Mes premiers pas...
Mon petit site perso...
Et la sécurité?
J'ai le bonheur d'avoir un adorable
iMac 2002 à la maison
depuis avril 2002.
C'est une machine agréable à utiliser, suffisamment esthétique pour être présente
dans mon salon et qui me permet aussi bien de surfer sur Internet,
d'écouter de la musique, regarder des
bandes annonces et des
DVDs (remplacés progressivement depuis 2003 par leur version
fichier mpeg4),
faire un peu de bureautique (ce site, quelques travaux professionnels que je termine chez moi),
développer en Java, par exemple des
EJB
ou toute une
web-application,
faire un peu de SQL, découvrir
l'encodage
de vidéos, etc.
En novembre 2003, l'iMac a été rejoint par un
iBookG4.
,
remplacé début 2005 par un 
powerBookG4
pour des raisons professionnelles.
Fin 2005, le powerBook a trouvé un nouvel utilisateur, plus nomade que moi, mais pour accompagner l'iMac,
un peu vieillissant au bout de 3-4 ans,
un macMini
a trouvé son chemin dans le salon. L'iMac est maintenant "relégué"
aux rôles de téléphone
internet,
machine de sauvegarde, et jukebox de CDs
Cela a aussi été l'occasion de passer la barre des 1000 Go de stockage, 1,5To pour être exact.
Ces deux derniers achats ont été l'occasion de deux très bonnes affaires, bon karma sans doute,
et j'ai ainsi pu passer sous la barre des 1€/Go, ce qui est assez satisfaisant
pour un investissement progressif depuis 2002.
Pourquoi un (deux même) Mac? Pourquoi n'ai-je pas acheté ou assemblé un PC?
En fait, mon choix était ouvert lors de ces achats (hors celui du powerBook), mais même à prix à peu
près égal, le système d'exploitation
(MacOsX) a emporté mon choix.
Lors de l'achat de l'iMac, certains PCs étaient comparables dans une fourchette de 10-15% moyennant
quelques compromis, lors de l'achat de l'iBook ou du macMini, il n'y avait pas de
réelle concurrence répondant à mon cahier des charges (suffisamment performant pour mon usage,
silencieux, autonome et léger pour le portable, extensible peu encombrant pour le fixe).
Par rapport à WindowsXP, MacOsX est fourni avec les mêmes fonctionnalités mais une
robustesse et
une
intégration
incomparable
ce qui produit une simplicité et un confort
appréciables. Sans entrer dans le débat Microsoft contre
Apple, le simple fait de reposer sur un véritable socle Unix,
séparant utilisateur et administrateur apporte une réelle
différenciation en terme de
sécurité.
Ensuite pouvoir installer et ré-installer applications et système
d'exploitation sans risquer de perte de fichiers, de
préférences, ou avoir à ré-installer les
autres applications apporte un réel gain de temps et de confort.
Par rapport à Linux (ou un autre Unix
libre) alternative valable
à Windows sur PC, MacOsX a aussi gagné, mais d'une courte
tête. J'ai une certaine préférence pour l'excellente intégration du matériel et des
logiciels qui devance un peu Linux, j'aime particulièrement
l'interface utilisateur,
esthétique et pratique, mais c'est là une question de goût. J'avoue que l'intégration des fonctions
multi-média avait un temps été un argument, mais plus vraiment actuellement.
Si les constructeurs intégraient un peu mieux Linux sur leurs machines, en particulier les portables,
plutôt qu'XP et s'ils avaient enfin l'honnêteté de répercuter la différence de
prix,
on serait sans doute plus proche d'un choix par goût ou par économie.
Pourquoi un site?
Souvent, des amis me demandent ce que j'ai
vu au cinéma
récemment, ou lu et ce que j'en ai pensé.
J'ai commencé comme cela, en mettant à jour cette liste pour
la rendre accessible sur Internet.
J'ai aussi eu envie de partager des liens
qui m'ont plus, des textes que j'aime.
Ecrire les pages en html (xhtml) conforme m'a aussi permis de progresser un peu et
de comprendre certaines contraintes, et
cela me sert tous les jours.
J'utilise jEdit pour écrire les
pages, car je ne passe pas énormément de temps à
modifier ce site (quelques heures au plus par mois). jEdit a la grande qualité
d'aider pas mal à la saisie
(completion, vérification) et ce de façon standard (pas
de pseudo completion qui colle des fautes, ni de vérification
approximative). J'utilise aussi beaucoup ses fonctionnalités de
"gestion de projets" (groupe de fichiers) et sa très bonne
personnalisation (raccourcis, fonctions, plug-ins).
J'essaie de rendre ce site
à peu près lisible et pas trop laid (difficile quand on
n'a pas trop de talent graphique), et aussi standard
que possible (par respect pour tous les navigateurs et systèmes).
Je pourrais aller vers une édition plus automatisée et des
éléments dynamiques, mais pour le
moment, je préfère me contenter du hosting
d'OVH après avoir utilisé celui, simplissime mais
très performant, de Yahoo/Geocities.
Cela rend ce site simple à gérer, rapide à naviguer, et
très facile à déplacer/
sauvegarder.
Pourquoi un firewall?
- Tout ordinateur, Mac ou PC, connecté
à un réseau communique avec d'autres ordinateurs et peut
être lui-même contacté par n'importe quel autre
ordinateur connecté à ce réseau. Quand le
réseau en question est Internet, cela veut dire que
l'on peut communiquer avec à peu près tous les
ordinateurs de la terre, mais aussi être contacté par
n'importe le(s)quel(s) d'entre eux (via le téléphone mais
plus encore ADSL ou le câble puisque généralement,
on reste
connecté bien plus longtemps, voire en permanence).
- A priori, on suppose que personne n'a "intérêt" à
se connecter à son ordinateur, mais la réalité est
tout autre.
En effet, de nombreux "script kiddies"
parcourent le réseau sans cible particulière, dans le
seul but d'utiliser une faille.
De plus, de nombreux virus ou plus exactement chevaux de Troie quand
ils ont infecté un ordinateur essaient d'infecter tous les
ordinateurs qu'ils peuvent contacter, aléatoirement le plus
souvent.
-
Il semble donc nécessaire de se protéger de ces risques,
d'une part pour éviter de perdre des données, d'autre
part pour s'assurer de la confidentialité des données
contenues dans son ordinateur, enfin pour éviter
d'héberger un "pirate" dont on ne veut pas être le prête-nom
sur Internet pour qu'il puisse sans risque (pour lui, pas pour le
propriétaire de l'ordinateur) commettre d'éventuels
forfaits (la plupart du temps, les "pirates" agissent essentiellement
pour "le fun" et le risque juridique reste mineur).
Comment configurer le firewall ?
- Une façon simple de configurer le firewall est d'utiliser
MacOs 10.2 et suivants qui intègrent dans
"Préférences Système" une interface simple permettant
de l'activer et de le configurer.
Une autre possibilité pour aller plus loin est d'installer un logiciel de sécurité
(entre autres ici
une liste de logiciels gratuits)
permettant d'accéder aux fonctions plus poussée que celles
accessibles dans MacOsX.
Après quelques essais et lectures des documentations de ces outils
intégrés ou complémentaires,
j'ai décidé de configurer le firewall intégré
avec mes petits doigts. Ce n'est pas inaccessible,
même à un non-spécialiste, ça permet de
comprendre comment fonctionne un firewall de base et
surtout de comprendre ce qui circule entre son ordinateur et l'Internet et
d'appliquer des mesures de sécurité
que l'on maîtrise et comprend.
Après mes premiers pas (avec Mac OsX 10.1), j'ai revu
complètement ce système pour tirer parti des nouvelles
fonctionnalités présentes dans Mac OsX 10.3. Pour le moment (décembre
2003) tout est pleinement stabilisé et en grande partie
testé). J'ai ajouté la gestion du réseau local, du
support du partage d'accès Internet, et surtout l'utilisation
des nouvelles règles "statefull" qui rendent le firewall bien
plus résistant.
En 2005, Apple a intégré une bonne partie de ces améliorations dans le firewall intégré
à l'interface "standard".
Comment sécuriser son réseau sans fil (Wifi)
- Utiliser le Wifi (appelé Airport par Apple)
entre deux Mac, nécessite d'appliquer quelques mesures simple assurant
un bon niveau de sécurité.
- Nom de réseau spécifique, précisant qu'il est privé.
- Activation du cryptage WEP 128bits (il faut faire la mise à jour Airport)
avec mot de passe de 13 caractères, ne pas utiliser un mot, mélanger
lettres et chiffres.
- Limitation des accès DHCP par adresse physique (cf. une solution Apple, ou une méthode de macoshints.com).
- Utilisation d'un firewall personnalisé fermant les accès non valides,
même locaux.
- Limitation des plages d'adresses utilisables sur le réseau local
- Utilisation de SSH
(tunnels sécurisés) pour les communications non publiques
Comment aller plus loin en terme de sécurité?
- Ce qui est au-dessus (avec ou sans wifi) est un bon début et généralement largement suffisant,
surtout dans un cadre domestique
- On peut cependant aller un peu plus loin dans la logique "non centralisatrice",
apportant à mon sens quelques points de sécurité par rapport à l'approche "centrée réseau"
souvent pratiquée (pas à tort car elle est la seule praticable dans beaucoup d'entreprises)
Le concept est principalement de déclarer le réseau local presque aussi "unsecure" que l'extérieur
et ainsi reporté la sécurité sur chaque nœud, qui se trouve bien placé pour savoir ce qu'il
souhaite partager et avec qui.
Cela amène d'ailleurs la possibilité d'une "Inversion de contrôle" (IoC),
chère au monde du développement par composants ces dernières années,
permettant au niveau back-office de donner au "serveur producteur d'un service"
la responsabilité "d'apporter" le service
au "serveur consommateur du service" (par exemple la base de données se rend disponible pour le
serveur d'application et non à toute machine réputée de confiance parce que
présente sur le réseau local
- En résumé, on ferme le réseau, les ports qui n'ont pas vocation à être ouverts,
voire tous ou presque en cas d'IoC, à chaque nœud, on ne permet que des accès authentifiés
aux services "non IoC", généralement ceux accessibles aux clients.
- Dans la pratique, cela permet un niveau de sécurité quasiment sans équivalent dans le monde
"centralisé", et surtout un modèle beaucoup plus robuste en terme d'extension et d'ouverture.
- Sur mon petit réseau domestique, cela se traduit par des communications
entièrement sécurisées (authentifiées et cryptées) entre les machines,
du partage de fichier aux sauvegardes en passant par le contrôle à distance.
C'est bien évidemment totalement disproportionné pour un usage domestique, mais une fois le concept intégré, assez simple en terme d'administration et très simple à faire évoluer.
Et les sauvegardes ?
- Le fait d'avoir 2 ordinateurs simplifie la question des sauvegardes
que je résume personnellement par
"toute donnée doit être accessible dans
un temps jugé acceptable, même en cas de dysfonctionnement".
Cela implique que toute donnée doit être dupliquée sur un support physique
accessible et distinct de l'ordinateur que l'on utilise. Donc
- soit sur un disque externe (j'utilise pour cela des disques firewire,
pas en RAID car je peut perdre une journée de "loisirs" une fois tous les 2-3 ans)
- soit sur un support de sauvegarde
- soit sur un autre ordinateur (les données de mes 2 Macs
se synchronisent automatiquement toutes les 24h ou à la demande,
avec un historique qui évite le défaut du RAID en cas de suppression erronée)
Pour me contacter
