Mozilla vient tout juste de publier Firefox 55 que les yeux se tournent déjà vers une fin d’année qui s’annonce particulièrement riche pour l’éditeur. En attendant, la nouvelle mouture propose des améliorations bienvenues, notamment une installation en 64 bits par défaut sous Windows.

Source : Firefox : une version 55 riche en nouveautés, une fin d’année cruciale

Je confirme que la version 55 boost sa mère.

Si les Américains mangeaient des haricots à la place de la viande de boeuf, leurs émissions de gaz à effet de serre fonderaient drastiquement.

Source : Manger des haricots pour sauver la planète

Nom de dieu. 44% de surface arable en plus. On pourrait en faire pousser des légumes !

Sinon, pour économiser de l’eau, vous pouvez pisser dans la douche, ça marche aussi.

Lors de la Def Con, deux chercheurs montrent qu’il est possible de contrefaire des tokens, comme ceux de YubiKey ou de RSA.

Source : Authentification : comment pirater les tokens

Malgré tout, c’est quand même ce qu’il y a de mieux pour le moment.

Ces systèmes permettant une authentification à deux facteurs n’en demeurent pas moins une sécurité supplémentaire pour les entreprises. « Continuez d’utiliser les YubiKey, continuez d’utiliser vos tokens », a d’ailleurs martelé Joe Fitzpatrick lors de sa présentation.

Préambule

Putain, j’avais jamais fait de préambule.
J’ai commencé à m’intéresser au backup il y a plusieurs années. J’ai un synology qui fait des backups locaux avec Time Machine et avec l’outil intégré de Windows.
Toutes mes photos sont sur un disque dur externe en raid et sont aussi backupé sur le synology. Par contre, si un jour il y a le feu chez moi, je perds tout.

Je me suis donc intéressé à faire des backups hors site. Plusieurs méthodes :

  1. un disque dur externe qu’on entrepose ailleurs, et une fois par mois (plus ou moins), on fait une copie.
  2. un serveur de backup

J’ai choisi l’option 2, ça me permet de faire ça depuis chez moi, en une seule ligne de commande.

Qu’est-ce que le stockage à froid ?

C’est un espace de stockage, en cloud, qui sert à entreposer des fichiers. Pour accéder aux fichiers, il faut entre 1 minutes et 12 heures pour les dégeler. Autant dire que c’est nickel pour du backup sans contrainte de remise en service rapide.
Pour mon cas, c’est parfait, ce stockage ne me sert que « au cas ou ».

A l’inverse, il existe du stockage à chaud, c’est pour des accès immédiats aux fichiers et pour travailler dessus. Ce n’est absolument pas le même tarif.

L’offre OVH

Je n’ai pas d’actions chez eux, ils ont une offre assez intéressante : Cloud Archive.
On paie à la consommation (upload/download et espace de stockage) :

  • Trafic entrant : 0,01 € HT/Go
  • Trafic sortant : 0,01 € HT/Go
  • 0,002 € HT/mois/Go

Je trouve ça pas cher du tout…

Duplicity

Duplicity permet de backuper un dossier en créant des fichiers tar chiffrés, découpés en volumes et de les envoyer sur un serveur distant.
Il utilise plusieurs protocoles pour communiquer avec les serveurs :

  • Amazon S3
  • DropBox
  • ftp
  • Google Drive
  • IMAP
  • local filesystem
  • Microsoft Azur
  • Rackspace Cloudfiles
  • rsync
  • ssh/scp
  • SwiftStack
  • WebDAV
  • … (je n’ai pas tout mis)

Vous pouvez retrouver toute la documentation de duplicity sur leur site.

Pourquoi utiliser Duplicity ?

Vu que l’on va envoyer des données sur un cloud, mieux vaut que ces données soient chiffrées au cas où l’espace de stockage soit compromis.
Je ne tiens pas à ce que mes photos se retrouvent à nues sur Internet.

L’autre intérêt est aussi que Duplicity va faire un « diff » et n’envoyer que les données modifiées ou ajoutées depuis la dernière sauvegarde.
On économise donc de la bande passante.

L’offre d’OVH proposant une API OpenStack Swift, c’est ce que j’ai utilisé pour gérer mes backups avec Duplicity.

Installation de Duplicity

Si vous êtes sous Debian / Ubuntu :

apt-get install duplicity

Si vous êtes sous MacOS :

brew install duplicity

Et ensuite on install les packages pour OpenStack avec pip :

pip install python-swiftclient python-keystoneclient

Génération des clés

Pour sécuriser les transactions, nous allons générer deux clés. Une pour signer et une pour chiffrer.

Génération de la clé pour chiffrer

gpg --gen-key

Je vous laisse le soin de renseigner les valeurs. Je crois que j’ai mis le plus de bits possible et que je n’ai pas mis de date d’expiration.
Sauvegardez bien votre passphrase

Génération de la clé pour signer

gpg --gen-key

Idem que précédemment, donnez lui un autre nom et une passphrase différente.

On a donc maintenant deux clés pour notre backup, une pour signer et une pour chiffrer. On peut vérifier avec la commande gpg --list-keys :

hawking:Downloads jihaisse$ gpg --list-keys
/Users/jihaisse/.gnupg/pubring.gpg
----------------------------------
pub 8192R/32DB8A93 2017-03-26
uid Backup Encryption <user@example.com>
sub 8192R/A8DDF912 2017-03-26

pub 8192R/0DE8C83D 2017-03-26
uid Backup Signing <user@example.com>
sub 8192R/0EE44080 2017-03-26

Faites une sauvegarde de ces clés. On ne sait jamais.

gpg --export-secret-keys -a 0DE8C83D > signing.asc
gpg --export-secret-keys -a A8DDF912 > encryption.asc

Pour les réimporter ensuite, c’est avec la commande gpg --import

Création de l’espace de stockage

Dans votre compte OVH, commandez une offre cloud, puis créez un conteneur dans l’onglet « Stockage »

Donnez lui un nom et choisissez une région.

On en profite pour ajouter un utilisateur OpenStack qui nous sera utile plus tard.

Une fois l’utilisateur créé, cliquez sur l’icone « clé à molette » pour télécharger le fichier de configuration OpenStack « openrc.sh »
Dans ce fichier se trouvent des informations qui nous servirons plus tard.

Création du script de backup

Maintenant que l’on a nos clés et que Duplicity est installé ainsi que le client Swift, on va créer le script.

Il nous faut 6 variables pour nous connecter via OpenStack :

  • SWIFT_USERNAME : Identifiant de l’utilisateur OpenStack que l’on a créé précédement
  • SWIFT_PASSWORD : Mot de passe de l’utilisateur OpenStack
  • SWIFT_AUTHURL : URL de l’API
  • SWIFT_AUTHVERSION : Numéro de version de l’API
  • SWIFT_TENANTNAME : Identifiant que vous allez trouver dans le fichier openrc.sh
  • SWIFT_REGIONNAME : Région que vous avez configuré pour votre conteneur

Une fois que vous avez tout ça, c’est très simple (j’ai passé deux jours dessus pour réussir à trouver tous les identifiants qu’il fallait)

Le script :


enc_key=A8DDF912
sign_key=0EE44080
src="/Volumes/Photos/Mes Photos/"
dest="swift://backup_photos"

# OpenStack
export SWIFT_USERNAME="FXXkttJQahTD"
export SWIFT_PASSWORD="xxxxxx"
export SWIFT_AUTHURL="https://auth.cloud.ovh.net/v2.0/"
export SWIFT_AUTHVERSION="2"
export SWIFT_TENANTNAME="xxxxxx"
export SWIFT_REGIONNAME="SBG3"

# GnuPG
export PASSPHRASE="UnSuperMotDePasse"
export SIGN_PASSPHRASE="UnAutreSuperMotDePasse"

duplicity --verbosity notice \
        --encrypt-key "$enc_key" \
        --sign-key "$sign_key" \
        --num-retries 3 \
        --asynchronous-upload \
        --cf-backend swift \
        --volsize 100 \
         "${src}" "${dest}"
         
unset SWIFT_USERNAME SWIFT_PASSWORD SWIFT_AUTHURL SWIFT_AUTHVERSION SWIFT_TENANTNAME SWIFT_REGIONNAME PASSPHRASE SIGN_PASSPHRASE

Explications

  • enc_key : clé de chiffrement que l’on a généré précédemment
  • sign_key : clé de signature
  • src : dossier à backuper
  • dest : où on backup. Remplacez backup_photos par le nom du container que vous avez créé
  • SWIFT_USERNAME : Identifiant de l’utilisateur OpenStack que l’on a créé précédement
  • SWIFT_PASSWORD : Mot de passe de l’utilisateur OpenStack
  • SWIFT_AUTHURL : URL de l’API
  • SWIFT_AUTHVERSION : Numéro de version de l’API
  • SWIFT_TENANTNAME : Identifiant que vous allez trouver dans le fichier openrc.sh
  • SWIFT_REGIONNAME : Région que vous avez configuré pour votre conteneur
  • PASSPHRASE : Le mot de passe de la clé de chiffrement
  • SIGN_PASSPHRASE : Le mot de passe de la clé de signature

Enregistrez le fichier et changez les permissions pour le rendre executable :

chmod +x backup.sh

Il ne reste qu’à lancer le script.
Je vous conseille de tester avec un dossier contenant peu de fichiers pour vérifier que la connexion se fait bien et que duplicity envoi bien les fichiers.

Ressources

Les liens utiles qui m’ont servi pour créer ce script :

Je suis assez content de moi pour le moment, j’arrive à bien me motiver pour aller courir.

En 2 semaines, j’ai dépassé les 50km en allant courir tous les 2 jours.
Là, je commence à sentir les effets d’une augmentation un peu rapide de l’entrainement, quelques douleurs aux pieds, rien de méchant normalement. 2 jours de repos et demain je peux reprendre tranquillement.

Marlène m’a offert il y a quelques mois le livre « Courir mieux » , j’ai commencé à mettre en pratique les techniques de courses. Ça change vraiment, c’est pas évident, mais le premier point positif est que je n’ai pratiquement plus mal aux genoux.
J’ai eu bien bien mal aux mollets par contre :)

Objectif, courir tous les 2 jours 10km au moins, soit sur du plat soit avec au moins 300m de dénivelé. Le tout en pleine nature, c’est ce que je préfère.
La semaine dernière j’ai fait un 12km sur la piste cyclable, en pleine chaleur et en plein soleil. Mauvaise idée, au bout de 8km j’ai failli faire un malaise, j’ai marché les 4km restant en buvant de l’eau…
On est bien mieux en foret.

Objectif derrière tout ça : pouvoir faire de la randonnée sans galérer, juste profiter et pouvoir bivouaquer (avec un putain de sac à dos de 15Kg).

 

Principalement connue pour son usage autour du Bitcoin, une monnaie virtuelle, la blockchain est pourtant une technologie aux possibilités immenses, qui vont bien au-delà de la finance spéculative. En offrant un moyen sécurisé d’effectuer des transactions sur internet, elle pourrait transformer radicalement l’entreprise telle que nous la connaissons.

Via Numérama

Sujet à suivre à plus d’un titre. Négociations directes entre particuliers, vote électronique, paiements sécurisé, contrats intelligents entre personnes physiques et/ou IA.

Je me suis acheté une Yubikey 4 il y a quelques jours, mais à quoi ça sert ?

En gros et pour faire vite, c’est une clé USB qui permet de sécuriser ses comptes avec une double authentification. La fameuse 2 factors.
On peut déjà le faire sur son compte Google ou Facebook par exemple en recevant un code numérique par SMS ou avec une application mobile de type Google Authenticator qui génère un code numérique.
Là, c’est une clé physique, donc à moins d’avoir la clé, il n’est (à priori) pas possible de détourner cette sécurité (pour le moment hein…)

Qu’est-ce qu’on peut faire avec cette clé du coup ?

Elle gère le protocole Universal 2 Factors (U2F), et pour ça quelques applications comme les gestionnaires de mot de passe et des services en ligne comme Google et Facebook l’utilisent aussi.
Le protocole est complètement intégré dans Chrome.
Firefox est en train de bosser dessus. En attendant, il existe un plugin, mais pour certains services il faudra changer le user agent. Pas funky, et ça ne marche pas à tous les coups, comme pour Google par exemple.

Vous pouvez retrouver une liste complète de tous les services qui utilisent l’U2F ici.

Perso, je l’utilise sur :

Pour le moment, c’est tout.
Je n’ai pas pris de clé NFC pour l’authentification avec Android, c’est encore assez mal implémenté, les applications mobiles ne l’utilisent pas encore et j’ai lu quelque part que les spécifications risquaient de changer d’ici là, donc la Yubikey NEO serait obsolète…

Petit conseil : je vous recommande de bien noter les clés de sécurités fournies par les services qui vous permettront de vous connecter si jamais vous avez un souci avec votre clé.
Le mieux est d’avoir une seconde clé, mais ça coute un peu cher quand même…