Pour la 42ème semaine de l'année 2018, voici 10 liens intéressants que vous avez peut-être ratés, relayés par le Journal du hacker, votre source d’informations pour le Logiciel Libre francophone !

• PeerTube 1.0 : la plateforme de vidéos libre et fédérée
• Changer le monde, un octet à la fois
• L'open source bashing à encore de beaux jours devant lui
• Croire bien faire et finalement mal faire (retour suite à l'incident Caliopen)
• « Au cas où »
• Juno est maintenant disponible
• [pfSense] Bien choisir et dimensionner son firewall
• Facebook, le site qui ne vendait rien
• Les générateurs de site Web statiques, et mon choix de Pelican
• Hygiène et écologisme numérique

Pour ne plus rater aucun article de la communauté francophone, voici :

• Le flux RSS du Journal du hacker
• Le compte Twitter du Journal du hacker
• Le compte Diaspora* du Journal du hacker
• Le compte Mastodon du Journal du hacker

De plus le site web du Journal du hacker est « adaptatif (responsive) ». N’hésitez pas à le consulter depuis votre smartphone ou votre tablette !

Le Journal du hacker fonctionne de manière collaborative, grâce à la participation de ses membres. Rejoignez-nous pour proposer vos contenus à partager avec la communauté du Logiciel Libre francophone et faire connaître vos projets !

Et vous ? Qu’avez-vous pensé de ces articles ? N’hésitez pas à réagir directement dans les commentaires de l’article sur le Journal du hacker ou bien dans les commentaires de ce billet :)

Original post of Journal du hacker.Votez pour ce billet sur Planet Libre.

Contexte

Le titre parle de cloud douteux, mais il peut s'agir de son propre cloud auto-hébergé sur lequel on aurait des doutes quant à la sécurité : temps ou compétences limités, faille potentielles (probables?) dans le logiciel utilisé,...

Le caractère pratique de disposer de ses données dans un cloud partout, tout le temps, peut conduire à y stocker des données sensibles: historique bancaire, copie de pièces d'identité, bulletins de salaires, factures,... Des données que l'on ne souhaite pas voir exposées aux yeux d'un tiers inconnu. Si le logiciel utilisé en auto-hébergement ne permet pas le chiffrement de bout en bout (ou si on utilise un cloud propriétaire), il semble ainsi pertinent de conserver ces données dans un conteneur chiffré, de sorte qu'un attaquant ayant pénétré le serveur (ou le tiers propriétaire du cloud) ne trouve pas ces données en open bar. En outre, si les clients (ordinateur, téléphone) ne sont pas chiffrés, cela permet également de gagner en sécurité vis-à-vis de ces appareils: quelqu'un qui les trouverait n'aurait pas plus accès à ces données.

La première idée était de chiffrer avec un conteneur LUKS (crédit au guide d'autodéfense numérique: voir qu'ils recommandent LUKS permet de savoir assez vite vers qui se tourner). Néanmoins le débroussaillage me laissait entrevoir quelque chose d'assez peu pratique, j'ai donc commencer par explorer une autre voie basée sur GPG.

Précision en terme de contexte : ordinateur sous Debian stable (Stretch à date), utilisant Thunar comme gestionnaire de fichier et XFCE comme environnement de bureau, et smartphone sous Android 6. L'optique est d'avoir une utilisation quotidienne facile, ce qui se traduit sur l'ordinateur par une semi-automatisation (actions personnalisées Thunar, appariement du conteneur à l'ouverture de session).

À la mode GPG

Principe

Encapsuler le dossier dans un fichier (.zip par exemple) puis chiffrer ce fichier avec une clé GPG, avec pour destinataire la même clé GPG.

Principal inconvénient

Si on perd la clé alors le contenu est perdu.

Mise en oeuvre

1. créer une clé GPG avec son ordinateur: gen-key

2. la transférer à son téléphone. Sous Android et avec OpenKeychain voir ici la procédure :

   gpg --armor --gen-random 1 20; gpg --armor --export-secret-keys YOUREMAILADDRESS | gpg --armor --symmetric --output mykey.sec.asc

   avec à la place de YOUREMAILADDRESS l'adresse mail ou l'identité IDENTITE associée à la clé créée plus tôt ; transférer le fichier produit au téléphone et l'ouvrir avec OpenKeychain en suivant les indications ; il faut notamment renseigner le mot de passe généré avec la première commande, permettant la sécurisation du transfert de la clé privée au téléphone) ;

3. l'action personnalisée pour Thunar pour transformer un dossier en .zip chiffré (qui rend compte des étapes successives pour passer d'un dossier à une archive chiffrée):

   cd %d; zip -r %f.zip $(realpath --relative-to=%d %f); xfce4-terminal -x gpg --encrypt --recipient IDENTITE %f.zip; rm %f.zip

   (%f : chemin absolu du fichier pointé, soit ici un dossier ; %d le chemin absolu du dossier parent ; la bidouille sur le realpath permet d'avoir effectivement les chemins relatifs dans le fichier zippé) ;

   • pour l'action personnalisée Thunar, bien penser à aller cocher que celle-ci doit apparaître pour les dossiers (dans l'onglet "Conditions d'apparition").

4. pour déchiffrer, l'action personnalisée Thunar (idem, rend compte des commandes successives pour lire le conteneur):

   xfce4-terminal -x gpg --decrypt --output %f_dechiffre --recipient IDENTITE %f

5. sur le téléphone, déchiffrer le conteneur avec OpenKeychain et consulter le contenu de l'archive avec GhostCommander, par exemple.

À base de conteneur LUKS

Principe

Créer un disque virtuel chiffré de format LUKS et partager ce disque.

Principal inconvénient

La taille du fichier est statique; de sorte que si on n'a quelques mégaoctets de données à chiffrer mais qu'on sait qu'on sera amené à y mettre davantage, pour ne pas refaire un nouveau conteneur à l'avenir, on est contraint de prendre de la marge dès la création du conteneur. Ce qui signifie qu'en général on occupe plus d'espace que n'en requièrent les fichiers chiffrés.

Avantage sur la façon GPG précédente

Retenir la phrase de passe est suffisant pour retrouver l'accès au contenu.

Mise en oeuvre

• création du conteneur et formatage en fat (à exécuter en tant qu'admin : sudo ou compte root de rigueur):

  dd if=/dev/urandom of=conteneur.img bs=20M count=1 iflag=fullblock
  cryptsetup --align-payload=1 --key-size 512 --hash sha512 luksFormat conteneur.img
  cryptsetup open conteneur.img cont_
  mkfs.fat /dev/mapper/cont_
  cryptsetup close cont_
  

• appariement du conteneur à un point de montage, en tant qu'utilisateur non-root : udisksctl loop-setup -f conteneur.img ; ne reste alors qu'à cliquer le conteneur dans le navigateur de fichier, rentrer la phrase de passe et on est bon!

  • pour faciliter l'utilisation quotidienne, j'ai créé un service au démarrage de la session, contenant cette ligne de commande. Il faut toujours rentrer la phrase de passe mais on se débarrasse déjà d'une partie du travail.
• il y a ce qu'il faut sur F-Droid pour lire les conteneurs LUKS sur un téléphone Android : EDS Lite
• A noter que j'ai d'abord essayé le formatage en ext4 : on obligé de bidouiller pour pouvoir écrire dans le conteneur (cf point suivant), et l'appli Android EDS Lite ne parvient pas à l'ouvrir.
  • pour pouvoir écrire dans le conteneur formaté en ext4, je suis obligé de l'ouvrir une première fois, donner la possession de son contenu à l'utilisateur, de le démonter. Au montage suivant je peux écrire dedans. Je suppose que la différence est liée (a) au formatage avec le compte administrateur et (b) à la différence de gestion des droits des utilisateurs entre les deux formats.

Principales sources pour cette méthode

• wiki d'Archlinux, comme toujours très utile (complet, clair);
  • les pages liées sont utiles également : 1, 2
• le blog qui m'a donné la solution pour l'usage en tant qu'utilisateur non root : blog (j'ai eu l'embryon de solution, à savoir udisksctl, ici, où l'on comprend que l'utilisation en tant que non-root est non triviale).

En passant

A noter également le projet luckyLUKS qui propose de faciliter l'usage de ces conteneurs chiffrés ; mais pas dans les dépôts, je ne connais pas, donc pas de confiance a priori. Surtout sur un sujet comme le chiffrement des données.

Conclusion

La solution avec LUKS reste plus sûre, dans la mesure où il n'y a pas de fichiers (clé de chiffrement) que l'on puisse égarer, seulement une phrase de passe qu'on peut oublier (problématique qui se traite mieux, de mon point de vue, avec un gestionnaire de mots de passe comme Keepass). L'ouverture d'un conteneur de 500mo sur Android est loin d'être immédiate (2 min à 3 min sur un Nexus 4) mais le cas d'usage n'implique pas un accès nécessairement rapide aux données, l'accent étant mis sur l'accessibilité.

L'avantage de GPG serait une ouverture plus rapide (OpenKeychain + GhostCommander qui sait ouvrir les zip) et une taille de fichier dynamique (vs. statique avec LUKS).

Original post of vhaguer.Votez pour ce billet sur Planet Libre.

OpenBSD 6.4 est disponible depuis aujourd'hui. Hourra !

Voyons maintenant comment migrer d'OpenBSD 6.3 vers 6.4 ?!

Changement de configuration

Pour info, il y a les changements suivant dans la configuration :

• à-propos de la fonctionnalité de l'enregistrement audio, et pour des raisons de confidentialité, elle est désactivée par défaut
• correction de l'usage de l'utilitaire route(8), à propos des options -netmask et -prefixlen, d'autant sur IPv6.
• à-propos de la gestion du wifi : votre fichier d'interface wifi devra être modifié pour correspondre à la nouvelle syntaxe :

  nwid mynwid wpakey mywpakey
  De plus, le mot clé join apparaît pour permettre l'auto-connexion à un réseau wifi. L'usage du mot clé wpakey est encouragé lors de l'usage des mots clés join ou nwid.

• si vous utilisez les services de bgpd, httpd, nsd, relayd, smtpd, mais aussi PHP, il y a des modifications à tenir compte. Ah, oui, au fait le serveur ratdvd a été supprimé ; veuillez utiliser rad, en veillant à migrer la configuration avant l'activation du service.

• si vous gèrez des définitions de queues avec PF, vérifiez avec pfctl -s queue, supprimez-les et configurez correctement vos queues

Si vous êtes dans l'un des cas de ces changements, veuillez IMPÉRATIVEMENT lire le Guide de Migration 6.4, que vous retrouverez en fin de cet article.

Avant la mise-à-niveau

• Un nouvel utilisateur _rad va être créé, lié à l'activité du service Bluetooth. Il faut supprimer l'ancien groupe et utilisateur, si vous aviez :

    userdel _btd
    groupdel _btd 

• et supprimer ceux de rtadvd :

    userdel _rtadvd
    groupdel _rtadvd 

• il faut supprimer les fichiers spéciaux, liés au périphérique audio :

  rm /dev/audio /dev/audioctl 

• supprimer tout ce qui est relatif à l'ancien service rtadvd :

  rm /etc/rc.d/rtadvd /usr/sbin/rtadvd /usr/share/man/man5/rtadvd.conf.5 /usr/share/man/man8/rtadvd.8 

• et, enfin, pour finir par supprimer les fichiers relatifs aux composants obsolètes de la libxcb : 

    rm /usr/X11R6/lib/libxcb-xevie.*
    rm /usr/X11R6/lib/libxcb-xprint.*
    rm /usr/X11R6/lib/pkgconfig/xcb-xevie.pc
    rm /usr/X11R6/lib/pkgconfig/xcb-xprint.pc 

 

Conseils pratiques

Avant de faire la mise-à-niveau, si vous utilisez Gnome3, pensez à désactiver gdm : # rcctl disable gdm
Lors du redémarrage, vous vous retrouverez en terminal texte, mais cela permettra de ne pas avoir de soucis avec l'interface graphique.

Vous pouvez faire de même pour xenodm...

Idem, pour les services serveurs, il est recommandé de les désactiver !

Téléchargement

Maintenant que les précautions d'usage ont été exécutées - n'est-ce pas ?! - occupons-nous de télécharger le nécessaire !

Pour cela, positionnons-nous à la racine du système et téléchargeons le binaire bsd.rd, puis les fichiers de sommes de contrôle, et de signature, pour les vérifier :

$ cd /
# for file in bsd.rd SHA256.sig; do [ -f $file ] && rm -fP $file; ftp -n -m -C "https://cdn.openbsd.org/pub/OpenBSD/6.4/$(arch -s)/$file"; done
$ sha256 -c SHA256.sig 2>&1 | awk '/bsd.rd/ {print $3}'
OK
$ signify -Cp /etc/signify/openbsd-64-base.pub -x SHA256.sig bsd.rd
Signature Verified
bsd.rd: OK

Installations

(Re)démarrons la machine informatique, et lors de l'invite 'boot>', tapez : boot bsd.rd

Laissez faire, jusqu'à ce que le processus vous demande le choix d'(I)nstaller, d'(U)pgrader, etc … choisissez : ''U''

Puis, tapez ''http'' si vous voulez la faire en étant connecté à Internet...
ou si vous avez le CD ou une clé USB, tapez ''cd'' !

Ensuite, répondez aux questions, tout comme lors de votre première installation… pour finir par redémarrer, si tout s'est bien passé : reboot

Normalement, OpenBSD met-à-jour automatiquement les firmwares, et essaye de fusionner correctement les nouveaux fichiers de configuration avec ceux que vous auriez pu modifier...

au cas où, utilisez ''sysmerge'', puis ''fw_update''.

Puis terminez par la mise-à-niveau des packages !

# pkg_add -iuv

Laissez faire - cette étape peut être très longue, selon le nombre de paquets que vous aviez précédemment installés pour votre usage.
Parfois, il peut être nécessaire de répèter cette commande... plusieurs fois ; s'il vous est demandé de réparer, faites-le en spécifiant 'y'.

et une fois effectuée, exécutez :

# pkg_check

Et si vous l'avez installé, exécutez :

# sysclean

---

Ceci étant dit, étant fait, pensez à réactiver les services que vous auriez désactivé, lors de la phase de préparation de la mise-à-niveau, puis une fois fait, redémarrez votre machine...

Une fois que vous êtes dans votre session, pensez à lire les fichiers pkg-readmes préparés dans ''/usr/local/share/doc/pkg-readmes/''.

Documentation

La traduction anglais->français (in)officielle du Guide de migration OpenBSD 6.4 est prête !

Original post of Thuban.Votez pour ce billet sur Planet Libre.

OpenBSD 6.4 est disponible depuis aujourd'hui. Hourra !

Voyons maintenant comment migrer d'OpenBSD 6.3 vers 6.4 ?!

Changement de configuration

Pour info, il y a les changements suivant dans la configuration :

• à-propos de la fonctionnalité de l'enregistrement audio, et pour des raisons de confidentialité, elle est désactivée par défaut
• correction de l'usage de l'utilitaire route(8), à propos des options -netmask et -prefixlen, d'autant sur IPv6.
• à-propos de la gestion du wifi : votre fichier d'interface wifi devra être modifié pour correspondre à la nouvelle syntaxe :

  nwid mynwid wpakey mywpakey
  De plus, le mot clé join apparaît pour permettre l'auto-connexion à un réseau wifi. L'usage du mot clé wpakey est encouragé lors de l'usage des mots clés join ou nwid.

• si vous utilisez les services de bgpd, httpd, nsd, relayd, smtpd, mais aussi PHP, il y a des modifications à tenir compte. Ah, oui, au fait le serveur ratdvd a été supprimé ; veuillez utiliser rad, en veillant à migrer la configuration avant l'activation du service.

• si vous gèrez des définitions de queues avec PF, vérifiez avec pfctl -s queue, supprimez-les et configurez correctement vos queues

Si vous êtes dans l'un des cas de ces changements, veuillez IMPÉRATIVEMENT lire le Guide de Migration 6.4, que vous retrouverez en fin de cet article.

Avant la mise-à-niveau

• Un nouvel utilisateur _rad va être créé, lié à l'activité du service Bluetooth. Il faut supprimer l'ancien groupe et utilisateur, si vous aviez :

    userdel _btd
    groupdel _btd 

• et supprimer ceux de rtadvd :

    userdel _rtadvd
    groupdel _rtadvd 

• il faut supprimer les fichiers spéciaux, liés au périphérique audio :

  rm /dev/audio /dev/audioctl 

• supprimer tout ce qui est relatif à l'ancien service rtadvd :

  rm /etc/rc.d/rtadvd /usr/sbin/rtadvd /usr/share/man/man5/rtadvd.conf.5 /usr/share/man/man8/rtadvd.8 

• et, enfin, pour finir par supprimer les fichiers relatifs aux composants obsolètes de la libxcb : 

    rm /usr/X11R6/lib/libxcb-xevie.*
    rm /usr/X11R6/lib/libxcb-xprint.*
    rm /usr/X11R6/lib/pkgconfig/xcb-xevie.pc
    rm /usr/X11R6/lib/pkgconfig/xcb-xprint.pc 

 

Conseils pratiques

Avant de faire la mise-à-niveau, si vous utilisez Gnome3, pensez à désactiver gdm : # rcctl disable gdm
Lors du redémarrage, vous vous retrouverez en terminal texte, mais cela permettra de ne pas avoir de soucis avec l'interface graphique.

Vous pouvez faire de même pour xenodm...

Idem, pour les services serveurs, il est recommandé de les désactiver !

Téléchargement

Maintenant que les précautions d'usage ont été exécutées - n'est-ce pas ?! - occupons-nous de télécharger le nécessaire !

Pour cela, positionnons-nous à la racine du système et téléchargeons le binaire bsd.rd, puis les fichiers de sommes de contrôle, et de signature, pour les vérifier :

$ cd /
# for file in bsd.rd SHA256.sig; do [ -f $file ] && rm -fP $file; ftp -n -m -C "https://cdn.openbsd.org/pub/OpenBSD/6.4/$(arch -s)/$file"; done
$ sha256 -c SHA256.sig 2>&1 | awk '/bsd.rd/ {print $3}'
OK
$ signify -Cp /etc/signify/openbsd-64-base.pub -x SHA256.sig bsd.rd
Signature Verified
bsd.rd: OK

Installations

(Re)démarrons la machine informatique, et lors de l'invite 'boot>', tapez : boot bsd.rd

Laissez faire, jusqu'à ce que le processus vous demande le choix d'(I)nstaller, d'(U)pgrader, etc … choisissez : ''U''

Puis, tapez ''http'' si vous voulez la faire en étant connecté à Internet...
ou si vous avez le CD ou une clé USB, tapez ''cd'' !

Ensuite, répondez aux questions, tout comme lors de votre première installation… pour finir par redémarrer, si tout s'est bien passé : reboot

Normalement, OpenBSD met-à-jour automatiquement les firmwares, et essaye de fusionner correctement les nouveaux fichiers de configuration avec ceux que vous auriez pu modifier...

au cas où, utilisez ''sysmerge'', puis ''fw_update''.

Puis terminez par la mise-à-niveau des packages !

# pkg_add -iuv

Laissez faire - cette étape peut être très longue, selon le nombre de paquets que vous aviez précédemment installés pour votre usage.
Parfois, il peut être nécessaire de répèter cette commande... plusieurs fois ; s'il vous est demandé de réparer, faites-le en spécifiant 'y'.

et une fois effectuée, exécutez :

# pkg_check

Et si vous l'avez installé, exécutez :

# sysclean

---

Ceci étant dit, étant fait, pensez à réactiver les services que vous auriez désactivé, lors de la phase de préparation de la mise-à-niveau, puis une fois fait, redémarrez votre machine...

Une fois que vous êtes dans votre session, pensez à lire les fichiers pkg-readmes préparés dans ''/usr/local/share/doc/pkg-readmes/''.

Documentation

La traduction anglais->français (in)officielle du Guide de migration OpenBSD 6.4 est prête !

Original post of Thuban.Votez pour ce billet sur Planet Libre.

Quel plaisir d'annoncer en ce début d'automne, la publication d'OpenBSD 6.4. Cette version apporte son lot de nouveautés dont nous allons discuter dans cet article. Il va de soi que la liste n'est pas exhaustive et qu'il est conseillé de consulter les notes de publication ainsi que le changelog complet.

Changements notables

• Des changements sur la configuration de l'enregistrement audio, à-propos du wifi, des services de bgpd, httpd, nsd, smtpd, - rtadvd est supprimé au profit de rad - dans la gestion réseau à-propos de route, du filtrage PF, etc... sans oublier PHP
• Améliorations de l'installateur : cdn.openbsd.org est la nouvelle URL par défaut du fichier installurl, La taille par défaut des partitions /usr/{obj,local} change et augmente, respectivement à 5 et 20 Go.
• Amélioration du support matériel : pilotes pour certains touchpads ou touchscreens, chiffrement matériel sur octeon.
• vmd, le gestionnaire de machines virtuelles progresse et supporte désormais le format QCOW2 (souvent employé avec qemu).
• Améliorations réseau, dont WiFi avec la fonctionnalité "auto-join", par le mot clé join ; lire absolument ifconfig(8), trunk(4), et bien d'autre subtilités liées à l'activité réseau...
• Amélioration principale de la sécurité des appels systèmes : unveil(2) + pledge(2). La fonctionnalité d'Hypertreading est désactivée par défaut !
• et bien d'autres changements, liés à OpenSSH, LibreSSL, Mandoc, beaucoup de ports et de paquets, etc...

Mettre à niveau

Pour mettre à niveau votre installation vers OpenBSD 6.4, vous pouvez lire les instructions présentes sur cette page dont voici une traduction en français.

Original post of Thuban.Votez pour ce billet sur Planet Libre.