Archives par mot-clé : Professionnel

Je cherche un job !

Publié le par

Plus qu’un mois avant le cap des 50 ans ! Jamais je n’aurais cru que le fait que l’être humain ait dix doigts et qu’il compte les grandes durées en nombre de rotation de la Terre autour du Soleil, puissent avoir autant d’influence sur moi…

J’ai vécu le passage à 10 ans avec insouciance.

Mes 20 ans ont été solitaires et travailleurs.

L’arrivée des 30 ans a été synonyme de bonheur et nouvelle vie.

Le passage des 40 ans me laisse un souvenir de projets aux possibilités multiples, qui pour la plupart ont réussi !

Et voilà les 50 ans qui se profilent.

50 ans. Le moment où l’on commence à regarder en arrière et à faire le bilan, en tout cas professionnellement. Le moment où l’on sent que la richesse des choix possibles s’amenuise.

Pourtant, je me sens encore productif ! J’ai encore beaucoup de challenges à relever dans mon entreprise. J’aime mon travail, j’ai la confiance de mon patron, j’aime faire progresser mes équipes et les former à prendre ma place !

J’ai parfaitement conscience d’être un privilégié : j’ai un (bon)
travail, j’en connais relativement bien les tenants et aboutissants tout en ayant une marge de progrès et de découverte, mes collègues sont dynamiques et motivés, mon
entreprise me forme et me soutient, j’y suis entré 3 ans après sa création, j’ai contribué à son essor et à sa réussite. Je suis fier du résultat obtenu collectivement. Elle a un bel avenir devant elle.

Mais cela fait 20 ans que j’y travaille, d’abord comme enseignant-chercheur, puis comme responsable des systèmes d’information et maintenant comme responsable informatique et technique.

A 49 ans et 11 mois, je me sens à la croisée des chemins: soit je change de route, soit je continue tout droit. Et, sauf catastrophe imprévisible, il n’y aura plus de changement possible ensuite: si je re-signe, c’est pour 15 ans. J’ai conscience de fermer définitivement toutes les autres portes.

Alors, je profite de la modeste audience de ce blog pour lancer un message : je cherche un nouveau job !

Si possible en investigations informatiques.

Grand groupe, petite structure, PME, tout est possible !

J’ai encore de l’énergie pour continuer à apprendre, j’ai de l’expérience pour éviter de faire trop d’erreurs, j’ai une bonne capacité d’écoute, j’ai les pieds sur terre… Enfin, vous me connaissez déjà un peu à travers ce blog.

J’étudierai toutes propositions sérieuses qui me seront faites par l’intermédiaire de la page Contact de ce blog. Après tout, je suis un grand rêveur…

Comme je ne suis pas très fort en « personal branding » et en réseautage, n’hésitez pas à en parler autour de vous pour me donner un coup de pouce 😉

Si cela ne donne rien, je pourrai me désinscrire sereinement de Cadremploi et autres CadresOnLine, et me consacrer à l’apothéose de ma carrière. Fidèle je suis, fidèle je resterai.

J’écris ce billet pour ne pas avoir de regrets.

Au moins, j’aurais essayé.

Fingers crossed…

GERME

Publié le par

Depuis trois ans, je suis une formation au management. Comme beaucoup d’ingénieurs, j’ai toujours privilégié la connaissance et la compétence technique au détriment des autres qualités que doit avoir un bon « chef d’équipe ». Le travail en équipe et l’animation d’équipe ne m’ont pas été enseignés lors de ma formation initiale maintenant lointaine. Et après 30 ans d’immersion dans la technique, il était temps de retourner à l’école, pour corriger ce que j’avais pu apprendre « sur le tas ». Le management en fait partie.

Je suis allé voir la personne en charge des ressources humaines dans mon entreprise et elle m’a conseillé de prendre contact avec une animatrice de ce formidable organisme qui s’appelle GERME.

Késako ?

GERME est une association loi 1901 qui est née d’une initiative de membres et d’animateurs de l’Association Progrès du Management (APM) en 1992 qui ont souhaité une approche de perfectionnement au management des entreprises pour leurs cadres de direction. L’association GERME a finalement été créée fin 1997 et constitue le réseau de référence pour les managers qui veulent développer et mettre en œuvre de nouvelles compétences en management. l’acronyme GERME signifie d’ailleurs Groupes d’Entraînement et de Réflexion au Management des Entreprises.

Les managers adhérents à GERME progressent et se développent par la formation, les mises en situation et le partage d’expériences au sein de groupes présents sur tout le territoire français, les Antilles et la Belgique. Chaque groupe compte de 15 à 20 cadres de direction qui se réunissent 8 fois par an pour suivre un cycle de formation, pilotés par des animateurs formés à la pédagogie GERME.

C’est pour moi l’occasion de prendre un peu de recul par rapport à la pression du travail, à l’urgence des problèmes que je rencontre au quotidien dans mon entreprise. C’est surtout pour moi un lieu d’échanges en confiance. En effet, quoi de mieux que de rencontrer des personnes d’autres entreprises, ayant des responsabilités similaires, mais dans des métiers très différents, et de pouvoir se confier à eux, de pouvoir parler de ses propres faiblesses, erreurs et défauts en étant écouté sans se sentir jugé.

Une fois par mois, sur 8 mois sélectionnés judicieusement pour que tout le monde puisse participer, je rencontre des personnes qui sont devenues pour moi des camarades de galère, que je connais maintenant mieux que leurs collègues de boulot, et nous suivons une journée de formation animée par un conférencier sélectionné par le réseau GERME, sur un thème que nous avons collectivement choisi. Les thèmes se regroupent dans 4 axes pédagogiques: le manager et le monde, le manager et son entreprise, le manager et son équipe, et enfin le manager lui-même…

Pour vous donner une idée, voici quelques unes des formations que j’ai suivies depuis 2011:

– Comment gérer les personnalités difficiles ?

– Comment motiver son équipe ?

– Comprendre et manager la génération Y

– Anticiper et accompagner le changement

– L’attitude intérieure positive

– Prendre la parole en public et rester zen

– L’intelligence émotionnelle

– Comment mieux gérer son stress ?

– Humour et management

– Conduire le changement

– Décrypter la gestuelle pour rendre plus efficace sa communication

– La communication de crise, quelles relations avec la presse ?

– L’art de la répartie : comment réagir en toute situation ?

– Équilibre vie professionnelle vie privée

A chaque fois, le conférencier anime la journée en alternant présentation, mise en situation, exercices pratiques, échanges entre apprenants, etc.

Cela permet de recevoir des connaissances en provenance d’un professionnel expérimenté, de pouvoir les discuter et se les approprier, et surtout de confronter « entre nous » les expériences – bonnes ou mauvaises – des uns et des autres. Qui n’a pas eu à gérer une réunion houleuse, une personne qui réagit de manière désagréable, des problèmes d’ego ou un conflit au sein de son équipe de travail ?

J’apprends beaucoup sur moi-même au cours de ces formations. Elles ont contribué – j’espère – à améliorer mon contact avec les autres, que ce soit dans mon univers professionnel où l’on est parfois prompt à critiquer l’interface chaise-clavier, dans ma gestion des réunions d’expertise où l’écoute est importante ainsi que la bonne gestion de crise, ou dans ma tache de conseiller municipal, je pense en particulier à l’animation des réunions publiques.

Les valeurs GERME, sur lesquelles travaillent tous les adhérents, sont les suivantes: Progrès, Respect, Ouverture, Confiance, Humilité et Ensemble (PROCHE). Elles illustrent bien le mode de fonctionnement du groupe GERME auquel j’appartiens. Elles permettent de développer et mettre en œuvre de nouvelles compétences en management. Elles permettent d’apprendre à se connaître pour accepter ses limites et renforcer ses points forts.

En septembre 2013, il y avait 87 groupes GERME réunissant 1310 adhérents. Les groupes accueillent des cadres de direction associés à la réflexion et aux décisions stratégiques: cadres en responsabilité d’équipes, cadres en responsabilité transversales et parfois des dirigeants de TPE. Les adhérents sont accueillis dans un groupe en veillant à la diversité des fonctions et à la non-concurrence des entreprises représentées. Vous trouverez plus d’informations sur le site de l’association. N’hésitez pas à entrer en contact avec un animateur proche de vous ou directement avec l’équipe d’accueil de l’association. Les formations sont prises en charge par votre entreprise.

J’avais beaucoup d’idées reçues sur le management, principalement par méconnaissance. J’imaginais que certaines personnes avaient une sorte de qualité naturelle innée de « leader » charismatique, ou d’autres l’insupportable comportement de « petits chefs ». Je pensais que les cours de management consistaient en un ensemble de « trucs » pour manipuler les gens et en augmenter la productivité. J’avoue être allé un peu à reculons aux premières formations, moi le scientifique pur cru.

Au final, j’apprends à être plus ouvert, responsable, engagé, en constant perfectionnement, capable de comprendre mon environnement avec du recul, acteur et diffuseur de progrès au sein de mon entreprise, et acteur du changement.

Mes collègues ont constaté le changement. J’ai pu apprécier mon évolution dans la conduite des réunions d’expertise judiciaire. Même les étudiants sentent que j’ai changé en mieux. Même mes enfants…

Il me reste à mettre tout cela en pratique avec les élections municipales qui s’annoncent…

J’en parlerai sûrement ici.

Cracker les mots de passe

Publié le par

Quand j’étais jeune responsable informatique, dans les années 1990, il existait une « tradition » chez les administrateurs réseaux de l’époque: le test des mots de passe des utilisateurs pour vérifier la sécurité du réseau informatique que l’on gérait.

C’est ainsi que j’ai découvert le logiciel « crack« , librement distribué et partagé sur internet par les administrateurs réseaux.

C’est aussi à cette époque que j’ai compris l’intérêt de partager des connaissances utiles pour ceux qui souhaitent se protéger, partant du principe que ces connaissances étaient déjà dans les mains de ceux qui veulent attaquer.

Voici donc un billet sur les outils que j’utilise aujourd’hui dans les analyses que j’ai à mener, soit dans le cadre judiciaire, soit dans le cadre professionnel (quel admin n’a pas déjà eu à contourner un mot de passe root, ou un mot de passe BIOS). J’espère qu’il pourra être utile aux experts judiciaires débutants en la matière, ou à tout ceux qui veulent tester leur réseau informatique personnel ou professionnel.

Dernier point: il n’est pas inutile de rappeler que toute utilisation illégale de
ce type d’outils entraîne votre responsabilité juridique. Si vous cherchez à intercepter le mot de passe de votre patron, ou faire une bonne blague à votre collègue, passez votre chemin. Si vous êtes administrateur réseau, vérifiez avant vos tests que vous avez l’approbation et le soutien de votre hiérarchie, ce qui ne coule pas de source. Enfin, chers parents, ou chers enfants, la récupération des mots de passe des membres de votre famille pour s’en servir à leur insu est réprimandée par la loi.

Bref, ce qui est mal est mal, ce qui est illégal est illégal…

S’il n’était mort il serait encore en vie.

Note à mes lecteurs issus ou nageant déjà dans l’univers de la sécurité informatique, ne vous attendez pas à des découvertes techniques incroyables dans ce qui va suivre, considérez ce billet comme une initiation au B.A.BA pour mes lecteurs « mékeskidis » (© Maître Eolas) ou les simples curieux.

—————————————

0) L’outil magique, celui qui impressionne les amis : Ophcrack

Rendez-vous sur le site de téléchargement d’Ophcrack, récupérez le liveCD qui va bien (Vista/7 par exemple), gravez le et bootez votre machine Windows 7. Regardez et admirez, c’est plug and play.

Ophcrack fonctionne très bien également sur des machines virtuelles, par exemples des images disques créées par la commande « dd » et transformées en VM par liveView.

Pour les plus motivés d’entre vous, il existe des « tables arc en ciel » en téléchargement plus ou moins libre sur internet, permettant d’améliorer les performances de récupération des mots de passe. Attention, ces tables peuvent faire plusieurs gigaoctets. Vous pouvez également les faire vous même (par exemple avec RainbowCrack): prévoir un ordinateur TRES puissant et plusieurs mois de calculs…

Ophcrack est un outil précieux lors des perquisitions, où l’on rencontre souvent du matériel sous Windows XP ou Windows 7.

Conseil aux administrateurs réseaux débutants: bloquez très vite le mode « boot sur CD » de tous les postes que vous administrez…

—————————————

1) L’ancêtre, celui qui fera de vous un barbu : crack

Crack est un logiciel de recherche de mot de passe par création de combinaisons de mots courants stockés dans des fichiers. Je dois à ce logiciel ma plus belle collection de « dictionnaires », le mot étant à prendre ici au sens de « liste de mots » (sans définition). J’ai des dictionnaires de mots dans un grand nombre de langues, des dictionnaires de mots écrits en phonétique, des règles de codage/décodage en langage SMS (t1t1 pour tintin), etc. J’ai également récupéré, quand ils ont été disponibles sur internet, tous les fichiers de mots de passe (parfois plusieurs millions) d’utilisateurs…

Comme indiqué en préambule, c’est le premier programme que j’ai
utilisé dans le contexte d’analyse de la sécurité de mon réseau, pour
tester la validité des mots de passe choisis par les étudiants. Je
précise que je suis barbu avec modération. 20% des mots de passe
utilisés par les étudiants ont été trouvés en moins de 5 mn, 80% en
moins d’une heure. J’ai affiché dans le couloir du laboratoire
informatique la liste des mots de passe par ordre de découverte (sans le
nom du compte associé), avec obligation pour chaque étudiant de changer
leur mot de passe… Toute une époque 😉

Crack est un programme conçu pour UNIX et fonctionnant sous UNIX. La rubrique « Troll » de la FAQ est instructive à ce sujet. Ceux qui ont un peu plus de temps, liront avec délice les emails les plus curieux envoyés au développeur de crack.

C’est un programme pédagogique, qui peut encore être utile, même si je dois avouer ne pas m’en être servi depuis longtemps.

—————————————

2) La référence : John l’éventreur

John The Ripper, ou JTR, est l’une des références dans l’univers des briseurs de mots de passe. Bien qu’un peu ancien maintenant, ce logiciel a su évoluer pour utiliser différentes méthodes d’approche.

Il a surtout l’avantage de fonctionner dans beaucoup d’environnements: Windows, Linux, Mac OS, etc. C’est encore un logiciel basé sur des dictionnaires.

Je raconte dans ce billet, une petite anecdote liée à la présence de ce logiciel sur le poste de travail d’un salarié avec le mot de passe du patron dans un fichier texte…

—————————————

3) L’attaque à distance multi-protocoles : Hydra

Si vous devez auditer un ensemble de postes, de serveurs, de protocoles, de services, de trucs à distance, ou tout simplement un ordinateur allumé ciblé, le tout sans bouger de votre poste d’analyse, voici le produit qu’il vous faut: THC-Hydra.

Je reporte ici la description du produit extraite de ce manuel en français: THC Hydra est un crackeur de mot de passe réseau supportant les protocoles suivants: TELNET, FTP, HTTP-GET, HTTP-HEAD, HTTPS-GET, HTTP-HEAD, HTTP-PROXY, HTTP-PROXY-NTLM, HTTP-FORM-GET HTTP-FORM-POST, HTTPS-FORM-GET, HTTPS-FORM-POSTLDAP2, LADP3, SMB, SMBNT, MS-SQL, MYSQL, POSTGRES, POP3-NTLM, IMAP, IMAP-NTLM, NNTP, PCNFS, ICQ, SAP/R3, Cisco auth, Cisco enable, SMTP-AUTH, SMTP-AUTH-NTLM, SSH2, SNMP, CVS, Cisco AAA, REXEC, SOCKS5, VNC, POP3, VMware-Auth, NCP, Firebird.

Le logiciel possède deux modes de fonctionnement: l’attaque par dictionnaires ou par force brute. A ce propos, ne pas oublier les fonctionnalités moins connues du couteau suisse des réseaux: nmap et ses possibilités d’attaque par force brute.

—————————————

4) Le mot de passe BIOS oublié : PC CMOS Cleaner

Toute la description est dans le titre. La encore, un liveCD à télécharger pour booter ensuite dessus. Rapide, efficace, mais modifie le scellé ce qui est interdit.

Sinon, la vieille méthode dite de « la pile BIOS à enlever » marche toujours, mais il faut savoir la trouver, surtout sur les ordinateurs portables. Encore une fois, interdit dans le cas d’un scellé.

—————————————

5) Efficace mais long : les emails

La meilleure de toutes les solutions est un constat simple que je fais souvent: la grande majorité des gens n’utilisent qu’un ou deux mots de passe, pour tous les systèmes d’authentification qu’ils rencontrent.

Il est donc très probable que l’utilisateur de l’ordinateur analysé ait choisi son mot de passe « habituel » pour s’enregistrer sur un site quelconque de téléchargement de démos, d’achats en ligne ou de webmail. Parmi tous les sites en question, il n’est pas rare que le mot de passe utilisé lors de la procédure d’inscription soit envoyé EN CLAIR dans l’email de confirmation de création du compte.

Il suffit donc d’analyser les correspondances emails (Outlook, Thunderbird, traces logs des différents navigateurs, etc) pour retrouver un ensemble d’emails du type « votre mot de passe est bien ZorroDu69, merci de conserver cet email » (oui, merci). Quand vous listez ensuite tous les mots de passe ainsi trouvés, le nombre dépasse rarement 3 ou 4. Il ne reste plus qu’à les tester sur le compte ciblé pour trouver le bon.

C’est l’application d’une des bases de l’ingénierie sociale

—————————————

Conclusion

L’amoureux de la vie privée que je suis commencera par un conseil sur les mots de passe: choisissez les de manière à ce qu’ils ne puissent pas apparaître dans une liste de mots de passe, et suffisamment longs pour qu’ils résistent à une attaque par force brute. Je donne souvent l’exemple des premières lettres des mots d’une chanson ou d’un poème, en mélangeant majuscules et minuscules, ex: LsLdvdLBmCdULm, auxquelles vous ajoutez quelques chiffres (en majuscule, non, je plaisante), ex: LsLdvdL1844BmCdULm1896. C’est beau, c’est long, c’est bon, c’est difficile à deviner quand on vous regarde taper sur le clavier (sauf si vous chantonnez).

Mais attention, ce n’est pas inviolable (cf point n°0 sur Ophcrack et le boot sur cédérom).

Ensuite, un conseil encore plus pénible: choisissez un mot de passe très différent pour chaque compte informatique. Dix comptes, dix mots de passe. 50 comptes, 50 mots de passe. Un mot de passe pour Twitter, un autre pour Facebook, un autre pour Gmail, etc. Évidemment, la nature humaine est ainsi faite que la mémorisation parfaite de tous ces mots de passe devient un tantinet compliquée. Je vous recommande donc le logiciel KeePass pour stocker de façon sécurisé tous vos mots de passe. Ce logiciel est même certifié par l’ANSSI, c’est dire. Il peut également générer des mots de passe très long aléatoirement, avec la possibilité de faire des copier/coller, ce qui revient à ne même pas connaître le mot de passe que vous utilisez.

Du coup, vous n’avez à retenir vraiment qu’un seul mot de passe, jamais mis par écrit: celui de l’accès à KeePass. De plus, ce logiciel est à double authentification (présence d’un fichier à choisir + mot de passe). Vous pouvez même placer KeePass sur le Cloud pour pouvoir y accéder de partout !

Cracker des mots de passe est une activité assez amusante, un petit défi technique accessible à tous. Il est par contre plus difficile pour certains étudiants de garder à l’esprit que tout ce savoir technique doit servir du bon côté de la Force. Quoi qu’il en soit: sit vis vobiscum !

En vrac

Publié le par

#0

C’est la première année où je vais effectuer plus d’expertises privées dans le cadre de mon activité free-lance (lire ce billet) que d’expertises judiciaires. Un signe de l’âge des temps ?

#1

J’ai une sœur formidable qui a repris le flambeau de mes parents (tous les deux instituteurs) : elle est professeur des écoles en maternelle dans une ZEP. Comme ce billet décrit exactement son travail, je vous en recommande la lecture.

#2

Je suis toujours en train de passer des entretiens pour voir ce que je vaux sur le marché du travail. Négatif côté ANSSI (dommage, j’aurais aimé travailler avec des roxors), négatif côté Google, négatif pour l’instant côté EADS… Je continue ma crise de la cinquantaine en cherchant tranquillement. Mais je ne me fais pas trop d’illusion: beaucoup de structures préfèrent investir dans la jeunesse pas trop chère. Alors, je réfléchis de plus en plus à développer mon activité d’indépendant pour voir si je peux sauter le pas (voir point #0). Encore faut-il en avoir le courage !

#3

Mon utilisation de Twitter a sensiblement évolué : je poste de moins en moins de tweets et devient de plus en plus un lecteur passif des conversations des autres. C’est assez frustrant. Mais j’ai de moins en moins de choses à dire et toujours autant de choses à apprendre. C’est ainsi. N’hésitez pas à me suivre (@Zythom), vous êtes sur de ne pas voir votre TL floodée… Par contre, je vous préviens, je RT des tweets qui peuvent être vieux de la veille, voire de plusieurs jours 😉

#4

Le blog en version anglaise/américaine se développe. Je remercie tous les traducteurs bénévoles pour leur travail. Il y a au moins cinq billets dans les tuyaux à paraître bientôt. Il ne me reste plus qu’à trouver un Maître Eolas américain qui me prendrait dans sa blogroll sous son aile…

#5

Le billet précédent, intitulé « je suis trop faible« , a fait réagir beaucoup de monde, en commentaire ou par email. Je vous remercie tous ! J’espère ne pas avoir inconsciemment abusé du procédé rhétorique qu’on appelle chleuasme, mais vos messages d’encouragement m’ont fait du bien: vous êtes mon groupe de soutien 🙂

#6

Côté « défis des potes« , le prochain est une participation au marathon de Jersey dans 16 jours. Je cours un relais de 7,5 km dans une équipe de 5… Je déteste courir, j’ai mal partout depuis une semaine que je m’entraîne. Mais c’est toujours pour la bonne cause, pour lutter contre le crabe.

#7

Dans six mois se dérouleront les élections municipales. J’en parlerai peu sur ce blog, mais je postule pour repartir pour une nouvelle mandature de conseiller municipal. Et peut-être comme adjoint au maire cette fois. On verra bien, car contrairement à la dernière fois, il y aura une ou plusieurs listes face à nous. En tout cas, les coups bas ont déjà commencé avec des accusations mensongères dans la presse o_O. Welcome IRL.

#8

Côté pro, la rentrée des étudiants s’est bien passée. Les dégâts liés à l’incendie de la mi-août ont été réparés. J’ai fini mes cours et TD de présentation des systèmes informatiques et techniques. J’aime bien remettre pendant une semaine ou deux ma vieille casquette de professeur, mais je préfère quand même me concentrer sur la maintenance et le développement des systèmes de l’école.

#9

Les enfants grandissent et m’apportent joie, fierté et amour. J’en parlerai de moins en moins sur ce blog pour les laisser développer leur propre vie numérique et respecter leur vie privée. Un pseudo ne cache pas grand chose. Je verse quand même une petite larme en pensant à l’un de mes premiers billets, écrit en 2006, et qui expliquait pourquoi j’ouvrais ce blog. La petite fille de 12 ans dont je parlais alors est en étude de médecine maintenant…

#A

Je n’ai pas encore pu faire le saut en parachute que mes amis m’ont offert cet été pour mes 50 ans. J’ai dépensé tout l’argent pour profiter des vacances avec ma femme et mes enfants. On ne vit qu’une fois et maintenant la cigale mange des pâtes… Mais je ne désespère pas le faire en 2013. J’ai choisi de faire au moins le premier saut des six sauts prévus dans une PAC. Pour l’instant, je regarde les autres le faire en vidéo. Vivement que je puisse m’élancer, tenu à bout de bras par un instructeur !

#B

J’avance très doucement sur mon retour dans les réseaux de neurones. Je passe trop de temps avec mon fils sur Xbox360 sur les différents Call of Duty… Il me reste deux enfants à la maison, j’essaye d’en profiter au maximum sans les envahir. Après, il sera trop tard ! Et je pourrai toujours revenir sur mes rêves de chercheur dans cinq ans. Stay tuned.

Si vous avez cliqué sur tous les liens de ce billet, vous avez ma considération distinguée 😉

————————————–

Source photo JSBG : les animaux sautent aussi en parachute…

L’incendie

Publié le par

Samedi 17 août. C’est mon avant dernier jour de vacances et je suis en train de me faire un tour de rein déménager ma fille aînée à 200 km de chez moi. Il est midi et demi, je reçois un coup de fil du gardien de l’école: un incendie s’est déclaré dans les locaux…

Le téléphone a cette faculté de pouvoir vous faire voyager instantanément d’un point à un autre du globe. Me voici donc d’un seul coup au travail en train de gérer un cas d’urgence, avec dans les mains une boite de rangement d’étudiante en médecine pleine d’os de tailles diverses…

J’arrive à établir rapidement la chronologie: à 11h55 le disjoncteur général de l’établissement s’est enflammé, dans un local technique hors des locaux, ce qui a déclenché l’alarme incendie. La centrale du système de sécurité incendie a aussitôt envoyé un message au gardien de l’école et à la société de gardiennage. 11h56, le gardien constate un dégagement de fumée dans le local technique désigné par le système de sécurité incendie et appelle aussitôt les pompiers.

Quelques minutes plus tard, ceux-ci sont sur place et appellent les agents d’ERDF pour qu’ils sécurisent le local Très Haute Tension (15 000 v). L’incendie s’est entre temps éteint de lui-même. L’ensemble du quartier est privé d’électricité.

C’est à ce moment-là, vers 12h30, que le gardien m’appelle sur mon lieu de vacances pour rendre compte de l’incident. Nous sommes samedi, l’école doit ouvrir lundi ses portes aux étudiants, aux chercheurs et au personnel. Plus précisément, nous sommes samedi 17 août, c’est-à-dire en plein pont de la semaine du 15 août… La semaine où le moins de gens travaillent dans les entreprises en France. Bien bien bien.

Je suis responsable informatique ET technique, c’est-à-dire que j’ai en charge le bon fonctionnement technique des locaux et des appareils de l’établissement. Le bon fonctionnement, aujourd’hui, cela signifie également son alimentation correcte en électricité: pour les ordinateurs, pour les serveurs, pour les actifs réseaux, pour les imprimantes, pour les téléphones, pour la centrale de sécurité incendie, pour les portes coulissantes, pour les systèmes d’ouverture par badge… Bref, pour tout.

Mais à distance, je ne peux pas faire grand chose. Je demande donc au gardien de me tenir au courant de l’évolution des événements. Je raccroche. Une demi-heure se passe, il me rappelle: les agents d’ERDF ont isolé l’école dont les équipements électriques Très Haute Tension sont hors service et rétabli le courant pour le reste du quartier. A charge pour moi de les recontacter dès que les réparations seront effectuées, puisque le matériel incendié appartient à l’école qui bénéficie d’un tarif vert. Les pompiers sont partis, les agents d’ERDF également, l’école est sans électricité, le gardien est tout seul… Bien bien bien.

Premier bilan: il n’y a pas de blessé, l’incendie a fait des dégâts très localisés, l’école n’a pas d’électricité, le Plan de Continuité d’Activité de la salle serveurs a bien fonctionné: notre groupe électrogène a démarré dès la coupure de courant, alimentant ainsi les onduleurs qui maintiennent la salle serveurs et les accès internet sous tension. Le temps que la cuve de gazole se vide…

L’école a des liens très fort avec les collectivités locales: ville, communauté d’agglomération, conseil général, région… J’ai dans mon téléphone mobile plusieurs numéros de cellules d’urgence de ces entités. J’appelle un premier numéro, pas de réponse, un deuxième, pas de réponse, un troisième qui sonne, sonne, sonne dans le vide, et miracle, une personne décroche. Je suis à la cellule d’urgence du conseil général. J’explique mon cas à la personne, qui visiblement utilise un talkie-walkie (!). Là, très calmement, il m’explique qu’il dispose d’une liste de personnes à contacter et qu’il va les appeler. Je laisse mes coordonnées et je raccroche.

J’ai le coeur qui bat très fort.

Peu de gens s’en rendent compte, mais on demande souvent l’impossible aux services supports. Ma mission est de faire fonctionner l’école, quelles que soient les difficultés. Les étudiants comptent sur moi, les chercheurs comptent sur moi, les enseignants comptent sur moi, les personnels administratifs comptent sur moi… Mais pour l’instant, tout le monde est en vacances, et personne ne se doute du problème qui se pose à moi: comment alimenter l’école en électricité au plus vite, en cette fin de semaine du 15 août!

Quelques minutes après, le téléphone sonne. Un technicien du conseil général est sur place, avec son chef de service et constate les dégâts et le problème. Il me propose de contacter une entreprise qui dispose de GROS groupes électrogènes et de voir s’ils peuvent être disponibles pour lundi matin. Il me donne leurs coordonnées, ainsi que celles d’une entreprise de transport susceptible de pouvoir les livrer. Le cœur battant (et les mains dans les cartons de déménagement), j’appelle l’entreprise, qui répond, qui dispose de deux groupes électrogènes de fortes puissances et qui me les réserve. J’appelle l’entreprise de transport, qui répond et qui accepte de livrer les deux groupes. J’apprendrai ensuite que c’est le patron en personne et son fils qui se sont chargés de la livraison lundi 19 août, en pleine quinzaine de fermeture de l’entreprise…

J’envoie alors un SMS à mon chef pour lui résumer la situation et le tenir au courant des problèmes et des solutions mises en œuvre. J’ai conscience d’avoir de la chance.

J’ai passé un mauvais dimanche (mais meilleur que celui du gardien dans l’école sans électricité).

Lundi, le personnel et les étudiants découvraient une école sans électricité, et les vertus du rangement de bureau au retour de vacances. La salle serveurs fonctionnait toujours, alimenté par notre groupe électrogène de secours. Lundi, les deux groupes électrogènes étaient livrés, installés, raccordés et démarrés. Lundi soir, l’école disposait d’un des bienfaits du XXe siècle: l’électricité.

Tout le monde poussait un ouf de soulagement.

Sauf moi.

Combien de temps cela allait tenir?

Quelle est l’autonomie des cuves des groupes électrogènes?

Combien de temps pour effectuer les réparations du disjoncteur THT?

A quel prix?

Bref, la reprise était compliquée.

Le constructeur a été contacté pour savoir s’il disposait de pièces de rechange sur du matériel vieux de 20 ans. Réponse: non, mais j’ai du neuf si vous changez tout. Après avis d’ERDF qui impose une remise aux normes de tout le matériel en cas d’incident de ce type, la décision de tout changer a été prise. Rendez-vous a été pris avec le constructeur pour obtenir à prix raisonnable le matériel miraculeusement en stock (sinon temps d’attente = 12 semaines, usine fermée en août), et rendez-vous a été pris avec les différentes entreprises (livraison, démontage, installation, raccordement), dont ERDF qui a été exemplaire sur ce problème.

Deux jours et demi plus tard, l’un des deux groupes tombait en panne d’essence (à 2h30 du matin) suite à la panne d’une pompe de transfert du gazole. 1000 litres consommés en 2,5 jours, soit 400 litres par jour et par groupe, soit 800 litres de gazole par jour pour les deux groupes… Mon cœur et mon plan RSE en étaient malades.

Le dimanche 25 août, un imbécile stoppait l’un des groupes en appuyant sur l’arrêt « coup de poing », à 8h du matin…

Le lundi 26 août, un représentant des habitants du quartier venait me faire part du mécontentement du voisinage suite aux nuisances sonores des groupes électrogènes. Je rédige alors une lettre d’explication que je suis allé placarder dans les halls des immeubles alentour.

Lundi après-midi les travaux de démontage commençaient.

Le mercredi 28 août, toutes les entreprises devant intervenir sur les réparations du local technique THT avaient terminé. Le courant garanti EDF était rétabli, 11 jours après l’incendie.

Je profite de ce blog, même si j’écris ici sous pseudonyme, pour féliciter toutes les personnes d’astreinte, dans tous les services de France et de Navarre, dans les collectivités comme dans les entreprises privées, pour leur dévouement et leur efficacité. Et bravo aussi aux services supports en général!

Il reste maintenant aux assurances à intervenir, mais cela, c’est un autre problème.

Je me souviendrai de mon retour de vacances 2013.

L’ANSSI et le test Google

Publié le par

Je fais partie des premières générations d’étudiants de lycéens à avoir été autorisées à utiliser une calculatrice électronique au baccalauréat. J’ai donc connu les deux systèmes: la règle à calcul et les tables de logarithmes versus la calculatrice électronique. Autant vous dire que j’ai choisi mon camp immédiatement !

Et pourtant, je me souviens des querelles sans fin opposant les « pour » et les « contre », avec en ligne de mire la disparition des capacités intellectuelles des générations futures. Au passage, si je constate effectivement une baisse des aptitudes au calcul mental de mes étudiants, je me permets de constater une hausse très nette de leurs compétences dans bons nombres de domaines utiles au métier de l’ingénieur (mais j’y reviendrai).

Les professeurs de l’époque ont du s’adapter au monde nouveau qui s’imposait à eux. Ils ont du revoir les problèmes qu’ils donnaient à leurs élèves, parfois depuis plusieurs décennies. En effet, certains problèmes devenaient ridiculement faciles dès lors que l’on disposait de ce magnifique instrument de calcul. J’appelais ces problèmes « les tests calculatrices ». Certains professeurs ont mis plus de temps à s’adapter, ce qui m’a permis d’avoir parfois des notes inespérées, en particulier en chimie. Je me souviens de ces vieux professeurs qui nous grommelaient « comment ferez vous pour calculer vos logarithmes si la calculatrice tombe en panne »…

Il faut savoir accepter le progrès, s’adapter et accepter que certaines compétences deviennent obsolètes. L’utilisation des tables de logarithmes en fait partie.

L’accès facile à internet pour tous les étudiants, partout et tout le temps grâce aux téléphones mobiles, a changé la donne pour beaucoup d’enseignants et révolutionne la manière d’appréhender beaucoup de problèmes. Est-il nécessaire d’apprendre par cœur telle ou telle somme d’information quand elle est facilement accessible ? Quel type de savoir faut-il enseigner : la connaissance qu’une information existe, savoir la retrouver ou la connaissance en elle-même ? Chaque professeur répond à ce type de question selon sa pratique et son savoir-faire. Mais cela donne parfois lieu à ce que j’appelle « des tests Google », c’est-à-dire des tests où les réponses se trouvent facilement avec un moteur de recherche.

Je suis personnellement en plein questionnement sur mon devenir professionnel : je fais ma petite crise de la cinquantaine et, malgré un travail que j’aime et qui me propose encore beaucoup de défis, j’ai du mal à admettre que je ne pourrai plus jamais changer d’emploi dans les 15 années à venir, si je ne le fais pas maintenant. Je suis donc en train de répondre à des annonces et de passer des entretiens. Vu mon profil et mon expérience d’expert judiciaire, je recherche un poste dans l’analyse inforensique. Au passage, je remercie les lecteurs de ce blog et tous les twittos qui ont relayé l’information.

Et parmi les milliers centaines dizaines quelques offres sur ce créneau visibles sur le marché, j’ai répondu à une annonce de l’ANSSI. L’Agence Nationale de la Sécurité des Systèmes d’Information regroupe en effet de nombreux spécialistes de l’investigation numérique, dont quelques uns que j’ai pu rencontrer au SSTIC. C’est donc avec une vrai envie de travailler avec ces personnes que je me suis rendu à l’entretien d’embauche qui m’a été proposé.

J’ai accepté de ne pas dévoiler le contenu de cet entretien, aussi je ne vous donnerai pas de détails sur son déroulement, rien sur la confiscation de mes téléphones à l’accueil, je n’aborderai pas la difficulté de trouver l’adresse, ni la climatisation en panne.

Un point m’a néanmoins surpris: les recruteurs m’ont fait passer ce que j’appelle un « test Google ». Appelé « test technique », il s’agit d’un long formulaire comportant de nombreuses questions techniques sur tous les aspects de l’inforensique. Toutes les réponses de ce test se trouvent facilement sur Google. Sauf que je n’avais pas accès à internet…

Le problème est que je travaille depuis de nombreuses années avec un accès internet (depuis 1990 en fait), et que j’ai pris l’habitude d’intégrer cet outil dans ma manière de travailler. A cinquante ans, je n’apprends plus par cœur les paramètres des commandes UNIX que je n’utilise que de temps en temps. Je n’apprends plus par cœur les définitions des concepts que je manipule. Lorsque j’ai besoin de construire une expression rationnelle, je le fais avec l’aide d’internet. Quand j’ai un doute sur l’orthographe d’un mot, je le googlise.

Bref, j’utilise internet comme une gigantesque encyclopédie. Et de la même manière qu’avec la calculatrice, j’ai oublié la manière de « calculer les logarithmes avec les tables », j’ai placé un certain nombre de mes connaissances « dans le nuage »… Pas toutes bien sur, mais celles qu’il me semble inutile d’encombrer mon esprit. Pareillement, je ne retiens aucun numéro de téléphone ni rendez-vous: une partie de ma vie est dans mon téléphone…

Je sais, c’est mal pour exercer sa mémoire. J’ai longtemps un peu lutté contre cette fainéantise, mais mon naturel a pris le dessus. Pourquoi faire cet effort, quand tant d’autres efforts sont à faire !

Ce qui fait que je me suis trouvé ridicule à ne pas savoir répondre à certaines questions du formulaire ANSSI, telle que « quelle est la différence entre un processus et un thread ». Ne riez pas.

Pourtant, je suis persuadé que la mesure des connaissances, que ce soit pour évaluer un étudiant ou un candidat à l’embauche, doit être autre chose qu’un « test Google ». J’aurais préféré qu’on ai un peu plus confiance en ma capacité à apprendre, à m’adapter. J’aurais préféré qu’on regarde un peu plus mon parcours, mes réalisations, mes succès et mes échecs.

J’aurais préféré qu’on ne me dise pas « bossez un peu plus l’inforensique des systèmes live et revenez dans deux ans ». Même si c’est vrai.

Dans deux ans, j’aurai des lunettes Google et je réussirai tous les tests Google!

Dans deux ans, j’aurai peut-être réussi à travailler avec les meilleurs de l’ANSSI!

Mais dans deux ans, j’aurai 52 ans.

xkcd « Tar » https://xkcd.com/1168/

Les vélos

Publié le par

Dans le cadre des rediffusions estivales, le billet du jour, publié en septembre 2009, décrit une des réalisations (collectives) professionnelles dont je suis le plus fier. Curieusement, ce n’est pas dans le domaine informatique…  

Bonne (re)lecture.

—————————-

Je me demande parfois si, en matière d’écologie, les efforts individuels
ne sont pas vains, surtout quand je fais cinquante mètres pour jeter un
papier dans une poubelle alors que le sol est jonché de détritus.

La mode est à l’écologie depuis que le public découvre avec effroi les
conséquences de deux siècles de production industrielle. Le milieu de
l’enseignement supérieur n’y échappe pas et les écoles d’ingénieurs
doivent intégrer cette prise de conscience.

L’intégrer, mais aussi la développer et l’encourager. Car, avec un peu
d’idées et la volonté de faire avancer les choses, tout est possible.

Mes étudiants se plaignent souvent de ne pas avoir de places de parking
disponibles pour leur voiture le matin quand ils arrivent à l’école (du
coup ils se garent n’importe où). Après avoir étudié le problème dans
tous les sens, je me suis rendu compte que la solution était ailleurs:
encourager l’utilisation du vélo (90% des étudiants habitent à moins de
10mn de l’école).

Je suis donc arrivé un matin au travail avec l’idée suivante: et si on donnait gratuitement un vélo aux étudiants!

L’idée a paru tout d’abord saugrenue, mais mon directeur a tout de suite
compris que l’idée était réalisable si l’on s’y mettait à plusieurs, et
surtout que cette idée avait un sens: le sens de l’histoire.

Toute la direction s’y est attelée: la com’, la recherche, la pédagogie
et les finances. Ce travail d’équipe a permis de trouver des
financements auprès des collectivités (qui, elles, ont compris depuis
longtemps le problème et tentent toutes les solutions), de convaincre
des sponsors, d’obtenir des réductions et pour finir, de faire réaliser
200 vélos tous neufs de très bonne qualité à proposer aux nouveaux
étudiants.

Des mois d’efforts, de travail et de réunions pour arriver à boucler le projet.

Et enfin, à la rentrée, les vélos ont été distribués aux nouveaux
étudiants contre l’engagement d’en prendre soin (les vélos ne leur
appartiennent pas mais sont prêtés pour toute la durée de leurs études)
et de les utiliser le plus possible. De plus, les étudiants disposent de
50% de réduction sur le forfait « transport public » annuel.

L’opération a tellement bien fonctionné qu’il m’a fallu construire des places de parking à vélos supplémentaires!

Pour le plus grand plaisir de tous.

Une idée simple, quelques bonnes volontés à convaincre, un gros travail
d’équipe, des politiques qui suivent et soutiennent le projet, et hop,
on change quelques mentalités, on éduque et on progresse.

Je sais, c’est mal, je ne devrais pas en parler sur ce blog, mais je
suis très fier d’être à l’origine de ce projet et d’y avoir contribué un
petit peu. Je suis très fier également d’appartenir à une équipe qui a
su mener le projet à son terme.

Prochaine étape: tri sélectif et cellules photovoltaïques sur le toit. Yes we can.

Tome 4

Publié le par

Après pas mal de rebondissements, le tome 4 du blog est enfin prêt 🙂

Le bébé fait 242 pages et le papa se porte bien…

Vous le trouverez au format papier pour un prix modique chez mon éditeur (cliquez sur le lien). Il agrémentera avec élégance votre bibliothèque, ou fera l’objet d’un cadeau original pour vos parents et vos amis 😉

C’est une autre façon de lire le blog et de le faire partager.

Parce que j’aime l’esprit de partage qui règne sur internet, il est également disponible sans DRM dans les formats suivants (cliquez pour télécharger) :

Pdf (2166 Ko)

Epub (278 Ko)

Fb2 (543 Ko)

Lit (413 Ko)

Lrf (532 Ko)

Mobi (578 Ko)

Papier (242 pages 😉

Bien sûr, les tomes précédents sont encore disponibles, en format papier ou électronique sur la page publications.

Avertissements :

Les habitués du blog le savent, mais cela va mieux en l’écrivant: la
publication des billets de mon blog, sous la forme de livres, est
surtout destinée à ma famille et à mes proches. C’est la raison pour
laquelle j’ai choisi la démarche d’une autopublication. J’ai endossé
tous les métiers amenant à la publication d’un livre, et croyez moi, ces
personnes méritent amplement leurs salaires! Mise en page, corrections,
choix des titres, choix des couvertures, choix du format, choix des
polices de caractère, marketing, numérisation, etc., sont un aperçu des
activités qui amènent à la réalisation d’un livre. Je ne suis pas un
professionnel de ces questions, je vous prie donc de m’excuser si le
résultat n’est pas à la hauteur de la qualité que vous pouviez attendre.
Le fait d’avoir travaillé seul (avec Mme Zythom-mère pour la relecture, merci à
elle), explique aussi le faible prix de la version papier pour un livre
de 242 pages.

Je me dois également, par honnêteté envers les acheteurs du livre, de
dire que les billets en question sont encore en ligne et le resteront.
Les billets sont identiques, à part les adaptations indiquées ci-après.

Le passage d’un billet de blog à une version papier nécessite la
suppression des liens. J’ai donc inséré beaucoup de « notes de bas de
page » pour expliquer ou remplacer les liens d’origine. Dans la version
électronique, j’ai laissé les liens ET les notes de bas de page. Je vous
incite à lire les notes de bas de page le plus souvent possible car j’y
ai glissé quelques explications qui éclaireront les allusions
obscures.

J’espère que ce tome 4 vous plaira. En tout cas, je vous en souhaite une bonne lecture.

SSTIC OpenVPN Synology Freebox et iPhone

Publié le par

Ça y est, c’est fini, le SSTIC 2013 est terminé…

Comme l’année dernière, les trois jours de conférence ont été très intéressants. J’ai encore appris de nombreuses choses, sur l’univers de la sécurité informatique, sur les spécialistes qui habitent cet univers, sur mes nombreuses lacunes techniques et sur ma faible paranoïa…

J’ai également rencontré de nombreuses personnes avec qui j’ai pu discuter longuement. Pour la plupart, ces personnes me lisent sur ce blog et en apprécient le contenu, ce qui n’a pas gâté mon plaisir. J’étais très heureux de croiser autant de personnes passionnées par l’informatique et qui, pour la grande majorité, ont choisi le côté clair de la Force. J’y ai même rencontré une experte judiciaire en informatique jeune, jolie, compétente et sympathique. Je vous assure que c’est fort rare.

Le blog est toujours en ligne cette année, mon compte Twitter aussi. Il
faut dire que j’ai été beaucoup plus prudent que l’année dernière: je
n’ai pas du tout utilisé mon ordinateur portable (pourtant j’aurais été
un des rares Windows 8 de l’amphi ;-), et mon smartphone était en mode
avion, puis timidement en 3G pour quelques tweets. Pas de connexion dans
l’amphi, pas de connexion dans la rue, pas de connexion à l’hôtel: on
n’est jamais assez prudent.

Mais c’est un peu pénible de ne pas pouvoir répondre à ces emails, de ne pas pouvoir se connecter à son blog, de ne pas pouvoir lire dans ses flux RSS ses blogs préférés. Bref, c’est un peu pénible de ne pas pouvoir avoir un accès sécurisé à Internet.

Tout cela, c’est un peu de ma faute: j’ai tellement procrastiné sur le sujet que je me suis retrouvé « Gros-Jean comme devant » la veille du départ au SSTIC. Du coup, pendant le SSTIC, j’ai un peu enquêté à droite et à gauche pour savoir comment les plus paranoïaques des spécialistes de la sécurité sortaient couverts. Chacun dispose de ses outils, mais les mots suivants sont revenus souvent: VPN, TLS, cryptage chiffrage chiffrement, OpenVPN, bières, sauts en parachute…

Comme je ne pratique pas tous ces concepts, je me suis au travail dès ce week-end. Voici donc la solution qui me convient, et que je partage ici avec vous.

Contexte :

– Je dispose d’un magnifique iPhone que je souhaite utiliser, dans des conditions de bonne sécurité dans un milieu inconnu, pour accéder à internet.

– J’ai la chance d’avoir un NAS Synology DS713+ familial qui permet la mise en place d’un serveur VPN. Après avoir testé plusieurs fournisseurs VPN, je souhaite pouvoir utiliser une solution personnelle que je pourrai peut-être mieux maîtriser.

– Mes activités étant conformes aux lois françaises, et protégées par celles-ci, je souhaite profiter de mon abonnement ADSL personnel, situé en France métropolitaine (avec IP fixe).

– Enfin, plutôt qu’un accès PPTP, je souhaite mettre en place une solution plus sure, basée sur OpenVPN.

Mise en œuvre :

Je vais m’appuyer sur toutes les personnes ayant partagé sur Internet leurs solutions aux différents problèmes que j’ai rencontrés.

1) Installation du serveur VPN sur le NAS Synology:

Très simple et bien expliquée sur cette page du site de Synology.

2) Installation de l’application « OpenVPN connect » sur l’iPhone (sans jailbreak):

A l’heure où j’écris ces lignes, l’application n’est pas disponible sur un compte iTunes français, mais j’ai pu l’installer à partir d’un compte américain. Pour se créer un compte américain, il suffit de suivre les explications de ce site. Une fois installée, ne lancez pas tout de suite l’application.

3) Création des certificats:

Afin de maîtriser correctement la chaîne de sécurité, il me semble préférable de générer soi-même les différents certificats, par exemple pour pouvoir les modifier en cas de compromission. Pour cela, j’ai suivi à la lettre les instructions de cette page (du point n°1 au point n°3) qui utilisent le logiciel XCA.

4) Configuration du serveur VPN sur le NAS Synology:

Une partie des certificats doit être installée sur le NAS et pris en compte par le serveur VPN. J’ai suivi à la lettre les instructions 2 et 3 détaillées sur cette page. Notez que le point n°1 a déjà été fait à l’étape précédente (Création des certificats). J’ai également rencontré plusieurs problèmes lors du point n°4 de cette liste d’instructions, c’est pourquoi je le détaille dans les étapes qui suivent.

5) Récupération du fichier de configuration OpenVPN pour l’iPhone:

– Après avoir rebooté votre NAS pour être sur que le serveur VPN utilise la bonne configuration, retournez dans l’interface d’admin du Synology pour exporter la configuration du VPN server (Connectez-vous à DSM avec les identifiants d’admin. Allez à Menu principal > VPN Server. Cliquez sur OpenVPN sous la section Paramètres dans le panneau gauche. Vous avez un bouton « exporter la configuration » qui va permettre de stocker sur votre ordinateur le fichier qui va servir de base pour la configuration de l’iPhone. Il s’agit d’une archive compressée qui s’appelle « openvpn.zip ».

– Dézippez là sur votre ordinateur.

– Vous voici en possession d’un fichier openvpn.ovpn qui ressemble à cela

dev tun

tls-client

remote YOUR_SERVER_IP 1194

# The « float » tells OpenVPN to accept authenticated packets from any address,

# not only the address which was specified in the –remote option.

# This is useful when you are connecting to a peer which holds a dynamic address

# such as a dial-in user or DHCP client.

# (Please refer to the manual of OpenVPN for more information.)

#float

# If redirect-gateway is enabled, the client will redirect it’s

# default network gateway through the VPN.

# It means the VPN connection will firstly connect to the VPN Server

# and then to the internet.

# (Please refer to the manual of OpenVPN for more information.)

#redirect-gateway

# dhcp-option DNS: To set primary domain name server address.

# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

proto udp

script-security 2

ca ca.crt

comp-lzo

reneg-sec 0

auth-user-pass

6) Modification du fichier openvpn.ovpn obtenu à l’étape précédente:

– « YOUR_SERVER_IP »doit être remplacée par l’adresse IP fixe de votre box ADSL. Étant heureux propriétaire locataire d’une freebox avec adresse IP fixe, je n’ai pas eu besoin de me replonger dans mes souvenirs du paramétrage de dyndns.

– J’ai décommenté la ligne « redirect-gateway » (mais je ne suis pas sur de son impact dans le temps)

– Il faut supprimer la ligne « ca ca.crt » et la remplacer par:

<
ca
>

—–BEGIN CERTIFICATE—–

xxx

—–END CERTIFICATE—–

<
/ca
>

<
cert
>

—–BEGIN CERTIFICATE—–

xxx

—–END CERTIFICATE—–

<
/cert
>

<
key
>

—–BEGIN CERTIFICATE—–

xxx

—–END CERTIFICATE—–

<
/key
>

– Il faut ensuite remplacer les « xxx » par les contenus respectifs des fichiers certificats du client générés à l’étape n°3 « Création des certificats ».

– Il faut enfin corriger la ligne « reneg-sec 0 » en « reneg-sec 3600 ».

7) Transfert du fichier de configuration vers l’iPhone:

– Il faut transférer le fichier openvpn.ovpn modifié à l’étape précédente vers votre iPhone. Pour cela, il faut brancher votre iPhone sur votre ordinateur et utiliser iTunes: Menu iPhone / Apps. Dans « Partage de fichiers », descendre jusqu’à l’application « OpenVPN », la sélectionner, et cliquer sur le bouton « Ajouter… » pour aller chercher le fichier openvpn.ovpn.

– Sur votre iPhone, vous pouvez enfin lancer l’application OpenVPN », et accepter le chargement du profil trouvé dans le fichier openvpn.ovpn. Ne cherchez pas tout de suite à vous connecter…

8) Configuration de votre box ADSL pour le renvoi de port:

Allez dans l’interface de votre box ADSL pour paramétrer le renvoi du port UDP 1194 de l’adresse IP fixe de la box vers l’adresse IP et le même port de votre NAS familial.

9) Connexion VPN de votre iPhone:

Retournez sur votre iPhone, dans l’application OpenVPN et connectez vous dessus avec un compte valide de votre NAS. L’informatique est magique et tout fonctionne. Vous pouvez lire vos emails au SSTIC.

Erreurs possibles :

Il est possible de rencontrer plein d’erreurs tout au long de la procédure que j’indique ici, et il serait illusoire que je puisse vous donner toutes les solutions à vos problèmes. J’ai toutefois rencontré plusieurs difficultés qui m’ont fait perdre un nombre d’heures assez importantes. Je vous les indique ici en espérant faire le bonheur de quelques uns:

– Si vous avez une erreur de ce type:

Cannot load certificate file error:0906D06C: PEM routines:PEM_read_bio:no start line: error:140AD009: SSL routines:SSL_CTX_use_certificate_file:PEM lib

Il est fort probable que vous ayez modifié les certificats lors du copié/collé de l’étape 6. Une sombre histoire d’UTF8 mal géré par OpenVPN. Vous aurez plus d’informations sur cette page. Dans mon cas, j’ai recommencé mon copié/collé sous Notepad sans chercher à mettre en forme, et c’est passé.

– étape 8: vous n’allez pas le croire, mais j’avais déjà programmé sur ma box une redirection du port UDP 1194 vers mon ordinateur, il y a longtemps, lorsque j’ai effectué des tests de connexions à des VPN distants. Lorsque j’ai entré une nouvelle redirection de ce port vers celui de mon NAS, l’interface de la freebox n’a pas bronché, et évidemment, un port ne se redirige qu’une seule fois. Rien n’arrivait à mon NAS. Vérifiez donc qu’aucune redirection du port UDP 1194 n’est pas déjà faite…

Conclusion :

Je ne prétends pas avoir transformé mon iPhone en Teorem de Thales (woa le nom), mais je pense avoir rehaussé mon niveau de sécurité, du moins jusqu’à ma box ADSL. La technique est utilisable pour un ordinateur portable et certainement pour un téléphone sous Android.

Grâce à ce problème simple, j’ai pu m’intéresser d’un peu plus près à mon matériel et à ses configurations logiciels. C’est un week-end de bidouillages à mon niveau qui m’a fait réviser les certificats et découvrir l’arrière boutique de mon NAS Synology (en connexion ssh).

Bref, un hacker je vous dis 😉