PROJET AUTOBLOG

Le blog de Genma

Site original : Le blog de Genma

⇐ retour index

Mise à jour

Mise à jour de la base de données, veuillez patienter...

Comment vérifier l'intégrité d'un fichier que l'on télécharge ?

jeudi 1 janvier 1970 à 01:00

Principe

Quand on télécharge un fichier, par exemple une iso de distribution Linux, on veut être sûr que le fichier a été correctement téléchargé/est le bon. Pour cela, il existe des commandes (MD5, Sha1), des sortes de moulinette qui génère un code unique pour le fichier. On compare ce code unique du fichier que l'on a sur notre ordinateur avec le code qu'indique le site qui a mis à disposition le fichier.

Si le fichier est modifié, différent, corrompu, incomplet, le code est différent. Si le fichier est strictement identique, on aura le même code, on est sûr que le fichier est bon.

MD5, Sha1, sha256

sha1 et md5 sont pas des algorithmes de hashage dont les algorithmes de calcul sont différents.

md5sum monfichier > monfichier.md5

En ligne de commande, l'utilitaire md5sum permet de calculer les sommes de contrôle MD5, l'utilitaire sha1sum permet de calculer les sommes de contrôle SHA.

sha1sum monfichier > monfichier.sha1

Pour vérifier
md5sum -c monfichier.md5
sha1sum -c monfichier.sha1

md5sum/sha1sum cherchera à calculer les empreintes des fichiers listés dans monfichier.md5 ou monfichier.sha1 et les comparera aux valeurs stockées dans le fichier.

Idem pour sha256sum qui utilise sha255, évolution plus "sécurisée" de sha1...

Pour une interface graphique à md5sum/sha1sum , il y a Check-file-integrity par exemple.

Fichier .asc - gpg

Encore plus "sécurisé", on a la signature via gpg. Cela repose sur le même principe que la signature d'un mail, avec le système de clef publique/clef privée. Un exemple d'utilisation de gpg pour certifier/signer un fichier est celui du Tor Browser Bundle. Un développeur a signé avec sa clef (privée) le package et quand on télécharge le Tor Browser Bundle, on vérifie qu'il est bon en le validant via gpg.

Signer un fichier de signature

Si je veux faire pareil, sur mon PC, je dois avoir uen clef GPG privée de crée. Je tape la commande
gpg -ab file.pdf
Signification des arguments :
- a Create ASCII armored output.
- b –detach-sign Make a detached signature.

En utilisant ma clef privée, le fichier (ici file.pdf) est utilisé pour générer un fichier .asc de signature.

Les deux fichiers sont mis à disposition.

Toute personne qui les récupère aura le fichier file.pdf et le fichier file.asc qui a été généré.

Vérifier l'intégralité via la signature

Pour cela, il est nécessaire d'avoir la clef publique correspondant à la signature pour la vérification (procédure de récupération non expliquée ici. Ma clef publique quand à elle est disponible ici).

Cela se fait avec la commande
gpg --verify file.asc file.pdf

Rq : le fichier de signature est un fichier texte et l'extension varie. Elle peut être .asc (pour la signature du Tor Browser Bundle), sig (c'est celle qu'utilise TrueCrypt), .gpg pour les ISO d'Ubuntu...

Conclusion

On trouve de nombreuses explications/tutoriaux sur md5/sha1 et gpg sur le Net'. Si j'ai fait ce billet, c'est plus sensibiliser à l'usage de gpg dans le cadre de la signature d'un fichier, afin de garantir son intégrité/sa validité.

- Comment vérifier l'intégrité du TorBrowser quand on le télécharge ?.
- Comment vérifier l'intégrité de Firefox quand on le télécharge ?.

Freemobile et partage de connexion - Attention

jeudi 1 janvier 1970 à 01:00

Freemobile et partage de connexion

Quand on a un abonnement Freemobile, il est possible d'utiliser son smartphone pour partager sa connexion en WIFI. Le Smartphone sert alors de "routeur Wifi". Avec un autre appareil (smartphone, tablette, PC), on se connecte au Wifi fourni par le smartphone, et qui fournit alors un accès à Internet via la connexion 3G et l'abonnement Freemobile.

Attention

Le problème est que quiconque se connecte sur ce Wifi est vu par les sites de Free comme étant sur une connexion Free, mais et également automatiquement authentifié sur les sites de Free et en particulier sur le site Mobile.free.fr. La puce Freemobile contient les identifiants et mot de passe et permet de ne pas avoir à saisir ses identifiants quand on va sur le site, pour consulter son solde de consommation par exemple.

Mais sur ce site, on peut également faire différentes opérations, dont des achats/commandes de smartphone.

Quiconque se trouve connecté au WIFI peut aller sur ce site et effectuer ses opérations. Il faut donc que les personnes se connectant soient de confiance et que le WIFI soit protégé par une clef WPA, afin de pas laisser le réseau ouvert à tous. Il y a peu de risques, mais le risque existe.

Et chez Orange ?

Orange - Connexion Wifi à une livebox

Lorsque vous êtes connecté à une Livebox, vous êtes implicitement identifié sur orange.fr et pouvez accéder directement à la messagerie Orange. Il est possible de ne pas être automatiquement identifié sur orange.fr, mais pour cela, il faut avoir créer un compte secondaire.

Il n'y pas de réseau “invité” distinct sur la Livebox. Conséquence : N'importe qui accède au réseau (un ami à qui on donne le code) à donc accès à toute la correspondance mail, aux factures détaillées de téléphone et au moyen de changer tous les mots de passe...

L'application Orwall pour Android

jeudi 1 janvier 1970 à 01:00

Si vous possédez un téléphone de type smartphone qui tourne sous Android et que vous vous intéressez au respect de votre vie privée, que vous connaissez Tors, vous avez sûrement chercher à faire passer vos connexions via ce réseau. Pour ça, il existe Orbot

Orbot est une application qui permet aux utilisateurs de téléphones mobiles d'accéder au web, à leur messagerie instantanée et leurs e-mail sans être surveillés ou bloqués par leur fournisseur d'accès à l'Internet mobile. Orbot apporte les fonctionnalités de Tor au système d'exploitation mobile Android. Orbot contient Tor et libevent. Orbot fournit un proxy HTTP local et les interfaces de proxy SOCKS4A/SOCKS5 standard pour le réseau Tor. Orbot a la capacité de torrefier transparente tout le trafic TCP de votre appareil Android quand il dispose des autorisations et des bibliothèques systèmes nécessaires. (Sur le sujet de torrify, voir La commande Torify).

Il existe également l'application Orwall. orWall est une application Android qui s'appuie sur les fonctionnalités d'Orbot, un proxy qui permet d'acheminer le trafic à travers le réseau TOR, pour proposer un contrôle plus fin de l'activité réseau de son téléphone. Edité par @SwissTengu, https://orwall.org/

Numerama a fait un billet pour présenter l'application (orWall, une app Android qui utilise TOR et bloque le trafic en dehors) et je citerai des extraits pour présenter l'application :
Bien que très utile, Orbot connait quelques limites. Ainsi, il est impossible de réserver l'utilisation du proxy à certaines applications, tout en bloquant l'activité réseau de toutes les autres. (...) Le projet vise à compléter Orbot. Il s'agit en effet d'empêcher le trafic du terminal, en dehors des applications sélectionnées par l'utilisateur. Ces dernières, pour se connecter au net, devront passer par le réseau TOR.

L'application est en cours de développement mais est à suivre de près.
- Code source sur Github
- Le site officiel https://orwall.org/

Comment vérifier l'intégrité du TorBrowser quand on le télécharge ?

jeudi 1 janvier 1970 à 01:00

Ce texte est un complément à mon tutoriel Comment vérifier l'intégrité d'un fichier que l'on télécharge ?

Télécharger le Tor Bowser bundle, c'est bien. Vérifier que le fichier est intègre, c'est mieux.

Il est fortement déconseillé d'utiliser autre chose que le TorBrowser pour surfer sur le web via Tor (en utilisant Firefox en configurant le proxy par exemple). Le TorBrowser contient beaucoup de modifications pour être plus sécurisé et on ne fera jamais aussi bien. Les extensions que l'on peut avoir rendent le navigateur que l'on a perméable, en lui ajoutant des failles potentielles... Bref, il faut utiliser le TorBrowser ou Tails pour utiliser le réseau Tor.

Utiliser le TorBrowser, c'est bien. Mais encore faut-il qu'il soit à jour. Le navigateur, a son lancement, vérifie qu'il est bien à jour et le signale dans le cas contraire. Le réflexe que l'on doit alors avoir est de le mettre à jour. Et là, comme lors du premier téléchargement et à chaque fois qu'on le télécharge, on doit vérifier l'intégrité des fichiers.

Il existe des tutoriaux en vidéos pour les différents OS sur la page https://www.torproject.org/projects/torbrowser.html. Ils donnent la série de commande à taper. En bon informaticien, et adapete du lifehacking, je connais l'utilité de scripter en shell.

Sous Linux - le Tor Browser Launcher

Avec le Tor Browser Launcher., c'est fait automatiquement, le code source est disponible et auditable (je l'ai fait pour la partie script - hors librairie utilisée). J'ai donc confiance dans ce script et je vous renvoie vers ce projet.
A lire sur ce sujet :
- le Tor Browser Bundle
- AppArmor bloque le Tor Browser Launcher

Sous Windows

Sous Windows, il n'existe pas d'équivalent du Tor Browser Launcher.

Je n'ai pas le temps ni l'envie de recoder le script de Tor Browser Launcher car le script est assez lié à Linux. Mais j'ai envie de gagner du temps et ne pas toujours faire les mêmes choses. Alors, j'ai fait un script assez spécifique à mon environnement Windows, mais que je partage, vu que je l'ai commenté.
Rq : je n'ai pas encore de script exploitable sur n'importe quelle machine Windows, ça marche juste dans mon environnement que je maitrise ; je ne vais aussi loin que le Tor Browser Launcher qui est un script Python qui repose sur Linux (et le fait que GPG est installé).

Prérequis :
- Avoir cygwin d'installer
- Avoir gpg pour Windows d'installer.

Quand je l'utilise ? Quand le TorBrowser me signale qu'il n'est plus à jour, je le ferme. Je lance ce script et le script va récupérer la dernière version du TorBrowser Bundle,(via wget), vérifier via la clef que le fichier téléchargé est correct. Si c'est bon, je supprime l'installation du TorBrowser existante et je relance son installation via l'exécutable que je viens de télécharger.

#!/bin/sh
#--------------------------
# Récupération des fichiers
#--------------------------
# La page de téléchargement du TorBrowser est toujours la même. Je récupère la page en elle-même pour
# en extraire les noms des fichiers important à savoir :
# - torbrowser-install-3.6.3_fr.exe
# - torbrowser-install-3.6.3_fr.exe.asc
# Rq : le numéro de version, ici 3.6.3 change, mais le motif "_fr.exe" est fixe et me permet de filtrer sur l'exécutable
# et sur le fichier .asc, clef de vérification de l'exécutable.
wget "https://www.torproject.org/projects/torbrowser.html.en" --user-agent="Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.6) Gecko/20070725 Firefox/2.0.0.6" -O "torbrowser.html"
cat torbrowser.html |grep _fr.exe|awk -F'"' '{print $2}'|sed "s/\.\./https:\/\/www.torproject.org/g"|while read url
do
# Pour chaque nom de fichier correspondant au filtre "_fr.exe" (il y en a deux, le .exe et le .asc)
nomFichier=`echo $url|awk -F'\/' '{print $7}'`
# On récupère le fichier
wget $url --user-agent="Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.6) Gecko/20070725 Firefox/2.0.0.6" -O $nomFichier
done
#----------------------------------------------
# Vérification du fichier .exe via la clef .asc
#----------------------------------------------
# On récupère la clef publique nécessaire pour utiliser le fichier .asc
gpg.exe --keyserver x-hkp://pool.sks-keyservers.net --recv-keys 0x416F061063FEE659
gpg.exe --fingerprint 0x416F061063FEE659
gpg.exe --verify torbrowser-install-3.6.3_fr.exe.asc torbrowser-install-3.6.3_fr.exe
#----------------
# Reste à faire
#----------------
# Vérifier le retour de la commande gpg.exe --verify de façon automatisée
# En testant le code retour par exemple, avec signalement d'erreur...

Pour la solution Windows, c'est largement perfectible mais chez moi ça marche et ça m'est utile. Si ça peut l'être à d'autres, tant mieux, d'où le partage.

Sur le même sujet
- Comment vérifier l'intégrité d'un fichier que l'on télécharge ?.
- Comment vérifier l'intégrité de Firefox quand on le télécharge ?.

Le podcast Curious Kid

jeudi 1 janvier 1970 à 01:00

Présentation du podcast

Cette présentation est issue de la page Curious kis - le concept
Geeks par passion avec le gout des relations, de l'échange et du partage, nous sommes exposées quotidiennement aux problèmes auxquels font face les personnes et les entreprises pour vivre dans un monde en évolution rapide et constante.

Les changements de comportements sont primordiaux pour bien vivre cette époque, et notre envie est celle de partager avec vous nos observations, solutions, idées pour extraire le mieux des solutions technologiques tout en sublimant l'art de vivre une vie heureuse.

Focalisé sur la simplicité sans être simplistes, le gout du design et la conscience que la technologie est un outil qui peut nous rendre des surhommes mais qui doit devenir de plus en plus transparent et se faire oublier, on vous apportera des exemples réussis, des entretiens avec des acteurs de ces changements et des débats.

Deux premiers numéros ont été publiés, à savoir :
- Podcast numéro 1 - Tristan Nitot - Internet des objets
- Alexis Kauffman Logiciels libres et alternatives

Le site http://curiouskids.co/

La critique du Genma

La partie essentielle de ces deux premiers numéros du podcasts repose principalement sur l'interview, qui tient plus de la discussion, de l'invité. Il y a quelques rubriques annexes qui seront sûrement amenées à se développer, mais ce n'est pas ce que je retiendrai du podcast (pour l'instant).

Bien que je connaissais les différents thèmes et sujets abordés, c'est avec un grand plaisir que j'ai écouté les échanges avec Tristan Nitot, puis Alexis Kauffman. Ceux-ci n'ont pas monopolisés la conversation, bien au contraire, et les animateurs ont su les aiguillés, en les questionnant, en réagissant, en dirigeant la discussion. Et ce n'était pas forcément évident et facile tant les deux ont l'habitude de ce genre d'exercices, les interviews et la prise de paroles en publique.

Pour l'instant, on ne sait pas qui sont les prochains invités, mais si ils sont du même niveau, ce podcast promet. Mais hors invité, les animateurs ont de la répartie, de la culture, une bonne diction. En deux numéros, ils ont sû me convaincre de continuer à écouter leur podcast.