Je me demandais si mon corps n’était pas en train de me lâcher à cause du vieillissement, mais j’ai réalisé que je menais de plus en plus d’activités et que ça partait en cacahuète dans tous les sens.
Le fait de travailler trois jours par semaine en région parisienne, dans mon petit logement d’étudiant, puis de revenir quatre jours dans ma lointaine province, auprès de Mme Zythom, et cela chaque semaine, ça fatigue un peu.
Pratiquer à plein temps depuis trois ans et demi, le métier de RSSI d’une grande école française, cela fatigue aussi quelque peu. Ce métier est horriblement fatiguant, mais tellement passionnant, mais épuisant !
Mener de front un grand nombre de conversations sur différents média, cela aussi c’est épuisant : Twitter, Mastodon, Signal, Shadeline, Discord… Tous ces canaux de discussion demandent du temps et de l’investissement.
J’ai donc décidé de réduire la voilure, et de ne garder que ce blog comme petite parcelle d’internet pour ma liberté d’expression. Si vous me suiviez sur Mastodon ou sur Twitter, je ne pense pas continuer à y publier grand chose : abonnez-vous aux flux RSS de publication des billets, ou venez quelques fois par ici voir si ça bouge encore. Si vous voulez échanger avec moi, vous pouvez laisser un commentaire sur le blog, ou m’écrire par email sur les coordonnées que vous trouverez sur ma page contact.
Ne vous sentez obligé de rien, les lectrices et lecteurs silencieux, c’est très bien aussi 🙂
PS: Je suis sur un gros projet professionnel, donc nécessairement moins présent aussi ici.
Une fois que l’expert judiciaire a déposé son rapport au greffe du tribunal, sa mission est achevée et il est dessaisi du dossier. Les avocats peuvent s’écharper sur le rapport, minimiser son impact, ou essayer de décrédibiliser son auteur, l’expert n’en saura en général rien. Ses oreilles siffleront sans doute, surtout si l’expertise a été houleuse, avec une partie agressive ou un conflit loin d’être apaisé (ce n’est pas le rôle de l’expert de trouver une médiation, sauf si c’est explicitement écrit dans les missions confiées par le magistrat qui le désigne).
Toutefois, il m’est arrivé d’avoir la curiosité de vouloir connaître le jugement final dans une affaire où je suis intervenu. Comme cette fois où j’ai contacté le greffe du tribunal pour me faire communiquer une copie du jugement rendu, comme le permet l’article 284-1 du code de procédure civile. Maintenant que je passe le dossier au broyeur, je ne résiste pas à la tentation de mettre ici l’intégralité du jugement, anonymisé bien sûr et euroïsé.
JUGEMENT
A l'audience publique du Tribunal de Tandaloor tenue le 16 décembre 1582 ;
Sous la présidence de Charles Pradier, Juge d'Instance, assisté de Napoléon Coupran, greffier ;
Après débats à l'audience du 28 novembre 1582, le jugement suivant a été rendu ;
ENTRE :
DEMANDEUR(S) :
Monsieur MARCEL représenté(e) par la SCP ROOT@LOCALHOST, avocat du barreau de TandaloorET :
DÉFENDEUR(S) :
Entreprise VITEFAIT INFORMATIQUE représenté(e) par Me McKie, avocat du barreau de TandaloorFAITS PROCÉDURE ET PRÉTENTIONS DES PARTIES :
Le 16 Juillet 1581, Monsieur MARCEL a acheté, à l'entreprise VITEFAIT INFORMATIQUE un ordinateur pour le prix de 449€ et une prise micro coupure de 29€ ;
Le 26 Juillet, une évolution de son pentium a été facturée 209€ et le 29 Septembre un disque dur de 1.2 Go pour 119€ ;
Courant Octobre, l'ordinateur est tombé en panne ;
L'entreprise VITEFAIT Informatique, après examen de l'appareil, a considéré que la panne était due à une variation de la tension électrique et a chiffré le montant des réparations à 729€ ;
Monsieur BURBANK, expert commis par la Compagnie d'assurance LAPINCE de Monsieur MARCEL a conclu que le matériel était devenu défaillant sans cause extérieure et que l'incident est propre au matériel ;
Par acte d'huissier du 25 Janvier 1582 Monsieur MARCEL a fait assigner l'entreprise VITEFAIT INFORMATIQUE devant le tribunal afin de la voir condamnée à lui payer la somme de 729€ outre celle de 500€ au titre de l'article 700 du code de procédure civile ;
Subsidiairement, il sollicitait une expertise judiciaire ;
Par jugement AVANT DIRE DROIT du 10 Avril 1582, une expertise a été ordonnée et confiée à Monsieur ZYTHOM ;
L'expert a déposé son rapport le 27 juillet 1582 ;
Au vu de ses conclusions, Monsieur MARCEL sollicite, sous le bénéfice de l'exécution provisoire, 400€ pour la réparation de l'ordinateur, 1000€ à titre de dommages et intérêts, 1000€ sur le fondement de l'article 700 du code de procédure civile et que l'entreprise VITEFAIT INFORMATIQUE soit condamnée aux dépens y compris les frais d'expertise;
L'entreprise VITEFAIT INFORMATIQUE conteste la teneur du rapport de l'expert, conclut au débouté et sollicite la somme de 1000€ de dommages et intérêts pour procédure abusive et 1000€ au titre de l'article 700 du code de procédure civile ;
MOTIFS DE LA DÉCISION
Attendu que les contestations de l'entreprise VITEFAIT INFORMATIQUE quant à la qualité de réalisation de l'expertise sont de pures allégations dénuées de fondement d'autant qu'aucun dire n'a été transmis à l'expert ;
Attendu que les conclusions de l'expert sont formelles et confirment les constatations faites par Monsieur BURBANK, expert auprès de la compagnie d'assurance LAPINCE
Attendu en effet que l'écran, l'alimentation machine et la mémoire sont en parfait état de fonctionnement ;
Attendu que seule, la carte mère est défectueuse, que l'expert précise bien que la défaillance n'est donc pas le résultat d'une surtension ;
Attendu que le rapport de l'expert est complet et satisfaisant ;
Qu'il sera homologué ;
Attendu que l'expert évalue le coût des travaux réparation à 400€ ;
Que l'entreprise VITEFAIT INFORMATIQUE sera condamnée à verser cette somme à Monsieur MARCEL ;
Attendu que le compte rendu d'examen de l'entreprise VITEFAIT INFORMATIQUE du 28 Octobre 1581 est complètement erroné, qu'en refusant de changer le composant défectueux, l'entreprise VITEFAIT INFORMATIQUE a une attitude délibérément contraire aux règles de l'art ;
Qu'il sera fait droit à la demande de dommages et intérêts de Monsieur MARCEL à hauteur de 500€ ;
Attendu qu'il est équitable de mettre à la charge de l'entreprise VITEFAIT INFORMATIQUE la somme de 500€ au titre des frais irrépétibles exposés par Monsieur MARCEL ;
Attendu que les dépens y compris les frais d'expertise seront laissés à la charge de l'entreprise VITEFAIT INFORMATIQUE ;
PAR CES MOTIFS
LE TRIBUNAL
STATUANT PUBLIQUEMENT CONTRADICTOIREMENT
ET EN DERNIER RESSORT
CONDAMNE l'entreprise VITEFAIT INFORMATIQUE à verser à Monsieur MARCEL la somme de 400€ à titre principal, 500€ à titre de dommages et intérêts et 500€ sur le fondement de l'article 700 du code de procédure civile ;
LA CONDAMNE en outre en tous les dépens y compris les frais de la procédure d'expertise ;
AINSI JUGÉ ET PRONONCÉ EN AUDIENCE PUBLIQUE, le SEIZE DÉCEMBRE, mil cinq cent quatre vingt deux.
J’avais écrit en 2012 un billet intitulé « Marcel 70 ans » sur cette affaire. Maintenant que vous connaissez le jugement, vous pourrez relire ce billet et l’apprécier différemment.
Avant toutes choses, pour déminer le terrain, ce billet n’est sponsorisé par personne (je renvoie les éventuels sponsors de ce blog au 6e paragraphe de ma page contact). Ensuite, l’une des réponses possibles à la question posée dans le titre est « en n’utilisant pas LeBonCoin« , mais du coup, le billet est très court, est devient particulièrement inintéressant.
Comme le fait que j’ai découvert aujourd’hui que le mot « binet » pouvait désigner le bureau d’un membre du personnel (à Polytechnique en tout cas), que bobèche est le nom qui désigne (entre autre) le petit socle des bougies des gâteaux d’anniversaire et que démarrer vient du contraire « d’amarrer » (un bateau)… Pensez-y quand vous démarrez (ou éteignez) votre ordinateur.
Bref (comme disait Kyan Khojandi), revenons à nos moutons (comme disait Michael Kael).
Pour augmenter la puissance de mon radiateur électrique, j’ai cherché sur LeBonCoin une carte graphique GTX 1080 TI d’occasion à prix raisonnable. Le site étant bien fait, j’ai rapidement trouvé tout un tas d’annonces qui me proposait d’atteindre l’objectif d’en devenir l’heureux propriétaire.
Après plusieurs heures (jours?) de comparaisons, j’en suis arrivé à la conclusion que le bon prix était d’environ 400€ prix net vendeur. Mais, à la recherche de la bonne affaire, j’ai d’abord contacté les vendeurs qui en demandaient un prix entre 300€ et 380€.
Au début, j’y suis allé un peu « les yeux fermés », sachant que je n’avais qu’une contrainte : me faire livrer chez moi. J’ai donc posé la question suivante à chaque vendeur : « Acceptez-vous de m’envoyer (à mes frais) la carte graphique via Mondial Relais (proposé par LeBonCoin) ? ».
J’ai été très vite surpris par les réponses des vendeurs…
Il y a ceux qui m’expliquent que LeBonCoin est un repaire d’arnaqueurs et qu’ils préfèrent passer par un autre service de transport. D’ailleurs, dans la foulée, ils m’expliquent refuser le système de paiement du site LeBonCoin et demandent à être payés autrement.
Il y a ceux qui veulent absolument que je vienne à l’autre bout de la France prendre la marchandise sur le pas de la porte et payer en liquide (venez seul et sans arme avec 350€ en liquide).
Il y a ceux qui m’expliquent que je peux leur faire confiance parce que leur compte a plus de deux ans d’ancienneté et que « bon hein, si j’étais un arnaqueur, ça se saurait ». En plus de l’annonce de la carte graphique, ils ont mis une annonce « fauteuil en osier » à 110€. L’annonce a été publiée 26 mois auparavant.
Il y a ceux qui m’expliquent que la livraison va être géniale, la carte super bien emballée, et la livraison à leur frais.
Il y a ceux qui m’expliquent vendre la vieille carte graphique de leur fils et qui sont pressés de lui faire un cadeau pour son anniversaire. D’où le bas prix, et « merci de payer rapidement ».
Il y a ceux qui vendent une carte graphique GTX 1080 TI FE HS à 220€, et dont je découvre après investigation que FE signifie « Founder Edition » et que HS signifie… « Hors Service » !
Après un petit temps d’adaptation, j’ai lu en détail la procédure recommandée par LeBonCoin : si le vendeur accepte la livraison, la recommandation est de passer par le prestataire choisi par LeBonCoin. Le coût (connu) est supporté par l’acheteur. Donc il n’y a aucune raison pour que le vendeur refuse. Le prix convenu avec le vendeur est payé au site LeBonCoin et est mis de côté. Le vendeur sait que l’acheteur a payé. Le vendeur dispose de plusieurs jours pour emballer son colis et l’envoyer à l’adresse du relais choisi par l’acheteur. S’il ne le fait pas l’acheteur est remboursé intégralement. L’acheteur est prévenu que le vendeur a envoyé le colis. Il peut le suivre jusqu’à réception. Une fois le colis récupéré, le vendeur sait que vous l’avez récupéré et que vous avez quelques jours pour signaler au site LeBonCoin un problème (article non conforme, en panne, etc.). Le service litige client (payant et payé par l’acheteur au moment de l’achat) du site est alors chargé du litige.
En résumé, tout le coût est supporté par l’acheteur (moi) : coût de la livraison, coût du fonctionnement du site, coût du litige. Il n’y a donc aucune raison pour le vendeur de refuser le fonctionnement de base.
J’ai réussi à déjouer plusieurs arnaques assez évidentes, que j’ai signalées au site et dont les annonces et les comptes ont été supprimés rapidement (tant pis pour leurs comptes vieux de plus de deux ans).
J’ai pu faire affaire autour de 400€ avec une personne qui s’est démenée pour que la carte soit bien protégée et soit livrée correctement. Je l’ai remercié et lui ai mis une bonne note, ce qu’il a fait en retour.
Pour résumer et répondre un peu à la question posée en titre de ce billet : vous êtes votre propre piège. Une bonne affaire, cela n’existe pas. Il y a un prix du marché et puis c’est tout. Les vendeurs trop pressés, cela doit vous faire reculer. Les vendeurs qui veulent à tout prix vous faire sortir du système, cela doit vous faire reculer. Les jolies photos, les comptes anciens sans note, les comptes créés la veille, cela doit vous faire réfléchir. Certains arnaqueurs jouent sur votre sens de l’économie en essayant de vous faire miroiter une livraison à leur frais, ou d’éviter de payer le service proposé par le site.
Ne vous faites pas avoir par les arnaqueurs. N’ayez confiance en personne, soyez vigilant. Mais à un moment, il faut prendre des risques, et avoir confiance en sa bonne étoile.
Si vous n’aimez pas ce site, n’y allez pas. Si vous avez eu une mauvaise expérience sur ce site, n’y retournez plus. Mais si vous y allez, restez sur vos gardes.
Je passe au broyeur mes vieux dossiers. Il n’est pas toujours facile pour un expert judiciaire de savoir quand détruire définitivement ses dossiers, car les textes sur le sujet évoluent et à la durée minimale de conservation s’ajoutent les délais générés par les différents appels éventuels des parties, qui sont rarement transmis à l’expert, celui-ci étant dessaisi dès la remise de son rapport.
Bref, à défaut, j’ai gardé tous mes dossiers, en version numérique dans des containers chiffrés, mais aussi en version papier que je garde dans une armoire sécurisée que je partage avec mon épouse avocate.
Et maintenant je fais le ménage, en passant les vieux dossiers à la déchiqueteuse.
Je vais en profiter pour entrouvrir ici une dernière fois la porte des expertises judiciaires, toujours dans le respect de la décision de justice concernant ce blog.
Pour comprendre un peu mieux l’activité d’expert judiciaire, il faut savoir qu’à tout moment, nous pouvons recevoir une lettre d’un magistrat qui nous désigne dans un dossier dont on ne connaît rien et dont personne ne nous expliquera jamais les tenants et les aboutissants. Ce dossier commence donc par un courrier en provenance d’un tribunal de ma région judiciaire. Voici son contenu:
ORDONNANCE DE COMMISSION D'EXPERT
Nous, Napoléon Gowadchins, juge d'instruction au Tribunal de Tandaloor,
Vu la procédure suivie contre
Alfonso Capone
Et autres
Personnes mises en examen des chefs d'escroqueries, abus de biens sociaux, distribution de dividendes fictifs, publication et présentation de comptes annuels inexacts, faux et usage
Commettons M. Zythom MEM, demeurant 15 rue des étoiles à Dosadi
Dispensé du serment en raison de son inscription sur la liste dressée près la cour d'appel de Chu en application de l'article 157 du code de procédure pénale pour l'année judiciaire en cours,
Qui procédera aux opérations ci-dessous spécifiées, avec faculté de s’adjoindre tout spécialiste de son choix, sauf à ce que soit précisé leur identité, et nous remettra avant le 4 Floréal An CCXXX un rapport détaillé contenant son avis motivé et l'attestation qu'il a personnellement accompli la mission qui lui a été confiée.
MISSION
J'ai l'honneur de vous prier de bien vouloir :
1- Prendre connaissance des trois disquettes 3,5" figurant en côte 304,
2- Décrire le ou les fichiers figurant sur les disquettes : nom, extension, taille, date de création, date de modification, type de fichier, attributs,
3- Imprimer le ou les fichiers, sans doute enregistrés sous le logiciel LOTUS 1-2-3, et joindre les documents obtenus,
4- Faire toutes constatations, investigations, remarques utiles à la manifestation de la vérité.
Le courrier est accompagné de trois magnifiques disquettes, le tout sans protection particulière dans une enveloppe administrative marron clair.
Je n’aurai pas d’autres informations.
Nous sommes au millénaire précédent, et les disquettes, bien qu’en voie de disparition, sont encore beaucoup utilisées, surtout en entreprise (comme les clés USB à la date de publication de ce billet). Je verrouille les trois disquettes en lecture seule et procède à une copie bit à bit des 80 pistes des disquettes (après avoir vérifié s’il existait une 81e et 82e pistes) à partir d’une distribution Yggdrasil Linux.
Voici la partie « investigations préalables » de mon rapport d’expertise judiciaire :
Disquette n°1 :
Fabricant HEWLETT PACKARD
Double face, simple densité (format PC 720 Ko)
Cette disquette s’est révélée illisible sur un ordinateur de type PC et sur un ordinateur de type MACINTOSH.
Après avoir vérifié que cette disquette était protégée contre l’écriture, les utilitaires classiques de récupération de données (le programme NORTON UTILITIES en version PC et MACINTOSH) n’ont pas permis d’accéder à des données éventuelles.
Disquette n°2 :
Fabricant HEWLETT PACKARD
Double face, simple densité (format PC 720 Ko)
De la même façon que pour la disquette n°1, cette disquette s’est révélée illisible sur un ordinateur de type PC et sur un ordinateur de type MACINTOSH.
Après avoir vérifié que cette disquette était protégée contre l’écriture, les utilitaires classiques de récupération de données (le programme NORTON UTILITIES en version PC et MACINTOSH) n’ont pas permis d’accéder à des données éventuelles.
Disquette n°3 :
Fabricant HEWLETT PACKARD
Double face, double densité (format PC 1,44 Mo)
Contrairement aux deux disquettes précédentes, celle-ci est lisible sur un ordinateur du type PC.
Après m’être assuré que la disquette était protégée contre une écriture accidentelle, j’ai procédé à une copie de sauvegarde de la disquette (disquette n°3bis).
Avant de procéder à l’analyse des fichiers existants sur cette disquette, j'ai vérifié s’il existait des fichiers cachés, ou des fichiers effacés récupérables. L’utilisation d’un programme de récupération de données (NORTON DISK DOCTOR) a permis de trouver de quatre fichiers cachés, et cinq fichiers détruits qui ont pu être récupérés. Le compte rendu de l’exécution de ce programme est joint en Annexe I pages 1 et 2.
Tous les fichiers ont l’attribut « lisibles » et peuvent être modifiés lorsque la disquette n’est pas protégée contre l’écriture.
ÉTUDE DU CONTENU DE LA DISQUETTE N°3
Le nom des fichiers, leur extension, taille, date et heure de dernière modification ont été obtenus par la commande DOS suivante :
DIR A : /OD > C:\DIR.TXT
Le résultat de cette commande est présenté en Annexe II. J’ai fait le choix de trier les fichiers par ordre de la date de leur dernière modification.
Il y a deux types de fichiers sur cette disquette, différenciés par leur extension informatique : TXT et WK1.
Après étude du logiciel LOTUS 1-2-3 pour DOS dans sa version 4.00, il apparaît que l’extension TXT concerne des fichiers de configuration du logiciel. Le nom de ces fichiers commence toujours ici par FR, ce qui laisse à penser que le logiciel était utilisé dans sa version française. Ces fichiers sont inaccessibles directement par l’utilisateur et ne contiennent pas a priori de données pertinentes.
Voici donc la liste, par ordre des dates de dernières modifications, des 37 fichiers de données contenus sur la disquette n°3 :
[…liste des noms de fichiers avec renvoi aux pages des annexes correspondantes…]
Par souci de simplicité d’accès aux imprimantes, le contenu de ces différents fichiers a été imprimé à l’aide du logiciel LOTUS 1-2-3 pour WINDOWS version 1.23. De plus, sur chaque listing annexé, le nom du fichier et le nombre de page du listing apparaissent en haut et à gauche de chaque feuille.
Là où les choses deviennent intéressantes, c’est dans l’exploitation des données comptables présentes dans les fichiers cachés et effacés. Mais, je suis surtout informaticien, et pas vraiment très expérimenté en comptabilité.
Je décide donc de me faire aider. L’ordonnance de commission d’expert ne précise-t-elle pas que j’ai la faculté de m’adjoindre tout spécialiste de mon choix ? Mais qui pour jouer le rôle d’Oscar Wallace dans mon équipe ?
Je décide donc d’aller voir le service comptabilité de mon entreprise. Le comptable, avec qui je m’entends bien, m’apprécie et accepte de m’aider. Je prends un coupe papier et procède à la cérémonie d’adoubement en l’élevant au rang de Sapiteur.
Nous avons travaillé tout un samedi sur ces fichiers pour en extraire toutes les informations que je trouvais pertinentes. Et Alphonso Capone n’était pas net net…
J’en ai fait rapport en précisant les nom et prénom de mon comptable ès-qualité de sapiteur. J’ai déclaré comme il se doit « avoir personnellement procédé aux opérations d’expertise qui m’ont été confiées » (puisque toujours présent lors des investigations du sapiteur).
J’ai aussi ajouté à la fin de la conclusion de mon rapport la mention suivante :
Si cela devait s’avérer utile à la manifestation de la vérité, il est possible de faire procéder, par une entreprise spécialisée, à une tentative de récupération de données sur les deux disquettes défectueuses avec des outils matériel et logiciels spécialisés. Je joins à mon rapport en Annexe IV, un devis de 6633 F TTC (1011.19 €) relatif à une telle investigation.
Je n’ai jamais eu de réponse du juge d’instruction et je n’ai jamais su ce qu’Alphonso Capone était devenu (mais je présume qu’il a eu des ennuis). J’ai été payé de mes 360€ un an et demi plus tard. J’ai partagé avec mon comptable.
Aujourd’hui je regarde le tas de confettis qu’est devenu mon rapport de 100 pages.
Sic transit gloria mundi.
Cadeau-blague de mes étudiants (qui me battaient toujours à CS)
Il existe de nombreux tutoriels consacrés à ce sujet, je ne vais donc faire que survoler le sujet. Mon objectif est surtout de rappeler des règles simples.
Le serveur
Si vous faites de l’autohébergement complet, le serveur est chez vous. Il faut donc sécuriser la machine d’un point de vue physique et logiciel. J’ai fait le choix d’une machine virtuelle dédiée uniquement au fonctionnement du service WordPress. Elle est située sur un NAS Synology permettant de faire fonctionner des machines virtuelles. Ce NAS est en hauteur (pour échapper aux coups de balais ou de serpillières) et branché sur un onduleur électrique pour l’isoler des micro-coupures, des variations de tension et des coupures électriques de moins d’une demi heure.
La machine virtuelle (que j’appellerai « le serveur » dans la suite de ce billet) est une Debian 11 minimaliste (sans interface graphique) avec ssh. Un snapshot à chaud du serveur est pris chaque jour par le virtualiseur du Synology, et un « apt update && apt upgrade -y » (yolo) est lancé automatiquement chaque jour. Les vrais admin utiliseront plutôt un cron-apt ou unattended-upgrades.
Le virtualiseur Synology permet aussi de créer un clone du serveur à partir d’un snapshot et de l’exporter au format OVA. Je fais cela de temps en temps (manuellement) pour disposer d’un fichier qui suivra ensuite toute la procédure de sauvegarde 3-2-1 des autres fichiers du NAS. C’est plus pour reconstruire rapidement un serveur en cas de problème, puisque les contenus WordPress seront sauvegardés de manière spécifique (voir plus loin).
Les services qui tournent sur le serveur sont protégés par un pare-feu local (ufw) qui vient compléter celui du NAS Synology, celui du routeur ER-X de mon réseau et celui de la box fournie par mon FAI (nous vivons dans un monde formidable).
Il y a un seul utilisateur local, en plus de root, et celui-ci est configuré pour accéder au serveur en ssh avec une authentification par clef SSH. Les mots de passe font 32 caractères, comprennent des majuscules, des minuscules, des chiffres et des caractères spéciaux classiques et français. Ils sont générés aléatoirement par KeePass et y sont stockés, ainsi que les clefs SSH et tout ce qui relèvera de la sécurité de ce serveur (les codes 2FA par exemple, voir plus loin). Vous trouverez plus de détails techniques, sur ce lien : https://www.digitalocean.com/community/tutorials/initial-server-setup-with-debian-11
Il faut maintenant mettre en place vos certificats SSL pour accéder à votre nouveau serveur en https. Pour ma part, ayant en tête d’utiliser les différents services de Cloudflare, j’ai suivi ce tuto : https://devanswers.co/configure-cloudflare-origin-ca-apache/
Les fichiers .htaccess
Plutôt qu’un cours sur les fichiers .htaccess, voici le contenu de ceux que j’utilise :
.htaccess à la racine du site WordPress (le répertoire où l’on trouve les répertoire wp-admin, wp-content et wp-includes
#Blocage de la visibilité du fichier wp-config.php
<Files wp-config.php>
order allow,deny
deny from all
</Files>
#Fin du blocage
#Blocage de la visibilité du fichier xmlrpc.php
<Files xmlrpc.php>
Order Allow,Deny
Deny from all
</Files>
#Fin du blocage
#Interdiction de visualisation des repertoires du site :
Options All -Indexes
# Protéger .htaccess et .htpasswds
<Files ~ "^.*\.([Hh][Tt][AaPp])">
order allow,deny
deny from all
satisfy all
</Files>
# Protections diverses (XSS, clickjacking et MIME-Type sniffing)
<ifModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block"
Header always append X-Frame-Options SAMEORIGIN
Header set X-Content-Type-Options nosniff
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
</ifModule>
# Redirection vers HTTPS
RewriteEngine On
RewriteCond %{SERVER_PORT} ^80$ [OR]
RewriteCond %{HTTPS} =off
RewriteRule ^(.*)$ /$1 [R=301,L]
# Redirection du www vers non-www en HTTPS
RewriteCond %{HTTP_HOST} ^www\.zythom\.fr [NC]
RewriteRule ^(.*)$ /$1 [R=301,L]
.htaccess dans wp-admin (attention, une fois en place, vous ne pourrez accéder à l’interface d’administration WordPress que depuis ces adresses IP) :
order deny,allow
deny from all
# IP de la maison
allow from W1.X1.Y1.Z1
# IP de la ligne de secours
allow from W2.X2.Y2.Z2
# IP locales
allow from 192.168.N1.M1
allow from 192.168.N2.M2
.htaccess dans wp-content :
# Bloque les accès directs aux fichiers PHP (Merci à Sucuri)
<FilesMatch "\.(?i:php)$">
<IfModule !mod_authz_core.c>
Order allow,deny
Deny from all
</IfModule>
<IfModule mod_authz_core.c>
Require all denied
</IfModule>
</FilesMatch>
.htaccess dans wp-includes :
# Bloque les accès directs aux fichiers PHP (Merci à Sucuri)
<Files wp-tinymce.php>
allow from all
</Files>
<FilesMatch "\.(?i:php)$">
<IfModule !mod_authz_core.c>
Order allow,deny
Deny from all
</IfModule>
<IfModule mod_authz_core.c>
Require all denied
</IfModule>
</FilesMatch>
<Files wp-tinymce.php>
Allow from all
</Files>
<Files ms-files.php>
Allow from all
</Files>
Les plugins WordPress
Il existe de nombreux modules d’extension qui font la richesse de l’écosystème WordPress mais également son danger : je vous conseille de minimiser le nombre de plugins et de veiller à leurs mises à jour régulière.
Le premier plugin que je vous recommande permet justement la mise à jour des tous les plugins : il s’agit de Companion Auto Update.
Le plugin suivant vous permet de mettre en place l’authentification multi facteurs sur votre site (indispensable) : Two-Factor.
Un pare-feu dédié à WordPress viendra compléter les différentes barrières déjà mises en place : NinjaFirewall.
Enfin, la sauvegarde de vos billets, commentaires, thèmes et plugins pourra se faire simplement avec le plugin UpdraftPlus qui m’a déjà sauvé la vie.
J’ajouterai deux plugins dans ma revue de sécurité car ils aident beaucoup le blogueur à survivre aux spammeurs (j’ai installé les deux qui fonctionnent très bien en parallèle) : Akismet Anti-Spam et Antispam Bee.
Voilà ce que j’ai mis en place. En parler diminue déjà la sécurité, mais comme le partage, lui, augmente la sécurité, n’hésitez pas à me faire part de vos conseils et recommandations en commentaire.
J’ai définitivement quitté mon hébergeur, qui persiste à nier le problème survenu le 2 avril dernier. J’ai pourtant contacté le service support, signalé les heure et date, décrit la nature du problème, exploré les logs qui me sont accessibles, demandé l’escalade dans le suivi de ma demande, pour me permettre de reprendre confiance, rien n’y a fait.
Le plus drôle est que le support s’est plusieurs fois étonné que je signale un problème alors que le blog fonctionne parfaitement. A chaque fois, j’ai du leur expliquer que si ce blog fonctionne de nouveau, c’est qu’il est hébergé ailleurs que sur leur plateforme…
Je ne souhaite pas « défoncer » ici cet hébergeur, car au fond de moi, je sais que ses équipes supports sont de plus en plus surchargées, de moins en moins bien payées, avec à la clef un service de moins en moins efficace. C’est le lot malheureusement de beaucoup d’entreprises de l’IT. Alors pourquoi dénoncer l’incapacité d’un service support à reconquérir la confiance d’un de leur client, quand leur entreprise ne leur donne pas les moyens et les exploite abusivement.
Bref, j’ai saisi cette occasion pour faire joujou avec différentes solutions, et finalement décider de rester chez moi, sur une machine virtuelle hébergée sur mon NAS, derrière Cloudflare et ma fibre optique.
J’en ai profité pour rapatrier l’intégralité des mille articles du blog v1 anciennement hébergé chez Google-Blogger et du coup faire un peu le ménage dans les URL. Si vous trouvez un lien qui pointe dans le vide, n’hésitez pas à me le signaler en commentaire ou par email.
Les publications qui compilent les meilleurs articles du blog sont encore hébergées sur le drive Google du compte zythom chez gmail.com, je m’en occuperai un peu plus tard. Ce n’est pas facile de se dégoogliser complètement et rapidement. A part ça, vous ne devriez plus avoir ici de traqueurs Google, y compris pour les polices de caractères.
Je reste pour l’instant sous WordPress, surtout pour les commentaires et la lecture sur Smartphone, mais je teste plusieurs générateurs de blogs statiques, plus faciles à sécuriser.
J’ai beaucoup de billets en mode brouillon. Je vais sans doute les débloquer et les publier un peu en vrac. Ça va partir dans tous les sens ^^
Voici en partage ma fiche de procédure en cas de crash de mon serveur WordPress et que je viens d’utiliser pour le remettre en service.
Le contexte : Je loue un serveur WordPress « clef en main » chez un hébergeur. Comme tout serveur WordPress, j’ai un compte administrateur qui me permet de le paramétrer et de choisir des extensions. Parmi les extensions que j’ai choisies, celle qui gère la sauvegarde de mon site s’appelle UpdraftPlus. Elle est paramétrée pour faire une sauvegarde complète (base de données WordPress, extensions, thèmes, etc.) régulièrement. Je transfère manuellement les fichiers de sauvegarde par ftp chez moi pour disposer de sauvegardes externalisées et respecter la règle 3-2-1.
L’incident : J’ai mis en place une surveillance du fonctionnement de mon blog avec l’excellent « UptimeRobot » dont le service gratuit de monitoring me convient parfaitement. En cas de problème grave, les lecteurs me préviennent aussi (cf Pwned). J’ai reçu la semaine dernière une alerte d’indisponibilité de mon blog, et après vérification, j’ai pu constater que l’hébergeur affichait une magnifique « Erreur 504 ». J’ai donc ouvert un ticket d’assistance, et appliqué le plan de reprise d’activité (PRA) du blog que je décris ci-après.
Procédure :
Rester calme
Configurer un serveur Yunohost hébergé chez moi (sur un Raspberry Pi)
Configurer le nom de domaine zythom.fr sur ce serveur via l’interface Yunohost
Rediriger les ports TCP 80 et 443 de ma box vers ce serveur Yunohost
Modifier l’adresse IP du blog zythom.fr dans le DNS (je suis chez Gandi)
Mettre en place le certificat SSL Letsencrypt via la procédure proposée par Yunohost
Transférer sur le serveur les fichiers de la dernière sauvegarde disponible
Restaurer l’ensemble de la sauvegarde (base de données, extensions, thèmes, etc.)
Option: mettre le blog derrière Cloudflare (compte gratuit) pour la mise en cache
Retour d’expérience : La procédure s’est bien déroulée, avec un temps d’interruption assez court (compte tenu de l’audience modeste de ce blog) et essentiellement lié au temps de propagation DNS. Améliorations à faire : – la sécurité du site repose en partie sur des fichiers .htaccess que je n’avais pas étudiés pour le serveur Yunohost. – mettre en place une page de maintenance pour masquer toutes les pages temporaires (page par défaut du serveur web avant installation de WordPress, site WordPress par défaut avant restauration…) Pendant trois jours, j’ai surveillé un peu tout cela, et j’ai publié hier un billet pour tester la charge, et tout s’est bien passé, sauf l’envoi des emails me prévenant des commentaires.
Le mot de la fin : J’ai installé hier soir une nouvelle machine virtuelle Debian sur mon NAS Synology. J’y ai installé un WordPress classique sur lequel j’ai pu de nouveau basculer le blog. Je peux remettre en place une sécurité que je gère un peu mieux, même si je le rappelle, ce blog se fera pirater car je ne maîtrise pas tout.
Je découvre Cloudflare et c’est un peu déroutant.
Un technicien du support de mon hébergeur m’a contacté 3 jours après l’ouverture du ticket (et après la mise en place du PRA et donc la migration du site ailleurs) pour me dire qu’il ne voyait pas le problème car mon site répondait correctement… Je pense que je vais clore mon abonnement chez eux.
Mon hébergeur rencontre des difficultés actuellement. J’ai donc basculé le blog sur mon PRA, c’est-à-dire un simple WordPress sur Yunohost sur un Raspberry Pi dans mon bureau derrière ma ligne fibre…
Si vous rencontrez des problèmes ou des lenteurs, c’est donc « normal ».
J’ai été opéré récemment, ce qui explique (en partie) mon silence relatif sur ce blog. J’avais déjà essayé la souffrance mentale, mais là, j’ai testé la souffrance physique.
Jusqu’à prendre de la morphine pendant plusieurs jours… C’est bien la morphine, ça joue comme un interrupteur sur le ressentie de la douleur par le cerveau. Mais le corps continue de souffrir et la fatigue s’installe. Une semaine allongé à se tordre de douleur, puis une semaine allongé à somnoler dans le brouillard.
Le pire a été quand même d’avoir conscience de sa propre lâcheté face à la douleur. L’égo s’imagine fort et conquérant, et se constate fragile et recroquevillé… Et puis à cela s’ajoute la comparaison avec les autres, ceux qui souffrent vraiment, les malades en réanimation, en urgence, les personnes cachées sous les bombes, les déplacés, les réfugiés…
Alors un sentiment de honte s’ajoute à la douleur.
« Creux » : vide intérieur dans un corps. « Vague » : masse qui se soulève et s’abaisse.
Puis j’ai arrêté la morphine. J’ai guetté le retour de la douleur. Elle n’est pas revenue. J’ai guetté le retour de la sérénité. Elle n’est pas revenue non plus.
Mais ce qui est bien quand on est dans le creux de la vague, c’est de se voir remonter, de savoir qu’on va revoir l’horizon, et avec lui, l’immensité du bonheur.
J’ai d’abord envisagé d’écrire un billet complet sur les crypto-monnaies, en partant de la définition des blockchains jusqu’à la description des équipes de mineurs, mais finalement, vous trouverez beaucoup d’informations sur ces sujets dans des billets écrits par des personnes bien plus expertes que moi. Ceux qui voudraient des informations vraiment utiles peuvent aller par exemple parfaire leurs connaissances sur https://www.bortzmeyer.org/search?pattern=blockchain, ou sinon, j’ai trouvé l’ouvrage du CIGREF clair, même si je n’ai pas la prétention d’en juger le contenu (pdf gratuit) Blockchain : passer de la théorie à la pratique dans les grandes entreprises
L’histoire (de ce billet) commence quand je me suis retrouvé avec la « vieille » machine de mon gamer de fils : une belle tour équipée d’une carte graphique Nvidia GTX1080Ti (achetée d’occasion sur LeBonCoin…). Première idée : l’utiliser pour casser du mot de passe. Oui, mais j’ai déjà un PC dédié à cette tâche, acheté sur Backmarket et dans lequel j’ai mis l’ancienne-ancienne carte graphique de mon gamer de fils, une GTX1060…
Mais je n’ai pas besoin de casser du mot de passe tous les jours.
Ajoutez à cela les températures en chute libre, le froid qui se glisse dans le petit appartement que j’occupe depuis que je travaille 3 jours par semaine en région parisienne, et le besoin d’acheter un radiateur d’appoint à ce chauffage collectif qui a sans aucun doute été réglé sur le mode économe.
J’ai eu l’idée saugrenue de miner des crypto-monnaies.
Ma conscience écologique a été mise à rude épreuve, surtout en lisant ce que consomment certains algorithmes de consensus (cf Consommation énergétique des technologies blockchain), mais mon mauvais génie de la curiosité m’a convaincu d’essayer « un peu, pour voir et pour comprendre »…
Alors c’est parti dans tous les sens, entre lecture d’articles, navigation sur des sites plus ou moins sérieux, et surtout je me suis immergé dans un monde nouveau, avec ses codes, son jargon, ses concepts, ses arnaques, ses mafias, ses escrocs, ses taxes et ses pigeons.
J’ai essayé de ne pas être dans cette dernière catégorie, j’ai essayé de faire attention où je mettais mes pieds, et ce n’est pas facile.
ATTENTION / DISCLAIMER : investir de l’argent dans les crypto-monnaies est dangereux, vous pouvez perdre entièrement votre mise, vos cheveux et devenir stérile. NE VOUS LANCEZ PAS DANS CETTE ACTIVITÉ, sauf si vous disposez déjà de matériel ET si vous acceptez de couper votre chauffage électrique ET si vous avez fait une croix sur vos cheveux ET atteint votre quota d’enfants. Ce billet n’est sponsorisé par personne.
Voici donc ce que j’ai fait, et ce n’est valable sans doute qu’au moment de l’écriture de ce billet.
Le transfert vers mon compte en banque
Curieusement, j’ai commencé par ce problème, car je souhaitais protéger mes données personnelles sensibles tels que ma carte d’identité ou mon passeport. Quand on ne sait pas trop où l’on met les pieds, mieux vaut être un peu prudent.
Après quelques lectures sur différents sites, j’ai choisi l’application ZenGo sur Smartphone car elle permet d’ouvrir un compte sans devoir fournir des pièces d’identité, dès lors que les transactions restent limitées, ce qui sera mon cas. Une reconnaissance faciale sert de sésame en cas de perte du Smartphone, pour une réinstallation depuis iCloud (iPhone) ou autre prestataire de stockage. Moui.
Au niveau des commissions, ZenGo à l’air de se situer au milieu de la fourchette du marché, mais j’avoue que c’est un peu le cadet de mes soucis pour mon étude. ZenGo supporte plusieurs crypto-monnaies (voir ici la liste) et en particulier celles qui m’intéressent, j’ai nommé Ethereum et Bitcoin.
ZenGo embarque un portefeuille (Wallet) qui me permet de disposer d’une adresse sur la blockchain Ethereum (pour y stocker mes ETH) et d’une adresse sur la blockchain Bitcoin (pour mes BTC).
Attention, ZenGo ne sait transférer que des Bitcoins vers un compte bancaire en euros.
Choix de la crypto-monnaie à miner
Je suis tombé sur ce site https://2cryptocalc.com/what-to-mine-with-1080ti qui recommande de miner des Ethers quand on dispose d’une carte graphique GTX1080ti… Et comme je débute dans cet univers, j’ai suivi le conseil. Les gains espérés sont de 2€ par jour auxquels il faudra retirer les coûts divers dont en particulier les coûts électrique, puis les frais de transaction Ethereum (également appelés “frais de gaz“) qui sont très élevés en ce moment.
Pour éviter ces frais, j’ai trouvé une équipe de mineurs qui me permet de miner des Ethers et d’être récompensé (payé) en Bitcoins : l’équipe 2miners.com. Du coup, j’évite les frais élevés d’enregistrement de mes gains dans la blockchain Ethereum, tout en disposant directement dans ZenGo de Bitcoins que je peux transférer en euros sur mon vrai compte bancaire.
Je ne sais pas si c’est une bonne idée, mais ça m’a permis de commencer sans trop de risques, et sans investir autre chose que du temps de calcul d’une carte graphique de récupération (et des coûts électriques à faire saigner un peu mon cœur DD&RS…).
Commencer enfin à miner
J’ai suivi l’aide en ligne du site de l’équipe de minage : https://eth.2miners.com/help qui recommande (pour une carte Nvidia) soit le logiciel T-Rex, soit Gminer. Pouf pouf, j’ai choisi T-Rex… ce qui donne la commande suivante :
sudo ./t-rex -a ethash -o stratum+tcp://eth.2miners.com:2020 -u <mon adresse BTC ZenGo> -w rigZythom -p x
Six jours après, je recevais 15 euros en BTC. Au bout de trois semaines environ, je devrais dépasser la somme minimale de 37 euros sur mon portefeuille ZenGo me permettant un transfert vers mon compte en banque en euros. En vrai, je n’ai pas encore atteint cette somme, car je fais beaucoup d’essais de transferts entre divers crypto-monnaies et d’expériences en testant des portefeuilles logiciels (Jaxx, Exodus, Zelcore, Metamask), des réseaux secondaires (Polygon), et d’autres crypto-monnaies (FLUX, Monero, MATIC…).
J’ai le radiateur électrique le plus cher du monde, mais je me console en me disant qu’il est constitué de matériels de récupération et consomme moins que mon radiateur électrique « normal ». Ne me jugez pas trop.