Dialogue avec le support Free

A mon avis, ce n’est plus une bonne idée de vouloir autohéberger son propre serveur de messagerie, tant il est difficile de garantir son bon fonctionnement selon les bonnes pratiques (qui évoluent très vite). Mais c’est possible. Et j’ai voulu m’y atteler pour une raison que j’expliquerai dans un autre billet.

L’une des nombreuses conditions pour disposer d’un serveur de messagerie pleinement accepté par ses petits camarades serveurs-de-messagerie, est de pouvoir mettre en place un reverse DNS. Et cela tombe bien, comme Rodolphe, je suis abonné Free, et ce FAI permet via son interface de mettre en place un reverse DNS.

Enfin, c’est ce que je croyais…

Après avoir paramétré le reverse DNS correspondant à mon besoin, dans l’interface Free de mon abonnement FreeBox, et après avoir attendu plusieurs jours pour être certains que les informations se soient bien propagées, le reverse DNS n’était toujours pas fonctionnel : les différents outils à ma disposition me donnent toujours comme reverse W-X-Y-Z.subs.proxad.net, où W.X.Y.Z est l’adresse IPv4 fournie par Free pour mon point d’accès.

Cherchant à en savoir plus, je me tourne vers internet et je constate que pas mal de personnes semblent avoir le même problème que moi…

Comme il n’est plus possible d’avoir une réponse par les canaux habituels des années 90, je m’adresse au support par Twitter en Direct Messages. Je vous livre le dialogue in extenso :

Bonjour, le reverse DNS n’est pas fonctionnel, alors qu’il est activé dans mon interface depuis 15 jours… Je lis dans de nombreux forums que ce service ne fonctionne pas correctement, est-ce exact ? Comment le faire fonctionner quand on autohéberge un serveur de messagerie ?

Ligne Fibre Optique
NRO : XXXXX
Adresse IP : W.X.Y.Z
Préfixe IPv6 : AAAA:BBBB:CCCC:DDDD::/64

Identifiant : fbxXXXXXX
N° de téléphone Freebox : XX XX XX XX XX
N° de fax : XX XX XX XX XX

Le reverse DNS effectif est WW-XX-YY-ZZ.subs.proxad.net

Ce qui n’est pas ce que j’ai paramétré dans l’interface Freebox

bonjour,
edirection DNS [ma conf] vers WW.XX.YY.ZZ (Actif)
Reverse DNS WW.XX.YY.ZZ vers [ma conf] (Actif)

Pour information, nous n’effectuons aucun support à ce sujet.

Bonne journée

Je pense que vous n’avez pas compris la question, car votre réponse ne fait qu’indiquer ce que j’ai moi-même configuré (je suis donc au courant de ce que j’ai configuré) ET me dire que c’est actif (ce que je sais puisque c’est ce que l’interface de la Freebox indique).

Ma question est donc : pourquoi est-ce que ce n’est pas fonctionnel ?

Nous n’effectuons aucun support à ce sujet.
Bonne journée

Vous m’indiquez que la edirection DNS est : [ma config]

Vous m’indiquez que le reverse DNS est : [ma config]

Je suis d’accord avec vous.

MAIS lorsque l’on teste le reverse DNS effectif depuis les ordinateurs du monde entier, la réponse effective est : WW-XX-YY-ZZ.subs.proxad.net

Ce qui n’est PAS le configuration demandée ET indiquée comme “Actif” sur votre interface Freebox

DONC il y a un bug CHEZ VOUS

Pouvez-vous le corriger et rendre ce service FONCTIONNEL ?

Merci

Je ne comprends pas que votre réponse puisse se limiter à “nous n’effectuons aucun support à ce sujet” : je vous signale un dysfonctionnement, et je demande une réparation d’un service dû qui ne fonctionne pas, je ne demande pas un support !

C’est actif, donc fonctionnel. Bonne journée

Je n’ai eu ensuite plus aucune réponse à mes sollicitations…

Une carte n’est pas le territoire qu’elle représente – Alfred Korzybski

[EDIT du 20/02/2020] Un lecteur m’informe sur Twitter qu’un ticket de bug a été ouvert chez Free cet été sur ce problème, puis fermé avec la réponse suivante :

Close par Thibaut Freebox (Thibaut Freebox)
Thursday  1 August, 2019 15:01:46
Raison de clôture :  Ne sera pas implémenté
Commentaires supplémentaires de clôture :
Ne sera pas implémenté POUR L'INSTANT (période de transition adsl-fibre et ipv4-v6)
Ce sera ré-implémenté à l'avenir, mais non : je n'ai pas de date pour cela.

Remplacer un disque dans un soft RAID GNU/Linux

Hier, j’ai eu une petite frayeur en constatant qu’un test automatique SMART (long selftest) rencontrait une erreur de lecture sur l’un des disques durs de mon NAS de sauvegarde. Celui-ci apparaissait en SMART rouge sur l’interface OpenMediaVault…

Comme c’est un NAS DIY, je n’ai pas de procédure automatique en cas de panne de disque dur : il faut intervenir à la main. Je pose ici la procédure, pour la partager et m’en souvenir, car quand un disque tombe, les autres vont commencer à faire pareil…

Le disque en panne est /dev/sdb, et je suis dans le cas d’un RAID5 où je peux retirer un disque du RAID, sans perdre de données. Le NAS ne contient que des sauvegardes, donc je peux perdre toutes les données, mais j’aime mieux pas (10 To de sauvegardes à reconstituer pendant plusieurs semaines, mon cœur ne tiendrait pas).

Dans un terminal ouvert sur le NAS en ssh sous root (ssh root@X.X.X.X), utilisez les commande suivantes (il faut adapter les commandes selon votre configuration. VOUS DEVEZ COMPRENDRE CHAQUE COMMANDE AVANT DE LA LANCER. Une erreur a pu se glisser dans la suite de commandes que j’indique, je décline toute responsabilité, SGDZ, pas taper) :

Je déclare le disque en panne (SMART ne l’a pas fait), puis je le retire du RAID5 :

mdadm --manage /dev/md0 --fail /dev/sdb
mdadm --manage /dev/md0 --remove /dev/sdb

Je constate dans l’interface OpenMediaVault que le RAID est passé en mode dégradé (il ne l’était pas encore car le problème que j’ai détecté est un problème SMART).

J’arrête le NAS et je remplace hors tension le disque défectueux par un disque de même taille, judicieusement disponible à cette occasion (spare à froid).

Je redémarre le NAS et constate que l’interface OpenMediaVault ne me propose pas d’insérer dans le RAID le nouveau disque dur, sans doute parce que celui-ci n’est pas correctement préparé. Je vais le préparer avec les commandes suivantes :

Je me reconnecte root sur le NAS avec un terminal via ssh, pour lancer la commande gdisk :

gdisk /dev/sdb

Et là, horreur malheur, j’ai les informations suivantes :

GPT fdisk (gdisk) version 1.0.1

Caution: invalid backup GPT header, but valid main header; regenerating backup header from main header.

Partition table scan:
MBR: protective
BSD: not present
APM: not present
GPT: damaged
Caution: Found protective or hybrid MBR and corrupt GPT. Using GPT, but disk verification and recovery are STRONGLY recommended.

Dans l’interface de la commande gdisk, je passe en mode “Expert command” en tapant “x”, puis je supprime les structures GPT et nettoie MBR avec la commande “z”:

Command (? for help): x
Expert command (? for help): z
About to wipe out GPT on /dev/sdb. Proceed? (Y/N): Y

GPT data structures destroyed! You may now partition the disk using fdisk or other utilities.

Blank out MBR? (Y/N): Y

Je quitte gdisk avec la commande “w”, puis je relance gdisk pour vérifier que tout est bon :

# gdisk /dev/sdb
GPT fdisk (gdisk) version 1.0.1

Partition table scan:
MBR: not present
BSD: not present
APM: not present
GPT: not present

Creating new GPT entries.

Command (? for help): q

J’ajoute enfin le nouveau disque dans la grappe RAID :

mdadm --manage /dev/md0 --add /dev/sdb

Je vérifie qu’il n’y a pas d’erreur bizarre, avec :

fdisk -l  # <-- le signe avant le croisillon est un L minuscule

Je vérifie que le RAID se reconstruit correctement, dans l’interface OpenMediaVault ou avec la commande :

cat /proc/mdstat

Je prie pour qu’aucun autre disque ne lâche dans les heures suivantes…

Une fois tout rentré dans l’ordre, je n’oublie pas de reprogrammer un selftest SMART de type long sur le nouveau disque, dans l’interface OpenMediaVault.

J’espère que ce billet pourra faire gagner du temps à quelques uns.

Ceinture et bretelles

La peur rend stupide

Alors qu’un terrible virus se propage en Chine, j’assiste impuissant à la montée du racisme anti-chinois ici ou là dans le monde. Or je travaille dans une école qui accueille des étudiants du monde entier, et en particulier de Chine. Je peux témoigner que le personnel de l’école, et tous les étudiants du campus sont aux côtés des étudiants chinois et que personne ne les ostracise.

Si un chinois lit ces lignes, qu’il sache que, si la peur rend stupide, beaucoup de gens arrivent encore à réfléchir et sont solidaires des autres humains frappés par le malheur : les soignants du monde entier, bien sur, mais aussi les professeurs et tout le personnel qui travaille à leurs côtés.

Et il y a tous ceux qui pensent que la nationalité se lit sur le visage ou avec la couleur de peau. Le racisme se combat par l’éducation.

Vive les chinois.

我在一所欢迎许多中国学生的学校工作,我很高兴能和他们在一起,尽管他们的国家正遭受严重的病毒侵袭。不要听那些因为这种病毒而害怕中国人的人,因为恐惧会让你变傻。中国学生很棒。中国人万岁。

Télétravail

Cela va faire plus d’un an que j’ai changé de métier et fait le choix de travailler en région parisienne. Mon nouveau métier me passionne, mais je ne voulais pas demander à ma famille de me suivre dans l’enfer de la vie parisienne. J’ai donc fait le choix de négocier lors de mon entretien d’embauche la possibilité de télétravailler deux jours par semaine. Pour ceux que cela pourrait intéresser, je fais un point sur ce thème dans ce billet.

Tout d’abord, j’ai conscience d’avoir la chance de travailler dans une entreprise qui a mis en place le télétravail, avec comme arrière pensée d’améliorer le confort de ses salariés. D’autres entreprises mettent en place le télétravail avec comme objectif de diminuer le nombre de bureaux, de mettre en place des bureaux partagés, pour diminuer les charges. Ce n’est pas le cas de mon entreprise où l’idée est vraiment de permettre aux salariés qui le souhaitent, et dont la fonction le permet, de travailler depuis chez eux jusqu’à deux jours par semaine.

Avant de me lancer dans l’aventure, j’ai beaucoup réfléchi aux conséquences de mon changement d’emploi : il me fallait intégrer le coût de location d’un petit appartement près de ma nouvelle entreprise, plus le coût du déplacement en train (900 km par semaine). Et au delà du coût, la vie loin de ma tribu pendant une partie de la semaine. Enfin, quand je dis que j’ai beaucoup réfléchi, j’ai surtout beaucoup discuté avec ma femme qui a été un soutien formidable dans ce projet. Il faut dire qu’elle voyait bien l’état de souffrance dans lequel j’étais dans ce qu’était devenu mon ancien métier (lire la série de billets “25 ans dans une startup” pour le comprendre).

Cela fait donc maintenant un an que je travaille trois jours sur place en région parisienne, et deux jours en télétravail chez moi “en province” comme on dit à Paris. Et comme j’ai choisi les jeudis et vendredis comme journées de télétravail, elles sont logiquement suivi des deux jours de repos du week-end (je suis salarié et je travaille du lundi au vendredi). Je prends le train le dimanche après-midi pour Paris, et le mercredi soir pour rentrer chez moi.

Je savais que le fait de rentrer chez moi le mercredi soir allait représenter en soi un piège. En effet, très vite, l’impression d’avoir un grand week-end de quatre jours est apparue comme très agréable, et à ma grande surprise, une partie de moi avait du mal à se discipliner pour être aussi efficace le jeudi que si j’étais “au bureau”.

Après plus de trente années passées à travailler de manière classique, je découvrais qu’une partie de mon efficacité se trouvait dans ma présence physique au boulot : un mélange d’habitudes, de manque de tentation et du regard des autres faisait que j’étais productif. Et là, je me suis retrouvé tout seul le matin, en pyjama, à devoir me traîner jusqu’à mon bureau…

J’ai donc découvert une facette de ma personnalité : j’ai besoin d’un environnement de travail. C’est ma première leçon : se découvrir soi-même avec honnêteté.

Pour être honnête avec mon employeur, qui me fait confiance (dans une certaine mesure), j’ai donc mis en place un rituel assez précis. Tout d’abord, j’ai transformé une pièce de la maison (la chambre d’amis) en bureau professionnel : j’ai retiré tout ce qui est personnel (cadres, dessins d’enfants etc.) en créant un lieu où il est possible (même si extrêmement improbable) de recevoir une personne dans le cadre d’une réunion professionnelle. Le cadre est neutre, avec une décoration liée à mon métier dans la sécurité informatique (des tableaux d’analyses de risque, des tips, et une photo de Snowden ;-). J’ai un bureau propre, sur lequel mon matériel informatique est installé, et seulement lui. Pas de goodies improbables comme j’en ai dans mon bureau d’expertises informatiques. Et donc, j’ai DEUX bureaux : un bureau pro et un bureau foutoir (que j’aime d’amour).

La deuxième règle que je me suis imposée concerne la tenue vestimentaire. Comme toutes les entreprises, celle où je travaille a un “dress code”. Il est plutôt cool, mais le pyjama n’en fait pas partie. Je suis donc rasé et habillé comme si j’avais une réunion avec mes collègues. Et cela tombe bien, l’entreprise utilise Skype for Business comme moyen de téléphonie, avec la possibilité de faire des téléconférences. Et on ne s’en prive pas ! J’ai même la chance de pouvoir utiliser un robot de téléprésence pour être plus “présent” lors de certaines réunions, et ne pas dépendre d’un système fixe de vidéoconférence : j’entends et je suis entendu parfaitement, je choisis ma place autour de la table, je regarde dans la direction que je souhaite, et personne ne malaxe de papiers bruyamment au dessus de mon micro… Je pose ici une image (c’est un robot de la marque Beam).

On peut se déplacer partout, mais pas ouvrir les portes…

La troisième règle concerne les horaires. Je suis au travail à la même heure en télétravail qu’en présentiel. J’embauche à 8h et je débauche vers 18h, avec une pause méridienne d’une heure. L’ÉNORME différence est qu’il ne me faut que quelques secondes pour embaucher ou débaucher. C’est d’ailleurs aussi une difficulté qu’il faut gérer, et c’est le rôle de la 4e règle.

La 4e règle est à discuter avec son conjoint : pendant mes heures de travail, je ne suis pas disponible. La tentation est grande parfois, de demander un coup de main pour un clou à planter ou un bricolage à faire. Bien sur que je le fais à chaque fois, mais cela doit rester très marginal. Il faut le voir dans ce sens là : en cas de coup dur, je suis présent, mais en cas de coup dur seulement.

La 5e règle va sembler un peu bizarre, mais elle s’est mise en place assez naturellement. Mon épouse a son cabinet dans une dépendance de la maison spécialement aménagée lors de la construction (salle d’attente, parking, etc.). Pourtant, nous ne nous obligeons pas à manger ensemble le midi. Chacun est autonome et se prépare son repas. Cela peut sembler peu chaleureux, mais cela nous permet de gérer nos contraintes horaires professionnelle de manière plus souple.

Une fois ce cadre posé, j’ai réussi à convaincre mon manager que j’étais aussi efficace que si j’étais sur place 5 jours pleins, et même plus car j’ai beaucoup moins de distractions ou d’agitations perturbatrices. Je travaille mieux et plus concentré. Je suis moins fatigué.

Mais comme j’habite près de la mer, mes collègues n’arrivent pas à m’imaginer autrement qu’en train de bronzer sur la plage. J’ai fini par arrêter de chercher à les convaincre. Je leur montre que j’avance sur mes dossiers surtout quand je suis en télétravail.

Si je dois faire un bilan personnel, et sous forme de conclusion, je dirai que le télétravail, c’est formidable, mais qu’il faut prendre en compte sa propre capacité à travailler en toute autonomie, quitte à trouver des astuces pour y parvenir. Et que cela ne conviendra pas à tout le monde. J’y suis arrivé, mais à ma grande surprise, avec des efforts que je ne soupçonnais pas au départ.

Savoir s’arrêter : le courrier

Pour faire suite au billet “Expert judiciaire : savoir s’arrêter‘, voici le courrier que j’ai envoyé en décembre 2019 :

Je dois reconnaître que cela m’a fait quelque chose de poster ce courrier…

PS1 : Le titre “Mme LE conseiller” n’est pas de moi, mais correspond au souhait du conseiller concerné.

PS2: Le tableau ne reprend pas le nombre d’expertises privées, car celles-ci sont missionnées par les avocats et non par les magistrats (la courbe est sensiblement inversée).

PS3: Je modifie le sous titre de ce blog, en remplaçant “blog d’un informaticien expert judiciaire” par “blog d’un informaticien ancien expert judiciaire”. Une page se tourne, ce qui ne m’empèchera pas de continuer à parler d’expertise judiciaire.

Contrôle parental

Un expert judiciaire doit procéder régulièrement à la destruction des documents qu’il a pu conserver, et en particulier des anciens rapports d’expertise et de leurs annexes. C’est ainsi qu’en rangeant d’anciennes archives de mon coffre fort numérique, je suis retombé sur l’histoire d’un petit garçon, que j’appellerai Erwan.

Erwan avait neuf ans. Il aimait jouer sur l’ordinateur familial qui trônait dans le salon. Il passait des heures sur le jeu que lui avait installé son père.

A neuf ans, Erwan est un petit garçon curieux de tout : il aime taper sur le clavier – mais pas trop fort – et cliquer sur les personnages de son jeu. Il a vite compris comment allumer l’ordinateur et l’éteindre correctement – comme lui a dit son papa.

Son père lui a également fait plusieurs recommandations : ne pas parler aux inconnus, ne pas sortir de l’école seul, ne pas abîmer les objets qui coûtent chers, ne pas dire de gros mots. Erwan est fier de savoir allumer l’ordinateur et l’utiliser comme un grand.

Enfin, presque comme un grand. Parce que son père a installé un logiciel de contrôle parental pour bloquer tout usage non autorisé d’internet. Du coup Erwan ne peut qu’utiliser le site de son jeu et quelques autres sites placés en liste blanche. Erwan se sent un peu à l’étroit dans cette petite bulle. Surtout que ces copains lui racontent monts et merveilles sur internet et ses vidéos rigolotes.

Alors Erwan, neuf ans, utilise le navigateur internet autrement. Il navigue, non pas sur internet, mais sur l’ordinateur familial en ouvrant les images qui sont stockées localement dans des dossiers bien rangés par son père.

En tout cas, c’est ce que l’historique du navigateur montrera lors de l’enquête dans laquelle je suis intervenue en recherche d’images et de films pédopornographiques. Les jours et heures de navigation “locale” correspondent à la présence d’Erwan à la maison, seul, sur l’ordinateur familial. Ordinateur familial partagé et utilisé par son père pour télécharger des images et des films pédopornographiques et pornographiques. Beaucoup. Et bien rangés, à l’abri – croyait-il – de son fils, grâce au logiciel de contrôle parental.

Un père assouvissant ses penchants en toute discrétion, protégeant son fils des prédateurs sexuels avec un logiciel dont il pensait – à tort – qu’il empêchait son fils d’accéder aux images qu’il amenait lui-même sur l’ordinateur familial.

J’ai détaillé dans le rapport tout l’historique du navigateur, et extrais des entrailles de l’ordinateur toutes les images et tous les films qui hantent encore mes nuits.

Je pense à Erwan et à l’effroi qui devait le saisir quand il se promenait du haut de ses neuf années, “comme un grand” seul sur l’ordinateur familial.

Je pense à son père criminel et pourtant protecteur.

Je pense à tous ceux qui croient qu’il suffit d’un logiciel “magique” pour protéger leur enfants, alors que la meilleure solution est la présence et l’accompagnement parental qu’on appelle l’éducation.

Je pense à tous ces politiques qui utilisent l’excuse de la protection des enfants pour imposer plus de “contrôles”.

Et je suis là encore aujourd’hui, à feuilleter ce rapport que je m’apprête à détruire, et qui me brûle l’écran.

L’appli qui va changer le monde

J’ai beaucoup lu dans ma jeunesse d’articles sur la traduction automatique. C’était l’époque des systèmes experts et le sujet de la traduction était à la mode. J’ai ensuite travaillé dans l’intelligence artificielle, sur les réseaux de neurones bouclés plus précisément, et mon sujet de doctorat portait sur l’identification et la commande de processus. Puis je suis passé à autre chose. Mais le rêve d’avoir à portée de main un système de traduction automatique n’était jamais loin, et je sentais que le monde se porterait mieux si les personnes se comprenaient mieux.

Nous voici aujourd’hui avec des progrès fulgurants dans les systèmes d’apprentissage, supervisés ou non, rebaptisés DeepLearning et IA, avec des techniques similaires à celles que j’ai connues dans les années 1990, mais avec des puissances de calcul dont je n’aurais même pas rêvé à l’époque. Et cette idée d’avoir à disposition un système de traduction automatique me poursuit. C’est comme ça que m’est venue cette idée d’application qui va changer le monde.

J’imaginais deux personnes étrangères en train d’essayer de se parler. Je me trouvais face à un chinois dont je ne connais rien de la langue, et lui ne connaît rien du français que je parle. Je parle alors dans un microphone, puis un système de traduction convertit mon français en chinois sur un haut parleur. Ce système serait déjà génial, mais pas nécessairement très pratique. Si l’on parlait doucement, voire en murmurant, ce serait déjà mieux. Mais finalement, pourquoi parler à voix haute ? Lire sur les lèvres suffirait.

En cherchant sur internet, j’ai lu quelques études sur des programmes qui lisent sur les lèvres (parce que bien entendu, cela existe déjà), et je me suis imaginé assembler tout cela au sein d’une appli, tel un Jean-Marie Hullot murmurant à l’oreille de Steve Jobs.

L’appli qui lit sur les lèvres serait sur votre téléphone. La caméra du téléphone serait dirigée vers votre visage, comme pour un selfie pris d’en bas. Vous pourriez alors parler sans émettre aucun son. L’appli convertirait les mouvements de vos lèvres en texte qui serait ensuite traduit à la volée par un système comme Deepl dans la langue de votre choix, puis transmis sur le haut parleur de votre téléphone en sons intelligibles pour votre interlocuteur. Lui-même aurait son propre téléphone auquel il parlerait juste en remuant les lèvres, téléphone qui vous parlerait en français via son mode haut parleur.

Cette appli changerait la face du monde. A commencer par le tourisme, par le commerce, par les échanges culturels. On pourrait s’exprimer depuis sa langue maternelle vers n’importe quelle autre langue.

Bien entendu, il y a plein d’autres cas d’usage. En débrayant le module de traduction, vous pourriez par exemple répondre à un appel téléphonique dans le train (à condition d’avoir vos écouteurs sur les oreilles) juste en remuant vos lèvres, sans déranger vos voisins. Vous pourriez interagir dans un environnement très bruyant, avec d’autres personnes, ou avec des machines qui lisent sur les lèvres. Ou dans un environnement où il est difficile de parler, comme dans l’eau. La confidentialité pourrait être plus facile dans un openspace, à condition de prendre quelques précautions. HAL9000 n’est jamais loin…

On pourrait parler à n’importe qui, juste en remuant les lèvres. Des ponts seraient jetés entre toutes les communautés. Les muets pourraient parler aux aveugles…

Tous les outils sont là, il suffit de les assembler.

Faites tourner ce billet, traduisez le dans toutes les langues, pour que quelqu’un se lance dans l’assemblage des technologies. Je prends 0.1% des bénéfices.

Il suffit souvent d’assembler des choses existantes… Changer le monde est plus compliqué.

Expert judiciaire : savoir s’arrêter

J’ai prêté le serment des experts judiciaires en janvier 1999. J’avais 35 ans. J’étais le plus jeune expert judiciaire de France dans la catégorie informatique. Ingénieur de l’école Centrale de Nantes, Docteur de l’Université de Paris 6 sur l’apprentissage des réseaux de neurones bouclés, j’étais “professeur – chef de projets” dans une école d’ingénieurs en pleine création (lire la série de billet “25 ans dans une startup”). Le Droit m’intéressait de très près puisque j’étais marié à une jeune avocate. Elle m’avait expliqué que la Justice avait besoin des connaissances de personnes extérieures à l’administration judiciaire, qu’il y avait de plus en plus de dossiers où l’informatique jouait un rôle important. J’ai postulé, une première fois, puis une deuxième, j’ai été sélectionné, inscrit sur la liste des experts judiciaires de ma Cour d’Appel, et j’ai prêté serment.

Pendant 20 ans, j’ai été fidèle à ce serment et j’ai apporté mon concours à la Justice, accompli ma mission, fait mon rapport, et donné mon avis en mon honneur et en ma conscience.

Et en cette fin d’année 2019, j’ai décidé d’arrêter.

C’est une décision qui me fend le cœur car j’étais très fier de pouvoir dire “je suis expert judiciaire” lorsque je me présentais. J’en appréciais l’impact sur les personnes, et le prestige que ce titre apporte. Alors pourquoi vouloir arrêter ?

Je pourrais partir en m’emportant contre tous les défauts de l’institution, sa légendaire complexité et ses paiements modestes et très différés. Je pourrais écrire un billet enflammé contre les compagnies nationales d’experts hors sol et renfermées sur elles-mêmes. Je pourrais dénoncer les experts vieillissants incompétents et malhonnêtes. Non, parce que ce serait faux.

J’aurais pu écrire que j’arrêtais parce que j’ai été laminé par toutes les expertises en recherche d’images et films pédopornographiques qui m’ont plongé dans des horreurs difficilement supportables, et qui m’ont conduit à ouvrir ce blog.

En fait, et tout simplement, j’arrête parce que je ne suis plus au niveau attendu par la Justice pour l’aider et l’éclairer dans ses dossiers.

Je m’explique : quand j’ai commencé (en 1999), j’avais des connaissances techniques dont disposaient peu des acteurs habituels de la justice. Les gendarmes travaillaient sur quelques ordinateurs qu’ils achetaient avec leurs deniers personnels. Les policiers ne disposaient d’aucun ordinateurs dignes de ce nom et surtout n’avaient pas la formation qui allait avec en matière d’analyse forensic. Personne ou presque n’avait accès à internet. Il y avait quelques personnes que l’on appelait les NTEC, mais ils étaient débordés par les demandes que les enquêteurs leurs soumettaient. J’étais donc très souvent désignés pour travailler sur des scellés judiciaires, et j’en ai souvent parlé sur mon blog v1.

Le temps a passé. Des progrès ont été faits et aujourd’hui les enquêteurs disposent de laboratoires très performants. Mais je n’ai pas accès à ces laboratoires, ni à leurs outils. J’ai servi de variable d’ajustement, pendant une dizaine d’années, et aujourd’hui je reste un ingénieur informaticien avec les outils d’un simple particulier. Et cela n’intéresse plus la justice.

La principale raison pour laquelle j’arrête mon activité d’expert judiciaire, est que je ne suis plus désigné par des magistrats depuis plus de deux ans.

Mais le prestige du titre d’expert judiciaire est tel, que depuis dix ans j’exerce aussi comme expert privé, c’est-à-dire que j’accepte d’être missionné directement par des avocats pour les aider sur leur dossier. C’est beaucoup plus lucratif puisque mes tarifs horaires sont triplés. Et progressivement j’ai fait de plus en plus d’expertises privées et de moins en moins d’expertises judiciaires. J’ai même proposé en 2016 de faire gratuitement mes expertises judiciaires. Sans succès, à part déclencher l’ire de mes confrères experts.

En mars 2019, j’écrivais dans l’épilogue de la série “25 ans dans une startup” :
à propos des expertises judiciaires, du fait des difficultés que je rencontrais dans la startup, j’ai énormément diminué mon activité expertale, en renvoyant toutes les demandes vers des experts compétents et disponibles. Je vais attendre de voir un peu comment se passe cette année 2019, mais sans doute m’achemine-je doucement vers une fin d’activité et un non-renouvellement de mon inscription sur la liste des experts judiciaires. Quand j’ai commencé en 1999, j’avais 35 ans et je ne comprenais pas comment le suivant en âge de la liste pouvait avoir 20 ans de plus que moi dans un domaine aussi technique et changeant que celui de l’informatique. J’ai aujourd’hui cet âge-là et, même si je me sens encore dynamique, je pense qu’il faut savoir laisser la place et ne pas finir par porter ce titre d’expert judiciaire uniquement pour la carte de visite. On verra bien. Je me donne un an pour prendre une décision.“.

Nous voici en fin d’année 2019, et je ne souhaite pas faire partie de ces experts “carte de visite”. Je vais donc écrire au Procureur de la République une lettre de demande de non-réinscription, avec un pincement au cœur, en lui expliquant que faute d’avoir été désigné depuis deux ans, je ne vois pas l’intérêt de continuer à bénéficier de ce titre prestigieux. J’arrête dans la foulée toutes mes prestations privées car elles sont trop liées à cette carte de visite. Je tire un trait sur mon cabinet d’expertise informatique.

Je pars la tête haute, avec la fierté d’avoir aidé la justice pendant toutes ces années. J’ai découvert des gens formidables et dévoués dans cet univers impitoyable. Je sais aussi que ma lettre sera classée en quelques secondes dans un placard par un greffier débordé.

Les cimetières sont remplis de gens qui se croyaient indispensables.
Le monde est rempli de gens qui mettent avec fierté un titre sur leur carte de visite.
J’ai un nouveau métier à apprendre, et si peu de temps.

PS: le blog continue, seul changera son sous-titre. Je continuerai à y parler de ce qui me plaît, y compris de mes anecdotes sur le monde des experts judiciaires.

Les magistrats, les enquêteurs et moi (allégorie)

Politique de sécurité des mots de passe

Le mot de passe tient son origine du besoin des militaires de se reconnaître. Ainsi, on trouve dans le manuel “Devoirs du soldat” de 1825 les consigne suivantes :
Question: Quand la sentinelle est isolée, qui doit reconnaître les rondes ou patrouilles ?
Réponse: La sentinelle doit les reconnaître elle-même, suivant l’ordre de la place.
Q: Quel est l’usage accoutumé pour cette reconnaissance ?
R: Que la sentinelle fasse avancer au mot de ralliement après qu’on lui a répondu ronde ou patrouille.
Q: Que doit faire la sentinelle, si c’est une patrouille qui vient à elle ?
R: Elle doit crier: Halte la troupe ! chef de patrouille, avancez au mot de ralliement !
Q: Que doit faire la sentinelle, si c’est une ronde ?
R: Elle doit crier: Avancez au mot de ralliement.
Q: Que doit, dans tous les cas, faire la sentinelle ?
R: Elle doit toujours croiser la bayonnette lorsqu’elle reçoit le mot, et ne doit jamais se laisser dépasser par la personne qui le lui donne.

Le Littré de 1880 donne comme définition de “ralliement” : mot qu’on donne après avoir reçu le mot d’ordre. Il s’agit donc d’un échange codifié, avec un secret partagé que les deux parties doivent connaître. “L’officier qui commande la troupe est obligé de venir donner le mot de l’ordre et de reconnaissance à celui qui le reconnaît. L’officier de la troupe arrêtée est obligé de prononcer le premier des deux noms, et celui qui reconnaît est obligé de prononcer l’autre, de crainte de surprise.” (Manuel du Garde national, Paris, an 2.)

Dans la littérature, les mots de passe sont utilisés pour s’identifier à l’entrée d’une porte discrète, lors de réunions secrètes. Dans la pièce de théâtre Hernani de Victor Hugo, le mot de passe des conjurés (acte IV scène3) est Ad Augusta per Angusta (Vers les sommets par des chemins étroits).

L’inventeur du mot de passe de l’ère informatique est Fernando Corbató qui a mis au point cette technique dans les années 60 pour sécuriser l’utilisation de son système d’exploitation à temps partagé CTSS. Il est mort en juillet 2019, et portait vers la fin de sa vie un regard critique sur son invention : il estimait cette pratique largement faillible, et que la gestion des mots de passe était devenue un cauchemar. Messageries, réseaux sociaux, banques, administrations et commerces en ligne, réseaux et applications d’entreprise… la sécurité de l’accès à tous ces services du quotidien repose aujourd’hui essentiellement sur les mots de passe. Ces dernières années, de nombreuses attaques informatiques ont entrainé la compromission de bases de données entières de comptes et des mots de passe associés. Ces fuites de données ont notamment contribué à enrichir les connaissances des attaquants en matière de mots de passe. Les risques de compromission des comptes associés à cette méthode d’authentification se sont fortement accrus et imposent une vigilance particulière.

A l’aube de l’utilisation massive de la biométrie, le mot de passe reste pourtant souvent le seul rempart de protection pour l’accès à des données sensibles. Ainsi, il est important dans chaque organisme (cabinet d’avocat ou grande entreprise), de réfléchir à la sécurité des mots de passe. Je partage ici avec vous la politique de gestion des mots de passe que je préconise, mélange de réalisme et de vœux pieux. Sur ce sujet, beaucoup d’avis divergent, et comme on dit souvent, c’est beaucoup.

Utilisez un mot de passe suffisamment long et complexe

Une technique d’attaque répandue, dite par « force brute » consiste à essayer toutes les combinaisons possibles de caractères, jusqu’à trouver le bon mot de passe. Réalisées par des ordinateurs, ces attaques peuvent tester des dizaines de milliers de combinaisons par seconde. Pour empêcher ce type d’attaque, je recommande qu’un bon mot de passe doit comporter au minimum 12 signes mélangeant au moins trois des quatre types de signes suivants : des majuscules, des minuscules, des chiffres ou des caractères spéciaux (comme par exemple !#?%). Cette recommandation est conforme aux préconisations 2018 de la CNIL et de l’ANSSI.

Le mot de passe doit être complexe, mais facile à retenir. Nous allons voir comment arriver à surmonter cette difficulté. Voici par exemple, trois méthodes pour choisir simplement des mots de passe complexes :

  • La méthode phonétique : « J’ai acheté dix cd pour cent euros cet après-midi » deviendra « ght10CD%E7am » [1]
  • La méthode des premières lettres : la phrase « Créé en 1971, le 44e a pour devise Rien ne craint que le silence » donnera « Ce1,l4apdRncqls » [1]
  • La méthode de l’association de 4 mots choisis au hasard et séparés de caractères spéciaux : « Lunettes:Ballons#Chat_Rouge » [1]. Cette méthode s’appelle « phrases de passe », et est très efficace et permet de créer une suite bien plus difficile à déchiffrer qu’un mot de passe compliqué « classique ».

Ainsi choisi, votre mot de passe est très difficile à deviner. Vous pouvez bien entendu inventer votre propre méthode connue de vous seul (poème, proverbe, chanson…).

Utilisez un mot de passe différent pour chaque site

Ainsi en cas de perte ou de vol d’un de vos mots de passe seul le service concerné sera vulnérable. Dans le cas contraire, tous les services sur lesquels vous utilisez le même mot de passe compromis seront piratables. Lorsqu’un pirate arrive à récupérer l’un de vos mots de passe, il va le tester (de manière automatique) sur un grand nombre de sites : messageries, sites bancaires, sites d’achat, etc.

OK, donc un mot de passe différent par site. Mais comment faire ? Je vous recommande la procédure suivante :
[edit du 16/10 : recommandation modifiée grâce à vos commentaires]

  • Choisissez un mot de passe « racine », selon l’une des méthodes évoquées précédemment, par exemple « Ce1,l4apdRncqls » [1]
  • Ajoutez, dans ce mot de passe « racine », une ou deux lettres du site web sur lequel vous êtes en train de créer un compte : par exemple « aP » pour ugap.fr, en 5e position, ce qui donnerait « Ce1,aPl4apdRncqls » [1]

C’est tout, c’est simple, c’est facile à retenir et cela fait un mot de passe différent pour chaque site.

Changez votre mot de passe au moindre soupçon

Je ne préconise pas le changement régulier des mots de passe (tous les ans, tous les semestres, tous les 90 jours…) car cela fragilise la sécurité du système d’information et de plus en plus de RSSI pensent la même chose (cf https://www.ncsc.gov.uk/articles/problems-forcing-regular-password-expiry ). En effet, lorsqu’un utilisateur est forcé de changer régulièrement son mot de passe, il y a de fortes chances que le nouveau mot de passe soit similaire à l’ancien. Les attaquants savent exploiter cette faiblesse. Le nouveau mot de passe a de grande chance avoir été utilisé ailleurs, et les attaquants le savent aussi. Le nouveau mot de passe est également plus susceptible d’être noté, ce qui représente une autre vulnérabilité. Les nouveaux mots de passe sont également plus susceptibles d’être oubliés, ce qui entraîne des coûts de productivité pour les utilisateurs dont les comptes sont verrouillés et pour les centres de service qui doivent réinitialiser leurs mots de passe.

C’est un scénario de sécurité contre-intuitif : plus les utilisateurs sont forcés de changer de mots de passe, plus ils sont vulnérables aux attaques. Ce qui semblait être un conseil parfaitement sensé et établi de longue date ne résiste pas, en fait, à une analyse rigoureuse et globale du système.

J’ai donc demandé à mon service informatique de ne pas forcer l’expiration régulière des mots de passe. Nous croyons que cela réduit les vulnérabilités associées à l’expiration régulière des mots de passe tout en faisant peu pour augmenter le risque d’exploitation à long terme des mots de passe. Les attaquants peuvent souvent trouver le nouveau mot de passe, s’ils ont l’ancien. Et les utilisateurs, forcés de changer un autre mot de passe, choisiront souvent un mot de passe “plus faible” pour ne pas l’oublier.

Mais si vous avez un doute sur la sécurité d’un de vos comptes ou si vous entendez qu’une organisation ou une société chez qui vous avez un compte s’est faite pirater, n’attendez pas de savoir si c’est vrai ou pas : changez immédiatement le mot de passe concerné avant qu’il ne tombe dans de mauvaises mains. Ne pas être obligé de changer son mot de passe régulièrement ne signifie pas que vous ne devez jamais en changer : au moindre doute, changez votre mot de passe.

Méfiez-vous par exemple des smartphones qui pourraient, lors d’une présentation publique, vous filmer pendant que vous tapez votre mot de passe…

Utilisez un gestionnaire de mots de passe

N’écrivez jamais un mot de passe en clair sur une feuille de papier, dans un carnet ou dans un fichier Excel (même protégé par un mot de passe). Les pirates connaissent toutes les astuces communément mises en place par les utilisateurs : par exemple, un code de carte bancaire sera souvent noté dans un carnet d’adresse sous la forme d’un numéro de téléphone…

Il est humainement impossible de retenir les dizaines de mots de passe longs et complexes que chacun est amené à utiliser quotidiennement. Ne commettez pas pour autant l’erreur de les noter sur un pense-bête que vous laisseriez à proximité de votre équipement, ni de les inscrire dans votre messagerie, ou dans un fichier non protégé de votre ordinateur ou encore dans votre téléphone mobile auquel un cybercriminel pourrait avoir accès. Apprenez à utiliser un gestionnaire de mot de passe sécurisé qui s’en chargera à votre place, pour ne plus avoir à retenir que le seul mot de passe protégeant votre gestionnaire de mots de passe et qui permet d’en ouvrir l’accès.

Je vous recommande le logiciel KeePass. Ce logiciel libre et en français, certifié par l’ANSSI (dans une ancienne version, mais bon), permet de stocker en sécurité vos mots de passe pour les utiliser dans vos applications. Le logiciel est disponible dans les environnements Windows, MacOS, GNU/Linux, Android, iOS, BlackBerry, Windows Phone, ChromeOS, PalmOS… Il existe également en version ne nécessitant pas d’installation qui peut être placée sur une clef USB, ou un partage de fichiers (OneDrive…) pour être synchronisée entre plusieurs ordinateurs.

Ne communiquez jamais votre mot de passe à un tiers

Votre mot de passe doit rester secret. Aucune société ou organisation sérieuse ne vous demandera jamais de lui communiquer votre mot de passe par messagerie ou par téléphone. Même pour une « maintenance » ou un « dépannage informatique ». Si l’on vous demande votre mot de passe, considérez que vous êtes face à une tentative de piratage ou d’escroquerie.

Inversement, si un tiers vous fournit un mot de passe (le service support informatique par exemple), ce mot de passe doit être considéré comme provisoire et changé rapidement par l’utilisateur.

Le tiers le plus dangereux est le collaborateur proche. Il arrive qu’un VIP confie son mot de passe à son assistant “parce que c’est plus pratique” et qu’il travaille avec cette personne en toute confiance. Le problème vient que cet assistant peut parfaitement utiliser ce mot de passe pour son propre compte, et de fils en aiguilles pour un site personnel associatif peu sécurisé… Un pirate cible toujours les plus proches collaborateurs de sa cible principale.

Ne mémorisez pas vos mots de passe sur un ordinateur partagé

Les ordinateurs en libre accès que vous pouvez utiliser dans des hôtels, cybercafés et autres lieux publics peuvent être piégés et vos mots de passe peuvent être récupérés par un criminel. Si vous êtes obligé d’utiliser un ordinateur partagé ou qui n’est pas le vôtre : utilisez le mode de « navigation privée » du navigateur qui permet d’éviter de laisser trop de traces informatiques ; veillez à bien fermer vos sessions après utilisation ; n’enregistrez jamais vos mots de passe dans le navigateur.

Activez la « double authentification » lorsque c’est possible

Pour renforcer la sécurité de vos accès, de plus en plus de services proposent cette option. En plus de votre nom de compte et de votre mot de passe, ces services vous demandent un code provisoire que vous pouvez recevoir, par exemple, par SMS sur votre téléphone mobile ou qui peut être généré par une application ou une clé spécifique que vous contrôlez. Ainsi grâce à ce code, vous seul pourrez, par exemple, autoriser un nouvel appareil à se connecter aux comptes protégés ou autoriser une transaction bancaire.

Exemples (non exhaustifs) de services répandus proposant la double authentification :
⦁ Office365, Gmail, Yahoo Mail…
⦁ Facebook, Instragram, LinkedIn, Twitter…
⦁ Skype, WhatsApp…
⦁ Amazon, eBay, Paypal…
⦁ Apple iCloud, Dropbox, Google drive, OneDrive…

Protégez en particulier votre messagerie

Une attention particulière sera apportée à la sécurisation de la boite email professionnelle, cible particulière des pirates souhaitant prendre le contrôle de tous les comptes associés à cette adresse email. En effet, une fois la boite email contrôlée, le pirate peut facilement déclencher les procédures d’oubli de mot passe, procédures qui envoient en général un lien de saisie d’un nouveau mot de passe vers l’adresse email.

Si vous disposez de plusieurs boites emails (professionnelles, personnelles, etc.), je vous recommande de relever séparément ces différentes boites, chacune ayant un mot de passe différent, et d’éviter le renvoi des emails vers une boite unique (dont le contrôle par un pirate deviendrait alors encore plus critique).

Votre mot de passe de messagerie est donc l’un des mots de passe les plus importants à protéger.

Bibliographie :

Recommandations de la CNIL
Recommandations de l’Agence nationale de la sécurité des systèmes d’information (ANSSI)
The problems with forcing regular password expiry
The Man Who Wrote Those Password Rules Has a New Tip: N3v$r M1^d!
Fiche pratique – Comment bien gérer ses mots de passe


[1] Ne pas utiliser les mots de passe de ce billet, qui ne sont donnés qu’à titre d’exemple.

Ce site se fera pirater

En attendant que la peinture sèche sur ce nouveau site, je préfère annoncer la couleur : ce site se fera pirater. Pourquoi une telle certitude ? Parce que c’est comme cela qu’un responsable de la sécurité informatique fonctionne : il sait que le pire arrivera, il doit s’y préparer et arrêter de vendre à ces patrons un rêve impossible : une sécurité absolue.

Ce site se fera pirater parce que j’ai choisi, pour l’instant, d’en administrer une partie moi-même. J’avais choisi Blogger en 2006 parce que je suis profondément fainéant : j’avais envie de publier des billets de blog, pas d’en gérer la tuyauterie. Quand le premier blog s’est fait pirater, j’ai eu besoin de l’équipe sécurité de Google pour le remettre sur pied (et je les remercie encore pour leur rapidité). Une fois nettoyé, ils ont remonté une sauvegarde que j’ai ensuite pu comparer avec mes propres sauvegardes.

Alors pourquoi quitter ces terres confortables pour un territoire incertain ?

Passer du poste de DSI multicartes à celui de RSSI m’a donné le goût du risque, mais aussi la certitude qu’il n’existe pas de situation de sécurité absolue : une faille de sécurité peut être découverte par une personne malveillante avant tout le monde, et surtout avant l’éditeur du logiciel : c’est ce que l’on appelle une faille 0day. Tant que la faille n’est pas repérée par un “gentil” elle sera exploitée par un “méchant” (je caricature un peu, mais vous voyez l’idée). Et quand le “gentil” aura repéré la faille, il faudra que l’éditeur du logiciel la corrige, vérifie que la correction ne génère pas de nouvelle faille, puis la diffuse aux utilisateurs du logiciel sous la forme d’une rustine (patch). Il faut ensuite que l’utilisateur fasse la mise à jour. Pendant tout le temps qui s’écoule entre la découverte de la faille et l’application de la mise à jour, le site est vulnérable. Et être responsable de la sécurité informatique n’implique pas d’être capable de passer son temps à chercher des failles, à les faire corriger en alertant. Certains le sont, pas moi.

Mais s’occuper de sécurité informatique, cela nécessite aussi de mettre un peu les mains dans le cambouis, ne serait-ce que pour comprendre et mieux appréhender les risques informatiques.

Bloguer est pour moi un passe-temps, une thérapie, un amusement, un partage, une expérience, et une tentative de laisser à mes enfants une trace de mon passage. Ce n’est pas une vitrine de mon savoir-faire, surtout en matière de sécurité. J’en connais un peu plus que certains, mais bien moins que beaucoup : l’idée est de faire progresser ceux qui ont envie, même si cela fait rire les connaisseurs.

J’ai choisi WordPress. OMG ! Les raisons : parce que c’est joli. C’est aussi le CMS le plus utilisé, donc celui qui a la plus grande communauté d’utilisateurs. C’est du coup aussi le CMS le plus ciblé par des attaquants. C’est donc un bon terrain d’expérimentations pour moi. Quand ce site aura été piraté, que je serai rouge de confusion, il sera alors temps de le réparer, de parfaire sa sécurité et de le réinstaller à partir des sauvegardes. La honte sera passagère. J’aurai appris parce que je serai tombé.

Pour rassurer certains lecteurs inquiets, je n’ai pas baissé les bras à peine le site en place. J’ai installé le minimum de plugins, mis en place des fichiers .htaccess contraint et forcé puisque je n’ai pas accès à la conf du serveur Apache sur mon serveur mutualisé. J’ai configuré un certificat pour le https, en priant pour qu’il se mette correctement à jour le moment venu. Bref, je retrouve le boulot d’admin que je faisais il y a 20 ans, mais en beaucoup plus compliqué.

Et surtout, je continue à faire des sauvegardes, que je teste régulièrement. Si vous voyez que le site est en rade, c’est soit qu’il a été piraté, soit que mon test de restauration s’est mal passé, soit une configuration DNS hasardeuse, soit un test de protection quelconque qui s’avère inefficace, soit ma bascule vers mon Yunohost de secours qui s’est mal passée, soit qu’une mise à jour importante de sécurité a eu lieu pendant que j’étais loin du clavier, par exemple en vacances, soit que j’ai oublié de payer l’hébergement.

Il ne faut pas avoir honte de s’être fait pirater. Ceux qui pensent ne pas s’être fait pirater, ce sont juste ceux qui ne s’en sont pas encore rendu compte.

Comment les experts en sécurité du SI doivent me voir