Prérequis : savoir ce qu'est un port réseau. Sinon, on pourra toujours lire la page Wikipedia Port (logiciel) en introduction.

Il y a quelques années (10 ans), j'écrivais un article Proxy automatique : connaître l'adresse dans lequel j'exposais une façon simple de trouver l'adresse et le port d'un proxy transparent se trouvant sur un réseau d'entreprise.

Récemment, connecté depuis un réseau "public" d'entreprise (une machine en BYOD, non référencé, connecté sur le premier câble réseau venu de l'openspace, est de facto sur un réseau public : pas d'accès aux dossiers et répertoires partagés, pas d'accès aux imprimantes, on a une IP attribué dans une plage différente d'une machine enregistrée), j'ai pu constater que les connexions depuis mon PC vers l'extérieur marchait bien pour une connexion SSH vers le port 22 d'un serveur, vers un VPN écoutant sur le port 443, mais que des connexions sur d'autres serveurs écoutant sur des ports non conventionnels ne marchaient pas. De même, mon client Thunderbird refuse toute connexion à mes différents comptes mails.

Un proxy ?

J'ai utilisé la technique évoqué dans mon article Proxy automatique : connaître l'adresse, je constate que ma machine parle bien à différents serveurs (dont des IP que je connais, vu que ce sont mes serveurs), donc pas de proxy transparent en intermédiaire.

Des ports ouverts et des ports fermés ?

Je me suis donc posé la question de savoir quels sont les ports ouverts vers l'extérieur.

Quand on cherche l'inverse, à savoir quels sont les ports ouverts sur une machine (comprendre : quels sont les ports accessibles publiquement sur Internet), on pense de suite à utiliser nmap (ou on trouve des tutoriaux). Mais dans mon cas, je suis à l'intérieur et je veux savoir par où je peux sortir.

La solution est bien d'utiliser nmap et de faire un scan d'une machine dont on connait les ports ouverts. Il existe "portquiz.net", un service qui avait une machine répondant sur l'ensemble des ports.

Donc si un ou plusieurs ports sont bloqués entre ma machine qui se trouve sur le réseau public au sein d'une entreprise, la machine cible ne répond pas, indiquant ainsi que ce port ou ces ports sont bloqués.

Portquiz.net étant assez lent (car très probablement beaucoup sollicité), j'ai choisi une autre option, celle que de scanner une machine pour laquelle je connais précisément les ports ouverts.

Et j'obtiens le résultat suivant :

Depuis chez moi, derrière une Freebox, même manipulation :

Quel résultat et conclusion

Le réseau public de l'entreprise permet donc bien un accès au web (port 80, 443) (je n'ai pas étudié la question d'un filtrage de site), un accès sur des serveurs en SSH via le port 22, mais c'est tout. Pas de messagerie possible (pas de IMAPs et de SMTPs), pas de résolution DNS possible (si ce n'est que de passer par les serveurs de résolution de nom fournis avec l'adresse IP, via le DHCP du réseau). Donc ce n'est pas un accès à Internet, mais un accès à un réseau public ouvert sur le web.

On pourra être étonné du fait que le port 22 soit le troisième port ouvert, alors que tout le reste est fermé. Les ports 80 et 443 permettent un accès au web, on comprend la nécessité de les ouvrir. Le port 22, cela veut dire que ce réseau doit être utilisé pour accéder à des machines serveurs dans des clouds publics (supposition avec une forte probabilité), pour des tests et autres usages dans le cadre de projets pour des clients.

J'ai beaucoup plus de ports visibles et accessibles (tous ceux qui sont bien ouverts sur ma machine).

A l'origine de ma réflexion

Tout est parti d'une série de message publié par Nina LaPalice sur le réseau social Twitter, il y a quelques temps déjà (fin août 2019). Nina évoquait son travail de Coorganisatrice de la Nextcloud Conf. En résumé, Nina disait "Inviter des femmes à faire des conférences, les hommes proposeront de toutes façons des sujets".

Pour la version longue, je vous invite à lire
les différents twitts enchainés (un thread) de Nina aka NLaPalice sur Twitter.

Et pour celles et ceux qui ne veulent pas aller sur Twitter, au cas où ce serait effacé etc. je cite une partie des messages.

Depuis quelques années, je tiens le discours suivant : si vous voulez améliorer votre équilibre hommes/femmes pour une conférence ou un poste ou autre, ne demandez qu'à des femmes. Rassurez-vous, vous aurez toujours des hommes à la fin. J'ai voulu tester ça pour la conf Nextcloud : je n'ai demandé, sauf une exception, qu'à des femmes. Croyez-moi ou pas, à la fin, on est à quasi 50/50 en termes de personnes qui interviennent. J'ai beau l'avoir dit, le vivre reste un sacré choc. Pour les raisons, c'est assez simple : c'est moi qui étais en charge de contacter les speakers. Mais toutes les personnes qui se sont spontanément manifestées étaient des hommes, et on les a retenus quand les sujets étaient intéressants. Sur une des tables rondes, toutes les suggestions qu'on m'a faites étaient également masculines. Je ne suis pas à Berlin donc je ne connais pas les personnes à inviter sur certains sujets. Bref. Du coup, ravie d'avoir contacté uniquement des femmes directement, les sujets sont super stylés et j'ai hâte ! Bref, been there done that, je continuerai à appliquer ça pour mes prochaines sélections. D'une part parce que ça paie, d'autre part parce que ça fait un programme beaucoup plus intéressant à la fin : tous les sujets pas retenus, c'était parce que c'était du vu revu rerevu. (Ne me faites pas dire ce que je n'ai pas dit : les hommes sont tout à fait capables de proposer de bons sujets de conf. Mais ils prennent tellement de place sur la scène tech/privacy que je suis capable de réciter la quasi totalité des conférences que les “grands noms” proposent).

L'appel à conférence de Pas Sage En seine

Pas Sage En seine ?

Le festival Pas Sage En seine est un rendez-vous annuel de la région parisienne qui vient de fêter ses 10 ans déjà.
Lieu incontournable du milieu hacker à ses débuts, il a toujours eu pour vocation d'amener les citoyens de tous horizons à se réapproprier la société en bidouillant le système. Initialement axé numérique, il s'est ouvert au fur et à mesure des éditions et traite aujourd'hui de sujets aussi variés que la politique, la justice, l'alimentation, les médias, la littérature, les sciences, les arts, le journalisme, le divertissement, l'inclusivité, l'accessibilité, le handicap… L'entrée est libre et gratuite afin d'être accessible au plus grand nombre, sans discrimination de ressources. Le thème de l'édition 2020 est : Bidouille, écologie & démocratie.

L'appel à participation est en cours et jusqu'au 16 avril 2020, il est possible de proposer des conférences et des ateliers, via le lien https://participer.passageenseine.fr/

Ma proposition

Pas Sage En seine , cela fait plusieurs années que j'y vais. Et plusieurs années que j'y propose et fais ensuite une conférence. Vous me voyez venir ? ;)

Je pensais proposer une conférence sur Nextcloud, je ne le ferai pas. Cette année, au lieu de parler moi, je voudrais accompagner / aider quelqu'un.e qui voudrait se lancer en donnant une 1ère conférence sur ce sujet. Le prérequis est donc de vouloir parler de Nextcloud, et d'avoir un peu de temps pour préparer ça de façon asynchrone et à distance.

Si tu es intéressé.e. par cette idée, et que tu penses que je peux t'apporter mon expérience, mes conseils etc. pour t'aider à te lancer à ton tour, pour faire une première conférence en public, contactes moi et nous verrons alors ce que nous pouvons faire / comment nous organiser.

Dans ce billet, je voudrais évoquer le fait de rendre accessible une instance Nextcloud via un service caché (un hidden services) et accessible par Tor. Soit avoir une adresse en .onion qui conduirait sur une instance Nextcloud. Je ne détaillerai pas le pourquoi et les raisons de faire ça, il y a pas mal de textes qui explique ça sur Internet.

Instance Nextcloud sur un Yunohost

Je vous renvoie à mon article Yunohost, accessible via Tor - un Onion Services. Il est relativement facile pour qui connait un peu nginx d'adapter ce qui est abordé dans mon tutoriel pour remplacer l'application générique par une instance Nextcloud (il suffit de mettre le bon paramétrage / configuration nginx pour pointer sur l'instance Nextcloud).

Instance Nextcloud seule

Il existe un script sur Github Nextcloud Onion Installer

These scripts would help you setup a Nextcloud instance that would be accessible via Tor Onion Services. That means that even if you don't have a public IP you can host the Nextcloud instance and access it anywhere in the world as long as you have a Tor connection. This can be done with the Tor Browser, with Nextcloud desktop client configured to use a Tor connection or Nextcloud Android client with Orbot.

Ce que l'on pourra traduire par

Ces scripts vous aideronnt à configurer une instance Nextcloud qui sera accessible en tant que Tor Onion Services. Cela signifie que même si vous n'avez pas d'adresse IP publique, vous pourrez héberger l'instance Nextcloud et y accéder n'importe où dans le monde tant que vous avez une connexion passant par Tor. Cela peut être fait avec le navigateur Tor, avec le client de bureau Nextcloud configuré pour utiliser une connexion Tor ou le client Android Nextcloud avec Orbot.

Ce script est un script bash, fonctionnel sur Debian 10. Le code est assez propre et lisible, compréhensible si on connait le bash et l'installation / configuration de Tor et d'un Onion Services. Et il pourrrait être adapté à d'autres cas d'usages si besoin.

Au cours des années, j'ai rédigé différents articles sur les mots de pass, phrases de passe et les coffres-forts de mot de passe :
Les phrases de passe
Changement de mot de passe et testament numérique
Keepass au quotidien c'est possible
A.I.2 - Porte blindée ou coffre-fort ?
Et d'une façon générale, Les billets tagués Keepass

Je passe sur le principes des phrases de passe que j'ai déjà expliqué dans ce billet, je voudrais juste signaler que sur le même principe que la génération des mots de passe, il est possible de générer des phrases de passe à partir d'une combinaison de mots aléatoires au sein de KeepassXC (je ne sais pas pour les autres versions de Keepass).

On peut choisir le séparateur de mots (le caractère), le nombre de mots... Une astuce bonne à savoir, car elle permet de générer des vraies phrases de passe (et non issue de notre imagination, ce qui est moins aléatoire que cela ne puisse sembler).

Par défaut, toutes les instances Yunohost se ressemblent. Pourtant, un minimum de personnalisation est possible pour les écrans de connexion / identification et l'écran présentant les différents raccourcis vers les applications (l'écran avec des tuiles).

La documentation du projet a une page dédiée : Personnaliser l'apparence du portail utilisateur sur les éléments modifiables et la façon de le faire.

3 thèmes existent déjà et sont dès à présent disponibles sur un dépôt Framagit qui les centralise, avec captures d'écrans présentant l'aspect sur la pages concernées :
Un thème inspiré de l'univers Lego Star Wars
Un thème très coloré
Un thème inspiré par Rez/Rez:Infinite de SEGA & United Game Artists

Cela me donne des idées pour la personnalisation de ma propre instance. Y a plus qu'à trouver le temps pour réussir à faire quelque chose d'harmonieux, du moins pas trop moche.

Dans un prochain article, je parlerai de la personnalisation / des thèmes pour Nextcloud.