fbpx
O F E P

Loading

Author: ofep-admin

(Français) Déplacer les boutons de la barre de titre (minimiser, maximiser, fermer) vers la droite avec Ubuntu 16.10

Posted on by ofep-admin

[:fr]

Déplacer les boutons de la barre de titre (minimiser, maximiser, fermer) vers la droite avec Ubuntu 16.10

Par défaut, les boutons minimiser, maximer et fermer sont affichés du côté gauche dans la barre de titre.

Par habitude, il est parfois préférable de les avoir du côté droit de la barre de titre.

La commande a tapé dans un terminal est la suivante:

$ gsettings set org.gnome.desktop.wm.preferences button-layout ‘:minimize,maximize,close’

barre de titre ubuntu

 

Inutile de fermer la fenêtre, le changement est immédiat.[:]

(Français) La commission de la vie privée en Belgique et la création de site Internet

Posted on by ofep-admin

[:fr]

Création de site Internet et impact de la Loi vie privée

De nombreux documents font référence à la commission de la vie privée en Belgique et la fameuse Loi vie privée.
On entend souvent parler dans le milieu professionnel de l’informatique de telle ou telle obligation liée à la commission de la vie privée et à la Loi vie privée. Il est, dès lors, important de connaître les obligations et les critères de l’utilisation, du traitement et de la sécurisation des données à mettre en place dans le cadre du développement d’applications commerciales.

Des notions tels que “une donnée à caractère personnel”, “une personne concernée, “un traitement des données” sont à assimiler afin de mieux comprendre les obligations instaurées par le législateur.

La commission de la vie privée dispose d’un site qui répond à un certain nombre de questions de manière très pragmatique.
On peut notamment y lire:

Les données à caractère personnel sont des données concernant une personne directement ou indirectement identifiée ou identifiable. C’est du moins la définition d’une donnée à caractère personnel selon la Loi vie privée. Cette loi prévoit une protection spécifique de ces données lorsqu’elles sont traitées.
Par données à caractère personnel, nous entendons notamment : le nom d’une personne, une photo, un numéro de téléphone (même un numéro de téléphone au travail), un code, un numéro de compte bancaire, une adresse e-mail, une empreinte digitale, …

Source

 

 

Nous pouvons en conclure que très rapidement une application est amenée à détenir et sauvegarder des données à caractère personnel. Il ne faut pas nécessairement détenir un numéro de registre national mais un nom, adresse postale et adresse-email suffisent à être considérés comme des données à caractère personnel. Ces données sont typiquement présentes dans n’importe quel formulaire d’enregistrement présents sur un site web et donc se retrouvent automatiquement dans la base de données de l’application.

….la Loi vie privée n’est pas d’application lorsque des données sont collectées qui ne seront utiles qu’à des fins purement personnelles ou domestiques. C’est par exemple le cas d’un agenda électronique personnel ou un fichier d’adresses privé. Par ailleurs, les journalistes, les écrivains et les artistes sont dispensés de certaines obligations dans le cadre de la liberté artistique et journalistique.

Mention importante mais le cadre personnel ou domestique n’est pas d’application dans le cadre d’une application commerciale (par exemple e-commerce, formulaire d’enregistrement de clients,..).

Un traitement de données commence par la collecte de données. Mais avant de procéder à la collecte des données, le responsable du traitement doit déclarer ce traitement auprès de la Commission vie privée. Toutes les informations relatives à la déclaration sont disponibles dans la rubrique “déclaration”.

La déclaration du traitement est obligatoire.

Le responsable du traitement ne peut pas:
* Dire qu’il poursuit un certain but alors qu’il vise d’autres finalités avec les données collectées
* Agir à l’insu de la personne concernée. Si cette dernière effectue par exemple une commande via un site web et qu’elle est donc dans l’obligation de communiquer ses données à caractère personnel, ce site Internet doit prévoir une rubrique qui vous informe de ce qu’il va advenir de vos données. Cette rubrique est généralement appelée ‘privacy policy’). Il est donc très important que la  personne concernée lise préalablement cette rubrique

La rubrique “privacy policy” où l’on mentionne l’utilisation des données, que l’on retrouve sur des sites d’e-commerce est donc une obligation légale.

On ne peut collecter des données à caractère personnel que si elles sont nécessaires pour atteindre l’objectif annoncé et si elles peuvent être pertinentes. Ainsi, un commerçant peut demander le nom et l’adresse de ses clients pour leur envoyer des factures ou les informer de ses activités commerciales. Toutefois, il n’a aucune raison valable de demander la date de naissance ou la profession de ses clients.

La pertinence des données, voilà une notion importante qui est fondamentale pour déterminer quelle information peut être collectée.

Le responsable du traitement ne peut traiter les données à caractère personnel (c à d les collecter, les utiliser, les gérer, les communiquer) que s’il répond à une série de conditions. Il ne peut pas collecter et utiliser les données à caractère personnel sans indiquer dans quel objectif précis il le fait. Le responsable doit définir cet objectif dès le départ, ce qui détermine le traitement ultérieur des données.

Le responsable ne peut pas poursuivre n’importe quel objectif. Le site de la commission de la vie privée détaille des exemples concrets qui ne sont pas autorisés. Par exemple:
  • le club de fitness qui vend la liste de ses membres à une société qui propose des cures d’amaigrissement ;
  • l’ophtalmologue qui communique le nom de ses patients à une société spécialisée dans la vente de lentilles de contact (a titre de comparaison : il peut en revanche transmettre ses dossiers à un confrère dont il voudrait connaître l’avis).
  • ….
  • La constitution d’un fichier reprenant des personnes qui approchent des soixante ans en vue de leur envoyer, lors de leur soixantième anniversaire, de la documentation sur une assurance obsèques “parce qu’il est temps d’y penser”, n’est pas une finalité légitime. Le préjudice subi par ces personnes dans ce cas est indubitablement plus grand que l’intérêt commercial de la personne qui constitue le fichier.

 

Il est donc très important de spécifier l’utilisation des données, d’informer les personnes concernées et de collecter leur consentement.

…Il est très important de savoir qui la Loi vie privée désigne en tant que ” responsable du traitement”. C’est en effet cette personne qui doit respecter quasiment toutes les obligations imposées par la loi vie privée. Si des difficultés se présentent, elle est donc responsable.
 ..
Une entreprise de surveillance peut recevoir une mission d’installation et de surveillance de caméras de surveillance de la part d’une chaîne de magasins. Attention : pour la Loi vie privée, le sous-traitant n’est pas la personne placée directement sous l’autorité d’un responsable du traitement et qui est donc mandatée pour traiter les données (comme p. ex. un employé d’une entreprise). Le sous-traitant est donc toujours une personne ou une instance externe.

 

Le responsable du traitement est donc “accountable” aux yeux de la loi et porte l’entière responsabilité que la Loi vie privée est correctement appliquée. Dans de nombreux case, une tâche est déléguée à un tiers: par exemple dans le cadre du développement d’une application web ou dans le cadre de l’installation de caméras de surveillance. Il est dès lors primordial d’être bien conseillé par ce tiers ou sous-traitant en question afin de respecter la législation en question et de ne pas se mettre en défaut pas rapport à la Loi vie privée.

Les informations sensibles

Les données visées sont : les données relatives à la race, aux opinions politiques, aux convictions religieuses ou philosophiques, à l’appartenance syndicale, à la santé, à la vie sexuelle, à des suspicions, des poursuites ou des condamnations pénales ou administratives. Des données interdites… Il est en principe interdit de collecter, d’enregistrer ou de demander communication de données telles que celles énumérées ci-dessus..

A quelques exception près (voir ce document p16), la législation est très claire sur les informations dites “sensibles”.

Veiller à la confidentialité des données

Le responsable du traitement doit veiller à ce que les personnes travaillant sous son autorité n’aient accès et ne puissent utiliser que les données dont elles ont besoin pour exercer leurs fonctions. Il n’est pas question de permettre aux membres du personnel d’avoir accès à des données qui ne leur sont pas nécessaires.

Veiller à la sécurité des données

Il est important de protéger les données contre une curiosité malsaine venant de l’intérieur ou de l’extérieur ou contre des manipulations non autorisées. Les risques de fuites et d’atteintes à l’intégrité des données sont trop réels de nos jours. Ces atteintes peuvent être accidentelles ou malintentionnées. Il est essentiel de prendre des mesures de sécurité pour protéger les données.

Plus les données en cause sont sensibles et les risques pour la personne concernée grands, plus importantes seront les précautions à prendre

Des moyens techniques et non techniques sont à mettre en œuvre de manière obligatoire pour protéger les données. Un accès contrôlée à l’information, de l’encryption pour sécuriser le transport de l’information, des audit logs, des backups,.. font partie des nombreuses précautions et mesures à mettre en place pour sécuriser les données.

Transfert de données vers l’étranger

Les transferts de données personnelles entre pays membres de l’Union européenne sont désormais libres.

Contrairement à ce que l’on peut parfois lire, le transfert des données au sein de L’union européenne est libre et ne nécessite aucune autorisation supplémentaire.

 

 

[:en]

[:]

Initialisation d’un disque dur (physique ou virtuel) via powershell

Posted on by ofep-admin

Quelques commandes clés pour paramétriser un disque dur (physique ou virtuel) via les commandes Power shell.

  1. Vérifier le statut actuel

PS C:\> get-disk

Number Friendly Name                            OperationalStatus                    Total Size Partition Style
—— ————-                            —————–                    ———- —————
1      VMware Virtual disk SCSI Disk Device     Offline                                    1 TB RAW
0      VMware Virtual disk SCSI Disk Device     Online                                    34 GB MBR

Il s’agit ici du disque numéro 1 de 1 Tera qui est actuellement au statut “Offline”.

 

2. Initialiser le disque

PS C:\> initialize-disk 1
PS C:\> new-partition -disknumber 1 -usemaximumsize -assigndriveletter
Disk Number: 1

PartitionNumber  DriveLetter Offset                                        Size Type
—————  ———– ——                                        —- —-
2                E           135266304                               1023.87 GB Basic
3. Vérifier à nouveau le statut
PS C:\Program Files\Probus-IT\Hyper-V Tools\Backup> get-disk

Number Friendly Name                            OperationalStatus                    Total Size Partition Style
—— ————-                            —————–                    ———- —————
1      VMware Virtual disk SCSI Disk Device     Online                                     1 TB GPT
0      VMware Virtual disk SCSI Disk Device     Online                                    34 GB MBR

 

Le disque a maintenant un statut “Online”.

Windows 10 – Contrôleur SATA: IDE et AHCI

Posted on by ofep-admin

Contrôleur SATA: IDE et AHCI

Il est utile de modifier la configuration d’un contrôleur SATA en IDE vers AHCI dans le bios, surtout si vous utilisez un disque SSD.

Windows nécessite une petite manipulation pour démarrer. Sans cette manipulation, vous obtenez une erreur de démarrage.

Une alternative est de réinstaller Windows 10.

Procédure

Regedit:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\storahci\StartOverride

Changer la valeur DWORD de 3 à 0.

Redémarrer, choisissez le contrôleur SATA de type AHCI dans le BIOS.

ide_to_ahciWindows démarre maintenant correctement. Vous avez épargné du temps car vous n’avez pas du tout réinstaller!

Linux et Swapiness

Posted on by ofep-admin

Par défaut, linux swap assez rapidement. À partir de 40% d’utilisation de la RAM (donc 60% de libre), le noyau peut se délester sur la swap.

 

Avec des machines récentes, beaucoup de RAM et un SSD rapide, ce paramètre peut être optimisé. Nous conseillons la valeur suivantes:

vm.swappiness = 15

A éditer dans le fichier /etc/sysctl.conf (sur une base debian/ubuntu)

Booter la partition Windows 10 (dual-boot) depuis Linux via VirtualBox

Posted on by ofep-admin

Il est parfois utile d’avoir un dual-boot composé d’un Windows 10 et d’un Linux.

L’utilisation de la virtualisation desktop a également de nombreux atouts et en cas de dual-boot, c’est dommage d’avoir à créer une machine virtuelle alors qu’on peut démarrer la partition “native” directement depuis VirtualBox, moyennant quelques manipulations:

  1. Dans le cas ici présent, Windows 10 tourne sur /dev/sda1 et n’a qu’une seule partition. Souvent lors de l’installation une deuxième partiton est crée (système) mais ici ce n’est pas le cas.
    Un MBR avec grub est présent sur /dev/sda.
    sda est un SSD Samsung qui contient à la fois Windows 10 et Linux.
  2. Il faut d’abord rajouter le user dans le group “disk” afin qu’il ait des droits en lecture/écriture sur le disque et la partiton:
    chmod 660 /dev/sda
    chmod 660 /dev/sda1
    sudo usermod -a -G disk <user>
  3. Création du disque raw Virtualbox qui pointe vers le disque.
  4. $ VBoxManage internalcommands createrawvmdk -filename ~/.VirtualBox/win10_2.vmdk -rawdisk /dev/sda
  5. Création d’une nouvelle VM dans Virtualbox via la Gui (New, Windows 10 64 b, 2048 RAM, “Use an existing virtual hard disk file” et importer le vmdk créé.
  6. Vérifier que le controller est le même type que vous utilisez (SATA ou IDE). SATA AHCI est le standard sur les pc’s récents.

Screenshot from 2016-07-28 23-05-26

Options activées et version de virtualbox utilisée

Screenshot at 2016-07-28 23:17:23

Boot de grub2, identique au dual-boot lors du démarrage de la machine physique

virtualbox win10

Windows 10 est démarré

Screenshot from 2016-07-28 23-02-52

Arrêt et installation des mises à jour

Remarques: l’activation de windows ne pose pas de problème (il a été activé via un boot physique et l’accès depuis Virtualbox l’indique comme toujours activé).

 

Pour la 3D et l’installation des “Guest tools”, c’est pour un prochain épisode..

mount: unknown filesystem type ‘LVM2_member’

Posted on by ofep-admin

Si vous avez déjà été confronté à cette erreur et que vous utilisez LVM et MDADM, alors vous trouverez ici la solution à votre problème:

# mount /dev/mapper/group-data /mnt/disk/
mount: unknown filesystem type 'LVM2_member'

  1. Installer LVM2: apt-get install lvm2
  2. Charger le module: modprobe dm-mod
  3. Activer le logical volume LVM: vgchange -ay
  4. Mounter: mount /dev/mapper/group-data /mnt/disk/

$ sudo lvdisplay

— Logical volume —
LV Path                /dev/group/data
LV Name                root
VG Name                group
LV UUID               xxxxxxxxx
LV Write Access        read/write
LV Creation host, time ,
LV Status              available
# open                 1
LV Size                74,50 GiB
Current LE             19073
Segments               1
Allocation             inherit
Read ahead sectors     auto
– currently set to     256
Block device           252:0

Backup du synology avec Crashplan

Posted on by ofep-admin

Crashplan offre une solution de backup de vos fichiers dans le cloud à très bas coût et avec une possibilité de rétention très élevée.

Synology permet par défaut de faire de la synchronisation vers Hubic (ovh). Cette solution n’est pas un backup, c’est une synchronisation unidirectionnelle ou bi-directionnelle. Il n’est entre autre pas possible de restaurer une ancienne version d’un fichier comme ça le serait possible dans une solution de backup.

Synology offre également par défaut une possibilité de backup vers AWS Glacier. AWS Glacier offre une solution à partir de 0,007$/GB par mois. Cette solution peut s’avérer utile pour le backup de vos données.

Si l’on utilise déjà Crashplan, alors il est intéressant de configurer el synology pour le backup des données.

Malheureusement, il n’y a pas de solution par défaut et ceci demande quelques actions manuelles.

Voir le lien ici pour les screenshots.

  1.  Ajouter un nouveau repo dans le package center: http://packages.pcloadletter.co.uk
  2. Installation de Java (Crashplan est une application Java, il faut donc installer la JVM
  3. Télécharger la version de Java sur le site d’oracle et l’uploader sur le synology (pour des questions de licences et droit, Oracle oblige le téléchargement via le site web, celui-ci ne peut être automatiser)
  4. Installer CrashPlan
  5. Crashplan sur synology ne permet pas d’être administré via une interface web. L’astuce est donc d’installer Crashplan sur un pc (Win/Mac/Linux) et de le faire pointer vers le Synology
  6. Pour l’installation sous Linux, après avoir télécharger et décompresser le fichier, il faut l’installer en utilisant la commande bash crashplan-install/install.sh
  7. Cette première partie du tutorial est disponible un peu partout sur Internet. Par contre la partie ci-dessous est une nouvelle manipulation a exécuter pour les versions récentes de Synology et la lecture de cet article va vous faire gagner du temps:
    Se connecter en admin (ssh) sur le synology et exécuter la commande: cat /var/lib/crashplan/.ui_info  ; echo
    Le résultat de cette commande doit être copier/coller dans le fichier .ui_info (~/.crashplan/.ui_info sous Linux et C:\ProgramData\CrashPlan\.ui_info sous Windows) sur votre pc (à adapter en fonction de l’os). Le dernier champ doit contenir l’adresse IP du Synology (par exemple 10.2.6.1).
    4243,a9f5107b-666f-xxxx-xxxx-6844b2d0439e,10.2.6.1
  8. Editer le fichier crashplan/conf/ui.properties
    Insérer 2 lignes (le port et l’ip du synology):
    servicePort=4243
    ServiceHost=10.2.6.1
  9. Démarrer Crashplan sur le pc et vous voilà prêt pour le backup du contenu du synology! Dans la partie “Files” vous devriez voir les fichiers du Synology et non le disque local.

Il est à noter que cette configuration fonctionne si votre synology et pc’s sont sur le même LAN ou bien également en utilisant un VPN (par exemple la fonctionnalité OpenVPN du synology).

Attention, cette méthode n’est aucunement officiellement supportée et il est très déconseillé de l’utiliser dans un environnement professionnel. De plus, comme toute solution de backup, il est nécessaire de tester régulièrement le restore depuis un autre poste pour s’assurer du fonctionnement.

Enfin, Crashplan permet d’encrypter les backups des fichiers avec l’aide d’une clé. Pensez à activer cette fonctionnalité et à stocker la clé de manière sécurisée et redondante.

 

Ransomware et l’impact en entreprises

Posted on by ofep-admin

ransomware

Depuis le début de l’année, une très forte hausse de malware de type “ransomware” sévissent sur Internet.

Le modus operandi est souvent le même:
– Un fichier est envoyé par email (comme fichier attaché) et se présente comme une facture non payée, ou bien comme un document important à ouvrir (lettre de rappel), document d’un transporteur, annulation d’un paiement ecommerce,..

– Un lien est envoyé par email vers un document à télécharger sur Internet sur un site quelconque ou bien même sur google doc, dropbox,…

Une fois que la victime ouvre le soi-disant document, l’ordinateur commence à encrypter des fichiers situés sur l’ensemble des disques connectés (locaux ou réseaux “mapped drive”).

Ceci cible donc le disque ou SSD local, mais aussi les disques USB, les clés USB, les shared réseaux partagés (NAS ou serveurs de fichiers).

Les fichiers encryptés (sur base d’encryption asymétrique) gardent la plupart du temps le même nom mais l’extension finale est aléatoire.

Une fois l’ensemble des fichiers encryptés, une clé de registre est rajoutée et lorsque l’utilisateur tente d’ouvrir un fichier, celui-ci voit un message apparaître dans son navigateur et l’invitant à payer une rançon s’il veut récupérer ses fichiers (souvent en bitcoins et via le réseau TOR).

La seule alternative est souvent de restaurer un ancien backup, ce qui n’est pas sans impact pour l’utilisateur: perte de données (delta avec le dernier backup s’il existe), perte de temps importante, impact sur la clientèle possible, impact sur l’ensemble des collègues (si un shared network drive est encrypté).

A l’avenir, force est de penser que les ransomwares seront de plus en plus difficiles à détecter (de nombreuses versions d’un même ransomware, par exemple Cryptolocker vise à déjouer les signatures Antivirus). De plus, si un ransomware est couplé à worms ou développer une technique pour se propager rapidement, on pourrait être confronté à une catastrophe où l’ensemble du parc est infecté et où tous les fichiers de chaque poste sont encryptés.

Afin de se protéger contre ces infections, nous proposons les mesures suivantes:

  • Renforcer le contrôle sur les emails et les règles concernant les fichiers attachés
  • Établir des règles strictes concernant l’accès aux emails privés sur le lieu de travail et avec l’équipement professionel
  • Mettre en garde et sensibiliser les utilisateurs (une personne avertie en vaut 2 et le point faible est souvent entre la chaise et le clavier) via une campagne de prévention (security awarness)
  • Mettre à jour le moteur de l’antivirus (pas seulement les bases de données). De nombreux patches sont disponibles chez fournisseurs antivirus pour lutter contre le fléau des ransomwares
  • Vérifier les droits utilisateurs (ACL) sur les NAS et serveurs de fichiers. Il est anormal qu’une personne ait accès en écriture sur l’ensemble des répertoires. Le “least-privilege” doit être appliqué pour limiter l’ampleur d’un infection
  • Renforcer le contrôle sur l’accès Internet (filtrage de sites et de fichiers sur base du MIME type)
  • Mise en place de GPO pour bloquer l’exécution de certains types de fichiers dans les dossiers temporaires du navigateur ou de Windows
  • Mise en place d’une détection avancée avec le SIEM

L’application des ces mesures vous permettra de mettre en place des moyens préventifs.

DDoS sur le Playstation network

Posted on by ofep-admin

Le 24/08/2014, le PSN (Playstation network) victime d’une attaque DDOS. Il s’agit d’un attaque de déni de service qui viser à saturer un service en le surchargeant de requêtes. Le service devient donc indisponible due à la surcharge de trafic et de requêtes. Aucune donnée sensible (mots de passe, données bancaires) ne peut être accédée dans le cadre d’une attaque DDoS.

security-blue

Cette attaque est revendiquée sur Twitter par un groupe de hackers nommé « LizardSquad ».

D’après la presse américaine, ce groupe n’en est pas à son coup d’essai car il a déjà rendu indisponible d’autres services de jeux en ligne tels que Blizzard, League of Legend. Le service Xbox Live a également été attaqué cette nuit mais le service n’a été impacté que très partiellement et surtout aux États-Unis.

Ce groupe de hackers semble s’acharner contre Sony. Ce groupe a évoqué la présence d’une bombe dans l’avion du président de Sony Online. Le vol a été dévié pour des raisons de sécurité et les baages ont été vérifié. Il s’agissait d’une fausse alerte dans le but de faire atterrir l’avion et de faire parler de ce groupe. Le FBI a démarré un enquête contre ce groupe.

Le réseau Playstation network avait déjà été attaqué en 2011 mais à cette époque l’attaque avait été différente et des données de profils d’utilisateurs avaient pu être extraites.

Ces attaques font la plupart du temps appel à des centaines de milliers, voir des millions d’ordinateurs à travers le monde. Ces ordinateurs appartiennent souvent à des privés et sont infectés par des virus visant à rendre l’ordinateur esclave ou « zombie » d’un réseau.

La personne qui contrôle ce réseau d’ordinateurs zombie peut alors lancer des attaques DDOS, envoyer de grosses quantités de spams, miner des bitcoins ou effectuer d’autres activités illégales.

Ces attaques sont difficiles à contrer car étant distribuées car le principe même est de diminuer les possibilités de stopper l’attaque par leur caractère distribué. Bloquer l’adresse de quelques pc’s attaquant n’empêche pas les autres pc’s de continuer d’envoyer du trafic.

Selon les types de services et d’attaque, il est possible de mettre en place un ensemble de serveurs tampon qui permet de filtrer le trafic malveillant et du trafic légitime.