Encore du nettoyage de PC

Rédigé par uTux - - 12 commentaires

L'histoire

On m'a confié un PC portable qui est lent et qui "affiche des publicités partout sur le web". Rien d'anormal jusque là vu que le web est pourri par la publicité, sauf qu'il y en a même sur Linuxfr et pour le coup c'est plutôt inquiétant. Des bannières, des onglets qui s'ouvrent, des pages qui me proposent de "nettoyer le registre pour accélérer mon PC", bref de la mauvaise herbe. Le PC est un SONY VAIO et est rempli de crapware/bloatwares préinstallés par le constructeur. Des logiciels bidons, des surcouches à l'interface graphique, des bidules de cloud etc etc. La machine rame et ventile alors qu'elle ne fait rien, le démarrage est long alors qu'en mode sans échec tout va vite.

Je commence par vérifier les extensions Firefox/Chrome/IE, mais rien d'anormal. Je supprime le profil Firefox et le recréé, mais le problème persiste, des pubs s'ouvrent toujours. Je passe un coup de malwarebytes, fait du tri dans le planificateur de tâches et le msconfig, vérifie le fichier hosts, les DNS, mais le problème persiste. Reboot en mode sans échec, scan malwarebytes / eset nod32 online scanner / Spybot. Entre 500-700 menaces détectées à chaque fois et supprimées mais les publicités reviennent quand même.

Je créé un nouveau compte utilisateur pour tester et reboote en mode normal. Pendant quelques minutes tout fonctionne bien mais les pub apparaissent à nouveau. Ces adware sont coriaces, j'ai épuisé tous mes recours et la prochaine étape est le formatage. Je démarre sur un LiveUSB de Fedora et copie les données sur un disque dur USB (je ne voulais pas le faire depuis Windows pour ne pas copier les adware/virus dessus).

Après avoir réinstallé Windows puis les pilotes essentiels ça va tout de suite beaucoup mieux car l'OS peut enfin s’atteler à d'autres tâches que faire tourner les crapwares de SONY VAIO. Les publicités qui altèrent les pages web ont enfin été éradiquées.

L'analyse

Ces crapwares / adwares sont coriaces. On ne peut pas toujours les désinstaller proprement, et ils s'enracinent de plus en plus profondément (par exemple avec les tâches planifiées). Les sociétés crapuleuses qui les développent surfent entre la légalité et l'illégalité. En effet contrairement aux virus qui s'installent discrètement sans consentement de l'utilisateur, un adware obtient toujours l'accord de ce dernier. Il est fourni comme "sponsor" pré coché lors de l'installation d'un autre logiciel, et en laissant la case cochée l'utilisateur accepte les conditions d'utilisation et installe le nuisible. Comme les gens ne lisent pas ou ne savent pas, ils valident.

Par conséquent l'ordinateur est inutilisable alors que matériellement il est excellent. On comprend le malaise qui existe dans l'informatique grand public car ce nettoyage m'a pris du temps : environ 8h réparties sur plusieurs soirées, qu'un réparateur professionnel aurait facturé au prix fort (à juste titre, c'est son métier). La plupart des gens vont alors supporter la lenteur, les publicités, alimentant par ailleurs le cliché "ordinateur = de la merde lente" et finiront par en acheter un nouveau qui aura exactement les mêmes tares.

A quand des antivirus qui bloquent les adwares ? Par exemple la barre Ask.com => poubelle. En 2016 j'affirme que les adwares sont devenus plus problématiques que les virus, et qu'à part le bon sens et l'expérience il n'y a pas vraiment de moyens pour s'en protéger.

Tox : bien mais pas encore prêt

Rédigé par uTux - - 7 commentaires

tox, pour faire simple, est une alternative à Skype qui se concentre sur le chiffrement et la décentralisation. C'est tellement décentralisé qu'il n'y a pas de serveur ni de comptes, chaque utilisateur se voit attribuer un ID unique auto-généré et trouve ses amis via DHT comme bittorrent. Il existe plusieurs clients : µtox, qtox, toxic...

Le bon : le client qtox est joli, contrairement aux clients jabber qui nous rappellent toujours l'époque IRC. La possibilité de faire des captures d'écran, des les envoyer, et d'avoir une miniature des images dans la conversation est intéressante. L'absence de serveur résout le problème récurrent des serveurs Jabber public, c'est à dire l'instabilité. Ça marche plutôt bien.

Image tirée du projet sur github.

Le mauvais : les ID utilisateur sont assez indigestes, le copier-coller est donc obligatoire. L'intégration du client qtox n'est pas parfaite, ainsi selon le desktop l'icône systray est plus ou moins visible, voir carrément absente. Gros problème avec les notifications de messages qui passent souvent inaperçues : je rate souvent des messages que l'on m'envoie et mes contacts aussi ("ah mince, tu m'as écrit il y a 15 minutes mais je n'avais pas vu"). Les appels vidéo/audio ne fonctionnent pas à tous les coups (écran noir puis webcam bloquée). Mais le problème le plus bloquant c'est la liste de contacts non synchronisée. Si vous vous connectez à votre compte depuis un autre poste, la liste de contacts sera vide. Dans mon cas j'ai contourné le problème en synchronisant le dossier ~/.config/tox sur seafile.

EDIT : sur les versions plus récentes de qtox, la visibilité des notifications a été améliorée.

Tox pose les bonnes questions et tente d'y apporter une solution. Malheureusement il y a beaucoup de problèmes qui le rendent peu utilisable même pour les geeks. Attendons de voir s'ils seront résolus ou si la conception (absence de serveur par exemple) fait qu'il n'y aura jamais de solution.

Free + bridge + IPv6

Rédigé par uTux - - 11 commentaires

Comme je l'ai dit dans mon article sur la fibre Free, la Freebox n'est vraiment pas terrible, j'ai donc rapidement acheté un routeur pour la remplacer. J'ai pris un Asus RT-AC66U, modèle relativement satisfaisant qui supporte le Wi-Fi 5GHz mais aussi plusieurs firmwares alternatifs (actuellement Merlin).

J'ai beaucoup hésité à écrire cet article sachant qu'il serait indigeste, mais il constitue un bon exercice pour IPv6 et peut aider ceux qui ont leur Freebox en bridge.

Principe

En IPv4 le principe est simple : on configure la Freebox en bridge ce qui permet au routeur de récupérer directement l'IP publique. A lui ensuite de faire le NAT pour donner l'accès à internet aux machines du réseau. Mais en IPv6, comment fait-on ?

Tout d'abord la stack IPv4 ne change pas, on va configurer notre IPv6 à côté sans incidence. On n'utilise pas de "NATv6" mais du bon vieux routage à l'ancienne, avec de la délégation de préfixe, bref un vrai réseau tout propre. En fait, chaque machine du réseau aura une "IPv6 publique" (cette affirmation est un pléonasme). On va avoir besoin de :

  • 1 sous-réseau IPv6 en /64 pour la partie WAN, avec 2 adresses (Freebox et Routeur côté WAN)
  • 1 sous-réseau IPv6 en /64 pour la partie LAN, avec 1 adresse (Routeur côté LAN)

Voici ce que cela donne avec un schéma et des adresses bidon :

Mise en place

La première chose à faire consiste à se rendre dans l'interface de configuration de la freebox grâce à l'adresse mafreebox.free.fr qui fonctionne même si vous êtes en bridge.

Puis rendez-vous dans : Paramètres de la Freebox, onglet Mode avancé, Configuration IPv6.

  1. A cocher, bien évidemment.
  2. Adresse IPv6 de lien local de la Freebox.
  3. Le premier préfixe qu'on va déléguer au routeur (pour le WAN). Notez qu'il se termine par 5430.
  4. Mettre l'adresse IPv6 de lien local de l'interface WAN du routeur (à récupérer par exemple avec ip addr ou ifconfig en SSH sur le routeur).
  5. Le second préfixe qu'on va aussi déléguer au routeur (pour le LAN cette fois). Il se termine par 5431.
  6. Mettre l'adresse IPv6 de lien local de l'interface WAN du routeur - la même que pour le point 4.
  7. Encore un préfixe, mais on ne va pas l'utiliser, on a tout ce qu'il nous faut !

Maintenant, on passe à la configuration du routeur. Voici pour l'Asus RT-AC66U :

  1. Type de connexion, ici c'est du statique.
  2. Le WAN du routeur (premier préfixe 5430 suivi de ::2).
  3. 64.
  4. Le WAN freebox (premier préfixe 5430 suivi de ::1).
  5. Le LAN du routeur (second préfixe 5431 suivi de ::1).
  6. 64.
  7. Pour info.
  8. Type d'advertisement sur votre LAN. Le stateless laisse les machines s'auto-configurer. Stateful est du DHCPv6. Il vaut mieux sélectionner stateless.

Comment tester

Conclusion

La Freebox n'a pas une seule IPv6, ni même un seul réseau IPv6, elle en a plusieurs. Et dans notre cas elle en délègue deux à notre routeur. Les avantages ? Possibilité de gérer vous-même le pare-feu (la Freebox n'en a pas) et aussi de modifier plusieurs éléments (comme les DNS diffusés).

Récit d'une nuit au datacenter

Rédigé par uTux - - 4 commentaires

Mon blog a pour sous-titre "le sysadmin qui raconte des histoires". Voici donc le récit d'une nuit passée au datacenter pour remettre en fonctionnement nos serveurs suite à une coupure électrique.

Dans la nuit du 30 Juin au 1er Juillet 2015 un important incident électrique a eu lieu dans l'Ouest de la France, impactant de nombreuses villes en Bretagne et dans les Pays de Loire. J'étais d'astreinte cette nuit là et je ne parvenais pas à dormir en raison de la chaleur (38°c en fin de soirée).

0h00. Je constate que plusieurs de nos serveurs ne répondent pas : absence de ping et pas d'accès IPMI / iDRAC donc impossible de faire quoi que ce soit à distance. Je dois donc me rendre en urgence au datacenter.

01h00. Arrivé sur place je croise d'autres techniciens venus eux aussi réparer leurs serveurs. J'entre mais n'ayant pas le code pour ouvrir la baie je suis obligé d’appeler mon collègue. Celui ci me le fourni et me propose de venir me filer un coup de main : vu la situation j'accepte. Une fois la baie ouverte je fais un contrôle visuel des voyants, tout est au vert, la raison de la panne est donc plus profonde. En branchant un PC sur le switch de la baie je fais un premier diag et je constate que les machines virtuelles sont toutes en carafe ainsi que deux serveurs physiques. Je note aussi que les quelques équipements fonctionnels ont un uptime d'à peine une heure, il y a donc eu un redémarrage général (non prévu).

01h30. J'ai trouvé la cause du non démarrage des VMs : le datastore iSCSI est offline. Heureusement je parviens à le remonter rapidement : le daemon iscsi-target était arrêté sur le SAN. Après l'avoir lancé je remonte les VMs, tout passe sauf quelques vieux serveurs Windows qui affichent des BSOD. Je charge une iso win2k3 puis tente des chkdsk mais rien à faire. Mon collègue est arrivé et a emmené de quoi tenir : des gâteaux et de l'eau. Nous attaquons donc ensemble le diagnostic de ces VMs Windows qui ne veulent pas démarrer et comprenons qu'il faut les mettre sur même serveur Xen qu'avant leur exctinction. En effet notre infra Xen est composée de 3 serveurs reliés à un datastore et les VMs peuvent démarrer dessus au choix. Cela ne pose pas de problèmes pour Linux, en revanche un vieux Windows n'aime pas. Nous faisons donc plusieurs essais jusqu'à trouver le serveur qui leur convient, nous paramétrons ensuite Xen pour que ces VMs précisent ne puisse démarrer que sur celui-là.

03h00. Les machines virtuelles sont maintenant fonctionnelles mais pas certains serveurs physiques, nous cherchons donc la raison. En fait un switch réseau a perdu partiellement sa configuration, probablement parce qu'elle n'a pas été sauvegardée dans la flash. En effet si vous avez fait du Cisco vous savez probablement qu'il y a plusieurs niveaux de sauvegarde de la configuration : le running-config (effacé au redémarrage) et le startup-config (permanent). Après avoir réaffecté les VLANs aux bons ports, les serveurs physiques repassent enfin en UP, sauf un.

03h30. Sur ce serveur réticent nous branchons un écran + clavier et constatons qu'il est bloqué au niveau de Grub. Après avoir booté un LiveCD de Gparted nous lançons une réparation du RAID1 logiciel qui est cassé à l'aide de mdadm. Mais la reconstruction ne suffit pas, Grub refuse toujours de booter. Nous démarrons alors à nouveau sur le LiveCD et faisons un chroot pour réinstaller Grub, à coup de update-grub et grub-install (sur sda puis sdb). Cette fois ça fonctionne !

04h30. Échange téléphonique avec le CTO qui nous aide à vérifier que tous les services sont bien rétablis. Nous corrigeons les derniers problèmes existants.

6h00. Nous partons nous coucher pour pouvoir attaquer la journée à 09h00. En ouvrant la porte de sortie du datacenter je constate qu'il fait jour et que le sol est humide alors que j'y suis rentré de nuit sous une chaleur étouffante. J'aperçois aussi d'autres techniciens aller et venir avec des serveurs sous le bras, nous ne sommes donc pas les plus malchanceux.

Résumé : Une brève coupure électrique a provoqué l’extinction puis l'allumage de nos équipements. 1 serveur physique a cassé son RAID1, le datastore pour Xen n'a pas correctement démarré, et le switch a perdu partiellement sa configuration. Malgré la fatigue nous avons gardé la tête froide, aidés par l'adrénaline et les gâteaux. Nous avons résisté à cette épreuve du feu, en équipe, et avons gagné 1 journée de repos en compensation.

Chiffrement : je soutiens Apple

Rédigé par uTux - - 1 commentaire

Tout le monde connaît l'histoire : le FBI détient un iPhone ayant appartenu à un terroriste mort mais l'appareil est tellement bien chiffré que Apple a été sollicité pour contourner les protections, ce qu'ils refusent de faire. Résumé un peu plus complet ici.

Il y a d'abord deux choses qui me gênent dans cette affaire :

  • Le FBI part du principe que toutes les réponses à l'enquête sont dans l'iPhone alors qu'ils n'en savent rien. C'est une facilité bien entendu qui sert leur argumentation : "c'est le chiffrement qui bloque l'enquête".
  • Le FBI sous-entend que Apple détient les clés pour déverrouiller son appareil, or ce n'est pas le cas. Un fabriquant de coffres fort ne peut pas ouvrir les coffres de ses clients. Ce que peut faire Apple c'est de modifier son système de chiffrement pour l'affaiblir ou ajouter une backdoor mais nous y reviendrons.

Tout le monde est d'accord pour lutter contre le terrorisme ou pour aider une enquête à avancer. Mais les enjeux sont plus importants car le nerf de la guerre ici est le chiffrement. Beaucoup de gens ne voient pas à quel point les smartphones et ordinateurs sont des objets intimes, on y stocke notre vie, nos photos, nos documents administratifs, nos mots de passes, nos contacts, nos conversations privées et notre porn. Ouvrir l'accès à quelqu'un n'est pas anodin, c'est comme donner les clés de sa maison ! Donc non l'informatique ce n'est pas juste des gadget pour lequels on fait tout un fromage, on joue gros.

Si Apple affaiblit son système ou ajoute une backdoor, en autorisant par exemple une clé dont seul le FBI serait en possession, ils ouvront alors la boîte de pandore avec de nombreuses dérives à prévoir :

  • Les vrais criminels iront vers un autre système de chiffrement que celui de Apple, le problème sera alors déplacé.
  • Le FBI ne se limitera pas à des affaires de terrorisme et le périmètre s'élargira petit à petit. Prenons pour exemple la France qui a instauré le blocage administratif des sites internet, au début c'était juste pour la pédophilie mais aujourd'hui cela est étendu au terrorisme, à la FDJ, au piratage, et des projets sont en cours pour aller encore plus loin (par exemple les sites injurieux envers les élus, elle est belle la liberté d'expression). On peut extrapoler qu'un jour le FBI déchiffrera des iPhones pour de simples contrôles fiscaux.
  • Il n'est plus à prouver que la NSA pratique l'espionnage de masse dans son propre pays et aussi dans les autres. Ils demanderont obligatoirement eux aussi l'accès à la backdoor Apple afin d'écouter et collecter - en dehors de tout enquête officielle et sans autorisation d'un juge - les données de tout le monde.
  • D'autres pays demanderont la même chose à Apple, et pas forcément des démocraties. Si c'était la Chine ou l'Iran qui avait demandé à Apple de déverrouiller l'iPhone, l'affaire aurait certainement été présentée d'une autre manière par les media.
  • La backdoor sera obligatoirement exploitée par d'autres personnes. Le jour où des pirates trouveront le moyen d'y accéder, les données des utilisateurs se retrouveront dans la nature.

Une fois de plus, le terrorisme est un prétexte en or pour inciter les gens à abandonner leurs libertés. Si la génération actuelle ne s'en rend pas compte, c'est celle d'après qui en paiera le prix. Je ne peux que soutenir la démarche de Apple qui a les couilles et les moyens de résister car ils ont raison, mais ça nous le réaliserons probablement trop tard.

Fil RSS des articles