cedricAbonnel/s-informer-sur-la-tech-www
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Compare commits

base: cedricAbonnel:9d196557b7502b89092e6d8876fca8341c748b8f
Branches Tags
cedricAbonnel:master
..
compare: cedricAbonnel:38b856796486d458c0a0e8c19a3e6892e6bab6e6
Branches Tags
cedricAbonnel:master

14 Commits
9d196557b7 ... 38b8567964

Author SHA1 Message Date
Cédrix
38b8567964 vault backup: 2026-03-04 23:11:20 2026-03-04 23:11:20 +01:00
Cédrix
f1370deb26 vault backup: 2026-03-04 22:56:03 2026-03-04 22:56:03 +01:00
Cédrix
5bfdd47fd4 vault backup: 2026-03-04 22:26:03 2026-03-04 22:26:03 +01:00
Cédrix
fa0d32bf3b vault backup: 2026-03-04 14:26:00 2026-03-04 14:26:00 +01:00
Cédrix
c49547e562 vault backup: 2026-03-02 11:56:05 2026-03-02 11:56:05 +01:00
Cédrix
44031ddfd2 vault backup: 2026-03-02 09:26:05 2026-03-02 09:26:05 +01:00
Cédrix
b5636a7b5f vault backup: 2026-02-28 16:19:38 2026-02-28 16:19:38 +01:00
Cédrix
f7ff4527fc vault backup: 2026-02-28 12:53:09 2026-02-28 12:53:09 +01:00
Cédrix
bd311566fe vault backup: 2026-02-28 01:41:39 2026-02-28 01:41:39 +01:00
Cédrix
576b0dc6c0 vault backup: 2026-02-28 00:41:38 2026-02-28 00:41:38 +01:00
Cédrix
8591b642ef vault backup: 2026-02-28 00:11:38 2026-02-28 00:11:38 +01:00
Cédrix
1a10194cc9 vault backup: 2026-02-27 23:11:38 2026-02-27 23:11:38 +01:00
Cédrix
e274005be3 vault backup: 2026-02-27 22:41:37 2026-02-27 22:41:37 +01:00
Cédrix
867469b1fe vault backup: 2026-02-27 19:41:37 2026-02-27 19:41:37 +01:00
22 changed files with 4780 additions and 17 deletions
Expand all files Collapse all files

0
().md Normal file
View File

8
.obsidian/app.json vendored
View File

@@ -7,5 +7,11 @@
"attachmentFolderPath": "static", "attachmentFolderPath": "static",
"showUnsupportedFiles": true, "showUnsupportedFiles": true,
"trashOption": "local", "trashOption": "local",
"useMarkdownLinks": true "useMarkdownLinks": true,
"pdfExportSettings": {
"pageSize": "Letter",
"landscape": false,
"margin": "0",
"downscalePercent": 100
}
} }

3
.obsidian/community-plugins.json vendored
View File

@@ -4,5 +4,6 @@
"dataview", "dataview",
"find-unlinked-files", "find-unlinked-files",
"obsidian-importer", "obsidian-importer",
"obsidian-linter" "obsidian-linter",
"auto-note-mover"
] ]

2182
.obsidian/plugins/auto-note-mover/main.js vendored Normal file
View File

File diff suppressed because it is too large Load Diff

10
.obsidian/plugins/auto-note-mover/manifest.json vendored Normal file
View File

@@ -0,0 +1,10 @@
{
"id": "auto-note-mover",
"name": "Auto Note Mover",
"version": "1.2.0",
"minAppVersion": "0.12.0",
"description": "Auto Note Mover will automatically move the active notes to their respective folders according to the rules.",
"author": "faru",
"authorUrl": "https://github.com/farux/",
"isDesktopOnly": false
}

1
articles/.obsidian/app.json vendored Normal file
View File

@@ -0,0 +1 @@
{}

1
articles/.obsidian/appearance.json vendored Normal file
View File

@@ -0,0 +1 @@
{}

33
articles/.obsidian/core-plugins.json vendored Normal file
View File

@@ -0,0 +1,33 @@
{
"file-explorer": true,
"global-search": true,
"switcher": true,
"graph": true,
"backlink": true,
"canvas": true,
"outgoing-link": true,
"tag-pane": true,
"footnotes": false,
"properties": true,
"page-preview": true,
"daily-notes": true,
"templates": true,
"note-composer": true,
"command-palette": true,
"slash-command": false,
"editor-status": true,
"bookmarks": true,
"markdown-importer": false,
"zk-prefixer": false,
"random-note": false,
"outline": true,
"word-count": true,
"slides": false,
"audio-recorder": false,
"workspaces": false,
"file-recovery": true,
"publish": false,
"sync": true,
"bases": true,
"webviewer": false
}

190
articles/.obsidian/workspace.json vendored Normal file
View File

@@ -0,0 +1,190 @@
{
"main": {
"id": "10b0398f978f5417",
"type": "split",
"children": [
{
"id": "49fa4628aa15542a",
"type": "tabs",
"children": [
{
"id": "b8fe60e8778def2c",
"type": "leaf",
"state": {
"type": "markdown",
"state": {
"file": "2026/guide d'installation linux mint depuis windows.md",
"mode": "source",
"source": false
},
"icon": "lucide-file",
"title": "guide d'installation linux mint depuis windows"
}
}
]
}
],
"direction": "vertical"
},
"left": {
"id": "c0a0c15166f3131e",
"type": "split",
"children": [
{
"id": "00aa4d697e32d525",
"type": "tabs",
"children": [
{
"id": "a13022d3262080f1",
"type": "leaf",
"state": {
"type": "file-explorer",
"state": {
"sortOrder": "alphabetical",
"autoReveal": false
},
"icon": "lucide-folder-closed",
"title": "Explorateur de fichiers"
}
},
{
"id": "df5bb0bd9ed0c0f9",
"type": "leaf",
"state": {
"type": "search",
"state": {
"query": "",
"matchingCase": false,
"explainSearch": false,
"collapseAll": false,
"extraContext": false,
"sortOrder": "alphabetical"
},
"icon": "lucide-search",
"title": "Rechercher"
}
},
{
"id": "b471639635163f75",
"type": "leaf",
"state": {
"type": "bookmarks",
"state": {},
"icon": "lucide-bookmark",
"title": "Signets"
}
}
]
}
],
"direction": "horizontal",
"width": 300
},
"right": {
"id": "5de25b4b975b6020",
"type": "split",
"children": [
{
"id": "eeae21d54e279a2d",
"type": "tabs",
"children": [
{
"id": "3aa5dded2290baf4",
"type": "leaf",
"state": {
"type": "backlink",
"state": {
"file": "2026/guide d'installation linux mint depuis windows.md",
"collapseAll": false,
"extraContext": false,
"sortOrder": "alphabetical",
"showSearch": false,
"searchQuery": "",
"backlinkCollapsed": false,
"unlinkedCollapsed": true
},
"icon": "links-coming-in",
"title": "Rétrolien pour guide d'installation linux mint depuis windows"
}
},
{
"id": "fe09606ba257f17c",
"type": "leaf",
"state": {
"type": "outgoing-link",
"state": {
"file": "2026/guide d'installation linux mint depuis windows.md",
"linksCollapsed": false,
"unlinkedCollapsed": true
},
"icon": "links-going-out",
"title": "Liens sortants de guide d'installation linux mint depuis windows"
}
},
{
"id": "ba4c303083e4542d",
"type": "leaf",
"state": {
"type": "tag",
"state": {
"sortOrder": "frequency",
"useHierarchy": true,
"showSearch": false,
"searchQuery": ""
},
"icon": "lucide-tags",
"title": "Mots-clés"
}
},
{
"id": "f3cc63b394e3c62f",
"type": "leaf",
"state": {
"type": "all-properties",
"state": {
"sortOrder": "frequency",
"showSearch": false,
"searchQuery": ""
},
"icon": "lucide-archive",
"title": "Toutes les propriétés"
}
},
{
"id": "060c0fe3bbc47132",
"type": "leaf",
"state": {
"type": "outline",
"state": {
"file": "2026/guide d'installation linux mint depuis windows.md",
"followCursor": false,
"showSearch": false,
"searchQuery": ""
},
"icon": "lucide-list",
"title": "Plan de guide d'installation linux mint depuis windows"
}
}
]
}
],
"direction": "horizontal",
"width": 300,
"collapsed": true
},
"left-ribbon": {
"hiddenItems": {
"switcher:Ouvrir le sélecteur rapide": false,
"graph:Ouvrir la vue graphique": false,
"canvas:Créer une nouvelle toile": false,
"daily-notes:Ouvrir la note quotidienne": false,
"templates:Insérer le modèle": false,
"command-palette:Ouvrir la palette de commandes": false,
"bases:Créer une nouvelle base": false
}
},
"active": "b8fe60e8778def2c",
"lastOpenFiles": [
"2026/guide d'installation linux mint depuis windows.md"
]
}

220
articles/2026/Comprendre le Standard FHS.md Normal file
View File

@@ -0,0 +1,220 @@
---
title: "Comprendre le Standard FHS : La boussole de l'administrateur Linux"
description:
tags: []
date: 2026-02-28 12:53
lastmod: 2026-02-28 13:13
type:
category:
status:
---
# Comprendre le Standard FHS : La boussole de l'administrateur Linux
Si vous installez une Debian, une RedHat ou une Arch Linux, vous retrouverez toujours la même structure à la racine (`/`). Ce n'est pas un hasard, c'est le **FHS**. Son but ? Permettre aux logiciels et aux administrateurs de savoir exactement où chercher (ou stocker) une information.
## Les dossiers du Système (Le "Moteur")
Ces répertoires sont essentiels pour que la machine puisse démarrer et fonctionner.
- **`/boot`** : Contient tout ce qui est nécessaire au démarrage (le noyau Linux `vmlinuz`, le chargeur GRUB). Comme le disait Sabrine dans ton extrait, c'est vital pour le "Disaster Recovery".
- **`/etc`** : **Le dossier le plus important pour un admin.** Il contient tous les fichiers de configuration du système et des services (Apache, SSH, réseau). C'est du texte pur, facile à sauvegarder.
- **`/bin` et `/sbin`** : Les commandes de base (ls, cp, mkdir). `/sbin` est réservé aux commandes d'administration (système).
> _Note : Sur les distributions modernes, ces dossiers sont souvent des liens symboliques vers `/usr/bin`._
- **`/lib`** : Les bibliothèques partagées indispensables au démarrage des programmes situés dans `/bin` et `/sbin`.
## Les dossiers de Données et Utilisateurs
- **`/home`** : Le territoire des utilisateurs. Chaque utilisateur y a son sous-dossier (`/home/toto`) pour ses documents et ses réglages personnels.
- **`/root`** : Le "home" de l'administrateur (root). On le sépare des autres pour pouvoir monter `/home` sur une partition différente sans bloquer l'admin en cas de souci.
- **`/usr`** : (**User System Resources**) C'est là que sont installés la majorité des programmes, des icônes et de la documentation. C'est souvent la partie la plus volumineuse du système.
## Les dossiers Variables et Temporaires
C'est ici que ça bouge tout le temps.
- **`/var`** : (**Variable**) C'est le cœur des données dynamiques.
- `/var/log` : Les journaux du système (crucial pour le debug).
- `/var/lib` : Les bases de données (MySQL, PostgreSQL).
- `/var/www` : Souvent utilisé pour héberger les sites web.
- **`/tmp`** : Fichiers temporaires. Ils sont souvent supprimés à chaque redémarrage.
## Les dossiers "Matériel" et Virtuels
Linux traite tout comme un fichier, même votre matériel.
- **`/dev`** : Contient les points d'entrée vers les périphériques (disques durs `/dev/sda`, terminaux `/dev/tty`).
- **`/proc` et `/sys`** : Ce ne sont pas de "vrais" dossiers sur le disque. Ce sont des fenêtres sur le noyau et la RAM. Ils permettent de voir l'état du processeur ou des processus en temps réel.
---
## Le royaume de l'amovible (Automatique)
Le répertoire `/media` est une introduction relativement récente dans le standard FHS. Il est géré par le système d'exploitation.
- **Usage :** C'est le point de montage par défaut pour tous les médias **amovibles**.
- **Fonctionnement :** Quand vous branchez une clé USB, un disque dur externe ou un CD-ROM, le système (via des outils comme `udisks` ou votre environnement de bureau GNOME/KDE) crée automatiquement un sous-dossier ici.
- **Exemples :**
- `/media/usb-disk`
- `/media/cdrom`
- `/media/prive/MA_CLE_USB` (sur certaines distributions qui séparent par utilisateur).
> **L'avantage :** C'est "Plug and Play". L'utilisateur n'a pas besoin de taper de commandes pour accéder à ses fichiers.
---
## Le montage temporaire (Manuel)
Le dossier `/mnt` (**Mount**) est historiquement le dossier de l'administrateur système.
- **Usage :** Il est destiné aux montages **manuels et temporaires**.
- **Fonctionnement :** Si vous devez monter une partition de secours pour réparer un système, ou accéder ponctuellement à un fichier image (`.iso`), c'est ici qu'on le fait. Contrairement à `/media`, le système ne crée rien tout seul dans `/mnt`.
- **Exemple de commande :**
`mount /dev/sdb1 /mnt`
> **L'avantage :** Il est "propre". Il ne dépend d'aucun automatisme système, ce qui le rend fiable pour les opérations de maintenance ou de récupération de données.
---
## Et pour les montages permanents ?
Petite précision cruciale pour ton infrastructure : si tu as un deuxième disque dur interne ou un partage réseau (NAS) qui doit être là **à chaque démarrage**, le FHS est un peu plus flou.
Beaucoup d'administrateurs créent leur propre dossier à la racine (ex: `/data` ou `/nas`) ou utilisent des sous-dossiers dans `/mnt` (ex: `/mnt/backup`). Cependant, la tendance "propre" actuelle consiste à utiliser :
- **`/srv`** si ce sont des données servies (comme vu précédemment).
- **`/mnt/nom_du_partage`** pour les montages réseau statiques via le fichier `/etc/fstab`.
---
On ne peut pas parler du standard **FHS** sans évoquer ces deux-là ! Si `/etc` et `/var` sont le cœur du système, `/opt` et `/srv` sont les dossiers du "sur-mesure" et du service pur.
## Les logiciels "tout-en-un" (Add-on Packages)
`/opt` se situe dans une zone grise intéressante : c'est du logiciel (statique), mais comme il n'est pas géré par le système de paquets officiel de ta distribution (APT, DNF), il est beaucoup plus difficile à réinstaller à l'identique. Le nom vient de **Optional**. Ces logiciels ne suivent pas la répartition classique de Linux (éparpiller leurs fichiers dans `/usr/bin`, `/usr/lib`, etc.).
- **Le concept :** Chaque logiciel a son propre sous-répertoire contenant tout ce dont il a besoin (binaires, bibliothèques, configurations).
- **Exemples typiques :** * `Google Chrome` se trouve souvent dans `/opt/google/chrome`.
- Des outils comme `Discord`, `Zoom`, ou des suites de développement comme `Eclipse`.
- **Pourquoi l'utiliser ?** Cela évite de polluer les dossiers système (`/usr`). Si vous supprimez le dossier dans `/opt`, vous supprimez proprement toute l'application.
Dans une politique de sauvegarde sérieuse, `/opt` est souvent sauvegardé au même titre que `/etc` car il contient de "l'intelligence métier" difficile à reconstruire.
---
## Les données de services (Service Data)
Introduit plus tard dans le FHS, le dossier **`/srv`** est destiné à stocker les données relatives aux services offerts par le serveur.
- **Le concept :** Centraliser les données que votre serveur "sert" au monde extérieur.
- **Exemples typiques :**
- `/srv/www` : Pour les fichiers de votre site web (au lieu de `/var/www`).
- `/srv/ftp` : Pour les fichiers accessibles via un serveur FTP.
- `/srv/git` : Pour vos dépôts de code source.
**Pourquoi l'utiliser ?**
Sans `/srv`, ton script de sauvegarde ressemble à une usine à gaz car `/var` un répertoire "fourre-tout" qui mélange le **précieux** (tes données) et le **jetable** (les fichiers temporaires) et il faut faire des choix :
- Sauvegarder `/var/www` (Web)
- Sauvegarder `/var/lib/pgsql` (Base de données)
- Sauvegarder `/var/spool/mail` (Mails)
- **Risque :** Tu oublies le nouveau dossier `/var/lib/mongodb` que ton collègue a installé hier. Résultat : **Perte de données.**
Avec **`/srv`**, tu imposes une règle d'or à ton équipe :
> _"Tout ce qui est produit pour un client va dans /srv"_.
Ton script devient : `sauvegarder /srv`. Si un collègue ajoute un service, il le met dans `/srv/mongodb`. Ton backup le prendra **automatiquement** sans que tu n'aies à modifier une seule ligne de code.
## Les dossiers "Polluants" de `/var`
- **`/var/cache`** : Comme son nom l'indique, c'est du cache. Par exemple, `/var/cache/apt` contient les paquets `.deb` déjà installés. Si ton serveur brûle, tu n'as pas besoin de ces fichiers, tu les retéléchargeras lors de la réinstallation.
- **`/var/tmp`** : Ce sont des fichiers temporaires qui doivent survivre à un redémarrage (contrairement à `/tmp`), mais ils n'ont pas vocation à être sauvegardés.
- **`/var/run` (ou `/run`)** : Ce dossier est vidé à chaque démarrage. Il contient les ID des processus en cours (`.pid`) et des sockets. Sauvegarder cela est totalement inutile, voire dangereux si tu tentes de les restaurer.
- **`/var/lock`** : Contient des fichiers de verrouillage pour empêcher deux programmes d'utiliser le même périphérique. Inutile en sauvegarde.
---
## Pourquoi respecter le FHS ?
Prenons l'exemple de **Frédéric**, qui déplace tout dans `/home`.
Dans Linux, les logiciels ne se "devinent" pas, ils se fient à des chemins prévisibles codés en dur ou configurés par défaut.
- **Le Monitoring (ex: Zabbix, Netdata) :** Il va surveiller `/var/lib/postgresql` pour mesurer la taille de la base. Si elle est dans `/home`, l'alerte de disque plein ne se déclenchera jamais.
- **La Sécurité (ex: SELinux, AppArmor) :** Ce sont des systèmes de contrôle d'accès. Ils ont des règles strictes : _"Le processus Postgres n'a le droit de lire/écrire QUE dans /var/lib/pgsql"_. Si Frédéric déplace les données dans `/home`, SELinux va bloquer Postgres, croyant à une intrusion.
- **Les Mises à jour :** Lors d'une montée de version, le gestionnaire de paquets (`apt` ou `dnf`) va chercher les fichiers de configuration dans `/etc`. S'ils sont ailleurs, il créera de nouveaux fichiers par défaut et votre service ne redémarrera pas avec vos réglages.
Imaginez que Frédéric quitte l'entreprise. Vous arrivez le lundi matin, le serveur est en panne.
- **Scénario Standard (FHS) :** Vous tapez `ls /var/lib/`. Vous voyez `pgsql`. Vous comprenez que c'est un serveur de base de données. Vous regardez `/etc/postgresql/` pour la config. En 5 minutes, vous avez le diagnostic.
- **Scénario Frédéric :** Vous regardez `/var/lib`, c'est vide. Vous pensez que la base a été supprimée. Vous cherchez pendant 1 heure avant de réaliser que tout est caché dans `/home/postgres`. **Bilan :** 1 heure d'interruption de service inutile.
Par définition, `/home` est privé.
- Le dossier `/var/lib/postgresql` est conçu pour être accessible par les services système.
- Le dossier `/home/postgres` est protégé par les masques d'utilisateurs. Si un outil de sauvegarde automatisé (non-root) passe par là, il sera bloqué. Frédéric a créé une **faille de sécurité** en mélangeant données système et espace utilisateur.
En respectant le FHS, vous bénéficiez de l'effet **"LEGO"** :
1. Vous installez un serveur (Debian).
2. Vous branchez un agent de sauvegarde (Veeam).
3. Vous branchez un antivirus (ClamAV).
4. Vous branchez un outil de log (Rsyslog).
**Tout fonctionne instantanément sans aucune configuration manuelle de chemins.**
---

141
articles/2026/Créer sa propre Autorité de Certification (CA) avec OpenSSL.md Normal file
View File

@@ -0,0 +1,141 @@
---
title: "Guide Complet : Créer sa propre Autorité de Certification (CA) avec OpenSSL"
description:
tags: [openssl, certification, ac, san]
date: 2026-02-28 00:29
lastmod: 2026-02-28 00:36
type:
- article
category:
- "[[Guide]]"
status: brouillon
---
# Guide Complet : Créer sa propre Autorité de Certification (CA) avec OpenSSL
Dans un environnement de test, un laboratoire local ou un intranet, l'utilisation de certificats SSL "auto-signés" classiques pose souvent problème : les navigateurs affichent des alertes de sécurité rouges et bloquent l'accès.
La solution professionnelle consiste à **devenir votre propre Autorité de Certification**. En créant une "Racine de confiance" et en l'installant sur vos appareils, tous les certificats que vous générerez ensuite seront instantanément reconnus comme valides et sécurisés.
## 1. Création de l'Autorité de Certification (La Racine)
C'est votre "passeport maître". Une fois généré, vous devrez installer le fichier `ma-ca.crt` dans les "Autorités de certification racines de confiance" de vos ordinateurs ou navigateurs.
### Générer la clé privée de l'AC
Cette clé est le cœur de votre sécurité. Gardez-la précieusement et ne la partagez jamais.
```bash
openssl genrsa -out ma-ca.key 4096
```
### Générer le certificat de l'AC (Self-Signed)
Ce certificat est valable 10 ans. C'est lui que vous distribuerez à vos clients (PC, serveurs, mobiles).
```
openssl req -x509 -new -nodes -key ma-ca.key -sha256 -days 3650 -out ma-ca.crt \
-subj "/C=FR/ST=Paris/L=Paris/O=MonLabo/CN=Mon AC Locale"
```
---
## 2. Configuration SAN (Subject Alternative Name)
Depuis quelques années, les navigateurs modernes (Chrome, Firefox, Edge) rejettent les certificats qui n'utilisent que le simple "Common Name" (CN). Il est désormais impératif d'utiliser une extension **SAN** pour lister vos domaines explicitement.
Créez un fichier nommé `domaines.ext` et collez-y la configuration suivante :
```toml
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = acegrp.lan
DNS.2 = *.acegrp.lan
DNS.3 = abonnel.fr
DNS.4 = a5l.fr
DNS.5 = localhost
```
---
## 3. Génération du Certificat pour vos domaines
Nous allons maintenant créer un certificat serveur signé par votre propre AC.
### Étape A : Créer la clé privée du serveur
```bash
openssl genrsa -out monserveur.key 2048
```
### Étape B : Créer la demande de signature (CSR)
Le CSR est une requête officielle contenant vos informations d'identité.
```bash
openssl req -new -key monserveur.key -out monserveur.csr \
-subj "/C=FR/ST=Paris/L=Paris/O=MonLabo/CN=acegrp.lan"
```
### Étape C : Signer le certificat avec votre AC
C'est ici que la magie opère : vous utilisez votre clé racine pour valider le certificat du serveur.
```bash
openssl x509 -req -in monserveur.csr -CA ma-ca.crt -CAkey ma-ca.key \
-CAcreateserial -out monserveur.crt -days 825 -sha256 -extfile domaines.ext
```
> **Note de sécurité :** Nous limitons la validité à **825 jours** (environ 2 ans). Les navigateurs récents refusent les certificats serveurs ayant une durée de vie trop longue pour des raisons de sécurité.
---
## 4. Récapitulatif des fichiers obtenus
|**Fichier**|**Rôle**|**Action requise**|
|---|---|---|
|**ma-ca.crt**|Certificat Racine|**À importer** sur vos PC/Mobiles (Root Store).|
|**monserveur.crt**|Certificat Serveur|**À installer** sur Nginx, Apache ou IIS.|
|**monserveur.key**|Clé privée Serveur|**À installer** sur le serveur (Garder secret !).|
---
## 5. Mise en place pratique (Exemple Nginx)
Pour que vos sites soient reconnus sans erreur, configurez votre bloc `server` ainsi :
```nginx
server {
listen 443 ssl;
server_name acegrp.lan abonnel.fr a5l.fr;
ssl_certificate /etc/nginx/ssl/monserveur.crt;
ssl_certificate_key /etc/nginx/ssl/monserveur.key;
# Paramètres de sécurité recommandés
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
}
```
---
## Astuces de déploiement "Pro"
- **Sur Windows (Parc informatique) :** Utilisez une **GPO** (Stratégie de groupe) pour déployer `ma-ca.crt` automatiquement dans le magasin "Autorités de certification racines de confiance" de tous les postes du domaine.
- **Sur Linux (Ubuntu/Debian) :** Pour que votre système fasse confiance à votre AC en ligne de commande (ex: pour `curl`), copiez le fichier dans `/usr/local/share/ca-certificates/` et lancez la commande :
`sudo update-ca-certificates`
- **Sur Android/iOS :** Envoyez-vous le fichier `.crt` par email et ouvrez-le pour l'installer dans les réglages de confiance du profil.
---
à suivre : **script Bash** pour automatiser entièrement la génération et le renouvellement de ces certificats.

127
articles/2026/Installer un serveur de cache APT avec https.md Normal file
View File

@@ -0,0 +1,127 @@
---
title: Installer un serveur de cache APT avec https
description:
tags: []
date: 2026-02-28 01:25
lastmod: 2026-02-28 01:28
type:
- article
category:
- "[[Guide]]"
status: brouillon
---
Pour mettre en cache du contenu **HTTPS** (et donc réellement économiser de la bande passante sur des dépôts comme Docker, Nodesource ou Google Cloud), la méthode "PassThrough" ne suffit plus car elle ne fait que laisser passer le flux chiffré sans le lire.
Pour que le serveur de cache puisse lire et stocker le contenu, il doit intercepter la connexion. Voici comment configurer une architecture **Man-in-the-Middle (MitM)** propre et sécurisée pour votre infrastructure locale.
---
## Le Concept : Proxy HTTPS Transparent
Dans ce scénario, nous allons utiliser **Squid** avec la fonctionnalité **SSL Peek-and-Splice**.
1. Le serveur de cache possède sa propre **Autorité de Certification (CA)**.
2. Vous installez ce certificat CA sur tous vos clients comme "Autorité de confiance".
3. Lorsqu'un client demande un paquet via HTTPS, le serveur génère un certificat à la volée, déchiffre la requête, vérifie son cache, et rechiffre le flux vers le client.
---
## 1. Génération du certificat CA auto-signé
Sur votre serveur de cache, générez la clé et le certificat qui serviront à signer les requêtes interceptées :
Bash
```
# Créer un dossier pour les certificats
sudo mkdir -p /etc/squid/ssl_cert
sudo openssl req -new -newkey rsa:2048 -sha256 -days 3650 -nodes -x509 \
-extensions v3_ca -keyout /etc/squid/ssl_cert/myCA.pem \
-out /etc/squid/ssl_cert/myCA.pem
```
> **Important :** Le fichier `myCA.pem` contient votre clé privée. Protégez-le avec des permissions strictes (`chmod 400`).
---
## 2. Configuration de Squid (Serveur de Cache)
Installez Squid avec le support SSL (vérifiez que votre version supporte `--with-openssl`) :
Bash
```
sudo apt update && sudo apt install squid -y
```
Modifiez la configuration `/etc/squid/squid.conf` pour inclure ces directives :
Plaintext
```
# Port d'écoute avec interception SSL
http_port 3128 ssl-bump \
cert=/etc/squid/ssl_cert/myCA.pem \
generate-host-certificates=on dynamic_cert_mem_cache_size=4MB
# Définition de la stratégie d'interception
acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump bump all
# Cache des fichiers (ajustez la taille selon vos besoins)
cache_dir ufs /var/spool/squid 10000 16 256
maximum_object_size 1024 MB
```
Initialisez la base de données des certificats dynamiques :
Bash
```
sudo /usr/lib/squid/security_file_certgen -c -s /var/lib/squid/ssl_db -M 4MB
sudo chown -R proxy:proxy /var/lib/squid/ssl_db
sudo systemctl restart squid
```
---
## 3. Configuration du Client (Étape CRUCIALE)
Sans cette étape, vos clients bloqueront la connexion pour "tentative d'interception" (HSTS/SSL Pinning).
### A. Importer le certificat CA
Copiez le fichier `myCA.pem` du serveur vers le client, puis :
Bash
```
sudo cp myCA.pem /usr/local/share/ca-certificates/my-proxy-ca.crt
sudo update-ca-certificates
```
### B. Configurer APT pour utiliser le proxy
Éditez `/etc/apt/apt.conf.d/00proxy` :
Plaintext
```
Acquire::http::Proxy "http://IP_SERVEUR:3128";
Acquire::https::Proxy "http://IP_SERVEUR:3128";
```
---
## Avantages et Risques
|**Avantages**|**Risques / Inconvénients**|
|---|---|
|**Vraie mise en cache** du HTTPS (Gain de temps massif).|**Point de défaillance unique** pour la sécurité.|
|Réduction drastique de la bande passante externe.|Nécessite d'installer le certificat sur **chaque** client.|
|Contrôle total sur les paquets entrant dans le réseau.|Incompatible avec certains dépôts qui utilisent le _Certificate Pinning_.|

131
articles/2026/Installer un serveur de cache APT.md Normal file
View File

@@ -0,0 +1,131 @@
---
title: Installer un serveur de cache APT
description:
tags:
date: 2026-02-28 01:26
lastmod: 2026-02-28 01:26
type:
- article
category:
- "[[Guide]]"
status: brouillon
---
Installer un serveur de cache APT (comme **Apt-Cacher-NG**) est une excellente initiative pour économiser de la bande passante et accélérer les mises à jour de vos serveurs ou VMs Linux.
Cependant, le passage au **HTTPS** pour les dépôts complique un peu la donne : par définition, le HTTPS est conçu pour empêcher les interceptions (ce que fait un cache). Pour contourner cela sans compromettre la sécurité, nous allons configurer un tunnel "CONNECT".
---
## 1. Installation de Apt-Cacher-NG
Commencez par installer le service sur la machine qui servira de serveur de cache (Debian ou Ubuntu) :
Bash
```
sudo apt update
sudo apt install apt-cacher-ng -y
```
Le service écoute par défaut sur le port **3142**. Vous pouvez vérifier qu'il tourne bien en accédant à `http://IP_DU_SERVEUR:3142`.
---
## 2. Configuration pour le support HTTPS
Comme le cache ne peut pas "décrypter" le flux HTTPS (à moins de faire une attaque Man-in-the-Middle complexe et peu recommandée), la solution standard est d'autoriser le serveur à agir comme un **proxy tunnel**.
### Sur le serveur de cache :
Éditez le fichier de configuration :
Bash
```
sudo nano /etc/apt-cacher-ng/acng.conf
```
Cherchez et modifiez (ou ajoutez) la ligne suivante pour autoriser le port 443 :
Plaintext
```
PassThroughPattern: ^(.*):443$
```
_Note : Cela permet au client de passer à travers le cache pour le HTTPS. Les fichiers ne seront pas "mis en cache" de la même manière que le HTTP simple, mais cela centralise vos flux._
Redémarrez le service :
Bash
```
sudo systemctl restart apt-cacher-ng
```
---
## 3. Configuration des Clients
C'est ici que la magie opère. Vous ne devez pas modifier vos fichiers `sources.list`, mais dire à APT d'utiliser votre serveur comme proxy.
### Méthode A : Configuration globale (Recommandé)
Créez un fichier de configuration sur chaque machine cliente :
Bash
```
sudo nano /etc/apt/apt.conf.d/00aptproxy
```
Ajoutez la ligne suivante (remplacez par l'IP de votre serveur) :
Plaintext
```
Acquire::http::Proxy "http://192.168.1.50:3142";
Acquire::https::Proxy "http://192.168.1.50:3142";
```
### Cas particulier : Le "HTTPS-over-HTTP"
Si vous voulez vraiment mettre en cache le contenu HTTPS, la méthode la plus propre est de forcer APT à utiliser le protocole HTTP vers le cache, et de laisser le serveur de cache s'occuper du HTTPS vers l'extérieur.
Pour cela, dans votre `sources.list` client, remplacez `https://` par `http://` et utilisez le mapping dans `acng.conf`. Mais attention, cela demande une maintenance plus lourde. La méthode du **PassThrough** (étape 2) est la plus robuste.
---
## 4. Maintenance et Statistiques
L'un des grands avantages d'Apt-Cacher-NG est son interface web. Elle vous permet de voir combien de giga-octets vous avez économisés.
- **Interface :** `http://IP_DU_SERVEUR:3142/acng-report.html`
- **Expiration du cache :** Le serveur gère seul le nettoyage, mais vous pouvez forcer une purge via l'interface web pour supprimer les paquets obsolètes.
|**Fonctionnalité**|**Action**|
|---|---|
|**Logs**|`/var/log/apt-cacher-ng/`|
|**Stockage des paquets**|`/var/cache/apt-cacher-ng/`|
|**Sécurité**|Pensez à limiter l'accès au port 3142 via votre pare-feu (UFW/Iptables) aux IPs de votre réseau local.|
---
### Résumé de l'architecture
1. **Le Client** demande un paquet.
2. **APT** voit la configuration proxy et envoie la requête au serveur de cache.
3. **Le Serveur de cache** vérifie s'il a déjà le paquet.
- Si oui : il le sert instantanément.
- Si non : il le télécharge, le stocke et le sert au client.
4. Pour le **HTTPS**, il crée un tunnel direct sans stockage local (sauf configuration spécifique).
Souhaitez-vous que je vous aide à rédiger un script d'automatisation (Ansible ou Bash) pour déployer cette configuration sur 50 clients d'un coup ?

103
articles/2026/LTLS Le garde du corps de vos données sur Internet.md Normal file
View File

@@ -0,0 +1,103 @@
---
title: "TLS : Le garde du corps de vos données sur Internet"
description:
tags: []
date: 2026-02-28 00:00
lastmod: 2026-02-28 00:05
type:
category:
status:
---
# TLS : Le garde du corps de vos données sur Internet
Chaque clic sur le Web déclenche un ballet invisible. Derrière le cadenas de votre navigateur, le protocole **TLS (Transport Layer Security)** assure que vos coordonnées bancaires ou vos messages privés ne finissent pas entre les mains d'un tiers. Mais comment ce protocole parvient-il à concilier sécurité absolue et rapidité instantanée ?
## 1. Lhéritage du secret : de lAntiquité au numérique
Le besoin de masquer une information est millénaire. Les Spartiates utilisaient la **scytale**, un bâton de bois autour duquel on enroulait une lanière de cuir. Sans un bâton du _même diamètre_ (la clé), le message était illisible.
C'est l'ancêtre du **chiffrement symétrique**. Aujourd'hui, nous n'utilisons plus de bâtons, mais des algorithmes mathématiques comme **AES (Advanced Encryption Standard)**.
- **Le point fort :** Une rapidité foudroyante.
- **Le point faible :** Le "problème de la distribution". Si vous voulez envoyer un message chiffré à quelqu'un à l'autre bout du monde, comment lui transmettre la clé sans qu'elle soit interceptée en chemin ?
## 2. La révolution asymétrique : linvention du double cadenas
En 1976, une percée mathématique change la donne : le chiffrement **asymétrique** (ou à clé publique). Imaginez une boîte aux lettres :
1. N'importe qui peut y glisser un message (grâce à la **clé publique**, connue de tous).
2. Seul le propriétaire de la boîte peut l'ouvrir (grâce à sa **clé privée**, gardée secrète).
Cette méthode, utilisée par l'algorithme **RSA**, règle le problème de la transmission de la clé. Cependant, elle est extrêmement lourde en calculs mathématiques, ce qui ralentirait considérablement votre navigation si elle était utilisée pour tout le contenu d'une page web.
---
## 3. Le protocole TLS : Le meilleur des deux mondes
Le génie de TLS réside dans son hybridité. Il utilise l'asymétrie pour faire les présentations, puis bascule sur la symétrie pour la discussion.
### 3.1 Anatomie d'une poignée de main (Handshake TLS 1.3)
Lorsqu'un navigateur se connecte à un serveur, ils exécutent le **Handshake**, tel que défini par la **RFC 8446** :
- **L'accord (Negotiation) :** Le client dit au serveur : "Voici les langues (algorithmes) que je parle". Le serveur en choisit une.
- **La preuve (Authentication) :** Le serveur présente son **certificat numérique**. C'est son passeport, signé par une autorité de confiance.
- **L'échange secret (Key Exchange) :** Via le mécanisme de **Diffie-Hellman éphémère (ECDHE)**, ils génèrent une clé de session symétrique sans jamais se l'envoyer directement sur le réseau. C'est de la magie mathématique.
- **Le tunnel (Encryption) :** Une fois la clé établie, les données coulent, chiffrées en AES.
> **Focus technique : Perfect Forward Secrecy (PFS)**
>
> TLS 1.3 impose que chaque session ait sa propre clé unique. Si un pirate vole la clé privée d'un serveur dans un an, il ne pourra pas déchiffrer les conversations capturées aujourd'hui. C'est la _confidentialité persistante_.
### 3.2 Le Certificat : La pièce d'identité du serveur
Un chiffrement n'est rien si vous parlez au mauvais destinataire. Le certificat (format **X.509**) garantit l'identité du site. Il contient :
- Le nom de domaine (ex: `google.com`).
- La clé publique du serveur.
- La signature d'une Autorité de Certification (AC).
En tant qu'administrateur, vous pouvez inspecter ces détails sous Linux :
Bash
```
# Pour lire les informations d'un certificat exporté
openssl x509 -in certificat.pem -text -noout
```
_Vérifiez toujours la date "Not After" : un certificat expiré est la cause n°1 des pannes de services web (Teams et Instagram en ont déjà fait l'amère expérience)._
---
## 4. Pourquoi le "tout-chiffré" est vital en 2026
Le cybercrime n'est plus une nuisance, c'est une économie mondiale de **10,5 trillions de dollars** [CYBERCRIME]. Utiliser des protocoles "en clair" revient à crier son code de carte bleue dans une rue bondée.
|**Protocole à bannir (Clair)**|**Alternative impérative (TLS)**|**Risque**|
|---|---|---|
|**HTTP**|**HTTPS**|Interception des mots de passe|
|**FTP**|**FTPS**|Vol de fichiers industriels|
|**LDAP**|**LDAPS**|Compromission de l'annuaire d'entreprise|
|**Telnet**|**SSH**|Prise de contrôle totale du serveur|
Grâce à des outils comme **Wireshark**, un attaquant sur le même réseau Wi-Fi que vous peut "voir" vos identifiants si vous n'utilisez pas TLS. Le passage au TLS généralisé n'est pas une option technique, c'est une responsabilité éthique pour protéger les utilisateurs.
## Conclusion
TLS est le socle de la confiance numérique. En combinant la robustesse de l'Antiquité (chiffrement symétrique) et l'ingéniosité des mathématiques modernes (asymétrie), il permet à Internet de fonctionner de manière sécurisée à grande échelle.
La sécurité est une chaîne : le protocole est le maillon fort, mais la vigilance humaine (renouvellement des certificats, arrêt des vieux protocoles) reste le pivot.

117
articles/2026/Le Paradoxe de Linux Entre Cimetière de Projets et Hégémonie Mondiale.md Normal file
View File

@@ -0,0 +1,117 @@
---
title: "Le Paradoxe de Linux : Entre Cimetière de Projets et Hégémonie Mondiale"
description: "Si lon se fie aux données de DistroWatch, le constat est cinglant : sur près de 1 000 distributions GNU/Linux référencées, plus de 630 sont aujourd'hui au cimetière numérique."
tags: []
date: 2026-02-28 11:57
lastmod: 2026-02-28 12:00
type:
- article
category:
- "[[Guide]]"
status: terminé
---
# Le Paradoxe de Linux : Entre Cimetière de Projets et Hégémonie Mondiale
Le monde de lopen source est un théâtre dune brutalité rare. Si lon se fie aux données de **DistroWatch**, le constat est cinglant : sur près de 1 000 distributions GNU/Linux référencées, plus de 630 sont aujourd'hui au cimetière numérique. Avec un taux de survie qui oscille autour de 30 %, le paysage Linux ressemble davantage à une sélection naturelle darwinienne quà un long fleuve tranquille.
Pourtant, cette hécatombe cache une réalité paradoxale. Si Linux peine à conquérir le bureau de "Monsieur Tout-le-monde", il est devenu l'oxygène du monde numérique moderne.
---
### I. Les Échecs Illustres : Quand l'Argent et l'Ambition ne Suffisent Pas
Le succès d'une distribution ne dépend ni de sa levée de fonds, ni de son marketing, mais de la solidité de sa communauté et de sa pertinence technique. Trois exemples marquent cette difficulté :
- **Mandriva (1998-2011) : La chute du fleuron français.** Née Mandrake, elle a prouvé que Linux pouvait être beau, simple et vendu en boîte chez Carrefour. Sa faillite, après 13 ans de lutte, a laissé un vide immense, bien que son ADN survive à travers **Mageia** et **OpenMandriva**.
- **Corel Linux (1999-2001) : L'étoile filante.** Corel (connu pour WordPerfect) a tenté de défier Windows frontalement avec une force de frappe financière massive. Résultat ? Une revente en moins de deux ans. L'argent ne suffit pas à acheter une adoption durable.
- **Ubuntu Touch / Unity (2011-2017) : Le rêve brisé de la convergence.** Mark Shuttleworth (Canonical) voulait un OS unique pour PC et smartphones. Malgré des millions investis, le projet a été abandonné, prouvant que même le leader du bureau ne peut pas forcer le marché mobile face au duo Android/iOS.
- **Lindows / Linspire (2001-2008) : La promesse brisée.** L'idée était de créer un Linux capable d'exécuter les logiciels Windows nativement (via Wine). Microsoft a attaqué le nom en justice, forçant le passage à "Linspire". Malgré une tentative de simplification extrême (le "Click-n-Run"), le projet a sombré car il n'offrait ni la stabilité de Debian, ni la compatibilité réelle avec Windows.
- **SteamOS (v1 & v2) : Le faux départ de Valve.** Avant le succès actuel du Steam Deck (sous SteamOS 3 basé sur Arch), Valve avait tenté de lancer des "Steam Machines" sous Debian. Ce fut un échec cuisant : trop peu de jeux compatibles à l'époque et une interface moins performante que Windows. Cela prouve que même avec des milliards, le timing du marché est crucial.
- **Antergos (2012-2019) : La mort par épuisement.** C'était la distribution préférée de ceux qui voulaient la puissance d'Arch Linux sans la complexité de l'installation. Elle a disparu non par manque d'utilisateurs, mais parce que les développeurs bénévoles n'avaient plus le temps de maintenir un dépôt de paquets sécurisé. La survie est aussi une question de ressources humaines.
---
### II. Le Poste de Travail : La Forteresse Imprenable ?
Sur le segment du **Desktop**, le bilan est plus mitigé. En dehors de la niche des développeurs, des administrateurs système et des passionnés de vie privée, Linux stagne. Plusieurs facteurs expliquent ce plafond de verre :
1. **La pré-installation :** Windows et macOS sont vendus avec le matériel.
2. **L'écosystème logiciel :** Malgré des progrès (Proton pour le jeu vidéo, suites SaaS), l'absence de la suite Adobe ou d'une version native d'Office reste un frein pour les entreprises.
3. **La fragmentation :** Le choix immense (plus de 270 distributions actives) est une force pour l'expert, mais une source de confusion pour le néophyte.
---
### III. La Domination Invisible : Le Maître des Serveurs et du Cloud
Si Linux est discret sur votre bureau, il est **omniprésent** dès que vous vous connectez à Internet. Le contraste est saisissant :
- **96 % des serveurs** web mondiaux tournent sous Linux.
- **100 % des 500 plus gros supercalculateurs** de la planète utilisent une distribution Linux.
- **Le Cloud (AWS, Azure, GCP)** est quasi intégralement propulsé par Linux. Même Microsoft, autrefois ennemi juré, admet qu'une majorité des instances sur Azure sont sous Linux.
#### Le "Big Four" de la Production
En environnement professionnel, le chaos des centaines de distributions disparaît au profit de quatre piliers de stabilité :
1. **RHEL (Red Hat Enterprise Linux) :** Le standard pour les grandes entreprises et la finance.
2. **Ubuntu Server :** Le roi du cloud et de la facilité d'utilisation.
3. **Debian :** Le "système d'exploitation universel", réputé pour sa stabilité légendaire et sa neutralité.
4. **SUSE :** Pilier de l'industrie, notamment en Europe et dans le secteur industriel.
---
### IV. Pourquoi le duo Debian / Red Hat survole le marché ?
Si des centaines de distributions disparaissent, **Debian** et **Red Hat (RHEL)** restent les piliers inébranlables de l'informatique mondiale. Voici pourquoi ils excellent là où les autres échouent.
#### 1. Red Hat (RHEL) : Le modèle de la prédictibilité
Red Hat n'est pas seulement un OS, c'est une **assurance vie** pour les entreprises.
- **Le cycle de vie (Life Cycle) :** Une version de RHEL est supportée pendant 10 ans. Pour une banque ou une usine, savoir que son système recevra des patchs de sécurité jusqu'en 2034 sans avoir à tout réinstaller est un argument massue.
- **La certification matérielle :** Dell, HP et IBM certifient leurs serveurs spécifiquement pour RHEL. Si un bug survient, le support technique est contractuel.
- **L'écosystème :** Red Hat a créé les standards (format de paquet RPM, SELinux pour la sécurité). Ils sont les plus gros contributeurs au noyau Linux, ce qui leur donne une maîtrise totale de la technologie.
#### 2. Debian : Le "Rocher" de l'indépendance
Debian excelle pour des raisons diamétralement opposées : c'est la démocratie technique pure.
- **La Stabilité Légendaire :** La version "Stable" de Debian ne sort que lorsqu'elle est prête, sans pression marketing. Les paquets sont testés pendant des mois, voire des années. C'est pour cela qu'elle est la base de prédilection des serveurs critiques et des infrastructures spatiales.
- **L'Universalité :** Debian supporte une quantité phénoménale d'architectures de processeurs (ARM, x86, PowerPC, MIPS...). Elle tourne aussi bien sur un vieux routeur que sur un supercalculateur.
- **La neutralité politique :** Contrairement à Ubuntu (Canonical) ou RHEL (IBM), Debian n'appartient à aucune entreprise. Elle est gérée par une organisation à but non lucratif. Pour de nombreux ingénieurs, c'est la garantie que l'OS ne changera pas de direction pour des raisons purement financières.
---
### V. L'Illusion DistroWatch : Pourquoi Debian Gagne à la Fin
Il est crucial de ne pas confondre **popularité de curiosité** et **adoption réelle**. DistroWatch mesure l'intérêt des visiteurs (les clics sur les pages), ce qui favorise les distributions "tendance" ou graphiquement innovantes.
C'est ainsi que **Debian** n'est presque jamais n°1 du classement, alors qu'elle est probablement la distribution la plus influente de l'histoire. Elle sert de base à Ubuntu (et donc à Mint, Pop!_OS, etc.) et fait tourner des millions de serveurs critiques en arrière-plan. C'est le moteur robuste et discret d'une voiture de course dont on ne regarderait que la carrosserie.
---
Le taux d'échec de 70 % n'est pas un signe de faiblesse, mais la preuve d'une vitalité extrême. Dans l'open source, on a le droit d'échouer, de "forker" (reprendre un projet) et d'expérimenter.
Linux a perdu la bataille du marketing de masse sur le bureau, mais il a gagné la guerre de l'infrastructure mondiale. Pour l'expert, Linux est l'outil de précision ultime. Pour le grand public, c'est cette force invisible qui permet à Netflix, Spotify et à votre banque de fonctionner chaque seconde sans interruption.

59
articles/2026/Olvid.md Normal file
View File

@@ -0,0 +1,59 @@
---
title: Olvid
description:
tags: []
date: 2026-02-28 12:11
lastmod: 2026-02-28 12:12
type:
- article
category:
- "[[Guide]]"
status: terminé
---
Pour contrer l'approche d'Empreinte.com ou les compromis de la DINUM, **Olvid** est souvent citée comme le "gold standard" de la souveraineté numérique française. Contrairement à une solution de visio classique, Olvid est une messagerie instantanée (incluant appels et visio) qui repose sur ## Gemini a dit
**Olvid** est une application française de messagerie instantanée et de téléphonie (voix/vidéo) qui se distingue par un positionnement radical : la **sécurité maximale par l'absence totale de serveurs centraux d'annuaire.**
Contrairement à WhatsApp, Signal ou Telegram, Olvid ne vous demande ni votre numéro de téléphone, ni votre accès au carnet d'adresses, ni votre email.
---
## 1. L'architecture "Zero Trust" (Confiance Zéro)
C'est la différence fondamentale avec Google, Microsoft ou même Empreinte.
- **Pas d'annuaire centralisé :** Olvid n'a pas de serveur qui contient la liste de vos contacts. L'échange de clés de chiffrement se fait directement entre les utilisateurs (via un QR code ou un code à 4 chiffres).
- **Suppression du tiers de confiance :** Même si les serveurs d'Olvid étaient piratés (ou saisis par un État), les attaquants n'auraient accès à aucune donnée, car les métadonnées (qui parle à qui) sont elles-mêmes chiffrées.
## 2. Faits Techniques : La "Stack" de Souveraineté
Contrairement à Empreinte, Olvid a aligné ses actes techniques sur son discours politique :
|**Élément**|**État de l'art Olvid**|**Comparaison Empreinte/DINUM**|
|---|---|---|
|**Sécurité**|Certification de Sécurité de Premier Niveau (**CSPN**) de l'ANSSI.|Empreinte : Propriétaire non certifié.|
|**Métadonnées**|Anonymisation totale (pas de numéro de téléphone requis).|Google/Microsoft : Collecte massive.|
|**Infrastructure**|Indépendante de l'annuaire (pas de LDAP/AD central).|DINUM : Dépend de l'annuaire de l'État.|
|**Chiffrement**|Chiffrement de bout en bout (E2EE) post-quantique.|Visio classique : Souvent chiffrée uniquement sur le serveur.|
## 3. Olvid vs La Critique de la DINUM
Si l'on reprend la lettre de François Caron, Olvid répond à tous les points de friction :
- **Indépendance technique :** Olvid a développé son propre moteur cryptographique et ses propres protocoles de communication. Ils ne "consomment" pas de briques américaines prêtes à l'emploi.
- **Auditabilité :** Bien qu'une partie du code soit propriétaire pour des raisons commerciales, la partie critique (le moteur cryptographique) est **Open Source** et a été auditée par l'ANSSI. C'est le compromis idéal : protection du business et garantie absolue pour l'utilisateur.
## 4. Les limites (Le revers de la médaille)
La souveraineté totale a un prix technique et ergonomique :
- **L'expérience utilisateur (UX) :** Le processus d'invitation (échange de codes) est plus lourd qu'un simple lien Zoom ou Teams. Pour le grand public, c'est un frein.
- **Pas de "Cloud" classique :** Comme rien n'est stocké sur un serveur, si vous perdez votre téléphone sans avoir fait de sauvegarde manuelle, vous perdez tout. C'est le prix de la sécurité absolue.
- **Usage spécifique :** Olvid est parfait pour la messagerie mobile et les appels sécurisés, mais moins adapté pour une grande conférence visio à 100 personnes avec partage d'écran complexe, domaine où Zoom ou la solution de la DINUM (basée sur LiveKit) restent plus agiles.

223
articles/2026/Piloter dnsmasq avec une interface PHP & SQLite.md Normal file
View File

@@ -0,0 +1,223 @@
---
title: "IPAM Web : piloter dnsmasq avec une interface PHP et SQLite"
description: Si dnsmasq est l'un des serveurs DNS/DHCP les plus légers et robustes pour les réseaux locaux, sa configuration passe traditionnellement par l'édition de fichiers textes via SSH. Pour simplifier l'exploitation quotidienne — sans pour autant sortir l'artillerie lourde — nous avons développé une suite de scripts PHP permettant de gérer son infrastructure réseau depuis un navigateur.
tags: [dnsmasq, dns, dhcp, gui]
date: 2026-02-27 22:42
lastmod: 2026-02-27 23:56
type:
category:
- "[[Guide]]"
status: brouillon
---
# IPAM Web : piloter dnsmasq avec une interface PHP et SQLite
**IPAM** est l'acronyme de **Internet Protocol Address Management** (en français : Gestion des adresses IP). C'est une méthodologie, souvent accompagnée d'un logiciel qui permet de planifier, de suivre et de gérer l'espace d'adressage IP au sein d'un réseau. L'inventaire, la corrélation (DNS/DHCP) et la détection des conflits sont les 3 piliers qui définissent l'IPAM.
`dnsmasq` sest imposé comme une référence pour fournir des services DNS et DHCP sur des réseaux locaux grâce à sa simplicité, sa faible empreinte et sa grande stabilité. En contrepartie, son administration reste historiquement centrée sur lédition manuelle de fichiers de configuration, ce qui peut rapidement devenir chronophage et source derreurs lorsque linfrastructure évolue.
Linterface **IPAM Web** répond à ce besoin : proposer une couche dadministration graphique légère, sans remettre en cause la philosophie minimaliste de `dnsmasq`. Lobjectif nest pas de remplacer loutil, mais den améliorer lergonomie et la fiabilité opérationnelle.
Projet : [https://git.abonnel.fr/cedricAbonnel/dnsmasq-gui](https://git.abonnel.fr/cedricAbonnel/dnsmasq-gui)
---
## Une approche : conserver la simplicité, ajouter de lintelligence
Le système transforme un serveur Linux standard en véritable solution d**IP Address Management**.
La logique est volontairement simple :
- **SQLite** stocke létat de référence (DNS, réservations, métadonnées).
- Des scripts PHP génèrent les fichiers de configuration.
- `dnsmasq` reste lunique moteur dexécution.
Cette séparation garantit que lon conserve une infrastructure transparente, lisible et facilement réversible : les fichiers produits restent compatibles avec une exploitation classique en ligne de commande.
---
## Gestion DNS : un référentiel unique et cohérent
Le module `admin_dns.php` introduit une gestion centralisée de la résolution locale.
Plutôt que de disperser linformation dans différents fichiers, chaque enregistrement est stocké en base. Cette approche permet dassurer la cohérence des données, de limiter les doublons et de tracer les modifications.
Le système génère ensuite automatiquement un fichier dédié contenant les directives `address=/nom/IP`, directement exploitables par `dnsmasq`.
La gestion de la résolution inverse est intégrée : les enregistrements PTR sont créés automatiquement afin de garantir une correspondance bidirectionnelle entre noms et adresses, indispensable pour le diagnostic réseau et certains usages applicatifs.
---
## DHCP : relier observation et configuration
Le module `admin_dhcp.php` se positionne comme un outil dexploitation plutôt que de simple configuration.
Il analyse en continu le fichier `dhcp.leases` afin de refléter létat réel du réseau : machines présentes, adresses attribuées, durées de bail.
À partir de cette observation, il devient possible de transformer un bail dynamique en réservation permanente en une seule action, ce qui simplifie fortement la stabilisation dun parc.
Cette logique réduit les opérations manuelles et limite les risques derreur lors de la création de réservations, puisque les informations (MAC, IP, hostname) proviennent directement de la réalité du réseau.
---
## Visibilité réseau : confronter le modèle et le réel
Le module `free-ip.php` apporte une dimension daudit souvent absente des outils légers.
Plutôt que de se baser uniquement sur les fichiers de configuration, il confronte :
- le **plan dadressage théorique** (DNS et DHCP) ;
- l**état observé** via un scan ARP.
Cette corrélation permet didentifier immédiatement :
- les équipements présents mais non déclarés ;
- les incohérences de configuration ;
- les plages réellement disponibles.
On obtient ainsi une vision fiable du réseau, utile pour préparer des déploiements ou diagnostiquer des conflits dadresses.
---
## Architecture et modules
La solution est structurée de manière modulaire afin de rester lisible et extensible.
| Script | Fonction | Rôle opérationnel |
| ---------------------- | -------------- | ----------------------------------------------------- |
| index.php | Point dentrée | Accès aux modules et vue synthétique |
| admin_dns.php | Gestion DNS | Création et export des enregistrements |
| admin_dhcp.php | DHCP | Visualisation des baux et réservations |
| free-ip.php | Audit IP | Détection des adresses utilisées/libres |
| ddns.php | DNS dynamique | Mise à jour via API sécurisée (pas encore implémenté) |
| migrate_to_sqlite.php | Initialisation | Import des configurations existantes |
| configurer-dnsmask.php | Paramétrage | Gestion des options globales |
---
## Modèle de sécurité : contrôle fin des privilèges
Linterface doit pouvoir écrire dans `/etc/dnsmasq.d/` tout en évitant dexposer des privilèges root complets au serveur web.
Le choix retenu repose sur lutilisation ciblée de commandes autorisées via `sudo`, typiquement `sudo tee` pour lécriture contrôlée de fichiers.
Cette approche limite la surface dattaque tout en conservant une automatisation complète du cycle de configuration.
---
## Positionnement de la solution
IPAM Web se situe volontairement entre deux mondes :
- plus ergonomique quune administration purement en ligne de commande ;
- plus léger et transparent quune solution IPAM dentreprise.
Il permet de conserver la maîtrise totale de linfrastructure tout en améliorant la fiabilité opérationnelle, la visibilité réseau et la rapidité dintervention.
---
## Pistes damélioration du projet
Le socle actuel remplit déjà efficacement son rôle dinterface dexploitation. Les évolutions pertinentes consistent surtout à renforcer la fiabilité, la traçabilité et louverture vers dautres usages, tout en conservant la philosophie de simplicité.
### Fiabilité et robustesse
La robustesse du système peut être accrue par l'introduction d'un mécanisme de validation "pre-flight". En isolant les modifications dans des fichiers éphémères avant déploiement, nous pouvons soumettre chaque itération à un test de cohérence applicatif. Ce garde-fou empêche toute corruption de la configuration active.
Parallèlement, la mise en place d'un archivage horodaté des états offre une capacité de restauration critique en cas de régression. Cette architecture gagne à être complétée par une abstraction des fichiers de configuration via **Jinja2**, séparant ainsi la "source de vérité" (données) de sa représentation technique (forme).
### Journalisation et audit
Lajout dun journal applicatif structuré permettrait de tracer :
- qui a effectué une modification ;
- quand elle a été appliquée ;
- quelle était la valeur précédente.
Au-delà du diagnostic, cela transforme loutil en véritable référentiel dexploitation et facilite la conformité dans des environnements plus sensibles.
### Modélisation réseau plus riche
Aujourdhui centré sur les adresses IP et les noms, le modèle pourrait intégrer des notions supplémentaires :
- segments ou VLAN ;
- plages IP avec statut (réservé, dynamique, infrastructure, invités) ;
- métadonnées déquipement (type, localisation, propriétaire).
Cette structuration rendrait la recherche et la visualisation beaucoup plus pertinentes, en rapprochant loutil dun IPAM complet tout en restant léger.
### Visualisation et compréhension du réseau
Une représentation graphique simple (cartographie logique ou vue par plage IP) améliorerait la compréhension globale du réseau.
Sans aller vers une cartographie automatique complexe, une visualisation basée sur les données connues (réservations, baux, détection ARP) suffirait déjà à offrir une lecture immédiate de loccupation.
### API et automatisation
Lexposition dune API REST documentée permettrait dintégrer loutil dans des workflows existants :
- scripts dinstallation automatisés ;
- intégration avec un inventaire ou un outil de provisioning ;
- mise à jour dynamique depuis des équipements.
Le module DDNS existant constitue déjà une base naturelle pour cette ouverture mais n'est pas encore exploité. Il faudrait qu'il alimente une table `machines` dans notre base SQLite. Ainsi, notre tableau de bord `index.php` pourra afficher une liste complète de notre parc avec :
- Le nom de la machine.
- Sa dernière IP connue.
- Son système d'exploitation (extrait de `hostnamectl`).
- La date de sa dernière "vue" (Last Seen).
### Sécurité applicative
Plusieurs axes peuvent renforcer la posture de sécurité :
- authentification forte (OIDC ou SSO) ;
- gestion de rôles (lecture seule, exploitation, administration) ;
- protection CSRF et durcissement des entrées utilisateur.
Ces éléments deviennent essentiels dès que loutil dépasse un usage strictement personnel.
### Expérience dexploitation
Enfin, quelques améliorations ergonomiques ont un impact immédiat :
- recherche globale (IP, nom, MAC) ;
- actions rapides contextuelles ;
- indicateurs détat (conflit IP, doublon DNS, incohérence PTR).
Ces fonctions réduisent le temps danalyse et rapprochent loutil dune console dexploitation quotidienne.
## Gestion de l'Idempotence
Le script `migrate_to_sqlite.php` vide la table (`DELETE FROM dns_records`) à chaque lancement. C'est risqué.
**Amélioration :** Adoptez une logique de synchronisation :
1. Lire le fichier.
2. Comparer chaque ligne avec la base SQLite.
3. `INSERT` si nouveau, `UPDATE` si différent, et ne rien faire si identique. Cela évite de perdre des données si le script s'arrête en plein milieu.

71
articles/2026/Pourquoi la commande "rm -rf" fait-elle encore parler d'elle ?.md Normal file
View File

@@ -0,0 +1,71 @@
---
title: "`rm -rf /` : Pourquoi cette commande \"suicidaire\" fait-elle encore parler d'elle ?"
description: Dans l'imaginaire collectif des utilisateurs de Linux, il n'existe pas de suite de caractères plus terrifiante que `rm -rf /`.
tags: []
date: 2026-03-04 13:56
lastmod: 2026-03-04 13:56
type:
- article
category:
- "[[Guide]]"
status: terminé
---
# `rm -rf /` : Pourquoi cette commande "suicidaire" fait-elle encore parler d'elle ?
Dans l'imaginaire collectif des utilisateurs de Linux, il n'existe pas de suite de caractères plus terrifiante que `rm -rf /`. C'est le "bouton rouge" de l'informatique : une commande capable de réduire un système d'exploitation entier à néant en quelques secondes. Pourtant, comme vous l'avez souligné, cette commande est aujourd'hui bridée par des sécurités natives. Alors pourquoi faire une vidéo de 10 minutes à son sujet en 2026 ?
## 1. L'anatomie d'une bombe numérique
Pour comprendre le danger, il faut décomposer les composants de la commande :
- **`rm` (remove) :** L'outil de base pour supprimer des fichiers.
- **`-r` (recursive) :** Indique à l'outil de descendre dans tous les sous-dossiers.
- **`-f` (force) :** Ignore les fichiers protégés en écriture et ne demande jamais de confirmation.
- **`/` (root) :** Désigne la racine du système, là où tout commence (système, données, configurations).
## 2. La protection `--preserve-root` : Le garde-fou moderne
Depuis 2006, la plupart des distributions Linux (via les _GNU Coreutils_) incluent une protection par défaut. Si vous tapez exactement `rm -rf /`, le terminal vous renverra une erreur du type :
> _it is dangerous to operate recursively on '/' (use --preserve-root to override)_
C'est une "sécurité enfant" qui empêche l'exécution accidentelle. Cependant, la vidéo de _Techquickie_ souligne que cette protection est **loin d'être infaillible**.
## 3. Les failles de la protection (Pourquoi le danger persiste)
Il existe plusieurs manières de contourner cette sécurité, parfois sans même le vouloir :
- **L'astérisque fatale (`rm -rf /*`) :** C'est le piège le plus courant. L'astérisque est interprétée par le shell comme "tous les dossiers contenus dans la racine". Comme la cible n'est techniquement pas `/` mais `/bin`, `/home`, `/etc`, etc., la protection ne se déclenche pas et le système s'autodétruit.
- **Les variables d'environnement vides :** Un script mal écrit contenant `rm -rf $REPERTOIRE_TEMP/` peut devenir catastrophique si la variable est vide. La commande devient alors `rm -rf /`.
## 4. Au-delà du logiciel : Le "brickage" matériel
L'un des points les plus fascinants (et effrayants) abordés dans la vidéo est l'impact sur le **firmware UEFI**. Sur certains ordinateurs modernes, Linux monte les variables du BIOS/UEFI comme des fichiers modifiables dans `/sys/firmware/efi/efivars`.
Si vous lancez un `rm -rf /` avec les privilèges administrateur :
1. Le système efface les fichiers système.
2. Il accède ensuite aux variables EFI et les efface.
3. **Résultat :** La carte mère ne sait plus comment démarrer (ni même accéder au BIOS). L'ordinateur est physiquement "briqué" et nécessite souvent une réparation matérielle.
## 5. L'aspect historique et humain
La vidéo justifie sa durée par l'aspect culturel. Elle mentionne notamment l'incident chez **Pixar** lors de la production de _Toy Story 2_. Un employé a accidentellement lancé une commande de suppression sur le serveur principal, effaçant 90 % du travail du film. Le film n'a été sauvé que parce qu'une directrice technique avait une copie de sauvegarde sur son ordinateur personnel chez elle pendant son congé maternité.
## Conclusion : Une leçon de prudence
Si `rm -rf /` est aujourd'hui protégée contre les erreurs de frappe les plus basiques, elle reste le symbole ultime de la puissance (et de la dangerosité) de la ligne de commande. La protection logicielle est une barrière, mais la compréhension de ce que l'on tape reste la seule véritable sécurité.
---
**Souhaitez-vous que je vous montre comment configurer un "alias" de sécurité pour empêcher toute suppression accidentelle sur votre propre système ?**

76
articles/2026/Sans titre.md Normal file
View File

@@ -0,0 +1,76 @@
---
title: Installer Signal Desktop via Terminal
description: Installer Signal Desktop via Terminal
tags: [signal, messagerie]
date: 2026-03-02 08:56
lastmod: 2026-03-02 08:58
type:
- article
category:
- "[[Guide]]"
- "[[Logiciels et Outils]]"
status: terminé
---
# Installer Signal Desktop via Terminal
L'installation se décompose en trois étapes logiques : la sécurisation de la source, l'ajout du dépôt, et l'installation du logiciel.
### Étape 1 : Installation de la clé de signature publique
Avant de télécharger le logiciel, votre système doit pouvoir vérifier l'authenticité des paquets. Cette clé prouve que le code provient bien de Signal et n'a pas été modifié par un tiers.
```Bash
wget -O- https://updates.signal.org/desktop/apt/keys.asc | gpg --dearmor > signal-desktop-keyring.gpg;
cat signal-desktop-keyring.gpg | sudo tee /usr/share/keyrings/signal-desktop-keyring.gpg > /dev/null
```
- **`wget -O-`** : Télécharge la clé et l'affiche sur la sortie standard.
- **`gpg --dearmor`** : Convertit la clé du format texte (ASCII) vers un format binaire que le système peut lire.
- **`sudo tee`** : Enregistre de manière sécurisée la clé dans le dossier système `/usr/share/keyrings/`.
### Étape 2 : Ajout du dépôt officiel
Par défaut, votre gestionnaire de paquets (`apt`) ne sait pas où chercher Signal. Cette commande ajoute l'adresse des serveurs de Signal à votre liste de sources.
```Bash
wget -O signal-desktop.sources https://updates.signal.org/static/desktop/apt/signal-desktop.sources;
cat signal-desktop.sources | sudo tee /etc/apt/sources.list.d/signal-desktop.sources > /dev/null
```
- Cette étape crée un fichier `.sources` dans `/etc/apt/sources.list.d/`. Cest grâce à cela que Signal vous proposera des mises à jour en même temps que le reste de votre système.
### Étape 3 : Mise à jour et Installation
Enfin, on demande au système de rafraîchir sa liste de logiciels disponibles et de procéder à l'installation.
```Bash
sudo apt update && sudo apt install signal-desktop
```
- **`sudo apt update`** : "Actualise" la base de données pour inclure le nouveau dépôt Signal.
- **`sudo apt install signal-desktop`** : Télécharge et installe l'application.
---
## Pourquoi utiliser cette méthode plutôt que le Snap Store ?
Bien que Signal soit disponible via des formats comme Flatpak ou Snap, la méthode **APT** (détaillée ci-dessus) est souvent privilégiée par les utilisateurs avancés pour :
1. **L'intégration système** : Meilleure gestion des thèmes et des polices.
2. **La légèreté** : Pas de couches de virtualisation supplémentaires.
3. **La sécurité** : Lien direct avec les serveurs de mise à jour de Signal Messenger LLC.
> [!IMPORTANT]
>
> Une fois installé, vous devrez lier votre ordinateur à votre application mobile Signal (Paramètres > Appareils reliés) car Signal Desktop ne peut pas fonctionner de manière autonome sans compte mobile existant.

147
articles/2026/Souveraineté Numérique Le Cri d'Alarme d'un Industriel Français face à la DINUM.md Normal file
View File

@@ -0,0 +1,147 @@
---
title: "Souveraineté Numérique : La \"Lettre Ouverte\" de François Caron, un Cas dÉcole d'Incohérence Stratégique ?"
description: Si la DINUM n'est pas parfaite, elle a au moins le mérite de construire des outils dont elle possède le code source et qu'elle héberge sur des infrastructures certifiées (SecNumCloud).
tags: []
date: 2026-02-28 12:01
lastmod: 2026-02-28 12:12
type:
- article
category:
- "[[Guide]]"
status: brouillon
---
# Souveraineté Numérique : La "Lettre Ouverte" de François Caron, un Cas dÉcole d'Incohérence Stratégique ?
Le 22 février 2026, François Caron, PDG de l'entreprise **Empreinte.com**, a publié une lettre ouverte adressée à la DINUM (Direction Interministérielle du Numérique). Ce texte se veut un plaidoyer pour la souveraineté française face aux géants américains. Pourtant, une analyse approfondie de la "stack" technique de l'auteur révèle un gouffre entre les paroles et les actes, transformant ce qui devait être une leçon de patriotisme en une démonstration de dépendance aux GAFAM.
## I. Le Discours : Un Plaidoyer pour l'Indépendance
Dans sa lettre, François Caron attaque frontalement la DINUM sur ses choix technologiques pour la solution **Visio-Agents**. Ses griefs sont clairs :
1. **Lutilisation de briques étrangères :** Il reproche à lÉtat dutiliser des briques comme _LiveKit_ (technologie américaine), même si elles sont Open Source.
2. **Le mépris des PME françaises :** Il affirme que sa propre solution, _Empreinte.Live_, est ignorée par ladministration depuis 2021 alors quelle serait "plus souveraine".
3. **Le faux nez de lOpen Source :** Pour lui, le code ouvert ne garantit pas la souveraineté si le moteur reste américain. Il prône une "indépendance par l'industrie française".
## II. La Réalité Technique : "Faites ce que je dis, pas ce que je fais"
Cest ici que le bât blesse. Lorsque lon analyse linfrastructure réelle dEmpreinte.com, la contradiction est flagrante. Plusieurs experts et observateurs du numérique ont relevé trois points qui vident le discours de sa substance :
### 1. La messagerie chez Google
Alors que la souveraineté commence par la protection des échanges internes (stratégies, devis, fichiers clients), Empreinte.com utilise **Google Workspace**. En pointant leurs enregistrements MX vers les serveurs de Mountain View, l'entreprise soumet de fait ses données au _Cloud Act_ américain.
> **Le paradoxe :** Demander à lÉtat de quitter Microsoft tout en gérant sa propre boîte mail sur Google.
### 2. Le site web sous protection américaine (Cloudflare)
Le site vitrine d'Empreinte, qui vante une "visio souveraine", est protégé par **Cloudflare**. Cette entreprise californienne agit comme un intermédiaire : chaque visiteur du site passe par des serveurs américains avant d'atteindre le contenu français.
### 3. Le choix du "Code Fermé" (Propriétaire)
Caron critique l'Open Source de la DINUM, mais propose un logiciel **propriétaire**.
- **La DINUM :** Utilise du code ouvert (modifiable, auditable, réutilisable par tous).
- **Empreinte :** Propose une "boîte noire" dont seul l'éditeur détient les clés.
En termes de souveraineté, l'État préfère généralement posséder le code (Open Source) plutôt que d'être "captif" d'un éditeur privé français qui peut faire faillite ou être racheté.
## III. Les Enjeux : Une Guerre de Modèles
Derrière cette lettre se cache une lutte de pouvoir sur la définition même de la souveraineté :
- **La Souveraineté Économique (Caron) :** "Achetez mon produit parce que je suis Français et que je paie mes impôts ici." C'est une vision protectionniste.
- **La Souveraineté Technique (DINUM) :** "Nous voulons maîtriser le code de A à Z, sans dépendre d'un contrat avec une entreprise privée, même nationale." C'est une vision d'autonomie stratégique.
|**Critère**|**Solution DINUM**|**Solution Empreinte**|
|---|---|---|
|**Code Source**|Open Source (Libre)|Propriétaire (Fermé)|
|**Hébergement**|Cloud Souverain (Outscale)|Site web derrière Cloudflare (US)|
|**Outils Internes**|Suite de l'État|Google Workspace (US)|
|**Modèle**|Commun numérique|Produit commercial|
## IV. Conclusion : L'Arroseur Arrosé
La lettre ouverte de François Caron souffre d'un manque de crédibilité technique. En 2026, on ne peut plus se contenter de brandir un drapeau français pour masquer des dépendances structurelles aux GAFAM.
Si la DINUM n'est pas parfaite, elle a au moins le mérite de construire des outils dont elle possède le code source et qu'elle héberge sur des infrastructures certifiées (SecNumCloud). À l'inverse, proposer une solution de visio "souveraine" tout en étant client de Google pour ses mails revient à vendre des serrures françaises tout en laissant le double des clés de l'usine chez son voisin américain.
---
# Les faits techniques
Pour sortir de la polémique émotionnelle et se concentrer sur la **vérité technique**, voici les faits bruts issus de l'analyse des infrastructures numériques d'Empreinte.com au 28 février 2026.
Ces données sont publiques (via les outils de requêtes DNS et d'analyse de headers HTTP) et permettent de confronter le discours de souveraineté à la réalité des flux de données.
## 1. Analyse de la Messagerie (Le "Cœur" de l'entreprise)
La souveraineté numérique commence par la confidentialité des échanges internes. L'analyse des enregistrements **MX (Mail Exchange)** du domaine `empreinte.com` révèle :
- **Serveur de réception :** `ASPMX.L.GOOGLE.COM`
- **Fournisseur :** Google Workspace (États-Unis).
- **Implication technique :** Toutes les communications d'Empreinte (échanges avec la DINUM, stratégies commerciales, données clients) transitent par les serveurs de Google et sont techniquement soumises au **Cloud Act** américain, qui permet aux autorités US d'accéder aux données d'une entreprise américaine, même si elles sont stockées à l'étranger.
## 2. Analyse de la Diffusion Web et Sécurité (Le "Point de Passage")
L'analyse des **Name Servers (NS)** et des adresses IP du site `empreinte.com` montre l'utilisation de **Cloudflare** :
- **Infrastructure :** Les serveurs de noms pointent vers `*.ns.cloudflare.com`.
- **Le rôle de Cloudflare :** C'est un "Reverse Proxy". Cela signifie que lorsqu'un utilisateur se connecte sur le site d'Empreinte, sa connexion est interceptée par Cloudflare (USA) avant d'être renvoyée vers l'hébergeur.
- **Le risque de souveraineté :** Cloudflare a la capacité technique de déchiffrer le flux SSL/TLS (le petit cadenas du navigateur) pour inspecter le trafic. Une entreprise qui prône l'indépendance totale confie ici ses clés de chiffrement de transport à un tiers californien.
## 3. Analyse du Logiciel : Propriétaire vs Open Source
C'est le point de friction majeur avec la DINUM. Voici la différence structurelle entre les deux approches :
### La solution DINUM (Basée sur LiveKit)
- **Modèle :** Open Source.
- **Auditabilité :** Le code est public. N'importe quel expert peut vérifier l'absence de "backdoor" (porte dérobée).
- **Maîtrise :** L'État peut "forker" (copier et modifier) le code. Si LiveKit (l'entreprise US) disparaît, l'État français possède toujours le code et peut continuer à le faire évoluer.
### La solution Empreinte.Live
- **Modèle :** Propriétaire (Code fermé).
- **Auditabilité :** Impossible sans l'autorisation et les outils fournis par l'éditeur.
- **Dépendance :** L'État devient captif. Si Empreinte.com change ses tarifs ou fait faillite, la solution s'arrête. C'est ce qu'on appelle le **"Vendor Lock-in"** (enfermement propriétaire).
---
## Synthèse des Faits Techniques
|**Composant**|**État de l'Art Souverain**|**Réalité Empreinte.com**|
|---|---|---|
|**Emails**|ProtonMail, BlueMind, Zimbra (Hébergé FR)|**Google Workspace (USA)**|
|**DNS / Protection**|Orange Cyberdefense, Gandi, NS1|**Cloudflare (USA)**|
|**Moteur Vidéo**|Jitsi, BigBlueButton (Open Source)|**Propriétaire (Fermé)**|
|**Analytique Web**|Matomo (RGPD / Auto-hébergé)|Souvent **Google Analytics** (à vérifier sur le site)|
## Conclusion Technique
D'un point de vue purement ingénierie, la critique de François Caron envers la DINUM est **techniquement asymétrique**.
Il reproche à l'État d'utiliser des briques _Open Source_ d'origine américaine (qu'on peut pourtant "nationaliser" par le code), alors que sa propre entreprise est structurellement dépendante de services _SaaS_ américains (Google, Cloudflare) qu'il ne peut ni modifier, ni auditer, ni contrôler juridiquement.
En clair : **La DINUM construit une maison avec des briques étrangères mais dont elle a les plans, tandis qu'Empreinte vend une maison française dont les clés de la porte d'entrée et la boîte aux lettres appartiennent à Google.**
Voir aussi [[Olvid]]

15
articles/2026/Untitled.md
View File

@@ -1,15 +0,0 @@
Nom du destinataire Adresse complète Code Postal - Ville Fait à Ville, le 23 février 2026
Objet : Demande de remboursement des frais de participation au jeu « [Nom du jeu] »
Madame, Monsieur,
Jai participé à votre jeu-concours « [Nom du jeu] » diffusé le [date de diffusion] sur [nom de la chaîne ou de la station] en répondant à la question posée par SMS au [numéro de participation] dans le cadre du tirage au sort permettant de remporter [nature du gain].
Comme latteste le relevé téléphonique ci-joint, ma participation a entraîné lenvoi de [nombre] SMS surtaxé(s) dun montant total de [montant en euros]. Conformément aux dispositions de votre règlement prévoyant la possibilité dun remboursement des frais de participation, je vous prie de bien vouloir procéder au remboursement de cette somme.
Je sollicite également la prise en charge des frais daffranchissement liés à lenvoi de la présente demande, soit le montant dun timbre au tarif lettre verte en vigueur.
Vous trouverez ci-joint les pièces justificatives nécessaires : copie de mon relevé téléphonique, relevé didentité bancaire, ainsi que le formulaire de remboursement téléchargé depuis votre site Internet.
Dans lattente de votre retour, veuillez recevoir, Madame, Monsieur, mes salutations respectueuses.

939
articles/2026/guide_d_installation_linux_mint_depuis_windows.md Normal file
View File

@@ -0,0 +1,939 @@
---
title: "Guide d'installation : Linux Mint (depuis Windows)"
description:
tags: []
date: 2026-03-04 22:04
lastmod: 2026-03-04 23:11
type:
category:
status:
---
# Guide d'installation : Linux Mint (depuis Windows)
Ce guide, utilisé par les bénévoles d'**Alpinux**, détaille les étapes pour installer Linux Mint 21.2 (Cinnamon) en dual-boot ou en remplacement de Windows.
## Préparation de Windows
### Sauvegarder son profil Firefox (Windows vers Linux)
Le profil Firefox contient l'intégralité de votre vie numérique : marque-pages, mots de passe enregistrés, extensions et historique. Sous Linux Mint, Firefox est souvent installé par défaut, ce qui facilite la transition.
#### Procédure de sauvegarde sous Windows :
1. **Accéder aux informations de dépannage :**
Ouvrez Firefox. Dans la barre d'adresse, tapez `about:support` et appuyez sur **Entrée**.
2. **Localiser le dossier du profil :**
Dans le tableau "Paramètres de base de lapplication", cherchez la ligne **Répertoire du profil**. Cliquez sur le bouton **Ouvrir le dossier correspondant**.
3. **Fermer Firefox :**
> **Important :** Avant de copier quoi que ce soit, fermez complètement Firefox. Si le navigateur reste ouvert, certains fichiers (comme les bases de données de mots de passe) risquent d'être corrompus ou incomplets.
4. **Remonter dans l'arborescence :**
Dans la fenêtre de l'Explorateur de fichiers qui vient de s'ouvrir, cliquez dans la barre d'adresse sur le dossier parent nommé `Profiles`.
5. **Copier les éléments essentiels :**
Copiez les éléments suivants sur une clé USB ou un disque externe :
- **Le dossier de votre profil** (nommé souvent `xxxxxxx.default-release`).
- **Les fichiers `installs.ini` et `profiles.ini`** : ils se situent un niveau au-dessus (dans le dossier `Firefox`). Ces fichiers sont cruciaux car ils indiquent à Firefox quel dossier de profil charger par défaut.
6. **Sécuriser la copie :**
Vérifiez que la copie est terminée avant d'éjecter votre support amovible.
---
### Note pour Linux Mint (Restauration)
Une fois Linux Mint installé, l'emplacement de destination sera différent.
- **Si Firefox est installé classiquement :** Le dossier se trouve dans `~/.mozilla/firefox/` (appuyez sur `Ctrl + H` dans votre dossier personnel pour voir les dossiers cachés).
- **Si Firefox est en format Flatpak :** Le chemin sera `~/.var/app/org.mozilla.firefox/.mozilla/firefox/`.
---
### Étape cruciale : Déterminer le mode de démarrage (UEFI ou BIOS)
Avant de lancer l'installation, vous devez savoir comment votre carte mère communique avec votre système actuel. Cela impacte directement la création de la clé USB (format de partition GPT ou MBR).
#### Procédure sous Windows :
1. **Lancer l'outil de diagnostic :** Appuyez simultanément sur les touches **`⊞ Win + R`**, tapez `msinfo32` dans la boîte de dialogue, puis validez avec **Entrée**.
2. **Identifier le mode :** Dans la fenêtre "Résumé du système" qui s'affiche, cherchez la ligne intitulée **Mode BIOS**.
- **UEFI :** L'ordinateur utilise l'interface moderne. C'est le cas de la quasi-totalité des PC vendus depuis 2012.
- **Hérité (ou Legacy) :** L'ordinateur utilise l'ancien système (BIOS classique). Cela concerne les machines plus anciennes.
- **Si vous êtes en UEFI :**
- Votre disque dur utilise probablement une table de partition **GPT**.
- Lors de l'installation, Linux Mint aura besoin d'une petite partition spécifique nommée **ESP** (EFI System Partition), généralement de 200 à 500 Mo, formatée en FAT32.
- **Si vous êtes en BIOS (Hérité) :**
- Votre disque utilise une table de partition **MBR**.
- L'installation est plus simple (pas de partition EFI), mais ce mode ne supporte pas les disques de plus de 2 To.
Si vous êtes en mode **UEFI**, Windows utilise souvent le **Secure Boot**.
- **Linux Mint actuel** est parfaitement compatible avec le Secure Boot.
- Cependant, si vous installez des pilotes propriétaires (comme ceux pour les cartes graphiques NVIDIA), le système pourra vous demander de créer un mot de passe de sécurité (MOK) au premier redémarrage pour valider ces pilotes.
### Désactiver le "Démarrage Rapide" (Fast Boot) de Windows
Le "Démarrage rapide" de Windows (versions 8, 10 et 11) est une sorte d'hibernation partielle. Au lieu de s'éteindre complètement, Windows verrouille le disque dur et le matériel pour redémarrer plus vite.
#### Méthode 1 : Via l'interface graphique (Recommandé)
1. Ouvrez le **Panneau de configuration** (tapez-le dans la recherche Windows).
2. Allez dans **Matériel et audio** > **Options dalimentation**.
3. Dans la colonne de gauche, cliquez sur **Choisir laction des boutons dalimentation**.
4. Cliquez sur le lien bleu en haut : **Modifier des paramètres actuellement non disponibles** (cela demande les droits administrateur).
5. En bas de la fenêtre, dans la section "Paramètres d'arrêt", **décochez** la case **Activer le démarrage rapide (recommandé)**.
6. Cliquez sur **Enregistrer les modifications**.
#### Méthode 2 : Via le Terminal (La plus rapide)
Cette commande désactive l'hibernation, ce qui par extension désactive le démarrage rapide :
1. Faites un clic droit sur le bouton **Démarrer**.
2. Choisissez **Terminal (administrateur)**, **PowerShell (admin)** ou **Invite de commandes (admin)**.
3. Tapez la commande suivante et validez avec Entrée :
DOS
```
powercfg /hibernate off
```
> [!info]
> **Astuce :** Au moment d'éteindre Windows pour insérer votre clé USB, maintenez la touche **Maj (Shift) ⇧** enfoncée tout en cliquant sur **Démarrer > Arrêter**. Cela force un arrêt complet et définitif de la session.
### Gestion de l'alimentation de la carte Wi-Fi
Certaines cartes Wi-Fi (notamment les puces Realtek ou Broadcom) peuvent rester dans un état de "basse consommation" ou de "verrouillage" défini par Windows au moment de l'arrêt. Si Linux Mint démarre alors que la carte est dans cet état, il peut être impossible d'activer le Wi-Fi, ou vous pourriez subir des déconnexions intempestives.
#### Procédure sous Windows (8, 10 et 11) :
1. **Ouvrir le gestionnaire :** Faites un clic droit sur le bouton **Démarrer** (ou utilisez le raccourci `Win + X`) et sélectionnez **Gestionnaire de périphériques**.
2. **Trouver la carte :** Déroulez la section **Cartes réseau**.
3. **Accéder aux propriétés :** Faites un clic droit sur votre carte Wi-Fi (généralement nommée avec les termes "Wireless", "AC", "AX" ou "Wi-Fi") et choisissez **Propriétés**.
4. **Désactiver la veille :** * Allez dans l'onglet **Gestion de l'alimentation**.
- **DÉCOCHEZ** la case : **"Autoriser l'ordinateur à éteindre ce périphérique pour économiser de l'énergie"**.
- Validez avec **OK**.
> **Note technique :** Si l'onglet "Gestion de l'alimentation" n'apparaît pas, cela signifie que Windows gère l'énergie via un profil global (Modern Standby). Dans ce cas, assurez-vous simplement d'avoir bien désactivé le **Démarrage Rapide** (voir étape précédente), ce qui libérera proprement le matériel lors de l'arrêt.
> [!info]
> Une fois que Linux Mint sera installé, si vous constatez toujours des instabilités Wi-Fi, il existe une manipulation similaire sous Linux. Le script de post-installation d'Alpinux s'en occupe souvent, mais voici la commande manuelle pour désactiver la gestion d'énergie Wi-Fi sous Mint :
>
```bash
# Pour vérifier l'état actuel (5 = activé, 2 = désactivé)
grep WiFi.powersave /etc/NetworkManager/conf.d/default-wifi-powersave-on.conf
```
## Désactiver le Secure Boot (Démarrage Sécurisé)
Le **Secure Boot** est une fonctionnalité de l'UEFI qui n'autorise que le lancement de systèmes d'exploitation dont la "signature" est reconnue. Bien que Linux Mint soit compatible avec le Secure Boot, il est souvent préférable de le désactiver pour faciliter l'installation.
#### Pourquoi désactiver le Secure Boot ?
- **Pilotes tiers :** Il bloque parfois l'installation de pilotes propriétaires indispensables (cartes graphiques NVIDIA, certaines cartes Wi-Fi).
- **Compatibilité USB :** Certaines clés USB de démarrage (dont Ventoy dans certaines configurations) peuvent être rejetées au démarrage si le Secure Boot est actif.
- **Maintenance :** Il empêche l'utilisation de nombreux outils de diagnostic ou de récupération système basés sur Linux.
**Méthode 1 : Accès direct au démarrage**
1. Éteignez l'ordinateur.
2. Rallumez-le et tapotez immédiatement la touche d'accès au BIOS/UEFI (généralement **F2**, **F12**, **Suppr** ou **Échap** selon la marque).
**Méthode 2 : Depuis Windows (si le démarrage est trop rapide)**
1. Cliquez sur le menu **Démarrer** > **Marche/Arrêt**.
2. Maintenez la touche **Maj (Shift) ⇧** enfoncée et cliquez sur **Redémarrer**.
3. L'ordinateur affiche un menu bleu : choisissez **Dépannage** > **Options avancées** > **Paramètres du firmware UEFI**, puis validez.
**Dans le menu UEFI :**
1. Allez dans l'onglet **Security** (Sécurité) ou **Boot** (Démarrage).
2. Cherchez la ligne **Secure Boot**.
3. Passez-la sur **Disabled** (Désactivé).
4. Appuyez sur **F10** pour "Save and Exit" (Enregistrer et quitter).
## Préparer son support d'installation
### 1. Choisir son édition
Linux Mint est proposé avec différents "environnements de bureau". Le cœur du système est le même, seule l'apparence et la consommation de ressources changent.
- **Cinnamon Edition :** Le fleuron de Linux Mint. C'est l'environnement le plus moderne et le plus complet. Idéal pour les ordinateurs récents (après 2012).
- **XFCE Edition :** L'édition la plus légère et la plus sobre. Elle est parfaite pour redonner vie à un ordinateur ancien ou disposant de peu de mémoire vive.
- **MATE Edition :** Un excellent compromis entre tradition et performance (très stable).
#### Limitations importantes :
- **Fin du 32 bits :** Linux Mint ne propose plus de versions 32 bits (pour les processeurs d'avant 2007). Si votre matériel est plus ancien, il faudra vous tourner vers d'autres distributions comme _Debian_ ou _LMDE_ (Linux Mint Debian Edition) dans sa version spécifique, mais cela reste marginal.
- **Processeurs ARM :** Linux Mint est conçu pour les processeurs Intel et AMD (x86_64).
---
### 2. Spécifications matérielles
Bien que l'éditeur propose des minimums théoriques, l'expérience **Alpinux** montre qu'il faut viser un peu plus haut pour un confort réel.
|Composant|Minimum (Éditeur)|Recommandé (Alpinux)|
|---|---|---|
|**Mémoire Vive (RAM)**|2 Go|**4 Go** (pour naviguer sur le Web sans lenteur)|
|**Espace Disque**|20 Go|**50 Go** (pour inclure les mises à jour et vos documents)|
|**Résolution**|1024 x 768 px|1366 x 768 px ou plus|
> **⚠️ Alerte Installation :** L'installateur refuse de se lancer si l'espace disque détecté est inférieur à **10,7 Go**.
---
### 3. Télécharger Linux Mint
1. Rendez-vous sur le site officiel : [https://linuxmint.com/](https://linuxmint.com/).
2. Cliquez sur le bouton **Download**.
3. Choisissez votre édition (**Cinnamon** par défaut).
4. Sélectionnez un "miroir" de téléchargement (un serveur) proche de chez vous (par exemple en France : _Ircam_, _CRIHAN_ ou _Équilibre_) pour un téléchargement plus rapide.
---
### 4. Créer la clé USB avec Ventoy (Méthode Alpinux)
Puisque vous utilisez **Ventoy**, la préparation est extrêmement simple :
1. **Préparer la clé :** Si ce n'est pas déjà fait, installez Ventoy sur votre clé USB (cela effacera les données de la clé).
2. **Copier-Coller :** Une fois la clé "Ventoy" prête, elle apparaît comme un disque amovible classique. **Copiez simplement le fichier ISO** (ex: `linuxmint-32-cinnamon-64bit.iso`) directement à la racine de la clé.
3. **Multisystème :** L'avantage de Ventoy est que vous pouvez copier plusieurs fichiers ISO (Mint, Ubuntu, outils de réparation) sur la même clé ; un menu au démarrage vous permettra de choisir lequel lancer.
## Démarrer sur la clé USB (Session Live)
### 1. Branchements et préparation
- Insérez votre clé USB **Ventoy** dans un port USB (évitez les hubs USB si possible, préférez un port direct sur la machine).
- **Important :** Branchez un câble réseau (Ethernet). Cela permet à Linux Mint de télécharger les mises à jour et les codecs manquants dès l'installation, ce qui évite bien des soucis de pilotes plus tard.
### 2. Accéder au menu de démarrage (Boot Menu)
Redémarrez l'ordinateur et tapotez immédiatement la touche de sélection du démarrage. Cette touche varie selon les constructeurs :
- **F12** (Dell, Lenovo, Acer, Gigabyte)
- **F10** (HP)
- **F8** ou **F11** (ASUS)
- **Échap** (HP, certains portables)
Dans la liste qui s'affiche, sélectionnez votre clé USB.
> **Conseil Alpinux :** Si vous voyez deux fois votre clé USB (ex: "USB Disk" et "**UEFI:** USB Disk"), choisissez toujours l'option commençant par **UEFI** pour une installation moderne.
### 3. Utiliser le menu Ventoy
Une fois sur l'écran bleu de **Ventoy** :
1. Utilisez les flèches du clavier pour sélectionner l'ISO de Linux Mint (ex: `linuxmint-22-cinnamon-64bit.iso`).
2. Appuyez sur **Entrée**.
3. Choisissez l'option **"Boot in normal mode"** (ou appuyez simplement sur Entrée).
> [!info] Pourquoi passer par le mode BIOS ou EFI ?
>
> Ventoy fait le pont pour vous, mais vous remarquerez une différence visuelle :
>
>- **En mode UEFI :** Le menu de sélection initial est souvent en texte blanc sur fond noir (GRUB). C'est le mode recommandé pour les PC récents.
>
>- **En mode BIOS (Legacy) :** Le menu peut sembler plus ancien (Isolinux). Ce mode est à réserver aux vieux ordinateurs d'avant 2012.
### 4. Lancement de Linux Mint
Un second menu (le GRUB de Mint) apparaît. Choisissez : **"Start Linux Mint (64-bit)"**
- Le logo de Linux Mint (LM) s'affiche au centre de l'écran.
- Après quelques secondes, vous arrivez sur le **Bureau Live**.
---
Vous êtes maintenant dans une version de test de Linux Mint qui s'exécute entièrement depuis la mémoire vive (RAM).
- **Rien n'est encore installé sur votre disque dur.** Vous pouvez naviguer sur Internet et tester le matériel.
- **Notification réseau :** Une petite bulle en haut à droite confirmera votre connexion : _"Vous êtes maintenant connecté au réseau filaire 1"_ (Wired connection 1).
---
## La session Live : Tests et Configuration
Avant de lancer l'installation définitive, vous devez configurer votre environnement de test pour qu'il soit confortable.
### Mettre le clavier en français (AZERTY)
Par défaut, la session Live démarre souvent en anglais (QWERTY). Pour corriger cela rapidement sans naviguer dans les menus :
1. Ouvrez un **Terminal** (icône d'écran noir en bas à gauche, ou raccourci `Ctrl + Alt + T`).
2. Utilisez l'astuce de la **complétion automatique** :
- Tapez les premières lettres : `setx`
- Appuyez sur la touche **Tab ⇆** : le terminal complète automatiquement le reste de la commande (`setxkbmap`).
- Ajoutez un espace et les lettres `fr`.
3. La commande finale doit être :
```Bash
setxkbmap fr
```
4. Appuyez sur **Entrée**. Votre clavier est maintenant en français. Vous pouvez fermer le terminal.
> **Astuce Alpinux :** La touche **Tab ⇆** est votre meilleure amie sous Linux. Elle permet de compléter les noms de commandes ou de fichiers, évitant ainsi les erreurs de frappe.
---
### Vérifications indispensables
Profitez de cette session "Live" pour vérifier que tout votre matériel est bien reconnu par Linux Mint **avant** d'installer :
- **Affichage :** L'image est-elle nette et stable ? (Si l'écran semble "écrasé", les pilotes graphiques seront installés plus tard).
- **Connexion Internet :** * Si vous avez branché un câble, vérifiez l'icône réseau en bas à droite.
- Si vous êtes en Wi-Fi, cliquez sur l'icône réseau (deux flèches ou ondes) et connectez-vous au réseau local.
- **Son :** Cliquez sur l'icône de haut-parleur et essayez de modifier le volume ; vous devriez entendre un "clic" de confirmation.
- **Touchpad / Souris :** Les clics et le défilement fonctionnent-ils de manière fluide ?
---
### Pourquoi faire ces tests ?
Si un élément majeur (comme le Wi-Fi) ne fonctionne pas du tout en session Live, il est préférable de demander l'aide d'un bénévole Alpinux avant de lancer l'installation. Dans 95 % des cas, il s'agit simplement d'un pilote propriétaire à activer, mais il vaut mieux le savoir dès maintenant.
---
## Démarrer l'installation
Une fois que vous avez vérifié que votre matériel (Wi-Fi, son, affichage) fonctionne correctement en session Live, vous pouvez lancer l'installation définitive sur le disque dur.
### 1. Lancement
Double-cliquez sur l'icône **"Install Linux Mint"** présente sur le bureau.
### 2. Bienvenue et Langue
- Sélectionnez **Français** dans la colonne de gauche.
- Cliquez sur **Continuer**.
### 3. Disposition du clavier
C'est une étape cruciale pour éviter les erreurs de mot de passe plus tard.
- Sélectionnez **Français** dans la liste de gauche.
- À droite, l'association Alpinux recommande de choisir **Français (variante)** ou **Français (variante, AltGr morte)**.
- **Le test indispensable :** Utilisez la zone de saisie en bas pour tester les touches spéciales : le chiffre `²` (en haut à gauche), l'arobase `@` et les accents.
- Cliquez sur **Continuer**.
### 4. Codecs Multimédia
Une case à cocher vous propose d'**"Installer les codecs multimédia"**.
- **Conseil Alpinux :** **Cochez cette case.** * **Pourquoi ?** Ces logiciels (parfois propriétaires) sont indispensables pour lire vos fichiers MP4, écouter de la musique en MP3 ou regarder des vidéos sur certains sites web. Cela vous évitera d'avoir un système "muet" ou incapable de lire des vidéos après l'installation.
- Cliquez sur **Continuer**.
---
### Le point technique : Pourquoi des codecs "non open source" ?
Certains formats de fichiers (comme le MP3 ou le H.264) sont protégés par des brevets. Linux Mint respecte la philosophie du logiciel libre en ne les installant pas d'office, mais vous donne la liberté de les ajouter en un clic pour une expérience utilisateur complète ("out of the box").
---
## Création des partitions Linux
Cette étape consiste à préparer le terrain sur votre disque dur. Puisque nous n'utilisons pas de multiboot, nous allons définir manuellement l'organisation de Linux Mint.
### 1. Choisir le mode personnalisé
À l'écran "Type d'installation", sélectionnez l'option **"Autre chose"** puis cliquez sur **Continuer**.
> 🚩 **Alerte Sécurité :** Si vous voyez plusieurs disques (`sda`, `sdb`, `nvme0n1`), ne prenez aucun risque et demandez l'aide d'un bénévole Alpinux pour identifier le bon support.
---
### 2. Préparer le disque
- **Disque vierge :** Si le disque ne contient aucune donnée, cliquez sur **Nouvelle table de partition...** (choisissez **GPT** si vous êtes en UEFI, ou **MBR** si vous êtes en BIOS/Legacy).
- **Nettoyage :** Si des partitions existent déjà (anciennes partitions Windows), vous pouvez les supprimer une par une avec le bouton **-** pour obtenir un grand espace "Espace libre" ou utilisez **Nouvelle table de partition...**
---
### 3. Créer les partitions
Cliquez sur l'espace libre, puis sur le bouton **+** pour créer chaque partition selon votre mode de démarrage :
#### A. Partitions système obligatoires
|Mode de boot|Type de partition|Taille|Utilisation / Point de montage|
|---|---|---|---|
|**Si UEFI**|Partition système **EFI**|200 à 500 Mo|(Indispensable pour démarrer)|
|**Si BIOS**|Zone réservée pour le chargeur d'amorçage BIOS|500 Mo|(Optionnel, mais recommandé)|
#### B. Partitions Linux (Dans tous les cas)
1. **Le Swap (Espace d'échange) :**
- **Taille :** Environ 1,5 fois votre RAM (ex: 8000 Mo pour 4 ou 8 Go de RAM).
- **Utiliser comme :** Espace d'échange ("swap").
2. **La Racine (Le système `/`) :**
- **Taille :** 30 à 150 Go (selon la taille totale du disque).
- **Utiliser comme :** Système de fichiers journalisé **ext4**.
- **Point de montage :** `/`
3. **Le Home (Vos documents `/home`) :**
- **Taille :** Tout l'espace restant.
- **Utiliser comme :** Système de fichiers journalisé **ext4**.
- **Point de montage :** `/home`
---
### 4. Lancer l'écriture
Une fois votre tableau de partitions prêt, vérifiez que le "Périphérique où sera installé le chargeur d'amorçage" est bien votre disque principal (ex: `/dev/sda` ou `/dev/nvme0n1`).
1. Cliquez sur **Installer maintenant**.
2. **EFI (éventuel) :** Si un message vous avertit sur l'absence ou la configuration de l'EFI, lisez-le attentivement mais cliquez généralement sur **Continuer**.
3. **Confirmation :** Un dernier avertissement récapitule les changements. **Attention :** après avoir cliqué sur **Continuer**, toutes les données précédentes sur ces partitions seront définitivement effacées.
---
> [!info] Pourquoi séparer le `/home` ?
>
>L'association Alpinux recommande cette méthode car elle sépare vos fichiers personnels (documents, photos, réglages) du système. Si vous devez réinstaller Linux plus tard, vous pourrez formater la racine (`/`) sans toucher à vos données personnelles (`/home`).
Voici une version plus professionnelle et sécurisante pour la phase finale de l'installation. J'ai ajouté des précisions sur le choix des noms et sur la procédure physique de retrait de la clé.
---
## Configurer le compte utilisateur
Pendant que le système commence à copier les fichiers en arrière-plan, vous devez créer le compte principal (administrateur) de l'ordinateur.
### 1. Informations d'identité
- **Votre nom :** Saisissez le nom complet de l'utilisateur (ex: _Jean Dupont_).
- **Nom de votre ordinateur :** Choisissez un nom simple pour identifier le PC sur le réseau (ex: _portable-jean_).
- **Nom d'utilisateur :** C'est l'identifiant pour la session (en minuscules, sans espace ni accent, ex: _jean_).
### 2. Sécurité et Mot de passe
- **Mot de passe :** Pour les besoins de l'Install Party, nous utilisons le mot de passe temporaire : `alpinux73`.
- **Option de connexion :** * Il est fortement recommandé de cocher **"Demander mon mot de passe pour ouvrir une session"** pour garantir la sécurité de vos données.
- L'option "Chiffrer mon dossier personnel" est disponible, mais attention : en cas d'oubli du mot de passe, vos données seront définitivement irrécupérables.
---
## Finalisation et Redémarrage
### 1. Patience...
Le processus d'installation peut prendre entre 10 et 30 minutes selon la vitesse de votre disque dur et de votre connexion internet. Linux Mint en profite pour télécharger les dernières mises à jour de sécurité et les packs de langue française.
### 2. Le signal de fin
Une fois l'installation terminée, une fenêtre s'affiche : **"Installation terminée"**. Cliquez sur le bouton **Redémarrer maintenant**.
### 3. Retrait de la clé USB (Étape cruciale)
Ne retirez pas la clé USB tout de suite !
1. L'écran va devenir noir ou afficher un message textuel.
2. Attendez de voir l'instruction : **"Please remove the installation medium, then press ENTER"**.
3. À ce moment précis, **retirez la clé USB** de l'ordinateur.
4. Appuyez sur la touche **Entrée**.
---
> [!info] Pourquoi attendre l'instruction pour retirer la clé ?
>
>Si vous retirez la clé trop tôt, le système risque de ne pas finaliser l'écriture des fichiers de démarrage (GRUB), ce qui pourrait empêcher l'ordinateur de démarrer correctement sur Linux Mint.
Voici une version enrichie et clarifiée de la section post-installation. J'ai ajouté des explications sur l'utilité réelle de ces actions pour un utilisateur au quotidien.
---
## Opérations de post-installation
Le système est installé, mais quelques réglages sont nécessaires pour le rendre parfaitement fonctionnel et agréable à utiliser.
### 1. Le Script de post-installation Alpinux
Pour automatiser les tâches répétitives, l'association met à disposition un script. Il permet de configurer en une seule ligne tout ce qui manque souvent après une installation standard.
**Procédure :**
1. Ouvrez un **Terminal** (`Ctrl + Alt + T`).
2. Copiez et collez la commande suivante (attention, cette adresse est spécifique au réseau local de l'Install Party) :
```Bash
wget -q -O - http://10.0.0.1/install.sh | sudo bash
```
3. Saisissez votre mot de passe (`alpinux73`) quand il est demandé (les caractères ne s'affichent pas, c'est normal).
---
### 2. Que fait ce script exactement ?
Le script Alpinux optimise votre Mint pour un usage immédiat :
- **Logithèque enrichie :** Installation de polices Microsoft (essentiel pour la compatibilité des documents Word/Excel), d'outils de gravure, de logiciels de webcam et d'un gestionnaire de mots de passe.
- **Confort matériel :** Installation de `numlockx` pour gérer le pavé numérique dès le démarrage.
- **Sérénité et Sécurité :**
- **Mises à jour automatiques :** Active la recherche et l'installation des correctifs de sécurité sans intervention de votre part.
- **Packs de langue :** Télécharge les traductions manquantes pour que tous vos logiciels (LibreOffice, Firefox, etc.) soient intégralement en français.
---
### 3. Activation manuelle du pavé numérique
Bien que le script installe l'outil nécessaire, vous devez parfois confirmer l'activation visuellement :
1. Ouvrez le menu **Paramètres du système**.
2. Allez dans la section **Fenêtre de connexion**.
3. Dans l'onglet **Paramètres**, cochez la case **"Activer le verrouillage numérique"**.
> **Note :** Désormais, votre pavé numérique sera actif dès que vous devrez saisir votre mot de passe au démarrage.
---
### Pourquoi installer les "Polices Microsoft" ?
Par défaut, Linux utilise des polices libres. Si vous recevez un document rédigé en _Arial_ ou _Times New Roman_, la mise en page pourrait être décalée sans ces polices officielles. Le script Alpinux règle ce problème pour vous afin de garantir une parfaite compatibilité avec vos collègues ou votre administration.
---
### Finaliser la configuration linguistique
Même si vous avez choisi le français lors de l'installation, certains composants du système ou logiciels tiers peuvent rester en anglais. Il est nécessaire de valider ces paramètres pour harmoniser l'ensemble.
#### Procédure de mise en conformité :
1. **Ouvrir l'outil dédié :** Cliquez sur le menu **Démarrer**, tapez "Langues" et ouvrez l'application **Langues** (ou via _Paramètres système_ > _Langues_).
2. **Vérifier les réglages :** Dans la fenêtre qui s'ouvre, assurez-vous que le **Français, France UTF-8** est sélectionné pour les trois options principales :
- **Langue** (L'interface des menus)
- **Région** (Les formats locaux)
- **Format de l'heure** (L'affichage 24h)
3. **Installer les paquets manquants :** Si un bouton **"Installer / Supprimer des langues"** affiche un symbole d'avertissement ou si une barre de progression indique que des paquets sont manquants, cliquez dessus pour finaliser le téléchargement du support français.
4. **Appliquer à l'ensemble du système :**
> **Étape cruciale :** Cliquez sur le bouton **"Appliquer à tout le système"** en bas de la fenêtre. Cela permet d'appliquer le français dès l'écran de connexion (celui où vous tapez votre mot de passe).
5. **Prise en compte :** Fermez la fenêtre.
---
Contrairement à d'autres réglages, le changement de langue nécessite une fermeture de session ou un redémarrage pour que toutes les applications en cours (le bureau Cinnamon, le gestionnaire de fichiers, etc.) rechargent les nouveaux fichiers de traduction.
Si après cette étape certains logiciels (comme Firefox ou LibreOffice) restent encore en anglais, ne vous inquiétez pas : c'est l'objet de la section suivante qui traite des vérifications spécifiques par application.
### Configuration linguistique de Firefox
Il arrive que Firefox conserve une interface en anglais ou propose des sites Web en version internationale. Voici comment harmoniser votre navigateur.
#### 1. Changer la langue de l'interface (menus et messages)
Si les menus de Firefox (ex: _File, Edit, View_) ne sont pas en français :
1. Cliquez sur le **menu "hamburger"** (les trois lignes horizontales ≡) en haut à droite et choisissez **Paramètres** (ou _Settings_).
2. Dans l'onglet **Général**, descendez jusqu'à la section **Langue**.
3. Sélectionnez **Français** dans le menu déroulant. Si le français n'apparaît pas, cliquez sur "Chercher d'autres langues..." pour le télécharger et l'installer.
4. Redémarrez Firefox si le navigateur vous le demande.
#### 2. Configurer la langue préférée pour les sites Web
Certains sites détectent votre langue via les réglages de votre navigateur. Pour éviter de voir Wikipédia ou Google s'afficher en anglais :
1. Toujours dans **Paramètres** > **Général** > **Langue**.
2. Juste en dessous du réglage précédent, repérez : **"Choisir la langue préférée pour l'affichage des pages"**. Cliquez sur le bouton **Choisir...**.
3. Assurez-vous que **Français [fr]** est en haut de la liste.
4. Si besoin, utilisez le bouton "Sélectionner une langue à ajouter" pour trouver le français et cliquez sur **Ajouter**, puis montez-la en première position.
5. Validez avec **OK**.
---
### Vérification technique (Outil Alpinux)
Pour confirmer que votre navigateur se présente correctement aux serveurs Web, vous pouvez effectuer un test réel :
1. Visitez le site [https://ip.abonnel.fr](https://ip.abonnel.fr).
2. Descendez jusqu'à la section **"D'autres informations techniques"**.
3. Regardez la ligne **"Langues préférées"** (ou _Accept-Language_).
- **Correct :** Vous devez voir `fr`, `fr-FR` ou `fr-fr` en première position.
- **Incorrect :** Si `en` ou `en-US` apparaît en premier, reprenez l'étape 2 ci-dessus.
### Correction orthographique dans Firefox
Il ne suffit pas que l'interface soit en français ; il faut aussi que Firefox sache souligner vos fautes de frappe lorsque vous rédigez un texte en ligne.
#### 1. Test de détection
Avant toute chose, vérifiez si le dictionnaire est déjà actif :
1. Faites un clic droit dans n'importe quel champ de texte (par exemple, la barre de recherche ou un champ de commentaire).
2. Vérifiez si l'option **"Vérifier l'orthographe"** est cochée.
3. Si elle est cochée mais que vos fautes ne sont pas soulignées, le dictionnaire français est probablement manquant.
#### 2 . Méthode 1 : Installer le dictionnaire français
Si le français n'est pas proposé dans le menu "Langues" lors d'un clic droit :
1. Faites un clic droit dans un champ de texte.
2. Allez sur **Langues** > **Ajouter des dictionnaires...**.
3. Une page officielle de Firefox s'ouvre. Recherchez **"Français"** dans la liste.
4. Cliquez sur **"Installer le dictionnaire"** (choisissez de préférence le dictionnaire "Moderne" ou "Réforme 1990").
5. Cliquez sur le bouton bleu **"+ Ajouter à Firefox"**, puis validez l'installation.
#### 3. Méthode 2 : Via la page des modules complémentaires (Add-ons)
Si vous préférez une interface graphique sans passer par un champ de texte :
1. Cliquez sur le **menu ≡** (en haut à droite) et choisissez **Extensions et thèmes**.
2. Dans la barre de recherche en haut, tapez : **"Dictionnaire français"**.
3. Cherchez celui proposé par "LanguageTeam" (souvent nommé _Dictionnaires français_).
4. Cliquez sur **Ajouter à Firefox**.
#### 4. Validation finale
1. Retournez dans un champ de texte.
2. Faites un clic droit > **Langues**.
3. Assurez-vous que **"Français"** est bien sélectionné.
4. Tapez un mot faux (ex: _bonjoure_) : il doit se souligner en rouge.
---
### Vérification linguistique dans LibreOffice
Il est fréquent que LibreOffice nécessite une petite validation pour activer ses menus en français et, surtout, son correcteur orthographique.
#### 1. Vérifier l'interface (menus et icônes)
Ouvrez **LibreOffice Writer** (le traitement de texte).
- Si les menus s'affichent en anglais (_File, Edit, View_), allez dans : **Tools** > **Options** > **Language Settings** > **Languages**.
- Dans **User Interface**, choisissez **French (France)**.
#### 2. Activer le correcteur orthographique
Pour éviter les fautes de frappe, le dictionnaire français doit être sélectionné par défaut :
1. Toujours dans le menu **Outils** > **Options** > **Paramètres linguistiques** > **Langues**.
2. Dans la section **Langues par défaut pour les documents**, vérifiez que "Occidental" est réglé sur **Français (France)**.
3. **Le détail qui compte :** Assurez-vous qu'une petite icône bleue avec les lettres **"ABC"** et une coche est présente devant "Français (France)". Cela confirme que le dictionnaire est bien installé.
#### 3. Que faire si le dictionnaire est absent ?
Si vous ne voyez pas l'icône "ABC" ou si le français n'est pas proposé :
- Fermez LibreOffice.
- Relancez le script de post-installation Alpinux ou allez dans le menu **Démarrer** > **Paramètres** > **Langues** et cliquez sur **"Installer/Supprimer des langues"**. Cela complétera l'installation des paquets `libreoffice-l10n-fr` et `hunspell-fr`.
---
Une fois la configuration terminée, tapez un mot volontairement mal orthographié dans Writer. S'il se souligne en rouge, votre correcteur fonctionne ! Appuyez sur **F7** pour lancer la vérification complète de votre document.
---
### Gestion des sauvegardes avec Timeshift
**Timeshift** est un utilitaire qui crée des "instantanés" (des points de restauration) de votre système. En cas de mauvaise manipulation ou de mise à jour qui se passe mal, il vous permet de revenir en arrière en quelques clics.
#### Pourquoi modifier ses réglages ?
Par défaut, Timeshift peut être configuré pour créer des sauvegardes quotidiennes ou horaires. Sur un disque dur de petite taille (moins de 128 Go), cela peut rapidement consommer tout votre espace disque et bloquer l'ordinateur.
#### Procédure recommandée par Alpinux :
1. Ouvrez **Timeshift** depuis le menu Démarrer (votre mot de passe sera demandé).
2. Si l'assistant de configuration s'ouvre, choisissez **RSYNC** et cliquez sur **Suivant**.
3. À l'étape **"Sélectionner les niveaux d'instantanés"** :
- **Décochez toutes les cases** (Quotidien, Horaire, Hebdomadaire, etc.).
- _Pourquoi ?_ Cela évite que le disque ne se remplisse de façon imprévisible.
4. Un message d'avertissement peut apparaître pour vous dire que le système n'est plus protégé : cliquez sur **OK / Ignorer**.
5. Cliquez sur **Terminer**.
### Tests matériels finaux (Check-list)
Avant de considérer l'installation comme terminée, il est crucial de tester chaque composant physique de l'ordinateur. Cela permet de détecter d'éventuels pilotes manquants ou des réglages à affiner.
#### 1. Système Audio
- **Haut-parleurs :** Allez dans _Paramètres système_ > _Son_ et cliquez sur "Tester le son".
- **Casque :** Branchez des écouteurs ou un casque filaire. Vérifiez que le son bascule automatiquement des haut-parleurs vers le casque.
- **Microphone :** Ouvrez l'application "Magnétophone" ou vérifiez la barre de volume d'entrée dans les paramètres sonores en parlant.
#### 2. Connectivité sans fil
- **Wi-Fi :** Débranchez le câble Ethernet. Connectez-vous à un réseau Wi-Fi, ouvrez Firefox et chargez une page Web pour confirmer que le flux de données est stable.
- **Bluetooth :** Cliquez sur l'icône Bluetooth en bas à droite. Essayez de jumeler un appareil (souris, casque ou smartphone). _C'est le test idéal pour vérifier si la puce Bluetooth nécessite un micrologiciel (firmware) spécifique._
#### 3. Multimédia et Périphériques
- **Webcam :** Lancez l'application **Cheese** ou **Hypnotix**. L'image est-elle fluide ?
- **Lecteur DVD / USB :** Si l'ordinateur possède un lecteur optique, insérez un DVD pour tester la lecture. Testez également les différents ports USB de la machine avec une clé de données.
- **Écran externe :** Si l'utilisateur a un second écran (HDMI/VGA), branchez-le pour vérifier que le double affichage est bien géré.
#### 4. Matériel spécifique de l'utilisateur
> **Le conseil Alpinux :** Demandez toujours à l'utilisateur s'il a apporté un périphérique particulier (imprimante portable, tablette graphique, scanner). Il est beaucoup plus simple de configurer ces éléments avec l'aide des bénévoles lors de l'Install Party.
### Restaurer son profil Firefox sur Linux Mint
Sur Linux Mint, Firefox stocke ses données dans un dossier caché. La méthode la plus propre consiste à remplacer le contenu du nouveau profil par l'ancien.
#### 1. Préparer le terrain
1. Lancez Firefox une première fois sur Linux Mint, puis **refermez-le immédiatement**. Cela permet au système de créer l'arborescence de dossiers nécessaire.
2. Branchez votre support de sauvegarde (clé USB ou disque externe).
#### 2. Localiser le dossier de destination
Ouvrez votre **Dossier personnel** (le gestionnaire de fichiers Nemo) et suivez ces étapes :
1. Affichez les dossiers cachés en appuyant sur **`Ctrl + H`**.
2. Naviguez vers le chemin suivant : `.mozilla` > `firefox`.
> _Note : Si vous ne voyez pas `.mozilla`, vérifiez que vous avez bien lancé Firefox au moins une fois._
#### 3. Restaurer les données
Il existe deux méthodes selon votre aisance, la "Méthode Express" est la plus recommandée :
**Méthode Express (Remplacement total) :**
1. Dans le dossier `.mozilla/firefox` de votre ordinateur, supprimez tout le contenu existant.
2. Copiez l'intégralité de votre sauvegarde (votre dossier `xxxx.default-release` **ET** les fichiers `profiles.ini` et `installs.ini`) et collez-les ici.
3. Relancez Firefox. Vos extensions, onglets et mots de passe devraient apparaître instantanément.
**Méthode Sélective (Si Firefox ne démarre pas) :**
Si après la méthode express Firefox affiche une erreur de profil, procédez ainsi :
1. Ouvrez le nouveau dossier de profil créé par Linux (ex: `yyyyy.default-release`).
2. Ouvrez votre dossier de sauvegarde (ex: `xxxx.default-release`).
3. Copiez tout le **contenu** du dossier de sauvegarde et collez-le **à l'intérieur** du nouveau dossier de profil sur Linux, en acceptant d'écraser les fichiers existants.
### Vérification après restauration
Une fois Firefox ouvert, vérifiez deux points :
- **La synchronisation :** Si vous utilisiez un compte Firefox Sync, il se peut que vous deviez vous reconnecter pour réactiver la synchronisation en temps réel.
- **Les DRM :** Pour regarder Netflix ou Prime Video, allez dans `Paramètres` > recherchez "DRM" et assurez-vous que la case "Lire le contenu contrôlé par DRM" est bien cochée.
## Conditions d'utilisation de ce document
### Remerciements
Nous tenons à exprimer notre gratitude envers les bénévoles et les membres des bureaux successifs qui ont contribué à améliorer et à faire évoluer les Install Party depuis 1999. Merci pour leurs précieuses assistances.
### Licence
La paternité de ce document doit être **“Alpinux, Le LUG de Savoie”**. L'URL référente doit être https://gitea.alpinux.org/akml/alpinux.installparty/raw/branch/master/guide_d_installation_linux_mint_depuis_windows.md
Cet document est mis à disposition sous les termes de la licence **CC BY-SA 4.0**, également connue sous le nom de **Attribution - Partage dans les Mêmes Conditions 4.0 International**. Il est important de noter que certains contenus présents dans ce document, tels que les designs, textes, graphiques, images, vidéos, informations, logos, icônes-boutons, logiciels, fichiers audio, et autres, sont protégés par le droit d'auteur, la protection des marques commerciales déposées, d'autres lois et conditions d'utilisation spécifiques. La licence **CC BY-SA 4.0** ne peut pas prévaloir sur ces conditions de protection existantes.
La licence sus mentionnée accorde uniquement des autorisations en vertu du droit d'auteur.
Les marques déposées ou les noms propres sont utilisés dans ce document à titre d'exemple, dans un but de démonstration et à des fins pédagogiques exclusivement. Nous n'avons aucun lien ni affiliation avec ces marques, et leur utilisation dans ce document est soumise aux conditions d'utilisation spécifiques qui leur sont applicables.
### Responsabilité
**Limitation de Responsabilité :** L'association Alpinux décline toute responsabilité quant à l'utilisation de ses services ou produits par les utilisateurs. Les utilisateurs reconnaissent qu'ils utilisent les services ou produits à leurs propres risques et périls.
**Exonération de Responsabilité :** Alpinux ne sera en aucun cas tenue responsable des dommages directs, indirects, spéciaux, consécutifs ou accessoires, y compris, mais sans s'y limiter, les pertes de données, les pertes de bénéfices, les interruptions de service, les dommages matériels, les réclamations de tiers ou tout autre préjudice résultant de l'utilisation ou de l'incapacité à utiliser nos services ou produits.
**Utilisation Conforme :** Les utilisateurs s'engagent à utiliser nos services ou produits conformément aux lois applicables et aux présentes Conditions d'utilisation. L'entreprise ne peut être tenue responsable de toute utilisation illégale ou non conforme de ses services ou produits par les utilisateurs.
**Mises à Jour et Modifications :** L'association se réserve le droit de mettre à jour, modifier ou interrompre ses services ou produits à tout moment, sans préavis. Elle ne peut être tenue responsable des conséquences de telles mises à jour, modifications ou interruptions.
**Liens Externes :** Nos services ou produits peuvent contenir des liens vers des sites Web tiers. L'entreprise n'est pas responsable du contenu, de la sécurité ou de la confidentialité de ces sites Web tiers, et les utilisateurs sont invités à consulter les Conditions d'utilisation et les politiques de confidentialité de ces sites avant de les utiliser.
**Indemnisation :** Les utilisateurs s'engagent à indemniser et à dégager de toute responsabilité Alpinux, ses instances dirigeantes, le bureau, les contractuels, bénévoles, employés et partenaires contre toute réclamation, action en justice, responsabilité, perte, coût ou dépense résultant de leur utilisation de nos services ou produits ou de toute violation des présentes Conditions d'utilisation.
**Modification des Conditions :** Alpinux se réserve le droit de modifier les présentes **Conditions d'utilisation** à tout moment. Les utilisateurs sont tenus de consulter régulièrement les Conditions d'utilisation pour être informés des modifications éventuelles.