On a beau critiqué certaines plateformes pour le traçage systématique du comportement de leurs utilisateurs, il n’en demeure pas moins qu’on y trouve aussi parfois du contenu intéressant voir pertinent: un tuto sur youtube, un thread explicatif sur Twitter, un fil sur reddit…
Pour pouvoir consulter ce contenu, le deal c’est d’accepter de filer une partie de nos données persos. Pire pour partager le contenu sur son réseau social préféré ( au hasard Mastodon ;-)), nous jetons en pâture les données des amies, des personnes qui passent par là et qui auront cliqué sur notre lien. Dès lors comment faire pour limiter la casse et préserver la vie privée du plus grand nombre ?

La solution: « privacy redirect »

Et bien, c’est sur Mastodon , qu’un jour d’août où j’avais partagé un lien twitter ne pensant pas pouvoir faire autrement :

…qu’un.e mastonaute m’a sympathiquement donné l’astuce pour éviter de contaminer tout le monde avec des liens « GAFAM »:

Excellent! Je m’empresse de tester. Et ça fonctionne plutôt bien:
A chaque fois que je clique sur un lien twitter, youtube, reddit, instagram ou google maps , je suis redirigé automatiquement vers une page qui me propose de consulter le contenu SANS TRACKERS. Oui oui … Pas besoin de compte, pas de pub, pas de pisteurs javascript !

Comment ça fonctionne?

A chaque requête de mon navigateur vers un site comme twitter, youtube, instagram ou autre je suis automatiquement redirigé vers une instance publique alternative.

Sur ces instances tournent des frontend libres qui font l’intermédiaire entre nous et le site « Gafam ». Les plus connus sont:

• nitter pour consulter twitter
• invidious pour Youtube
• bibliogram pour instagram
• openstreetmap pour google maps
• libbreddit pour reddit

Install & config

Pour installer dans Firefox, c’est par là:
https://addons.mozilla.org/fr/firefox/addon/privacy-redirect/

Pour la configuration du plugin, toutes les redirections sont actives.
Mais il est possible de les personnaliser comme ci-dessous:

A noter que par défaut, les instances publiques sont choisies aléatoirement, l’idée étant de répartir la charge.Après rien ne t’empêche , de mettre en dur l’adresse de ta préférée.

Un autre paramètre plutôt pratique , est de pouvoir définir une regex pour exclure une url des redirections systématiques. Ça peut être pratique par exemple si tu administres ta propre chaîne Youtube…

Conclusion

J’utilise « privacy redirect » surtout pour générer des liens propres et les partager sur les réseaux sociaux. Je la trouve super pratique. Elle permet aussi de faire découvrir des moyens alternatifs aux Gafam et permet de gagner un peu en vie privée.
Alors j’espère aussi que cette extension te sera aussi utile. Perso elle fait dorénavant partie de mon top 5 !

L’autre jour, Monsieur WordPress m’a rappelé que la version de php que j’utilise pour mon blog était obsolète. En effet, je suis en 7.4 et il est vivement conseillé de passer à php8. La montée de version de php n’est pas une opération anodine : des plugins peuvent péter, des templates s’abîmés. Alors comme toute migration de cette importance, Il est vivement conseillé d’anticiper ses éventuels effets de bord  sur un environnement de tests, où l’on pourra tout casser à volonté. D’habitude, je travaille sur une VM avec apache ou j’héberge une copie de mon blog . Mais là je me dis, que dans une démarche de sobriété (noooooon sudo systemctl stop bulshit) ce serait l’occasion parfaite pour remettre le nez dans docker et monter ma stack wordpress de dev.

Donc le but de ce billet avoir un environnement de tests pour wordpress qui soit identique avec celui qui fait tourner mon blog en prod. Je pars du principe que tu as déjà installé docker-compose sur ton host.

On va y aller par étapes:
1 – sauvegarder données du blog wordpress en prod
2 – monter la stack avec docker-compose
3 – réintégrer les données (base sql + fichiers)

Donc j’aurais besoin:
– 1 conteneur apache
– 1 conteneur phpmyadmin
– 1 conteneur mariadb

Afin de simplifier , j’ai volontairement zapper la partie reverse proxy et https. ce sera l’objet d’un prochain billet.

1 – Sauvegarde du blog actuel

Toujours l’occasion de revérifier qu’elles sont fonctionnelles
– le fichier sql du dump de la bdd
– les fichiers data wordpress (dans /var/www/wordpress/wp-content) et le fichier wp-config.php

2 – Créer le docker-compose

• être iso avec la prod (versions php ,mariadb,wordpress)
• avoir un fichier .env qui centralise variables d’environnement

Pour le docker-compose:

version: '3.3'

services:
   db:
     container_name: mariadb-wp
     image: mariadb:10.3.34
     env_file: .env
     volumes:
       - wp_db:/var/lib/mysql/
     restart: always
     networks:
     - wp

   wordpress:
     depends_on:
       - db
     container_name: wordpress
     image: wordpress:6.0-php8.1-apache
     volumes:
       - wp_statics:/var/www/html/
     ports:
       - 8087:80
     restart: always
     networks:
     - wp

   phpmyadmin:
     depends_on:
       - db
     image: phpmyadmin/phpmyadmin
     restart: always
     ports:
       - 8088:80
     environment:
       PMA_HOST: db
     networks:
     - wp

networks:
  wp:
    driver: bridge

volumes:
  wp_db:
    driver: local
    driver_opts:
      o: bind
      type: none
      device: /srv/wordpress/db
  wp_html:
    driver: local
    driver_opts:
      o: bind
      type: none
      device: /srv/wordpress/html

3 – Créer un fichier .env

copier/coller les lignes et adapter avec les valeurs qui vont bien:

MARIADB_ROOT_PASSWORD: mdpcomplexce
MARIADB_DATABASE: wordpress
MARIADB_USER: userbase
MARIADB_PASSWORD: xxxxxx

pour le conteneur wordpress:

WORDPRESS_DB_HOST: db:3306
WORDPRESS_DB_USER: userbase
WORDPRESS_DB_PASSWORD: xxxxxx

Créer les volumes:
mkdir /srv/wordpress/{db,html}

Lancer la stack:
docker-compose up -d

on vérifie que nos conteneurs s’exécutent bien :
docker ps

Si jamais le status est en « exited » , on vérifie les logs pour débuguer:
docker logs mariadb-wp

Si besoin , se connecter au conteneur mariadb par ex et tester la connexion au sgbd:
docker exec -it mariadb-wp /bin/bash

Créer l’utilisateur de la base de données:
mysql> CREATE USER ‘user’@’localhost’ IDENTIFIED BY ‘password’;
Query OK, 0 rows affected (0.00 sec)

mysql> GRANT ALL PRIVILEGES ON * . * TO ‘user’@’localhost’;
Query OK, 0 rows affected, 1 warning (0.00 sec)

mysql> FLUSH PRIVILEGES;
Query OK, 0 rows affected (0.00 sec)

4 – Éditer le wp-config:

Réintégrer et copier le fichier wp-config.php du blog de prod: 
sudo cp backup/wordpress/wp-config.php /srv/wordpress/html/

Vérifizer les lignes suivantes et au besoin adapter avec les bonnes valeurs, mais normalement ya rien à toucher:

/** Nom de la base de donnée */
define( ‘DB_NAME’, ‘wp’ );

/** Utilisateur de la base de données MySQL. */
define( ‘DB_USER’, ‘tutox’ );

define( ‘DB_PASSWORD’, ‘ pasworddedingue’ );

/** Adresse de l’hébergement MySQL. */
define( ‘DB_HOST’, ‘localhost’ );

Parfois, pour le DB_HOST il faut mettre le nom du service docker , ici appelé ‘db’ dans le docker-compose.
C’est ici aussi qu’il faut préciser le port sur lequel écoute mariadb. Parfois on le change car on a déja un service sql qui tourne sur le 3306. Donc là on pourrait mettre par ex: localhost:3307 ou db:3307.

5 – Importer la base sql

docker exec -i conteneur mysql -uroot -pmotdepassecomplexe < backups/blog.sql

6 – Synchroniser les fichiers:

sudo rsync -azv backups/blog/wp-content/ /srv/wordpress/html/wp-content/

Vérifier les droits, si pas bons alors:

chown $user -R /srv/wordpress/statics/wp-content/

7 – Modifier les URL du site:

Ouvrir phpmyadmin éditer les liens dans wp_options:

Test url en local:
http://@ip_locale:8087

Et voilà une instance de wordpress toute pareille que celle de prod. On va pouvoir tester, casser et tout reconstruire

Dans un prochain billet on peaufinera avec notamment l’utilisation d’un reverse proxy et l’utilisation du https.

liens utiles:
https://xavki.blog/docker-compose-tutoriaux-francais/
https://www.alsacreations.com/tuto/lire/1838-Docker-compose.html
https://www.armandphilippot.com/article/docker-compose-traefik-wordpress
https://blog.ouvrard.it/2016/02/22/migrer-mon-wordpress-vers-docker/
https://www.digitalocean.com/community/tutorials/how-to-install-wordpress-with-docker-compose

Pas un seul mois ne passe , sans qu’une affaire de base de donnée volée n’ait fuitée sur internet. Tiens, pas plus tard que la semaine dernière, la fuite des données personnelles de 5,4 millions d’utilisateurs de Twitter. Heureusement, il existe des services comme « have i been pwned » pour savoir facilement si nos identifiants sont concernés et stockés dans ces bases de données piratées.

Et bien dans le même style j’ai trouvé un site qui propose à peu près la même chose mais avec la particularité de pouvoir t’afficher à l’écran ton mot de passe en clair.Je te sens sceptique sur ce coup là. Mais j’ai testé sur quelques uns de mes vieux comptes emails. Et j’ai réussi à retrouver un vieux mot de passe que depuis j’a changé bien sûr. Je t’avoue que sur le coup ça m’a fait froid dans le dos.
En tout cas, c’est super pratique si tu as un trou de mémoire (#humour).
Pour mettre fin du suspense et que tu puisses tester par toi même, le site dont je parle est: breachdirectory.

Même principe que sur HIBP,, tu rentres le mail ou le numéro de tel que tu souhaites tester et bim! Si le hash du mot de passe a été craqué, il te l’affiche partiellement.

Bon oui j’ai un peu exagéré en parlant de voir en clair tout le mot de passe. Seuls les 4 premiers caractères du mot de passe pwné s’affichent.Mais c’est suffisant pour l’effet pédagogique.

J’ai testé plusieurs comptes et il m’a bien retrouvé un ancien mot de passe ! Ça fait tout drôle de voir un bout de sa vie privée dévoilée comme ça sur un site.

Attention, si breachdirectory ne t’affiche rien,ça ne veut pas dire forcément que le hash n’est pas présent dans la base. C’est juste qu’il na pas été cassé ou que le crack na pas encore été rendu public!

Même si cela peut paraître évident pour certains c’est l’occasion de rappeler quelques règles élémentaires d’hygiène numérique concernant les mots de passe:

– avoir un mot de passe long (12 caractères mini à adapter selon contexte)
– mettre un mot de passe suffisamment différent du précédent (ne pas le décliner style: tototata12 changé le coup d’après en tototata13)
– ne pas mettre le même mot de passe pour tous ses comptes
– utiliser un gestionnaire de mot de passe (ex: keepass)
– utiliser une authentification à double facteur si possible lorsque l’accès aux données du compte est sensible
…
Ces règles sont à adapter en fonction du contexte bien évidement.
Pas la peine de mettre un mot de passe de 26 caractères hein pour un site de réservation de terrain de badminton. En revanche, pour le site des impôts ou l’accès à ton mail , n’hésite pas à blinder, double facteur toussa toussa

Conclusion

Je me dis que c’est exactement le type de démo qui pourrait sensibiliser les gens pour changer régulièrement leurs mots de passe et en mettre des différents.L’idéal serait de vérifier de temps en temps s’ils n’ont pas fuité sur le grand méchant Net mais ça ce serait plutôt le boulot du rssi.

liens utiles:
https://www.ssi.gouv.fr/guide/recommandations-relatives-a-lauthentification-multifacteur-et-aux-mots-de-passe/
https://www.cnil.fr/fr/mot-de-passe