Remplacer un disque dans un soft RAID GNU/Linux

Hier, j’ai eu une petite frayeur en constatant qu’un test automatique SMART (long selftest) rencontrait une erreur de lecture sur l’un des disques durs de mon NAS de sauvegarde. Celui-ci apparaissait en SMART rouge sur l’interface OpenMediaVault…

Comme c’est un NAS DIY, je n’ai pas de procédure automatique en cas de panne de disque dur : il faut intervenir à la main. Je pose ici la procédure, pour la partager et m’en souvenir, car quand un disque tombe, les autres vont commencer à faire pareil…

Le disque en panne est /dev/sdb, et je suis dans le cas d’un RAID5 où je peux retirer un disque du RAID, sans perdre de données. Le NAS ne contient que des sauvegardes, donc je peux perdre toutes les données, mais j’aime mieux pas (10 To de sauvegardes à reconstituer pendant plusieurs semaines, mon cœur ne tiendrait pas).

Dans un terminal ouvert sur le NAS en ssh sous root (ssh [email protected]), utilisez les commande suivantes (il faut adapter les commandes selon votre configuration. VOUS DEVEZ COMPRENDRE CHAQUE COMMANDE AVANT DE LA LANCER. Une erreur a pu se glisser dans la suite de commandes que j’indique, je décline toute responsabilité, SGDZ, pas taper) :

Je déclare le disque en panne (SMART ne l’a pas fait), puis je le retire du RAID5 :

mdadm --manage /dev/md0 --fail /dev/sdb
mdadm --manage /dev/md0 --remove /dev/sdb

Je constate dans l’interface OpenMediaVault que le RAID est passé en mode dégradé (il ne l’était pas encore car le problème que j’ai détecté est un problème SMART).

J’arrête le NAS et je remplace hors tension le disque défectueux par un disque de même taille, judicieusement disponible à cette occasion (spare à froid).

Je redémarre le NAS et constate que l’interface OpenMediaVault ne me propose pas d’insérer dans le RAID le nouveau disque dur, sans doute parce que celui-ci n’est pas correctement préparé. Je vais le préparer avec les commandes suivantes :

Je me reconnecte root sur le NAS avec un terminal via ssh, pour lancer la commande gdisk :

gdisk /dev/sdb

Et là, horreur malheur, j’ai les informations suivantes :

GPT fdisk (gdisk) version 1.0.1

Caution: invalid backup GPT header, but valid main header; regenerating backup header from main header.

Partition table scan:
MBR: protective
BSD: not present
APM: not present
GPT: damaged
Caution: Found protective or hybrid MBR and corrupt GPT. Using GPT, but disk verification and recovery are STRONGLY recommended.

Dans l’interface de la commande gdisk, je passe en mode « Expert command » en tapant « x », puis je supprime les structures GPT et nettoie MBR avec la commande « z »:

Command (? for help): x
Expert command (? for help): z
About to wipe out GPT on /dev/sdb. Proceed? (Y/N): Y

GPT data structures destroyed! You may now partition the disk using fdisk or other utilities.

Blank out MBR? (Y/N): Y

Je quitte gdisk avec la commande « w », puis je relance gdisk pour vérifier que tout est bon :

# gdisk /dev/sdb
GPT fdisk (gdisk) version 1.0.1

Partition table scan:
MBR: not present
BSD: not present
APM: not present
GPT: not present

Creating new GPT entries.

Command (? for help): q

J’ajoute enfin le nouveau disque dans la grappe RAID :

mdadm --manage /dev/md0 --add /dev/sdb

Je vérifie qu’il n’y a pas d’erreur bizarre, avec :

fdisk -l  # <-- le signe avant le croisillon est un L minuscule

Je vérifie que le RAID se reconstruit correctement, dans l’interface OpenMediaVault ou avec la commande :

cat /proc/mdstat

Je prie pour qu’aucun autre disque ne lâche dans les heures suivantes…

Une fois tout rentré dans l’ordre, je n’oublie pas de reprogrammer un selftest SMART de type long sur le nouveau disque, dans l’interface OpenMediaVault.

J’espère que ce billet pourra faire gagner du temps à quelques uns.

Ceinture et bretelles

La plus belle préface du monde

Photo © Mme Zythom

(cliquez sur l’image pour l’agrandir)

Je me tiens au courant de l’actualité à travers de nombreux sites web, sélectionnés en fonction de mes centres d’intérêt, mais aussi en fonction de l’être humain qui rédige les articles que je lis.

Je teste régulièrement les logiciels d’agrégation des flux de syndication RSS/Atom et je suis plutôt satisfait du site Inoreader, même si leur message anti bloqueur de publicité commence à suffisamment m’agacer pour que j’envisage de partir voir ailleurs… Vous aurez néanmoins une idée d’une partie des sites que je suis, en consultant ma liste de liens sur le côté droit du blog (version web).

Parmi les gens que j’apprécie, et dont je ne rate aucun billet, il y a un certain Stéphane Bortzmeyer, que j’ai eu la chance de croiser en chair et en os lors de plusieurs conférences. J’aime la grande expertise qu’il possède et sa capacité à en publier des billets clairs, même si je le reconnais, j’ai parfois du mal à suivre le niveau…

C’est pourquoi j’ai un peu paniqué quand il m’a contacté pour me demander d’écrire la préface de son ouvrage « Cyberstructure« . J’ai cherché sur Internet un tuto pour savoir comment écrire une préface et j’ai découvert à ma grande surprise que c’était maintenant enseigné au collège, et même un exercice assez basique…

J’ai donc beaucoup lu sur le sujet, et essayé de mettre en pratique les conseils des enseignants : donner envie sans dévoiler, mettre en valeur sans se mettre en valeur, etc. Stéphane et son éditeur ont accepté que je puisse reproduire cette préface sur mon blog. La voici.

Déclaration d’éventuels conflits d’intérêts : J’ai écrit la préface sur la base du tapuscrit numérique envoyé par Stéphane Bortzmeyer. Son éditeur m’a ensuite proposé, comme c’est semble-t-il l’usage, de recevoir des exemplaires gratuits de l’ouvrage final. J’ai refusé, et je me suis procuré avec mes propres deniers un exemplaire de cet excellent ouvrage que je recommande d’avoir dans toutes les bonnes bibliothèques : « Cyberstructure – L’Internet, un espace politique« . L’ouvrage est pour tout public, et pas seulement pour les geeks, les nerds, les experts judiciaires ou les avocates. Je ne touche aucun droit sur les ventes, pas même en Ethereum. Je n’ai reçu aucune rémunération, et aucun animal n’a été maltraité durant nos échanges chiffrés.

—————————————————————————— 

Préface

Quand Stéphane
Bortzmeyer m’a demandé d’écrire la préface de cet ouvrage,
j’ai essayé de comprendre pourquoi il contactait un petit
informaticien expert judiciaire de province, inconnu de tous IRL.
En fait, la réponse fait partie de la magie d’internet : cet
assemblage de réseaux informatiques qui relient des ordinateurs,
relie également les gens entre eux et permet des rencontres qui
auraient été improbables dans le monde réel. Car oui, j’ai eu la
chance de rencontrer Stéphane Bortzmeyer, de lui parler et de lui
serrer la main (je n’ai pas fait de selfie avec lui car je trouvais
cela un peu ridicule à l’époque, mais je me soigne depuis).

Comme beaucoup
d’internautes, je lis avec attention les textes que Stéphane
Bortzmeyer publie sur son blog https://www.bortzmeyer.org/
même si souvent leur contenu me semble a priori hors de
portée, moi qui ne suis pas spécialiste des Request For Comments
(RFC), ni du nommage internet sécurisé… L’éclairage qu’il
apporte à ces sujets complexes permet de mieux comprendre comment
fonctionne internet dans ces différents usages.

Aujourd’hui, tout
le monde connaît internet, mais peu cherchent à en comprendre la
dimension politique. Le livre que vous allez découvrir aborde ce
sujet avec une prise de hauteur que peu d’experts techniques
arrivent à avoir, en abordant par exemple la question de la
neutralité de la technique, de la censure du web, de la vie privée,
et bien d’autres encore. Stéphane Bortzmeyer montre ici toute sa
capacité d’explication et partage avec nous sa vision humaniste du
progrès technique.

Vous allez y trouver
des réponses claires sur le fonctionnement d’internet, mais aussi
des réflexions sur des points politiquement sensibles telles que la
manière de prendre en compte les différentes langues humaines, ou
l’influence des choix techniques sur l’exercice des droits
humains.

En tant qu’expert
judiciaire en informatique, j’ai dû me plonger, à la demande de
magistrats, dans l’intimité numérique de nombreux citoyens, pour
y rechercher des preuves éventuelles de leurs activités supposées
criminelles. Cette violation légale du droit à la vie privée m’a
amené à réfléchir sur le pouvoir qui m’était délégué par
des lois votées par des femmes et hommes politiques qui n’ont pas
toujours conscience de leurs impacts potentiels sur chaque citoyen.
Un fait divers sordide entraîne souvent une réaction législative
guidée par l’émotion de la population. Mais sommes-nous conscient
de limiter nos libertés individuelles au nom d’une protection
collective souvent illusoire ? Il faut ouvrir une réflexion.

Ce livre vous
donnera beaucoup de réponses aux questions que vous vous posez sur
le formidable outil qu’est internet. Mais il vous permettra surtout
de redécouvrir une aptitude que nous possédions tous dans notre
enfance : celle de se poser des questions. A vous ensuite
d’essayer de trouver les bonnes réponses auprès de sources
fiables. Ce livre en fait partie.

Je vous souhaite une
lecture instructive.

Zythom, avec ma serviette de bain

S’amuser avec une machine virtuelle dans le cloud

Crédit image Sam Johnston (1)

Je suis un gros consommateur des outils Google : le moteur de
recherche, la messagerie, le drive, le calendrier, etc. C’est donc assez
naturellement que je me suis retrouvé à une présentation des services
proposés par la plateforme Google Cloud : cloud.google.com

Je précise que ce billet n’est malheureusement pas sponsorisé.

J’ai
découvert que l’on pouvait faire fonctionner gratuitement une (petite) machine
virtuelle dans le cloud Google. Ce billet s’adresse donc
aux personnes souhaitant découvrir le monde des machines virtuelles
hébergées sur un datacenter situé quelque part dans le monde.

Avertissements
: Philosophiquement, j’aime tout le monde : j’utilise Windows
quotidiennement, ainsi que plusieurs distributions GNU/Linux Mint, j’ai
un
compte Facebook personnel, j’aime l’association Framasoft (y compris son initiative de dégooglisation d’internet), j’utilise Twitter, j’aime Mastodon,
j’essaye de sensibiliser mon entourage et mes lecteurs à la protection
de leur vie privée, tout en mettant mes connaissances au service de la
justice et des enquêteurs, je mange de la viande et je roule en vélo
pour mon bien être et celui de la planète. Vous l’avez compris, je suis
plein de contradictions, que j’assume plus ou moins. J’évolue lentement
mais sûrement. Je reste ouvert à toutes les discussions, je teste tous
les environnements, les hébergeurs, les différentes solutions et outils.
Et je garde ce que je trouve pratique par rapport à mes usages. Je ne suis pas sponsorisé par Google, je ne travaille pas pour Google
(Larry, if you’re reading me…), je ne suis pas responsable des
manipulations que vous allez faire chez Google, ni du coût que cela
pourrait entraîner pour votre carte bancaire. Si vous ne comprenez pas
ce que je présente comme concepts ou comme commandes, il vaut mieux
rester spectateur et ne toucher à rien.

Prérequis : Vous devez disposer d’un compte Google, et accepter de
confier le numéro de votre carte bancaire à Google, qui s’engage à ne
pas la débiter si vous restez dans les limites indiquées lors de l’essai gratuit (bien lire les conditions, pas le droit de miner des cryptomonnaies…).

Démarrage :

– Connectez-vous à votre compte Google.

– Rendez vous sur https://cloud.google.com et cliquez sur « essai gratuit ».

– Remplissez les informations demandées, en lisant attentivement les conditions.

Je vous propose de suivre le didacticiel « Essayer Compute Engine », en créant une instance ayant les caractéristiques suivantes :

– Zone aux États-Unis (datacenter us-east* par exemple)

– Type de machine : micro (1 vCPU partagé) avec 0.6 Go de mémoire

– Disque de démarrage : Debian GNU/Linux 9 à 30 Go (cliquez sur Modifier pour augmenter la taille du disque).

Ces caractéristiques correspondent, au moment où j’écris ce billet, aux conditions d’une machine gratuite (cf https://cloud.google.com/free/ section Google Compute Engine) :

– 1 instance f1-micro par mois (aux États-Unis uniquement, excepté en Virginie du Nord)

– 30 Go de stockage HDD par mois, 5 Go de stockage d’instantanés par mois

– 1 Go de sorties réseau par mois, de l’Amérique du Nord vers toutes les autres régions (sauf l’Australie et la Chine)

Attention de bien rester dans ces conditions (ou de vérifier qu’elles sont toujours valables), sinon Google facturera des frais.

Le menu principal de Google Cloud Platform est situé en haut à gauche (icone avec 3 barres horizontales).

Dans le sous menu « Réseau VPC / Règles de pare-feu », vérifiez et adaptez vos règles d’accès en fonction de vos besoins.

Votre machine est accessible dans le sous menu « Compute Engine / Instances de VM ». Vous pouvez ouvrir un terminal par l’onglet SSH de votre instance (par exemple « Ouvrir dans la fenêtre du navigateur »). Vous êtes alors connectés avec votre login Google à une machine virtuelle fonctionnant sous Debian. Votre compte peut utiliser la commande sudo.

Du fait des limitations mémoires de cette configuration gratuite, je vous recommande de commencer par créer un fichier de swap (surtout si vous installez ensuite un environnement graphique) :

$ free -m

$ sudo fallocate -l 4096m /file.swap

$ sudo chmod 600 /file.swap

$ sudo mkswap /file.swap

$ sudo swapon /file.swap

$ free -m

Si la dernière commande montre que le fichier swap est bien pris en compte, ajoutez la ligne suivante à la fin de votre fichier /etc/fstab :

/file.swap none swap sw 0 0

et redémarrez l’instance.

Une mise à jour des paquets Debian me semble ensuite être un bon début :

$ sudo apt-get update

$ sudo apt-get upgrade

Personnellement, j’ai choisi d’installer l’environnement graphique LXDE :

$ sudo apt-get install task-lxde-desktop

Rem : Curieusement, pour moi ça plante à chaque fois à « Setting up dbus… », ce qui m’oblige à redémarrer l’instance, m’y reconnecter en ssh, puis à lancer la commande :

$ sudo dpkg –configure -a

Puis l’accès distant xrdp :

$ sudo apt-get install xrdp

$ sudo apt-get install tigervnc-standalone-server

$ sudo adduser zythom

Ce qui permet de se connecter à distance depuis un poste Windows avec le compte « zythom » sur l’adresse IP que vous trouverez affichée dans votre interface Google Cloud Platform près de votre instance. Dans la mire xrdp, sélectionnez le choix de session Xvnc.

Gardez un œil sur la facturation, et amusez-vous bien !

Pour ma part, je vais aller regarder un peu le sous menu TPU Cloud et faire du Machine Learning avec TensorFlow… La carte bancaire va chauffer 😉

—————————————-

(1) Crédit image : Sam Johnston — modification of the Wikipedia file, Cloud
computing.svg, created by Sam Johnston using OmniGroup’s OmniGraffle and
Inkscape (includes Computer.svg by Sasa Stefanovic), CC BY-SA 3.0,
https://commons.wikimedia.org/w/index.php?curid=21576051

Sans fil et sans filet

TL;DR : Si j’ai un conseil à donner aux professions libérales et aux indépendants, c’est de couper le réseau wifi de leur cabinet professionnel rapidement.

C’est toujours un peu casse-gueule pour moi de faire un billet sur la sécurité informatique. Alors je vais commencer par une citation :

« La sécurité est un échec car personne, quel que soit son niveau de
compétences et l’énergie investie dans l’administration de ses systèmes,
ne peut prétendre être invulnérable.
 »

Newsoft La preuve que la sécurité est un échec

Même les meilleurs se font pirater. Croire être en sécurité derrière ses barrières informatiques est une illusion.

Une fois qu’on a bien compris cela, il faut minimiser l’impact d’un piratage (qui aura lieu un jour) : faire des sauvegardes, réfléchir aux conséquences d’un piratage, faire de la veille, définir un niveau de sécurité et investir suffisamment, etc. Il faut limiter autant que faire se peut l’impact d’un piratage et la surface d’attaque.

La sécurité informatique est une discipline complexe de l’informatique, car elle nécessite de connaître et comprendre un très grand nombre de mécanismes dans la plupart des branches de l’informatique. En tant qu’informaticien « généraliste », je suis toujours stupéfait par le niveau des conférences sur la sécurité auxquelles j’assiste (c’est une manière détournée de dire que je suis nul).

Alors, quand j’ai appris que les réseaux wifi sécurisés en WPA2 (meilleure sécurisation disponible au moment de l’écriture de ce billet) étaient compromis par la technique de « Key reinstallation attacks » (KRACK), j’ai tout de suite éteint toutes les bornes wifi de la maison, par précaution.

Et bien sur, je n’ai eu de cesse depuis de chercher à les rallumer. Parce que le sans fil, c’est quand même pratique…

J’ai fait un petit audit interne du réseau familial : l’étage des enfants est uniquement en wifi (pas de prises RJ45), tous nos téléphones sont souvent connectés au wifi (mauvaise couverture 3G/4G, sauf au grenier) et nos vieilles tablettes ne fonctionnent qu’en wifi. Tous les ordinateurs fixes sur rez-de-chaussée sont en filaire (bureau pro de mon épouse, mon bureau d’expertise, NAS, serveur de sauvegarde, PS4, Xbox, Zotac, Raspbery Pi, etc.)

Tout ce petit monde formait jusqu’à présent un seul réseau (wifi et filaire). Je sais, c’était une erreur. Une erreur que j’ai essayé de réparer.

Une fois le wifi éteint, j’ai tiré des câbles dans les cloisons de l’étage pour que chaque pièce puisse disposer d’un câble RJ45 haut débit. Un petit switch dans le plafond, relié à l’ancien branchement RJ45 de la borne wifi de l’étage, et hop tout le monde était de nouveau branché (travail en cours, POC en place).

Le réseau familial et le réseau professionnel de la maison sont maintenant séparés par un routeur (par le premier routeur que j’avais sous la main : j’ai utilisé les ports WAN/LAN d’une ancienne borne wifi dont le wifi est désactivé). La logique d’accès est la suivante : réseau pro -> réseau familial -> accès internet. Les NAS, imprimantes et autres ressources communes sont sur le réseau familial pour être accessibles à tous.

Comme j’ai la chance d’avoir un abonnement téléphonique professionnel qui inclut une carte SIM supplémentaire avec DATA, j’avais prévu de m’en servir d’accès de secours à internet, « au cas où ». J’ai plutôt fait l’achat d’un routeur wifi 4G, et allumé un réseau wifi indépendant de la box du FAI de mon réseau filaire.

J’ai donc maintenant les deux réseaux filaires sur mon FAI principal, et un réseau wifi (indépendant des réseaux filaires) sur mon FAI de secours.

J’ai demandé aux enfants un usage « raisonnable » du wifi pour éviter d’atteindre le niveau de consommation à partir duquel le débit est bridé sur ma carte SIM de secours (donc si possible, pas de streaming vidéo sur le wifi).

Pour résumé, si vous avez une activité professionnelle « sensible » et que vous voulez quand même du wifi, je vous conseille d’investir dans un deuxième abonnement internet, pour créer un réseau séparé, dédié au wifi. Si le prix vous fait grincer des dents, dites vous que ça vous sauvera la vie quand votre FAI principal vous laissera en panne pendant un mois…

Sinon, sans fil = sans filet. Surtout si vous acceptez d’y connecter des appareils android anciens.

Enfin, c’est vous qui voyez…

PS: Ceux qui cachent leur SSID en pensant être protégés, je vous laisse regarder du côté d’airodump et scapy…

Analyse inforensique simple avec des outils gratuits

Lors d’une discussion avec un Officier de Police Judiciaire, celui-ci me demandait comment faire une analyse de disque dur sans budget logiciel, tout en garantissant un bon niveau d’investigation.

Après avoir pris les précautions d’usage consistant à dire qu’on ne peut pas mener à bien des investigations techniques sans comprendre ce que l’on fait, je me suis dit que je pouvais faire sur ce blog une proposition (SGDZ), même si celle-ci peut éventuellement faire hurler les techniciens les plus pointus sur ces sujets (je trolle un peu aussi à ma manière).

Mon hypothèse de travail va consister à prendre le cas le plus répandu : un ordinateur sous Windows, non chiffré, avec un usage bureautique basique. L’objectif est de trouver un fichier présent sur le disque, éventuellement effacé.

1) Préserver les éléments de preuve au maximum.

Le disque de stockage de l’ordinateur ne doit pas être modifié. Or, un démarrage du système d’exploitation modifie plusieurs informations du disque, modifie des caches, procède éventuellement à des mises à jour, des connexions internet, etc. Il faut donc travailler sur une copie du disque d’origine.

2) Copier les données.

Parmi toutes les manières de procéder à la copie des données du disque de stockage, je vais présenter celle qui me semble la plus simple, même si elle n’est pas sans risque.

Les données sont aujourd’hui de plus en plus stockées sur un disque SSD, ou sur des mémoires flash plus ou moins propriétaires. Il n’est pas toujours facile de démonter le disque de stockage pour le placer sur une plate-forme adaptée, avec bloqueur d’écriture et connecteurs ad hoc.

Il est possible de démarrer l’ordinateur sur une clef USB appropriée, à condition de connaître parfaitement la procédure de démarrage sur clef USB spécifique de l’ordinateur.

Il faut donc se documenter le plus possible (sur internet) sur le modèle d’ordinateur, et sa procédure d’accès au choix du périphérique de démarrage (touche Echap, ou F1, ou F2, ou F11, ou F256, ou Suppr…).

Ma recommandation est de retirer si possible le disque de l’ordinateur et de faire des essais « à vide » pour être sur de démarrer correctement sur la clef USB.

J’utilise une clef USB de démarrage DEFT qui fonctionne pour tous les ordinateurs que j’ai rencontrés pour l’instant. Cette clef a la particularité de protéger tous les disques contre l’écriture (de manière logicielle), en plus de disposer de nombreux outils d’investigation qu’il serait trop long de présenter ici (mais qui sont très intéressant).

Une fois le démarrage sur clef USB DEFT effectué, il ne reste plus qu’à brancher un disque externe de capacité suffisante sur l’ordinateur et d’utiliser la commande dd, ou dd_rescue, ou ddrescue pour effectuer une image bit à bit du disque de stockage. Attention de bien vérifier les noms logiques des devices : il est préférable de savoir bien différencier le disque cible du disque source, surtout qu’il faudra bien passer le disque destiné à contenir l’image en lecture/écriture. Il faut comprendre ce que l’on fait.

Une fois la copie terminée, éteindre l’ordinateur et souffler un peu car le contenu du scellé est préservé (si l’ordinateur n’est pas tombé en panne JUSTE pendant ce moment là, auquel cas, il faudra faire jouer son assurance en responsabilité civile NECESSAIREMENT prise pour ce type d’activité).

3) Analyse des données de la copie.

Chacun est libre du choix de ses outils préférés (GNU/Linux, Windows, FreeBSD, etc.), mais comme la plupart des enquêteurs sont sous Windows, je recommande l’outil gratuit OSFMount qui permet de monter en lecture seule une image dd sous Windows (qui sera attribuée à un lecteur disponible, G: par exemple).

Cela permet de se promener sur le contenu (de l’image) du disque, sans modifier son contenu. Cela permet d’utiliser tous les outils de récupération de données,  tels que Recuva ou PhotoRec, ainsi que la version Windows de The Sleuth Kit (TSK).

Vous pouvez également utiliser tous les outils de la LiberKey, en particulier SearchMyFiles ou Everything.

Conclusion :

Il est possible d’utiliser des outils gratuits pour faire une analyse des données d’un support de stockage. MAIS cela ne dispense pas de SAVOIR ce que l’on fait et oblige à COMPRENDRE les concepts en jeu.

On ne s’improvise donc pas expert informatique.

Par contre, ces outils étant gratuits, ils sont faciles d’accès et permettent à une personne curieuse de s’entraîner, par exemple sur un vieux disque, et parfois de sauver une situation où la sauvegarde est un peu ancienne…

La carte graphique, CUDA et l’expert

Je me suis lancé passionnément dans le calcul parallèle (cf billet précédent). Pour cela, je me suis offert une carte graphique à un prix abordable et que je destine au calcul intensif.

Imaginez mon impatience en attendant la livraison… Le jour J arrive et me voilà en train de démonter ma machine pour y ajouter ce magnifique objet technologique.

A ce stade du récit, il me faut faire un petit rappel : je suis adepte de GNU/Linux depuis de nombreuses années. J’aime tester de nouvelles distributions, j’aime l’univers GNU/Linux, ou FreeBSD. J’ai fait ma thèse sous Domain/OS et HP-UX. J’ai bien connu la distribution Yggdrasil qui était la première sur cédérom, c’est dire si je suis vieux. A titre professionnel, j’ai d’abord choisi Yggdrasil, puis Slackware, puis Red Hat, et enfin depuis de nombreuses années, Debian. A titre privé, j’ai beaucoup aimé Gentoo, puis Ubuntu, pour maintenant utiliser Mint.

La plupart des analyses techniques que je réalise pour mes expertises judiciaires sont faites sous GNU/Linux en utilisant des logiciels en ligne de commande.

Pour autant, j’apprécie la facilité d’installation des distributions GNU/Linux actuelles : il suffit de graver un DVD ou d’utiliser une clef USB et hop, les différents éléments de votre machine sont fonctionnels (en général ;-).

J’aime beaucoup la facilité…

Les plus barbu(e)s d’entre vous se souviennent des heures passées à configurer leur serveur X pour arriver à brancher deux malheureux écrans sur la même carte graphique. C’est un peu là où je vais en (re)venir.

La semaine dernière, lorsque j’ai reçu ma nouvelle carte graphique, j’étais tout excité à l’idée de transformer mon bête ordinateur en bête de calculs parallèles. Après m’être assuré (quand même) que toutes mes données étaient correctement sauvegardées, j’ai démonté ma tour pour y insérer cette nouvelle carte graphique surpuissante.

Premier constat : la carte graphique nécessite une alimentation dédiée, avec un connecteur 8 broches… Affolé, je regarde l’intérieur de ma machine éventrée, et je constate avec joie qu’un connecteur sort de mon boitier d’alimentation avec 6 broches d’un côté et deux de l’autre qui ressemblent fort au truc nécessaire pour faire fonctionner ma carte graphique. Je branche, rien ne fume o/.

Deuxième constat : je dispose de deux emplacements PCI Express me permettant de conserver mon ancienne carte graphique utilisée par mes deux écrans.

Je branche tout ce petit monde et redémarre mon ordinateur. Magie (et travail) de la communauté open source, tout est reconnu par le système d’exploitation, les pilotes par défaut chargés et tout fonctionne parfaitement. Sauf que…

Je ne perds pas de vue mon objectif : faire massivement des calculs. J’ai donc ma carte graphique d’origine sur laquelle sont branchés mes deux écrans, et ma nouvelle carte graphique sur laquelle rien n’est branché et qui va me servir de calculateur GPU. Sauf que…

J’ai soigneusement choisi mon modèle de carte graphique pour qu’elle intègre un GPU Nvidia qui, au moment où j’écris ce billet, est admirablement programmable avec un environnement qui s’appelle CUDA. Avant de casser ma tirelire, j’avais fait quelques essais avec le vieux portable de ma fille (seul appareil de la maison muni d’une carte Nvidia). Sous GNU/Linux Mint, l’installation de l’environnement de développement CUDA se fait très simplement avec la commande « sudo apt-get install cuda ». Après quelques réglages post-installation, me voici donc en train de jouer avec les 1920 cœurs des 15 processeurs graphiques. Je suis aux anges 🙂 Sauf que…

Sous Windows, quand vous installez un nouveau composant ou un nouveau programme, il faut la plupart du temps redémarrer l’ordinateur. Ce n’est pas vrai sous GNU/Linux. J’ai donc pu m’amuser immédiatement pendant plusieurs heures avec mon nouveau jouet avant d’éteindre mon ordinateur.

Mais le lendemain, catastrophe. En démarrant ma machine, plus rien ne fonctionnait. Enfin, « plus rien » non : je n’avais plus d’interface graphique fonctionnelle. Me voici parti pour plusieurs jours de galères « à l’ancienne » pour essayer d’abord de réparer ma configuration graphique, puis pour essayer de comprendre. Comme avant, j’ai écumé les forums, j’ai cherché les tutos, les howto, les manuels correspondant à mon problème…

Pour faire court : je n’ai pas réussi à trouver d’aide.

Oui, je sais. Je suis EXPERT. Je suis EXPERIMENTE (= vieux). Mais non. Je n’ai pas réussi à faire fonctionner deux cartes graphiques (une vieille Radeon et une jeune Nvidia) dont une devait être consacrée à la gestion de mes deux écrans et l’autre à mes calculs massivement parallèles… Le serveur X Windows et les deux pilotes graphiques associés (libres ou propriétaires) ne semblent pas vouloir fonctionner ensembles après redémarrage. Pourtant j’arrive à faire fonctionner l’ensemble AVANT redémarrage…

Je me suis tapé la configuration d’un xorg.conf (fichier qui est sensé avoir disparu).

J’ai abandonné Mint pour installer Ubuntu (comme conseillé par la doc CUDA).

J’ai réussi la configuration avec une seule carte RADEON.

J’ai réussi la configuration avec la seule carte Nvidia.

MAIS je n’ai pas réussi à créer la configuration avec les deux cartes.

Après plusieurs jours de transpiration, j’en suis arrivé à la conclusion suivante : je suis NUL en configuration graphique GNU/Linux.

J’ai donc ravalé ma fierté, retiré ma nouvelle carte graphique, remis ma configuration d’origine GNU/Mint, et j’ai sorti un vieux PC de son placard. J’y ai installé un Ubuntu server tout frais. J’y ai placé ma carte graphique surpuissante. J’ai constaté l’absence d’alimentation dédiée… J’ai acheté cet adaptateur d’alimentation SATA vers carte vidéo PCI Express 8 broches. J’ai attendu trois jours pour la livraison.

Et j’ai maintenant un calculateur dédié aux calculs parallèles.

Je m’y connecte à distance en ssh. Je lui ai consacré un processus de sauvegarde dédié. Il a une place particulière dans mon bureau et dans mon cœur.

Il faut savoir reculer pour mieux avancer.

Avant je programmais un réseau de neurones qui travaillait sur 60 000 exemples d’apprentissage sur plusieurs semaines. Maintenant j’ai 60 000 réseaux de neurones identiques qui travaillent chacun en parallèle sur leur exemple d’apprentissage, en une nuit à une vitesse de folie sur 8 Go de mémoire graphique ultra rapide.

Le rêve d’un vieux chercheur 🙂

Mais cela, c’est une autre histoire.

La panne internet

Peu de gens le savent, mais les informaticiens subissent eux-aussi les petits tracas de l’informatique, eux qui maîtrisent pourtant l’imposition des mains et la réparation de l’ordinateur par leur seule présence. A force d’entendre parler de personnes frappées par la foudre, en pensant toujours que ça ne m’arrivera jamais, il m’est arrivée ce à quoi j’espérais échapper toute ma vie : une panne de mon fournisseur d’accès internet…

Jour 1.

A peine revenus (la veille) de nos vacances au pays du Pastel de nata, juste le temps pour mon fiston de faire chauffer les différentes manettes des consoles de jeu, encore sous la torpeur d’une fin de repas paisible, un cri retenti dans la maisonnée : PAPA, YA PU INTERNET !

En maîtrisant avec brio un haussement de sourcil, je m’approche de la box pour procéder à son redémarrage supposément salvateur. Rien n’y fait. Pour rester dans les sommets himalayens de l’estime de mon fils, je le rassure en lui disant que la box doit souffrir de la chaleur ambiante et qu’il faut la laisser se reposer un peu, ainsi que les consoles de jeu.

L’après-midi passe, tout le monde râle un peu, mais les téléphones portables me sauvent la mise. Le soir arrive, ainsi que sa fraîcheur réparatrice. Je tapote la box d’un geste familier, et je la rebranche. RIEN.

Je me couche contrarié.

Jour 2.

Voilà maintenant 24h que notre FreeBox affiche « étape 2 » dans sa procédure de démarrage et refuse obstinément d’aller plus loin. Je sors alors ma botte secrète, mon plan B, mon ami fidèle, toujours prêt à rendre service comme si nous nous étions quittés seulement hier : mon vieux modem ADSL. Je ne vous parle pas de son ancêtre électro-acoustique (que je garde au chaud dans mon musée pour sa retraite bien méritée, un 3Com U.S. Robotics 56K Message Modem). Non, il s’agit d’un Kortex Mercure 711, compatible avec tout fournisseur d’accès internet, et que j’ai, par précaution, pré-paramétré avec mon abonnement Free ADSL. Il me permet de voir si le problème vient de ma FreeBox. Je le branche à sa place, et j’attends quelques minutes pour qu’il accroche le signal… RIEN.

Ma côte de popularité descend au niveau du sommet du terril n°49, 3 de Béthune (bien connu des constitutionnalistes) quand j’annonce à ma petite famille : « ben, euh, je pense qu’il faut attendre que ça revienne tout seul… »

Avec ma tablette android munie d’une clef 4G, je contacte Free pour
leur signaler la panne. Je reçois un email m’indiquant que les équipes
techniques de Free vont mener l’enquête.

Nous avons procédé à l’ouverture d’un ticket d’incident. Notre
technicien va intervenir dans les prochains jours afin d’identifier les
causes du dysfonctionnement que vous nous signalez.

Soyez assuré que nos équipes techniques mettent tout en œuvre pour rétablir votre connexion au plus vite.

Il ne me reste plus qu’à attendre.

Jour 3.

Toujours rien.

Comme l’accès internet de la maison sert aussi d’accès internet pour le cabinet d’avocat de mon épouse (en fait, c’est même plutôt l’inverse), ma douce et tendre me fait gentiment remarquer qu’elle reprend TRES BIENTÖT son activité professionnelle, et que j’ai intérêt qu’elle puisse lire ses emails et utiliser son « cher » RPVA…

Me voici donc en quête d’une solution de secours. J’ai ma tablette android avec clef 4G sous les yeux quand je me mets à fouiller dans ses paramètres de connexion… MAIS OUI BIEN SUR : il est possible de partager la connexion de la tablette !

Jour 4.

J’ai travaillé toute la nuit, et voici le résultat :

La tablette android avec clef 4G est branchée en USB sur mon ordinateur. Celui-ci est sous GNU/Linux (Mint) et reconnaît la tablette, ainsi que le partage de connexion. J’ai activé l’IP Forwarding, le routage et les règles IPTABLES qui vont bien. Il est transformé en passerelle acceptable pour le réseau.

La FreeBox reste allumée (à la demande de Free, pour leur permettre de tester leurs équipements), mais j’ai dû désactiver sa fonctionnalité de serveur DHCP, car elle ne connaît qu’elle même comme passerelle. J’ai donc choisi de configurer mon NAS Synology en serveur DHCP pour maîtriser et centraliser la gestion des accès des différents appareils de la maison (et du cabinet). J’ai séparé mon petit monde en deux parties : ceux qui pourront avoir accès à internet (passerelle de sortie = mon PC via la tablette android avec clef 4G) et les autres (passerelle = la FreeBox qui va se réveiller c’est sur).

Nos deux cabinets professionnels ont accès à internet, les enfants non, même si tous les appareils sont toujours sur le même réseau, et les imprimantes accessibles. Le réseau RPVA est fonctionnel et mon amour (propre) est sauf.

Les enfants découvrent que l’on peut être connecté à un réseau Wifi sans avoir pour autant accès à internet.

J’arrête mon nœud Tor pour économiser la bande passante et surtout, pour économiser la quantité d’informations qui passe par la clef 4G, avant que son débit ne soit limité fortement par Orange.

Je reçois cet email de Free :

Vous nous avez informé des difficultés techniques que vous rencontrez et
nous avons ouvert un ticket d’incident pour votre abonnement Free Haut
Débit.
Nous vous signalons qu’une demande de vérification des équipements Free a été effectuée et sommes dans l’attente des résultats.
Cette
intervention est prévue dans les 7 jours ouvrés. Si toutefois passé ce
délai vous ne constatez aucune amélioration, nous vous invitons à
patienter car d’autres investigations complémentaires sont en cours.

SEPT jours !

Cela fait déjà 4 jours pleins que notre téléphone Free de fonctionne plus. Heureusement, beaucoup de nos amis ont le réflexe de nous appeler sur nos portables.

Je commence à me renseigner sur les offres alternatives de FAI, et sur la portabilité du numéro (que je souhaite conserver).

Jour 6.

Tous les jours le même rituel : aller redémarrer la FreeBox qui reste bloquée à l’étape n°2 de son initialisation. Six jours que les enfants me demandent quand internet va revenir. Six jours que ma femme et moi surfons sur internet avec modération, pour éviter les mauvaises surprises.

Nouvel email de Free :

Dans le cadre du ticket d’incident ouvert pour le dysfonctionnement que
vous nous avez signalé, une vérification des équipements Free a été
effectuée.
Cette intervention a permis d’établir que les équipements Free dont vous dépendez présentent une anomalie.
Nos techniciens travaillent actuellement sur sa résolution.
Que devez-vous faire ? – Veuillez patienter le temps de l’intervention de nos techniciens réseau, jusqu’à 7 jours ouvrés.
– Laissez votre Freebox branchée afin de récupérer automatiquement la connexion en cas de rétablissement.

J’ai vraiment l’impression d’être face à un système déshumanisé, les emails que je reçois sont envoyés d’une adresse « [email protected] », avec cette impression que quelqu’un jette un coup d’œil de temps en temps à mon problème et décide qu’il peut encore attendre une semaine…

Je décide de changer de fournisseur d’accès à internet. En existe-t-il un qui propose un accès internet stable avec garantie de temps de rétablissement en cas de panne ? J’appelle à l’aide sur Twitter.

Jour 8.

Mon graal n’existe pas. Plusieurs personnes m’ont convaincu que la seule sécurité réaliste est d’avoir des accès internet chez deux fournisseurs différents. Je choisis d’aller (à reculons) chez l’opérateur historique qui gère ma boucle locale de cuivre : Orange. En effet, pour des raisons professionnelles, nous avons toujours souhaité conserver une ligne de téléphone non dégroupée pour recevoir et émettre de façon fiable des fax.

Je souhaite donc continuer à rester en dégroupage partiel, changer de fournisseur internet ET garder mon numéro 09 Free.

Je choisis l’offre Orange LiveBox Zen sur ligne fixe.

Et bien, croyez moi, aucun des conseillers clientèle de chez Orange que j’ai contactés (via le chat en ligne, via téléphone et via la boutique Orange) n’a été capable de me vendre cette offre AVEC la portabilité du numéro SANS m’obliger à prendre une nouvelle ligne (payante). Bien que la loi les y oblige, Orange n’est pas capable de proposer une portabilité du numéro dans ce cas-là… Exit Orange.

Jour 10.

Je décide de porter mon numéro moi-même.

Je contacte OVH chez qui je crée un compte et achète une ligne
téléphonique à 1,2 euros par mois et vers laquelle je demande la
portabilité de mon numéro 09 Free.

Jour 11.

Je reçois un email de Free :

Bonjour,

Conformément à votre demande, la résiliation avec portabilité de votre numéro 09xxxxxxxx est programmée.

Vous conservez l’usage de vos services Free jusqu’au jour du portage effectif, date à laquelle votre contrat Free sera automatiquement résilié. La portabilité du 09xxxxxxxx est prévue pour le [Jour 19] sauf report ultérieur demandé par votre nouvel opérateur. Pour plus d’information, veuillez contacter le service client de votre nouvel opérateur.

Merci de la confiance que vous nous témoignez.

L’équipe Freebox

Ils m’annoncent de la résiliation de mon contrat et me remercie de la confiance que je leur témoigne… 15 années de fidélité qui se terminent en eau de boudin.

Jour 18.

Mon numéro de téléphone 09xxxxxxxx fonctionne chez OVH suite à la portabilité que j’ai demandée. J’ai enfin récupéré mon numéro de téléphone.

Le même jour, je reçois cet email de Free :

Bonjour,

Nous vous informons avoir reçu une demande de portabilité sortante de votre numéro 09xxxxxxxx vers un autre opérateur.

Cette portabilité est effective depuis ce jour.

Conformément à la législation, cette demande de portabilité vaut résiliation de votre abonnement Freebox. Celle-ci entraine la perte de tous les services liés à votre abonnement.

Si vous ne l’avez pas encore fait, merci de retourner votre Freebox (tous les boitiers et accessoires) à l’adresse suivante (…)

Je renvoie donc l’ensemble des équipements Free à l’adresse indiquée (en RAR).

Je cherche donc un FAI avec une équipe support
compétente et facile à joindre. Ça tombe bien, le courant est bien passé
avec l’équipe support d’OVH qui m’a été recommandée via Twitter par des
barbu(e)s.

Je décide de contacter OVH et de contracter avec eux sur leur offre internet ADSL Express. Cela devrait prendre moins de 10 jours. Au point où j’en suis…

Jour 25.

C’est la rentrée des classes. L’estime de mon fils envers moi sonde les profondeur du Krubera-Voronja.

Jour 28.

Je reçois les paramètres de ma (future) ligne ADSL OVH. J’apprends que la box OVH devrait arriver bientôt. J’en profite pour paramétrer mon vieux modem Kortex Mercure 711 (cf jour 2) pour le jour où la box OVH tombera en panne…

Jour 29.

Je reçois un SMS de mon épouse m’indiquant que la box OVH est arrivée o/

Je me dépêche de rentrer le soir pour tout brancher quand tout à coup, je reçois l’email suivant d’OVH :

Bonjour,

Nous avons rencontré une erreur lors de la réalisation de votre commande 56xxxxxx.

Celle-ci a été rejetée par notre opérateur de collecte pour le motif suivant: « Commande en surcharge par un autre opérateur« .

Nous vous invitons à nous contacter le plus rapidement possible via notre support pour que nous puissions faire le point ensemble. Nous vous prions de bien vouloir nous excuser pour la gêne occasionnée.

J’appelle aussitôt OVH qui me confirme bien que Free n’a toujours pas libéré la place pour qu »OVH puisse s’y mettre…

J’ai alors une idée lumineuse. Le cabinet de mon épouse, outre sa ligne FAX, dispose d’une autre ligne téléphonique fixe chez l’opérateur historique : sa ligne principale pour les clients. Je demande à mon interlocuteur s’il pense qu’il est possible chez eux de modifier la commande 56xxxxxx concernant l’ADSL sur la ligne FAX, pour la passer sur une autre ligne. Cela va-t-il créer une pagaille chez OVH, l’envoi d’une autre box, l’ouverture d’un trou noir qui va tout engloutir.

« Oui Monsieur, c’est possible, et non, cela ne posera pas de problème ».

Je croise les doigts.

Jour 32.

A ma grande surprise, je reçois cet email de Free :

Dans le cadre du ticket d’incident ouvert pour le dysfonctionnement
que vous nous avez signalé, une vérification des équipements Free a été
effectuée.
Cette intervention a permis d’établir que les équipements Free dont vous dépendez fonctionnent correctement.
Que devez-vous faire ?
– Si vous ne constatez aucune amélioration de votre côté, nous vous invitons alors à patienter : le problème est situé ailleurs sur la ligne et nos équipes techniques entament de nouvelles investigations, pendant une période allant jusqu’à 7 jours ouvrés.
(…)
– Si l’incident n’est plus d’actualité, nous espérons que votre Freebox vous apporte entière satisfaction.
(…)

Je vérifie aussitôt avec mon vieux et fidèle modem ADSL : aucun signal. Je n’ai aucun moyen de savoir si Free se moque de moi, si leurs équipements, en panne précédemment ont été réparés. De toutes façons, je m’en moque un peu.

 

N’ayant plus aucun moyen de fermer le ticket via l’interface d’administration de mon compte ADSL Free (puisque celui-ci est clos), j’ai donc appelé le numéro surtaxé du support Free pour les anciens clients (le 0825-622-732) pour leur expliquer de ne surtout pas envoyer (à mes frais) un technicien chez moi, puisque j’avais renvoyé tout leur matériel et que je ne suis plus client chez eux. J’ai été très poli, la dame que j’ai eu au téléphone aussi.

Par précaution, j’ai supprimé l’autorisation de prélèvement de Free sur mon compte bancaire, sur les conseils de plusieurs forums d’entraide. On ne sait jamais 😉

Jour 34.

J’ai reçu un questionnaire de satisfaction de Free dans le cadre de l’amélioration continue de leurs services…

J’y ai répondu.

Jour 35.

Cette nuit, la box OVH a accroché un signal ADSL sur la ligne de téléphone ad hoc. Mon fils s’est rué sur la console de jeu pour tester le lag de la connexion avec ses serveurs de jeu.

Je vous écris depuis cette nouvelle connexion, avec une certaine satisfaction.

Il me reste à transférer une deuxième fois mon 09 depuis la ligne OVH dédiée, vers mon abonnement ADSL OVH. Le support m’a dit que c’était facile à demander. Cela va me permettre de brancher mes téléphones privés sur la box OVH plutôt que de gérer des appels SIP sur mon téléphone portable. Je dois également redémarrer mon nœud Tor, vérifier le bon fonctionnement de mon Raspberry Pi qui me sert de serveur VPN et serveur DNS (non menteur).

Conclusion.

J’ai gardé plusieurs leçons de cette panne :

– je préfère désactiver le serveur DHCP de ma box et gérer moi-même ce service

– j’ai appris beaucoup sur les lourdeurs des grosses sociétés en matière de service client, surtout quand il y a une panne

– mon fils n’a aucune rancune envers moi et est capable de lire des
tonnes de livres papiers sans broncher. Il sait aussi redécouvrir les
jeux de consoles qui ne nécessitent pas un accès internet pour
fonctionner.

– OVH dispose d’un service support accessible et compétent (billet non sponsorisé)

– il faut toujours un plan B pour sa connexion internet : pour ma part, je garde précieusement ma tablette et sa clef 4G, car je sais qu’elle pourra me resauver la mise en cas de besoin. J’ai même trouvé un routeur Wifi + Clef 4G qui fait ça très bien.

Bref, j’ai survécu à une panne internet.

Les logiciels de sauvegarde

Je suis toujours en pleine recherche du Graal de la sauvegarde : l’outil universel qui permet de sauvegarder ses données, sur une fenêtre d’environ un mois, de les chiffrer, et de les restaurer facilement.

J’ai équipé la maison d’un magnifique NAS de 12 To que je souhaite dédier aux sauvegardes des différents ordinateurs, du NAS de partage de données, ainsi que des différentes tablettes et téléphones.

Voici où j’en suis de mes réflexions : ce n’est pas si simple…

Le NAS de sauvegarde est géré (très efficacement et très simplement) par OpenMediaVault. Je présente d’ailleurs la solution de principe dans ce billet.

Les ordinateurs.

Les ordinateurs de la maison sont tous de nature différente :

– deux fixes sous Windows

– un fixe sous Windows dans un réseau privée sécurisé (boîtier RPVA)

– deux portables sous Windows

– un fixe sous GNU/Linux

J’utilise le logiciel BackupPC, installé sur le serveur de sauvegarde, qui permet de sauvegarder des environnements hétérogènes. Le principal défaut, je trouve, est sa complexité de configuration, en particulier des inclusions/exclusions. J’ai fini par y arriver, mais j’ai trouvé cela fastidieux…

Je voulais utiliser le système sur tous les postes, quand je me suis rendu compte que l’ordinateur situé derrière le boîtier RPVA (Navista) n’était pas « pingable » et que le serveur de sauvegarde ne pourrait pas le joindre (alors que l’inverse est vrai). J’ai donc choisi de mettre en place un serveur VPN (OpenVPN) dédié à ce poste (sans routage) pour que le serveur puisse le voir. Ça fonctionne plutôt bien.

Puis, un internaute m’a orienté vers le logiciel Veeam Endpoint Backup Free, que je ne connaissais pas alors que j’utilise la version professionnelle au boulot. Du coup, je l’ai installé sur tous les postes sous Windows, avec l’avantage de ne pas avoir à créer un compte « backup » local. Ce logiciel crée des images ISO de boot en cas de panne et sauvegarde l’intégralité du disque dur via le mécanisme Microsoft VSS (ie les fichiers ouverts). C’est simple, gratuit, pratique et facile à utiliser. Seul défaut : la partie serveur est payante. Du coup, j’ai créé un partage Windows sur le serveur de sauvegarde, où sont stockées toutes les sauvegardes Veeam. Pour éviter la contamination par cryptovirus, j’ai préféré créer un partage différent pour chaque PC sauvegardé (avec un user différent, invisible des autres). Exit donc la déduplication…

Enfin, pour le PC sous GNU/Linux (Mint), j’utilise BackupPC qui fonctionne, mais je teste aussi Back In Time qui a l’air très efficace (et très simple à paramétrer).

Le NAS familial.

Il s’agit d’un Synology DS713+ encore pour l’instant sous DSM 5.2 (la v6 vient juste de sortir). Il s’agit d’un système d’exploitation utilisant un noyau Linux, et donc qui possède les outils rsync(d). J’utilise donc BackupPC pour le sauvegarder et cela fonctionne très bien.

Les tablettes et téléphones.

C’est pour l’instant en stand-by… J’utilise les comptes Google créés pour chaque appareil Android, et iTunes/iCloud pour les appareils Apple. Certains vieux téléphones doivent être sauvegardés à la main sur le PC de son propriétaire, le PC étant ensuite sauvegardé par le système décrit précédemment…

La todo list.

L’externalisation des sauvegardes. Vu la masse de données, il faut sélectionner les données intéressantes et les isoler sur un disque dur USB branché sur le serveur de sauvegarde. A moins que je n’utilise mon vieux NAS Synology DS209j, très lent, mais qui pourrait embarquer deux disques 4To en RAID0, soit 8To.

Le chiffrement n’est pas encore traité. Je vise surtout le disque dur qui sera externalisé. La commande gpg devrait faire l’affaire…

Il y a encore beaucoup de logiciels excellents à tester. J’ai plusieurs envies, comme par exemple Duplicity.

Je vais regarder également du côté des outils pro abordables. J’attends en particulier avec impatience la sortie de l’agent Veeam pour Linux.

Enfin, il faudra bien arrêter une politique de sauvegarde, avec une liste restreinte de logiciels et de procédures de restauration. C’est très bien de jouer avec les outils, mais il va falloir décider.

Si vous avez des conseils, des idées, des retours d’expérience, n’hésitez pas à m’en faire part, en commentaires ou par email 😉

Tout sauvegarder (suite)

Le 31 mars est la journée mondiale de la sauvegarde. Faut-il vraiment une journée mondiale pour vous sensibiliser sur ce sujet, je ne pense pas… Pour autant, il est parfois utile de se pencher sur ce problème, et j’en profite pour vous faire un petit retour d’expérience, si ça peut aider quelqu’un. 

Les histoires pour faire peur.

Si je fais appel un peu à ma mémoire, j’ai quelques histoires horribles à raconter :

– un ami qui a perdu définitivement 3 semaines de photos de ses dernières vacances (disque dur externe HS, pas de copie)

– une entreprise qui a fermé parce que son serveur est tombé en panne pendant la sauvegarde (disque dur HS, sauvegarde en cours rendue inutilisable, je raconte cette histoire ici)

– des copains DSI qui m’ont remonté des pertes de données à cause de cryptovirus (données récupérées à partir des sauvegardes, travail de la journée perdu)

– un avocat m’appelant à l’aide après la perte de toutes les données de son cabinet (destruction par vandalisme)

– une collègue dont la maison a entièrement brûlé

– je ne compte plus les messages sur Facebook ou sur Twitter d’un étudiant ayant perdu plusieurs années de travail lors du vol de son ordinateur portable… 

Le problème.

Je souhaite mettre à l’abri les données informatiques de la maison, et qui se trouvent sur les ordinateurs de mes enfants (2 fixes et un portable), sur ceux du cabinet d’avocat de mon épouse, sur ceux de mon cabinet d’expertise informatique, sur les tablettes, sur les téléphones mobiles et sur le système de stockage collectif de la maison (un NAS Synology) qui regroupe toutes les photos et films familiaux. Il faut penser aux pertes de données par incendie (toute la maison brûle), par destruction (in)volontaire, par cambriolage et par attaque virale (j’ai très peur des cryptovirus). 

Ma solution.

Un système local dédié au stockage des sauvegardes, plus un système de synchronisation vers l’extérieur. Les données confidentielles seront chiffrées avant sauvegarde.

Voyons tout cela de plus près. 

Le stockage local.

J’ai testé plusieurs solutions (FreeNAS, OpenMediaVault, NAS4Free, OpenFiler, Amahi, NexentaStor, ZFSguru…) pour finalement retenir celle présentée dans ce précédent billet, à savoir OpenMediaVault. Je voulais éviter une solution Windows, trop sensible aux attaques virales, je cherchais une solution open source bien maintenue par sa communauté, et j’ai un faible pour les solutions sous Debian, distribution que je connais bien et que j’apprécie. J’ai eu un peu peur de me lancer dans des solutions un peu exotiques (même si le système de fichiers ZFS me semble très intéressant).

J’ai donc acheté un MicroServer Gen 8 HP sur Amazon pour 219 euros TTC que j’ai reçu quelques jours plus tard, et que j’ai immédiatement rempli avec deux barrettes mémoires de 8Go, quatre disques de 4 To (disques que j’utilise traditionnellement pour les expertises) et un petit disque SSD de 64 Go. J’ai ensuite procédé à l’installation en suivant la procédure de l’Atelier du Geek décrite dans ce billet.

Me voici donc à la tête d’un NAS DIY magnifique d’une capacité de 10 To répartie sur 4 disques en RAID5, que je vais destiner UNIQUEMENT aux sauvegardes des données familiales (et aussi aux données temporaires volumineuses générées lors de mes expertises judiciaires). 

Le logiciel de sauvegarde.

Là aussi, j’ai fait beaucoup d’essais : Areca Backup, BackupPC, Bonkey, DeltaCopy, FreeFileSync, etc. J’ai lu beaucoup d’articles, suivis les conseils donnés par vos commentaires sous ce billet. J’ai beaucoup rêvé d’un clone GNU/Linux du splendide logiciel Apple Time Machine, mais malheureusement, je n’ai pas trouvé.

J’ai choisi BackupPC pour ses performances, malgré une configuration que je trouve complexe. Il gère très bien la déduplication pour optimiser la place prise par les sauvegardes, il comprime les données, automatise très simplement les sauvegardes et gère très bien les ordinateurs connecté de façon aléatoire (les portables par exemple).

L’installation de BackupPC en parallèle à OpenMediaVault, et sa configuration, feront l’objet d’un billet technique séparé (Travail en cours, mais en gros, j’ai suivi ce billet). 

Le circuit des données.

Tous les ordinateurs de la maison ont accès à un NAS Synology de 4 To (deux disques en RAID1) qui stocke les photos et vidéos familiales, mais qui servait également au stockage des sauvegardes. Aujourd’hui, les sauvegardes de chaque poste sont faites directement vers le nouveau système de sauvegarde, ainsi que la sauvegarde du NAS Synology lui-même.

J’ai fait une exception pour les ordinateurs du cabinet d’avocat dont les données sont chiffrées avant d’être exportées. Je n’ai pas encore modifié ce système qui fonctionne bien. Je n’ai pas encore eu le temps de creuser ce point avec BackupPC. 

L’externalisation en cas d’incendie.

Mes enfants utilisent (ou pas) le Google Drive mis à disposition par le Google/apps familial. Pour ma part, étant sous GNU/Linux, je n’étais pas satisfait des clones permettant d’accéder à mon Google Drive professionnel (pourtant à capacité illimitée ! ). J’ai donc installé sur le NAS familial le logiciel OwnCloud, pour me permettre de synchroniser certaines données avec plusieurs ordinateurs, dont celui que j’utilise au boulot.

Ce système fonctionne très bien, mais ne contient pas toutes les données qui sont sauvegardées par BackupPC. C’est un point sur lequel je dois encore travailler. Je pense tout simplement installer OwnCloud sur le système de sauvegarde OpenMediaVault/BackupPC.

J’ai un disque perso de 4 To qui continue de tourner entre le boulot et la maison, pour l’ensemble des données essentielles (rotation tous les 6 mois). 

Bilan provisoire.

Le cube HP MicroServer Gen8 est très silencieux et son prix vraiment attractif. Son processeur est un peu poussif, et semble être son point faible puisqu’il passe à 100% si deux sauvegardes sont en cours, mais il fait très bien l’affaire.

OpenMediaVault est d’une simplicité remarquable et d’une qualité professionnelle aboutie.

BackupPC est complexe mais efficace. Je pense être encore très loin d’avoir fait le tour de toutes ses possibilités. Par contre, dès qu’un clone fiable de Time Machine sortira…

Quand tout le système sera en place et stabilisé, cela fera un total de 6 disques durs de 4 To destinées aux sauvegardes :

– 4 dans le NAS de sauvegarde

– 1 dans le PC du boulot pour OwnCloud

– 1 hors ligne stocké au boulot.

Cela représente un coût non négligeable, mais qui me paraît dérisoire face à la perte DEFINITIVE des données concernées.

Quelque soit la manière dont vous gérez vos données numériques, le plus important est de veiller à ce que les données les plus chères à vos yeux soient stockées à plusieurs endroits et résistent à un effacement accidentel, à un vol, à une destruction ou à un chiffrement frauduleux.

Pensez-y.

Le Cloud privé des avocats

Les avocats, ou plutôt le Conseil National des Barreaux (CNB), ont décidé de mettre un coup d’accélérateur à leur évolution vers le numérique en ouvrant un service baptisé « Cloud privé des avocats » (avec une majuscule à Cloud). Voici un extrait de la présentation de ce service sur le site du CNB:

Le Cloud privé des avocats, est une solution à haut niveau de sécurité disponible dès à présent. Dédié exclusivement aux avocats inscrits à un barreau français et en exercice, le Cloud privé garantit la confidentialité des correspondances et le secret professionnel. Inscrivez-vous dès maintenant pour profiter de tous ses avantages !

Le Cloud privé des avocats vous propose :
      une adresse de messagerie @avocat-conseil.fr permettant l’envoi de messages sécurisés vers vos confrères et vos clients ;
      un carnet d’adresses ;
      un agenda ;
      un gestionnaire de tâches ;
      un espace de stockage en ligne ;
      une suite de logiciels de bureautique (en option) ;
      un archivage chiffré ;
      l’envoi de vos courriels chiffrés vers vos clients.

J’ai pu tester ce service (enfin surtout la messagerie), voici quelques unes de mes impressions.

L’installation.

Tout étant en ligne, il n’y a rien à installer sur l’ordinateur: il suffit d’activer le service depuis le site, en suivant les indications que j’ai trouvées bien faites. Seul bémol: l’adresse email au format pré[email protected] devient l’adresse par défaut de réception des alertes RPVA… Petite suée froide avant de me rendre compte qu’il est possible de reparamétrer le compte afin de rétablir l’adresse habituellement utilisée par le cabinet. Un point positif, qui est de bon augure pour faciliter l’adoption de l’outil par l’ensemble des utilisateurs.

Le concept.

Le CNB souhaite mettre en place, avec le « Cloud privé des avocats », un espace d’échanges et de stockages sécurisés. Il y a plusieurs approches possibles, et celle qui a été retenue est celle de la centralisation dans le nuage. C’est une approche risquée dans la mesure où les cabinets d’avocat ont une pratique de la gestion de la sécurité en général localisée à leur cabinet, où ils doivent assurer un haut niveau de confidentialité. Mais l’arrivée du RPVA a ouvert la profession à une gestion collective de la sécurité, même si l’on peut regretter certains choix techniques. L’importance des échanges par emails dans une majorité de dossiers imposait une avancée sur le problème de leur sécurisation.

Le choix du type de chiffrement.

Le marché des messageries chiffrées est en plein essor depuis les révélations d’Edward Snowden et la mise en évidence d’une surveillance généralisée des communications électroniques. Je peux citer un beau projet tel que Protonmail. qui permet d’envoyer des emails sécurisés, mais reste compatible avec les messageries classiques. Le CNB a fait le choix de l’environnement Open-Xchange et de son extension OX Guard. Ces outils utilisent l’excellent système de clefs PGP. Le système crée pour chaque avocat une clef privée et une clef publique. Tout est fait pour que l’ensemble soit très simple à l’usage: quand vous envoyez un email à un autre avocat, vous choisissez si vous voulez le chiffrer et/ou le signer, en cliquant sur des cases à cocher. Vous pouvez insérer des images (emails au format HTML) ou des pièces jointes, l’ensemble sera chiffré. C’est simple quand on connaît bien les concepts techniques.

Les défauts relevés.

Sans prétendre avoir testé tous les aspects du « Cloud privé des avocats », j’ai fait des essais assez simples qui ont montré qu’il restait quelques problèmes à résoudre:

1) Je n’ai pas remarqué de système d’accusé de réception et d’accusé de lecture.

2) Les clefs privées/publiques ont une durée de validité de 10 ans, ce qui est très long.

3) Je n’ai pas vu de système de révocation des clefs

4) Un couple de clefs est créé pour tous les correspondants extérieurs, même si ceux-ci en disposent déjà ! C’est très gênant pour la majorité des logiciels de messagerie qui vont devoir demander aux utilisateurs quelle clef utiliser parmi plusieurs, pour la même adresse email !

5) Les clefs privées sont gérées par un système centralisé qui, s’il est compromis, va compromettre l’ensemble des correspondances sécurisées. Cela me semble un risque important en matière de sécurité.

6) Les clefs publiques ne sont pas publiées sur un serveur public, ce qui interdit à un correspondant extérieur de contacter facilement un avocat de manière sécurisé.

7) Lorsque l’on insère une image dans un email HTML chiffré destiné à un correspondant extérieur, l’image peut ne pas être transmise dans le message.

Ma conclusion.

Je trouve formidable qu’une profession sensible à la confidentialité fasse l’effort de s’équiper d’un outil numérique assurant celle-ci. Je suis heureux que le CNB ait fait le choix d’un système de cryptographie à clé publique tel que PGP comme méthode de chiffrement. Je pense par contre qu’un gros effort va devoir être fait pour expliquer son fonctionnement et ses limites. Il va falloir rappeler, par exemple, que les sujets des emails ne sont pas chiffrés (ils sont souvent utilisés par les avocats pour rappeler les références de leurs dossiers). Il va falloir faire cohabiter plusieurs adresses emails dans les cabinets ayant déjà leurs noms de domaine.

L’avenir dira si ses écueils seront surmontables.