Par le présent article je souhaiterai faire une sensibilisation qui relève de l'hygiène numérique.

# Récupération d'un PC abandonné

Dans la rue, pas très loin de chez moi, sur un trottoir devant une entreprise type PME, j'ai trouvé un PC abandonné. Je l'ai ramené chez moi pour voir si il y avait des choses de récupérable. Très poussiéreux, des traces de brûlure sur la carte mère. Rien. Si ce n'est un SSD et un disque dur.

Dans ma réserve de vielles machines, j'ai pris une tour, j'ai branché SSD et disque dur, écran, clavier, souris. Mais surtout pas le réseau. On est donc face à un PC dit "airgap"

# Airgap ?

Un PC airgap (ou "air-gapped computer" en anglais) est un ordinateur qui est physiquement isolé des réseaux non sécurisés, notamment d'Internet et des autres réseaux locaux. Le terme "airgap" signifie littéralement "espace d'air" : l'idée est qu'il n'y a aucun lien physique ou sans fil entre cet ordinateur et d'autres systèmes ou réseaux, ce qui le protège contre les cyberattaques provenant de l'extérieur.

Pourquoi utiliser un PC airgap ?
– Sécurité maximale : Il est utilisé pour protéger des données extrêmement sensibles, comme celles des gouvernements, des militaires, des infrastructures critiques (centrales nucléaires, systèmes bancaires, etc.) ou des entreprises manipulant des secrets industriels.
– Protection contre les cyberattaques : Sans connexion réseau, il est presque impossible pour un pirate informatique d'accéder à distance à l'ordinateur ou d'exfiltrer des données.
– Prévention des fuites de données : Les logiciels malveillants ou les ransomwares ne peuvent pas se propager vers ou depuis un PC airgap, sauf en cas de manipulation physique (par exemple, via une clé USB infectée).

# Contenu des disques

Sur le SSD, un OS Windows avec un compte nominatif verrouillé. Je redémarre donc avec une clef USB sur un live-USB d'une distribution Ubuntu. Et là.... j'ai bien accès à l'intégralité du contenu des deux disques : ils ne sont pas chiffrés !!!

Quand je dis intégralité, je ne suis pas allé plus loin que ce qu'illustre la capture d'écran.
J'aurai pu chercher des informations, informer sur les clients de l'entreprise et les informer, contacter la CNIL ou autre. Je n'ai rien fait de tout ça. Car c'est très certainement illégal.
J'ai de suite formaté le disque, regardé son état SMART (pour pouvoir si il est encore utilisable) et je l'utilise désormais pour du stockage de données volatiles (des VM de tests dans Proxmox). Les données ont disparues à tout jamais (pour être sûr et pour vérfier la santé du disque, un formatage bas niveau de plusieurs passages a été réalisé)

# Ce qu'il faut donc retenir

Plusieurs leçons :
– Abandonner une machine dans la rue est tout sauf écologique : il y a des recycleries pour recycler le matériel. C'est ce que j'ai fait (porter la machine en recyclerie)
– Abandonner un PC avec des données sur des disques dur non chiffrés : c'est très simple d'y accéder, de les consulter, de les récupérer.... et d'utiliser ces données à des fins malveillantes (même si c'est répréhensible par la loi). Si ce n'est pas chiffré, on formate le disque avec un outil qui va bien. Pas une fois (des outils comme Testdisk /recurva sont là pour récupérer les données) mais plusieurs fois, y a des tutoriels sur le sujet : la commande shred est très bien pour ça !
– L'entreprise a eu droit à un petit courrier anonyme et moralisateur de sensibilisation !

# Introduction & Adguard

J'ai en brouillon plusieurs articles et tutoriaux sur Adguard (l'équivalent de Pihole) que je fais tourner chez moi en local sur une machine via Yunohost. L'IP de la machine Yunohost (et donc de Adguard) est défini comme DNS par défaut fournie aux machines du réseau qui se connecte en DHCP (la Freebox sert de routeur). Ainsi toutes les machines du réseau bénéficie d'un filtrage des DNS pour bloquer publicités, tracker etc. (Fonctionnalités apportées par un PiHole/Adguard).

Le présent tutoriel n'a rien de spécifique et s'adapte facilement à toute configuration où il y a un serveur PiHole/Adguard et un serveur VPN Wireguard.

# Wireguard sur la Freebox

Sur la Freebox, j'ai activé la fonctionnalité de serveur Wireguard. Ainsi quand je suis à distance, je peux me connecter via un client sur le service VPN Wireguard de la Freebox (sur smartphone ou PC) et je surfe alors comme si j'étais chez moi (en affichant l'IP publique de ma box Freebox et non plus celle du réseau local), je sécurise ma connexion en chiffrant entre mon appareil et ma Freebox chez moi.

Dans l'interface de Freebox OS, j'ai crée un utilisateur, un compte Wireguard et récupéré le fichier généré.

On trouve facilement des tutoriels sur comment faire.

# Quelques explications sur le fichier généré

J'ai activé le serveur VPN sur différentes Freeebox (chez mes parents, une Mini 4k ; chez moi, une Freebox Révolution).

Voici les explications sur le contenu du fichier à fournir au client Wireguard. Comprendre permettra de modifier et d'adapter par la suite à des besoins plus avancés (qui ne sont pas le sujet de cet article).

[Interface] PrivateKey = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX Address = 192.168.27.68/32 DNS = 212.27.38.253 MTU = 1360 [Peer] PublicKey = /XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX= Endpoint = 82.XX.YY.ZZ:ABCD AllowedIPs = 0.0.0.0/0, 192.168.27.64/27, 192.168.0.0/24

Avec cette configuration, quand on se connecte avec le client Wireguard, on a accès au réseau local et on passe par la Freebox pour aller sur Internet. C'est comme si on était sur le réseau local.

L'adresse dans l'Interface est toujours sur la plage 192.168.27.6X/27.
La plage IP fournie en DHCP au réseau local est sur la plage 192.168.X.0/24

Pour que Wireguard puisse atteindre le réseau privé, il faut autoriser le dit réseau dans les AllowedIPs du Peer et il faut aussi autoriser le trafic de l'IP du client à atteindre le réseau. C'est ce qu'on retrouve dans le fichier de conf généré par la Freebox.

AllowedIPs = 0.0.0.0/0, 192.168.27.64/27, 192.168.X.0/24 (X à remplacer par la plage IP privée de la freebox)

Remarque : si vous ne voulez pas que le trafic internet passe par la Freebox, (mais soit en direct) et utiliser le VPN uniquement pour la connexion au réseau local, il faut supprimer 0.0.0.0/0

# Modification à apporter à la configuration par défaut

On est donc sur le réseau local, à une différence prêt : on a une IP routée différentes des IP fournies par le DHCP, et on a par défaut, usage du DNS indiqué, 212.27.38.253, qui est celui de Free.

C'est cette adresse IP qui est à remplacer par l'IP de son PI Hole/Adguard. Dans mon cas ça donne

[Interface] PrivateKey = XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX Address = 192.168.27.68/32 DNS = 192.168.0.1 MTU = 1360

Et comme le réseau local est accessible, la machine utilise alors le serveur PiHole/Adguard pour la résolution DNS.

# Comment vérifier ?

Tout simplement en allant l'interface web du PiHole/Adguard et on voit alors les requêtes émises par la machine (avec date & heure de connexion), avec une adresse IP dans la plage 192.168.27.6X/27.

# Aller plus loin

Si on a une configuration particulière pour certaines machines, comme des NAS avec un parefeu, pour atteindre le NAS qui est sur la plage d'IP du réseau local (en 192.168.x.x), il faut bien évidemment que la plage d'IP de Wireguard soit autorisée dans le parefeu du NAS (il faut y ajouter la plage 192.168.27.64/27 comme autorisée dans le parefeu).

Pas mal de travail et des semaines chargées en cours et à venir, mais j'ai de quoi alimenter ces notes hebdos.

#Mes plaisirs

Vacances de Toussaint et sortie Halloween avec les enfants, Mononoke et Nausicaa.

#Mes peines

Le podcast la voix de Guillaume annoncé comme quotidien en septembre est passé a bien plus qu'occasionnel. Reste son podcast bi-hebdomadaires Tech Café.

#Vus ou entendus

Un épisode du Podcast Pixel Bento, interview d'Alex Pilot sur le financement participatif de son film Demo, mais pas que.

Le jour où mon aspirateur intelligent s'est retourné contre moi », un développeur raconte comment un produit bon marché a cartographié son domicile." Article détaillé qui explique tout ce qui a été fait pour analyser le fonctionnement de l'aspirateur via du reverse enginering matériel et logiciel. Cet article se termine par règles d'or : N'utilisez jamais votre réseau Wi-Fi principal pour les appareils IoT.

Si on est abonné chez Free, il y a un tutoriel Séparer mon réseau Wi-Fi (configuration avancée) pour cloisonner facilement les Wifi. Mieux que rien, pas besoin d'un matériel complémentaire (un routeur). Un bon début avant d'aller plus loin si on a des exigences et des besoins de cloisonnement plus avancé.

Le site d'entraide pour les nouveaux utilisateurs de Debian, Debian Facile, existe toujours et est actif. A consulter régulièrement, voir contribuer si je trouve le temps, la motivation et la pertinence de le faire.

Au téléchargement, Les cahiers du débutant sur Debian Trixie, Manuel d'apprentissage simplifié pour les grands débutants
"Les cahiers du débutant” est un manuel simplifié francophone pour l'installation et la prise en main d'un système Debian. Vous trouverez dans ces pages les réponses à vos premières questions sur le système Debian GNU/-Linux, son histoire, son obtention, son installation, sa prise en main, sa configuration et son administration."

https://blog.flozz.fr/2025/11/02/quel-format-audio-choisir-pour-son-cloud-musical/

Lifehacking Révolutionnez votre prise de notes : du Bullet Journal à Obsidian

Premier épisode de la quatrième saison de Collector's Quest consacrée aux collectionneurs d'arcade, à commencer par Alex Pilot (DEMO)

# Mes projets

Les 10 & 11 décembre 2025, à la Cité des Sciences - PARIS, je serai au salon Opensource Expérience sur le stand de mon entreprise.

# Mes contributions

J'inaugure cette nouvelle section, que je différencie de celle de "Mes projets" qui correspond à une section plus personnelle. Dans les contributions, il y a eu mes différents tutoriels :

– Yunohost, l'application Redirect et Proxmox
– PC Dell XPS13 9315 sous Ubuntu
– Ubuntu et Accessibilité
– Ubuntu - Conflit de VG Name avec des LVM
– Clavier & Souris RGB Logitech Gamer sous Linux - Réglages des LED et autres boutons
– Ubuntu et l'option de Gnome Digital Wellbeing - Bien être
Des réponses/participations aux forums
– Ubuntu-fr.org
– Forum.Yunohost.org>

Où j'ai modestement apporté mon aide.

# Samsung Galaxy Buds 2

Je dispose d'écouteurs sans fils bluetooth de la marque Samsung, le modèle Samsung Galaxy Buds 2.

Je les utilise au quotidien avec mon smartphone de la même marque. Sur ce type d'écouteurs, il y a le soucis écologique du recyclage une fois la batterie trop faible (Batteries intégrées dans les écouteurs et dans le boîtier de charge/transport). Mais d'un autre côté, j'ai eu trop de casques filaires pour lesquels le fil s'est cassé... (Et le prix joue sur la qualité du son). J'ai un gros casque (dont je reparlerai ultérieurement), peu pratique pour me déplacer, que je garde dans mon bureau. Je verrai avec le temps.

J'ai donc testé la connexion sur le PC sur lequel tourne Ubuntu.

# Connexion en bluetooth

L'appairage se fait facilement. Les écouteurs sont vu du PC. Comme le montre la capture d'écran suivante, il est possible de choisir le codec audio utilisé pour le bluetooth.

C'est assez limité, il n'y a pas de visualisation de la charge restante sur les écouteurs. Juste les réglages basiques pour le son.

Mais la qualité du son est là. Et il est possible d'utiliser le micro-intégré pour des visio-conférences par exemple.

# Aller plus loin - un client Linux

Il existe un logiciel /client Linux, Galaxy Buds Client logiciel libre sous licence GPL-3.0 license, qui permet de retrouver l'ensemble des fonctionnalités que l'on a dans l'application "Wearable" de Samsung sur Smartphone.

L'application permet de :
– Configurer et contrôler n'importe quel modèle de Galaxy Buds et les intégrer à votre bureau,
– Afficher un aperçu des écouteurs connectés,
– Régler le son ambiant,
– Utiliser la fonction « Localiser mes écouteurs »,
– Ajuster l'égaliseur.

Elle propose également des fonctionnalités supplémentaires :
– Statistiques de la batterie,
– Tests de diagnostic,
– Informations de débogage,
– Actions tactiles personnalisables (appui long),
– Mise à jour ou rétrogradation du firmware (pour les Buds+ et Buds Pro).

Disponible sur Flathub ou via l'AUR. Github du projet : https://github.com/timschneeb/GalaxyBudsClient

# HomeLab ?

Un homelab, c'est un espace chez soi où l'on installe du matériel informatique (ordinateurs, serveurs, routeurs, etc.) pour apprendre, expérimenter ou héberger des services personnels. C'est un peu comme un laboratoire informatique miniature, mais à la maison ! Cela permet
– d'pprendre : Tester de nouveaux logiciels, systèmes d'exploitation ou technologies (comme la virtualisation, le cloud, la cybersécurité).
– d'Auto-héberger : Créer son propre cloud (avec Yunohost), son site web, son serveur de jeux, ou encore un système de sauvegarde.
– Bricoler : Automatiser des tâches, monter un réseau local, ou même simuler un environnement professionnel.

Dans mon cas, au fil des ans, j'ai récupéré et conserver des vieilles machines (des tours de PC), reconstituées et boostées en RAM (quelques gigas), avec des vieux disques durs. Que de la recup qui fait que j'ai un ensemble de machines qui constitue mon home lab.

L'électricité en France et majoritairement décarboné, je prolonge la vie de ces machines normalement obsolète. Ca chauffe un peu mon bureau quand j'allume ponctuellement quelques machines pour faire joujou. Quand on sait que le coup énergétique/carbone d'un PC est majoritairement à sa construction, que mes expérimentations ponctuelles consomment très certainement moins que de louer des serveurs ou des VM dans un datacenter (je ferai prochainement un billet sur ma consommation CO2 globale et une réflexion sur le sujet), je me dis que ce homelab reste intéressant.

# Cluster Proxmox ?

J'expérimente depuis de nombreuses années la solution Proxmox qui permet de faire de la virtualisation (je ne détaillerai pas ici) et du coup, j'ai 3 de ces machines sur lesquelles j'ai installé Promox et que j'ai relié en cluster (et installé Ceph par la même occasion).

J'ai donc un FrankenCluster (c'est son petit nom).

# WakeOnLan ?

Les machines sont dans la même pièce que moi mais je pourrais imaginer de les déplacer et les allumer à distance (chez moi ou via SSH depuis une machine rebond du réseau local) via une commande WOL dans un script sachant que ce script qui permettrait de démarrer tout ce petit monde sera un de mes futurs projets.

Il y a quelques temps j'avais écrit un article sur le Wake-on-LAN d'un PC, il y a une documentation détaillée sur le wiki d'Ubuntu-fr.
L'idée est de démarrer des machines via l'envoi d'un paquet sur la carte réseau. Les machines sont donc constamment sous tension, même si éteinte.

L'activation la plus simple du WOL sur chaque machine se fait en allant dans son BIOS et en activant l'option.

Par défaut, les machines sont branchées uniquement avec un câble d'alimentation et un câble réseau, cela a nécessité de brancher un clavier et un écran sur la machine. Par sécurité, j'ai mis une pile neuve sur la carte mère pour garder le paramétrage du BIOS (rappel ce sont de vieux PC de recup). Toutes ces machines sont reliées à une multiprise que je coupe.

Amélioration : avoir une multiprise connectée qui est d'abord activée pour ensuite pouvoir lancer la commande de WOL.