TL;DR : Si j’ai un conseil à donner aux professions libérales et aux indépendants, c’est de couper le réseau wifi de leur cabinet professionnel rapidement.

C’est toujours un peu casse-gueule pour moi de faire un billet sur la sécurité informatique. Alors je vais commencer par une citation :

“La sécurité est un échec car personne, quel que soit son niveau de
compétences et l’énergie investie dans l’administration de ses systèmes,
ne peut prétendre être invulnérable.”

Newsoft La preuve que la sécurité est un échec

Même les meilleurs se font pirater. Croire être en sécurité derrière ses barrières informatiques est une illusion.

Une fois qu’on a bien compris cela, il faut minimiser l’impact d’un piratage (qui aura lieu un jour) : faire des sauvegardes, réfléchir aux conséquences d’un piratage, faire de la veille, définir un niveau de sécurité et investir suffisamment, etc. Il faut limiter autant que faire se peut l’impact d’un piratage et la surface d’attaque.

La sécurité informatique est une discipline complexe de l’informatique, car elle nécessite de connaître et comprendre un très grand nombre de mécanismes dans la plupart des branches de l’informatique. En tant qu’informaticien “généraliste”, je suis toujours stupéfait par le niveau des conférences sur la sécurité auxquelles j’assiste (c’est une manière détournée de dire que je suis nul).

Alors, quand j’ai appris que les réseaux wifi sécurisés en WPA2 (meilleure sécurisation disponible au moment de l’écriture de ce billet) étaient compromis par la technique de “Key reinstallation attacks” (KRACK), j’ai tout de suite éteint toutes les bornes wifi de la maison, par précaution.

Et bien sur, je n’ai eu de cesse depuis de chercher à les rallumer. Parce que le sans fil, c’est quand même pratique…

J’ai fait un petit audit interne du réseau familial : l’étage des enfants est uniquement en wifi (pas de prises RJ45), tous nos téléphones sont souvent connectés au wifi (mauvaise couverture 3G/4G, sauf au grenier) et nos vieilles tablettes ne fonctionnent qu’en wifi. Tous les ordinateurs fixes sur rez-de-chaussée sont en filaire (bureau pro de mon épouse, mon bureau d’expertise, NAS, serveur de sauvegarde, PS4, Xbox, Zotac, Raspbery Pi, etc.)

Tout ce petit monde formait jusqu’à présent un seul réseau (wifi et filaire). Je sais, c’était une erreur. Une erreur que j’ai essayé de réparer.

Une fois le wifi éteint, j’ai tiré des câbles dans les cloisons de l’étage pour que chaque pièce puisse disposer d’un câble RJ45 haut débit. Un petit switch dans le plafond, relié à l’ancien branchement RJ45 de la borne wifi de l’étage, et hop tout le monde était de nouveau branché (travail en cours, POC en place).

Le réseau familial et le réseau professionnel de la maison sont maintenant séparés par un routeur (par le premier routeur que j’avais sous la main : j’ai utilisé les ports WAN/LAN d’une ancienne borne wifi dont le wifi est désactivé). La logique d’accès est la suivante : réseau pro -> réseau familial -> accès internet. Les NAS, imprimantes et autres ressources communes sont sur le réseau familial pour être accessibles à tous.

Comme j’ai la chance d’avoir un abonnement téléphonique professionnel qui inclut une carte SIM supplémentaire avec DATA, j’avais prévu de m’en servir d’accès de secours à internet, “au cas où”. J’ai plutôt fait l’achat d’un routeur wifi 4G, et allumé un réseau wifi indépendant de la box du FAI de mon réseau filaire.

J’ai donc maintenant les deux réseaux filaires sur mon FAI principal, et un réseau wifi (indépendant des réseaux filaires) sur mon FAI de secours.

J’ai demandé aux enfants un usage “raisonnable” du wifi pour éviter d’atteindre le niveau de consommation à partir duquel le débit est bridé sur ma carte SIM de secours (donc si possible, pas de streaming vidéo sur le wifi).

Pour résumé, si vous avez une activité professionnelle “sensible” et que vous voulez quand même du wifi, je vous conseille d’investir dans un deuxième abonnement internet, pour créer un réseau séparé, dédié au wifi. Si le prix vous fait grincer des dents, dites vous que ça vous sauvera la vie quand votre FAI principal vous laissera en panne pendant un mois…

Sinon, sans fil = sans filet. Surtout si vous acceptez d’y connecter des appareils android anciens.

Enfin, c’est vous qui voyez…

PS: Ceux qui cachent leur SSID en pensant être protégés, je vous laisse regarder du côté d’airodump et scapy…

Peu de gens le savent, mais les informaticiens subissent eux-aussi les petits tracas de l’informatique, eux qui maîtrisent pourtant l’imposition des mains et la réparation de l’ordinateur par leur seule présence. A force d’entendre parler de personnes frappées par la foudre, en pensant toujours que ça ne m’arrivera jamais, il m’est arrivée ce à quoi j’espérais échapper toute ma vie : une panne de mon fournisseur d’accès internet…

Jour 1.

A peine revenus (la veille) de nos vacances au pays du Pastel de nata, juste le temps pour mon fiston de faire chauffer les différentes manettes des consoles de jeu, encore sous la torpeur d’une fin de repas paisible, un cri retenti dans la maisonnée : PAPA, YA PU INTERNET !

En maîtrisant avec brio un haussement de sourcil, je m’approche de la box pour procéder à son redémarrage supposément salvateur. Rien n’y fait. Pour rester dans les sommets himalayens de l’estime de mon fils, je le rassure en lui disant que la box doit souffrir de la chaleur ambiante et qu’il faut la laisser se reposer un peu, ainsi que les consoles de jeu.

L’après-midi passe, tout le monde râle un peu, mais les téléphones portables me sauvent la mise. Le soir arrive, ainsi que sa fraîcheur réparatrice. Je tapote la box d’un geste familier, et je la rebranche. RIEN.

Je me couche contrarié.

Jour 2.

Voilà maintenant 24h que notre FreeBox affiche “étape 2” dans sa procédure de démarrage et refuse obstinément d’aller plus loin. Je sors alors ma botte secrète, mon plan B, mon ami fidèle, toujours prêt à rendre service comme si nous nous étions quittés seulement hier : mon vieux modem ADSL. Je ne vous parle pas de son ancêtre électro-acoustique (que je garde au chaud dans mon musée pour sa retraite bien méritée, un 3Com U.S. Robotics 56K Message Modem). Non, il s’agit d’un Kortex Mercure 711, compatible avec tout fournisseur d’accès internet, et que j’ai, par précaution, pré-paramétré avec mon abonnement Free ADSL. Il me permet de voir si le problème vient de ma FreeBox. Je le branche à sa place, et j’attends quelques minutes pour qu’il accroche le signal… RIEN.

Ma côte de popularité descend au niveau du sommet du terril n°49, 3 de Béthune (bien connu des constitutionnalistes) quand j’annonce à ma petite famille : “ben, euh, je pense qu’il faut attendre que ça revienne tout seul…”

Avec ma tablette android munie d’une clef 4G, je contacte Free pour
leur signaler la panne. Je reçois un email m’indiquant que les équipes
techniques de Free vont mener l’enquête.

Nous avons procédé à l’ouverture d’un ticket d’incident. Notre
technicien va intervenir dans les prochains jours afin d’identifier les
causes du dysfonctionnement que vous nous signalez.

Soyez assuré que nos équipes techniques mettent tout en œuvre pour rétablir votre connexion au plus vite.

Il ne me reste plus qu’à attendre.

Jour 3.

Toujours rien.

Comme l’accès internet de la maison sert aussi d’accès internet pour le cabinet d’avocat de mon épouse (en fait, c’est même plutôt l’inverse), ma douce et tendre me fait gentiment remarquer qu’elle reprend TRES BIENTÖT son activité professionnelle, et que j’ai intérêt qu’elle puisse lire ses emails et utiliser son “cher” RPVA…

Me voici donc en quête d’une solution de secours. J’ai ma tablette android avec clef 4G sous les yeux quand je me mets à fouiller dans ses paramètres de connexion… MAIS OUI BIEN SUR : il est possible de partager la connexion de la tablette !

Jour 4.

J’ai travaillé toute la nuit, et voici le résultat :

La tablette android avec clef 4G est branchée en USB sur mon ordinateur. Celui-ci est sous GNU/Linux (Mint) et reconnaît la tablette, ainsi que le partage de connexion. J’ai activé l’IP Forwarding, le routage et les règles IPTABLES qui vont bien. Il est transformé en passerelle acceptable pour le réseau.

La FreeBox reste allumée (à la demande de Free, pour leur permettre de tester leurs équipements), mais j’ai dû désactiver sa fonctionnalité de serveur DHCP, car elle ne connaît qu’elle même comme passerelle. J’ai donc choisi de configurer mon NAS Synology en serveur DHCP pour maîtriser et centraliser la gestion des accès des différents appareils de la maison (et du cabinet). J’ai séparé mon petit monde en deux parties : ceux qui pourront avoir accès à internet (passerelle de sortie = mon PC via la tablette android avec clef 4G) et les autres (passerelle = la FreeBox qui va se réveiller c’est sur).

Nos deux cabinets professionnels ont accès à internet, les enfants non, même si tous les appareils sont toujours sur le même réseau, et les imprimantes accessibles. Le réseau RPVA est fonctionnel et mon amour (propre) est sauf.

Les enfants découvrent que l’on peut être connecté à un réseau Wifi sans avoir pour autant accès à internet.

J’arrête mon nœud Tor pour économiser la bande passante et surtout, pour économiser la quantité d’informations qui passe par la clef 4G, avant que son débit ne soit limité fortement par Orange.

Je reçois cet email de Free :

Vous nous avez informé des difficultés techniques que vous rencontrez et
nous avons ouvert un ticket d’incident pour votre abonnement Free Haut
Débit.
Nous vous signalons qu’une demande de vérification des équipements Free a été effectuée et sommes dans l’attente des résultats.
Cette
intervention est prévue dans les 7 jours ouvrés. Si toutefois passé ce
délai vous ne constatez aucune amélioration, nous vous invitons à
patienter car d’autres investigations complémentaires sont en cours.

SEPT jours !

Cela fait déjà 4 jours pleins que notre téléphone Free de fonctionne plus. Heureusement, beaucoup de nos amis ont le réflexe de nous appeler sur nos portables.

Je commence à me renseigner sur les offres alternatives de FAI, et sur la portabilité du numéro (que je souhaite conserver).

Jour 6.

Tous les jours le même rituel : aller redémarrer la FreeBox qui reste bloquée à l’étape n°2 de son initialisation. Six jours que les enfants me demandent quand internet va revenir. Six jours que ma femme et moi surfons sur internet avec modération, pour éviter les mauvaises surprises.

Nouvel email de Free :

Dans le cadre du ticket d’incident ouvert pour le dysfonctionnement que
vous nous avez signalé, une vérification des équipements Free a été
effectuée.
Cette intervention a permis d’établir que les équipements Free dont vous dépendez présentent une anomalie. Nos techniciens travaillent actuellement sur sa résolution.
Que devez-vous faire ? – Veuillez patienter le temps de l’intervention de nos techniciens réseau, jusqu’à 7 jours ouvrés.
– Laissez votre Freebox branchée afin de récupérer automatiquement la connexion en cas de rétablissement.

J’ai vraiment l’impression d’être face à un système déshumanisé, les emails que je reçois sont envoyés d’une adresse “[email protected]”, avec cette impression que quelqu’un jette un coup d’œil de temps en temps à mon problème et décide qu’il peut encore attendre une semaine…

Je décide de changer de fournisseur d’accès à internet. En existe-t-il un qui propose un accès internet stable avec garantie de temps de rétablissement en cas de panne ? J’appelle à l’aide sur Twitter.

Jour 8.

Mon graal n’existe pas. Plusieurs personnes m’ont convaincu que la seule sécurité réaliste est d’avoir des accès internet chez deux fournisseurs différents. Je choisis d’aller (à reculons) chez l’opérateur historique qui gère ma boucle locale de cuivre : Orange. En effet, pour des raisons professionnelles, nous avons toujours souhaité conserver une ligne de téléphone non dégroupée pour recevoir et émettre de façon fiable des fax.

Je souhaite donc continuer à rester en dégroupage partiel, changer de fournisseur internet ET garder mon numéro 09 Free.

Je choisis l’offre Orange LiveBox Zen sur ligne fixe.

Et bien, croyez moi, aucun des conseillers clientèle de chez Orange que j’ai contactés (via le chat en ligne, via téléphone et via la boutique Orange) n’a été capable de me vendre cette offre AVEC la portabilité du numéro SANS m’obliger à prendre une nouvelle ligne (payante). Bien que la loi les y oblige, Orange n’est pas capable de proposer une portabilité du numéro dans ce cas-là… Exit Orange.

Jour 10.

Je décide de porter mon numéro moi-même.

Je contacte OVH chez qui je crée un compte et achète une ligne
téléphonique à 1,2 euros par mois et vers laquelle je demande la
portabilité de mon numéro 09 Free.

Jour 11.

Je reçois un email de Free :

Bonjour,

Conformément à votre demande, la résiliation avec portabilité de votre numéro 09xxxxxxxx est programmée.

Vous conservez l’usage de vos services Free jusqu’au jour du portage effectif, date à laquelle votre contrat Free sera automatiquement résilié. La portabilité du 09xxxxxxxx est prévue pour le [Jour 19] sauf report ultérieur demandé par votre nouvel opérateur. Pour plus d’information, veuillez contacter le service client de votre nouvel opérateur.

Merci de la confiance que vous nous témoignez.

L’équipe Freebox

Ils m’annoncent de la résiliation de mon contrat et me remercie de la confiance que je leur témoigne… 15 années de fidélité qui se terminent en eau de boudin.

Jour 18.

Mon numéro de téléphone 09xxxxxxxx fonctionne chez OVH suite à la portabilité que j’ai demandée. J’ai enfin récupéré mon numéro de téléphone.

Le même jour, je reçois cet email de Free :

Bonjour,

Nous vous informons avoir reçu une demande de portabilité sortante de votre numéro 09xxxxxxxx vers un autre opérateur.

Cette portabilité est effective depuis ce jour.

Conformément à la législation, cette demande de portabilité vaut résiliation de votre abonnement Freebox. Celle-ci entraine la perte de tous les services liés à votre abonnement.

Si vous ne l’avez pas encore fait, merci de retourner votre Freebox (tous les boitiers et accessoires) à l’adresse suivante (…)

Je renvoie donc l’ensemble des équipements Free à l’adresse indiquée (en RAR).

Je cherche donc un FAI avec une équipe support
compétente et facile à joindre. Ça tombe bien, le courant est bien passé
avec l’équipe support d’OVH qui m’a été recommandée via Twitter par des
barbu(e)s.

Je décide de contacter OVH et de contracter avec eux sur leur offre internet ADSL Express. Cela devrait prendre moins de 10 jours. Au point où j’en suis…

Jour 25.

C’est la rentrée des classes. L’estime de mon fils envers moi sonde les profondeur du Krubera-Voronja.

Jour 28.

Je reçois les paramètres de ma (future) ligne ADSL OVH. J’apprends que la box OVH devrait arriver bientôt. J’en profite pour paramétrer mon vieux modem Kortex Mercure 711 (cf jour 2) pour le jour où la box OVH tombera en panne…

Jour 29.

Je reçois un SMS de mon épouse m’indiquant que la box OVH est arrivée o/

Je me dépêche de rentrer le soir pour tout brancher quand tout à coup, je reçois l’email suivant d’OVH :

Bonjour,

Nous avons rencontré une erreur lors de la réalisation de votre commande 56xxxxxx.

Celle-ci a été rejetée par notre opérateur de collecte pour le motif suivant: “Commande en surcharge par un autre opérateur“.

Nous vous invitons à nous contacter le plus rapidement possible via notre support pour que nous puissions faire le point ensemble. Nous vous prions de bien vouloir nous excuser pour la gêne occasionnée.

J’appelle aussitôt OVH qui me confirme bien que Free n’a toujours pas libéré la place pour qu”OVH puisse s’y mettre…

J’ai alors une idée lumineuse. Le cabinet de mon épouse, outre sa ligne FAX, dispose d’une autre ligne téléphonique fixe chez l’opérateur historique : sa ligne principale pour les clients. Je demande à mon interlocuteur s’il pense qu’il est possible chez eux de modifier la commande 56xxxxxx concernant l’ADSL sur la ligne FAX, pour la passer sur une autre ligne. Cela va-t-il créer une pagaille chez OVH, l’envoi d’une autre box, l’ouverture d’un trou noir qui va tout engloutir.

“Oui Monsieur, c’est possible, et non, cela ne posera pas de problème”.

Je croise les doigts.

Jour 32.

A ma grande surprise, je reçois cet email de Free :

Dans le cadre du ticket d’incident ouvert pour le dysfonctionnement
que vous nous avez signalé, une vérification des équipements Free a été
effectuée.
Cette intervention a permis d’établir que les équipements Free dont vous dépendez fonctionnent correctement.
Que devez-vous faire ?
– Si vous ne constatez aucune amélioration de votre côté, nous vous invitons alors à patienter : le problème est situé ailleurs sur la ligne et nos équipes techniques entament de nouvelles investigations, pendant une période allant jusqu’à 7 jours ouvrés.
(…)
– Si l’incident n’est plus d’actualité, nous espérons que votre Freebox vous apporte entière satisfaction.
(…)

Je vérifie aussitôt avec mon vieux et fidèle modem ADSL : aucun signal. Je n’ai aucun moyen de savoir si Free se moque de moi, si leurs équipements, en panne précédemment ont été réparés. De toutes façons, je m’en moque un peu.

 

N’ayant plus aucun moyen de fermer le ticket via l’interface d’administration de mon compte ADSL Free (puisque celui-ci est clos), j’ai donc appelé le numéro surtaxé du support Free pour les anciens clients (le 0825-622-732) pour leur expliquer de ne surtout pas envoyer (à mes frais) un technicien chez moi, puisque j’avais renvoyé tout leur matériel et que je ne suis plus client chez eux. J’ai été très poli, la dame que j’ai eu au téléphone aussi.

Par précaution, j’ai supprimé l’autorisation de prélèvement de Free sur mon compte bancaire, sur les conseils de plusieurs forums d’entraide. On ne sait jamais 😉

Jour 34.

J’ai reçu un questionnaire de satisfaction de Free dans le cadre de l’amélioration continue de leurs services…

J’y ai répondu.

Jour 35.

Cette nuit, la box OVH a accroché un signal ADSL sur la ligne de téléphone ad hoc. Mon fils s’est rué sur la console de jeu pour tester le lag de la connexion avec ses serveurs de jeu.

Je vous écris depuis cette nouvelle connexion, avec une certaine satisfaction.

Il me reste à transférer une deuxième fois mon 09 depuis la ligne OVH dédiée, vers mon abonnement ADSL OVH. Le support m’a dit que c’était facile à demander. Cela va me permettre de brancher mes téléphones privés sur la box OVH plutôt que de gérer des appels SIP sur mon téléphone portable. Je dois également redémarrer mon nœud Tor, vérifier le bon fonctionnement de mon Raspberry Pi qui me sert de serveur VPN et serveur DNS (non menteur).

Conclusion.

J’ai gardé plusieurs leçons de cette panne :

– je préfère désactiver le serveur DHCP de ma box et gérer moi-même ce service

– j’ai appris beaucoup sur les lourdeurs des grosses sociétés en matière de service client, surtout quand il y a une panne

– mon fils n’a aucune rancune envers moi et est capable de lire des
tonnes de livres papiers sans broncher. Il sait aussi redécouvrir les
jeux de consoles qui ne nécessitent pas un accès internet pour
fonctionner.

– OVH dispose d’un service support accessible et compétent (billet non sponsorisé)

– il faut toujours un plan B pour sa connexion internet : pour ma part, je garde précieusement ma tablette et sa clef 4G, car je sais qu’elle pourra me resauver la mise en cas de besoin. J’ai même trouvé un routeur Wifi + Clef 4G qui fait ça très bien.

Bref, j’ai survécu à une panne internet.

Je suis toujours en pleine recherche du Graal de la sauvegarde : l’outil universel qui permet de sauvegarder ses données, sur une fenêtre d’environ un mois, de les chiffrer, et de les restaurer facilement.

J’ai équipé la maison d’un magnifique NAS de 12 To que je souhaite dédier aux sauvegardes des différents ordinateurs, du NAS de partage de données, ainsi que des différentes tablettes et téléphones.

Voici où j’en suis de mes réflexions : ce n’est pas si simple…

Le NAS de sauvegarde est géré (très efficacement et très simplement) par OpenMediaVault. Je présente d’ailleurs la solution de principe dans ce billet.

Les ordinateurs.

Les ordinateurs de la maison sont tous de nature différente :

– deux fixes sous Windows

– un fixe sous Windows dans un réseau privée sécurisé (boîtier RPVA)

– deux portables sous Windows

– un fixe sous GNU/Linux

J’utilise le logiciel BackupPC, installé sur le serveur de sauvegarde, qui permet de sauvegarder des environnements hétérogènes. Le principal défaut, je trouve, est sa complexité de configuration, en particulier des inclusions/exclusions. J’ai fini par y arriver, mais j’ai trouvé cela fastidieux…

Je voulais utiliser le système sur tous les postes, quand je me suis rendu compte que l’ordinateur situé derrière le boîtier RPVA (Navista) n’était pas “pingable” et que le serveur de sauvegarde ne pourrait pas le joindre (alors que l’inverse est vrai). J’ai donc choisi de mettre en place un serveur VPN (OpenVPN) dédié à ce poste (sans routage) pour que le serveur puisse le voir. Ça fonctionne plutôt bien.

Puis, un internaute m’a orienté vers le logiciel Veeam Endpoint Backup Free, que je ne connaissais pas alors que j’utilise la version professionnelle au boulot. Du coup, je l’ai installé sur tous les postes sous Windows, avec l’avantage de ne pas avoir à créer un compte “backup” local. Ce logiciel crée des images ISO de boot en cas de panne et sauvegarde l’intégralité du disque dur via le mécanisme Microsoft VSS (ie les fichiers ouverts). C’est simple, gratuit, pratique et facile à utiliser. Seul défaut : la partie serveur est payante. Du coup, j’ai créé un partage Windows sur le serveur de sauvegarde, où sont stockées toutes les sauvegardes Veeam. Pour éviter la contamination par cryptovirus, j’ai préféré créer un partage différent pour chaque PC sauvegardé (avec un user différent, invisible des autres). Exit donc la déduplication…

Enfin, pour le PC sous GNU/Linux (Mint), j’utilise BackupPC qui fonctionne, mais je teste aussi Back In Time qui a l’air très efficace (et très simple à paramétrer).

Le NAS familial.

Il s’agit d’un Synology DS713+ encore pour l’instant sous DSM 5.2 (la v6 vient juste de sortir). Il s’agit d’un système d’exploitation utilisant un noyau Linux, et donc qui possède les outils rsync(d). J’utilise donc BackupPC pour le sauvegarder et cela fonctionne très bien.

Les tablettes et téléphones.

C’est pour l’instant en stand-by… J’utilise les comptes Google créés pour chaque appareil Android, et iTunes/iCloud pour les appareils Apple. Certains vieux téléphones doivent être sauvegardés à la main sur le PC de son propriétaire, le PC étant ensuite sauvegardé par le système décrit précédemment…

La todo list.

L’externalisation des sauvegardes. Vu la masse de données, il faut sélectionner les données intéressantes et les isoler sur un disque dur USB branché sur le serveur de sauvegarde. A moins que je n’utilise mon vieux NAS Synology DS209j, très lent, mais qui pourrait embarquer deux disques 4To en RAID0, soit 8To.

Le chiffrement n’est pas encore traité. Je vise surtout le disque dur qui sera externalisé. La commande gpg devrait faire l’affaire…

Il y a encore beaucoup de logiciels excellents à tester. J’ai plusieurs envies, comme par exemple Duplicity.

Je vais regarder également du côté des outils pro abordables. J’attends en particulier avec impatience la sortie de l’agent Veeam pour Linux.

Enfin, il faudra bien arrêter une politique de sauvegarde, avec une liste restreinte de logiciels et de procédures de restauration. C’est très bien de jouer avec les outils, mais il va falloir décider.

Si vous avez des conseils, des idées, des retours d’expérience, n’hésitez pas à m’en faire part, en commentaires ou par email 😉

Le 31 mars est la journée mondiale de la sauvegarde. Faut-il vraiment une journée mondiale pour vous sensibiliser sur ce sujet, je ne pense pas… Pour autant, il est parfois utile de se pencher sur ce problème, et j’en profite pour vous faire un petit retour d’expérience, si ça peut aider quelqu’un. 

Les histoires pour faire peur.

Si je fais appel un peu à ma mémoire, j’ai quelques histoires horribles à raconter :

– un ami qui a perdu définitivement 3 semaines de photos de ses dernières vacances (disque dur externe HS, pas de copie)

– une entreprise qui a fermé parce que son serveur est tombé en panne pendant la sauvegarde (disque dur HS, sauvegarde en cours rendue inutilisable, je raconte cette histoire ici)

– des copains DSI qui m’ont remonté des pertes de données à cause de cryptovirus (données récupérées à partir des sauvegardes, travail de la journée perdu)

– un avocat m’appelant à l’aide après la perte de toutes les données de son cabinet (destruction par vandalisme)

– une collègue dont la maison a entièrement brûlé

– je ne compte plus les messages sur Facebook ou sur Twitter d’un étudiant ayant perdu plusieurs années de travail lors du vol de son ordinateur portable… 

Le problème.

Je souhaite mettre à l’abri les données informatiques de la maison, et qui se trouvent sur les ordinateurs de mes enfants (2 fixes et un portable), sur ceux du cabinet d’avocat de mon épouse, sur ceux de mon cabinet d’expertise informatique, sur les tablettes, sur les téléphones mobiles et sur le système de stockage collectif de la maison (un NAS Synology) qui regroupe toutes les photos et films familiaux. Il faut penser aux pertes de données par incendie (toute la maison brûle), par destruction (in)volontaire, par cambriolage et par attaque virale (j’ai très peur des cryptovirus). 

Ma solution.

Un système local dédié au stockage des sauvegardes, plus un système de synchronisation vers l’extérieur. Les données confidentielles seront chiffrées avant sauvegarde.

Voyons tout cela de plus près. 

Le stockage local.

J’ai testé plusieurs solutions (FreeNAS, OpenMediaVault, NAS4Free, OpenFiler, Amahi, NexentaStor, ZFSguru…) pour finalement retenir celle présentée dans ce précédent billet, à savoir OpenMediaVault. Je voulais éviter une solution Windows, trop sensible aux attaques virales, je cherchais une solution open source bien maintenue par sa communauté, et j’ai un faible pour les solutions sous Debian, distribution que je connais bien et que j’apprécie. J’ai eu un peu peur de me lancer dans des solutions un peu exotiques (même si le système de fichiers ZFS me semble très intéressant).

J’ai donc acheté un MicroServer Gen 8 HP sur Amazon pour 219 euros TTC que j’ai reçu quelques jours plus tard, et que j’ai immédiatement rempli avec deux barrettes mémoires de 8Go, quatre disques de 4 To (disques que j’utilise traditionnellement pour les expertises) et un petit disque SSD de 64 Go. J’ai ensuite procédé à l’installation en suivant la procédure de l’Atelier du Geek décrite dans ce billet.

Me voici donc à la tête d’un NAS DIY magnifique d’une capacité de 10 To répartie sur 4 disques en RAID5, que je vais destiner UNIQUEMENT aux sauvegardes des données familiales (et aussi aux données temporaires volumineuses générées lors de mes expertises judiciaires). 

Le logiciel de sauvegarde.

Là aussi, j’ai fait beaucoup d’essais : Areca Backup, BackupPC, Bonkey, DeltaCopy, FreeFileSync, etc. J’ai lu beaucoup d’articles, suivis les conseils donnés par vos commentaires sous ce billet. J’ai beaucoup rêvé d’un clone GNU/Linux du splendide logiciel Apple Time Machine, mais malheureusement, je n’ai pas trouvé.

J’ai choisi BackupPC pour ses performances, malgré une configuration que je trouve complexe. Il gère très bien la déduplication pour optimiser la place prise par les sauvegardes, il comprime les données, automatise très simplement les sauvegardes et gère très bien les ordinateurs connecté de façon aléatoire (les portables par exemple).

L’installation de BackupPC en parallèle à OpenMediaVault, et sa configuration, feront l’objet d’un billet technique séparé (Travail en cours, mais en gros, j’ai suivi ce billet). 

Le circuit des données.

Tous les ordinateurs de la maison ont accès à un NAS Synology de 4 To (deux disques en RAID1) qui stocke les photos et vidéos familiales, mais qui servait également au stockage des sauvegardes. Aujourd’hui, les sauvegardes de chaque poste sont faites directement vers le nouveau système de sauvegarde, ainsi que la sauvegarde du NAS Synology lui-même.

J’ai fait une exception pour les ordinateurs du cabinet d’avocat dont les données sont chiffrées avant d’être exportées. Je n’ai pas encore modifié ce système qui fonctionne bien. Je n’ai pas encore eu le temps de creuser ce point avec BackupPC. 

L’externalisation en cas d’incendie.

Mes enfants utilisent (ou pas) le Google Drive mis à disposition par le Google/apps familial. Pour ma part, étant sous GNU/Linux, je n’étais pas satisfait des clones permettant d’accéder à mon Google Drive professionnel (pourtant à capacité illimitée ! ). J’ai donc installé sur le NAS familial le logiciel OwnCloud, pour me permettre de synchroniser certaines données avec plusieurs ordinateurs, dont celui que j’utilise au boulot.

Ce système fonctionne très bien, mais ne contient pas toutes les données qui sont sauvegardées par BackupPC. C’est un point sur lequel je dois encore travailler. Je pense tout simplement installer OwnCloud sur le système de sauvegarde OpenMediaVault/BackupPC.

J’ai un disque perso de 4 To qui continue de tourner entre le boulot et la maison, pour l’ensemble des données essentielles (rotation tous les 6 mois). 

Bilan provisoire.

Le cube HP MicroServer Gen8 est très silencieux et son prix vraiment attractif. Son processeur est un peu poussif, et semble être son point faible puisqu’il passe à 100% si deux sauvegardes sont en cours, mais il fait très bien l’affaire.

OpenMediaVault est d’une simplicité remarquable et d’une qualité professionnelle aboutie.

BackupPC est complexe mais efficace. Je pense être encore très loin d’avoir fait le tour de toutes ses possibilités. Par contre, dès qu’un clone fiable de Time Machine sortira…

Quand tout le système sera en place et stabilisé, cela fera un total de 6 disques durs de 4 To destinées aux sauvegardes :

– 4 dans le NAS de sauvegarde

– 1 dans le PC du boulot pour OwnCloud

– 1 hors ligne stocké au boulot.

Cela représente un coût non négligeable, mais qui me paraît dérisoire face à la perte DEFINITIVE des données concernées.

Quelque soit la manière dont vous gérez vos données numériques, le plus important est de veiller à ce que les données les plus chères à vos yeux soient stockées à plusieurs endroits et résistent à un effacement accidentel, à un vol, à une destruction ou à un chiffrement frauduleux.

Pensez-y.

Les avocats, ou plutôt le Conseil National des Barreaux (CNB), ont décidé de mettre un coup d’accélérateur à leur évolution vers le numérique en ouvrant un service baptisé “Cloud privé des avocats” (avec une majuscule à Cloud). Voici un extrait de la présentation de ce service sur le site du CNB:

Le Cloud privé des avocats, est une solution à haut niveau de sécurité disponible dès à présent. Dédié exclusivement aux avocats inscrits à un barreau français et en exercice, le Cloud privé garantit la confidentialité des correspondances et le secret professionnel. Inscrivez-vous dès maintenant pour profiter de tous ses avantages !

Le Cloud privé des avocats vous propose :
      une adresse de messagerie @avocat-conseil.fr permettant l’envoi de messages sécurisés vers vos confrères et vos clients ;
      un carnet d’adresses ;
      un agenda ;
      un gestionnaire de tâches ;
      un espace de stockage en ligne ;
      une suite de logiciels de bureautique (en option) ;
      un archivage chiffré ;
      l’envoi de vos courriels chiffrés vers vos clients.

J’ai pu tester ce service (enfin surtout la messagerie), voici quelques unes de mes impressions.

L’installation.

Tout étant en ligne, il n’y a rien à installer sur l’ordinateur: il suffit d’activer le service depuis le site, en suivant les indications que j’ai trouvées bien faites. Seul bémol: l’adresse email au format pré[email protected] devient l’adresse par défaut de réception des alertes RPVA… Petite suée froide avant de me rendre compte qu’il est possible de reparamétrer le compte afin de rétablir l’adresse habituellement utilisée par le cabinet. Un point positif, qui est de bon augure pour faciliter l’adoption de l’outil par l’ensemble des utilisateurs.

Le concept.

Le CNB souhaite mettre en place, avec le “Cloud privé des avocats”, un espace d’échanges et de stockages sécurisés. Il y a plusieurs approches possibles, et celle qui a été retenue est celle de la centralisation dans le nuage. C’est une approche risquée dans la mesure où les cabinets d’avocat ont une pratique de la gestion de la sécurité en général localisée à leur cabinet, où ils doivent assurer un haut niveau de confidentialité. Mais l’arrivée du RPVA a ouvert la profession à une gestion collective de la sécurité, même si l’on peut regretter certains choix techniques. L’importance des échanges par emails dans une majorité de dossiers imposait une avancée sur le problème de leur sécurisation.

Le choix du type de chiffrement.

Le marché des messageries chiffrées est en plein essor depuis les révélations d’Edward Snowden et la mise en évidence d’une surveillance généralisée des communications électroniques. Je peux citer un beau projet tel que Protonmail. qui permet d’envoyer des emails sécurisés, mais reste compatible avec les messageries classiques. Le CNB a fait le choix de l’environnement Open-Xchange et de son extension OX Guard. Ces outils utilisent l’excellent système de clefs PGP. Le système crée pour chaque avocat une clef privée et une clef publique. Tout est fait pour que l’ensemble soit très simple à l’usage: quand vous envoyez un email à un autre avocat, vous choisissez si vous voulez le chiffrer et/ou le signer, en cliquant sur des cases à cocher. Vous pouvez insérer des images (emails au format HTML) ou des pièces jointes, l’ensemble sera chiffré. C’est simple quand on connaît bien les concepts techniques.

Les défauts relevés.

Sans prétendre avoir testé tous les aspects du “Cloud privé des avocats”, j’ai fait des essais assez simples qui ont montré qu’il restait quelques problèmes à résoudre:

1) Je n’ai pas remarqué de système d’accusé de réception et d’accusé de lecture.

2) Les clefs privées/publiques ont une durée de validité de 10 ans, ce qui est très long.

3) Je n’ai pas vu de système de révocation des clefs

4) Un couple de clefs est créé pour tous les correspondants extérieurs, même si ceux-ci en disposent déjà ! C’est très gênant pour la majorité des logiciels de messagerie qui vont devoir demander aux utilisateurs quelle clef utiliser parmi plusieurs, pour la même adresse email !

5) Les clefs privées sont gérées par un système centralisé qui, s’il est compromis, va compromettre l’ensemble des correspondances sécurisées. Cela me semble un risque important en matière de sécurité.

6) Les clefs publiques ne sont pas publiées sur un serveur public, ce qui interdit à un correspondant extérieur de contacter facilement un avocat de manière sécurisé.

7) Lorsque l’on insère une image dans un email HTML chiffré destiné à un correspondant extérieur, l’image peut ne pas être transmise dans le message.

Ma conclusion.

Je trouve formidable qu’une profession sensible à la confidentialité fasse l’effort de s’équiper d’un outil numérique assurant celle-ci. Je suis heureux que le CNB ait fait le choix d’un système de cryptographie à clé publique tel que PGP comme méthode de chiffrement. Je pense par contre qu’un gros effort va devoir être fait pour expliquer son fonctionnement et ses limites. Il va falloir rappeler, par exemple, que les sujets des emails ne sont pas chiffrés (ils sont souvent utilisés par les avocats pour rappeler les références de leurs dossiers). Il va falloir faire cohabiter plusieurs adresses emails dans les cabinets ayant déjà leurs noms de domaine.

L’avenir dira si ses écueils seront surmontables.