Tails, ou la sécurité dans une clé USB

Ca fait un petit bout de temps que je n’avais pas créé de clé Tails. A vrai dire, je n’en n’avait pas eu l’utilité pendant la transition Windows-Ubuntu il y a un peu plus d’un an, et pas non plus l’occasion depuis que je fonctionne sur du libre.

Ca fait un petit bout de temps que je n’avais pas créé de clé Tails. A vrai dire, je n’en n’avait pas eu l’utilité pendant la transition Windows-Ubuntu il y a un peu plus d’un an, et pas non plus l’occasion depuis que je fonctionne sur du libre.

J’ai donc relevé mes manches mercredi matin et décidé de créer une clé Tails via mon terminal préféré.

Tails, c’est quoi ?

Il s’agit d’un système d’exploitation qui s’installe sur CD ou clé USB. C’est un outil donc très utiles pour les journalistes en zone « chelou » puisque, une fois le papier/son rédigé/monté et envoyé, il n’y a plus qu’à éteindre l’ordinateur, retirer la clé (ou le CD) et il ne restera plus aucune trace de la production sur l’ordinateur.

Vous pouvez donc aussi la perdre, la donner, la jeter à la poubelle en cas de problème, on ne pourra pas accéder à votre travail par ce biais puique, à la première utilisation, vous lui attribuez une phrase de passe.

Une clé bootable

Branchez votre clé USB, et démarrez votre ordinateur. Oui, dans cet ordre… L’ordinateur démarrera sur l’OS présent sur votre clé, Tails. Vous y êtes, avec un bureau Debian, du libre, donc. Et non, cela n’altère en rien votre ordinateur ou le/les OS qui tourne(nt) dessus, vous le(s) retrouverez une fois votre ordinateur éteint et redémarré sans la clé.

Comme à la maison

Tails est équipé d’audacity, pour ceux qui voudraient monter du son, de logiciels de bureautique (rédaction, tableur, etc.) et permet donc d’effectuer toutes les taches habituelles, un message s’affichant parfois pour vous dire que tel ou tel processus est en cours. La seule différence réside donc dans le fait que ce système est un poil moins rapide mais il faut se rappeler qu’il est utilisé depuis un périphérique extérieur. CQFD.

Capture du 2013-08-21 17:48:37

Anonymat et sécurité

La clé est équipée du pack vous permettant de surfer anonymement, via Tor, déjà installé et en cours de fonctionnement dès que vous bootez sur la clé. Votre trafic passe par ce réseau… sauf si vous choisissez d’utiliser un autre navigateur fourni où il est précisé, au démarrage, que votre trafic ne passera pas par le réseau Tor.

Vous trouvez aussi de quoi chiffrer vos documents et même, une couverture rigolote qui, en option, peut donner des allures de Windows à votre bureau.

La seul limite reste le fait que cette clé bootable n’est pas utilisable dans un cybercafé puisqu’elle nécessite le redémarrage de la machine, impossible de passer inaperçu avec les compteurs de temps des cybers.

L’installation

Nous y voilà. Chez Windows, de l’userfriendly comme d’habitude, mais surtout une démarche que l’on exécute sans trop la comprendre : on sélectionne l’iso, on sélectionne le périphérique de destination pour l’installation et on laisse la machine mouliner en vaquant à d’autres joyeusetés.

Chez Ubuntu, c’était donc ma première création de clé Tails via cet OS, on se remonte les manches et on dégaine la ligne de commande. Il faut d’abord installer Syslinux dans lequel se trouve l’outil isohybrid qui nous intéresse

sudo apt-get install syslinux

Premier probleme, souvent le même sur les tutos, c’est que le « sudo » pour les utilisateur Ubuntu, n’est pas précisé. Le novice qui a décidé d’utiliser Ubuntu, se trouve donc face à un mur dès le début avec une commande « apt-get… » sans savoir faire un « su » pour passer en mode root ou tout simplement un « sudo » avant la commande.

Il fut ensuite brancher votre clé USB, vierge cela va sans dire, et la retrouver parmi vos fichiers sur terminal. En général /dev/sdquelquechose

Et c’est parti pour l’install !

isohybrid [tails.iso] –entry 4 –type 0x1c

dd if=[tails.iso] of=[device] bs=16M

sauf que…

sauf que [tails.iso] est à remplacer par le chemin jusqu’à l’iso parmi vos fichiers et que [device] est à remplacer par votre clé « dev/truc »

Autrement dit, si vous ne maîtrisez pas la ligne de commande, c’est coton.

Cette commande qui me nous paraît simple, et vite réglée si l’on triche à coup d’autocomplétion, est tout bonnement irréalisable par un novice.

On se heurte donc au problème habituel du libre, pas encore assez user friendly et accessible, même si, contrairement à Windows, on contrôle (et on comprend) exactement toute les actions de A à Z et ça, c’est pour moi la base… même si le novice aura d’autres attentes et se retrouvera bloqué.

Conclusion

Je continuerai donc à prêcher pour le libre, même si, je conseillerai à certaines personnes, de faire leur clé Tails via Windows, sous peine de les voir abandonner.

  • Les liens qui vont bien

A toi de jouer
Protéger ses sources
Il était une fois un clicodrome

#RasPi IP : premiers tripatouillages

C’est reparti pour une installation Raspbian, d’abord sur Ubuntu, via ligne de commande, DD toussa. Première surprise, Ubuntu ne reconnaît pas ma carte SD, même via autocomplétion, l’après /Dev/ est introuvable. sdb, sdb1, sdb tout ce que tu veux, rien n’y fait. Et si… ?

C’est reparti pour une installation Raspbian, d’abord sur Ubuntu, via ligne de commande, DD toussa. Première surprise, Ubuntu ne reconnaît pas ma carte SD, même via autocomplétion, l’après /Dev/ est introuvable. sdb, sdb1, sdb tout ce que tu veux, rien n’y fait. Et si… ?

Direction le Windows dual boot pour voir si j’ai plus de chance avec les explications de ce tuto. Il faut déjà télécharger le win32machin qui ne m’inspire pas vraiment confiance. les pages sont blindées de pubs, tu ne sais jamais ce que tu vas downloader tellement il y a de liens. Puis bon, sur Windows, on te demande rarement ton avis pour télécharger quoi que ce soit.

Après un slalom entre les pubs, nous voici avec le Win32machin en téléchargement, plus un lecteur de je sais pas quoi et un programme de conversion de fichiers qui seront désinstallés aussitôt.

Je lance le bousin et installe Raspbian sur… une clé USB qui était branchée en même temps. Ca a du me prendre une bonne demi heure pour m’apercevoir qu’en fait, rien n’était installé sur la carte SD. Donc reboot sur Windows, refait une tentaive, test et…

Ca fonctionne !

IMG363

Juju 1 – 0 Les machines

Le lendemain, prise en main, on va essayer de chercher ce petit Raspi en local…

Je commence par le wiki qui conseille de pinguer les IP voisines. Or, les deux fonctionnent, laquelle serait celle du RasPi ? hmm…

Je pars dans les configuration de la MachinBox qui ne reconnaît que le laptop, pourtant , le Pi est bien connecté via RJ45 et branché sur l’alim… Nouveau problème.

Capture du 2013-07-02 19:14:58

Je retente le ping, tout va pour le mieux dans le meilleur des mondes jusqu’à… Ben jusqu’à ce que je m’aperçoivent que le Raspi est connecté via un cable RJ 45 à mon switch sauf que… Sauf que mon switch n’est connecté à rien.

 L’install

Petit point install à mi-billet. Histoire de ne pas passer d’une pièce à l’autre dans le château pour aller voir le RasPi connecté à la MachinBox dans la chambre à chaque fois, j’ai installé mon switch au salon, à côté de moi, ce qui me permet de garder un œil sur la framboise.

Le switch est relié au long câblé qui court dans toute la maison (et dont je me sers habituellement pour le laptop) je rajoute deux câbles, un pour le RasPi et l’autre qui va jusqu’à l’ordinateur. Je n’ai branché ni clavier, ni écran sur le Pi, l’idée étant de tout gérer en ligne de commande.

 Juju 2 – 0 les machines

Donc, une fois tout ce petit monde connecté, et dans le bon ordre, l’index gauche collé sur la touche F5, rien n’y fait. Mais je suis têtue.  Je tente de me déconnecter de mon espace MachinBox et tout relancer pour voir si j’ai plus de chance pour reconnaître le RasPi.

Donc je relance le bousin, et là, surprise, j’ai bien mon RasPi et son adresse IP… On va pouvoir commencer à s’amuser. A lundi !

Capture du 2013-07-02 19:31:20

  • Les liens qui vont bien

Précédent billet sur le sujet : Prise en main #RasPi
Introduction à l’auto-hébergerment

Tor : sortie chelou et une heure de bidouille

Aujourd’hui, on va apprendre que ça peut servir de mater les connexions sortantes de son firewall.

Aujourd’hui, on va apprendre que ça peut servir de mater les connexions sortantes de son firewall.

J’ai changé d’OS il y a quelques temps en Upgradant mon Ubuntu pour passer à la LTS 12.04 et je dois dire que j’en suis très contente. Je prépare d’ailleurs une série de billets sur le sujet.

J’essaie, entre autres bonnes pratiques, d’avoir un œil sur les connexions entrantes/sortantes du firewall.

Ce soir là donc, au rayon des sorties, une connexion SSH vers un serveur où se trouve mon screen avec IRSSI, de l’IMAP pour les mails sur Thunderbird, des fenêtres et onglets ouverts sur Firefox et… une connexion sortant vers une IP Tor sur le port 443, m’indique la machine.

Capture d’écran 2013-05-03 à 11.14.47

Or, Tor n’est pas (encore) installé sur la machine. C’est là que les interrogations commencent.

Je lance un Whois de l’adresse IP en question, on me répond qu’il s’agit d’un nœud de sortie Tor.

Hmm hmm… (clique sur l’illustration pour l’agrandir)

Capture du 2013-05-03 07_41_32

Je me souviens.. J’avais essayé de l’installer mais, rencontrant un problème, visiblement assez courant, « exit code 127 » j’avais lancé la commande dans un terminal, comme indiqué dans ce tuto (ouais, des fois, j’aime tester des trucs fous…).

 ./start-tor-browser –debug

Et cela ne fonctionnait toujours pas.

Après m’être gratté la tête, j’avais repris ma configuration de machine, fichu le dossier Tor à la poubelle en attendant de m’y remettre une autre fois. Les jours ont passé jusqu’à ce que cette sortie apparaisse dans mon firewall.

Ne sachant pas d’où cela venait (et si le débug avait fonctionné ? et si oui pourquoi l’interface graphique ne veut pas s’afficher ?) et par mesure de sécurité, j’ai décidé de bloquer l’IP en question histoire de ne plus avoir de connexion sortante vers cette adresse.

Capture du 2013-05-02 19_23_23

A ce stade, je suis arrivée au bout de ma (toute) petite science et j’ai donc pingué les copains. Merci au passage à Vigdis et Kaiyou qui ont pris le relais. Après une petite explication de la situation et les captures d’écran pastées ici, le diagnostic est simple, Tor is running.

Sauf que je n’ai pas installé Tor et que pour qu’il mouline, d’habitude, il faut le mettre en route. Vigdis me conseille une commande :

dpkg -l |grep Tor

Effectivement, une liste de services Tor apparaît. Le machin est bien en train de tourner en arrière plan mais sans que je ne l’ai demandé. J’ai donc décidé de virer l’IP des connexions à bloquer et surtout de désinstaller le tout et refaire une install toute propre où je pourrai configurer un relais via clicodrome… Pour gérer tout ça en ligne de commande, on va encore attendre un peu.

Au final, j’ai passé plus d’une heure sur cette histoire, j’ai pas mal cherché et bidouillé toute seule, appris plein de trucs… level up. Suite au prochain épisode. En attendant…

sudo apt-get autoremove tor

  • Les liens qui vont bien

Le site de Tor
Pourquoi il faut s’y mettre. Il était une fois un clicodrome

Syrie, Iran, cyberguerre, précarité, Libé, éducation, Internet, Ubuntu… Les liens du dimanche #9

Cette semaine, on ne fait pas dans la demi-mesure puisque ça pilonnerait au gaz sarin en Syrie. Chez les grands patrons, neuf sur dix sont des hommes, L’Iran lance son équivalent de youtube et continue sa marche force vers un intranet qui couperait sa population du reste du monde. En Angleterre, on embauche des cyber-réservistes, histoire de lutter contre les injections SQL dans les tiroirs à chaussettes de Buckingham.

Welcome in your world !

Cette semaine, on ne fait pas dans la demi-mesure puisque ça pilonnerait au gaz sarin en Syrie. Chez les grands patrons, neuf sur dix sont des hommes, L’Iran lance son équivalent de youtube et continue sa marche force vers un intranet qui couperait sa population du reste du monde. En Angleterre, on embauche des cyber-réservistes, histoire de lutter contre les injections SQL dans les tiroirs à chaussettes de Buckingham.

Continuer la lecture de « Syrie, Iran, cyberguerre, précarité, Libé, éducation, Internet, Ubuntu… Les liens du dimanche #9 »