La formation du RSSI

L’ANSSI a publié un panorama des métiers de la cybersécurité 2020. Assez naturellement, je suis allé lire la fiche consacrée au RSSI (pages 10 à 13). A la partie “formation recommandée”, il est écrit : “Bac + 5 avec une spécialisation en cybersécurité”.

Je disconviens respectueusement.

Premier point : il manque une connaissance approfondie des rouages de l’entreprise. En discutant aux Assises de la Cybersécurité 2020 avec Mathieu Rigotto (qui m’autorise à le citer), celui-ci me faisait remarquer qu’un bon RSSI devrait aussi avoir un MBA. En effet, la maîtrise en administration des affaires est le diplôme international d’études supérieures du plus haut niveau dans le domaine de la conduite globale des affaires : stratégie, marketing, finances, ressources humaines et management (source Wikipédia).

Je rencontre souvent deux types de RSSI : un expert technique pour qui les challenges sécurité n’ont aucun secret, ou un diplomate fin négociateur pour qui les exigences métiers n’ont aucun secret. Deux profils assez différents.

Le premier est un Snipper, le deuxième est un Général.

Pour être un bon Général, il n’est pas nécessaire d’être un bon Snipper (mais c’est un cheminement possible). Et pour être un bon Snipper, il n’est pas nécessaire d’être un bon Général (mais c’est un cheminement également possible).

Les deux profils cohabitent donc, et à mon avis, la meilleure formation, c’est la somme des deux : le meilleur RSSI doit donc avoir une solide formation technique, complétée par une bonne vision méthodologique, mais aussi une solide formation orientée sur les besoins des métiers de l’entreprise. Un ingénieur informatique avec spécialisation en cybersécurité ayant complété sa formation par un MBA.

Un RSSI ne doit pas produire une analyse de risque basée uniquement sur l’aspect technique, comme par exemple, “cette application est trouée de toute part, je m’oppose à ce qu’elle soit utilisée”. Il doit aussi intégrer le besoin métier, voire le besoin stratégique de l’entreprise. Ainsi, par exemple : “notre percée sur ce marché dépend de la rapidité avec laquelle nous allons pouvoir le conquérir, au besoin avec une application trouée de toute part”.

Et ça, c’est BEAUCOUP plus difficile à assumer.

Deuxième point de désaccord : bac + 5. En effet, beaucoup de jeunes arrêtent les études supérieures avant, pour un tas de raisons. Ils commencent à travailler dés le bac (ou avant), ou à bac+2 ou +3. Pourtant, la connaissance ne s’acquière pas uniquement sur les bancs de l’école, fut-elle supérieure, ou de l’université. Vous pouvez apprendre dans l’entreprise, avec l’aide des collègues, des anciens, sur le tas confronté aux projets, dans les livres, ou tout simplement en faisant de la veille.

Cela peut paraître contradictoire avec mon premier point, où j’évoquais le diplôme d’ingénieur et le MBA, mais pas du tout : il y a une équivalence naturelle avec l’expérience acquise en entreprise (enfin qui devrait être naturelle si les recruteurs étaient moins fermés). Il y aurait tellement à écrire sur le problème des diplômes en France…

Bref, il y a longtemps, mes professeurs vantaient les avantages des formations technico-commerciales, de même aujourd’hui, je conseille une solide expérience technique, assortie à une très bonne connaissance de la conduite des affaires. L’une complète l’autre, pour envisager être un bon RSSI. Savoir capturer le drapeau n’est pas forcément nécessaire, ni suffisant.

Mon PC dans le Cloud

Comme vous le savez sans doute si vous me suivez sur Twitter, ou si vous avez lu l’épilogue de ma série de billet “25 ans dans une startup”, je travaille en région parisienne trois jours par semaine et je suis deux jours en télétravail dans ma province profonde (mais belle). Je précise que cette organisation a été mise en place AVANT le confinement de mars 2020, car j’ai la chance d’avoir un employeur moderne. J’en ai fait le bilan dans ce billet consacré au télétravail.

Mon employeur a mis à ma disposition un ordinateur portable qui me suit partout, et j’ai un ordinateur fixe personnel chez moi dans ma province profonde (mais belle) ET un ordinateur personnel chez moi dans ma “coquette petite studette en souplex” de région parisienne. J’ai également installé une VM privée sur mon ordinateur professionnel.

Cela fait donc 3 ordinateurs privés sur lesquels je veux retrouver les mêmes outils, les mêmes habitudes, les emails déjà lus, les mêmes partages de fichiers, etc.

Tout allait bien dans le meilleur des mondes, mais j’étais un peu agacé parfois de devoir synchroniser à la main une configuration, installer trois fois un nouveau logiciel, et maintenir des partages de fichiers en toute sécurité. N’était-il pas possible de simplifier un peu tout cela ?

J’écoutais, de plus en plus séduit, l’appel des sirènes du Cloud. Je voyais passer dans ma veille technologique des appels appuyés en direction des gamers pour qu’ils basculent leurs configurations vers des solutions telles que Google Stadia, Nvidia Geforce Now, xCloud de Xbox ou PlayStation Now. Des gamers ! Alors, pourquoi pas un petit PC perso avec sa petite configuration aux petits oignons ?

Oui mais et ma vie privée dans tout cela ? Et le coût ? Et la sécurité ? Après tout, le Cloud, ce n’est rien d’autre qu’un datacenter géré par quelqu’un d’autre et accessible de partout depuis un accès internet. Il faut se poser les bonnes questions : qui fera les sauvegardes, les mises à jour de sécurité, les montées de version des logiciels et des OS, qui sera “root” sur mes données ?

Autant de questions auxquelles il m’a bien fallu répondre pour l’hébergement de ce blog : après avoir testé l’autohébergement d’un WordPress sur YunoHost, j’ai préféré et choisi la location d’un VPS chez OVH, avec son offre Kimsufi à 3,59€ par mois. Je fais régulièrement un backup (et des tests) sur le WordPress de mon YunoHost. Je présenterai mon usage de la fantastique solution YunoHost dans un billet qui lui sera dédiée.

Oui MAIS : faire héberger un blog, ce n’est pas tout à fait la même chose que de faire héberger la totalité d’un ordinateur personnel… Et après avoir étudié les coûts, les solutions proposées, les risques, le coût des sauvegardes et la sécurité, voici ce que j’ai choisi.

A cause des coûts, j’ai abandonné la notion de “datacenter géré par quelqu’un d’autre” pour ne garder que celle de “accessible de partout depuis un accès internet”. Comme les solutions de type TeamViewer demandent de confier la partie sécurité à quelqu’un d’autre, j’ai donc choisi l’autohébergement complet de ma solution :

J’ai viré de mon ordinateur professionnel, la VM privée que j’y avait installé. J’ai entièrement réinstallé l’ordinateur personnel de ma coquette studette souplex pour n’y laisser que le système d’exploitation (Linux Mint, mais cela aurait aussi bien pu être Windows). Je n’ai conservé qu’un seul ordinateur personnel : celui qui se trouve chez moi.

J’y ai installé le logiciel NoMachine qui est ce que j’ai trouvé de plus efficace pour gérer deux écrans, les périphériques USB et le son à distance.

J’ai configuré le Wake On Line du PC de la manière suivante :
– dans le BIOS, j’ai activé “démarrage sur périphérique PCI-E” ;
– dans l’OS Linux Mint, j’ai activé le WoL avec la commande : sudo ethtool -s enp3s0 wol g

Depuis un PC distant, j’accède de manière chiffré à mon réseau privé grâce à OpenVPN en me connectant sur mon serveur NAS (qui fait tourner le service VPN), puis dans ce canal sécurisé je me connecte en ssh à ma VM Debian (voir le billet “Mon matériel”)

J’allume (depuis cette VM) mon PC perso avec la commande : wakeonlan -i IP -p 9 MAC où IP est l’adresse de broadcast de mon réseau privé et MAC l’adresse MAC du PC perso que je veux allumer.

Une fois démarré, j’y accède avec le client NoMachine (à travers le canal chiffré OpenVPN), et j’utilise mon “PC dans le Cloud” 🙂

Comme il est sous GNU/Linux, je peux si je veux le laisser allumer plusieurs jours sans surprise, si par exemple je lance sur ma carte graphique des calculs durant plusieurs jours.

Quelques remarques avant de vous laisser la parole en commentaire (je suis curieux de connaître vos solutions) :
– la solution NoMachine est vraiment puissante et efficace dans sa gestion des débits internet concernant les graphismes. Seul défaut relevé pour l’instant, elle ne gère pas ma Yubikey USB.
– l’accès par OpenVPN / ssh pour WoL / client NoMachine fonctionne également sous Android ou sur iPhone (pour la commande ssh sur iPhone, j’utilise l’excellente application a-shell).

Et vous, comment accédez-vous à un PC privé à distance ?

Source image https://www.pinterest.fr/pin/471963235926834775

Le réseau sans filtre

Cette histoire est fictive, inventée, les personnages sont imaginaires, le billet est écrit suite à un commentaire du billet précédent. Ça m’a donné cette idée d’une histoire qui pourrait être vraie. Ou pas.

Je m’appelle Brendan Barnes, je suis informaticien dans une PME, et il m’est arrivé un truc pas possible, que j’en ai pas dormi de la nuit suivante… J’étais au fond de mon lit quand on a sonné à la porte. Un peu vaseux, je me demande ce qu’il se passe, et d’abord, quelle heure est-il ? 6h05 du matin ! Mais qu’est-ce qu’il se passe me dit ma femme ? Je vais voir, lui répondis-je. J’ouvre la fenêtre de la chambre et je passe la tête pour regarder en bas dans la rue qui sonne à la porte. Je vois un groupe de personne, dont deux policiers. Ils me demandent de descendre leur ouvrir la porte…

J’enfile vite fait un peignoir, préviens ma femme de se lever rapidement car la police est en bas, et je descend les escaliers, en essayant de ne pas réveiller les enfants.

“Bonjour Monsieur Barnes, Maître Malicorne, Huissier de justice, je viens procéder à une perquisition. Je suis accompagné d’un expert judiciaire informatique, d’un serrurier et de la force publique autorisée par le juge d’instruction, comme écrit sur ce document. Je vous remercie de nous laisser entrer sans opposition comme la loi vous y oblige.”

Et me voilà avec cinq personnes entassées dans mon hall d’entrée, et qui attendent le visage sombre que l’huissier finisse de me lire des papiers auxquels je n’entends rien. Mes pensées virevoltent et mon cerveau est bloqué en mode “MAIS QU’EST-CE QUE C’EST QUE CE CAUCHEMAR”.

Heureusement, H., ma femme, vient me sortir de ma paralysie en criant fort à propos : “MAIS QUI ÊTES-VOUS QU’EST-CE QUE VOUS FAITES LA FAITES MOINS DE BRUIT VOUS ALLEZ RÉVEILLER LES ENFANTS !”

Les enfants sont effectivement bien réveillés, debout dans les escaliers, et pleurent à chaudes larmes : le cauchemar est devenu bien réel.

Une fois les enfants et ma femme calmés, tous les adultes se sont retrouvés entassés dans mon bureau-bazar et l’expert judiciaire a commencé à regarder le contenu des différents supports : les disques durs des ordinateurs de la maison, y compris ceux des consoles de jeux, de la box, puis il a exploré le réseau informatique. Il a repéré les Raspberry Pi et NAS sur lesquels j’héberge tous les services de la maison. Il semblait aussi très intéressé par le parefeu que j’ai mis en place sur mon ordinateur. Puis il a lancé la copie des différents disques durs où je stocke les données de la maison…

Je me suis senti dépossédé de toute ma vie privée.

Les copies numériques vers les disques durs de l’expert ont pris des heures. Pendant tout ce temps là, j’ai pu prendre conscience des raisons pour lesquelles j’en étais là. Les policiers étaient partis, le serrurier aussi. Les enfants étaient à l’école et j’avais convaincu mon épouse d’aller à son travail. Je restais seul avec l’huissier et l’expert judiciaire.

L’expert judiciaire avait l’air d’un brave bougre. Il m’a donné quelques unes des clés de ma situation.

Depuis des années, je télécharge des trucs sur internet : des films, des programmes, des jeux… Je connais tous les trucs pour échapper aux radars des autorités. Au fur et à mesure que les “ayant trop de droits” ont obtenu du législateur des lois allant toujours plus dans le sens de leurs intérêts, j’ai du m’adapter pour éviter les pièges. Après avoir abandonné eDonkey pour télécharger les trucs que la communauté se partage sur cet espace de liberté qu’est internet, je me suis rabattu sur des outils plus sûrs pour récupérer les derniers films du box office et les cracks des logiciels que j’installe sur les ordinateurs des enfants : j’ai investi dans un VPN qui me permet de contourner les décisions débiles des multinationales du cinéma qui se sont découpées le monde en zone de marché où elles imposent les prix qu’elles veulent. Souvenez vous des DVD qu’on achetait lors d’un voyage et dont on découvrait un peu stupéfait qu’on ne pouvait pas les lire sur notre lecteur DVD de salon, sans le “dézoner” !

Alors, j’ai continué à récupérer des jeux crackés, des films rippés, des clés d’activation et des patchs de contournement des DRM, via Tor, via I2P, via FreeNet et consorts.

Plus le monde impitoyable des copyrights et des brevets logiciels cherchait à imposer ses lois (et réussissait auprès des législateurs du monde entier), plus je jubilais derrière mon écran. HADOPI, mon Amour.

Et là, un expert judiciaire qui s’ennuie dans mon bureau pendant la copie de toutes mes données, m’explique que j’ai un gros trou dans la raquette, que depuis le remplacement de ma box par la nouvelle version plus performante, je ne peux plus désactiver l’option IPv6, que tous mes équipements disposent maintenant d’une adresse IPv6 locale et globale qui leur permet d’accéder directement à internet, que le parefeu intégré à ma box est très permissif concernant IPv6 “pour que ça marche”, que le parefeu de mon PC est parfaitement étanche pour une configuration IPv4 mais pas pour une configuration IPv6, que j’ai bien déactivé la configuration IPv6 de ma carte réseau, mais pas celle de mes équipements, que mon VPN utilise les DNS de ma box…

Bref, il m’explique ce que je sais déjà : à 40 ans, je n’ai jamais appris pendant mes études les détails, la gestion et les subtilités d’une configuration IPv6. Mes profs continuent d’ailleurs pour la plupart à enseigner les classes C des réseaux IP. Donc, je sais qu’IPv6, c’est l’avenir, que les adresses sont des trucs qui ressemblent à 2001:db8:0:85a3::ac1f:8001, et qu’au boulot personne ne veut en entendre parler, parce que c’est déjà difficile de maîtriser nos équipements IPv4 avec le spanning tree, les broadcasts, les VLAN, DNS et DHCP, pour ne pas en plus doubler la gestion avec IPv6.

Et là, maintenant, je paye le prix fort pour mon serveur Xpenology qui discute en IPv6 avec Synology Corp concernant ses statistiques de fonctionnement, pour mon serveur qui discute en IPv6 avec HP Corp de son iLO dont la clé a été récupérée via Google Corp, pour ma console Xbox qui discute en IPv6 avec Microsoft Corp du catalogue de jeux piratés que j’utilise.

Et je vais aussi payer au prix fort pour les centaines de DVD rippés stockés en clair sur mon serveur multimédia familial que ce salaud d’expert judiciaire est en train de copier.

Parefeu non homologué AFNOR non validé DGA

Mon matériel

Machine de calcul, fleuron de mon petit musée personnel – Photo Zythom

Travailler dans la sécurité informatique, même comme débutant motivé, m’a amené à analyser d’un œil neuf l’organisation informatique de la maison. Fidèle à mon souhait de partage, je vais décrire ici l’équipement que j’utilise et comment j’en suis arrivé là. Soyez indulgent et constructif : aidez-moi.

Ce billet est consacré aux réseaux et serveurs de la maison. J’aborderai plus en détail les logiciels sans doute dans un ou plusieurs autres billets.

Tout d’abord, je voudrais rappeler qu’en matière de sécurité, rien n’est terminé. Tout évolue très vite, avec des experts de haut niveau qui suivent cela de près et qui sont eux-même dépassés d’une certaine manière. La règle d’or est donc la modestie. Il ne s’agit donc pas de décrire une solution parfaite et sûre, mais l’évolution d’une informatique domestique particulière (la mienne), avec la vision d’un informaticien plein d’incertitudes.

A tout seigneur tout honneur, regardons un peu du côté du réseau. Et je devrais dire DES réseaux. En effet, suite à une panne ayant duré 30 jours chez mon prestataire fournisseur d’accès à internet (pendant laquelle j’ai mis en place en catastrophe un accès 4G partagé, accès grillé en 2 jours par mon fils adapte du streaming ^^), je dispose de deux box internet, d’un accès 4G de secours et d’une fibre “chez un ami” :
– une Freebox fibre mini 4k
– un boîtier ADSL chez OVH
– un vieux routeur DLink sur lequel on peut brancher une clé USB 4G
– une Freebox fibre Delta S “chez un ami”.

Le cœur de réseau est un switch Netgear 16 ports GS316. Celui-ci n’est pas administrable, et ne permet pas de segmenter le réseau en VLAN, mais il n’est pas cher, il est silencieux et très stable. J’ai inscrit dans ma “TODO list” son remplacement pour pouvoir isoler un peu mieux les usages et séparer le cabinet individuel de mon épouse, mon cabinet d’expertise et les données partagées familiales. Pour l’instant, tout est branché sur le même réseau filaire…
– Avantages : simplicité, partage collectif du photocopieur/imprimante/scanner, partage du serveur de sauvegarde, partage des accès internet.
– Inconvénients : la sécurité est minimale, et un device peut mettre le dawa avec un cryptovirus, tout le monde voit tout le monde… A améliorer donc.

Pendant le confinement, je me suis amusé à mettre en place un basculement automatique vers l’ADSL en cas de coupure sur la fibre, avec une VM pfSense et un choix audacieux sur les masques de réseau, mais je suis revenu dessus et pour l’instant, j’interviens à la main, y compris à distance.

Ne pas avoir mis en place de VLAN, cela n’empêche pas de vouloir segmenter un peu son réseau. Surtout quand on ne fait pas DU TOUT confiance dans ses fournisseurs d’accès internet. J’ai donc isolé les box sur des réseaux qui leur sont dédiés (chaque box vient avec son switch intégré, donc c’est facile), séparé du mien par des petits routeurs Ubiquiti ER-X (à environ 55 euros pièce). Chaque routeur est vu par la box comme étant la DMZ vers laquelle elle envoie tout son trafic, et la gestion des flux est faite depuis le routeur (qui lui m’appartient).

LE réseau le plus sensible est celui du cabinet d’avocat de mon épouse, installée en individuelle dans des locaux adjacents à la partie privative de la maison. J’ai donc séparé son ordinateur avec un troisième routeur ER-X sur lequel elle a la main pour choisir sa passerelle par défaut en cas de coupure internet. Son photocopieur/imprimante/scanner est relié à son PC en USB et au réseau domestique par sa prise Ethernet pour partage avec la maisonnée.

Le troisième réseau de la maison est le réseau Wifi. J’ai longtemps utilisé de nombreuses bornes Wifi “premiers prix”, mais suite aux différentes failles trouvées en 2019 et 2020 (KRACK, Krook, etc.) et à l’ancienneté de mes différents AP qui ne disposent pas de suivi de leur constructeur (donc pas de patchs), j’ai investi dans un groupe de 4 bornes UniFi UAP-AC-Pro qui me permettent de couvrir toute la maison, bureaux, terrasses et jardin de mon domaine (j’habite en province comme on dit à Paris). Ces bornes nécessitent un contrôleur, mais celui-ci peut être une VM et c’est le choix que j’ai fait. J’y reviendrai ci-dessous dans la partie consacrée aux serveurs. Ces bornes Wifi permettent le roaming lors des déplacements dans la maison, et diffusent deux réseaux : un réseau Wifi privatif qui accède aux NAS et un réseau Wifi “Guests” pour les visiteurs (les amis, les amis des enfants, la famille, etc.). Ce dernier ne donne accès qu’à Internet, et un QR-Code est affiché un peu partout dans la maison avec le mot de passe en clair (HADOPI même pas peur).

A propos de domaine, j’ai pour l’instant fait le choix de me passer d’un contrôleur de domaine ou d’un annuaire centralisé : les enfants sont équipés d’ordinateurs portables et de tablettes avec des comptes locaux, comme tous les ordinateurs fixes de la maison, le tout sous Windows, GNU/Linux, Android et iOS. Je réfléchis à un contrôle de l’identité plus strict, dans le cadre d’une approche “Zero trust”, mais je tâtonne encore un peu… Sur ma TODO list donc.

Lorsque c’est possible, les disques durs sont chiffrées avec Bitlocker ou le chiffrement intégré. Les données les plus sensibles sont dans des containers VeraCrypt.

Côté serveurs, il y a trois systèmes hardwares différents :
– un NAS Synology (un DS918+ avec 4 disques durs de 4To) ;
– un HP micro server Gen8 (dont j’ai parlé ici il y a longtemps), initialement sous OpenMediaVault et dont j’ai découvert pendant le confinement qu’il fonctionnait parfaitement sous VMware ESXi 6.5 et qui est dédié aux sauvegardes locales (4 disques de 6To) ;
– un Raspberry PI avec un disque dur USB de 4To, sous YunoHost, dédié à l’autohébergement et à l’externalisation des sauvegardes. Cet équipement est hébergé “chez un ami” qui a la fibre.

Le NAS Synology gère le service DHCP du réseau, ainsi que le service de partage de fichiers. Il permet également d’héberger des VM :
– une VM Debian 10 qui porte le service de contrôleur Wifi, et le service d’accès distant OpenVPN (j’ai arrêté de paramétrer les box des FAI pour faire du NAT de tous les ports dont j’ai besoin, sauf pour le port OpenVPN) ;
– une VM Pi-Hole qui porte le service DNS et les listes de filtrage publicitaire et malware.

La box Delta S permet d’héberger sous forme de VM un nœud Tor sous Debian, directement exposé sur internet.

J’ai ajouté récemment une carte RAID LSI 9240-8i dans le micro serveur HP Gen8 sous ESXi pour gérer de manière matérielle la panne éventuelle de disques durs. Je l’ai passé à cette occasion sous VMware ESXi pour m’amuser avec des VM non vitales qui soulagent le NAS familial. Il héberge entre autres une VM OpenMediaVaut pour les sauvegardes de tous les ordinateurs de la maison (et du NAS Synology), une VM Windows pour tester des trucs propres à Windows, et une VM SELKS pour surveiller un peu tout cela.

Les sauvegardes des postes fixes sont faites vers le serveur de sauvegardes HP Gen8. Les sauvegardes des données importantes (containers VeraCrypt) sont faites vers le NAS familial, qui lui-même est sauvegardé vers le serveur de sauvegardes HP Gen8. Il est également sauvegardé vers le NextCloud autohébergé sur le serveur YunoHost à l’extérieur de la maison. C’est également ce serveur NextCloud qui reçoit les sauvegardes des ordinateurs portables des enfants qui ont quitté le nid familial.

Depuis leur départ, je teste une synchronisation des photos et films familiaux du NAS vers un kDrive du cloud Infomaniak, pour un partage avec eux et préparer une transmission numérique de nos souvenirs (je ne suis pas éternel).

Pour le blog, après avoir testé l’autohébergement d’un WordPress sur YunoHost, j’ai préféré la location d’un VPS chez OVH, avec son offre Kimsufi. Je fais régulièrement un backup (et des tests) sur le WordPress de mon YunoHost.

Comme je suis souvent en déplacement professionnel et que je rechigne à installer des données personnelles sur mon ordinateur professionnel, j’ai étudié l’accès à un ordinateur personnel dans le cloud, façon Stadia, Shadow, GeForce Now, xCloud ou PlayStation Now pour les gamers. Après avoir testé différentes solutions (machine dans Azure, GCP et autres hébergeurs), j’ai choisi une solution toute simple : je me connecte avec OpenVPN à mon réseau personnel et je démarre à distance mon PC perso sur lequel j’ai installé le logiciel NoMachine.

J’ai un PC bas de gamme à base de i5 mais avec deux écrans 24″, gonflé à 16Go de mémoire et animé par une Linux Mint Cinnamon. C’est mon dernier enfant qui a récupéré ma carte graphique GTX 1060 qui fait tourner tous les jeux qu’il pratique. Du coup, je teste mes programmes utilisant CUDA sur un vieux portable disposant d’une petite carte Nvidia. Un jour, à la retraite, je m’offrirai un cluster GPU pour chauffer mes vieux os et faire tourner mes programmes de deep learning 🙂

Dans de prochains billets, j’aborderai plus en détail les logiciels, les sauvegardes et les différents outils survolés ici.

Et vous, quelles solutions pour vos réseaux/serveurs avez-vous choisies ?

L’auberge des blogueurs

J’ai la chance de pouvoir participer à une expérience d’écriture assez incroyable : plus de 60 personnes vont écrire des histoires autour du même lieu virtuel : une auberge où chacun joue un personnage avec des interactions qui vont se faire au fil du temps.

J’ai réservé pour 3 semaines de vacances à l’auberge (en vrai je ne suis pas en vacances, hein) et je vais essayer de construire un personnage de roman pour la première fois !

C’est pour moi une vraie expérience, comme pour les autres participants, donc soyez indulgents.

Je vais déserter ce lieu pour quelques jours, si vous voulez suivre l’expérience, il suffit de venir nous lire ici : https://auberge.des-blogueurs.org/

Je vous laisse découvrir mon personnage (c’est très facile) et celui des autres blogueurs. L’expérience va durer tout l’été (mais je n’ai réservé que 3 semaines). Je n’écrirai pas un billet par jour, mais je vais essayer de construire quelque chose. On verra bien 🙂

Auberge des blogueurs

Ils s’aimeront pour toujours

Mon père est mort le 16 avril 2020. Nous étions en plein confinement à cause de la pandémie de Covid19. Le personnel de l’EHPAD avait interdit l’accès à tous les aidants (voir mon billet précédent) dont ma mère. Elle maintenait pourtant mon père en vie en prenant le temps nécessaire pour l’alimenter… Le personnel soignant n’a pas pu prendre le relais, par manque de moyens et de temps, et la santé très fragile de mon père, du fait de sa maladie neurodégénérative, a rapidement décliné.

Le personnel soignant a alors eu l’humanité d’accepter exceptionnellement le retour de ma mère aux côtés de mon père, alors que tous les EHPAD étaient bunkerisés. Elle a pu lui parler pendant les quatre derniers jours de sa vie. Elle lui tenait la main en lui disant qu’elle l’aimait, en lui racontant tous les bonheurs qu’ils avaient vécus ensemble.

Maintenant qu’il est parti, que son corps a été réduit en poussière, elle continue de l’aimer.

Et lui ?

Où son esprit est-il allé ? C’est la question à laquelle l’humanité cherche une réponse depuis que l’être humain a pris conscience de la brièveté de son enveloppe corporelle.

Mais moi, je sais qu’ils s’aimeront pour toujours.

Mes parents

EHPAD : une pensée pour les aidants

Pour ceux qui ne me suivent pas sur Twitter, je reproduis ici un mini récit que j’y ai posté et qui a ému plusieurs milliers de personnes. Le but n’était pas de “percer”, mais d’exprimer la souffrance que je ressens avec ma famille dans l’accompagnement de la fin de vie de mon père. J’ai écris ce thread d’une traite, après une discussion au téléphone avec ma mère, où je me suis mis à pleurer tout seul dans mon bureau après avoir raccroché… Je le dépose ici sur mon blog, en pensant aux enfants de mes enfants, comme la plupart de mes billets non techniques. Il n’y a pas de leçon particulière, ni de message autre que ce témoignage :

Mon père (88 ans) est hospitalisé depuis 2 ans. Il est atteint d’une maladie qui lui mange le cerveau petit à petit. Tous les jours ma mère (88a aussi) vient à ses côtés de midi à 20h. Tous les jours depuis 2 ans… Dimanches, vacances, jours fériés…

Toutes les infirmières les connaissent, et toutes les aides soignantes. Au début, elles acceptaient avec méfiance cette petite vieille qui s’incrustait dans le paysage et qui veillait à ce que le travail soit bien fait.

Mais petit à petit, cette petite vieille (c’est ma mère, hein) a gagné leur confiance. Elle les aide à prendre soin de son mari qui perçoit de moins en moins son environnement, mais qui continue à se rendre compte qu’elle est à ses côtés.

Je vais les voir le plus possible, et ma sœur aussi, et leurs petits enfants. Mon père ne semble plus me reconnaître, mais il réagit si je fais une erreur quand je raconte une histoire du passé, une histoire du temps où il me guidait sur le chemin de la vie.

Les aides soignantes, en sous effectif chronique, laissent ma mère donner à manger à mon père. Car c’est très long, il ouvre difficilement la bouche, et de toutes façons, il n’accepte de manger que si c’est sa femme qui le nourrit.

Elle lui donne également les médicaments (donnés par le personnel soignant), qu’elle prend bien soin de glisser dans la nourriture. Elle choisit les menus, car elle sait ce qu’il aime, et ce qui est bon pour lui. Elle lui donne à boire.

Elle le faisait marcher quand il pouvait encore se lever. Maintenant qu’il est prostré dans son fauteuil, elle lui parle. Elle couvre ainsi de sa voix les cris qui viennent des autres chambres. Des cris, des injures, des hurlements de personnes qui perdent pieds.

Comme ma mère ne peut plus conduire, nous avons mis en place un système de chauffeurs pour tous les jours de la semaine. Des associations de soutiens aux aidants le midi dans la semaine, et des taxis le soirs et le week-end.

Ces gens sont formidables. Ils l’accompagnent jusqu’à la porte de l’hôpital ou jusqu’à la porte de son immeuble. Ils la soutiennent s’il y a de la neige ou du verglas.

Mais samedi dernier, ma mère et son chauffeur ont trouvé la porte de l’hôpital fermée.

Il y avait une petite affiche qui indiquait qu’à cause du Covid19, plus aucune visite n’était autorisée.

Ma mère est restée devant la porte de l’hôpital, jusqu’à ce que quelqu’un ait un peu pitié d’elle et la laisse entrer discrètement. Elle est restée toute la journée près de son mari, l’a nourri et a aidé le personnel débordé.

Mon père avait été mis dans un fauteuil roulant et roulé jusqu’à la salle commune où il restait, immobile, les yeux clos, à attendre sa femme dans un vacarme de déments.

Il faut avoir été une fois dans un service hospitalier spécialisé dans les fins de vie pour comprendre cet enfer et le travail éprouvant du personnel qui y travaille.

Devant le désarroi de ma mère, le personnel de l’hôpital est resté ferme, et lui a expliqué qu’elle ne pourrait pas revenir le lendemain. L’hôpital est fermé à toutes visites (et c’est normal).

Ma mère reste maintenant chez elle et appelle tous les jours l’hôpital pour savoir si son mari a pris ses médicaments et si quelqu’un a eu la patience de lui donner à manger (il faut au moins 1/2h).

Elle appelle surtout pour savoir s’il est toujours en vie.

Parce qu’elle sait bien que c’est elle qui le maintient en vie.

Ma sœur et moi, nous lui disons qu’elle pourra sans doute bientôt retourner le voir et s’occuper de lui. Sans doute dans 15 jours.

Alors qu’on n’en sait rien. Et que ce sera probablement dans trois mois, mais qu’on ne veut pas la faire souffrir encore plus.

Donc, quand vous lirez que les visites sont suspendues dans les EHPAD, ayez une petite pensée pour les aidants et pour tout ceux qui ne vont plus pouvoir aller voir l’amour de leur vie, avec la certitude qu’il va mourir seul.

(fin du flood, et désolé)

Remarque : Le thread a généré beaucoup de réactions extrêmement gentilles et pleines de soutiens, ce qui montre que les personnes sur Twitter peuvent aussi se montrer bienveillantes, contrairement à ce beaucoup veulent faire croire en voulant museler les réseaux sociaux.

Informations : Une semaine après l’interdiction des visites, nous appelons l’EHPAD tous les jours pour avoir des nouvelles de mon père. Le personnel s’en occupe bien malgré le sous effectif et jusqu’ici tout va bien. Merci à tous pour vos pensées positives.

Pour ceux qui voudrait en savoir plus sur la vie de mon père, j’ai écris un billet sur lui il y a quelques années. Je vous invite à le lire.

Quant à ma mère, elle se repose et reprend des forces.

Dialogue avec le support Free

A mon avis, ce n’est plus une bonne idée de vouloir autohéberger son propre serveur de messagerie, tant il est difficile de garantir son bon fonctionnement selon les bonnes pratiques (qui évoluent très vite). Mais c’est possible. Et j’ai voulu m’y atteler pour une raison que j’expliquerai dans un autre billet.

L’une des nombreuses conditions pour disposer d’un serveur de messagerie pleinement accepté par ses petits camarades serveurs-de-messagerie, est de pouvoir mettre en place un reverse DNS. Et cela tombe bien, comme Rodolphe, je suis abonné Free, et ce FAI permet via son interface de mettre en place un reverse DNS.

Enfin, c’est ce que je croyais…

Après avoir paramétré le reverse DNS correspondant à mon besoin, dans l’interface Free de mon abonnement FreeBox, et après avoir attendu plusieurs jours pour être certains que les informations se soient bien propagées, le reverse DNS n’était toujours pas fonctionnel : les différents outils à ma disposition me donnent toujours comme reverse W-X-Y-Z.subs.proxad.net, où W.X.Y.Z est l’adresse IPv4 fournie par Free pour mon point d’accès.

Cherchant à en savoir plus, je me tourne vers internet et je constate que pas mal de personnes semblent avoir le même problème que moi…

Comme il n’est plus possible d’avoir une réponse par les canaux habituels des années 90, je m’adresse au support par Twitter en Direct Messages. Je vous livre le dialogue in extenso :

Bonjour, le reverse DNS n’est pas fonctionnel, alors qu’il est activé dans mon interface depuis 15 jours… Je lis dans de nombreux forums que ce service ne fonctionne pas correctement, est-ce exact ? Comment le faire fonctionner quand on autohéberge un serveur de messagerie ?

Ligne Fibre Optique
NRO : XXXXX
Adresse IP : W.X.Y.Z
Préfixe IPv6 : AAAA:BBBB:CCCC:DDDD::/64

Identifiant : fbxXXXXXX
N° de téléphone Freebox : XX XX XX XX XX
N° de fax : XX XX XX XX XX

Le reverse DNS effectif est WW-XX-YY-ZZ.subs.proxad.net

Ce qui n’est pas ce que j’ai paramétré dans l’interface Freebox

bonjour,
edirection DNS [ma conf] vers WW.XX.YY.ZZ (Actif)
Reverse DNS WW.XX.YY.ZZ vers [ma conf] (Actif)

Pour information, nous n’effectuons aucun support à ce sujet.

Bonne journée

Je pense que vous n’avez pas compris la question, car votre réponse ne fait qu’indiquer ce que j’ai moi-même configuré (je suis donc au courant de ce que j’ai configuré) ET me dire que c’est actif (ce que je sais puisque c’est ce que l’interface de la Freebox indique).

Ma question est donc : pourquoi est-ce que ce n’est pas fonctionnel ?

Nous n’effectuons aucun support à ce sujet.
Bonne journée

Vous m’indiquez que la edirection DNS est : [ma config]

Vous m’indiquez que le reverse DNS est : [ma config]

Je suis d’accord avec vous.

MAIS lorsque l’on teste le reverse DNS effectif depuis les ordinateurs du monde entier, la réponse effective est : WW-XX-YY-ZZ.subs.proxad.net

Ce qui n’est PAS le configuration demandée ET indiquée comme “Actif” sur votre interface Freebox

DONC il y a un bug CHEZ VOUS

Pouvez-vous le corriger et rendre ce service FONCTIONNEL ?

Merci

Je ne comprends pas que votre réponse puisse se limiter à “nous n’effectuons aucun support à ce sujet” : je vous signale un dysfonctionnement, et je demande une réparation d’un service dû qui ne fonctionne pas, je ne demande pas un support !

C’est actif, donc fonctionnel. Bonne journée

Je n’ai eu ensuite plus aucune réponse à mes sollicitations…

Une carte n’est pas le territoire qu’elle représente – Alfred Korzybski

[EDIT du 20/02/2020] Un lecteur m’informe sur Twitter qu’un ticket de bug a été ouvert chez Free cet été sur ce problème, puis fermé avec la réponse suivante :

Close par Thibaut Freebox (Thibaut Freebox)
Thursday  1 August, 2019 15:01:46
Raison de clôture :  Ne sera pas implémenté
Commentaires supplémentaires de clôture :
Ne sera pas implémenté POUR L'INSTANT (période de transition adsl-fibre et ipv4-v6)
Ce sera ré-implémenté à l'avenir, mais non : je n'ai pas de date pour cela.

Remplacer un disque dans un soft RAID GNU/Linux

Hier, j’ai eu une petite frayeur en constatant qu’un test automatique SMART (long selftest) rencontrait une erreur de lecture sur l’un des disques durs de mon NAS de sauvegarde. Celui-ci apparaissait en SMART rouge sur l’interface OpenMediaVault…

Comme c’est un NAS DIY, je n’ai pas de procédure automatique en cas de panne de disque dur : il faut intervenir à la main. Je pose ici la procédure, pour la partager et m’en souvenir, car quand un disque tombe, les autres vont commencer à faire pareil…

Le disque en panne est /dev/sdb, et je suis dans le cas d’un RAID5 où je peux retirer un disque du RAID, sans perdre de données. Le NAS ne contient que des sauvegardes, donc je peux perdre toutes les données, mais j’aime mieux pas (10 To de sauvegardes à reconstituer pendant plusieurs semaines, mon cœur ne tiendrait pas).

Dans un terminal ouvert sur le NAS en ssh sous root (ssh root@X.X.X.X), utilisez les commande suivantes (il faut adapter les commandes selon votre configuration. VOUS DEVEZ COMPRENDRE CHAQUE COMMANDE AVANT DE LA LANCER. Une erreur a pu se glisser dans la suite de commandes que j’indique, je décline toute responsabilité, SGDZ, pas taper) :

Je déclare le disque en panne (SMART ne l’a pas fait), puis je le retire du RAID5 :

mdadm --manage /dev/md0 --fail /dev/sdb
mdadm --manage /dev/md0 --remove /dev/sdb

Je constate dans l’interface OpenMediaVault que le RAID est passé en mode dégradé (il ne l’était pas encore car le problème que j’ai détecté est un problème SMART).

J’arrête le NAS et je remplace hors tension le disque défectueux par un disque de même taille, judicieusement disponible à cette occasion (spare à froid).

Je redémarre le NAS et constate que l’interface OpenMediaVault ne me propose pas d’insérer dans le RAID le nouveau disque dur, sans doute parce que celui-ci n’est pas correctement préparé. Je vais le préparer avec les commandes suivantes :

Je me reconnecte root sur le NAS avec un terminal via ssh, pour lancer la commande gdisk :

gdisk /dev/sdb

Et là, horreur malheur, j’ai les informations suivantes :

GPT fdisk (gdisk) version 1.0.1

Caution: invalid backup GPT header, but valid main header; regenerating backup header from main header.

Partition table scan:
MBR: protective
BSD: not present
APM: not present
GPT: damaged
Caution: Found protective or hybrid MBR and corrupt GPT. Using GPT, but disk verification and recovery are STRONGLY recommended.

Dans l’interface de la commande gdisk, je passe en mode “Expert command” en tapant “x”, puis je supprime les structures GPT et nettoie MBR avec la commande “z”:

Command (? for help): x
Expert command (? for help): z
About to wipe out GPT on /dev/sdb. Proceed? (Y/N): Y

GPT data structures destroyed! You may now partition the disk using fdisk or other utilities.

Blank out MBR? (Y/N): Y

Je quitte gdisk avec la commande “w”, puis je relance gdisk pour vérifier que tout est bon :

# gdisk /dev/sdb
GPT fdisk (gdisk) version 1.0.1

Partition table scan:
MBR: not present
BSD: not present
APM: not present
GPT: not present

Creating new GPT entries.

Command (? for help): q

J’ajoute enfin le nouveau disque dans la grappe RAID :

mdadm --manage /dev/md0 --add /dev/sdb

Je vérifie qu’il n’y a pas d’erreur bizarre, avec :

fdisk -l  # <-- le signe avant le croisillon est un L minuscule

Je vérifie que le RAID se reconstruit correctement, dans l’interface OpenMediaVault ou avec la commande :

cat /proc/mdstat

Je prie pour qu’aucun autre disque ne lâche dans les heures suivantes…

Une fois tout rentré dans l’ordre, je n’oublie pas de reprogrammer un selftest SMART de type long sur le nouveau disque, dans l’interface OpenMediaVault.

J’espère que ce billet pourra faire gagner du temps à quelques uns.

Ceinture et bretelles

La peur rend stupide

Alors qu’un terrible virus se propage en Chine, j’assiste impuissant à la montée du racisme anti-chinois ici ou là dans le monde. Or je travaille dans une école qui accueille des étudiants du monde entier, et en particulier de Chine. Je peux témoigner que le personnel de l’école, et tous les étudiants du campus sont aux côtés des étudiants chinois et que personne ne les ostracise.

Si un chinois lit ces lignes, qu’il sache que, si la peur rend stupide, beaucoup de gens arrivent encore à réfléchir et sont solidaires des autres humains frappés par le malheur : les soignants du monde entier, bien sur, mais aussi les professeurs et tout le personnel qui travaille à leurs côtés.

Et il y a tous ceux qui pensent que la nationalité se lit sur le visage ou avec la couleur de peau. Le racisme se combat par l’éducation.

Vive les chinois.

我在一所欢迎许多中国学生的学校工作,我很高兴能和他们在一起,尽管他们的国家正遭受严重的病毒侵袭。不要听那些因为这种病毒而害怕中国人的人,因为恐惧会让你变傻。中国学生很棒。中国人万岁。