Deux téléphones et séparation des usages

J'ai actuellement deux téléphones, un téléphone personnel et un professionnel, de type smartphone. Mon pseudonyme étant connu de mon employeur, avec le temps, comme je l'explique dans ma conférence "Du pseudonymat au pseudonyme", mon modèle de menace a évolué et du coup mes usages ne sont plus les mêmes. Ce billet se veut une sorte d'état des lieux de la séparation que je fais et de la porosité qu'il existe tout de même.

Appliquant comme toujours des règles d'hygiènes numériques, je n'installe que le strict minimum, des applications dont j'ai besoin, je fais le ménage dans les permissions. Dès que possible, j'utilise des applications libres issues des dépôts de F-Droid ; toutefois certaines applications ne se trouvant que sur le PlayStore de Google, je passe par lui (pas encore fait les manipulations pour outrepasser ça en récupérant les applications d'une autre façon). Sur le téléphone professionel, associé à un compte sous mon vrai nom, j'ai des applications qui sont nécessaires à mon usage professionnel. Des applications liées aux transports par exemple (Air France ou SNCF) que je n'ai pas sur mon téléphone personnel, ces applications sont liées à mes comptes correspondants.

Certaines applications liées aux réseaux sociaux comme Twitter ou Mastodon, celle de prise de notes (Nextcloud) ou de veille (EasyRss, Wallabag) sont installées sur les deux téléphones et liées au même compte en ligne (ou à mon cloud personnel), celui lié à mon pseudonyme. Comme mon pseudonyme n'est plus du pseudonymat, cela ne me pose pas de soucis et me permet donc d'avoir accès le midi facilement, entre deux usages pro (regarder des mails) aux applications qui me permettent de faire ma veille. Pour les mails, mails pro sur le téléphone pro, mails perso sur le téléphone perso.

J'avais rédigé une synthèse fortement inspiré d'un billet de Taziden sur la différence entre Silence et Signal. J'utilise Silence dans le cadre personnel. J'utilise Signal comme service de messagerie SMS par défaut sur mon téléphone professionnel. Pourquoi ? Signal possède un client installable sur PC qui permet d'envoyer et de récupérer les messages qui sont échangés de façon sécurisé au sein de l'application. Cela montre bien que les messages sont stockés sur le serveur (vu que la synchronisation est possible entre un smartphone et un PC). Pratique pour échanger via un canal sécurisé.

Je me suis posé la question de pourquoi pas un téléphone avec deux cartes sim (un dual-sim) ? Cela serait plus simple que d'avoir sans cesse deux téléphone sur soi ?. La séparation des usages permet aussi un droit à la déconnexion : je suis joignable aux heures ouvrées sur mon téléphone pro, je le coupe ensuite. Mon téléphone perso est allumé sur des amplitudes plus large. Je ne sais pas si ça se gère bien avec un téléphone dual-sim (couper une puce selon des plages horaires). Sûrement.

De plus, j'ai deux comptes Android différents (un par téléphone) et il y a des choses que je veux continuer à séparer /cloisonner. Je gère finement les permissions comme je le disais. Je n'active la géolocalisation que quand c'est nécessaire. Parfois les deux téléphones sont allumés, parfois le téléphone pro est éteint et seulement le téléphone personnel l'est. Le recoupement de données des deux comptes est tout à fait possible, vu que mon pseudonymat n'est plus qu'un pseudonyme. Ce cloisonnement est donc assez théorique et ne tient pas dans le cadre d'un modèle de menace élevé, ce qui n'est pas mon cas actuellement, du moins pour mon pseudonyme.

Vieux Geek, épisode 124 : Winamp 2.x, mon premier lecteur de fichiers mp3…

S’il y a un lecteur de fichiers numériques (alias mp3) mythique, c’est bien Winamp. Développé à partir de 1997 par Nullsoft, c’est à partir de septembre 1998 qu’il acquiert ses lettres de noblesses avec sa version 2.x.

Sans oublier son célèbre slogan : « It really whips the llama’s ass ». Une traduction rapide ? « Il fouette vraiment le cul du lama. »

Comment dire ? C’est devenu un des lecteurs mp3 les plus connus des utilisateurs de MS-Windows 95 et suivant. Bien qu’étant un partagiciel à 10$ (pour usage personnel), je ne connais pas grand monde qui ait la main à la poche à l’époque pour rester dans la légalité…

J’ai eu envie de faire revivre le temps d’une vidéo cet outil ultime.

Comme d’habitude, un logiciel qui devient un peu trop célèbre a tendance à être racheté par une grosse boîte, AOL dans le cas de Winamp. En juin 1999, le rachat est fait. Quelques mois plus tard, il y aura intégration dans Time Warner.

2002 verra arriver la détestée version 3 du logiciel. Par la suite une série de versions 5.x sortiront et AOL annonce en décembre 2013 qu’il mettait fin au projet. Il est vrai que la concurrence d’iTunes entre autres. Mais regardez donc les lecteurs mp3 que l’on trouve de nos jours sur toutes les plateformes… Ils ont tous plus ou moins une interface à la Winamp. C’est ainsi qu’on voit l’influence d’un logiciel dans un domaine bien précis 😀

En vrac’ de fin de semaine…

Comme chaque fin de semaine, l’habituel en vrac…

Côté logiciel libre, informatique et internet.

Côté culture ?

Bon week-end 🙂

Vieux Geek, épisode 123 : Norton Partition Magic 8, l’ultime version de l’outil de partitionnement facile.

Dès que j’ai commencé à m’intéresser au joyeux monde du logiciel libre, j’ai voulu installer des distributions GNU/Linux, histoire de découvrir ce que donnait cet OS alternatif.

Le gros point noir, c’était la création d’une partition dédiée pour mettre en place un double démarrage avec MS-Windows. Histoire d’avoir un filet de sécurité, car dans les années 1996 à 2000, on était très loin de la maturité actuelle 🙂

L’outil préféré était fips puis fips2 pour prendre en charge des partitions fat et fat32. C’était un outil de redimensionnement normalement inoffensif… Il fallait juste prendre comme précaution de défragmenter le disque dur avant de toucher aux partitions.

Puis, vers 1999-2000, un outil commercial est arrivé pour simplifier la tâche, PowerQuest Partition Magic. Il permettait d’agir en graphique, puis au démarrage suivant du MS-Windows, le partitionnement était effectué.

Je me souviens d’avoir acheté un exemplaire de la version 5 – à moins que ce ne fut la 6 ? – durant l’année 2000.

Le logiciel a été développé jusqu’à sa version 8.0 en 2002 qui permettait de supporter les MS-Windows 95 à XP inclus. Car il faut dire que redimensionner du NTFS, c’était assez chaud à l’époque.

Décembre 2003, Symantec rachète Partition Magic et publie une ultime version, la 8.0.5 en mai 2004.

J’ai donc récupéré un exemplaire de la version 8.0.5 en fouillant sur le grand nain ternet et je l’ai installé dans une machine virtuelle sous MS-Windows XP.

Et oui, on proposait la création de disquette de récupération au cas où ça partirait en cacahuètes 🙁

Mais le mieux, c’est de montrer l’outil en action, non ?

Comme vous avez pu le voir, l’outil était très puissant, mais de nos jours, plus d’une décennie après l’ultime version de Partition Magic, un outil comme Gparted fait aussi bien, sinon mieux pour redimensionner sans perte un disque dur formaté en NTFS.

C’est quand même dommage que Symantec ait ainsi laisser pourrir sur pied un outil aussi pratique… Oui, je suis un brin nostalgique ici !

Chatonkademy – Billet N°2 – Ansible pour les mises à jour

Série de billets sur le projet Chatonkademy

Introduction

Un billet déjà écrit avec quelques commandes Ansible Jouons avec Ansible et Virtualbox, dans celui-ci je donnerai quelques astuces et commandes sur l'usage d'Ansible pour des choses simples. En effet, le projet Chatonkademy contient, entre autre 40 machines virtuelles sous Debian 9 (une par étudiant), que je souhaite gérer facilement. D'où Ansible.

Prérequis

Avoir des machines installées, avec un serveur SSH actif et configuré. L'installation des 40 machines, la configuration par SSH (pour automatiser la création de l'utilisateur, de la machine etc.) fera l'objet d'un billet plus complexe sur Ansible. Car il y a une seule IP publique pour la machine superviseur (sous Proxmox), on part d'un parc de 40 machines déjà installées et configurées à minima. Toutes accessibles en SSH sur un port différent du 22 (avec redirection au niveau de l'hyperviseur).

Connexion SSH par clef publique

Copie de la clef ssh publique de l'utilisateur que j'ai sur ma machine principale (j'ai le même utilisateur sur les machines en face) sur toutes les machines via

#!/bin/bash
sshpass -p 'password' ssh-copy-id genma@chaton01.chatonkademy.com -p 20122
sshpass -p 'password' ssh-copy-id genma@chaton02.chatonkademy.com -p 20222
sshpass -p 'password' ssh-copy-id genma@chaton03.chatonkademy.com -p 20322

Pour pouvoir me connecter en ssh depuis ma machines dans .ssh/config j'ai ajoué

host chaton01.chatonkademy.com
HostName chaton01.chatonkademy.com
Port 20122
host chaton02.chatonkademy.com
HostName chaton02.chatonkademy.com
Port 20222
host chaton03.chatonkademy.com
HostName chaton03.chatonkademy.com
Port 20322
(...)

Ansible les bases

Dans le fichier /etc/ansible/hosts j'ai ajouté

[chatonkademy_std]
chaton01.chatonkademy.com:20122
chaton02.chatonkademy.com:20222
chaton03.chatonkademy.com:20322
(...)

Quelques tests avec un appel de commande pour valider qu'Ansible marche bien

ansible openhackademy -m command -u genma --args "uptime" --one-line
ansible openhackademy -m command -u genma --args "df -h" --one-line

On remplacera le args par une commande simple que l'on veut et on redirigera la sortie standard dans un fichier que l'on analysera par la suite.

Ansible playbook pour mises à jours

Création d'un playbook Ansible pour les mises à jours dans le fichier hosts update_upgrade.yml

---
- hosts: chatonkademy_std
remote_user: genma
become_method: sudo
become_user: root

tasks:
- name: update and upgrade apt packages
apt:
update_cache=yes
state=latest
upgrade=yes

Lancement du playbook

ansible-playbook -i /etc/ansible/hosts update_upgrade.yml -K

Résultat de l'exécution

ansible-playbook -i inventory/production/chatonkademy update_upgrade.yml -K
SUDO password:
[DEPRECATION WARNING]: Instead of sudo/sudo_user, use become/become_user and make sure become_method is 'sudo' (default). This feature will be removed in version 2.6.
Deprecation warnings can be disabled by setting deprecation_warnings=False in ansible.cfg.

PLAY [chatonkademy] **********************************************************

TASK [Gathering Facts] ******************************************************
ok: [chaton01.chatonkademy.com]
ok: [chaton02.chatonkademy.com]
ok: [chaton03.chatonkademy.com]
ok: [chaton04.chatonkademy.com]

TASK [update and upgrade apt packages] **************************************
[WARNING]: Could not find aptitude. Using apt-get instead.
changed: [chaton04.chatonkademy.com]
changed: [chaton01.chatonkademy.com]
changed: [chaton03.chatonkademy.com]
changed: [chaton02.chatonkademy.com]

PLAY RECAP *****************************************************************
chaton02.chatonkademy.com : ok=2 changed=0 unreachable=0 failed=0
chaton03.chatonkademy.com : ok=2 changed=0 unreachable=0 failed=0
chaton04.chatonkademy.com : ok=2 changed=0 unreachable=0 failed=0

Conclusion

Les machines virtuelles sont utilisables via Ansible pour la maintenance etc. On va pouvoir des choses intéressantes. A suivre dans un projet billet sur le projet Chatonkademy !

Fedora Linux 28 bêta, une version « ennuyeusement » bonne ? :)

En novembre 2017, je parlais de la Fedora Linux 27, avec un titre clin d’oeil à un citation – apocryphe ? – du Duc de Liancourt annonçant à Louis XVI la prise de la Bastille.

Je disais que j’avais été agréablement surpris par la finition du produit.

On est plus dans l’évolution que dans la révolution. Ça fait du bien, mais on s’ennuierait presque de nos jours, vu le degré de raffinement des grosses cylindrées comme les Debian, Fedora et autres Ubuntu.

Est-ce un mal ? Non. Mais on sent que l’on arrive à une certaine maturation du domaine, en dehors des DGLFI qui ne font qu’apporter leur dose de perte de temps et de ressources.

Alors que la feuille de route de la Fedora Linux 28 annonce une sortie pour la première quinzaine de mai 2018, et que le gel des paquets est prévu pour le 17 avril 2018, jour où je rédige ce billet, j’ai eu envie d’avoir un aperçu de cette version en fin de développement.

J’ai donc récupéré l’ISO de la version principale par bittorrent pour gagner du temps et être certain d’avoir quelque chose qui démarre. Je n’ai pas pris l’image ISO avec Mate-Desktop, n’appréciant pas l’outil proposé pour gérer les paquets. Après, les coups et les douleurs 🙂

Pour changer, j’ai demandé à VirtualBox d’activer l’UEFI. Au bout d’une minute, le live était chargé, bien qu’en anglais 🙁

L’installateur de la version de développement dénote l’humour des développeurs. Je dois avouer que ce genre d’humour potache, ça m’arrache un sourire.

Le temps d’installation ? Une dizaine de minutes environ. Il faut noter que l’installateur ne crée plus d’accès au compte root. Un peu bizarre, mais est-ce un mal ?

Une fois le redémarrage terminé, on est accueilli par un assistant qui permet de configurer tout ce qui est nécessaire à l’utilisation au quotidien. Petit bug que j’ai rencontré… Le clavier est en Qwerty pour la saisie. Il faut donc faire attention.

Heureusement, le clavier est dans le bon agencement par la suite !

Une étape un peu longue a été la recherche et l’installation des mises à jour. Comme la Fedora Linux est une distribution assez dynamique en terme de mises à jour, cela a été un peu long. J’ai décidé de passer par la ligne de commande, étant donné que Logiciels prenait un peu trop longtemps à répondre… Et pour cause… Quelque 646 paquets ont dû être récupérés et installés…

Il m’a fallu une grosse vingtaine de minutes pour que l’opération soit terminée. Une fois tout cela terminé, j’ai lancé Simple Screen Recorder pour capturer en vidéo la Fedora Linux 28 bêta.

Comme vous avez pu le voir, on est en face d’une version qui sera un grand cru pour la Fedora. Tout a été pensé pour que l’utilisateur puisse utiliser (une Lapalissade ?) la distribution sans prise de tête inutiles.

J’ai été de bonnes surprises en bonnes surprises, modulo le bug du partage en réseau et l’ennuyeuse installation de VLC. La Fedora Linux est une fixed release plutôt dynamique. On peut s’attendre à des montées en version pour la plupart des logiciels sur la durée de vie de cette version qui sera d’une année environ.

Bien que je ne conseillerai pas cette distribution à des personnes qui débutent, comme pour toutes les distributions mères, elle pourrait être un choix pour les personnes n’aimant pas trop le principe de la rolling, tout en ayant l’avantage d’avoir des mises à jour constantes et régulières.

Je dois le dire que c’est aussi une option que je pourrais envisager si un jour Archlinux devait disparaître.

Le monde du libre actuel part en couilles ? Bonus n°2 : le prétexte fallacieux du choix pour que rien ne bouge.

Je m’étais promis de ne plus faire de billets dans cette série, mais il faut parfois se faire violence.

Un des mantras que psalmodient la plupart des libristes, c’est que le libre, c’est la liberté du choix.

C’est vrai et c’est une bonne chose. Cependant, avec l’application pathologique du principe du fork – qui est une bonne chose au départ – on finit par se retrouver bloqué devant une telle tétrachiée de choix que l’on ne peut plus rien décider au final.

Avoir du choix, c’est nécessaire. Mais se retrouver avec plus de 250 ou 300 choix en terme de distributions à destination bureautique, c’est pas un brin excessif ?

On tombe dans ce que l’on appelle la loi de Hick-Hyman. On la résume ainsi : « Plus l’utilisateur à de choix, plus il prendra de temps à se décider. »

Une autre conséquence, c’est le distro-hopping. En clair, il y a tellement de choix qu’on peut changer de distributions presque chaque jour de l’année.

J’ai connu cette période durant plusieurs années. J’ai sauté de distributions en distributions. Plus j’ai fini par me poser sur Ubuntu (durant deux ans et demi) puis sur Archlinux depuis l’année 2009. J’ai trouvé une forme de stabilité bien que ce soit une rolling release.

Le problème est qu’avec le développement des réseaux sociaux que ce soit le fesseur de caprins, le fantômatique Google Plus ou encore Youtube, il est plus facile de dire tout et son contraire.

D’adorer une distribution le lundi et de la vouer aux gémonies le vendredi de la même semaine. Devenir une girouette et ne plus être crédible. Passer pour le clown de service et ridiculiser un peu plus le monde du libre qui n’en a pas vraiment besoin.

Le choix est nécessaire, mais tomber dans l’hypertrophie du choix, c’est contre productif au possible. Posez-vous seulement la question : pourquoi en un quart de siècle de distributions GNU/Linux, dont une grosse douzaine d’années avec des produits qui peuvent largement tenir la dragée haute à Microsoft et Apple, le bureau libre se traîne péniblement à 2% de parts de marché en bureautique.

Si cette politique du choix était vraiment fonctionnelle, le bureau linux serait plus dans les 10%… Je ne dis pas qu’il faut mettre à mort le choix, mais il faut se demander sur les 250 ou 300 distributions bureautiques indexée sur Distrowatch – car il faut bien une source pour en avoir la liste – combien pourrait disparaître sans que le monde du libre soit réellement en danger ?

Vous allez me dire que je radote et que je prèche pour la paroisse de l’équipe à laquelle j’appartiens en tant que bêta testeur. Dommage pour vous, voici le uname -a de mon ordinateur en ce 16 avril 2018.

Linux fredo-arch-mate 4.16.2-1-ARCH #1 SMP PREEMPT Thu Apr 12 13:51:26 UTC 2018 x86_64 GNU/Linux

Je peux vous dire une chose : cela fait 22 ans que je fréquente le monde du libre, dont 12 en mono-boot linuxien. Je ne reconnais plus le monde que j’ai connu au début, celui qui avait envie de faire avancer les choses. Celui qui ne se résumait pas à une bande de pseudo-geeks qui se la pètent car ils savent taper trois lignes de commandes dans un terminal.

Je sais très bien que cet article ne fera pas bouger les choses, mais au moins, il m’aura permis de dire les choses telle que je les conçois. Cela ne plaît pas ? Tant pis. Mais au moins, j’en ai ma claque de voir qu’une partie du monde du libre en arrive à faire des gorges profondes à Microsoft pour être intégré à WSL.

Continuez donc de tresser la corde qui va vous pendre. Microsoft a parfaitement vu ce qu’était les coulisses un brin dégueulasse de ce monde.

Dommage qu’à cause d’une minorité arquée sur son idéologie, des projets comme ceux développés par Framasoft ne servent pas à une majorité de gens qui en auraient bien besoin pour récupérer un minimum de contrôle sur les drôles de boîtes qui leur servent à aller sur Internet.

Chatonkademy – Billet N°1 – Les utilisateurs

Série de billets sur le projet Chatonkademy

Introduction
Le projet continue et d'autres billets sont en cours de rédaction. Je publie celui-ci pour partager quelques astuces de bases dont j'ai eu besoin. Dans celui-ci, quelques astuces sur les utilisateurs et Yunohost (rappel : dans le projet il y a une instance Yunohost multi utilisateur).

Créer des utilisateurs en masse dans Yunohost

On fait appel à la moulinette. On crée un script du type
Dans le présent script, les mot de passe sont en dur

#!/bin/bash

yunohost user create chaton01 -p motDePasseChaton01 -f chaton01 -l chaton01 -m chaton01@chatonkademy.com --admin-password motDePassAdminYunohost
yunohost user create chaton02 -p motDePasseChaton02 -f chaton02 -l chaton02 -m chaton02@chatonkademy.com --admin-password motDePassAdminYunohost
yunohost user create chaton03 -p motDePasseChaton03 -f chaton03 -l chaton03 -m chaton03@chatonkademy.com --admin-password motDePassAdminYunohost
yunohost user create chaton0X -p motDePasseChaton04 -f chaton0X -l chaton0X -m chaton0X@chatonkademy.com --admin-password motDePassAdminYunohost

Largement améliorable en utilisant des variables pour les mots de passe utilisateur et le mot de passe administrateur, ce qui évite de les mettre en dur au sein du script.

Applications

Dans mon cas, tous les utilisateurs ont accès à toutes les applications. J'ai installé les applications après la création des utilisateurs.
Je ferai un billet (ou plusieurs) sur le cas des applications.

Surveiller leurs connexions

Le besoin est le suivant : les utilisateurs ont été crées, le mot de passe communiqués. Comment suivre si l'instance Yunohost est bien utilisée et si oui par quels utilisateurs. Il y a plusieurs façons de faire et de voir il y a des connexions des utilisateurs.

Tous les logs de connexion se trouvent dans le fichier /var/log/nginx/chatonkademy.com-access.log

Les logs étant compressés, on peut passer par zcat et créer un fichier de cumul des logs dans /tmp/access.log pour avoir un suivi depuis le début de la création de l'instance.

cat /var/log/nginx/chatonkademy.com-access.log >> /tmp/access.log
zcat /var/log/nginx/chatonkademy.com-access.log.*.gz >> /tmp/access.log

Un peu de shell en une ligne permet de faire pas mal de choses, selon les besoins. Quelques exemples :

Ip et utilisateur

root@cloud:# cat /tmp/access.log |cut -f1 -d '[' |sort -u
1.2.3.1 - chaton01
1.2.4.5 - chaton02
1.2.1.2 - chaton03
1.2.1.2 - chaton01
1.2.1.4 - chaton04

Nombre de connexion par utilisateur

cat /tmp/access.log |grep -v "\- \-" |cut -f1 -d '['|cut -d "-" -f2 |sort |uniq -c |sort -nr
5733 chaton03
1525 chaton02
1334 chaton01
913 chaton04

Quel(s) utilisateur(s) se connecte quel jour ?

cat /tmp/access.log |cut -f1 -d ']' |grep -v "\- \-" |cut -f1 -d ':'|cut -f2 -d '-'|uniq |sed 's/\[//g'
chaton04 11/Apr/2018
chaton01 11/Apr/2018
chaton04 11/Apr/2018
chaton01 11/Apr/2018
chaton03 12/Apr/2018
chaton02 12/Apr/2018
chaton01 12/Apr/2018
chaton02 12/Apr/2018
chaton03 12/Apr/2018

Analyse des logs en graphique

On pourra envisager l'installation de la suite ELK (ElasticSearch Logstash Kibana, pourquoi pas) avec des dashbords qui vont bien pour avoir le reporting des connexions. Pour faire faire plus simple et déjà avoir quelques graphiques, j'ai eu recours un GoAccess. Voir à ce sujet Yunohost - Goaccess - Rapport HTML depuis des logs d'un serveur web.

J'ai repris l'idée de faire l'installation de customWebApp dans Yunohost appelée "Logs" dans laquelle je dépose un fichier index.html qui est le rapport généré par GoAccess

Création d'un script qui contient

#/bin/bash
goaccess --log-format=COMBINED -f /tmp/access.log -a -o /var/www/my_webapp/www/index.html

On le lance via

./root/script_goaccess.sh

On consulte les logs via https://chatonkademy.com/logs/ tout simplement.

Vieux Geek, épisode 122 : Connectix Virtual PC 4.0, l’ancêtre des virtualisateurs modernes…

Quand on dit émulation ou virtualisation, un des premiers logiciels qui vient à l’esprit, c’est VirtualBox. D’autres personnes diront VMWare ou encore Qemu pour les plus barbus.

Mais il serait dommage de faire l’impasse sur un des premiers logiciels de cette catégorie du monde PC, j’ai nommé Connectix Virtual PC 4.0. Oui, j’ai bien dit Connectix et non pas Microsoft Virtual PC.

En 2001, Connectix qui s’était déjà fait la main dans le monde Mac décide de proposer une version pour MS-Windows de son logiciel de virtualisation. À l’époque, tout se fait en mode logiciel. Aucune instruction n’est disponible pour virtualiser directement dans les microprocesseurs.

Il faudra attendre 2006 pour qu’Intel avec son jeu d’instructions Intel-VT et AMD avec AMD-V pour que des solutions plus puissantes pointent le bout de leurs octets. En 2001, tout est fait par le logiciel de virtualisation, ce qui implique d’avoir un monstre de guerre pour faire tourner l’OS désiré dans un environnement virtualisé.

Avec mon exemplaire virtualisé de MS-Windows XP, j’ai pu installer une version de Connectix 4.0 pour faire un peu mumuse avec.

Côté OS disponible ? MS-Dos, Windows 3.1/95/98/Millenium/2000 et NT4. Il y a bien une possibilité d’émuler du Linux mais comment dire… C’est de la merde en barre pour l’OS libre ?

J’ai donc voulu vous montrer l’ensemble en action…

Comme vous avez pu le voir, installer un MS-Windows 3.1x, modulo le jonglage avec les images de disquettes, ça a pas trop mal fonctionner… Mais l’émulation linux… Comment dire ? C’était mauvais à pleurer… Même si les distributions d’avant 2001 n’étaient pas des plus faciles à installer, on pouvait quand même y arriver.

Pour la petite histoire, Microsoft a racheté Connectix début 2003. Puis le logiciel est devenu Microsoft Virtual PC. Sa dernière version, du doux nom de Windows Virtual PC 6.1 est sortie en 2011… On peut toujours la télécharger, mais quel intérêt par rapport à l’offre existante actuelle ?

Isotop 0.3.2 : un nouveau pas vers un OpenBSD à destination bureautique ?

Isotop, c’est un peu la concrétisation d’un rêve un peu fou que je caresse depuis des années : transformer un OS libre orienté sécurité en OS de bureau.

J’avais parlé de la version 0.2, basée sur OpenBSD 6.2 en octobre 2017. J’ai été contacté peu après la sortie d’OpenBSD 6.3 début avril 2018 par Thuban, papa du projet Isotop pour faire un peu de bêta-test avant que la version ne soit officiellement annoncée. D’ailleurs, il y a eu deux séries de bêtas avant d’arriver à la version finie.

Vous devez vous douter que je n’ai pas rédigé l’article dans la foulée de l’annonce officielle, le délai étant un peu court, mais que je l’ai fait dès que j’ai eu accès aux fichiers torrents des images d’installation.

Il n’y a aucune image live, toutes les images ISO et fs pour les clés USB sont pour lancer l’installation.

L’installation ? C’est celle d’OpenBSD. Autant dire que c’est une installation en mode texte plus qu’automatisée. Avec ma nouvelle machine, l’installation a été assez rapide. 3 minutes pour la base, dont le paquet « site63 » qui copie les logiciels qui constituent la personnalisation d’Isotop.

Une fois l’installation terminée, on est accueilli par un gentil message qui nous invite à prendre une tasse de café 😉

La post-installation a été assez rapide, pliée en moins de 5 minutes. Il n’y a pas à dire, un Ryzen3 2200G, ça aide un brin 🙂

J’ai ensuite lancé mon ami SimpleScreenRecorder pour enregistrer la vidéo ci-après.

Mis à part à un bug à la con qui m’a bloqué l’accès aux disques en réseau – alors que cela avait fonctionné durant la période dé bêta-test – l’OS est un vrai plaisir à utiliser. On est face à quelque chose de sérieux et surtout conçu pour que ça fonctionne directement à l’installation.

Seul regret : l’absence d’image ISO hybride capables à la fois d’être écrite sur clé USB et sur support optique classique. Peut-être pour la 0.4 dans 6 mois ?

Faire passer des entretiens

Dans mon billet Faire passer des entretiens - mes quelques questions subjectives, j'expliquais que dans le le cadre de mon travail et de mes responsabilités de chef d'équipe, je suis amené à faire faire des entretiens. J'expliquais le fait que j'ai une série de questions techniques et une série de questions de culture générale que je qualifiais de subjectives.

Dans le présent article, je voudrais parler de ce que le fait de faire passer ces entretiens m'a appris sur la façon de faire passer des entretiens mais également sur moi-même.

Un premier entretien avec la responsable des ressources humaines, permettant de comprendre et jauger (juger ?) le parcours de la personne, sa personnalité a été fait et a conduit à une première sélection. Les différents chefs d'équipe, qui, comme moi, font passer les entretiens, nous sommes la seconde étape dans le processus de recrutement. Notre rôle est d'évaluer le niveau et les compétences techniques du candidat. Dans le cas où le niveau requis est là et l'entretien est concluant, cela donne l'accès à un entretien final avec un supérieur / dirigeant de l'entreprise (au cours duquel sont vu par exemple, la négociation du salaire, le poste final, les missions envisagées etc.)

On attend donc de moi de faire un entretien technique. Le niveau technique est discriminant : un niveau insuffisant est éliminatoire. Tel est la directive. Je nuance : le niveau attendu pour un stagiaire, un alternant, n'est pas le même que pour un profil confirmé, une personne qui a de l'expérience. Pour les personnes confirmées, l'expérience montre qu'un niveau insuffisant, même avec de la motivation, ne permettent pas, dans les conditions actuelles, de répondre aux attentes et besoins. Les missions que nous avons en administration système nécessite d'être aguerri, efficace rapidement, de pouvoir monter en compétence et de s'investir dès le début.

Comme je fais passer l'entretien pour une personne avec laquelle je vais potentiellement travailler, je vais plus loin que le simple entretien technique. Je prends le temps de discuter et de cerner la personnalité de la personne, de voir si nous avons des affinités, quel est mon ressenti... Quand l'entretien prend plus de temps que le temps alloué initialement, c'est signe d'une chose : la personne a fait un bon test et retient mon attention, je vais en savoir un peu plus sur elle (et les informations recueillies sont ajoutées à la fiche d'évaluation et me permettent de confirmer mon choix).

Dans les choses positives, il y a le fait que je n'ai pas d'a priori sur les personnes. Je pense que celles et ceux qui me connaissent en dehors du blog pourront en témoigner, du moins je l'espère. Et que le candidat a sa chance et s'il réussit le test technique, il a validé cette étape de recrutement.

Dans les choses négatives, il y a le fait que j'ai du apprendre à ne pas avoir de compassion et à être objectif. L'entretien technique est discriminant et je ne peux pas repêcher des candidats. Certes, j'ai des personnes en face de moi qui ont un vécu, une personnalité, qui sont parfois en recherche d'emploi. Mais quand j'ai le moindre doute sur la motivation, la capacité technique ou la capacité à progresser et monter en compétence (avec l'expérience, entretien après entretien, ce jugement s'affine), je n'hésite plus à donner une appréciation négative, ce qui se conclue par la fin du processus de recrutement. Dis de façon naïve, je ne peux pas être gentil car ce n'est pas aider la personne que de lui donner un emploi pour lequel on sait par avance que ce sera un échec, tant pour elle, que pour l'entreprise. Toutefois, je donne des conseils, j'explique à la personne ce que j'attendais, le niveau d'exigence que j'avais, je la conseille sur comment mieux se préparer, sur quoi apprendre...

Je suis exigeant avec moi-même et je le suis donc avec les personnes que je veux dans mon équipe. Et celles et ceux qui travaillent avec moi au quotidien pourrait en témoigner. Je suis exigeant, mais juste. J'explique ce que j'attends, ce que je veux. Je donne des conseils, je fais pars de mon expérience. Je suis preneur des critiques et à l'écoute, pour m'améliorer. Et j'ai déjà eu des remarques sur ma façon de gérer l'équipe, que j'ai essayé de prendre en compte pour m'améliorer.

Faire passer des entretiens, c'est comprendre qu'on a le droit de se tromper, mais qu'il faut apprendre de ses erreurs de jugement. C'est comprendre que l'on va perdre des illusions. On recrute pour un emploi, pour travailler dans une entreprise dont le but est de gagner de l'argent (pour au moins pouvoir payer les salaires en fin de mois des différents employés, on mettra de côté la considération capitaliste). Et on ne peut donc pas laisser place à la subjectivité.

Vieux Geek, épisode 121 : Hocus Pocus, un jeu de plateforme mignon mais très dur…

Quand je suis arrivé sur PC en 1995, c’était via un pavé grisâtre équipé d’un monstrueux Cyrix 486DX2 à 66 Mhz, 4 Mo de mémoire vive et un disque de 400 Mo… Sans carte son ni lecteur optique. J’avais gonflé l’engin en lui rajoutant un kit multimédia. Après avoir configuré tant bien que mal l’ensemble (je ne connaîtrai MS-Windows 95 que début 1996 après avoir gonflé la mémoire vive à 16 Mo), j’ai acheté des tonnes de magazines qui proposaient des CD avec des logiciels et des jeux dessus.

En dehors des classiques versions partagicielles pour Doom ou encore Heretic, j’ai pu découvrir des petits bijoux comme Hocus Pocus.

Sorti en 1994 des studios de Moonlite Software et publié par les rois du shareware Apogee, nous prenons en main la destinée de l’apprenti magicien Hocus envoyé en mission par Terexin, chef du conseil des Magiciens, pour prouver sa valeur…

Il s’en suit 4 épisodes de 9 niveaux à la complexité croissante et dont la règle est simple : trouver la sortie en récoltant toutes les sphères.

Suivant le modèle du shareware qui régnait à l’époque, seul le premier épisode est librement téléchargeable, le reste étant payant.

C’est un jeu tout mignon, les graphismes sont vraiment très bien réalisés, mais les niveaux sont rapidement d’une dureté à vous faire quitter en hurlant tout votre dictionnaire de jurons au passage.

C’est du jeu de plateforme qui suit le principe : « Recommence chaque niveau à chaque fois que ton personnage meurt ».

En effet, on ne peut faire de sauvegardes qu’à chaque fin de niveau. Pour s’en sortir, il n’y a pas d’autres choix que de mémoriser chaque piège…

J’ai installé Dosbox et j’ai décidé de montrer une partie du premier épisode en vidéo.

Comme vous avez pu le voir, le jeu semble tout mignon, limite à destination d’un jeune public, mais une fois que vous avez tenté de passer les 3 ou 4 premiers niveaux vous êtes convaincu du contraire.

Le jeu complet est disponible à l’achat sur GOG si vous voulez vous avoir l’expérience totale. Bonne partie !

Coffre-fort de mot de passe : état des lieux

Pour (re)définir ce que j'entends par Coffre-fort de mot de passe, je dirai ceci : "Dans le guide d'hygiène numérique, j'évoque le fait qu'il faut avoir un mot de passe différent généré aléatoirement par site, le tout stocké dans un logiciel dédié, un coffre-fort de mot de passe, qui s'ouvre avec une phrase de passe"

J'ai écrit différents articles de sensibilisation et de partage sur les mots de passe et les coffres-forts de mot de passe et je vous mets la série de lien ci-dessous :
- Les phrases de passe
- Changement de mot de passe et testament numérique
- Keepass au quotidien c'est possible
- A.I.2 - Porte blindée ou coffre-fort ?
Et d'une façon générale, Les billets tagués Keepass

Il existe des solutions de service en ligne qui ont l'avantage de proposer une synchronisation (via Internet) entre différents appareils (ordinateur, smartphone, tablette), mais dont le code source n'est pas accessible. Les experts en sécurité des podcasts que j'écoute (Le Comptoir Sécu pour ne pas le nommer) utilise et vante ce type de solution. Personnellement, adepte du logiciel libre, j'ai fait depuis un moment le choix de Keepass. Il faut un petit temps d'adaptation, car un gestionnaire de mot de passe (l'autre nom pour coffre-fort de mot de passe) demande un petit temps d'appropriation. Avec le temps, le réflexe est là : toute nouvelle inscription sur un site passe par la création d'une fiche dans Keepass, la création d'un mot de passe aléatoire utilisé uniquement pour le site en question.

Quelle solution pour une synchronisation ?

Différents billets de blogs et messages dans des forums proposent une même solution, à savoir :
- KeepassX (dans mon cas je suis passé à KeepassXC) ;
- Synchronisation du fichier de base de données via Nextcloud ;
- Application Keeweb intégrée à Nextcloud pour avoir un accès web ;
- Application Keepass2Android et synchronisation Webdav ou via l'application Nextcloud pour un usage mobile.

Quid des sauvegardes ?

Le fait d'avoir un coffre-fort de mot de passe synchronisé entre plusieurs appareils ne fait pas que l'on en a une sauvegarde. Car si on modifie / supprime un des mots de passe du coffre-fort, avec la synchronisation, la suppression est copié dans toutes les versions et on perd définitivement le mot de passe. Les recommandations liées aux sauvegardes s'applique donc là aussi : on copiera régulièrement le fichier du coffre-fort numérique sur un espace de confiance (par exemple un disque externe sur lequel on fait ses sauvegardes, disque que l'on conserve soigneusement).

Quid de la sécurité ?

La sécurité de Keepass tient essentiellement à la qualité et la complexité (la longueur) de la phrase de passe (il faut également penser à mettre à jour le logiciel).

La synchronisation via Nextcloud pose le soucis de la sécurisation de Nexcloud en lui-même (il faut maintenir le serveur à jour et de façon sécurisé et de préférence déléguer cette partie à un administrateur système de confiance, comme au sein des CHATONS par exemple).

Dans le cas de la synchronisation par un client Nexcloud sur son téléphone, on a donc une copie de son coffre-fort numérique sur son téléphone. Tout comme avec son ordinateur (rappel les smartphones ne sont rien d'autres que des ordinateurs au format poche), il faut donc protéger son appareil avec un code, nécessaire au déverrouillage. Et activer le chiffrement du disque.

Autre solution (complémentaire) : avoir deux conteneurs Keepass. Un avec les mots de passe usuels que l'on peut utiliser sur un smartphone et un avec les mots de passe critique qu'on n'utilisera que sur des appareils de confiance, qui risquent peu (il y a toujours un risque, quelque soit l'appareil, mais il est plus facile de voler un smartphone - ou de le perdre) qu'un ordinateur de type tour qui ne bouge pas de son bureau.

La Manjaro Linux 18.0 est-elle piégée par le lent développement de Xfce ?

Depuis sa première version vraiment utilisable, la Manjaro Linux 0.8.0, la fille d’Archlinux a pour vaisseau amiral sa saveur basée sur l’environnement Xfce. Si on regarde dans les notes de publication de cette version ancestrale, il est indiqué clairement que Xfce est la version principale.

Cependant, pour mon premier article sur le projet en août 2012, j’avais choisi l’ISO proposant le duo Gnome et Cinnamon.

Au fil des mois, j’avais suivi le projet. de mon côté, j’ai migré vers Xfce 4.12 à sa sortie, fin février/début mars 2015. J’y étais resté une grosse année avant de migrer vers Mate-Desktop début 2016 à l’époque de Mate-Desktop 1.13.

J’ai eu vent de l’existence de préversions pour la Manjaro Linux Xfce 18.0, datée pour la plus récente – au moment où je rédige ce billet, le 9 avril 2018 – du 30 mars 2018.

J’avais alors lancé l’image ISO et j’ai eu quelques surprises, sur lesquelles je reviens dans la vidéo ci-après.

Comme je l’ai précisé dans la vidéo, j’ai comme l’impression que le projet Manjaro est un brin piégé par le très lent développement de Xfce 4.14 qui semble avoir fait le choix de migrer d’un seul coup tout son code de gtk2 vers gtk3.

Cela fait maintenant un peu plus de trois ans qu’il n’y a pas eu de nouvelle version stable. Il n’y a pas eu de communication du genre : « Hé, on vous propose une version de développement pour vous montrer les progrès accomplis et vous faire patienter. »

C’est dommage. On a l’impression que Xfce est un projet zombie alors que c’est tout sauf le cas si on regarde son blog. Comme je l’ai dit dans la vidéo, c’est un avantage et un inconvénient :

  • Un avantage si on sait que l’équipe de Manjaro a tout le temps qu’elle veut devant elle pour fignoler sa migration vers un Xfce 4.14 complètement gtk3.
  • Un inconvénient car la date de sortie de Xfce 4.14 est encore inconnue. Cela pourrait très bien être pour Noël 2018 que pour la rentrée de septembre, ou en 2019…

C’est vrai que la version que j’ai montrée en vidéo reste une alpha, mais il ne reste pas moins que le problème lié par la non-disponibilité d’un Xfce 4.14 risque d’handicaper à terme la Manjaro Linux 18 si la volonté de conserver cette version de l’environnement est confirmée.

On ne peut pas blâmer l’équipe de Manjaro de ne pas avoir misé sur Mate-Desktop comme environnement de bureau léger… En août 2012, le projet Mate-Desktop était encore dans ses couche-culottes, et je dois avouer que je n’aurais pas parié un seul kopeck sur sa survie… Comme quoi 🙂

Maintenant, Manjaro Linux va-t-elle changer de base pour sa version principale ? Les chances sont faibles voire nulles, surtout après avoir utilisé le même environnement de bureau comme vitrine depuis près de 6 ans !