Doit on rappeler l’importance de sauvegarder les données de son serveur ? Et plus vital encore, de tester régulièrement la restauration de ses sauvegardes. Un adminsys averti le sait, mais qu’en est-il des personnes dont l’informatique n’est pas leur cœur de métier et qui se sont lancées dans l’autohébergement grâce à des solutions comme l’excellentissime distribution Yunohost.

Et comme trop souvent, c’est le jour où ton serveur crashe que tu te dis que tu n’aurais jamais dû procrastiner l’étape des backup.
Il existe plusieurs méthodes pour sauvegarder son serveur yunohost . L’idée de ce billet étant de proposer une solution pour sauvegarder/restaurer le système et les applications sans se prendre la tête et de limiter la perte de ses données.

Stratégie de backup ?

Mais avant de passer à l’action , il est nécessaire que tu prennes le temps de répondre à ces quelques questions qui te permettront de définir ta stratégie de sauvegarde :
– Quoi sauvegarder? Quelles données? Système? Applicatives? Les deux ?…
– Où le faire? sur un disque dur externe, vers une machine du même réseau , vers une machine extérieure?
– Comment sauvegarder? A quelle fréquence? Sauvegarde incrémentale, différentielle? Chiffrement?

L’objet de ce billet n’est pas de s’attarder sur ces enjeux mais de te donner une recette simple pour minimiser la perte de tes données en cas d’incident. Pour t’aider à appréhender les notions de sauvegarde, tu peux t’inspirer de la doc officielle yunohost ici et aussi de ce diaporama à destination des néophytes dont j’avais fait la présentation au festival Libre en fête.

Quelle solution pratique pour sauvegarder sur Yunohost ?

En général pour sauvegarder tu peux :

• utiliser tes propres scripts à base de rsync. Ça fonctionne très bien mais lourd à gérer pour quelqu’un qui ne connaît pas bien le bash et ses subtilités systèmes.
  
• utiliser une application dédiée comme Borgbackup. Un très bon choix , notamment pour ses options de déduplication et de chiffrement qui permettent d’avoir des sauvegardes sécurisées et rationalisées. Mais pas forcément évident à mettre en place pour un néophyte.
  
• autre solution , propre à Yunohost, utiliser son interface web et ses commandes internes. La meilleure solution selon moi pour qui débuterait.
  
  Encore une fois, le but de ce billet est de rester le plus simple possible , pardon d’avance pour les puristes de la sauvegarde. Nous allons donc voir comment faire une sauvegarde complète puis comment faire pour l’automatiser.

Sauvegarder en mode manuel

Pour créer une sauvegarde complète manuelle, tu as le choix :

1. le faire à partir de l’interface d’administration de Yunohost
2. le faire à partir d’un terminal en ligne de commande

Dans notre exemple , nous allons nous concentrer pour faire une sauvegarde système. Elle contiendra donc les fichiers concernant :

• Les données utilisateurs situées dans /home/USER
• L’annuaire des utilisateurs (ldap)
• La configurations de YunoHost,
• Les certificats SSL,
• Les fichiers de configuration modifiés manuellement

Voyons voir comment faire tout ça en 1 clic…

1 – Sauvegarder via l’interface:

Menu ‘sauvegardes’ – ‘créer une sauvegarde’.

On coche les données systèmes à sauvegarder. Je te conseille surtout :
– « Configurations systèmes »
– « Données des utilisateurs »

Pour les applications, coche celles qui te semblent les plus indispensables, comme par exemple Nextcloud. Mais avant assure toi aussi d’avoir assez de place sur ton disque de sauvegarde pour pouvoir les stocker.

Selon le poids de tes données , la sauvegarde peut prendre un certain temps. Sur ma raspberry3 , ça m’a coûté 28 minutes pour une archive .tar de 7gb.

Tu possèdes donc maintenant une sauvegarde complète de tes fichiers systèmes ce qui te permettra en cas d’incident de restaurer les profils utilisateurs entre autre (on voit ça à la fin du billet).

Voyons voir maintenant une alternative qui te permettra de faire la même chose mais depuis la ligne de commande.

2 – via le terminal

La commande à taper pour tout sauvegarder (système et applis):

sudo yunohost backup create

– pour sauvegarder uniquement les fichiers de conf système:

sudo yunohost backup create --system

– pour sauvegarder uniquement les applis:

sudo yunohost backup create --apps

– pour sauvegarder que certaines applis:

yunohost backup create --apps nextcloud calibre

Dans mon cas , je choisis de sauvegarder la conf système:

Voilà on a notre fichier de sauvegarde sous forme d’une archive tar.

Pour vérifier les fichiers qu’elle contient, tu peux les lister comme ça:

tar -tvf /home/yunohost.backup/archives/20230301-091951.tar | less

Sauvegarde automatisée

Malheureusement l’interface de Yunohost ne prévoit pas la possibilité de réaliser une sauvegarde automatisée. Il va donc falloir scripter un peu en bash mais rien de compliqué tu vas voir.

on crée le fichier script appelé ‘backup_syst.sh’ qui fera:
– la purge des archives âgées de plus de 1 mois
– la sauvegarde complète des fichiers systèmes de Yunohost

#!/bin/bash
# sauvegarde systeme complete de yunohost

rep="/home/yunohost.backup/archives"
log="/tmp/backup_syst.log
>$log # raz du log

# on supprime les backup vieux de plus de 30 jours
$(find $rep -type f -iname "*.tar" -mtime +30 -delete > $log)

# on crée une nouvelle sauvegarde systeme
$(yunohost backup create --system 2>/dev/null >> $log )

Rendre exécutable le script:

chmod u+x backup_syst.sh

Planifier la sauvegarde:

Pour notre exemple, nous planifierons un backup hebdomadaire :

sous linux , ça se passe dans la crontab:

vi /etc/crontab

Ajouter cette ligne pour sauvegarder par exemple tous les mercredi à 03h du matin:

0 3 * * 3 /root/SCRIPTS/backup_syst.sh 

Restaurer une sauvegarde Yunohost ?

A partir du menu – Sauvegardes – Local, sélectionner l’archive à restaurer puis cliquer sur le bouton restaurer en bas à droite.

Tu vois ce n’est pas plus compliqué que ça.

Dans un prochain article nous verrons comment ajouter un disque dédié et monter le répertoire de sauvegarde dessus.

Cet article Sauvegarder son serveur Yunohost pour les nuls (1/2) est apparu en premier sur tutox.fr.

J’ai récemment fait l’acquisition d’une liseuse KOBO. Un bel objet qui va me permettre d’embarquer avec moi mes livres préférés lorsque je suis en déplacement. Le hic de cette liseuse mais comme beaucoup d’autres, c’est qu’elle exige dès la première connexion que l’on crée un compte et donc que l’on fournisse sans broncher notre email. Mince moi qui pensait que seules les kindle d’Amazon organisaient le pompage des données personnelles de ses clients. Et à première vue , impossible de passer cette étape. Heureusement , il existe un petit hack pour pouvoir solutionner ce problème. Le tuto qui suit sera pour une liseuse Kombo Clara HD.

– connecter la liseuse en usb
– appuyer sur « Vous n’avez pas de réseau wifi »
– la tablette devient accessible comme une clé usb . Son nom est Koboereader

On nous propose de télécharger l’application KOBO desktop….muhahahaha..tu m’as pris pour un utilisateur de Windows?

Solution

Les infos relatives aux utilisateurs sont stockées dans le fichier sqlite:
KOBOeReader/.kobo/KoboReader.sqlite

On sort l’éditeur de sqlite:

On repère la table « user:

On insère les valeurs suivantes dans les champs de la table ‘user’ :
INSERT INTO user(UserID,UserKey) VALUES('1','');

Ne reste plus qu’à reboot la liseuse et le tour est joué! Plus besoin de compte perso pour l’utiliser!

Si tu souhaites transférer des ebook depuis ton pc , je ne peux que te conseiller d’utiliser le logiciel libre Calibre installable aussi bien sous Linux, Android, mac ou windob. Sans doute l’objet de mon prochain billet!

Cet article Hacker sa liseuse KOBO pour l’utiliser sans compte est apparu en premier sur tutox.fr.

Qui n’a jamais pesté en tapant tête baissée une ligne de commande dans son terminal sans se rendre compte que la touche majuscule était enfoncée ? Du coup obligé de tout retaper en minuscules? Et bien non grâce à ce petit tips que je te partage tu vas pouvoir tout passer en minuscules sans devoir tout réécrire à la mimine

Tout passer en miniscules:

Dans ton terminal, place-toi au début de la commande , puis appuye simultanément sur les 2 touches de clavier:

Alt + L
L comme lowercase

Appuyer autant de fois qu’il ya de mots à passer en Majuscules.

Démo:

Tout passer en majuscules:

bon ça c’est plus rare d’être dans ce cas là mais bon on partage quand même:

Alt + U
U comme Uppercase

Cet article Comment passer une ligne de commande en minuscules sans devoir tout retaper ? [astuce] est apparu en premier sur tutox.fr.

A moins d’avoir d’avoir vécu en zone blanche pendant ces 2 derniers mois, il ne t’a pas échappé qu’une IA dénommée chatGPT fait le buzz en ce moment. chatGPT est un agent conversationnel, un chatbot dit plus vulgairement avec qui on peut dialoguer sans vraiment penser qu’on parle à une machine. Il est capable de répondre à tout type de questions mais aussi de générer du texte : écrire des articles, faire des résumés de texte et même rédiger du code à partir des consignes que tu lui auras passées. Succès immédiat ! 1 million de personnes se sont inscrits en 1 semaine pour tester le service.

Pourquoi un tel succès ?

De prime abord, le succès est surtout dû à la capacité de faire croire que l’on converse avec une vraie personne érudite dont les réponses sont sensées. C’est très surprenant car on a pas l’habitude d’un tel niveau de finesse venant de la part d’un chatbot. Avant chatGPT, les conversations ressemblaient plutôt à ça :

Mais rien à voir avec chatGPT, les échanges sont fluides et cohérents. Sur les réseaux sociaux, tous les jours sont postés les captures d’écran d’internautes fascinés devant la pertinence et la rapidité des réponses de ce chatbot qui imite parfaitement le type de réponse que pourrait faire un humain. Pour l’avoir testé sur quelques sujets de prédilection, c’est vrai qu’on a l’impression assez incroyable de ne pas avoir à faire à un chatbot classique qui répond à côté de la plaque. Et en plus chaque réponse se veut unique.

Pour arriver à un tel niveau d’efficacité, chatGPT a été entraîné et a ingurgité d’immenses bases de données. Pour donner un ordre de grandeur, la base de données de wikipedia ne représenterait que 0,6% du total des données utilisées par celle de chatGPT.

Je ne m’étendrai pas sur ce sujet car plein d’articles l’ont traité. Le miracle de l’efficacité de ce chatGPT ne tient pas tant à la pertinence de ces réponses qu’à l’illusion qu’il donne de répondre comme un humain , peu importe l’exactitude ou la fiabilité de ces propos. Parfois , l’IA invente des mots et ment droit dans son bot source ici.

Mais faut l’admettre, très souvent ses réponses sont consensuelles , plutôt équilibrées et argumentées Attention toutefois elles contiennent nécessairement des biais et parfois le bot peut proposer des réponses contradictoires selon comment la question est posée.

Les problèmes commencent à poindre…

la vie privée bafouée:

Le modèle économique:

chatGPT appartient à la société américaine openAI, société à but lucratif mais qui propose la gratuité de l’utilisation de son chatbot, du moins pour le moment. Mais pour combien de temps encore? une version PRO est dors et déjà disponible. Du coup tu le sens venir que le produit final c’est toi, petit utilisateur qui fournit gratuitement la valeur à leur chatbot

En effet, chatGPT s’enrichit de nos questions et des réponses qu’on valide.Nous nourrissons la bête par son utilisation , un schéma classique dans l’intelligence artificielle. Elle mémorise absolument tous nos échanges. C’est l’apprentissage par renforcement. En gros , on l’entraîne gratos et sans trop savoir exactement ce que deviennent les données fournies, leur traitement , leur durée de rétention etc

Et pour s’inscrire et pouvoir utiliser chatGPT , il faut filer son mail ET son numéro de téléphone.Autant te dire , « souriez vous êtes filmés »

En effet, il n’existe à ce stade aucune transparence sur la manière dont sont construites et fournies les réponses. Grosse opacité donc sur les algos utilisés. Et en général, « quand on ne veut pas ouvrir le capot , c’est qu’il y a problemo. » De plus , chatGPT n’est pas connecté en temps réel avec le web et donc il faut être très prudent sur la fiabilité et la fraîcheur des réponses. D’ailleurs sur certaines réponses, très peu sont sourcées.

Des métiers concurrencés, des triches identifiées…

J’ai envie de parler un peu des risques avérés ou surestimés que posent déjà l’utilisation de chatGPT.Sa capacité à pouvoir générer du texte en fonction de critères contextuels rentre clairement en concurrence avec certaines professions dont c’est le métier.L’IA chatGPT peut faire aussi bien voir mieux que certains écrits de journalistes/pigistes ou marketteux. On peut imaginer que certaines tâches soient automatisées comme les réponses à des mails, des campagnes marketting etc

Côté éducation nationale , c’est branlebas de combat! Plusieurs élèves ont eu recours à chatGPT pour rédiger leurs copies (source leparisien). A New-York son utilisation a même été prohibée dans les Universités.

Mais utiliser chatGPT c’est nécessairement tricher? A voir, son utilisation peut être aussi un bon moyen d’apprendre et d’essayer de comprendre un sujet expliqué de manière différente.
Et de toute manière pour que le chatbot nous réponde pertinemment , il faut savoir lui poser la bonne question avec les bons termes et du coup avoir nécessairement bien cerné et apprivoisé le sujet en amont. Dans le monde du chatbot, on parle de trouver le bon « prompt ». Bref , je crois que ce genre de débat existait déjà quand Google a fait son apparition. Et évidement premier réflexe pavlovien, on interdit!

Et pour l’anecdote, des personnes malveillantes ont déjà trouvé une utilisation pratique pour leurs activités à savoir utiliser chatGPT pour créer des malwares ou générer des modèles de phishing. ( source ici)

Pour conclure, en fait, chatGPT a le mérite de relancer et remettre dans le débat public l’utilisation de l’intelligence artificielle telle qu’elle est pensée et mise en œuvre par des sociétés privées. Comment ces nouvelles technologies impactent toutes les activités humaines que ce soit pour le meilleur ou le pire !

liens :
https://www.forbes.fr/management/chatgpt-comment-les-ia-generatives-vont-t-elles-influencer-lavenir-du-travail/

https://www.bortzmeyer.org/chatgpt-programmation.html

Cet article chatGPT : une IA qui se la raconte ! est apparu en premier sur tutox.fr.

L’autre matin, lors d’une session ménage, je suis retombé nez à nez avec ma vieille table de mix usb qui traînait dans un coin de mon grenier. Moi qui pensais l’avoir bazardée depuis longtemps, je ne soupçonnais même plus son existence.Cette rencontre fortuite m’a subitement donné envie de rechausser mon casque et d’enflammer le dance floor de mon salon.Comme un besoin de rejouer les DJ . Du Daft Punk aux red hot en passant par des tubes plus récents comme Jerusalema…oui je sais j’ai des goûts éclectiques

Dès lors, rapidement 2 questions se posent à moi:
1/ Ma table de mix usb, une Hercules DJ Control MP3, est âgée d’une quinzaine d’années . Donc va t-elle être compatible niveau pilotes matériels avec Linux?
2/ Existe-t-il un logiciel libre de mixage récent qui soit jouable sur ma Ubuntu 22.04?

J’avoue je partais plutôt sceptique mais spoiler alert, le défi fut relever avec succès.
Alors je partage au cas où d’autres amateurs souhaiteraient jouer les david guetta du dimanche !

La table de mix est-elle reconnue?

Première bonne surprise, le retour de la commande « lsusb » me confirme que ma table de mix est reconnue par mon système d’exploitation Linux.

Bus 001 Device 091: ID 06f8:d001 Guillemot Corp. Hercules DJ Control MP3

Quel logiciel de mix sous linux?

Après quelques recherches sur les internet c’est le logiciel mixxx qui m’a paru pertinent d’essayer.Il est sous licence libre et utilisable sous Windob,Mac et Linux Pour l’installer sur ubuntu:

On ajoute le dépôt officiel:

sudo add-apt-repository ppa:mixxx/mixxx

On installe les 2 paquets suivants:

sudo apt install mixxx mixxx-data

On donne les droits qui vont bien à notre utilisateur:

sudo usermod -aG plugdev $user

Pour lancer le logiciel mixxx:

L’interface ressemble à ça:

Configuration de mixxx

Mon objectif est de pouvoir mixer avec une préécoute au casque pour pouvoir caler un morceau de musique et l’enchaîner avec celui qui passe en live . Donc je vais avoir besoin de 2 sorties audio sur mon pc.
J’utilise un adaptateur audio usb en plus de ma carte son intégrée classique. Du coup ya 2/3 trucs à configurer dans l’interface de mixxx.

Pour vérifier que le mapping entre la table de mix et l’interface du logiciel est opérationnel, aller dans le menu:

preferences –

La config pour mixer avec casque:

On retrouve bien la sortie audio intégrée de mon pc et celle qui sera pour mon casque et qui correspond à mon adaptateur audio usb.

Enjoy it now !

liens utiles:

https://manual.mixxx.org/2.2/fr/

Cet article Mixer comme un DJ sous Linux est apparu en premier sur tutox.fr.

Impossible de modifier, d’imprimer, d’annoter un pdf ? Voici le genre de situation qui peut t’arriver lorsque tu récupères un document confidentiel dont le propriétaire a bloqué certaines fonctionnalités.
En général, l’idée est de restreindre son partage et sa diffusion à quelques destinataires privilégiés. Et bien dernièrement, il m’est arrivé de récupérer un fichier pdf aux accès limités. Moi qui suis un fervent adepte des annotations sur pdf , il me fallait trouver vite une solution. Et comme tu sais que je n’aime pas les restrictions et que je milite pour le partage de l’information , je me suis intéressé à  la manière de faire « sauter » les protections d’un pdf dans ce petit tuto maison.

Qu’est ce qu’on m’interdit?

Pour connaître exactement les restrictions qui sont appliquées à mon document pdf:
qpdf --show-encryption in.pdf

exemple ici avec mon fichier « in.pdf »:

Comment je fais sauter ces restrictions?

Pour supprimer les restrictions du pdf:
qpdf --decrypt in.pdf out.pdf

C’est pas plus compliqué que ça

Bonus: supprimer le filigrane (watermark)

Les docs confidentiels comportent un filigrane, une inscription en arrière plan mentionnant la confidentialité et souvent le nom de la personne destinataire. Il existe un moyen de supprimer ses infos en 2 coups de commandes bash.

Pour ce faire ,il te faudra installer le paquet « pdftk », puis:

Décompresser le fichier avec filigranne:
pdftk watermark.pdf output uncompress.pdf uncompress

Supprimer un filigrane simple:
sed -e 's/CONFIDENTIAL/ /' uncompress.pdf > sansFiligrane.pdf

Supprimer un filigrane composé de plusieurs mots (par ex: confidentiel et exemplaire):
sed -e 's/CONFIDENTIEL/ /' -e 's/EXEMPLAIRE/ /' -e 's/John DOE/ /' uncompress.pdf > sansFiligrane.pdf

Recompresser le pdf:
pdftk sansFiligrane.pdf output output.pdf compress

Si jamais le propriétaire du document pdf a mis un mot de passe pour bloquer toute modif, il est quand même possible de le casser en utilisant un script comme john the ripper en l’associant avec qpdf (pour savoir comment faire voir liens ci-dessous).

liens utiles:
https://blog.didierstevens.com/2017/12/26/cracking-encrypted-pdfs-part-1/
https://blog.wirelessmoves.com/2019/12/how-to-open-protected-pdfs-on-linux.html

Cet article Faire sauter les protections d’un pdf ! est apparu en premier sur tutox.fr.

Quoi de plus pratique et confortable qu’un prompteur pour rassurer une débutante ou un débutant en tournage vidéo. Bien sûr ce n’est qu’un outil qui ne doit pas se substituer à vos talents d’interprétation.
Mais ça peut être intéressant notamment pour aider certaines personnes qui n’ont pas l’habitude d’être face à une caméra. Évidemment il faudra faire en sorte qu’on ne voit pas que la personne est en train de lire. Le mieux est de le tenir le plus éloigné possible de la personne qui joue devant la cam.

Alors pour fabriquer ton prompteur à pas cher avec du matos que tu possèdes très certainement déjà chez toi il te faudra:

Les prérequis:

pour créer ton prompteur maison, tu auras besoin d’un:
– 1 écran
– 1 pc portable ou une raspberry
– 1 câble hdmi

Installation du logiciel libre QPrompt

Qprompt permet de faire défiler du texte avec plein d’options très proches de ce qu’est un prompteur.

Il est téléchargeable pour windobe, linux, macOS et même androîd. Donc si t’as une tablette assez rande , ça pourrait le faire aussi!

sudo snap install qprompt

le projet :
https://github.com/Cuperino/QPrompt/

Je te conseille d’utiliser les nombreux raccourcis claviers

compte à rebours à paramétrer

Démo

Enjoy!

Cet article Fabriquer son prompteur vidéo à pas cher ? est apparu en premier sur tutox.fr.

Aujourd’hui j’ai envie de te faire découvrir un projet très sympa qui va te permettre de créer à partir de tes morceaux de musique préférés sur ton pc :
– tes propres versions karaoké (sans instruments) juste avec le ou la chanteuse à capella
– tes propres versions instru (sans la voix) avec possibilité de ne récupérer que la basse ,la  batterie ou les accompagnements ou les 3 à la fois.

Les musicos ou afficionados des Karaoké apprécieront j’espère^^

Spleeter Web est une application qui utilise l’algo de deezer pour isoler les voix des instruments de musique.Je te laisse en juger avec la petite démo que je me suis amusé à faire avec le titre « la tribu de Dana »

Démo vidéo

Installer SpleeterWeb sur son pc

Pour le tester, ca se passe en ligne de commande avec docker bien sûr :
git clone https://github.com/JeffreyCA/spleeter-web.git

Lancer les conteneurs:
docker-compose -f docker-compose.yml -f docker-compose.prod.yml -f docker-compose.prod.selfhost.yml up

Accès à l’interface:
Tape dans un navigateur, l’url: http:127.0.0.1

Charger sa musique préférée

Comment ajouter des musiques ?

2 moyens pour ajouter des titres dans la base :
– soit depuis ton pc si tu as déjà des mp3
– soit depuis Youtube , en indiquant le lien de la chanson. Spleeter est capable d’importer directement la chanson dans sa base

Créer le mix avec les pistes isolées

• choisir le modèle d’algo. Par défaut , spleeter fait bien le taf
• bitrate: 256 kbps

Le traitement dure 2 à 3 minutes en fonction du poids du fichier musical.

Et à la fin tu dois obtenir , les 4 pistes !
Pour y accéder clique sur l’icône du disque comme ceci:

Tu peux télécharger piste par piste en cliquant à droite en face de chacune d’elle sur l’icône vert:

And voilà! J’espère que comme moi tu auras bien fait mumuse avec Spleeter Web pour animer tes soirées!

Cet article Ta chanson tu la veux version Karaoke ou instru ? est apparu en premier sur tutox.fr.

Parfois il m’arrive pour me connecter à un serveur en ssh de ne plus me souvenir exactement de ma passphrase.Peu importe me direz-vous , je n’ai qu’à utiliser mon gestionnaire de mot de passe. Mais j’ai aussi quelques vieux comptes qui trainent que je n’ai pas nettoyés (mybad) et qui du coup m’induisent en erreur en me proposant une phrase de passe obsolète.

Et bien sûr comme un bourrin je l’essaye plusieurs fois d’affilée sans succès jusqu’à me faire bloquer par les règles de sécurité un peu strictes de mon propre serveur. 3 tentatives infructueuses et c’est le ban pour quelques minutes !
Dès lors comment faire pour retrouver sa passphrase sans se faire bannir ? Yaurait pas un moyen de tester en local la passphrase de sa clé privée avant de la taper pour de vrai sur le serveur ?

La commande de test

ssh-keygen -y -f private_key

si c’est ok, il t’affiche le hash correspondant.

si c’est pas bon tu obtiendras le message  » incorrect passphrase supplied to decrypt private key« 

Évidement le mieux c’est d’utiliser et renseigner correctement son gestionnaire de mots de passe pour ne pas galérer la prochaine fois

Cet article Oups j’ai oublié ma passphrase ssh… est apparu en premier sur tutox.fr.

On a beau critiqué certaines plateformes pour le traçage systématique du comportement de leurs utilisateurs, il n’en demeure pas moins qu’on y trouve aussi parfois du contenu intéressant voir pertinent: un tuto sur youtube, un thread explicatif sur Twitter, un fil sur reddit…
Pour pouvoir consulter ce contenu, le deal c’est d’accepter de filer une partie de nos données persos. Pire pour partager le contenu sur son réseau social préféré ( au hasard Mastodon ;-)), nous jetons en pâture les données des amies, des personnes qui passent par là et qui auront cliqué sur notre lien. Dès lors comment faire pour limiter la casse et préserver la vie privée du plus grand nombre ?

La solution: « privacy redirect »

Et bien, c’est sur Mastodon , qu’un jour d’août où j’avais partagé un lien twitter ne pensant pas pouvoir faire autrement :

…qu’un.e mastonaute m’a sympathiquement donné l’astuce pour éviter de contaminer tout le monde avec des liens « GAFAM »:

Excellent! Je m’empresse de tester. Et ça fonctionne plutôt bien:
A chaque fois que je clique sur un lien twitter, youtube, reddit, instagram ou google maps , je suis redirigé automatiquement vers une page qui me propose de consulter le contenu SANS TRACKERS. Oui oui … Pas besoin de compte, pas de pub, pas de pisteurs javascript !

Comment ça fonctionne?

A chaque requête de mon navigateur vers un site comme twitter, youtube, instagram ou autre je suis automatiquement redirigé vers une instance publique alternative.

Sur ces instances tournent des frontend libres qui font l’intermédiaire entre nous et le site « Gafam ». Les plus connus sont:

• nitter pour consulter twitter
• invidious pour Youtube
• bibliogram pour instagram
• openstreetmap pour google maps
• libbreddit pour reddit

Install & config

Pour installer dans Firefox, c’est par là:
https://addons.mozilla.org/fr/firefox/addon/privacy-redirect/

Pour la configuration du plugin, toutes les redirections sont actives.
Mais il est possible de les personnaliser comme ci-dessous:

A noter que par défaut, les instances publiques sont choisies aléatoirement, l’idée étant de répartir la charge.Après rien ne t’empêche , de mettre en dur l’adresse de ta préférée.

Un autre paramètre plutôt pratique , est de pouvoir définir une regex pour exclure une url des redirections systématiques. Ça peut être pratique par exemple si tu administres ta propre chaîne Youtube…

Conclusion

J’utilise « privacy redirect » surtout pour générer des liens propres et les partager sur les réseaux sociaux. Je la trouve super pratique. Elle permet aussi de faire découvrir des moyens alternatifs aux Gafam et permet de gagner un peu en vie privée.
Alors j’espère aussi que cette extension te sera aussi utile. Perso elle fait dorénavant partie de mon top 5 !

L’autre jour, Monsieur WordPress m’a rappelé que la version de php que j’utilise pour mon blog était obsolète. En effet, je suis en 7.4 et il est vivement conseillé de passer à php8. La montée de version de php n’est pas une opération anodine : des plugins peuvent péter, des templates s’abîmés. Alors comme toute migration de cette importance, Il est vivement conseillé d’anticiper ses éventuels effets de bord  sur un environnement de tests, où l’on pourra tout casser à volonté. D’habitude, je travaille sur une VM avec apache ou j’héberge une copie de mon blog . Mais là je me dis, que dans une démarche de sobriété (noooooon sudo systemctl stop bulshit) ce serait l’occasion parfaite pour remettre le nez dans docker et monter ma stack wordpress de dev.

Donc le but de ce billet avoir un environnement de tests pour wordpress qui soit identique avec celui qui fait tourner mon blog en prod. Je pars du principe que tu as déjà installé docker-compose sur ton host.

On va y aller par étapes:
1 – sauvegarder données du blog wordpress en prod
2 – monter la stack avec docker-compose
3 – réintégrer les données (base sql + fichiers)

Donc j’aurais besoin:
– 1 conteneur apache
– 1 conteneur phpmyadmin
– 1 conteneur mariadb

Afin de simplifier , j’ai volontairement zapper la partie reverse proxy et https. ce sera l’objet d’un prochain billet.

1 – Sauvegarde du blog actuel

Toujours l’occasion de revérifier qu’elles sont fonctionnelles
– le fichier sql du dump de la bdd
– les fichiers data wordpress (dans /var/www/wordpress/wp-content) et le fichier wp-config.php

2 – Créer le docker-compose

• être iso avec la prod (versions php ,mariadb,wordpress)
• avoir un fichier .env qui centralise variables d’environnement

Pour le docker-compose:

version: '3.3'

services:
   db:
     container_name: mariadb-wp
     image: mariadb:10.3.34
     env_file: .env
     volumes:
       - wp_db:/var/lib/mysql/
     restart: always
     networks:
     - wp

   wordpress:
     depends_on:
       - db
     container_name: wordpress
     image: wordpress:6.0-php8.1-apache
     volumes:
       - wp_statics:/var/www/html/
     ports:
       - 8087:80
     restart: always
     networks:
     - wp

   phpmyadmin:
     depends_on:
       - db
     image: phpmyadmin/phpmyadmin
     restart: always
     ports:
       - 8088:80
     environment:
       PMA_HOST: db
     networks:
     - wp

networks:
  wp:
    driver: bridge

volumes:
  wp_db:
    driver: local
    driver_opts:
      o: bind
      type: none
      device: /srv/wordpress/db
  wp_html:
    driver: local
    driver_opts:
      o: bind
      type: none
      device: /srv/wordpress/html

3 – Créer un fichier .env

copier/coller les lignes et adapter avec les valeurs qui vont bien:

MARIADB_ROOT_PASSWORD: mdpcomplexce
MARIADB_DATABASE: wordpress
MARIADB_USER: userbase
MARIADB_PASSWORD: xxxxxx

pour le conteneur wordpress:

WORDPRESS_DB_HOST: db:3306
WORDPRESS_DB_USER: userbase
WORDPRESS_DB_PASSWORD: xxxxxx

Créer les volumes:
mkdir /srv/wordpress/{db,html}

Lancer la stack:
docker-compose up -d

on vérifie que nos conteneurs s’exécutent bien :
docker ps

Si jamais le status est en « exited » , on vérifie les logs pour débuguer:
docker logs mariadb-wp

Si besoin , se connecter au conteneur mariadb par ex et tester la connexion au sgbd:
docker exec -it mariadb-wp /bin/bash

Créer l’utilisateur de la base de données:
mysql> CREATE USER ‘user’@’localhost’ IDENTIFIED BY ‘password’;
Query OK, 0 rows affected (0.00 sec)

mysql> GRANT ALL PRIVILEGES ON * . * TO ‘user’@’localhost’;
Query OK, 0 rows affected, 1 warning (0.00 sec)

mysql> FLUSH PRIVILEGES;
Query OK, 0 rows affected (0.00 sec)

4 – Éditer le wp-config:

Réintégrer et copier le fichier wp-config.php du blog de prod: 
sudo cp backup/wordpress/wp-config.php /srv/wordpress/html/

Vérifizer les lignes suivantes et au besoin adapter avec les bonnes valeurs, mais normalement ya rien à toucher:

/** Nom de la base de donnée */
define( ‘DB_NAME’, ‘wp’ );

/** Utilisateur de la base de données MySQL. */
define( ‘DB_USER’, ‘tutox’ );

define( ‘DB_PASSWORD’, ‘ pasworddedingue’ );

/** Adresse de l’hébergement MySQL. */
define( ‘DB_HOST’, ‘localhost’ );

Parfois, pour le DB_HOST il faut mettre le nom du service docker , ici appelé ‘db’ dans le docker-compose.
C’est ici aussi qu’il faut préciser le port sur lequel écoute mariadb. Parfois on le change car on a déja un service sql qui tourne sur le 3306. Donc là on pourrait mettre par ex: localhost:3307 ou db:3307.

5 – Importer la base sql

docker exec -i conteneur mysql -uroot -pmotdepassecomplexe < backups/blog.sql

6 – Synchroniser les fichiers:

sudo rsync -azv backups/blog/wp-content/ /srv/wordpress/html/wp-content/

Vérifier les droits, si pas bons alors:

chown $user -R /srv/wordpress/statics/wp-content/

7 – Modifier les URL du site:

Ouvrir phpmyadmin éditer les liens dans wp_options:

Test url en local:
http://@ip_locale:8087

Et voilà une instance de wordpress toute pareille que celle de prod. On va pouvoir tester, casser et tout reconstruire

Dans un prochain billet on peaufinera avec notamment l’utilisation d’un reverse proxy et l’utilisation du https.

liens utiles:
https://xavki.blog/docker-compose-tutoriaux-francais/
https://www.alsacreations.com/tuto/lire/1838-Docker-compose.html
https://www.armandphilippot.com/article/docker-compose-traefik-wordpress
https://blog.ouvrard.it/2016/02/22/migrer-mon-wordpress-vers-docker/
https://www.digitalocean.com/community/tutorials/how-to-install-wordpress-with-docker-compose

Pas un seul mois ne passe , sans qu’une affaire de base de donnée volée n’ait fuitée sur internet. Tiens, pas plus tard que la semaine dernière, la fuite des données personnelles de 5,4 millions d’utilisateurs de Twitter. Heureusement, il existe des services comme « have i been pwned » pour savoir facilement si nos identifiants sont concernés et stockés dans ces bases de données piratées.

Et bien dans le même style j’ai trouvé un site qui propose à peu près la même chose mais avec la particularité de pouvoir t’afficher à l’écran ton mot de passe en clair.Je te sens sceptique sur ce coup là. Mais j’ai testé sur quelques uns de mes vieux comptes emails. Et j’ai réussi à retrouver un vieux mot de passe que depuis j’a changé bien sûr. Je t’avoue que sur le coup ça m’a fait froid dans le dos.
En tout cas, c’est super pratique si tu as un trou de mémoire (#humour).
Pour mettre fin du suspense et que tu puisses tester par toi même, le site dont je parle est: breachdirectory.

Même principe que sur HIBP,, tu rentres le mail ou le numéro de tel que tu souhaites tester et bim! Si le hash du mot de passe a été craqué, il te l’affiche partiellement.

Bon oui j’ai un peu exagéré en parlant de voir en clair tout le mot de passe. Seuls les 4 premiers caractères du mot de passe pwné s’affichent.Mais c’est suffisant pour l’effet pédagogique.

J’ai testé plusieurs comptes et il m’a bien retrouvé un ancien mot de passe ! Ça fait tout drôle de voir un bout de sa vie privée dévoilée comme ça sur un site.

Attention, si breachdirectory ne t’affiche rien,ça ne veut pas dire forcément que le hash n’est pas présent dans la base. C’est juste qu’il na pas été cassé ou que le crack na pas encore été rendu public!

Même si cela peut paraître évident pour certains c’est l’occasion de rappeler quelques règles élémentaires d’hygiène numérique concernant les mots de passe:

– avoir un mot de passe long (12 caractères mini à adapter selon contexte)
– mettre un mot de passe suffisamment différent du précédent (ne pas le décliner style: tototata12 changé le coup d’après en tototata13)
– ne pas mettre le même mot de passe pour tous ses comptes
– utiliser un gestionnaire de mot de passe (ex: keepass)
– utiliser une authentification à double facteur si possible lorsque l’accès aux données du compte est sensible
…
Ces règles sont à adapter en fonction du contexte bien évidement.
Pas la peine de mettre un mot de passe de 26 caractères hein pour un site de réservation de terrain de badminton. En revanche, pour le site des impôts ou l’accès à ton mail , n’hésite pas à blinder, double facteur toussa toussa

Conclusion

Je me dis que c’est exactement le type de démo qui pourrait sensibiliser les gens pour changer régulièrement leurs mots de passe et en mettre des différents.L’idéal serait de vérifier de temps en temps s’ils n’ont pas fuité sur le grand méchant Net mais ça ce serait plutôt le boulot du rssi.

liens utiles:
https://www.ssi.gouv.fr/guide/recommandations-relatives-a-lauthentification-multifacteur-et-aux-mots-de-passe/
https://www.cnil.fr/fr/mot-de-passe