La panne internet

Peu de gens le savent, mais les informaticiens subissent eux-aussi les petits tracas de l’informatique, eux qui maîtrisent pourtant l’imposition des mains et la réparation de l’ordinateur par leur seule présence. A force d’entendre parler de personnes frappées par la foudre, en pensant toujours que ça ne m’arrivera jamais, il m’est arrivée ce à quoi j’espérais échapper toute ma vie : une panne de mon fournisseur d’accès internet…

Jour 1.

A peine revenus (la veille) de nos vacances au pays du Pastel de nata, juste le temps pour mon fiston de faire chauffer les différentes manettes des consoles de jeu, encore sous la torpeur d’une fin de repas paisible, un cri retenti dans la maisonnée : PAPA, YA PU INTERNET !

En maîtrisant avec brio un haussement de sourcil, je m’approche de la box pour procéder à son redémarrage supposément salvateur. Rien n’y fait. Pour rester dans les sommets himalayens de l’estime de mon fils, je le rassure en lui disant que la box doit souffrir de la chaleur ambiante et qu’il faut la laisser se reposer un peu, ainsi que les consoles de jeu.

L’après-midi passe, tout le monde râle un peu, mais les téléphones portables me sauvent la mise. Le soir arrive, ainsi que sa fraîcheur réparatrice. Je tapote la box d’un geste familier, et je la rebranche. RIEN.

Je me couche contrarié.

Jour 2.

Voilà maintenant 24h que notre FreeBox affiche « étape 2 » dans sa procédure de démarrage et refuse obstinément d’aller plus loin. Je sors alors ma botte secrète, mon plan B, mon ami fidèle, toujours prêt à rendre service comme si nous nous étions quittés seulement hier : mon vieux modem ADSL. Je ne vous parle pas de son ancêtre électro-acoustique (que je garde au chaud dans mon musée pour sa retraite bien méritée, un 3Com U.S. Robotics 56K Message Modem). Non, il s’agit d’un Kortex Mercure 711, compatible avec tout fournisseur d’accès internet, et que j’ai, par précaution, pré-paramétré avec mon abonnement Free ADSL. Il me permet de voir si le problème vient de ma FreeBox. Je le branche à sa place, et j’attends quelques minutes pour qu’il accroche le signal… RIEN.

Ma côte de popularité descend au niveau du sommet du terril n°49, 3 de Béthune (bien connu des constitutionnalistes) quand j’annonce à ma petite famille : « ben, euh, je pense qu’il faut attendre que ça revienne tout seul… »

Avec ma tablette android munie d’une clef 4G, je contacte Free pour
leur signaler la panne. Je reçois un email m’indiquant que les équipes
techniques de Free vont mener l’enquête.

Nous avons procédé à l’ouverture d’un ticket d’incident. Notre
technicien va intervenir dans les prochains jours afin d’identifier les
causes du dysfonctionnement que vous nous signalez.

Soyez assuré que nos équipes techniques mettent tout en œuvre pour rétablir votre connexion au plus vite.

Il ne me reste plus qu’à attendre.

Jour 3.

Toujours rien.

Comme l’accès internet de la maison sert aussi d’accès internet pour le cabinet d’avocat de mon épouse (en fait, c’est même plutôt l’inverse), ma douce et tendre me fait gentiment remarquer qu’elle reprend TRES BIENTÖT son activité professionnelle, et que j’ai intérêt qu’elle puisse lire ses emails et utiliser son « cher » RPVA…

Me voici donc en quête d’une solution de secours. J’ai ma tablette android avec clef 4G sous les yeux quand je me mets à fouiller dans ses paramètres de connexion… MAIS OUI BIEN SUR : il est possible de partager la connexion de la tablette !

Jour 4.

J’ai travaillé toute la nuit, et voici le résultat :

La tablette android avec clef 4G est branchée en USB sur mon ordinateur. Celui-ci est sous GNU/Linux (Mint) et reconnaît la tablette, ainsi que le partage de connexion. J’ai activé l’IP Forwarding, le routage et les règles IPTABLES qui vont bien. Il est transformé en passerelle acceptable pour le réseau.

La FreeBox reste allumée (à la demande de Free, pour leur permettre de tester leurs équipements), mais j’ai dû désactiver sa fonctionnalité de serveur DHCP, car elle ne connaît qu’elle même comme passerelle. J’ai donc choisi de configurer mon NAS Synology en serveur DHCP pour maîtriser et centraliser la gestion des accès des différents appareils de la maison (et du cabinet). J’ai séparé mon petit monde en deux parties : ceux qui pourront avoir accès à internet (passerelle de sortie = mon PC via la tablette android avec clef 4G) et les autres (passerelle = la FreeBox qui va se réveiller c’est sur).

Nos deux cabinets professionnels ont accès à internet, les enfants non, même si tous les appareils sont toujours sur le même réseau, et les imprimantes accessibles. Le réseau RPVA est fonctionnel et mon amour (propre) est sauf.

Les enfants découvrent que l’on peut être connecté à un réseau Wifi sans avoir pour autant accès à internet.

J’arrête mon nœud Tor pour économiser la bande passante et surtout, pour économiser la quantité d’informations qui passe par la clef 4G, avant que son débit ne soit limité fortement par Orange.

Je reçois cet email de Free :

Vous nous avez informé des difficultés techniques que vous rencontrez et
nous avons ouvert un ticket d’incident pour votre abonnement Free Haut
Débit.
Nous vous signalons qu’une demande de vérification des équipements Free a été effectuée et sommes dans l’attente des résultats.
Cette
intervention est prévue dans les 7 jours ouvrés. Si toutefois passé ce
délai vous ne constatez aucune amélioration, nous vous invitons à
patienter car d’autres investigations complémentaires sont en cours.

SEPT jours !

Cela fait déjà 4 jours pleins que notre téléphone Free de fonctionne plus. Heureusement, beaucoup de nos amis ont le réflexe de nous appeler sur nos portables.

Je commence à me renseigner sur les offres alternatives de FAI, et sur la portabilité du numéro (que je souhaite conserver).

Jour 6.

Tous les jours le même rituel : aller redémarrer la FreeBox qui reste bloquée à l’étape n°2 de son initialisation. Six jours que les enfants me demandent quand internet va revenir. Six jours que ma femme et moi surfons sur internet avec modération, pour éviter les mauvaises surprises.

Nouvel email de Free :

Dans le cadre du ticket d’incident ouvert pour le dysfonctionnement que
vous nous avez signalé, une vérification des équipements Free a été
effectuée.
Cette intervention a permis d’établir que les équipements Free dont vous dépendez présentent une anomalie.
Nos techniciens travaillent actuellement sur sa résolution.
Que devez-vous faire ? – Veuillez patienter le temps de l’intervention de nos techniciens réseau, jusqu’à 7 jours ouvrés.
– Laissez votre Freebox branchée afin de récupérer automatiquement la connexion en cas de rétablissement.

J’ai vraiment l’impression d’être face à un système déshumanisé, les emails que je reçois sont envoyés d’une adresse « [email protected] », avec cette impression que quelqu’un jette un coup d’œil de temps en temps à mon problème et décide qu’il peut encore attendre une semaine…

Je décide de changer de fournisseur d’accès à internet. En existe-t-il un qui propose un accès internet stable avec garantie de temps de rétablissement en cas de panne ? J’appelle à l’aide sur Twitter.

Jour 8.

Mon graal n’existe pas. Plusieurs personnes m’ont convaincu que la seule sécurité réaliste est d’avoir des accès internet chez deux fournisseurs différents. Je choisis d’aller (à reculons) chez l’opérateur historique qui gère ma boucle locale de cuivre : Orange. En effet, pour des raisons professionnelles, nous avons toujours souhaité conserver une ligne de téléphone non dégroupée pour recevoir et émettre de façon fiable des fax.

Je souhaite donc continuer à rester en dégroupage partiel, changer de fournisseur internet ET garder mon numéro 09 Free.

Je choisis l’offre Orange LiveBox Zen sur ligne fixe.

Et bien, croyez moi, aucun des conseillers clientèle de chez Orange que j’ai contactés (via le chat en ligne, via téléphone et via la boutique Orange) n’a été capable de me vendre cette offre AVEC la portabilité du numéro SANS m’obliger à prendre une nouvelle ligne (payante). Bien que la loi les y oblige, Orange n’est pas capable de proposer une portabilité du numéro dans ce cas-là… Exit Orange.

Jour 10.

Je décide de porter mon numéro moi-même.

Je contacte OVH chez qui je crée un compte et achète une ligne
téléphonique à 1,2 euros par mois et vers laquelle je demande la
portabilité de mon numéro 09 Free.

Jour 11.

Je reçois un email de Free :

Bonjour,

Conformément à votre demande, la résiliation avec portabilité de votre numéro 09xxxxxxxx est programmée.

Vous conservez l’usage de vos services Free jusqu’au jour du portage effectif, date à laquelle votre contrat Free sera automatiquement résilié. La portabilité du 09xxxxxxxx est prévue pour le [Jour 19] sauf report ultérieur demandé par votre nouvel opérateur. Pour plus d’information, veuillez contacter le service client de votre nouvel opérateur.

Merci de la confiance que vous nous témoignez.

L’équipe Freebox

Ils m’annoncent de la résiliation de mon contrat et me remercie de la confiance que je leur témoigne… 15 années de fidélité qui se terminent en eau de boudin.

Jour 18.

Mon numéro de téléphone 09xxxxxxxx fonctionne chez OVH suite à la portabilité que j’ai demandée. J’ai enfin récupéré mon numéro de téléphone.

Le même jour, je reçois cet email de Free :

Bonjour,

Nous vous informons avoir reçu une demande de portabilité sortante de votre numéro 09xxxxxxxx vers un autre opérateur.

Cette portabilité est effective depuis ce jour.

Conformément à la législation, cette demande de portabilité vaut résiliation de votre abonnement Freebox. Celle-ci entraine la perte de tous les services liés à votre abonnement.

Si vous ne l’avez pas encore fait, merci de retourner votre Freebox (tous les boitiers et accessoires) à l’adresse suivante (…)

Je renvoie donc l’ensemble des équipements Free à l’adresse indiquée (en RAR).

Je cherche donc un FAI avec une équipe support
compétente et facile à joindre. Ça tombe bien, le courant est bien passé
avec l’équipe support d’OVH qui m’a été recommandée via Twitter par des
barbu(e)s.

Je décide de contacter OVH et de contracter avec eux sur leur offre internet ADSL Express. Cela devrait prendre moins de 10 jours. Au point où j’en suis…

Jour 25.

C’est la rentrée des classes. L’estime de mon fils envers moi sonde les profondeur du Krubera-Voronja.

Jour 28.

Je reçois les paramètres de ma (future) ligne ADSL OVH. J’apprends que la box OVH devrait arriver bientôt. J’en profite pour paramétrer mon vieux modem Kortex Mercure 711 (cf jour 2) pour le jour où la box OVH tombera en panne…

Jour 29.

Je reçois un SMS de mon épouse m’indiquant que la box OVH est arrivée o/

Je me dépêche de rentrer le soir pour tout brancher quand tout à coup, je reçois l’email suivant d’OVH :

Bonjour,

Nous avons rencontré une erreur lors de la réalisation de votre commande 56xxxxxx.

Celle-ci a été rejetée par notre opérateur de collecte pour le motif suivant: « Commande en surcharge par un autre opérateur« .

Nous vous invitons à nous contacter le plus rapidement possible via notre support pour que nous puissions faire le point ensemble. Nous vous prions de bien vouloir nous excuser pour la gêne occasionnée.

J’appelle aussitôt OVH qui me confirme bien que Free n’a toujours pas libéré la place pour qu »OVH puisse s’y mettre…

J’ai alors une idée lumineuse. Le cabinet de mon épouse, outre sa ligne FAX, dispose d’une autre ligne téléphonique fixe chez l’opérateur historique : sa ligne principale pour les clients. Je demande à mon interlocuteur s’il pense qu’il est possible chez eux de modifier la commande 56xxxxxx concernant l’ADSL sur la ligne FAX, pour la passer sur une autre ligne. Cela va-t-il créer une pagaille chez OVH, l’envoi d’une autre box, l’ouverture d’un trou noir qui va tout engloutir.

« Oui Monsieur, c’est possible, et non, cela ne posera pas de problème ».

Je croise les doigts.

Jour 32.

A ma grande surprise, je reçois cet email de Free :

Dans le cadre du ticket d’incident ouvert pour le dysfonctionnement
que vous nous avez signalé, une vérification des équipements Free a été
effectuée.
Cette intervention a permis d’établir que les équipements Free dont vous dépendez fonctionnent correctement.
Que devez-vous faire ?
– Si vous ne constatez aucune amélioration de votre côté, nous vous invitons alors à patienter : le problème est situé ailleurs sur la ligne et nos équipes techniques entament de nouvelles investigations, pendant une période allant jusqu’à 7 jours ouvrés.
(…)
– Si l’incident n’est plus d’actualité, nous espérons que votre Freebox vous apporte entière satisfaction.
(…)

Je vérifie aussitôt avec mon vieux et fidèle modem ADSL : aucun signal. Je n’ai aucun moyen de savoir si Free se moque de moi, si leurs équipements, en panne précédemment ont été réparés. De toutes façons, je m’en moque un peu.

 

N’ayant plus aucun moyen de fermer le ticket via l’interface d’administration de mon compte ADSL Free (puisque celui-ci est clos), j’ai donc appelé le numéro surtaxé du support Free pour les anciens clients (le 0825-622-732) pour leur expliquer de ne surtout pas envoyer (à mes frais) un technicien chez moi, puisque j’avais renvoyé tout leur matériel et que je ne suis plus client chez eux. J’ai été très poli, la dame que j’ai eu au téléphone aussi.

Par précaution, j’ai supprimé l’autorisation de prélèvement de Free sur mon compte bancaire, sur les conseils de plusieurs forums d’entraide. On ne sait jamais 😉

Jour 34.

J’ai reçu un questionnaire de satisfaction de Free dans le cadre de l’amélioration continue de leurs services…

J’y ai répondu.

Jour 35.

Cette nuit, la box OVH a accroché un signal ADSL sur la ligne de téléphone ad hoc. Mon fils s’est rué sur la console de jeu pour tester le lag de la connexion avec ses serveurs de jeu.

Je vous écris depuis cette nouvelle connexion, avec une certaine satisfaction.

Il me reste à transférer une deuxième fois mon 09 depuis la ligne OVH dédiée, vers mon abonnement ADSL OVH. Le support m’a dit que c’était facile à demander. Cela va me permettre de brancher mes téléphones privés sur la box OVH plutôt que de gérer des appels SIP sur mon téléphone portable. Je dois également redémarrer mon nœud Tor, vérifier le bon fonctionnement de mon Raspberry Pi qui me sert de serveur VPN et serveur DNS (non menteur).

Conclusion.

J’ai gardé plusieurs leçons de cette panne :

– je préfère désactiver le serveur DHCP de ma box et gérer moi-même ce service

– j’ai appris beaucoup sur les lourdeurs des grosses sociétés en matière de service client, surtout quand il y a une panne

– mon fils n’a aucune rancune envers moi et est capable de lire des
tonnes de livres papiers sans broncher. Il sait aussi redécouvrir les
jeux de consoles qui ne nécessitent pas un accès internet pour
fonctionner.

– OVH dispose d’un service support accessible et compétent (billet non sponsorisé)

– il faut toujours un plan B pour sa connexion internet : pour ma part, je garde précieusement ma tablette et sa clef 4G, car je sais qu’elle pourra me resauver la mise en cas de besoin. J’ai même trouvé un routeur Wifi + Clef 4G qui fait ça très bien.

Bref, j’ai survécu à une panne internet.

Les logiciels de sauvegarde

Je suis toujours en pleine recherche du Graal de la sauvegarde : l’outil universel qui permet de sauvegarder ses données, sur une fenêtre d’environ un mois, de les chiffrer, et de les restaurer facilement.

J’ai équipé la maison d’un magnifique NAS de 12 To que je souhaite dédier aux sauvegardes des différents ordinateurs, du NAS de partage de données, ainsi que des différentes tablettes et téléphones.

Voici où j’en suis de mes réflexions : ce n’est pas si simple…

Le NAS de sauvegarde est géré (très efficacement et très simplement) par OpenMediaVault. Je présente d’ailleurs la solution de principe dans ce billet.

Les ordinateurs.

Les ordinateurs de la maison sont tous de nature différente :

– deux fixes sous Windows

– un fixe sous Windows dans un réseau privée sécurisé (boîtier RPVA)

– deux portables sous Windows

– un fixe sous GNU/Linux

J’utilise le logiciel BackupPC, installé sur le serveur de sauvegarde, qui permet de sauvegarder des environnements hétérogènes. Le principal défaut, je trouve, est sa complexité de configuration, en particulier des inclusions/exclusions. J’ai fini par y arriver, mais j’ai trouvé cela fastidieux…

Je voulais utiliser le système sur tous les postes, quand je me suis rendu compte que l’ordinateur situé derrière le boîtier RPVA (Navista) n’était pas « pingable » et que le serveur de sauvegarde ne pourrait pas le joindre (alors que l’inverse est vrai). J’ai donc choisi de mettre en place un serveur VPN (OpenVPN) dédié à ce poste (sans routage) pour que le serveur puisse le voir. Ça fonctionne plutôt bien.

Puis, un internaute m’a orienté vers le logiciel Veeam Endpoint Backup Free, que je ne connaissais pas alors que j’utilise la version professionnelle au boulot. Du coup, je l’ai installé sur tous les postes sous Windows, avec l’avantage de ne pas avoir à créer un compte « backup » local. Ce logiciel crée des images ISO de boot en cas de panne et sauvegarde l’intégralité du disque dur via le mécanisme Microsoft VSS (ie les fichiers ouverts). C’est simple, gratuit, pratique et facile à utiliser. Seul défaut : la partie serveur est payante. Du coup, j’ai créé un partage Windows sur le serveur de sauvegarde, où sont stockées toutes les sauvegardes Veeam. Pour éviter la contamination par cryptovirus, j’ai préféré créer un partage différent pour chaque PC sauvegardé (avec un user différent, invisible des autres). Exit donc la déduplication…

Enfin, pour le PC sous GNU/Linux (Mint), j’utilise BackupPC qui fonctionne, mais je teste aussi Back In Time qui a l’air très efficace (et très simple à paramétrer).

Le NAS familial.

Il s’agit d’un Synology DS713+ encore pour l’instant sous DSM 5.2 (la v6 vient juste de sortir). Il s’agit d’un système d’exploitation utilisant un noyau Linux, et donc qui possède les outils rsync(d). J’utilise donc BackupPC pour le sauvegarder et cela fonctionne très bien.

Les tablettes et téléphones.

C’est pour l’instant en stand-by… J’utilise les comptes Google créés pour chaque appareil Android, et iTunes/iCloud pour les appareils Apple. Certains vieux téléphones doivent être sauvegardés à la main sur le PC de son propriétaire, le PC étant ensuite sauvegardé par le système décrit précédemment…

La todo list.

L’externalisation des sauvegardes. Vu la masse de données, il faut sélectionner les données intéressantes et les isoler sur un disque dur USB branché sur le serveur de sauvegarde. A moins que je n’utilise mon vieux NAS Synology DS209j, très lent, mais qui pourrait embarquer deux disques 4To en RAID0, soit 8To.

Le chiffrement n’est pas encore traité. Je vise surtout le disque dur qui sera externalisé. La commande gpg devrait faire l’affaire…

Il y a encore beaucoup de logiciels excellents à tester. J’ai plusieurs envies, comme par exemple Duplicity.

Je vais regarder également du côté des outils pro abordables. J’attends en particulier avec impatience la sortie de l’agent Veeam pour Linux.

Enfin, il faudra bien arrêter une politique de sauvegarde, avec une liste restreinte de logiciels et de procédures de restauration. C’est très bien de jouer avec les outils, mais il va falloir décider.

Si vous avez des conseils, des idées, des retours d’expérience, n’hésitez pas à m’en faire part, en commentaires ou par email 😉

Tout sauvegarder (suite)

Le 31 mars est la journée mondiale de la sauvegarde. Faut-il vraiment une journée mondiale pour vous sensibiliser sur ce sujet, je ne pense pas… Pour autant, il est parfois utile de se pencher sur ce problème, et j’en profite pour vous faire un petit retour d’expérience, si ça peut aider quelqu’un. 

Les histoires pour faire peur.

Si je fais appel un peu à ma mémoire, j’ai quelques histoires horribles à raconter :

– un ami qui a perdu définitivement 3 semaines de photos de ses dernières vacances (disque dur externe HS, pas de copie)

– une entreprise qui a fermé parce que son serveur est tombé en panne pendant la sauvegarde (disque dur HS, sauvegarde en cours rendue inutilisable, je raconte cette histoire ici)

– des copains DSI qui m’ont remonté des pertes de données à cause de cryptovirus (données récupérées à partir des sauvegardes, travail de la journée perdu)

– un avocat m’appelant à l’aide après la perte de toutes les données de son cabinet (destruction par vandalisme)

– une collègue dont la maison a entièrement brûlé

– je ne compte plus les messages sur Facebook ou sur Twitter d’un étudiant ayant perdu plusieurs années de travail lors du vol de son ordinateur portable… 

Le problème.

Je souhaite mettre à l’abri les données informatiques de la maison, et qui se trouvent sur les ordinateurs de mes enfants (2 fixes et un portable), sur ceux du cabinet d’avocat de mon épouse, sur ceux de mon cabinet d’expertise informatique, sur les tablettes, sur les téléphones mobiles et sur le système de stockage collectif de la maison (un NAS Synology) qui regroupe toutes les photos et films familiaux. Il faut penser aux pertes de données par incendie (toute la maison brûle), par destruction (in)volontaire, par cambriolage et par attaque virale (j’ai très peur des cryptovirus). 

Ma solution.

Un système local dédié au stockage des sauvegardes, plus un système de synchronisation vers l’extérieur. Les données confidentielles seront chiffrées avant sauvegarde.

Voyons tout cela de plus près. 

Le stockage local.

J’ai testé plusieurs solutions (FreeNAS, OpenMediaVault, NAS4Free, OpenFiler, Amahi, NexentaStor, ZFSguru…) pour finalement retenir celle présentée dans ce précédent billet, à savoir OpenMediaVault. Je voulais éviter une solution Windows, trop sensible aux attaques virales, je cherchais une solution open source bien maintenue par sa communauté, et j’ai un faible pour les solutions sous Debian, distribution que je connais bien et que j’apprécie. J’ai eu un peu peur de me lancer dans des solutions un peu exotiques (même si le système de fichiers ZFS me semble très intéressant).

J’ai donc acheté un MicroServer Gen 8 HP sur Amazon pour 219 euros TTC que j’ai reçu quelques jours plus tard, et que j’ai immédiatement rempli avec deux barrettes mémoires de 8Go, quatre disques de 4 To (disques que j’utilise traditionnellement pour les expertises) et un petit disque SSD de 64 Go. J’ai ensuite procédé à l’installation en suivant la procédure de l’Atelier du Geek décrite dans ce billet.

Me voici donc à la tête d’un NAS DIY magnifique d’une capacité de 10 To répartie sur 4 disques en RAID5, que je vais destiner UNIQUEMENT aux sauvegardes des données familiales (et aussi aux données temporaires volumineuses générées lors de mes expertises judiciaires). 

Le logiciel de sauvegarde.

Là aussi, j’ai fait beaucoup d’essais : Areca Backup, BackupPC, Bonkey, DeltaCopy, FreeFileSync, etc. J’ai lu beaucoup d’articles, suivis les conseils donnés par vos commentaires sous ce billet. J’ai beaucoup rêvé d’un clone GNU/Linux du splendide logiciel Apple Time Machine, mais malheureusement, je n’ai pas trouvé.

J’ai choisi BackupPC pour ses performances, malgré une configuration que je trouve complexe. Il gère très bien la déduplication pour optimiser la place prise par les sauvegardes, il comprime les données, automatise très simplement les sauvegardes et gère très bien les ordinateurs connecté de façon aléatoire (les portables par exemple).

L’installation de BackupPC en parallèle à OpenMediaVault, et sa configuration, feront l’objet d’un billet technique séparé (Travail en cours, mais en gros, j’ai suivi ce billet). 

Le circuit des données.

Tous les ordinateurs de la maison ont accès à un NAS Synology de 4 To (deux disques en RAID1) qui stocke les photos et vidéos familiales, mais qui servait également au stockage des sauvegardes. Aujourd’hui, les sauvegardes de chaque poste sont faites directement vers le nouveau système de sauvegarde, ainsi que la sauvegarde du NAS Synology lui-même.

J’ai fait une exception pour les ordinateurs du cabinet d’avocat dont les données sont chiffrées avant d’être exportées. Je n’ai pas encore modifié ce système qui fonctionne bien. Je n’ai pas encore eu le temps de creuser ce point avec BackupPC. 

L’externalisation en cas d’incendie.

Mes enfants utilisent (ou pas) le Google Drive mis à disposition par le Google/apps familial. Pour ma part, étant sous GNU/Linux, je n’étais pas satisfait des clones permettant d’accéder à mon Google Drive professionnel (pourtant à capacité illimitée ! ). J’ai donc installé sur le NAS familial le logiciel OwnCloud, pour me permettre de synchroniser certaines données avec plusieurs ordinateurs, dont celui que j’utilise au boulot.

Ce système fonctionne très bien, mais ne contient pas toutes les données qui sont sauvegardées par BackupPC. C’est un point sur lequel je dois encore travailler. Je pense tout simplement installer OwnCloud sur le système de sauvegarde OpenMediaVault/BackupPC.

J’ai un disque perso de 4 To qui continue de tourner entre le boulot et la maison, pour l’ensemble des données essentielles (rotation tous les 6 mois). 

Bilan provisoire.

Le cube HP MicroServer Gen8 est très silencieux et son prix vraiment attractif. Son processeur est un peu poussif, et semble être son point faible puisqu’il passe à 100% si deux sauvegardes sont en cours, mais il fait très bien l’affaire.

OpenMediaVault est d’une simplicité remarquable et d’une qualité professionnelle aboutie.

BackupPC est complexe mais efficace. Je pense être encore très loin d’avoir fait le tour de toutes ses possibilités. Par contre, dès qu’un clone fiable de Time Machine sortira…

Quand tout le système sera en place et stabilisé, cela fera un total de 6 disques durs de 4 To destinées aux sauvegardes :

– 4 dans le NAS de sauvegarde

– 1 dans le PC du boulot pour OwnCloud

– 1 hors ligne stocké au boulot.

Cela représente un coût non négligeable, mais qui me paraît dérisoire face à la perte DEFINITIVE des données concernées.

Quelque soit la manière dont vous gérez vos données numériques, le plus important est de veiller à ce que les données les plus chères à vos yeux soient stockées à plusieurs endroits et résistent à un effacement accidentel, à un vol, à une destruction ou à un chiffrement frauduleux.

Pensez-y.

Le Cloud privé des avocats

Les avocats, ou plutôt le Conseil National des Barreaux (CNB), ont décidé de mettre un coup d’accélérateur à leur évolution vers le numérique en ouvrant un service baptisé « Cloud privé des avocats » (avec une majuscule à Cloud). Voici un extrait de la présentation de ce service sur le site du CNB:

Le Cloud privé des avocats, est une solution à haut niveau de sécurité disponible dès à présent. Dédié exclusivement aux avocats inscrits à un barreau français et en exercice, le Cloud privé garantit la confidentialité des correspondances et le secret professionnel. Inscrivez-vous dès maintenant pour profiter de tous ses avantages !

Le Cloud privé des avocats vous propose :
      une adresse de messagerie @avocat-conseil.fr permettant l’envoi de messages sécurisés vers vos confrères et vos clients ;
      un carnet d’adresses ;
      un agenda ;
      un gestionnaire de tâches ;
      un espace de stockage en ligne ;
      une suite de logiciels de bureautique (en option) ;
      un archivage chiffré ;
      l’envoi de vos courriels chiffrés vers vos clients.

J’ai pu tester ce service (enfin surtout la messagerie), voici quelques unes de mes impressions.

L’installation.

Tout étant en ligne, il n’y a rien à installer sur l’ordinateur: il suffit d’activer le service depuis le site, en suivant les indications que j’ai trouvées bien faites. Seul bémol: l’adresse email au format pré[email protected] devient l’adresse par défaut de réception des alertes RPVA… Petite suée froide avant de me rendre compte qu’il est possible de reparamétrer le compte afin de rétablir l’adresse habituellement utilisée par le cabinet. Un point positif, qui est de bon augure pour faciliter l’adoption de l’outil par l’ensemble des utilisateurs.

Le concept.

Le CNB souhaite mettre en place, avec le « Cloud privé des avocats », un espace d’échanges et de stockages sécurisés. Il y a plusieurs approches possibles, et celle qui a été retenue est celle de la centralisation dans le nuage. C’est une approche risquée dans la mesure où les cabinets d’avocat ont une pratique de la gestion de la sécurité en général localisée à leur cabinet, où ils doivent assurer un haut niveau de confidentialité. Mais l’arrivée du RPVA a ouvert la profession à une gestion collective de la sécurité, même si l’on peut regretter certains choix techniques. L’importance des échanges par emails dans une majorité de dossiers imposait une avancée sur le problème de leur sécurisation.

Le choix du type de chiffrement.

Le marché des messageries chiffrées est en plein essor depuis les révélations d’Edward Snowden et la mise en évidence d’une surveillance généralisée des communications électroniques. Je peux citer un beau projet tel que Protonmail. qui permet d’envoyer des emails sécurisés, mais reste compatible avec les messageries classiques. Le CNB a fait le choix de l’environnement Open-Xchange et de son extension OX Guard. Ces outils utilisent l’excellent système de clefs PGP. Le système crée pour chaque avocat une clef privée et une clef publique. Tout est fait pour que l’ensemble soit très simple à l’usage: quand vous envoyez un email à un autre avocat, vous choisissez si vous voulez le chiffrer et/ou le signer, en cliquant sur des cases à cocher. Vous pouvez insérer des images (emails au format HTML) ou des pièces jointes, l’ensemble sera chiffré. C’est simple quand on connaît bien les concepts techniques.

Les défauts relevés.

Sans prétendre avoir testé tous les aspects du « Cloud privé des avocats », j’ai fait des essais assez simples qui ont montré qu’il restait quelques problèmes à résoudre:

1) Je n’ai pas remarqué de système d’accusé de réception et d’accusé de lecture.

2) Les clefs privées/publiques ont une durée de validité de 10 ans, ce qui est très long.

3) Je n’ai pas vu de système de révocation des clefs

4) Un couple de clefs est créé pour tous les correspondants extérieurs, même si ceux-ci en disposent déjà ! C’est très gênant pour la majorité des logiciels de messagerie qui vont devoir demander aux utilisateurs quelle clef utiliser parmi plusieurs, pour la même adresse email !

5) Les clefs privées sont gérées par un système centralisé qui, s’il est compromis, va compromettre l’ensemble des correspondances sécurisées. Cela me semble un risque important en matière de sécurité.

6) Les clefs publiques ne sont pas publiées sur un serveur public, ce qui interdit à un correspondant extérieur de contacter facilement un avocat de manière sécurisé.

7) Lorsque l’on insère une image dans un email HTML chiffré destiné à un correspondant extérieur, l’image peut ne pas être transmise dans le message.

Ma conclusion.

Je trouve formidable qu’une profession sensible à la confidentialité fasse l’effort de s’équiper d’un outil numérique assurant celle-ci. Je suis heureux que le CNB ait fait le choix d’un système de cryptographie à clé publique tel que PGP comme méthode de chiffrement. Je pense par contre qu’un gros effort va devoir être fait pour expliquer son fonctionnement et ses limites. Il va falloir rappeler, par exemple, que les sujets des emails ne sont pas chiffrés (ils sont souvent utilisés par les avocats pour rappeler les références de leurs dossiers). Il va falloir faire cohabiter plusieurs adresses emails dans les cabinets ayant déjà leurs noms de domaine.

L’avenir dira si ses écueils seront surmontables.

Boot sur une image disque

Je termine une expertise sur laquelle le démarrage de l’ordinateur m’a fait gagner un temps précieux : j’ai pu remarquer pas mal de choses à partir de l’environnement de travail (image de fond d’écran, écran de veille basé sur un diaporama d’images, disposition des icones sur le bureau, etc.). C’est fou ce qu’on peut apprendre de ce genre de petits détails…

Et rien de plus simple à constater qu’en démarrant l’ordinateur. Oui, mais il n’est pas possible de modifier le contenu du disque dur que je dois analyser (afin de permettre à d’éventuelles autres expertises de pouvoir être pratiquées dans les mêmes conditions). Et tout le monde se doute qu’il se passe plein de choses quand on démarre un ordinateur, et que la majorité de ces choses modifient le contenu du disque dur. C’est pour cela qu’il faut toujours travailler sur une copie fidèle du disque dur. Et démarrer l’ordinateur sous la forme d’une machine virtuelle.

J’ai déjà expliqué sur ce blog comment je pratique pour prendre une image bit à bit d’un disque dur (lire par exemple ce billet).

J’ai également expliqué comment je convertissais cette image en machine virtuelle à l’aide d’un logiciel qui s’appelle Live View (lire ce billet). Mais ce logiciel ne semble plus maintenu et je rencontre de plus en plus de difficultés à l’utiliser. Du coup, j’ai souvent utilisé directement les outils en ligne de commande de VirtualBox: il suffit en effet d’une seule ligne de commande pour convertir une image bit à bit en disque exploitable sous VirtualBox:

VBoxManage  convertfromraw  image.dd  image.vdi  –format VDI –variant Fixed

(la dernière option permettant d’avoir un disque de taille fixe, la valeur par défaut de VBoxManage étant un disque de taille dynamique).

Le problème de cette commande est qu’elle est gourmande en temps et en ressources disques, puisqu’elle crée un double de l’image initiale.

Depuis que j’ai migré mon poste de travail personnel de Windows vers la distribution GNU/Linux Mint, j’explore de manière plus systématique les outils de l’univers GNU/Linux.

J’ai ainsi découvert une « vieille » commande disponible sur presque toutes les plateformes: xmount. Cette commande permet de créer un disque VirtualBox directement à partir de l’image bit à bit, sans la modifier, en créant un cache contenant toutes les modifications qui seront apportées sur le disque.

Ma procédure est maintenant la suivante:

mkdir toto

xmount  –out  vdi  –cache  image.cache  image.dd  ./toto

Je trouve ensuite dans le répertoire « toto » le fichier disque que j’utilise dans la machine virtuelle que je crée ensuite dans VirtualBox.

Si je ne connais pas les mots de passe Windows, je démarre la machine virtuelle avec le live cd ophcrack ou avec offline NT password. Si j’ai un écran bleu de la mort (parce que Windows n’aime pas démarrer sur du matériel différent de celui sur lequel il a été installé), j’utilise OpenGates qui fait office de baguette magique (sous Windows).

Je pose ça ici, si cela peut aider quelqu’un à booter sur une image disque. Il y a beaucoup d’autres méthodes et outils, mais ce sont ceux que j’utilise en ce moment.

PS: Je dois être l’un des derniers à utiliser « toto » dans mes exemples informatiques, mais les étudiants en rigolent encore, alors bon 🙂

Tout sauvegarder

Le sujet des sauvegardes devrait être une source de réflexion permanente, et bien sûr, le reflet de sa propre organisation.

Voici une petite anecdote qui évitera peut-être à quelques un(e)s d’entre vous de subir le même désagrément que moi. Un retour d’expérience négative reste un retour d’expérience…

Je suis l’heureux propriétaire d’un stockage réseau qui permet à tous les membres de ma tribu de mettre leurs données à l’abri des pertes de données intempestives. Le terme savant informatique est NAS, pour Network Attached Storage. C’est un boîtier contenant un ou plusieurs disques durs, relié au réseau familial, allumé 24/7, et accessible en partage avec des droits d’accès individuels et collectifs.

Nous stockons sur ce NAS les photos, musiques et vidéos familiales, mais aussi les sauvegardes de nos postes de travail. Il est constitué d’un boîtier contenant deux disques de 3 To montés en miroir (RAID1) permettant de fonctionner sans perte de données, même si l’un des deux disques tombe en panne.

Un troisième disque dur de 3 To est branché en externe sur la prise USB3 et assure la sauvegarde quotidienne de ce boîtier NAS par réplication. Ce troisième disque tourne tous les six mois avec un quatrième, ce qui me permet d’avoir une copie complète des données, mais hors ligne cette fois.

Mon organisation des données familiales est donc la suivante : les données importantes sont sur le NAS, sur sa sauvegarde quotidienne et sur un disque hors ligne, les données non confidentielles sont sur mon compte Google Drive (à capacité illimitée), synchronisées à la fois sur mon ordinateur personnel et sur mon ordinateur professionnel, et les données « superflues », c’est-à-dire facilement récupérables sont sur mes disques locaux, avec une synchronisation automatique vers le NAS. Tous les ordinateurs de la maison utilisent peu ou prou ce même schéma.

Pour les machines sous Windows, j’utilise le logiciel SyncBack vers le NAS

Pour les machines sous iOS, j’utilise iCloud et iTunes.

Pour les machines sous Android, j’utilise le cloud de Google.

Pour les machines sous GNU/Linux (Raspbian et Mint), j’utilise la commande rsync vers le NAS.

A un moment, je me suis rendu compte que ma zone de sauvegarde personnelle (située sur le NAS) contenait tout un tas de données « obsolètes » car déplacées ou supprimées
de mon ordinateur personnel. J’ai donc ajouté l’option « del » à la
commande rsync pour garder une copie propre et fidèle des données de mon
ordinateur. Cette commande est exécutée à chaque démarrage de mon poste.

J’ai fait plusieurs tests et tout était OK.

Jusqu’à la panne de ce lundi…

Lundi soir, alors que je lisais tranquillement mes flux RSS tout en écoutant la bande son du film d’animation « Métal Hurlant » (si si), j’entends tout à coup un drôle de bruit en provenance de ma tour : cloc, cloc, cloc… L’un des disques durs venait de me lâcher…

J’arrête proprement mon ordinateur, le laisse refroidir un peu, puis le redémarre. Le disque dur, définitivement en panne, refuse d’être monté par le système d’exploitation. Je viens de gagner un nouveau presse-papier design…

Heureusement, j’ai sur le NAS une copie synchronisée de mes données. Je lui jette un coup d’œil pour m’assurer qu’aucun voyant rouge ne vient gâcher définitivement ma soirée. Ouf, tout est en ordre.

Sauf que.

Sauf que je le trouve bien agité pour un NAS qui n’a rien à faire ! Je vérifie les fichiers journaux de mon script de synchronisation : ma super commande rsync était en train de synchroniser l’absence de données (le disque en panne) avec le vieux NAS, et donc elle EFFAÇAIT toutes les données du NAS (logique). Magie de l’option « del »…

J’ai donc stoppé la synchronisation immédiatement et regardé les dégâts : une centaine de fichiers effacés par la synchronisation destructive… Heureusement, toutes ces données sont « superflues » et donc leur perte m’importe peu.

Mais j’étais vexé comme un pou sur la tête d’un chauve…

J’ai bien entendu aussitôt révisé ma stratégie de synchronisation en retirant l’option « del » de la commande rsync.

Puis je me suis posé la question de la pertinence de mon schéma de sauvegarde familial, surtout en cas d’attaque d’un cryptovirus : si l’un d’entre nous ouvre une pièce jointe contaminée qui va chiffrer rapidement tous les fichiers auxquels les droits informatiques lui donnent accès en écriture, quelle solution mes sauvegardes apportent-elles ?

Toutes les zones accessibles en écriture sur le NAS seront chiffrées. Chacun ayant un compte séparé, seules une partie des données seront atteintes. Mais si personne ne me prévient, la sauvegarde par réplication écrasera la copie saine des données dès la nuit suivante. Il ne me restera en clair que les données de mon 4e disque dur (celui mis hors ligne pour six mois). Avec le risque de perdre jusqu’à six mois de données !

J’ai décidé de revoir tout cela en profondeur et d’équiper la maison d’un système de sauvegarde dédié: j’ai fait l’achat d’un NAS spécialement dédié à la sauvegarde. J’ai choisi de suivre les recommandation d’un geek passionné qui tient un blog et recommande l’achat d’un NAS quatre baies de qualité professionnelle pour 219 euros chez Amazon (sans les disques) !

Objectif : installation d’Openmediavault ET de BackupPC sur la même machine, avec mise en place d’une stratégie de sauvegarde incrémentale.

J’attends avec impatience la livraison, et je vous tiens au courant 😉

A suivre…

Les russes attaquent

Un billet rapide du vendredi pour vous narrer la petite mésaventure qui nous est arrivée ce matin.

J’ai reçu cette nuit des emails d’alerte de notre serveur de supervision open source Centreon, et de ma sonde Pingdom, m’indiquant que notre serveur web institutionnel montrait des signes de fatigue, avec des temps de réponse très long.

Dès potron-minet (je travaille dans une école, pas dans une banque), je fais le point avec mon équipe pour savoir ce qu’il se passe. Dans un premier temps, nous pensons que notre hébergeur Gandi est en cause, car il semble être sous le coup d’une attaque DDoS, ce qui expliquerait notre difficulté à nous connecter à notre serveur.

Puis, nous mettons le nez dans les logs, pour voir immédiatement qu’une attaque était en cours sur NOTRE machine : quelqu’un s’intéressait drôlement au fichier xmlrpc.php de notre serveur WordPress… Avec plus d’une requête par seconde via ce fichier, notre serveur était au bord de l’effondrement. Nous faisions l’objet d’une attaque DoS basique.

Une seule adresse IP est à l’origine de cette attaque, et semble être basée en Russie. Nous l’isolons rapidement avec une commande « route add -host addrIP reject »

Le serveur retrouve sa vigueur de jeune homme, et notre Social Network Manager le sourire, à moins que ce ne soit l’inverse, bref…

Petit débriefing post attaque. Premier point, y a-t-il eu des dégâts ? Nous vérifions les pages, les accès, les dates de modification des pages, l’état de la base de données, etc. Deuxième point, comment faire pour que cela ne se reproduise pas ? Il faut automatiser la détection et la réaction appropriée. Cela tombe bien, nous avons déjà mis en place le logiciel Fail2Ban, dont c’est la fonction, et qui s’en sort très bien.

Il nous suffit donc de suivre les conseils de cette page pour ajouter le script qui va bien.

Mon technicien (qui a fait tout le boulot) et moi, nous nous regardons avec le sentiment d’avoir été les gardiens civils du Mur (nous n’avons pas prêté le serment de la Garde de Nuit). Le reste de l’école vaque à ses occupations, inconscient du drame qui se jouait sous leurs yeux.

Je peux retourner à mes dossiers d’investissements, je dois réussir à montrer l’importance du remplacement de nos « vieux » SAN. Et c’est vraiment différent de la lutte contre les scripts kiddies.

Jusqu’au jour où…

L’analyse d’un disque dur et les poupées russes

J’arrive d’un tribunal relativement lointain où j’ai du me rendre pour aller chercher un scellé. Je le sors de ma voiture et le dépose dans mon bureau. Il s’agit d’un ordinateur assez banal sur lequel j’ai assez peu d’informations : son propriétaire est soupçonné dans une affaire brassant pas mal d’argent et le magistrat me demande de retrouver des images de complices pour lui permettre de démontrer que l’utilisateur de l’ordinateur était bien en contact avec eux…

Je prends quelques photos du scellé avant de l’ouvrir.

L’ordinateur contient plusieurs disques durs que je prends en photo. Ceux-ci sont reliés à une carte RAID. Aïe. Cela va compliquer l’analyse.

Je note scrupuleusement tous les branchements, ainsi que le positionnement des différents disques durs, et je relève leurs caractéristiques individuelles. Je note également la marque et le modèle de la carte contrôleur RAID. Dans le cadre de mon travail de responsable informatique dans une école d’ingénieurs, j’ai l’habitude de plusieurs configurations RAID : RAID logiciel, RAID matériel, RAID 0, 1, 5 et 6. Je sais d’expérience qu’il existe des cartes RAID plus ou moins exotiques. Celle que j’ai sous les yeux ne m’est pas inconnue.

En matière d’analyse inforensique d’un groupe de disques RAID, vous pouvez réaliser une image bit à bit de chaque disque séparément, indépendamment du contrôleur RAID. Vous pouvez également faire une image du disque globalement à travers le contrôleur RAID, avec le risque de rater une partition cachée par le firmware du contrôleur.

Je ne prends pas de risque : je prends dans mon stock de disques durs des disques ayant les bonnes capacités, et je procède aux prises d’images : une première prise d’images de chaque disque par sécurité (au cas où l’un d’entre eux tombe en panne), une image globale à travers le contrôleur RAID, puis un clonage de chaque disque pour reconstruction du RAID sur ma propre carte RAID afin de pouvoir démarrer l’ordinateur sur des disques différents. Bref, c’est ceinture ET bretelle.

Une fois que j’ai enfin la possibilité de regarder le contenu du groupe de disques durs, je commence mon analyse « primaire » par la recherche d’images. Au bout de quelques jours, je me rends à l’évidence : il n’y a rien d’intéressant.

Je regarde alors les différents logiciels installés, et je vois qu’un logiciel de virtualisation est présent sur le disque dur, ainsi que plusieurs machines virtuelles. Intéressant 🙂

Je récupère une copie de chaque image virtuelle et je procède à leur analyse. La plus intéressante est celle dont la date d’utilisation est la plus récente. Il s’agit d’une machine Windows. Je recommence une analyse complète. Rien.

La machine est plutôt « propre », avec peu d’informations en cache et en base de registres. Je note la présence du logiciel « CCleaner » que je connais bien pour ses capacités de nettoyage mais aussi pour sa fonction « effaceur de disques ». Je regarde dans cette direction. Pas concluant.

Je trouve dans le répertoire de l’utilisateur quelques fichiers cc_XXX.reg typique du nettoyage par CCleaner de la base de registres. Ce sont des sauvegardes des clefs de registres qui vont être supprimées par CCleaner. Je regarde le contenu de ces fichiers et je tombe sur une information qui m’intéresse au plus haut point : la machine virtuelle Windows a contenu un jour un logiciel (effacé depuis) de stéganographie…

En informatique, la stéganographie est une technique permettant de cacher de l’information dans un fichier. Avec le nom du logiciel, je cherche sur internet, et je découvre que sa particularité est de cacher des images dans d’autres images. Bien.

Je récupère toutes les images présentes sur l’ordinateur, et sur les différentes machines virtuelles.

Je récupère tous les mots de passe présents sur l’ordinateur et ses machines virtuelles, via les outils de récupération des comptes Windows, mais surtout via les différents emails encore présents sur les différents supports (lire le billet « Cracker les mots de passe« ).

Je récupère le logiciel de stéganographie sur internet. Je fais plusieurs essais sur mon ordinateur pour me familiariser avec le logiciel. C’est assez ludique.

Je me rends compte alors d’un réflexe que j’ai, à savoir de conserver une version originale de l’image dans laquelle je vais cacher l’information. J’ai donc deux fois la même image, mais avec des tailles différentes.

Je recherche sur le scellé toutes les images identiques mais de tailles différentes. J’en trouve dix !

Je teste le logiciel de stéganographie, avec ces images et tous les mots de passe que j’ai pu récupérer. BINGO ! L’un des mots de passe a été utilisé pour insérer des images dans d’autres images sur la machine virtuelle Windows.

Je récupère toutes les images cachées. Il s’agit de documents scannés contenant les noms et signatures des personnes mentionnées dans mon ordonnance de désignation.

Je préviens le magistrat par téléphone. Il me dit que cela conforte d’autres éléments de preuve. Je suis un peu déçu, mais j’attaque la rédaction de mon rapport. Il va me falloir être pédagogue pour expliquer tout cela clairement.

Parfois l’enchaînement des opérations que je note sur mon cahier d’investigation me fait peur. Et si je n’avais pas fait telle ou telle recherche ? Et si je n’avais pas vu telle ou telle information ?

Ici, l’information intéressante se trouvait cachée dans des images, qui se trouvaient dans une machine virtuelle stockées dans une grappe de disques durs… Un empilement de poupées russes que j’aurais très bien pu rater.

J’aurais simplement écrit « je n’ai pas trouvé les éléments recherchés ». Cela ne veut pas dire qu’ils n’existent pas. Cela veut simplement dire que je ne les ai pas trouvés. Et parfois, je me dis que j’ai vraiment failli passer à côté…

Et ça, ça m’empêche de dormir.

RPVA et Windows 10

Une amie avocate m’a demandé de l’aider avec l’informatique de son cabinet. Rien d’inhabituel, tous les informaticiens connaissent ce type de demande… J’arrive dans le cabinet pour découvrir le problème et le diagnostique tombe : panne d’alimentation du PC et, après discussion, le choix est fait de remplacer l’ensemble de l’ordinateur, qui a bien vécu.

Nous regardons ensemble la meilleure configuration, en fonction de ses besoins et de son budget, et nous passons commande sur internet. Quelques jours plus tard, le matériel est livré et je viens l’installer.

La particularité informatique de la profession d’avocat est de devoir utiliser un réseau informatique protégé qui sert aux communications électroniques des avocats, notamment dans le cadre de la dématérialisation des procédures avec les juridictions judiciaires. Ce réseau s’appelle RPVA.

J’ai déjà eu l’occasion d’écrire en 2010 un billet sur le sujet brûlant du RPVA qui alimente quelques conversations animées dans le milieu des avocats. Je n’y reviendrai pas, ma position n’ayant pas beaucoup changé sur le sujet : il était possible de faire mieux pour moins cher.

Les informaticiens ont l’habitude des outils complexes à installer et je me suis régalé à installer RPVA sous Windows 10, puisque c’est le système d’exploitation maintenant imposé livré avec les ordinateurs. Voici comment j’ai procédé, si ce billet peut aider un cabinet à la peine.

Je fais l’hypothèse que le cabinet utilise déjà RPVA et donc que le boîtier RPVA est déjà configuré correctement. La question est quand même de comprendre comment le boîtier est configuré, sachant qu’il y a trois cas de figures : mode ethernet, mode bridge et mode gateway. N’ayant pas trouvé le guide d’installation du boîtier RPVA sur le site e-barreau.fr, j’ai cherché via Google le manuel, que j’ai trouvé sur le site du constructeur Navista. Voici le lien qui peut servir à d’autres.

Dans mon cas, le boîtier est en mode « Gateway ».

Il reste ensuite à configurer les pilotes du boîtier et les certificats de la clef cryptographique. Pour cela, j’utilise la page « téléchargements » du site e-barreau.fr où je clique sur « Téléchargez le pilote de votre clé cryptographique ».

Et là, j’ai un magnifique message qui m’indique que mon ordinateur utilise un système incompatible car utilisant Windows NT et Edge…

Il ne faut pas en avoir peur et cliquer sur le lien « Votre système d’exploitation ou votre navigateur est-il différent ? ». Vous avez alors accès à un magnifique tableau coloré(voir figure).

Vous pouvez donc voir que l’installation n’est pas (encore) possible avec le navigateur Edge. Qu’à cela ne tienne, il suffit d’installer votre navigateur favori, c’est-à-dire dans mon cas Firefox.

En passant la souris sur la case correspondant (dans mon cas la case Windows 10 / Firefox), vous avez accès à deux fichiers importants : le manuel d’installation et le pilote Windows kit_1.4.exe.

Il ne reste plus qu’à suivre les consignes indiquées dans le manuel. Attention, dans le manuel, le lien fourni pour l’installation du pilote n’est pas à jour (il s’agit de la version kit_1.3 !).

Avant de pouvoir tester le fonctionnement de la clef RPVA, il faut modifier la configuration IP du nouvel ordinateur. Pour cela, j’explore le réseau du cabinet avec SoftPerfect Network Scanner
pour noter l’adresse IP du boîtier, afin de pouvoir configurer
correctement le nouvel ordinateur : adresse IP fixe hors zone DHCP, et adresse IP du
boîtier comme passerelle et DNS.

Il ne reste plus qu’à brancher votre clef dans un port USB de l’ordinateur et de la tester en utilisant ce lien. Si tout va bien, cela devrait fonctionner.

Sinon, il faut appeler votre informaticien préféré 😉

GNU/Linux et la vente liée

J’ai découvert GNU/Linux en 1993, avec une distribution qui s’appelait Yggdrasil. Il s’agissait pour moi de trouver un remplacement à l’HP-UX que j’avais connu dans ma vie professionnelle précédente. Puis, toujours pour des raisons professionnelles, j’ai adopté pendant plusieurs années la distribution Slackware, pour migrer ensuite vers le Chapeau Rouge et enfin vers la distribution Debian qui équipe maintenant tous mes serveurs GNU/Linux pro.

En parallèle, j’ai joué avec Nextstep, FreeBSD, Solaris et NetBSD, pour différentes raisons, mais c’est surtout l’univers des différentes distributions GNU/Linux qui m’a attiré : j’aime bien de temps en temps installer une distribution pour voir comment elle fonctionne. Je teste un peu de tout, mais pas tout, car vous trouverez une liste impressionnante des différentes distributions sur cette page Wikipédia.

Certaines distributions sont spécialisées dans l’inforensique, comme DEFT. D’autres dans la protection de la vie privée, comme Tails. Enfin, certaines sont adaptées à un usage grand public, comme Ubuntu, que j’ai choisie pour mon ordinateur personnel.

Tout est affaire de choix, et chaque distribution a sa communauté et ses passionnés. Mais, si je suis un utilisateur converti depuis longtemps, je n’ai jamais fait parti des contributeurs, c’est-à-dire que je n’ai jamais participé au développement, aux tests, à la documentation, aux traductions, etc. Peut-être puis-je me targuer d’en avoir parlé autour de moi, et d’avoir incité mes étudiants à s’en servir. Mais le fait de ne pas contribuer me rend un peu mal à l’aise…

C’est pourquoi, le jour où un avocat m’a contacté pour me demander de faire une analyse technique en tant qu’expert, avec comme objectif de lutter contre la vente forcée du système d’exploitation lors d’un achat de matériel informatique, j’ai tout de suite répondu présent.

C’était la chance de ma vie pour apporter ma pierre à l’édifice.

C’était le projet qui allait marquer ma vie d’expert de justice.

C’était le moyen de détrôner Windows de son hégémonie et rendant le choix possible pour le consommateur.

J’étais chaud bouillant.

Hélas, le problème est plus complexe qu’il n’y paraît. Comment évaluer la simplicité d’installation d’une distribution sur un ordinateur ? Quelle distribution faut-il tester ? Sur quels ordinateurs faut-il faire les tests pour prétendre être exhaustif ? Combien d’ordinateurs, quelles marques ? Etc.

Est-il possible d’écrire un rapport technique objectif prouvant la vente liée ?

Il est beaucoup plus simple de trouver un ordinateur récent et d’installer plusieurs distributions pour en trouver quelques unes qui ne s’installent pas correctement… Il y a souvent un « truc » propriétaire sur l’ordinateur (par exemple des boutons sur un portable) qui ne sera pas reconnu par le système d’exploitation si le constructeur ne fournit pas le bout de programme ad-hoc. Et le temps que la communauté développe le pilote manquant, un certain nombre de consommateurs peuvent s’estimer floués…

En 2008, Darty avait été poursuivi par l’association UFC-Que Choisir pour vente liée PC et logiciels, mais le tribunal l’avait déboutée (lire ici). La société Darty avait quand même été condamnée à détailler le prix des logiciels installés sur un PC. Cette obligation avait été retirée en appel.

Le jugement d’appel peut être lu ici (pdf).

J’en reproduit ici un extrait qui me semble intéressant :

Darty justifie d’ailleurs que ces ordinateurs, ainsi équipés, lui sont facturés globalement, sans distinction entre le prix de l’ordinateur et celui des logiciels, et que ses demandes pressantes adressées le 26 juin 2008 à ses fournisseurs (Toshiba, Asus, Apple, Packard Bell, Sony, Hewlett Packard, Fujitsu-Siemens et Acer), dans le but de satisfaire à l’injonction du tribunal, sont demeurées vaines, Apple ayant répondu que ses logiciels, conçus par elle, ne sont pas vendus séparément, Hewlett Packard ayant fait valoir que « les logiciels qu'(elle) se procure en très grandes quantités pour en équiper ses ordinateurs doivent être distingués de ceux disponibles dans le commerce et que ces composants ne font pas l’objet d’une commercialisation séparée » et qu’elle estimait en conséquence que « le prix des logiciels dont elle équipe ses machines et dont elle n’est pas par ailleurs revendeur est un élément de la structure du coût de ses ordinateurs et relève du secret des affaires », et les autres n’ayant tout simplement pas accédé à sa requête;

Où en est-on en 2015 ? Je ne suis pas juriste, donc, je ne peux pas vous dire dans quel sens les textes de loi ont évolué. J’espère que le moment est venu de se reposer la question de la vente liée.

Il faudrait sans doute définir dans la loi plusieurs sortes de consommateurs : celui qui souhaite une machine « clef en main » et celui qui peut accepter une machine nue, avec une réduction de prix, même modique. Il faudrait que les constructeurs fournissent les pilotes de leur matériel propriétaire. Il faudrait que les constructeurs acceptent d’installer plusieurs systèmes d’exploitation en OEM pour assurer la pleine exploitation de leurs machines et l’égalité des armes.

La gratuité annoncée de Windows 10 va peut-être débloquer cette situation, développer les parts d’utilisation des OS alternatifs et permettre au consommateur d’avoir le choix. La guerre des OS n’est pas prête de s’arrêter.

Pour l’instant, ce projet d’expertise est en attente, et je me contente de contribuer au point n°10 de cette liste, et d’acheter mes ordinateurs nus sur les sites qui le proposent.

En attendant mieux.

Désolé.

————————————————-

Source dessin : Bruno Bellamy