GuiGui's Show

Récemment, j'ai constaté que l'ordinateur portable Windows 8 (8.1 ?) d'une amie ramait à moooort. Pour donner une idée : elle a le temps de cliquer sur le raccourci d'un logiciel, de me faire la conversation, de trouver ça trop long, d'aller me chercher une binouze dans son frigo à l'autre bout de sa piaule pendant que le logiciel vient à peine de s'ouvrir. :O

Il s'agit d'un ordinateur personnel dont un usage professionnel se fait de plus en plus grand. Comment peut-elle se concentrer dans ces conditions ? :O

Je regarde un peu : CPU identique à mon ordinateur perso (2 cœurs 2,5 Ghz), quantité de RAM équivalente (8 Go), disque dur 5 400 tours/minute (ha, peut-être qu'on a trouvé l'une des causes). J'ai aussi constaté que certains bus sont sous-dimensionnés…

Je soupçonne aussi la présence d'un virus vu les quelques comportements erratiques de la machine.

J'ai la flemme de partir à la chasse aux virus (et, surtout, je ne sais plus faire…).

Je propose une réinstallation complète de Windows. Et, tant qu'à faire, de passer à winwin 10 (même si winwin 8.1 bénéficiera de mises à jour de sécurité jusqu'en janvier 2023).

En douce (cadeau), je lui achète un SSD. Un Samsung 860 Pro, produit qui remplace les excellents 850 Pro qui équipent mon ordinateur perso et un fournisseur d'accès à Internet alsacien, a ma faveur : ça marche bien et, en cas de pépin, la garantie Samsung 5/10 ans remplace à neuf sans faire chier. Winwin 10 sera installé dessus, ce qui permet de mettre le disque dur d'origine de côté afin de récupérer des fichiers si besoin. Au final, le gain est important mais moins ouf qu'avec un système Debian GNU/Linux…

Ci-dessous, je propose un résumé de ce qui m'a marqué durant cette installation de winwin 10.

Virer les mouchards Lenovo

L'ordinateur étant de marque Lenovo, il faut virer les mouchards incorporés par cet assembleur. Dans quel monde vit-on ?!

Le mouchard Computrace (voir aussi) n'apparaît pas dans l'UEFI, contrairement à mon ordinateur Dell.

Le deuxième mouchard de Lenovo, qui résiste lui aussi à une (ré)installation de winwin, n'était pas non plus présent. Les binaires mentionnés par Numerama n'existent pas sur l'ordinateur et le modèle de cet ordinateur n'apparaît pas dans le communiqué de presse de Lenovo (merci à la machine à remonter le temps maintenue par archive.org d'avoir conservé ce document effacé par Lenovo, n'hésite pas à faire un don).

Le troisième mouchard connu, SuperFish, n'était pas présent. Il ne résiste pas à une (ré)installation propre de winwin, mais je voulais voir. Pour diagnostiquer cela, j'ai suivi le tutoriel proposé par Lenovo lui-même. Si, comme moi, le menu démarrer refuse d'ouvrir le gestionnaire des certificats, utilise Windows+R puis tape « certlm.msc ».

On notera que les deux derniers mouchards sont devenus des failles de sécurité qui peuvent être exploitées par n'importe qui. Voilà pourquoi ce genre de merde doit être refusée.

Accéder à l'UEFI

Mes notes de 2013 sont toujours valables.

Désactiver Secure Boot

Parce que changer uniquement la valeur de l'option « Secure Boot » dans l'UEFI, ça serait trop simple. Je copie les instructions afin de les pérenniser :

Then scroll to the Security tab by using → . Then use ↓ to scroll to the Secure Boot entry. Press the Enter key and select Disabled. Follow that by navigating to the Reset to Setup Mode entry using the ↓ again. Press Enter, then select Yes on the popup to clear the PK, disable secure boot and enter setup mode. You’ll notice that the Platform Mode changes to Setup Mode and Secure Boot Mode becomes Custom. Press the Fn+F10 key to reboot.

ISO d'installation librement disponible

Microsoft propose l'ISO de winwin 10 en téléchargement libre. Attention, il faut se rendre sur le site web avec un système autre que winwin (ou trafiquer le user-agent de son navigateur web), sinon le site web ne propose pas l'ISO mais l'outil de MS pour créer un support d'installation.

Créer un support d'installation

Un collègue qui se tient à jour sur les technos MS m'a conseillé d'utiliser le logiciel Rufus. Aucune difficulté.

Choisir l'édition de winwin

D'une part, je voulais Bitlocker, la techno de Microsoft pour chiffrer un support de stockage car elle est plus transparente que VeraCrypt pour un utilisateur lambda (pas de code à saisir au démarrage, mais dépendance à une puce matérielle, le TPM). Bitlocker n'est pas disponible dans l'édition familiale. De plus, comme cet ordinateur va de plus en plus servir dans un contexte pro, je voulais être sûr que mon amie aurait tous les outils disponibles. Je voulais donc installer l'édition professionnelle de winwin 10.

Or, durant l'installation, le choix de l'édition ne m'a pas été laissé. Tous les tutoriels indiquent que le choix se fait au début, juste après l'appui sur le bouton « Installer maintenant ». Moi, je passais directement à l'acceptation du contrat winwin.

Winwin 8 édition familiale était préinstallé sur cet ordinateur. Donc la clé produit est stockée dans la table ACPI de l'UEFI. Donc l'installeur détectait cela et voulait installer l'édition familiale de winwin 10.

Pour avoir le choix, il faut ajouter un fichier nommé « ei.cfg » dans le dossier nommé « Sources » présent à la racine du support d'installation de winwin. Le contenu doit être (source) le suivant :

[Channel]
_Default
[VL]
0

Attention si tu utilises un système GNU/Linux pour créer ce fichier : la manière de terminer une ligne diffère entre Unix (LF) et winwin (CR+LF). Pense à convertir le fichier avec la commande unix2dos ei.cfg (la commande fait partie du paquet logiciel dos2unix).

Évidemment, il faudra acheter une clé produit winwin 10 pro. Pense à connecter l'ordinateur à Internet avant d'activer winwin, sinon il est en mode démonstration et l'activation (KMS ou clé produit) n'est pas disponible. Lors de cette première connexion, winwin demandera, à nouveau, s'il faut lier le compte utilisateur local à un compte dans le cloud…

Ne pas se connecter à Internet durant l'installation de winwin

Cela permet de créer facilement un compte utilisateur local, non-lié à une identité dans le cloud de Microsoft. Sans ça, Microsoft essaye de te piéger et c'est plus compliqué de faire marche arrière. Dans quel monde vit-on ?!

Questions secrètes

Lors de la création d'un compte utilisateur, il faut saisir une réponse à trois questions secrètes. Oui, trois ! On marche sur la tête… Le mot de passe d'un utilisateur lambda de winwin est sa date de naissance ou « 1234 », donc bon… Sans compter l'inutilité démontrée des questions secrètes…

Désactiver Fast Startup / démarrage rapide

Il s'agit de démarrer rapidement un ordinateur en ne l'éteignant pas totalement. Winwin et les pilotes restent ouverts, le reste est fermé. L'état du système est stocké sur le disque dur.

Je pense que cette fonctionnalité peut générer des ennuis. Quand le biniou ne termine pas sa mise en hibernation (ça arrive aussi sous GNU/Linux quand des pilotes / matériels font chier) et qu'il se réveille subitement dans ton sac en vidant la batterie. Quand le noyau winwin accumule de la merde. Quand les pilotes merdent. Etc.

Avec un SSD, un démarrage à froid prend 27 secondes entre la pression sur le bouton et l'arrivée sur l'écran de connexion. C'est acceptable. Fast Startup ne se justifie donc pas.

Tutoriel pour désactiver Fast Startup.

Mises à jour

Attention : si tu comptais cliquer sur « Rechercher les mises à jour » et faire autre chose en attendant que toutes s'installent : si une mise à jour nécessite un redémarrage, les autres mises à jour sont mises en attente (elles ne s'installent pas). De même, les mises à jour facultatives ne s'installent pas automatiquement, sans action.

Pilotes

Disponibles sur le site web de Lenovo. Évidemment, comme l'ordi n'est plus en vente, la page web n'est plus à jour, mais Windows Update mettra à jour les pilotes installés.

Certains pilotes afficheront une erreur genre « Realtek machin ne peut pas s’exécuter sur cet ordinateur ». L'extracteur de Lenovo ne lance simplement pas le bon binaire… Il suffit d’aller dans le dossier d’extraction (c:\drivers, par défaut) et d’installer le pilote du bon constructeur parmi les sous-dossiers (généralement : Intel).

Je sais qu'il existe des outils automatisés comme DriverCloud (anciennement « Ma-Config »), mais ce n'est pas mon kiff niveau vie privée (le logiciel peut aspirer ce qu'il veut, faire ce qu'il veut, son programmeur peut faire ce qu'il veut des données récupérées, etc.).

Logiciels

La plupart des logiciels utilisés par mon amie peuvent être installés avec ninite, sorte de gestionnaire de paquets minimaliste pour winwin. Pour les autres, ce sera installation manuelle en essayant d'identifier le site web officiel ou en utilisant Clubic. Comment peut-on encore en être à ce stade ?!

Restaurer la configuration de Mozilla Firefox / Thunderbird

• Ouvrir Firefox, fermer Firefox ;
  
  
• Dans C:\Users\<nom>\AppData\Local\Mozilla\Firefox\Profiles\<chiffres_et_letttres.default>, tout supprimer et mettre le contenu de la sauvegarde ;
  
  
• Même chose dans AppData\Roaming.

Pour Thunderbird : même logique que pour Firefox sauf que c’est Local\Thunderbird et Roaming\Thunderbird.

Restaurer la configuration de Google Chrome :

• Ouvrir Chrome, fermer Chrome.
  
  
• Dans C:\Users\<nom>\AppData\Local\Google\Chrome\User Data, tout supprimer et mettre le contenu de la sauvegarde.

Vie privée

Durant l'installation

On en parle, de la masse de questions posées durant l'installation ?! Dans quel putain de monde vit-on ?!

• Envoyer l'historique des activités à Microsoft ?
  
  
• Autoriser Cortana à collecter des données ?
  
  
• Désactiver toute reconnaissance vocale dans le cloud ?
  
  
• Autoriser Microsoft à collecter la position géographique afin de propsoer des services ?
  
  
• Envoyer des données de diagnostic ?
  
  
• Envoyer des données de saisie manuscrite à Microsoft afin d'améliorer sa reconnaissance des caractères (OCR) ?
  
  
• Autoriser Microsoft à proposer des conseils avec les données de diagnostic ?
  
  
• Autoriser l'utilisation, par les applications, d'un identifiant publicitaire unique ?

À chaque question, le choix favorable à Microsoft est bien présenté, comme s'il s'agissait du paradis : envoyer l'historique des activités, c'est pour reprendre vos activités depuis n'importe où ; Refuser l'utilisation, par les applications, d'un identifiant publicitaire unique est présenté comme « vous recevrez toujours autant d'annonces, mais elles peuvent être moins pertinentes pour vous » ; Impossible de désactiver l'envoi de données de diagnostic, on peut juste choisir un envoi « complet » ou « basic ». Le choix inverse est limite présenté comme l'enfer sur terre.

À l'exception des trois premières questions (de mémoire), l'ergonomie est prévue pour embrouiller l'utilisateur. Genre le bouton se nomme « accepter » au lieu de valider. Donc quand tu réponds non + clic sur le bouton accepter, ça fait bizarre (j'accepte de refuser de me faire fliquer ou j'accepte le flicage tout court ?).

Dire que les autorités administratives de protection des données personnelles (la CNIL en France) ont validé ça… Les libristes que nous sommes ne pouvons pas faire les malins : on parle des données collectées par Mozilla Firefox et de l'ex-partenariat Amazon-Canonical pour intégrer Amazon dans le menu Unity d'Ubuntu ?! Tout le monde fait n'importe quoi…

Finir le ménage

Korben pointe un logiciel libre qui permet de réduire encore un peu le flicage de winwin 10 : DisableWinTracking (fork maintenu ici).

J'ai coché :

• Services ;
  
  
• Clear DiagTrack log ;
  
  
• Telemetry ;
  
  
• Block tracking domains ;
  
  
• WifiSense ;
  
  
• Uninstall OneDrive ;
  
  
• Disable Xbox VR.

Je n'ai pas modifié les autres paramètres (notamment le choix entre désactivation et suppression de services).

Évidemment, il faut adapter cette liste à l'utilisateur : un joueur ne désactivera peut-être pas Xbox VR, par exemple.

Virer les pubs et conseils parasites de l'écran de démarrage

Il faut désactiver Spotlight : clic droit sur bureau → personnaliser → écran de verrouillage → arrière-plan = diaporama ou image, mais pas « Windows à la une ».

Encore une fois : dans quel monde vivons-nous ?! Pourquoi acceptons-nous de nous faire maltraiter comme ça ?

Lulz

Après avoir répondu aux questions sur la collecte de nos données, l'installeur de winwin affiche « Nous préparons votre système » puis … … … « Laissez-nous tout ». Il n'y a pas de suite à cette phrase ! :O Aveu ? :)

Loin d'être virtuel, Internet repose sur des infrastructures physiques dont des câbles sous-marins. Parfois ces câbles se rompent à cause de l'usure, d'un événement naturel, d'un événement humain ou d'un sabotage. Quelques exemples ces deux dernières semaines sur le fil Twitter du « Directeur Réseaux et Services internationaux » d'Orange. Ces pannes ne datent pas d'hier. Exemple : en 1929, un tremblement de terre met KO un câble télégraphique transatlantique.

Plus d'infos sur le financement des câbles sous-marins et les enjeux géopolitiques.

Plus d'infos sur l'aspect physique d'Internet (câbles, locaux techniques, trous dans les trotoirs, etc.).

Plus d'infos sur le financement des infrastructures physiques de l'Internet.

https://twitter.com/jlvuillemin/status/1242890487754887169 :

Et voila ! Reparation du SAT3 faite. Le câble était enfoui profondément sous des sédiments ce qui confirme l’éboulement du canyon du fleuve Congo en hte mer. Avec une tension de relevage croissante le câble a fini par se détacher du fond et a été remonté a bord pour inspection

Visualiser le tracé du câble SAT-3. Éboulement du canyon = écoulement turbiditique.

https://twitter.com/jlvuillemin/status/1243618627586269184 et https://twitter.com/jlvuillemin/status/1243791292913631233 :

la situation globale des cables sous-marin entre l’europe et l’ocean indien est tres dégradée. Le SMW 3 et le SMW 4 sont tous les 2 coupés en 2 endroits différents. Nous avons actuellement 3 cabliers en mer sur ces opérations. […] Réparation du SMW3. Lors du relevage le câble s’est cassé dans la boite de jonction qui reliait le câble au répéteur.
Il est donc très probable que le défaut était dans la boite nous en aurons la confirmation quand l’extrémité laissée au fond aura été remontée et testée.

Visualiser le tracé du câble SMW-3. Visualiser le tracé du câble SMW-4.

https://twitter.com/jlvuillemin/status/1238806688754470912 :

Comme tous les gamers de la réunion l’ont constaté il y actuellement une double coupure sur les cables SMW4 et SMW5 qui impacte non seulement la réunion mais aussi plus généralement le trafic vers l’Asie, singapour et HK. Les équipes sont en train de réparer. Je précise que les coupures sont sur la partie égyptienne des deux cables a quelques km de la station de Zafarana.

Visualiser le tracé du câble SMW-5.

https://twitter.com/jlvuillemin/status/1243657525028929545 :

Coupures qui entrent dans les statistiques des incidents habituellement constatés, svp ?
Trés supérieures a la moyenne habituellement constatée.

https://twitter.com/jlvuillemin/status/1243654077361381387 :

[…] Mais effectivement actuellement la situation est complexe. Entre l’Afrique, l’océan indien et la Méditerranée, nous avons un nombre de coupures particuliérement élevé.

J'ai du mal à croire à une hausse significative des pannes sur les câbles sous-marins. J'attends que des informations provenant de plusieurs sources soient publiées avant de conclure.

OMG, tout un site web du marchand Orange dédié au bien vivre le digital alors qu'une simple règle suffit : pour bien vivre le digital, utiliser du lubrifiant.

Explication ici. Je cite : « L’adjectif digital en français signifie « qui appartient aux doigts, se rapporte aux doigts ». ».

Merci Johndescs pour la blagounette du jour. :)

Quelqu'un a-t-il des infos liées à l'un de ces sujets ?

• Les observations de la Cour des comptes de septembre 2019 concernant la non-application de la durée légale de travail aux personnels de l'enseignement supérieur et la recherche (ESR) ;
  
  
• L'arrêt C‑72/18 du 20 juin 2019 de la Cour de Justice de l'Union européenne concernant l'impossible différence de rémunération, à travail, poste et responsabilités égaux, entre un fonctionnaire et un contractuel.

Je cherche toutes les infos possibles, et, en particulier :

• Quelles sont les suites possibles ? ;
  
  
• Est-ce que les observations de la Cour des comptes peuvent rester à nouveau lettre morte comme elles l'ont été depuis 2015 ? ;
  
  
• Est-ce cette décision impacte autre chose que le temps de travail ? J'ai entendu dire que cela remet en cause les "aménagements individuels" d'horaires genre untel fait 7 h 30 - 16 h tous les jours, untelle termine à 15 h trois jours par semaine en bossant de 8 h à 19 h les autres jours, etc. Vrai / faux ? ;
  
  
• En 2018, avant ces observations de la Cour des comptes donc, l'université d'Aix-Marseille a régularisé sa situation en proposant un choix à ses personnels : soit une durée de travail hebdomadaire supérieure mais en conservant les jours de congés annuels, soit une durée de travail hebdomadaire moindre mais avec un nombre réduit de jours de congés annuels. Est-ce lié ou est-ce la régularisation d'un autre dossier ? Des universités ont-elles commencé la régularisation demandée par la Cour des comptes ? ;
  
  
• L'arrêt de la CJUE est-il applicable à tous les contractuels ou uniquement aux enseignants vacataires (en CDD) ? ;
  
  
• Suite à l'arrêt de la CJUE, un contentieux est-il déjà porté devant le Conseil d'État afin de lui faire réviser sa jurisprudence au regard de celle de la CJUE ? Est-ce que des syndicats sont sur le coup ? ;
  
  
• Ce que je lis sur l'arrêt de la CJUE est contradictoire : d'un côté, une analyse évoque la fin de la différence de traitement liée à l'ancienneté (alors que les contractuels ont déjà une hausse de rémunération liée à l'ancienneté…), d'autres analyses estiment que les primes (qui, par chez moi, sont bien à l'origine de la différence de rémunération) sont aussi concernées ;
  
  
• Comment agir ? Est-ce que, en tant que contractuel, je peux demander à mon service RH de m'appliquer les primes des fonctionnaires puis contester son refus au tribunal administratif puis au Conseil d'État ou est-ce prématuré ou est-ce que ça nécessite d'autres révisions législatives préalables ?

Avez-vous déjà remarqué que tous les instruments qui cherchent une forme de vie intelligente sont pointés loin de la Terre ?

+1. :)

TL;DR : HSTS c'est bien si ta conf' TLS est propre ; HPKP c'est du passé ; Expect-CT me semble être en partie aussi pipeau que CAA ; Referrer-Policy est cool au sein d'un intranet / webmail / agrégateur RSS web ou autre ressource web privée et inutile au-delà ; X-Frame-Options, c'est du passé ; X-XSS-Protection et X-Content-Type-Options, ça ne mange pas de pain même si le gain est faible et que ce n’est pas encore normalisé ; Content-Security-Policy est loin d'être simple en pratique, même sur un logiciel qui se veut être simple comme Shaarli, car ça nécessite une parfaite connaissance du code de l'application web et des compromis utilisabilité / sécurité qui me semblent être très vite déconnants.

Toujours à la recherche de la hype en 2020 et m'étant fait tej' par TLS 1.3 et HTTP/2, je me demande quels entêtes HTTP trop stylés ajouter dans la configuration de mes serveurs web.

HTTP Strict Transport Security (HSTS), c'est plié : j'utilise une autorité de certification x509 maison, ce qui est incompatible.

HTTP Public Key Pinning Extension for HTTP (HPKP), c'est compliqué. On a vite fait de faire de grosses erreurs durables (même contre sa volonté, en raison de la fluctuation de ce que les autorités de certification incorporent dans un certificat x509 et en fonction des implémentations logicielles…), ce qui bloque l'accès au site web. Ça serait un deal à examiner si je n'avais pas déployé DANE TLSA, une solution concurrente au même problème qui propose une deuxième chaîne de certification via le DNS. De plus, je ne pense pas qu'un faux certificat x509 émis pour mon petit site de bouseux fasse partie de mon modèle de menaces… Au final, HPKP a été déprécié par son créateur, Google et retiré de Chrome. Affaire classée, donc.

Expect-CT indique au navigateur web de vérifier que le certificat x509 présenté par le serveur est bien publié dans Certificate Transparency, une base de donnée publique dans laquelle les autorités de certification peuvent ajouter (impossible de modifier et de supprimer) tous les certificats qu'elles génèrent… sauf quand elles se font vraiment pirater jusqu'à l'os. C'est là le hic. Je ne suis donc pas convaincu du gain foudroyant apporté par cet entête. De toute façon, j'utilise une autorité de certification maison qui ne publie donc pas dans Certificate Transparency, donc je ne suis pas éligible.

Referrer-Policy indique au navigateur web si, quand un utilisateur clique sur un lien présent sur un site web, il doit dire au site web de destination d'où il vient. On peut interdire toute communication ou demander à ce que seul le domaine soit communiqué et faire des mélanges genre communiquer l'URL complète si la destination du lien est le même site web et ne rien dire si la destination est externe, par exemple. Même possibilité de mélange si le site web de destination propose le même niveau de sécurité (comprendre HTTPS) que le site web source ou non. Je suis mitigé. Je vois très bien l'intérêt de cet entête pour un intranet ou un webmail ou un agrégateur RSS web , par exemple, mais pas pour mes sites web persos… Des extensions pour navigateurs web, comme Smart Referer permettent déjà de configurer l'envoi (ou non) du referrer, et, au moins, ça fonctionne pour tous les sites web consultés par un utilisateur, pas juste pour ceux qui ont mis un entête. L'utilisateur ne devrait pas compter sur l'administrateur d'un site web pour préserver sa vie privée. ÉDIT DU 07/04/2020 à 23 h 25 : cela permet à des adminsys de réduire (un peu, mais à moindre coût) le flicage des sites web qu'ils hébergent. FIN DE L'ÉDIT.

X-Frame-Options est déprécié et est remplacé par l'attribut « frame-ancestors » dans la version 2 de Content Security Policy, donc affaire classée.

X-XSS-Protection indique au navigateur web de bloquer les tentatives d'exploitation de failles XSS les plus triviales. Ça ne mange pas de pain. J'ajoute donc cet entête à mes configurations : X-XSS-Protection "1; mode=block".

X-Content-Type-Options indique au navigateur de ne plus faire de MIME sniffing, c'est-à-dire d'interprétation du type d'un fichier quand le serveur web ne le précise pas ou que le navigateur web pense qu'il est erroné. Ça évite des attaques par fichiers malveillants spécifiquement fabriqués pour une attaque. Son utilisation suppose que le site web qui envoie cet entête soit irréprochable sur les types de fichier qu'il envoie. Mais, contrairement à HPKP, il n'y a pas de sanction durable dans le temps si ce n'est pas le cas. Donc ça ne mange pas de pain, donc j'ajoute cet entête à mes configurations : X-Content-Type-Options "nosniff".

Content-Security-Policy. J'en ai déjà parlé, expliqué ce que c'est, etc.. Dans la pratique, son usage n'est pas si simple et suppose une grande maîtrise du code du site web auquel cet entête sera appliqué. Exemple concret : j'ai voulu ajouter CSP à mon shaarli, car je considère qu'il s'agit d'une application web toute simple. Grosse erreur.

Au début, j'envisageais de positionner la valeur « default-src 'none'; frame-ancestors 'none'; script-src 'none'; style-src 'self'; img-src 'self'; form-action 'self'; ». Dans l'ordre, ça dit ce qui suit. Tout ce qui n'est pas défini sera bloqué. Ce site ne peut pas être inclus dans un autre. Le seul CSS autorisé est celui provenant de la même origine (même protocole + nom de domaine + port). Même chose pour les images (comme les miniatures de vidéos ou d'images proposées par shaarli). Les formulaires peuvent uniquement être envoyés à une cible de même origine.

Rien que là, il y a des pièges. Il y a les non-dits, comme le fait que les scripts « inline » (insérés directement dans le XHTML) sont interdits de base sauf mention explicite. Il y a des différences de comportements. Je n'ai pas besoin de préciser « script-src », « font-src », « child-src », « object-src », « manifest-src », « media-src », « worker-src », « connect-src » car, en cas d'absence, un repli sur « default-src » est prévu. En revanche, il n'y a pas de repli pour form-action ou frame-ancestors, donc aucun blocage par défaut. Il y a des subtilités. « plugin-types » est un sous-type de « object-src », par exemple. Il faut donc lire la norme ou sa vulgarisation avec attention, ce qui est jamais top en matière de sécurité.

Ensuite, la définition CSP toute simple ci-dessus ne fonctionne pas avec shaarli.

• Le thème par défaut et le plugin QR code (que j'ai tenté de désactiver à plusieurs reprises, mais il semble bien enraciné) utilisent du JavaScript (et, si pas de JS, un clic sur un QR code envoie l'utilisateur sur le site web qrfree.kaywa.com avec le QR code affiché pleine page…). Il faut donc remplacer « script-src 'none'; » par « script-src 'self'; ». Encore pire, le thème et le bookmarklet nécessitent l'usage de Javascript inline. Il faut donc remplacer « script-src 'self' » par « script-src 'self' 'unsafe-inline'; ». Ça enlève une grande partie de l'intérêt de CSP puisqu'un attaquant pourrait justement injecter du JS inline ;
  
  
• L'affichage des miniatures de vidéo Youtube va chercher la miniature… chez Google Youtube (img.youtube.com) ! Si je voulais autoriser ça, il faudrait remplacer « img-src 'self'; » par « img-src 'self' img.youtube.com; » (attention : dans la syntaxe CSP, il n'y a pas de quote pour entourer et délimiter un nom de domaine). Quid des autres images externes susceptibles d'être chargées dans mon dos ? Il faut que je lise le code source de shaarli en entier ou il faut un « img-src *; » ?! Ça réduit encore l'intérêt de CSP puisque des images malveillantes externes (qui profitent d'une faille de sécurité dans la visionneuse qui la chargera) pourront être chargées par le navigateur ;
  
  
• Le plugin QR code (encore lui), affiche le QR code en utilisant le schéma « data: ». Si l'on veut qu'il fonctionne, il faut donc remplacer « img-src 'self' » (ou « img-src ; » par « img-src 'self' data: » (ou « img-src data: »;. Là encore, ça retire une partie de son intérêt à CSP puisqu'un attaquant pourra injecter des images en utilisant ce schéma… ;
  
  
• Si l'on clique sur une vidéo que je mets à disposition, genre celle-ci, il n'est pas possible d'avancer dans la lecture à un moment qui n'est pas encore téléchargé dans la mémoire tampon. Essayer, c'est le "plantage", il faut F5. Pour que ça fonctionne à nouveau, il faut ajouter « media-src 'self'; ». Ça encore, ça passe…

Du coup, pour un shaarli qui semble être fonctionnel, il faut la CSP default-src 'none'; frame-ancestors 'none'; script-src 'self' 'unsafe-inline'; style-src 'self'; img-src * data:; media-src 'self'; form-action 'self';. Si l'on est prêt à sacrifier les miniatures de vidéos Youtube (et sites externes), la CSP suivante suffit : default-src 'none'; frame-ancestors 'none'; script-src 'self' 'unsafe-inline'; style-src 'self'; img-src 'self' data:; media-src 'self'; form-action 'self';. Et tout ça, sans être sûr que j'ai bien identifié tous les problèmes…

CSP est une bonne idée, mais il faut connaître parfaitement son application web. Et même en la connaissant, il faut autoriser de gros trous dans la raquette pour qu'elle fonctionne, ce qui diminue d'autant la sécurité apportée par CSP. Et encore, j'ai travaillé sur une application web qui se veut être simple, qu'est-ce que ça doit être avec n'importe quel CMS, site web pseudo-moderne ou application web Java ! Imagine les ressources externes (police récupérée ici, JavaScript récupéré chez Google, etc.). Imagine l'interférence des CDN (réseaux de distribution de contenus à l'échelle de la planète) et les possibilités de rendre caduque CSP que cela offre.

Bref, hors de question que je me prenne la tête avec CSP.

TL;DR : GLPI : logiciel web libre (GPL) de gestion d'un parc informatique : inventaire des machines-périphériques-réseau et de leur lieu géographique, stockage des contrats-facturation, gestion des stocks de consommables, tickets d'assistance, etc. Le package Debian glpi n'existe plus après Jessie. Il faut penser à passer à une version à jour installée à la mano. Le package gpli dépend de packages php5-*. Il faut migrer le moteur SQL utilisé par les tables GLPI de myisam à innodb avec un outil livré avec GLPI.

Sur mon ordinateur de bureau Debian GNU/Linux Stretch, des paquets php5-* étaient encore installés alors que je suis sûr d'avoir migré en PHP 7 + FPM il y a des mois. Dépendances du package glpi… qui n'est plus mis à jour depuis Jessie. Je suis donc en version 0.84 (2013 !) alors que le monde est à la 9.4.5 (il y a eu un saut de versions entre 0.xx et 9.x, je te rassure).

Je supprime et purge tout package php5-*.

Je télécharge la dernière version stable de GLPI. tar -xf dans /var/www . Droits : sudo chown -R root:www-data /var/www/glpi && chmod -R g+w /var/www/glpi/files /var/www/glpi/config (ces droits d'écriture seront réclamés par l'installeur de GLPI).

Flemme de créer un serveur virtuel Apache httpd alors que celui par défaut me convient. Flemme d'utiliser dpkg-divert pour éviter les conflits lors d'une mise à jour. J'ai décidé de créer un fichier /etc/apache2/conf-available/glpi.conf comme le package glpi l'avait fait (le « denied » nous sera demandé par GLPI lors de la première connexion après mise à jour) + sudo a2enconf glpi + sudo systemctl reload apache2 :

Alias /glpi /var/www/glpi

<Directory /var/www/glpi/files>
    Require all denied
</Directory>

On installe les modules PHP 7 strictement nécessaires à GLPI (donc pas imap ni ldap, ni cas, qui sont juste recommandés) : sudo apt-get install php-gd php-mbstring php-curl php-xml php-xml php-xmlrpc.

On met à jour GLPI en suivant l'assistant web : http://127.0.0.1/glpi. Puis sudo rm -r /var/www/glpi/install.

À partir de la première connexion, un message d'erreur s'affichera : « XXX tables not migrated to InnoDB engine ». Un outil de migration est disponible depuis la nouvelle console CLI GLPI. Je l'ai utilisé ainsi : sudo -u www-data php /var/www/glpi/bin/console glpi:migration:myisam_to_innodb.

Tranquil IT est une société commerciale française qui vend de la prestation autour de Samba 4 AD DC (implémentation libre d'un contrôleur de domaine Microsoft avec un niveau fonctionnel winwin 2008 R2) : formation / transfert de compétences, migration AD / Samba 3 vers Samba 4 AD DC, documentation Samba 4 en libre accès, etc.

Elle développe également WAPT (Windows Apt), un logiciel libre (GPL) de gestion de parc avec inventaire et déploiement de logiciels et de configurations pour winwin, mais j'ai rien à en dire (pour l'instant ?). De quoi remplacer le vieillissant et plus maintenu wpkg ? Je ne sais pas (encore ?).

Nous avons eu recours aux services de cette société pour nous former sur Samba 4 AD DC et préparer une maquette de notre architecture Samba 4 (plusieurs contrôleurs, BIND DLZ + délégation DNS, avitaillement des identités / comptes utilisateur depuis notre OpenLDAP, PRA Samba 4, etc.). Rien à signaler. Nous n'avons pas souscrit à sa prestation de migration, car cette dernière nécessitait un travail d'intégration (scripts, procédures, etc.) sur lequel nous voulions garder la main.

Bref, une petite société commerciale qui fait vivre le logiciel libre.

LDAP Synchronization Connector, LSC, est un logiciel libre (avec des restrictions sur l'usage du nom), programmé en Java et qui mange une configuration en XML, qui permet de synchroniser (créer, modifier, supprimer) le contenu d'un annuaire LDAP (OpenLDAP, Samba 4 AD DC, etc.) depuis tout un tas de sources : un fichier CSV, une base de données, un autre annuaire LDAP, etc.

LSC peut fonctionner selon 3 modes :

• Le mode one-shot / synchrone (lsc -f /etc/lsc -s all) permet de créer un ou des objets / identités à un instant T en étant sûr qu'ils seront créés sans délai (dans le lsc.xml que l'on mettra dans /etc/lsc, il faut créer autant de tâches qu'il y a de comptes utilisateurs à créer) ;
  
  
• En mode démon / asynchrone (lsc -a all), LSC synchronise tous les attributs qu'on lui demande de tous les objets qu'on lui demande de surveiller. LSC fait une comparaison complète de l'annuaire (ou d'une branche) puis, si la source est un LDAP, toutes les 5 secondes, il fait une recherche avec le filtre LDAP « (modifyTimestamp>=<maintenant - 5 secondes>) ». Si des objets ont été modifiés dans la source ces 5 dernières secondes, il synchronise les objets correspondants dans la destination ;
  
  
• Le mode nettoyage (lsc -c all) supprime de la destination tout les objets qui ne sont plus dans la source. Oui, même si tu précises « delete » = « true » dans « conditions » dans « propertiesBasedSyncOptions » dans la définition d'une tâche, LSC ne supprimera pas l'objet tant qu'il tournera en mode démon / asynchrone.

Nous utilisons LSC pour synchroniser un Samba 4 AD DC (implémentation libre d'un contrôleur de domaine winwin) à partir d'un OpenLDAP. Nous avons besoin d'un contrôleur de domaine, notamment pour intégrer les versions récentes de Windows (Samba 3 / domaine NT 4, c'est mort depuis 10 à 15 ans) et pour intégrer pleinement les NAS modernes (CIFS, NFSv4 authentifié, possibilité pour l'utilisateur de restaurer lui-même ses données ‒ onglet « versions précédentes » dans les propriétés d'un fichier/dossier sous winwin ‒, etc.), mais nous n'avons pas encore envie que Samba 4 devienne le cœur de notre système d'information, on veut qu'il reste en périphérie, qu'il s'occupe uniquement des stations de travail winwin. Une comparaison complète, par un seul thread, entre notre OpenLDAP et notre Samba 4 prend environ 7 minutes pour environ 10 000 objets / identités utilisateur.

Info importante : dans l'Active Directory de Microsoft, et Samba 4 respecte cela, le mot de passe d'un utilisateur est en écriture seule quand on y accède par le protocole LDAP. Autrement dit : le mot de passe étant impossible à lire, il est impossible, pour LSC, de le comparer afin de savoir s'il a changé par rapport à la source. Deux solutions : 1) lorsqu'un utilisateur change son mot de passe, on le change dans Samba 4 AD DC avec samba-tool user setpassword ; 2) lorsqu'un utilisateur change son mot de passe, on pourrait le chiffrer et le mettre dans l'attribut Samba 4 « userPasswordEncrypted » puis la synchronisation (mode démon) de LSC déchiffrerait le mot de passe et le mettrait dans le bon attribut Samba 4 (voir la doc' LSC à ce sujet).

Merci à Seb' d'avoir intégré LSC et d'avoir appuyé le choix Samba 4 AD DC (ça m'aurait bien fait chier de payer M$ pour un contrôleur de domaine). :)

Avec freeRADIUS, implémentation libre d'un serveur RADIUS, on peut tester la configuration banale en simulant des requêtes avec l'outil radtest livré de base. Mais cet outil ne prend pas en charge les protocoles EAP (utilisés, entre autres, dans 802.1X donc dans le WiFi WPA2-Enterprise, nom commercial de WPA2-EAP). Le logiciel fourni par freeRADIUS, radeapclient, est compliqué à utiliser : il faut saisir les paquets RADIUS qui seront envoyés au serveur RADIUS… On ne va quand même pas faire clignoter le Wi-Fi de production ? :-

Heureusement, le projet hostapd, logiciel libre permettant de transformer son ordinateur en un point d'accès Wi-Fi, a créé un outil de test EAP adapté nommé eapol_test.

L'ennui, c'est qu'il n'est pas livré dans le paquet Debian de freeRADIUS ni dans celui d'hostapd… ÉDIT DU 09/10/2022 : depuis Debian Bullseye (Debian 11), eapol_test est livré par le paquet eapoltest des dépôts officiels. FIN DE L'ÉDIT.

Un guide existe déjà pour compiler eapol_test depuis ses sources. Je copie :

• Installer les dépendances : sudo apt-get install git libssl-dev devscripts pkg-config libnl-3-dev libnl-genl-3-dev ;
  
  
• Récupérer les sources de eapol_test (de tout freeRADIUS, en fait) : git clone --depth 1 --no-single-branch https://github.com/FreeRADIUS/freeradius-server.git ;
  
  
• Se déplacer dans les sources : cd freeradius-server/scripts/ci ;
  
  
• Exécuter le script de compilation : ./eapol_test-build.sh ;
  
  
• Déplacer le binaire au bon endroit (et dans un dossier couvert par $PATH, surtout) : sudo cp ./eapol_test/eapol_test /usr/local/bin/.

Ensuite, il faut un fichier de config' pour eapol_test. Je recopie ici celui qui m'intéresse le plus, celui qui permet de tester EAP-TTLS-PAP :

network={
    key_mgmt=WPA-EAP
    eap=TTLS
    identity="a_user@<your-instiutions-domain>"
    anonymous_identity="anonymous@<your-instiutions-domain>"

    # Uncomment to validate the server's certificate by checking
    # it was signed by this CA.
    #ca_cert="raddb/certs/ca.pem"
    password="changeme"
    phase2="auth=PAP"
}

Ensuite, il faut s'assurer que l'IP de la machine qui exécutera eapol_test est bien un client RADIUS autorisé dans le fichier clients.conf de freeRADIUS.

Il y a plus qu'à tester : eapol_test -c <nom_fichier_conf_récupéré_précédemment> -a <IP_serveur_RADIUS> -s <secret_partage_avec_le_serveur_RADIUS_voir_clients.conf>. Ça débite bien, mais nous, tout ce qui nous intéresse, c'est le « SUCCESS » ou le « FAILURE » final.