Mois : janvier 2017

Protéger vos données personnelles en milieu professionnel

Votre hygiène numérique et le milieu professionnel.

Un billet tiré d’une anecdote qui remonte à plus de six mois, une amie qui venait de démissionner m’appelle:

Sima mon chef de service m’a demandé le mot de passe de mon ordinateur, je lui ai donné… Le souci, c’est que j’ai un dossier personnel, rien de bien grave ni compromettant, mais tout de même personnel. Et puis sur mon navigateur j’ai des favoris vers lesquels mes logins et mots de passe sont enregistrés…

Cette situation peut également arriver lors d’un congé maladie d’un employé.Voyons la suite…

En effet, en milieu professionnel, pendant que certains font la pause clope, ou café, ou papotage avec les collègues, d’autres profitent de cette plage de détente pour aller sur les réseaux sociaux, forums, cloud, commander sur leur drive commercial, et autres achats, faire des courriers personnels, jouer…
Une situation normale, mais qui nécessite un minimum d’hygiène numérique.

Les règles simples d’hygiène numérique

– Sur votre ordinateur de travail, ce qui est personnel doit être contenu dans un dossier nommé « Privé ». S’en tenir qu’à ça, c’est avoir une confiance aveugle.

– Le mot de passe : il faut avoir un mot passe par application, donc le mot de passe de votre pc de travail devrait être unique. Ce n’est pas le cas, vous utiliser ce même mot passe pour d’autres applications (c’est pas bien), si votre disque dur (D.D.) n’est pas chiffré, vous n’êtes pas obligé de le donner. Un passage de votre ordinateur par le service informatique permettrait de récupérer les données facilement (dont votre dossier privé 🙁 ). Votre D.D. est chiffré, prenez le temps de vous déplacer et accédez à votre ordinateur devant votre employeur ou chef, et effacez votre dossier privé. Il en va de même pour vos mails privés.
Pour information: Cas des mails et dossiers personnels d’un salarié dans le système d’information mis à sa disposition par son employeur

– Les favoris de votre navigateur
En dehors du fait qu’ils attestent vos habitudes de navigation, si les sites nécessitent un login et mot de passe, ne jamais les enregistrer sur votre navigateur. Si c’est le cas, rendez-vous sur les sites en questions et modifiez les mots de passe, s’ils sont utilisés pour d’autres applications, faites de même sur les autres applications.

Quelques solutions

En plus des précautions ci-dessus, pour vos mots de passe utilisez un coffre-fort de mot passe. J’utilise Keepass, il existe sans doute d’autres utilitaires libres… Personnellement, j’ai deux bases de données Keepass, l’une pro l’autre perso.
Pour la navigation, je n’enregistre pas de favori personnel, donc ni login et ni mot de passe. On peut aller plus loin, si cela vous est possible, en installant Tor pour surfer sur le web ou surfer via un VPN, certains FAI en proposent.
Pour votre dossier privé, il existe la possibilité de créer un conteneur chiffré avec VeraCrypt.
Sur internet, vous trouverez de nombreux tutoriels sur Keepass et VeraCrypt.

Conclusion

Faites comme si demain vous ne pourrez pas vous rendre à votre bureau et que votre service doit accéder à vos dossiers professionnels, donc peut-être aussi à votre dossier privé, votre navigateur, etc.

Quelques pistes:
http://www.cil.cnrs.fr/CIL/spip.php?article1646
http://www.mcmillan.ca/Protection-des-donnees-personnelles-en-milieu-de-travail
http://www.cil.cnrs.fr/CIL/spip.php?article1471

Une recette de cuisine est-elle Open Source

Une recette de cuisine est-elle Open Source

Je suis toujours surpris lorsque je tombe sur un blog de recettes de cuisine et que je vois un copyright, ou un message du genre « Tout le contenu de ce blog est la propriété de… », mais je m’étonne aussi de lire « recette OpenSource »

Posons-nous la question autrement, car si certains décident qu’un bout de code doit être « fermé » (tant pis pour son évolution) d’autres font le choix de l’open source, donc ouvert à tous, pour son évolution tant au niveau des failles qu’à ses options possibles et son évolution, c’est un débat, soit ! La recette de cuisine dès qu’elle est écrite est par définition « Open Source ». La question concernant les recettes de cuisine se pose autrement:

Une recette de cuisine est-elle une œuvre de l’esprit ? ou pas ?

Cela rejoint le concept des tutoriels que nous publions les uns et les autres.

Une recette est une liste d’ingrédients et un procédé linéaire d’exécution. Il s’agit d’une base que l’on adapte chacun selon ses goûts (plus de sel, moins de poivre, une autre épice plutôt que celle proposée…).

Un tutoriel est une liste de commandes linéaires que l’on peut améliorer (sans même parler des commandes complexes où chacun peut y user des subtilités après avoir lu le man, il y a aussi les outils utilisés, l’un met « nano » là où un autre aurait mis « vi », l’un préfère « cat » à « more » et un autre aurait rajouté un « | less »). Bref, chacun les adaptes à sa sauce et en fonction de sa distribution.

Revenons-en à la recette de cuisine. Est-elle une œuvre de l’esprit ?

Tout dépend de la façon dont elle est écrite, d’ailleurs SEB et son Foodle qui avait plagié honteusement nombreux contenus de recettes avec photos de blogueurs, savait qu’il était dans son droit… même si face à la pression des blogueuses, blogueurs culinaires, SEB à fait « machine arrière » il restait inattaquable sur les droits de publication culinaire (copié/collé). Et oui, c’est moche, très moche de se faire de l’argent sur le dos des autres, mais ce n’est pas nouveau… Généralement, les recettes, comme les tutoriels, ne sont pas des œuvres de l’esprit

La différence entre une recette qui n’est pas une œuvre de l’esprit et celle qui l’est!..

Voyons cela… Nous sommes le 21 janvier et c’est le jour où il est de bon ton de manger de la tête de veau à la sauce gribiche, alors profitons de l’occasion pour décrypter.

Deux modes d’écriture pour la sauce gribiche:

Recette de la sauce gribiche, n’étant pas considérée comme une œuvre de l’esprit :

Pour la sauce gribiche
- 3 œufs durs
- 45 cl d'huile de tournesol
- 1 cuil à café de moutarde
- 3 cuil à soupe de vinaigre
- 3 cornichons
- 1 cuil à soupe de câpres
- 1 cuil à soupe de persil haché
- 1 cuil à soupe d'estragon haché
- sel, poivre
Préparation :
1 - Faites cuire les œufs durs.
2 - Écrasez les jaunes d’œuf à la fourchette avec la moutarde. Incorporez le vinaigre et l'huile et fouettez comme pour une mayonnaise. Salez, poivrez.
3 - Incorporez les cornichons et câpres hachés, le persil et l'estragon. Hachez les blancs d’œuf et ajoutez-les.
4 - Réservez au frais.
Cette sauce est parfaite pour les viandes et poissons froids.

Recette de la sauce gribiche qui pourrait être une œuvre de l’esprit, si j’avais la grosse tête de veau.

Allez dans le poulailler et prenez trois œufs fraîchement pondus. Dans une casserole, faites bouillir de l’eau et plongez-y les œufs, laissez-les au moins neuf minutes. Écaillez-les et séparez de chaque œuf le vitellus (jaune) de l’albumen (blanc). Écrasez les jaunes (vitellus) à la fourchette avec une cuillère à café de moutarde et trois cuillères à soupe de vinaigre. Fouettez avec toute l’énergie que vous pouvez donner en y ajoutant peu à peu l’huile comme pour monter une mayonnaise, n’hésitez pas à saler et poivrer à votre goût. Et n’hésitez pas non plus à y mettre de l’huile de coude. Quand la consistance est onctueuse, ajoutez-y trois cornichons finement hachés, une cuillère à soupe de câpres, de persil, d’estragons et les blancs d’œuf que vous aurez également finement hachés. Réservez tout cela au froid dans le meilleur emplacement de votre réfrigérateur jusqu’à l’instant de le servir en accompagnement d’une viande ou d’un poisson froid, excellent en accompagnement d’une tête de veau. N’attendez pas plus de deux jours, même au réfrigérateur, il s’agit de votre santé.

Sur ce dernier texte, je pourrais la prévaloir d’œuvre de l’esprit en cas de copie, même s’il s’agit d’une œuvre littéraire culinaire basique, pour ne pas dire médiocre.
Tout cela pour dire qu’une liste et un procédé ne peuvent pas être considérés comme une œuvre de l’esprit. D’ailleurs, les parfumeurs le savent bien, car un parfum n’est ni plus ni moins qu’une liste d’ingrédients, leurs proportions, le procédé d’intégration et tout cela reste très secret, dans des coffres-forts… Sans doute à tort, un passionné pourrait les perfectionner…
En fait, une œuvre de l’esprit, reste de mon point vue, toujours discutable lorsqu’il s’agit de contenus de blogs car quelle que soit la qualité littéraire il ne s’agit que d’une expression de qualité plus ou moins ingénieuse… et non pas d’une nouvelle, un roman, une poésie, une thèse…

Concernant mon blog
Je vous rassure, il n’y a aucune œuvre de l’esprit ni copyright, à la limite on peut y trouver des œuvres de mauvais esprit… Vous pouvez y pomper tout ce que vous voulez et surtout l’améliorer, je n’invente rien, je n’utilise que des commandes existantes.

https pour autres ports ou services ex Geneweb – stunnel4

geneweb https stunnel4

Si vous avez une application avec un protocole ne supportant pas SSL, la solution est de l’encapsuler dans un tunnel SSL.
Bien entendu, il s’agit là d’un exemple, qui fonctionne chez-moi, n’hésitez pas à améliorer.

Geneweb en https

Depuis que mon serveur est en https, geneweb restait en http. Geneweb se lance sur mon serveur en service (il est son propre serveur) sur un port dédié. Une des solutions aurait été de l’installer sur /var/www/ avec un script CGI… Ce que je ne souhaitais pas.
Donc mon exemple s’applique à Geneweb, mais en cherchant sur le web, vous trouverez comment encapsuler d’autres protocoles tels que smtp, pop, vpn, imap…
Habituellement, on se connecte sur Geneweb en mode service sur le port 2317 (http://leserveur.net:2317) donc pas en https…

Voyons comment procéder…

sur Ubuntu 16.04 server

Geneweb et Stunnel

Installer Stunnel4

sudo apt-get install stunnel4

On se place dans le répertoire et on se positionne en Root, sinon tapez « sudo » devant chaque ligne.

cd /etc/stunnel
sudo -s

On génère les clés. On peut faire simple avec:

openssl req -new -x509 -nodes -days 365 -out stunnel.pem -keyout stunnel.pem #dans ce cas il faudra en tenir compte lors de la création du fichier « stunnel.conf »

Personnellement, j’ai procédé comme suit:

openssl genrsa -out cle-serveur.key 2048

Signature de la demande de certificat CSR.

openssl req -new -key cle-serveur.key -out demande-certif.csr

Le certificat auto-signé pour un an.

openssl x509 -req -days 365 -in demande-certif.csr -signkey cle-serveur.key -out cert-server.crt

On combine le certificat et la clé dans un même fichier.

cat cleserveur.key > server.pem && cat certserver.crt >> server.pem

On modifie les permissions.

chmod 0600 cert-server.crt cle-serveur.key server.pem

Ensuite je crée le fichier de configuration « stunnel.conf » dans /etc/stunnel/

« ; » signifie que c’est en commentaire, vous pouvez donc « fignoler » la configuration. Je n’ai pas tout traduit par paresse, mais c’est assez transparent.
Utilisez VI, ou nano, ou autre, selon vos habitudes, ici je vais utiliser nano

nano stunnel.conf

Ci-dessous mon fichier stunnel.conf

; **************************************************************************
; * Options générales                                                         *
; **************************************************************************
; Il est recommandé de changer les privilèges utilisateur et groupe
;setuid = stunnel4
;setgid = stunnel4
; un chroot pour un peu plus de sécurité
;chroot = /var/lib/stunnel4/
; Le fichier PID sera créé dans le chroot
;pid = /var/run/stunnel.pid
; Utile de mettre dans les logs pour suivre en cas de bug
foreground = yes
debug = info
output = /var/log/stunnel4/stunnel.log
; Enable FIPS 140-2 mode if needed for compliance
;fips = yes
; **************************************************************************
; * Service defaults may also be specified in individual service sections  *
; **************************************************************************
; Enable support for the insecure SSLv3 protocol
options = -NO_SSLv3
; These options provide additional security at some performance degradation
options = SINGLE_ECDH_USE
options = SINGLE_DH_USE
; **************************************************************************
; * Include all configuration file fragments from the specified folder     *
; **************************************************************************
;include = /etc/stunnel/conf.d
; **************************************************************************
; * Service definitions (remove all services for inetd mode)               *
; **************************************************************************
[geneweb]
accept = 22317
connect = 2317
cert=/etc/stunnel/server.pem
key=/etc/stunnel/cle-serveur.key

On modifie l’utilisateur et le groupe.

cd ..
chown -Rf stunnel4:stunnel4 stunnel/

Maintenant nous allons activer stunnel

nano /etc/default/stunnel4

Modifiez l’option suivante comme ci-dessous :

ENABLED=1

On redémarre Stunnel

/etc/init.d/stunnel4 stop
/etc/init.d/stunnel4 start

ou plus simplement

/etc/init.d/stunnel4 restart

Connexion à Geneweb en https

Sur cette exemple vous pourrez vous connecter sur Geneweb en https avec l’adresse suivante sur votre navigateur:
https://www.votre-verveur.fr:22317

Si vous utilisez iptables ou autre pare-feux, n’oubliez pas de le modifier et/ou si vous êtes auto-hébergé modifiez aussi la redirection de ports sur votre box….

Si vous avez déjà des certificats Let’s Encrypt, je pense que vous pouvez les utiliser en modifiant le fichier stunnel.conf, j’avoue ne pas avoir creusé la question puisque j’informe ceux que j’autorise à se connecter qu’ils doivent accepter le certificat lors du message d’alerte de leur navigateur.

https sous Apache – Même à l’école je n’ai jamais eu un A

https sur serveur Ubuntu facile

Depuis fin décembre le blog est enfin en accès https… Je devais le faire aux vacances de Pâques 2016, j’avais repoussé à juillet, puis aux vacances de la Toussaint.

Oui, je suis un fervent adepte de la procrastination, je suis de ceux qui remettent au sur-lendemain dans l’espoir qu’un autre le fera demain. Mais là, je dois me rendre à l’évidence, jamais personne ne le fera à ma place. Je l’ai donc fait entre Noël et le Jour de l’An.

Une fois fini, je fais un petit test sur SSL Server Test… Et là, j’ai un A!
Certains diront, et à raison, Let’s Encrypt c’est pas non plus le top du top… Ok, mais m@rd@ alors! P#tain j’ai un A! Même à l’école j’ai jamais eu un A, alors laissez-moi savourer ce A.
Je vous mets la capture d’écran pour me la péter vous montrer et ensuite on passe à la configuration.

Résultat d'audit SSL affichant une note globale « A » avec des scores élevés pour le certificat, le support de protocole, l'échange de clés et la force de chiffrement.
Un serveur Apache sécurisé avec Let’s Encrypt obtient la note « A » au test SSL de Qualys SSL Labs.

Ubuntu server 16.04 sous apache

https sous apaches avec Let’s Encrypt

Je commence par installer « git » sur /opt/

sudo -s
apt-get install git
git clone https://github.com/letsencrypt/letsencrypt /opt/letsencrypt --depth=1

→ « sudo -s » Je ne sais pas combien de sudo je vais devoir taper, sans doute plus de trois, alors « sudo -s »
→ « –depth=1 » Je ne souhaite pas récupérer tout l’historique du site.

Générer les certificats

/opt/letsencrypt/letsencrypt-auto --apache -d domaine.fr -d www.domaine.fr

Si vous avez plusieurs domaines, sinon vous pouvez faire simplement:

/opt/letsencrypt/letsencrypt-auto

Configurer le VirtualHost pour l’accès https

Allez dans /etc/apache2/sites-available et modifier les VirtualHost

cd /etc/apache2/sites-available
nano votredomaineSSL.fr

La configuration que j’ai mise

<VirtualHost *:443>
   ...
      SSLProtocol -ALL -SSLv3 +TLSv1 +TLSv1.1 +TLSv1.2
      SSLHonorCipherOrder On
      SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS

      SSLEngine on
      SSLCertificateFile /etc/letsencrypt/live/domaine.fr /fullchain.pem
      SSLCertificateKeyFile /etc/letsencrypt/live/domaine.fr /privkey.pem
   ...
</VirtualHost>

Configurer le VirtualHost http pour une redirection https

cd /etc/apache2/sites-available
nano votredomaine.fr

La configuration que j’ai mise

<VirtualHost *:80>
...
      RewriteEngine on
      RewriteRule ^ https://www.chispa.fr%{REQUEST_URI} [L,QSA,R=permanent]
...
</VirtualHost>

Renouvellement du certificat

ATTENTION, le certificat n’est valable que 90 jours. On peut le renouveler avec la commande:

/opt/letsencrypt/letsencrypt-auto --apache --renew-by-default -d domaine.fr -d www.domaine.fr

Le mieux est de rendre automatique le renouvellement, heureusement Erika Heidi a créer un script pour nous, il s’agit de le-renew.sh
Je l’ai récupéré, rendu exécutable et mis dans la crontab

curl -L -o /usr/local/sbin/le-renew http://do.co/le-renew
chmod +x /usr/local/sbin/le-renew
crontab -e
0 6 * * 1 /usr/local/sbin/le-renew domaine.fr >> /var/log/le-renew.log

Chaque lundi à 6:00, la validité du certificat en question sera vérifié, s’il est toujours valable, au cas contraire il demandera le renouvellement.

Bon, normalement en bon « copiteur » vous aurez un A, et si en plus vous améliorez, je ne vous en parle même pas! Un A+ ou A++.