Un nouveau petit édito
Parlons un peu de tout ou rien.
Je n'avais pas pris le temps d'écrire un nouvel article personnel depuis le printemps de l'année dernière, et je pense qu'écrire un petit peu actuellement ne me ferait pas de mal. Je n'ai pas écrit beaucoup d'articles cette année : deux articles "seulement", principalement par manque de motivation et parce que j'avais un peu perdu la confiance dans ma plume.
Du coup, je souhaite rassurer les lecteurs réguliers : je suis toujours vivant, et c'est quelque chose dont on oublie trop souvent la valeur de nos jours. Je souhaite également continuer à écrire des articles dans le futur, sans me borner à une thématique particulière. Allez, parlons un peu de tout ou rien.
Les deux ans du blog !
Histoire d'immortaliser le blog dans son état actuel (et avant que ça devienne bien trop long), voici un instantané à l'heure d'écriture de cet édito :
J'ai commencé ce blog au tout début pour présenter un projet de confinement, ce n'était vraiment rien d'extraordinaire techniquement parlant, mais je trouvais (et je trouve toujours) l'idée franchement séduisante. Puis peu à peu j'ai commencé à aborder la sécurité informatique, un domaine qui me passionne depuis longtemps, notamment avec une présentation de GrapheneOS et une critique sur le mésusage des VPNs.
Je m'étais dès lors lancé dans l'écriture d'une série d'articles sur la sécurité informatique dans le seul but de fournir des informations que je trouve trop difficiles d'accès, et qui sont pourtant vitales. Le format devait être à la fois accessible mais assez technique pour être crédible et permettre d'approfondir. On m'a reproché d'utiliser parfois trop d'anglicismes, critique que j'ai acceptée et je me tâche à les éviter quand les équivalents francophones n'affectent pas trop la nuance et le sens des mots.
Je souhaitais également aller à contrecourant de certains dogmes idéologiques, remettre en question des postulats dépassés. Mon article sur la sécurité de Linux est probablement le premier qui m'a valu le plus de retours "ambivalents". J'ai vu des critiques positives et négatives qui étaient intéressantes à lire. J'ai aussi vu des critiques plus blessantes, privilégiant les attaques personnelles et de forme au fond et au contenu technique. Je déplore que certaines communautés dites ouvertes sont paradoxalement très fermées à la critique, et je parle ici au sens général.
Mais je vais revenir sur ce sujet un peu plus tard, sans trop m'y attarder non plus, car il faut aussi chérir le positif !
Globalement, je suis très content de ce que j'ai pu accomplir l'année dernière avec ce blog. J'ai abordé des sujets qui méritaient à mon sens d'être abordés (tels que le modèle de sécurité moderne et traditionnel) et j'ai vraiment eu le plaisir d'écrire pour celles qui ceux qui ont été réceptifs à mes arguments. J'ai aussi essayé d'éviter d'être totalement dans une posture critique en distillant des solutions et des conseils. J'ai écrit au sujet des bonnes pratiques en matière de mots de passe, de renforcement des systèmes Windows ou encore Linux, sans oublier de la vulgarisation comme sur la sûreté de la mémoire.
Enfin, j'ai présenté en long et en large un projet qui me passionne moi-même, GrapheneOS. Derrière une énième version custom d'Android se cache une approche rigoureuse et novatrice qui améliore la sécurité et la vie privée pour tout le monde, peu importe son modèle de menace. J'ai la chance de connaître presque personnellement leurs développeurs, d'avoir contribué même si de façon mineure, mais surtout j'ai la chance d'avoir pu faire connaître GrapheneOS à beaucoup d'entre vous. Je reçois régulièrement des messages qui me le confirment et qui me font plaisir.
J'espère avoir l'occasion d'écrire de nouveaux articles intéressants cette année, mais ma motivation étant assez erratique, je pourrais m'y atteler aussi bien dans plusieurs mois que... la semaine prochaine. Généralement j'exige avec moi-même un certain niveau de recherche, et cela prend des heures avant la rédaction finale de l'article, qui peut elle-même durer des heures…
La forme du blog est également susceptible d'évoluer : actuellement, j'utilise Ghost v4 avec mon thème personnalisé, et Commento++ pour les commentaires. Ghost v4 est une version LTS donc j'ai encore un peu de temps (la v5 est sortie récemment) pour considérer mes options, je n'exclus pas de passer sur un site statique généré avec Hugo. Je dois dire que j'aime bien le look de mon blog actuellement, même si je suis un fan de minimalisme.
Un nouveau blog en anglais !
En ce début j'année j'ai ouvert wonderfall.dev, un blog dont le contenu est anglophone. C'est un site statique justement, que j'ai publié avec Hugo et GitHub Pages. Il aborde à peu près les mêmes thématiques que mon blog français, avec un accent sur des analyses techniquement plus détaillées (ce ne sont pas non plus des papiers de recherche, mais vous voyez l'idée).
Pourquoi en anglais ? Est-ce que je vais délaisser mon blog français ?
Bien sûr que non ! Je continuerai à publier en français car je réalise l'importance d'avoir du contenu technique et accessible rédigé dans sa langue maternelle. Il y a aussi cette convivialité que je ne peux pas reproduire autrement. L'anglais, cependant, est la langue internationale et universelle, et je trouve qu'il est dommage de ne pas permettre au plus grand nombre d'accéder à certaines informations qui ne sont pas assez représentées.
Vous y trouverez une analyse sur la sécurité de F-Droid (un marché d'applications Android mettant l'accent sur les applications libres et open-source) et un passage en revue des bonnes pratiques de sécurité quand on déploie du Docker (ou autre technologie OCI de conteneur). Pour faire le parallèle avec ce que je disais plus haut, mon article sur F-Droid a reçu un accueil très particulier, car certaines personnes ont pensé que je m'attaquais à F-Droid seulement pour "descendre" le projet. J'ai eu droit à des attaques personnelles, des invectives... bref, Internet quoi. Certains membres du projet F-Droid s'en sont même pris à moi ainsi qu'en grande partie à Daniel Micay (développeur principal de GrapheneOS) pour avoir expliqué nos divergences sur un plan technique. Pour ma part, j'ai toujours plaidé pour que l'on puisse en discuter sur un ton agréable et constructif, sans animosité.
Aujourd'hui, je considère avoir suffisamment traité la question : je souhaite très sincèrement le meilleur pour F-Droid, et je réitère ici que je ne ressens rien de personnel quand j'explique les problèmes liés à leur approche.
Je dois dire qu'à ce jour je ne sais toujours pas quoi en penser... Je regrette à titre personnel si j'ai employé des formulations qui ont laissé penser que j'avais une intention de critique destructive plutôt que constructive. C'est définitivement un plan sur lequel je ferai attention à l'avenir. Quant aux remarques désagréables, je ne me laisserai jamais intimider.
Daniel Micay et madaidan, deux chercheurs en sécurité que vous connaissez certainement si vous me lisez régulièrement, se font régulièrement harceler pour les mêmes raisons. Je dispose de preuves et j'ai été témoin de dérives extrêmement tristes... Absolument rien ne justifie un déchaînement de haine violente, et encore moins pour un travail qui ne mérite que du soutien.
Bref, c'est à peu près tout ce que j'avais à dire, n'hésite pas à jeter un coup d'oeil régulièrement à ce nouveau blog !
Arch Linux... pour serveur !?
Disons que ça ne méritait pas d'en faire un article, mais j'ai achevé la migration de mon serveur principal sur Arch Linux, la très populaire distribution Linux rolling release. J'utilisais Debian par habitude auparavant, mais je suis en désaccord avec certaines pratiques en matière de sécurité, comme le fait de reposer agressivement sur les backports en général (bref, je l'ai déjà abordé ici). Arch Linux est la distribution que j'utilisais à l'époque où j'étais un utilisateur quotidien de Linux sur bureau, avant de succomber à macOS (aujourd'hui j'utilise un peu de tout, mais surtout Windows).
Pour la configuration de l'hôte je me suis très fortement inspiré de GrapheneOS qui utilise aussi Arch pour ses serveurs, mais également de mon tutoriel, de celui de madaidan ainsi que des recommandations de l'ANSSI. Je suis totalement passé sur linux-hardened puisque Arch dispose d'un paquet officiel ; anecdote marrante, le mainteneur de linux-hardened est en fait le gourou actuel de Arch. J'utilise toujours gVisor avec des conteneurs pour déployer simplement et palier les lacunes de l'isolation de Docker. C'est un peu une alternative à ce que je ferais avec des machines virtuelles, et je dois dire que ça fonctionne plutôt bien !
Niveau monitoring, je suis parti sur ma stack favorite : Prometheus avec node_exporter pour la surveillance de l'hôte, cadvisor pour la surveillance des conteneurs, et Grafana pour visualiser tout ça et gérer les alertes. Je ne suis pas un expert en administration système, donc je fais de mon mieux possible de ce côté.
Et... je n'ai pas grand chose à dire là-dessus, ce qui est une bonne chose, je suppose ? Idéalement, je ne voudrais pas mutualiser autant de services sur un serveur (dédié qui plus est), mais je suis un peu obligé pour des raisons économiques. La sécurité de l'hôte et la compartimentalisation des services m'est donc particulièrement importante.
Sur le plan personnel...
"Wonderfall" est une identité qui me garantit le pseudonymat (pas l'anonymat, la différence est importante), donc même si je ne fais pas trop attention à ce que je dis sur ma vie personnelle, je préfère m'en tenir au strict minimum en public. Néanmoins comme je suis en quête d'éventuels avis et retours d'expérience, je peux m'ouvrir à l'idée de partager quelques détails.
Concrètement, ne pas avoir de projet de vie m'empêche de dormir. J'approche de mes 25 ans, et j'ai le luxe d'avoir pu choisir mon orientation contrairement à beaucoup qui n'ont pas eu cette chance... Je suis rentré à la faculté de médecine en 2016, et j'ai passé le concours de première année pour ne pas faire grand chose par la suite. J'ai réalisé très vite une fois la première année passée que je n'étais pas à ma place dans le milieu médical. J'ai donc tenté la voie de la recherche en suivant un double cursus pour lequel j'ai candidaté et été accepté, mais pour des raisons de santé j'ai renoncé à ce qui touche de près ou de loin à la recherche académique, bien trop exigeante.
Ces deux dernière années, en plus du COVID qui a affecté le mode de vie de nombreuses personnes, j'ai malheureusement connu des évènements douloureux et j'ai mis de côté mes études pour me donner le temps. Le temps passe, mais je ne sais toujours pas ce que je dois faire. Je serais curieux de savoir si certaines personnes ont vécu la même situation de perdition, et quel a été le déclic pour eux.
En ce moment sinon, je me documente beaucoup sur les entrailles de Windows avec ce merveilleux bouquin qui est vraiment la Bible dans ce domaine. J'apprends aussi le japonais car j'ai toujours été attiré par l'apprentissage d'une langue asiatique. C'est d'autant plus utile que j'ai en projet de partir vivre au Japon quelques mois, mais ça sera dans quelques années le temps que je stabilise ma situation économique et professionnelle.
Je pense avoir fait le tour de ce que je voulais aborder, merci d'avoir lu !
PS : les amateurs de paysages islandais auront reconnu la plage de Vestrahorn dans l'image d'en-tête. Ce n'est pas un de mes clichés (crédits) mais j'ai eu l'occasion d'aller visiter cet endroit plusieurs fois. Je m'y sens à chaque fois extrêmement bien et c'est l'occasion rêvée de lancer un album de Sigur Rós pour planer dans un monde détaché de problèmes futiles...
PS2 : à cause de ma lassitude générale j'ai parfois omis de répondre à des commentaires ou des questions qui m'étaient posées sur d'autres plateformes, j'en suis désolé. J'ai essayé de répondre à tout ce que j'ai pu remarquer ces dernières semaines.