Miner des cryptos en 2022

J’ai d’abord envisagé d’écrire un billet complet sur les crypto-monnaies, en partant de la définition des blockchains jusqu’à la description des équipes de mineurs, mais finalement, vous trouverez beaucoup d’informations sur ces sujets dans des billets écrits par des personnes bien plus expertes que moi. Ceux qui voudraient des informations vraiment utiles peuvent aller par exemple parfaire leurs connaissances sur https://www.bortzmeyer.org/search?pattern=blockchain, ou sinon, j’ai trouvé l’ouvrage du CIGREF clair, même si je n’ai pas la prétention d’en juger le contenu (pdf gratuit) Blockchain : passer de la théorie à la pratique dans les grandes entreprises

L’histoire (de ce billet) commence quand je me suis retrouvé avec la “vieille” machine de mon gamer de fils : une belle tour équipée d’une carte graphique Nvidia GTX1080Ti (achetée d’occasion sur LeBonCoin…). Première idée : l’utiliser pour casser du mot de passe. Oui, mais j’ai déjà un PC dédié à cette tâche, acheté sur Backmarket et dans lequel j’ai mis l’ancienne-ancienne carte graphique de mon gamer de fils, une GTX1060…

Mais je n’ai pas besoin de casser du mot de passe tous les jours.

Ajoutez à cela les températures en chute libre, le froid qui se glisse dans le petit appartement que j’occupe depuis que je travaille 3 jours par semaine en région parisienne, et le besoin d’acheter un radiateur d’appoint à ce chauffage collectif qui a sans aucun doute été réglé sur le mode économe.

J’ai eu l’idée saugrenue de miner des crypto-monnaies.

Ma conscience écologique a été mise à rude épreuve, surtout en lisant ce que consomment certains algorithmes de consensus (cf Consommation énergétique des technologies blockchain), mais mon mauvais génie de la curiosité m’a convaincu d’essayer “un peu, pour voir et pour comprendre”…

Alors c’est parti dans tous les sens, entre lecture d’articles, navigation sur des sites plus ou moins sérieux, et surtout je me suis immergé dans un monde nouveau, avec ses codes, son jargon, ses concepts, ses arnaques, ses mafias, ses escrocs, ses taxes et ses pigeons.

J’ai essayé de ne pas être dans cette dernière catégorie, j’ai essayé de faire attention où je mettais mes pieds, et ce n’est pas facile.

ATTENTION / DISCLAIMER : investir de l’argent dans les crypto-monnaies est dangereux, vous pouvez perdre entièrement votre mise, vos cheveux et devenir stérile. NE VOUS LANCEZ PAS DANS CETTE ACTIVITÉ, sauf si vous disposez déjà de matériel ET si vous acceptez de couper votre chauffage électrique ET si vous avez fait une croix sur vos cheveux ET atteint votre quota d’enfants. Ce billet n’est sponsorisé par personne.

Voici donc ce que j’ai fait, et ce n’est valable sans doute qu’au moment de l’écriture de ce billet.

Le transfert vers mon compte en banque

Curieusement, j’ai commencé par ce problème, car je souhaitais protéger mes données personnelles sensibles tels que ma carte d’identité ou mon passeport. Quand on ne sait pas trop où l’on met les pieds, mieux vaut être un peu prudent.

Après quelques lectures sur différents sites, j’ai choisi l’application ZenGo sur Smartphone car elle permet d’ouvrir un compte sans devoir fournir des pièces d’identité, dès lors que les transactions restent limitées, ce qui sera mon cas. Une reconnaissance faciale sert de sésame en cas de perte du Smartphone, pour une réinstallation depuis iCloud (iPhone) ou autre prestataire de stockage. Moui.

Au niveau des commissions, ZenGo à l’air de se situer au milieu de la fourchette du marché, mais j’avoue que c’est un peu le cadet de mes soucis pour mon étude. ZenGo supporte plusieurs crypto-monnaies (voir ici la liste) et en particulier celles qui m’intéressent, j’ai nommé Ethereum et Bitcoin.

ZenGo embarque un portefeuille (Wallet) qui me permet de disposer d’une adresse sur la blockchain Ethereum (pour y stocker mes ETH) et d’une adresse sur la blockchain Bitcoin (pour mes BTC).

Attention, ZenGo ne sait transférer que des Bitcoins vers un compte bancaire en euros.

Choix de la crypto-monnaie à miner

Je suis tombé sur ce site https://2cryptocalc.com/what-to-mine-with-1080ti qui recommande de miner des Ethers quand on dispose d’une carte graphique GTX1080ti… Et comme je débute dans cet univers, j’ai suivi le conseil. Les gains espérés sont de 2€ par jour auxquels il faudra retirer les coûts divers dont en particulier les coûts électrique, puis les frais de transaction Ethereum (également appelés “frais de gaz“) qui sont très élevés en ce moment.

Pour éviter ces frais, j’ai trouvé une équipe de mineurs qui me permet de miner des Ethers et d’être récompensé (payé) en Bitcoins : l’équipe 2miners.com. Du coup, j’évite les frais élevés d’enregistrement de mes gains dans la blockchain Ethereum, tout en disposant directement dans ZenGo de Bitcoins que je peux transférer en euros sur mon vrai compte bancaire.

Je ne sais pas si c’est une bonne idée, mais ça m’a permis de commencer sans trop de risques, et sans investir autre chose que du temps de calcul d’une carte graphique de récupération (et des coûts électriques à faire saigner un peu mon cœur DD&RS…).

Commencer enfin à miner

J’ai suivi l’aide en ligne du site de l’équipe de minage : https://eth.2miners.com/help qui recommande (pour une carte Nvidia) soit le logiciel T-Rex, soit Gminer. Pouf pouf, j’ai choisi T-Rex… ce qui donne la commande suivante :

sudo ./t-rex -a ethash -o stratum+tcp://eth.2miners.com:2020 -u <mon adresse BTC ZenGo> -w rigZythom -p x

Six jours après, je recevais 15 euros en BTC. Au bout de trois semaines environ, je devrais dépasser la somme minimale de 37 euros sur mon portefeuille ZenGo me permettant un transfert vers mon compte en banque en euros. En vrai, je n’ai pas encore atteint cette somme, car je fais beaucoup d’essais de transferts entre divers crypto-monnaies et d’expériences en testant des portefeuilles logiciels (Jaxx, Exodus, Zelcore, Metamask), des réseaux secondaires (Polygon), et d’autres crypto-monnaies (FLUX, Monero, MATIC…).

J’ai le radiateur électrique le plus cher du monde, mais je me console en me disant qu’il est constitué de matériels de récupération et consomme moins que mon radiateur électrique “normal”. Ne me jugez pas trop.

Photo de Shubham Dhage via Unsplash

VPN Wireguard site to site EdgeRouter X

Je suis l’heureux propriétaire de plusieurs routeurs EdgeRouter ER-X de la marque Ubiquiti, robustes et peu chers (environ 60 euros). Je me sers de ce routeur pour isoler mon réseau personnel de la box fournie par mon fournisseur d’accès à internet.

D’autre part, il se trouve que j’habite à 450 km de mon lieu de travail, et donc que je loue un studio près de mon entreprise où je suis en présentiel 3 jours par semaine. J’ai donc un deuxième abonnement internet fibre dans ce studio où j’héberge une partie de mon matériel informatique (mon “PC dans le Cloud“, mon serveur de sauvegardes externalisées et un serveur FreshRSS).

Jusqu’à présent, pour accéder à l’un ou l’autre des deux réseaux privés, j’utilisais des serveurs OpenVPN que j’ai mis en place dans chacun des réseaux. Mais pour simplifier mes usages, j’ai voulu mettre en place un VPN site à site reliant mes deux réseaux domestiques. J’ai fait pas mal de tests, que je ne détaillerai pas ici, à base de serveurs dédiés, jusqu’à optimiser la chose (de mon point de vue) en utilisant WireGuard positionné directement sur les routeurs ER-X.

Attention : relier deux sites par un VPN permanent site à site présente un risque important de sécurité. Si l’un des réseaux est compromis, l’autre l’est aussi. A faire à vos risques et périls.

Disclaimer : Je ne suis pas admin réseau, donc réfléchissez bien à deux fois avant de reproduire cette configuration. Si vous êtes spécialiste réseau, n’hésitez pas à améliorer cette configuration ER-X en commentaire, c’est aussi pour cela que je la partage.

Mon objectif est de mettre en place le schéma suivant :

Relier deux réseaux domestiques par un VPN site to site

ATTENTION 1 : J’utilise un FAI qui me propose (encore) une adresse IPv4 fixe pour chaque box. Il est possible de mettre en place cette configuration avec des adresses IPv4 dynamiques, mais il faut disposer d’un DNS dynamique associé à ces adresses IPv4.

ATTENTION 2 : Chaque box envoie tout son trafic entrant vers son routeur ER-X (configuré en IPv4 DMZ, config possible sur une box en mode routeur). Je bloque le trafic IPv6 car je ne maîtrise pas son fonctionnement.

La configuration se fait en 3 étapes:
– 1) Sauvegarde des configurations des routeurs ER-X
– 2) Installation de WireGuard sur chaque routeur
– 3) Configuration de chaque routeur

Première étape : sauvegarde des configurations des routeurs ER-X

Vous pouvez pour cela utiliser l’interface web d’administration du routeur (voir image ci-dessous), à la fois pour sauvegarder la configuration et pour la restaurer.

Je vous recommande également de vous entraîner sur un routeur de test avant de vous lancer sur un routeur de production le vendredi soir…

Deuxième étape : installation de WireGuard sur chaque routeur ER-X

Conformément aux instructions du site https://github.com/WireGuard/wireguard-vyatta-ubnt/wiki/EdgeOS-and-Unifi-Gateway, il faut choisir la dernière version du logiciel correspondant à votre routeur ER-X (et à sa version d’EdgeOS).

Pour les routeurs ER-X, il s’agit de la version e50, et à la date d’écriture de ce billet, du fichier e50-v1-v1.0.20211208-v1.0.20210914.deb

Pour le routeur ER-X A :

ssh adminERXA@192.168.A.254
adminERXA# curl -OL https://github.com/WireGuard/wireguard-vyatta-ubnt/releases/download/1.0.20211208-1/e50-v1-v1.0.20211208-v1.0.20210914.deb
adminERXA# sudo dpkg -i e50-v1-v1.0.20211208-v1.0.20210914.deb

Il faut ensuite générer les clefs avec la commande suivante :

adminERXA# wg genkey | tee /config/auth/wg.key | wg pubkey >  wg.public

Vous obtiendrez des clefs qui ressembleront à cela :

adminERXA# more /config/auth/wg.key #clé privée ER-X A
ADndfjehry126857hhdfyendjfk0983274nsud+jdhf=
adminERXA# more wg.public #clé publique ER-X A
AHsdkfhehdhkqjhgdiuhzdhkjhsciukjc23374485+z=

Profitez-en pour les sauvegarder dans votre KeyPass ou équivalent.

Procédez de même sur le deuxième routeur ER-X B :

ssh adminERXB@192.168.B.254
adminERXB# curl -OL https://github.com/WireGuard/wireguard-vyatta-ubnt/releases/download/1.0.20211208-1/e50-v1-v1.0.20211208-v1.0.20210914.deb
adminERXB# sudo dpkg -i e50-v1-v1.0.20211208-v1.0.20210914.deb
adminERXB# wg genkey | tee /config/auth/wg.key | wg pubkey >  wg.public
adminERXB# more /config/auth/wg.key #clé privée ER-X B
ERDncbfjhgdlkjoijdelzkj145858kjhdfkhkzh+zdd=
adminERXB# more wg.public #clé publique ER-X B
BJFURHFgshkhzihh148576091+jhzgaduygdjfjhkdz=

Troisième étape : configuration de chaque routeur ER-X

Sur le premier routeur ER-X A, créez une interface wg0 avec comme adresse IPv4 10.C.0.1/30 écoutant sur le port UDP 51820 :

ssh adminERXA@192.168.A.254
configure
set interfaces wireguard wg0 address 10.C.0.1/30
set interfaces wireguard wg0 listen-port 51820
set interfaces wireguard wg0 route-allowed-ips true
set interfaces wireguard wg0 private-key /config/auth/wg.key
commit

Puis il faut autoriser le routeur distant B et ses réseaux (avec la clef publique de ER-X B) :

set interfaces wireguard wg0 peer BJ...dz= endpoint IPv4_FAI_B:51820
set interfaces wireguard wg0 peer BJ...dz= persistent-keepalive 15
set interfaces wireguard wg0 peer BJ...dz= allowed-ips 192.168.B.0/24
set interfaces wireguard wg0 peer BJ...dz= allowed-ips 10.C.0.0/30
commit

Il faut également modifier le pare-feu avec les commandes :

set firewall name WAN_LOCAL rule 15 action accept
set firewall name WAN_LOCAL rule 15 protocol udp
set firewall name WAN_LOCAL rule 15 description 'Wireguard'
set firewall name WAN_LOCAL rule 15 destination port 51820
commit

Vérifiez que tout est configuré comme vous le souhaitez :

run show ip route

Si oui, vous pouvez enregistrer la configuration dans le routeur pour qu’elle soit lue à son prochain démarrage.

save
exit

Même opération sur le deuxième routeur ER-X B (avec l’adresse IPv4 10.C.0.2/30 pour l’autre extrémité du tunnel, et la clef publique du routeur ER-X A) :

ssh adminERXB@192.168.B.254
configure
set interfaces wireguard wg0 address 10.C.0.2/30
set interfaces wireguard wg0 listen-port 51820
set interfaces wireguard wg0 route-allowed-ips true
set interfaces wireguard wg0 private-key /config/auth/wg.key
commit
set interfaces wireguard wg0 peer AH...z= endpoint IPv4_FAI_A:51820
set interfaces wireguard wg0 peer AH...z= persistent-keepalive 15
set interfaces wireguard wg0 peer AH...z= allowed-ips 192.168.A.0/24
set interfaces wireguard wg0 peer AH...z= allowed-ips 10.C.0.0/30
commit
set firewall name WAN_LOCAL rule 15 action accept
set firewall name WAN_LOCAL rule 15 protocol udp
set firewall name WAN_LOCAL rule 15 description 'Wireguard'
set firewall name WAN_LOCAL rule 15 destination port 51820
commit
run show ip route
save
exit

A ce stade, le tunnel VPN devrait fonctionner et vous devriez pouvoir voir les machines situées sur l’autre réseau… Sinon, bon courage.

Mon réseau dans deux ans…

Les images réseaux de ce billet ont été construites avec ce site https://app.diagrams.net/

Créer une porte dérobée chez soi

Pour accéder à mon réseau domestique depuis l’extérieur, j’ai mis en place un serveur VPN privé. C’est pratique, cela me permet d’accéder depuis l’extérieur à mes ressources autohébergées (serveur de flux RSS, serveurs de sauvegarde, partages familiaux, etc.) mais aussi de me protéger quand j’utilise un réseau Wifi, lorsque je me déplace avec mon matériel personnel (téléphone, tablette ou ordinateur portable).

Cela m’a permis de fermer tous les ports d’accès que j’avais ouverts sur ma box, sauf bien sûr le port d’accès au serveur VPN.

Mais ce serveur VPN est devenu pour moi un point de défaillance unique (SPOF). Et là, suite à une intervention malheureuse à distance, lors d’une maintenance admin sur ce serveur, j’ai coupé le tunnel VPN. Et pour le relancer, il me fallait… me connecter au serveur via le tunnel VPN. Bref, j’avais scié la branche sur laquelle j’étais assis. Classique.

Cette situation désagréable aurait pu être rapidement résolue si j’avais pu avoir accès à distance à un ordinateur de la maison. Hélas, Mme Zythom était au tribunal en train de défendre un innocent. J’ai donc attendu qu’elle revienne, pour pouvoir prendre le contrôle de son ordinateur (avec AnyDesk) et intervenir par rebond pour accéder à mon serveur VPN et le relancer. N’oubliez pas que je suis trois jours par semaine en télémaison ; je n’aurais pas pu tenir si longtemps sans l’accès à mes flux RSS…

En bon informaticien, je n’aime pas les SPOF mais j’aime hacker mes réseaux, par curiosité bien sûr. J’ai donc eu l’idée de mettre en place une porte dérobée, façon Elliot dans Mr Robot.

A ce stade de mon récit, et comme j’ai déjà eu à faire à la justice pour ce blog, je tiens à mettre en garde mes lecteurs, et à rassurer mes juges : l’auteur de ce blog continuera à respecter les qualités, notamment de conscience, d’impartialité et de réserve, nécessaires au plein accomplissement de sa mission d’expert, fut-il ancien expert judiciaire. La porte dérobée que je vais vous présenter n’est à installer que sur un réseau sur lequel vous disposez de toutes les autorisations du propriétaire dudit réseau. Si vous vivez encore chez vos parents, demandez leur la permission (en expliquant bien tous les risques). Bref, respectez la loi, et si vous avez un doute, abstenez-vous. Ce billet est écrit avec un esprit pédagogique, et avec en tête qu’il peut peut-être sauver les miches de quelques admins… Cette parenthèse est un peu longue, mais elle me paraissait nécessaire pour expliquer le contexte à mes lecteurs magistrats.

Je souhaite donc mettre en place une porte dérobée me permettant d’accéder à une console à distance sur mon réseau personnel pour rebondir sur mes serveurs à moi.

Cahier des charges sommaire : je veux que cette porte dérobée soit discrète pour le reste du monde, et que je sois le seul à pouvoir y accéder. Je ne veux pas faire de redirection de ports sur ma box. Elle doit me permettre de faire un ssh vers un terminal situé au cœur de mon réseau personnel. Personne d’autre que moi ne doit pouvoir y accéder, sauf à disposer de la puissance d’un ordinateur quantique. Elle doit fonctionner 24/7 et donc consommer peu d’énergie.

Voici la solution que j’ai mise en place : un service ssh caché privé Tor sur un Raspberry Pi sous Debian, c’est-à-dire un v3 Onion Hidden Service Stealth for ssh. Procédons par étapes.

Étape 1 : installer Debian sur un Raspberry Pi (ou une VM)

Je ne détaillerai pas cette étape, voici une liste de liens. Attention, Debian pour Raspberry Pi qui s’appelait Raspbian, s’appelle maintenant Raspberry Pi OS.
https://wiki.debian.org/RaspberryPi
https://www.raspberrypi-france.fr/guide/installer-raspbian-raspberry-pi/

Étape 2 : se connecter en ssh sur le serveur mis en place à l’étape 1

Idem : voir par exemple ce tuto https://raspberry-pi.fr/activer-ssh/
L’idée est d’arriver à se connecter au serveur depuis une machine cliente sous GNU/Linux avec la commande suivante :

zythom@Client:~$ ssh pi@ip-serveur

pi@Serveur:~$ 

Étape 3 : se connecter en ssh sans mot de passe
Source : Comment configurer une authentification par clé SSH sur un serveur Linux

L’objectif est de limiter les possibilités de connexion aux seuls comptes clients qui disposent de la clé privée. Si vous disposez déjà d’une paire de clés privée/publique, il vous suffit de placer la clé privée id_rsa dans le répertoire .ssh de votre compte (sans écraser celle qui s’y trouve !) et installer la clé publique sur le serveur avec la commande indiquée à la fin de l’étape 3. Sinon, vous pouvez générer la paire de clés avec la commande suivante :

zythom@Client:~$ ssh-keygen

L’ajout d’une phrase de passe est facultatif. Si vous en entrez une, vous devrez la saisir à chaque fois que vous utiliserez cette clé (à moins que vous utilisiez un logiciel d’agent SSH qui stocke la clé en clair). Je vous recommande d’utiliser une phrase de passe, mais si vous ne le souhaitez pas, il vous suffit d’appuyer sur ENTER pour contourner cette invite.

Your identification has been saved in /home/zythom/.ssh/id_rsa.
Your public key has been saved in /home/zythom/.ssh/id_rsa.pub.

Vous disposez désormais d’une clé publique et privée (sur votre machine cliente) que vous allez pouvoir utiliser pour vous authentifier. Je vous recommande de conserver précieusement une copie de ces deux fichiers dans votre Keepass.

L’action suivante consiste à placer la clé publique sur votre serveur afin que vous puissiez utiliser l’authentification par clé pour vous connecter :

zythom@Client:~$ cat ~/.ssh/id_rsa.pub | \
 ssh pi@ip-serveur "mkdir -p ~/.ssh && cat >> \
 ~/.ssh/authorized_keys"

Vous devriez pouvoir ensuite vous connecter au serveur en ssh, comme à l’étape 2, sans avoir à entrer de mot de passe lié au compte, mais une phrase de passe liée aux clés.

Étape 4 : Installer Tor sur le serveur et configurer un Hidden Service pour ssh

Sur le serveur, exécutez la commande suivante pour rejoindre le réseau Tor :

pi@Serveur:~$ sudo apt install tor

Toujours sur le serveur, modifiez /etc/tor/torrc en ajoutant les lignes suivantes (j’ai choisi le port 6001 pour éviter le port 22, plus par superstition que pour une raison valable) :

HiddenServiceDir /var/lib/tor/ssh/
HiddenServicePort 6001 127.0.0.1:22

Redémarrez Tor :

pi@Serveur:~$ sudo service tor restart

Vérifiez la création du répertoire /var/lib/tor/ssh
et récupérez le contenu du fichier /var/lib/tor/ssh/hostname

pi@Serveur:~$ sudo cat /var/lib/tor/ssh/hostname
3bjgocu36yuyggl...utbofs7us27gd6gvopwuvlywaodabzsad.onion

pi@Serveur:~$ 

La longue ligne se terminant par .onion est le petit nom de votre serveur sur Tor : je l’appellerai “nom-tor-etape4.onion” dans la suite du billet. Il est d’ores et déjà joignable depuis toute la planète depuis le réseau Tor (voir étape suivante), sans avoir à intervenir sur sa box pour rediriger des ports…

Étape 5 : utiliser Tor pour se connecter en ssh sur votre serveur

Vous avez deux manières de faire :

Soit en utilisant torsocks

zythom@Client:~$ sudo apt install torsocks

zythom@Client:~$ torsocks ssh -p 6001 pi@nom-tor-etape4.onion

pi@Serveur:~$ 

Soit en utilisant ncat et les options de ssh (source https://debian-facile.org/doc:reseau:tor)

zythom@Client:~$ sudo apt install ncat

zythom@Client:~$ ssh -o VerifyHostKeyDNS=no -o CheckHostIP=no -o IdentitiesOnly=yes -o ProxyCommand="ncat --proxy 127.0.0.1:9050 --proxy-type socks5 %h %p" -p 6001 pi@nom-tor-etape4.onion

pi@Serveur:~$ 

Étape 6 : transformer votre Hidden Service en Hidden Service Stealth

C’est l’étape la plus intéressante. Elle permet d’interdire à toute machine non autorisée d’essayer de se connecter au service ssh de votre serveur caché. Pour cela, vous allez avoir besoin de générer des clés que vous associerez à vos deux machines.

S1) Sur la machine cliente, générez une paire de clés en utilisant l’algorithme x25519 :

zythom@Client:~$ openssl genpkey -algorithm x25519 \
 -out toto.prv.pem

S2) Transformez les clés en format base32 :

zythom@Client:~$ sudo apt install basez

zythom@Client:~$ cat toto.prv.pem | \
 grep -v " PRIVATE KEY" | \
 base64pem -d | \
 tail --bytes=32 | \
 base32 | \
 sed 's/=//g' > toto.prv.key

zythom@Client:~$ openssl pkey -in toto.prv.pem -pubout | \
 grep -v " PUBLIC KEY" | \
 base64pem -d | \
 tail --bytes=32 | \
 base32 | \
 sed 's/=//g' > toto.pub.key

S3) affichez la clé publique :

zythom@Client:~$ cat toto.pub.key WWRQ37XF6U6FNWH...VHFK7CH4OX4THEUHC5N75IHA

S4) affichez la clé privée :

zythom@Client:~$ cat toto.prv.key GACZ2JCBS4CBKTPYX...4A6PMQANRDK66NBKGYTFAA

S5) Côté serveur :
Créez un fichier zythom.auth dans le répertoire /var/lib/tor/ssh/authorized_clients
contenant la clé publique du S3) formaté comme suit : descriptor:x25519:clé-du-S3

pi@Serveur:~$ sudo su
pi@Serveur:# echo "descriptor:x25519:WWRQ37XF6U6FNWH...VHFK7CH4OX4THEUHC5N75IHA" > /var/lib/tor/ssh/authorized_clients/zythom.auth

pi@Serveur:# cd /var/lib/tor/ssh/authorized_clients
pi@Serveur:# chown debian-tor.debian-tor zythom.auth
pi@Serveur:# chmod 600 zythom.auth
pi@Serveur:# service tor restart

S6) Côté client :
Modifiez le fichier /etc/tor/torrc pour y ajouter la ligne suivante :

ClientOnionAuthDir /var/lib/tor/onion_auth

Puis créez le répertoire /var/lib/tor/onion_auth

zythom@Client:~$ sudo su
zythom@Client:# cd /var/lib/tor
zythom@Client:# mkdir onion_auth
zythom@Client:# chown debian-tor.debian-tor onion_auth
zythom@Client:# chmod 700 onion_auth

Créez dans ce répertoire onion_auth un fichier zythom.auth_private contenant 
adresse-en-onion-sans-le-onion:descriptor:x25519:la-clef-privée-affichée-en-S4

zythom@Client:# cd onion_auth/
zythom@Client:# echo "nom-tor-etape4:descriptor:x25519:GACZ2JCBS4CBKTPYX...4A6PMQANRDK66NBKGYTFAA" > zythom.auth_private

zythom@Client:# chown debian-tor.debian-tor zythom.auth_private
zythom@Client:# chmod 600 zythom.auth_private
zythom@Client:# service tor restart

Étape 7 : utiliser Tor pour se connecter en ssh sur votre serveur

Ce sont les mêmes commandes qu’à l’étape 5, mais qui ne peuvent être exécutées que depuis votre machine cliente :

zythom@Client:~$ torsocks ssh -p 6001 pi@nom-tor-etape4.onion 

Ou :

zythom@Client:~$ ssh -o VerifyHostKeyDNS=no -o CheckHostIP=no -o IdentitiesOnly=yes -o ProxyCommand="ncat --proxy 127.0.0.1:9050  --proxy-type socks5 %h %p" -p 6001 pi@nom-tor-etape4.onion

Et voilà. Vous pouvez bien sûr créer des alias pour ces commandes afin de vous faciliter la vie. Amusez-vous bien.

Retex sur une alerte cyber ratée

Dans mon univers professionnel, Retex signifie “Retour d’expérience” (on dit aussi Rex). Je vais donc vous faire le retour d’expérience d’une alerte cyber ratée. Ce blog me permet en effet de partager mes expériences, et en particulier mes peines.

A 12h22 ce jour là, je reçois une alerte curieuse en provenance de ma supervision “Microsoft Defender for Cloud Apps” : une adresse IP suspecte détourne du trafic de mes utilisateurs.

Aussitôt, je procède à quelques vérifications : cette adresse IP est repérée par Microsoft comme utilisée par un “Serveur C&C pour la propagation de programmes malveillants”.

Pour le lecteur profane en la matière, il faut comprendre qu’aujourd’hui les pirates attaquent souvent leurs cibles avec l’aide de botnets, c’est-à-dire avec l’aide de réseaux de machines qu’ils contrôlent à l’insu de leurs propriétaires. Et pour contrôler ces ensembles de machines, ils utilisent des serveurs de commande et de contrôle (les serveurs C&C ou C2). Ces botnets sont utilisés pour des actions malveillantes, comme par exemple des exfiltrations de données, des envois de spam ou de malwares, ou des attaque DDOS…

Je poursuis mes investigations : avec l’interface de Microsoft Defender for Cloud Apps, je filtre les journaux d’activité de mes utilisateurs reliés à ce serveur piraté. Le constat est grave : plusieurs dizaines de comptes de mes utilisateurs sont utilisés avec des authentifications valides, et cela depuis plusieurs applications Microsoft (Teams, Outlook, Sharepoint…)

Le pirate contrôle et utilise plusieurs dizaines de comptes de mon entreprise !

Je remonte un peu dans le temps, et je constate que le pirate a pénétré l’entreprise depuis au moins un mois ! Mon sang se glace.

Être RSSI (Responsable de la Sécurité du Système d’Information), c’est être en permanence sur le qui-vive. Tous les RSSI le savent, leur entreprise n’est pas à l’abri d’une attaque cyber de grande ampleur. Non seulement ils s’y préparent, mais ils savent que cette attaque majeure, celle qui mettra tout le système d’information par terre, ARRIVERA.

Nul ne sait quand, ni comment, ni l’aspect qu’elle prendra. Mais tout s’arrêtera.

Le RSSI est donc comme Giovanni Drogo, personnage central du “Désert des Tartares”, roman de Dino Buzzati : il se prépare toute sa vie à la grande attaque finale…

Me voici donc en train d’observer de l’intérieur cette prise de contrôle des comptes de mes utilisateurs.

Après quelques minutes de sidération, je prends la décision de faire cesser l’attaque : je demande à l’équipe en charge des parefeux d’isoler les flux en provenance et vers ce serveur C&C, à l’équipe d’admin de modifier tous les mots de passe des utilisateurs concernés, à l’équipe support de s’attendre à un grand nombre d’appel d’utilisateurs en détresse et j’active la pré-alerte pour les participants à la cellule de crise cyber.

Tous mes messages sont conditionnels par précaution, mais je ne cache à personne la gravité potentielle de la situation.

Je révise mes fiches de procédure dans mon classeur de gestion de crise fraîchement créé, je retrouve les numéros de téléphone des personnes à appeler pour les différentes phases de la crise.

L’un des ordinateurs compromis est rapidement récupéré par le support grâce à la rapidité d’un des utilisateurs. Je m’apprête à en faire une image disque pour analyse ultérieure.

Il est 12h30, j’ai déclenché tout ce que j’avais à déclencher.

Non : je contacte l’hébergeur gérant l’adresse IP compromise, via son formulaire “abuse” pour qu’il agisse afin d’isoler ce serveur C&C.

12h45, les ingénieurs réseaux commencent à me remonter de l’information. Nous faisons un point en conférence téléphonique pour évoquer toutes les causes possibles. Le SIEM on prem n’a pas réagi, mais le serveur de logs montre bien la présence de l’adresse IP du serveur C&C.

Et elle est présente en nombre.

Je me prépare à un week-end difficile.

13h, les ingénieurs réseaux m’informent que parmi les ordinateurs concernés, le mien en fait partie. Ils me donnent la date et la plage horaire exacte pendant laquelle tout le flux de mon poste est passé par le serveur C&C. J’arrête mon ordinateur.

Depuis mon ordinateur de secours (un vieil Apple perso que je garde vivant et à jour via ma 4G perso et sans mes comptes professionnels), je vérifie ce que j’ai fait au moment indiqué par les équipes réseaux.

J’étais en train de travailler dans le train.

Avec cette information cruciale, et après quelques vérifications techniques, voici donc le message que j’ai envoyé à toutes les personnes impactées par cette alerte :

[...explications sur le contexte de l'attaque...]
Suite aux investigations techniques plus approfondies, menées avec diligence par l’équipe  Réseaux, il s’avère que Microsoft s’est trompé en indiquant que l’adresse IP XXX est malveillante.

Il s’agit en fait d’une adresse IP utilisée par le service Wifi de la SNCF.

L’alerte était donc un faux positif : je peux donc vous annoncer que votre compte n’a pas été compromis, ni piraté.

La rapidité est un élément clé dans une attaque informatique, et j’assume seul la responsabilité de cette décision. Néanmoins, j’ai conscience du dérangement important occasionné et je vous présente mes excuses les plus sincères.
[Zythom]

Fin du Retex, vous pouvez relire le billet avec la solution en tête et vous moquer autant que vous voulez, mais le soir, toute honte bue, j’ai ouvert une bouteille de champagne.

PS:
– Toujours utiliser le conditionnel quand on explique aux utilisateurs que leur compte a été compromis.
– Ne pas faire confiance aveuglément aux classifications des outils d’alerte.
– Garder à l’esprit que nos raisonnements restent faillibles, surtout sous la pression.
– Lorsque les utilisateurs ont pu lire mon message après avoir récupéré le contrôle de leur compte suite au changement de mot de passe, la plupart m’ont remercié et encouragé.
– Je pense que si quelqu’un lit les remontées des formulaires “abuse”, et s’il fait les vérifications, il doit parfois bien rire…

Manuel de survie numérique à destination d’un cabinet d’avocate – partie 1

Je suis fréquemment interrogé par des avocates pour mener un audit de la sécurité informatique de leur cabinet. Cela vient bien sûr de mon parcours d’expert judiciaire en informatique, de mon travail comme informaticien responsable de la sécurité du système d’information d’une grande école de commerce, mais aussi du fait que la femme de ma vie exerce avec brio la difficile profession d’avocate. Ses consœurs me contactent donc de temps en temps pour que je les conseille sur leurs usages numériques.

Je me suis dit que cela pourrait intéresser un cercle plus large d’avocates, en particulier les jeunes qui sortent fraîchement diplômées et souhaitent poser rapidement leur plaque.

Comme je suis prudent, je vais commencer par un avertissement : suivre mes conseils se fait intégralement à vos risques et périls. Je ne pourrais pas être tenu responsable des dommages pouvant résulter des recommandations que je donne sur ce blog, ni des conséquences de l’usage de l’informatique que je préconise, dans le passé, le présent ou le futur. Il est fait attribution exclusive de juridiction aux tribunaux compétents de Tandaloor.

Ma première recommandation : faites appel à un informaticien connu et reconnu, de la même manière que vous recommanderiez à un justiciable de se faire accompagner par une avocate pour tout problème juridique. Vous pouvez donc stopper ici la lecture de ce billet, ou continuer, mais seulement si vous êtes curieuse.

Point grammaire : j’utilise à dessein le terme d’avocate plutôt que celui d’avocat depuis le début de ce billet, non seulement parce que l’une d’entre elles est la femme qui illumine ma vie de ses plaidoiries enflammées, mais aussi parce que les femmes sont majoritaires dans cette profession depuis 2009 (source) et que j’ai envie d’inventer une nouvelle règle de grammaire : celle du genre majoritaire. J’espère que vous me passerez cette coquetterie, qui n’a pour seul objectif que d’agacer les trolls qui ne manqueront pas de venir pleurer en commentaire pour défendre la règle dite du “masculin l’emporte sur le féminin”.

Seconde recommandation : chiffrez le disque dur de votre ordinateur.

J’ai commencé par cette question simple, lors de mon intervention à la table ronde des Confluences pénales de l’Ouest 2019 dont le thème était “Justice et secret(s)”: qui dans la salle chiffre le disque dur de son ordinateur ? Seules quelques mains se sont alors levées parmi les centaines d’avocates présentes, et j’ai même entendu quelques unes poser la question “mais ça veut dire quoi chiffrer ?”.

Point définition : Le chiffrement (ou cryptage) est un procédé de cryptographie grâce auquel on souhaite rendre la compréhension d’un document impossible à toute personne qui n’a pas la clé de (dé)chiffrement. Les québecoises définissent ainsi le chiffrement : Opération par laquelle est transformé, à l’aide d’un algorithme de chiffrement, un texte en clair en un texte inintelligible, inexploitable pour quiconque ne possède pas la clé cryptographique permettant de le ramener à sa forme initiale.
Je vous laisse fureter sur les liens pour parfaire votre connaissance du terme et de ses dérivés.

Point terminologie : J’ai pu vérifier que les oreilles des juristes saignent quand elles entendent que la loi stipule, mais les informaticiens tuent un chaton à chaque utilisation du mot cryptage. De même que “le contrat stipule et la loi dispose”, on chiffre les messages et on crypte les chaînes de télévision. Et pour moi, crypter, c’est mettre en crypte.

Chiffrer le disque dur de son ordinateur, c’est donc le rendre inexploitable pour quelqu’un qui ne dispose pas du “sésame ouvre toi”.
Par exemple, en cas de perte ou de vol.

A ce stade de la lecture, avec mon expérience d’enseignant-chercheur basée sur 100% des étudiants de mon cours d’initiation à la sécurité informatique, vous devez être en train de penser : “bah, ça ne me concerne pas, ça ne m’arrivera pas, pas à moi… Si je me fais assez petite, dans toute ma vie professionnelle, jamais je ne perdrai mon ordinateur ou ne me ferai cambrioler.

J’ai la même statistique pour mon conseil sur les sauvegardes, qui fera l’objet d’un autre billet.

En tant qu’avocate, vous êtes une cible privilégiée. D’une part tout le monde pense que vous êtes riche (alors qu’en fait ce sont les notaires), et d’autre part votre assurance Responsabilité Civile Professionnelle (Complémentaire) ne couvre pas la perte d’image professionnelle quand toutes les données de vos clients seront dans la nature…

Donc chiffrez le disque dur de votre ordinateur.

Comment chiffrer le disque dur de son ordinateur ?

Si vous êtes sous Windows, je vous recommande d’activer BitLocker (par exemple en suivant cet article). Attention, si votre ordinateur est ancien ou dans une vieille version de Windows, il faudra passer au tiroir caisse et acheter un ordinateur plus récent ou installer une version plus récente de Windows. Faites vous aider par un informaticien et sauvegardez vos données auparavant (fichiers, mots de passe, etc.).

Si vous êtes sous macOS d’Apple, activez FileVault (par exemple en suivant l’aide du support Apple). Attention, si votre ordinateur est ancien ou dans une vieille version de macOS, il faudra passer au tiroir caisse et acheter un ordinateur plus récent ou installer une version plus récente de macOS. Faites vous aider par un informaticien et sauvegardez vos données auparavant (fichiers, mots de passe, etc.).

Si vous êtes sous GNU/Linux, félicitation. Vous trouverez beaucoup de tutos sur les différents outils de chiffrement disponibles pour votre distribution, ainsi que l’aide directe de nombreux bénévoles. Pour ma part, mon conseil est simple : sauvegardez toutes vos données et réinstallez votre distribution en cochant l’option “tout chiffrer” ad-hoc lors de l’installation. Quoiqu’il en soit, vous n’aurez a priori pas besoin de l’aide d’un informaticien, ni de passer par le tiroir caisse. Par contre, vous allez galérer avec le support du Cloud des Avocats du CNB qui ne prend pas en compte d’autres OS que Windows ou MacOS… Je vous invite à rejoindre (si pas déjà fait) le groupe “Avocats sous Linux” sur Facebook ou sur Google Groups.

Si vous utilisez un autre système d’exploitation (par exemple NetBSD, FreeBSD, OpenBSD…), vous savez sans doute déjà comment faire, moi pas.

Ce billet commence à être très long, vous avez certainement beaucoup de pain sur la planche, et moi aussi car ma douce et tendre est encore en garde à vue à cette heure avancée de la nuit et qu’il me faut mettre en page ses conclusions.

A bientôt pour la suite de ce billet qui devrait être consacrée aux sauvegardes. SGDZ.

Source pinterest

Les mots de passe et la mort

J’ai publié sur mon compte Twitter un petit sondage dont les résultats m’ont étonné, et sur lequel je voudrais revenir ici sur ce blog, à tête reposée.

La question (mal) posée était la suivante : “Avez-vous fait un testament pour vos comptes informatiques ?”. Voici les résultats des réponses de 192 votants (la légende de l’image est destinée aux logiciels d’aide aux malvoyants)

Sondage réalisé par le compte Twitter Zythom le 8 juin 2021 :
Question : "Avez-vous fait un testament pour vos comptes informatiques ?"
Réponses :
- Mots de passe dans la tombe avec moi = 63%
- Mots de passe données à l'être aimé = 26%
- Oui, loi 78-17 article 85 = 9%
- Mot de passe oublié (au singulier) = 2%
– Mots de passe dans la tombe avec moi = 63%
– Mots de passe données à l’être aimé = 26%
– Oui, loi 78-17 article 85 = 9%
– Mot de passe oublié (au singulier) = 2%

Je m’attendais à plus d’équilibre entre les deux premières réponses, et à moins de votes sur la 3e réponse… Du coup, je me suis dit que ça pourrait faire l’objet d’un billet de blog pour présenter ma pratique en la matière.

La question est mal posée parce qu’on ne peut choisir qu’une seule des réponses possibles (c’est une limitation de l’option de sondage sur Twitter), et que le nombre de caractères est limité. Je préfère donc répondre dans ce billet à une question plus générale : comment avez-vous organisé la transmission de vos mots de passe pour après votre mort ?

Toutes les personnes ayant eu à gérer administrativement la disparition d’un proche savent que “c’est compliqué”. En France, les différents organismes à contacter sont légions, peu communiquent entre eux, et l’univers du “Château” de Kafka n’est jamais très loin. Constatant que la transition de la société vers un monde de plus en plus numérique génère la création d’un nombre toujours plus important de comptes informatiques, il convient à mon avis de préparer de son vivant la transmission (ou non) de cet héritage numérique.

Et la plupart du temps, cet héritage numérique est protégé par des mots de passe.

Les cercles de la vie privée

Je vous propose d’examiner par cercles successifs, mes interactions avec les autres (comme dans feu le réseau social Google+).

Le premier cercle, est celui dans lequel je suis seul. C’est celui de ma vie intime que je ne veux partager avec personne, pas même avec l’être aimé ou l’être suprême. Dans mon cas personnel, j’y consacre une partie spéciale du disque dur de mon ordinateur, dont la clef de chiffrement (ie le mot de passe) n’est connue que de moi seul. J’y place des données très personnelles, ne concernant que moi, et qui disparaîtront à ma mort. C’est mon jardin secret. Techniquement, j’ai fait le choix d’un container VeraCrypt mais chacun fait ce qu’il veut. Il est sauvegardé démonté, sur un système de sauvegarde lui-même chiffré.

Le mot de passe de ce premier cercle n’est écrit nul part, et ne ressemble à aucun autre mot de passe. Le seul moyen de le connaître est de l’intercepter lors de sa frappe sur le clavier (ce qui est possible, notez le bien), de le décrypter avec des moyens qui n’existent pas encore (mais qui existeront, notez le bien), de me torturer (je suis très douillet) ou de venir le lire directement dans mon cerveau (technique non encore parfaitement au point, surtout sur mon cerveau, où règne quand même un sacré bazar).

Le deuxième cercle est celui où s’ajoute Mme Zythom. Je partage avec elle des données personnelles que je ne souhaite pas partager avec d’autres personnes, ni même avec mes enfants. Dans mon cas, il s’agit de lettres non numérisées qui ne regardent que nous deux : pas de protection par mot de passe, pas de diffusion sauvage dans la nature au gré d’un virus informatique. Une simple boite qui ne devrait pas attirer le regard d’un cambrioleur. A ma mort, Mme Zythom en fera ce qu’elle voudra bien en faire. Et si avant que la mort ne nous sépare, nous signons une séparation de corps ou un divorce, alors peut-être que le romantisme maladroit de mes jeunes années apparaîtra au grand jour… Rien qu’un peu de pommade à égo ne saura réparer.

Le troisième cercle est le cercle familial proche : Mme Zythom et mes trois enfants. Je dispose depuis très longtemps d’un serveur de stockage familial (un NAS) sur lequel nos données individuelles et communes sont stockées. Chacun dispose d’un compte avec mot de passe, et y gère ses données. Et pour ma part, j’y ai placé le coffre-fort numérique contenant tous les mots de passe de mes différents comptes informatiques (hors cercle un et deux). Techniquement, j’ai fait le choix d’utiliser le logiciel KeePass (version portable), protégé par un mot de passe ET un fichier secret. L’ensemble est stocké sur le répertoire personnel de ce NAS auquel j’accède depuis tous mes ordinateurs, y compris sous GNU/Linux (avec Mono).

Cela fera peut-être sursauter les vrais experts en sécurité informatique, mais j’ai relié mon KeePass à mes navigateurs Firefox avec l’extension “Kee” pour éviter d’utiliser le service de synchronisation proposé par Firefox, et pour que les mots de passe soient renseignés automatiquement dans Firefox sans que celui-ci ne les mémorise (ils restent tous et uniquement dans KeePass). C’est rapide, pratique, et je ne connais quasiment aucun des mots de passe stockés dans mon KeePass car j’utilise beaucoup sa fonctionnalité de générateur automatique de mot de passe (112 mots de passe différents à ce jour).

Toutes les fois où c’est proposé, j’active la double authentification avec l’application FreeOTP sur mon smartphone (30 comptes à ce jour). Les comptes les plus sensibles sont protégés avec une clef physique YubiKey (compatible NFC).

Pour ce troisième cercle, j’ai donc confié à l’être aimé l’endroit où se trouve l’enveloppe cachetée dans laquelle se trouvent le mot de passe de mon compte NAS (pour accéder au dossier KeePass), celui pour déverrouiller mon KeePass, celui de l’accès à mon téléphone et où se trouve ma YubiKey. Le tout assorti du conseil de vite trouver un vrai informaticien pour exploiter tout cela (et continuer à faire fonctionner ce qui devra continuer à fonctionner après ma dernière révérence).

Après ma mort, si vous ne voyez rien venir sur ce blog ou sur les différents réseaux sociaux sur lesquels je sévis, alors c’est que ma procédure est nulle : il faudra alors contacter chaque organisme pour, au choix, débloquer la situation administrative, payer le serveur d’hébergement, faire fonctionner les sauvegardes, pouvoir les exploiter au cas où, convertir les éthers en euros…

Et vous, que pensez-vous de tout cela ? Qu’avez-vous prévu ? Que me conseillez-vous ?

L'image représente un canapé ensanglanté avec un cadre décroché dont le coin a percuté la tête d'une personne (absente de l'image, mais la forme de la tâche de sang la représente en pochoir). La légende indique "De toute façon, je comptais changer de déco".
Extrait de http://salemoment.tumblr.com/
avec l’aimable autorisation de l’auteur Olivier Ka

QR codes et pass sanitaire

J’ai été contacté par Jérôme Hourdeaux, journaliste de Médiapart, qui préparait un article sur le passage au Sénat du projet de loi de gestion de la sortie de crise sanitaire. Je me suis prêté au jeu des questions réponses, et il a accepté que je publie ici notre échange.

- Tout d’abord, est-ce que vous pourriez résumer comment fonctionne un QR Code ? Celui utilisé dans le cadre du pass sanitaire a-t-il des particularités ?
Le QR code est un type de code-barres bidimensionnel qui représente l'information à l'aide d'une grille de pixels, là où le code-barres classique utilise des barres et des espaces d'épaisseur variable.
Un QR code peut stocker plus de 4 000 caractères alphanumériques, bien plus que la capacité du code-barres classique (de 10 à 13 caractères). 
Le QR code peut donc facilement être utilisé pour stocker l'adresse d'un site internet, des informations de connexion à une borne Wifi, des informations permettant de faire un paiement direct avec son téléphone mobile, du texte libre, etc.

L'utilisation principale du QR code aujourd'hui est de permettre de transférer des informations vers un smartphone sans que l'utilisateur n'ait besoin de taper les informations lui-même (URL d'une vidéo, URL d'un site web présentant le menu d'un restaurant, etc.). Parfois même le smartphone enchaîne plusieurs opérations automatiquement : l'appareil photo détecte la présence d'un QR code, reconnait qu'il s'agit d'un site internet, ouvre le navigateur et se dirige sur le site internet. On imagine aisément ce qu'il peut se passer si le site est infecté.

Dans le cas du pass sanitaire français, le souhait du gouvernement est d'encourager les utilisateurs à centraliser les différentes informations du pass sanitaire au sein d'une application unique (controversée) TousAntiCovid.

3 transferts possibles vers le smartphone :
- le certificat de test virologique négatif (test RT-PCR et test antigénique)
- le certificat de rétablissement de la Covid-19
- l'attestation certifiée de vaccination

L'application TousAntiCovid devrait générer un QR code contenant ces informations, QR code à présenter pour entrer dans les lieux publics recevant un grand nombre de personnes.


- Quels sont les risques d’afficher son QR code comme vous l’évoquez sur Twitter ? Que peut-on y lire concrètement ? Et pourquoi flouter ne suffit pas ?

Le principal défaut d'un QR code est que les humains ne les lisent pas facilement : il faut un appareil ou une application pour les déchiffrer. Le risque quand on publie un QR code est donc de ne pas savoir ce que l'on publie (sauf si l'on a vérifié avant). L'utilisateur imprudent a l'impression de publier une image, alors qu'il publie de l'information potentiellement confidentielle.
Certains QR codes contiennent des informations telles que des codes d'annulation de billets d'avion, des codes individuels d'accès à un concert ou à une zone réservée.
Dans le cas du pass sanitaire, il s'agit d'informations relatives à sa santé.


- Peut-on forger un QR Code, par exemple pour s’attribuer un faux test négatif ou une preuve d'immunité ?

Il est très facile de générer un QR code, de nombreuses applications le permettent. Si les personnes publient des QR codes sur les réseaux, il devient facile de les récupérer pour fabriquer un faux et falsifier un document officiel. 


- A l’inverse, y-a-t-il un risque de voir apparaître dans l’espace public des faux QR Codes diffusant par exemple des virus, ou volant les données des téléphones ?

De la même manière qu'il ne faut pas mettre une clef USB inconnue dans son ordinateur, il ne faut pas flasher les QR codes à tout va. Il s'agit de faire une estimation de la confiance que vous avez et du risque que vous prenez. Malheureusement, beaucoup de gens font trop confiance et n'ont pas conscience des risques. Cela fait le lit des pirates. Imaginez l'impact d'un QR code malicieux placé près d'une zone souvent prise en photo.


- Concernant le pass sanitaire, recommanderiez-vous t’utiliser l’appli, ou une version papier ? D’une manière générale, avez vous des conseils de sécurité à formuler pour cette sortie d’état d’urgence sanitaire et les dispositifs de contrôle qui l’accompagne ?

L'application TousAntiCovid est mal conçue : elle n'est pas compatible au niveau européen, donc les touristes en sont exclus, elle est basée sur une technologie dont les informaticiens ont immédiatement indiqué qu'elle serait inefficace, elle coûte très cher au contribuable pour un résultat minime, elle collecte des données personnelles sensibles (les personnes que l'on rencontre), elle ne prend pas en compte les personnes n'ayant pas de smartphone... Bref, je ne recommande pas l'utilisation de cette application (mais chacun fait ce qu'il veut).

On peut scanner ses papiers et certificats en les prenant en photo, c'est plus pratique. Idem pour les anciennes attestations de déplacement : un simple lien suffisait pour les remplir et les conserver au format pdf sur son téléphone.

Les seuls conseils de sécurité informatique que je me sens capable de donner sont les suivants : soyez curieux du fonctionnement des technologies, essayez de les comprendre vous-même, démontez les appareils, méfiez-vous des raisonnements simplistes ou alarmistes, ne donnez pas votre confiance éternellement (à un dispositif, à une personne politique...), soyez critique et autocritique, méfiez vous des systèmes trop automatiques, et surtout ne soyez pas trop naïf.

Concernant les QR codes, utilisez de préférence une application qui se contente de les déchiffrer et de vous afficher leur contenu. Vous pourrez faire un copier/coller ensuite dans l'application appropriée, en toute connaissance de cause.

Une partie de cet échange a été utilisé par Jérôme Hourdeaux pour son article publié dans Médiapart et intitulé “Le Sénat tente d’encadrer le passe sanitaire” (réservé aux abonnés).

Je le remercie pour son autorisation de publication de nos échanges sur ce blog.

Souvenir du premier trailer du jeu vidéo Grand Theft Auto IV

Le PC d’occasion – 4e partie

Le billet précédent se terminait ainsi : Il me reste à vous narrer les échanges avec le vendeur de Backmarket, et le service après-vente d’icelui.

Ayant constaté avec le support Microsoft que la licence Windows 10 fournie avec le PC d’occasion était déclarée chez eux comme “piratée”, j’ai contacté aussitôt le vendeur de Backmarket. Voici nos échanges :

Jour J
Bonjour, après appel auprès du support Microsoft, il s'avère que la
clef d'activation de Windows 10 est une clef enregistrée comme piratée
chez eux (depuis un an). Merci de m'adresser une clé Windows 10 correcte
et valide.
Bien à vous
Zythom

Jour J+2
bonjour' OK je vous envoie merci

Jour J+8
Bonjour, Je n'ai encore rien reçu. Pouvez-vous me dire par quel canal
vous comptez me l'adresser ?
Bien à vous
Zythom

Jour J+15
bonjour' vous achète une clé sur internet il coute 10 euros je vous
rembourse merci bien

Jour J+15
Bonjour, il n'est pas question d'acheter une clé et d'attendre un
éventuel remboursement de votre part. Merci de m'adresser une clé valide
le plus rapidement possible, par ce canal de communication.
Bien à vous.
Zythom

A partir de ce moment-là, il n’a plus été possible d’obtenir une quelconque réponse de ce vendeur, ni directement, ni par l’intermédiaire de Backmarket (qui sert de plateforme de vente) qui l’a relancé plusieurs fois. Silence radio total. La suite de la conversation se fera exclusivement avec le SAV de Backmarket :

Jour J+15
Bonjour [Zythom],
J'espère que vous allez bien.
Je vous remercie pour votre e-mail, que j'ai lu avec attention.
Je suis vraiment désolée de cette situation singulière qui je peux
le comprendre peut être agaçante.
Ayant à cœur votre satisfaction, je vous informe que je viens
d'adresser une demande à [vendeur taiseux] concernant votre clé
d'activation Windows.
Il dispose de 24 heures ouvrées pour apporter une réponse à ma demande.
Je vous confirme que le marchand va vous apporter une solution adéquate
et conforme à notre charte qualité.
N’hésitez pas à échanger directement avec votre marchand tout au long
de la procédure.
Rassurez-vous, je reste à votre écoute pour appuyer vos demandes si le
besoin s'en fait sentir.
Dans l'attente, je vous souhaite de passer une excellente fin de
journée.
Bien à vous,
[prénom d'une personne du SAV]

Jour J+21
Bonjour,
Comme indiqué précédemment, je ne compte pas payer une licence et
attendre un hypothétique remboursement d'un vendeur m'ayant vendu un
ordinateur avec une licence indiquée comme piratée par Microsoft.
Par conséquent, je vous informe que sans licence Microsoft valide
reçue par ce canal de communication d'ici un mois à compter de la date
d'aujourd'hui, je déposerai une plainte auprès du Procureur de la
République contre Backmarket et ce vendeur.
Bien à vous,
Zythom

Je dois dire que cette réponse, que j’ai fait lire à mon épouse après envoi, l’a faite sourire : “tu comptes poursuivre cette société et ce vendeur au Pénal ?”

Bon, j’ouvre ici une parenthèse pour les lecteurs, afin de vous faire profiter du savoir de la meilleure juriste du monde. En cas de litige avec un commerçant en ligne, il faut :
– essayer de trouver un accord avec le vendeur par email.
– si pas d’accord, envoyer une lettre en recommandée avec avis de réception détaillant les éléments du problème et toutes les références possibles.
– si pas d’évolution, il faut contacter une association de consommateur pour essayer de trouver un accord amiable, ou la Fédération des Entreprises de Vente A Distance si le site y est adhérent, ou saisir le service de médiation de la consommation, ou signaler le problème à la DGCCRF via la plateforme SignalConso, ou directement un avocat qui vous expliquera comment entamer une procédure devant les tribunaux.
– ensuite, c’est parti pour une longue lune de miel avec votre avocat·e qui vous aidera à saisir la justice civile, c’est-à-dire le juge des contentieux de la protection (ex juge du tribunal d’instance) ou le tribunal judiciaire (fusion du tribunal d’instance et du tribunal de grande instance) selon le montant du litige.
Fin de la parenthèse en partie issue du site economie.gouv.fr pour la raison exposée dans le paragraphe suivant.

En effet, étant marié avec une avocate, j’ai la chance d’avoir une professionnelle du droit à mes côtés. Je ne sais d’ailleurs pas qui de l’épouse ou de la professionnelle m’a répondu : “Tu te débrouilles avec ton litige à 130 euros”.

La voix de la sagesse.

Mais malgré mon absence totale de compétences juridiques sérieuses, en dehors de ma capacité en Droit en Recherches sur Internet, j’ai reçu la réponse suivante du SAV de Backmarket :

Jour J+24
Bonjour [Zythom],
Je reviens vers vous concernant le suivi de votre dossier.
Le marchand ne disposant pas d'une clé d'activation en stock vous a
proposé d'en acheter et de vous faire rembourser.
Cependant, cette proposition ne vous convient pas.
Ce que je vous propose désormais comme ultime solution, c'est de
renvoyer l'appareil au marchand pour qu'il procède à votre
remboursement.
Je vous ferai un code promo pour vous permettre d'acheter un autre
appareil.
Dans l'attente de vous lire, je vous souhaite de passer une excellente
journée.
Bien à vous,
[Prénom d'une personne du SAV]

Et là, forcément, je me dis que l’affaire est mal engagée. J’ai bien conservé les cartons d’emballage, mais je me suis bien gardé de dire que j’étais en train de prévenir (indirectement) la mairie que le disque dur du PC d’occasion contenait encore toutes leurs données. Impossible de renvoyer le tout (d’ailleurs ce n’est pas mon souhait).

Jour J+26
Bonjour,
Cette solution ne me convient pas. J'attends l'envoi d'une clé
d'activation non piratée pour que l'achat effectué sur votre plateforme
soit conforme à la législation en vigueur.
Bien à vous,
Zythom

Jour J+28
Bonjour [Zythom],
Comme nous sommes toujours sans nouvelles du revendeur, quelle
alternative preferez-vous?
- Vous renvoyez le produit (sans frais bien sur) et je vous rembourse
la commande
- Vous achetez la clé que je vous rembourse dès réception de votre reçu.
Vous pouvez être certain que votre remboursement sera fait très
rapidement dès que j'aurai reçu votre email avec le justificatif de
paiement.
Dans l'attente de votre retour, je vous souhaite une belle journée,
[Prénom du support niveau 2 du SAV]

Bon, soit je laisse tomber, soit j’achète moi-même cette fichue clef d’activation. Je vais donc sur le site de Microsoft pour passer l’achat et là, STUPEUR. Microsoft mérite bien son surnom de Micro$oft… 145 euros la licence la moins chère ! (je rappelle que j’ai payé le PC complet, livraison incluse, 130 euros).

Bienvenu dans l’univers des licences Windows.

Comme je ne suis ni revendeur, ni assembleur, je considère que je n’ai pas le droit d’acheter une licence EOM (Original Equipment Manufacturer). Je n’ai le droit, formellement, que d’acquérir une licence dite “Retail”. Me voici donc à la recherche d’un site vendant une licence Retail Windows 10, et j’en trouve une à 64 euros. Je contacte donc le SAV Backmarket :

Jour J+29
Bonjour,
Sur le site officiel Microsoft, la licence Windows 10 la moins chère
coûte 145€
cf https://www.microsoft.com/fr-fr/store/b/windows
Il semble y avoir beaucoup de sites qui vendent des licences pirates
(à quelques euros), et d'autre part comme je ne suis ni revendeur, ni
assembleur de PC, je n'ai pas le droit d'acquérir une licence EOM.
J'ai trouvé un site qui semble vendre des licences à un prix correct
(64 euros ttc)
Me confirmez-vous la prise en charge de ce coût ?
Bien à vous,
Zythom

Réponse positive du SAV de Backmarket,
achat par mes soins,
remboursement rapide par le site,
dossier clôt.

Conclusions :
– j’ai parfaitement conscience d’être un acheteur pénible en matière informatique (pour le reste, je suis un acheteur nul) ;
– il faut encourager les sites de reconditionnement qui donne une deuxième vie aux objets ;
– il faut bien effacer les données avant de donner/vendre un ordinateur, une tablette ou un téléphone : vous risquez de tomber sur quelqu’un qui en fera mauvais usage ;
– j’admire les gens qui travaillent dans les SAV : ils sont patients et arrivent très souvent à trouver une solution. Une place leur est réservée au Paradis ;
– les vendeurs de PC avec licence piratée brûleront en Enfer pour l’éternité.

Le PC d’occasion – 3e partie

Le billet précédent se terminait ainsi :
Par contre, je trouve scandaleux que le matériel informatique d’une mairie puisse se retrouver dans la nature sans avoir fait l’objet d’un effacement consciencieux des données qu’il contient. Quelqu’un a commis une erreur, soit par incompétence, soit du fait de sa condition humaine, soit parce que l’ordinateur a été volé… Tout est possible.
Je décide donc de contacter l’ANSSI.

Pourquoi contacter l’ANSSI, quand il me suffit de contacter le service informatique de la mairie concernée ?

Et bien, il s’agit là d’une précaution élémentaire, qui est le fruit d’une longue série d’expériences douloureuses subies par d’autres. En effet, lorsque l’on prévient un organisme qu’il a un problème de sécurité, il arrive fréquemment que l’on se retrouve soi-même à faire partie du problème. Je ne compte plus les affaires où un simple particulier a été mis en cause par un organisme, et qui s’est retrouvé embarqué malgré lui dans des aventures qu’il n’imaginait pas devoir subir.

Et il se trouve que j’ai l’imagination très fertile en ce qui concerne les problèmes potentiels qui peuvent survenir. J’en ai même fait mon métier : je suis Expert en poliorcétique dans une grande école où mon quotidien est fait d’agressions informatiques permanentes et où je vis dans la crainte que l’une d’entre elles emporte tout sur son passage (et je SAIS que cela arrivera, malgré tous les PCA, PRA, parefeux, PSSI, SMSI, SIEM, comités sécurités, cellules de crise cyber, exercices, formations de sensibilisation, etc. que je peux mettre en place, cela ARRIVERA, et je dois dormir chaque nuit avec cette certitude…).

Bref, pas question de me retrouver sur le banc des accusés parce qu’un DGS a paniqué et m’a désigné comme contrefeu à la vindicte des membres de la magistrature… Je me souviens toujours de la tirade de Maître Eric Dupont-Moretti : “La justice, c’est une administration à laquelle on a donné le nom d’une vertu. Ça n’est rien d’autre que cela. Elle a les qualités et les défauts d’une administration. Moi, je ne voudrais pas avoir à faire à la justice.” Le fait qu’il soit devenu Garde des Sceaux ne me rassure pas plus que cela.

Pour le commun des mortels, le fait d’avoir été expert judiciaire pendant 21 ans me place dans la catégorie des personnes nécessairement protégées, faisant parti du système, intouchables… Qu’ils se rassurent, je peux prendre cher comme tout un chacun, et c’est justice (sans réserve).

Je décide donc de contacter l’ANSSI, parce que pour moi, ils représentent les Chevaliers défendant le faible contre les dangers de ce monde. Ils prononcent des vœux d’obéissance, de pauvreté et de chasteté, mais combattent efficacement les cyberinfidèles. Voici mon courriel :

Sujet du message : Faille de sécurité Mairie de [ville de la région
parisienne]

Bonjour,
J'ai acheté un ordinateur d'occasion sur internet sur le site
www.backmarket.fr
Pour ne pas faire de recel de données illégales, j'ai procédé à
l'analyse forensic de son disque dur (je suis expert judiciaire).
Celui-ci contient des données en rapport avec le service financier de
la mairie de [ville de la région parisienne] : documents pdf, word,
excel, et échanges d'emails internes et externes avec par exemple les
finances publiques. Vous trouverez en pièce joint l'un des emails que
j'ai pu récupérer.
Le détail de ma commande sur www.backmarket.fr :
[...]
J'ai extrait le disque dur du PC et je l'ai placé sous scellé. Pouvez-
vous me dire la suite que vous donnerez à ce message et ce que je dois
faire du disque dur ?
Bien à vous,
[Zythom]

Plein d’espoir et les yeux brillants d’émotion, j’ai ouvert la réponse de l’astreinte du CERT ANSSI :

Bonjour,
Nous vous remercions pour votre signalement que nous avons bien pris en
compte sous la référence RM#31415926.
Vous êtes-vous adressé à la mairie de [ville de la région parisienne],
pour connaître la marche à suivre dans ce genre de situation ? Car à
priori, c'est plus de son ressort que du nôtre.
Merci de nous tenir informé des actions entreprises.
Cordialement,

C’est peu de dire que j’étais très déçu…

Mais après quelques réflexions, je me suis souvenu que Alonso Quijano ne se serait pas découragé pour si peu, et j’ai donc repris ma plume électronique :

Bonjour,
Je suis surpris par votre demande : je n'ai aucun contact à la mairie
de [ville de région parisienne], et aucune chance d'être écouté en tant
que simple particulier.
Vous êtes par contre parfaitement qualifié pour leur signaler une
faille de sécurité et déclencher une enquête par les services
appropriés.
Merci de me tenir au courant des suites que vous aurez données à mon
signalement, et je vous précise que je souhaite bénéficier de la
protection de l'alinéa 2 de l'article L.2321-4 du code de la défense.
Bien à vous,
[Zythom]

Quelques temps plus tard, je recevais le message suivant :

Bonjour Monsieur,
Nous avons pris contact avec la Mairie et sommes en attente d'un
retour.
Nous vous tiendrons au courant des éléments vous concernant.
Merci encore pour votre signalement.
Bien cordialement,

VICTOIRE, et tel Amadis de Gaule prenant le nom de Chevalier de la Verde Espée, je suis debout sur mon bureau et fait tournoyer mon clavier en flattant la croupe de ma souris verticale (ce billet devient n’importe quoi). Las, j’avais omis un point que tout fidèle lecteur aura déjà relevé, en bon Sancho Panza, et que la dure réalité de ce monde cruel est venu me rappeler à travers l’email de l’ANSSI reçu un mois plus tard :

Bonjour,

Suite à votre signalement et conformément à l’article L. 2321-4 du code
de la défense, nous avons averti la mairie qui a pris très au sérieux
cet incident et souhaite récupérer ce disque dur.  Acceptez-vous de le
lui transmettre ?

Si oui, et dans le cas où vous souhaitez organiser le transfert
directement avec la mairie, nous pouvons vous fournir un contact.
Si vous souhaitez demeurer anonyme, nous pouvons servir de relais.

Pour votre information, votre anonymat sera conservé par l'ANSSI,
conformément à l'article L. 2321-4 du code de la défense, sauf à ce que
l'ANSSI soit contrainte de divulguer votre identité en cas de
réquisition judiciaire à la suite d'un dépôt de plainte de la mairie.

Cordialement,

En fait de dure réalité, c’est ma douce épouse qui m’a fait remarquer : “Ah parce qu’en plus, tu vas devoir payer pour leur envoyer un disque dur qui t’appartient ?”

“Non, mais ça me fait plaisir”, est la seule chose que j’ai trouvée à lui répondre…

J’ai donc placé le disque dur (mis sous scellé au tout début de cette aventure) dans un emballage robuste, et j’ai envoyé le tout à mes frais au secrétariat général de la défense et de la sécurité nationale.

En confiant mon précieux paquet au bon soin de La Poste, je lui ai fait un petit geste d’adieu définitif.

Il me reste à vous narrer les échanges avec le vendeur de Backmarket, et le service après-vente d’icelui. Cela fera l’objet d’un prochain billet. Stay tuned.

Le PC d’occasion – 2e partie

Le billet précédent se terminait ainsi :
Je contacte le vendeur, le SAV Backmarket, l’ANSSI, et la CNIL. La suite va vous étonner (billets à suivre). Ce cliffhanger de malade (explication en fin de billet 😉 )

Commençons par la CNIL.

Je contacte un agent de la Commission nationale de l’informatique et des libertés, “habilité, à raison de sa fonction, à effectuer les visites et vérifications mentionnées à l’article 19 de la loi du 6 janvier 1978 modifiée et à l’article L. 253-3 du code de la sécurité intérieure.” Ce sont des personnes motivées, impliquées dans leur mission de service public : la preuve, je la contacte et elle me répond presqu’immédiatement alors qu’elle est en vacances ! (oui, ces personnes existent, et plus souvent qu’on ne le pense 🙂

Zythom : Bonjour, je viens d'acheter un PC d'occasion reconditionné
et j'ai analysé le contenu effacé du disque dur (avec dd + photorec) :
il s'agit d'un ordinateur d'une mairie connue de la région parisienne.
Qui dois-je prévenir ?

Voici la réponse du super agent CNIL :

Super agent CNIL : Bonjour et merci du signalement. Je suppose que ce
disque dur mal effacé contient des données à caractère personnel,
pouvez-vous me dire de quel genre de données il s'agit ainsi qu'une
estimation du volume svp ? En fonction de la sensibilité et du nombre de
données nous pouvons agir différemment.

Alors, je suis un peu ennuyé car je viens à peine de commencer l’analyse, et a priori, je n’avais pas prévu de mener une enquête de plusieurs jours… Donc, je réponds avec ce que j’ai :

Zythom : C'est difficile à dire, car d'expérience, les logiciels de
récupération retrouvent beaucoup de fichiers. Tous ne sont pas
exploitables, et ici tous ne contiennent pas de données personnelles. A
ce stade de mon analyse inforensique :
517 fichiers *.doc
1238 fichiers *.pdf
225 fichiers *.xls
5084 fichiers *.jpg
Dans les fichiers pdf, il y a de tout : extrait de comptes publics,
factures, etc.

Ce à quoi il m’a répondu :

Super agent CNIL : Pour que la CNIL soit compétente sur le sujet, il
faut que des DCP aient fuitées. D'où mon intérêt d'avoir une idée un peu
plus précise de ce que l'on peut trouver dans ces fichier : si vous me
dites que c'était le HDD du pôle RH avec plein d'informations privées
sur les employés de la mairie, ce n'est pas la même chose que s'il
s'agit du HDD d'un PC dédié à la gestion des espaces verts.

Si vous trouvez des fichiers contenant des données à caractère
personnel, est que vous m'envoyez un email à XXX@cnil.fr en indiquant :
- un court résumé de la manière dont vous avez acquis la machine
(directement auprès de la mairie, revendeur spécialisé, internet, etc)
- le type de DCP que vous avez trouvé (nom, adresse, numéro de sécurité
social, mot de passe haché/en clair, etc)
- le nom de la mairie concernée

Dans tous les cas, ne joignez pas les fichiers contenant les données
mais conservez-les dans le cas où nous ayons besoin de faire des
constatations. Si nous devions avoir besoin des fichiers, nous vous
demanderons de nous les transférer via notre plateforme sécurisée
d'échange de fichier.
Merci de votre signalement.

J’ai donc poursuivi mes analyses, en ouvrant CHAQUE fichier pour voir s’il contenait des données à caractère personnel. A ma grande surprise, j’en ai trouvé très peu (mais j’ai le détail de tous les remboursements de frais de bouche du maire 😉 ) Donc, fidèle à mon principe “je ne vais pas emm… un organisme public déjà surchargé de dossiers beaucoup plus importants“, je n’ai pas donné suite à ce signalement, pour l’instant.

Par contre, je trouve scandaleux que le matériel informatique d’une mairie puisse se retrouver dans la nature sans avoir fait l’objet d’un effacement consciencieux des données qu’il contient. Quelqu’un a commis une erreur, soit par incompétence, soit du fait de sa condition humaine, soit parce que l’ordinateur a été volé… Tout est possible.

Je décide donc de contacter l’ANSSI.

————————————————————————————————–
Il vous reste 90% de l’article à lire
La suite est réservée aux abonnés.
————————————————————————————————–

Aha, en vrai, la suite dans le prochain billet. Le temps ici est celui des échanges épistolaires d’antan 😉