernière propriété (la vérification des compteurs) est assez intéressante, puisque même si vous parvenez à subtiliser une clef et à lui faire générer des millions de chaînes pour ensuite la remettre à sa place sans que son propriétaire ne remarque son absence, la prochaine utilisation de la clef invalidera l’intégralité de toutes les chaînes enregistrées (compteur de session ou d’utilisation inférieur au compteur de la clef) ! Vous pouvez même volontairement générer des clefs pour n’importe qui (au pif, une des miennes : cccccccirlrfrvldfubllgjdjkbdgeejbuvcfcvfdurb, que vous pouvez tester sur le serveur de démo de Yubico), ça ne compromet pas votre sécurité (sauf à vous permettre de bruteforcer la clef AES 128 de la clef).

Une fois la vérification de la chaîne réalisée, le serveur Yubico répond à votre application (via du chiffrement asymétrique) si elle est valide ou non, et votre application autorise alors ou non l’accès à la ressource protégée.

Pas mal d’applications sont compatibles avec Yubikey. LUKS, PAM, LastPass, GitHub, DropBox, WordPress, Drupal, RoundCube, OwnCloud, j’en passe et des meilleurs.

Tous les logiciels nécessaires à l’intégration d’une Yubikey sont libres et intégrés nativement à la plupart des distributions GNU/Linux. Vous avez même tout le nécessaire pour monter votre propre serveur de validation si vous ne voulez plus dépendre de celui de Yubico.

Cette clef ne coûtant que $25, ça en fait un excellent moyen d’authentification à pas trop cher.


[ NDLR : les yubikeys peuvent aussi être utilisées comme des cartes à puce OpenPGP (voir : http://shaarli.guiguishow.info/?VMg7XA et http://shaarli.guiguishow.info/?Me7lIQ ) ou comme  des carte à puce PIV (voir http://shaarli.guiguishow.info/?rftZjA ). ]

[...]

Une autre solution basée sur un matériel physique dédié : les OTP c100 et c200 de chez FTSafe

Le principe est le même que pour les Yubikeys, une clef privée est embarquée à l’intérieur et ne peut en sortir. Cette clef privée vous est aussi communiquée sur un bout de papier (dans un envoi séparé physiquement et temporellement de celui du token physique lui-même !!!). Lorsqu’on appuie sur le bouton, l’écran affiche un numéro à 6 chiffres calculé à partir de la clef privée et d’un compteur (pour la version HOTP / « event based ») ou de l’heure (TOTP / « time based »).

Quand on veut s’authentifier la première fois auprès d’une ressource, il suffit de recopier sa clef privée et de saisir la valeur affichée et le serveur peut alors identifier votre valeur initiale de compteur (HOTP) ou d’horloge (TOTP). Pour chaque authentification suivante, on saisit uniquement la valeur affichée et le serveur est capable de faire le même calcul que le token. Si la valeur calculée est identique à celle fournit par l’utilisateur, on est bien en présence du token physique. [...]

Les horloges du serveur et du token (TOTP) ou du compteur (HOTP) ne sont pas forcément tout à fait identiques (décalage de l’horloge ou utilisateur qui s’est amusé à appuyer plusieurs fois sur le bouton), le serveur accepte donc une légère tolérance dans la valeur d’horloge et de compteur (en fait il calcule X valeurs et la valeur saisie par l’utilisateur doit être parmi ces X, avec généralement X = 4).
Les petits malins remarqueront qu’il faut donc un token HOTP par service (chaque authentification sur un service désynchroniserait le compteur côté serveur des autres services), alors qu’on peut réutiliser un token TOTP pour autant de service qu’on souhaite (à ceci prêt que tous les services auront accès à votre clef privée et pourraient donc s’authentifier ailleurs à votre place).

[...]

Des solutions existent pour faire du TOTP en version logicielle sur téléphone mobile, l’import de la clef privée se faisant via le scan d’un code QR. On perd simplement la capacité du matériel à empêcher d’extraire votre clef privée (vous vous faites voler votre téléphone éteint ou verrouillé, on peut en extraire la clef quand même).

[...]

X.509 permet de faire la vérification dans l’autre sens, et autorise ainsi au serveur de s’assurer de l’identité du client via un certificat client, tout comme le serveur de votre banque vous présente le sien. Cette possibilité est malheureusement trop peu utilisée, le seul exemple notable étant la tentative de l’administration fiscale française en 2009 qui s’est soldée par un cuisant échec face à la complexité technique engendrée…

L’énorme avantage de la solution du certificat X.509 personnel est que c’est la seule solution qui passe l’échelle. En effet, les solutions précédentes sont utilisables pour un petit groupe d’une dizaine de personnes, après la gestion devient trop complexe (révocation, perte, arrivée d’un petit nouveau…). X.509 étant basé sur une chaîne de confiance, on peut au contraire créer sa propre autorité de certification, gérée par sa propre PKI, et tout certificat émis par cette autorité est valide et reconnu comme tel par le système. On peut alors générer à la chaîne des pilées de certificat sans avoir à toucher à une ligne de configuration d’un des services, alors que les solutions précédentes demandaient une intervention manuelle à chaque ajout/retrait d’une personne. X.509 fournit aussi tous les outils pour gérer la révocation d’un certificat (perte, départ, compromission…).

Cette solution a aussi l’avantage d’être implémentée nativement dans tous les navigateurs web et dans la plupart des outils pouvant utiliser TLS (courriel, messagerie instantanée…). Par contre, elle reste mal comprise des utilisateurs, demande un peu de gestion régulière (renouveler les certificats chaque année…) et pose parfois des problèmes techniques (importer son certificat utilisateur sur X machines ou navigateurs, logiciels ne supportant pas ou mal ce mode de fonctionnement…).

[...]

Empreintes digitales, oculaires, palmaires… Non, je rigole bien sûr ! Ces solutions ne sont pas des solutions d’authentification, mais uniquement d’identification.

Une solution d’authentification doit pouvoir être révocable à tout moment en cas de compromission. Vous pouvez changer votre mot de passe ou révoquer votre Yubikey/C100/X.509, mais vous ne pouvez en aucun cas changer vos empreintes digitales ou votre fond d’œil. Et pourtant, faites confiance à un gus dans un garage pour vous pirater vos empreintes digitales et ne sous-estimez jamais l’intelligence d’une petite fille de 5 ans.

Servez-vous des données biométriques tout au plus pour vous assurer de l’identité de votre utilisateur (en remplacement d’un login par exemple), mais certainement pas en remplacement d’un mot de passe !

De la même manière, ne protégez pas uniquement vos ressources critiques avec seulement un token, demandez aussi à votre utilisateur de saisir un mot de passe standard en supplément, ceci afin de parer au vol du token (ou au collègue qui aura lu ponctuellement un de vos OTP). Ce mot de passe a moins besoin de répondre aux critères standards d’un bon mot de passe (unicité, longueur, aléa…) puisqu’il vient en complément de la solution d’authentification forte. »