Étiquette : internet

Imposture numérique

En cette période de coupe du monde de Football l’appétit des amateurs de ce sport pour les moyens de visionnage des matchs en direct est décuplé. Les commerçants sont à l’affût et des efforts financiers ont été consentis en amont par les diffuseurs pour négocier la retransmission de ces directs. Le sport de façon générale et les évènements sportifs majeurs sont un produit d’appel pour les chaînes de diffusion par abonnement (exemple: canal+ dans ses années fastes). C’est aussi un support marketing de façon plus générale.

Une question inattendue m’a été posée aujourd’hui par un ami qui n’a pas envie de dépenser une partie de sa pension de retraité dans des abonnements à des services de diffusion. Voici la question:

La RTBF diffuse gratuitement pour ses ressortissants belges tous les matchs de la coupe du monde et nombre d’événements sportifs payants sur les chaînes françaises. J’ai essayé d’ouvrir un compte avec une fausse vraie adresse d’une maison en Belgique mais ça ne marche pas. J’ai cru lire que il faut un téléphone belge ou une identification IP belge. Est ce à supposer que l’achat d’une tablette en Belgique pourrait me permettre de devenir un faux « vrai belge » aux yeux de la RTBF.

La réponse à cette question passe par une approche technique de l’identification des clients sur l’internet. Les FAI (Fournisseurs d’Accès Internet) nationaux utilisent des plages d’adresses IP qui sont attribuées par l’ICAAN. Le rôle de l’ICANN n’est pas de gérer le système mais d’aider à coordonner les attributions d’adresses IP pour éviter les doublons et les plantages. L’ICANN est également un référentiel central d’adresses IP, à partir duquel des plages d’adressage sont fournies aux registres régionaux, qui les distribuent à leur tour aux fournisseurs d’accès. Considérant ce schéma d’attribution des adresses IP aux FAI nationaux, il devient clair qu’une adresse IP permet de savoir dans quel pays réside le client. Pour ce qui concerne la discrimination entre citoyen résident Belge et reste du monde, c’est bien l’adresse IP qui est prise comme référence. C’est valable aussi bien pour une connexion fixe que pour les mobiles.

Pour profiter de la diffusion des chaînes belges sur internet il faut donc utiliser une connexion avec adresse IP identifiée en Belgique. Pour cela il faut utiliser les services d’un VPN (Virtual Private Network). Un service VPN permet de récupérer une adresse IP Belge (si des serveurs du fournisseur du service VPN sont installés en Belgique) et de rendre invisible votre propre adresse. C’est une façon de masquer sa propre adresse IP en passant par un intermédiaire, au travers d’une liaison cryptée. C’est utilisé par les citoyens qui veulent profiter des services de diffuseurs étrangers (comptes Netflix avec programmes USA, par exemple) ou par les citoyens qui veulent masquer leur adresse IP réelle pour d’autres raisons….

Bien entendu le recours à un service VPN n’est pas gratuit. Une comparaison récente des meilleurs VPN accessibles en France est donnée par le CNET ici. Pour donner une référence: NordVPN est un des mieux placés avec un abonnement à 2,99 € / mois. À noter que NordVPN compte 5448 serveurs stationnés dans 59 pays (en 2022).

Je suis désolé de ne pouvoir proposer d’autres solutions plus économiques, mais franchement le VPN est LA solution.

Et voila.

Gestion des Mots de passe

Qui n’a jamais pesté contre la multitude d’identifiants et de mots de passe qui doivent être utilisés dans la vie numérique. La dématérialisation des échanges avec le moindre fournisseur de service ou le moindre commerce électronique a sérieusement diminué les échanges avec les vrais gens. Dans le même temps elle a sérieusement compliqué les sécurités d’accès aux sites web qui permettent des échanges d’informations sensibles (exemple: les services bancaires, certains services publiques, les compagnies d’assurance, etc..). Il n’est pas rare qu’un citoyen lambda ait à conserver une trentaine de mots de passe. J’en utilise régulièrement une quarantaine et je ne prétends pas faire d’excès.

Il existe à ma connaissance deux attitudes pour gérer cette multitude de mots de passe. La première consiste à tenir un carnet (papier ou informatique – genre tableau MS Excel). La seconde consiste à utiliser un coffre fort numérique spécialisé. J’utilise depuis quelques années un de ces coffres forts numériques. Le côté pratique, la sécurité et la facilité d’utilisation de ce service m’ont immédiatement convaincu.

Sur cette niche du marché des services numériques l’offre est assez limitée. On peut citer des services sous licence propriétaire: 1pasword, Keeper, Dashlane et Sticky Password. Ces derniers sont des offres commerciales (payantes). Il existe un service sous Licence Open Source: Bitwarden qui est gratuit pour une utilisation individuelle. C’est celui que j’utilise actuellement.

Ce coffre fort numérique fonctionne avec un service cloud: un serveur distant accessible par le web. Ce serveur distant peut être celui de Bitwarden, ou le votre en auto-hébergement. Les échanges avec le serveur sont cryptés pour assurer un niveau de sécurité optimal. Le service assure la synchronisation avec les différents clients installés sur mes équipements (smartphone, micro-ordinateurs). Les mots de passe et identifiants contenus dans le coffre fort sont accessibles sur tous ces équipements simultanément. Un mot de passe unique permet l’accès au coffre fort. En cas de besoin pour renforcer la sécurité (je n’en suis pas encore là), un accès en deux étapes peut être installé.

L’installation du client Bitwarden est possible sous la forme d’une extension de navigateur internet (par exemple Firefox, Edge ou Chrome). Dans ce cas de couplage avec le navigateur, le service permet de compléter directement identifiant et mot de passe sur n’importe quelle page web qui les demande (pour peu que ces informations soient déjà enregistrées dans le coffre fort). Sinon le service propose d’enregistrer les identifiants et mots de passe qui sont entrées au clavier sur la page web qui les demande.

Voilà.

La Fibre – Nouvelle installation et expérience de l’IPv6

Si vous pouvez lire ces quelques lignes c’est que mes services auto-hébergés sont de nouveau en ligne (comprendre: accessibles dans le cyberespace). Il y a 20 jours mon épouse et moi déménagions dans une maison située à 100 m du point de livraison de notre fournisseur d’accès internet (la maison est à 70 m de la rue). Les serveurs hébergés à la maison ont été déménagés également et leur raccordement à la fibre optique a été nécessaire.

Le raccordement

Pour être raccordé au point de livraison de la fibre optique (la boite sur poteau, dans la rue) il faut mettre un conduit à disposition du technicien chargé de l’opération. En général, le conduit du téléphone est utilisé à cet effet. Dans notre cas, le conduit enterré du téléphone étant obstrué, il fallait soit ouvrir une tranchée, soit utiliser un autre conduit existant. Le plus simple étant d’opter pour un conduit existant, j’avais le choix entre:

  • le conduit électrique alimentant la maison depuis le compteur en limite de propriété;
  • le conduit d’évacuation des eaux usées raccordant la maison au réseau du tout à l’égout.

J’ai opté pour le passage dans le conduit électrique (il n’y circule aucune matière susceptible d’occasionner des incidents). La faisabilité de l’opération a été testée par passage d’une aiguille en fibre de verre de diamètre 4.5 mm depuis la sortie du conduit dans le sous-sol de la maison jusqu’à la limite de propriété (soit sur environ 75 m de longueur). La validation étant faite, pour trouver l’entrée dans le conduit coté rue il a fallu creuser le terrain sur environ 1 m de profondeur derrière l’armoire de raccordement EDF. Ensuite dégager la zone de raccordement entre conduit principal enterré sur 70 m (tube orange semi flexible diamètre 100 mm) et le câble électrique en gaine flexible grise de plus petit diamètre. L’extrémité d’un conduit flexible diamètre 50 mm a été engagée dans le conduit électrique principal. Ce conduit flexible a ensuite été enterré jusqu’à déboucher au pied du poteau téléphone en limite de propriété. L’aiguille en fibre de verre a été poussée depuis l’extrémité du conduit coté rue vers la maison pour enfin déboucher derrière le tableau de distribution électrique de la maison. L’aiguille étant en place, le technicien chargé du raccordement a attaché l’extrémité de la fibre optique à l’aiguille et tiré celle ci depuis la maison dans les 70 m de conduit enterré.

Pour réaliser l’opération il m’a fallu une bêche, une pioche, une barre à mine, une aiguille de 100 m de fibre de verre sur touret (100 € chez votre grande surface de bricolage), quelques mètres de conduit de récupération et quelques essais et échecs. Il faut également un peu de persévérance et ne pas hésiter à demander de l’aide dans les moments de découragement. En tout il a fallu environ deux semaines pour la préparation et deux jours pour l’installation effective de la fibre optique (incluant la prise de rendez-vous avec le FAI).

Les misères de l’IPv4

Une fois le raccordement à l’internet assuré par fibre optique (abonnement de 25 €/mois chez RED by SFR) et passé l’enthousiasme suscité par les tests de débit (1 Gbit/s), les surprises s’accumulent après l’installation de mes serveurs. Première déconvenue: après consultation de l’interface d’administration de la « box internet » installée par RED, les services de NAT (le traducteur d’adresses réseau) en IPv4 ne sont pas accessibles. Après vérification auprès des forums techniques traitant des réseaux fibre optique, je comprends que les FAI appliquent depuis peu des mesures techniques désignées par le terme CGNAT (Carrier Grade – Network Access Translation) pour pallier à la pénurie d’adresses internet disponibles en IPv4. Pour faire simple, cette stratégie consiste à connecter plusieurs clients au travers d’une même adresse iPv4. Il est alors impossible depuis internet d’accéder à un des clients qui partagent cette même adresse.

Cette modification des conditions d’accès à été réalisée à bas bruit, les FAI ne communicant pas sur les vrais aspects techniques de leur fourniture. C’est totalement passé inaperçu pour la grosse majorité des utilisateurs (en gros, tous ceux qui ne font pas d’auto-hébergement). La chose est d’ailleurs masquée par le fait que la « box internet » livrée par le FAI permet la gestion de l’IPv6 qui permet l’utilisation d’un nombre beaucoup, beaucoup plus important d’adresses IP (suffisant pour la demande future de points de raccordement).

La consultation des forums techniques m’a également permis de comprendre que ces dispositions techniques pouvaient être modifiées sur demande au FAI (retour à l’IPv4 d’origine). C’est la demande de modification qui est un parcours du combattant. Avec RED/SFR le service assistance peut être joint par téléphone (directement ou par rappel à partir de l’appli sur smartphone). Le premier contact est fait avec un personnel de niveau 1 (la personne qui lit une fiche et qui en réfère à un supérieur en cas de demande qui ne correspond pas à la fiche). Systématiquement la réponse est négative à une demande de rollback IPv4 (retour à la version IPv4 d’origine). Après plusieurs tentatives infructueuses je décide de tester l’IPv6 qui est proposé comme une solution. J’ai passé 2 jours à faire le tour de la question avec multiples expérimentations qui vont de l’obtention de nom de domaine paramétré IPv6 aux paramétrages de la « box internet » pour l’utilisation de l’IPv6 avec exposition des ports nécessaires à l’accès à mes serveurs. Tout fonctionne en réseau local. Aucun accès possible depuis l’extérieur (internet) à mes serveurs. J’en déduis que l’infrastructure du FAI n’est pas actuellement en mesure de supporter ce que je demande. D’autre part la majeur partie (environ 90%) des services accessibles sur le net fonctionnent avec un adressage IPv4. On peut le vérifier à l’aide de l’extension « IPvfoo » disponible sur Firefox (le navigateur internet) ou sur Chrome.

Retour à la case départ. Je retente plusieurs fois la demande de rollback auprès de RED/SFR et cette fois j’insiste pour parler à un technicien de niveau 2. Au troisième essai ma demande de rollback est acceptée et 3 heures après avoir raccroché mon téléphone, ma « box internet » permet l’accès IPv4 avec gestion du NAT. Après paramétrage des ports du routeur à l’aide de l’interface NAT mes serveurs sont redevenus accessibles de partout dans le monde à l’aide d’une connexion internet.

En conclusion, l’auto-hébergement de services web ça demande un peu d’expertise, mais aussi et surtout d’avoir de la ténacité quand il s’agit de contacts techniques avec les services clients des FAI.

IPInternet Protocol. Le protocole de communication fondamental de la suite des protocoles internet. Une adresse IP permet d’identifier un terminal connecté au réseau.
IPv4Adressage IP sur un groupe de 4 octets (soit 32 bit). Exemple de notation: 93.23.120.243
octetEn informatique, un octet est un multiplet de 8 bits codant une information. Dans ce système de codage, s’appuyant sur le système binaire, un octet permet de représenter 28 nombres, soit 256 valeurs différentes.
glossaire

La fibre !

Une expérience palpitante que la connexion internet par la fibre optique, surtout lorsque le service s’interrompt. C’est d’autant plus une aventure que votre abonnement est à prix réduit. Mon abonnement à la fibre par l’offre low cost « RED par SFR » à 25 € /mois a permis une liaison internet haut débit pendant les cinq premiers mois. Subitement cette liaison s’est interrompue sans que la facturation de mon abonnement le soit. Le diagnostic de l’origine de la panne est dans ce cas facile à réaliser sans trop de bagage technique ni d’équipement de test. J’ai donc rapidement diligenté les quelques manipulations nécessaires pour en déduire que la liaison était physiquement interrompue du coté des infrastructures à l’extérieur de mon domicile (et fort probablement au niveau de l’armoire de répartition sur la voie publique).

Jusqu’à ce moment tout semble simple. C’est maintenant que les difficultés surgissent. En effet, pour ce type d’abonnement à prix réduit le service client passe par le site web de RED/SFR (internet, donc). Moderne le service, sauf que la panne sus-mentionnée interdit l’accès au site web du service client. Reste à utiliser un abonnement à un service de fourniture internet non câblé (réseau mobile, avec téléphone portable). Heureux possesseur d’un abonnement chez un concurrent (orange) j’ai utilisé mon téléphone pour accéder au service client RED. Créer un compte sur « mon espace client », ensuite aller sur l’option « assistance » puis « état de ma ligne » et enfin comprendre que ça ne mène à rien (l’état de la ligne est toujours bon). Une lueur d’espoir reste toutefois au travers de l’option « Diagnostic de ma box » et l’application « RED et moi » (c’est moderne, ça fonctionne uniquement sur téléphone portable). Le truc c’est que cette fameuse application est une interface pour téléphone portable du site WEB qui me propose de la télécharger sur mon téléphone. Il n’est pas possible de prendre contact avec le service de dépannage à partir du site WEB, j’installe donc la fameuse application sur mon téléphone et je peux alors contacter un conseiller RED. En fait c’est un conseiller RED qui me rappelle sur mon téléphone portable après ma demande d’assistance sur l’interface de l’application. Le temps de latence est très court entre demande et rappel, c’est une heureuse surprise. j’entends alors une voix féminine avec accent étranger réciter un message et des instructions sur un ton monocorde. Il est question de réaliser des manipulations pour établir un diagnostic. J’avais déjà procédé à toutes ces manips mais je recommence pour que mon interlocutrice arrive à la conclusion elle même. La diode PON (Passive Optical Network) de mon boitier ONT (Optical Network Terminal) est de couleur rouge fixe, ce qui indique une coupure du signal optique sur la fibre en amont du boitier. Il ne s’agit pas d’une panne sur mon équipement et l’intervention d’un technicien est donc nécessaire pour établir un diagnostic et réparer. Un rendez-vous est pris dans la foulée pour la venue du technicien (dans le courant de la semaine suivante).

Le rendez-vous a été honoré par le technicien, à l’heure prévue. Il a fallu le questionner de façon insistante pour qu’il m’annonce que la panne venait de la casse d’une carte dans l’armoire de répartition située dans la rue à deux blocs d’immeubles de mon domicile. Cette fameuse armoire dans laquelle les sous-traitants des opérateurs de réseaux fibre (ORANGE, SFR, FREE etc..) viennent régulièrement réaliser des connexions pour raccorder des abonnés. Certaines de ces armoires restent ouvertes car les serrures sont cassées (plus ou moins massacrées) et dans lesquelles ont découvre parfois des « sacs de nouilles » tellement les branchements sont faits sans précaution.

Mon expérience s’inscrit en décalage avec les récriminations de nombreux client RED/SFR mécontents du service client. De plus les revues d’associations de consommateurs « 60 millions de consommateurs », UFC que choisir » relatent régulièrement les difficultés des abonnés pour obtenir un minimum d’efficacité de la part des services clients des opérateurs.

Voilà.

Dé-google-iser Android (ou comment en installer une version Libre sur son Smartphone)

Installer un système Android Libre sur votre smartphone (sans les services Google) c’est possible assez facilement. Je l’ai fait sur mon Samsung S8 acheté il y a 4 ans. Le résultat est très sympathique et j’ai installé des services alternatifs aux services en ligne de Google pour les usages quotidiens qui me semblent intéressants. Bien entendu je ne suis pas un consommateur frénétique et je me passe très bien des applications les plus populaires comme Google Maps, drive, meet, hangouts, YouTube, etc.. Ces applications ont d’ailleurs des équivalents Open Source (ou logiciels libres) que j’utilise pour les remplacer. Et par dessus tout je ne veux pas qu’on espionne mes déplacements, mes habitudes, mes achats, ni qui sont mes amis pour ensuite me vendre des trucs ou avoir une influence sur mes opinions.

Il n’y a pas si longtemps (2019), Mr Trump alors président des États Unis a indirectement interdit à la firme chinoise Huawei (fabricant de smartphones) d’utiliser la version d’Android sous licence Google. Les appareils vendus par Huawei aujourd’hui en Occident utilisent donc un système Android débarrassé des services en ligne de Google. Sachez que sur le marché chinois, les appareils Huawei n’ont jamais utilisé l’Android de Google ce qui n’a pas empêché Huawei d’y devenir un des plus gros compétiteurs. Les consommateurs occidentaux sont tellement habitués à utiliser Google (le plus souvent sans vraiment le savoir), que les ventes des smartphones Huawei ont chuté vertigineusement après l’embargo. Le consommateur veut tout ce qu’il y a de mieux, mais il a horreur de l’aventure.

Venons en maintenant à la question qui vient naturellement après ce qui précède: pourquoi n’ai-je pas simplement acheté un appareil Huawei pour remplacer mon vieux Smartphone ?

Trois raisons à cela:

  • bien que Samsung ne permette pas les mises à jour d’Android au delà de 4 ans, je veux continuer à utiliser ce bon vieux Galaxy S8 et y installer les mises à jour les plus récentes;
  • je veux me débarrasser de l’emprise de Google sur ma vie privée et je ne veux pas tomber sous l’influence des équivalents Chinois de Google qui eux aussi veulent influencer mes choix et mes opinions;
  • Je veux avoir le plaisir de faire moi même le changement du système (c’est à la portée du Geek moyen).

Il y a plusieurs alternatives à la version Android de Google. Celle que j’ai choisie pour l’installer sur mon téléphone portable vient de la e Foundation. Elle se nomme /e/ .

C’est un Système d’exploitation (OS) sous licence Libre (Open Source). A /e/ sont associés des services en ligne, y compris un moteur de recherche, une plateforme de courrier électronique, les outils et le stockage en ligne. Le tout forme un environnement cohérent qui contribue à la protection de la vie privée.

Pour installer /e/ sur les appareils compatibles le plus simple est d’utiliser le programme d’installation fournit par la e Foundation. Il fonctionne sur les ordinateurs Windows ou Linux. L’installation est assurée en raccordant le Smartphone à l’ordinateur par un cordon USB (celui qui sert entre autre à charger la batterie) et en suivant pas à pas les étapes de réglage des paramètres et de manipulation des boutons de commande du Smartphone.

Le mode opératoire est bien décrit dans la documentation en ligne et un forum d’assistance est accessible en cas de difficulté. Au total j’ai passé une petite demi-journée à installer /e/ et une autre demi journée à restaurer les sauvegardes de mes contacts, sms, applications et à rétablir mes accès aux serveurs d’emails, et enfin, aux services cloud que j’auto-héberge (sur mon propre matériel, à la maison).

Au final, j’ai la satisfaction d’avoir réalisé une bonne opération de réappropriation d’une liberté que j’avais lâchement troquée contre le mirage de services aussi faciles à utiliser que gratuits. Et en bonus je me permet de prolonger la vie d’un Smartphone qui aurait été rendu obsolète après 5 à 6 ans d’utilisation.

Voilà.

Pourquoi pas un ChromeBook ?

Vous en avez marre de votre ordinateur portable qui tourne sous MS Windows, il est vieux. Il est devenu lent dans l’exécution de vos programmes préférés, il met trois plombes à démarrer, il plante on ne sait pour quelle raison, etc.. Je vous encourage alors à lire d’abord mes précédents articles sur le bon usage, l’amélioration et la maintenance de votre équipement. Si les conseils que je dispense ne trouvent pas grâce à vos yeux ou que décidément votre équipement est obsolète, il est probablement temps pour vous d’en changer.

Se pose alors la question du choix entre différents systèmes (Operating System ou Systèmes d’Exploitation) et différentes machines. Bien entendu ce qui devrait prévaloir dans ce choix ce sont les tâches que vous espérez réaliser avec votre matériel. Le meilleur rapport service/prix vient logiquement ensuite.

Pour aller à l’essentiel je me permets de reprendre un fait couramment admis: 80% des usagers de micro-ordinateurs portables n’utilisent leur machine que pour naviguer sur le web, utiliser leur messagerie électronique ou accéder à des services en ligne. Pour cela ils n’utilisent qu’un logiciel: un navigateur internet. Alors il n’existe pas de raison d’acheter un équipement qui permet de faire tourner une myriade d’autres applications qui resteront inutilisées. C’est ce constat qui a donné naissance à Chrome OS . Chrome OS est un système d’exploitation propriété de Google. Son fonctionnement est centré sur l’utilisation de Chrome, le navigateur internet également propriété de Google. Les ChromeBooks utilisent Chrome OS et fonctionnent avec un noyau Linux (le système qui permet de démarrer et de faire fonctionner ces machines).

Voilà pour la partie générale.

Ce qui fait la particularité des ChromeBooks, c’est l’intégration physique (hardware) de Chrome OS dans l’équipement: Il n’est pas possible d’installer un autre Système (contrairement à ce qui est possible sur les machines supportées par Apple, Microsoft, ou des systèmes libres). Le BIOS (qui contient en particulier la séquence de démarrage de la machine) est protégé contre les modifications. Différents mécanismes de sécurité sont implantés physiquement pour éviter la contamination du système. Sur les systèmes de grade professionnel les instances d’applications (qui peuvent fonctionner « hors ligne ») sont exécutées dans des « bacs à sable » (une intrusion malveillante dans une application ne contamine pas les autres). Les machines qui reçoivent Chrome-OS sont spécialement fabriquées suivant les critères d’intégration et de sécurité définis par Google. Toutes ces particularités font de Chrome-OS un choix attrayant pour les entreprises qui apprécient sa sécurité et son aptitude à exploiter les applications et services Cloud (le Cloud c’est la distribution des ressources, au travers d’internet, dans des serveurs distants). D’autre part, ces machines sont vendues avec un droit d’accès à un espace de stockage distant (cloud drive) qui permet de ne les équiper que d’une quantité réduite de mémoire de masse. Dans sa plus récente évolution, l’interface graphique (le bureau) ressemble fortement à Gnome (une des interfaces de Linux). C’est normal puisque Chrome OS est avant tout basé sur une distribution Linux « légère ».

Après cette description sommaire venons-en à la réalité économique de notre affaire. Les prix de ces ChromeBooks varient de 300 € à plus de 1500 € dans les grandes enseignes.

Qu’espérer d’un ChromeBook à 300 €, indigent en mémoire de masse (généralement 32 Go, l’équivalent d’un téléphone portable bas de gamme) et équipé d’un processeur bas de gamme ? Pour faire simple, disons qu’on peut faire tourner de façon optimale le navigateur Google Chrome et utiliser les services en ligne les plus courants. On peut également faire tourner les mêmes applications qu’avec un téléphone portable sous Android (l’Android de Google). D’ailleurs, par accès au Google Playstore, on peut réellement télécharger et utiliser les mêmes applications que sur un téléphone Android. Il est également possible d’utiliser certains produits Microsoft en ligne (par exemple MS Word, en payant l’abonnement pour utiliser la version cloud). Notez que l’utilisation de beaucoup d’applications (et en particulier celles de niveau professionnel) fonctionnant dans le cloud nécessite de payer un abonnement. Un autre point important: Google assure les mises à jour de son Chrome OS sur une période de 6 ans. Ces mises à jour sont automatiques et sont réalisées lorsque la machine est connectée à internet.

Si vos besoins vont au-delà de ce que peut vous apporter un modèle de Chromebook bas de gamme, vous avez la possibilité de vous équiper avec un Chromebook qui est muni d’un processeur performant, d’une mémoire RAM conséquente (jusqu’à 16 Go sur certains modèles), et d’un stockage de masse généreux. Dans ces conditions vous pourrez prétendre faire fonctionner votre machine hors ligne, et de plus en utilisant tous les programmes disponibles pour les systèmes d’exploitation Linux (GIMP, DARKTABLE, OPEN OFFICE, et bien d’autres de niveau professionnel).

Pour profiter de leur aspect sécurisé et de leur facilité d’intégration dans des services « cloud », de plus en plus de grands groupes (Veolia, par exemple) équipent leurs salariés avec des Chromebooks. Mais pas avec des machines « premier prix ».

Si vous avez décidé de remplacer votre vieux portable, et que vous faites partie des 80% d’utilisateurs qui n’utilisent que leur navigateur internet:

  1. alors Google a eu raison d’essayer de capter votre attention sur le Chrome OS ;
  2. allez donc vous faire votre propre opinion en essayant une de ces machines chez un détaillant.
  3. si comme moi vous ne voulez pas être capté par Google et conforter ses ambitions commerciales, regardez-y à deux fois ….

Voila.

Précautions de base pour une vie numérique sans mauvaise surprise

Vous avez sûrement lu ou entendu des informations sur les récentes attaques au rançongiciel (Ransomware) de quelques services informatiques hospitaliers de régions françaises. Ces attaques sont, parmi d’autres, des intrusions de cybercriminels pour mettre hors d’utilisation les systèmes informatiques et pour faire payer à des organisations ou des services publics une hypothétique remise en service. Les hôpitaux victimes de ces attaques sont revenus à l’utilisation du papier et du crayon. Un véritable désastre tant l’ordinateur est utilisé partout. Et cela peut être bien pire si les systèmes de supervision et de contrôle des différentes machines d’assistance médicale sont impactées. Ce ciblage des hôpitaux par les cybercriminels est une évolution quasiment logique après les extorsions réalisées sur de grandes sociétés qui en retour deviennent mieux armées contre de telles attaques. Est-ce l’indication que les systèmes informatiques des hôpitaux sont plus faciles à rançonner ? On peut le croire et il y aurait probablement de multiples raisons à cela. Notez en passant que les centrales nucléaires vieillissantes (françaises) sont peu ou pas exposées. Elles sont technologiquement d’un autre âge, et en tout ou partie, ceci peut expliquer cela.

Ces grosses cibles dont on parle dans les médias ne sont que les faits divers saillants qui ont tendance à oblitérer la pression constante exercée au travers de l’internet par les cybercriminels sur tout ce qui peut y être connecté (y compris votre smartphone, votre smart-tv, vos objets connectés, et pourquoi pas, votre voiture).

En réaction à la montée manifeste des menaces, la France s’est dotée de services de lutte contre la cybercriminalité depuis 2013 (date de création de l’ANSSI) et 2014 (date de création de la sous-direction de lutte contre la cybercriminalité de la police nationale). Les quelques fonctionnaires et militaires affectés dans ces services élaborent des techniques et stratégies (parfois en partenariat avec des sociétés spécialisées) pour traquer tout ce que l’internet peut supporter de cybercriminalité. Il existe aussi une section dédiée d’Interpol qui coordonne des opérations « sans frontières ».

Interpol met en garde contre les possibles attaques en période de Covid:

« Les cybermalfaiteurs s’attaquent aux réseaux et systèmes informatiques des particuliers, des entreprises et même des organisations internationales alors même que leurs défenses en la matière se trouvent peut-être affaiblies du fait de l’attention accordée à la crise sanitaire ».

Interpol met en ligne un panorama mondial des cyber-menaces liées au covid19 (voir le document .pdf). La menace n’existe pas qu’envers les grosses cibles. Nous sommes également visés en temps que citoyens connectés. Je vous encourage à consulter ce document d’interpol qui donne des conseils de base pour vous protéger du phishing, du rançonnage, des malwares, adwares, cookies malveillants et autres joyeusetés.

En résumé:

« Protégez vos informations

  • Sauvegardez fréquemment tous vos fichiers importants et conservez-les en dehors du système (dans le cloud ou sur un lecteur externe par exemple) ;
  • Avant de saisir des informations sensibles ou de connexion, vérifiez toujours que vous êtes bien sur le site légitime de l’entreprise en question.

Vérifiez vos logiciels et systèmes

  • Assurez-vous que vous disposez du logiciel antivirus le plus récent sur votre ordinateur et vos terminaux mobiles ;
  • Sécurisez les passerelles de messagerie électronique afin de contrer les menaces transmises via des courriers indésirables ;
  • Renforcez votre réseau domestique ;
  • Remédiez aux vulnérabilités en matière d’administration système que des pirates pourraient exploiter ;
  • Désactivez les composants de tiers ou périmés qui pourraient être utilisés comme points d’entrée ;
  • Ne téléchargez les applications mobiles et autres logiciels que depuis des plateformes de confiance ;
  • Analysez régulièrement vos ordinateurs et terminaux mobiles.

Faites preuve de vigilance

  • Apprenez aux membres de votre famille, notamment aux enfants, à protéger leur sécurité en ligne ;
  • Vérifiez et mettez à jour régulièrement les options de confidentialité de vos comptes sur les médias sociaux ;
  • Changez vos mots de passe en veillant à leur complexité (mélange de majuscules, minuscules, chiffres et caractères spéciaux) ;
  • Dans les e-mails que vous n’attendiez pas ou qui proviennent d’un expéditeur inconnu, ne cliquez pas sur les liens et n’ouvrez pas les pièces jointes.

Et, comme toujours, si vous pensez avoir été victime d’une infraction, contactez les services de police locaux. »

Voila.

Arnaques à l’assistance technique

Hier j’ai reçu un appel téléphonique d’une de mes connaissances qui me demandait de l’aide.

Son micro-ordinateur portable était bloqué après la séquence de démarrage et la saisie du mot de passe utilisateur. Une fenêtre ayant un caractère un peu officiel l’informait que la machine était infectée et que le seul moyen de continuer à l’utiliser était d’appeler un numéro de téléphone qui s’affichait de façon ostentatoire. Ma réponse alors: « n’appelle surtout pas ce numéro, c’est une arnaque« . Après plusieurs tentatives de redémarrage de la machine à ma demande, force fut de constater plusieurs échecs. A chaque tentative, après saisie du mot de passe utilisateur la machine restait figée sur l’écran proposant d’appeler le prétendu service d’assistance. J’ai alors décidé de me rendre sur place pour dépanner. Précisons avant d’aller plus loin qu’il est question ici d’une machine ancienne (6 ans) équipée d’un système MS Windows 8.1

Voici un petit résumé en forme de guide des quelques opérations nécessaires à la réhabilitation d’une machine victime d’une attaque de ce type. A noter qu’il n’est pas question ici d’une simple page (de type pop-up scam) qui s’afficherait lorsque vous utilisez votre navigateur internet. Il est question d’une technique plus radicale qui probablement sature le microprocesseur à l’aide d’un morceau de code viral. L’objectif à travers cette technique est clairement d’empêcher l’exécution de la fin de la séquence de démarrage du système. L’utilisateur est alors tenté d’utiliser son téléphone pour requérir l’assistance qui lui est proposée. S’il cède à cette tentation, son interlocuteur lui propose d’intervenir sur la machine à distance en l’échange d’un forfait à régler par carte bancaire. A la suite de ça l’installation d’un logiciel de contrôle à distance de type « TeamViewer » permet à l’interlocuteur d’installer absolument n’importe quoi sur la machine.

La première chose à faire est de redémarrer la machine après arrêt complet (Hard Reset). Pour ça il faut démonter la batterie, débrancher l’alimentation secteur. Après cet arrêt, rebrancher le cordon d’alimentation secteur et ensuite initier un démarrage sans échec. Le mode de démarrage sans échec, dans le jargon technique Microsoft c’est un démarrage en mode dégradé, sans le chargement de tous ces petits modules qui font ressembler votre écran à un bureau bien rangé. Pour démarrer dans ce mode il faut solliciter la touche F8 du clavier tout de suite après avoir appuyé sur le bouton de démarrage. Une suite d’écrans s’affiche alors proposant d’accéder au mode sans échec (deux possibilités: mode graphique ou mode terminal texte). En général, l’accès au mode sans échec avec écran graphique permet de reprendre la main. Ce fut le cas ce jour là. Le recours à la ligne de commande peut parfois être nécessaire si l’infection est sérieuse. Important: le mode sans échec doit être choisi avec liaison internet activée. Cette dernière permet ensuite de télécharger les applications nécessaires au nettoyage.

Une fois la machine redémarrée en mode sans échec, un nettoyage de l’infection peut être entamé. L’examen des logiciels installés peut permettre de détecter une installation suspecte. Pour ça il faut se rendre dans la page « Applications et fonctionnalités » du menu. Le recours, ensuite à un logiciel anti-malware est généralement suffisant pour détecter et éradiquer l’infection. Les références pour ce type de réparation sont: « Spy Hunter » et « Malwarebyte ». Il a suffit de télécharger Malware Byte et de le lancer pour venir à bout de l’infection.

Comment cette machine a-t-elle pu être contaminée ?

Plusieurs facteurs ont contribué à l’intrusion d’un logiciel malveillant :

  1. La version du système d’exploitation est ancienne et les mises à jour de sécurité ne sont pas réalisées aussi souvent que nécessaire;
  2. Aucun logiciel anti-virus n’est actif sur la machine. C’est en grande partie dû à la présence lors de l’achat de la machine de versions d’essai du produit Mac Affee (antivirus proposé en bundle avec le système). Cette version d’essai n’a pas été activée par l’utilisateur (il faut payer une licence). Ce logiciel étant devenu inactif mais restant présent sur la machine, l’anti-virus (MS Defender) du système est resté inactif. Résultat: open bar;
  3. Manque de vigilance de l’utilisateur qui fait confiance aux sites Web qu’il visite et en particulier aux sites qui proposent le téléchargement d’applications gratuites (et infestées par malwares, adwares et autres joyeusetés).

En conclusion je vous conseille de veiller à la mise à jour régulière de votre système, d’utiliser au minimum l’anti-virus proposé par le fournisseur (Ici Microsoft MS Defender), de bien réfléchir à deux fois avant de cliquer sur un lien douteux ou de télécharger une application gratuite depuis une site dont la réputation n’est pas certifiée. Installez les additifs que je recommande dans un précédent article (2 mai 2020) pour votre navigateur internet. Si vous avez l’intention malgré tout de ne pas suivre ces conseils, soyez prêts à mettre les mains dans le cambouis pour dépanner. Mon dernier conseil pour les aventureux qui utilisent MS Windows: ayez toujours un volume « Recover » du système prêt pour une réinstallation. De plus conservez le code de la licence d’utilisation du système.

Voila.

Changer de serveur DNS pour améliorer la protection des données personnelles et la sécurité

J’ai récemment été confronté à une panne du serveur DNS (Domain Name System) de mon fournisseur d’accès internet (SFR-Numericable). Ce type de panne a pour effet de rendre impossible l’accès aux sites web dont l’adresse utilise un nom de domaine (c’est à dire tous les sites). Ce type de panne qui nécessite un minimum de sagacité pour être diagnostiqué, a également pour effet de me mettre en rogne.

Qu’est-ce donc qu’un serveur DNS ? C’est tout bêtement le dispositif qui se charge de la traduction d’un nom de domaine (par exemple: impots.gouv.fr) en son adresse IP. L’accès à ce dispositif est nécessaire car l’adressage des machines (ordinateurs, tablettes, smartphones, et autres objets) connectées au web ne fonctionne qu’avec des adresses IP (par exemple: 89.123.213.90). Si comme le commun des utilisateurs vous gardez les réglages par défaut de votre terminal et/ou de votre routeur, le serveur DNS que vous utilisez sans le savoir est celui de votre Fournisseur d’Accès à Internet (FAI). Le DNS d’un FAI n’est accessible qu’aux clients de ce FAI. Jusqu’à cette panne c’est également comme ça que mon installation fonctionnait.

Pendant la panne du DNS de SFR j’ai donc changé de serveur DNS pour pouvoir continuer à accéder aux services que j’utilise quotidiennement. Pour le choix d’un serveur DNS public, plusieurs critères peuvent intervenir:

  • La rapidité de réponse;
  • Le respect de la vie privée;
  • La fiabilité (résistance aux attaques en particulier).

La plupart des avis plus ou moins autorisés promeuvent les serveurs DNS de Google comme étant les plus sûrs et plus rapides. Ils sont en effet parmi les plus rapides, mais ne sont pas les seuls. Les résultats dépendent en effet des conditions de test, et les différences se mesurent en millième de seconde. Le prix à payer pour bénéficier de cette rapidité de réponse c’est la confidentialité de vos données personnelles. Google fait du commerce et malgré ses engagements sur le respect de la confidentialité ne se cache pas d’exploiter la masse des informations qui transitent dans ses serveurs.

On peut diviser les services DNS en deux groupes: ceux qui sont proposés par des sociétés commerciales, et ceux qui sont proposés par des associations ou fondations n’ayant pas de visées commerciales.

Dans le premier groupe on trouve tous les FAI (orange, sfr, free, bouygues) et les gros acteurs du net (Google, Cloudflare, OpenDNS). Dans le dernier groupe (non commercial) on trouve en particulier CleanBrowsing et Quad9.

Ne comptez pas sur les serveurs DNS gérés par des sociétés commerciales pour préserver la confidentialité de vos données personnelles. Fervent défenseur des libertés j’ai donc décidé de choisir un serveur DNS qui apporte plus de garanties sur la confidentialité de mes données personnelles.

J’utilise actuellement les serveurs DNS de Quad9. Quad9 est géré par CleanerDNS, Inc., une organisation Californienne à but non lucratif (non-profit corporation). Il utilise les ressources d’IBM, Packet Clearing House (PCH), Global Cyber Alliance (GCA), d’autres organisations de cyber-securité , et des dons privés. Tous les acteurs qui fournissent des ressources pour le fonctionnement de Quad9 y trouvent leur compte en terme d’image et de partage d’expertise.

Les serveurs DNS de Quad9 filtrent les sites malveillants (phishing, malware, exploit kit domains). Ils supportent le protocole DNS over TLS (chiffrage des données). Les adresses IP des serveurs DNS Quad9 sont:

IPv49.9.9.9
149.112.112.112
IPv62620:fe::fe
2620:fe::9
DoH*https://dns.quad9.net/dns-query
*DoH: DNS over HTTPS, protocole de sécurité ajouté aux requêtes DNS

Comment paramétrer votre terminal pour utiliser les serveurs DNS de Quad9 (ou d’autres serveurs DNS publics):

Les étapes pas à pas suivantes sont uniquement destinées aux micro-ordinateurs sous MS Windows (v10).

  1. Accéder aux paramètres Windows;
  2. Accéder aux paramètres internet et réseaux;
  3. Modifier les options d’adaptateurs;
  4. Accéder aux paramètres de carte réseau (ou wifi);
  5. Accéder aux propriétés de la carte réseau (ou wifi);
  6. Accéder aux propriétés du protocole IPV4;
  7. Modifier les caractéristiques de serveur DNS (passer à la définition manuelle des adresses IPV4 du serveur) et entrer les adresses du serveur. Valider en sortant des réglages.
Etape N°1
Etape n°2
Etape n°3
Etape n°4
Etape n°5
Etapes n°6 et 7

Il est également possible de réaliser le paramétrage du routeur de votre passerelle réseau (le plus souvent le grand public appelle ce truc « la box ») pour que tous les équipements connectés à votre réseau local utilisent le serveur DNS de votre choix. Voir à ce sujet mon article « Du bon usage de la boite – Le couple modem-router ». L’interface web de votre routeur est généralement accessible à l’adresse 192.168.0.1.

Pour ceux qui veulent malgré tout utiliser les serveurs DNS de sociétés mercantiles, voici quelques adresses:

Google Public DNS
8.8.8.8
8.8.4.4
Cloudflare1.1.1.2
1.0.0.2

Voila.