«L'ouverture kurde» plusieurs fois promise par le gouvernement islamo-conservateur de Recep Tayyip Erdogan est restée lettre morte. Elle était censée élargir les droits collectifs, notamment sur le plan culturel et politique de cette population de 13,5 millions de personnes. Mais les violences ont repris dans le sud-est anatolien, peuplé en majorité de Kurdes, et les fêtes de Newroz, le Nouvel An kurde et iranien, risquent d'être marquées par de nouveaux affrontements.

Une lettre aux catholiques irlandais est publiée samedi matin.

Une lettre aux catholiques irlandais est publiée samedi matin.

Une lettre aux catholiques irlandais est publiée samedi matin.

Une lettre aux catholiques irlandais est publiée samedi matin.

Une lettre aux catholiques irlandais est publiée samedi matin.

Une lettre aux catholiques irlandais est publiée samedi matin.

Une lettre aux catholiques irlandais est publiée samedi matin.

La lettre dans laquelle Jamie Cudmore l'innocentait et que le 2e ligne canadien aurait fait parvenir à la Ligue nationale (LNR) n'a de toute évidence eu que peu ou alors pas du tout d'effets.

La Suisse est a son tour frappée par le scandale des abus sexuels commis au sein de l’Eglise. Mis sous pression, le pape réagit dans une lettre adressée aux catholiques d’Irlande. Mais selon plusieurs observateurs, cette prise de position ne va pas assez loin.

Suspecté de "fourchette" sur le deuxième ligne de Clermont Jamie Cudmore, le troisième ligne de Perpignan, Grégory Le Corvec, a écopé de 40 jours de suspension pour "autres brutalités". Malgré la lettre du Canadien le dédouanant, la commission de discipline de la LNR ne s'est pas montrée clémente.

Entre filles et garçons, les parcours universitaires demeurent nettement différenciés. Alors que les filles constituent 70 % des étudiants en lettres et sciences humaines, elles sont moins de 30 % dans le domaine des sciences fondamentales. Dans les classes préparatoires, elles ont investi les prépas littéraires (75 %) mais ne représentent que 30 % des prépas scientifiques.

Aux filles les lettres, aux garçons les sciences ? Ce principe reste vrai. Et la sélection ne se fait pas seulement au moment de l'entrée dans l'enseignement supérieur : les filles sont déjà minoritaires en filière scientifique au lycée. Les choses changent tout de même. Ainsi, les filles ont dépassé les garçons dans les prépas scientifiques. Et elles progressent dans les écoles d'ingénieurs : de 15,7 % des élèves en 1985 à 25,9 % en 2007. Reste qu'au rythme de 10 points en 20 ans, il leur faut encore un demi-siècle pour atteindre la parité...

Evolution du nombre de diplômés des écoles d'ingénieurs de 1985 à 2007 1985
1990
2000
2004
2007
Ensemble garçons + filles13 0031608024 62426 81727 520% de femmes15,718,722,824,725,9Toutes les écoles d'ingénieurs décernant des diplômes sont situées en France métropolitaine.Source : Ministère de l'Education nationale - Repères et références statistiques 2009 Proportion de filles par discipline universitaire Effectif total
Part de filles
en %Lettres, pluri-lettres, langues, sciences humaines, sociales420 14970,9Médecine, odontologie, pharmacie190 86661 ,9Droit, sciences politiques179 12564,6Sciences économiques, gestion136 47451,2 AES38 02959,8Sciences fondamentales et applications, pluri-sciences180 99029,8Sciences de la nature et de la vie69 74258,9STAPS (sport)32 15232,3IUT116 22339,4TOTAL1 363 75056,9Source : Ministère de l'Education nationale, Année universitaire 2007-2008 Proportion de filles dans les classes préparatoires et dans les grandes écoles Effectif total
Part de filles
en %Classes prépa (CPGE)78 07243 - scientifiques48 36130 - économiques18 32355 - littéraires11 38875Ecoles d'ingénieurs104 21827Ecoles de commerce87 66648Normale sup (ENS)3 68039ENA (promotion 2008)8140Polytechnique (2008)39914Source : Ministère de l'Education nationale, Ena, Ecole polytechnique - Année scolaire 2007-2008

Voir aussi : "Les filles meilleures élèves que les garçons ?"

Typiquement le genre d’application qui donne toutes ses lettres de noblesses à l’expression “inutile donc indispensable”, que cette application proposée par THQ et qui devrait débarquer sur l’AppStore incessamment sous peu (le mois prochain). Nommée Lightsaber Duel, elle permettra aux possesseurs d’iPhone de se livrer à des duels de sabres laser via Bluetooth, le tout en ayant la possibilité de sélectionner l’un des 11 personnages de la saga. Hum…

via mobile-ent

Le syndicat CFE-CGC-UNSA, très en pointe sur la question des suicides à France Télécom, déplore qu'aucun suicide de fonctionnaires "n'ait été requalifié en accidents de service", dans une lettre ouverte au président de la République.

La multiplicité des profils d'internautes n'est pas un frein à la richesse des informations rédigées sur des sites collaboratifs comme l'encyclopédie en ligne. En effet, tous ne remplissent pas le même rôle... (La Lettre de l'Atelier - 15 mars 2010) www.atelier.fr/...

Source : Blog Ardesi (s'abonner)

Explorer : High-tech, Internet, Wiki, Wikipedia

Tous les soirs à 18h15 sur France 2, autour de Julien Courbet, deux candidats épaulés chacun par deux personnalités, jouent et s’amusent avec les mots, avec l’orthographe et les citations de la langue française : En toutes lettres.


Des rencontres où chaque jour cinq jeux conduisent en[...]

Sur France 2, le jeu "En toutes lettres" présenté par Julien Courbet, accueille actuellement un gagnant avec un très gros potentiel. Il en est à sa...

J’ai été invité par les étudiants de Paris 11 pour donner une conférence sur les réseaux sociaux et la politique. Je me suis dit que j’allais reprendre du début (et commencer par citer quelques passages du Peuple des connecteurs). D’abord, donner à ruminer une citation de Nietzsche, paragraphe 4 du Gai savoir.

Le nouveau cependant est dans tous les cas le Mal en tant que ce qui veut conquérir, fouler aux pieds les anciennes bornes des frontières et les anciennes piétés ; et seul l’ancien constitue le Bien ! Les hommes bons de chaque époque sont ceux qui labourent à fond les anciennes pensées, et qui les font fructifier ; ce sont les cultivateurs de l’esprit. Mais à la fin tel champ ne rapporte plus et sans cesse il faut que le soc de la charrue du Mal vienne le remuer de nouveau.

Les six degrés de séparation

En 1929, l’écrivain hongrois Frigyes Karinthy pressentit l’avènement d’un nouvel ordre social. Il imagina que nous étions tous connectés les uns aux autres par l’intermédiaire des amis de nos amis. Plutôt que de recevoir des informations venant d’en haut (gouvernement, journaux, patron...), nous étions, selon lui, capables de communiquer transversalement les uns avec les autres.

Cette idée resta d’ordre poétique jusqu’à ce que le sociologue Stanley Milgram se demande combien d’intermédiaires séparaient effectivement deux personnes choisies au hasard. En 1967, Milgram proposa à des habitants du Nebraska et du Kansas d’envoyer une lettre à un Bostonien dont ils n’avaient jamais entendu parler.

– Quand je demandai à un ami intelligent par combien d’intermédiaires devraient passer les lettres, il estima qu’il en faudrait au moins une centaine, expliqua Milgram.

À sa grande surprise, les lettres parvinrent à leur destinataire en passant par six intermédiaires en moyenne. La légende des six degrés de séparation était née : nous ne sommes pas socialement très éloignés les uns des autres. L’humanité forme un petit monde où nous nous connaissons indirectement presque tous.

L’idée de cartographier la société était née. Il fallut attendre la fin des années 1990 pour que les premières cartes apparaissent, et surtout les années 2000 et l’apparition des réseaux sociaux pour obtenir des cartes détaillées.

Les trois familles de réseau

À quoi pouvaient bien ressembler ces cartes ? Le 8 janvier 1959, à la suite de Che Guevara, Fidel Castro entra dans La Havane et chassa le dictateur Fulgencio Batista y Zaldivar. Cette prise de pouvoir entraîna le durcissement de la guerre froide. L’URSS apporta son soutien économique à Cuba puis installa sur l’île des missiles balistiques. La peur de l’embrasement nucléaire était à son comble.

En Californie, dans les bureaux de RAND Corporation, Paul Baran reçut pour mission de dessiner un système de communication permettant de résister à une attaque atomique. Cet ingénieur de 38 ans, qui venait de quitter une société pionnière dans la fabrication d’ordinateurs – domaine qu’il jugeait de peu d’avenir –, fut malgré lui ramené à l’informatique. Il analysa les réseaux de communication existant au début des années 1960 et découvrit qu’ils étaient de deux sortes.

• Dans un réseau en étoile, toutes les stations communiquent avec une station centrale, le nÅ“ud du réseau. Il suffit qu’elle soit détruite ou victime d’une panne pour que le réseau s’effondre. Cette architecture hautement centralisée ne possède aucune robustesse (entreprise pyramidale, dictature avec dictateur au sommet…).
• Le plus souvent, les réseaux en étoile s’interconnectent entre eux par l’intermédiaire de leur nÅ“ud et forment une architecture décentralisée. Si les nÅ“uds sont faiblement interconnectés, le réseau reste vulnérable (liaisons aériennes avec des aéroports qui jouent le rôle de hub).

– La question devint de trouver comment construire une structure fiable à partir de composants vulnérables, expliqua Paul Baran.

En 1964, il proposa un nouveau type d’architecture : le réseau distribué. Dans un tel réseau, qui forme un filet au maillage étroit, aucun des nÅ“uds ne joue un rôle prédominant. Tous les nÅ“uds s’interconnectent à d’autres nÅ“uds : si l’un d’eux est détruit, les communications restent néanmoins possibles. Cette architecture, bien plus résistante que l’architecture centralisée du réseau en étoile, apparaît aussi plus résistante que l’architecture décentralisée. Le réseau distribué est, en fait, un réseau hautement décentralisé (réseau routier).

Les militaires, habitués à vivre dans un monde dominé par la hiérarchie, apprécièrent peu la suggestion de Paul Baran. De son côté, l’opérateur téléphonique AT&T déclara la solution techniquement irréalisable. Pourtant, Internet n’allait pas tarder à voir le jour, suivant cette topologie imaginée par Paul Baran mais sans s’appuyer sur ses travaux, plusieurs personnes et institutions pensant chacune des bouts d’Internet sans encore le savoir.

Internet a poussé sans que personne ne le décide, le planifie, le commandite. Aujourd’hui, il interconnecte 2 milliards d’hommes et de femmes. C’est la démonstration que en l’absence de chef et de coordination top-down nous pouvons construire de grandes choses..

J’en reviens aux réseaux sociaux naturels (ceux observés par les sociologues), comme à ceux que nous créons sur Facebook ou Twitter. Spontanément, ils adoptent cette topologie distribuée et hautement décentralisée imaginée par Paul Baran. Il y existe des étoiles, des gens plus connectés que d’autres, mais les branches aussi s’interconnectent.

Centralisé ou décentralisé

On dit toujours que Facebook avec ses 400 millions d’utilisateurs est le plus grand réseau social. Faux. Le Web est déjà un réseau social. Pensez aux blogs, aux forums, aux sites communautaires comme 4chan...

Tous ces sites ne se contentent pas de lier entre elles des informations, mais surtout, avant tout, les gens qui les produisent et qui les discutent (je les appelle les propulseurs). Pourquoi Facebook est-il devenu si populaire ? Parce qu’il facilite l’interaction. Mais cette facilité a un prix faramineux.

Le Web est un environnement décentralisé pour créer un réseau social décentralisé. Facebook est un environnement centralisé pour créer un réseau décentralisé. Le résultat est en apparence identique, mais j’insiste sur les dessous, décentralisation dans un cas, centralisation dans un autre.

C’est un peu comme si je vous parlais de deux voitures allant à la même vitesse, possédant les mêmes caractéristiques, l’une avec un moteur essence, l’autre un moteur diésel. Si vous n’êtes pas un fan de mécanique, vous vous fichez certainement du moteur tant que la voiture vous aide à vous déplacer. De même, tant que vous utilisez les réseaux sociaux pour badiner, le moteur ne pose guère de problème. Il en va tout autrement si vous êtes engagés politiquement.

La révolution iranienne de 2009

Facebook et Tweeter ont bien sûr aidé les Iraniens à se coordonner et à communiquer avec le reste du monde mais, parce que ces réseaux reposent sur des environnements centralisés, ils ont été tout de suite pris en main par le gouvernement iranien.

Rien de plus facile que de repérer les leaders, de faire circuler leurs photos, de les traquer, de les emprisonner... Il suffisait d’aller sur Facebook ou sur Twitter, deux lieux centralisés. C’est un peu comme si les résistants durant la Seconde Guerre mondiale donnaient l’adresse de leurs réunions aux nazis.

Si un gouvernement, même totalitaire, ne peut de but en blanc couper Internet, dont dépend aujourd’hui l’économie, il peut en revanche bloquer certains sites, les ralentir, les espionner à loisir.

Quand on se trouve dans un pays politiquement agité, il est donc important de faire attention aux environnements qui sous-tendent les réseaux sociaux. Si on veut faire la révolution contre le totalitarisme, qui se traduit souvent par un excès de centralisation, il faut utiliser des outils antinomiques, c’est-à-dire se glisser partout sur le web, de préférence à travers des services P2P qui garantissent l’anonymat, freenet par exemple.

Mais en démocratie

Vous allez me dire qu’en Occident nous ne trouvons pas dans la même situation que les Iraniens. Vous avez raison. Si vous entendez vous engager dans un parti officiel et jouer le jeu démocratique traditionnel, celui admis dans votre pays, utilisez des outils clé en main comme Facebook.

Comme ils sont centralisés, vos opposants comme le gouvernement pourront vous surveiller avec facilité, mais, comme vous êtes dans la légalité, ils exerceront sur vous peu de pression.

En revanche, si avec ces outils centralisés vous sortez de la légalité, vous aurez vite des problèmes. Est-ce si difficile de sortir de la légalité ? Ne suffit-il pas de télécharger des films et de les partager ? Ne suffit-il pas ainsi de militer pour une société de l’abondance face à une société de la rareté ?

J’en reviens à la citation de Nietzsche. Les méchants d’une époque deviennent souvent les bons d’une autre. Un réformateur commence par être un méchant. En tant qu’opposant de la loi Hadopi, je suis dans le camp des méchants, un jour si le gouvernement durcit sa position je devrais comme les Iraniens obligatoirement passer par des outils sociaux décentralisés... pour échapper à la chasse aux sorcières.

Ainsi pas besoin d’être un terroriste d’Al Qaïda pour attirer la suspicion même en démocratie. Un autre exemple : vous militez pour la légalisation des monnaies alternatives et le droit pour chacun de créer de la monnaie, pire vous mettez en application vos idées. Vous êtes hors la loi dans les démocraties modernes (ce qui montre bien que nous n’avons pas fini d’inventer la démocratie).

Vous le voyez, on a vite fait de se mettre en position tangentielle. Alors si vous êtes tentés par des idées nouvelles, n’utilisez surtout pas les réseaux sociaux centralisés. Ne commettez pas la même erreur que les Iraniens. Vous devez construire vos réseaux sur le Web lui-même, suivant des structures décentralisées, plus difficiles à surveiller, à verrouiller, à infiltrer, à prévoir...

Pour résumer, Facebook et Twitter sont bons pour la politique à papa. Le Web reste le seul réseau social qui nous permet de repenser la politique, et de repenser la démocratie elle-même. En tout cas, si vous estimez qu’elle doit être encore perfectionnée.

Bottom-up vs top-down

Pour terminer, il me parait important de rappeler la différence entre le top-down et le bottom-up.

Le top-down, vous connaissez. C’est « Fait ça et tais-toi. » C’est le système qui prévaut dans les organisations pyramidales et dans de nombreux partis politiques. Les cadres définissent les mots d’ordre et organisent le travail des militants. Dans ces conditions, les réseaux sociaux deviennent des outils de communication, sortes de TV améliorées, pratiques pour récupérer des adresses et compter ses rangs.

Pour moi, en France, les partis en sont encore à ce stade. Il n’est d’ailleurs pas étonnant qu’ils déploient tous leurs réseaux sociaux maison. Ils ont bien compris que Facebook était facile à espionner et que les patrons de Facebook disposaient d’une richesse inestimable, la carte sociale. Ils veulent alors s’approprier cette richesse, tout en maximisant leur contrôle sur leurs membres. Voilà pourquoi ils déploient des outils centralisés. S’ils étaient progressistes, ces partis feraient un pas vers le réseau social décentralisé.

Le bottom-up maintenant. Les Iraniens se sont organisés de manière spontanée, en plusieurs points du pays, pour créer un mouvement d’ensemble qui a grossi. Nous avons assisté au même phénomène en 2005 en France avec les partisans du non lors des élections européennes. Comme pour Internet, personne ne s’est décrété a priori le chef de ces mouvements. Ils sont nés d’eux-mêmes, par une espèce de pression sociale tout azimut. Dans le premier cas, je le rappelle, grâce à des outils centralisés. Dans le second, à travers le Web d’une manière totalement décentralisée.

Le bottom-up, boosté par les réseaux sociaux, ne garantit pas l’indépendance. Lui aussi être une arme entre les mains des politiciens. Obama, lors de sa près-campagne et de sa campagne 2007-2008, nous en a fait la démonstration. Dans une moindre mesure, Ségolène Royal en 2006 lors des primaires au PS. Le bottom-up peut-être organisé de manière top-down. C’est une façon de profiter de l’intelligence collective, de la mettre au service d’une structure de pouvoir traditionnelle. Cela est facilité lorsque le bottom-up se fédère sur des outils centralisés.

A priori, en théorie, aucune méthode d’organisation n’est meilleure que les autres. Tout dépend des combats, des situations. Il est en tout cas important de prendre conscience du cadre dans lequel on agit.

• Top-down et obéissance.
• Bottom-up contrôlé top-down.
• Bottom-up spontané avec des outils centralisés.
• Bottom-up spontané avec des outils décentralisés, c’est ce que j’appelle le cinquième pouvoir. Il nous a donné Internet, le Web, Wikipedia dans une certaine mesure… et j’espère qu’il nous donnera une meilleure démocratie dans un monde plus humain.

Lettre ouverte d'électeurs de la région PACA qui dénoncent la présence, —en position éligible— sur la liste de Michel Vauzelle (PS), du président de l'Association pour le Bien-être du Soldat Israélien (ABSI). Être pour une paix fondée sur l'égalité des droits Ou être complice d'une armée d'occupation, Nous avons choisi. La guerre au Proche-Orient n'est ni une guerre religieuse, ni une guerre raciale, ni un conflit communautaire. Elle porte sur des principes universels : le refus du colonialisme et de (...) - Infos globales / En débat

Article publié le 27/08/2009

Dans cet article, nous aborderons la connexion à distance vers un PC sous GNU/Linux. L'intérêt premier est évidemment l'administration d'une machine à distance, mais cela peut également être utile pour la récupération de fichiers lors de voyages à l'étranger. Outre la mise en place d'un serveur SSH, nous traiterons de la gestion firewall, du routeur éventuel ainsi que de l'adresse IP dynamique.

Configuration du serveur

Le serveur est la machine à laquelle vous voulez vous connecter, et qui retiendra la majorité de notre attention. Cette machine devra être équipée d'une distribution GNU/Linux quelconque. Une installation sous Windows est possible, mais semble être plus du bricolage qu'autre chose.

IP fixe sur le LAN

Par défaut, l'attribution de l'adresse IP sur le réseau local (LAN) se fait par DHCP, et est donc variable. Cela peut poser des problèmes lorsque, par exemple, le routeur devra transférer les données vers votre serveur. La première chose à faire est donc d'attribuer une IP fixe à votre serveur. Pour cela, vous devez connaitre l'adresse IP de votre passerelle ainsi que la gamme d'adresses IP attribuées. Par exemple, chez la passerelle est 192.168.1.1 et les IP sont attribuées entre 192.168.1.2 et 192.168.1.254. La configuration à appliquer dans votre système devra ressembler à ça :

Configuration en IP fixe

Cette fenêtre varie d'une distribution à l'autre, mais elle est souvent accessible via un clic sur l'applet de connexion réseau. Vous devrez peut-être aussi indiquez les serveurs DNS (permettant de faire le lien entre une adresse IP et le nom de domaine) ; indiquez ceux d'OpenDNS, à savoir 208.67.222.222 et 208.67.220.220.

Installation du serveur SSH

Installons tout d'abord le serveur SSH, à savoir OpenSSH. Sous debian/Ubuntu :

marty@serveur:~$ sudo apt-get install openssh-server

À ce stade, le serveur est déjà opérationnel, mais allons tout d'abord faire un tour dans les options de configuration du fichier /etc/sshd.conf. La majorité des options par défaut sont bonnes, mais nous allons en modifier quelques unes. Tout d'abord le port d'écoute, par défaut 22, peut être modifié :

Port 12345

Changer le port par défaut permet de réduire les tentatives de connexion par des robots. Évidemment, une personne physique effectuant un scan de port complet pourra facilement trouver les ports ouverts. Ensuite, s'assurer que la connexion en root est impossible :

PermitRootLogin no

Root est le seul utilisateur commun à toutes les distributions (excepté Ubuntu, pour lequel il est désactivé par défaut et remplacé par sudo). Par conséquent, interdire la connexion à root obligera un attaquant éventuel à trouver un nom d'utilisateur existant. Et finalement, désactiver l'authentification par mot de passe :

PasswordAuthentication no UsePAM no

Comment allons-nous nous connecter au serveur ? Et bien en utilisant ce que nous avons appris précédemment, à savoir une paire de clés ! De manière similaire à ce que nous faisions avec GnuPG, nous génèrerons une paire de clé sur chaque client, et nous fournirons la clé publique au serveur. De cette façon, seuls les clients ayant une clé enregistrée sur le serveur pourront s'y connecter. Notez que dans un premier temps, vous devrez avoir un accès physique au serveur pour copier la clé publique. Si ce n'est pas le cas, laissez les paramètres précédents sur « yes » le temps d'enregistrer votre clé.

Quand ces modifications ont été appliquées, relancez le démon ssh :

marty@serveur:~$ sudo /etc/init.d/ssh restart Routeur et configuration du firewall via Webmin

Si vous êtes derrière un routeur, et que votre serveur doit être accessible depuis d'extérieur de votre LAN, vous devez transférer le port choisi vers votre serveur. Concernant le firewall, si vous savez comment configurer le votre, ouvrez simplement le port que vous avez attribué, sous le protocole TCP. Si ce n'est pas le cas ou que vous voulez découvrir Webmin, lisez donc la suite ;-)

Tout bon serveur qui se respecte se doit d'avoir un firewall bien configuré. Sous GNU/Linux, le firewall intégré au système est Netfilter. Il existe plusieurs possibilités pour le configurer :

• en ligne de commande, grâce à iptables ou shorewall
• en utilisant le firewall Firestarter
• grâce à Webmin, un outil d'administration graphique assez général

Si Firestarter reste la solution la plus simple, c'est aussi la moins « propre » vu ses possibilités limitées et sa configuration basique. Iptables requiert quant à lui un peu d'expérience pour être manipulé correctement. Reste alors Webmin, assez simple d'accès tout en proposant des possibilités de configuration poussées. C'est celui-ci que nous allons utiliser. Notez que les firewalls graphiques n'enregistrent pas leur configuration directement dans Netfilter : ils ont besoin d'être lancés pour que les règles soient appliquées. En outre, si deux firewalls fonctionnent en même temps, ce sont les règles du dernier ayant été lancé qui seront appliquées. Veillez donc à n'avoir qu'un firewall bien configuré sur votre machine pour éviter les embrouilles ;-)

Procurez-vous tout d'abord Webmin, celui-ci étant disponible pour de nombreuses distributions. Après installation, rendez vous sur la page https://localhost:10000/ via votre navigateur web. L'utilisateur est root, et votre mot de passe est votre mot de passe root. Pour les utilisateurs d'Ubuntu, veuillez vous référer à cette page pour activer le compte root. Rendez à la page Networking → Linux Firewall.

Dans la partie Incoming packets (INPUT), voici les 5 règles de base à appliquer :

Accept If state of connection is ESTABLISHED,RELATED Accept If source is 127.0.0.1 and input interface is lo Accept If protocol is ICMP Log packet Always Drop Always

La règle « Log packet » va, comme son nom l'indique, établir un log des paquets qui seront rejetés dans /var/log/messages. Pour les retrouver facilement, je conseille d'ajouter dans la case « Additional parameters » (lors de la création de la règle) l'instruction :

--log-prefix "[IPTABLES DROP]: "

Dans la partie Forwarded packets (FORWARD), on refuse tout :

Drop Always

Je laisse la partie Outgoing packets (OUTPUT) vide, ce qui signifie que toutes les connexions sortantes sont autorisées. Vous devriez trouver assez facilement comment créer ces règle, ce n'est pas bien compliqué. Veillez tout de même à sélectionner « Equals » au lieu de « Ignored » pour les cases modifiées. L'ordre des règle est très important : elles seront appliquées de haut en bas. Il faut donc toujours que la règle « Drop Always » soit la dernière !

Pour SSH, la règle à appliquer dans Incoming packets (INPUT) est :

Accept If protocol is TCP and destination port is 12345

Nous parlons bien de port de destination. En effet, comme ce sont les paquets entrant, leur destination est bien notre serveur. 12345 est évidemment à remplacer par le port que vous avez choisi. Cliquez finalement sur « Apply Configuration », et choisissez « Yes » pour « Activate on boot ».

Protection contre les attaques « brute force » : fail2ban

Une attaque par « force brute » est une attaque tout ce qu'il y a de plus basique. Elle consiste à essayer toutes les combinaisons possibles de lettres/chiffres jusqu'à trouver le bon mot de passe. Elle est souvent combinée à une attaque par dictionnaire pour améliorer la vitesse de cassage. On comprend facilement que l'efficacité de ce type d'attaque dépend de la solidité du mot de passe choisi : « banane76″ risque d'être découvert beaucoup plus rapidement que « a0D€8È}~v£2%ï2″.

Pour se prémunir d'une telle attaque sur son serveur SSH, les précautions précédentes (pas de connexion en root, changement du port pour limiter les attaques par des robots) permettent déjà de limiter les risques. Si la connexion par mot de passe est désactivée, ces attaques seront totalement inefficaces. Cependant, on peut vouloir laisser cette possibilité active pour une raison ou une autre. Fail2ban va nous aider à nous protéger contre les attaquants éventuels (et n'ayez crainte, vous devrez y faire face très rapidement). Le principe est simple : bannir les adresses IP qui ont effectué trop de tentatives infructueuses de connexion, via une règle dans le firewall.

Tout d'abord, installer fail2ban :

marty@serveur:~$ sudo apt-get install fail2ban

Ouvrez ensuite le fichier /etc/fail2ban/jail.conf, et cherchez les parties suivantes :

[DEFAULT] ignoreip = 127.0.0.1 bantime = 900 findtime = 600 maxretry = 3 [ssh] enabled = true port = ssh filter = sshd logpath = /var/log/auth.log maxretry = 6

La partie [DEFAULT] contient les options par défaut, alors que la partie [ssh] les options propres à SSH (sans déconner !). Passons-les en revue :

• ignoreip permet d'ignorer les connexions venant d'une certaine adresse IP, ici l'adresse IP locale
• bantime est la durée de bannissement d'une adresse attaquant
• findtime est le laps de temps pendant lequel les connexions d'une même IP vont être analysée
• maxretry est le nombre maximum de tentative de connexions infructueuses avant bannissement

Dans mon cas, si le serveur reçoit 6 connexions infructueuses (maxretry) en moins de 10 minutes (findtime), l'adresse IP sera bannie 15 minutes (bantime). Dans le cas de SSH, un mot de passe est demandé 3 fois à chaque connexion, ce qui fait au maximum 72 essais par heure et par adresse IP.

Après configuration, relancez fail2ban :

marty@serveur:~$ sudo fail2ban-client reload

Vous pouvez également vérifier s'il fonctionne correctement :

marty@serveur:~$ sudo /etc/init.d/fail2ban status

Voilà, avec ça vous devriez être tranquille.

Adresse IP dynamique

Si votre FAI vous attribue une adresse IP dynamique (adresse IP de votre ordinateur sur Internet, pas sur le réseau local !), vous aurez besoin d'un service comme DynDNS. Celui-ci vous permettra d'associer à votre serveur un nom de domaine, et ce gratuitement. L'adresse IP sera mise à jour grâce au logiciel ddclient que nous installerons plus tard.

Vous devez tout d'abord vous créer un compte sur le site de DynDNS. Allez ensuite sur la page « Host Services », et cliquez sur « Add New Hostname ». Choisissez un nom de domaine, sélectionnez « Host with IP address » et indiquez votre adresse IP. Pour mettre à jour l'IP, trois possibilités :

• le faire manuellement via l'interface de DynDNS (peu pratique)
• via l'interface de votre modem/routeur/*box : certains appareils disposent en effet de la possibilité d'enregistrer un compte et de mettre à jour votre IP automatiquement
• en installant ddclient

Installez ddclient :

marty@serveur:~$ sudo apt-get install ddclient

La configuration du fichier /etc/ddclient.conf devrait ressembler à ceci :

## ddclient configuration file daemon=300 # check every 300 seconds syslog=yes # log update msgs to syslog pid=/var/run/ddclient.pid # record PID in file. ssl=yes ## Detect IP with our CheckIP server use=web, web=checkip.dyndns.com/, web-skip='IP Address' ## Default options protocol=dyndns2 ## DynDNS username and password here server=members.dyndns.org login=YYYYYYYY password='XXXXXXXX' ## Dynamic DNS hosts blablabla.tatata.com

Indiquez votre login, mot de passe (entre guillemets simples) ainsi que le(s) nom(s) de domaine. J'ai choisi de faire la mise à jour toutes les 5 minutes.

Configuration du client

Côté client, la configuration est très simple. Après installation du paquet openssh-client, connectez-vous grâce à la commande :

marty@client:~$ ssh -p 12345 login@blablabla.tatata.com

où login est votre login sur le serveur et 12345 à remplacer par le port choisi. Notez que si vous vous connectez depuis votre réseau local, il y a de fortes chances pour que l'utilisation du nom de domaine ne fonctionne pas. Il faudra plutôt utiliser l'adresse IP fixe du serveur. Si vous avez laissé le port par défaut (22), l'option -p est inutile.

Authentification par clé publique/privée

Rappelez-vous : nous devions utiliser la connexion par clé publique/privée ! Dans le cas où la connexion via mot de passe est désactivée, cette commande ne fonctionnera pas. Générons la paire de clé :

marty@client:~$ ssh-keygen -t dsa

Laissez les options par défaut, et indiquez une phrase de passe. Ensuite, vous devrez copier le contenu du fichier ~/.ssh/id_dsa.pub dans le fichier /home/login/.ssh/authorized_keys de votre serveur. Si la connexion par mot de passe n'est pas désactivée, vous pouvez utiliser la ligne :

marty@client:~$ ssh login@blablabla.tatata.com "echo $(cat ~/.ssh/id_dsa.pub) >> .ssh/authorized_keys"

(sur une seule ligne) Grâce à la même commande que précédemment, connectez-vous sur votre serveur. Votre phrase de passe vous sera demandée à la place de votre mot de passe, et si cela fonctionne, vous pouvez désactiver l'autorisation par mot de passe si ce n'est déjà fait (soyez tout de même sûr de pouvoir accéder physiquement au serveur au cas où votre clé privée serait perdue).

Taper sa phrase de passe, c'est chiant... Oui, je sais. Nous allons donc utiliser ssh-agent pour nous faciliter la vie. Dans un terminal, tapez :

marty@client:~$ ssh-add

et entrez votre phrase de passe. Connectez vous sur votre serveur et là, magie, votre phrase de passe ne vous est plus demandée ! C'est là un énorme avantage d'utiliser l'authentification par clé publique/privée plutôt que par mot de passe. Il suffit d'entrer sa phrase de passe en début de session, et on est tranquille toute la journée ;-) Il est possible de fournir la même clé publique sur plusieurs serveurs SSH : une fois la passphrase enregistrée, les connexions se font sans mot de passe. Qui plus est, on n'a pas à retenir un mot de passe différent pour chaque serveur.

Transfert de fichiers

Il est possible de transférer des fichiers via SSH grâce à la commande scp. Pour envoyer un fichier sur le serveur :

marty@client:~$ scp -P 12345 fichier marty@serveur:/dossier/serveur

Pour récupérer un fichier du serveur :

marty@client:~$ scp -P 12345 marty@serveur:/dossier/fichier /dossier/client

Attention, c'est bien un P majuscule !

Le logiciel gftp permet de faire graphiquement la même chose que scp. Il se présente sous la forme de deux fenêtres, une pour le client et une pour le serveur.

Gftp

Faites attention de sélectionner le bon type de fichier (ASCII -- fichier texte simple -- ou Binaire -- le reste) dans le menu « FTP ».

Et les autres OS ?

Le noyau de Mac OS X étant un dérivé de BSD, les lignes de commandes devraient être identiques. Sous Windows, allez voir du côté de PuTTY pour la ligne de commande et WinSCP comme équivalent de gftp.

Billet original de Marty.Votez pour cet article sur le Planet Libre.

La fondation Mozilla est très active. En plus de développer la prochaine version du navigateur Firefox, Mozilla travaille aussi sur plusieurs projets complémentaires qui à terme seront intégrés à son navigateur. L’un des tout derniers projets se nomme Contacts.

Cette application qui est en fait un module agit comme un agrégateur de contenu. Il récupèrera les informations concernant vos contacts depuis plusieurs sources. Ce qui vous permettra d’obtenir en théorie plus d’information sur chacun de vos contacts. Actuellement, uniquement quatre services supportent Contacts. Il s’agit de Twitter, Gmail, Carnet d’adresses (Mac) et Gravatar.

En plus de vous servir de carnet d’adresses unifié, ce module offre quelques fonctionnalités intéressantes. Lorsque vous adhérez à un nouveau réseau social ou service Web et que vous désirez importer votre carnet d’adresses. Contacts vous permettent de sélectionner les informations concernant vos contacts que vous révèlerez à ce service.

Vous pourrez ainsi sélectionner uniquement le mail de votre contact et exclure toutes les autres informations. Actuellement, vous n’avez pas le contrôle sur l’information que vous cédez aux réseaux sociaux lorsque vous importez votre carnet d’adresses.

Contacts offrent aussi un système de saisie semi-automatique. Par exemple, sur un site Web, vous remplissez un formulaire qui vous permet de partager du contenu par mail. Lorsque vous saisissez les premières lettres du nom de l’un de vos contacts, le système vous offrira les contacts correspondants.

Contacts est au tout début de son développement, attendez-vous à quelques bogues. Si la synchronisation de vos signets, mots de passe, historique et onglets vous intéresse, je vous suggère d’installer Mozilla Weave.
Benoit Descary

Liens:
Mozilla Contacts
Téléchargez Mozilla Contacts

InfosOutilsFroids



On a beau se faire le chantre de la veille via RSS il faut rester objectif, les newsletters sont largement plus utilisées pour se tenir informé. C'est le constat que j'avais fait en novembre 2004, lorsque je lançais la newsletter Outils Froids et c'est celui que je fais 6 ans plus tard au moment de changer de plateforme.

Cette lettre, à périodicité irrégulière, pointe vers chaque article paru dans ce blog et oriente vers ceux qui m'auront paru les plus utiles/importants a posteriori. Quelques rapides analyses complémentaires de l'actualité de la veille/KM/IE peuvent également y apparaître de manière non systématique.



Pour vous abonner/réabonner il suffit d'utiliser le formulaire sur votre gauche ou de vous rendre sur cette page Google Groups : http://groups.google.fr/group/lalettredoutilsfroids



J'espère...

Le site Generation-NT propose dans son dossier du jour un comparatif des principaux logiciels d'OCR du marché.Pour ceux qui ne sauraient pas ce que désignent ces 3 lettres OCR, voici un extrait de Wikipédia : OCR = abréviation du terme anglais optical character recognition (reconnaissance optique de caractères), qui permet de récupérer (à l'aide d'un scanner) le texte dans l'image d'un texte