Archives par mot-clé : Technique

Awk awk awk

Publié le par

Pour retirer les lignes en doublon dans un fichier texte contenant beaucoup de lignes (voir le billet « Dictionnaire français pour hashcat« ), j’ai utilisé la commande suivante :

cat toto.txt | sort | uniq > pas-de-doublons.txt

où toto.txt est un fichier texte d’environ 20 Go et où le fichier pas-de-doublons.txt résultant ne fait plus que 311 Mo. La commande met 1h30 à s’exécuter sur mon ordinateur.

Un internaute m’a fait remarquer en commentaire sur mon GitHub que cette commande pouvait être avantageusement remplacée par la commande suivante :

cat toto.txt | awk '!x[$0]++' > pas-de-doublons.txt

Mais avant d’essayer la commande awk sur mon ordinateur, je voulais la comprendre. Et à ma grande surprise, je n’ai pas réussi à trouver d’explications sur cet usage particulièrement concis sur internet (spoiler : j’ai mal cherché). J’ai donc demandé de l’aide sur Twitter où @CyrilBrulebois m’a fourni une explication en quelques secondes : https://unix.stackexchange.com/questions/159695/how-does-awk-a0-work

Je vais détailler ici l’explication, pour pouvoir m’y référer plus tard, quand ma mémoire me fera défaut.

awk est une commande très puissante, c’est un langage de programmation a elle tout seule qui permet une recherche de chaînes et l’exécution d’actions sur les lignes sélectionnées. Elle est utile pour récupérer de l’information, générer des rapports, transformer des données entre autres (source funix.org).

!x[$0]++ est à interpréter de la manière suivante :

$0 contient une ligne complète du fichier toto.txt

x[] est un tableau associatif. Pour en savoir plus, lire cet article sur les tableaux en bash. Il reçoit en argument autre chose que des entiers de 0 à N comme un tableau habituel. Il peut recevoir une chaîne de caractère.

x[$0] regarde si la valeur de la clé $0 est déjà présente dans le tableau associatif x[]. Si elle ne s’y trouve pas, une chaîne de caractère vide est placée dans x[$0]. Dans tous les cas, x[$0] retourne son contenu.

Lequel des deux opérateurs « ! » ou « ++ » est-il prioritaire sur l’autre ? Il s’agit de vérifier la précédence de ces deux opérateurs. Le tableau que l’on trouve par exemple dans ce document, nous indique que ++ est prioritaire sur « ! ». Mais comme il est situé à droite de x[$0] (post-incrément), il faut d’abord évaluer le contenu de x[$0], considéré comme un entier (1ère action de « ++ »), passer cette évaluation à l’opérateur « ! », puis l’incrémenter de 1 (2e action de « ++ »).

Donc si la ligne contenue dans $0 vient d’apparaître pour la première fois, x[$0] contient une chaîne de caractère vide considérée comme équivalente à 0, et x[$0] retourne 0 (= faux), puis passe à 1. Sinon x[$0] retourne N (= non nul = vrai), puis passe à N+1.

Comme !x[$0]++ est la négation de x[$0]++, il suffit d’inverser le résultat du paragraphe précédent : si la ligne contenue dans $0 vient d’apparaître pour la première fois, !x[$0] retourne 1 (= non nul = vrai), puis x[$0] passe à 1. Sinon !x[$0] retourne 0 (= faux), puis x[$0] passe à N+1.

Dit autrement, !x[$0]++ retourne :
– vrai si $0 contient une ligne non déjà vue, puis incrémente x[$0]
– faux si $0 contient une ligne déjà vue, puis incrémente x[$0]

Enfin, le comportement par défaut de awk est d’imprimer $0 en cas d’évaluation à vrai, et de ne rien faire dans le cas contraire. Toutes les lignes déjà vues disparaissent. Le fichier résultant ne possède pas de lignes en doublon.

La commande recommandée fait donc bien ce qu’elle est sensée faire, et elle le fait plus vite : 15mn sur mon ordinateur au lieu d’1h30 avec la commande « sort | uniq »…

Par contre, elle fonctionne bien parce que mon fichier texte initial contient beaucoup de doublons (le fichier final fait 311 Mo) et ne sature pas la mémoire de mon ordinateur. J’ai eu moins de chance avec un fichier texte de 15 Go recommandé par @CyrilleFranchet, et qui contient peu de doublons… Ça a fait exploser en vol ma machine. Comme quoi, la lisibilité a ses avantages ^^. Cette commande awk est donc à utiliser avec un œil sur l’évolution de l’occupation de la mémoire vive.

Pour aller plus loin : grep – sed – awk, exemples avancés

Dictionnaire français pour hashcat

Publié le par

Dans la droite ligne du billet précédent, et toujours à la demande d’un collègue ayant perdu le mot de passe d’un fichier pro Excel, j’avais besoin d’un fichier de mots français susceptibles d’être utilisés comme mot de passe.

Il y a toute une littérature sur « comment choisir un bon mot de passe », et une partie non négligeable de mon travail actuel consiste à expliquer aux gens les consignes de base de la sécurité informatique. Je dois reconnaître que c’est passionnant, mais que la base de la base de la base n’est pas toujours comprise malgré des trésors de pédagogie.

Si les politiques de choix d’un mot de passe se sont durcies au fil du temps, et qu’il est difficile aujourd’hui de créer un compte informatique sans devoir prendre un mot de passe d’au moins 12 signes dont des minuscules, des majuscules, des chiffres et/ou des caractères spéciaux, que se passe-t-il quand l’utilisateur PEUT choisir le mot de passe qu’il veut, par exemple pour limiter l’accès à un fichier Excel ? La réponse est simple : mon expérience de la casse de mot de passe pour les besoins de la justice m’a montré que la plupart des personnes choisissent un mot courant, éventuellement suivi par un nombre, parfois complété par un point d’exclamation.

Quand aucune politique de sécurité n’est imposée, le choix préféré des français est donc : mot courant [ + année] [ + ! ]

Avant de procéder à une attaque par force brute, ie en essayant toutes les combinaisons possibles, et après avoir testé les mots de passe « évidents » (date de naissance, nom de l’utilisateur, prénom de son partenaire et de ses enfants, date de mariage, etc.), une bonne méthode est donc l’attaque par dictionnaire, ou plutôt en bon français, « l’attaque par liste de mots ».

Il existe sur internet une grande quantité de listes de mots, toutes aussi intéressantes les unes que les autres, mais je n’ai pas trouvé une liste de mots courants français, incluant les noms des régions, départements, villes, villages, hameaux et lieux dits, incluant aussi les mots d’argots, le vieux français, les différents patois, le langage « jeune », les prénoms français, les petits noms donnés aux animaux, etc. Le tout intégrant les magnifiques caractères spécifiques du clavier français (le plus courant) é è ç à ù €, mais aussi tous les autres â ê ŷ û î ô ä ë ÿ ü ï ö Ä Ë Ÿ Ü Ï Ö etc.

Je me suis alors souvenu qu’il était possible de récupérer tout le contenu de Wikipédia pour pouvoir en disposer hors ligne. J’ai donc récupéré TOUT le Wikipédia francophone sur mon ordinateur, et je l’ai trié pour ne garder qu’un mot par ligne, puis j’ai éliminé les doublons. En comptant les essais/erreurs et les différents tâtonnements, il m’a fallu une journée pour disposer d’une magnifique liste de mots courant utilisés par les Français…

Puis j’ai utilisé la commande hashcat suivante :

hashcat -m 9500 -a 0 -w 3 --username --status --session=toto hashExcel.txt wikipedia.fr.txt

Environ 20mn plus tard, l’ordinateur me fournissait le mot de passe utilisé : un village des Alpes dont le nom fait 10 caractères.

Si vous aussi vous voulez briller auprès de vos collègues, vous pouvez utiliser cette méthode, à condition d’en donner le crédit « au blogueur dont le nom est presque celui d’une bière de l’Égypte antique » en vous rendant sur mon Github : https://github.com/Zythom/french-wikipedia-word-list. Cette saine lecture vous fera réviser vos codes ASCII et la base octale ^^.

Si par contre vous voulez compliquer la tâche des casseurs de mot de passe, ajoutez un « µ » ou un « > » dans votre mot de passe, ou mieux : générez le aléatoirement avec votre KeePass et installez l’extension « Kee Password Manager » dans votre navigateur.

Mais chacun fait ce qu’il veut.

Mon PC dans le Cloud

Publié le par

Comme vous le savez sans doute si vous me suivez sur Twitter, ou si vous avez lu l’épilogue de ma série de billet « 25 ans dans une startup », je travaille en région parisienne trois jours par semaine et je suis deux jours en télétravail dans ma province profonde (mais belle). Je précise que cette organisation a été mise en place AVANT le confinement de mars 2020, car j’ai la chance d’avoir un employeur moderne. J’en ai fait le bilan dans ce billet consacré au télétravail.

Mon employeur a mis à ma disposition un ordinateur portable qui me suit partout, et j’ai un ordinateur fixe personnel chez moi dans ma province profonde (mais belle) ET un ordinateur personnel chez moi dans ma « coquette petite studette en souplex » de région parisienne. J’ai également installé une VM privée sur mon ordinateur professionnel.

Cela fait donc 3 ordinateurs privés sur lesquels je veux retrouver les mêmes outils, les mêmes habitudes, les emails déjà lus, les mêmes partages de fichiers, etc.

Tout allait bien dans le meilleur des mondes, mais j’étais un peu agacé parfois de devoir synchroniser à la main une configuration, installer trois fois un nouveau logiciel, et maintenir des partages de fichiers en toute sécurité. N’était-il pas possible de simplifier un peu tout cela ?

J’écoutais, de plus en plus séduit, l’appel des sirènes du Cloud. Je voyais passer dans ma veille technologique des appels appuyés en direction des gamers pour qu’ils basculent leurs configurations vers des solutions telles que Google Stadia, Nvidia Geforce Now, xCloud de Xbox ou PlayStation Now. Des gamers ! Alors, pourquoi pas un petit PC perso avec sa petite configuration aux petits oignons ?

Oui mais et ma vie privée dans tout cela ? Et le coût ? Et la sécurité ? Après tout, le Cloud, ce n’est rien d’autre qu’un datacenter géré par quelqu’un d’autre et accessible de partout depuis un accès internet. Il faut se poser les bonnes questions : qui fera les sauvegardes, les mises à jour de sécurité, les montées de version des logiciels et des OS, qui sera « root » sur mes données ?

Autant de questions auxquelles il m’a bien fallu répondre pour l’hébergement de ce blog : après avoir testé l’autohébergement d’un WordPress sur YunoHost, j’ai préféré et choisi la location d’un VPS chez OVH, avec son offre Kimsufi à 3,59€ par mois. Je fais régulièrement un backup (et des tests) sur le WordPress de mon YunoHost. Je présenterai mon usage de la fantastique solution YunoHost dans un billet qui lui sera dédiée.

Oui MAIS : faire héberger un blog, ce n’est pas tout à fait la même chose que de faire héberger la totalité d’un ordinateur personnel… Et après avoir étudié les coûts, les solutions proposées, les risques, le coût des sauvegardes et la sécurité, voici ce que j’ai choisi.

A cause des coûts, j’ai abandonné la notion de « datacenter géré par quelqu’un d’autre » pour ne garder que celle de « accessible de partout depuis un accès internet ». Comme les solutions de type TeamViewer demandent de confier la partie sécurité à quelqu’un d’autre, j’ai donc choisi l’autohébergement complet de ma solution :

J’ai viré de mon ordinateur professionnel, la VM privée que j’y avait installé. J’ai entièrement réinstallé l’ordinateur personnel de ma coquette studette souplex pour n’y laisser que le système d’exploitation (Linux Mint, mais cela aurait aussi bien pu être Windows). Je n’ai conservé qu’un seul ordinateur personnel : celui qui se trouve chez moi.

J’y ai installé le logiciel NoMachine qui est ce que j’ai trouvé de plus efficace pour gérer deux écrans, les périphériques USB et le son à distance.

J’ai configuré le Wake On Line du PC de la manière suivante :
– dans le BIOS, j’ai activé « démarrage sur périphérique PCI-E » ;
– dans l’OS Linux Mint, j’ai activé le WoL avec la commande : sudo ethtool -s enp3s0 wol g

Depuis un PC distant, j’accède de manière chiffré à mon réseau privé grâce à OpenVPN en me connectant sur mon serveur NAS (qui fait tourner le service VPN), puis dans ce canal sécurisé je me connecte en ssh à ma VM Debian (voir le billet « Mon matériel »)

J’allume (depuis cette VM) mon PC perso avec la commande : wakeonlan -i IP -p 9 MAC où IP est l’adresse de broadcast de mon réseau privé et MAC l’adresse MAC du PC perso que je veux allumer.

Une fois démarré, j’y accède avec le client NoMachine (à travers le canal chiffré OpenVPN), et j’utilise mon « PC dans le Cloud » 🙂

Comme il est sous GNU/Linux, je peux si je veux le laisser allumer plusieurs jours sans surprise, si par exemple je lance sur ma carte graphique des calculs durant plusieurs jours.

Quelques remarques avant de vous laisser la parole en commentaire (je suis curieux de connaître vos solutions) :
– la solution NoMachine est vraiment puissante et efficace dans sa gestion des débits internet concernant les graphismes. Seul défaut relevé pour l’instant, elle ne gère pas ma Yubikey USB.
– l’accès par OpenVPN / ssh pour WoL / client NoMachine fonctionne également sous Android ou sur iPhone (pour la commande ssh sur iPhone, j’utilise l’excellente application a-shell).

Et vous, comment accédez-vous à un PC privé à distance ?

Source image https://www.pinterest.fr/pin/471963235926834775

Dialogue avec le support Free

Publié le par

A mon avis, ce n’est plus une bonne idée de vouloir autohéberger son propre serveur de messagerie, tant il est difficile de garantir son bon fonctionnement selon les bonnes pratiques (qui évoluent très vite). Mais c’est possible. Et j’ai voulu m’y atteler pour une raison que j’expliquerai dans un autre billet.

L’une des nombreuses conditions pour disposer d’un serveur de messagerie pleinement accepté par ses petits camarades serveurs-de-messagerie, est de pouvoir mettre en place un reverse DNS. Et cela tombe bien, comme Rodolphe, je suis abonné Free, et ce FAI permet via son interface de mettre en place un reverse DNS.

Enfin, c’est ce que je croyais…

Après avoir paramétré le reverse DNS correspondant à mon besoin, dans l’interface Free de mon abonnement FreeBox, et après avoir attendu plusieurs jours pour être certains que les informations se soient bien propagées, le reverse DNS n’était toujours pas fonctionnel : les différents outils à ma disposition me donnent toujours comme reverse W-X-Y-Z.subs.proxad.net, où W.X.Y.Z est l’adresse IPv4 fournie par Free pour mon point d’accès.

Cherchant à en savoir plus, je me tourne vers internet et je constate que pas mal de personnes semblent avoir le même problème que moi…

Comme il n’est plus possible d’avoir une réponse par les canaux habituels des années 90, je m’adresse au support par Twitter en Direct Messages. Je vous livre le dialogue in extenso :

Bonjour, le reverse DNS n’est pas fonctionnel, alors qu’il est activé dans mon interface depuis 15 jours… Je lis dans de nombreux forums que ce service ne fonctionne pas correctement, est-ce exact ? Comment le faire fonctionner quand on autohéberge un serveur de messagerie ?

Ligne Fibre Optique
NRO : XXXXX
Adresse IP : W.X.Y.Z
Préfixe IPv6 : AAAA:BBBB:CCCC:DDDD::/64

Identifiant : fbxXXXXXX
N° de téléphone Freebox : XX XX XX XX XX
N° de fax : XX XX XX XX XX

Le reverse DNS effectif est WW-XX-YY-ZZ.subs.proxad.net

Ce qui n’est pas ce que j’ai paramétré dans l’interface Freebox

bonjour,
edirection DNS [ma conf] vers WW.XX.YY.ZZ (Actif)
Reverse DNS WW.XX.YY.ZZ vers [ma conf] (Actif)

Pour information, nous n’effectuons aucun support à ce sujet.

Bonne journée

Je pense que vous n’avez pas compris la question, car votre réponse ne fait qu’indiquer ce que j’ai moi-même configuré (je suis donc au courant de ce que j’ai configuré) ET me dire que c’est actif (ce que je sais puisque c’est ce que l’interface de la Freebox indique).

Ma question est donc : pourquoi est-ce que ce n’est pas fonctionnel ?

Nous n’effectuons aucun support à ce sujet.
Bonne journée

Vous m’indiquez que la edirection DNS est : [ma config]

Vous m’indiquez que le reverse DNS est : [ma config]

Je suis d’accord avec vous.

MAIS lorsque l’on teste le reverse DNS effectif depuis les ordinateurs du monde entier, la réponse effective est : WW-XX-YY-ZZ.subs.proxad.net

Ce qui n’est PAS le configuration demandée ET indiquée comme « Actif » sur votre interface Freebox

DONC il y a un bug CHEZ VOUS

Pouvez-vous le corriger et rendre ce service FONCTIONNEL ?

Merci

Je ne comprends pas que votre réponse puisse se limiter à « nous n’effectuons aucun support à ce sujet » : je vous signale un dysfonctionnement, et je demande une réparation d’un service dû qui ne fonctionne pas, je ne demande pas un support !

C’est actif, donc fonctionnel. Bonne journée

Je n’ai eu ensuite plus aucune réponse à mes sollicitations…

Une carte n’est pas le territoire qu’elle représente – Alfred Korzybski

[EDIT du 20/02/2020] Un lecteur m’informe sur Twitter qu’un ticket de bug a été ouvert chez Free cet été sur ce problème, puis fermé avec la réponse suivante :

Close par Thibaut Freebox (Thibaut Freebox)
Thursday  1 August, 2019 15:01:46
Raison de clôture :  Ne sera pas implémenté
Commentaires supplémentaires de clôture :
Ne sera pas implémenté POUR L'INSTANT (période de transition adsl-fibre et ipv4-v6)
Ce sera ré-implémenté à l'avenir, mais non : je n'ai pas de date pour cela.

Remplacer un disque dans un soft RAID GNU/Linux

Publié le par

Hier, j’ai eu une petite frayeur en constatant qu’un test automatique SMART (long selftest) rencontrait une erreur de lecture sur l’un des disques durs de mon NAS de sauvegarde. Celui-ci apparaissait en SMART rouge sur l’interface OpenMediaVault…

Comme c’est un NAS DIY, je n’ai pas de procédure automatique en cas de panne de disque dur : il faut intervenir à la main. Je pose ici la procédure, pour la partager et m’en souvenir, car quand un disque tombe, les autres vont commencer à faire pareil…

Le disque en panne est /dev/sdb, et je suis dans le cas d’un RAID5 où je peux retirer un disque du RAID, sans perdre de données. Le NAS ne contient que des sauvegardes, donc je peux perdre toutes les données, mais j’aime mieux pas (10 To de sauvegardes à reconstituer pendant plusieurs semaines, mon cœur ne tiendrait pas).

Dans un terminal ouvert sur le NAS en ssh sous root (ssh [email protected]), utilisez les commande suivantes (il faut adapter les commandes selon votre configuration. VOUS DEVEZ COMPRENDRE CHAQUE COMMANDE AVANT DE LA LANCER. Une erreur a pu se glisser dans la suite de commandes que j’indique, je décline toute responsabilité, SGDZ, pas taper) :

Je déclare le disque en panne (SMART ne l’a pas fait), puis je le retire du RAID5 :

mdadm --manage /dev/md0 --fail /dev/sdb
mdadm --manage /dev/md0 --remove /dev/sdb

Je constate dans l’interface OpenMediaVault que le RAID est passé en mode dégradé (il ne l’était pas encore car le problème que j’ai détecté est un problème SMART).

J’arrête le NAS et je remplace hors tension le disque défectueux par un disque de même taille, judicieusement disponible à cette occasion (spare à froid).

Je redémarre le NAS et constate que l’interface OpenMediaVault ne me propose pas d’insérer dans le RAID le nouveau disque dur, sans doute parce que celui-ci n’est pas correctement préparé. Je vais le préparer avec les commandes suivantes :

Je me reconnecte root sur le NAS avec un terminal via ssh, pour lancer la commande gdisk :

gdisk /dev/sdb

Et là, horreur malheur, j’ai les informations suivantes :

GPT fdisk (gdisk) version 1.0.1

Caution: invalid backup GPT header, but valid main header; regenerating backup header from main header.

Partition table scan:
MBR: protective
BSD: not present
APM: not present
GPT: damaged
Caution: Found protective or hybrid MBR and corrupt GPT. Using GPT, but disk verification and recovery are STRONGLY recommended.

Dans l’interface de la commande gdisk, je passe en mode « Expert command » en tapant « x », puis je supprime les structures GPT et nettoie MBR avec la commande « z »:

Command (? for help): x
Expert command (? for help): z
About to wipe out GPT on /dev/sdb. Proceed? (Y/N): Y

GPT data structures destroyed! You may now partition the disk using fdisk or other utilities.

Blank out MBR? (Y/N): Y

Je quitte gdisk avec la commande « w », puis je relance gdisk pour vérifier que tout est bon :

# gdisk /dev/sdb
GPT fdisk (gdisk) version 1.0.1

Partition table scan:
MBR: not present
BSD: not present
APM: not present
GPT: not present

Creating new GPT entries.

Command (? for help): q

J’ajoute enfin le nouveau disque dans la grappe RAID :

mdadm --manage /dev/md0 --add /dev/sdb

Je vérifie qu’il n’y a pas d’erreur bizarre, avec :

fdisk -l  # <-- le signe avant le croisillon est un L minuscule

Je vérifie que le RAID se reconstruit correctement, dans l’interface OpenMediaVault ou avec la commande :

cat /proc/mdstat

Je prie pour qu’aucun autre disque ne lâche dans les heures suivantes…

Une fois tout rentré dans l’ordre, je n’oublie pas de reprogrammer un selftest SMART de type long sur le nouveau disque, dans l’interface OpenMediaVault.

J’espère que ce billet pourra faire gagner du temps à quelques uns.

Ceinture et bretelles

La plus belle préface du monde

Publié le par

Photo © Mme Zythom

(cliquez sur l’image pour l’agrandir)

Je me tiens au courant de l’actualité à travers de nombreux sites web, sélectionnés en fonction de mes centres d’intérêt, mais aussi en fonction de l’être humain qui rédige les articles que je lis.

Je teste régulièrement les logiciels d’agrégation des flux de syndication RSS/Atom et je suis plutôt satisfait du site Inoreader, même si leur message anti bloqueur de publicité commence à suffisamment m’agacer pour que j’envisage de partir voir ailleurs… Vous aurez néanmoins une idée d’une partie des sites que je suis, en consultant ma liste de liens sur le côté droit du blog (version web).

Parmi les gens que j’apprécie, et dont je ne rate aucun billet, il y a un certain Stéphane Bortzmeyer, que j’ai eu la chance de croiser en chair et en os lors de plusieurs conférences. J’aime la grande expertise qu’il possède et sa capacité à en publier des billets clairs, même si je le reconnais, j’ai parfois du mal à suivre le niveau…

C’est pourquoi j’ai un peu paniqué quand il m’a contacté pour me demander d’écrire la préface de son ouvrage « Cyberstructure« . J’ai cherché sur Internet un tuto pour savoir comment écrire une préface et j’ai découvert à ma grande surprise que c’était maintenant enseigné au collège, et même un exercice assez basique…

J’ai donc beaucoup lu sur le sujet, et essayé de mettre en pratique les conseils des enseignants : donner envie sans dévoiler, mettre en valeur sans se mettre en valeur, etc. Stéphane et son éditeur ont accepté que je puisse reproduire cette préface sur mon blog. La voici.

Déclaration d’éventuels conflits d’intérêts : J’ai écrit la préface sur la base du tapuscrit numérique envoyé par Stéphane Bortzmeyer. Son éditeur m’a ensuite proposé, comme c’est semble-t-il l’usage, de recevoir des exemplaires gratuits de l’ouvrage final. J’ai refusé, et je me suis procuré avec mes propres deniers un exemplaire de cet excellent ouvrage que je recommande d’avoir dans toutes les bonnes bibliothèques : « Cyberstructure – L’Internet, un espace politique« . L’ouvrage est pour tout public, et pas seulement pour les geeks, les nerds, les experts judiciaires ou les avocates. Je ne touche aucun droit sur les ventes, pas même en Ethereum. Je n’ai reçu aucune rémunération, et aucun animal n’a été maltraité durant nos échanges chiffrés.

—————————————————————————— 

Préface

Quand Stéphane
Bortzmeyer m’a demandé d’écrire la préface de cet ouvrage,
j’ai essayé de comprendre pourquoi il contactait un petit
informaticien expert judiciaire de province, inconnu de tous IRL.
En fait, la réponse fait partie de la magie d’internet : cet
assemblage de réseaux informatiques qui relient des ordinateurs,
relie également les gens entre eux et permet des rencontres qui
auraient été improbables dans le monde réel. Car oui, j’ai eu la
chance de rencontrer Stéphane Bortzmeyer, de lui parler et de lui
serrer la main (je n’ai pas fait de selfie avec lui car je trouvais
cela un peu ridicule à l’époque, mais je me soigne depuis).

Comme beaucoup
d’internautes, je lis avec attention les textes que Stéphane
Bortzmeyer publie sur son blog https://www.bortzmeyer.org/
même si souvent leur contenu me semble a priori hors de
portée, moi qui ne suis pas spécialiste des Request For Comments
(RFC), ni du nommage internet sécurisé… L’éclairage qu’il
apporte à ces sujets complexes permet de mieux comprendre comment
fonctionne internet dans ces différents usages.

Aujourd’hui, tout
le monde connaît internet, mais peu cherchent à en comprendre la
dimension politique. Le livre que vous allez découvrir aborde ce
sujet avec une prise de hauteur que peu d’experts techniques
arrivent à avoir, en abordant par exemple la question de la
neutralité de la technique, de la censure du web, de la vie privée,
et bien d’autres encore. Stéphane Bortzmeyer montre ici toute sa
capacité d’explication et partage avec nous sa vision humaniste du
progrès technique.

Vous allez y trouver
des réponses claires sur le fonctionnement d’internet, mais aussi
des réflexions sur des points politiquement sensibles telles que la
manière de prendre en compte les différentes langues humaines, ou
l’influence des choix techniques sur l’exercice des droits
humains.

En tant qu’expert
judiciaire en informatique, j’ai dû me plonger, à la demande de
magistrats, dans l’intimité numérique de nombreux citoyens, pour
y rechercher des preuves éventuelles de leurs activités supposées
criminelles. Cette violation légale du droit à la vie privée m’a
amené à réfléchir sur le pouvoir qui m’était délégué par
des lois votées par des femmes et hommes politiques qui n’ont pas
toujours conscience de leurs impacts potentiels sur chaque citoyen.
Un fait divers sordide entraîne souvent une réaction législative
guidée par l’émotion de la population. Mais sommes-nous conscient
de limiter nos libertés individuelles au nom d’une protection
collective souvent illusoire ? Il faut ouvrir une réflexion.

Ce livre vous
donnera beaucoup de réponses aux questions que vous vous posez sur
le formidable outil qu’est internet. Mais il vous permettra surtout
de redécouvrir une aptitude que nous possédions tous dans notre
enfance : celle de se poser des questions. A vous ensuite
d’essayer de trouver les bonnes réponses auprès de sources
fiables. Ce livre en fait partie.

Je vous souhaite une
lecture instructive.

Zythom, avec ma serviette de bain

S’amuser avec une machine virtuelle dans le cloud

Publié le par

Crédit image Sam Johnston (1)

Je suis un gros consommateur des outils Google : le moteur de
recherche, la messagerie, le drive, le calendrier, etc. C’est donc assez
naturellement que je me suis retrouvé à une présentation des services
proposés par la plateforme Google Cloud : cloud.google.com

Je précise que ce billet n’est malheureusement pas sponsorisé.

J’ai
découvert que l’on pouvait faire fonctionner gratuitement une (petite) machine
virtuelle dans le cloud Google. Ce billet s’adresse donc
aux personnes souhaitant découvrir le monde des machines virtuelles
hébergées sur un datacenter situé quelque part dans le monde.

Avertissements
: Philosophiquement, j’aime tout le monde : j’utilise Windows
quotidiennement, ainsi que plusieurs distributions GNU/Linux Mint, j’ai
un
compte Facebook personnel, j’aime l’association Framasoft (y compris son initiative de dégooglisation d’internet), j’utilise Twitter, j’aime Mastodon,
j’essaye de sensibiliser mon entourage et mes lecteurs à la protection
de leur vie privée, tout en mettant mes connaissances au service de la
justice et des enquêteurs, je mange de la viande et je roule en vélo
pour mon bien être et celui de la planète. Vous l’avez compris, je suis
plein de contradictions, que j’assume plus ou moins. J’évolue lentement
mais sûrement. Je reste ouvert à toutes les discussions, je teste tous
les environnements, les hébergeurs, les différentes solutions et outils.
Et je garde ce que je trouve pratique par rapport à mes usages. Je ne suis pas sponsorisé par Google, je ne travaille pas pour Google
(Larry, if you’re reading me…), je ne suis pas responsable des
manipulations que vous allez faire chez Google, ni du coût que cela
pourrait entraîner pour votre carte bancaire. Si vous ne comprenez pas
ce que je présente comme concepts ou comme commandes, il vaut mieux
rester spectateur et ne toucher à rien.

Prérequis : Vous devez disposer d’un compte Google, et accepter de
confier le numéro de votre carte bancaire à Google, qui s’engage à ne
pas la débiter si vous restez dans les limites indiquées lors de l’essai gratuit (bien lire les conditions, pas le droit de miner des cryptomonnaies…).

Démarrage :

– Connectez-vous à votre compte Google.

– Rendez vous sur https://cloud.google.com et cliquez sur « essai gratuit ».

– Remplissez les informations demandées, en lisant attentivement les conditions.

Je vous propose de suivre le didacticiel « Essayer Compute Engine », en créant une instance ayant les caractéristiques suivantes :

– Zone aux États-Unis (datacenter us-east* par exemple)

– Type de machine : micro (1 vCPU partagé) avec 0.6 Go de mémoire

– Disque de démarrage : Debian GNU/Linux 9 à 30 Go (cliquez sur Modifier pour augmenter la taille du disque).

Ces caractéristiques correspondent, au moment où j’écris ce billet, aux conditions d’une machine gratuite (cf https://cloud.google.com/free/ section Google Compute Engine) :

– 1 instance f1-micro par mois (aux États-Unis uniquement, excepté en Virginie du Nord)

– 30 Go de stockage HDD par mois, 5 Go de stockage d’instantanés par mois

– 1 Go de sorties réseau par mois, de l’Amérique du Nord vers toutes les autres régions (sauf l’Australie et la Chine)

Attention de bien rester dans ces conditions (ou de vérifier qu’elles sont toujours valables), sinon Google facturera des frais.

Le menu principal de Google Cloud Platform est situé en haut à gauche (icone avec 3 barres horizontales).

Dans le sous menu « Réseau VPC / Règles de pare-feu », vérifiez et adaptez vos règles d’accès en fonction de vos besoins.

Votre machine est accessible dans le sous menu « Compute Engine / Instances de VM ». Vous pouvez ouvrir un terminal par l’onglet SSH de votre instance (par exemple « Ouvrir dans la fenêtre du navigateur »). Vous êtes alors connectés avec votre login Google à une machine virtuelle fonctionnant sous Debian. Votre compte peut utiliser la commande sudo.

Du fait des limitations mémoires de cette configuration gratuite, je vous recommande de commencer par créer un fichier de swap (surtout si vous installez ensuite un environnement graphique) :

$ free -m

$ sudo fallocate -l 4096m /file.swap

$ sudo chmod 600 /file.swap

$ sudo mkswap /file.swap

$ sudo swapon /file.swap

$ free -m

Si la dernière commande montre que le fichier swap est bien pris en compte, ajoutez la ligne suivante à la fin de votre fichier /etc/fstab :

/file.swap none swap sw 0 0

et redémarrez l’instance.

Une mise à jour des paquets Debian me semble ensuite être un bon début :

$ sudo apt-get update

$ sudo apt-get upgrade

Personnellement, j’ai choisi d’installer l’environnement graphique LXDE :

$ sudo apt-get install task-lxde-desktop

Rem : Curieusement, pour moi ça plante à chaque fois à « Setting up dbus… », ce qui m’oblige à redémarrer l’instance, m’y reconnecter en ssh, puis à lancer la commande :

$ sudo dpkg –configure -a

Puis l’accès distant xrdp :

$ sudo apt-get install xrdp

$ sudo apt-get install tigervnc-standalone-server

$ sudo adduser zythom

Ce qui permet de se connecter à distance depuis un poste Windows avec le compte « zythom » sur l’adresse IP que vous trouverez affichée dans votre interface Google Cloud Platform près de votre instance. Dans la mire xrdp, sélectionnez le choix de session Xvnc.

Gardez un œil sur la facturation, et amusez-vous bien !

Pour ma part, je vais aller regarder un peu le sous menu TPU Cloud et faire du Machine Learning avec TensorFlow… La carte bancaire va chauffer 😉

—————————————-

(1) Crédit image : Sam Johnston — modification of the Wikipedia file, Cloud
computing.svg, created by Sam Johnston using OmniGroup’s OmniGraffle and
Inkscape (includes Computer.svg by Sasa Stefanovic), CC BY-SA 3.0,
https://commons.wikimedia.org/w/index.php?curid=21576051

Sans fil et sans filet

Publié le par

TL;DR : Si j’ai un conseil à donner aux professions libérales et aux indépendants, c’est de couper le réseau wifi de leur cabinet professionnel rapidement.

C’est toujours un peu casse-gueule pour moi de faire un billet sur la sécurité informatique. Alors je vais commencer par une citation :

« La sécurité est un échec car personne, quel que soit son niveau de
compétences et l’énergie investie dans l’administration de ses systèmes,
ne peut prétendre être invulnérable. »

Newsoft La preuve que la sécurité est un échec

Même les meilleurs se font pirater. Croire être en sécurité derrière ses barrières informatiques est une illusion.

Une fois qu’on a bien compris cela, il faut minimiser l’impact d’un piratage (qui aura lieu un jour) : faire des sauvegardes, réfléchir aux conséquences d’un piratage, faire de la veille, définir un niveau de sécurité et investir suffisamment, etc. Il faut limiter autant que faire se peut l’impact d’un piratage et la surface d’attaque.

La sécurité informatique est une discipline complexe de l’informatique, car elle nécessite de connaître et comprendre un très grand nombre de mécanismes dans la plupart des branches de l’informatique. En tant qu’informaticien « généraliste », je suis toujours stupéfait par le niveau des conférences sur la sécurité auxquelles j’assiste (c’est une manière détournée de dire que je suis nul).

Alors, quand j’ai appris que les réseaux wifi sécurisés en WPA2 (meilleure sécurisation disponible au moment de l’écriture de ce billet) étaient compromis par la technique de « Key reinstallation attacks » (KRACK), j’ai tout de suite éteint toutes les bornes wifi de la maison, par précaution.

Et bien sur, je n’ai eu de cesse depuis de chercher à les rallumer. Parce que le sans fil, c’est quand même pratique…

J’ai fait un petit audit interne du réseau familial : l’étage des enfants est uniquement en wifi (pas de prises RJ45), tous nos téléphones sont souvent connectés au wifi (mauvaise couverture 3G/4G, sauf au grenier) et nos vieilles tablettes ne fonctionnent qu’en wifi. Tous les ordinateurs fixes sur rez-de-chaussée sont en filaire (bureau pro de mon épouse, mon bureau d’expertise, NAS, serveur de sauvegarde, PS4, Xbox, Zotac, Raspbery Pi, etc.)

Tout ce petit monde formait jusqu’à présent un seul réseau (wifi et filaire). Je sais, c’était une erreur. Une erreur que j’ai essayé de réparer.

Une fois le wifi éteint, j’ai tiré des câbles dans les cloisons de l’étage pour que chaque pièce puisse disposer d’un câble RJ45 haut débit. Un petit switch dans le plafond, relié à l’ancien branchement RJ45 de la borne wifi de l’étage, et hop tout le monde était de nouveau branché (travail en cours, POC en place).

Le réseau familial et le réseau professionnel de la maison sont maintenant séparés par un routeur (par le premier routeur que j’avais sous la main : j’ai utilisé les ports WAN/LAN d’une ancienne borne wifi dont le wifi est désactivé). La logique d’accès est la suivante : réseau pro -> réseau familial -> accès internet. Les NAS, imprimantes et autres ressources communes sont sur le réseau familial pour être accessibles à tous.

Comme j’ai la chance d’avoir un abonnement téléphonique professionnel qui inclut une carte SIM supplémentaire avec DATA, j’avais prévu de m’en servir d’accès de secours à internet, « au cas où ». J’ai plutôt fait l’achat d’un routeur wifi 4G, et allumé un réseau wifi indépendant de la box du FAI de mon réseau filaire.

J’ai donc maintenant les deux réseaux filaires sur mon FAI principal, et un réseau wifi (indépendant des réseaux filaires) sur mon FAI de secours.

J’ai demandé aux enfants un usage « raisonnable » du wifi pour éviter d’atteindre le niveau de consommation à partir duquel le débit est bridé sur ma carte SIM de secours (donc si possible, pas de streaming vidéo sur le wifi).

Pour résumé, si vous avez une activité professionnelle « sensible » et que vous voulez quand même du wifi, je vous conseille d’investir dans un deuxième abonnement internet, pour créer un réseau séparé, dédié au wifi. Si le prix vous fait grincer des dents, dites vous que ça vous sauvera la vie quand votre FAI principal vous laissera en panne pendant un mois…

Sinon, sans fil = sans filet. Surtout si vous acceptez d’y connecter des appareils android anciens.

Enfin, c’est vous qui voyez…

PS: Ceux qui cachent leur SSID en pensant être protégés, je vous laisse regarder du côté d’airodump et scapy…

Analyse inforensique simple avec des outils gratuits

Publié le par

Lors d’une discussion avec un Officier de Police Judiciaire, celui-ci me demandait comment faire une analyse de disque dur sans budget logiciel, tout en garantissant un bon niveau d’investigation.

Après avoir pris les précautions d’usage consistant à dire qu’on ne peut pas mener à bien des investigations techniques sans comprendre ce que l’on fait, je me suis dit que je pouvais faire sur ce blog une proposition (SGDZ), même si celle-ci peut éventuellement faire hurler les techniciens les plus pointus sur ces sujets (je trolle un peu aussi à ma manière).

Mon hypothèse de travail va consister à prendre le cas le plus répandu : un ordinateur sous Windows, non chiffré, avec un usage bureautique basique. L’objectif est de trouver un fichier présent sur le disque, éventuellement effacé.

1) Préserver les éléments de preuve au maximum.

Le disque de stockage de l’ordinateur ne doit pas être modifié. Or, un démarrage du système d’exploitation modifie plusieurs informations du disque, modifie des caches, procède éventuellement à des mises à jour, des connexions internet, etc. Il faut donc travailler sur une copie du disque d’origine.

2) Copier les données.

Parmi toutes les manières de procéder à la copie des données du disque de stockage, je vais présenter celle qui me semble la plus simple, même si elle n’est pas sans risque.

Les données sont aujourd’hui de plus en plus stockées sur un disque SSD, ou sur des mémoires flash plus ou moins propriétaires. Il n’est pas toujours facile de démonter le disque de stockage pour le placer sur une plate-forme adaptée, avec bloqueur d’écriture et connecteurs ad hoc.

Il est possible de démarrer l’ordinateur sur une clef USB appropriée, à condition de connaître parfaitement la procédure de démarrage sur clef USB spécifique de l’ordinateur.

Il faut donc se documenter le plus possible (sur internet) sur le modèle d’ordinateur, et sa procédure d’accès au choix du périphérique de démarrage (touche Echap, ou F1, ou F2, ou F11, ou F256, ou Suppr…).

Ma recommandation est de retirer si possible le disque de l’ordinateur et de faire des essais « à vide » pour être sur de démarrer correctement sur la clef USB.

J’utilise une clef USB de démarrage DEFT qui fonctionne pour tous les ordinateurs que j’ai rencontrés pour l’instant. Cette clef a la particularité de protéger tous les disques contre l’écriture (de manière logicielle), en plus de disposer de nombreux outils d’investigation qu’il serait trop long de présenter ici (mais qui sont très intéressant).

Une fois le démarrage sur clef USB DEFT effectué, il ne reste plus qu’à brancher un disque externe de capacité suffisante sur l’ordinateur et d’utiliser la commande dd, ou dd_rescue, ou ddrescue pour effectuer une image bit à bit du disque de stockage. Attention de bien vérifier les noms logiques des devices : il est préférable de savoir bien différencier le disque cible du disque source, surtout qu’il faudra bien passer le disque destiné à contenir l’image en lecture/écriture. Il faut comprendre ce que l’on fait.

Une fois la copie terminée, éteindre l’ordinateur et souffler un peu car le contenu du scellé est préservé (si l’ordinateur n’est pas tombé en panne JUSTE pendant ce moment là, auquel cas, il faudra faire jouer son assurance en responsabilité civile NECESSAIREMENT prise pour ce type d’activité).

3) Analyse des données de la copie.

Chacun est libre du choix de ses outils préférés (GNU/Linux, Windows, FreeBSD, etc.), mais comme la plupart des enquêteurs sont sous Windows, je recommande l’outil gratuit OSFMount qui permet de monter en lecture seule une image dd sous Windows (qui sera attribuée à un lecteur disponible, G: par exemple).

Cela permet de se promener sur le contenu (de l’image) du disque, sans modifier son contenu. Cela permet d’utiliser tous les outils de récupération de données,  tels que Recuva ou PhotoRec, ainsi que la version Windows de The Sleuth Kit (TSK).

Vous pouvez également utiliser tous les outils de la LiberKey, en particulier SearchMyFiles ou Everything.

Conclusion :

Il est possible d’utiliser des outils gratuits pour faire une analyse des données d’un support de stockage. MAIS cela ne dispense pas de SAVOIR ce que l’on fait et oblige à COMPRENDRE les concepts en jeu.

On ne s’improvise donc pas expert informatique.

Par contre, ces outils étant gratuits, ils sont faciles d’accès et permettent à une personne curieuse de s’entraîner, par exemple sur un vieux disque, et parfois de sauver une situation où la sauvegarde est un peu ancienne…

La carte graphique, CUDA et l’expert

Publié le par

Je me suis lancé passionnément dans le calcul parallèle (cf billet précédent). Pour cela, je me suis offert une carte graphique à un prix abordable et que je destine au calcul intensif.

Imaginez mon impatience en attendant la livraison… Le jour J arrive et me voilà en train de démonter ma machine pour y ajouter ce magnifique objet technologique.

A ce stade du récit, il me faut faire un petit rappel : je suis adepte de GNU/Linux depuis de nombreuses années. J’aime tester de nouvelles distributions, j’aime l’univers GNU/Linux, ou FreeBSD. J’ai fait ma thèse sous Domain/OS et HP-UX. J’ai bien connu la distribution Yggdrasil qui était la première sur cédérom, c’est dire si je suis vieux. A titre professionnel, j’ai d’abord choisi Yggdrasil, puis Slackware, puis Red Hat, et enfin depuis de nombreuses années, Debian. A titre privé, j’ai beaucoup aimé Gentoo, puis Ubuntu, pour maintenant utiliser Mint.

La plupart des analyses techniques que je réalise pour mes expertises judiciaires sont faites sous GNU/Linux en utilisant des logiciels en ligne de commande.

Pour autant, j’apprécie la facilité d’installation des distributions GNU/Linux actuelles : il suffit de graver un DVD ou d’utiliser une clef USB et hop, les différents éléments de votre machine sont fonctionnels (en général ;-).

J’aime beaucoup la facilité…

Les plus barbu(e)s d’entre vous se souviennent des heures passées à configurer leur serveur X pour arriver à brancher deux malheureux écrans sur la même carte graphique. C’est un peu là où je vais en (re)venir.

La semaine dernière, lorsque j’ai reçu ma nouvelle carte graphique, j’étais tout excité à l’idée de transformer mon bête ordinateur en bête de calculs parallèles. Après m’être assuré (quand même) que toutes mes données étaient correctement sauvegardées, j’ai démonté ma tour pour y insérer cette nouvelle carte graphique surpuissante.

Premier constat : la carte graphique nécessite une alimentation dédiée, avec un connecteur 8 broches… Affolé, je regarde l’intérieur de ma machine éventrée, et je constate avec joie qu’un connecteur sort de mon boitier d’alimentation avec 6 broches d’un côté et deux de l’autre qui ressemblent fort au truc nécessaire pour faire fonctionner ma carte graphique. Je branche, rien ne fume o/.

Deuxième constat : je dispose de deux emplacements PCI Express me permettant de conserver mon ancienne carte graphique utilisée par mes deux écrans.

Je branche tout ce petit monde et redémarre mon ordinateur. Magie (et travail) de la communauté open source, tout est reconnu par le système d’exploitation, les pilotes par défaut chargés et tout fonctionne parfaitement. Sauf que…

Je ne perds pas de vue mon objectif : faire massivement des calculs. J’ai donc ma carte graphique d’origine sur laquelle sont branchés mes deux écrans, et ma nouvelle carte graphique sur laquelle rien n’est branché et qui va me servir de calculateur GPU. Sauf que…

J’ai soigneusement choisi mon modèle de carte graphique pour qu’elle intègre un GPU Nvidia qui, au moment où j’écris ce billet, est admirablement programmable avec un environnement qui s’appelle CUDA. Avant de casser ma tirelire, j’avais fait quelques essais avec le vieux portable de ma fille (seul appareil de la maison muni d’une carte Nvidia). Sous GNU/Linux Mint, l’installation de l’environnement de développement CUDA se fait très simplement avec la commande « sudo apt-get install cuda ». Après quelques réglages post-installation, me voici donc en train de jouer avec les 1920 cœurs des 15 processeurs graphiques. Je suis aux anges 🙂 Sauf que…

Sous Windows, quand vous installez un nouveau composant ou un nouveau programme, il faut la plupart du temps redémarrer l’ordinateur. Ce n’est pas vrai sous GNU/Linux. J’ai donc pu m’amuser immédiatement pendant plusieurs heures avec mon nouveau jouet avant d’éteindre mon ordinateur.

Mais le lendemain, catastrophe. En démarrant ma machine, plus rien ne fonctionnait. Enfin, « plus rien » non : je n’avais plus d’interface graphique fonctionnelle. Me voici parti pour plusieurs jours de galères « à l’ancienne » pour essayer d’abord de réparer ma configuration graphique, puis pour essayer de comprendre. Comme avant, j’ai écumé les forums, j’ai cherché les tutos, les howto, les manuels correspondant à mon problème…

Pour faire court : je n’ai pas réussi à trouver d’aide.

Oui, je sais. Je suis EXPERT. Je suis EXPERIMENTE (= vieux). Mais non. Je n’ai pas réussi à faire fonctionner deux cartes graphiques (une vieille Radeon et une jeune Nvidia) dont une devait être consacrée à la gestion de mes deux écrans et l’autre à mes calculs massivement parallèles… Le serveur X Windows et les deux pilotes graphiques associés (libres ou propriétaires) ne semblent pas vouloir fonctionner ensembles après redémarrage. Pourtant j’arrive à faire fonctionner l’ensemble AVANT redémarrage…

Je me suis tapé la configuration d’un xorg.conf (fichier qui est sensé avoir disparu).

J’ai abandonné Mint pour installer Ubuntu (comme conseillé par la doc CUDA).

J’ai réussi la configuration avec une seule carte RADEON.

J’ai réussi la configuration avec la seule carte Nvidia.

MAIS je n’ai pas réussi à créer la configuration avec les deux cartes.

Après plusieurs jours de transpiration, j’en suis arrivé à la conclusion suivante : je suis NUL en configuration graphique GNU/Linux.

J’ai donc ravalé ma fierté, retiré ma nouvelle carte graphique, remis ma configuration d’origine GNU/Mint, et j’ai sorti un vieux PC de son placard. J’y ai installé un Ubuntu server tout frais. J’y ai placé ma carte graphique surpuissante. J’ai constaté l’absence d’alimentation dédiée… J’ai acheté cet adaptateur d’alimentation SATA vers carte vidéo PCI Express 8 broches. J’ai attendu trois jours pour la livraison.

Et j’ai maintenant un calculateur dédié aux calculs parallèles.

Je m’y connecte à distance en ssh. Je lui ai consacré un processus de sauvegarde dédié. Il a une place particulière dans mon bureau et dans mon cœur.

Il faut savoir reculer pour mieux avancer.

Avant je programmais un réseau de neurones qui travaillait sur 60 000 exemples d’apprentissage sur plusieurs semaines. Maintenant j’ai 60 000 réseaux de neurones identiques qui travaillent chacun en parallèle sur leur exemple d’apprentissage, en une nuit à une vitesse de folie sur 8 Go de mémoire graphique ultra rapide.

Le rêve d’un vieux chercheur 🙂

Mais cela, c’est une autre histoire.