Debian Bullseye RC1 et Lenovo X1 Carbon Gen9 installation et prise en main

Debian Bullseye RC1 with Mate

Après trop d’années au quotidien sur Mac, exception faite de mon desktop, un petit mediacenter sur Debian et d’une ParrotSec sur un autre Laptop pour le pentest, j’avais jusque là quelques réticences à travailler au quotidien sur un laptop sous Linux.
Mes expériences passées (sur des modèles assez cheap il faut l’avouer), m’avaient plutôt refroidit… Des Asus pour ne pas les nommer : claviers et pads horribles, une ergonomie à rendre fou, châssis en carton, une compatibilité plus que limite (recompiler un noyau pour avoir les 4h d’autonomie très théoriques par exemple), j’ai été plutôt déçu par ces expériences sur laptop, jamais sur Desktop… le problème était strictement matériel.

Macbook ou Lenovo X1 ?

J’aime beaucoup avoir de l’autonomie et je confesse m’être habitué à l’ergonomie Apple ces 15 dernières années… et je parle du hardware car l’OS lui même m’a rendu fou plus d’une fois.
Bien que les nouveaux mac équipés du M1 puissent en coller une demie molle à tout geek, les derniers CVE de Big Sur m’ont pas mal refroidi. C’est le marketing d’Apple qui a terminé de me convaincre notamment avec le chip d’IA qui apprend plus vite qu’un enfant de 5 ans. Un nouveau truc propriétaire, une nouvelle boite noire, qui traite mes données alors que ne lui demande rien et dont je n’ai pas besoin, vendu comme une révolution, je trouve ça suspect…. donc non merci.

Me voici comme mes collègues ours de Bearstech passé chez Lenovo avec ce X1 Carbon de 9e génération

Unboxing et choix (évident) de distro

C’est beau, très qualitatif, le nez rouge au milieu du clavier rappelle évidemment la nostalgie des Thinkpad IBM du 20e siècle. C’est léger, avec une bonne connectique mais pas folle (un slot SD ça aurait été cool), le clavier est agréable et il a même un slot pour une puce 4G. Le revêtement est super agréable au touché (c’est important quand on passe la journée dessus), mais on notera qu’il a une tendance à marquer un peu, pensez donc à vous laver les mains après la pizza. Pour le reste de la review design, vous trouverez ça sur d’autres sites, ce n’est pas ce qui nous intéresse ici.

Le bouzin m’a été livré avec Windows 10 (pas taper, sinon c’est plus de 6 semaines de délai actuellement pour en obtenir un préinstallé avec un Linux). Ce Windows servira donc à télécharger un iso tout chaud Debian (le full ou une netinstall, peu importe), strictement à rien d’autre, éventuellement flasher une clé USB avec notre iso mais même ça, j’avoue avoir transpiré devant l’écran.

Show me your kungfu

Je vous évite tout de suite la bêtise à ne pas faire, ne téléchargez pas la Buster, soyez joueur, allez directement sur une Bullseye RC1 (il y a une raison à cette recommandation d’opter pour une Debian testing au lieu de la stable… on va y revenir). Et comme vous le savez, une RC, ce n’est plus une alpha ni une beta mais comme son nom l’indique, une Release Candidate, première du nom à l’heure où ces lignes sont écrites… on en est pas encore au freeze mais ça commence à sentir bon pour Debian 11.

Premier truc un peu moyen, quand on est habitué aux bios du 20e siècle, l’accès à l’UEFI est un peu “pain in the ass” pour arriver au bootmenu, par ailleurs très bien fourni… ce Lenovo doit même pouvoir booter à partir d’un allume cigare. Notez au passage que la documentation en ligne chez Lenovo est bien fichue, on trouve ce qu’on cherche très rapidement, et il y a quelques fabricants qui devraient s’en inspirer.

Seconde déconvenue, celle ci bien plus gênante si vous ne m’avez pas écouté et que vous avez quand même téléchargé une Buster, le wifi ne va pas fonctionner… il faut le kernel qui va bien, et le “kivabien”, c’est un 5.1 ou supérieur. Et oui ce X1 Carbon embarque un chipset Wifi 6 (ax pour les intimes), il s’agit d’une carte Intel avec un driver propriétaire… évidemment. Il s’agit de iwlwifi, non proposé sur Bullseye mais disponible sur Debian Sid. Il vous suffira de le télécharger et le donner à manger à l’installation sur un support amovible ou même à la racine de votre média d’installation.

# dmesg |grep wifi
[ 17.922988] iwlwifi 0000:00:14.3: enabling device (0000 -> 0002)
[ 17.927652] iwlwifi 0000:00:14.3: firmware: direct-loading firmware iwlwifi-QuZ-a0-hr-b0-59.ucode
[ 17.927660] iwlwifi 0000:00:14.3: api flags index 2 larger than supported by driver
[ 17.927669] iwlwifi 0000:00:14.3: TLV_FW_FSEQ_VERSION: FSEQ Version: 65.3.35.22
[ 17.927885] iwlwifi 0000:00:14.3: loaded firmware version 59.601f3a66.0 QuZ-a0-hr-b0-59.ucode op_mode iwlmvm
[ 17.927898] iwlwifi 0000:00:14.3: firmware: failed to load iwl-debug-yoyo.bin (-2)
[ 18.322009] iwlwifi 0000:00:14.3: Detected Intel(R) Wi-Fi 6 AX201 160MHz, REV=0x354
[ 18.517297] iwlwifi 0000:00:14.3: base HW address: 28:d0:ea:cc:1e:4c
[ 18.710678] iwlwifi 0000:00:14.3 wlp0s20f3: renamed from wlan0

Une fois le firmware en place, l’installer vous demandera aussi iwl-debug-yoyo.bin que je n’ai pas pris soin d’installer, il n’est pas vital à ce stade, vous pourrez aisément poursuivre l’installation sans.

Oops c’est pété


J’avais déjà vécu ça avec la testing de Sarge, l’installeur graphique était cassé au moment où j’ai fait cette installation (c’est assez commun sur une pré-version). Ici le symptôme c’est que la copie des fichiers du système de base échoue alors que le média est parfaitement correct. Il faut donc choisir l’installation en mode expert, mais pas de panique, avec l’installeur Debian, tout le monde est expert, vous vous en sortirez aisément… et si vous avez un doute, validez le choix par défaut.

Lors du choix des miroirs, attention http://ftp.fr.debian.org/debian/ est cassé : la récupération des packages casse vers la fin et pourtant, pas d’extravagance dans le choix de base des packages, j’ai laissé Gnome pour voir comment il a pu aussi mal tourner, mais j’ai choisis Mate (un fork de Gnome 2), et sshd… rien d’autre à ce stade, on bidouillera des trucs par la suite. Choisissez un autre miroir, celui de Proxad est passé crème chez moi.

Allo Houston ? On ne vous entend pas

Post installation, on se sent à la maison… sauf pour le son. Il y a plus de sons qui arrivent de Mars qu’il n’en sort de ce laptop. Le coupable, c’est encore un driver propriétaire Intel, mais ça ne nous empêchera pas dans un premier temps de pointer du doigt pulseaudio que l’on aime toujours détester, un peu comme systemd. Mais pas de panique.

# dmesg | grep -i audio
[ 0.296422] ACPI: Added _OSI(Linux-Lenovo-NV-HDMI-Audio)
[ 18.065371] sof-audio-pci 0000:00:1f.3: DSP detected with PCI class/subclass/prog-if info 0x040380
[ 18.065390] sof-audio-pci 0000:00:1f.3: Digital mics found on Skylake+ platform, using SOF driver
[ 18.065645] sof-audio-pci 0000:00:1f.3: DSP detected with PCI class/subclass/prog-if 0x040380
[ 18.065772] sof-audio-pci 0000:00:1f.3: bound 0000:00:02.0 (ops i915_audio_component_bind_ops [i915])
[ 18.095371] sof-audio-pci 0000:00:1f.3: use msi interrupt mode
[ 18.181107] sof-audio-pci 0000:00:1f.3: hda codecs found, mask 5
[ 18.181109] sof-audio-pci 0000:00:1f.3: using HDA machine driver skl_hda_dsp_generic now
[ 18.181112] sof-audio-pci 0000:00:1f.3: DMICs detected in NHLT tables: 4
[ 18.181130] sof-audio-pci 0000:00:1f.3: firmware: failed to load intel/sof/sof-tgl.ri (-2)
[ 18.181166] sof-audio-pci 0000:00:1f.3: Direct firmware load for intel/sof/sof-tgl.ri failed with error -2
[ 18.181168] sof-audio-pci 0000:00:1f.3: error: request firmware intel/sof/sof-tgl.ri failed err: -2
[ 18.181197] sof-audio-pci 0000:00:1f.3: error: failed to load DSP firmware -2
[ 18.181511] sof-audio-pci 0000:00:1f.3: error: sof_probe_work failed err: -2

Maintenant que nous avons le noms du coupable, on sait quoi installer pour que ça tombe en marche :

# apt-get install firmware-sof-signed

Et voilà, le temps de découvrir un peu ce que propose cette machine et si je trouve des trucs sympas ou un peu moins sympas et que le partage de cette petite expérience peut vous être profitable, il y aura une suite.

Happy hacking…
/b/

Pourquoi et comment les clients victimes de la boulette du Crédit Lyonnais pourraient être poursuivis par leur banque… et condamnés ?

Il y a des actualités comme ça qui font sourire, puis méditer. Les clients du Crédit Lyonnais utilisant l’application mobile ont eu la surprise d’accéder à des comptes qui n’étaient pas les leurs. Au moment où ces lignes sont écrites, on ne sait pas si l’incident est circonscrit à l’application ou s’il a impacté l’ensemble du service en ligne, la communication de la banque étant, comme il est de rigueur dans cette situation, la plus succinctement embarrassée possible.

Très rapidement, sur les réseaux sociaux, dont Twitter où j’ai découvert cette information, la nouvelle fait le tour du Net… les témoignages de clients du Crédit Lyonnais, pour le moins surpris, se multiplient. On rigole bien puisque l’impact d’une telle boulette demeure théoriquement limité, attendu qu’on ne peut pas faire un virement sans qu’une autre vérification que cette authentification “par erreur” sur le compte d’un tiers soit réalisée (par l’entremise d’un smartphone ou par le biais d’un autre dispositif… bref une authentification à facteurs multiples est nécessaire si vous voulez transférer des fonds, il me semble bien qu’il s’agit d’une norme bancaire de nos jours, mais je suis loin d’être un spécialiste du sujet).

On sent que la soirée va être longue, on peut sentir l’odeur de la sueur sous les aisselles de l’admin ou du développeur responsable du déploiement en production qui a mené à cet incident, on se prépare un énorme bucket de popcorn et on attend donc avec l’impatience d’un enfant de 6 ans devant un sapin le 24 décembre, que le Crédit Lyonnais communique.

Dramatiquement prévisible, ce communiqué tombe très, trop rapidement. Il est notamment relayé sur Twitter par BFM Business qui le relaie probablement lui aussi très… trop rapidement. Il minimise tant que faire se peut la portée de l’incident en assurant qu’il n’a concerné que quelques centaines de clients, une information invérifiable pour le moment. Le communiqué nous apporte une information plus suspecte, le Crédit Lyonnais assure qu’aucune donnée n’était nominative. En clair que les personnes qui ont accédé à des comptes qui n’étaient pas les leurs ne peuvent en aucun cas identifier les propriétaires légitimes de ces comptes. N’étant moi-même pas client de cette banque, je ne vais pas m’aventurer à expliquer qu’il doit probablement y avoir un moyen de lever cet anonymat relatif, mais des témoignages, toujours sur les réseaux sociaux semblent indiquer le contraire. Peut-être pas simplement pour le propriétaire du compte courant (et des comptes épargne … vous me voyez venir), mais probablement plus simplement pour les bénéficiaires de virements, qu’il faut généralement déclarer et autoriser de manière formelle.

Là où l’histoire devient moins drôle maintenant, c’est que selon l’arrêt de la cours d’appel de Paris du 5 février 2014, dit “Affaire Bluetouff”, les clients du Crédit Lyonnais qui ont accédé à des comptes qui n’étaient pas les leurs, et qui se sont baladés sur l’application après avoir compris qu’il y avait quelque chose d’anormal, qui se sont rendus sur ces pages de comptes épargne par exemple, ou pire qui ont exporté des données bancaires en PDF qui n’étaient pas les leurs… se sont rendus coupables de maintien frauduleux dans un système d’information, et en cas d’export de ces données… de vol de données, données fixées sur plusieurs supports dont certains librement accessibles au public, c’est à dire de diffusion de ces données à caractère personnel !

J’invite maintenant tous les juristes qui ont largement commenté cet arrêt avec des analogies foireuses de maison avec des fenêtres, des murs et d’autres bidules dedans, à méditer l’impact de ce même arrêt avec ce cas bien concret…

À votre avis, si le Crédit Lyonnais venait à déposer une plainte contre x, qu’arriverait-il aux clients à la fois victimes et coupables qui :

  • ont accédé sans intrusion à un STAD en pensant accéder à leur espace ;
  • se sont maintenus frauduleusement sur des comptes qu’ils savaient ne pas être les leurs ;
  • ont volé des données en les exportant ou en prenant des captures d’écran qu’ils ont ensuite diffusé publiquement (même caviardées) ;
  • ont donné l’alerte sur les réseaux sociaux… ?

Question subsidiaire : que risque le Crédit Lyonnais (en vrai) ?

Bisous et bonne nuit.

/b/

Dans la tête d’un Apple Fan Boy, et de l’inutilité de chercher à argumenter

Il y a quelques temps maintenant, j’ai blasphémé. J’ai osé émettre un commentaire sur l'(in)utilité d’investir 1200 euros dans un smartphone. Vous devinez probablement lequel. Je vais avoir la courtoisie de ne pas vous embarquer dans une lecture trop longue en vous le confirmant : oui c’est un énième troll Android vs Apple. Tout est parti d’un post d’un pote sur un réseau social bien connu (NB : le thread a été supprimé). Venant du monde Android, il est passé sur un iPhone X. Les 12 premières vagues d’Apple fan boys (AFB) le félicitant passées, ivre, je poste un avis un peu plus critique sur Facebook (oui, j’ai blasphémé, par deux fois et j’expie). Cet avis, que j’ai eu le malheur d’argumenter un peu, se résumait en 3 points :

  • l’obsolescence programmée ;
  • la confidentialité douteuse ;
  • la fermeture.

Bref, on a un truc dont on peut parfois sortir, on y perd son intimité, c’est fermé et cher… à vue de nez, on parlerait presque d’une cellule pénitentiaire au tarif horaire d’une suite impériale au Ritz.

De l’obsolescence programmée

Mon postula est de partir du fait que l’on garde en moyenne un téléphone entre 2 et 3 ans⁽¹⁾, ce qui en fait donc un bien de consommation, jetable (ou recyclable). Qu’il s’agisse d’un téléphone coréen, (ex. un Samsung à 800 euros), chinois (de la marque que vous voulez, basé sur un chip Mediatek, Qualcomm ou un Kirin de Huawei plus ou moins récent) à moins de 300 euros, ou re chinois à 1200 euros mais avec une pomme “designed in the US” dessus. L’un des participants à la conversation, utilisateur d’iPhone convaincu, confesse lui même dans l’un des commentaires qu’il change d’iPhone tous les deux ans et qu’il revend son smartphone à 50% de son prix d’achat. Il existe plusieurs facteurs pouvant expliquer cette durée de vie relativement courte (ne vous souvenez vous pas avoir conservé votre Nokia 3310 4 ou 5 ans ?) :

  • Un smartphone est plus fragile que nos anciens GSM (écrans plus grand, composants internes plus nombreux, plus petits et donc globalement plus fragiles) ;
  • le smartphone est devenu un objet hype (presque) sans distinction d’âge, que nous avons intégré dans notre quotidien, et comme tout doudou numérique accessoire de mode, on est souvent facilement tenté d’en changer. J’ai même eu vent de personnes capables de faire la queue pendant des dizaines d’heures devant un pomme’store pour être le premier à tenir le Saint Graal entre ses mains. Une curieuse pratique que l’on ne retrouve pas (encore) dans le monde Android… faire la queue pendant des heures pour se faire soulager de 1200 euros, seul Apple y parvient.
  • on ne va pas se le cacher, ce qui tire par le haut le “besoin” de ressources en terme de puissance CPU, GPU ou de RAM, ce n’est pas le fil d’actualité, la météo, les emails, les MMS ou passer un coup de fil à tata Jacqueline… les jeux et autres applications gourmandes en ressources (comme se transformer en caca emoji dansant), sont rarement indispensables au quotidien pour une immense majorité des utilisateurs. Que ce soit chez Google ou Apple, on aura une tendance naturelle à optimiser son OS  pour une architecture à venir, pas même encore commercialisée, peu importe si ça rame un peu sur une configuration qui a 18 mois⁽²⁾.

De la confidentialité douteuse

Un AFB vous le jurera, Google c’est le diable (jusque là on est sensiblement sur la même ligne), mais Apple ça c’est le bien, parce que Apple lui il respecte ta confidentialité, ne récupère aucune données personnelles. Évidemment, un AFB a rarement conscience de l’écosystème qui gravite autour de son jouet, notamment les développeurs d’applications qui sont eux friands de données biométriques puisque je cite “Apple n’a pas ces données et ne les partage puisque tout est stocké crypté dans mon iPhone“… ben voyons. Comme l’écrit le Washington Post, non seulement Apple accède à vos données biométriques quand vous vous transformez en caca emoji qui danse le twerk, mais en plus de ça, il les partage avec des développeur tiers.

Il existe cependant une différence notable entre les approches de Google et d’Apple. Le premier est un aspirateur à données personnelles qui est logiquement tenté d’en faire commerce et qui en tire la majeure partie de ses revenus, le second dont le core business est concentré sur le hardware et qui est en toute logique moins tenté de faire commerce de ces données personnelles, et depuis Siri, biométriques. Sauf que tout ça, c’est de la théorie. Si Google en assume la pratique, du côté d’Apple, ce sont les développeurs d’applications qui sont tentés d’exploiter ces données. Vous vous souvenez l’écosystème. Pire, ces écosystème, bien que concurrents, sont intimement liés. Et soyez en convaincus : toutes les erreurs que fait l’un, l’autre les fera (et les amplifiera)

Car oui… toi aussi utilisateur Android tu auras un jour ou l’autre un smartphone coréen ou chinois qui te transformera en caca emoji qui gigote sur ton écran, toi aussi tes données biométriques seront partagées (ou vendues) à des développeurs d’applications tierces. Et toi aussi AFB, tu te feras aspirer plein de données personnelles par Google. Ah non, pardon, ça c’est déjà le cas. Quel est le dernier iPhone n’utilisant pas au moins un service Google que vous avez croisé vous ?

Les deux stratégies, d’apparence bien distinctes, convergent miraculeusement sur un point : vos données personnelles. L’un introduit toujours “l’innovation hardware du siècle” qui va créer une brèche que son propre écosystème et que le second exploiteront. Grâce à nos deux frères “ennemis”, nous arrivons à cette époque charnière où vos données de géolocalisation, de santé, biométriques, politiques ou sexuelles s’entremêlent dans les tuyaux et finissent toujours par copuler dans le cloud de l’un ou de l’autre, pour être cédées à des tiers qui les referont copuler dans un autre cloud avec d’autres données… bref ils vécurent heureux et eurent beaucoup de big data.

De la fermeture : cachez ce code libre et ouvert que je ne saurais voir, c’est pour votre sécurité

Il existe autant d’AFB que d’utilisateurs, je n’ai pas spécialement envie de rentrer dans une catégorisation insultante pour les uns et les autres, on va dire que c’est généralement un utilisateur qui n’aime pas ou n’a pas le temps d’administrer correctement et de comprendre en profondeur son système d’exploitation. Comme sur tous les OS, il y a des gens qui aiment avoir une compréhension intime de leur système, d’autres qui pensent avoir cette compréhension intime et enfin encore d’autres qui s’en cognent et qui veulent que ça fonctionne quand ils cliquent partout. Et quand un AFB se délecte à railler un Android, GNU Linux ou un Unix libre, vous pouvez être convaincu qu’il s’agit du second type d’utilisateur, celui qui a un copain qui bosse chez Kaspersky (et un beau frère flic).

L’argument avancé qui m’a laissé pantois est un grand classique d’il y a 15 ans : “un code source accessible à tous, oui une passoire quoi“… Et oui, en 2018, il y a encore des personnes qui sont convaincues qu’un OS libre ne peut pas être un OS sécurisé. Ignorance étant mère d’absurdité, on saupoudre avec le bon mot emplis d’assurance qui tue “la preuve regarde tous les antivirus qu’il y a sur Android“.

Alors attention démonstration (sans parler du paramètre de criticité) sur le sempiternel troll “IOS c’est plus secure qu’Android” :

Vous allez voir, ici c’est encore plus flagrant

L’open source, hérésie sécuritaire ? Vraiment ? Mais dans ce cas, pourquoi l’immense majorité des architectures critiques tournent sur des OS libres (avec une immense majorité de GNU Linux) ? Pourquoi quand un AFB appelle tata Jacqueline il a 99% de chances que son appel soit routé par GNU Linux et non par Windows ou OSX ?

⁽¹⁾ Selon une infographie de l’UFC-Que Choisir datée de juillet 2016, les 67% des utilisateurs qui disposaient précédemment d’un smartphone, une majorité a déclaré en avoir changé au bout de 3 ans. NB : depuis la déferlante des smartphones chinois low cost, ce durée de renouvellement pourrait tendre à être revue à la baisse… ou pas. Les prochaines études risquent d’être intéressantes.
⁽²⁾ Toujours selon l’infographie de l’UFC-Que Choisir, 31% des personnes qui avaient renouvelé leur smartphone l’ont fait pour des raisons liées à ses performances et/ou pour acquérir de nouvelles fonctionnalité comme la 4G.

 

Paranormal connectivity

Voilà, ça y est, je suis enfin rentré dans les intertubes du futur, je dispose d’une connexion FTTH, d’un upload qui me permet enfin d’envisager de travailler confortablement, d’un download qui me permet de regarder 4 flux simultanés de p0rn en HD et de coucher ma GeForce 210 (on ne se moque pas je voulais une carte graphique sans ventilo), ainsi que d’un ping me permettant de fragger pas grand monde vu que je ne suis pas gamer. Tout irait pour le mieux dans le meilleur des mondes si je n’avais pas découvert avec un étonnement de circonstance des pratiques un peu paranormales sur l’offre dont je dispose.

Tout d’abord, il faut comprendre un peu le contexte. Si mon nouveau FAI est Alsatis, le réseau physique appartient à REG.I.E.S. L’opérateur donne donc accès à Alsatis et Kiwi, deux opérateurs qui eux gèrent les abonnés professionnels et particuliers. REG.I.E.S fournit un routeur optique Inteno… un vrai, avec une prise optique et tout… pas comme sur une BBox fibre sans port optique

Le réseau est configuré comme suit :

  • Gateway 92.245.140.1 (Alsatis)
  • DNS Primaire : 194.2.0.20 (Oleane)
  • Secondaire : 8.8.8.8 (Google)

REG.I.E.S dispose de l’accès Admin sur le routeur Inteno (non accessible depuis le Net).
Il vous est gracieusement laissé un accès user/user avec mot de passe non changeable. Cet accès vous permet de régler le NAT, le Wifi, de faire du filtrage d’url… et voilà. Il ne vous est par exemple pas possible de configurer sur ce routeur les DNS de votre choix. Si vous laissez quelqu’un se connecter en wifi sur votre réseau, ce dernier peut donc naturellement accéder à la configuration du NAT et du wifi…

Si vous m’avez suivi jusque là, vous vous souvenez donc que je me suis abonné chez Alsatis et peut-être commencez-vous à vous demander à quoi ils servent dans l’histoire vu que le réseau n’est pas le leur et qu’ils ne fournissent pas le routeur permettant de vous connecter au net.

Et c’est là que je n’ai pas encore de réponse à cette question… voici pourquoi.

Alsatis fournit un routeur pour l’option téléphonie à 5 euros par mois. Il s’agit d’un Cisco WRP400 avec un firmware qui baigne dans son jus, daté de 2011 et dont le support a été interrompu en 2013, date du dernier update firmware… qui de toutes façons ne vous sert à rien puisqu’aucune config ni aucun upgrade firmware n’est persistant une fois connecté au net.

ciscofirmwareC’est donc là que ça commence à devenir fun. Je découvre alors que changer le mot de passe du Cisco est là encore mission impossible, tout comme changer le nom du réseau wifi… le routeur ne veut rien entendre, il me force une configuration Alsatis dont je ne veux pas dés que je le relie au Net.

Bref ce routeur, il dégage de mon réseau. J’aimerais au minimum avoir la main sur mon LAN, mais ça ne semble pas possible chez ce FAI avec l’équipement qu’il fournit.
Ce routeur Cisco WRP400 est normalement accessible sur l’ip locale 192.168.15.1.

Vieil automatisme, je me plante justement d’IP locale en voulant le configurer, et je rentre machinalement l’IP 192.168.0.1. Et voici sur quoi je tombe.

Capture du 2015-06-24 14:02:58

Un équipement embarquant une board Mikrotik qui n’a strictement rien à voir ni avec mon routeur optique, ni avec le Cisco fournit par Alsatis. Me demandant un peu ce que cet équipement fout sur mon LAN, je contacte alors le service technique d’Alsatis. Ce dernier me répond qu’il faut que je m’adresse au service commercial. C’est bien connu, quand le service technique sèche sur la nature d’un équipement réseau, rien de tel qu’un commercial pour répondre à vos questions.

Et c’est pas fini

Alsatis, comme tout fournisseur d’accès vous attribue une IP publique de son range. L’attribution des IP peut être fixe ou dynamique, mais la règle quand on est un FAI digne de ce nom, c’est un abonné = une IP publique… mais voilà, chez Alsatis, ton IP publique, et bien c’est pas la tienne. Tout de suite on se dit que ça va vite être le bordel. Je précise qu’à ce jour je n’ai pas encore vu de contrat de la part d’Alsatis, mon inscription s’étant réglée par téléphone. Du coup je me demande pour quel type d’Intranet j’ai pu signer… un début de réponse se trouve ici, dans les CGV, mais c’est tellement elliptique qu’au final, je ne sais toujours pas si j’ai à faire à une offre Internet ou un accès au LAN d’Alsatis, comme à l’époque d’AOL.

4.1– Le Service Internet Haut Débit :
Selon l’offre souscrite, le Client dispose pendant la durée de l’abonnement au Service Internet d’un nombre défini d’adresses emails,
d’un espace abonné et, en outre dans le cas d’une offre professionnelle, d’une adresse IP publique fixe.

J’en déduis donc que l’IP fixe, c’est pour les pros, en toute logique je devrais donc bénéficier d’une IP dynamique, ça ne m’arrange pas mais il y a des services pour gérer ça, comme DynDNS, je pourrais m’en accommoder.

L’IP publique visible qui m’est alors attribuée par Alsatis est 92.245.140.12. Vu qu’avec 100 mégas d’upload la moindre des choses c’est d’avoir un petit serveur à la maison, je me dis que je vais ouvrir deux ou trois ports. Comme j’aime quand même un peu savoir ce que mon routeur, qui marque la frontière entre mon LAN et Internet, laisse entrer et sortir, je lance un petit scan sur ce que je pense alors être mon IP publique. Et voilà que je découvre un serveur http, un accès ssh et un serveur FTP… ce alors que je n’ai à ce moment précis ouvert aucun port et que l’interface du routeur ne présente aucune règle sur l’ouverture de ces ports… conclusion, y’a comme une couille. Il est évidemment impossible d’ouvrir des ports sur mon routeur afin de rendre un serveur joignable depuis l’extérieur. En fait je peux ouvrir tous es ports que je veux, mais cette IP publique ne pointant pas sur mon routeur, il ne faut pas que je compte accéder au moindre service hosté à la maison… En fait je soupçonne Alsatis de “crowder” plusieurs clients sur la même adresse ip publique, bref le truc très bien pour sortir, mais vachement moins bien pour tomber sur son lan quand on lance un SSH sur son IP publique.

Renseignement pris au service technique, réponse épique “le service qui s’occupe des ouvertures des ports” va me recontacter… mouais enfin si “le service qui s’occupe de l’ouverture des ports” me filait tout simplement une ip publique, ça nous épargnerait à tous des maux de tête.

Pour le moment je suis dans l’attente d’Alsatis d’une réponse à mes deux questions :
1° pourquoi j’ai pas d’IP publique à moi (mon opérateur téléphonique n’attribue pas mon numéro de téléphone à plusieurs de ses abonnés et rien ne justifie ici une telle pratique)
2° pourquoi y a t-il un routeur qui ne m’appartient pas sur mon LAN…

Une IP publique qui ne pointe pas chez moi, des routeurs “minitélisés” et un équipement ISP sur mon LAN alors qu’il n’a rien à y faire… c’est un peu space le FTTH vu d’ici.

#Cloud #Quantique : La phrase qu’elle est con du #Trolldi

cloudASPSERVEUR quand à elle (dont je suis le CEO) propose le premier Cloud Quantique au monde, c’est-à-dire que les Machines Virtuelles sont présentes de manière parfaitement synchrone sur deux Datacenters.

Sourcehttp://www.silicon.fr/cloud-france-cloudwatt-numergy-kurt-salmon-82509.html 

N’empêche qu’avec un bon sysadmin inuit, une bonne paire de moufles, des moonboots, et en changeant de support de stockage très régulièrement… c’est pas con.

La #NSA surveillerait #Alcatel, l’un de ses fournisseurs… sans blague ?

obama-big-brotherLe Monde nous a hier gratifié de nouvelles révélations sur les programmes d’interception et de surveillance des services américains. Ces dernières révélations ont fait du bruit, poussant Laurent Fabius à convoquer dans l’urgence l’ambassadeur des Etats-Unis en France, tout particulièrement pour demander à ce dernier de s’expliquer sur l’espionnage dont serait les cibles deux joyaux technologiques français :

  • le franco français Orange, enfin Wanadoo comme on l’appelle encore à la cafet’ de la NSA
  • le franco américain Alcatel, un fournisseur comme on l’appelle au service compta de la NSA

Si l’espionnage de Wanadoo peut sembler “curieux” de prime abord, il faut simplement se remémorer quelques éléments de contexte.

  • Orange est le plus important fournisseur d’accès à Internet de France
  • Orange opère la majorité des infrastructures acheminant des données en France, y compris celles par lesquelles passent les données des autres fournisseurs d’accès, appelons-les “les autres” ou  « les opérateurs pas historiques”.
  • Orange a une présence à l’étranger très, très importante. Si vous voulez intercepter les conversations téléphoniques de pédo-nazis terroristes en Ethiopie par exemple, c’est bien sur le cas d’Orange qu’il faut se pencher puisque c’est ce dernier qui a mis en place les infrastructures de l’opérateur national local.
  • Posez vous une question idiote : combien de députés ou de journalistes ont encore un mail @wanadoo.fr actif ? En fait, ce sont encore 4,5 millions de français qui utilisent une adresse @wanadoo.fr
  • Orange opère aussi d’autres réseaux (x25, système de communication des professionnels de santé etc…) et quelques échanges de techniciens d’une messagerie pseudo sécurisée par une entreprise qui a découvert par accident le chiffrement asymétrique il  y a trois ans (ne riez pas cette anecdote est authentique), croyez le ou non, mais c’est providentiel quand on joue les big brothers.

Aussi pour toutes ces raisons et certainement d’autres comme celles qui lient contractuellement Orange à de gros autres opérateurs mondiaux, c’est une proie plutôt sympa quand on s’appelle la NSA.

Passons maintenant au cas Alcatel. Alcatel Lucent est une entreprise franco américaine et surtout, en 2010, l’un des principaux équipementiers déployant des routeurs de services chez les opérateurs US (auxquels la NSA accède dans le cadre du programme PRISM). Le renforcement des lois exerçant l’emprise des services secrets américains sur les infrastructures des fournisseurs d’accès à Internet aux USA ne leur laisse pas tellement le choix, il faut déployer de puissants systèmes embarquant le nécessaire pour la collecte de données. Et quoi de mieux qu’un bon gros routeur de service pouvant intercepter le contenu des communications (grâce au Deep Packet Inspection) sur des débits relativement importants ?

En 2010, Alcatel, c’est un peu l’arme ultime anti hackers chinois, tout comme une poignée d’entreprises américaines (Narus, Cisco Systems, Juniper…) . Les USA sont alors en pleine cyber gueguerre sur deux fronts distincts : le front chinois avec Aurora, le front iranien avec le déploiement de Stuxnet dont on commence déjà à l’époque à perdre le contrôle.

Alcatel présente un autre avantage quand on veut par exemple écouter Orange et nombre des fournisseurs d’accès avec lequel l’opérateur travaille directement. Alcatel et Orange ne sont d’ailleurs pas non plus étrangers à la technologie xDSL, l’une des plus répandue dans le monde. On ne vas donc pas reprocher aux américains de s’intéresser à une technologie française pouvant avantageusement remplacer leur réseau câblé tout moisi de l’époque.

C’est donc avec une paranoia qui n’est pas exclusivement due à la traque aux barbus jihadistes que la NSA opère ses écoutes. En fait, avec Alcatel, elle opère avant tout un contrôle sur les équipements qu’elle utilise elle-même, à savoir des routeurs de services Alcatel 7750 : 7750_SR_Portfolio_R10_EN_Datasheet (PDF)

7750_largeEn 2010, les plus gros clients d’Alcatel pour cette gamme sont américains et canadiens. Il gèrent déjà du DPI (que l’on appelle alors du H-QoS, pour Hierarchical Quality of Service) à raison de  100 Gb/s par puce… et il y a jusqu’à 4 puces en fonction des configurations sur ces modèles. Déployés au coeur de réseau chez les opérateurs ils permettent aussi bien de facturer des services IP que d’intercepter à la volée des communications IP. Faites une recherche des termes “lawful interception” sur ce PDF : 9301810201_V1_7750 SR OS OAM and Diagnostics Guide 6.1r1.

Alcatel et Orange intéressent donc la NSA, ok c’est un fait. Nous en avons naturellement beaucoup parlé et ceci indigne à juste titre la France, alliée indéfectible des USA. Mais peut-il réellement en être autrement pour ces deux entreprises qui déploient à travers le monde leurs câbles sous-marins, autoroutes de nos échanges numériques, et dorsales d’interception privilégiées de tous les services de renseignements de la planète ?

le-Raymond-Croze
Le Raymond Croze, un navire câblier de la flotte d’Orange Marine

Si la NSA surveille Alcatel, il y a fort à parier qu’elle surveille également des entreprises comme Amesys ou surtout Qosmos, dont on retrouve la technologie chez des équipementiers américains et qui est précurseur dans les technologies d’inspection en profondeur des paquets (DPI).

Et puis posons clairement la question… Qosmos marque un intérêt prononcé pour la détection de protocoles et la reconnaissance de signatures émanant d’applications en ligne d’origine chinoise. A t-elle développé ceci pour ses propres besoins ou a t-elle un client qui a ses grandes oreilles rivées sur la Chine ?

La menace terroriste est très loin d’être la seule chose qui intéresse le monde du renseignement aux USA. On ne peut que regretter de l’apprendre à nos dépends, de manière aussi brutale, ou se consoler en se disant que la France, elle aussi, profite des informations collectées par les services américains qu’elle échange contre ses propres informations.

Mais que Laurent Fabius ne s’inquiète pas, nul besoin de convoquer la diplomatie américaine et nous jeter de la poudre aux yeux, puisque je vous parle ici de matériel grand public et de méthodes d’interception grand public comme il le dit lui même (enfin sous la bienveillante égide d’un nègre de la Direction du Renseignement militaire qui avait déjà fait déblatérer les mêmes âneries à Alain Juppé) quand la France vend un Eagle au Maroc qui ne manquera surement pas d’idées pour en faire un usage en parfaite adéquation avec les valeurs de notre république.

Alors Alcatel ? … Entre nous, ça vous fait quoi d’être vous mêmes les pseudos victimes de vos propres équipements ?

#Cyberdéfense : ceci n’est pas un manifeste, ceci est Internet

cyberpeaceAujourd’hui se tient au Sénat français un colloque sur la cyber défense. L’utilité même d’un tel colloque est inquiétante pour tout Internet et surtout pour les internautes, nous tous, nous Citoyens. Internet est un bien commun trop précieux pour être confié à des politiciens, des militaires, des diplomates, des commerçants, des marchands de “sécurité”… à n’importe quelle caste qui a toujours prouvé qu’elle ne savait agir que pour assurer sa propre survie en brandissant une menace terroriste.

Internet survivra à vos castes,

Internet est par définition auto-immunisé.

Nulle chance pour vous d’y introduire de nouvelles formes de cancers,

Qu’elles se nomment cyber commerce, cyber sécurité, cyber défense, cyber dissuasion, cyber terrorisme, cyber guerre ;

Internet, c’est le cyber échange qui ne peut conduire qu’à la cyber paix… et à la paix tout court.

Vous aurez beau réintroduire vos concepts qui ne conduisent nos états qu’à toutes les formes de guerres que l’homme puisse imaginer, et Dieu sait que les hommes sont imaginatifs pour se trouver des raisons de se faire la guerre….

Vous aurez beau essayer de séparer les peuples en tentant de poser des frontières sur Internet, et Dieu sait que les politiques y ont un intérêt pour tenter de légitimer leur illusion de pouvoir…

Vous n’y arriverez pas.

La cyber répression ou la cyber surveillance… au nom de ce que vous pourrez imaginer comme fumeux cyber concepts, n’est garante que de votre petite mort.

La somme des intelligences qui transitent dans les tuyaux d’Internet, c’ est un raz de marée.

Nager à contre-courant, c’est pour vous le meilleur moyen de mourir rapidement, et douloureusement.

La douleur s’exprimera dans vos concepts obsolètes de “république” ou de “démocratie” qui vous échappent octet après octet transitant sur Internet.

Peu importe comment vous appelez vos concepts politiques, diplomatiques ou militaires, en votant des lois qui restreignent jour après jour les libertés des citoyens, ou en essayant de dresser les peuples les uns contre les autres.

Si les états pouvaient autrefois s’immuniser contre leur propre peuple, sachez qu’aujourd’hui, ce temps est révolu. Le peuple a élu domicile sur Internet. Cet Internet, c’est chez lui. Internet c’est le peuple.

Vous voulez réguler Internet, vous voulez civiliser Internet ?

Alors que vous n’êtes pas même capables de moraliser vos propres castes ?

Vous vous exposez bêtement sur le réseau en y introduisant des systèmes critiques au nom du profit, pour ensuite voler les libertés des citoyens, pour tenter de préserver les intérêts vos cyber boutiques, vos cyber banques, de vos cyber infrastructures critiques… qui par définition n’ont rien à y faire.

Internet est un iceberg qui répond aux mêmes principes que la poussée d’Archimède,

Continuez à essayer de l’enfoncer, et vous le reprendrez en pleine figure.

A force de vouloir surveiller tout le monde, vous n’entendez plus personne.

Entendez Internet, ou Internet tuera vos états.

TMG accueille t-il le nouveau régulateur avec de nouveaux partenariats ?

Office de Minitellisation du Web Français
Office de Minitellisation du Web Français

Ce qu’il y a de bien avec TMG, c’est qu’ils sont tellement doués pour configurer un serveur web qu’on découvre toujours des trucs amusants quand on visite leur site web… Et des trucs moins amusants quand on va se balader sur leurs ranges IP.

Je souhaitais aller regarder si notre PME nantaise préférée allait accueillir avec bienveillance le rapport Lescure qui préconise de confier les prérogatives de l’HADOPI au Conseil supérieur de l’audiovisuel. Si les mesures de Pierre Lescure sont appliquées, qu’adviendra t-il de cette charmante startup chère à notre coeur qui communique pas souvent… et qui ne communique d’ailleurs pas non plus ses bilans.

Capture d’écran 2013-05-13 à 22.29.21

Le site de TMG étant très minimaliste, il m’a un peu laissé sur ma faim. Mais voilà …. il semble que les nouvelles chaînes de la TNT intéressent TMG. Le CSA passe de la télévision à Internet, je n’ose espérer que TMG puisse passer d’Internet à la télévision :

 

#Numéricable : escroquerie à la non restitution de matériel imaginaire (poke @SAV_numericable)

logo_numericableNuméricable ne passera plus par moi. Au saut du lit ce matin, je m’aperçois que Numéricable m’a prélevé 99 euros, comme ça, sans aucune autre forme de notification préalable. Appel à la hotline… 20 bonnes minutes d’attente depuis une ligne mobile.

J’arrive enfin à avoir un interlocuteur… Après le sketch préalable de l’épelage de l’identifiant, j’obtiens enfin une réponse à ma question : mais d’où sortent ces 99 euros facturés début mai pour une ligne dont la résiliation effective est faite au 16 mars ?

“vous avez été facturé de 99 euros pour non restitution de votre modem Netgear”

Ah bon ?! Numéricable m’a prêté un modem Netgear ?!

C’est marrant car vu d’ici :

1° j’ai acheté ce modem à mon abonnement, plus d’une centaine d’euros d’ailleurs, mais évidemment, je n’ai plus accès à mon espace client, tu devrais bien retrouver ma première facture, je compte sur toi.

2° c’était pas un Netgear, mais un  Castlenet CBV734EW ! Ce qui m’avait d’ailleurs choqué car tu m’avais vendu une véritable bouse pour un Netgear.

… et ce  Castlenet CBV734EW, le pire c’est que j’en avais déjà parlé ici.. avec son accès backdooré, ses trous de sécurité et son absence de correctif et ses superbes pages d’admin réalisées en … FRONTPAGE !

Capture d’écran 2013-05-07 à 10.31.31

Je passe allègrement sur le fait que la connexion Numericable n’a jamais correctement fonctionné chez moi et que la base d’historisation des appels du FAI doit s’en souvenir.

Cher, très cher Numéricable. Tu m’as tout simplement escroqué :

  • Service quasi non rendu (j’ai du prendre un autre abonnement)
  • Modem (de merde) acheté, et acheté cher
  • Après 3 ans… ce modem tu me le factures 99 euros pour non restitution en m’affirmant sans trembler des genoux que c’était un Netgear.
  • Ce modem qui a plus de 3 ans maintenant coute 7 euros sortie d’usine… tu en fais une belle culbute en facturant du matériel imaginaire que tu as déjà préalablement vendu à tes clients !

Tu as décidé de te foutre de ma gueule… soit, mais à 99 euros (en plus des 50 euros de frais de résiliation) je compte en avoir pour mon argent. Tout ce que tu m’a pris, je te le rendrai au centuple, tu peux compter sur moi.

— EDIT—

Attention, c’est maintenant que le sketch commence.

@SAV_Numericable s’est manifesté, attention sa réponse vaut son pesant de cacahuètes :

Capture d’écran 2013-05-07 à 11.22.07

Décidément, Numéricable ne fait rien comme tout le monde. Le support technique, c’est en 140 caractères et sur Twitter, en public… dés fois qu’on veuille leur remonter un trou de sécu, c’est vrai que Twitter ça a un côté pratique indéniable.

Pour les questions commerciales en revanche on vous renvoi dans un espace bien privé sur leur site, dés fois que les clients mécontents aient l’outrecuidance d’exprimer leur mécontentement publiquement.

Allez … essayons le “T’Chat” :

Capture d’écran 2013-05-07 à 11.26.25

Oh un bot ! Comme je suis surpris ! Tu me recommande donc ta hotline ou ton formulaire ?  Enfin une forme d’intelligence chez Numericable.

Et bien tant qu’à jouer aux cons, je vais continuer ici sur mon blog, de manière parfaitement publique.

Capture d’écran 2013-05-07 à 11.36.40

—EDIT 2 : L’épilogue —

Nous avons enfin trouvé un terrain d’entente, petites explications, j’ai visiblement ma part de tort :

  • Numéricable ne vend pas de modem, ce modem m’était donc prêté
  • La somme à l’inscription comprenait les frais d’ouverture de ligne (50€), le prorata sur le premier mois et le second mois
  • La facturation de frais de résiliation 50€ a été faite mais je n’ai pas réçu d’avis de restitution du modem, tout simplement parce que j’ai entre temps déménagé
  • Le fait que Numéricable pensait m’avoir attribué un Netgear, ça je n’ai pas trop d’explications.

Toujours est-il que j’irai rendre ce modem en boutique lundi prochain contre remboursement de cette facturation de 99€ pour non restitution.

Corée du Nord : les DNS c’est une chose, mais il y a encore peer

cyber-warfareLa question de la cyber souveraineté est une question importante pour de nombreux pays. Pour la Corée du Nord, on ne peut pas dire que ce soit une préoccupation majeure, et c’est peu de le dire. On pourrait qualifier l’architecture Nord Coréenne d’architecture en entonnoir. L’absence de réseau filaire, très probablement liée à l’absence d’opérateurs privés a conduit la Corée du Nord à des choix singuliers. Au coeur de l’architecture : deux satellites. Mais voilà, ces deux satellites ne sont pas sous contrôle nord coréen.

Nous avons vu dans le dernier article que le petit bout d’Internet Nord Coréen était pour le moins fragile niveau DNS. Mais ceci n’est probablement pas grand chose face au choix de laisser à un opérateur tiers, d’une puissance étrangère, avoir le droit de vie ou de mort sur chaque octet qui rentre ou qui sort du territoire national. Il est très surprenant pour un état réputé si paranoïaque et  qui dit avoir développé son propre système d’exploitation (en tout cas niveau serveurs, ça utilise surtout du CentO), de constater que toute la connectivité est assurée par un opérateur chinois et un opérateur américain :

Capture d’écran 2013-04-14 à 11.12.51

3 des 4 réseaux nord coréens sont routés par China Unicom et un l’est par Intelsat depuis maintenant un mois (source). Et il s’est bien passé quelque chose les 13 et 14 mars dernier. Des indisponibilités globales laissent à penser que le réseau nord coréen a essuyé une importante panne, peut-être même une attaque. On peut s’étonner de voir, à la suite de cet incident, Intelsat router une partie du trafic nord coréen. Peu après, le 20 mars, c’est Séoul qui semblait être la cible d’attaques ciblant les AS de groupes média et de compagnie énergétiques. S’agissait-il d’une attaque menée par la Corée du Nord ? Il est difficile de ce prononcer à ce stade. Les adresses IP des attaquants semblaient venir de Chine, mais Séoul y a vu la main de Pyongyang. Mais quelle est la capacité d’attaque réelle de la Corée du Nord ? En a t-elle seulement une ? Vu le nombre restrein d’IP et l’absence du tuyaux à la disposition de Pyongyang, on imagine qu’elle doit recourir à des services étrangers (du cloud chinois ou russe, des botnets off-shore ?), et via des tunnels chiffrés, si elle veut mener une attaque massive par déni de service sans trop attirer l’attention du monde entier.

Vu la manière dont est routé l’internet nord coréen, on se doute que chaque octet qui entre ou sort de Corée du Nord est attentivement disséqué par les chinois en premier lieu puis par les américains, on imagine donc mal des attaques partir de Corée du Nord, ça serait un peu voyant. On peut décemment penser que le tout petit bout d’internet Nord Coréen est attentivement scruté, et pas par les nord coréens qui concentrent probablement leur surveillance sur le Kwangmyong, lui même non connecté à Internet.

Difficile dans ces conditions de mener une attaque depuis son propre réseau. Si Pyongyang veut mener une attaque, il devra la mener depuis l’extérieur pour ne pas éveiller les soupçons de China Unicom et d’Intelsat. Il n’est alors pas délirant de penser que les coréens mènent des attaques depuis la Chine. Mais à l’heure actuelle, la Corée du Nord nie avoir mener ces attaques sur Corée du Sud en mars dernier. Le scénario le plus noir serait que la Corée du Nord était alors en pleine répétition en perspective d’une intervention militaire appuyée par des attaques informatiques de grande envergure.

L’autre scénario plausible, c’est que le “pupetmaster” de l’attaque essuyée par la Corée du Sud n’a jamais été nord coréen. Cependant cette thèse semble infirmée par les observations de Renesys pour qui les attaques du 20 mars dernier impactaient à la fois la Corée du Sud et la Corée du Nord. Mais là encore difficile à partir de simples mesures réseau d’expliquer avec exactitude ce qu’il s’est passé. La Corée du Nord peut très bien avoir subi une attaque d’un tiers pour ensuite attaquer par rebond la Corée du Sud. Il y a fort à parier aujourd’hui que la Chine et les USA en savent bien plus que ce qui est divulgué au grand public.

Rappelons que les USA s’octroient le droit d’attaquer militairement toute puissance menant des cybers attaques contre ses intérêts. Vu les horreurs constatées hier, si on suit ce raisonnement crétin, n’importe quel taré sur cette planète avec quelques notions de réseau pourrait être en mesure de déclencher une guerre. En espérant que ces quelques informations éveillent votre sens critiques sur les propagandes multiples qui rythment l’escalade de ces derniers jours et conservez un oeil sur ce qu’il va se passer aujourd’hui et demain (date à laquelle on soupçonne la Corée du Nord de vouloir lancer ses missiles).