Bienvenue sur Calife.org
 

A propos ...

Haut de la page ?

Quelques conseils et astuces pour reprendre le dessus sur cet ordinateur. Mot de passe perdu, logiciels espions, etc.

Attention: lisez la documentation de votre système avant toute manipulation. Vous êtes seul responsable en cas de problème. Si vous n'êtes pas un spécialiste informatique, ne vous laissez pas tenter par les manipulations délicates; vous risquez de perdre vos données ou pire, l'accès à votre machine.

Si vous recherchez le programme Calife d'Ollivier Robert, vous n'êtes pas au bon endroit. Allez sur ftp://mutt.frmug.org/pub/calife/ ou ftp://postfix.eu.org/pub/calife/

Pour contacter calife par mail, c'est mailto: emir@calife.org

Autre site du même auteur:

http://www.quesaco.org, quelques notes et astuces sur le développement de site WEB, conseils et autres recommandations, notes sur la stratégie.

http://dijon.divio.org,visitez Dijon, la ville aux cent clochers, capitale de la Bourgogne. Parcourez son histoire. Découvrez ses monuments.


Avertissements ...

Haut de la page ?

Si vous pratiquez une des manipulations décrites ici sur une machine dont les données ne vous appartiennent pas, sans l'autorisation de son possesseur, lisez donc l' article 323-1, loi n° 93-913 du 13 juillet 1993 sur le délit d'accès frauduleux. C'est un direct pour la prison sans toucher la prime, suivi d'un vrai retour à la case départ.

Un peu comme une galère.

En quelque sorte.


Liens ...

Haut de la page ?

Il y a peu de liens sur d'autres sites Internet ici. Ils sont maintenant trop nombreux et il est devenu difficile de maintenir correctement une telle liste. Acceptez mes excuses.
Je vous conseille plutôt l'emploi d'un bon moteur de recherche.

La plupart des opérateurs IP, les entreprises qui vous permettent cette splendide connexion à Internet, offrent déjà quelques textes et conseils à propos de la sécurité de cette connexion. On n'y apprendra pas comment protéger son document ou son lieu de travail, mais c'est déjà un début.

Pour la recherche de bugs ou autres failles, mon site préféré est http://www.securityfocus.org/. Il en existe d'autres très intéressants, une liste est disponible à ce propos sur http://www.quesaco.org/.


Votre machine apparaît comment sur Internet ? ...

Haut de la page ?

Que peut-on donc savoir sur votre machine en analysant simplement ce qu'elle renvoie lors d'une connexion sur ce site.

Sauf erreur...

L'adresse IP de votre machine est 18.205.96.39
La signature de votre navigateur est CCBot/2.0 (https://commoncrawl.org/faq/) ,    mais il semble difficile de l'identifier (trop faible popularité ou produit encore peu connu).

Vous n'utilisez pas de proxy.

Passer Grand Maître d'Unix et Protecteur de sa station ...

Haut de la page ?

Démarrez en single sur un système Unix, ca veut dire se retrouver en mode mono-utilisateur, administrateur, sans avoir besoin du mot de passe root. En général, on a accès à tous les fichiers de sa machine.

Svp, lire Avertissements avant ce texte.

BSD un boot -s au démarrage permet de passer en mode single.

MacOSX certains mac permettent de démarrer en single: redémarrez en pressant alt + pomme + s. Patientez...
Ajouter shift pour le suivi de boot.
Dans la série: alt + pomme + S ou pomme + v vous permet de suivre le démarrage pas à pas.

Les autres unix bien souvent offrent le -s au boot pour démarrer en single. Parfois précédé de la commande boot. Lisez donc la documentation du système installé..

Même en single, vous n'avez pas l'accès root ? Mais vous avez gardé une copie d'amorce sur une disquette ou un CD-ROM. Alors redémarrez avec. Sinon, démontez votre disque dur et montez-le sur un système Linux ou BSD. Avec un peu de chance, vos devriez pouvoir éditer le fichier /etc/passwd (ou master, shadow, etc...) et supprimer le mot de passe de votre compte root.
Ou encore plus simple, dégotez sur Internet la disquette de boot Linux avec les utilitaires nécessaires. Relancez la machine avec cette disquette et modifiez le mot de passe administrateur.

Si votre système unix utilise une autre base d'authentification, il faudra modifier cette base également. Probablement, la supprimer et la recréer par export du fichier passwd. Cherchez dans votre système, en général plusieurs commandes permettant cette manipulation sont disponibles.

En mode single, sous unix, on peut modifier certains fichiers, mais il faut donner accès au disque en écriture. Bien souvent, la commande mount accompagnée de l'option -w sur le point de montage le permet.
Lisez la documentation de mount avant son utilisation et soyez prudent. Un mauvais montage ou une quelconque erreur de manipulation ici.

On peut très bien protéger au maximum le noyau unix en le recompilant après avoir choisi les bonnes options. Soit en empêchant le login "root", soit en cryptant le système de fichiers.

Option à choisir avec prudence. La première n'empêche pas de "monter" votre disque sur un autre OS compatible afin d'y retrouver vos données perdues. La seconde est très "gourmande" en temps CPU. D'autres solutions plus souples permettent une maintenance correcte. A vous de voir !

C'est le mode secure pour la console, dans fichier /etc/ttys du système Unix, qui permet d'entrer en mode administrateur sans mot de passe lors d'un démarrage en single...

...Pour empêcher de passer root en single sans mot de passe, remplacez dans ce fichier /etc/ttys, à la ligne de la console, l'option secure par insecure. Attention: relisez la documentation avant de mettre en place cette sécurité. Et n'oubliez pas de construire une disquette - ou un CD - d'amorce de secours.


Dominer sa machine à la force du clavier ...

Haut de la page ?

Il n'est pas bien difficile de "rentrer" dans un macOS ancienne génération, ou un Windows 9x. Il existe bien des solutions efficaces pour protéger ces environnements, mais trop complexes à maintenir elles sont souvent délaissées.

Svp, lire Avertissements avant ce texte.

En démarrant son MacOS9, pressez shift + alt + pomme pour démarrer sans les extensions. Parfois il faudra user de la touche ctrl en complément.

MacOS9 n'a jamais prétendu être sécurisé. Si vous avez des données sensibles, ne les placez pas sur cet OS, ou cryptez-les.

On peut également démarrer l'engin à partir du CD-ROM idoine ou un autre disque dur. Ensuite, bien souvent, il suffit de fouiner dans le dossier Préférences pour retirer le fichier qui assure la protection de la machine.

Sur Win95/98, une pression sur la touche esc lors de la demande de mot de passe (login) accède au système. Ce qui est surprenant, c'est que de nombreuses personnes l'ignorent encore.

Vous n'avez plus accès au panneau de configuration sous XP ? Vous pouvez y accéder par le DOS, avec des commandes comme control, control admintools. D'autres commandes permettent également d'accéder aux consoles, comme dfrg.msc pour défragmenter un disque ou services.msc pour l'accès aux services. Il existe de nombreuses autres commandes que lon trouvera plus ou moins bien documentées sur le Net. A vos moteurs de recherche de vous en dire plus !


La Faille dans l'oeil de son voisin ...

Haut de la page ?

On parle souvent dans la presse de faille de sécurité sur les sites commerciaux. Mais prenons-nous nous même les mesures basiques nécessaires à la protection de notre vie privée ? Pas si sûr...

Votre fichier confidentiel est sur votre disque dur et vous trouvez l'astuce de lui donner un nom anodin pour éviter qu'un visiteur le retrouve facilement ! Malheureux. Le premier indexeur de contenu venu, bien souvent installé avec votre système, permet à ce visiteur de retrouver votre secret en quelques mots clés.

Si un fichier contient des données réellement confidentielles, le conseil est de ne pas le laisser sur le disque dur. Conservez-le sur une disquette ou imprimez-le et rangez cette disquette ou votre document imprimé au coffre.

Votre travail est sur votre ordinateur et vous décidez de le recopier sur disquette pour le ranger. C'est une bonne chose.
Ensuite, vous le supprimez de votre disque dur. C'est encore une bonne chose. Un peu de rangement, ca ne fait pas de mal.
Mais si vous voulez vous assurer qu'on ne puisse pas retrouver ce fichier par un quelconque outil de maintenance de disque, il faut - après avoir vidé la corbeille, celle de votre ordinateur - utiliser un défragmenteur. Cet outil nettoie complètement votre disque dur, range les secteurs proprement et rend votre secret définitivement inviolable. Sauf si vous laissez traîner la disquette ou si votre disque tombe dans les mains d'un expert hautement qualifié possédant un matériel très perfectionné. Pour ce dernier cas, je ne sais si c'est une légende, mais avec les progrès de la physique...

Vous revendez votre ordinateur ? N'hésitez pas à reformater le disque dur et - si besoin - à réinstaller un système propre.

Vous êtes patron d'entreprise et vous autorisez un salarié à emporter sur son portable des données capitales. Vous ne craignez rien. De toute façon, il a été sensibilisé à la sécurité lors de sa dernière formation à Mot97.
Ca remonte à quand déjà ?

De plus en plus de salariés ont maintenant un ordinateur à domicile. Quoi de plus simple que d'envoyer par e-mail son travail à terminer le week-end ?
D'un simple click, le fichier part sur Internet. En cas d'erreur de destinataire, impossible de le rattraper.

Et ces fameux fichiers sensibles qui se retrouvent chez le particulier, sur un PC qui ne profite pas du tout de l'éventuelle protection de données mise en place dans l'entreprise.
Attention au virus et au cambriolage !


Pirates en OS troubles ...

Haut de la page ?

Paz de confuZion. Il y a les crackers, les hackers, les pirates, etc. Ils sont de toutes origines, de toutes nations et de toutes cultures.

Plus ou moins jeunes, plus ou moins expérimentés, plus ou moins passionnés du code, de l'informatique ou de la nuisance. Et il y a les professionnels, ceux payés pour un piratage industriel ou politique. En gros, il y a beaucoup de monde sur le créneau et à priori il n'y a aucune raison que la race s'éteigne, bien au contraire. Il faut rester vigilant.

La grande majorité des pirates s'ignore. Leur création est issue du redoutable copier-coller, d'un macrovirus trouvé par hasard sur Internet ou reçue par e-mail, à laquelle on change quelques mots avant de jouer à "passe à ton voisin". Ca va du déploiement de virus à l'utilisation de logiciels douteux, le tout sans maîtrise.

Les pirates passionnés sont souvent des occasionnels. Bien souvent, ils n'ont rien d'autre à gagner que la reconnaissance de leurs proches, physiques ou virtuels. Ils prennent de gros risques et se font parfois "attraper". Dans ce dernier cas, quelques années dans un meublé aux frais de l'état leur permettent d'éditer leur bibliographie.
Se protéger des passionnés demande un effort de concentration et du temps libre. Leur présence est parfois nuisible et leur méfait un véritable problème d'éducation. Ils ne réalisent généralement pas qu'ils risquent la prison, ne plus voir leurs proches pendant un certain temps, une forte amende et un dossier pénal qui les suivra toute leur vie.

Les pirates professionnels sont inconnus. Si vous rencontrez quelqu'un qui prétend gagner sa vie en fabriquant et diffusant des virus ou en piratant des sites distants, c'est soit un imbécile, soit un menteur.
Se protéger efficacement des actes de piratage d'un professionnel est quasiment impossible. Les moyens employés par ces derniers sont disproportionnés face à votre bourse. Il faut bien se dire que si quelqu'un s'est mis dans la tête de pirater votre vie privée ou professionnelle, si son budget est illimité, il y arrivera.
Cela dit, c'est une espèce rare qui ne s'intéresse généralement qu'aux entreprises critiques ou aux gouvernements importants. Si ce n'est pas votre cas, dormez tranquille, ils ont d'autres chats à fouetter.
Enfin, espérons-le !


Poubelle que moi ...

Haut de la page ?

Je les avais oubliées celles-là ! Il n'y pas que les poubelles du bureau. Electroniques, elles sont faciles à vider. Il y a aussi la poubelle physique. La vraie, dans laquelle on jette les douze exemplaires de son courrier confidentiel et la liste des mots de passe du mois dernier. Et ça finit où tout ça ?

Les facturettes de carte bleue, le duplicata donné au restaurant, sont jetées innocemment. Il existe un véritable réseau de bandits qui ramassent et fouillent les poubelles, en trient les déchets et retrouvent ce type de documents pour détourner de coquettes sommes. A votre avis, ça prendrait combien de temps pour fouiller votre poubelle et en ressortir des informations plus ou moins confidentielles ?

Il est bien sûr possible de déchiqueter sa feuille de papier avant de la jeter. Il y a même des poubelles offrant ce genre de fonctionnalité. Evitez celles à bandelettes qui ne proposent finalement qu'un puzzle peu complexe à reconstituer pour un amateur passionné.


Passoire Chérie ...

Haut de la page ?

Les premiers trous de sécurité sont la poubelle jamais vidée, le cache de réception de fichiers accessibles d'un click, l'historique de vos connexions, etc. Mais il y a aussi les invisibles, les bugs, volontairement ou non programmés.

Les bugs. Ces petites bêtes que nous traquons à longueur de journée. Certains programmes ne sont pas très fiables de ce côté. Ca commence par le dysfonctionnement du produit et ca peut aller jusqu'à la modification des droits d'accès sur votre ordinateur.

Il y a aussi les jeux cachés dans votre traitement de texte ou votre tableur préféré. Que pensez-vous de cette démarche ? Approuvez-vous ce type de fonctionnalités sur ce produit que vous avez payé ? Croyez-vous que le responsable Qualité de ce produit est une personne sérieuse ? Avez-vous confiance en ses développeurs ? Et en son éditeur ? N'y a t'il pas d'autres fonctions dissimulées tout aussi surprenantes ?

Les éditeurs de logiciels diffusent plus ou moins bien leurs informations "sécurité" sur leur site. Mais il faut bien avouer que les trous de sécurité sont généralement découverts par la communauté des utilisateurs et autres experts. Ne prenez pas à la lettre les avertissements de ces éditeurs. Bien souvent, un correctif à appliquer de toute urgence cache un autre trou de sécurité. Si vous en avez assez de passer votre temps à appliquer ces merveilleux correctifs, n'est-ce pas le bon moment de vous poser la question fondamentale sur la réelle utilité du produit et pourquoi pas, de son éventuel remplacement ?


Ho Sésame ...

Haut de la page ?

Des règles de sécurité complexes peuvent être mises en place pour vous ou votre entreprise. Mais ne tombez pas dans la paranoïa. A trop faire de sécurité, on lasse l'utilisateur qui prend l'administrateur informatique pour un empêcheur de travailler en rond.

La majorité des mots de passe sont choisis par l'utilisateur dans son propre dictionnaire. Prénom, date de naissance. Et bien souvent, c'est ce même mot de passe qui protège l'accès à sa machine et à sa messagerie. Est-ce bien raisonnable ?

 Login et mot de passe trop simple ?  

Un minimum de sérieux ne vous fera pas choisir un login + mot de passe à la portée de tous.

 Un mot de passe solide ?

Ne définissez pas des mots de passe trop compliqués, ça ne sert à rien. Difficiles à retenir, ils finissent leur vie sur un post-it, au bord de l'écran de l'utilisateur, à côté des cinq autres mots de passe transmis ces six derniers mois.

Le SSO est la seule solution pour sécuriser les accès en entreprise. Un seul mot de passe quelque soit l'application ou le droit d'accès. Le SSO conviendra à l'administrateur système, le support technique, ainsi qu'à l'utilisateur. Votre patron lui-même verra les coûts de maintenance informatique fortement diminués.

Le SSO ne s'applique pas à tout. L'administrateur système n'en profitera guère. Dommage pour lui, il a signé.
Mais il peut garder espoir: des solutions de SSO/PKI, accompagnées de la carte à puce magique lui allégeront agréablement sa charge de travail.

Certains logiciels proposent de protéger un document par un mot de passe. Si vous croyez en leur efficacité, vous allez être déçu.

Commencez donc par utiliser un bon moteur de recherche sur Internet (Google par exemple), et tapez les mots magiques "lost password". Vous finirez vite par découvrir ces programmes étonnants, parfois gratuits, qui permettent de retrouver plus ou moins rapidement vos secrètes données.


MyWeb ...

Haut de la page ?

On a accès à votre site via un navigateur. Ca semble d'une grande simplicité. Mais on oublie souvent qu'un serveur WEB est, en simplifiant, un serveur de fichiers, avec sa véritable hiérarchie composée de dossiers et de fichiers texte ou image. Un peu comme son propre disque dur.

Bien sûr on peut protéger ses scripts mal écrits, contenant parfois des logins et des mots de passe, ou autres références à des services distants plus ou moins privés. Mais avant de les laisser sur votre site WEB, testez l'efficacité de votre hébergeur.

En PHP, il est pratique d'inclure des scripts à la volée dans vos pages PHP. Ces scripts, par coutume, portent souvent le suffixe .inc. Si c'est la cas pour votre site, et que ces fichiers .inc contiennent des données sensibles, préparez-vous à passer votre prochain week-end à renommer tous ces .inc en .inc.php ou quelque chose du genre. Pourquoi ? Parce que si à ce jour, vos fichiers .inc n'apparaissent pas sur le premier navigateur venu, c'est que l'administrateur système a fait le nécessaire dans les fichiers de configuration du serveur. Si votre site "déménage" sur une autre machine, comment avoir l'assurance que ces mêmes paramètres de sécurité sont mis en place ?

Les répertoires vides et les fichiers de tests sont les premières cibles des curieux. Entrez un URL sur un dossier gif, test, tmp ou autre nom d'un de vos dossiers. La plupart du temps, cela affichera le contenu de votre dossier, présentant à tous la liste des fichiers qu'il contient. Est-ce vraiment ce que vous voulez ?


Bios ...

Haut de la page ?

Votre ordinateur est protégé des intrusions ? Vous en êtes sûr ? Voyons, voyons. Regardons de plus près...

Lorsqu'il démarre, ne propose t'il pas brièvement de passer en mode config ? Si ce n'est pas le cas, au démarrage du PC, essayez donc de presser la touche F2 ou F8, F10, ou suppr. La plupart du temps, votre PC affichera de très jolis menus dont l'aspect graphique vous surprendra. Promenez-vous dans ces menus, on peut tout y faire ou presque. Définir l'ordre de reconnaissance des périphériques, activer le réveil à distance via la carte modem ou la carte réseau. Etc. Voyez vous ce que je veux dire ?

Certaines cartes-mères PC permettent d'empêcher le démarrage du système sur disquette ou CD-ROM. C'est une bonne chose... si vous vous en servez.

Pour les macintosh récents, on peut démarrer en mode firmware (sorte de couche système trés basse). Ce mode offre de nombreuses commandes mal documentées. Certaines commandes permettent de forcer le démarrage du système sur un périphérique précis.

On trouve maintenant dans de nombreux magazines à moins de 5 euros, au kiosque du coin de la rue, un CD-ROM dit "bootable" qui installera un système dit "libre" sur votre machine, le tout sans détruire vos données. Imaginez ce que ca peut donner dans une entreprise, où un utilisateur peu scrupuleux s'installe son propre OS, puis prépare une disquette Etherboot pour faire démarrer un autre PC sans alerter l'administration réseau. N'oublions pas également qu'un bon unix, et Linux ou BSD en font partie, peut accéder à un disque dur PC classique et donc à tous les fichiers présents sur la machine cible.
Ce genre de cauchemar demandera moins d'une heure de préparation à un expert.


Mèl ...

Haut de la page ?

Le secret du courrier électronique est garanti... par rien. Je ne parle même par des gadgets radio capables à distance de détecter ce que vous êtes en train de rédiger, en temps réel, mais bel et bien de votre prose destinée à l'être cher ou à un partenaire important, le tout envoyé par ce formidable outil qui a peu à peu remplacé le traitement de texte classique et qui vous permet d'envoyer votre missive par la voie électronique la plus utilisée au monde: l'e-mail.

A commencer par cet outil d'envoi de mél (qui s'écrit aussi mail, ou plus précisément e-mail). Vérifiez les dossiers Eléments envoyés, ou pire Eléments supprimés. Ne contiennent-ils pas des courriers confidentiels ?

Il y a aussi le fichier "cache", sorte de fichier temporaire qui n'apparaît pas toujours automatiquement, mais plutôt par erreur, ou par magie, suivant de quel côté on se trouve. Ce fichier cache sert à l'application pour la gestion des différentes versions de votre document. Certains applications sont très généreuses en fichiers de ce type. C'est pratique en cas de "plantage" de votre machine, pour retrouver plus facilement le fichier en cours d'édition.

Ceci est valable pour de nombreux outils, aussi bien pour les libres et gratuits que pour les propriétaires, et surtout pour ceux livrés sans leurs fichiers sources, les boîtes noires. Pour les boîtes noires, retrouver leur fichier de cache ou temporaire relève parfois du défit. Une astuce comme une autre : avancez la date de l'ordinateur, lancez votre outil de mail, rédigez un mail et envoyez-le. Quittez l'outil et cherchez dans la bête tous les fichiers modifiés le jour même. Détail: faites afficher les fichiers cachés.

Lorsque vous cliquez sur le bouton Envoyer, votre courrier n'arrive pas directement dans la boîte au lettres de votre correspondant. Il passe par les nombreux maillons d'une chaîne qui s'appelle Internet. Ces maillons sont des serveurs de mails, ou des relais de mails. Dans bien des cas, votre courrier y est empilé dans un répertoire d'attente, le spool, avant d'êre renvoyé à un autre serveur ou relais, jusqu'à atteindre le serveur de destination.
Sur ce serveur, votre mail est accessible à un intervenant peu scrupuleux. Il peut le lire, en déformer vos propos, le rediriger vers une autre personne, etc. C'est rarement le cas, mais c'est techniquement possible. Et ce n'est pas forcément dû à un acte malveillant. Cela peut trés bien arriver sur un serveur techniquement défaillant qui perd les pédales et renvoie votre missive à des destinataires inconnus.
J'ai rencontré ce cauchemar sur un serveur commercial hautement réputé. Ce jour là, vos correspondants paniquent, courent affolés dans les escaliers en poussant de petits cris de terreur sous l'oeil inquiet de l'administrateur de la messagerie qui consulte frénétiquement les offres d'emplois.
Bon courage !
Et n'oubliez pas : si l'utilisateur ne vous remercie jamais pour un service qui fonctionne parfaitement, le jour où ce service rencontre une défaillance, vous mettrez des années à la lui faire oublier.
Monde cruel !

Faire afficher les fichiers cachés ? Comment ?
Fort simple : sous Windows, c'est dans le menu Outils, puis Options des dossiers, onglet affichage. Pour Mac OSX, ouvrez le terminal, et tapez "ls -l" pour lister le contenu du répertoire courant. Faites attention, la localisation (la francisation) des environnements informatiques laisse parfois des cicatrices déroutantes.

Les passerelles de messagerie antivirus et autres filtreurs de contenus ont aussi leurs défaillances. La principale étant qu'en général, ces produits ont été conçus dans des pays ou le respect de la propriété intellectuelle et de la vie privée n'ont pas la même valeur que dans le pays où ils sont employés.

Autre détail: souvent, l'interface d'administration de ces passerelles présente les longues listes de mails en attente, en souffrance, etc. Cette liste affiche l'émetteur, mais aussi le titre du message. On pourrait penser qu'il s'agit parfois d'un message confidentiel et que le titre fait partie du message.
Visiblement, la communauté n'a pas encore réagi.

Bien souvent, la boîte Eléments supprimés de votre interface de messagerie ne se vide pas automatiquement de ces courriers que vous ne désirez plus voir. Si vous vous absentez de votre poste de travail quelques instants, sans avoir vidé cette boîte aux lettres, n'importe qui, d'un seul clic, peut afficher la liste des messages que vous croyez supprimés. Pourquoi un tel nom employant le mot "supprimé" pour quelque chose qui ne l'est pas ? Allez donc le demander à l'ingénieur qui l'a conçu. Moi, ça me dépasse.

Attention à certaines passerelles de messagerie qui sont capables, ou se disent capables de déchiffrer à la volée des mails encryptés. C'est malheureusement vrai. Malheureusement, car cela sous-entend que les systèmes de cryptage employés sont tout simplement peu protecteurs de vos secrets.