Pour la 6ème semaine de l'année 2018, voici 10 liens intéressants que vous avez peut-être ratés, relayés par le Journal du hacker, votre source d’informations pour le Logiciel Libre francophone !

• Réponse à Franck Ridel concernant DuckDuckGo
• DuckDuckGo, le canard aux pratiques boiteuses
• Développer une extension pour navigateur
• Avec sa nouvelle version, le lecteur RSS libre Miniflux joue la carte du long terme
• Cheat, un aide-mémoire de commandes Linux
• Amp : un ptit éditeur de texte à la vi
• Les GUL, à votre service pour vous aider à adopter une distribution Linux
• Créer des certificats « LetsEncrypt » avec les DNS de OVH
• Les fake news n'existent pas (et c'est vrai)
• Une nouvelle déclaration d’indépendance du cyberespace

Pour ne plus rater aucun article de la communauté francophone, voici :

• Le flux RSS du Journal du hacker
• Le compte Twitter du Journal du hacker
• Le compte Diaspora* du Journal du hacker
• Le compte Mastodon du Journal du hacker

De plus le site web du Journal du hacker est « adaptatif (responsive) ». N’hésitez pas à le consulter depuis votre smartphone ou votre tablette !

Le Journal du hacker fonctionne de manière collaborative, grâce à la participation de ses membres. Rejoignez-nous pour proposer vos contenus à partager avec la communauté du Logiciel Libre francophone et faire connaître vos projets !

Et vous ? Qu’avez-vous pensé de ces articles ? N’hésitez pas à réagir directement dans les commentaires de l’article sur le Journal du hacker ou bien dans les commentaires de ce billet :)

Original post of Journal du hacker.Votez pour ce billet sur Planet Libre.

Comment s’assurer simplement qu’un e-mail est légitime ? Je présente dans cet article quelques solutions avec Thunderbird.

En effet en publiant le Courrier du hacker, la newsletter hebdomadaire résumant l’actualité francophone du Logiciel Libre et Open Source, j’ai été confronté à plusieurs problèmes de légitimité des e-mails envoyés.

Avec l’e-mail il n’est pas toujours simple de détecter un problème, les paramètres possibles sont très nombreux et donc tout autant les problèmes qu’on peut créer sans s’en rendre compte.

Comme je l’ai évoqué dans un précédent article à propos du service en ligne d’e-mails GMail de Google, les différents prestataires d’e-mails ont parfois des comportements surprenants et utilisent des méthodes parfois très contestables pour faire le tri en e-mails légitimes et illégitimes.

Cela m’a poussé personnellement à m’intéresser aux différentes technologies derrière l’e-mail et aux moyens de contrôler moi-même la légitimité des e-mails. J’utilise ici uniquement Thunderbird et ses plugins, que je trouve très pratique à utiliser.

Je me suis intéressé aux différents moyens de me faire mon avis sur la légitimité des e-mails reçus et quels sont les programmes qui me permettent d’automatiser cette tâche.

Les technologies assurant la légitimité

Petit rappel avant de commencer, voici quelques informations sur les différentes technologies utilisées dans le cadre du combat contre les e-mails illégitimes.

DKIM

DomainKeys Identified Email permet au serveur émetteur d’e-mails de signer un e-mail avec une clé privée. La clé publique correspondante permettra ensuite au serveur récepteur et à quiconque de vérifier que l’émetteur mentionné dans l’e-mail est bien celui qui a envoyé l’e-mail mais aussi de vérifier que le contenu de l’e-mail n’a pas été altéré.

SPF

La norme Sender Policy Framework permet de vérifier le nom de de domaine de l’expéditeur d’un courrier électronique.

Listes noires d’émetteurs de spams

Des listes noires communautaires de DNS émetteurs de spams ont été répertoriées . Elles peuvent fournir un indice sur l’illégimité des e-mails envoyés par un émetteur compromis, par exemple DNSBL.

Listes noires de liens dangereux

De la même façon, les liens détectés auparavant dans des spams ou scams sont répertoriés dans des listes noires communautaires, par exemple SURBL.

Ces différents outils permettent dans le domaine de l’e-mail de faire le tri entre le bon grain et l’ivraie

Outil de détection d’e-mails illégitimes intégré à Thunderbird

Le client Thunderbird propose un outil d’identification des e-mails illégitimes (scam).

Via les réseaux sociaux, @crowd42 m’a remonté le fait qu’en utilisant cette option, ma newsletter lui était signalée comme un scam. Je me suis donc renseigné sur le fonctionnement interne de cette option. Voici ce que j’ai trouvé sur le site du support de Mozilla :

Why does Thunderbird tell me that a legitimate message is a scam?

Thunderbird’s detection algorithm isn’t perfect and, unlike its spam filter, does not learn or adapt based on your email flags.

Le manque d’apprentissage de cette fonctionnalité prouve d’emblée de jeu sa simplicité, surtout à notre époque et vu la sophistication des techniques de spams et scams aujourd’hui.

J’ai également trouvé ceci :

Thunderbird has a rather simplistic scam detection system. If it sees links to « other » sites in an email message it reports it as a possible scam. This affects many legitimate mails that quite reasonably offer links to other sites.

Et cela correspond bien sûr à mon cas. J’en conclus donc que l’outil intégré à Thunderbird est très voire trop simple et devrait être utilisé qu’en connaissance de cause. Je trouve d’ailleurs que Thunderbird devrait améliorer son message d’information, en précisant qu’il s’agit d’une option très simple et qui peut indiquer assez fréquemment des faux positifs.

Plugins de Thunderbird

DKIM Verifier

Plusieurs plugins sont disponibles pour Thunderbird afin d’aider à détecter les e-mails illégitimes. Mon premier essai a été avec le plugin DKIM Verifier. Cet outil est très simple : il présente sous l’adresse de l’émetteur de l’e-mail le statut DKIM.

L’absence de signature DKIM dans un e-mail est aujourd’hui un signe important d’illégitimité d’un e-mail. Avoir des informations au sujet de la signature DKIM permet donc d’avoir une première idée de la qualité de l’e-mail. Mais un autre plugin Thunderbird va nous offrir une vue plus globale sur cette qualité.

ThunderSec

Thundersec est un outil plus poussé proposant de vérifier plusieurs paramètres de l’e-mail : le champ SPF, la signature DKIM, la présence de l’émetteur dans la liste NSBL, une liste d’émetteur de spam ainsi que la présence de liens appartenant à la liste SURBL, consistant en une liste de liens que l’on trouve habituellement dans les e-mails illégitimes.

Ici ThunderSec nous informe que l’émetteur de cet e-mail apparaît dans plusieurs listes noires d’e-mails ayant transmis du spam. Un clic sur le bouton Détails nous informe des IPs des serveurs en question.

Autre exemple avec la newsletter du Courrier du hacker qui est transmise par Mailchimp. ThunderSec nous informe d’un problème.

On voit que la présence d’une url eepurl.com, un service de raccourcissement d’url appartenant à MailChimp, fait réagir ThunderSec.

Après investigation, il s’agit en effet d’un outil de tracking mais qui ne remplit un rôle que lors de l’utilisation de la campagne Mailchimp via les flux RSS ou les réseaux sociaux si on souhaite cliquer sur le titre. Un tracking dont j’ignorais la présence et que je vais supprimer à l’avenir. Merci ThunderSec !

Conclusion

J’ai présenté ici quelques outils qui m’ont permis rapidement (ou non) en étudiant mes e-mails de détecter des problèmes dans les différents e-mails que je reçois et envoie. Il en existe sûrement bien d’autres, mais Thunderbird et ses plugins présentent l’avantage de pouvoir étudier vos e-mails directement depuis votre client de courriels, un avantage non négligeable. Et bien sûr, c’est du logiciel libre.

N’hésitez pas à nous dire quels outils vous utilisez dans les commentaires. Tant que c’est du logiciel libre, cela intéressera tout le monde

Original post of Carl Chenet.Votez pour ce billet sur Planet Libre.

Désolé de remettre ça… Je remets sur mon blog ma configuration Debian. Histoire de ne pas la perdre tant qu’elle est dans mon historique .

Voici ce que j’ai réalisé post-installation:

Ajout dépôts supplémentaires

Dans le fichier /etc/apt/sources.list, ajouter les repo contrib et non-free . Activer également les mises à jour de sécurité.

deb http://ftp.fr.debian.org/debian/ stretch main non-free contrib
deb-src http://ftp.fr.debian.org/debian/ stretch main non-free contrib

deb http://security.debian.org/debian-security stretch/updates main non-free contrib
deb-src http://security.debian.org/debian-security stretch/updates main non-free contrib

# stretch-updates, previously known as 'volatile'
deb http://ftp.fr.debian.org/debian/ stretch-updates main non-free contrib
deb-src http://ftp.fr.debian.org/debian/ stretch-updates main non-free contrib

Logiciels tiers

Etcher

#echo "deb https://dl.bintray.com/resin-io/debian stable etcher" | sudo tee /etc/apt/sources.list.d/etcher.list

#apt-key adv --keyserver hkp://pgp.mit.edu:80 --recv-keys 379CE192D401AB61

Virtualbox

# wget -q https://www.virtualbox.org/download/oracle_vbox_2016.asc -O- | sudo apt-key add -

Dans le fichier /etc/apt/sources.list.d/virtualbox.list

deb https://download.virtualbox.org/virtualbox/debian stretch contrib

Spotify

Dans le fichier /etc/apt/sources.list.d/spotify.list

deb http://repository.spotify.com stable non-free

Installation paquets supplémentaires

# apt-get update
# apt-get install firmware-iwlwifi virtualbox-5.2\\
ttf-mscorefonts-installer easytag tuxguitar-jsa htop\\
 frescobaldi gparted grsync ntfs-config chromium autofs\\
 openjdk-8-jdk openjdk-8-jre gnome-tweak-tool ntfs-config \\
ntfs-3g cifs-utils geogebra-gnome arduino libmediainfo \\
libmediainfo0v5 network-manager-openvpn-gnome dirmngr \\
spotify-client spotify-client-gnome-support \\
 etcher apt-transport-https etcher-electron vim \\
fonts-powerline audacity ffmpeg lame unrar rar gdebi \\
sound-juicer traceroute scala net-tools nmap \\
gnome-shell-pomodoro hplip dig dnsutils build-essential \\
linux-headers-amd64 firmware-linux-nonfree lshw ethtool \\
libsane-hpaio xsane autofs vlc

Configuration autofs

Pour ceux qui ne connaissent pas , autofs est un outil permettant de monter directement des partages nfs et cicfs à l’utilisation et non au démarrage de l’ordinateur.

Dans le fichier /etc/auto.master

/mnt/SERV1/nfs /etc/auto.nfs --ghost, --timeout=60 
/mnt/SERV1/cifs /etc/auto.SERV1.cifs --ghost, --timeout=60 
/mnt/SERV2 /etc/auto.cifs --ghost, --timeout=60

ensuite insérer la configuration adéquate dans les fichiers référencés :

auto.cicfs

data -fstype=cifs,credentials=/home/USER/.cred-file,user=littlewing,uid=1000,gid=1000 ://192.168.0.XX/REPERTOIRE

Les identifiants / mots de passe sont stockés dans un fichier .cred-file stocké à la racine du répertoire utilisateur.

Voici un exemple :

username=user
password=password

Le fichier auto.SERV1.cifs reprend la même structure

auto.nfs

REP1 -fstype=nfs,rw,intr 192.168.0.XX:/volume1/REP1
REP2 -fstype=nfs,rw,intr 192.168.0.XX:/volume1/REP2

Installation d’atom

J’ai choisi d’installer atom via le package .deb fourni par github. Afin d’automatiser l’installation et la mise à jour, voici le script que j’ai réalisé :

#!/bin/sh
SETUP_ROOT=/tmp
wget -O $SETUP_ROOT/atom.deb "https://atom.io/download/deb"
echo "Installation du paquet..."
dpkg -i $SETUP_ROOT/atom.deb
echo "Fini :)"

Ce script est placé dans le répertoire /usr/local/sbin et lancé comme suit :

# upgrade-atom.sh

Installation de Firefox

Afin d’avoir la dernière version de firefox, voici le script que j’ai réalisé:

#!/bin/sh
SETUP_ROOT=/tmp
BIN_ROOT=/usr/local/firefox
DATE=`date +%Y-%m-%d`
OLD_EXE=/usr/lib/firefox-esr/firefox-esr
wget -O $SETUP_ROOT/FirefoxSetup.tar.bz2 "https://download.mozilla.org/?product=firefox-latest&os=linux64&lang=fr"
echo "Extraction de l'archive..."
tar xjf $SETUP_ROOT/FirefoxSetup.tar.bz2 -C /usr/local
echo "Changement des droits utilisateur"
chown -R :users $BIN_ROOT
chmod a+x $BIN_ROOT/firefox
echo "Sauvegarde de l'ancien binaire et Creation des liens symboliques"
if [ -e $OLD_EXE ]
then
 OLD_BINARY=${OLD_EXE}_orig_${DATE}
 mv $OLD_EXE $OLD_BINARY
fi 
ln -s $BIN_ROOT/firefox $OLD_EXE
chmod a+x $OLD_EXE
echo "Fini :)"

Minecraft

Voila l’étape la plus importante, du moins pour mes enfants …

J’ai crée le script /usr/local/bin/minecraft.sh

#!/bin/bash
cd /usr/local/minecraft
java -Xmx1G -Xms512M -cp /usr/local/minecraft/Minecraft.jar net.minecraft.bootstrap.Bootstrap

J’ai placé le JAR en question dans le répertoire /usr/local/minecraft.

Enfin, j’ai crée le fichier « lanceur gnome » /usr/share/applications/minecraft.desktop

[Desktop Entry] 
Name=Minecraft
Comment=
Categories=Game;BoardGame;
Exec=/usr/local/bin/minecraft.sh
Icon=Minecraft_Block
Terminal=false
Type=Application
StartupNotify=true

J’ai également mis une icone SVG dans le répertoire /usr/share/icons/

Optimisation du boot

Après toutes ces installations, il faut vérifier que les performances, notamment au démarrage ne sont pas trop altérées

Pour avoir le détail du boot, il faut utiliser la commande systemd-analyze

#systemd-analyze blame
 8.113s NetworkManager-wait-online.service
 2.549s apt-daily-upgrade.service
 803ms networking.service
 228ms colord.service
 213ms dev-sda1.device
 145ms systemd-timesyncd.service
 128ms ModemManager.service
 102ms autofs.service
....

On peut également voir le chemin critique avec cette commande:

#systemd-analyze critical-chain 
The time after the unit is active or started is printed after the "@" character.
The time the unit takes to start is printed after the "+" character.

graphical.target @8.944s
└─multi-user.target @8.944s
 └─autofs.service @8.841s +102ms
 └─network-online.target @8.841s
 └─NetworkManager-wait-online.service @723ms +8.113s
 └─NetworkManager.service @642ms +80ms
 └─dbus.service @612ms
 └─basic.target @612ms
 └─paths.target @612ms
 └─acpid.path @610ms
 └─sysinit.target @608ms
 └─systemd-backlight@backlight:acpi_video0.service @1.042s +8ms
 └─system-systemd\\x2dbacklight.slice @1.042s
 └─system.slice @119ms
 └─-.slice @108ms

Désactivation des services

Par exemple, si vous voulez désactiver le service virtualbox au démarrage

# systemctl disable vboxautostart-service.service

et ainsi de suite pour tous les services inutiles au démarrage

Analyse du démarrage d’un service

Pour analyser le démarrage d’un service, on peut utiliser la commande journalctl

# journalctl -b -u NetworkManager-wait-online.service

Conclusion

Après toutes ces étapes, j’ai un système opérationnel. Il manque pas mal d’outils ( ex. maven, npm, intellij,…). Ces outils tiennent plus du poste de développement.

Original post of Littlewing.Votez pour ce billet sur Planet Libre.

Bon,

mon site part en carafe. J’ai donc décidé de changer d’hébergeur.Pour faire bref, je quitte l’autre.net et je migre mon blog sur wordpress.com.

Bien évidemment, je n’ai aucune sauvegarde…Je repars de zéro

A bientôt!

Original post of Littlewing.Votez pour ce billet sur Planet Libre.

• 8 Key React Component Decisions (en) : Au delà des 8 choix techniques, cet article donne un panorama de comment les projets React sont généralement organisés avec en plus quelques rappels historiques sur l'évolution de React lui-même.
• How we improved webpack build performance by 95% (en) : At the worst time, the entire build would take as long as 3 hours and 21 minutes!
• Please Stop Using Local Storage (en) : Éventuellement à lire après How EU Cookie Law Myths Affect Web Security. Traduction libre d'un paragraphe : Pour faire simple, il y a une unique situation dans laquelle vous pouvez utiliser local storage : quand vous avez besoin de stocker des informations disponibles publiquement qui ne sont donc pas sensibles, qui ne sont pas utilisées dans une application haute performance, dont la taille n'excède pas 5 Mo et qui sont uniquement des chaînes de caractères.
• The Silex Sunset (en) : Le framework Silex ne sera bien plus maintenu. Cet série d'articles (3 pour le moment) propose une manière de migrer vers Symfony Flex.
• 12 best practices for user account, authorization and password management (en) : 12 bonnes pratiques dans la gestion des comptes utilisateurs, des droits et des mots de passe. Si seulement tous les services en lignes les suivaient.
• memory-leaks.md (en) : Une explication simple des fuites mémoire (memory leaks) en JavaScript avec une méthode pour les chasser avec les devtools de Chrome.
• Remote i3-wm WS : ma télécommande pour bureau Debian GNU/Linux (fr) : Une télécommande pour Debian à base de Web Socket, JavaScript et PHP. Super fun!
• Welcoming Progressive Web Apps to Microsoft Edge and Windows 10 (en) : Microsoft semble décider à pousser les Progressive Web App (PWA). La prochaine version de Edge devrait supporter les technos qui permettent de construire une PWA (Service Worker et cie) et en plus Microsoft va intégrer des PWA dans son store (soit automatiquement, soit à la demande des développeurs).
• A Tale of Two Rooms: Understanding screen reader navigation (en) : Une belle métaphore pour comprendre la navigation avec un lecteur d'écran. Cet article est vraiment à lire et mériterait même une traduction en français.

Et un peu hors-sujet :

• Pourquoi y a-t-il des gauchers ? (fr) : Bah en fait, on sait pas trop et en plus on n'est pas forcément 100% gaucher ou droitier... Bref, la vidéo est passionnante :-)

(En plus du flux RSS global, les billets veille et uniquement ceux là sont listés dans le flux RSS veille)

Original post of Damien Pobel.Votez pour ce billet sur Planet Libre.