Étiquette : Sécurité

A-t-on le droit de faire du feu en randonnée

1 079 mots, temps de lecture 6 minutes.

Lors de bivouacs a-t-on le droit en France de faire du feu ?

La réglementation concernant les feux de camp lors de bivouacs en France varie en fonction des régions et des périodes de l’année.

Avant d’aborder les aspects législatifs, je vais d’abord partager mon avis sur le sujet, expliquer ce qu’est un feu, les risques qu’il présente, et fournir quelques exemples.

Dans le billet précédent « Peut-on faire feu de tout bois ?« , j’ai abordé les risques d’intoxication et les risques d’incendie dus à la production variable d’escarbilles et de flammèches par différents végétaux. Les risques ne se limitent pas à ces facteurs !

Mon avis sur le sujet

Depuis que j’ai repris la randonnée, je n’ai jamais fait de feu. Quand j’étais plus jeune et que je randonnais fréquemment, il était très rare que je fasse un feu. La dernière fois, c’était un mois d’avril très humide dans les Pyrénées, uniquement pour sécher mon linge.

Je déconseille de faire du feu. Utilisez plutôt un réchaud à gaz ou à alcool, qui est généralement suffisant pour cuisiner. Dans les zones à haut risque d’incendie, il vaut mieux manger des repas froids et s’abstenir de fumer sa clope.

Pour bien connaître les risque il faut savoir ce qu’est un feu !

Le triangle et le tétraèdre du feu
Pour bien comprendre les risques, il est utile de revoir le classicque triangle du feu, qui nécessite trois éléments pour qu’un feu se déclare : le combustible, le comburant et la chaleur. Le tétraèdre du feu ajoute un quatrième élément : la réaction chimique en chaîne. Lorsque vous faites un feu, vous initiez une réaction en chaîne en allumant de l’amadou, puis en ajoutant des brindilles, des petites branches et enfin des bûches.

Le triangle du feu nous aprend que tout combustible s’auto-enflamme à une certaine température (chaleur), à condition qu’il y ait un comburant (comme l’oxygène).
Par exemple, une rondelle de chêne de 10 cm de diamètre et 2 cm d’épaisseur ne s’allumera pas avec un simple briquet, mais placée dans un micro-ondes à pleine puissance, elle s’auto-enflammera et détruire votre micro-onde par la même occasion.

Cela explique combien il est importantde comprendre les conditions dans lesquelles un feu peut se déclencher.

En passant par une pinède ou une garrigue en pleine chaleur, vous êtes entouré de parfums provenant des essences évaporées des végétaux. La vaporisation maximale de ces essences se produit entre 30 °C et 40 °C, et elles peuvent s’auto-enflammer à des températures comprises entre 200 °C et 350 °C. Pour référence, la flamme d’un briquet atteint environ 2 000 °C et le bout incandescent d’une cigarette environ 800 °C.

On comprend mieux pourquoi les feux sont interdits ainsi que fumer une cigarette sont des risques dans certaines zones à haut risque d’incendie.

Schéma pédagogique du triangle du feu représentant un triangle dont chaque côté est coloré et annoté : bleu pour le Comburant, rouge-orangé pour la Chaleur, marron pour le Combustible. Une flamme rouge et jaune est figurée au centre.
Le triangle du feu : Comburant, Chaleur, Combustible – trois éléments indispensables et simultanés pour qu’un incendie se déclenche et se maintienne.

– Sima, moi, j’ai été scout, j’ai fait l’armée et je sais faire un feu…
– Je n’en doute pas, mais laisse-moi te raconter une anecdote.

Un jour, au travail, un jardinier très professionnel et extrêmement précautionneux brûlait des branchages. Aujourd’hui, c’est interdit ; on les passe au broyeur puis au compost. La seule chose à proximité était une haie de bambous à environ 5 mètres de distance. Malgré toutes ses précautions, peut-être à cause d’une flammèche, la haie a pris feu. Incapable de l’éteindre seul, il a couru prévenir les agents de sécurité situés à environ 200 mètres. Pendant qu’un agent alertait les pompiers, les autres ont utilisé des tuyaux d’arrosage pour essayer de contenir l’incendie. Mais ce n’était pas suffisant, et seuls les pompiers, arrivés rapidement, ont pu maîtriser le feu. Environ 10 mètres de haie ont brûlé malgré une intervention rapide.

Cela illustre bien qu’en pleine nature, loin des secours, même avec toutes les précautions, si un début d’incendie se déclare, ce n’est pas avec ta gourde que tu pourras l’éteindre. La situation peut vite devenir catastrophique.

Législation sur les Feux en Plein Air en France

Je tiens à préciser que les informations ci-dessous sont vérifiées à la date de rédaction, soit quelques semaines avant la publication. Les lois, décrets et autres réglementations peuvent évoluer rapidement, et ce qui suit pourrait devenir obsolète. Il s’agit d’un instantané visant à vous aider dans vos recherches et vérifications.

Réglementation Générale

Nouveau Code forestier 01/07/2024 mis en vigueur le 28/07/2024.
TITRE III : DÉFENSE ET LUTTE CONTRE LES INCENDIES DE FORÊT (Articles L131-1 à L136-1)
https://www.legifrance.gouv.fr/codes/section_lc/LEGITEXT000025244092/LEGISCTA000025245861/#LEGISCTA000025248666
Article L131-1
Il est défendu à toute personne autre que le propriétaire de terrains, boisés ou non, ou autre que les occupants de ces terrains du chef de leur propriétaire, de porter ou d’allumer du feu sur ces terrains et jusqu’à une distance de 200 mètres des bois et forêts ainsi que des terrains assimilés soumis aux dispositions de l’article L. 131-4.
Article L131-1-1
Il est interdit de fumer dans les bois et forêts et jusqu’à une distance de 200 mètres de ceux-ci pendant la
période à risque d’incendie définie par arrêté du représentant de l’État dans le département.
[…]

Arrêtés préfectoraux : Les préfets peuvent prendre des arrêtés spécifiques pour interdire les feux en plein air en fonction des conditions locales. Ces arrêtés sont souvent publiés sur les sites web des préfectures ou des mairies.

Réglementation des parcs naturels : Les parcs naturels régionaux et nationaux peuvent avoir des règlements spécifiques concernant l’usage du feu. Les informations sont disponibles sur les sites web des parcs.
https://www.parcs-naturels-regionaux.fr/les-parcs/decouvrir-les-58-parcs

Office National des Forêts (ONF) : L’ONF fournit des conseils et des informations sur les risques d’incendie et les mesures de prévention.
https://www.onf.fr/vivre-la-foret/raconte-moi-la-foret/comprendre-la-foret/foret-et-incendies/+/1650::feux-de-foret-lonf-met-en-garde-contre-un-risque-accru-partout-en-france.html

Renseignez-vous également auprès des municipalités.

En respectant ces règles, vous contribuez à la protection de l’environnement et à la prévention des incendies en France.

Conclusion

Faire un feu lors de randonnées ou bivouacs en France est strictement encadré par la législation pour prévenir les risques d’incendie. Il est crucial de comprendre et de respecter les règles en vigueur, de bien connaître les risques liés au feu, et de privilégier des alternatives sûres comme les réchauds à gaz ou à alcool voire manger froid dans les lieux à grand risque d’incendie. La vigilance est essentielle pour la protection de l’environnement et de la sécurité de tous.

Votre avis et vos expériences sur ce sujet ? Quelles précautions prenez-vous pour minimiser les risques d’incendie ? Partagez vos commentaires et vos idées ci-dessous !

Le billet « A-t-on le droit de faire du feu en randonnée en France » est apparu en premier sur le blog de Sima78.

Image triangle : Source wikimedia.org – CC BY-SA 3.0

Peut-on faire feu de tout bois ?

911 mots, temps de lecture 5 minutes.

Peut-on faire feu de tout bois ?

L’expression signifie : Employer tous les moyens pour parvenir à quelque chose.

Ici, nous allons la prendre au pied de la lettre, c’est-à-dire : peut-on fabriquer un feu avec n’importe quelle plante ?

Avant tout sachez qu’en France, la législation concernant le droit de faire un feu dans la nature est assez stricte en raison des risques d’incendie et de protection de l’environnement. Ce sera le sujet d’un autre billet.

Bien entendu, pour vos barbecues, poêlés et autres feux évitez de le faire du bois de palette ou de cagettes qui contiennent insecticides, fongicides et tout un tas de produits chimiques.

Pour faire écho à l’article précédent « Plantes Dangereuses à Éviter : Guide pour les Randonneurs et Promeneurs« , il est important de noter qu’il existe plusieurs plantes dangereuses qu’il ne faut pas brûler en raison des substances toxiques qu’elles contiennent. Ces substances peuvent se volatiliser dans l’air lors de la combustion, représentant un risque pour la santé.

Voici quelques exemples de plantes à ne pas brûler :

L’If (Taxus baccata)
Raison : La combustion de l’if libère des toxines (taxines) potentiellement mortelles. Inhaler la fumée ou entrer en contact avec les cendres peut causer des troubles respiratoires et cardiaques.

L’Oleander (Nerium oleander) ou Laurier-rose
Raison : La combustion du laurier-rose libère des toxines puissantes (oléandrine et nérine). La fumée inhalée peut provoquer des symptômes graves tels que des troubles cardiaques, des nausées et des vomissements.

Le Rhododendron (Rhododendron et spp.)
Raison : Contient des grayanotoxines. Brûler le rhododendron libère des toxines dans l’air, provoquant des troubles respiratoires et des irritations.

Le Poison Oak (Toxicodendron diversilobum) et le Poison Sumac (Toxicodendron vernix)
Raison : Ces plantes contiennent de l’urushiol, une résine toxique. La combustion libère l’urushiol dans l’air, provoquant des réactions allergiques sévères, des irritations des voies respiratoires et des troubles respiratoires.

Le Ricin (Ricinus communis)
Raison : Contient de la ricine, une toxine très puissante. La combustion peut libérer cette toxine dans l’air, provoquant des symptômes graves voire mortels en cas d’inhalation.
Il est essentiel de manipuler ces plantes avec précaution et de les éliminer selon des méthodes appropriées, souvent par des services spécialisés, pour éviter tout risque pour la santé. Brûler des plantes toxiques peut transformer des composés dangereux en gaz volatils qui, lorsqu’ils sont inhalés, peuvent causer des blessures graves ou des maladies.

Le Sumac vénéneux ou Poison Ivy (Toxicodendron radicans), le Poison Oak (Toxicodendron diversilobum) et le Poison Sumac (Toxicodendron vernix)
Raison : Ces plantes contiennent de l’urushiol, une résine toxique. La combustion libère l’urushiol dans l’air, provoquant des réactions allergiques sévères, des irritations des voies respiratoires et des troubles respiratoires.
Effets :

  • Dermatite de contact : Le contact avec l’urushiol peut provoquer une éruption cutanée qui démange, des rougeurs, des cloques, et un gonflement. La réaction peut apparaître entre 12 à 72 heures après le contact.
  • Réactions respiratoires : Inhaler de la fumée de sumac vénéneux brûlé peut causer des irritations sévères des voies respiratoires, entraînant des difficultés respiratoires, une toux, et un gonflement de la gorge.
  • Irritation des yeux : Si l’urushiol entre en contact avec les yeux, cela peut causer des douleurs, des rougeurs et des gonflements.

Précautions :

  • Identification : Apprenez à identifier le sumac vénéneux pour éviter tout contact accidentel. Il a généralement des feuilles en groupes de trois, avec des bords lisses ou légèrement dentelés.
  • Éviter le contact : Portez des vêtements longs, des gants, et des chaussures fermées lorsque vous êtes dans des zones où le sumac vénéneux peut pousser.
  • Nettoyage immédiat : Si vous entrez en contact avec la plante, lavez immédiatement la zone affectée avec de l’eau savonneuse pour éliminer l’urushiol. Le lavage doit être fait dans les 10 à 15 minutes pour être efficace.
  • Nettoyage des objets : Les outils, vêtements, et autres objets qui ont touché la plante doivent être nettoyés soigneusement pour éviter une contamination secondaire.
  • Ne pas brûler : Ne brûlez jamais le sumac vénéneux. Les fumées dégagées peuvent contenir de l’urushiol volatilisé, qui est dangereux à inhaler.
  • Traitement des éruptions : Si vous développez une éruption cutanée, utilisez des crèmes apaisantes, des antihistaminiques, et des bains à l’avoine pour réduire les démangeaisons. Consultez un médecin si les symptômes sont sévères ou persistent.

Le danger ne vient pas que du côté toxique des feux

Au-delà du risque toxique, il existe d’autres dangers. Certains bois produisent plus d’escarbilles ou de flammèches (généralement les conifères) que d’autres, ce qui peut provoquer des débuts d’incendie ou, à tout le moins, endommager vos vêtements ou votre tente. Les tentes et les vêtements de randonnée sont souvent fabriqués dans des textiles très sensibles au feu.

En conclusion sur les feux.

Il est donc crucial de connaître la législation des lieu et les caractéristiques des plantes que l’on utilise pour faire un feu.

En règle générale, il est conseillé d’éviter de brûler des plantes toxiques, des résineux qui produisent beaucoup de fumée et de créosote, et des bois traités chimiquement. Privilégiez plutôt les bois durs comme le chêne, le hêtre, et le frêne, qui brûlent lentement et produisent une chaleur constante sans émettre de substances nocives.
Ainsi, bien que l’expression « faire feu de tout bois » évoque l’idée d’utiliser tous les moyens à sa disposition, en pratique, il est important de faire preuve de discernement et de prudence dans le choix des matériaux que l’on brûle pour préserver sa santé et celle de son entourage.

Cet article vous a plu ? Donnez-nous votre avis et vos conseils sur le sujet en commentaire !

Le billet « Peut-on faire feu de tout bois ? » est apparu en premier sur le blog de Sima78.

Bon usage de la couverture de survie

Découvrir le bon usage de la couverture de survie peut être déterminant dans des situations d’urgence ou en plein air. Explorez les conseils pratiques qui vous permettront d’optimiser cet outil essentiel pour la survie et le confort en diverses circonstances.

La couverture de survie, bien que familière à beaucoup, mérite quelques rappels sur son utilité malgré les indications sur l’emballage. Il est essentiel de clarifier ses capacités et limitations pour une compréhension précise de ses applications.

Il en existe de deux types

  • La basique : une mince feuille réfléchissante en « Myral » avec une face argentée et l’autre or.
  • La ré-utilisable : plus épaisse en polyester avec une face argentée et l’autre parfois verte, orange, blanc, or, ou autre.

Son usage originel

Elle est conçue pour prévenir la perte de chaleur corporelle en situation d’urgence. L’utilisation principale est de fournir une protection thermique en réfléchissant la chaleur du corps vers l’intérieur (côté argenté vers l’intérieur), aidant ainsi à prévenir l’hypothermie. Cas exceptionnel d’une personne en urgence en plein soleil où il n’est pas possible de la mettre à l’ombre, mettre la partie argentée vers l’extérieur pour qu’elle réfléchisse les rayons du soleil.

Polyvalence de la couverture de survie

Optimiser l’isolation du sol en plaçant la face argentée de la couverture de survie vers le haut, puis ajoutez-y votre matelas et votre duvet, ou installez votre tente par-dessus. Vous pouvez aussi la mettre au fond de votre hamac.

Bien que la version basique soit réutilisable avec précaution en prenant soin de bien la replier, elle demeure moins robuste que la variante réutilisable, plus épaisse et spécifiquement conçue pour cette fin.

Certains modèles réutilisables comportent des œillets aux extrémités, permettant une utilisation comme tarp. Dans ce cas, positionnez la surface argentée vers le bas.

En randonnée, deux impératifs majeurs :

  • prévenir l’humidité et garantir des vêtements secs,
  • ainsi que se prémunir du froid.

Dans la mesure du possible et faire le maximum en ce sens.

Pourquoi j’attache une importance à rappeler cela ?

En écrivant mon billet « Sima fais-tu du bushcraft« , j’ai exploré les contributions de blogueurs et de youtubeurs. Bien que j’aie découvert des informations pertinentes, certaines aberrations m’ont également frappé, notamment des conseils sur l’utilisation de la couverture de survie, en se couvrant avec, pour dormir en bivouac !?

On ne se couvre JAMAIS avec une couverture de survie pour dormir en bivouac !

C’est l’assurance de se réveiller avec un duvet humide, voire trempé et de mauvaises perspectives pour vos prochaines nuits… Or c’est justement ce dont on essaie de se prémunir !

Si vous vous retrouvez à utiliser une couverture de survie pour affronter une nuit particulièrement glaciale… Faites-le ! Couvrez-vous avec! Le lendemain, repliez tout et rentrez chez-vous !
Réévaluez la situation, envisagez de planifier cette randonnée à une saison plus clémente ou munissez-vous d’un équipement adapté.

L’utilisation d’une couverture de survie pour se couvrir et dormir révèle une inadéquation de votre équipement aux conditions météorologiques rencontrées.

AVERTISSEMENT ! ATTENTION !

Ne jamais utiliser la couverture de survie dans les cas suivant :

  • en cas d’orage,
  • au coin du feu ou près d’une flambée,
  • lors de l’utilisation d’un défibrillateur (heu, peu de chance d’en trouver en montagne, mais en ville, lors d’un accident…).

Pour résumer :

  • Assurez-vous d’avoir une couverture de survie à portée de main (personnellement, j’en ai deux : une fine dans ma trousse de secours et une réutilisable pour m’isoler du froid du sol).
  • En cas de blessure ou maladie, enveloppez-vous de la couverture en attendant les secours, ou si vous pouvez marcher, utilisez-la pour vous rendre à un poste de secours. Espérons que vous n’aurez jamais besoin de l’utiliser de cette manière.
  • Pour vous isoler du froid au sol, dans votre fond de hamac ou sous un tarp.
  • Pour dormir, optez pour un bon duvet et évitez l’utilisation d’une couverture de survie comme couverture.

Vous avez trouvé cet article utile, ou pas… vous avez des expériences ou des réflexions à partager… Les commentaires sont là pour ça.

Le billet Bon usage de la couverture de survie est apparu en premier sur le blog de Sima78.

Chiffrement GnuPG et messagerie Protonmail

Tuto – Chiffrement GnuPG et messagerie Protonmail

Je n’ai pas de messagerie Protonmail par contre j’utilise GnuPG pour signer et chiffrer mes mails et pièces jointes.

J’avais un souci pour récupérer les clés publiques de mes correspondants sous Protonmail. Je mets donc ici les problèmes rencontrés et leurs résolutions.

Si cela peut servir à d’autres, cela me servira de toute façon de pense-bête.

Problème de récupération des clés GnuPG publiques Protonmail.

adressemail@protonmail.com est une adresse fictive pour ne pas mettre ici l’adresse réellement recherché, c’est pour l’exemple hein !

Lorsque j’essaie de récupérer une clé publique GnuPG Protonmail j’ai le message d’erreur suivant :
Quelle que soit la commande :

gpg --search-keys adressemail@protonmail.com

ou :

gpg2 –recv-keys adressemail@protonmail.com

J’ai le message d’erreur suivant :

gpg: WARNING: Tor is not running

gpg: error searching keyserver: Connexion refusée

gpg: échec de recherche au sein du serveur de clefs : Connexion refusée

On voit déjà que j’ai un souci de connexion lié à la configuration de mon GnuPG

Je commence donc par corriger cela :
Dans /home/user/.gnupg/dirmngr.conf j’ai commenté la ligne « use-tor » et toujours dans

###+++--- GPGConf ---+++###

# use-tor

Dans /home/user/.gnupg/gpg.conf j’ai modifié (dans la partie « keyserver ») le serveur par défaut et commenté l’ancien :
Remplacé « keyserver hkp://keys.gnupg.net » par « keyserver hkps://keys.openpgp.org »

#-----------------------------

# keyserver

#-----------------------------

# This is the server that --recv-keys, --send-keys, and --search-keys will

# communicate with to receive keys from, send keys to, and search for keys on

# keyserver hkp://keys.gnupg.net

keyserver hkps://keys.openpgp.org/

Deuxième tentative de récupération de la clé publique.

gpg --search-keys adressemail@protonmail.com

Et toujours rien, il ne trouve pas la clé ?…
Je vais sur les serveurs de clés en ligne rien de plus…

Je me renseigne et on me dit que les clés publiques Protonmail ne sont pas sur les serveurs publics habituels mais voir les renseignements sur :
https://blog.prokop.dev/posts/gpg-retrieve-public-key-proton-mail/ (Merci Syst)

Dernière tentative après avoir les informations sur le lien ci-dessus :

Et tout fonctionne à nouveau correctement :

gpg --keyserver hkps://api.protonmail.ch --search-key adressemail@protonmail.com

gpg: data source: https://api.protonmail.ch:443

(1)    systd@protonmail.com <adressemail@protonmail.com>

      2048 bit RSA key 0x2AB4A510999264D7, créé : 2017-07-25

Keys 1-1 of 1 for "adressemail@protonmail.com".  Entrez le ou les nombres, (S)uivant, ou (Q)uitter > 1

gpg: clef 0x2AB4A510999264D7 : clef publique « adressemail@protonmail.com <adressemail@protonmail.com> » importée

gpg: Quantité totale traitée : 1

gpg:               importées : 1

Ensuite je n’ai plus qu’à signer la clé et lui donner un niveau de confiance.
Terminé !

PS : le numéro de la clé est faux aussi, c’est pour l’exemple.

Le billet Tuto – Chiffrement GnuPG et messagerie Protonmail est apparu en premier sur le blog de Sima78.

Humeur – Sentiment de solitude avec GnuPG

Humeur – Sentiment de solitude avec GnuPG

Je n’envisageais pas écrire un billet sur le sujet. Faire un Tuto sur GnuPG ? Certains en ont fait d’excellents et je ne vois pas ce que je peux y ajouter.

C’est un billet de ChezIceman « Tuto – Le mail sécurisé c’est pas si facile, sauf si… » qui m’a décidé de parler de mon expérience.

J’utilise GnuPG depuis déjà un certain temps.

J’ai plusieurs PC, tous sous linux, j’utilise sur tous GNOME Evolution (bah oui, j’aime bien) comme messagerie sauf sur l’un sur lequel j’utilise Thunderbird, car le pc a moins de ressource et Thunderbird est moins lourd qu’évolution… Me semble-t-il.

Je n’ai aucune expérience sur ordiphone puisque je ne communique pas par mail depuis mon ordiphone, je n’ai donc aucune expérience sur le chiffrement depuis ces appareils. J’ai bien une messagerie configurée dessus, mais elle est dédiée uniquement à recevoir mes log « Logwatch » et « Fail2ban » de mon serveur. Je n’envoie pas de message depuis cette messagerie.

J’ai bien une messagerie sur mon ordiphone professionnel, mais pas chiffrée et uniquement pro… Enfin, j’avais… depuis qu’il est cassé il y a 4 mois ils me l’ont remplacé par un téléphone à clapet, manque de budget, du temporaire paraît-il, entre-temps ils ont payé un ordiphone tout neuf (plus de 400 €) pour qu’une partie de mes équipes vérifient les Pass Sanitaires du public… Mais bon, ça c’est une autre histoire.

Bref, j’utilise GnuPG !

Il y a toujours un début à tout.
Je ne saurais pas dire depuis quand, mais assez tôt, lorsque j’ai découvert GnuPG (début des années 2000), je me suis documenté, créé mes clés, etc.

Wouaa Sima, mais alors tu communiques en chiffré depuis longtemps ! Hola, on se calme.[1]

Au tout début, j’étais donc seul à détenir une paire de clés, personne d’autre dans mon entourage, ce qui ne sert strictement à rien, car il faut au moins être deux pour communiquer en chiffré. Mais le sujet m’intéressait, j’apprenais et signais mes messages même si je savais que personne de l’autre côté pouvais vérifier ma signature… Ça ne servait donc à rien sauf pour ma culture personnelle.

Quand il y a un début, c’est qu’il y a une suite.
Puis j’ai rencontré (On Line) trois blogueurs qui utilisaient GnuPG avec qui j’ai communiqué en chiffré. Enfin, je pouvais tester mes connaissances, mettre en pratique la théorie acquise et j’en étais heureux, je pense que la joie était partagée, il y avait si peu de personnes qui utilisaient GnuPG.

Le hasard de la vie fait que l’on sait perdu de « vue », en fait ils ont arrêté de bloguer et nous n’avons plus communiqué. Puis il y a eu les « Café Vie Privée » (qui ne fonctionnent plus vraiment), j’ai participé à certains, j’en ai organisé dans les Yvelines avec d’autres libristes et dans ce contexte j’ai rencontré d’autres personnes qui communiquaient en chiffré, et des personnes qui s’y intéressaient. Ce qui me fait un peu sourire aujourd’hui, c’est que j’ai connu des personnes avec des discours défendant de façon abrupte la nécessité d’échanger en chiffré, faisant presque culpabiliser ceux qui ne le faisaient pas… Et qui aujourd’hui sont retournés à leurs messageries (FAI) sans chiffrement…
Toujours est-il qu’il a eu une période où j’ai échangé un peu plus en chiffré.

Puis c’est retombé comme un soufflé mal cuit.
Il faut dire qu’utiliser GnuPG, n’est pas si simple, cela demande une certaine rigueur (la rigueur n’est pas ma qualité première), tenir à jour ses clés, les synchroniser, être vigoureux pour le réseau de confiance, etc. Il faut reconnaître que c’est un peu une usine à gaz et je me suis retrouvé un peu seul, je n’ai que de rares personnes dans mon entourage utilisant le chiffrement pour communiquer. Sentiment de solitude !

Démocratisation et retour timide du chiffrement.
Alors bien sûr il y a la médiatisation, mais je pense que la sensibilisation est plutôt liée à l’actualité et aux nouvelles formes de communiquer de façon plus sécurisée : SMS via Silence, réseau Signal, Element, Telegram et autres. Et ce sont, AMHA, ceux qui communiquent via ces applications qui s’intéressent à la messagerie chiffrée, ce qui en fait une continuité et il y a des propositions « grand public » comme Prontomail et autres sauf que la grande majorité de ceux qui l’utilisent n’ont pas une réelle connaissance de ce qu’est une clé privée et clé publique et utilisent donc Prontomail de la façon la plus basique.

Dernièrement j’ai un collègue qui me dit : moi aussi Sima je communique en crypté (hou, ça fait mal aux oreilles), j’utilise Prontomail. Bah non, tu ne communiques pas en chiffré, en tout cas pas avec moi. Il ne faut pas oublier que Protonmail, comme d’autres, est une messagerie qui PERMET de communiquer de façon chiffrée, en cela j’ai vraiment apprécié le tutoriel d’Iceman « Tuto – Le mail sécurisé c’est pas si facile, sauf si… » que je conseille aux utilisateurs de Protonmail.

On va peut-être finir par savoir communiquer par mails chiffrés.

Deux excellents tutoriels GnuPG

Gnu Privacy Guard (GnuPG) Mini Howto (Français)

et l’excellent « Bien démarrer avec GnuPG »

Précision de dernière minute: alors que le billet était déjà écrit et programmé pour sa publication j’ai souhaité tester l’application OpenPGP-Applet sous ubuntu20.04 pour gérer mes clés depuis une interface graphique. Une application qui par le passé ne m’a jamais convaincu par son fonctionnement hasardeux. Je l’installe, la lance et rien ne se passe, rien ne s’affiche… Pourtant avec un « ps aux » je vois que le processus est lancé, mais rien! Bon, je retourne à mes lignes de commande, mais le chiffrement conviviale pour l’utilisateur lambda n’est pas pour demain.

PS : avertissement pour ceux qui utilisent GnuPG sous Evolution, les pièces jointes ne sont pas chiffrées, il faut préalablement les chiffrer avant envoi.

Note(s)

  1. ^ Oui, ceux qui me lisent, les rares, savent qu’il m’arrive souvent de faire les questions réponses, en plus d’être dyslexique, je dois avoir une pointe de schizophrénie non diagnostiquée, je me sens moins seul devant l’écran 🙂

Mettre un filigrane sur des documents officiels – ligne de commande

Mettre un filigrane [ImageMagick] et supprimer les métadonnées [ExifTool] sur des documents officiels que nous devons envoyer via le web ou par mail.

Le tout en ligne de commande depuis un terminal.

Un billet comme un conseil dans ce monde soi-disant idéal de la dématérialisation.

Dans beaucoup de procédures télématiques, il nous est demandé des copies de nos documents personnels, tel que notre pièce d’identité (on va prendre cet exemple dans ce billet).

L’idée de ce billet me vient d’une discussion téléphonique avec une administration qui me demandait d’envoyer une photocopie ou scan de ma carte d’identité.

Curieux, je demande : D’accord, qu’allez-vous faire de cette pièce, c’est très personnel, où sera t-elle stockée, pour combien de temps ? Quelle garantis donnez-vous ?
Réponse : Ne vous inquiétez pas, nous avons des services très spécialisés et toutes les données sont cryptées !
Ha, le mot est lâché, rassurant, « cryptées »…
Moi : Vous me demandez d’envoyer par mail, ça arrive sur une boite mail où je suppose que plusieurs personnels du service y ont accès, comment est géré la boite mail, qui y a accès, est-elle sécurisée ?…
Réponse : Faites-le directement depuis notre site web, il y a le petit cadenas en haut à gauche, tous est crypté…
Ouh là là, « crypté » le mot qui se voudrait rassurant et qui pourtant me fait pousser les poils des oreilles.
Moi : soit, la communication de bout en bout est chiffrée, mais une fois ma pièce envoyée, la carte d’identité, que devient-elle ?
Réponse : Nous avons des spécialistes de la sécurité et tout est crypté…
Moi : bon je résume, je vous envoie un document en clair, transparent via votre site, il se retrouve quelque part sur l’un de vos disques durs, sans que je sache qui y a accès ni ce que deviendra ce document…
Il me coupe la parole… : Je vous l’ai dit, tout est sécurisé et crypté…
Moi : Je peux imaginer que l’accès aux disques ou support soient sécurisés, que les disques dur soient chiffrés, ou comme vous dites, cryptés, mon document lui est en clair et les disques, une fois montés et même chiffrés, les données restent en clair…

Bon je vous fais grâce de la suite de la discussion de sourd.

Dans un monde idéal…

Une fois votre document scanné, l’idéal est de réaliser un chiffrement asymétrique, soit avec votre certificat numérique, soit avec d’une autre façon comme par exemple en utilisant « gpg » (j’aime bien gnupg, je l’utilise pour mes signatures et chiffrement de mes mails et autres…) afin que personne ne puisse lire le document envoyé, sauf celui qui doit le réceptionner.

Mais que ce soit dans l’administration ou ailleurs, il est très rare que l’on se préoccupe réellement de la sécurité de ce que l’on envoie.

Ajouter un filigrane.

Dans le cas où le destinataire ne sait pas comment fonctionne le chiffrement et c’est malheureusement souvent le cas, nous pouvons choisir l’option d’ajouter un filigrane à nos documents privés. D’autant plus que nous ne saurons pas où sera notre document ni pour combien de temps…

Nous allons ajouter en ligne de commande un filigrane sur notre document avec ImageMagick.

Vérifions s’il est déjà, ou pas, installé sur notre pc.

dpkg --get-selections | grep imagemagick
imagemagick             install
imagemagick-6-common    install
imagemagick-6.q16       install

Si vous avez quelque chose de similaire à ci-dessus, c’est qu’il est installé, sinon il n’afficherait rien.
S’il n’est pas installé, il suffit de :

sudo apt install imagemagick

Une fois installé, nous pouvons utiliser tous les outils « ImageMagick ». Dans cet exemple, nous partirons d’une image test que j’ai trouvé sur le net et qui porte le nom « CNI-blog.jpg », vous l’aurez remarqué, je suis un peu plus vieux que sur la photo :

Fausse carte d'identité nationale française au nom de Camille, avec photo d'un bébé, née le 28 mai 2013, taille 53 cm, poids 3,5 kg. Texte : "Nous sommes heureux de vous présenter notre toute nouvelle citoyenne !"
Camille, notre nouvelle citoyenne française, reçoit officieusement sa carte d’identité nationale. Née le 28 mai 2013, elle mesure 53 cm et pèse 3,5 kg.

Afin d’ajouter un filigrane à l’image, nous allons exécuter la commande « convert » avec les options suivantes dans le même répertoire où se trouve notre image:

convert -density 150 -fill "rgba(255,0,0,0.25)" -gravity Center -pointsize 60 -draw "rotate -45 text 0,0 'COPIE'" CNI-blog.jpg CNI-blog-final.jpg

Description des options utilisées:

  • density: La résolution de la largeur de l’image avec l’unité de points par pouce (PPI).
  • fill: Couleur à utiliser.
  • gravity Center: position du texte, dans ce cas centrée sur l’image.
  • pointsize: taille en points de la police.
  • draw: annoter l’image avec une précision. Dans ce cas, avec un texte pivoté de 45 degrés dans le sens antihoraire dans les coordonnées X, Y 0,0 et le texte entre guillemets simples.
  • Ensuite, le fichier source où les modifications seront appliquées (CNI-blog.jpg) et le fichier de destination qui sera créé (CNI-blog-final.jpg).

Le résultat :

Exemple : Sur une Fausse CNI française au nom de Camille, avec photo d'un bébé, née le 28 mai 2013, taille 53 cm, poids 3,5 kg. Filigrane créé avec ImageMagick visible "COPIE" en diagonale.
Ce faux document, inspiré d’une carte d’identité française, intègre un filigrane « COPIE » pour illustrer comment ajouter des watermarks ou des éléments graphiques dans un document via ImageMagick.

Pour compliquer les choses il conviendrait de personnaliser notre filigrane en fonction de chaque procédure:

convert -density 150 -fill "rgba(255,0,0,0.50)" -pointsize 15 -draw "rotate -15 text 0,200 'COPIE POUR TRAITEMENT'" -draw "rotate -15 text -25,260 'DE RECENSEMENT'" CNI-blog.jpg CNI-blog-final-02.jpg

Résultat suivant :

Exemple de document administratif : CNI française au nom de Camille, née le 28 mai 2013, taille 53 cm, poids 3,5 kg. Filigrane rouge "COPIE POUR TRAITEMENT DE RECENSEMENT" visible. Texte : "Nous sommes heureux de vous présenter notre toute nouvelle citoyenne !"
Ce faux document, inspiré d’une carte d’identité française, intègre un filigrane COPIE POUR TRAITEMENT DE RECENSEMENT ».

Supprimer les métadonnées

Pour terminer, nous pouvons supprimer les métadonnées effaçables du fichier (en fait il faudrait commencer par là) avec le programme « exiftool« , ce programme peut être installé à partir des dépôts :

sudo apt install exiftool

Puis :

exiftool CNI-blog-final-02.jpg

Et pour supprimer les métadonnées de notre fichier image avec le filigrane créé, nous allons exécuter :

exiftool -all= CNI-blog-final-02.jpg
    1 image files updated

Pour voir que les métadonnées ont bien disparu comme le montre l’image ci-dessus, exécutez :

exiftool dni-final.jpg

Ces étapes nous ont permis d’apposer un filigrane sur un document privé et de supprimer les métadonnées, de sorte à sécurisé à minima ce que nous envoyons.

J’espère que ces petites astuces vous aideront tout en restant loin de la préservation de la vie privée, mais parfois l’on doit faire à minima.

Iptables – insserv: warning: script ‘moniptables’ missing LSB tags and overrides

Ces derniers temps j’avais le message suivant:

insserv: warning: script 'moniptables' missing LSB tags and overrides

Ceci-dit, cela n’empêchait pas de fonctionner.
Je jette un oeil sur l’entête:

$ more /etc/init.d/moniptables | less
#!/bin/bash

## BEGIN INIT INFO
# Provides:          moniptables
# Required-Start:
# Required-Stop:
# Default-Start:
# Default-Stop:
### END INIT INFO

J’arrête le service:

# service moniptables stop

Avec un éditeur je le modifie ainsi:

#!/bin/bash
### BEGIN INIT INFO
# Provides:          moniptables
# Required-Start:    $remote_fs $syslog
# Required-Stop:     $remote_fs $syslog
# Default-Start:     2 3 4 5
# Default-Stop:      0 1 6
# Short-Description: Démarre les règles iptables
# Description:       Charge la configuration du pare-feu iptables
### END INIT INFO

Je relance le service

# service moniptables start

Je vérifie:

# service moniptables status
● moniptables.service
   Loaded: loaded
   Active: active (exited) since dim. 2019-07-07 17:59:10 CEST; 36s ago
     Docs: man:systemd-sysv-generator(8)
  Process: 2048 ExecStart=/etc/init.d/moniptables start (code=exited, status=0/SUCCESS)

J’automatise le démarrage.

# update-rc.d -f moniptables default

Tout fonctionne correctement!

Petit clin d’oeil à Tutox pour son update-rc.d (on se comprend, c’est entre nous…).

Ghidra – La NSA libère son outil de rétro-ingénierie

De temps en temps, quand ils s’ennuient à espionner, l’« intelligence agency » les agences de renseignements des États-Unis nous permettent de jeter un œil à certains de leurs jouets. Par exemple, le logiciel Ghidra, qui peut intéresser des experts en « reverse engineering » Rétro-Ingénierie et sécurité informatique.

Serpent rouge sur fond noir qui se mort la queue et forme un huit horizontal.
Logo de Ghildra

Écrit en langage de programmation Java, il est distribué, sous forme incomplète mais sous licence libre Apache 2.0. De plus il est gratuit, ce qui en fait une alternative intéressante à IDA Pro, un programme fermé et pas vraiment bon marché.

Développée de manière réservée depuis de nombreuses années, il a été montré au public pour la première fois lors de la conférence RSA qui s’est tenue à San Francisco.

Un logiciel capable d’analyser des fichiers binaires (par exemple des logiciels malveillants) inversant le processus de compilation, vers pseudo-code C, permettant aux analystes de comprendre la fonctionnalité de celui-ci.

Il est multi-plateforme (Linux, MacOos, Windows), et compatible avec des logiciels destinés à tous les types de processeurs et de multiples architectures (environ une douzaine). Également extensible dans ses fonctions à base de plugins, à la fois Python et Java, que l’utilisateur peut créer lui-même.

Il se caractérise par ses nombreuses possibilités : effectuer un travail collaboratif, assembleur/dés-assembleur, mode interactif ou automatique, graphiques et diagrammes de flux, raccourcis clavier avancés, possibilité d’annuler les changements. Plus d’une centaine de fonctions différentes et beaucoup à explorer dans cet outil.

Comme toujours, il est conseillé un minimum de précaution dans l’exécution du code de la NSA. Bien qu’ils jurent  qu’il n’y a pas de backdoor (porte dérobée) dans The Register, ils ont déjà fait écho à un bug qui, en mode débogueur, permet à Ghidra de se connecter à d’autres systèmes de son réseau et d’exécuter du code.

Site Ghidra pour le téléchargement.

Voyez les photos d’écran plus bas…
Pour l’exécuter, il faut avoir Java runtime.
Une fois Ghidra installé, pour le lancer :

./ghidra_run
Capture d’écran de l’accord utilisateur de Ghidra, un framework de reverse engineering développé par la NSA, affichant les termes de la licence Apache 2.0, incluant une clause de responsabilité utilisateur.
Ghidra, l’outil de reverse engineering de la NSA, présente son accord utilisateur sous licence Apache 2.0, insistant sur la responsabilité de l’utilisateur dans l’usage légal du logiciel.
Capture d’écran de la page d’introduction du guide utilisateur de Ghidra, montrant une vue d’ensemble de l’outil de reverse engineering, incluant les sections 'Introduction', 'Public cible', 'Portée du document' et 'Avertissement'.
La page d’accueil du guide utilisateur de Ghidra présente les bases de l’outil, son public cible et les limites de la documentation fournie, soulignant son extensibilité via des plugins.
Capture d’écran de l’interface principale de Ghidra, montrant l’état "NO ACTIVE PROJECT" dans la section "Active Project", avec des options pour créer ou charger un projet, ainsi qu’une liste vide dans l’onglet "Tool Chest".
L’interface de Ghidra s’ouvre sur une page indiquant qu’aucun projet n’est actif, avec des outils de gestion de projet désactivés et une liste vide d’outils disponibles.
Capture d’écran de l’interface de Ghidra montrant un projet en cours d’analyse, avec les panneaux "Program Trees", "Symbol Tree" et "Data Type Manager", une vue hexadécimale du code, ainsi qu’un résumé des résultats d’import dans le navigateur de code.
Ghidra, l’outil de reverse engineering de la NSA, affiche un projet en cours : ELBA, avec ses structures de programme, ses symboles et ses types de données, ainsi qu’une vue détaillée du code et un résumé des résultats d’import.

Source: une traduction d’un article du site « La Mirada Del Replicante » – La NSA libera su herramienta de ingeniería inversa Ghidra

Renouvellement des certificats LetsEncrypt et message d’erreur.

Arrive le moment du renouvellement de mes certificats Let’s Encrypt. Oui, je sais, il suffit de le faire de façon automatique par une tâche cron… Mais cela n’aurait pas empêché les messages d’erreurs.

Il faut dire que j’avais un peu « bricolé » mon serveur ses derniers temps et activé de nouveaux sites et autres bricoles.

Bref, je lance le renouvellement des certificats par:

# /opt/letsencrypt/letsencrypt-auto renew

Et là j’ai le message d’erreur suivant:

(...)
Attempting to renew cert (chispa.fr/) from /etc/letsencrypt/renewal/chispa.fr.conf produced an unexpected error: Unable to find a virtual host listening on port 80 which is currently needed for Certbot to prove to the CA that you control your domain. Please add a virtual host for port 80.. Skipping.
All renewal attempts failed. The following certs could not be renewed:
  /etc/letsencrypt/livechispa.fr/fullchain.pem (failure)
(...)

Et plus d’accès en https
Suite à cela, je vous fais grâce de toutes mes tentatives de réparation plus laborieuses les unes que les autres multipliant les messages d’erreur.

Il y a un moment où il faut savoir se lever de sa chaise, prendre un thé…

Il y a un moment où il faut savoir se lever de sa chaise, prendre un thé avec des biscuits pour prendre du recul et appréhender le problème la tête reposée.

Je décide donc de faire le ménage, sur le serveur, la maison ça attendra.

Je désactive tous les sites dans /etc/apache2/sites-enabled/ avec la commande a2dissite

# a2dissite nom-du-site.fr

Je refais le site 000-default.conf dans /etc/apache2/sites-available/

# nano /etc/apache2/sites-available/000-default.conf

Configuration au plus simple :

<VirtualHost *:80>
# Redirect permanent / https://sima78.chispa.fr/
        ServerName chispa.fr/
        ServerAdmin mon-mail@truc.fr
        DocumentRoot /var/www/
        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined
</VirtualHost>
# vim: syntax=apache ts=4 sw=4 sts=4 sr noet

Redémarrage d’Apaches2

# systemctl restart apache2

Je recrée des certificats tout neufs

# /opt/letsencrypt/letsencrypt-auto --apache --renew-by-default -d monsite.fr

Au message :

1: No redirect - Make no further changes to the webserver configuration.
2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for
new sites, or if you're confident your site works on HTTPS. You can undo this
change by editing your web server's configuration.

J’ai choisi l’option 2

Tout c’est bien passé, pas de message d’erreur.

Reste à modifier le fichier de configuration Stunnel, car j’ai Geneweb qui tourne en service en passant par Stunnel pour un accès en https à Geneweb.

# nano /etc/stunnel/stunnel.conf

Je modifie les lignes pour mettre le chemin des nouveaux certificats

cert=/etc/letsencrypt/livechispa.fr/-0002/fullchain.pem
key=/etc/letsencrypt/livechispa.fr/-0002/privkey.pem

Un « reboot » et tout fonctionne de nouveau jusqu’à la prochaine aventure.
Pour info, la configuration réécrite de 000-default.conf lors de la création des nouveaux certificats :

<VirtualHost *:80>
# Redirect permanent / https://sima78.chispa.fr/
        ServerName chispa.fr/
        ServerAdmin chispa.admin@free.fr
        DocumentRoot /var/www/
        ErrorLog ${APACHE_LOG_DIR}/error.log
        CustomLog ${APACHE_LOG_DIR}/access.log combined
RewriteEngine on
RewriteCond %{SERVER_NAME} =chispa.fr/
RewriteRule ^ https://%{SERVER_NAME}%{REQUEST_URI} [END,NE,R=permanent]
</VirtualHost>
# vim: syntax=apache ts=4 sw=4 sts=4 sr noete

Pour automatiser le renouvellement de certificats, je vous invite à lire l’excellent billet de Tutox « Renouveler automatiquement son certif Let’s Encrypt (one shot)« 

Bien choisir son suffixe au nom de domaine

Toute notre attention sur le suffixe du nom de domaine.

Le suffixe du nom de domaine ne se choisi pas à la légère et ne sert pas qu’à faire joli, rigolo ou original.
Vous savez c’est le fameux « .truc » qui termine le nom de domaine, les .fr, .com, .net, .radio, bref, vous m’avez compris et je ne peux les lister ici tant il en existe.

Je ne vais pas non plus rentrer dans le détail de la façon dont est construit un nom de domaine, mais juste quelques précision sur le TLD le « .truc » qui termine un nom de domaine.

Le choix a toute son importance et je pense qu’il ne faut pas se focaliser sur la prétendue signification, si elle a son importance, elle ne se suffit pas à elle seule.

On lit sur de nombreux site que .org = organisation, .biz=Business, .com=commerce, etc., ceci-dit il faut être bien plus attentif à cette petite terminaison de nom de domaine car elle implique bien plus qu’on ne le pense.

Si j’écris ce billet c’est qu’avant avoir participé à la présentation de Stéphane Bortzmeyer, je ne m’étais jamais interrogé sur l’importance du TLD, pour le coup j’écris ce billet sans prétention mais qui j’espère sera utile à certains.

Pour faire court il y a les TLD Country-code spécifiques aux pays correspondants (.fr), les TLD génériques pour déterminer plutôt un champ thématique (.com), les TLD sponsorisés pour lesquels il faut remplir les conditions d’une charte établie par le sponsor (entreprise, organisme, etc.).
Et tous ces TLD dépendent de registres de noms de domaine « TLD Manager » dépendants de différentes juridictions en fonction de leur pays d’implantation.

Et, en prime, les TLD ICANN comme .pizza dépendent de l’ICANN et du contrat états-unien passé avec elle. Cela peut faire des conflits comme le .amsterdam qui a annoncé que, questions données personnelles, il respecterait la loi néerlandaise, et pas son contrat ICANN.

Citation que j’ai entièrement pompé sur une indication d’un certain S. B. 😉

Le TLD détermine la loi nationale applicable en cas de conflit.

Je m’explique: imaginons que mon blog est celui d’une organisation d’échange de matériel divers et pour signifier que je suis une organisation je mets à la suite de sima78 le .org

Voilà, je suis une organisation d’échange matériel, reste plus qu’à mettre du contenu pour montrer mes échanges… Mais imaginons que je propose un objet prohibé par la loi Étasunienne je peux me voir intenté un procès par ce dernier. En effet si le TLD manager de .org est chez Public Interest Registry, association sans but lucratif elle est domiciliée aux USA… Je peux même obtenir le pactole en proposant un objet répréhensible également par la loi Française et Étasunienne, deux procès puisque je suis auto-hébergé en France…

L’extension du nom de domaine ne se choisi pas à la légère et ne sert pas qu’à faire joli, rigolo ou original.

Il faut bien le penser!

Vous voulez en savoir plus sur comment bien nommer les différentes parties d’un nom de domaine c’est chez le spécialiste Bortzmeyer.

A lire également, l’excellent rapport EFF par Jeremy Malcolm.
Encore merci à Stéphane Bortzmeyer.

Voir aussi la « Root Zone Database » sur Iana