GuiGui's Show

Pour l'instant, j'ai configuré/tweaké deux trucs : connexion aux AP WiFi "FreeWifi_secure" et amélioration du GPS (réduire la durée d'obtention du fix).

Commençons par FreeWiFi.

Bon à savoir : si votre opérateur est Free Mobile, alors vous pouvez vous authentifier sur les points d'accès WiFi nommés "FreeWifi_secure". L'authentification EAP permet de s'authentifier avec votre carte SIM. Oui, c'est aussi disponible dans le forfait à 2€. Très pratique en mobilité si vous avez un tel point d'accès à proximité ! Merci à johndescs (http://jonathan.michalon.eu/shaarli/) pour le tuyau. :)

Pour faire la config, nul besoin d'installer un logiciel supplémentaire même pas libre comme FreeWifiConfig. Tout est là : http://www.freenews.fr/spip.php?article12150. Sur mon Moto G 4G LTE avec la ROM Motorola et sur le Galaxy Note 1 GT-N7000 sous Cyanogenmod 10.1 de Johndescs, le fichier de config' wpa_supplicant.conf se trouve dans /data/misc/wifi/. J'ai utilisé Ghost Commander pour remonter la partition en rw et pour ajouter le bloc du tuto à la fin du fichier avec vi. Reboot et hop, mon ordinateur de poche se connecte automatiquement à un hotspot FreeWiFi dès qu'il y en a un à porté et que j'ai activé le WiFi.


L'optimisation du GPS à présent. Cette optimisation est globale, tous les logiciels utilisant le GPS (osmand~ (cartographie, itinéraire, navigation libre), par exemple) en profitent sans manip' supplémentaire.
Un peu de documentation pour comprendre l'intérêt des manipulations :
  * http://lemanchet.fr/post/2014/Ameliorer-fix-GPS-smatphones-Android-Wiko
  * http://sebsauvage.net/links/?FGI5lQ

  * Pour obtenir les données AGPS (la position des satellites environnants, des éphémérides des positions des satellites, ...) sans se prendre la tête, il y a le logiciel libre SatStat (disponible sur f-droid). Il suffit de cliquer sur l'icône la plus à droite en haut puis « Recharger les données AGPS ». Évidemment, il faut être connecté à Internet soit via WiFi, soit via le réseau mobile. Sur mon Motorola Moto G 4G LTE, il faut aussi autoriser l'application Qualcomm atfwd à se connecter à des serveurs Internet si vous utilisez le pare-feu Netfilter (configurable avec le logiciel libre Afwall+ par exemple). Dans « Configuration », on peut indiquer les types de réseaux à utiliser (WiFi, data, ...) et la fréquence de mise à jour ainsi qu'obtenir la date/heure de dernière mise à jour.

Le reste de la configuration se fait dans le fichier /system/etc/gps.conf. Pour modifier ce fichier, soit on utilise le logiciel libre FasterGPS (disponible sur f-droid), soit on modifie ce fichier depuis l'ordinateur de poche avec Ghost Commander (pour remonter la partition en rw, accéder au fichier) + vi, soit on modifie ce fichier sur un ordinateur de bureau et on le transfert sur la SD puis on écrase l'original avec la modification avec Ghost Commander. Dans tous les cas, je conseille de faire une sauvegarde du fichier original toussa.

FasterGPS est beaucoup buguée. L'application des modifications se fait paramètre par paramètre, le logiciel crashe pour presque tous les paramètres, il faut recommencer deux ou trois fois (par paramètre donc :P ) ... De plus, il ne retire pas les paramètres qu'on ne veut plus utiliser. Bref, pas top. Le fichier /system/etc/gps.conf est long. Le modifier depuis l'ordinateur de poche lui-même, c'est fastidieux. Je conseille donc la dernière méthode.

  * Changer de serveur NTP pour un serveur local et performant : c'est le contenu de la directive de configuration « NTP_SERVER » qu'il faut changer. ntp-p1.obspm.fr ou canon.inria.fr ou fr.pool.ntp.org sont, tous les 3, d'excellents choix. Pour ma part, par habitude sur mes serveurs NTP dans mes réseaux locaux, j'ai configuré comme suit : « NTP_SERVER=ntp-p1.obspm.fr ». Évidemment, il faudra autoriser NTP en sortie si vous utilisez le pare-feu.

  * Changer les autres paramètres. Pour ce faire, je me suis documenté, aussi bien sur le mécanisme AGPS (https://en.wikipedia.org/wiki/Assisted_GPS), qu'en lisant des forums d'utilisateurs francophones, qu'en faisant des Google battle sur chaque paramètre pour voir la valeur que l'on retrouve le plus souvent dans des configs sérieuses.

Le contenu de mon fichier gps.conf est donc le suivant (je ne garantis pas son sérieux à 100 %, juste il donne de bons résultats sur mon ordinateur de poche) :
« # On n'est pas là pour debug donc aucune verbosité
DEBUG_LEVEL=0

# Pas de position intermédiaire
INTERMEDIATE_POS=0

# Suite logique : on ne fixe aucun seuil de fiabilité pour
# les positions intermédiaires
ACCURACY_THRES=0

# Utiliser les positions supplémentaires comme références
REPORT_POSITION_USE_SUPL_REFLOC=1

# On n'utilise pas les Hotspot WiFi pour se localiser
ENABLE_WIPER=0

# Serveur NTP utilisé
NTP_SERVER=ntp-p1.obspm.fr

# On utilise AGPS
DEFAULT_AGPS_ENABLE=TRUE

# URI pour récupérer les données AGPS
XTRA_SERVER_1=http://xtra1.gpsonextra.net/xtra2.bin
XTRA_SERVER_2=http://xtra2.gpsonextra.net/xtra2.bin
XTRA_SERVER_3=http://xtra3.gpsonextra.net/xtra2.bin

# On n'utilise pas le mode SUPL (User PLane) d'AGPS
# d'où l'absence de directives de configuration SUPL_*
# et donc on ne se connecte pas aux serveurs SUPL de Google
DEFAULT_USER_PLANE=FALSE

# On n'utilise pas non plus le mode C2K d'AGPS
# d'où l'absence de directives de configuration C2K_*

# Autres paramètres
LPP_PROFILE=0
A_GLONASS_POS_PROTOCOL_SELECT=0
CAPABILITIES=0x37
ERR_ESTIMATE=0
NMEA_PROVIDER=0 »


Il ne reste plus qu'à rebooter pour prendre en compte les changements (je ne sais pas si c'est réellement utile mais je l'ai fait quand même).

Dans Paramètres -> Localisation, vous pouvez activer/désactiver la localisation (ce qu'il faut toujours faire : ne jamais laisser votre position en libre accès, seulement quand vous avez besoin de la fonction GPS ! Ça évite les fuites vers des serveurs Internet en cas de mauvaise configuration ou d'ignore de la configuration par le logiciel. Il y a déjà assez du réseau GSM pour vous pister) et utiliser le mode « haute précision » (mais bien sûr, vu le fichier gps.conf ci-dessus, l'AGPS n'utilisera ni les hotspot WiFi, ni le serveur SUPL de Google pour vous localiser). En conséquence, je réponds « Accepter » à la question « Autoriser le service de localisation de Google à recueillir des données de localisation anonymes. [blablabla] » (sinon pas d'AGPS :( ) et « Pas maintenant » à la question « Dans une précédente version d'Android, vous avez désactivé la fonctionnalité permettant aux applications Google d'accéder à votre position. Voulez-vous la réactiver pour toutes les applications Google ? »


Comment j'ai testé l'amélioration du fix GPS ?
  * Lors du premier test de fix, sans tweak, en testant avec Osmand~ et SatStat, le premier fix a eu lieu plus de 15 minutes après l'activation de la localisation.
  * Les 2-3 fois suivantes, je ne suis pas tombé en dessous de 5 minutes.
  * Après les bidouilles décrites ci-dessus, je fixe en moins de 30 secondes, moins d'une minute dans le pire des cas et ce à chaque fois.

Évidemment, j'ai testé à chaque fois en étant à l'extérieur, en activant le service de localisation uniquement pour ça, et en étant dans un lieu éloigné d'une dizaine de kilomètres du lieu où j'ai désactivé la localisation après le dernier usage.

Voici la liste des logiciels que j'ai installé sur mon ordinateur de poche Motorola Moto G 4G LTE (cf http://shaarli.guiguishow.info//?1dF_bA) rooté.

Inspirations : http://lehollandaisvolant.net/index.php?d=2014/06/28/17/55/48-selection-dapplications-pour-android-2 et http://jonathan.michalon.eu/pages/fr/androidapps

Contrainte que je me suis fixé : j'installe seulement des applications libres. Dispo sur f-droid ou pas, je m'en fiche, mais le logiciel doit venir avec une mention claire d'une licence libre.

Il n'y a pas beaucoup de logiciels car je n'ai pas encore tout creusé et car je ne vois pas l'intérêt de certains usages (MUA, client IRC, client XMPP, ...) directement sur mon ordinateur de poche alors que le tethering permet tout cela, le confort d'utilisation en plus. Je changerai probablement d'avis quand j'aurai 5h par jour dans les transports en commun.

Go, go, go, voici la fameuse liste :
  * Afwall+ : interface pour configurer Netfilter (pare-feu Linux). Un must-have ! Log bien foutu qui dit bien ce qu'il bloque, efficace (il bloque vraiment tout), compatible IPv6, finesse par réseau (local, net via WiFi, net via réseau mobile) pour chaque application, ... Le seul reproche est un manque de finesse sur ce qui est autorisé en entrée (actuellement c'est tout ou rien) mais ça se configure à la main dans le mode avancé. ÉDIT DU 09/11/2015 à 12h30 : la version 2.1 augmente encore la qualité visuelle et l'ergonomie de ce soft. C'est juste magnifique, un exemple à suivre. FIN DE L'ÉDIT.

  * Barcode Scanner : lecteur de QR codes. Je l'ai installé pour faire comme tout le monde (bouuuuh !) mais je ne m'en suis pas encore servi (et je n'ai pas encore vu de cas d'usage potable).

  * Busybox (http://www.apk4fun.com/apk/6139/) : pour avoir plus de commandes standards Unix à disposition dans mon shell.

  * Connectbot : client SSH. Juste pour le fun d'avoir ça mais je ne m'en sers pas ... Je fais de l'auth par clé sur mes serveurs et il est hors de question que ma clé privée SSH traîne sur mon ordinateur de poche : je préfère encore tethering + laptop avec une partoche chiffrée.

  * F-droid : logithèque libre.

  * Firefox : pour remplacer Chrome.

  * Ghost Commander : gestionnaire de fichiers. Permet de remonter à la racine, de remonter les partitions à la volée et de changer les permissions de fichiers/dossiers systèmes. La doc' : https://sites.google.com/site/ghostcommander1/info .

  * Hacker's Keyboard : un clavier de remplacement avec plus de touches d'un vrai clavier d'ordinateur (crtl, alt, ...) à disposition. Très pratique dans un shell.

  * muPDF : lecteur PDF, histoire de ne pas se fier à la visionneuse PDF fournie avec Firefox.

  * Offline Calendar : comme il n'y a pas d'application agenda concurrente à Google Agenda, cette appli permet de créer un backend local pour que Google Agenda y stocke votre agenda.

  * OpenVPN for Android et OpenVPN settings : OpenVPN sert toujours sur les réseaux nazis (WiFi ou mobile). Bonne implémentation : support IPv6, support de l'authentification par certificats x509 et de l'authentification par mot de passe, possibilité de passer des options à la main, ...

  * Osmand~ : navigation GPS, itinéraire, cartes offlines, ... le tout basé sur OpenStreetMap (cartogaphie libre, http://www.openstreetmap.org/)

  * SatStat : récupérer les infos sur quelques capteurs (gravité, accélération, champ magnétique, orientation), infos sur les satellites GPS, infos sur les cellules GSM auxquelles le téléphone est accroché, permet la mise à jour des données AGPS (Assisted GPS) qui sont la position des satellites environnants, des éphémérides, toussa afin de raccourcir la durée de fix GPS.

  * Simply Do : un gestionnaire de TODO lists totalement en local et KISS.

  * Terminal Emulator : un émulateur de terminal. Ne pas oublier d'activer UTF-8 dans les préférences, notamment si vous installez un Debian en parallèle de votre Android (voir : http://shaarli.guiguishow.info/?6y0PtQ).

  * Torch : utiliser l'appareil photo comme lampe. Je l'ai installé pour faire comme tout le monde ... ça servira peut-être un jour ...

  * VLC. ÉDIT DU 31/03/2020 À 17H20 : édit précédent plus d'actualité : VLC est dispo sur f-droid. FIN DE L'ÉDIT. ÉDIT DU 27/09/2017 À 11H00 : VLC n'est plus sur f-droid à cause d'une erreur de compilation. Le projet VideoLAN met à disposition les apk ici : https://get.videolan.org/vlc-android/ . FIN DE L'ÉDIT.

  * Wi-Fi Matic : activer/désactiver le Wi-Fi en fonction de la position GPS. Voir : http://shaarli.guiguishow.info/?GB8Z6g

PHP 5.6 = faire mumuse avec des constantes + fonctions à arguments variables + ** pour exponentielle + un dbg + on saute php 6 pour php 7 (c'pas nouveau) + « Stream wrappers now verify peer certificates and host names by default when using SSL/TLS » + « mcrypt_encrypt(), mcrypt_decrypt(), mcrypt_cbc(), mcrypt_cfb(), mcrypt_ecb(), mcrypt_generic() and mcrypt_ofb() will no longer accept keys or IVs with incorrect sizes, and block cipher modes that require IVs will now fail if an IV isn't provided. » O_O

« Twitter perd de l'argent. Beaucoup d'argent. Plusieurs centaines de millions de dollars en 2013 (http://sebsauvage.net/links/?tT3-nQ). Alors il faut rentabiliser. » + une excellente énumération de points qui font que Twitter est un réseau asocial extrêmement fermé et codifié.

Ça ne s'arrêtera pas là. « Vous la sentez venir, la monétisation, là ?  C'est sur votre dos (et votre liberté d'expression) qu'elle va se faire. Vous faites ce que vous voulez, vous êtes prévenu(e). ».

« Chez ARN, FAI associatif alsacien, on a mis en place un serveur DNS récursif-cache ouvert il y a un peu moins d'un an. Il y a quelques précautions à prendre et je n'ai pas trouvé un « how-to » qui ferait le tour de l'essentiel de la problématique. »

Juste pour mon ego :
  - https://twitter.com/bortzmeyer/status/506897671400222720
  - http://seenthis.net/messages/289976

« Pour Pascal Rogard (PDG de la SACD, un collectif d’ayants-droit), la neutralité du Net, c’est mal.

Pour lui, le problème c’est que : « chaque internaute peut devenir diffuseur et dès lors qu’il devient diffuseur, il porte atteinte naturellement aux droits de propriété intellectuelle ».

Et diffuser ses propres écrits, des fichiers personnels, des photos à soi et des documents en partage libre (licence CC), c’est de l’atteinte à ton copyreich, con@!#* ? »

« La liberté d'expression est définie depuis déjà plus de deux siècles, en droit français, par l'article 11 de la Déclaration des Droits de l'Homme et du Citoyen de 1789, ainsi que par la jurisprudence constante du Conseil Constitutionnel dans le domaine. Cependant la protection offerte par ce texte de portée constitutionnelle est, de fait, plutôt théorique. L'article 11, en effet, pose un droit, et ne définit pas un délit.

Ainsi, un citoyen ne peut pas sur le simple fondement de ce texte saisir la justice du fait qu'il soit privé de cette liberté fondamentale.

[...]

L'apparition d'Internet et son développement dans nos sociétés démocratiques a bouleversé les modes d'exercice de la liberté d'expression. Celle-ci ne peut plus continuer à être considérée comme l'exclusivité des journalistes et des acteurs de la presse.

[...]

Les exemples deviennent nombreux de prestataires de service sur Internet qui s'arrogent le droit de censurer, de manière parfaitement discrétionnaire, des propos qu'ils jugent dérangeants, en s'affranchissant de toute décision de justice. [...] Ces exemples, loins d'être exhaustifs, tendent à montrer l'apparition et le développement d'une forme de justice privée de la liberté d'expression sur Internet.

[...]

Le présent texte vise à pénaliser le fait de porter atteinte à cette liberté fondamentale en dehors du contexte, normal, d'une décision judiciaire contradictoire. Il ne vise pas à étendre ou modifier la définition de la liberté d'expression en droit français, mais à rendre cette liberté effective et à la protéger.

[...]

Le texte ne change en rien la définition de la liberté d'expression en France. Dès l'article 11 de la DDHC il est prévu des limitations par la loi, et ces limitations ne sont pas remises en cause. On est donc très loin de l'approche du Premier Amendement de la Constitution des États-Unis qui interdit au législateur d'entraver la liberté d'expression. L'encadrement de la liberté d'expression tel qu'il existe en France (négation de crime contre l'humanité, propos racistes, haineux ou homophobes, etc) n'est pas modifié.

[...]

Les recours au civil portent toujours sur d'autres sujets que la liberté d'expression (droit à l'image, par exemple), sont le plus souvent hasardeux et doivent demontrer un préjudice, le plus souvent financier.

La simple perte de la liberté d'expression, sans autre conséquence pécuniaire directe, ne sera pas traitée, en tant que telle, dans le cadre d'une procédure civile. »

« Tout le monde le sait, le système de routage de l'Internet, fondé sur le protocole BGP, n'est pas sûr. Il est trop facile d'y injecter des annonces de routes mensongères. Le premier pas vers une sécurité plus forte était de sécuriser la communication entre routeurs (RFC 5925). Un second pas a été réalisé avec le déploiement de la RPKI. Un troisième pas avec la normalisation de la solution RPKI+ROA. Cette dernière protège uniquement l'origine d'une annonce BGP. Cela suffit à arrêter pas mal d'erreurs mais une attaque délibérée gardera probablement l'origine authentique et trichera sur le chemin d'AS présent dans l'annonce BGP. D'où la nécessité de continuer le travail. C'est le projet PATHSEC (Path Security) pour lequel ce nouveau RFC énumère les motivations. (Le terme de BGPSEC avait été utilisé dans le passé mais PATHSEC semble plus fréquent aujourd'hui.)

[...]

Pour concevoir proprement PATHSEC, il faut analyser les menaces, faire une analyse de risque. Que peut faire un méchant, même si tout le monde a déployé la RPKI et émet des ROA ? [...] Ce RFC détaille les faiblesses, notamment en indiquant celles qui resteront même dans un monde futur où tout les acteurs auront déployé PATHSEC.

[...]

Dans tous les cas, si la session BGP n'est pas protégée, l'attaquant peut faire des choses comme modifier les annonces BGP. Le problème est connu depuis longtemps, le RFC 4272 en parle en détail, et décrit les solutions. En gros, on peut considérer ce problème particulier comme étant résolu depuis des années.

[...]

Autres attaques possibles, moins directes : viser non pas les routeurs mais les machines de gestion du réseau. Si les routeurs sont gérés par un système central, avec Ansible ou Chef ou un logiciel équivalent, prendre le contrôle du système central permet de contrôler tous les routeurs.

[...]

L'attaquant peut viser un dépôt d'objets de la RPKI. S'il détruit les objets du dépôt ou bien rend celui-ci inutilisable, il a réalisé une attaque par déni de service contre la RPKI (voir aussi la section 5, sur ce risque).

[...]

Bien plus grave serait l'attaque réussie contre l'autorité de certification, et plus seulement contre le dépôt de publication. Parce que, cette fois, l'attaquant serait en mesure de créer des objets signés à sa guise. Il n'y a même pas besoin que l'attaquant réussisse à copier la clé privée de l'AC : il suffit qu'il prenne le contrôle du dispositif de gestion des données, avant la signature (c'est pour cela que les HSM ne protègent pas autant qu'on le croit, même s'ils ont le gros avantage de faciliter la réparation, une fois le problème détecté).

L'expérience de DNSSEC permet de prédire que les problèmes provoqués par la négligence, les bogues ou l'incompétence seront sans doute au moins aussi fréquents que les attaques. Pour reprendre une citation dans Pogo, rappelée par notre RFC, « We Have Met the Enemy, and He is Us ».

[...]

Enfin, la section 5 liste les vulnérabilités résiduelles, celles que même un déploiement massif de PATHSEC ne limiterait pas. Par exemple, une AC peut mal se comporter avec ses propres ressources (émettre un ROA pour un de ses préfixes mais avec le mauvais numéro d'AS, suite à une faute de frappe, par exemple). Même avec PATHSEC, quelques risques resteront. On a déjà parlé des fuites (route réannoncée alors qu'elle ne le devrait pas, mais avec un chemin d'AS correct), qu'on peut d'autant moins empêcher qu'il n'existe pas de définition consensuelle de ce qu'est une fuite. Il y a aussi le fait que PATHSEC ne protège pas tous les attributs d'une annonce BGP, alors même que certains sont utilisés pour prendre des décisions de routage. Et puis PATHSEC permet de vérifier une annonce mais pas de vérifier que l'annonce n'a pas été retirée entre temps. Si un lien est coupé, que des routeurs BGP retirent la route, mais qu'un méchant intercepte et détruit ces retraits de route, les anciennes annonces resteront valables un certain temps. »

Et après tout ça, il restera encore à s'assurer que le data plane suit bien le control plane. #IZI \o/

« Un des obstacles à un plus large déploiement de DNSSEC est la nécessité de faire mettre, par le gestionnaire de la zone parente, un enregistrement faisant le lien avec la clé de signature de la zone fille. Cet enregistrement, nommé DS (pour Delegation Signer) est indispensable pour établir la chaîne de confiance qui va de la racine du DNS à la zone qu'on veut sécuriser. Mais, autant signer sa zone ne nécessite que des actions locales, qu'on peut faire tout seul, mettre cet enregistrement DS dans la zone parente nécessite une interaction avec une autre organisation et d'autres personnes, ce qui est souvent compliqué et réalisé d'une manière non standardisée. Ce nouveau RFC propose une méthode complètement automatique, où la zone fille publie les enregistrements de clé localement, et où la zone parente va les chercher (via le DNS) et les recopier. »

Faiblesses du mécanisme :
  - « Comment est-ce que l'agent du parent détecte qu'il y a de nouveaux CDS ou CDNSKEY dans la zone fille ? ». Action manuelle = oubli. Il faudrait que ce mécanisme soit complémentaire à OpenDNSSEC, par exemple mais polling trop coûteux dans certains cas. Pas simple. :/

  - « Si le système d'avitaillement de la zone fille est piraté, le pirate pourra évidemment créer des CDS et CDNSKEY signés. Bien sûr, aujourd'hui, il peut déjà créer des enregistrements mais, dans ce cas, cela permettra peut-être d'étendre la durée de l'attaque (il faudra republier les bons CDS/CDNSKEY et attendre la mise à jour de la parente). »

Picomon - ordonnanceur de supervision (comme Nagios, Icinga, Centreon, ...) ultra léger et KISS codé en Python.

Ça fait uniquement du monitoring (avec des alertes mail si désiré) en mode console mais ça le fait bien. Donc pas d'interface web, pas de graphes, pas de reporting, pas de ... fioriture tout simplement.

Ce que j'en retiens :
  - Compatible avec les plugins (programmes de checks) existants ;

  - Threading des mails. Fonctionnalité très pratique pour voir facilement les problèmes qui ne sont pas encore résolus (ils n'ont pas de thread, ça se voit en un clin d'œil dans un MUA) ;

  - On peut assigner un ou plusieurs checks à un ou plusieurs hosts d'un seul coup ;

  - KISS ;

  - Cas d'usage de prédilection : monitoring inter-AS et auto-hébergement. « Il a été conçu dans l'optique d'être léger, par exemple dans le cas de l'auto-hébergement : on peut très bien l'installer rapidement chez un autre auto-hébergé et configurer les vérifications de son serveur @home sans se prendre la tête avec un nagios ou autre zabbix du même tonneau. ». Je confirme que c'est plutôt bien adapté à un Raspberry Pi (ou OlinuXino ou autre ordinateur mono-carte hein) ;

  - Le mail indiquant le retour à la normale d'un service monitoré indique le temps de down toussa ... On n'est plus vraiment loin d'une fonctionnalité de reporting (pour peu que l'admin conserve ses mails). Alors oui, sans graphes et autres trucs clignotants dans une interface web.