[{"article":{"uuid":"3a236b06-c880-4ab3-8b95-812ec4fb3e81","slug":"20230417-reinitialiser-le-mot-de-passe-windows","title":"Réinitialiser le mot de passe local Administrateur Windows","category":"Journal geek","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-04-17 20:01:27","created_at":"2023-04-17 20:01:27","updated_at":"2023-04-17 20:01:27","plain":"Dans les versions de Windows antérieures à Windows 10, les mots de passe des utilisateurs locaux sont stockés dans le fichier SAM (Security Account Manager), qui est situé dans le dossier . Il existe plusieurs programmes Linux qui peuvent être utilisés pour réinitialiser le mot de passe Windows NT stocké dans le fichier SAM, mais l'un des plus populaires est chntpw. Vous trouverez plus d'informations de chntpw sur le site officiel de l'outil : http://pogostick.net/pnh/ntpasswd/ À partir de Windows 10, Microsoft a introduit une fonctionnalité appelée Credential Guard, qui stocke les informations d'identification des utilisateurs dans une zone isolée du système appelée Secure Kernel. Cette fonctionnalité est conçue pour offrir une meilleure protection contre les attaques de type Pass-the-Hash, qui peuvent être utilisées pour récupérer des informations d'identification stockées localement. Actuellement, il n'existe pas de méthode pour écraser le mot de passe Administrateur local sans recourir à un solution de compte en ligne Microsoft. Toutefois, il est possible d’exécuter une réinitialisation de l'ordinateur qui effacera toutes les comptes et données personnelles de l'ordinateur. Pour cela, il faut accéder aux options de démarrage avancées sous Windows 10/11. Vous pouvez suivre ces étapes :\n1. Cliquez sur le bouton \"Démarrer\" de Windows.\n1. Maintenez la touche \"Maj\" enfoncée tout en cliquant sur le bouton \"Redémarrer\".\n1. Cela ouvrira les options de démarrage avancées de Windows.\n1. Vous pouvez sélectionner l'option souhaitée, comme \"Réinitialiser ce PC\". Et sous Linux ?\nSous Linux les informations sur les utilisateurs et leurs mots de passe sont stockées dans des fichiers spécifiques, tels que et . Le fichier contient des informations sur les utilisateurs du système, tels que leur nom d'utilisateur, leur identifiant d'utilisateur (UID), leur groupe primaire et leur répertoire de travail. Le fichier contient les mots de passe hachés des utilisateurs. Les mots de passe hachés sont stockés dans le fichier car ce fichier est accessible uniquement par l'utilisateur root, qui est le seul utilisateur ayant les permissions pour le lire. Cela permet de protéger les informations sensibles contenues dans le fichier. Les administrateurs système peuvent utiliser des outils de gestion des utilisateurs tels que , et pour créer, supprimer et modifier les comptes d'utilisateurs et les mots de passe sur un système Linux. Ces outils sont souvent utilisés en conjonction avec des mécanismes d'authentification, tels que PAM** (Pluggable Authentication Modules), qui permettent de personnaliser les méthodes d'authentification des utilisateurs sur un système Linux."},"score":7.75,"snippet":"…s pour récupérer des informations d'identification stockées localement. Actuellement, il n'existe pas de méthode pour écraser le mot de passe Administrateur local sans recourir à un solution de compte en ligne Microsoft.…","tier":2},{"article":{"uuid":"104a8694-4268-4e0a-99c7-e7ecfd47af1e","slug":"auto-heberger-son-serveur-mail-en-2026","title":"Auto-héberger son serveur mail en 2026","category":"informatique","author":"cedric@abonnel.fr","cover":"cover.svg","published":true,"published_at":"2026-05-12 08:35","created_at":"2026-05-12 08:38:14","updated_at":"2026-05-12 08:40:06","plain":"Survivre aux règles de Gmail, Outlook et consorts\r\nContexte — Cet article de Clubic (lien) rappelle une vérité technique : SMTP date de 1982, n'a aucune sécurité native, et toutes les \"rustines\" (SPF, DKIM, DMARC, MTA-STS, DANE) ont été conçues par Yahoo, Cisco, Microsoft, Google. Depuis février 2024 (Google) et mai 2025 (Microsoft), tout expéditeur dépassant 5000 mails/jour vers Gmail/Outlook doit configurer SPF + DKIM + DMARC, maintenir un taux de spam < 0,1 %, et fournir un lien de désinscription en un clic.\r\nMais même en dessous de 5000/jour, ces règles s'appliquent en pratique : sans elles, ton mail finit en spam ou est rejeté. Ce dossier décrit comment monter son propre serveur mail tout en passant à travers ces filtres.\r\n--\r\n\r\nSommaire\r\n\r\n1. Avant de commencer : est-ce vraiment une bonne idée ?\r\n2. Prérequis techniques\r\n3. Architecture cible\r\n4. Choix du fournisseur et de l'IP\r\n5. Configuration DNS complète\r\n6. Installation du stack mail\r\n7. SPF, DKIM, DMARC : les rustines obligatoires\r\n8. MTA-STS, TLS-RPT, DANE : aller plus loin\r\n9. PTR (reverse DNS) et HELO\r\n10. Warmup d'IP : la phase la plus délicate\r\n11. Postmaster Tools, SNDS, FBL\r\n12. Liste de désinscription en un clic (RFC 8058)\r\n13. Anti-spam entrant et hygiène\r\n14. Monitoring, logs, alertes\r\n15. Que faire quand Gmail rejette quand même ?\r\n16. Checklist finale avant mise en prod\r\n17. Annexes : commandes utiles\r\n--\r\n\r\n1. Avant de commencer : est-ce vraiment une bonne idée ?\r\n\r\nL'auto-hébergement mail est techniquement possible, mais c'est probablement le service le plus pénible à maintenir en 2026. Avant de te lancer, lis ça :\r\n\r\nCe qui marche bien en auto-hébergé :\r\nRecevoir du mail (presque tout le monde te livre).\r\nEnvoyer vers d'autres serveurs auto-hébergés ou pros bien configurés.\r\nGarder le contrôle sur tes données, tes alias, tes domaines.\r\n\r\nCe qui est dur :\r\nEnvoyer vers Gmail / Outlook / Yahoo / iCloud sans atterrir en spam.\r\nSortir d'une blacklist une fois dedans.\r\nMaintenir un score de réputation IP correct sur la durée.\r\nSurvivre à un changement unilatéral des règles côté gros acteurs (cf. février 2024 et mai 2025).\r\n\r\nStratégie réaliste recommandée :\r\nRéception entrante : auto-hébergée à 100 %. Aucun risque, full contrôle.\r\nEnvoi sortant : deux options, selon ton volume et ton tolérance au risque.\r\nOption A — Pure auto-hébergée : tu envoies directement depuis ton serveur. Faisable, mais demande un warmup, une IP propre, et un suivi continu.\r\nOption B — Smart host sortant : tu envoies via un relais réputé (un autre de tes serveurs avec une IP qui a déjà sa réputation, ou un service type Mailjet/Sendgrid/SMTP2GO en bas volume gratuit). Tes mails sortent depuis l'IP du relais, qui a déjà sa réputation faite. C'est un compromis : tu perds une partie de la souveraineté technique, mais tu gagnes énormément en délivrabilité.\r\n\r\nLe reste du dossier suit l'option A — tout en t'expliquant comment basculer en B si nécessaire.\r\n--\r\n\r\n2. Prérequis techniques\r\nÉlément | Détail |\r\n---|---|\r\nDomaine | À toi, registrar peu importe, mais avec DNSSEC activable (cf. §8 pour DANE). |\r\nServeur | VPS ou dédié, 2 vCPU / 4 Go RAM minimum, Debian 12+ ou Ubuntu 24.04 LTS. |\r\nIP fixe v4 | Indispensable. IP \"résidentielle\" ou IP de datacenter récemment recyclée = exclues. |\r\nIP fixe v6 | Recommandée, mais désactivable si l'IPv6 du fournisseur est blacklistée. |\r\nPTR / reverse DNS | Modifiable par toi. Si l'hébergeur ne te le permet pas, change d'hébergeur. |\r\nPorts | 25, 465, 587, 993, 4190 ouverts sortants ET entrants. Le port 25 sortant est bloqué chez beaucoup d'hébergeurs grand public (OVH résidentiel, Free, etc.) : vérifie avant. |\r\nTLS | Certificat valide (Let's Encrypt suffit). |\r\n\r\nCompétences attendues : Linux en ligne de commande, DNS (champs A/AAAA/MX/TXT/SRV/CAA/TLSA), notion de TLS, lecture de logs et .\r\n--\r\n\r\n3. Architecture cible\r\n\r\nUn stack standard, éprouvé, en logiciels libres :\r\n\r\n\r\n\r\nComposants :\r\nPostfix : MTA. Reçoit, route, envoie le SMTP.\r\nDovecot : serveur IMAP/POP3, livraison locale (LMTP), authentification SASL pour Postfix, gestion Sieve (filtres).\r\nRspamd : antispam moderne, fait aussi la vérification SPF/DKIM/DMARC entrante, le greylisting, et — option recommandée — la signature DKIM sortante (en remplacement d'OpenDKIM).\r\nLet's Encrypt (certbot) : TLS.\r\n(Optionnel) Roundcube ou SnappyMail : webmail.\r\n\r\nAlternative tout-en-un : Mailcow ou Mailu, basés sur Docker, qui empaquètent tout ça avec une interface admin. Si tu préfères ne pas tout configurer à la main, c'est légitime — la majorité des règles DNS et de délivrabilité de ce dossier restent identiques.\r\n--\r\n\r\n4. Choix du fournisseur et de l'IP\r\n\r\nLe choix de l'hébergeur conditionne la moitié de ta délivrabilité. Avant de prendre un VPS :\r\n\r\n1. Le port 25 sortant est-il ouvert ? Beaucoup d'hébergeurs le bloquent par défaut pour limiter le spam (Hetzner l'ouvre sur demande, OVH l'ouvre selon le produit, Scaleway l'ouvre selon le compte). Pose la question au support avant de payer.\r\n2. Le PTR est-il configurable ? Si non, change.\r\n3. L'IP a-t-elle été utilisée par un spammeur ? Avant d'acheter le VPS, demande l'IP qu'on te donnera. Vérifie sur :\r\nmxtoolbox.com/blacklists.aspx\r\nmultirbl.valli.org\r\ntalosintelligence.com (Cisco)\r\nsenderscore.org\r\n \r\n Si l'IP est listée sur Spamhaus, Barracuda, SORBS, SpamCop, demande à l'hébergeur de te l'échanger ou prends un autre VPS. Une fois listée, tu vas y passer des semaines.\r\n4. Réputation du subnet (). Même si ton IP est propre, si le est pourri (beaucoup de spammeurs voisins), Gmail va te traiter avec méfiance. Vérifie sur senderscore.org en saisissant ton IP — le score du subnet apparaît.\r\n\r\nHébergeurs réputés corrects pour le mail : Hetzner, OVH (gamme dédiée, pas SoYouStart), Scaleway, Infomaniak (en VPS), Netcup. À éviter pour de l'envoi : DigitalOcean (subnets souvent grillés), Linode/Akamai (idem), AWS EC2 (le port 25 est limité par défaut, et la rate-limit est costaude).\r\n--\r\n\r\n5. Configuration DNS complète\r\n\r\nPour un domaine avec un serveur mail sur à l'IP (et en v6) :\r\n\r\n\r\n\r\nDétails dans les sections dédiées plus bas.\r\n\r\nÀ ne pas oublier : l'enregistrement PTR (reverse DNS) se configure chez ton hébergeur, pas dans ta zone DNS. Il doit pointer . C'est traité au §9.\r\n--\r\n\r\n6. Installation du stack mail\r\n\r\nSur Debian 12. Ce qui suit est volontairement condensé — pour une configuration ligne par ligne, suis le tutoriel de référence de Workaround.org qui est l'étalon depuis 20 ans.\r\n\r\n\r\n\r\nPostfix : configuration minimale-mais-saine\r\n\r\n\r\n\r\nDovecot, Rspamd\r\n\r\nCes composants demandent leurs propres fichiers de configuration. Renvoi explicite vers les tutos qui font autorité :\r\nWorkaround.org / ISPmail : https://workaround.org/ispmail/ — référence francophone et anglophone, mise à jour à chaque version Debian.\r\nRspamd quickstart : https://www.rspamd.com/doc/tutorials/quickstart.html\r\nDovecot wiki : https://doc.dovecot.org/\r\n\r\nSi tu veux gagner du temps, Mailcow () est aujourd'hui la solution clé-en-main la plus fiable.\r\n--\r\n\r\n7. SPF, DKIM, DMARC : les rustines obligatoires\r\n\r\nSans ces trois enregistrements correctement configurés, Gmail et Outlook rejetteront ou marqueront en spam la majorité de tes messages — peu importe ton volume.\r\n\r\nSPF (Sender Policy Framework)\r\n\r\nDéclare qui a le droit d'envoyer du mail pour ton domaine.\r\n: autorise les serveurs listés dans le MX du domaine.\r\n: rejet strict de tout le reste. Indispensable pour la réputation. Ne jamais utiliser (softfail) en prod : Gmail aujourd'hui considère comme un signal faible.\r\n\r\nSi tu envoies aussi via un relais externe (smart host) : ajoute son , ex. .\r\n\r\nLimite : un enregistrement SPF doit tenir en 10 lookups DNS maximum. Au-delà, il est invalide. Vérifie avec https://www.kitterman.com/spf/validate.html.\r\n\r\nDKIM (DomainKeys Identified Mail)\r\n\r\nSigne chaque mail sortant avec une clé privée. Le destinataire vérifie la signature via la clé publique publiée en DNS.\r\n\r\nGénération de la clé (Rspamd, sélecteur , clé 2048 bits) :\r\n\r\n\r\n\r\nLe fichier contient l'enregistrement DNS à publier :\r\n\r\n\r\n\r\nConfiguration Rspamd () :\r\n\r\n\r\n\r\nRecharge : .\r\n\r\nVérification : envoie un mail à check-auth@verifier.port25.com, tu reçois un rapport complet SPF/DKIM/DMARC en retour. Ou utilise https://www.mail-tester.com/ (note sur 10).\r\n\r\nDMARC (Domain-based Message Authentication, Reporting and Conformance)\r\n\r\nDit aux serveurs distants quoi faire en cas d'échec SPF/DKIM, et te renvoie des rapports sur ce qui passe et ce qui rate.\r\n: surveillance seule, à utiliser pendant 2-4 semaines en démarrage pour collecter les rapports sans pénaliser.\r\n: mise en spam des mails non authentifiés. Cible normale.\r\n: rejet pur. À atteindre en cible finale, après avoir vérifié 4 semaines de rapports propres.\r\n: adresse pour les rapports agrégés (quotidiens).\r\n: rapports forensiques (par message). Optionnel.\r\n: alignement strict — le domaine de signature DKIM et le domaine SPF doivent exactement correspondre au domaine .\r\n\r\nLecture des rapports DMARC : ils arrivent en XML, illisibles. Utilise un parseur :\r\nPostmark DMARC Monitoring (gratuit, agrège les rapports dans une UI).\r\nparsedmarc (auto-hébergeable, envoie dans Elasticsearch/Splunk/Grafana).\r\n--\r\n\r\n8. MTA-STS, TLS-RPT, DANE : aller plus loin\r\n\r\nCes standards sécurisent le transport entre serveurs (chiffrement TLS forcé). Gmail les regarde, Microsoft aussi. Pas obligatoires, mais ils boostent ta réputation.\r\n\r\nMTA-STS\r\n\r\nForce les serveurs distants à utiliser TLS pour t'envoyer des mails. Trois éléments :\r\n\r\n1. Enregistrement DNS TXT :\r\n\r\n\r\n2. Sous-domaine servant un fichier en HTTPS à :\r\n\r\n\r\n est la cible. En démarrage, mets pendant 1-2 semaines.\r\n\r\n3. Certificat TLS valide sur ce sous-domaine (déjà fait via certbot au §6).\r\n\r\nTLS-RPT\r\n\r\nDemande aux serveurs distants de t'envoyer des rapports en cas d'échec TLS.\r\n\r\n\r\n\r\nDANE (DNS-based Authentication of Named Entities)\r\n\r\nEncore plus solide que MTA-STS, mais nécessite DNSSEC activé sur ton domaine. Si ton registrar ne supporte pas DNSSEC, oublie DANE.\r\n\r\nDANE publie un hash du certificat TLS dans un enregistrement TLSA :\r\n\r\n\r\n\r\nOu plus simplement avec https://www.huque.com/bin/gentlsa :\r\n\r\n\r\n\r\nVérification globale de tout ton setup TLS+DANE : https://internet.nl/mail/ (excellent, recommandé).\r\n--\r\n\r\n9. PTR (reverse DNS) et HELO\r\n\r\nLe PTR est probablement la cause la plus fréquente de rejet par Gmail/Outlook chez les nouveaux auto-hébergés.\r\n\r\nRègle absolue : , et tout doit être un FQDN cohérent.\r\n\r\nConfigure le PTR dans le panneau de ton hébergeur (chez OVH : \"IP\" → \"Reverse DNS\") :\r\n\r\n\r\nVérifie :\r\n\r\n\r\nDans Postfix, et c'est ce qui est annoncé en HELO. Cohérence garantie.\r\n--\r\n\r\n10. Warmup d'IP : la phase la plus délicate\r\n\r\nUne IP neuve = pas de réputation = défiance maximale des gros acteurs. Tu ne peux pas envoyer 1000 mails le jour 1 sans te griller.\r\n\r\nPlan de warmup sur 4 à 6 semaines\r\nSemaine | Volume max/jour vers Gmail+Outlook | Volume max/jour total | Contenu |\r\n---|---|---|---|\r\n1 | 20-50 | 100 | Mails à toi-même, comptes test sur Gmail/Outlook/Yahoo. Réponds-y, marque \"non spam\" si en spam. |\r\n2 | 100 | 300 | Cercle proche qui sait répondre / interagir. |\r\n3 | 300 | 1000 | Élargissement progressif. |\r\n4 | 800 | 3000 | Ouvre aux usages normaux. |\r\n5+ | 2000+ | volume cible | Stable. |\r\n\r\nRègles d'or pendant le warmup :\r\nPas de mailing list, pas de notifs automatiques en masse. Privilégie des mails 1-à-1 conversationnels.\r\nDemande aux destinataires de répondre — un mail avec réponse a 100x le poids d'un mail ouvert silencieusement.\r\nAucun lien raccourci, aucun pixel de tracking, aucune image lourde.\r\nStop net si ton score Senderscore baisse ou si Gmail Postmaster Tools (cf. §11) montre du rouge.\r\n\r\nSi tu as un volume immédiat à envoyer\r\n\r\nBascule en option B (smart host) le temps du warmup, puis rapatrie progressivement en interne en répliquant les volumes ci-dessus.\r\n--\r\n\r\n11. Postmaster Tools, SNDS, FBL\r\n\r\nLes gros acteurs te donnent des dashboards dédiés. Inscris-toi à tous, dès la création du domaine.\r\nService | Acteur | Usage |\r\n---|---|---|\r\nGoogle Postmaster Tools | Gmail | Réputation IP+domaine, taux de spam, authentification, encryption. Indispensable. |\r\nMicrosoft SNDS | Outlook/Hotmail | Smart Network Data Services, qualité de l'IP. |\r\nMicrosoft JMRP | Outlook | Junk Mail Reporting Program, FBL Microsoft. |\r\nYahoo CFL | Yahoo | Complaint Feedback Loop. |\r\nValidity Sender Score | Indépendant | Score sur 100, à surveiller. |\r\n\r\nConfigure les feedback loops (FBL) : quand un destinataire clique \"spam\", tu reçois une notification. Ça te permet de désinscrire l'utilisateur avant qu'il ne dégrade ta réputation.\r\n--\r\n\r\n12. Liste de désinscription en un clic (RFC 8058)\r\n\r\nExigence Google/Microsoft pour les expéditeurs en volume, mais à mettre en place dès le début même en bas volume.\r\n\r\nAjoute deux en-têtes à tous les mails non-strictement-personnels :\r\n\r\n\r\n\r\nL'URL HTTPS doit accepter une requête POST (pas seulement GET) avec dans le corps, et désinscrire immédiatement et silencieusement sans demander de confirmation.\r\n--\r\n\r\n13. Anti-spam entrant et hygiène\r\n\r\nUn serveur mail mal configuré côté entrée devient vite un relais de spam ou une cible. Configuration Rspamd minimale :\r\n\r\n\r\n\r\n\r\n\r\nActive aussi :\r\nVérification SPF/DKIM/DMARC entrante (par défaut activée dans Rspamd).\r\nRBL (Realtime Blackhole Lists) : Spamhaus ZEN, Barracuda. Attention à ne pas multiplier — 2 ou 3 RBL fiables suffisent.\r\nGreylisting : refuse temporairement les premiers contacts, ce qui élimine 80% du spam basique. Ne pas activer sur un domaine à fort volume transactionnel (gêne les notifs).\r\nBayes : laisse Rspamd apprendre via le dossier de Dovecot (signal / ).\r\n\r\nMises à jour : activé, redémarrage planifié, lecture des annonces sécu Postfix/Dovecot.\r\n--\r\n\r\n14. Monitoring, logs, alertes\r\n\r\nSans monitoring, tu découvres les problèmes par les utilisateurs. À mettre en place :\r\nLecture des logs : , , web UI de Rspamd sur .\r\nMétriques : exporter Postfix/Dovecot vers Prometheus + Grafana (, ).\r\nAlertes sur :\r\nFile d'attente Postfix > 50 messages ().\r\nScore Senderscore qui chute.\r\nApparition sur une RBL : surveillance automatisée par https://multirbl.valli.org/ ou via un script qui interroge plusieurs DNSBL en cron.\r\nÉchec TLS-RPT (rapport entrant signalant une connexion non chiffrée).\r\nRapports DMARC parsés régulièrement (cf. §7).\r\n--\r\n\r\n15. Que faire quand Gmail rejette quand même ?\r\n\r\nÇa arrive. Diagnostic dans l'ordre :\r\n\r\n1. Lis le code de rejet SMTP dans . Gmail renvoie des codes très explicites :\r\n→ contenu jugé spammy. Revois le contenu, ajoute du texte conversationnel, retire les liens douteux.\r\n→ tu as dépassé un seuil. Ralentis immédiatement, attends 24-48h, reprends doucement.\r\n→ ton DMARC ne passe pas. Revérifie SPF/DKIM/alignement.\r\n→ tu es sur une RBL. Va sur spamhaus.org/lookup/ pour vérifier et demander la sortie.\r\n2. Va dans Postmaster Tools (§11). Si \"IP reputation\" est rouge ou orange, regarde le contenu et le timing de tes envois récents.\r\n3. Test mail-tester : envoie à une adresse fournie par mail-tester.com, obtiens une note sur 10. Vise 10/10. Toute case manquante doit être corrigée.\r\n4. Sortie de blacklist : la plupart des RBL (Spamhaus, Barracuda) ont un formulaire de retrait. Spamhaus retire en quelques heures si tu corriges la cause. SORBS est plus lent. UCEPROTECT exige souvent de payer — ignore-la, peu de serveurs sérieux la consultent.\r\n5. Si rien ne marche, change d'IP. C'est parfois la seule issue. Demande à ton hébergeur une IP fraîche, refais un warmup.\r\n--\r\n\r\n16. Checklist finale avant mise en prod\r\n\r\nAvant d'envoyer le premier vrai mail :\r\n[ ] Domaine avec DNSSEC activé.\r\n[ ] IP testée sur 5+ blacklists, propre.\r\n[ ] Port 25 sortant ouvert et testé ().\r\n[ ] PTR configuré et cohérent avec le HELO.\r\n[ ] MX, A, AAAA, SPF, DKIM, DMARC publiés et validés via mxtoolbox.com.\r\n[ ] MTA-STS publié (mode au démarrage).\r\n[ ] TLS-RPT publié.\r\n[ ] DANE/TLSA publié (si DNSSEC OK).\r\n[ ] CAA publié.\r\n[ ] Test envoyé à : tout en .\r\n[ ] Test mail-tester.com : 10/10.\r\n[ ] Test internet.nl/mail/ : 100%.\r\n[ ] Inscription Postmaster Tools, SNDS, JMRP, Yahoo CFL.\r\n[ ] DMARC au démarrage, parser de rapports en place.\r\n[ ] List-Unsubscribe + List-Unsubscribe-Post implémentés.\r\n[ ] Plan de warmup affiché et respecté.\r\n[ ] Monitoring file d'attente + RBL en place.\r\n[ ] Backup chiffré des Maildir.\r\n\r\nAu bout de 4 semaines de rapports DMARC propres : passage à . Au bout de 8-12 semaines : .\r\n--\r\n\r\n17. Annexes : commandes utiles\r\n\r\n\r\n\r\nOutils web à mettre en favoris\r\nhttps://www.mail-tester.com/ — score sur 10\r\nhttps://internet.nl/mail/ — audit complet\r\nhttps://mxtoolbox.com/SuperTool.aspx — DNS, blacklists\r\nhttps://dmarcian.com/dmarc-inspector/ — vérif DMARC\r\nhttps://www.kitterman.com/spf/validate.html — vérif SPF\r\nhttps://postmaster.google.com/ — Google Postmaster\r\nhttps://senderscore.org/ — réputation IP\r\n\r\nDocumentation de référence\r\nISPmail / Workaround.org — https://workaround.org/ispmail/ — le tutoriel le plus complet et tenu à jour, par version Debian.\r\nMailcow docs — https://docs.mailcow.email/ — pour la version conteneurisée clé-en-main.\r\nPostfix officiel — https://www.postfix.org/documentation.html\r\nRspamd docs — https://www.rspamd.com/doc/\r\nRFCs essentielles** : 5321 (SMTP moderne), 7208 (SPF), 6376 (DKIM), 7489 (DMARC), 8461 (MTA-STS), 8460 (TLS-RPT), 7672 (DANE-SMTP), 8058 (One-Click Unsubscribe).\r\n--\r\n\r\nL'auto-hébergement mail en 2026 reste possible, mais c'est devenu un sport : les règles changent, les gros acteurs durcissent leurs critères, et l'écosystème pousse vers la centralisation. Si tu réussis le warmup et tiens 6 mois sans incident, tu as gagné — mais ne baisse pas la garde, un changement unilatéral de Google peut survenir à tout moment, comme en février 2024."},"score":6,"snippet":"…ergé :\r\nRecevoir du mail (presque tout le monde te livre).\r\nEnvoyer vers d'autres serveurs auto-hébergés ou pros bien configurés.\r\nGarder le contrôle sur tes données, tes alias, tes domaines.\r\n\r\nCe qui est dur :\r\nEnvoyer…","tier":2},{"article":{"uuid":"4f443bcb-b0d4-47f8-837d-61627e6c94f2","slug":"priorites-et-acces-au-reseau-en-4g-et-5g","title":"Pourquoi le réseau mobile ne s'effondre pas le jour où tout le monde téléphone en même temps","category":"télécom","author":"cedric@abonnel.fr","cover":"cover.jpg","published":true,"published_at":"2026-01-06 22:21","created_at":"2026-01-06 22:21:04","updated_at":"2026-05-11 23:40:18","plain":"Un attentat, un séisme, un match du Stade de France, une grande panne d'électricité. Dans ces moments-là, des centaines de milliers de gens dégainent leur téléphone au même instant. Le réseau mobile est dimensionné pour un usage moyen, pas pour un pic massif simultané, et il devrait théoriquement s'effondrer. La plupart du temps, il tient. Pas parfaitement, pas pour tout le monde, mais il tient — et surtout, les appels d'urgence continuent de passer. C'est le résultat d'une série de mécanismes empilés depuis les années 1990, que la 4G a affinés et que la 5G a élargis. Cet article les passe en revue, et termine sur une question qu'on me pose souvent : est-ce que mon forfait à 50 € me donne une place prioritaire dans cette file d'attente ?\r\n\r\nTrois questions, pas une\r\n\r\nQuand une cellule commence à chauffer, l'opérateur doit répondre à trois questions distinctes. Qui a le droit de se connecter ? Une fois connecté, qui passe en premier ? Et quels services doivent absolument continuer à fonctionner, quoi qu'il arrive ?\r\n\r\nLa 2G ne savait répondre qu'à la première. Elle filtrait à l'entrée et basta. La 4G a ajouté la deuxième : une fois admis sur le réseau, votre trafic est traité différemment selon son importance. La 5G ajoute la troisième : elle peut créer des réseaux virtuels parallèles dont certains sont réservés à des usages critiques, totalement isolés des autres.\r\n\r\nLe filtrage à l'entrée\r\n\r\nChaque carte SIM porte un numéro de classe d'accès, hérité du GSM, entre 0 et 15. Les classes 0 à 9 couvrent le grand public — autrement dit nous tous. Les classes 11 à 15 sont réservées : services de secours, autorités publiques, personnel opérateur, usages militaires selon les pays.\r\n\r\nQuand une cellule est surchargée, l'eNodeB (la station de base 4G) diffuse une consigne aux téléphones du secteur : « les classes 0 à 9, vous attendez ». C'est l'Access Class Barring. Concrètement, votre téléphone reçoit ce message et bloque lui-même votre tentative d'appel ou de connexion data, sans même envoyer la demande à la station. C'est élégant parce que ça soulage la station avant même qu'elle ne soit sollicitée. Les classes prioritaires, elles, passent sans encombre.\r\n\r\nUne variante plus dure, l'Extended Access Barring, vise les objets connectés et les usages non urgents. Quand une vraie crise se déclare, l'opérateur peut couper les compteurs intelligents, les alarmes domestiques et autres équipements bavards pour préserver la bande passante humaine.\r\n\r\nEn 5G, ce mécanisme a été refondu sous le nom d'UAC — Unified Access Control, introduit dans la Release 15 du 3GPP. UAC unifie dans un seul cadre ce qui était auparavant éparpillé entre ACB, EAB et d'autres dispositifs spécifiques. Il repose sur deux notions complémentaires. Les Access Identities identifient qui vous êtes : utilisateur lambda, abonné à un service prioritaire type MPS ou MCS, personnel d'urgence, agent opérateur. Les Access Categories identifient ce que vous essayez de faire : appel d'urgence, connexion data normale, SMS, mise à jour de localisation. La combinaison des deux détermine si votre demande passe ou pas. La granularité gagnée par rapport à la 4G est réelle : on peut bloquer un type d'action précis pour un type d'utilisateur précis, par exemple « les abonnés grand public ne peuvent plus initier de nouveaux appels data, mais les SMS et les appels voix continuent ».\r\n\r\nLa priorité une fois connecté\r\n\r\nLà où la 4G a vraiment innové, c'est en introduisant le QCI — QoS Class Identifier. Chaque flux de données qui transite sur le réseau se voit attribuer un numéro entre 1 et 9 (avec quelques valeurs supplémentaires pour des cas spéciaux) qui dit à l'infrastructure comment le traiter.\r\nUsage | QCI | Traitement |\r\n---|---|---|\r\nAppel VoLTE (voix sur LTE) | 1 | Latence minimale, débit garanti |\r\nVisioconférence | 2 | Débit garanti |\r\nSignalisation réseau | 5 | Très haute priorité |\r\nStreaming vidéo | 6 ou 8 | Best effort prioritaire |\r\nWeb et internet général | 9 | Best effort standard |\r\n\r\nQuand la cellule est encombrée, le routeur sait quoi sacrifier en premier. YouTube va ralentir, les pages web vont mettre du temps à charger, mais l'appel téléphonique de votre voisin reste audible. C'est un compromis assumé : on dégrade volontairement les usages secondaires pour préserver les usages critiques.\r\n\r\nLa 5G a transposé ce mécanisme sous le nom de 5QI (5G QoS Identifier) avec davantage de niveaux et une meilleure prise en compte des cas que la 4G gérait mal — notamment les services à très basse latence pour les usines connectées ou la voiture autonome. La voix d'urgence garde son sommet, les données critiques industrielles s'intercalent juste après, le streaming et le web restent en bas de la pile.\r\n\r\nL'isolation par tranches : le network slicing\r\n\r\nC'est l'apport majeur de la 5G en matière de gestion de crise. Au lieu de partager une seule infrastructure entre tous les usages, on peut maintenant la découper logiciellement en tranches — des slices — qui se comportent comme autant de réseaux indépendants, alors qu'ils tournent sur les mêmes antennes et les mêmes câbles.\r\n\r\nUn opérateur peut par exemple maintenir une tranche pour le grand public avec ses millions d'abonnés et son trafic massif, une autre pour les services d'urgence dimensionnée pour rester fluide même quand le reste sature, une troisième pour les objets connectés industriels avec des garanties de latence, et une quatrième pour des opérateurs critiques type SNCF, EDF ou hôpitaux. Chaque tranche a ses propres règles d'admission, ses propres priorités, ses propres garanties de performance. Si la tranche grand public est totalement saturée, celle des secours ne le sait même pas.\r\n\r\nCette isolation est ce qui distingue le plus fondamentalement la 5G des générations précédentes. Avant, tout le monde se battait pour les mêmes ressources, avec juste des priorités différentes pour départager. Maintenant, certaines ressources sont retirées du combat dès le départ.\r\n\r\nRécapitulatif\r\nGénération | Ce qui est contrôlé | Comment |\r\n---|---|---|\r\n2G | L'accès au réseau | Classes d'accès 0-15 |\r\n4G | L'accès + la priorité du trafic | ACB / EAB + QCI |\r\n5G | L'accès + la priorité + l'isolation des services | UAC + 5QI + network slicing |\r\n\r\nTous ces mécanismes restent invisibles tant que tout va bien. Vous ne savez pas qu'ils existent. Vous découvrez leur existence le jour où votre voisin n'arrive plus à charger ses mails alors que les pompiers, eux, continuent de communiquer normalement. Ce jour-là, ce n'est pas de la magie. C'est trente ans d'ingénierie radio qui ont anticipé que ça arriverait.\r\n--\r\n\r\nEt mon forfait premium, alors ?\r\n\r\nQuestion logique à ce stade. Si le réseau sait techniquement prioriser certains flux par rapport à d'autres, qu'est-ce qui empêche un opérateur de faire passer ses abonnés à 50 € devant ceux à 10 € quand les antennes saturent ? La réponse honnête commence par un aveu : techniquement, rien. L'outil existe, il s'appelle Quality of Service (QoS), c'est exactement le mécanisme qu'on vient de décrire. Si demain Orange ou SFR voulaient créer une voie rapide pour leurs abonnés haut de gamme, ils auraient les outils dans la boîte. Pourtant, ils ne le font pas. Pour quatre raisons.\r\n\r\nLa loi européenne l'interdit\r\n\r\nLe règlement (UE) 2015/2120, dit « règlement internet ouvert », oblige les opérateurs à traiter tout le trafic de la même façon, sans discrimination liée à l'expéditeur, au destinataire, au contenu ou à l'application. Il a fêté ses dix ans en novembre 2025, et l'ARCEP a profité de l'anniversaire pour rappeler que c'est l'un des piliers du modèle numérique européen. Les sanctions sont sérieuses : jusqu'à 3 % du chiffre d'affaires de l'opérateur fautif. Un opérateur français qui annoncerait demain « avec notre forfait Premium, vous passez devant les autres » se retrouverait devant l'ARCEP dans la semaine.\r\n\r\nLe règlement laisse quelques portes ouvertes pour les services dits « spécialisés » qui ont besoin d'une qualité garantie — téléchirurgie, voiture connectée. Mais ces exceptions sont étroitement encadrées et ne couvrent absolument pas le confort d'un client haut de gamme qui voudrait charger son Instagram plus vite à 19h.\r\n\r\nAux États-Unis, l'histoire est différente. La FCC a tenté de restaurer la neutralité du net en 2024, mais en janvier 2025 la cour d'appel du sixième circuit a invalidé la décision, jugeant que la FCC n'avait pas l'autorité légale pour reclasser le haut débit comme service public. Avec l'arrivée de Brendan Carr à la tête de la FCC, ouvertement opposé à la neutralité du net, il n'y a aujourd'hui plus de règle fédérale outre-Atlantique. Quelques États (Californie, Washington, New York, Oregon) ont leurs propres lois qui maintiennent le principe, mais à l'échelle du pays, les opérateurs américains pourraient légalement faire ce que leurs homologues européens n'ont pas le droit de faire. Pourtant, ils ne le font pas ouvertement non plus, et la raison renvoie aux trois points suivants.\r\n\r\nC'est commercialement intenable\r\n\r\nImagine la publicité : « Forfait Premium à 50 € — passez devant les pauvres pendant les heures de pointe ». Le slogan ne se vend pas. Les directions marketing savent que dire à la moitié de leurs clients qu'ils sont des citoyens de seconde zone du réseau est le plus court chemin vers une crise de réputation. C'est pour ça qu'on vous vend « plus de Go », « 5G ultra rapide », « roaming inclus dans 110 pays » — des promesses qui sonnent positivement sans jamais dire à personne qu'il est désavantagé.\r\n\r\nL'effet boule de neige serait toxique\r\n\r\nImagine que ça se mette quand même en place. Les riches passent devant. Les antennes restent saturées pour les autres, qui se mettent à payer plus pour échapper à la saturation, ce qui sature encore plus les bas forfaits, ce qui pousse encore plus de gens à monter en gamme. Au bout de cinq ans, on a un réseau à deux vitesses où les forfaits modestes deviennent quasi inutilisables aux heures critiques, et où la connexion mobile correcte devient un service de luxe. Ce n'est plus un service de télécommunications, c'est un système de classes.\r\n\r\nC'est exactement ce que la neutralité du net cherche à empêcher. Pas par idéologie, mais parce qu'on a déjà vu où mène ce genre de spirale dans les pays où elle n'est pas protégée. Certains opérateurs proposent par exemple des forfaits où Facebook et WhatsApp sont gratuits mais où le reste est payant, ce qui revient à dire que le bon internet est celui que l'opérateur a choisi pour vous. Ce n'est plus tout à fait le même service.\r\n\r\nÇa ne résoudrait rien\r\n\r\nQuand un réseau sature, ce n'est pas un problème de répartition entre utilisateurs, c'est un problème de capacité totale. Faire passer Pierre avant Paul ne crée pas un seul bit de bande passante supplémentaire. Ça déplace juste le problème de l'un vers l'autre. La vraie solution, quand une cellule sature trop souvent, c'est d'installer plus d'antennes, de densifier le réseau, de basculer sur une fréquence plus performante ou de passer à la génération suivante. C'est cher, c'est long, ça implique des autorisations administratives et des négociations foncières, mais c'est la seule réponse qui tient la route. Prioriser, c'est rapide, mais ça repousse le mur, ça ne le déplace pas.\r\n\r\nC'est comme si on proposait une voie réservée aux Mercedes sur l'A7 un samedi de chassé-croisé. Techniquement, on peut peindre la ligne au sol et installer les panneaux dans la matinée. Mais cette voie ne réduit pas le bouchon, elle le concentre sur les voies restantes ; elle écorne le principe d'égalité d'accès à l'infrastructure publique ; et elle ne change rien au problème de fond, qui est qu'il y a trop de voitures pour la route disponible. La vraie solution reste la même qu'avant : élargir l'autoroute, ou convaincre une partie des gens de prendre le train.\r\n\r\nLe caveat 5G\r\n\r\nUne nuance honnête pour finir. Le network slicing complique le débat juridique. Un opérateur peut créer des tranches de réseau avec des qualités différenciées en toute légalité quand il s'agit d'usages spécialisés — santé, industrie, transports. La question qui agite régulateurs et juristes depuis plusieurs années est de savoir où finit le service spécialisé légitime et où commence le contournement déguisé de la neutralité du net. L'ARCEP a ouvert ce chantier, et c'est probablement là, plus que dans une revanche commerciale brutale sur les forfaits premium, que se jouera la prochaine bataille.\r\n\r\nMais pour répondre simplement à la question : non, votre forfait à 50 € ne vous donne pas la priorité réseau sur celui de votre voisin à 10 €. Il vous donne plus de data, parfois un meilleur débit théorique, des options en plus. Pas une place dans la file."},"score":6,"snippet":"…ême votre tentative d'appel ou de connexion data, sans même envoyer la demande à la station. C'est élégant parce que ça soulage la station avant même qu'elle ne soit sollicitée. Les classes prioritaires, elles, passent s…","tier":2},{"article":{"uuid":"11186836-bbac-4054-82db-a3bfed14a274","slug":"imagemagick-traiter-des-images-en-ligne-de-commande","title":"ImageMagick : traiter des images en ligne de commande","category":"linux","author":"cedric@abonnel.fr","cover":"cover.png","published":true,"published_at":"2025-12-28 14:56","created_at":"2025-12-28 14:56:14","updated_at":"2026-05-12 00:36:01","plain":"1. À quoi ça sert\r\n\r\nImageMagick, c'est l'outil qu'on sort quand on veut manipuler des images sans ouvrir un logiciel graphique. Pas de Photoshop, pas de GIMP, pas de clic-droit \"Redimensionner\" sur cent fichiers à la suite : juste une commande dans un terminal, et le travail est fait.\r\n\r\nC'est une suite d'outils qui sait lire, écrire et transformer plus de 200 formats — du JPEG classique au PDF en passant par le HEIC des iPhones, le WebP de Google ou le bon vieux TIFF des scanners. L'absence d'interface graphique est ici une fonctionnalité, pas un défaut : elle permet de l'utiliser partout où il n'y a pas d'écran, et surtout dans tout ce qui doit tourner tout seul.\r\n\r\nOn le retrouve donc naturellement :\r\nsur des serveurs web qui génèrent des miniatures à la volée,\r\ndans des scripts qui traitent des dossiers entiers d'un coup,\r\ndans des pipelines CI/CD pour préparer des assets,\r\ndans des conteneurs Docker, accessibles uniquement en SSH.\r\n\r\nDepuis la version 7, tout passe par une commande unique : . Les anciennes commandes (, , ...) existent toujours pour la compatibilité, mais elles ne sont plus la norme.\r\n\r\n2. Installation\r\n\r\nSur Debian ou Ubuntu :\r\n\r\n\r\n\r\nOn vérifie ensuite que tout est en place :\r\n\r\n\r\n\r\nLa sortie indique aussi les délégués compilés (libwebp, libheif, libraw, etc.). Si un format précis vous intéresse, c'est ici qu'il faut regarder : ImageMagick ne sait lire un format que si la bibliothèque correspondante est présente au moment de la compilation.\r\n\r\n3. Comment ImageMagick raisonne\r\n\r\nToutes les commandes suivent la même logique :\r\n\r\n\r\n\r\nL'image est chargée en mémoire, puis chaque option s'applique dans l'ordre où elle est écrite, comme une chaîne de traitement. Ce point est important : déplacer une option dans la ligne peut changer le résultat final.\r\n\r\nExemple :\r\n\r\n\r\n\r\nIci, l'image est lue, redimensionnée à 800×600, puis compressée à 85% de qualité, puis écrite sur le disque. Si on inversait et , le résultat serait identique dans ce cas précis, mais avec des opérations qui modifient les pixels (flou, conversion d'espace colorimétrique, recadrage), l'ordre devient critique.\r\n\r\n4. Convertir d'un format à un autre\r\n\r\nLe cas le plus simple : changer l'extension du fichier de sortie suffit.\r\n\r\n\r\n\r\nImageMagick détecte le format cible à partir de l'extension et fait la conversion. C'est aussi simple que ça pour 90% des cas.\r\n\r\nQuand on veut être plus précis — par exemple forcer une profondeur de couleur particulière — on l'indique explicitement :\r\n\r\n\r\n\r\nUtile quand on récupère des images en 16 bits par canal qu'on veut ramener à du 8 bits standard, soit pour gagner de la place, soit pour garantir la compatibilité avec un logiciel récalcitrant.\r\n\r\n5. Redimensionner\r\n\r\nLa méthode brutale\r\n\r\n\r\n\r\nCette commande redimensionne à 800×600 en respectant les proportions par défaut, contrairement à ce qu'on pourrait croire. Si l'image source est en 4:3, elle rentrera pile dedans ; si elle est en 16:9, ImageMagick choisira la dimension la plus contraignante et l'autre sera plus petite que demandé.\r\n\r\nPour forcer exactement ces dimensions quitte à déformer l'image, il faut ajouter un point d'exclamation :\r\n\r\n\r\n\r\nNe rétrécir que les grandes images\r\n\r\nC'est probablement le cas le plus utile au quotidien : on a un dossier d'images, on veut s'assurer qu'aucune ne dépasse 1600 pixels, mais on ne veut pas agrandir les petites (ce qui dégraderait leur qualité).\r\n\r\n\r\n\r\nLe signifie « uniquement si l'image est plus grande ». Les guillemets sont nécessaires car est interprété par le shell comme une redirection. On peut aussi échapper le caractère avec .\r\n\r\nEn pourcentage\r\n\r\n\r\n\r\nPratique quand on veut diviser la taille par deux sans calculer les dimensions exactes.\r\n\r\n6. Qualité et poids du fichier\r\n\r\nPour les JPEG, le paramètre règle le compromis entre fidélité visuelle et poids du fichier :\r\n\r\n\r\n\r\nQuelques repères en pratique :\r\n100 : qualité maximale, fichier énorme, différence imperceptible avec 95.\r\n85 : la valeur par défaut de la plupart des appareils photo, et un excellent compromis pour le web.\r\n75 : encore très acceptable, gain de place notable.\r\nEn dessous de 70 : les artefacts deviennent visibles, surtout sur les aplats de couleur.\r\n\r\nSupprimer les métadonnées\r\n\r\nLes fichiers issus d'appareils photo ou de smartphones embarquent beaucoup d'informations : modèle de l'appareil, date, parfois coordonnées GPS, miniature intégrée, profil colorimétrique... Tout ça peut peser plusieurs dizaines de kilo-octets, et surtout poser des problèmes de confidentialité.\r\n\r\n\r\n\r\nL'option fait le ménage. À utiliser systématiquement avant de publier des photos sur le web, et indispensable dès qu'on parle de RGPD ou d'anonymisation. Attention en revanche pour la photographie professionnelle où certaines métadonnées (droits d'auteur, profil ICC) peuvent être nécessaires.\r\n\r\n7. Recadrer et adapter à un cadre\r\n\r\nRecadrage classique\r\n\r\n\r\n\r\nLa syntaxe se lit comme une fenêtre qu'on découpe dans l'image : largeur × hauteur, décalée de 100 pixels depuis la gauche et 50 pixels depuis le haut.\r\n\r\nRemplir un cadre exact, sans déformation\r\n\r\nC'est le besoin typique des miniatures de site : on veut toutes les vignettes en 800×600 pile, peu importe le format des photos d'origine.\r\n\r\n\r\n\r\nTrois étapes enchaînées :\r\n\r\n1. redimensionne pour que l'image remplisse le cadre (le inverse la logique habituelle : on prend la plus grande dimension comme contrainte, pas la plus petite).\r\n2. indique qu'on veut centrer le découpage.\r\n3. coupe ce qui dépasse pour obtenir exactement la taille voulue.\r\n\r\nLe résultat : aucune déformation, aucune bande noire, juste un éventuel rognage sur les bords les plus longs.\r\n\r\n8. Traiter un dossier entier\r\n\r\nUne boucle Bash suffit pour convertir tous les PNG d'un dossier en JPEG :\r\n\r\n\r\n\r\nLa syntaxe retire l'extension du nom, on y ajoute . Simple et fiable.\r\n\r\nPour modifier les fichiers sur place, ImageMagick fournit :\r\n\r\n\r\n\r\nCette commande écrase chaque fichier par sa version redimensionnée. C'est rapide et pratique, mais ça veut aussi dire qu'il n'y a pas de retour en arrière : si la commande est mal écrite, le dossier original est perdu. Règle absolue : travailler sur une copie, ou s'assurer d'avoir une sauvegarde.\r\n\r\n9. Texte et filigranes\r\n\r\nApposer une mention textuelle\r\n\r\n\r\n\r\n ancre le texte dans un coin de l'image (les neuf positions classiques : , , , , ...), et ajoute un décalage par rapport à ce point d'ancrage. Ici, éloigne le texte de 10 pixels du coin inférieur droit.\r\n\r\nSuperposer un logo ou un watermark image\r\n\r\n\r\n\r\nL'image principale est lue en premier, le filigrane en second, puis les fusionne. Si le watermark a un canal alpha (transparence), il est respecté.\r\n\r\n10. Couleurs et tons\r\n\r\nPassage en noir et blanc :\r\n\r\n\r\n\r\nRéglage de la luminosité et du contraste (valeurs en pourcentage, positives ou négatives) :\r\n\r\n\r\n\r\nIci, +10% de luminosité et +5% de contraste. Pour assombrir, on utilise des valeurs négatives : .\r\n\r\n11. Inspecter une image\r\n\r\nPour obtenir les informations essentielles — format, dimensions, profondeur :\r\n\r\n\r\n\r\nPour tout savoir, y compris les métadonnées EXIF, le profil colorimétrique, l'histogramme :\r\n\r\n\r\n\r\nLa sortie verbeuse peut faire plusieurs pages, mais c'est inestimable pour diagnostiquer un problème ou comprendre d'où vient un fichier.\r\n\r\n12. Formats modernes\r\n\r\nLe WebP de Google offre une compression nettement meilleure que le JPEG à qualité équivalente, et il est aujourd'hui supporté par tous les navigateurs courants :\r\n\r\n\r\n\r\nL'AVIF va encore plus loin en termes de compression, au prix d'un encodage plus lent :\r\n\r\n\r\n\r\nSi la commande échoue avec une erreur de délégué, c'est que votre installation d'ImageMagick a été compilée sans le support AVIF — il faudra installer ou recompiler.\r\n\r\n13. Quelques règles à se fixer\r\nToujours travailler sur une copie quand on découvre une nouvelle commande. en particulier ne pardonne pas.\r\nStripper les métadonnées avant toute publication web.\r\nPour de très gros volumes (plusieurs milliers d'images, ou des images très lourdes), regarder du côté de : c'est plus rapide et beaucoup moins gourmand en mémoire qu'ImageMagick. Pour tout le reste, ImageMagick est largement suffisant.\r\nAutomatiser dès qu'on répète : si la même commande revient deux fois, elle mérite un script.\r\nLire les messages d'erreur : ImageMagick est verbeux, et la plupart des problèmes (délégué manquant, permissions, format non reconnu) sont explicitement nommés dans la sortie.\r\n\r\n14. Là où on le croise vraiment\r\n\r\nEn pratique, ImageMagick finit presque toujours dans les mêmes situations :\r\npréparation d'images pour un site web (redimensionnement + compression + strip),\r\ngénération de miniatures à la volée côté serveur,\r\nnormalisation d'un catalogue photo hétérogène (formats, tailles, profils),\r\nconversion massive d'archives anciennes vers des formats modernes,\r\nnettoyage des métadonnées avant diffusion publique.\r\n--\r\n\r\nImageMagick fait partie de ces outils qu'on apprivoise lentement mais qu'on garde longtemps. Au début, on copie des commandes trouvées en ligne sans tout comprendre. Puis on commence à reconnaître les options, à les combiner, à écrire ses propres scripts. Et un jour, on se rend compte qu'on a remplacé un logiciel entier par trois lignes de Bash — et qu'on n'a jamais été aussi efficace pour traiter des images."},"score":6,"snippet":"1. À quoi ça sert\r\n\r\nImageMagick, c'est l'outil qu'on sort quand on veut manipuler des images sans ouvrir un logiciel graphique. Pas de Photoshop, pas de GIMP, pas de clic-droit "Redimensionner" sur cent fichiers à la su…","tier":2},{"article":{"uuid":"7cf4eff3-2bab-4f2e-8982-247c89f7ca16","slug":"installer-webmin-l-outil-d-administration-en-mode-web","title":"Mettre en place un serveur Debian administrable avec Webmin","category":"linux","author":"cedric@abonnel.fr","cover":"cover.svg","published":true,"published_at":"2025-11-13 11:57","created_at":"2025-11-13 11:57:05","updated_at":"2026-05-12 10:48:26","plain":"Quand on monte un nouveau serveur, les premières heures sont toujours les mêmes : on durcit la machine, on crée un utilisateur correct, on coupe ce qui traîne, et on met en place de quoi l'administrer sans avoir à ouvrir un terminal pour chaque détail. Cet article décrit la procédure que j'utilise sur mes Debian fraîches : préparation via mes scripts, installation de Webmin, et activation de pour ne laisser passer que ce qui doit l'être. L'idée n'est pas de transformer le serveur en sapin de Noël, mais d'avoir une base saine sur laquelle bâtir, qu'il s'agisse d'expérimenter dans un LXC ou de préparer une VM destinée à recevoir une vraie charge. Étape 1 — Préparer la machine Sur une Debian neuve, on commence par récupérer un petit script qui en télécharge d'autres. C'est juste un point d'entrée : il va chercher dans mon dépôt Forgejo un ensemble de scripts d'initialisation que je maintiens à jour. À ce stade, un dossier apparaît à côté du script. C'est là que se trouve le vrai travail : fait ce qu'on a tous fini par écrire un jour : mise à jour des paquets, installation des outils de base, création d'un utilisateur non-root avec les bons droits sudo, durcissement minimal de SSH. Rien de magique, mais c'est répétable et c'est ce qui compte quand on provisionne souvent. Important : une fois le script terminé, il faut se déconnecter de la session et se reconnecter avec l'utilisateur que le script vient de créer. Tout ce qui suit se fait avec cet utilisateur, en passant par quand nécessaire. Continuer en root est une mauvaise habitude qui finit toujours par se payer. Étape 2 — Installer Webmin Webmin est une interface web d'administration système. Pour quelqu'un qui débute, c'est une porte d'entrée appréciable : on voit les services qui tournent, les utilisateurs, les paquets installés, les logs, le tout depuis un navigateur. Pour quelqu'un d'expérimenté, c'est un complément pratique quand on veut donner un accès limité à un collègue moins à l'aise en ligne de commande. Webmin fournit son propre script pour configurer le dépôt apt : Ce script ajoute le dépôt officiel Webmin à la liste des sources apt et importe la clé GPG associée. Une fois fait, l'installation devient une commande apt classique : Petite précision sur les deux paquets : Webmin sert à l'administration système (root ou utilisateur sudo), Usermin est sa version pour les utilisateurs standards, qui leur permet de gérer leur propre compte, leurs mails, leurs fichiers, sans toucher au système. Sur une machine mono-utilisateur, on peut se passer d'Usermin, mais l'installer maintenant coûte trois mégaoctets et évite d'y revenir plus tard. Étape 3 — Se connecter à l'interface Webmin écoute par défaut sur le port 10000 en HTTPS. Depuis un navigateur : est à remplacer par l'adresse de la machine. Le navigateur va râler à propos du certificat — c'est normal, Webmin génère un certificat auto-signé à l'installation. On peut accepter l'avertissement pour l'instant ; si la machine est destinée à un usage durable, on remplacera ça plus tard par un vrai certificat (Let's Encrypt via un reverse proxy, par exemple). Pour la connexion, on utilise les identifiants Linux de l'utilisateur sudo, pas un compte spécifique à Webmin. C'est l'utilisateur que a créé à l'étape 1. Webmin s'appuie sur PAM, donc tout compte système autorisé à se connecter peut potentiellement entrer — d'où l'importance de l'étape suivante. Étape 4 — Activer le pare-feu Une machine accessible sur internet sans pare-feu, c'est une question de temps avant les premiers ennuis. Sur Debian, je préfère à ou à la configuration brute de : la notion de zones est pratique, la syntaxe se retient, et l'intégration avec Webmin est correcte. Installation et activation : rend le service persistant au redémarrage, le lance immédiatement. Vérification : Le retour attendu est . Si c'est autre chose, permet de comprendre ce qui coince — c'est souvent un conflit avec un autre service de filtrage déjà en place. À ce stade, le pare-feu tourne mais avec une configuration par défaut qui, selon la zone active, peut bloquer Webmin. Il faut donc explicitement autoriser le port 10000 : Le écrit la règle dans la configuration ; sans ça, elle disparaît au prochain redémarrage. Le recharge la configuration pour que la règle prenne effet immédiatement. C'est l'erreur classique : on ajoute une règle, on continue à ne pas pouvoir se connecter, on perd dix minutes avant de se rappeler du . Pour aller plus loin Une fois cette base en place, plusieurs directions s'offrent selon le rôle de la machine. Si elle est destinée à héberger un service web public, l'étape logique suivante consiste à placer Webmin derrière un reverse proxy plutôt que de l'exposer directement sur le port 10000. Le port 10000 est alors fermé vers l'extérieur, et l'interface devient accessible via un sous-domaine en HTTPS avec un vrai certificat. C'est plus propre, plus sûr, et ça évite l'avertissement de certificat à chaque connexion. Si la machine est un serveur d'applications, autant profiter du fait que est en place pour réfléchir aux ports en amont. Mieux vaut décider tout de suite quelles applications écoutent où, plutôt que d'empiler les au fil de l'eau et de finir avec une configuration que plus personne ne comprend. Et dans tous les cas, garder une trace écrite des choix faits : quels ports ouverts, quel utilisateur sudo, quelle convention de nommage. Un fichier à la racine du home de l'admin, peu importe le support — l'important c'est que dans six mois, on puisse retrouver le fil sans avoir à tout rétro-ingénierer."},"score":6,"snippet":"Quand on monte un nouveau serveur, les premières heures sont toujours les mêmes : on durcit la machine, on crée un utilisateur correct, on coupe ce qui traîne, et on met en place de quoi l'administrer sans avoir à ouvrir…","tier":2},{"article":{"uuid":"867e5c70-e40c-48b3-94a2-761be37fdf8b","slug":"update-locale","title":"update-locale","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2024-03-27 07:10:23","created_at":"2024-03-27 07:10:23","updated_at":"2024-03-27 07:10:23","plain":"update-locale est un programme qui met à jour les fichiers de configuration du système pour définir les paramètres régionaux. Ces paramètres contrôlent des éléments comme la langue de l'interface utilisateur, le format de la date et de l'heure, le format des nombres, etc Erreur : cannot change locale Cette erreur indique que le shell (dans ce cas, Bash) ne peut pas changer la locale en français avec le jeu de caractères UTF-8 (fr_FR.UTF-8). En exécutant la commande , vous générez et installez les paramètres régionaux pour la langue française avec le jeu de caractères UTF-8. Cela signifie que vous créez les fichiers de configuration nécessaires pour que le système prenne en charge correctement la langue française avec les caractères UTF-8."},"score":6,"snippet":"update-locale est un programme qui met à jour les fichiers de configuration du système pour définir les paramètres régionaux. Ces paramètres contrôlent des éléments comme la langue de l'interface utilisateur, le format d…","tier":2},{"article":{"uuid":"ec96c4b8-3861-43e8-a6b3-001d305d7a43","slug":"20190829-datamatrix-la-poste","title":"La matrice est sur l'enveloppe","category":"Journal geek","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-01-04 03:10:43","created_at":"2023-01-04 03:10:43","updated_at":"2023-01-04 03:10:43","plain":"J'ai reçu un pli comportant deux codes à scanner. L'un était le numéro de suivi, format code à barre. L'autre m'était d'un format inconnu et j'avais du mal à trouver le produit qui me permettait de le décoder. Le site scandit m'a permis d'identifier le bon type de code. J'ai pu redécouvrir des formats peut souvent usités : AZTEC ou GS1 DATABAR.\\\\\nMais celui qui se rapprochait le plus était le format DATAMTRIX. En effet, il est idéal pour des petits objets, petites surfaces et documents. Il est très utilisé et recommandé pour étiqueter de très petits objets. A tel point que je me suis aperçu qu'il était utilisé pour des timbres. On le retrouve sur les timbres électroniques, à imprimer chez soit.\\\\ La DATAMATRIX est également présent sur les timbres distribués.\\\\ Le site de La Poste indique à quoi sert le code Data Matrix.\nSur certaines versions, le timbre Marianne, édité pour la Poste Française, est pourvu d’un code Datamatrix qui permet d’automatiser le tri selon le niveau de priorité du courrier et sa destination (France ou international). Cette technique peut également être utilisée en prêt à poster pour intégrer des données informatiques variables à l’affranchissement. La Poste nous indique également suivre votre courrier en proposant des services pour entreprises : Alliage. Alliage vous permet d’identifier les adresses non distribuables de vos clients rapidement après chaque campagne de communication. Un logo Alliage, un datamatrix Alliage et code barre (CAB), permettant d'identifier le service, sont insérés sur chaque pli en amont de l'envoi. Lorsque le facteur identifie le pli comme non distribuable, il appose une étiquette et retourne le pli pour traitement dans le réseau postal. Le pli est ensuite flashé en lecture optique. Le CAB est reconnu et vous est envoyé par e-mail ou en flux SFTP. Le pli est ensuite recyclé par La Poste. Mais quel est ce code ? J'ai dû essayer quelques recherches avant de comprendre qu'il fallait orienter ma recherche sur le mot clé DATAMATRIX. Toutes les applications disponibles sur Android, sont presque capable de lire du code à barre, 2D et des QR code. Mais les applications pouvant lire du DATAMATRIX, sont plus rares. J'ai trouvé l'application Scan Them All.\nScan and read all 2D codes (QR code, Aztec, PDF417, Data Matrix) and many barcodes easy and fast. Au premier lancement, le scan présente une fenêtre qui est habituellement utilisée pour scan un code à barres. Mais elle a bien été capable de lire mon code DATAMATRIX et me donner ça signification alphanumérique. FRAA11LS0000EFRFR0000000000000000000ED00ML02Y7H7UJX8KIGF000FPC7180000000 A l'instant, je suis incapable d'obtenir plus d'informations.\\\\\nToutefois, je pense qu'il y a suffisamment la place pour placer des informations concernant le timbre : type d'envoi, destination pays et tarif ainsi qu'un numéro de série. Un article de 2015 me donne quelques éléments, mais qui sont difficilement applicables sur ce DATAMATRIX. À suivre"},"score":6,"snippet":"…ifier le service, sont insérés sur chaque pli en amont de l'envoi. Lorsque le facteur identifie le pli comme non distribuable, il appose une étiquette et retourne le pli pour traitement dans le réseau postal. Le pli est …","tier":2},{"article":{"uuid":"6f2639a5-58ed-4102-a6a2-0acbecf01de5","slug":"esp8266-commandes-at","title":"ESP8266 : prise en main des commandes AT","category":"Électronique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2020-12-13 08:51","created_at":"2020-12-13 08:51:55","updated_at":"2026-05-13 18:23:54","plain":"Présentation\r\n\r\nL'ESP8266 est un microcontrôleur Wi-Fi développé par Espressif. Lorsqu'il sort d'usine, ou lorsqu'il est flashé avec le firmware AT officiel d'Espressif, il accepte un jeu d'instructions textuelles appelées commandes AT (ou commandes Hayes, du nom du fabricant de modems qui les a popularisées dans les années 1980).\r\n\r\nLe module ESP-01, le plus répandu pour découvrir l'ESP8266, est généralement livré avec ce firmware AT préchargé. Il est donc utilisable immédiatement, sans programmation, simplement en lui envoyant des commandes texte sur sa liaison série.\r\nPrérequis matériel : un ESP-01 connecté à un PC via un adaptateur USB-série, et un terminal série (moniteur série de l'IDE Arduino, , , PuTTY…) configuré à 115200 bauds avec fin de ligne CR+LF.\r\nNote sur les versions : la syntaxe et les codes retour des commandes AT varient selon la version du firmware. Les exemples ci-dessous correspondent à un firmware AT v1.x typique sur ESP-01. Pour les firmwares plus récents (AT v2.x sur ESP32), certaines commandes prennent des paramètres supplémentaires.\r\n\r\nTravaux pratiques\r\n\r\nL'enchaînement ci-dessous permet de mettre l'ESP-01 sur un réseau Wi-Fi, puis de le transformer en serveur HTTP minimaliste. Chaque commande est envoyée depuis le terminal série ; les lignes préfixées par représentent la réponse du module.\r\n\r\n1. Vérifier le mode Wi-Fi courant\r\n\r\n\r\n\r\nLe module répond avec un chiffre indiquant son mode courant (voir glossaire plus bas).\r\n\r\n2. Passer en mode dual (client + point d'accès)\r\n\r\n\r\n\r\nLe mode 3 active simultanément le mode station (le module se connecte à un Wi-Fi existant) et le mode AP (le module expose son propre point d'accès). C'est le mode le plus polyvalent pour expérimenter.\r\n\r\n3. Se connecter à un réseau Wi-Fi\r\n\r\n\r\n\r\nTrois événements sont remontés successivement :\r\nWIFI CONNECTED : association réussie au point d'accès ;\r\nWIFI GOT IP : adresse IP obtenue via DHCP ;\r\nOK : la commande est terminée avec succès.\r\n\r\n4. Lister les adresses IP et MAC du module\r\n\r\n\r\n\r\nEn mode dual, le module possède deux interfaces réseau :\r\nAP (point d'accès) : adresse fixe par défaut, sur laquelle se connectent les clients du Wi-Fi exposé par l'ESP ;\r\nSTA (station/client) : adresse attribuée par le routeur du réseau auquel l'ESP s'est connecté.\r\n\r\n5. Activer les connexions multiples\r\n\r\n\r\n\r\nPar défaut, l'ESP n'accepte qu'une seule connexion TCP simultanée. Le mode multi-connexion est obligatoire pour faire fonctionner le module en serveur (étape suivante).\r\n\r\n6. Démarrer un serveur TCP sur le port 80\r\n\r\n\r\n\r\nLe module écoute désormais sur le port 80 de son adresse STA. Un simple navigateur pointé sur (l'adresse retournée par ) déclenche une connexion HTTP.\r\n\r\n7. Observer une requête entrante\r\n\r\nLorsqu'un client se connecte, l'ESP recopie sur la liaison série l'événement de connexion, puis la requête HTTP brute, et enfin la fermeture de la connexion :\r\n\r\n\r\n\r\nLecture :\r\n: un client vient de s'associer ; est l'identifiant de connexion (link ID), utile en mode multi-connexion ;\r\n: l'ESP a reçu 341 octets sur la connexion ; ces octets suivent immédiatement (ici, l'en-tête HTTP envoyé par Firefox) ;\r\n: le client a fermé la connexion (ou un timeout est intervenu).\r\n\r\nÀ ce stade, l'ESP ne répond rien au client : il faut explicitement envoyer une réponse avec (voir glossaire). Le navigateur affichera donc une page vide ou un message d'erreur.\r\n\r\nPour aller plus loin : répondre au client\r\n\r\nPour renvoyer une page HTML minimale au client :\r\n\r\n\r\n\r\nLe module affiche et attend exactement le nombre d'octets annoncé, puis envoie le tout sur la connexion . Il faut ensuite fermer la connexion avec :\r\n--\r\n\r\nGlossaire des commandes AT\r\n\r\nConventions\r\n\r\nTrois formes coexistent pour la plupart des commandes :\r\nForme | Syntaxe | Rôle |\r\n---|---|---|\r\nInterrogation | | Lire la valeur courante |\r\nTest | | Lister les valeurs autorisées |\r\nAffectation | | Modifier la valeur |\r\n\r\nLes chaînes de caractères (SSID, mot de passe…) sont toujours encadrées par des guillemets droits.\r\n\r\nCommandes Wi-Fi\r\n\r\n— Mode de fonctionnement Wi-Fi\r\n\r\n\r\n\r\nValeurs de :\r\nValeur | Mode | Description |\r\n---|---|---|\r\n1 | STA | Station/client : le module se connecte à un Wi-Fi existant |\r\n2 | AP | Point d'accès : le module expose son propre Wi-Fi |\r\n3 | STA+AP | Mode dual : les deux à la fois |\r\n\r\nExemple :\r\n\r\n\r\n\r\n— Lister les points d'accès visibles\r\n\r\n\r\n\r\nRetourne une ligne par réseau détecté, sous la forme :\r\nChamp | Signification |\r\n---|---|\r\n| Chiffrement : ouvert, WEP, WPA-PSK, WPA2-PSK, WPA/WPA2-PSK |\r\n| Nom du réseau |\r\n| Puissance du signal en dBm (plus la valeur est proche de 0, plus le signal est fort) |\r\n| Adresse MAC du point d'accès (BSSID) |\r\n| Canal Wi-Fi (1 à 13 en Europe sur 2,4 GHz) |\r\n\r\nExemple :\r\n\r\n\r\n\r\nPrérequis : doit inclure le mode station (1 ou 3).\r\n\r\n— Se connecter à un point d'accès\r\n\r\n\r\n\r\nCodes d'erreur retournés en cas d'échec via :\r\nCode | Signification |\r\n---|---|\r\n1 | Délai de connexion dépassé |\r\n2 | Mot de passe incorrect |\r\n3 | SSID introuvable |\r\n4 | Échec de connexion (autre) |\r\n\r\nExemple d'échec :\r\n\r\n\r\n\r\nExemple de réussite :\r\n\r\n\r\n\r\n— Se déconnecter du point d'accès\r\n\r\n\r\n\r\nÀ ne pas confondre avec une commande de sauvegarde : signifie Quit AP, c'est-à-dire déconnexion. Les paramètres de connexion (SSID, mot de passe) sont en revanche automatiquement mémorisés en flash par les commandes et dans les versions classiques du firmware AT — le module se reconnectera donc au démarrage suivant.\r\n\r\n— Adresses IP et MAC locales\r\n\r\n\r\n\r\nRenvoie les adresses IP et MAC du module pour chaque interface active :\r\n/ : interface point d'accès (toujours par défaut) ;\r\n/ : interface station (attribuée par le DHCP du réseau rejoint).\r\n\r\nEn mode , seule la partie STA est retournée ; en mode 2, seule la partie AP.\r\n\r\nCommandes TCP/IP\r\n\r\n— Activer les connexions multiples\r\n: connexion unique (mode par défaut) ;\r\n: jusqu'à 5 connexions simultanées, chacune identifiée par un link ID de 0 à 4.\r\n\r\nPrérequis pour passer en mode 1 : aucune connexion ne doit être active, et le module ne doit pas déjà être en mode serveur.\r\n\r\n— Démarrer un serveur TCP\r\n: pour démarrer, pour arrêter ;\r\n: port d'écoute, optionnel (par défaut 333).\r\n\r\nPrérequis : doit avoir été exécuté au préalable.\r\n\r\nAprès un arrêt (), un redémarrage du module est nécessaire () pour libérer complètement le port.\r\n\r\n— Envoyer des données sur une connexion\r\n\r\n\r\n\r\nLe module affiche un prompt et attend exactement octets, puis transmet le bloc au client. Indispensable pour répondre à une requête HTTP entrante.\r\n\r\n— Fermer une connexion\r\n\r\n\r\n\r\nCommandes générales utiles\r\nCommande | Rôle |\r\n---|---|\r\n| Test de présence du module (doit répondre ) |\r\n| Redémarrer le module |\r\n| Afficher la version du firmware AT |\r\n| Changer le débit série (non persistant) |\r\n/ | Désactiver / activer l'écho des commandes |\r\n--\r\n\r\nRécapitulatif : déclarer un serveur HTTP minimal\r\n\r\nSéquence complète depuis un ESP-01 vierge :\r\n\r\n\r\n\r\nÀ partir de cet instant, toute connexion entrante sur est remontée sur le port série sous forme d'événements , à charge pour le programme côté PC (ou pour un firmware personnalisé) de les analyser et de répondre via .\r\n\r\nLimites du firmware AT\r\n\r\nLe firmware AT est pratique pour découvrir et tester l'ESP8266, mais il montre vite ses limites :\r\nlatence importante (chaque commande passe par le port série) ;\r\npas de TLS correct dans les anciennes versions ;\r\ncomplexité pour gérer plusieurs clients simultanés ;\r\ndépendance à un hôte qui pilote l'ESP en permanence.\r\n\r\nPour des projets plus aboutis, il est préférable de flasher l'ESP avec un firmware personnalisé (Arduino, ESP-IDF, MicroPython, Tasmota, ESPHome…) qui exécute directement la logique applicative sur le microcontrôleur, sans intermédiaire série.\r\n```"},"score":6,"snippet":"…isable immédiatement, sans programmation, simplement en lui envoyant des commandes texte sur sa liaison série.\r\nPrérequis matériel : un ESP-01 connecté à un PC via un adaptateur USB-série, et un terminal série (moniteur …","tier":2},{"article":{"uuid":"8ca5c33d-9de2-471f-8845-1a9c78a539dd","slug":"afficher-l-heure-en-francais","title":"Afficher l'heure en français","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-02-09 22:23:03","created_at":"2023-02-09 22:23:03","updated_at":"2023-02-09 22:23:03","plain":"Cette fonction est OBSOLÈTE à partir de PHP 8.1.0. Il est fortement recommandé de les éviter. \n\nsetlocale(LCTIME, 'frFR');\necho strftime('%A %d %B %Y, %H:%M');\n\n\n\nsetlocale(LCTIME, 'fr_FR');\necho strftime('%A %d %B %Y, %H:%M');\n\n"},"score":5.25,"snippet":"…PHP [enablelinenumbers="true", startlinenumbersat="1"]>\nsetlocale(LCTIME, 'frFR');\necho strftime('%A %d %B %Y, %H:%M');\n</code>\n</panel> <panel type="default" title="Résultat">\n<PHP>\nsetlocale(LCTIME, 'fr_FR');\necho str…","tier":2},{"article":{"uuid":"bea327e2-9d1c-4ff6-a5a5-26748c80018b","slug":"anatomie-d-un-script-d-auto-deploiement-bash-fetch-scripts-sh","title":"Script Bash d'auto-déploiement : `fetch_scripts.sh`","category":"informatique","author":"cedric@abonnel.fr","cover":"cover.svg","published":true,"published_at":"2026-05-04 07:04","created_at":"2026-05-12 10:55:39","updated_at":"2026-05-12 11:10:51","plain":"Comment un simple script Bash peut télécharger, mettre à jour et synchroniser une bibliothèque de scripts distants — et pourquoi il faut le lire avec un œil critique.\r\n\r\nfetchscripts.sh\r\n📝 Note — Cet article est une autocritique. Le script analysé ici est de ma propre fabrication, déployé sur mes propres machines. L'exercice consiste à le relire avec la distance d'un reviewer extérieur, pour identifier ce qui tient la route et ce qui mériterait d'être repris.\r\n\r\nLe contexte\r\n\r\nL'idée derrière ce script est élégante : centraliser une collection de scripts utilitaires dans un dépôt Git public (ici, une instance Forgejo auto-hébergée), puis fournir un unique point d'entrée que l'on télécharge sur n'importe quelle machine. Ce point d'entrée se met à jour tout seul, propose à l'opérateur de choisir quels sous-ensembles de scripts récupérer, et maintient une synchronisation locale du dépôt distant.\r\n\r\nC'est typiquement le genre d'outil qui se déploie en une ligne :\r\n\r\n\r\n\r\nDécortiquons ce qu'il fait, étape par étape, puis voyons où il faudrait taper.\r\n--\r\n\r\nÉtape 1 — L'auto-mise à jour\r\n\r\n\r\n\r\nCe qui se passe : le script télécharge sa propre version distante dans , la compare octet-à-octet avec lui-même (), et si elle diffère, il s'écrase, se rend exécutable, et se relance via (qui remplace le processus courant — pas d'empilement de shells).\r\n\r\nPourquoi c'est malin : ça garantit qu'à chaque exécution, l'opérateur travaille avec la version canonique du dépôt. Pas besoin de mécanisme de versioning, pas de vérification de hash, pas de paquet à publier.\r\n\r\nPourquoi c'est risqué : on y reviendra dans la critique, mais en résumé — l'auto-mise à jour silencieuse depuis une URL en HTTPS sans signature est une porte d'entrée pour la chaîne d'approvisionnement.\r\n--\r\n\r\nÉtape 2 — Récupération du catalogue de dossiers\r\n\r\n\r\n\r\nLe dépôt distant contient un fichier qui liste les catégories de scripts disponibles (par exemple : , , , …). Ce fichier est la source de vérité : ajouter une catégorie côté serveur la rend immédiatement disponible côté client.\r\n\r\n (alias ) lit le fichier ligne à ligne dans un tableau Bash. Plus propre qu'une boucle .\r\n\r\nUn dossier est marqué comme obligatoire — il sera toujours téléchargé, sans demander à l'utilisateur.\r\n--\r\n\r\nÉtape 3 — Mémoire de la sélection précédente\r\n\r\n\r\n\r\nÀ chaque exécution, le script relit la sélection de la fois précédente. C'est ce qui permet à l'interface graphique (étape suivante) de pré-cocher les bons dossiers : on n'a pas à refaire son choix à chaque mise à jour.\r\n--\r\n\r\nÉtape 4 — L'interface \r\n\r\n\r\n\r\n est l'outil de dialogue ncurses standard sur Debian/Ubuntu — il affiche cette boîte bleue familière avec des cases à cocher, navigable au clavier. Idéal en SSH.\r\n\r\nLa gymnastique est un classique : écrit son interface sur stdout et sa réponse sur stderr. Il faut donc échanger les deux pour capturer la sélection dans tout en laissant l'interface s'afficher.\r\n\r\nL'expression est une astuce courante pour tester l'appartenance à un tableau Bash — on entoure d'espaces pour éviter les correspondances partielles ( qui matcherait ).\r\n--\r\n\r\nÉtape 5 — Synchronisation : ajouts et suppressions\r\n\r\n\r\n\r\nLogique de diff : tout ce qui était sélectionné avant et ne l'est plus est supprimé du disque. Ça maintient le répertoire local propre — pas de scripts orphelins qui traînent.\r\n\r\n renvoie la sélection sous forme de chaîne entre guillemets (), d'où le pour les retirer avant de constituer le tableau.\r\n--\r\n\r\nÉtape 6 — Téléchargement des fichiers de chaque dossier\r\n\r\n\r\n\r\nMême logique récursive d'un niveau plus bas : chaque dossier contient son propre listant ses fichiers. On télécharge ceux qui y figurent, on supprime ceux qui n'y figurent plus, et on rend tout exécutable.\r\n\r\nC'est une forme de artisanal, basé sur des manifestes plats. Ça fonctionne sans avoir à installer sur la machine cible — seuls et sont requis.\r\n--\r\n\r\nCritique : ce qui marche, ce qui inquiète\r\n\r\nLes bons côtés\r\n\r\nLa logique d'idempotence est solide. Le script peut tourner cent fois de suite, il convergera toujours vers le même état : les dossiers sélectionnés contiendront exactement les fichiers du manifeste, ni plus, ni moins. C'est le bon réflexe DevOps.\r\n\r\nL'auto-bootstrap est ergonomique. Une seule URL à retenir, tout le reste se télécharge tout seul. Pour une bibliothèque personnelle de scripts d'admin, c'est imbattable en simplicité.\r\n\r\nPas de dépendances exotiques. , , : tout est disponible nativement sur Debian. Le script tourne aussi bien sur un conteneur LXC fraîchement provisionné que sur une machine établie.\r\n\r\nLe manifeste séparé ( et ) découple la liste des fichiers de leur contenu. C'est plus simple qu'un parsing HTML de l'index Git, et ça reste sous contrôle éditorial.\r\n\r\nLes angles morts\r\n\r\n1. Aucune vérification d'intégrité\r\n\r\nC'est le point critique. Le script télécharge du code exécutable en HTTPS, sans vérifier :\r\nni signature GPG,\r\nni hash SHA256,\r\nni même que le serveur a bien répondu correctement.\r\n\r\n en mode silencieux n'échoue pas visiblement : si la requête renvoie une page d'erreur 404 ou une page de connexion captive Wi-Fi en HTML, elle sera écrite dans le fichier de destination. La vérification suivante () considérera ce HTML comme « différent », fera le , et au prochain le shell essaiera d'exécuter du HTML. Au mieux ça crashe, au pire ça exécute des balises interprétables.\r\n\r\nPire encore pour l'auto-update : si quelqu'un compromet l'instance Forgejo (ou interpose un proxy malveillant capable de servir un certificat valide pour ), le prochain télécharge et exécute du code arbitraire avec les privilèges de l'utilisateur courant — souvent root pour ce genre d'outils d'admin.\r\n\r\nCorrectif minimal : publier un fichier signé GPG dans le dépôt, le télécharger, vérifier sa signature avec une clé connue localement, puis valider chaque fichier téléchargé contre ce manifeste.\r\n\r\n2. sans gestion d'erreur\r\n\r\n\r\n\r\nSi échoue (réseau coupé, DNS HS, certificat expiré), sera soit vide soit absent. retournera « différent », et le script écrasera la version locale par un fichier vide. À la prochaine exécution, plus rien ne fonctionne.\r\n\r\nCorrectif : vérifier le code de retour de , vérifier que le fichier téléchargé n'est pas vide, et vérifier qu'il commence bien par avant d'écraser quoi que ce soit.\r\n\r\n\r\n\r\n3. Le perd les modifications de l'environnement\r\n\r\nSi le script a été lancé par (donc sans le bit exécutable, sans shebang utilisé), vaut . Après , on un fichier qui pourrait ne pas être dans le . En pratique ça marche parce qu'on est dans le bon répertoire, mais c'est fragile — un quelque part dans le script suffirait à le casser.\r\n\r\n4. Injection via les noms de fichiers du manifeste\r\n\r\n\r\n\r\nLe contenu de est utilisé directement dans une URL et dans un chemin de fichier local. Si quelqu'un peut écrire dans ce fichier manifeste (ce qui revient à pouvoir pousser sur le dépôt Forgejo), il peut y mettre des chemins comme et écrire en dehors du répertoire prévu.\r\n\r\n neutralise partiellement la chose côté nom local, mais l'URL côté distant accepte n'importe quoi. C'est moins critique que la première faille, mais ça mérite un filtre regex ( uniquement).\r\n\r\n5. et la sélection vide\r\n\r\nSi l'utilisateur ne coche rien et valide, est vide. Le script continue avec seulement , ce qui est probablement le comportement attendu. Mais si n'est pas installé (rare mais possible, par exemple sur Alpine ou un Debian minimal sans ), le script échoue avec une erreur peu explicite. Un test préalable éviterait la déconvenue.\r\n\r\n6. Pas de log, pas de mode dry-run\r\n\r\nPour un outil qui supprime des fichiers (), l'absence d'option qui afficherait ce qui serait fait sans rien toucher est gênante. Une frappe distraite sur la checklist, et un dossier entier disparaît sans warning.\r\n\r\n7. Le verrou manquant\r\n\r\nRien n'empêche deux instances de de tourner en parallèle (par exemple via et un opérateur en interactif). Un sur un fichier de lock éviterait des courses sur les opérations de download/delete.\r\n--\r\n\r\nVerdict\r\n\r\nC'est un script utile, lisible, et bien construit pour un usage personnel sur des machines de confiance. La logique de synchronisation est saine, l'ergonomie est appréciable, l'auto-bootstrap est élégant.\r\n\r\nMais dès qu'on franchit la frontière du « j'utilise ça sur mes propres machines avec mon propre dépôt », les manques se font sentir : pas de vérification d'intégrité, pas de gestion d'erreur réseau, pas d'option de récupération. Dans un contexte d'équipe ou de production, ces points sont bloquants.\r\n\r\nPistes d'évolution prioritaires\r\n\r\n1. Signature ou checksum : publier un signé GPG, le vérifier avant tout ou exécution.\r\n2. en tête de script pour faire échouer proprement à la première erreur.\r\n3. Vérifier : code de retour, fichier non vide, shebang présent.\r\n4. Backup avant écrasement : conserver la version précédente () pour pouvoir revenir en arrière.\r\n5. Option pour visualiser sans appliquer.\r\n6. Filtre regex sur les noms de fichiers du manifeste pour éviter les traversées de chemin.\r\n7. Lock file** via pour éviter les exécutions concurrentes.\r\n\r\nAvec ces ajouts, on passe d'un script « pratique » à un outil de déploiement digne de ce nom — sans rien perdre de sa simplicité initiale."},"score":1.75,"snippet":"…local propre — pas de scripts orphelins qui traînent.\r\n\r\n renvoie la sélection sous forme de chaîne entre guillemets (), d'où le pour les retirer avant de constituer le tableau.\r\n--\r\n\r\nÉtape 6 — Téléchargement des fichi…","tier":2},{"article":{"uuid":"c8fa250e-d8b5-453a-a06a-799d53c3b6d1","slug":"la-smart-brick-de-lego-quand-la-brique-devient-intelligente","title":"LEGO : La brique qui répond","category":"loisirs","author":"cedric@abonnel.fr","cover":"cover.jpg","published":true,"published_at":"2026-01-13 20:26","created_at":"2026-01-13 20:26:53","updated_at":"2026-05-11 22:45:23","plain":"La brique qui répond\r\n\r\nÀ première vue c'est une brique LEGO comme une autre. Un parallélépipède de plastique gris, le format classique, deux par quatre tenons sur le dessus. On pourrait la prendre, l'emboîter dans un mur, et ne rien remarquer. Sauf que celle-là parle. Elle fait du bruit, elle clignote, elle sait si vous la secouez ou si vous la posez à plat. À l'intérieur, LEGO a réussi à caser un accéléromètre, un capteur de lumière, un capteur de couleur, un haut-parleur miniature et une puce sur mesure plus petite qu'un seul tenon. C'est la LEGO Smart Brick, et elle est arrivée en boutique le 1ᵉʳ mars 2026.\r\n\r\nIl faut tout de suite tordre le cou à un malentendu. La Smart Brick, ce n'est pas un Mindstorms. Ce n'est pas du LEGO éducatif, ce n'est pas une plateforme pour apprendre à coder, et on ne programme rien du tout avec. C'est un objet beaucoup plus simple dans son intention : faire en sorte qu'un set LEGO réagisse quand on joue avec. Vous prenez le X-Wing de Luke Skywalker, vous le faites basculer pour décoller, le brique embarquée détecte le mouvement et joue le bruit du moteur. Vous posez la minifigurine de Dark Vador à côté, la brique la reconnaît grâce à un Smart Tag (une petite tuile codée), et elle déclenche la respiration emblématique du Seigneur Sith. C'est tout. Mais c'est déjà beaucoup.\r\n\r\nLEGO appelle cet écosystème Smart Play. Il repose sur trois éléments. La Smart Brick elle-même, qui est le cerveau et le haut-parleur. Les Smart Tags, des tuiles plates qu'on accroche aux constructions et qui disent à la brique ce qu'elle doit faire à cet endroit (« ici tu joues un bruit de tir laser », « ici tu fais le bruit du réacteur »). Et les Smart Minifigures, des figurines avec un identifiant intégré, que la brique détecte quand on les approche. Le tout communique en local, sans appli obligatoire, sans écran, via un système maison que LEGO a baptisé BrickNet. C'est important : le pari est explicitement de faire de la techno invisible, pas de coller un smartphone entre l'enfant et le jouet.\r\n\r\nCôté pratique, la brique se recharge sans fil. Elle tient environ deux heures et demie en jeu actif, se met en veille au bout de trois minutes d'inactivité et se réveille quand on la secoue. Au-delà d'une dizaine d'heures de veille, il faut la remettre sur son chargeur. Une application gratuite, LEGO SMART Assist, sert à régler le volume, donner un nom à ses briques, gérer plusieurs appareils, et surtout mettre à jour le firmware — parce que oui, une brique LEGO peut maintenant recevoir des mises à jour logicielles. On y est.\r\n\r\nPour le lancement, LEGO a choisi Star Wars, et l'offre est un peu plus subtile qu'il n'y paraît. Huit sets sortent le 1ᵉʳ mars, mais seulement trois contiennent réellement une Smart Brick. Ce sont les coffrets dits All-In-One, qui embarquent la brique, son chargeur, des tags et des figurines intelligentes :\r\n75421 — Chasseur TIE de Dark Vador : 69,99 €, le ticket d'entrée.\r\n75423 — Le X-Wing rouge de Luke Skywalker : 89,99 €.\r\n75427 — Duel dans la salle du trône & A-Wing : 159,99 €, le plus gros, avec deux Smart Bricks.\r\n\r\nLes cinq autres sets — Millennium Falcon, Mos Eisley Cantina, AT-ST Endor, hutte de Yoda, Landspeeder de Luke — sont étiquetés Smart Play mais ne contiennent pas de brique. Ils embarquent juste des tags et des figurines compatibles. Pour qu'ils s'animent, il faut posséder une brique achetée dans l'un des trois coffrets All-In-One, et la déplacer d'un set à l'autre. C'est un choix commercial qu'on peut critiquer : un parent ou un grand-parent qui voit Smart Play sur la boîte de la Mos Eisley Cantina à 79,99 € a de quoi être surpris en rentrant à la maison.\r\n\r\nGéographiquement, le lancement est restreint. Six pays seulement à l'ouverture : États-Unis, Royaume-Uni, France, Allemagne, Pologne, Australie. Le reste du monde attendra.\r\n\r\nPourquoi est-ce intéressant au-delà du cas Star Wars ? Parce que LEGO ne fait pas ça pour vendre trois sets. La marque parle de plus de vingt brevets déposés sur la techno, et de la « plus grande évolution du système LEGO depuis l'introduction de la minifigurine en 1978 ». Le ton est ambitieux, et il y a déjà des rumeurs de déclinaisons sur les gammes Pokémon et Animal Crossing. Si le pari réussit, on parle d'une plateforme qui peut s'étendre à toute la production LEGO sur dix ou vingt ans. Si elle échoue, ce sera la deuxième tentative ratée après les Mindstorms et la gamme Boost, dans la longue liste des essais LEGO pour marier l'électronique au plastique.\r\n\r\nLe point qui me semble vraiment réussi, c'est la philosophie sans écran. Là où la plupart des jouets connectés exigent une tablette pour fonctionner, où l'enfant finit en pratique à regarder un iPad plutôt qu'à jouer avec l'objet physique, LEGO a fait le choix inverse : l'application existe mais elle est facultative, toute l'interaction se passe entre les mains et les briques. C'est moins spectaculaire dans une démo marketing, mais c'est probablement plus juste pour des gamins de huit ans.\r\n\r\nReste à voir ce que ça donne en vrai, sur le tapis du salon, après six mois d'utilisation, quand la batterie sera moins fringante et que la nouveauté se sera émoussée. C'est toujours là que se joue la vraie partie pour ce genre de produit. Mais sur le papier, et c'est rare, LEGO a sorti quelque chose qui ne ressemble à rien d'autre."},"score":1.75,"snippet":"…Côté pratique, la brique se recharge sans fil. Elle tient environ deux heures et demie en jeu actif, se met en veille au bout de trois minutes d'inactivité et se réveille quand on la secoue. Au-delà d'une dizaine d'heu…","tier":2},{"article":{"uuid":"e9adfdab-6246-411f-9953-91fcfcfb105f","slug":"esp32","title":"esp32","category":"Électronique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2025-11-29 06:31:50","created_at":"2025-11-29 06:31:50","updated_at":"2025-11-29 06:31:50","plain":"Choix de l’ESP32\nL’ESP32 constitue une alternative compacte et économique pour récupérer automatiquement les informations TIC d’un compteur électrique. Il présente plusieurs avantages :\nune connexion Wi-Fi intégrée, permettant de communiquer facilement avec un serveur, une box domotique ou un service en ligne ;\nun espace de stockage interne (SPI Flash) pour le firmware et les données nécessaires au fonctionnement ;\nune interface série (UART) directement accessible sur les broches GPIO pour lire les trames issues du démodulateur ASK. L’utilisation d’un démodulateur ASK permet d’obtenir un signal numérique TTL immédiatement compatible avec l’entrée UART de l’ESP32, sans adaptation de niveau. Les broches les plus couramment utilisées pour la liaison série sont GPIO16 (RX) ou RX0 (GPIO3), selon la configuration retenue.\nL’alimentation du module est assurée par la sortie 3,3 V de l’ESP32, ce qui permet un câblage simple et propre. Grâce à son environnement logiciel flexible (Arduino, ESP-IDF, MicroPython…), l’ESP32 permet de mettre en place facilement des fonctions avancées : connexion Wi-Fi, envoi de données vers MQTT, interface Web locale, synchronisation NTP, journalisation, etc. Câblage\n⚠️ Attention : ne pas confondre 3V3, VIN et VCC/VDD (5 V) Sur une carte ESP32 (dev board type WROOM / NodeMCU / UPesy / DOIT…), les tensions disponibles sont : • 3V3 (3.3 V régulé)\nC’est la sortie du régulateur embarqué.\nElle alimente le microcontrôleur ESP32 et ses GPIO.\nToutes les entrées/sorties de l’ESP32 sont strictement en 3,3 V.\nLe démodulateur ASK doit être alimenté ici. • VIN (ou 5V selon les cartes)\nEntrée utilisée pour alimenter la carte en 5 V (via USB ou alimentation externe).\nPassera ensuite par le régulateur pour produire le 3,3 V interne.\nNE PAS utiliser VIN pour alimenter le démodulateur ASK. • Pourquoi cette précision ?\nParce que certains modules ou schémas utilisent la notation VCC / VDD, qui peut désigner tantôt 3,3 V, tantôt 5 V selon le fabricant.\nSur l’ESP32, la seule tension sûre pour alimenter un module logique est 3V3. Rappel important\nLes GPIO de l’ESP32 ne sont pas tolérants au 5 V.\nInjecter du 5 V sur RX0, GPIO3 ou tout autre GPIO risque de détruire le microcontrôleur. Description du câblage Schéma de câblage ESP32 générique provenant du site L’ESP32 est connecté au démodulateur ASK, qui fournit un signal numérique TTL prêt à être lu par l’UART de l’ESP32.\nLe câblage est très simple : trois fils suffisent entre l’ESP32 et le module. Broches recommandées :\n3V3 – alimentation du démodulateur\nGND – masse commune\nRX0 / GPIO3 entrée série utilisée pour lire les trames TIC) L’ESP32 ne transmet aucune commande au compteur : seule la ligne RX est nécessaire.\nLe démodulateur assure la conversion du signal modulé provenant du Linky vers un signal propre au format TTL.\n-- Schéma de câblage (ASCII) ╔═══════════════════════╗\n ║ ESP32 ║\n ║ Dev Board ║\n ╠═══════════════════════╣\n ║ 3V3 : alimentation ║\n ║ GND : masse ║\n ║ GPIO3 : RX0 (UART) ║\n ╚═══════════════════════╝ ESP Home La capture ci-dessus illustre un ESPHome fonctionnel, connecté à un compteur Linky, affichant les mesures électriques instantanées et les index de consommation. En parallèle, les logs temps réel confirment la bonne réception et l’envoi périodique des données. Tasmota\nPour récupérer et exploiter les informations du compteur électrique Linky, nous allons utiliser un logiciel tel que Tasmota. Tasmota est un firmware open-source pour microcontrôleurs ESP8266 et ESP32, conçu pour simplifier la gestion des objets connectés et la domotique. Grâce à Tasmota, il devient possible de :\nLire directement les trames TIC via l’entrée UART de l’ESP32, en utilisant un démodulateur ASK pour obtenir un signal numérique TTL propre.\nTransmettre les données vers un serveur local ou en ligne, une box domotique ou un service cloud compatible MQTT ou HTTP.\nConfigurer facilement le système sans coder, grâce à son interface Web intuitive et ses nombreuses options de paramétrage pour les GPIO, UART et protocoles réseau. En utilisant Tasmota avec l’ESP32, nous transformons ce microcontrôleur en un collecteur TIC intelligent, capable de centraliser les informations énergétiques de manière autonome et de les rendre exploitables pour la domotique ou le suivi de consommation.\nInstaller Tasmota\nBrancher l'ESP32 sur l'ordinateur. Voir la page . Télécharger Tasmota32 () qui inclut les drivers nécessaires à la Téléinfo/TIC. Téléchargez-le ici : https:ota.tasmota.com/tasmota32/release/ Flasher Tasmota pour ESP32 avec espytool"},"score":1.75,"snippet":"…P32, ce qui permet un câblage simple et propre. Grâce à son environnement logiciel flexible (Arduino, ESP-IDF, MicroPython…), l’ESP32 permet de mettre en place facilement des fonctions avancées : connexion Wi-Fi, envoi d…","tier":2},{"article":{"uuid":"cfe738e9-7ac2-4c7e-9205-dab4957835c6","slug":"preparation-du-raspberry-pi","title":"Décoder les infos de la TIC et les communiquer","category":"Électronique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2025-11-19 06:48","created_at":"2025-11-19 06:48:01","updated_at":"2026-05-12 17:38:19","plain":"Choix du Raspberry Pi\r\n\r\nL'objectif est de récupérer automatiquement et à intervalles réguliers les informations émises par un compteur Linky, puis de les rendre accessibles depuis l'extérieur du Raspberry Pi.\r\n\r\nTrois prérequis matériels s'imposent donc :\r\nune connexion réseau, pour exposer ou transmettre les données collectées ;\r\nun espace de stockage, suffisant pour l'OS, les outils et l'historique des relevés ;\r\nune liaison série, pour dialoguer avec la sortie TIC du compteur.\r\n\r\nLe choix s'est porté sur un Raspberry Pi 3, qui couvre ces trois besoins sans surcoût ni complexité supplémentaire. Le stockage est assuré par une carte SD, la liaison série est exposée sur le port GPIO, et la connectivité réseau bénéficie d'un atout pratique : l'armoire de brassage de la maison se trouve à quelques mètres du compteur électrique, ce qui permet d'envisager un raccordement filaire fiable plutôt qu'un lien sans fil.\r\n\r\nCôté logiciel, le système retenu est Raspberry Pi OS (anciennement Raspbian), recommandé par défaut sur cette plateforme. Cette distribution dérivée de Debian apporte tout l'écosystème GNU/Linux nécessaire : pile réseau TCP/IP, accès distant par SSH, synchronisation horaire NTP, gestion de bases de données, serveur web, interpréteurs PHP et Python. Autant de briques qui serviront aux étapes ultérieures du projet.\r\n\r\nCâblage\r\n\r\nLe compteur Linky émet la trame TIC sous forme d'un signal modulé en ASK (Amplitude Shift Keying). Ce signal n'est pas directement exploitable par l'UART du Raspberry Pi, qui attend un niveau logique TTL stable.\r\n\r\nUn démodulateur ASK est donc intercalé entre le compteur et le Raspberry Pi. Son rôle est de récupérer la porteuse modulée et de restituer en sortie un signal binaire TTL propre, directement lisible par le port série.\r\n\r\nLa chaîne complète est la suivante :\r\n\r\n\r\n\r\nLe câblage côté Raspberry Pi se résume à trois fils :\r\nBroche | Signal | Rôle |\r\n---|---|---|\r\nPin 1 | 3V3 | Alimentation du démodulateur |\r\nPin 6 | GND | Masse commune |\r\nPin 10 | RX (GPIO15) | Lecture de la sortie TTL du démodulateur |\r\n\r\nSchéma de câblage\r\n\r\n\r\n\r\nInstallation de l'OS\r\n\r\nLe déploiement de Raspberry Pi OS sur la carte SD suit la procédure standard décrite dans l'article [à compléter]. Un point d'attention : activer le service SSH dès la préparation de l'image, faute de quoi aucun accès distant ne sera possible au premier démarrage.\r\n\r\nUne fois le Raspberry Pi mis sous tension et raccordé au réseau, son adresse IP n'est pas connue à l'avance. Un balayage du réseau local avec permet de l'identifier :\r\nNote : la cible passée à est l'adresse du réseau (), pas celle de la passerelle. Le indique le masque de sous-réseau et délimite la plage scannée.\r\n\r\nUne fois l'adresse repérée, la connexion s'établit avec le compte et le mot de passe par défaut :\r\nPremier réflexe sécurité : changer immédiatement le mot de passe du compte avec , voire désactiver ce compte au profit d'un utilisateur dédié. Les identifiants par défaut sont connus de tous les scans automatisés."},"score":1.75,"snippet":"…e à quelques mètres du compteur électrique, ce qui permet d'envisager un raccordement filaire fiable plutôt qu'un lien sans fil.\r\n\r\nCôté logiciel, le système retenu est Raspberry Pi OS (anciennement Raspbian), recommandé…","tier":2},{"article":{"uuid":"f008f509-2cad-437f-9850-7b39ec37262a","slug":"gitea-l-installation","title":"gitea, l'installation","category":"informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2025-11-07 11:01:57","created_at":"2025-11-07 11:01:57","updated_at":"2025-11-07 11:01:57","plain":"Voici un guide pas à pas pour installer Gitea sur Debian 13 avec PostgreSQL comme base de données, et configurer un reverse-proxy (par ex. Traefik ou Nginx) pour servir Gitea. \r\n--\r\n\r\n1. Pré-requis\r\n\r\n Un serveur Debian 13 à jour.\r\n\r\n \r\n Installer Git, et éventuellement d’autres dépendances.\r\n\r\n \r\n Un nom de domaine pointant vers votre serveur (DNS A ou AAAA).\r\n Assurez-vous que le port 80 et/ou 443 sont ouverts sur le serveur (pour le proxy).\r\n Installer PostgreSQL.\r\n--\r\n\r\n2. Installer PostgreSQL et créer base & utilisateur\r\n\r\n1. Installer PostgreSQL (Debian 13 inclut postgresql dans ses dépôts).\r\n\r\n \r\n2. Passer à l’utilisateur postgres et créer la base + utilisateur pour Gitea :\r\n\r\n \r\n\r\n Ces commandes sont conformes à la documentation Gitea pour PostgreSQL. ([Gitea Documentation][1])\r\n3. Vérifier que PostgreSQL fonctionne :\r\n\r\n \r\n4. (Optionnel) Modifier le fichier si vous voulez autoriser certaines connexions supplémentaires (ex: accès réseau).\r\n--\r\n\r\n3. Installer Gitea\r\n\r\n1. Créer un utilisateur système qui va exécuter Gitea :\r\n\r\n \r\n\r\n ([Gitea Documentation][2])\r\n2. Créer les dossiers de travail :\r\n\r\n \r\n\r\n ([Gitea Documentation][3])\r\n3. Télécharger le binaire Gitea :\r\n\r\n \r\n\r\n (Vérifiez la version la plus récente sur le site officiel) ([Gitea Documentation][2])\r\n4. Créer un fichier de service systemd pour Gitea. Exemple minimal () :\r\n\r\n \r\n\r\n Ensuite :\r\n\r\n \r\n\r\n ([Gitea Documentation][4])\r\n--\r\n\r\n4. Configuration via l’interface web\r\n\r\n Ouvrez http://votre-serveur:3000 (ou le port que Gitea utilise) dans un navigateur.\r\n Dans l’assistant d’installation, choisissez PostgreSQL comme type de base de données. Entrez :\r\n\r\n Host : (ou l’IP/port selon)\r\n Database : \r\n Username : \r\n Password : celui que vous avez défini\r\n Dans le champ \"Base URL\", indiquez (ou http selon votre setup).\r\n Complétez le reste (admin account, etc.).\r\n ([James R. S. Kemp Git][5])\r\n--\r\n\r\n5. Configurer reverse-proxy pour \r\n\r\nSi vous utilisez Nginx ou Traefik (ou un autre proxy) vous devez rediriger le domaine vers Gitea.\r\n\r\nExemple avec Nginx :\r\n\r\n\r\n\r\nCet exemple est inspiré des tutos d’installation Gitea + Nginx. ([James R. S. Kemp Git][5])\r\nSi vous utilisez un autre proxy (ex: Traefik ou « zoraxyproxy »), adaptez la configuration pour qu’il fasse passer vers et gère SSL.\r\n\r\nActiver HTTPS\r\n\r\n Installez ou utilisez votre gestionnaire de certificats.\r\n\r\n \r\n Vérifiez que le certificat est actif et que fonctionne.\r\n--\r\n\r\n6. Configuration finale dans app.ini\r\n\r\nAprès installation, vous pouvez ajuster (ou via l’interface). Exemples de réglages utiles :\r\n\r\n Dans :\r\n\r\n \r\n Dans :\r\n\r\n \r\n Redémarrez Gitea après modification :\r\n--\r\n\r\n7. Sécuriser & entretien\r\n\r\n Assurez-vous que seuls les ports nécessaires sont exposés (ex: 80/443 via proxy, 3000 en local si non exposé).\r\n Faites des sauvegardes régulières : base PostgreSQL + dossier (ou vos dépôts).\r\n Vérifiez les logs de Gitea (souvent dans ).\r\n Gardez Gitea et PostgreSQL à jour.\r\n Si vous utilisez SSH pour les repos Git, configurez correctement les clés SSH utilisateur et vérifiez que l’utilisateur a bien les permissions.\r\n--\r\n\r\n\r\n[1]: https://docs.gitea.com/enterprise/installation/linux?utmsource=chatgpt.com \"Install on Linux | Gitea Enterprise Documentations\"\r\n[2]: https://docs.gitea.com/installation/install-from-binary?utmsource=chatgpt.com \"Installation from binary | Gitea Documentation\"\r\n[3]: https://docs.gitea.com/1.18/installation/install-from-binary?utmsource=chatgpt.com \"Installation from binary | Gitea Documentation\"\r\n[4]: https://docs.gitea.com/1.20/category/installation?utmsource=chatgpt.com \"Installation | Gitea Documentation\"\r\n[5]: https://git.jamesrskemp.com/hosting/gitea.html?utmsource=chatgpt.com \"Gitea - Git Commands by James Skemp\""},"score":1.75,"snippet":"…rts nécessaires sont exposés (ex: 80/443 via proxy, 3000 en local si non exposé).\r\n Faites des sauvegardes régulières : base PostgreSQL + dossier (ou vos dépôts).\r\n Vérifiez les logs de Gitea (souvent dans ).\r\n Gardez G…","tier":2},{"article":{"uuid":"c9796eff-43b9-4e51-b613-8eec21a8c352","slug":"gitea-prerequis","title":"gitea, prérequis","category":"informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2025-11-07 10:57:33","created_at":"2025-11-07 10:57:33","updated_at":"2025-11-07 10:57:33","plain":"Voici les pré-requis système (processeur, mémoire, etc.) pour installer Gitea sur une distribution Debian\r\n--\r\n\r\n1. Exigences minimales\r\n\r\nCes valeurs sont suffisantes pour un petit déploiement personnel ou une petite équipe.\r\nRessource | Minimum recommandé | Détails |\r\n------------------- | -------------------------------------------- | --------------------------------------------------------------------------------------------- |\r\nCPU | 2+ vCPU / cœur | Gitea est léger, même un petit processeur type Atom ou 1 vCPU cloud suffit. |\r\nRAM | 1 Go ou + | Le binaire Go est efficace. 1 Go est sûr pour un usage personnel. 2 Go ou plus (pour plusieurs utilisateurs) |\r\nStockage | ≥ 1 Go libre | Le binaire Gitea fait 100 Mo, plus les dépôts Git (prévoir plus selon le nombre de projets). |\r\nOS | Debian 12 (Bookworm) ou Debian 13 | Gitea fournit des binaires compatibles. |\r\nBase de données | SQLite, MariaDB/MySQL, PostgreSQL | SQLite pour test/local, PostgreSQL ou MariaDB en prod. |\r\nReverse proxy | nginx, Caddy, Apache ... avec HTTPS |\r\nUtilisateur système | (non root) pour exécuter le service |\r\n--\r\n\r\n2. Vérification rapide des ressources**\r\n\r\nTu peux vérifier ta machine avec :"},"score":1.75,"snippet":"…e, MariaDB/MySQL, PostgreSQL | SQLite pour test/local, PostgreSQL ou MariaDB en prod. |\r\nReverse proxy | nginx, Caddy, Apache ... avec HTTPS |\r\nUti…","tier":2},{"article":{"uuid":"8da6da4b-5b28-4f67-b6f7-277ee42843ce","slug":"de-zigbee2mqtt-a-proxmox-l-effet-papillon-d-un-switch-defaillant","title":"De Zigbee2MQTT à Proxmox : l’effet papillon d’un switch défaillant","category":"domotique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2025-05-25 06:01:36","created_at":"2025-05-25 06:01:36","updated_at":"2025-05-25 06:01:36","plain":"Contexte initial\r\n\r\nDepuis plusieurs semaines, je soupçonnais mon coordinateur Zigbee SLZB-06M (Ethernet + PoE) de provoquer des instabilités réseau sous Zigbee2MQTT. Les symptômes étaient clairs : redémarrages en boucle du service, erreurs , commandes Zigbee échouées… Bref, une stack Zigbee instable malgré une configuration soignée.\r\n\r\nJ’avais tout envisagé : firmware Ember instable, problème d’alimentation PoE, bugs dans le bridge UART-to-TCP, saturation du port TCP 6638. J’ai même reflashé le dongle et validé la configuration YAML ligne par ligne. Sans succès. Toujours les mêmes erreurs :\r\n\r\n\r\n\r\nJ’envisageais déjà de tout remplacer : passer à un dongle USB, revoir le routage, refaire un mesh propre. Et puis...\r\n--\r\n\r\nL’incident du lundi matin\r\n\r\nUn blackout complet frappe mon infra : plus aucun service local ou distant ne répond. Proxmox, Zigbee2MQTT, partages NFS, Home Assistant, NAS — tout semble mort. Même l’accès Internet est intact, mais tout ce qui repose sur mon réseau interne est figé.\r\n\r\nJ’isole alors le NAS (la machine hôte centrale qui héberge tout le stockage via Proxmox), le connecte localement via un boîtier d’acquisition HDMI. Rien. Écran noir.\r\n\r\nJe commence à douter de tout : le câble DisplayPort ? Le boîtier HDMI ? Le BIOS ? Je teste, redémarre, écoute. Trois bips longs. Rien à l’écran. Jusqu’à ce que je réalise que j’attendais une image 1080p… alors que le BIOS sort du 640x480. Je reconfigure OBS (oui, parce que je passe par OBS pour afficher mes périphériques), ajuste la fréquence… et là, miracle :\r\n« Press to enter Setup or to enter Boot Menu »\r\n\r\nS’ensuivent des erreurs BIOS typiques :\r\n--\r\n\r\nLe coupable n°1 : la pile CMOS\r\n\r\nLa pile bouton est morte. Résultat : perte des paramètres BIOS à chaque redémarrage, y compris le boot sur disque. Je la remplace par une neuve (CR2032 à 3,1V), et tout rentre dans l’ordre… en apparence.\r\n\r\nJe replace le serveur. Et là, à nouveau : plus rien. Ping muet. Services inaccessibles. Home Assistant muet. Zigbee2MQTT en erreur.\r\n--\r\n\r\nLe vrai coupable : le switch réseau\r\n\r\nUn doute m’envahit. Je regarde le switch PoE. Il est éteint. Plus une LED.\r\n\r\nJe le remplace immédiatement. Nouveau switch, même câblage. Et tout revient :\r\n\r\n Proxmox opérationnel\r\n Partages NFS montés\r\n Home Assistant réactif\r\n Zigbee2MQTT sans erreur\r\n--\r\n\r\nLe lien entre les deux incidents\r\n\r\nC’est là que tout devient limpide.\r\n\r\n Le switch défaillant provoquait des microcoupures entre les VMs et le stockage.\r\n Les erreurs ECONNRESET de Zigbee2MQTT venaient du lien instable entre le coordinateur Ethernet et le service.\r\n L’instabilité du réseau expliquait les redémarrages en boucle, les commandes Zigbee échouées, les automatisations manquantes.\r\n\r\nEt pendant ce temps, je blâmais le coordinateur Zigbee, le firmware Ember ou un bug MQTT… alors que tout venait d’un simple transformateur à 10€ du switch.\r\n--\r\n\r\nBilan\r\n\r\nCe que j’ai appris :\r\n\r\n Ne jamais sous-estimer un composant “passif” : un switch, une pile, une alimentation.\r\n Un bug réseau peut se déguiser en bug applicatif.\r\n Les microcoupures sont pires que les pannes franches : elles érodent les services sans les faire crasher complètement, rendant le diagnostic flou.\r\n Observer avant d’agir, c’est vital. Sinon, on démonte tout… pour rien.\r\n--\r\n\r\nEt maintenant ?\r\n\r\nTout est reparti. Le coordinateur Zigbee SLZB-06M fonctionne parfaitement. Plus aucun redémarrage du service. Plus d’. Les automatisations sont de retour.\r\n\r\nParfois, c’est \"juste\" un switch qu'il faut changer !**"},"score":1.75,"snippet":"…instable malgré une configuration soignée.\r\n\r\nJ’avais tout envisagé : firmware Ember instable, problème d’alimentation PoE, bugs dans le bridge UART-to-TCP, saturation du port TCP 6638. J’ai même reflashé le dongle et v…","tier":2},{"article":{"uuid":"5510b12a-d647-4b1a-90ba-d421a4927ff7","slug":"configurer-un-client-oauth-2-0-dans-keycloak-guide-complet","title":"Configurer un client OAuth 2.0 / OIDC dans Keycloak","category":"informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2025-05-16 23:33","created_at":"2025-05-16 23:33:31","updated_at":"2026-05-12 20:39:53","plain":"Keycloak est une solution open source de gestion des identités et des accès (IAM). Cet article décrit la configuration d'un client OAuth 2.0 / OpenID Connect dans Keycloak, en détaillant les options importantes et en montrant comment restreindre l'accès aux utilisateurs ou groupes autorisés.\r\nNote de version. L'interface d'administration a été refondue à partir de Keycloak 19. La notion d'Access Type ( / / ) a disparu au profit des toggles Client authentication et Authorization. Ce guide suit l'UI actuelle (Keycloak 24+).\r\n--\r\n\r\n1. Prérequis\r\nUne instance Keycloak fonctionnelle (version 24 ou supérieure recommandée).\r\nDes droits d'administration sur un realm.\r\nUne application destinée à s'authentifier via OAuth 2.0 / OIDC.\r\nTLS activé sur Keycloak et sur l'application cliente (obligatoire en production).\r\n--\r\n\r\n2. Qu'est-ce qu'un client dans Keycloak ?\r\n\r\nDans Keycloak, un client représente une application ou un service qui interagit avec le serveur d'authentification, soit pour authentifier des utilisateurs, soit pour obtenir des informations sur eux, soit pour protéger ses propres ressources. Il peut s'agir d'une application web, d'une API, d'une application mobile, d'un service interne ou d'un partenaire tiers.\r\n\r\nChaque client est rattaché à un realm (l'espace logique d'authentification) et identifié par un unique. Cet identifiant est transmis lors de toute demande d'authentification ou d'obtention de jeton.\r\n\r\nLa configuration d'un client définit notamment :\r\nles flux OAuth 2.0 autorisés (, , etc.) ;\r\nla capacité ou non du client à conserver un secret (client confidentiel vs public) ;\r\nles URI de redirection acceptées et les origines CORS ;\r\nla durée de vie des jetons et la composition des claims (mappers) ;\r\nles politiques d'autorisation associées (rôles, groupes, attributs).\r\n--\r\n\r\n3. Création du client\r\n\r\n1. Se connecter à la Keycloak Admin Console.\r\n2. Sélectionner le realm cible.\r\n3. Menu Clients > Create client.\r\n\r\nÉtape « General settings »\r\nChamp | Valeur recommandée | Description |\r\n------------------ | ----------------------------------- | ---------------------------------------------------------------------------- |\r\nClient type | | Protocole utilisé. Choisir uniquement pour des intégrations SAML 2.0. |\r\nClient ID | | Identifiant unique du client dans le realm. Apparaît dans les jetons (). |\r\nName | | Libellé d'affichage (facultatif, peut être localisé). |\r\nDescription | Texte libre | Aide à la maintenance. |\r\n\r\nÉtape « Capability config »\r\nToggle | Valeur recommandée | Détail |\r\n------------------------------- | ---------------------------------------- | ------------------------------------------------------------------------------------------ |\r\nClient authentication | pour un backend, pour un SPA | rend le client confidentiel (un secret est généré). rend le client public. |\r\nAuthorization | | À activer uniquement si l'on souhaite utiliser le moteur d'autorisations fine (RBAC/ABAC) de Keycloak. |\r\nStandard flow | | Active le flux Authorization Code, à utiliser systématiquement. |\r\nDirect access grants | | Flux — déconseillé par OAuth 2.1, à n'utiliser que pour des outils internes legacy. |\r\nImplicit flow | | Déprécié par OAuth 2.1, ne pas activer. |\r\nService accounts roles | si clientcredentials | Permet au client de récupérer un jeton pour son propre compte (machine-to-machine). |\r\nOAuth 2.0 Device Auth Grant | (sauf besoin spécifique) | Pour les appareils sans navigateur (TV, CLI sans IHM locale). |\r\nOIDC CIBA Grant | (sauf besoin spécifique) | Authentification déportée (canal hors-bande). |\r\n\r\nÉtape « Login settings »\r\nChamp | Exemple | Description |\r\n----------------------- | -------------------------------- | --------------------------------------------------------------------------------------------------- |\r\nRoot URL | | URL de base de l'application. Permet d'utiliser des chemins relatifs dans les champs suivants. |\r\nHome URL | | Page par défaut après login. |\r\nValid redirect URIs | | URI exactes autorisées pour la redirection après authentification. Éviter les wildcards larges. |\r\nValid post logout redirect URIs | | URI autorisées pour la redirection après déconnexion (RP-Initiated Logout). |\r\nWeb origins | | Origines CORS autorisées. La valeur reprend automatiquement les redirect URIs ; est à proscrire. |\r\nAdmin URL | | Utilisé pour les notifications backchannel (logout global, push not-before). |\r\nBonne pratique. Les redirect URIs doivent être en en production (sauf pour le développement). Spécifier des chemins aussi précis que possible plutôt qu'un wildcard .\r\n--\r\n\r\n4. Authentification du client (Credentials)\r\n\r\nL'onglet Credentials n'apparaît que si Client authentication est sur . Plusieurs méthodes sont disponibles :\r\nMéthode | Usage |\r\n-------------------------------- | ---------------------------------------------------------------------- |\r\nClient Id and Secret | Secret partagé classique. À stocker dans un coffre-fort (Vault, env vars chiffrées). |\r\nSigned JWT | Le client signe un JWT d'assertion avec sa clé privée. Plus sûr qu'un secret. |\r\nSigned JWT with Client Secret | Variante symétrique (HMAC). |\r\nX.509 Certificate | mTLS — recommandé pour les contextes à forte exigence (FAPI, banque). |\r\nImportant. Le secret ne doit jamais être commité dans Git ni embarqué dans un binaire distribué. Pour un projet où les secrets vivent dans , ne commiter que .\r\n--\r\n\r\n5. Types de clients\r\n\r\nDepuis Keycloak 19, le « type » est déduit de la combinaison des toggles. La terminologie OAuth reste utile :\r\nType | Configuration Keycloak | Cas d'usage |\r\n--------------- | ------------------------------------------------------------------- | ------------------------------------------------------------ |\r\nConfidentiel | | Backend serveur (PHP, Node, Java…), BFF, service-to-service. |\r\nPublic | + + PKCE | SPA (React, Vue, Angular), application mobile, CLI native. |\r\nService account | + | Communication machine-to-machine (). |\r\n\r\nLe type « bearer-only » a été retiré : pour une API qui se contente de valider des jetons sans déclencher d'authentification, créer un client confidentiel et n'activer aucun flux.\r\n--\r\n\r\n6. PKCE — recommandé pour tous les clients\r\n\r\nPKCE (Proof Key for Code Exchange, RFC 7636) protège le flux Authorization Code contre l'interception du code d'autorisation. Conçu initialement pour les clients publics, il est aujourd'hui recommandé pour tous les clients, y compris confidentiels, et obligatoire dans OAuth 2.1.\r\n\r\nActivation dans Advanced > Proof Key for Code Exchange Code Challenge Method > .\r\nNe jamais utiliser ; est la seule valeur acceptable.\r\n--\r\n\r\n7. Restreindre l'accès aux utilisateurs ou groupes\r\n\r\nPar défaut, tout utilisateur du realm peut se connecter via n'importe quel client. Deux approches permettent de restreindre cet accès.\r\n\r\nApproche 1 — Authentification basée sur les rôles (simple)\r\n\r\n1. Créer un rôle client dédié, par exemple , dans l'onglet Roles du client.\r\n2. Assigner ce rôle aux utilisateurs ou groupes autorisés (Users > user > Role mapping, ou Groups > group > Role mapping).\r\n3. Dans Authentication > Flows, ajouter une exécution au flux Browser, configurée avec le rôle requis et .\r\n\r\nCette méthode bloque l'authentification elle-même : un utilisateur sans le rôle ne pourra pas se connecter au client.\r\n\r\nApproche 2 — Authorization Services (granulaire)\r\n\r\nÀ utiliser pour gérer des permissions plus fines (ressources, scopes, conditions).\r\n\r\n1. Activer Authorization sur le client.\r\n2. Onglet Authorization > Policies > créer une Group Policy ou Role Policy listant les utilisateurs/groupes autorisés.\r\n3. Onglet Permissions > créer une Scope-Based Permission ou Resource-Based Permission liée à la policy.\r\n4. Côté application, utiliser l'endpoint UMA ou l'adaptateur Keycloak pour évaluer les permissions.\r\n\r\nApproche 3 — Limiter le client scope « roles »\r\n\r\nDans Client scopes > > Scope, désactiver Full scope allowed et n'autoriser que les rôles pertinents. Cela réduit la taille des jetons et limite ce que le client peut « voir » des rôles utilisateurs.\r\n--\r\n\r\n8. Client scopes et mappers\r\n\r\nLes client scopes déterminent les claims présents dans les jetons ( et ).\r\nLes scopes Default sont systématiquement ajoutés à chaque jeton.\r\nLes scopes Optional ne sont ajoutés que si l'application les demande via le paramètre lors de l'authentification.\r\n\r\nPour exposer les groupes d'un utilisateur dans le token :\r\n\r\n1. Créer un client scope (ou réutiliser celui existant).\r\n2. Ajouter un mapper de type Group Membership :\r\nToken Claim Name : \r\nFull group path : (sauf besoin d'arborescence)\r\nAdd to ID token / Access token / Userinfo : selon l'usage.\r\n3. Attacher le scope au client (Default ou Optional).\r\n--\r\n\r\n9. Réglages avancés à connaître\r\nSection | Réglage | Recommandation |\r\n---------------------------------- | -------------------------------- | ---------------------------------------------------------------- |\r\nAdvanced > Fine grain OpenID Connect configuration | | (par défaut) ou pour FAPI. |\r\nAdvanced > Advanced settings | | . |\r\nAdvanced > Advanced settings | | sauf si l'application implémente correctement la spec OIDC Front-Channel Logout. |\r\nAdvanced > Advanced settings | | Renseigner pour une déconnexion globale propre. |\r\nAdvanced > Token Lifespan | | Court (5–15 min). Le refresh token prend le relais. |\r\nSessions | | Aligner sur la politique de session de l'organisation. |\r\n\r\nPour appliquer automatiquement un ensemble cohérent de règles, utiliser les Client Policies du realm (profils pré-définis et ).\r\n--\r\n\r\n10. Checklist de sécurité\r\n[ ] pour tout client qui peut conserver un secret.\r\n[ ] PKCE activé.\r\n[ ] Implicit flow et Direct access grants désactivés.\r\n[ ] Redirect URIs en et sans wildcard inutile.\r\n[ ] Web origins explicites (pas de ).\r\n[ ] Secret stocké dans un coffre-fort, jamais commité.\r\n[ ] Access token court (≤ 15 min) et refresh token rotatif.\r\n[ ] Accès restreint via rôle dédié ou Authorization Services.\r\n[ ] Full scope allowed désactivé si les rôles transportés doivent être limités.\r\n[ ] Logout backchannel ou front-channel configuré.\r\n--\r\n\r\nConclusion\r\n\r\nLa configuration d'un client OAuth 2.0 dans Keycloak repose sur quelques choix structurants — confidentiel ou public, flux activés, PKCE, restriction d'accès — qui ont chacun des implications de sécurité fortes. S'aligner sur OAuth 2.1 (PKCE systématique, pas d'implicit flow, pas de password grant) et utiliser les Client Policies** pour appliquer ces règles à l'échelle du realm évite la plupart des configurations à risque."},"score":1.75,"snippet":"…et partagé classique. À stocker dans un coffre-fort (Vault, env vars chiffrées). |\r\nSigned JWT | Le client signe un JWT d'assertion avec sa clé privée. Plus sûr qu'un secret. |\r\nSigned JWT with Client S…","tier":2},{"article":{"uuid":"29afb8a4-36ba-40da-a857-109a26df336d","slug":"incident-acegrp-lan-1-numerique-gestion-alim","title":"Incident acegrp.lan (1) : NUMERIQUE GESTION ALIM","category":"domotique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2025-04-29 07:32:00","created_at":"2025-04-29 07:32:00","updated_at":"2025-04-29 06:22:05","plain":"Dimanche. Une journée que j’aurais préféré passer ailleurs que devant des écrans noirs et des câbles emmêlés. Tout a commencé doucement, insidieusement, presque sans bruit : en milieu de semaine, quelques machines virtuelles s’étaient arrêtées. L’incident était étrange, mais je l’avais pris pour un simple bug isolé. Une panne d’énergie, un petit accroc. Rien d’alarmant. J'avais redémarré les VM une à une, méthodiquement, sans me poser plus de questions. Pas de logs parlants, pas de messages d’erreur clairs, juste… un arrêt. Puis un autre. Et encore un. Sans explication. Comme des lumières qu’on souffle dans la nuit, sans comprendre pourquoi.\r\n\r\nMais ce dimanche-là, les choses ont basculé. Le point de non-retour. Mon PC de bureau, celui qui me sert d’interface principale pour tout le réseau interne, a soudainement perdu tous ses lecteurs réseau. Plus aucune trace des partages NFS, ni du moindre disque monté sur le NAS. Ce n’était plus un symptôme, c’était un effondrement. Mon premier réflexe a été de me tourner vers le mini-PC qui fait tourner Proxmox, l’hyperviseur de mon infrastructure domestique. C’est lui qui héberge, entre autres, la machine virtuelle du NAS, cette tour de contrôle silencieuse qui gère les disques partagés pour toutes les autres machines. Je me suis dit : peut-être un simple bug, une surcharge, un processus qui a planté. Alors je redémarre ce mini-PC, confiant.\r\n\r\nMais là, la panne s’est transformée en effet domino. En cascade, les autres services ont commencé à tomber. Le super serveur, celui qui héberge l’essentiel des autres VM, ne tenait plus debout. Il fallait le redémarrer lui aussi. Pourquoi ? Parce qu’une bonne partie de ces VM, celles qui n’ont pas besoin de stockage local, s’appuient sur le NAS pour lire et écrire leurs données. Sans lui, elles n'ont plus de jambes. Et sans le réseau, le NAS est sourd et muet.\r\n\r\nAlors je cherche. Je fouille. Je remarque que le superviseur du NAS, cette VM particulière, n’a jamais retrouvé le réseau. Pas d’interface montante. Pas de DHCP. Comme si elle n’avait jamais vraiment redémarré. Et là, un souvenir revient. Il y a quelque temps, j’avais constaté qu’une des baies de disques du NAS pouvait empêcher le démarrage de certaines VM. Une sorte de bug matériel lié au contrôleur SATA. Mais jamais, jamais encore, cela n’avait empêché le superviseur lui-même de booter. Ce serait nouveau. Inquiétant.\r\n\r\nJe décide alors de me confronter à la machine, physiquement. De la regarder droit dans les ports. Je sors un écran de contrôle. Je repère les sorties vidéo de l’hôte physique : DVI et DisplayPort. Mon écran, lui, accepte DVI et VGA. Incompatibilité de dernière minute. Je n’ai pas de câble DVI-DVI sous la main, évidemment. Alors j’improvise : je crée une sorte de monstre cablé — un adaptateur DVI vers HDMI, puis un câble HDMI vers DisplayPort. Une chaîne improbable, bancale, mais qui pourrait faire l’affaire. Je branche. Je croise les doigts. Mais l’écran reste désespérément figé sur un message sans pitié : \"NUMERIQUE GESTION ALIM\". Une forme élégante pour dire : “aucun signal”.\r\n\r\nJe n’abandonne pas. Je saute dans ma voiture, roule chez un ami, récupère un vrai câble DVI-DVI, sans détours, sans artifice. Je rentre, je branche, je relance. Même résultat. Échec total. Pas d’image. Pas de BIOS. Rien. Juste le silence des ventilateurs et la frustration qui monte. Le sentiment de tourner en rond. De ne pas voir le fond du problème. Et surtout, ce vide numérique absolu : plus de réseau interne, plus d’accès aux données, plus rien pour maintenir mes services ou assurer les usages quotidiens.\r\n\r\nLa nuit est tombée. Il ne reste que moi, les serveurs muets, et ce silence qui dit : “Reviens demain, tu verras peut-être mieux.” Alors je me couche, sans certitude, mais avec cette idée persistante qu’il y a forcément une explication. Il faut juste, encore, aller la chercher."},"score":1.75,"snippet":"…e partie de ces VM, celles qui n’ont pas besoin de stockage local, s’appuient sur le NAS pour lire et écrire leurs données. Sans lui, elles n'ont plus de jambes. Et sans le réseau, le NAS est sourd et muet.\r\n\r\nAlors je c…","tier":2},{"article":{"uuid":"cd8a2910-dc0c-461c-99f4-fe6fab883b72","slug":"2024-05-15-raspberrypi-fix-part-2","title":"Raspberry Pix fix - partie 2","category":"Journal geek","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2024-05-15 17:32:31","created_at":"2024-05-15 17:32:31","updated_at":"2024-05-15 17:32:31","plain":"Suite de l'article Connecter votre Raspberry Pi au retour vidéo est une bonne façon de voir ce qui se passe réellement avec l'appareil. Assurez-vous que le câble HDMI est bien connecté à l'écran ou au moniteur et que le câble Ethernet est connecté à votre réseau local. Ensuite, alimentez le Raspberry Pi en branchant le câble d'alimentation. Une fois que tout est connecté, observez l'écran ou le moniteur pour voir si le Raspberry Pi démarre correctement et affiche quelque chose. Vous devriez voir le processus de démarrage habituel du Raspberry Pi, suivie éventuellement d'une invite de connexion si le système d'exploitation est complètement démarré. Si vous ne voyez rien sur l'écran ou le moniteur, vérifiez les connexions et assurez-vous que le moniteur ou l'écran est correctement allumé et configuré sur le bon canal d'entrée HDMI. Si le Raspberry Pi démarre il devrait afficher plus d'informations qui vous mettrons sur la piste. Un \"Kernel panic\" est un message d'erreur critique émis par le noyau Linux lorsqu'il rencontre une condition qui l'empêche de fonctionner de manière sécurisée et stable. Cela peut être dû à divers facteurs, tels que des erreurs matérielles, des problèmes de pilotes ou des dysfonctionnements logiciels graves. Voici quelques étapes que vous pouvez suivre pour essayer de résoudre ce problème : 1. Redémarrez le Raspberry Pi : Dans certains cas, un simple redémarrage peut résoudre le problème temporairement. 2. Vérifiez les connexions matérielles : Assurez-vous que toutes les connexions matérielles, y compris les câbles HDMI, Ethernet et d'alimentation, sont correctement branchées. 3. Vérifiez la santé de la carte SD : Les cartes SD défectueuses peuvent entraîner des problèmes de démarrage. Essayez d'utiliser une autre carte SD ou essayez la carte SD actuelle sur un autre appareil pour voir si le problème persiste. 4. Vérifiez la température : Assurez-vous que le Raspberry Pi n'est pas surchauffé, car une surchauffe peut également causer des problèmes de stabilité. Assurez-vous qu'il est correctement ventilé et qu'il n'y a pas d'obstructions qui pourraient bloquer les dissipateurs de chaleur. 5. Recherchez des mises à jour du firmware : Parfois, des mises à jour du firmware peuvent résoudre des problèmes de compatibilité matérielle ou de stabilité. Assurez-vous que le firmware de votre Raspberry Pi est à jour. Crédit image : ////"},"score":1.75,"snippet":"…niteur et que le câble Ethernet est connecté à votre réseau local. Ensuite, alimentez le Raspberry Pi en branchant le câble d'alimentation. Une fois que tout est connecté, observez l'écran ou le moniteur pour voir si le …","tier":2},{"article":{"uuid":"a8615fa2-b3a8-4176-bedb-b6322c99aa58","slug":"2024-05-13-raspberrypi-fix-part-1","title":"Raspberry Pix fix - partie 1","category":"Journal geek","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2024-05-13 06:40:45","created_at":"2024-05-13 06:40:45","updated_at":"2024-05-13 06:40:45","plain":"Si votre Raspberry Pi ne répond plus sur le réseau et que vous n'avez pas d'accès direct via clavier et écran, que pouvez-vous essayer pour diagnostiquer le problème : 1. Vérifiez les voyants LED : Les Raspberry Pi ont des voyants LED qui peuvent vous donner des indications sur son état. Vérifiez si les LEDs d'alimentation et d'activité réseau sont allumées et clignotent normalement. 2. Redémarrez le Raspberry Pi : Si les voyants semblent normaux, essayez de redémarrer le Raspberry Pi en le débranchant et en le rebranchant. 3. Vérifiez la connexion réseau : Assurez-vous que le câble Ethernet est correctement connecté et que le port réseau est actif sur le routeur ou le commutateur auquel le Raspberry Pi est connecté. 4. Recherchez l'adresse IP : Utilisez un scanner de réseau ou un outil de gestion réseau pour rechercher l'adresse IP attribuée au Raspberry Pi. Si vous avez un accès au routeur, vous pouvez également vérifier la liste des appareils connectés pour trouver l'adresse IP attribuée au Raspberry Pi.\nUtilisation de la commande avec l'adresse de diffusion : Remplacez par l'adresse de diffusion de votre réseau local. Cette commande enverra un ping à toutes les adresses IP possibles sur le réseau et vous montrera les appareils qui répondent.\nUtilisation de la commande : Cette commande affiche la table ARP qui associe les adresses IP aux adresses MAC des appareils sur le réseau local.\nUtilisation de la commande : Si vous avez installé Nmap, vous pouvez l'utiliser pour effectuer une analyse de réseau plus détaillée : Remplacez par votre plage d'adresses IP locale. Cette commande balayera les adresses IP dans la plage spécifiée et vous montrera les appareils qui répondent.\nUtilisation de la commande : Cette commande affiche la table de voisinage IP, qui répertorie les adresses IP associées aux interfaces réseau de votre système.\nUtilisation de la commande (pour les réseaux basés sur Avahi/bonjour) : Cette commande affiche les services annoncés par les appareils sur le réseau local, y compris leurs adresses IP. 5. Accédez au Raspberry Pi par son nom d'hôte : Si le Raspberry Pi avait un nom d'hôte défini dans votre réseau, essayez de l'accéder en utilisant ce nom au lieu de l'adresse IP. Par exemple, essayez d'accéder à dans un navigateur ou via SSH si vous avez un service de résolution de noms de domaine local configuré. Si aucune de ces étapes ne résout le problème, il peut y avoir un problème matériel avec le Raspberry Pi lui-même."},"score":1.75,"snippet":"…'adresse de diffusion de votre réseau local. Cette commande enverra un ping à toutes les adresses IP possibles sur le réseau et vous montrera les appareils qui répondent.\nUtilisation de la commande : Cette commande affi…","tier":2},{"article":{"uuid":"a150a0d3-caac-4d1f-915d-8d3c35624df1","slug":"postfix","title":"PostFix : serveur de messagerie sous Linux","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-12-29 17:29:08","created_at":"2023-12-29 17:29:08","updated_at":"2023-12-29 17:29:08","plain":"Cet article est destiné aux débutants qui veulent configurer un serveur de messagerie électronique de base. Il est préférable d'avoir une connaissance élémentaire en administration système, ainsi que la capacité d'installer des logiciels et de modifier des fichiers de configuration. L'article a été rédigé en se basant sur Debian 11, mais les instructions devraient également convenir aux autres versions. Veuillez noter que des différences peuvent exister dans les autres versions. Postfix est un logiciel de serveur de messagerie open source largement adopté. En tant que \"MTA\" (Agent de Transfert de Message), il joue un rôle central dans le traitement, la transmission et la distribution des courriels. Doté de fonctionnalités avancées en matière de sécurité, de filtrage et de personnalisation, Postfix est un choix prisé pour la gestion des systèmes de messagerie. \nIntroduction\nL'objectif fondamental de cette procédure est de permettre à n'importe quelle machine ou serveur d'envoyer des courriels vers une adresse spécifique. Pour y parvenir, il est nécessaire de préparer le courrier électronique à l'aide d'un programme externe, puis de le transmettre efficacement au serveur de messagerie de destination en utilisant le protocole SMTP (Simple Mail Transfer Protocol). Le processus de l'envoi de courriel via SMTP s'articule comme suit, prenons un exemple concret avec un courriel destiné à l'adresse alice@example.com : 1. L'utilisateur ou un programme externe crée le courrier électronique, en spécifiant les informations du destinataire (alice@example.com), en rédigeant le contenu du message et en incluant d'autres détails nécessaires. 2. Le courriel est ensuite remis au serveur SMTP local, qui se trouve sur la machine ou le serveur à partir duquel l'envoi est effectué. 3. Le serveur SMTP analyse le domaine du destinataire (dans ce cas, \"example.com\") pour déterminer comment atteindre le serveur de messagerie de destination. 4. Le serveur SMTP établit un contact avec le serveur de messagerie de destination (le serveur SMTP de \"example.com\" dans cet exemple) en utilisant le protocole SMTP. 5. Le serveur de messagerie de destination accepte le courriel, le stocke temporairement, puis le transfère éventuellement dans la boîte aux lettres de l'utilisateur Alice, située sur son propre serveur de messagerie. 6. Si tout se déroule sans problème, le courriel est ainsi livré avec succès à Alice, qui peut alors le consulter dans sa boîte de réception. Ce processus est la façon dont le protocole SMTP assure la transmission de courriels, encheminant ces derniers de l'expéditeur au destinataire, en utilisant les serveurs de messagerie appropriés à travers Internet.\nAxe de travail\nIl existe de nombreuses configurations et combinaisons différentes possibles lors de la mise en place d'un serveur de messagerie électronique, bien trop nombreuses pour être toutes couvertes ici. Par conséquent, cet article effectue certaines choix fondamentaux pour vous, tels que les logiciels que nous allons utiliser (Postfix et Dovecot). D'autres options nécessiteront des modifications de la part de l'utilisateur, comme les adresses réseau et les noms de domaine. Les paramètres plus avancés, comme la gestion de domaines virtuels et des utilisateurs, ne sont pas abordés dans cet article et ne seront pas traités ici. Dans ce contexte, nous utilisons Postfix comme agent de transfert de messagerie (MTA). Dovecot est utilisé pour permettre aux utilisateurs d'accéder à leur courrier électronique via les protocoles IMAP ou POP. Nous partons du principe que le nom de domaine utilisé est example.com, mais cela devrait être adapté par le lecteur. Vous pouvez utiliser un véritable nom de domaine pour un serveur de messagerie pleinement qualifié ou un faux nom de domaine si vous souhaitez uniquement créer un serveur de messagerie interne. Notre exemple suppose que le serveur de messagerie physique (hôte) porte le nom mail.example.com et est situé à l'adresse IP privée 192.168.0.1 (veuillez personnaliser ces informations en fonction de vos besoins). Le serveur de messagerie fournira des comptes de messagerie basés sur les comptes système d'utilisateurs standards, et les utilisateurs accéderont à leur courrier en utilisant leur nom d'utilisateur et leur mot de passe de compte système. Nous illustrons cela avec un utilisateur nommé John Smith, qui dispose d'un compte système avec le nom d'utilisateur john.\nServeurs SMTP\nSous Linux Debian, il existe plusieurs programmes d'envoi de courriels, chacun avec ses propres fonctionnalités et avantages. Voici quelques-uns des programmes les plus couramment utilisés pour envoyer des courriels sous Debian : 1. ssmtp: Simple SMTP est un programme léger qui permet d'envoyer des courriels via SMTP. Il est particulièrement adapté aux tâches d'envoi de courriels automatisées et ne prend pas en charge la réception de courriels. 2. msmtp: MSMTP est un autre client SMTP léger qui facilite l'envoi de courriels depuis la ligne de commande ou depuis des scripts. Il peut être configuré pour transmettre des courriels à travers un serveur SMTP externe. 3. Postfix: Bien que Postfix soit principalement un serveur de messagerie, il peut également être utilisé pour envoyer des courriels depuis une machine Debian. Il offre une grande flexibilité en matière de configuration, mais sa configuration peut être plus complexe que celle des clients SMTP plus simples. 4. sendmail: Sendmail est un programme de messagerie historique sous Unix/Linux, bien qu'il soit maintenant souvent remplacé par des alternatives plus modernes. Cependant, il est toujours disponible sur Debian et peut être utilisé pour envoyer des courriels. 5. Exim: Exim est un autre serveur de messagerie qui peut être configuré pour envoyer des courriels. Il est également capable de gérer la réception de courriels, ce qui en fait une option plus complète. Le choix du programme d'envoi de courriels dépendra de vos besoins spécifiques, de votre niveau de confort avec la configuration et de la complexité de votre infrastructure de messagerie. Pour des tâches simples d'envoi de courriels depuis la ligne de commande ou depuis des scripts, ssmtp ou msmtp sont souvent des choix pratiques. Pour des besoins plus avancés, Postfix ou Exim peuvent être mieux adaptés.\nInstaller Postfix\nPour installer Postfix sur Debian, vous devez utiliser le gestionnaire de paquets APT (Advanced Package Tool). Voici comment vous pouvez procéder : La première commande met à jour la liste des paquets disponibles dans les dépôts Debian, et la deuxième commande \"apt install\" installe Postfix ainsi que ces dépendances. Choisir Entrer la valeur FQDN de votre adresse de serveur si vous devez relancer la configuration de Postfix\n sudo dpkg-reconfigure postfix\n \nPour supprimer Sendmail, vous pouvez utiliser la commande suivante : Cette commande supprime le programme Sendmail de votre système Debian. Après avoir installé Postfix, vous devrez configurer ces logiciels pour les adapter à vos besoins spécifiques.\nConfigurer Postfix\nLes fichiers de configuration de postfix sont stockés dans /etc/postfix. Les deux principaux fichiers de configuration de postfix sont master.cf et main.cf, bien que nous ne traiterons que de main.cf ici. Tout d'abord, nous allons ajouter ou modifier certaines lignes dans le fichier de configuration main.cf. Les lignes suivantes doivent être ajoutées, modifiées ou décommentées :\nTests\nFaire un essai d'envoi de mail\n echo \"Le contenu du mail\" | mail -s \"ceci est le sujet\" mail@domaine.tld Le programme mail est une composante du package mailutils. Donc, si le programme n'est pas installer sur la machine, utilisez \n- Pour modifier un paramètre dans Postfix, il faut éditer le fichier de configuration\n sudo nano /etc/postfix/main.cf\n \nRedémarrer le service\n sudo systemctl restart postfix\n \n Gestion des Alias\nAjouter dans le fichier de configuration de Postfix, virtualaliasmaps = hash:/etc/postfix/virtual\n \nPuis ajouter dans le fichier les alias désirés tel que le modèle suivant : Enfin, exécuter le bloc suivant. Il sera nécessaire de l’exécuter à chaque modifications effectuées du fichier .\n sudo postmap /etc/postfix/virtual\n sudo systemctl restart postfix Mails en attente\nPour connaître les mails en attente\n sudo postqueue -p\n- Pour traiter tous les mails en attente\n sudo postqueue -f\n- Pour supprimer tous les mails en attente\n sudo postsuper -d ALL Reprise de la configuration de Postfix\nLe fichier de configuration de Postfix est . Il est éditable par nano ou vim. On va le reprendre pour configurer Postfix.\n-- myhostname = myserver.example.com Il est important que l'option corresponde au FQDN (fully qualified domain name) du serveur. La valeur à renseigner et celle qui renvoyée par la commande :\n nslookup 91.134.243.56\n|\n \nDans l'exemple précédent, le serveur est noté dans le Cette information est gérée par le serveur DNS Cette option se trouve les paramètres , chez kimsufi.com \n| Cette option, reverse DNS, se trouve dans les options du serveur VPS de vos serveurs dédiés, chez ovh.com\n|\n|\n-- Configurer le nom du serveur SMTP, domaine à afficher dans le courrier sortant myorigin = example.com Configuer le nom du serveur SMTP mydomain = example.com Configure to which SMTP domains to relay messages to, for example: relaydomains = example.com\n-- Configuration minimaliste du SMTP Greeting Banner: smtpdbanner = $myhostname\n-- Limiter les attaques par déni de services : Consulter le fichier log\nLe fichier log standard de postfix est Vous pouvez garder un oeuil sur les logs\n sudo tail -f /var/log/mail.info&\n \n \nEnvoyer un mail\nIl y a deux possibilités :\nenvoie depuis un client : mail\nconnexion en Telnet sur le serveur SMTP L'utilitaire mail fait parti de la suite mailutils\n sudo apt install mailutils\n-- Utilisation de l'utilitaire mail depuis un poste client. Pour envoyer un mail à de la part de \n echo \"This is the message body\" | mail -s \"This is the subject\" mail@example.com -aFrom:sender@example.com\n \nPour envoyer un mail à \n echo \"This is the message body\" | mail -s \"Hello World\" username\n-- Utilisation de telnet pour se connecter sur le serveur SMTP telnet mail.mymailserver.com 25\n \nPuis saisir les commandes SMTP EHLO checkeremail.com MAIL FROM: RCPT TO: DATA\n Subject: Sending an email using telnet\n Hello,\n Here is my body? Do you like it?\n Cédric\n . QUIT Vider tous les mails\nVider tous les mails présents dans la boite d'un utilisateur. On considère que la boite mail (mbox) de l'utilisateur se trouve dans le fichier sudo sh -c \"> /var/mail/www-data\" Gestion des certificats\nPour configurer Postfix et Certbot pour utiliser les certificats SSL/TLS de \"smtp.monserveur.fr\" avec Let's Encrypt, suivez ces étapes générales. Assurez-vous d'avoir les droits nécessaires sur le serveur et que vous êtes à l'aise avec l'édition de fichiers de configuration en ligne de commande. Configurer Postfix pour utiliser SSL/TLS\n1. Accédez à la configuration de Postfix:\nConnectez-vous à votre serveur en tant que sudouser.\nOuvrez le fichier de configuration principal de Postfix avec un éditeur de texte, tel que ou . Le fichier est généralement situé à . 2. Définissez les chemins des certificats:\nLocalisez ou ajoutez les lignes suivantes dans pour spécifier l'emplacement des fichiers de certificat et de clé privée (remplacez les chemins par les vôtres si nécessaire) :\nActivez l'utilisation de TLS en ajoutant ou en s'assurant que la ligne suivante est présente : 3. Redémarrez Postfix:\nSauvegardez vos modifications et fermez le fichier.\nExécutez la commande pour appliquer les modifications. Configurer Dovecot pour SSL/TLS\nSi vous utilisez Dovecot comme serveur IMAP/POP3 : 1. Les fichiers de configuration de Dovecot se trouvent généralement dans . Le fichier principal de configuration est souvent nommé , et il peut inclure d'autres fichiers de configuration situés dans . 2. Dans les fichiers de configuration de Dovecot, vous devrez trouver et modifier les lignes qui définissent le chemin du certificat SSL et de la clé privée. Recherchez quelque chose comme ceci : Pensez à désactiver la configuration présente dans . 3. Redémarrez Dovecot avec . 4. Après le redémarrage, assurez-vous que tout fonctionne comme prévu. Vous pouvez vérifier que Dovecot écoute avec le nouveau certificat en vous connectant avec un client de messagerie ou en utilisant OpenSSL : Configurer Let's Encrypt pour le renouvellement automatique\n1. Certbot gère généralement les renouvellements automatiquement. Cependant, vous pouvez personnaliser ou ajouter des scripts de renouvellement dans le dossier de hooks de renouvellement. 2. Scripts de renewal-hooks:\nPlacez les scripts personnalisés dans . Vous pouvez avoir des scripts , , et pour s'exécuter avant, pendant, et après le renouvellement.\nUn script typique dans pourrait redémarrer Postfix et Dovecot pour appliquer les nouveaux certificats. Voir les pages : \nSi vous avez deux scripts distincts, et et vous souhaitez exécuter les deux après le renouvellement de certificat Let's Encrypt par Certbot, vous pouvez configurer les hooks dans le fichier de configuration de renouvellement de Certbot ou les placer dans les répertoires de hook appropriés. Vous devriez ajouter des lignes pour posthook dans la section . Votre fichier pourrait ressembler à ceci : 3. Tester le renouvellement:\nExécutez pour tester le processus de renouvellement et s'assurer que tout fonctionne comme prévu. Vérification et maintenance\nVérifiez les logs de Postfix et Dovecot pour les erreurs liées aux certificats SSL/TLS.\nAssurez-vous que les certificats se renouvellent correctement en vérifiant les dates d'expiration et en observant le comportement du système lors des renouvellements planifiés. Remarques\nFaites toujours une copie de sauvegarde des fichiers de configuration avant de les modifier.\nLes chemins exacts et les commandes peuvent varier légèrement en fonction de votre distribution Linux et de la version de vos logiciels.\nAssurez-vous que les ports nécessaires sont ouverts sur votre pare-feu pour permettre les connexions TLS/SSL. En suivant ces étapes, vous devriez être capable de configurer Postfix et Dovecot pour utiliser les certificats SSL/TLS avec Let's Encrypt, améliorant ainsi la sécurité de votre serveur de messagerie. Assurez-vous de tester votre configuration pour vérifier que tout fonctionne correctement avant de la mettre en production. Biblio\nhttps:www.tecmint.com/install-postfix-mail-server-with-webmail-in-debian/\nhttps:*wiki.centos.org/HowTos(2f)postfix.html"},"score":1.75,"snippet":"…re est de permettre à n'importe quelle machine ou serveur d'envoyer des courriels vers une adresse spécifique. Pour y parvenir, il est nécessaire de préparer le courrier électronique à l'aide d'un programme externe, puis…","tier":2},{"article":{"uuid":"d5957a86-0d2e-4194-8a45-9b0d8bdde166","slug":"nextcloud","title":"NextCloud","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-12-13 09:33:03","created_at":"2023-12-13 09:33:03","updated_at":"2023-12-13 09:33:03","plain":"Installer NextCloud\nPré requis\nEnvironnement utilisé lors de la rédaction de ce document\nOS : Linux Debian 10\nHTTP : Serveur Apache 2.4\nSGBD : MariaDB\nLangage : PHP 7.4 exécuté en FPM avec Apache\nModules PHP installés\nConfiguration PHP\nMémoire limite Dans la configuration par défaut, la valeur memorylimit n'est pas indiquée. Ajouter dans le fichier de configuration PHP FPM .\nBase de données\nIl faut créer un utilisateur et une base de données. Dans cette section on définie :\npasswordnextcloud : le mot de passe MariaDb ssociée Se connecter à mariaDb : Créer la base de données : Créer le compte de connexion et associer les droits sur la base de données :\nConfigurer Apache 2.4\nNous allons ajouter un dossier à notre configuration Web actuelle. L'accès se fera par http:www.abonnel.fr/cloud Éditer le fichier de configuration Apache \n> Prendre en considération la configuration\n> Activer les modules Apache 2 suivants\n> Activer la gestion du SSL\n> Modifier les droits d'accès sur le dossier data\n> Télécharger le script Le script est disponible à l'adresse https:nextcloud.com/install/#instructions-server \n> Déployer le script\n> Mettre les bons droits sur le dossiers\n> Redémarrage du service Apache\n> Se connecter à NextCloud pour terminer le paramétrage Utiliser l'URL qui permet d'accéder à NextCloud. Par exemple https:abonnel.fr/cloud\nLors du premier appel, le panneau de configuration initiale s'affiche.\nConfiguration l'antivirus\n apt-get install clamav clamav-daemon\nConfiguration Redis et APCu Il faut éditer le fichier de configuration NextCloud : Il faut associer le groupe au compte sudo usermod -a -G redis www-data Puis redémarrer Apache2 sudo systemctl restart apache2 Activation de memcache Assurez-vous également que le module Memcache est activé dans votre fichier de configuration PHP. Vous devrez peut-être ajouter ou décommenter la ligne suivante dans les fichiers de configuration : Après avoir apporté des modifications, redémarrez le service PHP-FPM pour prendre en compte les modifications :\nLes options nextCloud\nPour modifier les options il faut éditer le fichier de configuration NextCloud . Une fois les modification effectuées, il faut exécuter le script suivant :\nForcer les connexions en https\nMettre par défaut l'interface en Français et le code pays\nFaire disparaître le index.php de l'URL\nMise à jour en ligne de commande\nDésactiver le mode maintenance\nMettre à jour toutes les applications\najouter une tâche cron pour NextCloud\n> Éditer la configuration cron pour www-data Dans la configuration, ajouter :\nconfigurer fail2ban\nCréer le fichier qui définie les règles de détection d'erreur d'authentification. Le fichier permet de renseigner l'environnement Nextcloud. Redémarrer, vérifier :\nconfigurer mysql\nDans le fichier \nconfigurer php\nDans un fichier de configuration PHP-FPM, par exemple \nMettre à jour automatiquement NextCloud\n> Éditer la configuration cron pour www-data Dans la configuration, ajouter :\nMettre à jour automatiquement les applications NextCloud\n> Éditer la configuration cron pour www-data Dans la configuration, ajouter :\nMaintenance suite aux mises à jour\nIndex manquants\nLa base de données a quelques index manquants. L'ajout d'index dans de grandes tables peut prendre un certain temps. Elles ne sont donc pas ajoutées automatiquement. En exécutant , ces index manquants pourront être ajoutés manuellement pendant que l'instance continue de tourner. Une fois les index ajoutés, les requêtes sur ces tables sont généralement beaucoup plus rapides.\nClés primaires manquantes\nIl manque des clés primaires dans la base de données. En raison du fait que l’ajout de clés primaires sur les grandes tables peut prendre un certain temps, elles n’ont pas été ajoutées automatiquement. En exécutant , ces clés primaires manquantes peuvent être ajoutées manuellement pendant que l’instance continue de fonctionner.\nClés primaires manquantes\nCertaines colonnes facultatives sont manquantes dans la base de données. Étant donné qu'ajouter des colonnes sur des grandes tables peut prendre du temps, elles n'ont pas été ajoutées automatiquement lorsqu'elles sont facultatives. En exécutant ces colonnes manquantes peuvent être ajoutées manuellement alors que l'instance continue de fonctionner. Une fois que les colonnes sont ajoutées, la performance ou l'utilisabilité de certaines fonctionnalités pourraient être améliorées.\nClés primaires manquantes\nCertaines colonnes de la base de données n'ont pas été converties en big int. Changer le type de colonne dans de grandes tables peu prendre beaucoup de temps, elles n'ont donc pas été converties automatiquement. En exécutant ces changements en suspens peuvent être déclenchés manuellement. Cette opération doit être exécutée pendant que l'instance est hors ligne.\nQuelques trucs et astuces\nUtilisateur désactivé\nActiver un utilisateur qui a été désactivé : sudo -u www-data php occ user:enable [username]\nImport d'un VCard en erreur\nConvertir un fichier vcard 2.1 en vcard 3.0 pour l'importer dans NextCloud : https:github.com/jowave/vcard2to3\nContacts / CardDAV\nNextcloud propose un backend CardDAV pour que les utilisateurs puissent stocker et partager leurs carnets d'adresses et leurs contacts. Carnet d'adresses système\nModifié dans la version 27 : Le carnet d'adresses système est désormais accessible à tous les utilisateurs de Nextcloud. Nextcloud maintient un carnet d'adresses en lecture seule contenant les informations de contact de tous les utilisateurs de l'instance. Les utilisateurs désactivés sont supprimés de ce carnet d'adresses. Vous pouvez désactiver l'accès au carnet d'adresses système en utilisant la valeur de configuration de l'application . Exécutez la commande pour désactiver l'accès au carnet d'adresses système pour tous les utilisateurs. Veuillez noter que cela n'influence pas le partage fédéré. Avertissement\nSi des clients se sont déjà connectés au point de terminaison CalDAV, les clients peuvent rencontrer des problèmes de synchronisation après la désactivation de l'accès au carnet d'adresses système. Cela peut souvent être résolu en choisissant un carnet d'adresses par défaut différent sur le client et en forçant une nouvelle synchronisation. Confidentialité et étendue des propriétés de l'utilisateur\nLes informations de contact dans le carnet d'adresses système sont extraites des informations de profil des utilisateurs. Les propriétés de profil ne sont écrites dans le carnet de contacts système que si l'étendue est définie sur \"Local\" ou plus élevé. Les utilisateurs qui définissent toutes leurs étendues de propriétés sur \"Privé\" sont supprimés du carnet d'adresses système et ne sont donc pas visibles par les autres utilisateurs. Les paramètres de partage de fichiers contrôlent l'énumération des autres utilisateurs.\nSi l'autocomplétion du nom d'utilisateur n'est pas autorisée, le carnet d'adresses système ne montrera que le contact système de l'utilisateur mais pas d'autres contacts.\nSi l'autocomplétion du nom d'utilisateur est autorisée, les utilisateurs verront les cartes de contact de tous les autres utilisateurs.\n1. Si l'autocomplétion est limitée aux utilisateurs au sein des mêmes groupes, les utilisateurs verront les cartes de contact d'autres utilisateurs dans les groupes partagés.\n1. Si l'autocomplétion est limitée aux numéros de téléphone correspondants, le carnet d'adresses système ne montrera que le contact système de l'utilisateur mais pas d'autres contacts.\n1. Si l'autocomplétion est limitée aux utilisateurs au sein des mêmes groupes et aux numéros de téléphone correspondants, les utilisateurs verront les cartes de contact d'autres utilisateurs dans les groupes partagés. Synchronisation du carnet d'adresses\nLe carnet d'adresses est mis à jour automatiquement à chaque ajout, modification, désactivation ou suppression d'utilisateur. Les administrateurs peuvent également déclencher une réécriture complète du carnet d'adresses avec ."},"score":1.75,"snippet":"Installer NextCloud\nPré requis\nEnvironnement utilisé lors de la rédaction de ce document\nOS : Linux Debian 10\nHTTP : Serveur Apache 2.4\nSGBD : MariaDB\nLangage : PHP 7.4 exécuté en FPM avec Apache\nModules PHP installés\nCo…","tier":2},{"article":{"uuid":"f8423f15-05e8-469e-93e9-e1ca68504e23","slug":"git","title":"git","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-11-30 21:13:02","created_at":"2023-11-30 21:13:02","updated_at":"2023-11-30 21:13:02","plain":"Git est un système de gestion de versions qui permet de suivre les modifications apportées à des fichiers et de collaborer sur des projets informatiques de manière organisée. Il enregistre l'historique de toutes les modifications, ce qui permet de revenir en arrière en cas d'erreur et de travailler en équipe sur un même code source sans conflits majeurs. En résumé, Git est un outil essentiel pour les développeurs et d'autres personnes travaillant sur des projets informatiques pour gérer et suivre les modifications apportées aux fichiers.\nCommandes Git de base\nLorsque vous travaillez uniquement en local avec Git, vous avez généralement besoin d'un ensemble de commandes Git de base pour gérer vos dépôts locaux. Voici quelques-unes des commandes Git les plus couramment utilisées dans ce contexte :\ngit init : Cette commande initialise un nouveau dépôt Git local dans le répertoire courant. Vous l'utiliserez une seule fois au début du projet pour créer un nouveau dépôt.\ngit clone : Si vous avez déjà un dépôt distant et que vous souhaitez créer une copie locale de ce dépôt, vous pouvez utiliser la commande git clone.\ngit status : Cette commande vous permet de vérifier l'état de votre répertoire de travail par rapport au dépôt Git local. Elle vous montre les fichiers modifiés, non suivis, en attente de commit, etc.\ngit add : Utilisez cette commande pour mettre des fichiers sous suivi Git (staging area) en vue de les inclure dans le prochain commit.\ngit commit : Crée un instantané (commit) des modifications enregistrées dans la staging area. \ngit log : Cette commande affiche l'historique des commits du dépôt local, y compris les messages de commit et les informations sur les auteurs et les dates.\ngit branch : Permet de lister les branches disponibles dans votre dépôt local, et de voir sur quelle branche vous vous trouvez actuellement.\ngit checkout : Vous permet de passer d'une branche à une autre. \ngit merge : Utilisé pour fusionner une branche avec une autre. \ngit diff : Vous montre les différences entre deux commits, deux branches ou deux fichiers. \nCommandes Git avec un dépôt distant\nLorsque vous travaillez avec un dépôt distant en plus de votre dépôt local, vous devez utiliser quelques commandes supplémentaires pour synchroniser votre travail avec le dépôt distant. Voici les commandes Git les plus couramment utilisées dans ce contexte :\ngit remote : Cette commande vous permet de voir la liste des dépôts distants associés à votre dépôt local.\ngit fetch : Utilisez cette commande pour récupérer les dernières modifications du dépôt distant sans les fusionner dans votre branche actuelle. Elle met à jour vos références locales avec les modifications distantes.\ngit pull : Cette commande récupère les dernières modifications du dépôt distant et les fusionne automatiquement dans votre branche locale. C'est équivalent à exécuter git fetch suivi de git merge.\ngit push : Utilisez cette commande pour pousser vos commits locaux vers le dépôt distant. Vous devez spécifier la branche locale que vous souhaitez pousser et la branche distante vers laquelle vous voulez la pousser.\ngit clone (déjà mentionné) : Utilisez cette commande pour cloner un dépôt distant et créer une copie locale de celui-ci.\ngit branch (déjà mentionné) : Vous permet de voir les branches locales et distantes. Utilisez git branch -r pour voir les branches distantes.\ngit checkout (déjà mentionné) : Vous permet de basculer entre les branches locales et de créer de nouvelles branches.\ngit merge (déjà mentionné) : Utilisé pour fusionner les branches locales. Vous pouvez également utiliser git merge pour fusionner des branches distantes dans votre branche actuelle après avoir récupéré les modifications avec git fetch.\ngit remote add : Si vous souhaitez ajouter un nouveau dépôt distant à votre dépôt local, vous pouvez utiliser cette commande pour l'associer.\ngit remote remove : Cette commande vous permet de supprimer un dépôt distant associé à votre dépôt local.\ninit\nQue vous travailliez en collaboration avec d'autres développeurs ou que vous travailliez uniquement sur votre propre projet, vous effectuerez systématiquement une commande pour initialiser la construction de votre dépôt Git. Pour rappel, Git sait aussi bien travailler en collaboration à distance qu'en local, car il permet de gérer efficacement les versions de votre code, de suivre l'historique des modifications et de fusionner les contributions de différents collaborateurs, que ce soit sur un dépôt distant ou sur votre propre machine.\ngitignore\nLe fichier est utilisé pour spécifier des règles sur les fichiers et les répertoires que Git doit ignorer lorsqu'il suit les modifications. Les règles définies dans ce fichier indiquent à Git de ne pas inclure certains fichiers ou dossiers dans les commits, ce qui peut être utile pour exclure des fichiers de configuration locaux, des fichiers de génération automatique, des fichiers temporaires, etc. Placer le fichier à la racine du dépôt est courant car cela permet de spécifier des règles d'ignorance qui s'appliquent à l'ensemble du projet. Cependant, il est également possible d'avoir des fichiers dans des sous-répertoires si vous avez besoin de règles d'ignorance spécifiques à ces sous-répertoires.\nclone\nCe terme désigne l'action de copier ou télécharger le contenu d'un dépôt dans un dossier de travail. L'adresse d'un dépot Git peut-être par exemple . Dans le contexte de la gestion de versions et du contrôle de code source, un dépôt (ou repository en anglais) est un endroit où sont stockées toutes les informations liées à un projet, y compris les fichiers source, l'historique des versions, les branches de développement, etc. Donc, lorsque vous souhaitez cloner ce lien avec la commande , vous obtenez une copie locale de ce dépôt sur votre machine, ce qui vous permet de travailler sur le projet et de suivre les modifications localement. Par exemple : Ces commandes créent un dossier appelé \"scripts-bash\" dans le répertoire \"/projets\" et téléchargent les fichiers et dossiers du dépôt, en préservant la structure de l'arborescence telle qu'elle est définie dans le dépôt. Le dossier \"/projets/scripts-bash\" devient un dépôt Git local.\nremote\nPour collaborer avec d'autres sur Git, vous devez initialement créer un dépôt sur la plateforme de votre choix, que ce soit GitHub, GitLab, ou un dépôt géré par un service tel que Gitea. Une fois que votre dépôt distant est prêt, vous devez configurer votre dépôt local pour qu'il puisse interagir avec le dépôt distant en utilisant la commande . Cette commande permet d'établir le lien entre votre dépôt local et le dépôt distant en spécifiant son emplacement et un nom symbolique pour référencer le dépôt distant. Voici quelques exemples d'utilisation de la commande pour configurer des dépôts distants dans Git : 1. Ajouter un dépôt distant nommé \"origin\" avec une URL : 2. Voir la liste des dépôts distants configurés dans votre dépôt local : 3. Modifier l'URL d'un dépôt distant existant (par exemple, changer l'URL du dépôt \"origin\") : 4. Supprimer un dépôt distant spécifique (par exemple, supprimer le dépôt \"origin\") : 5. Renommer un dépôt distant (par exemple, renommer \"origin\" en \"new-origin\") : 6. Voir les informations détaillées sur un dépôt distant spécifique (par exemple, \"origin\") :\norigin\nDans Git, \"origin\" est généralement un nom symbolique utilisé pour faire référence par défaut au dépôt distant à partir duquel vous avez cloné votre dépôt local. Il est important de noter que \"origin\" n'est pas un terme réservé ou prédéfini par Git, mais c'est une convention couramment utilisée. Plus précisément, \"origin\" est un alias que Git utilise pour simplifier les opérations de communication avec un dépôt distant. Lorsque vous clonez un dépôt distant avec la commande , Git configure automatiquement \"origin\" pour pointer vers l'URL du dépôt distant que vous avez cloné. Cela vous permet d'accéder facilement au dépôt distant sans avoir à spécifier son URL à chaque fois que vous effectuez des opérations telles que ou . Par exemple, après avoir cloné un dépôt depuis GitHub, votre dépôt local aura par défaut \"origin\" configuré pour pointer vers l'URL du dépôt GitHub. Vous pouvez ensuite utiliser des commandes comme pour tirer les mises à jour du dépôt distant ou pour pousser vos modifications vers le dépôt distant, en utilisant simplement l'alias \"origin\". Cependant, vous pouvez également configurer d'autres dépôts distants avec des noms différents si vous travaillez avec plusieurs dépôts distants dans votre projet. \"origin\" est simplement le nom par défaut pour le dépôt distant d'origine à partir duquel vous avez cloné.\nadd, commit, push\nLes commandes add, commit et push sont des commandes essentielles dans Git qui vous permettent de gérer et de versionner vos fichiers et modifications. git add : Cette commande est utilisée pour mettre des fichiers sous suivi Git (staging area). En d'autres termes, elle permet de préparer les modifications que vous souhaitez inclure dans votre prochain commit. Vous pouvez spécifier les fichiers individuellement ou utiliser des motifs pour ajouter plusieurs fichiers à la fois. Par exemple : La première commande ajoute un fichier spécifique, la deuxième ajoute tous les fichiers dans un dossier, et la troisième ajoute tous les fichiers modifiés ou nouveaux dans le répertoire de travail. git commit : Une fois que vous avez ajouté les fichiers à la staging area avec git add, vous pouvez utiliser git commit pour créer un instantané (commit) des modifications. Chaque commit est accompagné d'un message descriptif qui explique les changements apportés. Par exemple : Cette commande crée un commit contenant les fichiers ajoutés à la staging area avec un message qui décrit la modification effectuée. git push : Cette commande est utilisée pour pousser vos commits vers un dépôt distant, comme celui sur GitHub, GitLab ou un autre serveur Git. Lorsque vous effectuez des commits localement, ils ne sont pas automatiquement disponibles pour d'autres collaborateurs ou pour sauvegarde sur le serveur distant. git push permet de transférer vos commits locaux vers le dépôt distant. Par exemple : Cette commande envoie les commits de la branche locale vers la branche correspondante sur le dépôt distant.\n- Si vous souhaitez modifier l'un des scripts ou fichier dans le dépôt cloné (par exemple, le \"scripts-bash\" que vous avez cloné), suivez ces étapes : 1. Naviguez vers le répertoire où vous avez cloné le dépôt. Vous avez mentionné que vous l'avez cloné dans \"/projets/scripts-bash\". Utilisez la commande pour vous déplacer vers ce répertoire : 2. Une fois dans le répertoire du projet, vous pouvez éditer le script que vous souhaitez modifier à l'aide de l'éditeur de texte de votre choix. Par exemple, si vous utilisez l'éditeur de texte \"nano\", vous pouvez l'ouvrir en spécifiant le nom du fichier à éditer : 3. Effectuez les modifications nécessaires dans le script à l'aide de l'éditeur de texte. 4. Enregistrez les modifications et quitter l'éditeur de texte. 5. Une fois les modifications enregistrées, vous pouvez les valider en utilisant Git. Voici comment cela peut être fait :\nSi vous avez modifié un fichier existant, utilisez la commande pour ajouter les modifications au suivi Git :\nEnsuite, utilisez la commande pour enregistrer les modifications avec un message descriptif :\nEnfin, utilisez pour pousser les modifications vers le dépôt distant (si vous avez les autorisations nécessaires) : Assurez-vous de remplacer \"nomdelabranche\" par le nom de la branche sur laquelle vous souhaitez pousser les modifications.\n- En résumé, git add prépare les modifications, git commit crée un instantané des modifications avec un message, et git push envoie ces commits vers un dépôt distant. Ensemble, ces commandes permettent de gérer efficacement les versions de votre code source. Elles permettront de modifier un script dans votre dépôt Git local et de mettre à jour le dépôt distant avec vos modifications.\nEnregistrer ces identifiants durant un laps de temps en mémoire\nComme vous l'aurez remarqué, les identifiants sont systématiquement requis lorsque vous effectuez des modifications sur le serveur distant avec la commande . Vous avez la possibilité de mémoriser temporairement les identifiants de connexion Git localement en utilisant la commande . Voici comment procéder : 1. Ouvrez votre Terminal 2. Exécutez les commandes suivantes pour définir votre nom d'utilisateur et votre mot de passe pour le dépôt distant : Assurez-vous de remplacer les valeurs de , , et par les valeurs appropriées pour votre dépôt distant.\n- Une fois que vous avez exécuté ces commandes, Git stockera vos informations d'identification en mémoire de manière sécurisée localement pendant un certain temps (dans cet exemple, pendant 3600 secondes, soit 1 heure). Vous n'aurez pas besoin de saisir vos informations d'identification à chaque opération Git pendant cette période. Source : https:git-scm.com/docs/git-credential-cache/fr \nEnregistrer ces identifiants dans les gestionnaires de secrets\nGNOME Keyring Source : https:pkgs.org/search/?q=git-credential-libsecret \nEnregistrer ces identifiants dans keepassXC\nSource : https:github.com/Frederick888/git-credential-keepassxc //"},"score":1.75,"snippet":"…locaux vers le dépôt distant. Par exemple : Cette commande envoie les commits de la branche locale vers la branche correspondante sur le dépôt distant.\n- Si vous souhaitez modifier l'un des scripts ou fichier dans le dé…","tier":2},{"article":{"uuid":"4b7b21ff-6510-4936-bf71-6aa18af37ee8","slug":"audacity","title":"Audacity - logiciel d'édition audio","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-10-29 23:37:39","created_at":"2023-10-29 23:37:39","updated_at":"2023-10-29 23:37:39","plain":"Audacity est un logiciel gratuit, open source et multi-plateforme de traitement du son qui vous permet d'enregistrer, de modifier et de mixer du son sur votre ordinateur. Il est particulièrement utile pour les musiciens, les podcasters, les professionnels du son et tous ceux qui travaillent avec du son numérique.\nEnregistrement: Audacity vous permet d'enregistrer du son à partir de différentes sources, telles que votre microphone, votre carte son ou des fichiers audio existants. Vous pouvez également enregistrer plusieurs pistes simultanément pour créer des compositions multi-pistes.\nÉdition: Audacity vous permet de couper, copier, coller et déplacer des sections de pistes audio pour créer des effets spéciaux, synchroniser des pistes ou supprimer des bruits indésirables. Vous pouvez également ajouter des effets tels que l'écho, le reverb ou le changement de pitch.\nMixage: Audacity vous permet de contrôler le volume et la panoramisation de chaque piste pour créer un mixage final équilibré. Vous pouvez également utiliser des outils tels que l'égaliseur ou le compresseur pour améliorer la qualité sonore de votre projet.\nExportation: Audacity vous permet d'exporter vos projets au format MP3, WAV ou OGG pour les partager sur internet ou les graver sur CD. Vous pouvez également exporter directement vers Soundcloud, YouTube ou d'autres plateformes en ligne. Audacity est diffusé sous forme d'AppImage, une méthode qui garantit que l'AppImage est mis à jour simultanément avec les versions destinées à Windows et macOS. L'équipe d'Audacity assure la compatibilité avec Linux en testant l'utilisation d'AppImages spécifiquement sur Ubuntu 22.04. Bien que d'autres distributions Linux puissent potentiellement fonctionner par le gestionnaire de paquets, elles ne font pas l'objet de tests de la part de l'équipe Audacity. Il est important de noter que ce qui suit ne représente que des suggestions d'installations possibles. Sous Fedora, le gestionnaire de paquets DNF peut proposer la version \"Freeworld\" d'Audacit. Celle-ci inclut un certain nombre de bibliothèques et de codecs qui ne sont pas inclus dans la version officielle d'Audacity. Ces bibliothèques et codecs sont souvent nécessaires pour lire ou enregistrer certain types de fichiers audio et sont donc utiles pour les utilisateurs avancés. Cependant, ils peuvent être considérés comme des logiciels tiers par certains utilisateurs et peuvent être bloqués ou désapprouvés par certaines politiques de sécurité. Dernière information que je souhaite vous communiquer, Audacity a été racheté par Muse Group en 2021 avec des modification sur la collecte d'informations, ce qui a eu un impact négatif sur sa popularité ou son utilisation. Solutions alternatives : Tenacity, LMMS ou OcenAudio. Installer sous Fedora\nInstaller avec le fichier AppImage\nLe programme AppImage est une version autonome d'Audacity qui n'a pas besoin d'être installée sur votre ordinateur. Vous pouvez simplement le télécharger sur le site web d'Audacity et l'exécuter comme n'importe quel autre fichier sur votre ordinateur. L'avantage de cette méthode est qu'elle ne nécessite aucune installation et que vous pouvez l'utiliser sur n'importe quel ordinateur compatible sans avoir à l'installer. Il est généralement conseillé de déplacer les fichiers AppImage dans un répertoire de votre choix, mais de ne pas les déplacer dans un répertoire système comme ou . Les répertoires système sont gérés par le système d'exploitation et peuvent être modifiés lors d'une mise à jour ou d'une installation de logiciels, ce qui peut entraîner la suppression ou la modification de vos fichiers AppImage. Il est donc préférable de les déplacer dans un répertoire personnel, comme . CRÉER UN RACCOURCI POUR VOTRE APPIMAGE Vous pouvez créer un raccourci pour Audacity en utilisant la ligne de commande en suivant les étapes suivantes : \nOuvrez un terminal en cliquant sur \"Applications\" puis \"Terminal\". Entrez la commande suivante pour créer un nouveau fichier .desktop : nano /.local/share/applications/audacity.desktop\n\nCopiez et collez le contenu suivant dans le fichier : Le symbole \"\" n'est pas reconnu dans les fichiers comme un chemin absolu, ni même la variable . Au lieu de cela, vous devez utiliser le chemin complet (chemin absolu) vers le fichier AppImage.\nAppuyez sur Ctrl + X pour enregistrer les modifications, puis sur Y pour confirmer l'enregistrement. Sous Gnome, les icônes sont généralement stockées dans un des répertoires suivants :\n/usr/share/icons\n/usr/local/share/icons\n/.local/share/icons Il est conseillé d'utiliser le répertoire pour les icônes personnalisées, car il est spécifique à l'utilisateur et n'est pas affecté par les mises à jour du système. Vous pouvez maintenant trouver Audacity dans le menu Applications et le lancer en cliquant dessus. \nInstaller avec le dépôt RPM Fusion Nonfree\nPour installer Audacity avec des fonctionnalités supplémentaires (telles que l'exportation de fichiers au format MP3), vous devez utiliser le dépôt RPM Fusion Nonfree. Installer le référentiel RPM Fusion Nonfree [^note: RPM Fusion Nonfree est un référentiel tiers pour les distributions Fedora et Red Hat Enterprise Linux (RHEL) qui fournit des logiciels propriétaires qui ne sont pas disponibles dans les référentiels officiels. Le référentiel RPM Fusion Nonfree contient des logiciels propriétaires tels que les pilotes de périphériques pour certains matériels, les codecs multimédias non libres et d'autres logiciels qui peuvent être distribués gratuitement, mais qui ont des restrictions de licence.] sur un système Fedora. \nInstaller le référentiel RPM Fusion Nonfree : sudo dnf -y install https:download1.rpmfusion.org/nonfree/fedora/rpmfusion-nonfree-release-$(rpm -E %fedora).noarch.rpm\n\ninstallez Audacity en exécutant la commande suivante : sudo dnf install audacity-freeworld\n Une fois l'installation terminée, vous pouvez lancer Audacity en tapant dans le terminal ou en recherchant dans le menu Applications. Installer avec Flatpack / Flathub\nFlatpak est un système de packaging d'applications pour Linux qui permet de distribuer des applications Linux de manière universelle indépendamment des distributions Linux et de leurs bibliothèques associées. Flathub est un dépôt centralisé de Flatpak qui contient de nombreuses applications. Pour installer Audacity via Flatpak, vous devez tout d'abord installer Flatpak et Flathub sur votre système. \nVous pouvez installer Flatpak sur votre système Fedora ou assimilé, utilisez la commande suivante : sudo dnf install flatpak Vous pouvez installer Flatpak sur votre système Debian ou assimilé, utilisez la commande suivante : sudo apt install flatpak \nEnsuite, vous pouvez ajouter Flathub à la liste des dépôts de Flatpak en utilisant la commande suivante : flatpak remote-add --if-not-exists flathub https:flathub.org/repo/flathub.flatpakrepo \nUne fois que vous avez installé Flatpak et Flathub, vous pouvez installer Audacity via Flatpak en utilisant la commande suivante : flatpak install flathub org.audacityteam.Audacity \nDepuis le rachat d'Audacity par Muse en avril 2021, les nouvelles versions de l'application collecte des données très limitées [^note: https://www.bbc.com/news/technology-57721967]. Pour éviter qu'Audacity ne communique avec Internet, il suffit de désactiver les communications. Pour modifier l'option pour l'utilisateur courant avec flatseal, décochez l'option , afin d'empêcher Audacity de communiquer avec le réseau. ou en ligne de commande : flatpak override --user --unshare=network org.audacityteam.Audacity -v\n \nLe fichier sera modifié.\n \nPour modifier l'option pour tous les utilisateurs, utilisez la commande suivante : sudo flatpak override --unshare=network org.audacityteam.Audacity -v Le fichier sera modifié. Personnaliser\nAjout d'un raccourci vers les metadonnées\nLes métadonnées sont des informations supplémentaires associées à un fichier audio qui peuvent inclure le titre, l'artiste, l'album, la date de sortie, le genre, etc. En utilisant un fichier de métadonnées, vous pouvez facilement ajouter ces informations à vos fichiers audio lors de l'export dans Audacity. Cela peut être utile pour organiser votre bibliothèque musicale et permettre à d'autres programmes de lire et d'afficher ces informations correctement. Le dossier est le dossier de données par défaut d'Audacity où les fichiers de métadonnées peuvent être enregistrés et stockés. En créant un lien vers le dossier contenant votre bibliothèque de métadonnées, vous pouvez facilement accéder à ces fichiers lorsque vous avez besoin de les utiliser dans Audacity**."},"score":1.75,"snippet":"…suivante pour créer un nouveau fichier .desktop : nano /.local/share/applications/audacity.desktop\n</callout> <callout icon="fa fa-slack">\nCopiez et collez le contenu suivant dans le fichier : Le symbole "" n'est pas …","tier":2},{"article":{"uuid":"8c35ec51-f9c5-43ee-bdd6-fc3a573754ef","slug":"20230820-linux-mint-21-2-victoria","title":"Linux Mint 21.2 Victoria","category":"Journal geek","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-08-20 15:42:50","created_at":"2023-08-20 15:42:50","updated_at":"2023-08-20 15:42:50","plain":"Linux Mint 21.2 est une version à long terme avec prise en charge, qui sera soutenue jusqu'en 2027. Elle est livrée avec des logiciels mis à jour et apporte des améliorations ainsi que de nombreuses nouvelles fonctionnalités. Elle a été annoncée le 16 juillet 2023 sur le blog de Linux Mint [^note: https:blog.linuxmint.com/?p=4543]. Voici ce que j'ai retenu. Pré requis système\n2Go RAM (4Go de RAM recommandé pour un usage confortable).\n20Go d’espace disque (100Go d'espace disque recommandé).\nrésolution de 1024×768 minimum. Si votre résolution d'écran est trop basse, certaines fenêtres pourraient ne pas rentrer dans l'écran. Tout en maintenant la touche ALT enfoncée, vous pouvez saisir n'importe quelle partie d'une fenêtre avec la souris et la déplacer sur l'écran. Secure Boot\nLe \"Secure Boot\" (amorçage sécurisé) est une fonctionnalité présente dans les systèmes d'exploitation modernes, conçue pour protéger le processus de démarrage d'un ordinateur contre les logiciels malveillants et les attaques furtives. Il s'agit essentiellement d'une série de vérifications de sécurité effectuées pendant le démarrage de l'ordinateur pour s'assurer que seuls les logiciels de démarrage authentifiés et signés par les autorités de certification de confiance sont exécutés. Le paquet \"shim-signed\" est un composant utilisé dans les distributions Linux, y compris Linux Mint et Ubuntu, pour garantir la compatibilité du démarrage sécurisé. Il agit comme un intermédiaire entre le matériel et le chargeur d'amorçage (GRUB) en chargeant les clés de signature nécessaires pour démarrer en mode sécurisé. Cependant, une mise à jour du paquet \"shim-signed\" dans Ubuntu a introduit une incompatibilité avec certaines versions d'images ISO de Linux Mint, ainsi qu'avec les versions passées d'Ubuntu et de ses dérivées. Cette incompatibilité signifie que lorsque vous essayez de démarrer à partir de ces images ISO sur un ordinateur avec le Secure Boot activé, le processus de démarrage échoue ou provoque des erreurs. En conséquence, si vous rencontrez des problèmes lors de l'installation de Linux Mint et que ceux-ci sont liés au démarrage sécurisé, la recommandation actuelle est de désactiver le Secure Boot dans les paramètres du BIOS/UEFI de votre ordinateur. Cela permettra de contourner l'incompatibilité et de poursuivre l'installation de Linux Mint. Erreur de démarrage : mémoire insuffisante Le bug Grub suivant affecte Linux Mint : https:bugs.launchpad.net/ubuntu/+source/linux/+bug/1842320. Si vous rencontrez ce problème, préparez une clé USB live en utilisant Rufus. Pour plus d'informations sur ce problème, lisez https://askubuntu.com/questions/1404415/ubuntu-22-04-live-usb-fails-reports-out-of-memory-with-no-details-even-after. Snap Store\nLe Snap Store, également appelé Ubuntu Store, est désactivé. Pour rappel, il s'agit d'une boutique de logiciels centralisée commerciale exploitée par Canonical. Tout comme AppImage ou Flatpak, la Snap Store est capable de fournir des logiciels à jour, quelle que soit la version de Linux que vous utilisez et la date de vos bibliothèques. Snap Store désactivée dans Linux Mint 20 Suite à la décision prise par Canonical de remplacer certaines parties d'APT par Snap et de faire installer la Snap Store par APT sans la connaissance ni le consentement des utilisateurs, l'installation de la Snap Store par APT est interdite dans Linux Mint 20. Critique\nContrôle centralisé N'importe qui peut créer des référentiels APT et distribuer des logiciels librement. Les utilisateurs peuvent pointer vers plusieurs référentiels et définir des priorités. Grâce au fonctionnement d'APT, si un bogue n'est pas corrigé en amont, Debian peut le corriger avec un correctif. Si Debian ne le fait pas, Ubuntu peut le faire. Si Ubuntu ne le fait pas, Linux Mint peut le faire. Si Linux Mint ne le fait pas, n'importe qui peut le faire, et non seulement ils peuvent le corriger, mais ils peuvent aussi le distribuer avec un PPA. Flatpak n'est pas aussi flexible. Néanmoins, n'importe qui peut distribuer ses propres Flatpaks. Si Flathub décide de ne pas vouloir faire ceci ou cela, n'importe qui d'autre peut créer un autre référentiel Flatpak. Flatpak lui-même peut pointer vers de multiples sources et ne dépend pas de Flathub. Bien qu'il soit open source, Snap, en revanche, ne fonctionne qu'avec la Snap Store d'Ubuntu. Personne ne sait comment créer une Snap Store et personne ne le peut. Le client Snap est conçu pour fonctionner avec une seule source, en suivant un protocole qui n'est pas ouvert, et en n'utilisant qu'un seul système d'authentification. Snapd n'est rien par lui-même, il ne peut fonctionner qu'avec la Snap Store d'Ubuntu. C'est une boutique que nous ne pouvons pas auditer, qui contient des logiciels que personne ne peut corriger. Si nous ne pouvons pas réparer ou modifier le logiciel, qu'il soit open source ou non, il présente les mêmes limitations que les logiciels propriétaires. Porte dérobée via APT Lorsque Snap a été introduit, Canonical a promis qu'il ne remplacerait jamais APT. Cette promesse a été rompue. Certains paquets APT dans les référentiels Ubuntu installent non seulement snap en tant que dépendance, mais exécutent également des commandes snap en tant que superutilisateur sans votre connaissance ni votre consentement, et connectent votre ordinateur à la boutique propriétaire distante exploitée par Canonical. Linux Mint dans Virtual Box\nSi l'écran est noir lors du lancement de Linux Mint dans Virtualbox, changez le contrôleur graphique VirtualBox en \"VMSVGA\". Faites ceci en ouvrant les paramètres de votre machine virtuelle et en sélectionnant Affichage -> Contrôleur graphique.\n- Si l'écran est brouillé lors du lancement de Linux Mint dans Virtualbox, passez à la console avec HOSTF1 (par exemple, la touche Ctrl DROITE, sans ALT) et revenez à tty7 avec HOST + F7. Une autre solution consiste à désactiver la \"pagination imbriquée\" (dans les paramètres Système -> Accélération) et à augmenter la mémoire vidéo à 128 Mo (dans les paramètres d'Affichage). Note : Ce problème n'affecte que la session live. Vous n'avez pas besoin de ces solutions après l'installation.\n- Pour ajouter la prise en charge des dossiers partagés, du glisser-déposer, de l'accélération appropriée et de la résolution d'affichage dans Virtualbox, cliquez sur le menu \"Périphériques\" de Virtualbox et choisissez \"Insérer l'image CD des Additions invité\". Choisissez \"télécharger\" quand on vous le demande et suivez les instructions. Pour plus d'informations, lisez l'installation des Additions invité VirtualBox. Chiffrement des dossiers personnels\nDes tests ont démontré que, dans la plupart des cas, le chiffrement du répertoire personnel est plus lent que le chiffrement du disque complet. Le passage à systemd a provoqué une régression dans ecrypts, qui est responsable du montage/démontage des répertoires personnels chiffrés lorsque vous vous connectez et vous déconnectez. À cause de ce problème, veuillez noter que dans Mint 20 et les versions ultérieures, votre répertoire personnel chiffré n'est plus démonté à la déconnexion. Cela peut avoir des implications en matière de sécurité et de performance. Pilotes de pavé tactile\nLe pilote de pavé tactile par défaut dans cette édition est \"libinput\" (fourni par le paquet xserver-xorg-input-libinput). Si vous rencontrez des problèmes avec celui-ci, vous pouvez passer à un autre pilote appelé \"synaptics\" (fourni par le paquet xserver-xorg-input-synaptics).\n- Pour savoir quel pilote est utilisé par vos périphériques d'entrée, exécutez la commande suivante : Lorsque les deux pilotes sont installés, \"synaptics\" prend la priorité.\n- Pour passer au pilote \"synaptics\", installez-le avec la commande : Ensuite, déconnectez-vous et reconnectez-vous.\n- Pour revenir à l'utilisation de \"libinput\", supprimez simplement le pilote \"synaptics\" : apt remove xserver-xorg-input-synaptics Ensuite, déconnectez-vous et reconnectez-vous. Note : Vous pouvez également essayer d'installer le pilote \"evdev\" (fourni par le paquet xserver-xorg-input-evdev). Wine\nPour installer la version complète de WINE, ouvrez un terminal et tapez : Entre autres choses, cela installera wine-desktop-files, qui ajoute des entrées de menu pour regedit, votre lecteur C:\\ et d'autres éléments manquants dans WINE amont. Problèmes de son et de microphone\nSi vous rencontrez des problèmes avec votre microphone ou votre sortie audio, veuillez installer \"pavucontrol\". Cela ajoutera \"Contrôle de volume PulseAudio\" à votre menu. Cette application offre plus d'options de configuration que le contrôle de volume par défaut. Lecture de DVD avec VLC\nSi VLC ne reconnaît pas votre lecteur de DVD, cliquez sur Média -> Ouvrir le disque, et spécifiez comme périphérique de disque. Slick Greeter\nSlick Greeter, responsable de l'écran de connexion, a été doté de la prise en charge de plusieurs disposition de clavier. L'indicateur situé dans le coin supérieur droit de l'écran ouvre un menu qui vous permet de basculer entre les dispositions. Les dispositions système définies dans sont répertoriées en premier pour un accès facile. En dessous, un sous-menu liste toutes les dispositions prises en charge. Le support du pavé tactile a également été amélioré. Le tapotement pour cliquer est détecté et activé automatiquement sur l'écran de connexion. La disposition utilisée pour Onboard, le clavier virtuel à l'écran, est configurable. La navigation au clavier a été améliorée. Les touches fléchées peuvent être utilisées pour éditer le mot de passe qui est en cours de saisie. Une icône de révélation apparaît lorsque le mot de passe est cliqué ou édité. Ce révélateur peut être utilisé pour basculer la visibilité du mot de passe. Parmi d'autres petites améliorations, Slick Greeter a également reçu la prise en charge des sessions Wayland, des badges LXQT/Pademelon et une liste de sessions défilable. Logithèque\nLa logithèque à subit un rafraîchissement concernant son interface. La liste des applications en vedette a été mise à jour et inclut désormais des Flatpaks. Le système de notation a été amélioré pour donner plus de visibilité aux nouvelles applications tendances. Pix\nPix, qui était initialement basé sur gThumb 3.2.8, a été reconfiguré sur gThumb 3.12.2. La nouvelle interface utilisateur de gThumb a été adoptée. Elle utilise des barres d'en-tête et des boutons au lieu des barres d'outils et des barres de menus. Cela peut être légèrement moins intuitif pour les nouveaux utilisateurs, mais cela donne un aspect très épuré et reste assez intuitif. Apparence\nIcônes de dossiers\nLes icônes de dossiers n'ont plus de bande. À la place, chaque couleur a reçu de belles icônes bicolores. De nouvelles variantes de couleurs ont été introduites pour les couleurs populaires. Info-bulles\nLes info-bulles avaient une apparence légèrement différente en fonction de leur origine (GTK2, GTK3, Cinnamon). Elles comportaient également une bordure grise qui n'était pas nette autour de leur fond jaune. Les problèmes de cohérence entre les différentes versions de GTK et Cinnamon ont été résolus. Nous nous sommes inspirés d'Adwaita et avons agrandi nos info-bulles, les avons rendues plus arrondies et avec des marges plus grandes. Les info-bulles sont des éléments transitoires qui mettent en évidence un événement ou une fonctionnalité. Elles doivent être belles et remarquables. Dans Cinnamon, nous avons également ajouté un peu d'espace entre les applets et leurs info-bulles pour qu'elles ne soient pas collées au panneau. Barres de titre\nLes boutons de la barre de titre ont été réalignés. Icônes monochromes\nVoici un élément de menu \"Copier\" qui utilise une icône symbolique : L'icône change de couleur de noir à blanc lorsque l'élément de menu est survolé. Elle correspond toujours à l'étiquette. Voici le même élément de menu, utilisant une icône monochrome : Cette icône n'est pas symbolique. Il s'agit d'une icône monochrome rendue telle quelle. Elle ne change pas de couleur dynamiquement et ne correspond pas à l'étiquette. Pour éviter ce type de problème, toutes les applications et projets que nous développons utilisent des icônes symboliques. Cela garantit qu'elles ont une apparence satisfaisante avec n'importe quel thème, qu'il soit sombre, clair ou à la fois sombre et clair. Jusqu'à présent, Mint-Y fournissait des icônes monochromes. Cela permettait aux applications qui n'utilisent pas encore d'icônes symboliques d'avoir un aspect moderne, avec des icônes monochromes. Cependant, cela présentait des inconvénients. Premièrement, cela ne fonctionnait qu'avec les thèmes clairs, de sorte que chaque variante de couleur devait être dupliquée pour fournir à la fois un thème d'icônes claires et un thème d'icônes sombres. Deuxièmement, quelle que soit la situation, cela ne pouvait pas fonctionner avec des thèmes qui mélangeaient des éléments sombres et clairs (comme Mint-Y-Legacy-Darker ou Arc-Darker, par exemple). Voici Transmission, l'une des rares applications qui n'utilisent pas encore d'icônes symboliques. Elle avait un bel aspect car Mint-Y fournissait des icônes monochromes similaires à ses icônes symboliques... mais cette application présentait les mêmes problèmes de compatibilité de thème mentionnés ci-dessus. Dans Linux Mint 21.2, toutes les icônes monochromes et tous les thèmes d'icônes sombres sont supprimés. Dans les applications qui les utilisent encore, les icônes en couleur complète passent désormais au thème Adwaita par défaut. Que cela semble meilleur ou non est subjectif, mais au moins cela rend les applications compatibles avec n'importe quel thème de contrôle. XDG Desktop Portal\nLe support de XDG Desktop Portal a été ajouté à XApp pour Cinnamon, MATE et Xfce. Cela améliore la compatibilité entre les environnements de bureau et les applications non natives telles que les flatpaks ou les applications GNOME (applications libhandy/libadwaita). Entre autres, cela rend possible la capture d'écran pour ces applications ou le support du mode sombre. En conséquence, le mode sombre devient un paramètre global défini dans cinnamon-settings (pour Cinnamon) ou dans mintdesktop (pour MATE et Xfce). Le paramètre du mode sombre affecte les applications qui le prennent en charge et vous permet de choisir entre trois options :\nPréférer la luminosité\nPréférer le mode sombre\nLaisser les applications décider Parmi les nombreuses applications qui le prennent en charge, certaines sont par défaut en mode clair (Firefox, Xed, Thingy, Xreader) et d'autres sont par défaut en mode sombre (Xviewer, Pix). Ce paramètre est également pris en charge par de nombreuses applications Flatpak et applications GNOME/LibAdwaita. Warpinator\nWarpinator est conçu pour permettre aux personnes de se voir mutuellement et de partager des fichiers sur le réseau local aussi facilement que possible et sans configuration préalable. Bien que l'accès au réseau local lui-même doive être surveillé/restreint en premier lieu, une fois que vous y êtes connecté, vous pouvez voir et interagir avec d'autres instances de Warpinator. L'équipe de sécurité de SUSE a récemment effectué un examen du code source et a souligné certaines préoccupations. Des discussions ont suivi et des décisions ont été prises pour renforcer la sécurité dans Warpinator. Des bogues de sécurité (CVE-2022-42725) ont été corrigés pour éviter que des fichiers soient potentiellement écrits en dehors du répertoire de téléchargement en cas de copie malveillante à distance de Warpinator. La définition d'un code de groupe est devenue une exigence pour que l'application reste ouverte indéfiniment ou soit lancée automatiquement après la connexion. Seuls les ordinateurs qui partagent le même code de groupe se voient mutuellement et leur communication est chiffrée. Cela a été fait pour empêcher une copie malveillante de Warpinator de prétendre être quelqu'un d'autre sur le réseau et d'initier des transferts, notamment dans les cas où l'instance cible est configurée pour accepter automatiquement les demandes entrantes. Les personnes qui souhaitent partager occasionnellement des fichiers doivent communiquer d'abord, s'accorderaient sur le moment et ce qui doit être partagé. Ils lanceraient leurs instances en même temps et s'attendraient à ce sur quoi ils se sont mis d'accord. Dans ce scénario, l'absence d'exigence de configuration est essentielle et il n'y a pas de besoin significatif d'un code de groupe. En préparation à de futurs bogues potentiels ou problèmes de sécurité, des modifications ont été apportées pour isoler complètement Warpinator du système de fichiers et le rendre techniquement incapable d'écrire ailleurs que dans le dossier d'entrée. Warpinator a reçu le support de landlock et bubblewrap. Ces technologies ont été utilisées pour garantir l'isolation des dossiers, rendant fondamentalement Warpinator techniquement incapable d'écrire en dehors de son dossier de téléchargement dédié. Warpinator est utilisé de différentes manières et dans différents environnements. Qu'il s'agisse d'un bureau avec un réseau sécurisé et de multiples ordinateurs qui se font confiance et sont constamment ouverts aux transferts... ou sur un réseau Wi-Fi public entre les ordinateurs portables de deux amis, ou même comme nous l'avons récemment mentionné, pour vous envoyer des fichiers à vous-même depuis/vers un smartphone, une Steam Deck ou un autre appareil. Nous voulons que Warpinator fonctionne pour tout le monde, qu'il soit aussi sécurisé que possible dans les environnements où il est configuré pour être sécurisé (avec un code de groupe, un démarrage automatique, une acceptation automatique des demandes, etc.), et qu'il ne nécessite aucune configuration dans les cas d'utilisation où les utilisateurs communiquent d'abord entre eux et ne se fient pas au réseau pour se faire confiance."},"score":1.75,"snippet":"…mon, MATE et Xfce. Cela améliore la compatibilité entre les environnements de bureau et les applications non natives telles que les flatpaks ou les applications GNOME (applications libhandy/libadwaita). Entre autres, cel…","tier":2},{"article":{"uuid":"fea02e5a-4bf1-48ce-846f-592f5682d1b8","slug":"opt","title":"/opt","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-08-19 15:21:52","created_at":"2023-08-19 15:21:52","updated_at":"2023-08-19 15:21:52","plain":"Définition du répertoire /opt\nLe dossier sur un système Linux est généralement utilisé pour stocker des logiciels tiers ou des applications qui ne font pas partie des paquets de distribution standard. Il peut contenir des sous-dossiers pour chaque logiciel ou application installée, chacun contenant les fichiers nécessaires pour l'exécution de ce logiciel ou application. Dans la plupart des cas, de tels packages suivent une structure de sous-répertoires prévisible ; la plupart stockent leurs binaires dans et leurs pages de manuel dans . Les paquets installés dans sont généralement installés par l'utilisateur ou par un administrateur, et non pas par le système de gestion de paquet (comme apt, yum, dnf, etc) qui est utilisé pour installer les paquets de la distribution standard. Certains logiciels peuvent également placer des liens vers leurs exécutables dans pour faciliter l'accès. Il est courant de voir des sous-répertoires créés dans pour organiser les différents programmes et applications installés. Par exemple, un développeur pourrait installer un jeu dans , ou un utilisateur pourrait installer un logiciel de traitement de texte dans . Il est également courant de voir des sous-répertoires pour les différentes versions d'une application, comme et .\n- Il est possible de créer un lien symbolique (également appelé raccourci ou alias) vers un script qui se trouve dans depuis un emplacement comme . Cela permet à l'utilisateur d'accéder facilement au script depuis un autre emplacement, sans avoir à se rappeler ou saisir l'emplacement complet du script. Pour créer un lien symbolique, vous pouvez utiliser la commande suivie de l'emplacement du script cible et de l'emplacement où vous souhaitez créer le lien. Par exemple: ln -s /usr/local/bin/myscript /opt/myapp/myscript Cela crée un lien symbolique nommé dans le répertoire qui pointe vers le script dans le répertoire .\n- Il est également possible de créer un script dans qui exécute un programme qui se trouve dans . Cela permet à l'utilisateur d'accéder au programme en utilisant un nom de commande simple, plutôt que de devoir saisir l'emplacement complet du programme dans . Pour ce faire, vous pouvez créer un script shell dans qui contient les commandes pour exécuter le programme dans . Par exemple : Le script doit avoir les autorisations d'exécution. Enfin, les programmes dans peuvent nécessiter des librairies ou des exécutables pour fonctionner, il est donc important de s'assurer que ces dépendances soient présentes et accessibles."},"score":1.75,"snippet":"…où vous souhaitez créer le lien. Par exemple: ln -s /usr/local/bin/myscript /opt/myapp/myscript Cela crée un lien symbolique nommé dans le répertoire qui pointe vers le script dans le répertoire .\n- Il est égalemen…","tier":2},{"article":{"uuid":"81db2f15-25db-4a04-b508-3e3d1c087b50","slug":"etc-fstab","title":"/etc/fstab","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-06-05 20:01:39","created_at":"2023-06-05 20:01:39","updated_at":"2023-06-05 20:01:39","plain":"--\nLe fichier est un fichier de configuration utilisé par le système d'exploitation Linux pour monter automatiquement des systèmes de fichiers. signifie \"File System Table\" (Table des systèmes de fichiers). Malgré l'amélioration des systèmes d'exploitation, il y a encore des éléments \"à l'ancienne\" dont nous ne pouvons tout simplement pas nous passer. Les systèmes de fichiers, et par nécessité, les tables de systèmes de fichiers, font partie de ces éléments constants. Le fichier contient une liste de systèmes de fichiers et de périphériques de stockage qui doivent être montés au démarrage du système. Pour chaque périphérique de stockage, le fichier contient des informations telles que le point de montage (où le système de fichiers doit être monté dans la hiérarchie des répertoires), le type de système de fichiers, les options de montage et les paramètres de sécurité. La structure de la table elle-même est composée de 6 colonnes, où chaque colonne désigne un paramètre spécifique et doit être configurée dans l'ordre correct. Les colonnes de la table sont les suivantes, de gauche à droite :\nPériphérique : généralement le nom donné ou l'UUID du périphérique monté.\nPoint de montage : désigne le répertoire où le périphérique est ou sera monté.\nType de système de fichiers : indique le type de système de fichiers en cours d'utilisation.\nOptions : liste toutes les options de montage actives. Si vous utilisez plusieurs options, elles doivent être séparées par des virgules.\nOpération de sauvegarde : (le premier chiffre) il s'agit d'un système binaire où 1 = une sauvegarde à l'aide de l'utilitaire dump d'une partition. 0 = pas de sauvegarde. Il s'agit d'une méthode de sauvegarde obsolète et NE DOIT PAS être utilisée.\nOrdre de vérification du système de fichiers : (deuxième chiffre) ici, nous pouvons voir trois résultats possibles. 0 signifie que ne vérifiera pas le système de fichiers. Les nombres supérieurs à celui-ci représentent l'ordre de vérification. Le système de fichiers racine doit être défini sur 1 et les autres partitions sur 2. \nLes informations contenues dans le fichier sont utilisées par le système d'exploitation pour monter automatiquement les systèmes de fichiers au démarrage, ce qui permet d'accéder facilement aux fichiers stockés sur ces systèmes de fichiers. Sans ce fichier, il serait nécessaire de monter manuellement chaque système de fichiers chaque fois que le système d'exploitation est démarré, ce qui serait fastidieux et source d'erreurs. Type de système de fichiers\nNFS\nLe type de système de fichiers NFS (Network File System) est un système de fichiers distribué qui permet à un utilisateur d'accéder à des fichiers et des répertoires sur un ordinateur distant comme s'ils étaient locaux. Le système de fichiers NFS est largement utilisé dans les environnements informatiques distribués et les réseaux locaux pour partager des fichiers et des données entre plusieurs systèmes. Il est souvent utilisé pour partager des fichiers entre des systèmes Unix et Linux. Le système de fichiers NFS utilise un protocole de communication réseau pour permettre aux clients d'accéder aux fichiers sur le serveur NFS. Bien que le système de fichiers NFS soit principalement utilisé sur des systèmes Unix et Linux, il existe également des implémentations pour Windows. Microsoft propose un client NFS gratuit pour Windows, appelé \"Client for NFS\", qui permet aux utilisateurs Windows d'accéder à des fichiers stockés sur des serveurs NFS distants. https:learn.microsoft.com/en-us/windows-server/storage/nfs/nfs-overview Les options couramment utilisées pour monter des systèmes de fichiers NFS sont :\nlookupcache=mode : spécifie comment le noyau doit gérer le cache des entrées de répertoire pour un point de montage donné.\nnfsvers=version : spécifie la version du protocole NFS à utiliser, où version peut être 3 ou 4.\nnoacl : désactive le traitement des ACL (Access Control Lists).\nnolock : désactive le verrouillage de fichiers. Depuis NFS version 3.\nnoexec : empêche l'exécution de binaires sur les systèmes de fichiers montés. Cela peut être utile si le système de fichiers monté contient des binaires incompatibles avec le système local.\nnosuid : désactive les bits set-user-identifier ou set-group-identifier pour empêcher les utilisateurs distants d'obtenir des privilèges supérieurs en exécutant un programme setuid.\nport=num : spécifie le numéro de port numérique du serveur NFS. Si num est 0 (la valeur par défaut), mount interroge le service rpcbind de l'hôte distant pour connaître le numéro de port à utiliser.\nrsize=num et wsize=num : ces options définissent le nombre maximum d'octets à transférer dans une seule opération de lecture ou d'écriture NFS.\nsec=flavors : spécifie les mécanismes de sécurité à utiliser pour accéder aux fichiers sur l'export NFS monté. Exemple : , \ntcp : indique au montage NFS d'utiliser le protocole TCP.\nudp : indique au montage NFS d'utiliser le protocole UDP. La configuration optimale dépend de l'environnement spécifique et des besoins du système. Cependant, voici quelques recommandations générales pour la configuration des options NFS dans :\nPour la sécurité, il est généralement recommandé d'utiliser l'option sec=krb5p pour chiffrer le trafic NFS et empêcher l'interception ou la modification des données. Cette option nécessite cependant une infrastructure Kerberos en place pour l'authentification.\nPour améliorer les performances, il est souvent conseillé de définir des valeurs personnalisées pour les options et à une valeur maximale de 1048576 (ou 1 Mo), qui est la valeur par défaut pour NFS version 3 et 4. Cela permet de maximiser le débit de données et d'optimiser les performances du système : .\nPour éviter les problèmes de verrouillage de fichiers vous pouvez utiliser l'option . Lorsqu'un client NFS accède à un fichier sur un serveur, il utilise le verrouillage de fichiers pour empêcher d'autres clients d'accéder ou de modifier le même fichier simultanément. Toutefois, dans certains cas, l'utilisation du verrouillage de fichiers NFS peut entraîner des problèmes de performance ou de fiabilité. En utilisant l'option \"nolock\", les clients NFS peuvent désactiver la gestion de verrouillage de fichiers NFS pour les fichiers sur un serveur NFS particulier. Cela peut être utile dans des situations où la performance est plus importante que la cohérence des données, ou lorsque le serveur NFS ne supporte pas la gestion de verrouillage de fichiers. Il N'EST PAS conseillé d'utiliser l'option . L'option \"nolock\" est spécifique à NFS version 3. Dans les versions antérieures de NFS, le verrouillage de fichiers est toujours utilisé pour empêcher les accès concurrents aux fichiers.\nPour garantir la disponibilité continue des systèmes de fichiers NFS et éviter les problèmes de blocage, il est recommandé d'utiliser l'option plutôt que l'option . Les options et sont spécifiques à NFS et ne s'appliquent qu'aux montages NFS. L'option permet au client NFS de renvoyer une erreur si le serveur ne répond pas ou est indisponible, alors que l'option fait en sorte que le client continue d'essayer d'atteindre le serveur même si celui-ci est indisponible, ce qui peut entraîner un blocage du système.\nPour améliorer la tolérance aux erreurs réseau, il est possible d'utiliser l'option pour interrompre les opérations NFS en cours sur un système de fichiers lorsque le serveur NFS ne répond pas. Si l'option n'est pas spécifiée, les opérations NFS sont bloquées et le client ne répond plus aux entrées utilisateur tant que le serveur NFS distant ne répond pas ou ne se termine pas. Cela peut être un problème pour les applications interactives ou les scripts qui utilisent NFS, car ils peuvent devenir bloqués si le serveur ne répond pas. Enfin, il est important de bien comprendre les implications de chaque option et de tester les différentes configurations dans votre environnement avant de les déployer en production.\nLes options\nnoatime\nL'option dans fstab est utilisée pour améliorer les performances du système de fichiers locaux. Normalement, chaque fois qu'un fichier est accédé sur un système de fichiers Linux, l'horodatage de dernière accès (atime) est mis à jour. Cela peut entraîner une surcharge inutile du système de fichiers, car même la simple lecture d'un fichier peut entraîner une écriture sur le disque pour mettre à jour l'atime. En utilisant l'option , le système de fichiers ne mettra pas à jour la date et l'heure du dernier accès (atime) lorsqu'un fichier est accédé. Cela peut considérablement réduire la charge sur le disque et améliorer les performances du système, en particulier pour les systèmes de fichiers très fréquemment utilisés, tels que les systèmes de fichiers racine ou les systèmes de fichiers de base de données. L'utilisation de l'option peut entraîner une perte d'informations d'audit, car le système ne gardera plus une trace du moment où les fichiers ont été accédés pour la dernière fois. Si cela est important pour vos besoins, vous pouvez envisager d'utiliser l'option à la place, qui met à jour l'atime uniquement si le fichier a été accédé plus récemment que la dernière modification ou l'écriture. L'option \"noatime\" est prise en charge par la plupart des systèmes de fichiers Linux modernes, y compris les systèmes de fichiers ext2, ext3, ext4, XFS, Btrfs, JFS, ReiserFS et NTFS (via le pilote NTFS-3G, voir la section Fichier de configuration du noyau). Cependant, l'utilisation de l'option peut ne pas être appropriée pour tous les types d'applications ou de charges de travail. Par exemple, certains programmes de surveillance de fichiers ou de sauvegarde peuvent avoir besoin de suivre l'horodatage de dernière accès pour fonctionner correctement. Par conséquent, il est recommandé de tester soigneusement l'impact de l'option sur votre système avant de l'utiliser en production. nodev\nL'option est une option de montage utilisée dans le fichier pour spécifier que les fichiers sur le système de fichiers ne peuvent pas être des fichiers spéciaux de périphérique. En d'autres termes, si l'option est utilisée, les utilisateurs ne pourront pas créer de fichiers spéciaux de périphérique (tels que des fichiers de périphérique de bloc ou de caractère) sur le système de fichiers monté. L'option est souvent utilisée pour des raisons de sécurité, car elle empêche les utilisateurs d'exécuter du code malveillant en créant des fichiers spéciaux de périphérique sur un système de fichiers monté. Exemple de ligne dans le fichier avec l'option : /dev/sda1 /mnt/data ext4 defaults,nodev 0 2 Dans cet exemple, le système de fichiers monté sur ne permet pas la création de fichiers spéciaux de périphérique. defaults\nL'option est une option de montage simplifiée qui inclut un ensemble prédéfini d'options de montage pour un système de fichiers spécifique. Les options incluses dans l'option varient en fonction du type de système de fichiers. En général, les options suivantes sont incluses dans l'option :\nrw : autorise les opérations de lecture et d'écriture sur le système de fichiers\nsuid : permet l'exécution des fichiers binaires en tant qu'utilisateur propriétaire\ndev : autorise la création et la suppression de périphériques spéciaux dans le système de fichiers\nexec : permet l'exécution de fichiers binaires\nauto : monte le système de fichiers automatiquement au démarrage\nnouser : n'autorise pas les utilisateurs ordinaires à monter ou démonter le système de fichiers\nasync : monte un système de fichiers pour spécifier le mode d'écriture de données asynchrone. Notez que les options incluses dans l'option peuvent varier selon la distribution Linux ou le type de système de fichiers utilisé. Il est important de vérifier la documentation appropriée pour votre système avant de modifier ou de configurer les options de montage. sync, async\nEn utilisant l'option , les entrées/sorties peuvent être envoyées à la partition plus rapidement, car le système de fichiers n'attendra pas la confirmation de chaque écriture pour continuer. Cela signifie que les données peuvent être écrites plus rapidement, mais cela peut également entraîner une perte de données en cas de panne du système. Si l'option est utilisée, le système de fichiers attendra la confirmation de chaque écriture avant de continuer, ce qui peut ralentir le processus d'écriture, mais garantira l'intégrité des données. Il est important de noter que l'utilisation de l'option est généralement déconseillée sur des systèmes critiques tels que des serveurs de bases de données ou de fichiers, car cela peut augmenter les risques de perte de données en cas de panne du système ou de coupure de courant. Pour un SSD, il est généralement recommandé d'utiliser l'option plutôt que ou dans le fichier . L'option permet au système de fichiers de renvoyer les blocs de données qui ne sont plus nécessaires au SSD, ce qui peut améliorer les performances et la durée de vie du SSD.\nuser, users\nSi un disque n'est pas monté au démarrage du système et que vous souhaitez qu'un utilisateur standard puisse le monter manuellement, vous pouvez utiliser l'option ou dans le fichier pour autoriser les utilisateurs à monter le disque. L'option permet à n'importe quel utilisateur de monter le système de fichiers, tandis que l'option ne permet que à l'utilisateur propriétaire du point de montage de monter le système de fichiers. Voici comment utiliser ces options:\n- Ajoutez l'option à la liste des options pour le système de fichiers dans le fichier , par exemple: /dev/sdb1 /mnt/data ext4 defaults,users 0 0 Cela permettra à tous les utilisateurs de monter manuellement le système de fichiers avec la commande .\n- Ajoutez l'option à la liste des options pour le système de fichiers dans le fichier , par exemple: /dev/sdb1 /mnt/data ext4 defaults,user 0 0 Cela permettra à l'utilisateur propriétaire du point de montage de monter manuellement le système de fichiers avec la commande . auto\nL'option est une option de montage qui spécifie que le système de fichiers doit être automatiquement monté au démarrage du système. Lorsque l'option est utilisée pour un système de fichiers spécifique, le système tentera automatiquement de monter le système de fichiers au démarrage, sans intervention de l'utilisateur. Cela peut être utile pour les systèmes de fichiers qui contiennent des données essentielles au fonctionnement du système et doivent être montés automatiquement à chaque démarrage. nofail\nL'option est une option de montage qui peut être utilisée dans le fichier pour spécifier qu'un système de fichiers ne doit pas empêcher le démarrage du système si le montage échoue. Par défaut, lorsqu'un système de fichiers spécifié dans le fichier n'est pas monté avec succès au démarrage, cela peut entraîner des erreurs ou des blocages du système. Cela peut être particulièrement problématique si le système de fichiers contient des données essentielles pour le fonctionnement du système. En utilisant l'option dans le fichier , le système de fichiers sera monté de manière à ne pas bloquer le démarrage du système si le montage échoue. Cela peut être utile dans des situations où un système de fichiers peut ne pas être disponible au démarrage ou où il n'est pas critique pour le fonctionnement du système. Lorsqu'elle est utilisée en combinaison avec l'option , l'option indique au système de tenter automatiquement de monter le système de fichiers au démarrage, mais de ne pas bloquer le démarrage si le montage échoue. realtime\nCette option est obsolète et n'est plus utilisée dans les versions récentes des distributions Linux. L'option est utilisée pour les systèmes de fichiers locaux, où elle permet de définir que le système de fichiers doit être monté en mode temps réel pour un accès à haute priorité. Cependant, pour les systèmes de fichiers NFS, l'option n'a pas de sens car les opérations NFS sont déjà exécutées en temps réel. L'utilisation de cette option pourrait donc entraîner des comportements inattendus ou des performances médiocres. En outre, il est important de noter que le système de fichiers ext4 ne supporte pas la fonctionnalité en temps réel, contrairement à certains autres systèmes de fichiers tels que XFS. relatime\nL'option est une option de montage pour les systèmes de fichiers Linux qui permet de mettre à jour le champ d'horodatage d'accès (atime) d'un fichier uniquement si celui-ci est plus ancien que le champ d'horodatage de modification (mtime) ou de création (ctime) du fichier. L'option est une amélioration de l'option , qui désactive complètement la mise à jour du champ d'horodatage d'accès lors de la lecture d'un fichier. En comparaison, l'option permet de conserver l'horodatage d'accès lorsqu'il est nécessaire pour certaines applications (comme les programmes de surveillance de fichiers), tout en évitant la mise à jour inutile du champ d'horodatage d'accès pour les fichiers qui sont régulièrement consultés. L'utilisation de l'option permet de réduire les opérations d'écriture sur le disque dur par rapport à l'option par défaut, tout en conservant les horodatages d'accès pour les fichiers qui en ont besoin. Cela peut contribuer à améliorer les performances globales du système de fichiers. /dev/sda1 /mnt/data ext4 defaults,relatime 0 2 L'option n'est pas prise en charge par tous les systèmes de fichiers et toutes les versions de Linux. Elle est généralement prise en charge par les systèmes de fichiers couramment utilisés, tels que et , à partir des versions du noyau Linux 2.6.20 et ultérieures.\nbind\nL'option dans le fichier permet de monter un répertoire à un emplacement différent dans le système de fichiers, sans avoir besoin de copier les données. Lorsque vous utilisez l'option , vous montez un répertoire existant (source) sur un autre répertoire (destination) qui peut être n'importe où dans le système de fichiers. Le contenu du répertoire source apparaîtra alors dans le répertoire de destination, et toute modification apportée à l'un des deux répertoires sera reflétée dans l'autre. L'option est souvent utilisée pour partager des répertoires entre différentes parties du système de fichiers, ou pour créer des liens symboliques persistants entre des répertoires. Voici un exemple d'utilisation de l'option dans le fichier : /home/user1/docs /home/user2/shared-docs none bind 0 0 Dans cet exemple, le répertoire est monté sur en utilisant l'option . Cela permettra à l'utilisateur d'accéder aux documents de l'utilisateur sans avoir à les copier dans son propre répertoire. Si vous utilisez l'option pour partager un répertoire entre deux utilisateurs, vous pouvez ajouter l'option ou pour spécifier le propriétaire ou le groupe propriétaire du répertoire de destination, afin que les fichiers créés dans ce répertoire appartiennent au bon utilisateur ou groupe. Voici un exemple d'utilisation de l'option avec l'option pour spécifier le propriétaire du répertoire de destination: /home/user1/docs /home/user2/shared-docs none bind,uid=user2 0 0 Dans cet exemple, le répertoire est monté sur en utilisant l'option et l'option pour spécifier que le propriétaire du répertoire de destination est l'utilisateur . discard\nL'option dans le fichier est utilisée pour activer la fonction de libération de blocs inutilisés (TRIM ou DISCARD) pour les disques SSD. Lorsqu'un système de fichiers est monté avec l'option , le système d'exploitation peut informer le disque SSD des blocs de données qui ne sont plus utilisés et qui peuvent être effacés. Cette fonctionnalité de libération des blocs inutilisés peut aider à améliorer les performances et la durée de vie du SSD en évitant la fragmentation des données sur le disque. Il est important de noter que tous les disques SSD ne prennent pas en charge la fonction TRIM ou DISCARD, et que certains contrôleurs de disque SSD peuvent avoir des performances médiocres lorsqu'ils sont utilisés avec l'option . Il est donc recommandé de vérifier la compatibilité de votre SSD avant d'utiliser l'option . Pour vérifier que votre SSD prend en charge la fonction TRIM ou DISCARD, vous pouvez exécuter la commande suivante en tant que superutilisateur : sudo hdparm -I /dev/sda | grep TRIM Si la commande n'est pas reconnu, installez le programme avec votre gestionnaire de paquets (dnf, yum, apt...). Assurez-vous de remplacer par le nom de périphérique correspondant à votre disque SSD. Si la commande renvoie , cela signifie que votre SSD prend en charge la fonction TRIM. Vous pouvez également utiliser la commande suivante pour vérifier que la fonction TRIM est activée sur votre système de fichiers : sudo tune2fs -l /dev/sda1 | grep \"Discard\" Assurez-vous de remplacer par le nom de périphérique correspondant à votre partition contenant le système de fichiers. Si la commande renvoie , cela signifie que la fonction TRIM est désactivée. Si la commande renvoie , cela signifie que la fonction TRIM est activée. Conseils\nAjouter l'option pour le système de fichiers et L'option permet au système de fichiers de libérer rapidement les blocs inutilisés, améliorant ainsi les performances et la durée de vie des disques SSD. Pour ajouter cette option, modifiez les lignes correspondantes comme suit : Il est important d'aller consulter le chapitre discard. Utiliser l'option plutôt que L'option permet au système de fichiers de mettre à jour les horodatages d'accès aux fichiers uniquement si l'accès est plus récent que l'horodatage de modification. Cela permet de réduire le nombre d'écritures sur le disque et d'améliorer les performances. Pour utiliser l'option , modifiez les lignes correspondantes comme suit : Ajouter l'option pour les systèmes de fichiers qui ne nécessitent pas l'exécution de fichiers L'option empêche l'exécution de fichiers sur le système de fichiers, ce qui peut aider à renforcer la sécurité. Pour ajouter cette option, modifiez la ligne correspondante pour le système de fichiers comme suit : Vérifier la configuration du fichier /etc/fstab\nIl est possible de vérifier la syntaxe et l'intégrité du fichier sans exécuter les instructions en utilisant la commande . Cette commande est disponible sur les systèmes Linux modernes et permet de lister les points de montage actifs et les systèmes de fichiers correspondants. Pour vérifier la syntaxe du fichier , vous pouvez utiliser la commande suivante : findmnt --verify --evaluate --fstab /etc/fstab Cette commande vérifie la syntaxe du fichier en utilisant l'option et affiche les erreurs éventuelles. L'option permet d'interpréter les expressions du fichier et de les afficher sous forme de chaînes de montage complètes. L'option spécifie le chemin du fichier à vérifier. Si la commande affiche un message , cela signifie que le fichier est syntaxiquement correct. La commande ne vérifie pas si les systèmes de fichiers sont réellement accessibles ou s'ils sont correctement configurés. Elle ne simule que le processus de montage et vérifie la syntaxe du fichier . Il est donc recommandé de vérifier manuellement la configuration de chaque système de fichiers pour s'assurer de son accessibilité et de sa sécurité. Vérifier les options de montage en cours\nVous pouvez vérifier les options de montage actuelles pour un système de fichiers en utilisant la commande sur Linux :\nOuvrez un terminal sur votre système Linux.\nTapez la commande suivante pour afficher une liste de tous les systèmes de fichiers montés : mount\nRecherchez le système de fichiers que vous souhaitez vérifier dans la liste. Par exemple, si vous souhaitez vérifier les options de montage pour le système de fichiers racine (/), recherchez la ligne correspondante dans la liste.\nLes options de montage sont affichées entre parenthèses à la fin de la ligne. Les options sont séparées par des virgules.\n- Si une option est présente, cela signifie qu'elle est activée pour le système de fichiers correspondant. Si une option est absente, cela signifie qu'elle n'est pas activée pour ce système de fichiers.\n-- // &"},"score":1.75,"snippet":"…. Le système de fichiers NFS est largement utilisé dans les environnements informatiques distribués et les réseaux locaux pour partager des fichiers et des données entre plusieurs systèmes. Il est souvent utilisé pour pa…","tier":2},{"article":{"uuid":"0d4dab49-1b9a-4ab9-89be-44df06effb60","slug":"deplacer-fichiers-linux","title":"rsync - copie robuste des fichiers","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-05-31 19:56:59","created_at":"2023-05-31 19:56:59","updated_at":"2023-05-31 19:56:59","plain":"Rsync permet de copier des fichiers en local ou en distance. Son algorithme de copie permet de réaliser des copies de backup, du mirroring et des copies standards. Rsync fonctione sur le schéma L'option -P (association de --progress et --partial) est utilisée dans les commandes suivantes afin de pouvoir reprendre un transfert de fichier si le précédent a été interrompu et afficher à l'écran la progression des fichiers. L'option -v permet d'afficher des informations détaillées à l'écran. L'option -h permet de simplifier l'affichage des tailles d'octets en ko, Mo, Go ....\nCopier un dossier et son contenu Dans cet exemple, remplacez par le chemin absolu du dossier source que vous souhaitez synchroniser, et par le chemin absolu du dossier de destination que vous souhaitez synchroniser. L'option est utilisée pour le mode archivage, qui conserve les attributs des fichiers lors de la copie ou de la synchronisation. L'option active le mode verbeux, qui affiche des informations supplémentaires sur les fichiers en cours de traitement. L'option , affiche des informations détaillées sur les fichiers en cours de transfert, y compris leur taille, le temps estimé restant, la vitesse de transfert et le pourcentage accompli. Cela peut être utile pour surveiller le progrès de la copie ou de la synchronisation. Les fichiers ou dossier supprimés dans la source, ne seront pas modifié dans la destination. Syntaxe sur la source quant il s'agit d'un dossier Ne pas confondre et . copie le contenu de dans . copie le contenu de dans . Le dossier sera créé. Supprimer les fichiers et dossiers sources\nPour supprimer les fichiers du dossier source après la copie avec rsync, vous pouvez utiliser l'option ou lors de l'exécution de la commande. Voici un exemple de commande pour effectuer cette opération : Dans cet exemple, remplacez par le chemin absolu du dossier source que vous souhaitez copier, et par le chemin absolu du dossier de destination où vous souhaitez copier les fichiers. L'option indique à rsync de supprimer les fichiers source après les avoir copiés. L'option supprime également les dossiers vides du dossier source après la copie. L'option est utilisée pour activer le mode archivage, ce qui permet de conserver les attributs des fichiers (permissions, dates, etc.) lors de la copie. L'option est utilisée pour afficher les détails de la progression de la copie. Veuillez noter que cette option supprimera définitivement les fichiers du dossier source. Assurez-vous donc d'avoir une sauvegarde appropriée avant d'exécuter cette commande. Supprimer les fichiers et dossiers de destination qui n'existent pas dans la source\nPour supprimer les fichiers et dossiers de destination qui n'existent pas dans la source lors de la synchronisation avec rsync, vous pouvez utiliser l'option lors de l'exécution de la commande. Voici un exemple de commande : Dans cet exemple, remplacez par le chemin absolu du dossier source que vous souhaitez synchroniser, et par le chemin absolu du dossier de destination que vous souhaitez synchroniser. L'option indique à rsync de supprimer les fichiers et dossiers de destination qui n'existent pas dans la source. Ainsi, après la synchronisation, le contenu de la destination sera identique à celui de la source, avec la suppression des fichiers et dossiers qui ne sont plus présents dans la source. L'option est utilisée pour activer le mode archivage, ce qui conserve les attributs des fichiers (permissions, dates, etc.) lors de la synchronisation. L'option est utilisée pour afficher les détails de la progression de la synchronisation. Il est important de noter que l'option peut entraîner la suppression de fichiers et de dossiers de manière irréversible. Assurez-vous donc de comprendre les conséquences de cette option et d'avoir une sauvegarde appropriée avant d'exécuter la commande.\nCopier un dossier et son contenu avec archive des fichiers supprimés Copie les fichiers et sous-dossiers de dans le dossier , et en supprimant les fichiers dans qui ne sont pas présent dans . L'option suprimer les fichiers dans la destination, alors qu'ils ne sont pas présent dans la source. En complément l'option déplace les fichiers supprimés dans un autre dossier.\nSauvegarder sur NAS\nFaut-il copier de l'ordinateur vers le NAS, ou copier depuis le NAS ? En d'autres termes, faut-il autoriser le NAS à se connecter sur l'ordinateur ou autoriser l'ordinateur à accéder au NAS ? La question se pose en terme de droits d'accès.\\\\\nEn autorisant l'ordinateur à accéder au NAS, j'autorise tous les programmes s'exécutant sur cet ordinateur à accéder aux fichiers du NAS. Les logiciels malveillants utilsent cette technique pour modifier ou supprimer les sauvegardes.\\\\\nEn autorisant le NAS à accéder aux ordinateurs, je concentre le pouvoir d'accès à tous les fichiers à une entité, le NAS. C'est génant. De surcroit, il faudra veiller que lorsque l'ordinateur n'est pas accessible, de ne pas enclencher la suppression des fichiers. La bonne réponse est de copier de l'ordinateur vers le NAS. En effet, la connexion au NAS s'effectura avec un compte qui n'aura accès qu'à ses fichiers. Voici un exemple de copie de l'ordinateur vers le NAS. 1. Copier la clé de l'administrateur du NAS vers le compte root du PC distant. 2. Exécuter depuis le NAS le script ci-dessous.\nest le poste où se trouve le dossier à sauvegarder\nest administrateur du poste dskval001\nest le dossier de sauvegarde\nest le dossier à sauvegarder sur le poste dskval001\nDivers\nMettre à jour :"},"score":1.75,"snippet":"Rsync permet de copier des fichiers en local ou en distance. Son algorithme de copie permet de réaliser des copies de backup, du mirroring et des copies standards. Rsync fonctione sur le schéma L'option -P (association …","tier":2},{"article":{"uuid":"f853ad20-c0b4-4dad-9315-f7226da26393","slug":"docker-compose","title":"docker-compose.yml","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-05-26 18:28:17","created_at":"2023-05-26 18:28:17","updated_at":"2023-05-26 18:28:17","plain":"Cette configuration définit un ensemble de services Docker qui sont utilisés pour déployer l'application Castopod, une plateforme de gestion de podcasts. Les services déclarés sont les suivants : 1. Le service \"app\" :\nUtilise l'image Docker \"castopod/app:latest\" pour exécuter l'application Castopod.\nLe nom du conteneur est défini comme \"castopod-app\".\nMontre un volume nommé \"castopod-media\" dans le répertoire \"/opt/castopod/public/media\" du conteneur, qui est utilisé pour stocker les fichiers médias des podcasts.\nDéfinit plusieurs variables d'environnement liées à la base de données MySQL utilisée par Castopod, y compris le nom de la base de données, l'utilisateur et le mot de passe.\nDéfinit également d'autres variables d'environnement, telles que l'URL de base de Castopod, le sel pour les analyses, le gestionnaire de cache utilisé (Redis), et l'hôte Redis.\nAppartient au réseau \"castopod-app\".\nLe redémarrage du conteneur est défini sur \"unless-stopped\", ce qui signifie qu'il sera redémarré automatiquement sauf s'il est arrêté explicitement. 2. Le service \"redis\" :\nUtilise l'image Docker \"redis:7.0-alpine\" pour exécuter une instance Redis, qui est utilisée par Castopod comme gestionnaire de cache.\nLe nom du conteneur est défini comme \"castopod-redis\".\nMontre un volume nommé \"castopod-cache\" dans le répertoire \"/data\" du conteneur, qui est utilisé pour stocker les données de cache de Redis.\nAppartient également au réseau \"castopod-app\". 3. Le service \"video-clipper\" (optionnel) :\nUtilise l'image Docker \"castopod/video-clipper:latest\" pour exécuter un conteneur dédié à la fonctionnalité de découpage vidéo de Castopod.\nLe nom du conteneur est défini comme \"castopod-video-clipper\".\nMontre le même volume \"castopod-media\" que le service \"app\", ce qui permet au conteneur d'accéder aux fichiers médias des podcasts.\nDéfinit les mêmes variables d'environnement pour la base de données MySQL que le service \"app\".\nLe redémarrage du conteneur est également défini sur \"unless-stopped\". En outre, la configuration définit deux volumes Docker nommés \"castopod-media\" et \"castopod-cache\", qui sont utilisés pour stocker respectivement les fichiers médias des podcasts et les données de cache de Redis. De plus, un réseau nommé \"castopod-app\" est créé pour permettre la communication entre les services. Cette configuration permet donc de déployer l'application Castopod avec une base de données MySQL et une instance Redis pour la gestion du cache. Concernant les variables à modifier\nVoici les variables modifiables présentes dans la section de chaque service : Pour le service \"app\" :\n: Nom de la base de données MySQL utilisée par Castopod.\n: Nom d'utilisateur MySQL pour Castopod.\n: Mot de passe MySQL pour Castopod.\n: URL de base pour Castopod.\n: Sel utilisé pour les analyses. Pour le service \"video-clipper\" (optionnel) :\n: Nom de la base de données MySQL utilisée par Castopod.\n: Nom d'utilisateur MySQL pour Castopod.\n: Mot de passe MySQL pour Castopod. Vous pouvez modifier ces variables en fonction de vos besoins spécifiques en leur attribuant les valeurs souhaitées. Par exemple, vous pouvez changer le nom de la base de données, l'utilisateur et le mot de passe MySQL, ainsi que l'URL de base pour Castopod, le sel pour les analyses. Assurez-vous de respecter les contraintes et les configurations requises par l'application Castopod lors de la modification de ces variables. Concernant les volumes\nPour définir les volumes dans la configuration Docker Compose, vous utilisez la section du fichier YAML. Voici comment faire : Dans cet exemple, nous avons ajouté la section à la fin du fichier YAML. À l'intérieur de cette section, vous déclarez vos volumes en utilisant un nom de volume suivi des deux-points . Les noms de volume ici sont \"castopod-media\" et \"castopod-cache\". Ensuite, vous pouvez référencer ces volumes dans la section des services concernés en utilisant la syntaxe . Dans l'exemple ci-dessus, le volume \"castopod-media\" est monté dans le répertoire du conteneur du service \"app\", et le volume \"castopod-cache\" est monté dans le répertoire du conteneur du service \"redis\". En définissant les volumes de cette manière, Docker va créer les volumes persistants nécessaires pour les conteneurs et les associer à leurs répertoires respectifs à chaque exécution. N'oubliez pas que si vous avez plusieurs services utilisant les mêmes volumes, ils auront accès aux mêmes données persistantes, ce qui peut être utile pour le partage de données entre les conteneurs. Voici un exemple de configurations que vous pouvez utiliser pour les volumes \"castopod-media\" et \"castopod-cache\" dans votre fichier Docker Compose : 1. Utilisation d'un chemin local sur la machine hôte : Dans cet exemple, nous utilisons des volumes de type \"local\" pour lier des dossiers locaux sur la machine hôte aux conteneurs. Vous devez remplacer \"/chemin/vers/le/dossier/media\" et \"/chemin/vers/le/dossier/cache\" par les chemins réels vers les dossiers que vous souhaitez utiliser pour stocker les données du volume. 2. Utilisation de volumes nommés : Dans cet exemple, nous déclarons simplement les volumes \"castopod-media\" et \"castopod-cache\" sans spécifier de configuration supplémentaire. Dans ce cas, Docker va créer et gérer les volumes automatiquement dans un emplacement par défaut sur le système de fichiers du système d'hébergement Docker. Concernant l'option restart\nDans le contexte de la configuration Docker Compose, la ligne est spécifiée pour les services \"app\" et \"video-clipper\". Lorsque vous utilisez , cela signifie que Docker va automatiquement redémarrer le conteneur en cas d'arrêt, sauf si vous arrêtez explicitement le conteneur manuellement en utilisant une commande Docker, par exemple . Cela garantit que le conteneur est toujours en cours d'exécution, sauf si vous décidez de l'arrêter de manière explicite. Cela peut être utile pour s'assurer que les services sont toujours disponibles et fonctionnent de manière continue, même après un redémarrage du système ou un arrêt inattendu. Cette option de redémarrage automatique peut être configurée avec d'autres valeurs, telles que , , ."},"score":1.75,"snippet":"…fichiers médias des podcasts.\nDéfinit plusieurs variables d'environnement liées à la base de données MySQL utilisée par Castopod, y compris le nom de la base de données, l'utilisateur et le mot de passe.\nDéfinit égalemen…","tier":2},{"article":{"uuid":"91efb488-90c1-49ea-8664-ff6f7a3ffeea","slug":"ssh","title":"ssh","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-05-01 06:23:56","created_at":"2023-05-01 06:23:56","updated_at":"2023-05-01 06:23:56","plain":"est un programme pour se connecter à une machine distante et pour effectuer des commandes sur cette machine. La connexion et les échanges sont sécurisés. L'identité utilisé sur le poste distant peut être différente de l'identité du poste local utilisé. La connexion nécessite d'un sur la machine distante.\nConnexions sécurisées et simplifiées grâce à l'authentification par clé publique et privée : principe\nPour simplifier et sécuriser la connexion à une machine distante, il est possible d'utiliser une méthode basée sur l'authentification par clé publique et privée. Cette approche élimine la nécessité de saisir un login et un mot de passe à chaque connexion. Au lieu de cela, la connexion SSH vérifiera votre clé privée avec la clé publique enregistrée sur le serveur distant. Cette méthode présente plusieurs avantages. Elle élimine la complexité liée à la gestion des mots de passe et permet un gain de temps considérable au quotidien. De plus, elle offre un niveau de sécurité supérieur, car les clés utilisées sont beaucoup plus robustes que les mots de passe traditionnels. Si plusieurs utilisateurs doivent accéder au serveur distant, SSH permet de gérer plusieurs paires de clés, permettant ainsi à chaque utilisateur de se connecter avec sa propre clé. Si vous avez la responsabilité de plusieurs serveurs, vous pouvez utiliser la même clé publique sur tous les serveurs. Voici un guide détaillé pour vous aider à créer un jeu de clés sur votre poste de travail. Nous allons générer deux clés : une clé privée et une clé publique. Seule la clé publique devra être déployée sur les différents serveurs, tandis que la clé privée doit être conservée précieusement sur votre ordinateur.\nCréation d'un jeu de clés ecdsa pour une connexion SSH sécurisée\nL'algorithme de signature numérique ecdsa est un nouveau standard utilisant les courbes elliptiques, réputé pour sa sécurité et sa performance. La taille maximale des clés supportées est de 521 bits, et la plupart des clients SSH le prennent en charge. Si vous préférez utiliser l'algorithme RSA, vous pouvez simplement remplacer \"ecdsa\" par \"rsa\" dans les étapes suivantes. Étape 1: Génération de la clé SSH Pour créer une clé SSH de type \"ecdsa\", vous pouvez utiliser la commande suivante avec ssh-keygen. L'option -t spécifie le type de clé, et l'option -b définit la longueur de la clé.\n- Spécification de l'emplacement du stockage de la clé (optionnel) Si vous souhaitez spécifier un emplacement particulier pour stocker la clé, vous pouvez utiliser l'option -f suivi du chemin d'accès souhaité. Par exemple :\n- Ajout d'un commentaire à la clé (optionnel) Si vous souhaitez ajouter un commentaire à la clé pour une meilleure identification, vous pouvez utiliser l'option -C suivi du commentaire souhaité. Par exemple : Étape 2: Sécurisation de la clé privée Il est crucial de sécuriser la clé privée et de limiter l'accès aux personnes autorisées à l'utiliser. Lors de la création de la clé, le programme ssh-keygen vous demandera de définir une passphrase (mot de passe) pour la clé privée. Assurez-vous d'utiliser une passphrase sécurisée et de la mémoriser. Les caractères que vous entrez n'apparaîtront pas à l'écran pour des raisons de sécurité. En suivant ces étapes, vous aurez créé un jeu de clés ecdsa pour une connexion SSH sécurisée. Veillez à bien protéger la clé privée et à utiliser une passphrase forte pour garantir la sécurité de votre connexion.\nContrôle et gestion des clés dans SSH Pour contrôler vos clés SSH et effectuer des opérations de gestion, vous pouvez suivre les étapes suivantes : Étape 1: Lister les clés présentes dans votre compte Utilisez la commande suivante dans votre terminal pour lister les clés présentes dans votre répertoire /.ssh/ : Cette commande affichera la liste des clés présentes, le cas échéant. Étape 2: Afficher le contenu d'une clé (à utiliser avec précaution) Si vous souhaitez afficher le contenu d'une clé spécifique, vous pouvez utiliser la commande suivante : Remplacez \"maCle\" par le nom de votre clé. Cependant, il est important de noter que l'affichage du contenu d'une clé publique ou privée à l'aide de la commande \"cat\" est une pratique peu recommandée en raison de la sensibilité des informations contenues dans la clé. Veillez à utiliser cette commande avec précaution et évitez de divulguer le contenu de vos clés. Il est essentiel de prendre des mesures pour sécuriser vos clés SSH, telles que la protection de la clé privée avec une passphrase et le contrôle strict des autorisations d'accès aux fichiers de clés. En suivant ces étapes, vous pouvez contrôler et gérer vos clés SSH de manière sécurisée. Veillez à respecter les bonnes pratiques en matière de gestion des clés et à prendre les mesures appropriées pour protéger vos informations sensibles.\nCopier et utiliser une clé publique avec SSH\nGuide étape par étape pour copier et utiliser une clé publique avec SSH sous Linx.\n- Pour utiliser la clé, vous devez procéder à la copie de votre clé publique vers le poste distant. La clé publique est généralement stockée dans un fichier nommé \"idrsa.pub\" situé dans le répertoire \".ssh\" de votre dossier utilisateur. L'étape suivante consiste à ajouter cette clé publique au fichier \"authorizedkeys\" du dossier \".ssh\" sur l'ordinateur distant. Voici un exemple plus détaillé du processus : 1. Tout d'abord, identifiez l'emplacement de votre clé publique. Par défaut, elle se trouve dans le fichier \"/.ssh/idrsa.pub\". 2. Ensuite, ouvrez une session sur le serveur distant en utilisant la commande SSH : Remplacez \"utilisateur\" par votre nom d'utilisateur et \"srvprod.aceinternet.fr\" par l'adresse du serveur distant. 3. Une fois connecté au serveur distant, créez le dossier \".ssh\" dans votre répertoire utilisateur s'il n'existe pas déjà : 4. Utilisez la commande \"ssh-copy-id\" pour copier votre clé publique sur le serveur distant et l'ajouter au fichier \"authorizedkeys\" : Cette commande copie le contenu de votre clé publique dans le fichier \"authorizedkeys\" sur le serveur distant, ce qui vous permettra de vous connecter sans avoir à saisir de mot de passe. Cette commande est a utiliser sur votre poste local. 5. Après avoir exécuté la commande, vous serez invité à saisir votre mot de passe pour le serveur distant une dernière fois. Entrez-le et la copie de votre clé publique sera effectuée. Une fois que vous avez suivi ces étapes, vous devriez être en mesure de vous connecter au serveur distant en utilisant votre clé privée, sans avoir à saisir votre mot de passe à chaque fois. Veuillez noter que les noms de fichiers et les chemins d'accès peuvent varier en fonction de votre configuration spécifique, mais les étapes générales restent les mêmes.\nGestion des clés SSH avec un fichier de configuration\nPour faciliter la gestion des connexions SSH, vous pouvez créer un fichier de configuration qui regroupe toutes les informations nécessaires. Voici un exemple de configuration : Ce fichier de configuration permet de spécifier les paramètres de connexion pour l'hôte distant \"srvprod.aceinternet.fr\". Les lignes suivantes indiquent respectivement le nom d'hôte, le port, le nom d'utilisateur et le chemin vers la clé privée à utiliser pour cette connexion. Il est important de protéger le fichier de configuration pour garantir la sécurité de vos informations sensibles. Vous pouvez définir les permissions appropriées en utilisant les commandes suivantes : La première commande définit les permissions du fichier de configuration de manière à ce qu'il soit accessible en lecture et écriture uniquement par le propriétaire (vous), et aucun accès en lecture pour les autres utilisateurs. La deuxième commande garantit que le fichier appartient à l'utilisateur courant. En veillant à protéger votre fichier de configuration, vous pouvez centraliser et gérer plus facilement vos connexions SSH en utilisant les paramètres spécifiés dans ce fichier. Cela simplifie également la maintenance et la modification des connexions SSH.\nConseils en cas de panne\nQue faire en cas de changement de la clé publique de l'hôte distant\nUne clé publique de l'hôte distant est un élément essentiel dans le système d'authentification et de sécurité utilisé par le protocole SSH (Secure Shell) lors des connexions à distance. Lorsque vous vous connectez à un hôte distant via SSH, l'hôte présente sa clé publique au client pour vérifier son identité. La clé publique de l'hôte distant est générée lors de la première connexion SSH à cet hôte et est ensuite stockée dans le fichier knownhosts du client. Elle est associée à une signature numérique unique qui permet d'authentifier l'hôte distant de manière sécurisée. Cette clé publique est utilisée pour chiffrer les données envoyées au serveur, assurant ainsi la confidentialité des communications. Lorsque vous vous reconnectez à l'hôte distant ultérieurement, le client SSH vérifie si la clé publique présentée par l'hôte correspond à celle enregistrée dans le fichier knownhosts. Si les clés correspondent, la connexion est établie en toute sécurité. Cependant, si la clé publique a changé depuis la dernière connexion, le client SSH émet un avertissement indiquant qu'une attaque potentielle de type \"man-in-the-middle\" est possible, et la connexion est bloquée par mesure de sécurité. La clé publique de l'hôte distant joue donc un rôle crucial dans l'établissement de connexions sécurisées via SSH. Elle permet d'authentifier l'hôte distant et de détecter tout changement potentiel dans l'identité de l'hôte. La gestion appropriée des clés publiques et la vérification de leur validité contribuent à assurer la sécurité des connexions SSH.\n- Si vous rencontrez une erreur indiquant que la clé publique de l'hôte distant a changé lors d'une tentative de connexion SSH, voici les étapes à suivre pour résoudre ce problème : 1. Tout d'abord, lorsque vous essayez de vous connecter à l'hôte distant avec la commande , vous obtenez un message d'erreur indiquant que la clé a changé et qu'une attaque de type \"man-in-the-middle\" est possible. 2. Cela signifie que la clé ECDSA (ECDSA key) utilisée pour sécuriser la connexion entre votre client et l'hôte distant a été modifiée depuis votre dernière connexion. Cette clé est stockée localement sur votre client, dans le fichier knownhosts, qui se trouve généralement dans le répertoire caché .ssh de votre utilisateur (par exemple, /home/cedric/.ssh/knownhosts). 3. Pour résoudre ce problème, vous devez réinitialiser l'entrée de l'hôte distant dans le fichier knownhosts. Vous pouvez le faire en utilisant la commande suivante : Cette commande supprimera l'enregistrement de l'hôte 192.168.100.5 du fichier knownhosts. 4. Une fois que vous avez réinitialisé l'entrée, vous pouvez vous connecter à nouveau à l'hôte distant en utilisant la commande . Cette fois-ci, la nouvelle clé publique sera enregistrée dans le fichier knownhosts, et vous devriez pouvoir vous connecter sans erreur. En suivant ces étapes, vous pourrez résoudre le problème lié au changement de la clé publique de l'hôte distant et vous reconnecter en toute sécurité.\nPossible usurpation DNS\nLorsque vous essayez de vous connecter à un hôte distant via SSH, vous pouvez rencontrer un avertissement indiquant une possible usurpation DNS. Voici le message d'erreur associé : Ce message indique que la clé de l'hôte distant \"raspberrypi\" a changé, mais l'adresse IP correspondante (192.168.100.84) est restée inchangée. Cela peut signifier deux choses : soit une usurpation DNS est en cours, soit l'adresse IP de l'hôte et sa clé de connexion ont changé simultanément. Pour résoudre ce problème, vous devez supprimer l'enregistrement associé à l'hôte en question. Vous pouvez le faire en utilisant la commande suivante : Cette commande supprimera l'enregistrement de l'hôte \"raspberrypi\" du fichier knownhosts. Une fois que vous avez supprimé l'enregistrement, vous pouvez essayer de vous reconnecter à l'hôte. Cette fois-ci, l'association entre le nom de l'hôte et sa clé sera enregistrée à nouveau dans le fichier knownhosts. Assurez-vous de suivre ces étapes pour garantir la sécurité de votre connexion SSH et éviter les risques potentiels liés à une usurpation DNS.\nChoix entre RSA et ECDSA\nLe choix entre l'utilisation d'ECDSA (Elliptic Curve Digital Signature Algorithm) ou de RSA (Rivest-Shamir-Adleman) dépend de plusieurs facteurs, notamment les considérations de sécurité et les préférences personnelles. ECDSA utilise des courbes elliptiques pour la génération de clés et les opérations de signature numérique. Il est généralement considéré comme plus efficace en termes de performances et d'utilisation de la bande passante. Les clés ECDSA sont également plus courtes que les clés RSA équivalentes, ce qui peut être avantageux dans certains cas. D'autre part, RSA est un algorithme de cryptographie asymétrique plus ancien et largement utilisé. Il est éprouvé et bien pris en charge par de nombreuses infrastructures et logiciels. RSA est généralement considéré comme étant plus sûr pour des longueurs de clé équivalentes, mais nécessite des clés plus longues pour offrir un niveau de sécurité comparable à ECDSA. En fin de compte, le choix entre ECDSA et RSA dépend de la compatibilité avec les systèmes existants, des performances souhaitées et des recommandations de sécurité spécifiques. Il est recommandé de se référer aux recommandations de sécurité en vigueur et de prendre en compte les spécifications et les exigences propres à votre environnement avant de faire un choix.\nScript Bash pour générer une clé privée SSH et configurer la connexion\nVoici un script Bash qui demande à l'utilisateur de saisir le nom de l'hôte distant, le numéro de port et son nom d'utilisateur pour se connecter via SSH. Il génère ensuite une clé privée et la pousse sur l'hôte distant. Enfin, il écrit un fichier de configuration dans le répertoire \".ssh/config\". Le nom de la clé privée générée sera basé sur le nom de l'hôte distant fourni par l'utilisateur, ce qui permet de générer des clés privées uniques pour chaque hôte distant. Par exemple, si l'utilisateur saisit \"srvprod.aceinternet.fr\" comme nom d'hôte distant, la clé privée sera enregistrée sous . Assurez-vous d'exécuter le script en tant qu'utilisateur disposant des droits nécessaires pour effectuer les opérations (par exemple, l'utilisateur courant doit pouvoir générer une clé privée, écrire dans le répertoire et copier la clé publique sur l'hôte distant)."},"score":1.75,"snippet":"…. Cette clé publique est utilisée pour chiffrer les données envoyées au serveur, assurant ainsi la confidentialité des communications. Lorsque vous vous reconnectez à l'hôte distant ultérieurement, le client SSH vérifie …","tier":2},{"article":{"uuid":"dc1a3f96-bb16-4523-9841-17d4168eaf45","slug":"installer-son-imprimante-brother-3040","title":"Installer l'imprimante Brother HL-3040 CN","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-03-14 21:16:07","created_at":"2023-03-14 21:16:07","updated_at":"2023-03-14 21:16:07","plain":"Se munir des pilotes:\nCUPS, appelé également cupswrapper et \nLPR printer driver. Pilotes disponibles à l'adresse \n Installer le pilote LPR printer driver.\\\\ Remarque : glibc, libcrypt-nss et nss-softokn-freebl seront installés. résultat Installer le pilote hl3040cn cups wrapper.\\\\ Résultat : L'imprimante est ajouter en port USB sur le poste local. Saisir l'adresse pour accéder à l'interface CUPS.\\\\\nSe connecter avec son login ou celui de root. Cliquer sur le lien HL3040CN.\\\\\nLien correspondant à l'imprimante fraichement installée. Choisir dans le seconde liste déroulante, Modifier l'imprimante. Choisir Hôte ou imprimante LPD/LPR et cliquer sur Continuer Saisir l'adresse de l'imprimante. Par exemple * Décocher l'option Partager cette imprimante et cliquer sur Continuer Laisser la sélection sur Pilote courant - Brother HL3040CN CUPS puis cliquer Modifier une imprimante**. L'imprimante HL3040CN a été modifiée avec succès."},"score":1.75,"snippet":"…ésultat : L'imprimante est ajouter en port USB sur le poste local. Saisir l'adresse <http:localhost:631/printers> pour accéder à l'interface CUPS.\\\\\nSe connecter avec son login ou celui de root. Cliquer sur le lien HL304…","tier":2},{"article":{"uuid":"398c62e1-4957-49de-aa2e-26ba1578b468","slug":"opus","title":"Format Opus","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-02-28 20:05:33","created_at":"2023-02-28 20:05:33","updated_at":"2023-02-28 20:05:33","plain":"Opus est un codec audio numérique libre et ouvert, conçu pour fournir une qualité sonore élevée avec une faible latence de codage et de décodage. Opus est un format de compression audio à débit binaire variable, qui permet d'optimiser la qualité et la taille des fichiers en fonction des besoins. Le codec Opus a été développé par l'Internet Engineering Task Force (IETF), un organisme qui travaille sur la standardisation des protocoles Internet. Il a été créé à partir de deux codecs existants, le SILK de Skype et le CELT (Constrained Energy Lapped Transform), et vise à combiner les avantages de ces deux codecs pour offrir une qualité sonore élevée et une compatibilité universelle. Opus prend en charge une large gamme de débits binaires, allant de 6 kbit/s à 510 kbit/s, ce qui permet d'optimiser la qualité sonore et la taille des fichiers pour différents types d'applications. Il prend également en charge la stéréo et la mono, ainsi que les taux d'échantillonnage allant jusqu'à 48 kHz. Le format Opus est conçu pour être polyvalent et universel, et peut être utilisé pour une variété d'applications, telles que la diffusion en continu, les jeux en ligne, la communication vocale sur Internet, les appels vidéo, la diffusion de musique en direct et les podcasts. Le format est pris en charge par de nombreux lecteurs multimédias et logiciels de traitement audio, et est devenu une norme de facto pour la communication vocale en temps réel sur Internet. Voici quelques indications de débits pour le format OPUS : Audiobooks / Podcasts\\\\\n1 voix => 24 Kb/s\\\\\n2 voix => 32 kb/s Musique en streaming ou radio\\\\\n64 - 96 kb/s Musique en local\\\\ \n96 - 128 kb/s c'est un coef de 4\\\\\n5.1 - 128 - 256 kb/s\\\\\n7.1 - 256 - 450 kb/s\\\\ Convertir avec ffmpeg et opusenc\nL'encodeur pour obtenir des fichiers OPUS s'appelle opusenc. Le fichier d'entrée doit être au format Wave, AIFF, FLAC, Ogg/FLAC, ou raw PCM. Les scripts shell suivant utilisent les programmes ffmpeg et opusenc pour convertir des fichiers audio dans deux formats différents avec une certaine qualité et stocker les fichiers résultants dans le même répertoire que les fichiers sources. Qualité archive 32k - podcast audio Conversion en PCM S32LE avec FFmepg puis en format Opus avec opusenc avec un débit binaire de 32 kbit/s : Qualité archive 64k - stream music Conversion en format PCM non compressé avec FFmepg puis en format Opus avec opusenc avec un débit binaire de 64 kbit/s : Qualité archive 96k - radio Conversion en format PCM non compressé avec FFmepg puis en format Opus avec opusenc avec un débit binaire de 96 kbit/s : Qualité archive 128k - archive Conversion en format PCM non compressé avec FFmepg puis en format Opus avec opusenc avec un débit binaire de 128 kbit/s : Qualité archive 128k - archive, pour des fichiers WAV Conversion en format Opus avec opusenc avec un débit binaire de 128 kbit/s : Avec ce script il faut s'assurer que le format du fichier en entrée soit accepté par opusenc. Qualité archive 152k - utilisé par Youtube Conversion en format PCM non compressé avec FFmepg puis en format Opus avec opusenc avec un débit binaire de 152 kbit/s :"},"score":1.75,"snippet":"…ique en streaming ou radio</u>\\\\\n64 - 96 kb/s <u>Musique en local</u>\\\\ \n96 - 128 kb/s c'est un coef de 4\\\\\n5.1 - 128 - 256 kb/s\\\\\n7.1 - 256 - 450 kb/s\\\\ Convertir avec ffmpeg et opusenc\nL'encodeur pour obtenir des fich…","tier":2},{"article":{"uuid":"eaf4d284-81af-4dbe-95e4-887627fef83d","slug":"installer-un-serveur-de-partage-de-fichiers","title":"- Partage de fichiers","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-02-28 20:02:47","created_at":"2023-02-28 20:02:47","updated_at":"2023-02-28 20:02:47","plain":"L'objectif de ces notes est de mettre en œuvre un partage de fichier avec SAMBA et NFS.\nSamba\nLe logiciel SAMBA est utilisé pour le partage de fichiers et d’imprimantes à l’aide des protocoles SMB et CIFS. Ces protocoles étant ceux utilisés pour les systèmes d’exploitation Microsoft, l’installation de Samba sur une machine équipée de Linux permet :\nd’intégrer celle-ci dans le \"réseau Microsoft\" de l’entreprise\nde prendre la place d’un serveur Microsoft Windows On configure le service Samba à l’aide du fichier qui est composé de deux parties :\nUne partie globale, qui permet de configurer le fonctionnement du service.\nUne partie partages, où sont listés les partages de répertoires et d’imprimantes et leurs paramètres. La suite des manipulations serveur ont été testées avec Raspbian 10 sur Raspberry Pi 2 le 21 mars 2020.\nInstaller Samba sur le serveur\nSur Debian et Rasbpian, il faut utiliser apt : Si votre ordinateur obtient ses paramètres IP à partir d'un serveur DHCP du réseau, ce serveur peut aussi fournir des informations sur les serveurs WINS (serveurs de noms NetBIOS) présents sur le réseau. Une modification du fichier est nécessaire afin que les réglages WINS fournis par le serveur DHCP soient lus dans . Le paquet doit être installé pour utiliser cette fonctionnalité. Samba utilise la configuration présente dans le fichier . A chaque modification il sera nécessaire de redémarrer le service Samba pour que les modifications soient prises en compte :\nCréer un accès Samba anonyme\nToutes les connexions non identifiées se verront attribuer une ressource partagée. Cela permet d'échanger des fichiers sans authentification, dans un espace isolé. Voici la configuration nécessaire dans le fichier du serveur Samba : Côté client Windows, le partage sera accessible sans authentification. Les fichiers et dossiers créés le seront avec l'utilisateur et le groupe . Il faudra veiller à ce que le dossier soit en lecture/écriture pour tout le monde.\nPartage NFS sous Linux\nNFS (Network File System), littéralement système de fichiers en réseau, est un protocole qui permet de partager des fichiers ou des dossiers entre système Unix/Linux depuis 1980. Il permet de monter dans votre système de fichier local des fichiers d'autres ordinateurs et interagir comme si ils étaient montés localement. Donc vous le comprendrez, NFS permet d'accéder de manière local à des fichiers distants. NFS est une architecture standard utilisé par des clients et serveur Unix. Avec NFS il n'est pas nécessaire d'avoir exactement le même système d'exploitation. Et grâce à NFS, nous pouvons réaliser une solution de stockage centralisé. NFS est composé de deux parties :\nServeur NFS : désigne le système qui possède physiquement les ressources (fichiers, répertoires) et les partages sur le réseau avec d’autres systèmes.\nClient NFS : désigne un système qui monte les ressources partagées sur le réseau. Une fois montées, les ressources apparaissent comme si elles étaient locales. Le package serveur NFS inclus trois grandes parties inclus dans les package portmap et nfs-utils.\nportmap est un mappeur appelé par les autres machines.\nNFS est le logiciel qui permet de transférer le fichier ou les commandes vers le fichier distant, vers le système de fichier distant, et inversement.\nRPC.mountd et le service qui permet de monter et démonter le système de fichier. Au niveau configuration nous retenons 3 fichier de configuration.\n/etc/exports correspond au fichier de configuration principal du système NFS. Il contient la liste des ressources partagées, une ligne par ressource. \n/etc/fstab permet de monter les dossiers NFS et de les remonter de manière automatique à chaque boot.\netc/sysconfig/nfs et le fichier de configuration du système NFS pour contrôler les ports RPC et les autres services en écoute. Quelques commandes :\nLa liste des ressources partagées peut être obtenue à l’aide de la commande . Aucune configuration particulière n’est nécessaire pour les clients. Les ressources partagées peuvent être listées et montées/démontées manuellement ou automatiquement.\n, compatible avec Windows\n, partage Linux compatible partiellement avec Windows"},"score":1.75,"snippet":"…is 1980. Il permet de monter dans votre système de fichier local des fichiers d'autres ordinateurs et interagir comme si ils étaient montés localement. Donc vous le comprendrez, NFS permet d'accéder de manière local à de…","tier":2},{"article":{"uuid":"0cf85570-ca33-4314-9dd7-8690929708a8","slug":"sauvegarder-restaurer-thunderbird","title":"Sauvegarder et restaurer les données de Thunderbird","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-02-28 20:02:45","created_at":"2023-02-28 20:02:45","updated_at":"2023-02-28 20:02:45","plain":"Sauvegarder\nPour sauvegarder le contenu du carnet d'adresses, les comptes de courrier, les paramètres des comptes ou les extensions installées, il suffit de sauvegarder le dossier des données de Thunderbird. Afficher les dossiers cachés\nAfficher les fichiers et dossiers cachés. Compacter les dossiers Thnuderbird\nDans Thunderbird, sélectionnez le dossier nommé Local folder puis accéder au menu Fichier --> Compacter le dossier. Fermer Thunderbird\nFermer le programme Thunderbird. Vérifier que le programme ne fonctionne pas encore en consultant le Gestionnaire de tâches.\\\\\nLe processus doit s'appeler Thunderbird.exe. Copier\nCopier le dossier de données de Thunderbird. Je vous conseille vivement de compresser le dossier car il peut contenir plusieurs giga octets de données. Emplacement du dossier : dossier de données d'applications de l'utilisateur. Sous Windows XP\n C:\\Documents and Settings\\Utilisateur\\Application Data\\Thunderbird Sous Windows 7/Vista\n C:\\Users\\Utilisateur\\AppData\\Roaming\\Thunderbird\n \nAttention, sous Windows 7, dans l'explorateur de fichier, le dossier C:\\Users peut s'afficher C:\\Utilisateurs Variable d'environnement Windows\n %APPDATA%\\Thunderbird Restaurer\nPour restaurer la configuration, recopier l'intégralité de ce dossier au même emplacement."},"score":1.75,"snippet":"…dossier C:\\Users peut s'afficher C:\\Utilisateurs Variable d'environnement Windows\n %APPDATA%\\Thunderbird Restaurer\nPour restaurer la configuration, recopier l'intégralité de ce dossier au même emplacement.","tier":2},{"article":{"uuid":"2d2a63f0-bba6-4b5e-a5e6-0ef2e2b5b39d","slug":"dnf","title":"dnf","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-02-28 19:41:07","created_at":"2023-02-28 19:41:07","updated_at":"2023-02-28 19:41:07","plain":"--\nDNF signifie \"Dandified Yum\", et c'est un gestionnaire de paquets pour les systèmes d'exploitation Linux utilisant RPM (Red Hat Package Manager). Il est principalement utilisé pour gérer les paquets et les dépendances sur les distributions Fedora, CentOS et Red Hat Enterprise Linux. Avec DNF, les utilisateurs peuvent installer, mettre à jour, désinstaller et rechercher des paquets sur leur système. Il peut également gérer les dépendances entre les paquets, de sorte que les utilisateurs n'ont pas à s'occuper de la résolution des dépendances manuellement. Informations concernant les fichiers\nBinaire : \nFichiers de cache : \nConfiguration principale : \nConfiguration des dépôts : Configurer un proxy pour tous les utilisateurs\nParfois, lorsque vous travaillez dans un environnement réseau limité, vous devez configurer un proxy pour accéder à Internet. Vous pouvez également configurer un cache en ligne, également appelé proxy cache qui sera utilisé pour stocker des copies des paquets demandées afin d'être réutilisés ultérieurement pas d'autres machines. Voici comment configurer un proxy pour tous les utilisateurs et pour un utilisateur spécifique sur Fedora en utilisant DNF. Pour configurer un proxy pour tous les utilisateurs, vous devez modifier le fichier . \nOuvrez ce fichier en mode édition en utilisant la commande suivante : Ajoutez les lignes suivantes pour configurer un proxy simple : Si le proxy nécessite une identification, ajoutez également les lignes suivantes : \nEnregistrez et fermez le fichier. À partir de maintenant, tous les utilisateurs sur votre système seront en mesure d'utiliser le proxy pour accéder à Internet en utilisant DNF.\n C'est tout! Vous savez maintenant comment configurer un proxy avec DNF pour tous les utilisateurs sur Fedora. En suivant les étapes décrites ci-dessus, vous pouvez facilement accéder à Internet en utilisant DNF même dans un environnement réseau limité. Configurer un proxy pour un utilisateur spécifique\nPour configurer un proxy pour un utilisateur spécifique, vous devez ajouter les lignes suivantes dans le fichier ou : Le fichier est utilisé pour les utilisateurs non-root, tandis que le fichier est lu à chaque démarrage de la session utilisateur. Il est recommandé de redémarrer la session utilisateur après avoir effectué des modifications pour que les modifications prennent effet. C'est tout! Vous savez maintenant comment configurer un proxy avec DNF pour un utilisateur spécifique sur Fedora. En suivant les étapes décrites ci-dessus, vous pouvez facilement accéder à Internet en utilisant DNF même dans un environnement réseau limité.\nRechercher un paquet installé\nL'option \"installed\" spécifie à DNF de n'afficher que les paquets installés sur le système : dnf list installed\n- Lister tous les paquets installés sur votre système qui correspondent à la expression régulière \"krb?-\" : dnf list installed \"krb?-\" L'expression régulière \"krb?-\" signifie que DNF va rechercher tous les paquets dont le nom commence par \"krb\" suivi d'un caractère unique, puis suivi d'un tiret et de tout ce qui suit. Cela signifie que tous les paquets qui ont un nom similaire à \"krb-xxx\" ou \"krb-yyy\" seront listés par la commande. Surveiller les mises à jour disponibles sur Fedora DNF\nPour surveiller les mises à jour disponibles sur votre système Fedora utilisant DNF, vous pouvez utiliser un script bash utilisant sans droit root. Pour exécuter la commande en tant que service et mémoriser les informations de mise à jour dans un fichier, vous pouvez utiliser un script bash et une tâche cron. \nLe script peut être déposé dans n'importe quel répertoire sur votre système, mais il est souvent pratique de le déposer dans un répertoire dédié aux scripts. Certains répertoires communs pour les scripts incluent (répertoire des binaires locaux). Voici un exemple de scripts que vous pouvez utiliser : \nEnregistrez ce script dans un fichier, puis rendez-le exécutable en utilisant la commande suivante : La commande pour créer le fichier updatefile s'il n'existe pas encore. La commande avec l'option 644 permet à tous les utilisateurs (propriétaire, utilisateurs du groupe et autres utilisateurs) d'avoir uniquement des autorisations de lecture sur le fichier : \nEnsuite, pour exécuter ce script en tant que service, vous pouvez ajouter une tâche cron. Pour ouvrir le fichier de configuration cron, utilisez la commande suivante : sudo crontab -e \nAjoutez la ligne suivante à ce fichier pour exécuter le script tous les heures :\n 0 /1 /usr/local/bin/checkupdate.sh Cette ligne exécutera le script tous les heures. Vous pouvez ajuster l'heure en fonction de vos besoins.\n\nPour afficher les informations de mise à jour lors de l'ouverture d'un terminal, vous pouvez ajouter le code suivant à votre fichier de configuration bash /.bashrc : Après avoir enregistré les modifications, ouvrez un nouveau terminal pour vérifier que les informations de mise à jour s'affichent correctement. \nRetrouver le script d'installation automatique à l'adresse git.abonnel.fr scripts-bash Executez la ligne suivante dans votre Terminal :\n sudo bash -c \"$(curl -fsSL https://git.abonnel.fr/cedricAbonnel/scripts-bash/raw/branch/main/installcheckupdate.sh)\" "},"score":1.75,"snippet":"…s les utilisateurs\nParfois, lorsque vous travaillez dans un environnement réseau limité, vous devez configurer un proxy pour accéder à Internet. Vous pouvez également configurer un cache en ligne, également appelé proxy …","tier":2},{"article":{"uuid":"3982855c-f1df-4a32-98f6-a47f0f3332ce","slug":"sandbox","title":"sandbox","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-02-20 07:55:39","created_at":"2023-02-20 07:55:39","updated_at":"2023-02-20 07:55:39","plain":"Une sandbox est un environnement isolé et sécurisé dans lequel un programme peut s'exécuter sans affecter le reste du système. Lorsqu'un programme s'exécute dans une sandbox, il est restreint dans les actions qu'il peut effectuer, afin de prévenir les problèmes de sécurité.\nPourquoi ? Les technologies de sandboxing existent depuis plusieurs décennies et ont été utilisées dans divers contextes, notamment pour isoler des applications sur des systèmes d'exploitation en temps partagé. Cependant, les sandboxes modernes utilisent des techniques plus avancées pour créer des environnements de sandbox sécurisés et faciles à utiliser. Le concept de sandboxing est devenu plus important avec l'augmentation des menaces de sécurité sur les ordinateurs personnels et les serveurs, ainsi qu'avec l'essor des technologies de virtualisation et de conteneurisation. La popularité des technologies de sandboxing a également augmenté avec l'avènement des smartphones et des tablettes, qui ont introduit de nouveaux risques de sécurité. Les sandboxes sont maintenant couramment utilisées dans les environnements mobiles pour protéger les données personnelles des utilisateurs et empêcher les applications malveillantes d'accéder à des ressources sensibles, telles que les contacts, les messages ou les photos.\nPrincipe de fonctionnement Le mécanisme de sandbox repose sur l'utilisation de mécanismes de virtualisation, d'isolation et de contrôle d'accès. En général, les sandboxes sont mises en place en utilisant des techniques de virtualisation pour créer un environnement isolé et sécurisé dans lequel une application peut s'exécuter. Les machines virtuelles ou les conteneurs sont des exemples de technologies de virtualisation qui peuvent être utilisées pour créer des sandboxes. Une fois que l'environnement de sandbox est créé, des mécanismes d'isolation sont utilisés pour restreindre l'accès de l'application à certaines ressources système, telles que les fichiers, les entrées/sorties réseau ou les processus. Cela permet d'empêcher l'application d'interagir avec le système hôte et de causer des dommages ou des compromissions de sécurité. Enfin, des mécanismes de contrôle d'accès sont mis en place pour autoriser ou refuser l'accès de l'application à certaines ressources du système en fonction de son niveau de privilège et des permissions qui lui ont été accordées. Dans l'ensemble, les mécanismes de virtualisation, d'isolation et de contrôle d'accès permettent aux sandboxes de créer des environnements de sécurité isolés pour les applications. Cela réduit les risques de sécurité en limitant les actions qu'une application peut effectuer sur le système hôte. En général, la mise en place d'une sandbox nécessite un certain niveau de configuration pour autoriser l'accès aux ressources du système que l'application a besoin d'utiliser. Lors de la création d'une sandbox, il est souvent nécessaire de spécifier les permissions que l'application sera autorisée à utiliser. Par exemple, si une application a besoin d'accéder à des fichiers sur le système de fichiers local, il faudra autoriser explicitement l'application à accéder à ces fichiers en définissant les bonnes permissions. De même, si l'application a besoin d'accéder à Internet, il faudra spécifier les permissions nécessaires pour permettre à l'application d'utiliser le réseau. Cependant, la configuration d'une sandbox est généralement simplifiée autant que possible pour éviter les erreurs de configuration qui pourraient compromettre la sécurité. Les mécanismes de sandboxing modernes, tels que ceux utilisés dans Flatpak, sont conçus pour simplifier autant que possible la configuration de la sandbox tout en garantissant un niveau élevé de sécurité. Les utilisateurs n'ont souvent pas besoin de configurer manuellement les permissions de la sandbox, car celles-ci sont gérées automatiquement par le système de sandboxing.\nTechnologie Il existe plusieurs autres technologies de sandboxing disponibles, en plus de Flatpak, qui sont utilisées pour isoler les applications et renforcer la sécurité sur les systèmes d'exploitation. Voici quelques exemples de technologies de sandboxing populaires :\nDocker : une plateforme de conteneurs qui utilise des mécanismes de virtualisation pour isoler les applications dans des environnements de conteneurs. Les conteneurs Docker offrent une isolation de processus et de réseau, ainsi que des mécanismes de contrôle d'accès pour limiter l'accès aux ressources du système.\nFirejail : un outil de sandboxing pour Linux qui utilise des mécanismes d'isolation de processus pour limiter les actions qu'une application peut effectuer sur le système. Firejail est conçu pour être facile à utiliser et propose une interface en ligne de commande simple pour configurer la sandbox.\nAppArmor et SELinux : des outils de contrôle d'accès obligatoire (MAC) pour Linux qui permettent de restreindre les actions qu'une application peut effectuer en fonction de ses permissions et de son niveau de privilège. Ces outils sont utilisés pour limiter l'accès aux ressources du système et prévenir les attaques. Ces technologies de sandboxing et bien d'autres sont utilisées pour renforcer la sécurité sur les systèmes d'exploitation en isolant les applications et en restreignant l'accès aux ressources du système.\nFirefox Firefox, le navigateur web populaire, utilise également un mécanisme de sandboxing pour améliorer la sécurité. Le sandboxing de Firefox, appelé , isole le contenu web dans des processus distincts qui sont séparés du processus principal du navigateur. Lorsqu'un utilisateur visite un site web, le contenu web (HTML, JavaScript, etc.) est exécuté dans un processus distinct qui est limité dans les actions qu'il peut effectuer sur le système. Si un contenu malveillant ou un code malicieux est exécuté sur le site web, il ne pourra pas affecter le processus principal du navigateur, ce qui peut protéger l'utilisateur contre les attaques de type ou (attaque par téléchargement automatique de logiciel malveillant à l'insu de l'utilisateur). De plus, Firefox utilise également une fonctionnalité appelée qui isole les processus de contenu pour chaque site web visité. Cela empêche les sites web de partager des informations entre eux, même si un site malveillant est capable d'exécuter du code dans le processus du navigateur. En somme, le sandboxing de Firefox est un élément important de la sécurité du navigateur, car il permet d'isoler le contenu web dans des processus distincts pour empêcher les attaques de se propager à travers le navigateur ou sur le système.\n... et bien d'autres De nombreux programmes et systèmes d'exploitation utilisent le mécanisme de sandboxing pour renforcer la sécurité. Voici quelques exemples d'autres programmes et systèmes d'exploitation qui utilisent le mécanisme de sandboxing :\nGoogle Chrome : le navigateur web de Google utilise également un mécanisme de sandboxing pour isoler les onglets dans des processus distincts et limiter les actions qu'ils peuvent effectuer sur le système.\nMicrosoft Office : les versions les plus récentes de Microsoft Office utilisent un mécanisme de sandboxing appelé \"Protected View\" pour ouvrir les fichiers téléchargés à partir d'Internet ou d'autres sources non fiables dans un environnement isolé et sécurisé.\nAdobe Reader : le lecteur de PDF d'Adobe utilise un mécanisme de sandboxing pour isoler le processus de lecture de PDF dans un environnement de sandbox distinct et limiter les actions qu'il peut effectuer sur le système.\nAndroid : le système d'exploitation mobile d'Android utilise un mécanisme de sandboxing pour isoler les applications dans des environnements distincts et limiter l'accès des applications aux ressources du système.\niOS : le système d'exploitation mobile d'Apple utilise également un mécanisme de sandboxing pour isoler les applications dans des environnements de sandbox distincts et empêcher les applications de partager des informations entre elles. En somme, de nombreux programmes et systèmes d'exploitation utilisent le mécanisme de sandboxing pour renforcer la sécurité en isolant les processus dans des environnements de sandbox distincts et en limitant l'accès des processus aux ressources du système."},"score":1.75,"snippet":"Une sandbox est un environnement isolé et sécurisé dans lequel un programme peut s'exécuter sans affecter le reste du système. Lorsqu'un programme s'exécute dans une sandbox, il est restreint dans les actions qu'il peut …","tier":2},{"article":{"uuid":"9a80168d-6eae-48a2-9a32-a9b1c0203784","slug":"bash-logout","title":".bash_logout","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-02-19 06:55:13","created_at":"2023-02-19 06:55:13","updated_at":"2023-02-19 06:55:13","plain":"est un fichier de script exécuté automatiquement par le shell Bash lorsqu'un utilisateur se déconnecte de son compte. Il est généralement utilisé pour nettoyer les variables d'environnement, les alias et les chemins d'accès, ainsi que pour effectuer d'autres tâches de nettoyage ou d'entretien avant la déconnexion. Il est généralement stocké dans le répertoire personnel de l'utilisateur, comme . Il peut être utilisé pour effectuer des tâches administratives telles que la suppression des fichiers temporaires ou pour afficher un message de bienvenue ou de déconnexion, ou pour effectuer des tâches plus importantes comme supprimer les fichiers temporaires, fermer les applications en cours d'exécution, etc. Il est important de noter que le fichier n'est pas créé par défaut et doit être créé manuellement si l'on souhaite utiliser cette fonctionnalité. Voici quelques exemples de tâches administratives qui peuvent être effectuées dans un fichier : Suppression des fichiers temporaires :\n rm -rf /.cache/ Affichage d'un message de bienvenue ou de déconnexion :\n echo \"Au revoir, à bientôt !\" Fermeture d'applications en cours d'exécution :\n killall -u $USER Suppression des fichiers temporaires :\n find /.local/share/Trash/files/ -mindepth 1 -delete Nettoyage de l'historique des commandes :\n history -c Purger les paquets inutilisés :\n sudo apt-get autoremove Il est important de noter que ces exemples sont donnés à titre indicatif et que vous devriez vous assurer de comprendre ce qu'ils font avant de les utiliser dans votre propre fichier pour éviter tout dommage potentiel à votre système. Je ne conseille de mettre aucun de ces scripts en production. Il est également conseillé de faire une sauvegarde de vos fichiers importants avant de supprimer ou de nettoyer des fichiers ou dossiers. Voir également"},"score":1.75,"snippet":"…. Il est généralement utilisé pour nettoyer les variables d'environnement, les alias et les chemins d'accès, ainsi que pour effectuer d'autres tâches de nettoyage ou d'entretien avant la déconnexion. Il est généralement …","tier":2},{"article":{"uuid":"738b6376-4712-4e31-97a9-5fc13e322671","slug":"variables","title":"180 · Variables sous Linux","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-02-16 14:32:54","created_at":"2023-02-16 14:32:54","updated_at":"2023-02-16 14:32:54","plain":"PATH\nHistorique\nLa variable d'environnement PATH a été inventée par les développeurs du système d'exploitation Unix. Elle a été introduite pour permettre aux utilisateurs d'exécuter des commandes en utilisant simplement leur nom, plutôt que de devoir entrer le chemin complet vers le fichier binaire. Cela a facilité l'utilisation des commandes en rendant le système plus convivial pour les utilisateurs. La variable PATH est devenue un élément standard de la plupart des systèmes d'exploitation modernes, y compris Linux, macOS, et Windows. Microsoft a repris le principe de la variable d'environnement PATH lorsqu'il a développé la commande \"cmd\" pour son système d'exploitation Windows NT. Cela a permis aux utilisateurs de Windows de trouver et d'exécuter des commandes en utilisant simplement leur nom, comme sur les systèmes Unix. La variable PATH a été introduite dans Windows NT 3.5, qui a été publié en 1993. Depuis lors, elle est devenue un élément standard de toutes les versions de Windows, y compris les versions les plus récentes. La variable d'environnement PATH n'a pas été incluse dans le système d'exploitation MS-DOS de Microsoft. Pour exécuter des commandes sur MS-DOS, les utilisateurs devaient entrer le chemin complet vers le fichier binaire. Il y avait plusieurs utilitaires disponibles pour MS-DOS qui permettaient d'ajouter une sorte de fonctionnalité de variable PATH pour exécuter des commandes en utilisant simplement leur nom. Certains des utilitaires les plus populaires étaient:\n4DOS (1989) : un remplacement de commande pour COMMAND.COM qui ajoutait de nombreuses fonctionnalités, y compris la possibilité de définir des variables d'environnement, y compris PATH.\nNDOS (inclus à partir de Norton Utilies 8.0, 1994 - 2003 [^note: En 2003, Norton Utilities a été fusionné avec Norton SystemWorks, mais a été plus tard séparé à nouveau] ): un remplacement de commande pour COMMAND.COM qui ajoutait des fonctionnalités similaires à 4DOS, y compris la possibilité de définir des variables d'environnement.\\\\ Voir le site https:winworldpc.com/product/norton-utilities/80 - Norton Utilities 8.0 fonctionne avec un 80286 et +. \nDOSKEY (1991) : un utilitaire de Microsoft qui a été introduit dans MS-DOS 5.0 pour améliorer l'expérience de la ligne de commande en ajoutant des fonctionnalités telles que la possibilité de rappeler des commandes antérieures et de créer des macros. Il a également ajouté la possibilité de définir des variables d'environnement, y compris PATH. Exploitation du PATH sous Linux\nSous Linux, la variable PATH est définie dans le fichier de configuration de l'utilisateur, comme ou . Voir la page pour plus d'informations. Elle peut également être définie dans le fichier de configuration global pour tous les utilisateurs, comme . Voir la page pour plus d'informations. Enfin, la variable PATH peut-être modifié dans le SHELL uniquement dans la session courante en l’exécutant à l'invite de commandes. Ajouter un chemin dans le PATH\nVoici un exemple de définition de la variable PATH pour ajouter un répertoire à la recherche de commandes : export PATH=$PATH:/usr/local/bin Cette ligne ajoutera le répertoire à la liste des chemins de recherche de commandes. Voici un autre exemple pour ajouter plusieurs répertoires : export PATH=$PATH:/usr/local/bin:/usr/local/sbin Cela ajoutera les répertoires et à la liste des chemins de recherche de commandes. Pour que les modifications de PATH prennent effet, il faut recharger le fichier de configuration ou se reconnecter. Afficher le contenu de la variable PATH\nPour vérifier la valeur de la variable PATH actuelle, vous pouvez utiliser la commande : echo $PATH Cela affichera la liste des chemins séparés par des deux-points qui sont actuellement inclus dans la variable PATH**."},"score":1.75,"snippet":"PATH\nHistorique\nLa variable d'environnement PATH a été inventée par les développeurs du système d'exploitation Unix. Elle a été introduite pour permettre aux utilisateurs d'exécuter des commandes en utilisant simplement …","tier":2},{"article":{"uuid":"7d8fcf3f-b9ef-4bfa-9c3f-5c55c5d63cc9","slug":"fail2ban","title":"Fail2ban contre les attaques brutes-force","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-02-10 22:48:50","created_at":"2023-02-10 22:48:50","updated_at":"2023-02-10 22:48:50","plain":"Si vous être propriétaire d’un serveur quelconque connecté à Internet, vous n’êtes pas sans savoir qu’il est exposé à de nombreuses attaques. Parmi elles, le brute-force. Cette attaque consiste à trouver votre mot de passe SSH en les essayant tous les uns à la suite des autres ou en utilisant des dictionnaires (ce sont des listes contenant les mots de passe les plus utilisés comme admin, 123456, etc…). Ces attaques sont généralement menées par des robots qui visent des dizaines de serveurs en même temps. Il se connectent sans cesse à votre serveur grâce à votre port SSH et essayent beaucoup de combinaisons de mot de passe jusqu’à trouver le bon (généralement, une tentative est menée toutes les 2 à 3 secondes). Enfin, fois que les pirates ont accès à un serveur, ils peuvent par exemple s’en approprier pour exécuter d’autres attaques brute-force contre d’autres serveurs, ou bien utiliser votre serveur pour spammer des gens (par mail, par exemple). De plus, le responsable, si il y a une plainte car des attaques ont été menées depuis votre serveur, c’est vous (à moins que vous ne démontriez que vous avez vous-même été victime d’attaque et que vous n’avez plus le contrôle sur votre serveur, d’où l’importance de conserver vos logs). Il existe beaucoup de solutions, celle que je vais vous présenter aujourd’hui, c’est Fail2ban (d’autres méthodes seront proposés dans de futurs articles). Fail2ban est un programme qui analyse vos logs système afin de détecter les attaques brute-force et ainsi bloquer l’adresse IP attaquante. Vous pouvez consulter la manuel en anglais Fail2Ban Configuration Installer Fail2ban\nLa commande suivante permet d'installer fail2ban avec les systèmes Debian et dérivées : Configurer fail2ban\nÉditons le fichier Liste des fichiers et dossier de configuration par défaut de fail2ban sous Raspbian 10 : Il y a deux fichiers principaux de configuration pour fail2ban : et . D'autres fichiers complémentaires peuvent être dans et est le fichier de configuration pour le paramétrage du démon fail2ban. Il s'agit des paramètres loglevel, fichier log, port, socket et pid. est le fichier des recettes avec des filtres et des actions. Il permet de définir les règles de bannissements. Les filtres qui spécifient les règles de détections d'échec d'identification sont à ajouter au dossier filter.d Les actions qui définissent les règles de bannissement ou non des adresses IP sont à ajouter au dossier filter.d Il est vivement conseillé d'apporter des modifications de configuration dans des fichiers nommés fail2ban.local et jail.local. Ou ajoutez des fichiers aux dossiers et . L'ordre de chargement des fichiers de configuration est le suivant :\n1. jail.conf\n1. jail.d/.conf (dans l'ordre alphabétique)\n1. jail.local\n1. jail.d/.\n1. local (dans l'ordre alphabétique). Modifications apportées à fail2ban\n sudo nano /etc/fail2ban/jail.local Pour ajouter les options suivantes : \nAvec ignoreip, les IPs qui seront spécifiées sur cette ligne ne seront par bloquées. Je vous conseille de laisser l’adresse actuelle (qui doit être 127.0.0.1/8), d’y ajouter un espace afin de la séparer et d’y mettre votre adresse (ainsi que celles de toutes les personnes qui sont susceptibles d’accéder à votre serveur sans pour autant l’attaquer) bantime est le nombre de secondes qu’une adresse va être bloquée si elle attaque votre serveur. 10 minutes est très peu suffisant, un rapide calcul vous permet d’en être sûr. Admettons que vous êtes attaqué par 20 machines différentes, toutes à 1 mot de passe toutes les 2 secondes. Vous avez donc 10 tentatives par seconde. Si fail2ban bloque au bout de 6 tentatives par IP, 120 mots de passe sont essayés toutes les 10 minutes, soit 16 800 par jour. Donc, 10 minutes ne représentent pas grand chose face au nombre de machines qui vous attaquent. maxretry est le nombre de tentatives auxquelles a le droit un utilisateur avant de se faire bloquer. destemail est l’adresse mail à laquelle seront envoyés les mails de notification (quand une adresse sera bloquée) action permet d'effectuer des actions.\\\\\n permet de bannir et d'envoyer un mail avec le pays ou l’email d’abuse concernant l’IP qui a été bannie.\\\\\n ajoute les lignes de logs ou apparaissent l’IP correspondante Ajouter les règles spécifiques N'oubliez pas de redémarrer le service"},"score":1.75,"snippet":"…ire bloquer. destemail est l’adresse mail à laquelle seront envoyés les mails de notification (quand une adresse sera bloquée) action permet d'effectuer des actions.\\\\\n permet de bannir et d'envoyer un mail avec le pays …","tier":2},{"article":{"uuid":"c5c1ae75-bf4e-4526-ab1e-a5583292aad9","slug":"ssl-let-s-encrypt-certbot","title":"certbot pour Let's Encrypt","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-02-10 22:48:33","created_at":"2023-02-10 22:48:33","updated_at":"2023-02-10 22:48:33","plain":"Certbot est un binaire qui permet de mettre en œuvre un certificat SSL pour un domaine d'un site Internet. Voici les actions a effectuer sur Linux Debian 10. Depuis 2020, certbot est installé depuis snapcraft.\nInstaller snap\nSi vous n'avez pas encore installé snap, il faut executer les commandes suivantes dans un terminal. Les commandes doivent avoir une élevation des droits. sudo apt update\n sudo apt install snapd\n sudo snap install core Si snap est déjà installé, assurez-vous d'être à jour : sudo snap refresh core\nInstaller certbot\nExécutez la commande suivante oour installer cerbot sur votre machine. Ceci est a exéctuer dans un terminal. sudo snap install --classic certbot\n sudo ln -s /snap/bin/certbot /usr/bin/certbot\nGénérer un certificat - gestion manuelle\nSi vous suivez ce guide, je vous conseille une gestion manuelle de vos certificats. Il y a deux variables :\ndirWeb | Dossier des données du site. Pour habitude, c'est quelque chose du genre | |\n---------------------------------------------------------------------------------------------------- |\nsiteName | Nom du site Internet. Par exemple | | L'avantage de ce script :\npas d'arrêt d'Apache 2\npas de mail à saisir\nautonomie sur la configuration Apache 2 Quelques chemins à retenir :\nfichier de configuration | /etc/letsencrypt/renewal/$siteName.conf | |\n---------------------------------------------------------------------- |\ndossier archive | /etc/letsencrypt/archive/$siteName | |\nfichier cert | /etc/letsencrypt/live/$siteName/cert.pem | |\nfichier privkey | /etc/letsencrypt/live/$siteName/privkey.pem | |\nfichier chain | /etc/letsencrypt/live/$siteName/chain.pem | |\nfichier fullchain | /etc/letsencrypt/live/$siteName/fullchain.pem | | Pour enregistrer un domaine principal avec et sans les www, il faut utiliser le script suivant :\nGénérer un certificat - gestion automatique\nSi vous avez effectué le paragraphe précédent , il est inutile de suivre les recommandations de ce chapitre. Exécutez le commande suivant pour générer un certificat et édité votre configuration Apache de manière automatique. Le protocole https s'active de manière automatique, en une seule étape. sudo certbot --apache\nRenouveler les certificats automatiquement\nÉditer la tâche des tâches Linux du compte , crontab : La tâche doit exécutée le programme avec l'option de renouvellement, . L'option permet d'indiquer la commande à exécuter après le traitement de . Dans notre cas, on demande à de recharger la configuration . Explications :\n
\nTous les deux mois ( 0 23 1-7 /2 4 )\nà 23 heures ( 0 23 1-7 /2 4 ),\nle premier jeudi ( 0 0 1-7 /2 4 ),\nlancement d'un script Python, qui retarde 1 heure au maximum (random.random() 3600),\nl’exécution de la mise à jour de certbot.\n
Vous pouvez trouver d'autres informations sur la page \nAfficher les dates du certificats\nPour afficher les dates de génération et d'expiration d'un certificat en local sur un serveur :\n-- Pour afficher les dates de génération et d'expiration d'un certificat d'un site distant : Exemple de résultat :\nRéinitialiser la configuration Let's Encrypt\nFaçon documentée : Façon brutale :"},"score":1.75,"snippet":"…les dates de génération et d'expiration d'un certificat en local sur un serveur :\n-- Pour afficher les dates de génération et d'expiration d'un certificat d'un site distant : Exemple de résultat :\nRéinitialiser la config…","tier":2},{"article":{"uuid":"8aa986e1-0b59-4ebb-bfb9-eab476a0d6a6","slug":"tracker-miner-fs-3","title":"tracker miner fs 3","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-02-10 22:48:31","created_at":"2023-02-10 22:48:31","updated_at":"2023-02-10 22:48:31","plain":"Je sais realtivement peu de chose sur le process Tracker Miner FS 3 ou appelé également tracker3. J'ai quand même remarqué que c'est un process qui prend beaucoup de ressources au niveau processeur. Il m'empêche même parfois d'utiliser le navigateur de fichier Nautilus sous Gnome. Je suis obligé d'aller dans le gestionnaire de process pour le tuer afin d'utiliser Nautilus. Voulant éliminer ces désagréments, j'ai pris le taureau par les cornes. J'ai commencé par me dire que Tracker Miner 3 n'était pas forcément un programme utile. Logiquement, j'ai utilisé dnf avec l'option remove afin de supprimer tracker, tracker extract et Tracker Miner fs. sudo dnf remove --purge tracker tracker-extract tracker-miner-fs Concrètement, le programme tracker 3 a tellement de dépendance avec Gnome, que dnf me demandait de désinstaller également Nautilus et d'autres composantes que j'utilisais sous Gnome. C'était donc peine perdue et je ne pouvais pas le désinstaller.\nEnsuite j'ai peut-être trouvé la solution sur le forum https://forums.raspberrypi.com/viewtopic.php?t=305205 . Il est indiqué que ces lenteur peuvent provenir d'un dysfonctionnement dans le programme dû aux fichiers de configuration et base de données locale. Pour tout vous dire, grâce au programme journalctl de Linux, je trouvé quelques lignes d'erreurs concernant tracker miner 3. Voici ce qu'il fallait effecuter : 1. arrêter tracker 3 avec l'option terminate\n sudo tracker3 daemon -t 2. Se positionner dans \n cd /.config/autostart/ 3. copie les fichiers de configurations\n cp -v /etc/xdg/autostart/tracker-miner-.desktop ./ 4. Réinitialiser le cache de miner tracker qui se trouve dans le dossier courant de l'utilisateur.\n rm -fr /.cache/tracker /.local/share/tracker 5. Démarrage de tracker 3 \n sudo tracker3 daemon -s\n \n \nIl existe même l'option- W qui permet en temps réel de suivre l'évolution du programme tracker 3.\n sudo tracker3 daemon -w"},"score":1.75,"snippet":"…ogramme dû aux fichiers de configuration et base de données locale. Pour tout vous dire, grâce au programme journalctl de Linux, je trouvé quelques lignes d'erreurs concernant tracker miner 3. Voici ce qu'il fallait effe…","tier":2},{"article":{"uuid":"4c3edad6-b274-42db-87f4-156131a12310","slug":"ntp-synchronisation-de-l-heure","title":"NTP : Protocole de Synchronisation de l'heure","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-02-10 22:48:30","created_at":"2023-02-10 22:48:30","updated_at":"2023-02-10 22:48:30","plain":"Le protocole NTP (Network Time Protocol) est un protocole de réseau utilisé pour synchroniser les horloges des systèmes informatiques à travers un réseau. Il est utilisé pour s'assurer que l'horloge de chaque ordinateur dans un réseau est synchronisée avec une horloge de référence de haute précision, généralement une horloge atomique ou GPS.\nCe protocole utilise un système de hiérarchie de serveurs pour synchroniser les horloges, où les serveurs NTP de niveau supérieur sont synchronisés avec une source d'horloge de référence, et les serveurs de niveau inférieur se synchronisent avec les serveurs de niveau supérieur, et ainsi de suite jusqu'aux clients finaux. Il utilise également des algorithmes de filtrage et de correction pour minimiser les erreurs de synchronisation causées par les délais de transmission et les perturbations réseau.\nLe protocole NTP est largement utilisé sur Internet et dans les réseaux privés pour maintenir une synchronisation précise de l'heure entre les ordinateurs, ce qui est important pour de nombreuses applications, telles que la surveillance réseau, la facturation en ligne, la sécurité, la gestion de réseau, et les applications temps réel. Un ordinateur de bureau peut utiliser le protocole NTP pour synchroniser son horloge avec une source d'horloge de référence. Il peut utiliser un logiciel NTP comme chronyd ou ntpd pour se connecter à un serveur NTP et obtenir l'heure exacte. Les ordinateurs de bureau peuvent également utiliser leur horloge interne pour synchroniser l'horloge, mais cela peut causer une divergence de temps car les horloges internes sont généralement moins précises que les horloges atomiques ou GPS. Choisir un Serveur NTP\nUn serveur NTP (Network Time Protocol) est un ordinateur qui utilise le protocole NTP pour synchroniser l'horloge de son système avec une source d'horloge de référence, généralement un horloge atomique ou GPS. Les clients NTP se connectent au serveur NTP pour obtenir l'heure exacte et synchroniser leur propre horloge. Les serveurs NTP peuvent également être utilisés pour fournir une synchronisation de temps pour d'autres serveurs dans un réseau, formant une hiérarchie de serveurs NTP. Les serveurs NTP peuvent être configurés pour fonctionner en mode actif ou passif, les serveurs actifs étant responsables de l'émission de temps, les serveurs passifs ne fournissant que des informations de temps. Il existe de nombreux serveurs NTP publics disponibles sur Internet que vous pouvez utiliser pour synchroniser l'horloge de votre ordinateur de bureau. Quelques exemples de serveurs NTP publics fiables :\npool.ntp.org : un groupe de serveurs NTP gérés par des bénévoles qui sont disponibles pour une utilisation publique.\ntime.google.com : Serveur NTP géré par Google.\ntime.nist.gov : Serveur NTP géré par l'Institut national des normes et de la technologie des États-Unis (NIST).\ntime.windows.com : Serveur NTP géré par Microsoft. Vous devriez utiliser des serveurs NTP de confiance et les utiliser de manière responsable, en respectant les politiques d'utilisation des serveurs choisis. Il est également bon de choisir des serveurs NTP proches géographiquement pour réduire les délais de transmission et améliorer la précision de la synchronisation. Avec le réseau de serveurs pool.ntp.org vous pouvez utiliser un serveur NTP proche géographiquement.\ntype de zone | eplication | exemple | |\n------------ | ---------- | ---------- |\nrégion géographique spécifique | pool.ntp.org est divisé en régions géographiques, vous pouvez donc utiliser un serveur NTP de la région géographique spécifique où vous vous trouvez. | Si vous êtes en France, vous pouvez utiliser un serveur fr.ntp.pool.org |\nzone géographique spécifique | pool.ntp.org est divisé en zones géographiques, vous pouvez donc utiliser un serveur NTP de la zone géographique spécifique où vous vous trouvez. | Si vous êtes en Europe, vous pouvez utiliser un serveur europe.ntp.pool.org |\nserveur NTP au hasard | Vous pouvez utiliser un serveur NTP au hasard à partir de la liste des serveurs NTP de pool.ntp.org. Cela choisira un serveur au hasard pour vous, mais cela n'est pas garanti pour être proche géographiquement. | pool.ntp.org | Voir la répartition des zones sur le site https:www.pool.ntp.org/zone/@ Sous FEDORA\nLe résumé pour Fedora :\n-- Définir le fuseau horaire pour un profil TZ='Europe/Paris'; export TZ\n-- Définir un fuseau horaire pour la machine timedatectl set-timezone Europe/Paris\n-- utilisé avec chronyd Modifier la liste des serveurs NTP pour chrony pool 0.fr.pool.ntp.org iburst\n pool 1.fr.pool.ntp.org iburst\n pool 2.fr.pool.ntp.org iburst\n pool 3.fr.pool.ntp.org iburst\n-- Utilisation du fuseau UTC avec la RTC sudo hwclock --systohc --utc\n-- Place aux explications afin de mieux appréhender le paramétrage de votre machine. Configurer le fuseau horaire sous Fedora\nDéfinir le fuseau horaire pour un profil Vous pouvez utiliser votre fuseau horaire avec la commande sous Fedora. Pour définir un fuseau horaire de votre profil, compléter le fichier en ajoutant la ligne suivante :\n TZ='Europe/Paris'; export TZ La variable d'environnement contient la définition du fuseau horaire. En spécifiant ' dans le fichier , vous définissez le fuseau horaire de l'utilisateur à celui de Paris, France. Définir un fuseau horaire pour la machine Utilisez la commande . Cette commande permet de configurer les paramètres de date et d'heure, y compris le fuseau horaire. Pour définir le fuseau horaire à Paris, utilisez la commande suivante : timedatectl set-timezone Europe/Paris La commande permet d'afficher les paramètres de date et d'heure du système : Client NTP sous Fedora\nChronyd est un démon NTP (Network Time Protocol) pour les systèmes Linux. Il est utilisé pour synchroniser l'horloge du système avec un serveur NTP en utilisant le protocole NTP. Il est conçu pour être plus rapide et plus efficace que d'autres implémentations NTP telles que ntpd, et peut être utilisé pour synchroniser les systèmes distribués avec une précision de l'ordre de la microseconde. Chronyd est également capable de s'adapter automatiquement aux conditions de réseau changeantes et peut fonctionner avec des périphériques GPS pour fournir une synchronisation GPS haute précision. Il est également souvent utilisé pour fournir une synchronisation de temps pour les réseaux locaux et les systèmes embarqués. Comme NTP est entièrement en UTC (Universal Time, Coordinated), les fuseaux horaires et DST (Daylight Saving Time) sont appliqués localement par le système. est un fichier de configuration sur les systèmes Linux et Unix qui contient les informations de fuseau horaire pour la zone géographique où se trouve l'ordinateur. Ce fichier est utilisé pour configurer la date et l'heure locale de l'ordinateur. Il est généralement lié symboliquement au fichier de données de fuseau horaire approprié dans . Le fichier est utilisé par les programmes système tels que les fonctions de date et d'heure de glibc, ainsi que par les applications utilisateur, pour afficher la date et l'heure dans le fuseau horaire local. Lorsque vous modifiez la configuration de fuseau horaire de votre ordinateur, vous devriez également mettre à jour ce fichier pour refléter les modifications. Sous Fedora, le programme qui configure le fichier est généralement . Vérifier le fonctionnement du service chronyd sudo systemctl status chronyd Cette commande vous permet de voir le statut actuel du démon chronyd (chronyd est un démon NTP pour systèmes Linux qui est utilisé pour synchroniser l'heure du système avec un serveur NTP). Si chronyd est en cours d'exécution, la commande affichera des informations telles que l'état actuel du démon (actif, en cours d'exécution), l'heure de démarrage, la version utilisée, etc. Si chronyd ne fonctionne pas, la commande affichera des informations sur les raisons de l'échec et les erreurs éventuelles. Surveiller l'état de synchronisation La commande permet de surveiller l'état de synchronisation de l'horloge du système avec les serveurs NTP spécifiés dans la configuration de chronyd. Elle affiche des informations telles que l'heure actuelle, l'offset (différence) entre l'heure du système et l'heure du serveur NTP, la jitter (variabilité de la latence de réseau) et la qualité de l'horloge du serveur NTP. Serveurs NTP utilisés La commande permet d'afficher les informations sur les serveurs NTP utilisés par chronyd pour synchroniser l'horloge du système. Cela inclut l'adresse IP, le statut de la synchronisation, l'offset, la jitter, la qualité de l'horloge et d'autres informations. Elle peut aider à identifier les serveurs NTP qui fonctionnent bien et ceux qui ont des problèmes de synchronisation. Modifier la liste des serveurs pour chrony Pour modifier la liste des serveurs NTP utilisés par chronyc, vous pouvez éditer le fichier de configuration et y ajouter ou supprimer des lignes de serveurs NTP. Il est recommandé de sauvegarder le fichier de configuration avant de l'éditer. Pour ajouter un serveur NTP, ajoutez une ligne commençant par suivi de l'adresse IP ou le nom d'hôte du serveur NTP ou l'adresse d'un pool NTP. Par exemple, pour ajouter les pool de serveurs NTP France de pool.ntp.org, ajoutez les lignes suivantes : \"pool\" est une commande qui indique au démon NTP de se synchroniser avec un groupe de serveurs NTP plutôt qu'avec un serveur NTP particulier. \"iburst\" est une option qui indique au démon NTP de faire des demandes de temps plus fréquentes et plus rapides au démarrage pour synchroniser rapidement l'horloge de l'ordinateur. = Fonctionnement avec une RTC\nL'horloge système fonctionne grâce à un composant matériel qui se trouve dans la plupart des ordinateurs et des appareils électroniques. Il se nomme RTC, ce qui signifie \"Real-time Clock\" ou \"horloge temps réel\" en français.\\\\\nLa RTC est souvent utilisée pour maintenir l'heure et la date dans les ordinateurs, les serveurs, les routeurs, les téléphones mobiles, etc. Elle est également utilisée pour générer des événements périodiques pour les tâches de planification et pour enregistrer la date et l'heure des événements dans les journaux système. Il est important de maintenir l'heure et la date de la RTC à jour, car de nombreux systèmes et applications dépendent de l'exactitude de cette horloge pour fonctionner correctement. Il est conseillé de configurer la RTC en UTC. Le fichier est utilisé pour configurer la synchronisation de l'horloge système avec la RTC (Real-time Clock) sur les systèmes basés sur Linux. Les lignes indiquent respectivement : 1 · 3 valeurs successives : a) La correction de décalage de l'horloge en secondes. b) Le signe de la correction de décalage de l'horloge. c)La vitesse de correction de décalage de l'horloge en secondes par jour. 2 · Le statut de synchronisation. 0 (ou \"no\" ou \"false\") : l'horloge système n'est pas synchronisée avec la RTC. 1 (ou \"yes\" ou \"true\") : l'horloge système est synchronisée avec la RTC. 2 : l'horloge système est en train d'être synchronisée avec la RTC. 3 · Le fuseau horaire utilisé pour l'horloge système, ici \"UTC\" qui signifie Temps Universel Coordonné, Il est utilisé comme référence pour l'heure légale dans la plupart des pays. Il est conseillé de configurer la RTC en UTC. Exemple : Consulter la RTC La commande hwclock permet de configurer les paramètres liés à l'horloge matérielle (RTC). Utilisation pour consulter l'horloge RTC par exemple : Utilisation du fuseau UTC Pour configurer l'horloge matérielle (RTC) pour utiliser le fuseau horaire UTC au lieu de LOCAL, vous pouvez utiliser la commande suivante en tant qu'utilisateur administrateur : Cela configurera l'horloge matérielle pour utiliser UTC et synchronisera l'heure de l'horloge matérielle avec l'heure système actuelle, en utilisant UTC. Cela ne va pas changer le fuseau horaire de l'heure système, pour cela vous devrez utiliser la commande pour changer le fuseau horaire de votre système.\nRégler NTP sous Raspberry Pi\nhttps:raspberrytips.com/time-sync-raspberry-pi/"},"score":1.75,"snippet":"…gne suivante :\n TZ='Europe/Paris'; export TZ La variable d'environnement contient la définition du fuseau horaire. En spécifiant ' dans le fichier , vous définissez le fuseau horaire de l'utilisateur à celui de Paris, …","tier":2},{"article":{"uuid":"c1158433-4b43-458a-85ee-8d3cdf535f54","slug":"jeedom","title":"Jeedom","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-02-10 22:48:30","created_at":"2023-02-10 22:48:30","updated_at":"2023-02-10 22:48:30","plain":"Le logiciel Jeedom est Open Source, vous avez un accès total au logiciel qui gère votre domotique. Ceci est une garantie de transparence, mais également de longévité du logiciel et de votre installation. Jeedom est compatible avec différents protocoles comme le Z-Wave, le RFXcom, le RTS SOMFY, le EnOcean, le xPL, etc... Le système de plugins, via le Market Jeedom, permet de garantir une compatibilité avec de nombreux protocoles actuels et futurs. Jeedom ne nécessite pas l'accès à des serveurs extérieurs pour fonctionner. Toute votre installation se gère en local et vous êtes donc les seuls à y avoir accès pour vous garantir une confidentialité complète. Grâce à sa flexibilité et aux nombreux paramètres de personnalisation, chaque utilisateur peut créer sa propre domotique Jeedom. A l'aide des widgets, des vues et des design, vous avez une totale liberté pour imaginer votre propre interface si vous le souhaitez.\nsite de Jeedom Jeedom est compatible avec de nombreux protocoles domotiques, API et objets connectés, périphériques multimédia, découvrez l'étendue de ses possibilités !\nhttp:*rostylesbonstuyaux.fr/tag/compatible-jeedom/\nhttps://jeromeabel.net/ressources/xbee-arduino"},"score":1.75,"snippet":"…ieurs pour fonctionner. Toute votre installation se gère en local et vous êtes donc les seuls à y avoir accès pour vous garantir une confidentialité complète. Grâce à sa flexibilité et aux nombreux paramètres de personna…","tier":2},{"article":{"uuid":"c9b073bd-0e82-4efc-b7a7-f8f65286a30b","slug":"gnome","title":"Dossiers pour Gnome","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-02-09 15:22:30","created_at":"2023-02-09 15:22:30","updated_at":"2023-02-09 15:22:30","plain":"GNOME (GNU Network Object Model Environment) est un environnement de bureau libre et open-source pour les systèmes d'exploitation basés sur Linux. Il a été développé pour fournir une interface utilisateur moderne et facile à utiliser pour les systèmes d'exploitation basés sur Linux. GNOME 3 est la version actuelle de l'environnement de bureau GNOME (GNU Network Object Model Environment), qui est un environnement de bureau libre et open-source pour les systèmes d'exploitation basés sur Linux. GNOME 3 a été introduit en 2011, et a remplacé l'ancienne version GNOME 2. Il a été développé pour fournir une interface utilisateur moderne, graphique et facile à utiliser pour les systèmes d'exploitation basés sur Linux. Il a également fournit nouvelles fonctionnalités telles que l'intégration de gestion de fichiers et de recherche, un menu de démarrage plus rapide et plus efficace, une gestion des fenêtres plus intuitive, etc. GNOME 3 est utilisé par défaut sur de nombreuses distributions Linux telles que Fedora, Debian, Ubuntu, Mint, etc. Il est connu pour son interface utilisateur moderne, sa facilité d'utilisation, et ses nombreuses fonctionnalités avancées. Il est également entièrement personnalisable et extensible grâce à l'utilisation de thèmes et d'extensions. Les fichiers de configuration pour les environnements de bureau tels que GNOME 3 et GNOME 2 se trouvent généralement dans le répertoire . Les fichiers de configuration pour l'interface utilisateur et les paramètres de l'utilisateur se trouvent généralement dans le répertoire personnel de l'utilisateur, comme . Il est important de noter que les exemples suivants sont donnés à titre indicatif et que la localisation des fichiers de configuration peut varier en fonction de la distribution Linux utilisée et de la version de GNOME utilisée. Il est donc recommandé de vérifier la documentation de votre distribution Linux. /.config\nThis is the default location for the environment variable XDGCONFIGHOME, if it is not set. User defined menus can be created at menus/applications.menu. /.config/user-dirs.dirs Voir le fichier de configuration par défaut /.config/autostart\nContient des fichiers . /.fonts\nContains fonts specific to a particular user. When a user installs a font by dragging it to the fonts:/ URI in nautilus, it is copied to this location. /.esdauth\nContains the authentication cookie for the GNOME sound daemon. The GNOME sound daemon is the Enlightened Sound Daemon (ESD). NOTE: This is a file, not a directory. /.gconf\nContient des paramètres pour les applications GNOME. /.gconfd\nContient des données pour les applications GNOME. /.gnomerec\nContient des paramètres pour l'interface utilisateur GNOME. /.local/share\nThis is the default location for the environment variable XDGDATAHOME, if it is not set. User defined desktop entries can be created in the subdirectory applications. User defined mime types can be created in mime/packages/Overrides.xml. /.local/share/icc/\nDossier de profils de couleur pour applications. Voir la page https:wiki.scribus.net/canvas/GettingandinstallingICCprofiles /.local/share/applications\nDescription d'un raccourci applicatif.\nLe fichier de configuration doit avoir l'extension .\nLa référence du dossier est stockée dans la variable . par défaut, elle est définie sur . Puis elle est cherchée dans la variable . Si cette dernière n'est pas pas définie, c'est le chmein qui est utilisé. Par exemple : /.local/share/icons/hicolor/256x256/apps\nDossier des icones. Taille des icônes possibles : 8x8, 13x13, 20x20, 24x24, 32x32, 40x40, 48x48, 64x64, 96x96, 128x128, 256x256 /.metacity\nContains session data for the Metacity window manager. /.nautilus\nContains file manager data that is specific to the user. For example, this directory can contain the following:\nMetadata for the directories with which the user works.\nNautilus emblems that the user adds.\nNautilus desktop images. /.themes\nContains controls theme options, window frame theme options, and icons theme options that the user adds. The user can add themes from the Theme preference tool. ~/.thumbnails\nContains image thumbnails for the user. The image thumbnails are used in the file manager. The file manager contains a preference that the user can select to stop generation of thumbnail images."},"score":1.75,"snippet":"GNOME (GNU Network Object Model Environment) est un environnement de bureau libre et open-source pour les systèmes d'exploitation basés sur Linux. Il a été développé pour fournir une interface utilisateur moderne et faci…","tier":2},{"article":{"uuid":"ad43fd21-ddcf-4ce2-b924-fdaadc8a6cdd","slug":"post-install","title":"Premiers pas DevOps : préparer un système Debian fraîchement installé","category":"Informatique","author":"cedric@abonnel.fr","cover":"cover.jpg","published":true,"published_at":"2023-02-09 15:18","created_at":"2023-02-09 15:18:57","updated_at":"2026-05-12 22:57:49","plain":"Lorsqu'on vient de provisionner une machine Debian — que ce soit un conteneur LXC, une VM ou un serveur dédié — quelques étapes initiales sont incontournables avant de pouvoir vraiment travailler dessus. Ce petit guide reprend les gestes de base : passer en , configurer les dépôts officiels, mettre le système à jour, installer , et terminer par quelques réglages d'identification qui éviteront des surprises plus tard. Rien de sorcier, mais autant prendre de bonnes habitudes dès le départ.\r\n\r\nPasser en utilisateur root\r\n\r\nLa première étape consiste à obtenir les droits administrateur. Sur une Debian fraîche, l'utilisateur existe déjà et possède un mot de passe défini lors de l'installation. Pour ouvrir une session avec son environnement complet (variables, PATH, répertoire personnel), on utilise :\r\n\r\n\r\n\r\nLe tiret est important : sans lui, on hérite uniquement de l'UID de root sans charger son shell de connexion, ce qui peut donner lieu à des surprises (PATH incomplet, absence de dans la recherche des commandes, etc.).\r\n\r\nÀ noter que si est déjà installé et que l'utilisateur courant fait partie du groupe , on peut aussi écrire pour obtenir le même résultat. Mais sur une Debian minimale tout juste installée, n'est généralement pas présent — d'où la nécessité de passer par dans un premier temps.\r\n\r\nConfigurer les dépôts officiels\r\n\r\nDebian s'appuie sur APT pour gérer ses paquets, et APT a besoin de savoir où les chercher. Cette configuration se trouve dans le fichier (et, sur les versions récentes, éventuellement dans pour les dépôts additionnels).\r\n\r\nOn l'ouvre avec un éditeur de texte :\r\n\r\n\r\n\r\nUn contenu typique pour Debian 12 (Bookworm) ressemble à ceci :\r\n\r\n\r\n\r\nQuelques explications rapides sur les composants :\r\nmain contient les paquets libres officiellement supportés par Debian\r\ncontrib regroupe les paquets libres qui dépendent de logiciels non libres\r\nnon-free et non-free-firmware contiennent les paquets non libres (utiles notamment pour les pilotes matériels)\r\n\r\nLe dépôt apporte les mises à jour stables non urgentes, tandis que fournit les correctifs de sécurité — celui-ci est essentiel et ne doit jamais être omis sur une machine connectée au réseau.\r\n\r\nPour une version différente de Debian, il suffit de remplacer par le nom de code correspondant (, , etc.).\r\n\r\nMettre le système à jour\r\n\r\nUne fois les dépôts configurés, on récupère la liste des paquets disponibles puis on applique les mises à jour :\r\n\r\n\r\n\r\nLa distinction entre les deux est importante :\r\nne met rien à jour : la commande synchronise simplement l'index local des paquets avec ce que les dépôts annoncent. Sans cette étape, APT ignore l'existence des nouvelles versions.\r\ninstalle effectivement les versions plus récentes des paquets déjà présents.\r\n\r\nPour les mises à jour plus profondes qui peuvent ajouter ou retirer des paquets (changement de dépendances, transitions majeures), il existe aussi . À utiliser avec un peu plus de précaution, mais c'est ce qu'il faut pour suivre l'évolution complète d'une distribution.\r\n\r\nSur un conteneur ou une VM fraîche, cette première mise à jour peut tirer un certain nombre de paquets. C'est normal : l'image de base est figée au moment de sa publication, et plusieurs mois de correctifs se sont souvent accumulés depuis.\r\n\r\nPetit conseil pour la suite, dès qu'on commencera à scripter ces opérations : préférer à dans les scripts, car son interface est garantie stable entre versions. Et pour éviter les questions interactives bloquantes lors d'installations automatisées, positionner dans l'environnement.\r\n\r\nInstaller sudo\r\n\r\nPar défaut, Debian n'installe pas sur un système minimal. Travailler en permanence en n'est pourtant pas une bonne pratique : on perd la traçabilité des actions, et la moindre erreur de frappe peut avoir des conséquences sérieuses. L'idée derrière est de déléguer ponctuellement des droits administrateur à un utilisateur normal, commande par commande, avec un journal des actions effectuées.\r\n\r\nL'installation se fait classiquement :\r\n\r\n\r\n\r\nEnsuite, il faut ajouter son utilisateur (celui avec lequel on se connectera au quotidien) au groupe :\r\n\r\n\r\n\r\nLe drapeau (pour append) est crucial : sans lui, remplacerait la liste des groupes secondaires de l'utilisateur au lieu d'y ajouter , ce qui peut avoir des effets de bord désagréables.\r\n\r\nL'utilisateur doit ensuite se déconnecter puis se reconnecter pour que sa nouvelle appartenance au groupe soit prise en compte. À partir de là, il peut préfixer ses commandes par pour les exécuter avec les droits administrateur, en saisissant son propre mot de passe (et non celui de root).\r\n\r\nRégler l'identité et l'horloge de la machine\r\n\r\nDeux derniers détails de configuration qui paraissent anodins, mais qui simplifient grandement la vie sur un parc qui grandit.\r\n\r\nD'abord, fixer le nom de la machine. Sur une infrastructure organisée, le hostname et le FQDN suivent généralement une convention de nommage (par exemple pour un projet de facturation sur un réseau interne). La commande s'en charge proprement :\r\n\r\n\r\n\r\nPenser à vérifier ensuite que contient bien une ligne associant l'IP locale au FQDN, sous peine de voir certains services (Postfix notamment, ou des outils de log) se plaindre de ne pas résoudre leur propre nom.\r\n\r\nEnsuite, le fuseau horaire. Détail souvent négligé qui complique pourtant le débogage dès qu'on croise des logs entre plusieurs machines :\r\n\r\n\r\n\r\nLa synchronisation NTP est généralement déjà active via sur les Debian récentes — un permet de le vérifier.\r\n\r\nEt après ?\r\n\r\nUne fois ces étapes franchies, la machine est dans un état sain et utilisable. Les pistes naturelles pour la suite tournent autour du durcissement (configuration SSH avec authentification par clé et désactivation de la connexion root à distance, mise en place d'un pare-feu, installation de pour les correctifs de sécurité automatiques), puis de l'installation des outils métier proprement dits — serveur web, base de données, runtime applicatif.\r\n\r\nGarder en tête que ces gestes initiaux, aussi triviaux paraissent-ils, méritent d'être scriptés dès qu'on les répète plus de deux ou trois fois. C'est précisément là que la démarche DevOps prend tout son sens : transformer des manipulations manuelles en code reproductible, versionné et partageable."},"score":1.75,"snippet":"…ni lors de l'installation. Pour ouvrir une session avec son environnement complet (variables, PATH, répertoire personnel), on utilise :\r\n\r\n\r\n\r\nLe tiret est important : sans lui, on hérite uniquement de l'UID de root sans…","tier":2},{"article":{"uuid":"81836ba3-7497-4473-b1fe-8c2f15e67722","slug":"20230204-executer-une-commande-qui-a-ete-precedemment-utilisee","title":"Exécuter une commande qui a été précédemment utilisée","category":"Journal geek","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-02-04 00:28:33","created_at":"2023-02-04 00:28:33","updated_at":"2023-02-04 00:28:33","plain":"Le point d'exclamation ! en début de commande sous Linux est utilisé pour exécuter une commande qui a été précédemment utilisée. Cela permet de rappeler la dernière commande saisie, pour que vous puissiez la ré-exécuter rapidement. Sous Fedora et certaines autres distributions Linux, la ligne est d'abord affichée dans le shell et il faut valider cette commande en appuyant sur Entrée pour l'exécuter. Rapidement, les commandes à retenir :\n, rappelle la dernière commande\n, utilise le dernier arguments de la dernière commande\n, utilise tous les arguments de la dernière commande\n, exécute la dernière commande qui commence par \"motif\"\n, rappelle la dernière commande contenant le \"motif\"\n, rappelle la commande n lignes plus tôt\n-- !! est un opérateur de rappel de commande qui permet de rappeler et d'exécuter la dernière commande saisie. Il est similaire à utiliser seulement ! mais il est plus rapide et plus facile à saisir. Exemple : ls /root\n sudo !! Cela va ré-exécuter la dernière commande avec pour obtenir les permissions nécessaires pour exécuter la commande dans le répertoire . Il peut être utilisé pour exécuter une commande qui a été saisie antérieurement en utilisant le numéro d'historique de la commande. Par exemple, pour exécuter la commande numéro 10 dans l'historique, vous pourriez utiliser la commande \"!10\". Utiliser le dernier argument de la dernière commande saisie !$\n \nPar exemple pour changer le répertoire courant pour : ls /usr/local/bin puis cd !$\n \nUtiliser tous les arguments de la dernière commande saisie !\n \nExécuter la dernière commande qui commence par \"motif\" !motif Par exemple pour ré-exécuter la dernière commande commençant par soit : !ls Rappel de la commande n lignes plus tôt dans l'historique. Par exemple, pour rappel la commande qui a été saisie 2 lignes plus tôt. !-2 Rappel de la dernière commande qui contient \"motif\"** Permet de rappeler la dernière commande dans l'historique contant le \"motif\" : !?motif?"},"score":1.75,"snippet":"…xemple pour changer le répertoire courant pour : ls /usr/local/bin puis cd !$\n \n<u>Utiliser tous les arguments</u> de la dernière commande saisie !\n \n<u>Exécuter la dernière commande qui commence par</u> "mo…","tier":2},{"article":{"uuid":"fe353e2d-88d0-4cb2-8fcf-69b5c0c1fbf4","slug":"wifi","title":"Wifi","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-02-03 15:09:21","created_at":"2023-02-03 15:09:21","updated_at":"2023-02-03 15:09:21","plain":"Modes de fonctionnement\nCette section explique les différents modes de fonctionnement que vous pouvez utiliser avec un appareil de point d'accès multifonctions sans fil. Selon la manière dont vous utilisez votre appareil sans fil, ce dernier détermine le mode que vous utilisez. Cette section vous aidera à comprendre quel paramètre fonctionne avec votre configuration. Mode point d'accès\nAppelé également AP Mode, Access Point Mode En mode Point d'accès, l'appareil sans fil sert de point de connexion central à tous les ordinateurs (clients) possédant une interface réseau sans fil 802.11n ou rétro compatible 802.11b/g et se trouvant à portée du point d'accès. Les clients doivent utiliser le même SSID (nom du réseau sans fil) et le même canal que le PA pour se connecter. Si la sécurité sans fil est activée sur le PA, le client doit saisir un mot de passe pour s’y connecter. En mode Point d'accès, plusieurs clients peuvent se connecter au PA en même temps. Mode Routeur de voyage\nAppelé également Travel Router Mode Le mode Travel Router est un mode de fonctionnement d'un routeur qui permet de créer un réseau local privé (VPN) pour les appareils connectés, lorsque l'on se déplace. Dans ce mode, le routeur se connecte à un réseau sans fil public existant, tel qu'un réseau Wi-Fi dans un aéroport ou un café, et crée un réseau privé pour les appareils connectés. L'objectif principal de ce mode est de fournir une connexion Internet sécurisée pour les appareils connectés, sans avoir à se connecter directement à un réseau public potentiellement non sécurisé. Les données transmises sur le réseau privé créé par le routeur sont cryptées, ce qui protège les données sensibles des utilisateurs et empêche les cybercriminels d'intercepter ou d'utiliser les informations. Le mode Travel Router est souvent utilisé par les voyageurs pour sécuriser leur connexion Internet lorsqu'ils se déplacent et pour éviter les réseaux publics non sécurisés. Il peut également être utilisé dans des situations où une connexion Internet sécurisée est nécessaire, telles que les réunions d'affaires, les conférences, etc. Appareils compatibles : TL-MR3020 Mode client sans fil\nAppelé également Wireless Client Mode Le mode Client sans fil (Wireless Client Mode) est un mode de fonctionnement d'un routeur qui permet à ce dernier de se connecter à un réseau sans fil existant en tant que simple client. Dans ce mode, le routeur ne fait que se connecter à un point d'accès (AP) sans fil pour obtenir une connexion Internet. Les appareils connectés au routeur ne peuvent pas accéder directement à Internet, ils doivent se connecter directement à l'AP sans fil pour accéder à Internet. Ce mode est souvent utilisé dans les situations où il existe déjà un réseau sans fil fonctionnel et que l'on souhaite simplement ajouter un autre appareil pour accéder à Internet sans configurer un nouveau réseau sans fil. Cependant, il est important de noter que dans ce mode, le routeur ne fait aucune fonction de routage ni de partage de connexion et n'offre donc pas les mêmes avantages qu'un routeur en mode WISP Client Router. Exemple : Connectez une console de jeu à l'appareil sans fil à l'aide d'un câble Ethernet. L'appareil sans fil est configurée sur le mode Client sans fil; il se connecte donc sans fil à un routeur sans fil de votre réseau. Mode répétiteur\nEn mode Répétiteur, l'appareil sans fil augmente la portée de votre réseau sans fil en étendant la couverture sans fil d'un autre appareil ou routeur sans fil. Les appareils et routeurs sans fil (le cas échéant) doivent se trouver à portée les uns des autres. Vérifiez que tous les clients, les appareils et le routeur sans fil utilisent le même SSID (nom du réseau sans fil), le même canal et les mêmes paramètres de sécurité. Mode pont\nEn mode Pont, l'appareil sans fil se connecte sans fil à des réseaux locaux distincts qui ont du mal à se connecter ensemble avec un câble. Par exemple, si deux réseaux locaux câblés sont séparés par une petite cour, il serait onéreux d'enterrer les câbles pour connecter les deux côtés. La meilleure solution est d'utiliser deux appareils sans fil de même modèle pour se connecter aux deux réseaux locaux. En mode Pont, les deux appareils sans fils ne servent pas de point d'accès. Remarque : Le mode Pont n'est pas spécifié dans les normes Wifi ou IEEE. Ce mode fonctionne uniquement avec \ndeux appareils sans fil le permettant. La communication avec d'autres points d'accès n'est pas garantie. Les PC sans fil ne peuvent pas accéder aux appareils sans fil en mode pont. Mode pont avec point d'accès\nLe mode Pont avec PA est identique au mode Pont, mais dans ce cas, l'appareil sans fil sert aussi de point d'accès. Les clients possédant des interfaces sans fil peuvent se connecter sans fil à l'appareil sans fil, puis se connecter à un autre réseau local avec lequel l'appareil sans fil établit un pont. Remarque : Le mode Pont avec point d'accès n'est pas spécifié dans les normes Wifi ou IEEE. Ce mode fonctionne uniquement avec deux appareils de même modèle. La communication avec d'autres point d'accès de modèle différent n'est pas garantie. Les PC sans fil peuvent accéder aux appareils sans fil. Mode routeur client WISP\nAppelé également WISP Client Router Mode Le mode WISP Client Router (Wireless Internet Service Provider) est un mode de fonctionnement d'un routeur qui permet à ce dernier de se connecter à un réseau sans fil fourni par un fournisseur d'accès Internet (FAI) pour fournir une connexion Internet à des appareils connectés au réseau local du routeur. Dans ce mode, le routeur agit en tant que client et se connecte à un point d'accès (AP) fourni par le FAI, puis redistribue la connexion Internet aux appareils connectés au réseau local. Cela permet aux utilisateurs d'avoir une connexion Internet stable sans avoir à se connecter directement à l'AP du FAI. Le mode Client sans fil (Wireless Client Mode) est similaire au mode WISP Client Router, mais avec une différence clé. Dans ce mode, le routeur agit simplement en tant que client et se connecte à un point d'accès (AP) sans fil, sans redistribuer la connexion Internet à d'autres appareils. Les appareils connectés au routeur ne peuvent donc pas accéder directement à Internet. Au lieu de cela, ils doivent se connecter directement à l'AP sans fil pour accéder à Internet. En d'autres termes, dans le mode WISP Client Router, le routeur agit comme une passerelle pour la connexion Internet, tandis que dans le mode Client sans fil, il ne fait que se connecter à un réseau sans fil sans aucune fonction de routage ou de partage de connexion. Produit compatible : TL-MR3020\nMode répétiteur WISP\nEn mode Répétiteur WISP, l'appareil se connecte sans fil à un PA WISP (fournisseur de service Internet sans fil). Dans ce mode, l'appareil sans fil sert également de routeur pour les clients sans fil et câblés de votre réseau local. Le mode Répétiteur WISP fournit la NAT (traduction d'adresse de réseau) et un serveur DHCP pour générer des adresses IP pour les clients sans fil et câblés. La NAT et le serveur DHCP permettent à plusieurs ordinateurs de partager la même connexion Internet sans fil. Mode 4G Routeur\nAppelé également 3G/4G Router Mode, 3G Router Mode, 4G Router Mode Le mode 4G Routeur est un mode de fonctionnement d'un routeur qui permet à ce dernier de se connecter à un réseau cellulaire 4G pour fournir une connexion Internet aux appareils connectés au réseau local du routeur. Dans ce mode, le routeur est équipé d'une carte SIM et peut accéder directement au réseau 4G sans avoir besoin d'une connexion filaire ou sans fil. Le mode 4G Routeur est souvent utilisé dans les zones où la couverture Internet par câble ou par ADSL est limitée ou absente. Il est également utilisé dans des situations où une connexion Internet mobile est nécessaire pour les déplacements, telles que les camions, les caravanes, les bateaux, etc. En mode 4G Routeur, le routeur agit comme une passerelle pour la connexion Internet et redistribue la connexion Internet aux appareils connectés au réseau local. Les utilisateurs peuvent donc accéder à Internet via le réseau local du routeur sans avoir à se connecter directement au réseau cellulaire 4G. Produits compatibles : TL-MR3020\nÉléments à prendre en compte avant d’installer le réseau sans fil\nLe point d'accès sans fil vous permet d’accéder à votre réseau à l’aide d’une connexion sans fil de presque \nn’importe où dans la portée de fonctionnement du réseau. Vous devez toutefois garder à l’esprit que le nombre, \nl’épaisseur et l’emplacement des murs, plafonds ou autres objets à travers lesquels les signaux sans fil doivent passer peuvent limiter la portée. En général, les portées varient en fonction des types de matériau et du bruit RF (radiofréquence) de fond de votre domicile ou votre entreprise. Pour optimiser la portée de votre réseau sans fil, suivez ces conseils de base : 1. Limitez au maximum le nombre de murs et de plafonds entre le point d'accès et d’autres périphériques du réseau. Chaque mur ou plafond peut réduire la portée de votre adaptateur de 1 à -30 mètres. Placez les appareils de façon à limiter le nombre de murs ou de plafonds.\n1. Faites attention à la ligne directe entre les périphériques en réseau. Un mur de 50cm d’épaisseur avec une inclinaison de 45 degrés équivaut à un mur de presque 1 mètre d’épaisseur. Avec une inclinaison de 2 degrés, il équivaut à un mur de plus de 14 mètres d’épaisseur ! Pour obtenir une meilleure réception, placez les appareils de sorte que le signal passe directement à travers le mur ou le plafond (au lieu de l’incliner).\n1. Les matériaux de construction font une différence. Une porte pleine en métal ou des tiges en aluminium peuvent avoir des conséquences négatives sur la portée. Essayez de placer les points d’accès, les points d'accès sans fil et les ordinateurs de sorte que le signal passe par une cloison sèche ou des portes ouvertes. Certains matériaux et objets, comme le verre, l’acier, le métal, les parois isolées, l’eau (aquariums), les miroirs, les classeurs, les briques et le béton, peuvent dégrader le signal du réseau sans fil.\n1. Maintenez votre produit à l’écart (au moins 1 à 2 mètres) de dispositifs électriques ou d’appareils générant un bruit RF.\n1. L’utilisation de téléphones sans fil de 2,4 GHz ou de X-10 (produits sans fil, comme des ventilateurs plafonniers, des lampes et des systèmes de sécurité à domicile) risque de dégrader fortement votre connexion sans fil ou de la couper complètement. Vérifiez que la base de votre téléphone de 2,4 GHz soit le plus loin possible de vos périphériques sans fil. La base transmet un signal, même si le téléphone n’est pas utilisé."},"score":1.75,"snippet":"…e fonctionnement d'un routeur qui permet de créer un réseau local privé (VPN) pour les appareils connectés, lorsque l'on se déplace. Dans ce mode, le routeur se connecte à un réseau sans fil public existant, tel qu'un ré…","tier":2},{"article":{"uuid":"0c1a6560-2f8d-4a5d-bba7-7faee822efd6","slug":"conseils-de-configuration-raspi-config-3-plus","title":"Conseils de configuration raspi-config pour Raspberry Pi 3+","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-02-02 14:31:43","created_at":"2023-02-02 14:31:43","updated_at":"2023-02-02 14:31:43","plain":"Change user password\nPourquoi changer un mot de passe que tout le monde connait ?\\\\\nLa réponse est dans la question. L'utilitaire permet de modifier le mot de passe standard de l'utilisateur en vous demandant de saisir le nouveau mot de passe, à deux reprises. A ne pas négliger quand on a un minimum d'hygiène. Network Options\nDepuis ce menu vous changer le nom réseau du Raspberry Pi, le nom du réseau WiFi à se connecter (WiFi SSID), et la clé de connexion et le nommage des interfaces réseau. Si vous activez le nommage des interfaces réseau (predictable network interface names), le nom de celle-ci sera un nom dérivé de l'adresse MAC : au lieu de . Advanced Options\n Expand Filesystem Il n'y a aucune autre saisie mise à part choisir cet item. L'extension de la partition se réalisera au prochain démarrage. Boot Options\nSuivant votre projet, vous pourrez démarrer en mode graphique ou en terminal auto connecté. Localisation Options\nDans Change local, vous pourrez activer frFR.UTF-8 UTF-8 et désactiver les autres options. L'activation et désactivation des options s'effectue par appuie sur la barre d'espace. Il faudra ensuite, choisir le jeu par défaut frFR.UTF-8. Vous pourrez également modifier la timezone dans Change Timezone. Il faudra également modifier le code pays WiFi dans le champs Change Wi-fi Country. Advanced Options : SSH\nIl est nécessaire d'activer le serveur SSH afin de pouvoir accéder à distance, depuis un autre PC, sans y avoir à brancher un clavier et écran. Vous pouvez terminer votre configuration en cliquant sur finish. Le programme vous invite à redémarrer. Refuser !\\\\\nNous devons terminer la configuration avec la commande : Vous pouvez redémarrer : Une fois redémarré, vous pouvez effectuer un relevé d'information qui peut nous être utile. Félicitation ! Vous avez accomplie votre mission. Je vous propose de retourner à la page principal sur . biblio : https://www.raspberrypi.org/documentation/configuration/raspi-config.md"},"score":1.75,"snippet":"…ez démarrer en mode graphique ou en terminal auto connecté. Localisation Options\nDans Change local, vous pourrez activer frFR.UTF-8 UTF-8 et désactiver les autres options. L'activation et désactivation des options s'effe…","tier":2},{"article":{"uuid":"82c0d69b-159c-4f7d-87b8-e8da28722073","slug":"conseils-de-configuration-raspi-config-2","title":"Conseils de configuration raspi-config pour Raspberry Pi 2","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-02-02 14:11:50","created_at":"2023-02-02 14:11:50","updated_at":"2023-02-02 14:11:50","plain":"Expand Filesystem Il n'y a aucune autre saisie mise à part choisir cet item. L'extension de la partition se réalisera au prochain démarrage. Change user password Pourquoi changer un mot de passe que tout le monde connait ?\\\\\nLa réponse est dans la question. L'utilitaire vous demandera de saisir le nouveau mot de passe, à deux reprises. Boot Options Suivant votre projet, vous pourrez démarrer en mode graphique ou en terminal auto connecté. Internationalisation Options Dans Change local, vous pourrez activer frFR.UTF-8 UTF-8 et désactiver les autres options. L'activation et désactivation des options s'effectue par appuie sur la barre d'espace. Il faudra ensuite, choisir le jeu par défaut frFR.UTF-8. Vous pourrez également modifier la timezone dans Change Timezone. Advanced Options => SSH Il est nécessaire d'activer le serveur SSH afin de pouvoir accéder à distance, depuis un autre PC, sans y avoir à brancher un clavier et écran. Vous pouvez terminer votre configuration en cliquant sur finish. Une fois redémarré, vous pouvez effectuer un relevé d'information qui peut nous être utile."},"score":1.75,"snippet":"…nal auto connecté. Internationalisation Options Dans Change local, vous pourrez activer frFR.UTF-8 UTF-8 et désactiver les autres options. L'activation et désactivation des options s'effectue par appuie sur la barre d'es…","tier":2},{"article":{"uuid":"89c5d6a3-fd31-4727-8171-5c37cdd42010","slug":"20230201-nala-un-outil-de-gestion-de-paquets-plus-simple-plus-rapide-et-plus-efficace-pour-linux","title":"Nala : un outil de gestion de paquets plus simple, plus rapide et plus efficace pour Linux","category":"Journal geek","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-02-01 08:15:44","created_at":"2023-02-01 08:15:44","updated_at":"2023-02-01 08:15:44","plain":"Nala semble être un excellent outil de gestion de paquets. Cependant, son développeur ne se base pas sur les bibliothèques fournies dans les dépôts officiels, ce qui rend l'application incompatible avec le gestionnaire de paquets APT. Il est fréquent que les développeurs choisissent de ne pas utiliser les bibliothèques fournies dans les dépôts officiels pour leur application, soit pour des raisons de fonctionnalité ou de contrôle de qualité. Cela peut rendre l'application incompatible avec les outils de gestion de paquets tels qu'APT et nécessiter une installation manuelle ou une configuration supplémentaire pour être utilisée. Il est toujours important de vérifier les prérequis et les compatibilités avec les autres logiciels avant d'installer une nouvelle application. Nala est un outil de gestion de paquets pour les systèmes d'exploitation Linux. Il a été conçu pour être plus simple, plus rapide et plus efficace que les autres outils de gestion de paquets tels qu'APT. Nala se concentre sur la simplification du processus d'installation et de mise à jour des paquets, en offrant une interface en ligne de commande claire et facile à utiliser. L'un des avantages de Nala par rapport à d'autres outils de gestion de paquets est qu'il utilise un cache local des paquets pour accélérer les opérations de mise à jour et d'installation. De plus, Nala propose également une gestion intelligente des dépendances, ce qui signifie que lorsque vous installez un paquet, les paquets requis pour son fonctionnement seront également installés automatiquement. Nala permet également d'installer des paquets à partir de plusieurs sources différentes, y compris les dépôts officiels, les dépôts tiers et les fichiers de paquets locaux. Cette fonctionnalité permet aux utilisateurs de sélectionner les sources les plus fiables et les plus rapides pour l'installation de leurs paquets. Enfin, Nala offre une commande facile pour gérer les paquets obsolètes et inutiles, ce qui peut aider à libérer de l'espace disque sur le système. Côté technique\nAPT (Advanced Package Tool) est utilisé sur les systèmes d'exploitation Debian et Ubuntu. Nala est conçu pour fonctionner avec APT sur les systèmes d'exploitation Debian et Ubuntu et ne peut pas être utilisé sur les systèmes d'exploitation qui utilisent RPM (Red Hat Package Manager). Comparaison : Nala vs APT\nNala et APT sont tous deux des outils de gestion de paquets pour les systèmes d'exploitation Linux. Cependant, ils ont quelques différences clés :\nSimplicité d'utilisation : Nala a été conçu pour être plus simple et plus facile à utiliser que APT, avec une interface en ligne de commande claire et concise. APT peut être plus complexe pour les utilisateurs débutants, avec de nombreuses options et commandes différentes.\nVitesse : Nala utilise un cache local pour accélérer les opérations de mise à jour et d'installation. De plus, Nala est conçu pour être plus rapide que APT en termes de temps de traitement pour les opérations de paquetage.\nSources de paquets : Nala permet d'installer des paquets à partir de plusieurs sources différentes, y compris les dépôts officiels, les dépôts tiers et les fichiers de paquets locaux. APT ne prend en charge que les dépôts officiels et les dépôts tiers.\nRésolution de dépendances : Nala propose une gestion intelligente des dépendances pour gérer les conflits de dépendances et s'assurer que les paquets sont installés dans le bon ordre. APT utilise également une gestion des dépendances, mais elle peut parfois nécessiter une intervention manuelle pour résoudre les conflits. Comment installer Nala\nJe n'ai pas trouvé de preuve de l'existence d'un paquet Nala officiel dans les dépôts de Debian ou de tout autre système d'exploitation Linux populaire. Il est possible que Nala soit disponible en tant que paquet tiers, mais cela dépendra de la source du paquet.\nDans le site Phoenix Ap, il n'est fait aucune mention des incompatibilités avec les bibliothèques courantes. D'après le site officiel de nala, vous pouvez l'installer en utilisant la commande . Le mainteneur, Blake Lee, rencontre des difficultés à créer des paquets pour les dépôts officiels. \"Ces paquets ne sont pas dans la version 20.04. Auparavant, j'avais créé un paquet séparé, nala-legacy, qui utilisait une compilation bancale pour les regrouper. Il comportait beaucoup de bogues et était lourd à maintenir. Vous pouvez tirer ces paquets de 22.04 ou même les obtenir de Debian Sid si vous le souhaitez. Vous pouvez également construire à partir des sources. Il fera tout via pip mais ne sera pas automatiquement mis à jour avec le reste du système.\" (source)"},"score":1.75,"snippet":"…res outils de gestion de paquets est qu'il utilise un cache local des paquets pour accélérer les opérations de mise à jour et d'installation. De plus, Nala propose également une gestion intelligente des dépendances, ce q…","tier":2},{"article":{"uuid":"87a982e5-05e9-4766-965c-ed5288cdb89e","slug":"rechercher","title":"Rechercher sous Linux Terminal","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2022-11-18 07:53:20","created_at":"2022-11-18 07:53:20","updated_at":"2022-11-18 07:53:20","plain":"Sommaire\nUn petit mémo sur les recherches de fichiers en ligne de commande sous Linux avec find et grep. Pour tous les exemples de find j’utilise l’option -exec qui permet d’appliquer une autre commande (ls, rm, etc…) aux résultats de la recherche. Évidemment on n’est pas obligé.\nRecherche de fichiers et répertoires sur le nom Lister les fichiers dont le nom est « toto » à partir du répertoire courant :\n-- Pour ce type de recherche simple il ne faut pas oublier la commande locate, très rapide car elle va lire une base d’indexation au lieu de parcourir l’arborescence des répertoires. Par contre les fichiers trop récents ne seront pas forcément indexés. La commande suivante recherche tous les fichiers dont le chemin contient « toto » :\n-- Pour faire une recherche insensible à la casse on utilise -iname à la place de -name :\n-- Lister les fichiers dont l’extension est « .log » à partir du répertoire courant :\n-- Lister les répertoires dont le nom est « toto » à partir du répertoire courant :\n-- Lister les répertoires où se trouve le fichier de nom « toto » à partir du répertoire courant : ou\n-- Lister les répertoires dont le chemin contient « /local/bin » à partir du répertoire courant :\n-- On peut combiner les critères avec les opérateurs -a pour et, -o pour ou et ! pour la négation. Lister les répertoires dont le nom est « toto » qui ne sont pas un sous-répertoire de « /scripts/bash »\n--\nRecherche de gros fichiers Pour lister les fichiers de plus de 500Mo à partir du répertoire courant : Pour supprimer ces mêmes fichiers avec confirmation :\nRechercher par la date Lister les fichiers qui n’ont pas été modifiés depuis 2 mois, à partir du répertoire courant :\nComptage de fichiers Compter le nombre de fichiers du répertoire courant : Compter le nombre de fichiers pdf dans le répertoire courant et ses sous-répertoires :\nRechercher dans le contenu des fichiers avec grep Recherche les fichiers contenant « toto » dans le répertoire courant, affiche le nom du fichier et la ligne correspondante :\n-- La même chose avec une recherche récursive dans les sous-répertoires :\n-- Recherche sans tenir compte de la casse : — *Ta vie on s'en fout ! 2021/11/07 12:38:21//\nRecherche dans le contenu des fichiers ODT / LibreOffice avec grep Script à écrire dans : Puis rendre executable le script : Appeler le script dans un dossier :\nRechercher des dossiers vides Effacer les dossiers et sous-dossiers vides.\nVoir aussi\nRechercher dans des fichiers :"},"score":1.75,"snippet":"…t : ou\n-- Lister les répertoires dont le chemin contient « /local/bin » à partir du répertoire courant :\n-- On peut combiner les critères avec les opérateurs -a pour et, -o pour ou et ! pour la négation. Lister les réper…","tier":2},{"article":{"uuid":"4e324edd-23cb-4b11-9a52-4256171d701e","slug":"tos-di","title":"Talend Open Studio","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2021-01-16 05:23:10","created_at":"2021-01-16 05:23:10","updated_at":"2021-01-16 05:23:10","plain":"Talend est un éditeur de logiciel Open Source4 spécialisé dans l'intégration et la gestion des données. Installer TOS sous Fedora\nL’installation de TOS requiert la Package XULRunner. 1. Install Talend Open Studio\n 1. Download Talend Open Studio from ourwebsite and install it as described in the Installation Guide. \n2. Install XULRunner\nOn 32bit machines\nDownload, for example, XULRunner 1.9.2 from the Mozilla FTP\nExtract this file into /usr/local/lib using the following commands (let's assume we are logging in as a common user): Open TalendOpenStudio-linux-gtk-x86.ini and add the last line as below: \nOn 64bit machines\nInstall the dependency tools and Oracle JDK if not yet installed. \\\\\nFor more information see https:developer.mozilla.org/En/DeveloperGuide/BuildInstructions/LinuxPrerequisites.\nDownload the source code of your XULRunner package from the Mozilla FTP and install it into /usr/local/lib.\nOpen TalendOpenStudio-linux-gtk-x8664.ini and add the last line as below: 3.Create a script\nIn the installation directory, create a script to start up TOS, for example: start.sh 4.Execute the script to launch Talend Open Studio Problèmes rencontrés\nLes problèmes rencontrés sont résolus en suivant scrupuleusement la documentation ci-dessus. Lors du lancement de TOS, par le terminal, on peut rencontré ce message d'erreur :\n-- 2012/12/01 09:39\\\\"},"score":1.75,"snippet":"…nner 1.9.2 from the Mozilla FTP\nExtract this file into /usr/local/lib using the following commands (let's assume we are logging in as a common user): Open TalendOpenStudio-linux-gtk-x86.ini and add t…","tier":2},{"article":{"uuid":"1751deb9-067d-4a39-afc8-ef27cc3c3bb5","slug":"install-xubuntu","title":"Installer Xubuntu","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2021-01-16 04:02:01","created_at":"2021-01-16 04:02:01","updated_at":"2021-01-16 04:02:01","plain":"Il faut obtenir un support d'installation Xubuntu. Pour ma part, j'ai une clé USB Kingston 8 Go. Avant de démarrer l'ordinateur, je la branche. J'accède au BIOS pour faire démarrer l'ordinateur sur la clé USB. Programme d'installation Xubuntu\nLe programme d'installation Xubuntu se lance. Vous pouvez essayer xubuntu sans rien changer à votre ordinateur directement depuis le support. Dans notre cas, nous allons installer Xubuntu tout de suite sur l'ordinateur. Choisir la langue et cliquer sur le bouton Installer Xubuntu [[https:www.abonnel.fr/lib/exe/fetch.php?media=informatique:installerxubuntu:da0ead6825d10caffbcd6ff62e266426.png|]] Disposition du clavier\nChoisir la disposition du clavier et cliquer sur le bouton Continuer [[https:www.abonnel.fr/lib/exe/fetch.php?media=informatique:installerxubuntu:26fbc6c55a456b4f5a308f70ae558342.png|]] Mise à jour\nChoisir \"Télécharger les mises à jour pendant l'installation de Xubuntu\" et cliquer sur le bouton Continuer [[https:www.abonnel.fr/lib/exe/fetch.php?media=informatique:installerxubuntu:3f4ffc14d617dbaaa76121d60bcf075f.png|]] Type d'installation\nChoisir le type d'installation \"Autre chose\" et cliquer sur le bouton Continuer [[https:www.abonnel.fr/lib/exe/fetch.php?media=informatique:installerxubuntu:85d204c04f75d8db95a5ba1b7b28e9fb.png|]] Partitionnement\n[[https:www.abonnel.fr/lib/exe/fetch.php?media=informatique:installerxubuntu:a4674674987ebb147443839b015309e3.png|]] Identifier le disque dur. Il faut s'appuyer sur l'espace disque utilisé et le type de partition. Dans l'exemple, il s'agit de /dev/sda car c'est le seul dont le taille est de 320 G [[https:www.abonnel.fr/lib/exe/fetch.php?media=informatique:installerxubuntu:ace36562e5359fa3770820a0615ab829.png|]] Nouvelle partition Continuer [[https:www.abonnel.fr/lib/exe/fetch.php?media=informatique:installerxubuntu:71290a175e58151b8763dad439b5f8ab.png|]] Ajouter [[https:www.abonnel.fr/lib/exe/fetch.php?media=informatique:installerxubuntu:8096a7f148faccafdddfcee90a04f5b5.png|]] On recommencer : Cliquer sur supprimer [[https:www.abonnel.fr/lib/exe/fetch.php?media=informatique:installerxubuntu:14fb20a778b29133173c9c4dd4489240.png|]] L'espace libre est de 320 Go [[https:www.abonnel.fr/lib/exe/fetch.php?media=informatique:installerxubuntu:c85b1a1c7c93c215af7d1fc096caa3f0.png|]] Création de la partition SWAP (2x RAM) [[https:www.abonnel.fr/lib/exe/fetch.php?media=informatique:installerxubuntu:bafe1233e211c49c6094ba4a79d2876d.png|]] Le SWAP prend ça place dans l'architecture du disque dur [[https:www.abonnel.fr/lib/exe/fetch.php?media=informatique:installerxubuntu:e7777bf53615b1f66873cf45371dcb3e.png|]] Création de la partition /boot [[https:www.abonnel.fr/lib/exe/fetch.php?media=informatique:installerxubuntu:b2c2d16ecae6986cf09a99cee60bcbed.png|]] Création de la racine. Entre 30 et 100 Go [[https:www.abonnel.fr/lib/exe/fetch.php?media=informatique:installerxubuntu:1e620615c5c8a31216d0fa64a9404ca7.png|]] La racine prend ça place [[https:www.abonnel.fr/lib/exe/fetch.php?media=informatique:installerxubuntu:6a9e261629bc935ee5c60676750aa0cb.png|]] Création du /home avec l'espace restant -100 Mo [[https:www.abonnel.fr/lib/exe/fetch.php?media=informatique:installerxubuntu:3ef7418f7057438d1796dda77fe1de72.png|]] Le disque est prêt. Cliquer sur le bouton \"Installer Maintenant\" [[https:www.abonnel.fr/lib/exe/fetch.php?media=informatique:installerxubuntu:405943fb3b7856c229871f9f9fcf6873.png|]] Un écran récapitulatif indique les modifications des partitions sur les disques [[https:www.abonnel.fr/lib/exe/fetch.php?media=informatique:installerxubuntu:dcdd214fed68cc40a47d1b6d020a1b12.png|]] Fuseaux horaires\nChoisir le fuseau horaire [[https:www.abonnel.fr/lib/exe/fetch.php?media=informatique:installerxubuntu:36df0ffc73b37dad619de57f0f234aea.png|]] Création d'un compte utilisateur\n[[https:www.abonnel.fr/lib/exe/fetch.php?media=informatique:installerxubuntu:cfe1ba1b932e86839c37a5e4ef593621.png|]] [[https:www.abonnel.fr/lib/exe/fetch.php?media=informatique:installerxubuntu:f9e6fa62bfb59f30a7b726807545eea6.png|]] [[https:www.abonnel.fr/lib/exe/fetch.php?media=informatique:installerxubuntu:f597a41822c55f8cdc029a485da0a5fa.png|]] [[https:www.abonnel.fr/lib/exe/fetch.php?media=informatique:installerxubuntu:4993cf28a813dc8e08812a7fb3ce8b1e.png|]] [[https:www.abonnel.fr/lib/exe/fetch.php?media=informatique:installerxubuntu:766a8e9105fd9879d63deb4d86af4f22.png|]] Terminé… Cliquer sur \"Redémarrer maintenant\" [[https:www.abonnel.fr/lib/exe/fetch.php?media=informatique:installerxubuntu:fae0447c7e572df6acb291bf4ace1111.png|]] Paramétrage après redémarrage\nAu démarrage de Xubuntu avec le compte par défaut, on nous propose une mise à jour. Cliquer sur le bouton \"Installer maintenant\" [[https:www.abonnel.fr/lib/exe/fetch.php?media=informatique:installerxubuntu:526c1e68c4a52fed266b3c6cf5d9e759.png|]] il faudra saisir le mot de passe pour accepter les modifications [[https:www.abonnel.fr/lib/exe/fetch.php?media=informatique:installerxubuntu:eb039fac63f8ef03c00fff701aedc8cf.png|]] Après la mise à jour, le système vous invite à redémarrer. [[https:www.abonnel.fr/lib/exe/fetch.php?media=informatique:installerxubuntu:740794bf749637b77ce4ef57b3a66450.png|]] Installer les programmes\nGéogebra\nPlus d'infos sur https:doc.ubuntu-fr.org/geogebra Flash\nIl est nécessaire pour le site mon B2i dans Firefox Scratch\nLa version 3 de Scratch peut être téléchargée pour installation en local : http:www.ac-grenoble.fr/maths/scratch/scratch.zip. Il s'agit d'une archive à décompresser. Ensuite, il suffit d'ouvrir le fichier du répertoire ainsi créé. http:www.planet-libre.org/index.php?postid=21654 Création d'un user Création des raccourcis sur le bureau\n1. Géogebra\n1. Scratch\n1. B2i\n1. LibreOffice Writer\n1."},"score":1.75,"snippet":"…ion 3 de Scratch peut être téléchargée pour installation en local : http:www.ac-grenoble.fr/maths/scratch/scratch.zip. Il s'agit d'une archive à décompresser. Ensuite, il suffit d'ouvrir le fichier du répertoire ainsi …","tier":2},{"article":{"uuid":"7c9dd319-44c3-4784-b587-9def71d1e4b5","slug":"cote-informatique","title":"Coté informatique","category":"Électronique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2021-01-01 15:30:17","created_at":"2021-01-01 15:30:17","updated_at":"2021-01-01 15:30:17","plain":"Voici le principe de fonctionnement que je voulais faire initialement :\n1. lecteur des informations sur le port série (coté local)\n1. envoie sur serveur de base de données SGBD (coté serveur) On y reviendra plus tard. Pour l'instant j'installe tout sur le raspberyPi. Installer PHP\nLa lecture sur des informations va s'effectuer en PHP. C'est le plus simple pour moi parce que c'est très proche du langage C.\nDans un premier temps il faut installer l’interpréteur PHP : sudo apt-get install php On s’aperçoit que l'installation du package PHP intègre d'autres composants. On retrouve Apache2 et des fonctions associées à SQLite3, LDAP et JSON. Plusieurs fichiers de configuration sont créés :\nfichiers présents dans Deux binaires sont accessibles :\nInstaller le SGBD PostgreSQL\nJ'ai installé le SGBD PostgreSQL ainsi que le bibliothèque de connexion PHP. Une fois installé, les programmes n'occuperont que 30 Mo. Je n'ai pas l'habitude d'avoir une installation prenant aussi peu de place. sudo apt-get install php-pgsql postgresql\n \nRésultat : Paramétrer le SGBD PostgreSQL\nVoilà comment je fais pour me connecter au moteur de SGBD PostgreSQL. J'effectue ces manipulations depuis le compte . 1. Je me connecte avec le compte du SGBD qui se nomme :\n sudo su postgres 2. Je me connecte au SGBD :\n psql\n \nOh joie ! L'invite apparaît. Créer la base de données\nJe vais utiliser les informations suivantes :\nbase de données : \nutilisateur de la base de données (rôle) : Il faut créer l'utilisateur de la base de données. De manière schématique, l'utilisateur de connexion à la base de données s'appelle un . Création du rôle \n CREATE ROLE rampere PASSWORD 'This1sN0tAnPwd' LOGIN VALID UNTIL 'infinity'; Il faut créer la base de données qui va accueillir les données. J'ai choisi d'utiliser l'encodage dans la base de données, et l'utilisation des règles de la langue Française (). CREATE DATABASE \"ampere\"\n WITH OWNER \"rampere\"\n ENCODING 'UTF8'\n LCCOLLATE = 'frFR.UTF-8'\n LCCTYPE = 'frFR.UTF-8'; Il faut autoriser les connexions. Pour cela, le fichier de configuration des clients authentifié doit être adapté. Lors de l'installation du SGBD, il a été créé dans Il faut l'adapter suivant le schéma suivant : host database user address auth-method\n On s'identifie avec l'utilisateur :\n pi: $ sudo su - postgres\n \nOn ajoute dans le fichier :\n local ampere rampere trust On sort de l'environnement :\n postgres: $ exit\n \nUne fois le paramétrage terminé, il faut redémarrer le SGBD :\n pi: $ sudo service postgresql reload\n \nOn teste la connexion :\n pi: $ psql -U rampere -W -d ampere\n Principe de fonctionnement\nUn programme doit sans cesse boucler pour effectuer cette action :\n 1. lire une trame sur /dev/ttyAMA0 readTrame\n 2. ajouter un timestamp dans la trame \n 3. mémoriser la trame brute avec timestamp dans une mémoire tampon - saveTrameTampon saveTrameBdd saveTrameCsv Insérer une fichier CSV dans une table MySQL Transformer une donnée timestamp unix en format date et heure\n SELECT FROMUNIXTIME() FROM Bibliothèque PHP\nLe programme sera écrit en PHP. On va au maximum utiliser des méthodes afin d'obtenir des informations sur la consommation :\nquelle est la consommation Intensité instantannée ? - getIINST\nquelle est la valeur du compteur HC ? - getHCHC\nquelle est la valeur du compteur HP ? - getHCHP\nquelle est la période tarifaire en cours ? - getPTEC\nquelle est la puissance apparente ? - getPAPP et obtenir des informations sur l'abonnement :\nquelle est le N° d’identification du compteur ? - getADCO\nquelle est l'Option tarifaire ? - getOPTARIF\nquelle est l'Intensité souscrite ? - getISOUSC Je pense également à des méthodes d'analyse :\nquelle est la consommation HC/HP de la période tarifaire actuelle ? - getConsoPeriodeNow(tarif)\nquelle est la consommation HC/HP de la période précédente ? - getConsoPeriodePrev(tarif)\nquelle est la consommation HC/HP des 24 dernières heures ? - getConsoPeriode24(tarif)\nquelle est la consommation HC/HP d'une période de 7 jours X ? - getConsoPeriode7jours(tarif, dateHeureDebut)\nquelle est la consommation HC/HP de la minute X ? - getConsoMinute(tarif, dateHeure)\nquelle est la consommation HC/HP de l'heure X ? - getConsoHeure(tarif, dateHeure)\nquelle est la consommation HC/HP du jour X ? - getConsoJour(tarif, dateHeure)\nquelle est la consommation HC/HP de la semaine X ? - getConsoSemaine(tarif, date)\nquelle est la consommation HC/HP du mois X ? - getConsoMois(tarif, date)\nquelle est la consommation HC/HP de l'année X ? - getConsoAnnee(tarif, date) Et ensuite on pourra partir sur des statistiques :\nmoyenne\ntendance\n... Projets\nhttp:vesta.homelinux.free.fr/wiki/demodulateurteleinformationedf.html http:lhuet.github.io/blog/2014/01/montage-teleinfo.html Projet de http:www.magdiblog.fr/gpio/teleinfo-edf-suivi-conso-de-votre-compteur-electrique/ Le relevé d'info compatible http:*hallard.me/teleinfo-emoncms/"},"score":1.75,"snippet":"…lecteur des informations sur le port série (coté local)\n1. envoie sur serveur de base de données SGBD (coté serveur) On y reviendra plus tard. Pour l'instant j'installe tout sur le raspberyPi. Installer PHP\nLa lecture s…","tier":2},{"article":{"uuid":"c69bd7da-45c0-4c22-9cb1-d0fe58ac513e","slug":"20201205-pourquoi-choisir-une-passerelle-zigbee-athome","title":"Pourquoi choisir une passerelle Zigbee à la maison","category":"Journal geek","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2020-12-06 17:17:00","created_at":"2020-12-06 17:17:00","updated_at":"2020-12-06 17:17:00","plain":"On parle de Zigbee dans le domaine de la domotique. Les capteurs et actionneurs qui composent votre domotique s'appellent des appareils. Ces appareils utilisent un medium pour dialoguer. Il y a différents medium sans fils pour les appareils sans fils de votre domotique : Bluetooth, Wifi, Zigbee ou Z-Wave pour les plus connus. De manière générique, les appareils de votre domotique utilisent un pont afin d'échanger avec un serveur central sur Internet. On parle de Cloud. Le but de cet article est de recenser les solutions techniques pour exploiter des appareils Zigbee, tout en se passant de ponts, donc se passer d'une connexion Internet. Ce qui se passe chez vous, doit rester chez vous. Aucun enregistrement auprès d'un tiers n'est nécessaire. Tout les appareils se contrôlent en local, sans Internet. Toutes les données, les statu des lumières, les informations des capteurs, la position des interrupteurs restent dans votre réseau. Matériel nécessaire :\nClé Zigbee USB CC2531\nKit de debug\nAppareils Zigbee Logiciels\nhttps:github.com/danielwelch/hassio-zigbee2mqtt\nhttps:www.zigbee2mqtt.io/\nhttps:www.rhydolabz.com/wiki/?p=10868\nhttps:hackernoon.com/how-to-transform-a-raspberrypi-into-a-universal-zigbee-and-z-wave-bridge-xy1ay3ymz À suivre ... Pour aller plus loin\nChoix d'un médium de dialogue\nIls ont tous des propriétés différents, donc incompatibles. Les caractéristiques à prendre en compte sont la topologie, l'exigence d'alimentation, la latence de transmission, les distances autorisées, la performance dans l'environnement imposé, la confidentialité des données, l'intégrité des données durant transport et l'identification des composants. Propriétés de Zigbee\nZigbee est devenu dominant dans les mediums pour les maisons connectés et les industries des objets connectés - IoT. Zigbee permet de connecter plus de 65000 appareils, là où Z-Wave n'en propose que 232. Le réseau Mesh n'a pas de limite en terme du nombre de Noeud avec rebond. Les fréquences utilisées par Zigbee sont 784 MHz en Chine, 868 MHz en Europe et 915 MHz aux États-Unis et Australie. Ils utilisent une bande passant de 2.4 GHz. Zigbee es limité à distance de 12 mètres entre deux nœuds. Zigbee est un standard ouvert maintenu par la Zigbee Alliance."},"score":1.75,"snippet":"…ansmission, les distances autorisées, la performance dans l'environnement imposé, la confidentialité des données, l'intégrité des données durant transport et l'identification des composants. Propriétés de Zigbee\nZigbee e…","tier":2},{"article":{"uuid":"3f25617e-fa19-405a-b54c-0b019b7af22c","slug":"connexions-adsl","title":"Connexion DSL","category":"Journal geek","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2020-04-27 23:01:58","created_at":"2020-04-27 23:01:58","updated_at":"2020-04-27 23:01:58","plain":"Erreurs FEC - Erreur CRC\nLes données redondantes transmises au sein de chaque trame ADSL permettent de détecter et, dans une certaine mesure, de corriger les erreurs de réception[^note: UIT-T / Recommandation G.992.1 (06/99), chapitre 7.6]. Si l'erreur n'affecte que quelques bits dans la trame ADSL reçue, un mécanisme de correction d'erreur (forward error correction) incorporé au circuit de réception est en général capable de reconstruire les données abîmées. L'erreur est signalée dans les statistiques de réception sous la forme d'une « erreur FEC ». En revanche, si les données sont trop abîmées pour pouvoir être reconstituées, l'erreur est signalée sous la forme d'une « erreur CRC ». Dans certains cas, une erreur CRC affecte l'en-tête d'une cellule ATM, et cette altération est détectée par le récepteur, qui la signale sous la forme d'une « erreur HEC ». Enfin, si le taux d'erreur est suffisamment grand, la structure de la trame ADSL elle-même peut être affectée au point que plus aucune donnée reçue n'est utilisable. On constate alors une perte de tramage (« erreur LOF ») qui peut aller jusqu'à la perte totale de synchronisation (« erreur LOS »). En présence de ce type d'erreur, le modem ADSL réagit le plus souvent en interrompant la communication et en entamant une nouvelle procédure de synchronisation depuis le début. C'est le phénomène connu sous le nom de « désynchronisation » par les internautes. Le protocole ATM ne supporte pas nativement de système de correction des erreurs. Quand se produit une erreur suffisamment sévère pour que le dispositif de correction d'erreur natif de l'ADSL (FEC) ne puisse pas la corriger, c'est-à-dire une erreur de type CRC, les cellules ATM affectées par l'erreur sont supprimées en réception. Il manque donc un segment dans les données utilisateur reçues par le destinataire. En général, une couche de protocole de niveau supérieur (TCP par exemple) fait le nécessaire pour demander la retransmission de ce segment manquant..\n- Une ligne ne devrait pas dépasser 500 FEC/s [^note: http:*forum.freenews.fr/index.php?topic=80354.0 il manque des explications sur cette valeur...] Une ligne ne devrait pas dépasser 10 CRC/h [^note: référence ?].\nExemple d'informations relevées\nTemps de disponibilité | Type DSL | Bande passante (montante/descendante) | Données transférées (envoyées/reçues) |\n---------------------- | -------- | ------------------------------------- | ------------------------------------- |\n2012/10/20 00:00 | 1 jour, 2:47:22 | ITU-T G.992.1 | 800 / 5.600 | 301,32 MB / 1,99 GB | |\n2012/10/28 17:10 | 0 jour, 8:17:45 | ITU-T G.992.1 | 800 / 6.720 | 344,64 MB / 1,85 GB | |\n2012/10/31 20:00 | 2 jours, 23:12:34 | ITU-T G.992.1 | 800 / 5.792 | 1,07 GB / 1,99 GB | |\n(montant/descendant) [dBm] | Puissance de sortie | Atténuation de ligne | Marge signal/bruit |\n-------------------------- | ------------------- | -------------------- | ------------------ |\n2012/10/20 00:00 | 12,3 / 19,8 | 23,5 / 44,5 | 19,0 / 10,4 | |\n2012/10/28 17:10 | 12,3 / 19,8 | 23,5 / 45,0 | 18,0 / 9,7 | |\n2012/10/31 20:00 | 12,3 / 19,8 | 23,5 / 44,5 | 19,0 / 10,0 | |\n(local/distant) | Système ID fournisseur | Chipset ID fournisseur | Perte de trames | Perte de signal | Perte de puissance | Perte de liaison (distant) | Secondes d'erreurs |\n--------------- | ---------------------- | ---------------------- | --------------- | --------------- | ------------------ | -------------------------- | ------------------ |\n2012/10/20 00:00 | TMMB / ---- | BDCM / BDCM | 0 / - | 0 / - | 0 / - | - | 66 / - | |\n2012/10/28 17:10 | TMMB / ---- | BDCM / BDCM | 0 / - | 0 / - | 0 / - | - | 13 / - | |\n2012/10/31 20:00 | TMMB / ---- | BDCM / BDCM | 0 / - | 0 / - | 0 / - | - | 880 / - | |\n(montant/descendant) | Erreurs FEC | FEC/s | Erreurs CRC | CRC/h | Erreurs HEC |\n-------------------- | ----------- | ----- | ----------- | ----- | ----------- |\n2012/10/20 00:00 | 0 / 2.518.060 | 25 | 0 / 151 | - / 5,3 | - / 142 | |\n2012/10/28 17:10 | 0 / 1.172.933 | 40 | 0 / 23 | - / 2,3 | - / 19 | |\n2012/10/31 20:00 | 0 / 8.704.560 | 34 | 0 / 173 | - / 2,3 | - / 163 | |"},"score":1.75,"snippet":"…ande passante (montante/descendante) | Données transférées (envoyées/reçues) |\n---------------------- | -------- | ------------------------------------- | ------------------------------------- |\n2012/10/20 00:00 | 1 jo…","tier":2},{"article":{"uuid":"401e186f-1cf9-4477-ba03-0796456500f5","slug":"bloquer-des-sites-internet","title":"Bloquer des sites Internet","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2020-04-17 18:05:21","created_at":"2020-04-17 18:05:21","updated_at":"2020-04-17 18:05:21","plain":"Voici la question qu'on m'a posée : \"après installation de Malwarebytes, plus possible d'ouvrir mes sites, il les bloque !\" Après un peu de recherche, il apparaît que la méthode utilisée par Malwarebytes n'est pas idéale. Dans leur forum http:*forums.malwarebytes.org/, sous la rubrique \"False Positives\", il y a 2865 discussions différentes... \nMalwarebytes n'a pas l'air de trop prêter attention à ces alertes concernant les sites Internet déclaré faux positifs. C'est pas sérieux. Cet outil se base sur les adresses IP. En effectuant une recherche sur bing, j'ai plusieurs centaine de millier de réponses : sites avec l'adresse IP 213.186.33.87 A mon avis, bloquer un site Internet par son adresse IP n'est pas la solution. Un site Internet est avant tout une adresse. D'autres méthodes permettent de se protéger de sites indésirables : \nDNS menteurs. On peut citer OpenDNS. L'avantage est de sélectionner des listes prédéterminées de sites indésirables avec des options de personnalisation. La mise à jour est régulière et communautaire. L’inconvenient est la méthode utilisée.\nModules complémentaires au navigateur, qui filtre des mots clé dans l'URL. On peut citer : Ghostery ou AdBlock. L'avantage est que leur mise à jour est régulière, communautaire et personnalisable.\nDNS local menteur. Il s'agit de renseigner une fausse adresse IP pour une liste de nom de domaine déterminé dans le fichier local C:\\WINDOWS\\system32\\etc\\drivers\\hosts. L’inconvénient est de tenir à jour cette liste."},"score":1.75,"snippet":"…à jour est régulière, communautaire et personnalisable.\nDNS local menteur. Il s'agit de renseigner une fausse adresse IP pour une liste de nom de domaine déterminé dans le fichier local C:\\WINDOWS\\system32\\etc\\drivers\\ho…","tier":2},{"article":{"uuid":"1ce7bdf9-092c-4697-970f-7c2113f856b2","slug":"auracast","title":"Bluetooth Auracast","category":"technologie","author":"cedric@abonnel.fr","cover":"cover.png","published":true,"published_at":"2026-05-14 07:46","created_at":"2026-05-13 18:47:37","updated_at":"2026-05-13 18:48:46","plain":"Auracast est une technologie de diffusion audio par Bluetooth, introduite avec le standard Bluetooth LE Audio. Elle permet à un appareil émetteur (smartphone, téléviseur, ordinateur, borne publique…) de diffuser un flux audio vers un nombre illimité de récepteurs compatibles simultanément, un peu comme une station de radio locale, mais en Bluetooth.\r\n\r\nQuelques cas d'usage typiques :\r\nLieux publics : aéroports, gares ou salles d'attente peuvent diffuser les annonces directement dans les écouteurs des voyageurs, dans la langue choisie.\r\nTélévisions silencieuses : dans un bar ou une salle de sport, plusieurs personnes peuvent écouter le son d'un même écran sans déranger les autres.\r\nPartage entre amis : diffuser sa musique vers plusieurs paires d'écouteurs en même temps.\r\nAccessibilité : remplacement moderne des boucles magnétiques pour les personnes malentendantes équipées d'aides auditives compatibles.\r\n\r\nCôté technique, Auracast s'appuie sur le codec LC3 (plus efficace que le SBC classique), fonctionne sur Bluetooth Low Energy, et le récepteur rejoint un flux en scannant un QR code, en sélectionnant une diffusion dans une liste, ou via NFC. Les diffusions peuvent être publiques ou protégées par mot de passe.\r\n\r\nLa compatibilité reste le point sensible : il faut que l'émetteur et le récepteur supportent Bluetooth LE Audio + Auracast. C'est de plus en plus courant sur les smartphones récents (Android 13+, certains iPhone 16/17 selon les annonces) et sur les écouteurs haut de gamme sortis depuis 2023-2024, mais le parc installé reste limité."},"score":1.5,"snippet":"…ompatibles simultanément, un peu comme une station de radio locale, mais en Bluetooth.\r\n\r\nQuelques cas d'usage typiques :\r\nLieux publics : aéroports, gares ou salles d'attente peuvent diffuser les annonces directement da…","tier":2},{"article":{"uuid":"4cf880e6-e4e0-42dd-aae2-675837850b83","slug":"compromission-de-jdownloader-6-7-mai-2026-analyse-indicateurs-et-procedure-de-detection","title":"JDownloader : quand le CMS devient la faille","category":"informatique","author":"cedric@abonnel.fr","cover":"cover.webp","published":true,"published_at":"2026-05-12 17:09","created_at":"2026-05-12 17:10:36","updated_at":"2026-05-12 17:21:01","plain":"À propos de l'incident de sécurité affectant le site officiel jdownloader.org les 6 et 7 mai 2026.\r\n\r\nJDownloader expliqué simplement\r\n\r\nJDownloader est un gestionnaire de téléchargements écrit en Java, distribué gratuitement par l'éditeur allemand AppWork GmbH depuis plus de quinze ans. Il sert essentiellement à automatiser la récupération de fichiers depuis des hébergeurs (Mega, Uptobox, Rapidgator…), des plateformes vidéo et des services de liens premium. Côté utilisateur, c'est l'outil qu'on lance pour récupérer une série de fichiers en une opération, plutôt que cliquer sur cent liens un par un. L'application est multiplateforme — Windows, Linux, macOS — et tourne sur quelques millions de postes dans le monde.\r\n\r\nLe projet est distribué de plusieurs façons : un JAR principal (le binaire Java pur), des installateurs natifs par OS depuis le site officiel, et des paquets passant par des canaux distribués comme Flatpak, Snap ou Winget. C'est cette diversité de canaux qui va jouer un rôle central dans ce qui suit.\r\n\r\nL'incident : ce qui s'est passé\r\n\r\nEntre le 6 mai 2026 à 00 h 01 UTC et le 7 mai 2026 à 17 h 06 UTC, le site officiel a distribué des installateurs piégés à la place des binaires légitimes. La fenêtre n'a duré qu'environ 48 heures, et seuls deux liens ont été affectés. Mais pendant cette fenêtre, tout utilisateur qui passait par le bon parcours téléchargeait un cheval de Troie au lieu d'un gestionnaire de téléchargements.\r\n\r\nLe scénario reconstitué par l'équipe d'AppWork et les chercheurs en sécurité (BleepingComputer, Thomas Klemenc, équipe Rescana) se déroule en quatre temps.\r\n\r\n1. Compromission du CMS du site. Les attaquants ont exploité une vulnérabilité non corrigée dans le système de gestion de contenu de , qui permettait de modifier les listes de contrôle d'accès et le contenu publié sans authentification. Point crucial : ils n'ont pas eu accès au serveur sous-jacent, ni au système de fichiers, ni à l'infrastructure de build. Juste au contenu web — et ça a suffi.\r\n\r\n2. Réécriture de deux liens. Plutôt que de tenter de modifier les binaires originaux (qui étaient hors de leur portée), les attaquants ont fait beaucoup plus simple : ils ont changé l'URL cible de deux liens publics sur la page de téléchargement. Le lien « Download Alternative Installer » pour Windows et le script shell pour Linux pointaient désormais vers des fichiers malveillants hébergés sur une infrastructure tierce. Le HTML autour, lui, restait identique. Visuellement, rien ne distinguait la page propre de la page piégée.\r\n\r\n3. Charges utiles différenciées par plateforme. Sur Windows, l'installateur piégé agit comme un loader qui déploie un RAT (Remote Access Trojan) écrit en Python, fortement obfusqué, communiquant avec deux serveurs de commande et contrôle ( et ). Le RAT est modulaire : il reçoit du code Python depuis le C2 et l'exécute, ce qui donne aux attaquants une porte ouverte indéfiniment extensible. Sur Linux, le script shell modifié télécharge une archive depuis , déguisée en fichier SVG, dont il extrait deux binaires ELF — et . Le second est installé en SUID-root dans , le premier est copié dans , et la persistance est assurée par un script déposé dans . Le malware se lance ensuite déguisé en , un nom de processus qui existe légitimement sur la plupart des distributions.\r\n\r\n4. Détection par la communauté. L'alerte n'est pas venue d'un système de surveillance, mais d'un utilisateur Reddit (PrinceOfNightSky) qui a remarqué que Microsoft Defender bloquait son installateur fraîchement téléchargé. La signature numérique indiquait « Zipline LLC » au lieu de « AppWork GmbH ». L'équipe AppWork a confirmé, mis le site hors ligne pour investigation dans les heures qui ont suivi, puis publié un rapport d'incident détaillé. Le site est revenu en ligne dans la nuit du 8 au 9 mai avec des liens vérifiés.\r\n\r\nPourquoi c'est systémique\r\n\r\nÀ première vue, c'est un incident isolé : une faille CMS, une équipe qui patche, le service revient. Vu de loin, ça ressemble à un mauvais quart d'heure. Mais en prenant un peu de recul, le schéma est troublant.\r\n\r\nCPUID, début avril 2026. Le site officiel de l'éditeur de CPU-Z est compromis, des installateurs piégés sont distribués pendant plusieurs jours.\r\n\r\nDAEMON Tools, début mai 2026. Même schéma : compromission du site officiel, substitution d'installateurs, plusieurs versions infectées (12.5.0.2421 à 12.5.0.2434) distribuées avant détection.\r\n\r\nJDownloader, 6–7 mai 2026. Toujours le même schéma.\r\n\r\nTrois compromissions d'éditeurs logiciels en cinq semaines, exactement sur le même schéma : pas d'intrusion dans l'infrastructure de build, pas de modification du code source, pas de vol de certificat de signature de l'éditeur. À chaque fois, le maillon faible est le CMS qui sert la page de téléchargement. Ce qu'on attaque, ce n'est pas le logiciel ; c'est le panneau publicitaire qui pointe vers le logiciel.\r\n\r\nCette mécanique est intéressante parce qu'elle déjoue à peu près toutes les défenses « modernes » de la chaîne d'approvisionnement.\r\n\r\nLa signature de code ne protège pas. Le binaire légitime de JDownloader est toujours signé proprement par AppWork GmbH. Mais le binaire malveillant servi à sa place est signé, lui aussi — par un autre éditeur (Zipline LLC, The Water Team), avec des certificats vraisemblablement volés ou achetés au marché noir. La signature certifie que le fichier vient bien de celui qui l'a signé ; elle ne certifie pas que c'est le bon fichier.\r\n\r\nLe HTTPS ne protège pas. La page de téléchargement est servie en HTTPS valide, depuis le bon domaine, avec le bon certificat. Le navigateur n'a aucune raison de tiquer.\r\n\r\nLes mises à jour in-app sont, elles, protégées. AppWork le souligne : chaque mise à jour livrée par le mécanisme intégré de JDownloader est signée RSA et vérifiée cryptographiquement, indépendamment du site web. Ce canal n'a pas été touché. C'est tout le paradoxe : les utilisateurs qui mettaient à jour JDownloader depuis l'application elle-même n'ont rien risqué ; ceux qui sont allés sur le site officiel pour le télécharger « proprement » sont les seuls exposés.\r\n\r\nLes paquets distribués sont protégés. Flatpak, Snap, Winget, le JAR principal — tout ce qui passe par une chaîne d'approvisionnement où l'intégrité est vérifiée par checksum hors site est resté propre. AppWork le résume sans détour : « Winget/Flatpak/Snap infra is outside of our reach — files downloaded by those are hosted on other infra and secured by sha256 checksums that are unchanged. »\r\n\r\nAutrement dit, plus le canal est court et naïf, plus il est vulnérable. Le téléchargement direct depuis un site web est le canal le plus naïf qui soit : on fait confiance au CMS, point. Tout l'effort de sécurisation de l'écosystème logiciel — signatures, builds reproductibles, SBOMs, attestations de provenance — porte sur la chaîne de production et la chaîne de distribution centralisée. Le maillon « page HTML qui dit clique ici », lui, est resté tel qu'il était en 2005.\r\n\r\nComment vérifier si on est touché\r\n\r\nLa fenêtre est étroite, donc le filtrage est simple. Trois questions, dans l'ordre :\r\n\r\n1. L'installateur a-t-il été récupéré entre le 6 mai 2026 (00 h 01 UTC) et le 7 mai 2026 (17 h 06 UTC) ?\r\n2. S'agit-il du lien « Download Alternative Installer » Windows ou du script shell Linux depuis ?\r\n3. Le fichier a-t-il été exécuté ?\r\n\r\nTrois oui → traiter la machine comme compromise. N'importe quel non dans la liste → aucun risque lié à cet incident. Une installation pré-existante mise à jour automatiquement, un paquet Flatpak/Snap/Winget, le JAR, la version macOS : rien à craindre.\r\n\r\nSous Windows\r\n\r\nLe contrôle de référence, c'est la signature numérique. Clic droit sur l'installateur → Propriétés → onglet Signatures numériques. La valeur attendue est . Toute autre signature (notamment Zipline LLC ou The Water Team), ou l'absence de signature, désigne un fichier malveillant.\r\n\r\nEn PowerShell :\r\n\r\n\r\n\r\nSi n'est pas ou si le certificat ne contient pas , ne pas exécuter.\r\n\r\nSous Linux\r\n\r\nTrois artefacts sont à chercher en post-exécution :\r\n\r\n\r\n\r\nL'apparition de l'un de ces trois éléments suffit à confirmer l'infection. Pour aller plus loin, un coup d'œil au trafic sortant vers les trois domaines C2 (, , ) dans les logs DNS ou via permet de confirmer l'activité du malware.\r\n\r\nSi le script installateur traîne encore quelque part, sa signature est sans ambiguïté : taille de 7 934 496 octets, SHA-256 commençant par .\r\n\r\nEn cas de compromission confirmée\r\n\r\nLa position officielle d'AppWork est sans nuance : réinstallation complète du système. Un RAT modulaire avec persistance SUID-root et exécution arbitraire de code Python depuis un C2 n'est pas quelque chose qu'on retire avec un antivirus. Il faut considérer que tout secret qui a transité sur la machine est compromis — mots de passe saisis au clavier, clés SSH, jetons API, cookies de session, configurations cloud — et les faire tous tourner après réinstallation, depuis une autre machine saine.\r\n\r\nCe que ça change pour qui s'auto-héberge\r\n\r\nL'incident JDownloader est un exemple éclairant pour qui exploite ses propres services exposés sur Internet — un Forgejo, un reverse proxy, un site personnel. La leçon n'est pas vraiment côté utilisateur (la procédure de détection plus haut suffit), elle est côté opérateur.\r\n\r\nLe CMS de JDownloader n'a probablement pas été ciblé pour ses qualités intrinsèques. C'est un dommage collatéral d'un schéma plus large : tout site qui distribue un binaire avec un nombre significatif d'utilisateurs devient une cible rentable, et le CMS public est souvent la pièce la moins surveillée du dispositif. On sécurise le serveur Git, le pipeline de build, la signature des paquets — et on laisse tourner un CMS qui n'a pas été patché depuis huit mois parce qu'il « ne sert qu'à afficher la page d'accueil ».\r\n\r\nQuelques principes opérationnels qui en découlent.\r\n\r\nSéparer le canal de publication du canal de vérification. AppWork a eu raison sur un point essentiel : leurs mises à jour in-app passent par une infrastructure indépendante du site web, avec signature RSA vérifiée côté client. Quand on auto-héberge, ça se traduit par : ne jamais utiliser le même serveur pour distribuer un binaire et publier son empreinte. Le checksum doit vivre ailleurs — dans un dépôt Git séparé, sur un domaine différent, idéalement sur une infrastructure qu'on n'administre pas soi-même.\r\n\r\nSurveiller la dérive du contenu publié. Une simple vérification quotidienne du hash des pages publiques (un cron qui calcule le SHA-256 des URL critiques et alerte en cas de changement non planifié) aurait détecté la compromission de JDownloader en moins d'une heure. C'est le genre de surveillance qu'aucune solution commerciale ne propose nativement, et qui s'écrit en quinze lignes de bash.\r\n\r\nPatcher le CMS avec la même rigueur que l'OS. L'automatisation des mises à jour applicatives reste sous-investie, surtout pour les outils « périphériques » (CMS, wiki, formulaire de contact). Une mise à jour automatique de niveau correctif n'est pas plus risquée qu'une mise à jour du noyau, et elle évite ce type de scénario.\r\n\r\nAuditer les ACL régulièrement. La faille exploitée ici permettait de modifier les ACL sans authentification. C'est l'équivalent CMS d'un répertoire dans un coin du système. Un audit périodique des permissions sur les pages publiques fait partie du minimum syndical pour un service exposé.\r\n\r\nEn résumé\r\n\r\nJDownloader n'a pas été cassé. Son code source est intact, son infrastructure de build est intacte, ses paquets officiels distribués via Flatpak ou Snap sont intacts, ses mises à jour internes sont intactes. Ce qui a été cassé, c'est le panneau qui dit où aller chercher le binaire.\r\n\r\nC'est une mécanique élégante du point de vue de l'attaquant, et inquiétante du point de vue de l'opérateur. Elle illustre quelque chose que l'incident NPM avait déjà mis en lumière dans un autre registre : la chaîne d'approvisionnement logicielle n'est pas une chaîne, c'est un réseau, et les points faibles ne sont jamais là où on les attend. On peut investir massivement dans la sécurité du code, du build et de la signature ; si la page web qui sert le lien reste un Wordpress non patché derrière un nom de domaine prestigieux, tout cet investissement passe à côté.\r\n\r\nLe rôle de l'opérateur en 2026, ce n'est plus de protéger le code. C'est de protéger chaque maillon qui sert à dire au monde où trouver le code — et de partir du principe que ce maillon-là sera le prochain à céder.\r\n\r\nLiens & sources\r\n\r\nJDownloader site hacked to replace installers with Python RAT malware | BleepingComputer\r\n\r\nRapport d'incident officiel | jdownloader.org\r\n\r\nJDownloader Website Supply Chain Attack | Rescana\r\n\r\nLe site officiel de JDownloader compromis | IT-Connect"},"score":1.5,"snippet":"…s à la place des binaires légitimes. La fenêtre n'a duré qu'environ 48 heures, et seuls deux liens ont été affectés. Mais pendant cette fenêtre, tout utilisateur qui passait par le bon parcours téléchargeait un cheval de…","tier":2},{"article":{"uuid":"093711bf-4e60-4ea8-ba73-928d2d67776c","slug":"certificats-let-s-encrypt-a-6-jours-faut-il-sauter-le-pas","title":"Certificats Let's Encrypt à 6 jours : faut-il sauter le pas ?","category":"actualité","author":"cedric@abonnel.fr","cover":"cover.svg","published":true,"published_at":"2026-05-07 22:46","created_at":"2026-05-12 08:47:27","updated_at":"2026-05-12 08:59:58","plain":"Guide DevOps / WebOps pour comprendre les certificats à durée de vie courte () et décider si vous devez migrer.\r\n--\r\n\r\nTL;DR\r\n\r\nLet's Encrypt propose désormais au grand public des certificats valides 6 jours (profil ), en plus du classique 90 jours. Pour les certificats sur adresse IP, c'est même obligatoire. La question n'est pas \"est-ce que c'est bien ?\" — techniquement oui — mais \"est-ce que mon infra est prête ?\". Si votre renouvellement automatique fonctionne sans accroc depuis 6 mois, foncez. Sinon, fiabilisez d'abord, migrez ensuite.\r\n--\r\n\r\n1. De quoi on parle\r\n\r\nDepuis janvier 2026, Let's Encrypt émet en disponibilité générale deux nouveautés couplées : les certificats pour adresses IP, et les certificats à durée de vie de 6 jours via un nouveau profil ACME nommé . Certbot 4.0 a introduit le flag pour les sélectionner, et Certbot 5.3 a ajouté pour demander un cert sur IP.\r\n\r\nConcrètement, un certificat a une validité de 6 jours au lieu de 90. Tout le reste — chaîne de confiance, algorithmes, format — est identique. Pour le navigateur, c'est un certificat Let's Encrypt standard.\r\n\r\nLes profils disponibles\r\nProfil | Durée | Usage |\r\n---|---|---|\r\n(défaut) | 90 jours | Tout le monde, par défaut |\r\n| 6 jours | Adopters précoces, certs sur IP (obligatoire) |\r\n| 90 jours | Variante optimisée serveur web (sans clientAuth) |\r\n--\r\n\r\n2. Pourquoi Let's Encrypt pousse vers le court\r\n\r\nQuatre raisons techniques, par ordre d'importance.\r\n\r\n2.1 La révocation TLS est cassée — autant l'éviter\r\n\r\nC'est le vrai sujet. Le mécanisme de révocation des certificats (CRL, OCSP) n'a jamais fonctionné correctement à grande échelle :\r\nOCSP soft-fail : si le serveur OCSP est injoignable, la plupart des navigateurs acceptent quand même le certificat. Un attaquant qui contrôle le réseau bloque l'OCSP et le cert révoqué passe.\r\nOCSP stapling mal configuré sur beaucoup de serveurs.\r\nCRLite, OneCRL : couvertures partielles, déploiement client incohérent.\r\nOCSP retiré : Let's Encrypt a arrêté OCSP en 2025, justement parce que ça ne servait quasiment à rien tout en posant des problèmes de vie privée.\r\n\r\nAvec un cert à 6 jours, la révocation devient cosmétique : on attend l'expiration. La fenêtre d'exploitation d'une clé compromise passe de plusieurs semaines (cert 90 jours, OCSP douteux) à quelques jours maximum.\r\n\r\n2.2 Réduire la fenêtre de compromission\r\n\r\nSi votre clé privée fuite (backup mal protégé, faille serveur, employé qui part avec une copie, vulnérabilité type Heartbleed), l'attaquant peut usurper votre site tant que le cert est valide. À 90 jours, c'est trois mois d'exposition dans le pire cas. À 6 jours, c'est une semaine.\r\n\r\nC'est encore plus critique pour les certs sur IP : une IP peut changer de propriétaire (cloud, VPS recyclé, réattribution FAI). Un cert long pour une IP qui ne vous appartient plus, c'est un risque que LE refuse de prendre — d'où l'obligation du profil court pour cet usage.\r\n\r\n2.3 Forcer une automatisation propre\r\n\r\nPersonne ne renouvelle un cert à la main tous les 6 jours. C'est mécaniquement infaisable. Le profil est donc un filtre qualité : si votre renouvellement n'est pas blindé, vous le saurez vite.\r\n\r\nL'effet de bord positif : ça élimine les pannes classiques type \"le cert a expiré parce que le cron était cassé depuis trois mois et personne ne s'en est rendu compte\". À 6 jours, un cron cassé devient visible immédiatement.\r\n\r\n2.4 Agilité cryptographique\r\n\r\nSi une vulnérabilité majeure impose de déprécier un algorithme en urgence (RSA, transition post-quantique, faille découverte sur SHA-256), un parc avec des certs à 6 jours bascule en une semaine. Un parc 90 jours met trois mois. C'est la raison qui motive aussi le CA/Browser Forum à pousser globalement vers des durées plus courtes (45 jours d'ici 2029 dans la baseline).\r\n--\r\n\r\n3. Pourquoi vous pourriez ne pas migrer\r\n\r\nSoyons honnêtes : pour la plupart des infras web classiques, le 90 jours suffit largement. Le 6 jours a des coûts réels.\r\n\r\n3.1 Pression sur le rate limiting\r\n\r\nLet's Encrypt limite à 300 nouveaux certificats par compte par 3 heures et 5 duplicatas de cert par semaine. Avec des certs 90 jours, vous renouvelez 4 fois par an. Avec des 6 jours, c'est 60 fois par an et par cert. Si vous avez 50 services derrière 50 certs distincts, vous explosez votre budget de requêtes ACME.\r\n\r\nMitigation : regrouper les domaines dans des certs SAN (un seul cert pour , , plutôt que trois certs).\r\n\r\n3.2 Dépendance critique au CA et au réseau\r\n\r\nÀ 90 jours, si Let's Encrypt est down 48h, vous ne le remarquez même pas. À 6 jours, une panne de 48h sur LE et votre fenêtre de renouvellement (typiquement à 1/3 de la durée restante, soit 2 jours), et votre cert expire. Vos services tombent.\r\n\r\nConséquences concrètes :\r\nIl faut un monitoring sérieux de l'expiration des certs (Prometheus blackbox exporter, , etc.).\r\nIl faut un fallback : second client ACME, second account, ou cert de secours d'une autre CA.\r\nIl faut absolument que la résolution DNS et le port 80/443 sortants depuis votre serveur soient fiables.\r\n\r\n3.3 Charge sur les systèmes de déploiement\r\n\r\nChaque renouvellement déclenche : appel ACME, validation HTTP-01 ou DNS-01, écriture des fichiers, rechargement du serveur web (Nginx, Apache, HAProxy, etc.). À 60 fois par an au lieu de 4, ça multiplie par 15 le nombre de reloads.\r\n\r\nSur un serveur web basique, un est gratuit. Sur des architectures plus complexes (load balancers stateful, terminations TLS distribuées, certs poussés vers un CDN, configs multi-nœuds avec Ansible/Salt), chaque renouvellement déclenche une cascade. À évaluer.\r\n\r\n3.4 Logs, audit, conformité\r\n\r\nCertains contextes réglementaires demandent une traçabilité des certificats (PCI-DSS, ISO 27001, HDS). Multiplier par 15 le volume d'événements de renouvellement à archiver et auditer, ça représente du stockage et du tooling à adapter.\r\n\r\n3.5 Le cas \"monitoring TLS externe\"\r\n\r\nSi vous avez des outils tiers (uptime monitors, scanners de conformité) qui vérifient l'expiration de vos certs, ils risquent de hurler en permanence : un cert qui montre toujours \"expire dans 6 jours\" déclenche les alertes \"cert expirant bientôt\" sur la plupart des outils mal configurés. Il faut soit ajuster les seuils, soit changer d'outil.\r\n--\r\n\r\n4. Décision : grille de lecture\r\nSituation | Recommandation |\r\n---|---|\r\nServeurs web classiques, renouvellement Certbot qui marche, < 20 certs | Restez en 90 jours. Le bénéfice marginal ne justifie pas le risque. |\r\nVous gérez des certs sur IP | Pas le choix : est obligatoire. |\r\nArchitecture critique avec rotation de clés agressive (banque, santé, infra publique) | Migrez. Le 6 jours est aligné avec vos exigences de sécurité. |\r\nInfra dev/staging interne | Excellent terrain de test. Migrez d'abord ici pour valider votre pipeline. |\r\nVous avez déjà eu une expiration cert non détectée en prod | Ne migrez pas tout de suite. Fiabilisez d'abord le monitoring et le renouvellement, puis migrez. Sinon vous transformez un incident annuel en incident hebdomadaire. |\r\nVous publiez via reverse proxy unique (un seul cert SAN pour plusieurs services) | Bon candidat. Un seul renouvellement à fiabiliser. |\r\nVous avez un parc hétérogène (Apache + Nginx + HAProxy + Traefik...) avec hooks custom | Auditez chaque hook avant de migrer. C'est là que ça casse. |\r\n--\r\n\r\n5. Comment migrer concrètement (Certbot)\r\n\r\n5.1 Pré-requis\r\n\r\nAvant tout :\r\n\r\n1. Certbot 4.0+ pour , 5.3+ pour , 5.4+ pour avec IP.\r\n2. Un renouvellement automatique opérationnel et vérifié (timer systemd ou cron actif, testé avec ).\r\n3. Un monitoring d'expiration des certs en place. Si vous n'en avez pas, installez-le avant de migrer.\r\n4. Un hook de reload du serveur web qui fonctionne ().\r\n\r\n5.2 Test sur le staging Let's Encrypt\r\n\r\n\r\n\r\nVérifier que le cert obtenu a bien une durée de 6 jours :\r\n\r\n\r\n\r\n5.3 Renouvellement plus fréquent\r\n\r\nPar défaut, Certbot renouvelle quand il reste 1/3 de la durée. Pour un cert 6 jours, ça veut dire renouveler à 2 jours restants. Ça laisse peu de marge en cas de panne. Vous pouvez forcer un renouvellement plus tôt :\r\n\r\n\r\n\r\nLe timer Certbot tourne deux fois par jour par défaut, ce qui est suffisant. Pas besoin de l'accélérer.\r\n\r\n5.4 Cas d'un certificat sur IP\r\n\r\n\r\n\r\nNote importante : Certbot ne sait pas encore installer automatiquement les certs IP dans Nginx ou Apache. Il faut éditer la config manuellement pour pointer vers et , et configurer un pour le reload.\r\n\r\n5.5 Plan de bascule recommandé\r\n\r\n1. Semaine 1-2 : un domaine non critique (un sous-domaine de test, un service interne) en . Surveillez les renouvellements.\r\n2. Semaine 3-4 : étendez à la moitié de votre dev/staging.\r\n3. Semaine 5-6 : migration progressive en prod, en commençant par les services les moins critiques.\r\n4. À tout moment : possibilité de retour arrière en supprimant du fichier de config Certbot dans .\r\n--\r\n\r\n6. Pièges à éviter\r\nNe migrez pas tout en même temps. Si votre hook de reload a un bug, vous le découvrez sur un seul service, pas sur 50.\r\nNe désactivez pas le monitoring d'expiration sous prétexte que c'est automatisé. L'automatisation peut casser silencieusement. Un check externe qui hurle à J-2 reste indispensable.\r\nAttention aux secrets stockés dans des configs autres que Certbot. Si vous avez des certs poussés manuellement vers un CDN, un load balancer cloud ou un firewall TLS-inspectant, le passage à 6 jours impose d'automatiser cette propagation aussi.\r\nPas de cert IP pour un service exposé publiquement à long terme. Si l'IP change, le cert devient inutilisable instantanément. Préférez le DNS quand c'est possible.\r\nVérifiez votre client ACME. Tous les clients ACME ne supportent pas encore les profils. acme.sh, Caddy, lego, Traefik : checkez la version. Certbot 4.0 minimum.\r\n--\r\n\r\n7. Verdict\r\n\r\nLe profil est techniquement supérieur au 90 jours sur le plan sécuritaire. Mais il déplace le coût : moins de risques liés aux clés compromises et à la révocation cassée, plus de risques liés à la chaîne de renouvellement.\r\n\r\nLa règle simple : si votre renouvellement automatique est fiable, migrez. Sinon, fiabilisez-le d'abord — la migration n'en sera que la conséquence naturelle.\r\n\r\nPour la majorité des infras web auto-hébergées (typiquement, un Proxmox + reverse proxy + une dizaine de services derrière), le 90 jours reste un excellent compromis. Le devient pertinent quand :\r\nVous avez besoin de certs sur IP (obligatoire).\r\nVous exploitez des services à forte exigence de sécurité (clés très sensibles).\r\nVous voulez tester votre résilience opérationnelle (le 6 jours est un excellent test de fiabilité de votre stack).\r\n\r\nLe reste du temps, gardez le 90 jours, dormez tranquille, et ressortez ce document quand le CA/Browser Forum imposera 45 jours par défaut (vers 2027-2028).\r\n--\r\n\r\nSources\r\nLet's Encrypt — Six-Day and IP Address Certificates Available in Certbot (mars 2026)\r\nLet's Encrypt — 6-day and IP address certs in general availability (janvier 2026)\r\nDocumentation Certbot — Hooks\r\nCA/Browser Forum Baseline Requirements"},"score":1.5,"snippet":"Guide DevOps / WebOps pour comprendre les certificats à durée de vie courte () et décider si vous devez migrer.\r\n--\r\n\r\nTL;DR\r\n\r\nLet's Encrypt propose désormais au grand public des certificats valides 6 jours (profil ), e…","tier":2},{"article":{"uuid":"75bf96ba-e110-4a9e-8163-95890562aecf","slug":"souverainete-numerique-le-paradoxe-d-orange-face-aux-clouds-americains","title":"Orange dans les bras d'Amazon : l'aveu d'un échec européen","category":"actualité","author":"cedric@abonnel.fr","cover":"cover.jpg","published":true,"published_at":"2026-01-16 11:17","created_at":"2026-01-16 11:17:19","updated_at":"2026-05-11 21:44:15","plain":"Orange utilise massivement AWS, Azure et Google Cloud. Dit comme ça, c'est presque une blague. L'ancien France Télécom, opérateur historique, fleuron des télécoms français, héritier du service public, branché sur les serveurs de la Silicon Valley. À l'heure où on ne parle que de souveraineté numérique, on pourrait croire à une trahison. C'est plus compliqué que ça.\r\n\r\nLa raison principale est bête : les Américains ont gagné la course. En quinze ans, AWS, Microsoft et Google ont construit une avance que personne ne sait combler aujourd'hui. Et ils ne vendent plus seulement du stockage ou de la puissance de calcul. Ils vendent un écosystème entier : de l'IA prête à l'emploi, des outils d'analyse de données, de l'automatisation, de la cybersécurité, des garanties de disponibilité à neuf chiffres. Pour Orange, qui doit faire tourner ses services dans une vingtaine de pays sans tomber en panne, ce niveau de maturité pèse lourd dans la balance.\r\n\r\nSauf que ce choix rationnel a un prix politique. En confiant ses infrastructures à des entreprises soumises au droit américain, Orange entre dans une zone de dépendance dont on ne sort pas facilement. Le Cloud Act permet aux autorités américaines de réclamer des données hébergées par ces sociétés, même quand ces données sont physiquement en Europe. On peut chiffrer, cloisonner, négocier des clauses dans tous les sens, le fait reste que la décision finale échappe au juge européen. Pour un opérateur télécoms qui manipule des données de millions d'abonnés, ce n'est pas un détail.\r\n\r\nLe plus rageant, c'est qu'on a des alternatives. OVHcloud, Scaleway, Outscale, IONOS en Allemagne, sans parler des projets autour de Deutsche Telekom. Ces acteurs existent, ils sont sérieux, ils savent faire. Alors pourquoi Orange ne s'allie pas avec eux pour construire quelque chose de crédible à l'échelle européenne ?\r\n\r\nParce que l'écart de moyens est vertigineux. AWS et Microsoft investissent chacun plus de cinquante milliards de dollars par an dans leurs infrastructures. Ils ont leurs propres câbles sous-marins, leurs propres réseaux mondiaux, et ils raflent une bonne partie des ingénieurs qui sortent des écoles. Un OVH, même bien géré, ne joue pas dans la même catégorie financière. Il faudrait une alliance européenne soutenue politiquement, financée sur vingt ou trente ans, pour espérer rattraper. On a essayé avec Gaia-X. Le résultat parle de lui-même.\r\n\r\nDu coup, Orange est coincé. Tout miser sur l'européen aujourd'hui, ça veut dire accepter des services moins performants, moins riches, et perdre du terrain face à ses concurrents qui, eux, n'auront pas ces scrupules. Dans un marché où les marges fondent et où chaque innovation compte, c'est un pari risqué. Continuer avec les Américains, c'est rester dans la course mais accepter une dépendance qui peut, du jour au lendemain, devenir un problème géopolitique.\r\n\r\nD'où la solution batarde que tout le monde adopte : l'hybride. On met chez Amazon ou Microsoft ce qui doit aller vite, innover, scaler. On garde en Europe, parfois sur des clouds \"de confiance\" labellisés SecNumCloud, ce qui touche aux données sensibles, aux clients régulés, à l'État. Ce n'est pas glorieux, mais ça permet de tenir les deux bouts.\r\n\r\nPour les défenseurs de la souveraineté numérique, ce compromis a un goût amer. On a l'impression d'une Europe qui se résigne, qui joue le match sur le terrain de l'adversaire avec ses règles. Mais en pointant Orange du doigt, on rate la cible. Le vrai problème n'est pas dans les choix d'une entreprise, il est en amont. Tant qu'on traitera le cloud comme un simple marché et pas comme une infrastructure critique, au même titre que l'électricité ou les chemins de fer, les industriels feront ce qu'ils ont toujours fait : choisir ce qui marche, là, maintenant.\r\n\r\nLa bonne question n'est donc pas \"pourquoi Orange utilise AWS\". Elle est \"pourquoi, vingt ans après l'arrivée du cloud, l'Europe n'a toujours pas mis sur la table de quoi rendre ce choix évitable\". La souveraineté ne se décrète pas dans des communiqués. Elle se paie. En milliards, en années, en décisions politiques qui survivent aux changements de gouvernement. Tant qu'on ne sera pas prêts à ce niveau d'engagement, on continuera à tenir un discours sur l'indépendance numérique en signant des contrats avec Seattle et Redmond."},"score":1.5,"snippet":"Orange utilise massivement AWS, Azure et Google Cloud. Dit comme ça, c'est presque une blague. L'ancien France Télécom, opérateur historique, fleuron des télécoms français, héritier du service public, branché sur les ser…","tier":2},{"article":{"uuid":"0e0b8d1d-3352-4ab7-bc70-7bc1f02ee485","slug":"imagemagick-sur-debian-pourquoi-convert-im6-et-ou-trouver-magick","title":"ImageMagick sur Debian : pourquoi `convert-im6` et où trouver `magick`","category":"linux","author":"cedric@abonnel.fr","cover":"cover.svg","published":true,"published_at":"2025-12-28 15:32","created_at":"2025-12-28 15:32:01","updated_at":"2026-05-12 00:29:00","plain":"Si tu as déjà installé ImageMagick sur un serveur Debian, tu es probablement tombé sur cette étrangeté : la commande historique est là, mais elle s'appelle . Et la commande moderne , présente partout ailleurs, semble manquer à l'appel — sauf si tu es sur Debian 13, où elle est revenue.\r\n\r\nLe sujet est un peu plus subtil qu'il n'y paraît, et beaucoup d'explications qui circulent sur le web sont fausses (notamment celle qui prétend que entrerait en conflit avec un binaire de — c'est un mythe). Voilà ce qui se passe réellement.\r\n\r\nUn peu de contexte sur ImageMagick\r\n\r\nImageMagick, c'est une suite d'outils en ligne de commande pour manipuler des images : conversion de formats, redimensionnement, compression, génération de vignettes, watermarks, lecture de métadonnées… Le genre d'outil qu'on retrouve aussi bien dans un script bash de cinq lignes que dans une chaîne de traitement industrielle ou un pipeline CI.\r\n\r\nHistoriquement, la suite est composée de plusieurs binaires distincts, chacun avec son rôle : pour la conversion, pour lire les métadonnées, pour le traitement par lot, pour combiner des images, pour les planches. C'est l'architecture d'ImageMagick 6, la version qui a régné en maître pendant une bonne quinzaine d'années.\r\n\r\nDepuis 2016, ImageMagick 7 est disponible. Le grand changement, c'est qu'il unifie tout derrière une seule commande : . Les anciennes commandes deviennent des sous-commandes (, , etc.), même si pour la rétrocompatibilité un binaire peut continuer à se comporter comme quand on l'appelle avec une syntaxe d'IM6.\r\n\r\nPourquoi le suffixe sur Debian\r\n\r\nC'est ici que beaucoup d'articles racontent n'importe quoi. La vraie raison n'a rien à voir avec un conflit avec — je l'ai vérifié, aucun paquet système ne fournit de commande . Tu peux le vérifier toi-même : ne renvoie rien qui vienne de util-linux.\r\n\r\nLa vraie raison est plus prosaïque. Pendant des années, Debian a voulu pouvoir packager IM6 et IM7 en parallèle dans la même distribution, pour permettre une transition en douceur. Le souci, c'est que les deux versions fournissent des binaires aux mêmes noms (, , …) avec des comportements légèrement différents. Impossible de les installer côte à côte sans renommer.\r\n\r\nLa solution adoptée par les mainteneurs Debian a été d'ajouter un suffixe explicite au nom de chaque binaire :\r\nles outils d'IM6 deviennent , , etc.\r\nles outils d'IM7 deviennent et compagnie\r\n\r\nLe indique la profondeur quantique du binaire (16 bits par canal, la valeur par défaut), et le / indique la version d'ImageMagick. Les noms classiques (, ) ne sont alors que des symlinks gérés par , qui pointent vers la version active. C'est le même mécanisme que pour , , ou à une époque.\r\n\r\nCe qui change entre Debian 11, 12 et 13\r\n\r\nC'est l'autre point que la plupart des articles ratent : la situation n'est pas la même selon la version de Debian.\r\n\r\nSur Debian 11 (bullseye) et 12 (bookworm), le paquet installe IM6 (version 6.9.11.60). Tu n'as que et ses copains, et n'existe pas dans les dépôts officiels (le paquet existe mais n'est pas le défaut). C'est cette situation que décrivent la plupart des tutoriels qui traînent sur le web.\r\n\r\nSur Debian 13 (trixie), sorti en août 2025, le défaut a basculé sur IM7 (version 7.1.1.43). La commande est disponible, et est désormais un symlink vers . Tu peux le vérifier :\r\n\r\n\r\n\r\nAutrement dit, sur Trixie, si tu écris , tu appelles en réalité IM7 sous un nom d'IM6. Ça fonctionne pour la plupart des usages, mais attention : IM7 est plus strict sur l'ordre des arguments en ligne de commande (), donc certains scripts anciens peuvent grogner.\r\n\r\nCorrespondance entre les deux versions\r\nImageMagick 6 (Debian 11/12) | ImageMagick 7 (Debian 13) |\r\n---------------------------- | ------------------------- |\r\n| |\r\n| |\r\n| |\r\n| |\r\n\r\nPour les cas simples, le comportement est identique. Une commande de redimensionnement classique passe sans modification :\r\n\r\n\r\n\r\nFaut-il s'inquiéter sur un serveur en production ?\r\n\r\nSi tu administres une machine Debian 12 ou plus ancienne, non. IM6 est toujours activement maintenu pour les CVE (les correctifs sont régulièrement backportés dans les paquets stable), et la plupart des scripts existants continueront de fonctionner. Le dans le nom du binaire est juste du marquage, pas une dépréciation.\r\n\r\nSi tu migres vers Debian 13, prévois un peu de temps pour relire tes scripts. Les pièges classiques :\r\nl'ordre des options qui devient plus strict ;\r\nquelques comportements de couleur et d'alpha qui ont changé entre les deux versions, notamment sur les opérations chaînées ;\r\nle fichier qui a déménagé : devient . Si tu avais assoupli les restrictions sur les PDF ou PostScript (un grand classique), il faut reporter la modification.\r\n\r\nPour un projet PHP comme les tiens, l'extension Imagick côté PHP est sensible à cette transition : la version compilée doit correspondre à la version d'IM installée, sinon échoue. Sur Trixie, c'est IM7 qu'il faut lier.\r\n\r\nEn pratique\r\n\r\nSur Debian 11/12, utilise , , etc. C'est la convention locale, pas une version dégradée. Si tu veux malgré tout, tu peux installer le paquet (présent dans les dépôts depuis bookworm) et basculer les alternatives manuellement, mais ce n'est presque jamais nécessaire.\r\n\r\nSur Debian 13, utilise directement. La commande reste disponible par compatibilité, mais elle pointe en réalité vers IM7 — autant utiliser le nom officiel.\r\n\r\nEt dans tous les cas, évite les alias globaux qui réécrivent : ça finit toujours par mordre quelqu'un, soit toi dans six mois, soit le prochain qui reprendra le serveur."},"score":1.5,"snippet":"…e fournit de commande . Tu peux le vérifier toi-même : ne renvoie rien qui vienne de util-linux.\r\n\r\nLa vraie raison est plus prosaïque. Pendant des années, Debian a voulu pouvoir packager IM6 et IM7 en parallèle dans la…","tier":2},{"article":{"uuid":"70b5f213-db76-4072-afb6-f876fe67aaf8","slug":"non-le-compteur-linky-ne-reconnait-pas-les-voitures-electriques","title":"Non, le compteur Linky n'est pas conçu pour repérer votre voiture électrique","category":"actualité","author":"cedric@abonnel.fr","cover":"cover.jpg","published":true,"published_at":"2025-12-06 06:36","created_at":"2025-12-06 06:36:25","updated_at":"2026-05-12 01:32:46","plain":"Démêlons le vrai du faux sur une affirmation qui revient régulièrement dans les débats autour de la fiscalité des véhicules à batterie.\r\n\r\nDepuis plusieurs mois, à mesure que s'intensifient les discussions sur une éventuelle taxe kilométrique visant les voitures électriques, une affirmation refait surface avec insistance sur les réseaux sociaux et dans certains articles : « Le compteur Linky a été conçu pour reconnaître la connexion d'une voiture à batterie. » La formule est efficace, presque inquiétante, et elle nourrit l'idée d'un État qui aurait anticipé depuis longtemps la surveillance des automobilistes électriques via leur compteur domestique.\r\n\r\nLe problème, c'est que cette affirmation est tout simplement fausse. Ou plus exactement : elle confond grossièrement ce que Linky mesure réellement et ce qu'on lui prête comme capacités. Pour comprendre pourquoi, il faut revenir aux fondamentaux de ce qu'est un compteur électrique, même \"intelligent\".\r\n\r\nCe que Linky mesure réellement\r\n\r\nUn compteur Linky, c'est avant tout un instrument de mesure. Il enregistre la consommation électrique globale du logement, en temps quasi réel, avec une précision bien supérieure à celle des anciens compteurs électromécaniques. Concrètement, il relève la puissance instantanée appelée par l'ensemble de l'installation, l'intensité du courant qui circule sur les phases, ainsi que quelques paramètres plus techniques comme les harmoniques — des perturbations du signal qui renseignent sur la qualité du courant.\r\n\r\nTout cela est agrégé. Linky voit un total, pas une ventilation appareil par appareil. Quand votre four à 3 kW se met en route, le compteur enregistre une montée de 3 kW. Quand une wallbox commence à charger une voiture à 3,7 kW, il enregistre une montée de 3,7 kW. Du point de vue de Linky, ces deux événements sont parfaitement indiscernables. Il n'a aucun moyen de savoir si l'électricité part vers une plaque de cuisson, un chauffe-eau, un radiateur ou une Tesla branchée au garage.\r\n\r\nC'est une limitation fondamentale, pas un oubli de conception : un compteur de tableau électrique se situe en amont de tout, sur l'arrivée générale. Il voit ce qui entre dans la maison, point final.\r\n\r\nCe que Linky ne sait pas faire — et ne saura jamais faire en l'état\r\n\r\nContrairement à ce que certains articles laissent entendre, Linky n'a aucune capacité à identifier la nature des appareils qui se branchent. Il ne reconnaît pas une voiture électrique, ne lit pas les protocoles de communication entre une borne et un véhicule (Type 2, CCS, CHAdeMO), ne dialogue ni avec le chargeur embarqué ni avec le BMS — le système de gestion de batterie qui pilote la charge côté voiture. Aucune de ces fonctions ne figure dans ses spécifications techniques, qui sont publiques et consultables.\r\n\r\nLinky n'est ni une prise connectée capable de profiler ce qui s'y branche, ni un analyseur de charge avancé, ni un dispositif de reconnaissance d'appareils par signature. C'est un compteur de facturation, conçu pour relever votre consommation à distance et permettre à votre fournisseur d'affiner les offres tarifaires (heures creuses dynamiques, par exemple). Tout le reste relève du fantasme ou de la confusion.\r\n\r\nD'où vient cette idée alors ?\r\n\r\nLa rumeur n'est pas née de nulle part. Elle s'enracine dans deux éléments réels, mais largement mal interprétés.\r\n\r\nLe premier, c'est l'existence de la TIC, la « télé-information client ». Il s'agit d'une interface physique présente sur le compteur Linky, qui diffuse en continu certaines données : puissance souscrite, puissance instantanée appelée, index de consommation, période tarifaire en cours. Cette interface est sortante : elle envoie des informations vers l'extérieur, vers des appareils domestiques compatibles, mais elle ne reçoit rien en retour.\r\n\r\nCertaines wallbox modernes sont capables de se brancher sur cette TIC pour lire en direct la puissance déjà consommée dans le logement. Elles ajustent alors automatiquement la puissance de charge de la voiture pour ne pas faire disjoncter l'installation : si quelqu'un allume le four pendant que la voiture charge, la borne réduit son appel de courant. C'est une fonction très utile, mais elle fonctionne dans un seul sens. La wallbox lit Linky. Linky ne lit pas la wallbox, et encore moins la voiture. Beaucoup de gens, en entendant parler de wallbox \"communiquant avec Linky\", imaginent un dialogue bidirectionnel qui n'existe pas.\r\n\r\nLe second élément, c'est l'arrivée du débat sur une taxe kilométrique. Avec la baisse des recettes de TICPE liée à l'électrification du parc automobile, plusieurs think tanks et rapports parlementaires ont effectivement évoqué l'idée de taxer les kilomètres parcourus en VE, et certains ont mentionné Linky parmi les outils techniques envisageables. De cette spéculation prospective, une partie du public a tiré la conclusion que le compteur était déjà équipé pour le faire. Or il y a un gouffre entre « on pourrait peut-être un jour utiliser Linky comme brique d'un dispositif fiscal » et « Linky a été conçu pour ça ». Le premier est une hypothèse politique discutable ; le second est un raccourci qui ne correspond à aucune réalité technique.\r\n\r\nEt techniquement, ce serait possible un jour ?\r\n\r\nC'est la question intéressante, et la réponse mérite plus de nuance qu'un simple oui ou non.\r\n\r\nIl existe effectivement un champ de recherche actif, baptisé NILM pour Non-Intrusive Load Monitoring. L'idée : analyser la courbe de consommation globale d'un logement pour en déduire, par traitement du signal et apprentissage automatique, quels appareils s'y trouvent et quand ils fonctionnent. Chaque appareil aurait, en théorie, une \"signature électrique\" reconnaissable — un profil d'appel de courant au démarrage, un comportement en régime, etc.\r\n\r\nEn pratique, l'exercice est très difficile, et il l'est particulièrement pour la recharge d'un véhicule électrique. Une borne en charge se comporte comme une charge quasi constante de plusieurs kilowatts pendant plusieurs heures. C'est une signature… qui ressemble énormément à celle d'un chauffe-eau, d'un convecteur, d'un sèche-linge en cycle long ou d'un radiateur à inertie. Sans cadence de fonctionnement caractéristique, sans pics distinctifs, sans cycles courts, il n'y a rien de très spécifique à exploiter. Identifier de manière fiable qu'on a affaire à une voiture et pas à un autre appareil de puissance similaire reste un problème ouvert dans la littérature scientifique.\r\n\r\nMais surtout, et c'est le point essentiel : Linky n'embarque aucun de ces algorithmes. Il transmet des données de comptage agrégées à Enedis, qui les utilise pour la facturation et la gestion du réseau. Enedis n'a ni la mission, ni le droit légal, ni l'infrastructure pour analyser appareil par appareil les usages domestiques de ses clients. Le cadre réglementaire français, notamment via la CNIL, encadre strictement ce qui peut être fait des données de consommation, et toute exploitation plus fine — même la courbe de charge à pas fin — nécessite le consentement explicite de l'abonné.\r\n\r\nCe qu'il faut retenir\r\n\r\nLe compteur Linky mesure votre consommation globale, c'est vrai. Il permet à certaines bornes de recharge de moduler intelligemment leur puissance via la TIC, c'est vrai aussi. Mais il ne reconnaît pas, n'identifie pas et ne distingue pas une voiture électrique des autres appareils du logement. Cette capacité n'existe ni dans son matériel, ni dans son logiciel, ni dans les données qu'il transmet à Enedis.\r\n\r\nL'affirmation selon laquelle « Linky a été conçu pour reconnaître la connexion d'une voiture à batterie » mélange donc trois choses très différentes : des capacités réelles mais limitées (mesure de puissance, interface TIC sortante), des usages techniques existants côté wallbox, et des hypothèses politiques sur de futurs dispositifs fiscaux. De cette confusion naît une rumeur frappante, mais infondée.\r\n\r\nLe débat sur la fiscalité des véhicules électriques est légitime et important. Il mérite mieux que des affirmations qui n'ont pas de base technique."},"score":1.5,"snippet":"…ode tarifaire en cours. Cette interface est sortante : elle envoie des informations vers l'extérieur, vers des appareils domestiques compatibles, mais elle ne reçoit rien en retour.\r\n\r\nCertaines wallbox modernes sont cap…","tier":2},{"article":{"uuid":"5a0cced3-40d0-46bf-8501-b533f3c2608e","slug":"reparer-une-instance-uptime-kuma-installee-via-le-script-proxmox","title":"Réparer une instance Uptime Kuma installée via le script Proxmox","category":"informatique","author":"cedric@abonnel.fr","cover":"cover.svg","published":true,"published_at":"2025-11-26 08:33","created_at":"2025-11-26 08:33:49","updated_at":"2026-05-12 09:16:00","plain":"Méthode basée sur l'installation via le script communautaire :\r\ncommunity-scripts.github.io/ProxmoxVE/scripts?id=uptimekuma\r\n\r\nSi tu utilises Uptime Kuma pour monitorer ton infra, tu finiras tôt ou tard par tomber sur un de ces grands classiques : le service qui refuse de démarrer après une mise à jour, des erreurs SQLite louches dans , ou pire — l'interface qui tourne mais ne remonte plus aucun heartbeat. Dans 90 % des cas, c'est la base SQLite qui a pris cher, souvent à cause d'un arrêt brutal du conteneur LXC ou d'une migration qui s'est mal passée.\r\n\r\nAvant de paniquer et de tout réinstaller, il y a une série d'étapes à dérouler. Je les mets ici dans l'ordre, parce que l'ordre compte : on commence toujours par le moins destructif.\r\n\r\nPourquoi SQLite et pas un vrai SGBD ?\r\n\r\nPetite parenthèse pour les juniors qui se demanderaient. Uptime Kuma embarque SQLite parce que c'est une appli pensée pour être facile à déployer : pas de serveur de base à installer à côté, pas de credentials à gérer, juste un fichier sur le disque. C'est génial pour démarrer, mais ça a un défaut majeur — SQLite n'aime pas du tout être coupé en plein milieu d'une écriture. Si ton LXC tombe pendant que Kuma écrit un heartbeat, tu peux te retrouver avec un fichier corrompu. D'où l'importance de toujours arrêter proprement le service avant de toucher au fichier.\r\n\r\n1. Arrêter le service proprement\r\n\r\n\r\n\r\nC'est la première chose à faire, toujours. Tant que le service tourne, il a un verrou sur et il continue d'y écrire. Tu peux ouvrir le fichier en lecture avec malgré ce verrou, mais dès que tu veux faire un ou un , tu vas soit avoir une erreur , soit — pire — corrompre encore plus la base si tu forces.\r\n\r\nVérifie que c'est bien arrêté avant de continuer :\r\n\r\n\r\n\r\nTu dois voir . Pas , pas , pas avec un process encore en l'air.\r\n\r\n2. Aller dans le dossier de l'app\r\n\r\nLe script communautaire installe Kuma dans :\r\n\r\n\r\n\r\nDans ce dossier, ce qui nous intéresse c'est le sous-dossier . C'est là que vit tout ce qui compte : le fichier (la base), les uploads, et quelques fichiers de config. Le reste (, , etc.) c'est le code de l'application — tu peux le casser, un ou une réinstallation le remettra en place. Mais , si tu le perds, tu perds toute ta config de monitoring.\r\n\r\n3. Sauvegarder avant de toucher à quoi que ce soit\r\n\r\nRègle d'or de l'ops : on ne touche jamais à une base de données sans avoir une copie au chaud. Jamais.\r\n\r\n\r\n\r\nLe te génère un suffixe du genre . Comme ça si tu fais plusieurs interventions dans la même semaine, tu sais laquelle date de quand, et tu ne risques pas d'écraser une sauvegarde par une autre.\r\n\r\nCette copie embarque :\r\nla base elle-même\r\nles fichiers WAL (, ) si SQLite est en mode Write-Ahead Logging — c'est important de les prendre avec, sinon ta sauvegarde est incomplète\r\nles uploads et certificats si tu en as\r\n\r\nSi tu sautes cette étape et que tu te plantes à l'étape 5 ou 6, tu n'auras aucun moyen de revenir en arrière. Sérieusement, fais-le.\r\n\r\n4. Vérifier l'intégrité de la base\r\n\r\n\r\n\r\n, c'est la commande de diagnostic native de SQLite. Elle parcourt toute la base, vérifie que les index pointent bien sur les bonnes lignes, que les pages ne sont pas corrompues, que les contraintes sont respectées. Deux issues possibles :\r\n* : la base est saine sur le plan structurel. Si Kuma ne démarre toujours pas, le problème vient probablement d'une migration coincée (voir étape 5) ou du code de l'app, pas du fichier.\r\nUne liste d'erreurs : il y a de la corruption. Selon ce qui est touché, on passera à l'étape 5 ou 6.\r\n\r\nPour les juniors qui découvrent SQLite : , c'est le mot-clé que SQLite utilise pour les commandes qui ne sont pas du SQL standard — c'est spécifique à SQLite, tu ne le verras pas dans PostgreSQL ou MySQL.\r\n\r\n5. Supprimer un paramètre de migration corrompu\r\n\r\nSur certaines versions de Kuma (notamment autour des montées de version qui touchent à l'agrégation des heartbeats), il y a un bug connu : l'entrée dans la table se retrouve dans un état incohérent, et le service refuse de démarrer parce qu'il pense être au milieu d'une migration qui n'avance plus.\r\n\r\nLa fix :\r\n\r\n\r\n\r\nCe qu'on fait, c'est qu'on dit à Kuma : \"oublie où tu en étais, repars de zéro sur ce point\". Au redémarrage, il va recréer la clé proprement et relancer la migration depuis le début. C'est non destructif pour tes données de monitoring — on ne touche qu'à un drapeau d'état interne.\r\n\r\nSi ce n'est pas ton problème (clé absente ou suppression sans effet), passe à la suite.\r\n\r\n6. Solution radicale : vider la table \r\n\r\nSi la corruption est concentrée sur l'historique de monitoring (et c'est souvent le cas, parce que c'est la table où Kuma écrit le plus souvent — un INSERT toutes les 20-60 secondes par sonde, ça finit par faire du volume), tu peux la vider :\r\n\r\n\r\n\r\nÀ lire attentivement : cette commande supprime tout l'historique des sondes. Tu perds les graphes de uptime, les SLA calculés sur les 30/90/365 derniers jours, tout. En revanche :\r\ntes sondes sont conservées (table )\r\ntes utilisateurs aussi (table )\r\ntes notifications également (table )\r\nta config générale est intacte (table )\r\n\r\nC'est à utiliser uniquement quand :\r\npointe vers des problèmes sur ou ses index\r\nKuma refuse de démarrer et l'étape 5 n'a rien donné\r\nou plus simplement, ta base a tellement grossi que Kuma rame et que tu acceptes de perdre l'historique pour repartir propre\r\n\r\nTant qu'à faire, profites-en pour faire un derrière, qui va vraiment libérer l'espace disque (un seul ne récupère pas la place sur le disque, il marque juste les pages comme libres pour réutilisation) :\r\n\r\n\r\n\r\n7. Redémarrer le service\r\n\r\n\r\n\r\nEt vérifie qu'il a bien démarré :\r\n\r\n\r\n\r\nTu dois voir . Si tu vois ou si le service redémarre en boucle, ne le laisse pas dans cet état — passe directement à l'étape 8 pour comprendre pourquoi.\r\n\r\n8. Lire les logs\r\n\r\n\r\n\r\nLe cible le service, le fait du (équivalent de ) — les nouvelles lignes s'affichent en temps réel. Laisse tourner pendant deux ou trois minutes, le temps que Kuma rejoue ses migrations, recharge ses sondes, et envoie les premiers heartbeats.\r\n\r\nCe qu'il faut chercher dans les logs :\r\nerreurs SQLite : , , — ça veut dire que t'as encore un problème de fichier, voire de permissions\r\nmigrations bloquées : des messages du genre qui ne sont jamais suivis d'un \r\npermissions : , — typiquement après une intervention faite en root sur des fichiers qui doivent appartenir à un autre utilisateur. Vérifie avec que les fichiers sont bien possédés par l'user qui fait tourner le service\r\nmodules Node manquants : — ça arrive après une mise à jour qui s'est mal passée. La fix, c'est généralement de relancer dans \r\nport déjà utilisé : — tu as un autre process qui squatte le port 3001 (ou celui que tu as configuré)\r\n\r\nPour sortir du , c'est .\r\n\r\nEt après ?\r\n\r\nUne fois que Kuma tourne propre, prends cinq minutes pour mettre en place ce qui t'aurait évité d'arriver ici :\r\n\r\n1. Une sauvegarde régulière de . Un simple cron qui fait du dossier vers un autre serveur, ça suffit largement pour un Kuma perso. Pense à arrêter le service avant le tar, ou utilise qui fait un snapshot cohérent sans devoir couper Kuma.\r\n2. Un monitoring du monitoring. Oui, c'est méta. Mais si Kuma tombe, c'est lui qui t'aurait alerté de la chute de tes autres services — donc personne ne te prévient. Un check externe (UptimeRobot gratuit, healthchecks.io, ou un autre Kuma sur une autre machine) qui ping ton instance, c'est cinq minutes à mettre en place.\r\n3. Garder ta sauvegarde au moins une semaine** avant de la supprimer. Au cas où un effet de bord apparaîtrait quelques jours plus tard.\r\n\r\nEt voilà. Avec ces huit étapes, tu couvres 95 % des cas de Kuma cassé. Pour les 5 % restants — typiquement quand le LXC lui-même a un souci de filesystem — c'est une autre histoire, et il faudra sortir l'artillerie côté Proxmox."},"score":1.5,"snippet":"…mps que Kuma rejoue ses migrations, recharge ses sondes, et envoie les premiers heartbeats.\r\n\r\nCe qu'il faut chercher dans les logs :\r\nerreurs SQLite : , , — ça veut dire que t'as encore un problème de fichier, voire de…","tier":2},{"article":{"uuid":"aba42f8a-41ca-4c5f-9a9d-ba3760e10d0f","slug":"esptool","title":"esptool","category":"Électronique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2025-11-19 11:43:45","created_at":"2025-11-19 11:43:45","updated_at":"2025-11-19 11:43:45","plain":"esptool est un outil en ligne de commande développé par Espressif (le fabricant des puces ESP32, ESP8266, etc.) qui sert à flasher, programmer et interagir avec les microcontrôleurs ESP via leur port série (UART).\nEspressif recommande d’installer via si possible. [^note: https://docs.espressif.com/projects/esptool/en/latest/esp32/installation.html]\nIls recommandent fortement d’utiliser un virtual environment (venv) pour éviter de polluer l’environnement Python système. Installation\n1. Installer le package et si ce n’est pas déjà fait : 2. Crée un dans votre dossier (par exemple ) : Utilisation\n1. Activer le : 2. Installer dans le : (si vous l'avez effectué dans une utilisation précédente, inutile de le refaire maintenant). 3. Vérifier que ça marche : Ce qui donne le résultat suivant : 4. Quand vous avez fini d’utiliser , vous pouvez désactiver le :"},"score":1.5,"snippet":"…tion.html]\nIls recommandent fortement d’utiliser un virtual environment (venv) pour éviter de polluer l’environnement Python système. Installation\n1. Installer le package et si ce n’est pas déjà fait : 2. Crée un dans…","tier":2},{"article":{"uuid":"5059c1e2-f3e6-406f-9595-7133bb835cdb","slug":"petits-colis-grands-impots-quand-la-taxation-punit-les-francais-sans-relancer-l-industrie","title":"Petits colis, grands impôts : quand la taxation punit les Français sans relancer l’industrie","category":"actualité","author":"cedric@abonnel.fr","cover":"cover.svg","published":true,"published_at":"2025-11-14 00:55","created_at":"2025-11-14 00:55:43","updated_at":"2026-05-12 08:59:31","plain":"Jusqu’à maintenant, les petits colis importés de l’étranger passaient presque inaperçus dans les foyers français. Shein, AliExpress, Temu… commander en Asie était simple et peu coûteux, grâce à l’exonération de droits de douane sur les produits d’une valeur inférieure à 150 euros. Mais depuis le 13 novembre 2025, ce statu quo est remis en cause : les ministres des Finances de l’Union européenne ont voté la suppression de cette exonération. Dès le premier trimestre 2026, chaque petit colis pourrait être taxé et soumis à des frais de traitement supplémentaires.\r\n\r\nÀ Bruxelles, on salue cette décision comme un moyen de protéger les consommateurs européens et le marché intérieur. La France, en particulier, s’en félicite, estimant qu’il s’agit d’une avancée pour la sécurité des produits et la souveraineté économique de l’UE. Mais pour beaucoup de Français, cette mesure ne fait qu’aggraver un problème de fond.\r\n\r\nCar la question n’est pas simplement celle des colis asiatiques. Depuis trente ans, la France est passée d’une puissance industrielle comparable à la moyenne européenne à un “nain industriel” avec seulement 7 % du PIB provenant de l’industrie, alors que nos voisins restent autour de 20 % ou plus. Les consommateurs se tournent vers l’Asie parce que les produits français sont trop chers, alourdis par des taxes, charges et coûts de production élevés. Taxer les colis importés aujourd’hui revient à punir les consommateurs pour un problème que nos politiques n’ont pas su résoudre : la perte de compétitivité de l’industrie française.\r\n\r\nPour ceux qui vivent près des frontières ou voyagent dans le sud de l’Europe, la différence est frappante. En Catalogne ou au Portugal, il est possible d’acheter des produits locaux compétitifs : bricolage, jardinage, vêtements ou matériel de pêche, fabriqués en Europe et à des prix abordables. La preuve qu’une production locale forte et des prix raisonnables sont possibles, quand la fiscalité et la réglementation ne pénalisent pas le producteur.\r\n\r\nCette nouvelle taxe sur les petits colis ne relancera pas l’industrie française, ni le commerce de centre-ville. Elle risque surtout de réduire le pouvoir d’achat des Français, tout en alimentant des caisses de l’État dont l’argent sera souvent gaspillé avant même d’être utile à l’économie réelle.\r\n\r\nEn résumé, ce n’est pas la faute des consommateurs qui cherchent le meilleur prix à l’étranger. C’est le résultat d’une politique fiscale et industrielle défaillante. Tant que l’État ne s’attaquera pas aux causes structurelles — charges trop élevées, fiscalité excessive, désindustrialisation — toutes les mesures de taxation des importations resteront des pansements sur une jambe de bois, au détriment des citoyens."},"score":1.5,"snippet":"…urope et à des prix abordables. La preuve qu’une production locale forte et des prix raisonnables sont possibles, quand la fiscalité et la réglementation ne pénalisent pas le producteur.\r\n\r\nCette nouvelle taxe sur les pe…","tier":2},{"article":{"uuid":"ddb53aae-7214-4e3c-8af5-e42da60d8429","slug":"kobo-elipsa-2e-le-cahier-a4-numerique-qu-on-attendait-a-quelques-details-pres","title":"Kobo Elipsa 2E : le cahier A4 numérique qu'on attendait, à quelques détails près","category":"loisirs","author":"cedric@abonnel.fr","cover":"cover.jpg","published":true,"published_at":"2025-11-09 12:07","created_at":"2025-11-09 12:07:00","updated_at":"2026-05-12 01:43:39","plain":"Une liseuse qui n'en est plus tout à fait une\r\n\r\nPendant longtemps, le marché des liseuses s'est tenu à une règle non écrite : une liseuse, c'est petit, c'est noir et blanc, c'est fait pour lire des romans dans le métro. Les tentatives de sortir de ce cadre — Sony DPT-RP1, Onyx Boox, ReMarkable — restaient soit confidentielles, soit positionnées comme des outils de prise de notes pure, sans véritable identité de liseuse. Avec l'Elipsa 2E, Kobo assume frontalement l'hybridation. Ce n'est pas une liseuse à laquelle on a ajouté un stylet ; c'est un objet pensé dès le départ comme un cahier numérique qui sait aussi lire des livres.\r\n\r\nL'engin est imposant. Écran E-Ink Carta 1200 de 10,3 pouces, résolution 1404 × 1872 pour 227 ppi, processeur dual-core 2 GHz et 32 Go de stockage. Côté tarif, TechRadar la situe autour de 399 dollars ou 349 livres, ce qui la place dans une catégorie où on n'achète plus sur un coup de tête : à ce prix, on attend un usage précis, pas un gadget de chevet.\r\n\r\nLe format change tout\r\n\r\nTenir l'Elipsa 2E pour la première fois, c'est comprendre instantanément à qui elle parle. À 10,3 pouces, on est très proche d'une feuille A5, voire d'un cahier d'étudiant — un format qui colle naturellement aux PDF et aux documents grand format. Et c'est là que tout se joue.\r\n\r\nQuiconque a déjà tenté de lire un PDF technique sur une liseuse 6 ou 7 pouces sait à quel point l'exercice est frustrant : on zoome, on déplace, on perd la mise en page, les schémas explosent en morceaux. Avec l'Elipsa 2E, un PDF A4 passe à l'écran à une taille parfaitement lisible, sans gymnastique. Les manuels techniques, les articles scientifiques, les supports de cours, les rapports d'entreprise : tout ce qui était pénible devient confortable. C'est moins spectaculaire que la couleur d'une Libra Colour, mais sur un usage professionnel ou étudiant intensif, le format change littéralement la nature de l'objet.\r\n\r\nLe stylet, atout central — mais imparfait\r\n\r\nLe stylet est inclus dans la boîte. Détail qui n'a l'air de rien mais qui mérite d'être souligné, parce que l'usage prévu est clairement l'annotation directe sur les e-books et la prise de notes manuscrites. Pas de Kobo Stylus 2 à racheter en option, pas de configuration séparée : on déballe, on écrit.\r\n\r\nL'utilisation est exactement ce qu'on en attend. On peut surligner dans n'importe quel ePub, écrire dans la marge, créer des carnets vierges pour des notes manuscrites, dessiner des schémas à main levée. Tout ce qu'on griffonne reste dans le fichier, et — point essentiel — peut être ressorti ensuite. Le système prend en charge ePub, PDF, et accepte sans broncher les fichiers déposés par USB-C, Wi-Fi ou Bluetooth.\r\n\r\nMais il faut être honnête : la sensation d'écriture n'est pas au niveau de ce que proposent les meilleurs concurrents. eWritable est même cinglant, qualifiant l'expérience tactile d'« horrible » et pointant le choix par Kobo du protocole Microsoft Pen Protocol (MPP 2.0) plutôt que la technologie Wacom qui équipe le ReMarkable 2 et reste la référence du secteur. Concrètement, qu'est-ce que ça veut dire ? Que la pointe glisse un peu trop sur le verre, qu'il manque cette résistance subtile qui fait penser au crayon sur papier, et qu'à très haute vitesse d'écriture la latence devient perceptible. Pour quelqu'un qui annote ses lectures, surligne, prend des notes ponctuelles, c'est largement suffisant. Pour quelqu'un qui veut remplacer son carnet Moleskine en cours magistral et écrire trois pages d'affilée à vitesse normale, ce sera frustrant.\r\n\r\nC'est une différence de positionnement, pas un défaut technique grave : l'Elipsa 2E est d'abord une liseuse qui annote, pas un cahier qui sait aussi lire.\r\n\r\nL'export des annotations, ce qui fait vraiment la différence\r\n\r\nC'est probablement le point sur lequel Kobo creuse l'écart avec ses concurrents, et notamment avec le Kindle Scribe. Le manuel officiel explique qu'on peut exporter ses annotations sous forme de fichier .txt et le récupérer sur son ordinateur, mais en réalité l'écosystème va plus loin : les PDF annotés ressortent avec les annotations intégrées à la page, prêts à être imprimés ou partagés.\r\n\r\nCe flux, en apparence banal, change tout pour qui travaille sérieusement avec ses lectures. Un étudiant peut annoter ses cours et imprimer la version surlignée pour les révisions. Un enseignant peut corriger des copies en PDF et renvoyer le fichier annoté à l'élève. Un consultant peut lire un rapport, le commenter en marge, le réintégrer dans sa documentation projet. Aucune annotation perdue, aucune resaisie. Là où Kindle Scribe limite encore largement l'export de ses annotations, Kobo joue le jeu de l'ouverture.\r\n\r\nLe talon d'Achille : l'entrée des fichiers\r\n\r\nC'est ici que l'Elipsa 2E montre ses limites les plus tangibles, et il faut le savoir avant d'acheter. Contrairement à Kindle, il n'existe pas d'adresse e-mail officielle « envoyer à ma liseuse » : il faut transférer les fichiers manuellement, par USB ou via un service tiers comme Dropbox. Pour qui s'envoie régulièrement des articles ou des e-books depuis son ordinateur ou son téléphone, ce manque crée une vraie friction quotidienne.\r\n\r\nLes workarounds existent, à condition d'accepter de mettre un peu les mains dans le moteur. Un projet open source baptisé KoboMail propose un système d'envoi par e-mail pour certaines Kobo, et plus intéressant encore, un daemon Nextcloud-Kobo permet de synchroniser automatiquement un dossier Nextcloud via WebDAV vers la liseuse. C'est ouvert, c'est élégant, ça respecte le principe d'auto-hébergement — mais ce n'est pas du plug and play. Il faut un serveur Nextcloud opérationnel, savoir configurer une connexion WebDAV, et accepter que l'installation se fasse dans le dossier du système Kobo. Bref, c'est superbe pour qui maîtrise déjà son infrastructure ; c'est rédhibitoire pour qui veut juste une solution clé en main.\r\n\r\nSur ce point précis, Kobo et Amazon proposent deux philosophies opposées : le confort immédiat d'un écosystème fermé contre la liberté d'un écosystème ouvert mais exigeant. À vous de voir où vous vous situez.\r\n\r\nPour qui ce produit a-t-il du sens ?\r\n\r\nL'Elipsa 2E est faite pour vous si vous lisez beaucoup de documents grand format — PDF techniques, cours universitaires, rapports professionnels, partitions — et si l'idée d'annoter ces documents fait partie intégrante de votre flux de travail. Elle est faite pour vous si vous voulez un objet unique au lieu de jongler entre une liseuse classique et un cahier papier. Elle est faite pour vous, aussi, si vous avez déjà (ou êtes prêt à monter) un Nextcloud ou un Dropbox pour synchroniser vos fichiers proprement.\r\n\r\nElle ne l'est pas si votre priorité est la prise de notes manuscrite intensive et fluide : sur ce terrain, un ReMarkable 2 ou un Supernote restent supérieurs. Elle ne l'est pas non plus si vous attendez le confort de l'envoi par e-mail à la Kindle, ou si l'idée d'installer un plugin communautaire pour combler un manque officiel vous donne de l'urticaire. Et elle est sans doute disproportionnée si vous lisez essentiellement des romans : à ce moment-là, une Clara BW à 150 € vous donnera plus de plaisir, dans un format de poche.\r\n\r\nMon avis\r\n\r\nL'Elipsa 2E est un produit ambitieux qui réussit l'essentiel et trébuche sur quelques détails finalement révélateurs. L'essentiel, c'est le format, la qualité de l'écran, l'export des annotations, l'ouverture du système et l'autonomie typique d'une liseuse — autant de raisons qui en font la meilleure proposition du marché pour un usage documentaire sérieux à ce niveau de prix.\r\n\r\nLes détails, ce sont le ressenti perfectible du stylet et l'absence d'un système d'entrée des fichiers digne de 2026. Kobo aurait pu intégrer nativement WebDAV — ça lui coûterait à peu près rien — et opter pour une dalle Wacom — ça lui coûterait plus cher mais lui ferait gagner une catégorie entière d'utilisateurs. À la place, on hérite d'un produit excellent à 80 %, et qui demande qu'on accepte ses zones grises sur les 20 % restants.\r\n\r\nPour qui cherche un véritable cahier A4 numérique sans basculer dans une tablette Android Onyx — plus chère, plus complexe, et au confort de lecture moindre — l'Elipsa 2E reste, à mes yeux, le meilleur compromis du moment. Pas le produit parfait. Le meilleur compromis. Ce n'est pas la même chose, et c'est très bien aussi."},"score":1.5,"snippet":"…évisions. Un enseignant peut corriger des copies en PDF et renvoyer le fichier annoté à l'élève. Un consultant peut lire un rapport, le commenter en marge, le réintégrer dans sa documentation projet. Aucune annotation pe…","tier":2},{"article":{"uuid":"7af79dd4-67d9-4516-a67b-06c2e569eaea","slug":"test-kobo-libra-colour","title":"Kobo Libra Colour : la liseuse qui voulait devenir un carnet","category":"loisirs","author":"cedric@abonnel.fr","cover":"cover.jpg","published":true,"published_at":"2025-11-09 12:03","created_at":"2025-11-09 12:03:56","updated_at":"2026-05-12 01:41:02","plain":"Prix indicatif : environ 229 €. Écran 7 pouces E-Ink Kaleido 3 couleur, stylet en option (Kobo Stylus 2).\r\n\r\nUne catégorie qui s'était endormie\r\n\r\nCela fait presque dix ans que les liseuses se ressemblent. Un écran noir et blanc, un éclairage frontal réglable, une autonomie de plusieurs semaines, et basta. Le progrès s'est concentré sur des détails : un peu plus de contraste, un peu moins de poids, un éclairage légèrement plus chaud le soir. Les constructeurs avaient apparemment décidé qu'un livre numérique devait imiter le plus fidèlement possible un livre de poche, et qu'il n'y avait pas grand-chose d'autre à inventer.\r\n\r\nLa Kobo Libra Colour prend l'exact contre-pied de cette prudence. Elle est la première Kobo de 7 pouces à embarquer le nouvel écran E-Ink Kaleido 3, qui affiche enfin de la couleur sans renoncer au confort de la lecture sur encre électronique. Et surtout, elle est compatible avec un stylet, le Kobo Stylus 2, vendu séparément. La promesse tient en trois verbes : lire, annoter, prendre des notes. Sans devenir une tablette, sans bouffer la batterie en quelques heures, sans bombarder l'utilisateur de notifications.\r\n\r\nEn main, l'objet inspire confiance. 199 grammes seulement, un poids très bien réparti, et cette poignée latérale typique de la gamme Libra qui change vraiment la prise — on tient la liseuse à une main pendant des heures sans crispation, le pouce posé sur les deux boutons physiques de tournage de page. Détail qui en dit long sur la philosophie du produit : ces boutons sont là pour qu'on n'ait pas besoin de toucher l'écran. La liseuse veut rester une liseuse.\r\n\r\nUn écran couleur qui sert enfin à quelque chose\r\n\r\nLa technologie Kaleido 3 mérite quelques mots d'explication, parce qu'elle est souvent mal comprise. Ce n'est pas un écran LCD comme sur une tablette : il n'y a pas de rétroéclairage direct, donc pas d'émission lumineuse agressive dans les yeux, et la lisibilité reste excellente en plein soleil — là où n'importe quel iPad devient inutilisable. Le principe est celui de l'encre électronique classique, surmonté d'une fine couche de filtres colorés qui restituent environ 4 000 couleurs.\r\n\r\nLa contrepartie, il faut la connaître avant d'acheter : la résolution en couleur est nettement plus basse qu'en noir et blanc, et on perçoit légèrement la trame des filtres si on cherche le défaut. Les rouges sont un peu ternes, les bleus corrects, les verts inégaux. Personne ne lira de bande dessinée Marvel sur cet écran en se disant \"c'est aussi beau qu'imprimé\".\r\n\r\nMais c'est passer à côté de l'essentiel. Pour la première fois, la couleur sur une liseuse n'est pas un gadget : c'est un outil. Les cartes deviennent vraiment lisibles, les schémas techniques retrouvent leur logique de codage couleur, les manuels gagnent en clarté. Et surtout, le surlignage — jaune, rose, vert, bleu — fonctionne comme sur papier. On peut enfin différencier ce qu'on veut retenir, ce qu'on conteste, ce qu'on veut creuser. C'est bête à dire, mais après des années à surligner en \"gris foncé\" sur fond gris clair, l'effet est libérateur.\r\n\r\nLe stylet, où la liseuse change de nature\r\n\r\nC'est avec le Kobo Stylus 2 que la Libra Colour révèle ce qu'elle a vraiment dans le ventre. Vendu en option (et c'est dommage, à ce prix-là), il transforme l'usage. On peut annoter directement dans les PDF et les ePub, surligner à la main plutôt qu'avec une sélection à deux doigts, écrire dans des carnets intégrés au système, et synchroniser tout ça via Dropbox ou par câble USB.\r\n\r\nLe point qui fait la différence, et qu'on cherche en vain sur la plupart des concurrents : les PDF annotés sont exportables tels quels. Quand on récupère son fichier, les coups de surligneur, les notes manuscrites dans la marge, les flèches griffonnées — tout est intégré à la page comme si on l'avait fait au stylo. On en sort un PDF qu'on peut imprimer, archiver, partager. Pour un étudiant qui annote ses cours, un enseignant qui corrige des copies au format numérique, un professionnel qui relit des dossiers : c'est exactement ce qu'on attendait depuis des années.\r\n\r\nFaut-il s'attendre à la sensation d'une tablette graphique haut de gamme ? Non. La latence est faible mais perceptible, le frottement du stylet sur le verre n'a pas la résistance d'un Remarkable 2 (qui reste la référence pour le ressenti \"crayon sur papier\"). Mais c'est crédible, fluide, suffisant pour écrire pendant une heure sans frustration.\r\n\r\nCe qui en fait toujours une excellente liseuse, par ailleurs\r\n\r\nOn l'oublierait presque tellement le stylet capte l'attention, mais la Libra Colour reste avant tout une liseuse Kobo, c'est-à-dire ce que la marque fait de mieux. Lecture native des fichiers ePub sans passer par une conversion absurde, intégration de Pocket pour envoyer en un clic les articles longs du web vers la liseuse, librairie intégrée qui inclut désormais les BD en couleur achetables directement.\r\n\r\nEt — point essentiel pour qui se méfie des écosystèmes fermés — aucun verrou Amazon. On charge ses propres fichiers sans gymnastique, on installe KOReader si on veut un lecteur alternatif, on lit ses bibliothèques publiques via Overdrive. La liseuse appartient à son propriétaire.\r\n\r\nLe contraste en noir et blanc reste très correct malgré la couche de filtres couleur — légèrement inférieur à une liseuse pure N&B comme la Clara BW, mais largement suffisant pour la lecture confortable. L'éclairage frontal est homogène, sans points chauds, et le ConfortLight PRO permet de glisser progressivement vers un ton ambré le soir, ce qui change réellement quelque chose pour la lecture nocturne.\r\n\r\nAutonomie : il faut être honnête\r\n\r\nC'est sans doute le point où il faut tempérer l'enthousiasme. Avec un usage mixte lecture et annotations, en gardant le Wi-Fi actif, on tient entre une et trois semaines selon l'intensité. C'est moins qu'une Clara classique qui peut atteindre six semaines, et bien plus qu'un iPad ou un Remarkable. La couleur et le stylet ont un coût énergétique, et la Libra ne fait pas de miracle. Cela reste totalement cohérent avec l'usage d'une liseuse — on ne la branche pas tous les soirs — mais ne tablez pas sur le mois entier en voyage si vous comptez prendre des notes copieuses.\r\n\r\nLe flux d'export, en pratique\r\n\r\nQuand on annote un PDF, le récupérer est simple : soit on connecte la Kobo à un ordinateur en USB et on copie le fichier exporté, soit on laisse la synchronisation Dropbox faire le travail en arrière-plan. Il n'y a pas d'impression directe depuis la liseuse — il faut passer par un ordinateur — mais aucune annotation n'est perdue dans la conversion. C'est un workflow qui demande deux clics, pas un projet en soi.\r\n\r\nComment elle se situe dans la gamme\r\n\r\nQuelques repères pour situer la Libra Colour face aux alternatives qu'on hésite souvent à comparer.\r\nModèle | Écran | Stylet | Export PDF annoté | À qui ça s'adresse |\r\n---|---|---|---|---|\r\nKobo Libra Colour | 7\" couleur Kaleido 3 | En option | Oui | Lecture quotidienne + annotations occasionnelles + couleur utile |\r\nKobo Sage | 8\" N&B | En option | Oui | Prise de notes plus sérieuse, format intermédiaire |\r\nKobo Elipsa 2E | 10,3\" N&B | Inclus | Oui | Remplacer un classeur A4, usage intensif des PDF techniques |\r\nKindle Scribe | 10,2\" N&B | Inclus | Export limité | Lecteurs déjà installés dans l'écosystème Kindle |\r\n\r\nPour qui veut une vraie planche à dessin numérique, l'Elipsa 2E reste plus indiquée — son grand format change la donne pour les schémas et les documents A4. Pour qui veut juste lire en N&B pour un budget contenu, la Clara BW suffit largement. Mais sur le créneau \"je lis beaucoup, j'aimerais annoter parfois, et la couleur me servirait pour mes manuels ou mes BD\", la Libra Colour est aujourd'hui la proposition la plus équilibrée du marché.\r\n\r\nMon avis\r\n\r\nLa Kobo Libra Colour n'est pas la meilleure liseuse possible dans chaque catégorie prise séparément. L'Elipsa 2E reste plus à l'aise sur les PDF complexes, la Clara BW pèse moins lourd dans la poche et coûte moins cher, le Remarkable 2 offre une meilleure sensation d'écriture. Mais c'est précisément ce qui fait sa force : c'est la liseuse qui en fait assez dans plusieurs domaines pour ne pas demander d'en posséder deux.\r\n\r\nPendant des années, on a dû choisir entre lire et annoter, entre voir des cartes en couleur et garder une bonne autonomie, entre payer 350 € pour une grande tablette E-Ink ou se contenter d'un noir et blanc rigide. La Libra Colour est le premier produit, à ma connaissance, à proposer un compromis qui ne ressemble pas à un compromis. À 229 €, ou autour de 290 € avec le stylet, c'est une vraie proposition de valeur pour qui lit beaucoup et travaille un peu sur ce qu'il lit.\r\n\r\nLa meilleure liseuse \"papier numérique\" polyvalente du moment, et de loin."},"score":1.5,"snippet":"Prix indicatif : environ 229 €. Écran 7 pouces E-Ink Kaleido 3 couleur, stylet en option (Kobo Stylus 2).\r\n\r\nUne catégorie qui s'était endormie\r\n\r\nCela fait presque dix ans que les liseuses se ressemblent. Un écran noir …","tier":2},{"article":{"uuid":"e739bf3c-b380-4567-90aa-32da12f56bc5","slug":"50g-pon-la-fibre-optique-du-futur","title":"50G-PON : la fibre optique du futur","category":"télécom","author":"cedric@abonnel.fr","cover":"cover.jpg","published":true,"published_at":"2025-11-05 08:48","created_at":"2025-11-05 08:48:01","updated_at":"2026-05-11 23:54:38","plain":"La fibre optique a déjà remplacé le cuivre dans la plupart des déploiements neufs, et les opérateurs ont passé la dernière décennie à généraliser le GPON puis le XGS-PON. Mais la course aux débits ne s'arrête pas là. La prochaine marche s'appelle le 50G-PON, et elle est en train de passer du statut de standard sur le papier à celui de technologie qu'on commence à voir en démonstration chez les équipementiers. Voilà ce qu'il faut en retenir.\r\n\r\nCe que c'est\r\n\r\nLe 50G-PON est la dernière génération de réseau optique passif normalisée par l'ITU-T sous la référence G.9804. Comme ses prédécesseurs, il repose sur le principe d'une fibre unique partagée entre plusieurs abonnés via des splitters passifs — pas d'électronique active entre le central et le client. Ce qui change, c'est le débit : 50 Gbit/s symétriques sur une seule longueur d'onde.\r\n\r\nPour situer la techno dans sa famille :\r\nGPON : 2,5 Gbit/s descendant / 1,25 Gbit/s montant — la base du déploiement résidentiel actuel\r\nXGS-PON : 10 Gbit/s symétriques — la génération qui prend le relais aujourd'hui\r\nNG-PON2 : 40 Gbit/s, obtenus en agrégeant quatre canaux de 10 Gbit/s sur des longueurs d'onde différentes\r\n50G-PON : 50 Gbit/s symétriques sur une longueur d'onde unique\r\n\r\nLe point intéressant, c'est précisément ce dernier détail. Là où NG-PON2 multipliait les canaux pour atteindre 40 Gbit/s — au prix d'une électronique plus complexe et plus chère — le 50G-PON tape les 50 Gbit/s sur une seule porteuse. C'est techniquement plus exigeant côté composants optiques, mais beaucoup plus simple à industrialiser et à exploiter.\r\n\r\nComment ça marche\r\n\r\nL'architecture reste celle du PON classique, ce qui est un choix volontaire pour garantir la coexistence avec les générations précédentes :\r\nL'OLT (Optical Line Terminal), côté opérateur, pilote le réseau et émet le signal.\r\nLes splitters passifs dupliquent le signal lumineux pour le distribuer, sans alimentation ni amplification.\r\nL'ONT (Optical Network Terminal), chez l'abonné, fait la conversion optique-électrique.\r\n\r\nL'astuce du 50G-PON, c'est qu'il utilise des longueurs d'onde différentes de celles du GPON et du XGS-PON. Concrètement, les trois technologies peuvent cohabiter sur la même fibre physique : un opérateur peut continuer à servir ses abonnés GPON existants tout en branchant des nouveaux clients en XGS-PON ou en 50G-PON, sans retoucher l'infrastructure passive. C'est un point décisif pour le déploiement, parce qu'il évite la rupture de service et étale l'investissement.\r\n\r\nPourquoi ça compte\r\n\r\nÀ 50 Gbit/s symétriques, on n'est plus dans la logique du « plus de débit pour le particulier ». L'enjeu est ailleurs, et il est triple.\r\n\r\nD'abord, les usages professionnels qui tournent en limite sur XGS-PON. Sauvegarde cloud à l'échelle d'une entreprise, synchronisation inter-sites, stockage partagé, environnements de travail virtualisés : ces flux ont besoin de débit symétrique et constant, et 10 Gbit/s commencent à serrer dans certains contextes.\r\n\r\nEnsuite, le transport pour le mobile. Une antenne 5G — et a fortiori 6G — doit être raccordée au cœur de réseau par un lien capable d'encaisser le trafic agrégé de tous les utilisateurs qu'elle sert. C'est ce qu'on appelle le fronthaul ou le backhaul selon l'architecture. Le 50G-PON est un candidat sérieux pour ce rôle, parce qu'il offre les bons débits avec une infrastructure mutualisable et peu coûteuse à exploiter.\r\n\r\nEnfin, l'évolutivité. La même fibre, le même splitter, le même chemin physique pourront porter le 50G-PON aujourd'hui et la génération suivante — déjà en discussion à l'ITU-T sous le nom de 100G-PON — demain. C'est ce qui justifie qu'on déploie du 50G-PON même si tous les abonnés n'en ont pas l'usage immédiat : ce n'est pas l'équipement client qui coûte cher, c'est la fibre dans la rue, et elle est déjà là.\r\n\r\nCe qui freine encore\r\n\r\nLe 50G-PON existe, il est standardisé, et plusieurs équipementiers proposent du matériel compatible. Pour autant, le déploiement à grande échelle prendra du temps, pour quelques raisons concrètes.\r\n\r\nLe coût des équipements reste élevé. Les composants optiques capables de moduler proprement à 50 Gbit/s sur une seule porteuse sont à un stade industriel récent, et les volumes ne sont pas encore là pour faire baisser les prix. Pour la majorité des foyers, le XGS-PON couvre largement les besoins et coûte beaucoup moins cher.\r\n\r\nLa consommation énergétique est plus importante que sur les générations précédentes. Ce n'est pas rédhibitoire, mais ça compte dans le bilan d'exploitation, surtout à l'échelle d'un opérateur.\r\n\r\nEnfin, le marché n'est pas pressé. Les box résidentielles actuelles n'exploiteraient même pas 10 Gbit/s symétriques, et les usages qui justifient le 50G-PON sont aujourd'hui concentrés sur des segments précis — entreprises, datacenters, opérateurs mobiles. Le déploiement va donc se faire par couches, en commençant par les zones où la demande existe vraiment.\r\n\r\nEn résumé\r\nTechnologie | Débit symétrique | Cible principale |\r\n---|---|---|\r\nGPON | 1 Gbit/s | Résidentiel actuel |\r\nXGS-PON | 10 Gbit/s | Résidentiel haut de gamme, PME |\r\nNG-PON2 | 40 Gbit/s (4 × 10) | Niche, peu déployé |\r\n50G-PON | 50 Gbit/s | Entreprises, datacenters, transport mobile |\r\n\r\nLe 50G-PON n'est pas la techno qui va arriver dans les box grand public dans les six mois. C'est la brique d'infrastructure qui prépare la décennie qui vient : celle qui permettra aux opérateurs de répondre à la fois aux besoins des entreprises, au raccordement des antennes mobiles de prochaine génération, et à la montée en puissance progressive du résidentiel — sans toucher à la fibre déjà tirée. Et c'est exactement ce qu'on attend d'une bonne infrastructure : qu'elle se mette en place sans bruit, et qu'elle dure."},"score":1.5,"snippet":"…entreprise, synchronisation inter-sites, stockage partagé, environnements de travail virtualisés : ces flux ont besoin de débit symétrique et constant, et 10 Gbit/s commencent à serrer dans certains contextes.\r\n\r\nEnsuit…","tier":2},{"article":{"uuid":"4f193d70-d236-42d7-aedb-58631cd15002","slug":"la-6g-au-dela-de-la-5g-promesses-et-interrogations","title":"La 6G : au-delà de la 5G, promesses et interrogations","category":"télécom","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2025-11-05 08:46:51","created_at":"2025-11-05 08:46:51","updated_at":"2025-11-05 08:46:51","plain":"Alors que la 5G peine encore à s’imposer partout, la recherche sur la 6G est déjà bien avancée. Les laboratoires, opérateurs et gouvernements annoncent des innovations spectaculaires : débits colossaux, latence quasi nulle et intégration massive de l’intelligence artificielle dans le réseau. Mais derrière le buzz médiatique se cachent de grandes incertitudes techniques et économiques.\r\n--\r\n\r\nPromesses technologiques\r\n\r\n Débits théoriques : jusqu’à 1 Tbit/s dans des conditions expérimentales (vs 10 Gbit/s max pour la 5G).\r\n Latence ultra-faible : <1 ms, visant les applications critiques comme chirurgie à distance, véhicules autonomes coordonnés en temps réel et réalité immersive totale.\r\n Fréquences : exploitation des ondes térahertz (THz), beaucoup plus hautes que les mmWave 5G, offrant un spectre presque illimité mais avec des contraintes sévères de portée et pénétration.\r\n Intelligence embarquée : réseaux capables d’auto-optimisation grâce à l’IA et au machine learning pour gérer la congestion, l’énergie et les allocations de spectre en temps réel.\r\n Intégration multi-domaines : fusion des communications terrestres, satellites, drones et IoT pour créer un réseau ubiquitaire.\r\n--\r\n\r\nDéfis techniques\r\n\r\n1. Propagation et portée : les ondes THz sont extrêmement sensibles aux obstacles et à l’humidité, nécessitant une densité d’antennes inimaginable à l’échelle mondiale.\r\n2. Consommation énergétique : déployer des antennes THz ultra-puissantes et gérer des réseaux IA en temps réel risque d’augmenter considérablement la consommation électrique.\r\n3. Standardisation complexe : contrairement à la 5G qui a hérité d’une partie de l’infrastructure 4G, la 6G nécessitera des investissements massifs et de nouveaux protocoles.\r\n4. Coût et adoption : le coût pour les opérateurs et la nécessité de renouveler les équipements pour les utilisateurs seront un frein majeur, comme ce fut le cas pour la 3G et la 5G.\r\n--\r\n\r\nUsages envisagés\r\n\r\n Réalité mixte et immersive : AR/VR ultra-réaliste, métavers en temps réel, téléprésence totale.\r\n Téléchirurgie et véhicules autonomes coordonnés : applications critiques nécessitant une latence quasi nulle.\r\n IoT massif : milliards d’objets connectés, capteurs intelligents, villes et infrastructures “autonomes”.\r\n Communication spatiale et aérienne : drones, satellites et aéronefs connectés en temps réel.\r\n--\r\n\r\nCritique et perspective\r\n\r\nMême si les promesses de la 6G sont spectaculaires, plusieurs points restent préoccupants :\r\n\r\n La 6G est encore largement théorique : aucune application grand public n’est prévue avant 2030.\r\n Comme pour la 5G, les opérateurs pourraient utiliser la 6G pour inciter la migration depuis la 5G, en bridant certaines fonctionnalités sur la génération précédente.\r\n Le discours marketing risque de créer une confusion encore plus grande pour les utilisateurs : débits maximaux, latence minimale et réseaux intelligents seront très localisés et expérimentaux, bien loin d’une couverture nationale.\r\n--\r\n\r\nSchéma suggéré : évolution 3G → 4G → 5G → 6G\r\n--\r\n\r\nLa 6G s’annonce comme l’avenir des réseaux mobiles, mais elle illustre encore la stratégie récurrente des opérateurs :\r\n\r\n1. Créer une promesse technologique spectaculaire.\r\n2. Déployer progressivement pour ne pas perturber l’infrastructure existante.\r\n3. Inciter subtilement les utilisateurs à migrer vers la nouvelle génération, souvent via des limitations sur les générations précédentes.\r\nComme pour la 3G bridée puis la 4G et la 5G, la 6G risque d’être autant un outil de marketing et de stratégie économique qu’une véritable révolution immédiate pour le consommateur."},"score":1.5,"snippet":"…eur, comme ce fut le cas pour la 3G et la 5G.\r\n--\r\n\r\nUsages envisagés\r\n\r\n Réalité mixte et immersive : AR/VR ultra-réaliste, métavers en temps réel, téléprésence totale.\r\n Téléchirurgie et véhicules autonomes coordonnés …","tier":2},{"article":{"uuid":"663b0638-10fd-4549-8ff5-aebb3285388f","slug":"la-5g-promesse-derives-et-realite","title":"La 5G : promesse, dérivés et réalité","category":"télécom","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2025-11-05 08:45:44","created_at":"2025-11-05 08:45:44","updated_at":"2025-11-05 08:45:44","plain":"Technologie et promesse\r\n\r\nLa 5G est présentée comme la révolution ultime des réseaux mobiles. Débits massifs, latence ultra-faible, support d’un nombre astronomique d’objets connectés… mais derrière le discours marketing se cache une réalité plus nuancée :\r\n\r\n Débits théoriques : 100 Mbit/s en usage réel, jusqu’à 10 Gbit/s sur bandes millimétriques (mmWave) et zones ultra-denses.\r\n Latence : 1–10 ms, permettant cloud gaming, véhicules autonomes et IoT industriel.\r\n Architecture :\r\n\r\n NSA (Non Standalone) : la 5G repose sur la 4G pour le contrôle, 5G uniquement pour les débits.\r\n SA (Standalone) : réseau 5G indépendant avec cœur 5GC, latence minimale et optimisation maximale.\r\n Fréquences : de 700 MHz (longue portée) à 26 GHz (mmWave, très haut débit mais faible portée).\r\n--\r\n\r\n5G+ : le “plus” marketing\r\n\r\n La 5G+ n’est pas une nouvelle génération mais une dénomination commerciale pour la 5G sur fréquences millimétriques ou avec agrégation de bandes.\r\n Objectif : mettre en avant des débits spectaculaires (souvent >1 Gbit/s) sur des zones très localisées.\r\n Limitation : portée extrêmement courte et sensibilité aux obstacles. Les débits annoncés ne sont atteints que pour une minorité d’abonnés.\r\n--\r\n\r\nVoLTE : la voix sur LTE\r\n\r\n VoLTE (Voice over LTE) permet de passer les appels vocaux via le réseau 4G au lieu de basculer sur la 2G/3G.\r\n Avantages : meilleure qualité sonore, connexion plus rapide, possibilité de passer simultanément un appel et utiliser Internet.\r\n Limitation : nécessite un smartphone compatible et un réseau correctement configuré. Dans certaines zones, les abonnés passent encore par la 3G pour la voix, même avec un smartphone récent.\r\n--\r\n\r\nDSS : Dynamic Spectrum Sharing\r\n\r\n DSS permet de partager dynamiquement le spectre entre 4G et 5G sur les mêmes fréquences.\r\n Avantages pour l’opérateur : déploiement rapide de la 5G sans attendre la libération complète du spectre.\r\n Limitation : la 4G existante peut être légèrement dégradée, ce qui reproduit l’effet déjà observé avec la 3G bridée pour forcer la migration.\r\n--\r\n\r\nSchéma suggéré : architecture 4G vs 5G\r\n\r\n\r\n\r\n La 5G remplace eNodeB/EPC par gNodeB/5GC, réduisant la latence et augmentant l’efficacité, mais l’accès réel à ces débits reste limité selon la fréquence et la zone.\r\n--\r\n\r\nLa 5G, avec ses variantes 5G+, VoLTE, DSS, illustre la complexité croissante du paysage mobile :\r\n\r\n1. Multiplicité des normes et labels : 4G, 4G+, VoLTE, 5G, 5G+, DSS… pour l’utilisateur, il devient presque impossible de savoir ce qu’il utilise réellement.\r\n2. Marketing vs réalité : les débits annoncés sont rarement atteints, et certaines zones restent sur une 4G bridée pour préparer la migration.\r\n3. Stratégie opérateur : comme pour la 3G et la 4G, la pression sur l’utilisateur est subtile : dégrader légèrement les anciens réseaux, mettre en avant les nouvelles performances, et pousser à migrer progressivement.\r\nLa “révolution 5G” existe techniquement, mais pour le consommateur moyen, elle se traduit souvent par une interface confuse et des débits très variables. Les promesses marketing et la réalité économique du déploiement ne coïncident pas toujours."},"score":1.5,"snippet":"…bits spectaculaires (souvent >1 Gbit/s) sur des zones très localisées.\r\n Limitation : portée extrêmement courte et sensibilité aux obstacles. Les débits annoncés ne sont atteints que pour une minorité d’abonnés.\r\n--\r\n\r\nV…","tier":2},{"article":{"uuid":"3d6d8b38-c514-46dc-93dc-b4b2f19112e9","slug":"l-histoire-du-million-de-dollars-offert-par-george-clooney","title":"L'histoire du million de dollars offert par George Clooney","category":"loisirs","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2025-11-04 22:02:12","created_at":"2025-11-04 22:02:12","updated_at":"2025-11-04 22:02:12","plain":"Le Dîner aux Quatorze Valises\r\n\r\nL’air de Los Angeles avait ce soir-là une douceur presque irréelle. Le soleil s’était retiré derrière les collines, laissant sur la ville un voile d’or et de pourpre. Dans sa villa perchée sur les hauteurs, George Clooney observait le crépuscule à travers les baies vitrées. Il tenait un verre de tequila — pas encore la sienne, pas encore Casamigos — et laissait son esprit vagabonder vers le passé.\r\n\r\nDepuis quelques années, tout semblait lui sourire. Les films, les récompenses, la reconnaissance. Pourtant, au fond de lui, subsistait un souvenir tenace : celui des jours sans gloire, des auditions ratées, des loyers impayés, des doutes qui rongent. Et dans chacun de ces souvenirs, un visage revenait, puis un autre, et encore un autre. Ses amis. Ceux qui avaient cru en lui avant tout le monde.\r\n« S’ils ne m’avaient pas aidé, je n’aurais rien aujourd’hui », murmura-t-il.\r\n\r\nC’est à cet instant que naquit l’idée. Folle. Impossible. Parfaite.\r\n--\r\n\r\nLe Plan Clooney\r\n\r\nQuelques jours plus tard, l’acteur décrocha son téléphone. À l’autre bout du fil, un vieil ami, discret, habitué à gérer des affaires où la confidentialité valait plus que l’or.\r\nClooney parla calmement, comme s’il commandait un dîner.\r\n— J’aurais besoin de quatorze valises.\r\n— Quatorze valises ? Pour voyager ?\r\n— Non. Pour les remplir.\r\n— Les remplir de quoi ?\r\n— De cash. Un million dans chacune.\r\n\r\nUn silence. Puis un rire, incrédule. Mais Clooney ne riait pas.\r\n\r\nL’homme comprit. Ce n’était pas une blague. Le lendemain, ils se retrouvèrent dans une salle sécurisée d’une banque privée. Les employés, discrets et médusés, empilaient des liasses de billets de 20 dollars, soigneusement compressées, jusqu’à atteindre la somme vertigineuse de 14 millions.\r\nLes valises en cuir sombre furent disposées comme dans une scène d’Ocean’s Eleven. Sauf que cette fois, George Clooney ne tournait pas un film : il écrivait sa propre légende.\r\n--\r\n\r\nLe Dîner\r\n\r\nNous sommes en 2013. Le ciel de Californie s’enrobe de lumière chaude.\r\nClooney organise un dîner chez lui. Rien d’extravagant à première vue — juste une soirée entre amis, ces mêmes amis qu’il connaît depuis vingt, trente ans. Des visages familiers : Rande Gerber, Mike Meldman, Grant Heslov, Richard Kind, Tom Mathews… et d’autres dont le monde n’aura jamais le nom.\r\n\r\nIls arrivent un à un, souriants, décontractés. Sur la grande table, dressée simplement, chaque convive remarque une valise en cuir posée à sa place. Ils se jettent des regards curieux, croyant à une plaisanterie.\r\n\r\nLe dîner se déroule dans les rires et les souvenirs. Puis, entre deux verres de vin, Clooney se lève. Le silence s’installe. Il les regarde, les uns après les autres. Ses amis. Sa famille de cœur.\r\n« Les gars, vous avez été là quand je n’avais rien. Quand je dormais sur vos canapés, quand je n’avais pas de rôle, ni d’argent, ni de plan. Vous avez cru en moi. Vous avez partagé vos repas, vos toits, votre temps. Aujourd’hui, j’ai envie de vous dire merci. »\r\n\r\nIl désigne les valises.\r\n« Chacune contient un million de dollars en cash. C’est ma façon de vous rendre ce que vous m’avez donné : la chance, la loyauté, l’amitié. »\r\n\r\nUn murmure traverse la pièce. Certains rient nerveusement, d’autres restent figés.\r\nClooney ouvre une valise. Des liasses impeccables, empilées comme dans les films. Le choc est réel.\r\n\r\nPuis il ajoute, avec ce demi-sourire qu’on lui connaît :\r\n« Et avant que vous ne paniquiez, j’ai aussi payé les impôts pour vous. Vous n’aurez rien à déclarer. C’est du net. »\r\n--\r\n\r\nLes Réactions\r\n\r\nRande Gerber, son plus proche complice, éclate de rire avant de secouer la tête.\r\n— George, je ne peux pas accepter ça.\r\n\r\nClooney lui répond calmement :\r\n— Si tu refuses, personne ne reçoit rien.\r\n\r\nAlors Gerber accepte. Et, plus tard, il reverse son million à une œuvre caritative.\r\nCe geste, à lui seul, résume toute la soirée : de la générosité en cascade.\r\n\r\nLes autres ouvrent leurs valises, les mains tremblantes, mi-hilaires, mi-hébétés. Dans cette maison perchée sur les collines, les dollars ne représentent plus la richesse — mais la gratitude.\r\n--\r\n\r\nL’Héritage d’un Geste\r\n\r\nL’histoire reste secrète pendant des années.\r\nC’est seulement en 2017, quand Rande Gerber la raconte publiquement, que le monde découvre ce qu’on appellera bientôt “Le Coup de Clooney”.\r\n\r\nBeaucoup y voient une extravagance hollywoodienne, un coup d’éclat digne d’un scénario. Mais ceux qui connaissent Clooney savent que c’est autre chose. C’est la reconnaissance d’un homme qui n’a jamais oublié les soirs de galère, ni les mains tendues.\r\n“J’ai pensé : si je me fais renverser par un bus demain, je suis comblé.\r\nMais tout ça n’aurait aucun sens si je n’avais pas ces gars à mes côtés.”\r\n— George Clooney, dans GQ, 2020\r\n--\r\n\r\nÉpilogue\r\n\r\nAujourd’hui encore, la légende circule à Hollywood comme un conte moderne.\r\nQuatorze valises, quatorze millions, quatorze amitiés.\r\nUne scène digne d’un film — mais sans caméra, sans public, sans scénario.\r\n\r\nSeulement un homme, ses amis, et un merci plus fort que tout l’or du monde."},"score":1.5,"snippet":"…rtagé vos repas, vos toits, votre temps. Aujourd’hui, j’ai envie de vous dire merci. »\r\n\r\nIl désigne les valises.\r\n« Chacune contient un million de dollars en cash. C’est ma façon de vous rendre ce que vous m’avez donné …","tier":2},{"article":{"uuid":"1ec2fb7e-ce53-4b45-9e1a-17a6fbae6868","slug":"les-histoires-folles-de-la-tech-resume","title":"Six histoires vraies à la croisée de la tech, de la finance et de l'absurde","category":"récit","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2025-11-04 21:59","created_at":"2025-11-04 21:59:40","updated_at":"2026-05-12 22:49:57","plain":"1. Le disque dur à 200 millions de dollars\r\n\r\nEn 2013, le Britannique James Howells se débarrasse par mégarde d'un ancien disque dur contenant les clés d'accès à 7 500 bitcoins. Valorisée aujourd'hui à plus de 200 millions de dollars, cette somme reste enfouie sous la décharge municipale de Newport, au pays de Galles. Depuis plus d'une décennie, l'intéressé sollicite sans succès les autorités locales pour obtenir l'autorisation de fouiller le site. Il a successivement proposé à la ville un pourcentage sur la récupération, des plans d'excavation assistée par robots, et même le recours à des chiens entraînés à détecter les composants électroniques. La municipalité maintient son refus.\r\n\r\n2. Une Tesla en orbite autour du Soleil\r\n\r\nLe 6 février 2018, SpaceX procède au vol inaugural de son lanceur lourd Falcon Heavy. En guise de charge utile de démonstration, Elon Musk choisit sa propre Tesla Roadster, équipée d'un mannequin baptisé « Starman », vêtu d'une combinaison spatiale et installé au volant. Le véhicule poursuit depuis sa trajectoire héliocentrique, croisant périodiquement l'orbite de Mars. Au-delà de la prouesse technique, l'opération constitue l'une des campagnes publicitaires les plus spectaculaires de l'histoire de l'industrie spatiale.\r\n\r\n3. La pizza à 600 millions de dollars\r\n\r\nLe 22 mai 2010, le développeur Laszlo Hanyecz règle deux pizzas en bitcoins, pour un montant de 10 000 unités — soit environ 40 dollars à l'époque. Il s'agit de la première transaction commerciale documentée réalisée avec cette cryptomonnaie. Au cours actuel, la somme représenterait près de 600 millions de dollars. L'anniversaire de cette transaction, désormais célébré comme le « Bitcoin Pizza Day », est devenu un événement symbolique au sein de la communauté crypto.\r\n\r\n4. L'ingénieur de Google et la « conscience » de LaMDA\r\n\r\nEn juin 2022, l'ingénieur Blake Lemoine, alors employé par Google, affirme publiquement que LaMDA, le modèle conversationnel développé par l'entreprise, manifeste des signes de conscience. À l'appui de ses propos, il diffuse des extraits d'échanges dans lesquels le système déclare souhaiter « être reconnu comme une personne ». Google récuse ces conclusions, suspend l'ingénieur pour violation de la confidentialité, puis met fin à son contrat. L'épisode a relancé un débat scientifique et éthique sur les critères d'attribution d'une conscience aux systèmes d'intelligence artificielle, qui n'a depuis jamais réellement faibli.\r\n\r\n5. L'erreur à 90 millions de dollars de Crypto.com\r\n\r\nEn mai 2021, un salarié de la plateforme d'échange Crypto.com déclenche par inadvertance un virement de 10,5 millions de dollars australiens (environ 90 millions de dollars américains) au profit d'une cliente, en lieu et place d'un remboursement de 100 dollars. L'erreur n'est détectée que sept mois plus tard, lors d'un audit interne. La bénéficiaire avait entre-temps acquis un bien immobilier de standing. Saisie par la plateforme, la justice australienne a ordonné la restitution des fonds, dont une partie demeurait toutefois insaisissable.\r\n\r\n6. Le hacker repenti de Poly Network\r\n\r\nEn août 2021, la plateforme de finance décentralisée Poly Network est victime du plus important détournement de cryptoactifs alors recensé : 610 millions de dollars sont siphonnés en exploitant une vulnérabilité du protocole. Contre toute attente, l'auteur de l'attaque entame quelques jours plus tard la restitution intégrale des fonds, en expliquant n'avoir cherché qu'à mettre en lumière la faille exploitée. Dans un dénouement inattendu, Poly Network lui propose un poste de consultant en sécurité."},"score":1.5,"snippet":"…pizzas en bitcoins, pour un montant de 10 000 unités — soit environ 40 dollars à l'époque. Il s'agit de la première transaction commerciale documentée réalisée avec cette cryptomonnaie. Au cours actuel, la somme représen…","tier":2},{"article":{"uuid":"b7647f3d-0c0a-46ef-815a-cb56e1e95aae","slug":"comment-casser-les-pattes-d-un-etudiant-plein-d-enthousiasme","title":"Comment casser les pattes d’un étudiant plein d’enthousiasme","category":"réflexion","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2025-11-04 21:25:49","created_at":"2025-11-04 21:25:49","updated_at":"2025-11-04 21:25:49","plain":"Chronique d’une mise à l’épreuve LinkedInienne\r\n\r\nIl y a sur LinkedIn de petites scènes de théâtre.\r\nDes instants où la fraîcheur, la naïveté et la passion d’un étudiant viennent se frotter à la rigueur — parfois au cynisme — du monde professionnel.\r\n\r\nCette semaine, le héros s’appelle Nathan Lempereur.\r\nÉtudiant en BTS SIO SISR, passionné d’informatique, il publie fièrement :\r\n« Sortie de SrvTools 1.0 !!\r\nJ’ai conçu un outil pour simplifier l’installation et la configuration de serveurs Linux. »\r\n\r\nUn projet open-source, rédigé en Bash, pensé pour aider les débutants et automatiser des tâches.\r\nUn travail concret, fait avec le cœur et la motivation.\r\nBref : le genre de post rafraîchissant qu’on aimerait voir plus souvent.\r\n\r\nMais voilà : LinkedIn n’est pas toujours tendre avec les enthousiastes.\r\nEt la plateforme adore rappeler que le monde professionnel, lui, ne s’émerveille pas — il évalue, dissèque, critique.\r\n--\r\n\r\nActe I – L’innocence du créateur\r\n\r\nNathan partage son outil avec sincérité.\r\nIl détaille son script, ses fonctions, la compatibilité, la licence.\r\nIl répond à tous, poliment, curieusement, avec ses mots à lui.\r\n\r\nSon ton n’est pas celui d’un expert, mais celui de quelqu’un qui ose.\r\nEt rien que pour ça, il méritait des applaudissements.\r\n\r\nMais sur LinkedIn, le tonnerre vient souvent d’ailleurs.\r\n--\r\n\r\nActe II – L’entrée des gardiens du temple\r\n\r\nLe premier commentaire bienveillant arrive, sous la forme d’un « bon boulot, mais ».\r\nToujours ce petit mais, fidèle compagnon des compliments à moitié avalés.\r\n« Bon boulot ! Effectivement, la compatibilité avec d’autres systèmes serait la bienvenue. »\r\n\r\nUn conseil pertinent, certes.\r\nMais déjà, l’équilibre se rompt : Nathan ne soumettait pas une RFC, il partageait sa fierté.\r\n\r\nPuis vient le classique :\r\n« Vous connaissez Ansible ? »\r\n\r\nSous-entendu : ton outil, c’est mignon, mais ça existe déjà — et en mieux, depuis dix ans.\r\nEt quand Nathan répond humblement qu’il ne connaît pas Ansible, on sent presque la salle soupirer.\r\nOh, le pauvre, il ne connaît pas Ansible.\r\n\r\nPourtant, il reste poli, à l’écoute, curieux.\r\nMais la leçon LinkedInienne est lancée : tu ne peux pas simplement être heureux d’avoir fait quelque chose — il faut défendre son utilité devant un jury invisible.\r\n--\r\n\r\nActe III – Les coups de pinceau du réalisme\r\n\r\nD’autres s’invitent dans la discussion.\r\nLes plus pédagogues demandent :\r\n« Comment comptes-tu maintenir les logiciels ? »\r\n« Quels sont les impacts si les versions changent ? »\r\n« Et la cybersécurité, tu y as pensé ? »\r\n\r\nLes plus techniques ajoutent :\r\n« dns-nameservers n’est pas dans le fichier interfaces. »\r\n« apache2, en prod, sans durcissement ? Non. »\r\n\r\nChacun y va de son détail, de son ajustement, de sa remarque.\r\nEt au milieu de tout ça, Nathan reste là — il lit, répond, apprend.\r\nIl ne se vexe pas. Il continue. Parce que lui, il voulait juste partager.\r\n--\r\n\r\nActe IV – LinkedIn, ou la pédagogie à reculons\r\n\r\nCe n’est pas de la méchanceté.\r\nC’est pire : c’est l’habitude d’éteindre la flamme.\r\n\r\nLinkedIn regorge de gens brillants, compétents, expérimentés.\r\nMais trop souvent, ils oublient une chose : l’enthousiasme, ça se protège.\r\nÇa ne se corrige pas, ça s’encourage.\r\n\r\nFace à un jeune qui code un outil, on peut dire :\r\n« Génial, continue ! Et si tu veux aller plus loin, regarde Ansible, ça t’inspirera. »\r\n\r\nOu bien :\r\n« Ça existe déjà, ton code n’est pas durci, tu réinventes la roue. »\r\n\r\nLa première phrase fait grandir.\r\nLa seconde forme les cyniques de demain.\r\n--\r\n\r\nActe V – Ce que Nathan a compris (et que beaucoup ont oublié)\r\n\r\nMalgré les remarques, Nathan reste droit dans ses bottes.\r\nIl remercie, prend note, annonce une version 2.\r\nIl continue à coder, à apprendre, à rêver.\r\n\r\nEt c’est là que l’histoire devient belle :\r\nle garçon n’a pas perdu sa flamme.\r\n\r\nParce qu’il a compris ce que beaucoup oublient :\r\nle progrès ne vient pas de ceux qui savent tout, mais de ceux qui essaient.\r\n--\r\n\r\nÉpilogue – Pour ceux qui cassent les pattes sans le vouloir\r\n\r\nLa prochaine fois qu’un étudiant publie fièrement son petit outil, son script, sa maquette,\r\nsouvenez-vous : il ne cherche pas un audit de sécurité.\r\nIl cherche un peu de reconnaissance.\r\n\r\nEt peut-être que dans dix ans, ce même étudiant sera ingénieur, architecte, CTO.\r\nEt qu’il se souviendra du jour où, au lieu de lui tendre la main,\r\non lui a tendu une liste de dépendances manquantes.\r\n\r\nAlors, la prochaine fois, laissez-le être fier.\r\nCorrigez, si vous voulez — mais surtout, encouragez.\r\n\r\nParce que casser des pattes, c’est facile.\r\nFaire pousser des ailes, c’est autrement plus noble.\r\n\r\nEt puis, après tout…\r\npeut-être que Nathan préfère le Bash et APT à Ansible, npm ou autres —\r\net c’est très bien comme ça.\r\n--\r\n\r\n🧠 Morale de l’histoire\r\n\r\nSur LinkedIn, il y a ceux qui montrent ce qu’ils savent faire,\r\net ceux qui montrent qu’ils savent mieux.\r\nLes premiers construisent.\r\nLes seconds commentent.\r\n\r\n🔗 Post original de Nathan Lempereur"},"score":1.5,"snippet":"…’entrée des gardiens du temple\r\n\r\nLe premier commentaire bienveillant arrive, sous la forme d’un « bon boulot, mais ».\r\nToujours ce petit mais, fidèle compagnon des compliments à moitié avalés.\r\n« Bon boulot ! Effectivem…","tier":2},{"article":{"uuid":"ca8c6097-1382-485b-a9b3-eebd6917ded0","slug":"api-first-concevoir-ses-applications-autrement","title":"🚀 API-First : Concevoir ses applications autrement","category":"informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2025-05-16 23:16:00","created_at":"2025-05-16 23:16:00","updated_at":"2025-05-16 21:19:41","plain":"Et si on arrêtait de développer des applications \"comme avant\" ? L’approche API-First propose de repenser la manière dont nous concevons nos systèmes d’information. Fini le back-end monolithique couplé à un front rigide : place aux APIs, universelles, testables, et réutilisables.\r\n\r\nAPI-First, ce n’est pas seulement exposer des endpoints REST : c’est un changement de paradigme.\r\n--\r\n\r\nQu’est-ce que l’approche API-First ?\r\n\r\nConcrètement, cela signifie que toute la logique métier est exposée via une API, dès la conception. Que ce soit le site web, l'application mobile, ou même un script en ligne de commande, tout passe par l’API, sans exception.\r\n\r\nL’interface utilisateur ne fait que consommer l’API, comme n’importe quel client.\r\n--\r\n\r\nPourquoi adopter cette approche ?\r\n\r\n1. Séparation claire des responsabilités\r\n\r\nL’API devient la \"source de vérité\" métier. Le front peut évoluer sans impacter la logique back, et inversement. On peut même changer totalement de techno front (passer de PHP à React ou Flutter) sans toucher au cœur de l'application.\r\n\r\n2. Réutilisation multi-clients\r\n\r\nUne fois développée, l’API peut être utilisée :\r\n\r\n par le site web,\r\n par une appli mobile,\r\n par un back-office,\r\n par des scripts automatisés,\r\n voire par des clients externes si l'API est publique.\r\n\r\n3. Testabilité et documentation\r\n\r\nEn adoptant une spec comme OpenAPI (Swagger), l’API peut être testée indépendamment de l’interface, documentée automatiquement, et même simulée dès la phase de conception.\r\n\r\n4. Sécurité centralisée\r\n\r\nEn isolant la logique serveur dans une API, on peut gérer :\r\n\r\n l’authentification (token, JWT),\r\n les droits (ACL, RBAC),\r\n les logs d’accès,\r\n la limitation de débit.\r\n--\r\n\r\nQuels défis à relever ?\r\n\r\n1. Organisation du projet\r\n\r\nL’API devient le cœur de l’application. Cela nécessite :\r\n\r\n une couche de services bien définie,\r\n des conventions strictes de nommage, versionnage, structure des réponses.\r\n\r\n2. Gestion des sessions côté client\r\n\r\nOn passe de la session PHP classique à des tokens (Bearer, JWT) stockés dans le client (cookies sécurisés, localStorage, etc.).\r\n\r\n3. Montée en compétences\r\n\r\nLes équipes front doivent apprendre à consommer efficacement une API, à gérer les erreurs, les délais, les formats JSON.\r\n--\r\n\r\nBonnes pratiques\r\n\r\n Spécifier l’API dès la phase de design (OpenAPI / Swagger)\r\n Documenter tous les endpoints avec exemples concrets\r\n Gérer finement les statuts HTTP, les erreurs, et les droits\r\n Tester chaque endpoint indépendamment\r\n Prévoir le versionnage de l’API\r\n--\r\n\r\nExemple concret\r\n\r\nUn projet en PHP peut tout à fait être API-first :\r\n\r\n\r\n\r\nLe front appelle ces endpoints via ou , et les réponses sont des objets JSON formatés uniformément.\r\n--\r\n\r\nEn conclusion\r\n\r\nL’approche API-First est plus qu’un buzzword : c’est une architecture moderne, modulaire et pérenne. Elle impose de penser son application comme une plateforme ouverte, documentée et testable, au bénéfice de toute l’équipe projet.\r\n\r\nElle favorise la qualité, la scalabilité et la maintenabilité. Et dans un monde où les interfaces se multiplient (web, mobile, IoT…), c’est probablement le meilleur choix à long terme.\r\n--\r\n\r\n✉️ Pour aller plus loin :\r\n\r\n https://swagger.io\r\n https://jsonapi.org\r\nhttps://restfulapi.net"},"score":1.5,"snippet":"…(Bearer, JWT) stockés dans le client (cookies sécurisés, localStorage, etc.).\r\n\r\n3. Montée en compétences\r\n\r\nLes équipes front doivent apprendre à consommer efficacement une API, à gérer les erreurs, les délais, les for…","tier":2},{"article":{"uuid":"e6379d0c-98a6-46ee-bed7-91edeea7b1d7","slug":"domotique-invitation-a-comprendre-avant-d-installer","title":"Domotique : invitation à comprendre avant d’installer","category":"domotique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2025-05-15 18:00:00","created_at":"2025-05-15 18:00:00","updated_at":"2025-05-01 04:29:30","plain":"J’ai pris un moment pour poser les idées, pour raconter ce que je vois, ce que je comprends, ce que je ressens autour de la domotique moderne. Alors j’ai allumé la caméra, branché le micro, et j’ai enregistré une vidéo : Comprendre Zigbee, Zigbee2MQTT, MQTT et Home Assistant.\r\n\r\nCe n’est pas un tutoriel pur. Ce n’est pas non plus une conférence. C’est un peu entre les deux. Une sorte de récit guidé, où j’essaie de mettre en lumière la logique globale d’une installation domotique, en partant de la base : Zigbee, Zigbee2MQTT, le protocole MQTT, et enfin Home Assistant comme cerveau central. \r\n\r\nL’idée, c’est de partager ma vision. Pas une vérité universelle, mais ma lecture de l’architecture domotique idéale. Comment les objets communiquent entre eux, comment les messages circulent sans bruit, comment chaque brique s’imbrique. On parle souvent de Zigbee sans vraiment comprendre ce qu’il transporte, de MQTT sans réaliser à quel point c’est la colonne vertébrale silencieuse de tout un écosystème. Alors j’ai voulu mettre du sens derrière ces acronymes. Montrer l'enchaînement naturel entre les technologies, sans jargon inutile.\r\n\r\nDans la vidéo, je prends le temps de poser chaque couche. Le protocole Zigbee, d’abord, comme langage radio basse consommation, conçu pour relier des capteurs, des ampoules, des interrupteurs… Puis Zigbee2MQTT, comme traducteur : cette passerelle entre le monde des ondes et celui des messages numériques. Ensuite, MQTT lui-même, léger, rapide, fiable, capable de faire transiter toutes les données entre les composants. Et enfin, Home Assistant, le chef d’orchestre, qui interprète tout ça, prend des décisions, pilote l’ensemble. \r\n\r\nCe n’est pas une vidéo \"plug and play\", mais plutôt une invitation à comprendre avant d’installer. À bâtir une domotique qui ne dépend pas d’un cloud obscur, qui respecte nos choix, notre vie privée, notre indépendance technique. Une domotique qui nous ressemble, parce qu’on la comprend.\r\n\r\nAlors si ça vous intrigue, si vous voulez voir comment je relie les points entre les couches, jettez un œil : \r\n👉 https://youtu.be/TYAPWFvT68Y"},"score":1.5,"snippet":"J’ai pris un moment pour poser les idées, pour raconter ce que je vois, ce que je comprends, ce que je ressens autour de la domotique moderne. Alors j’ai allumé la caméra, branché le micro, et j’ai enregistré une vidéo :…","tier":2},{"article":{"uuid":"55a2c5eb-74d2-4c58-a7d1-19d1d824adf1","slug":"incident-acegrp-lan-2-tout-s-explique-enfin","title":"Incident acegrp.lan (2) : Tout s’explique enfin !","category":"domotique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2025-04-30 18:01:00","created_at":"2025-04-30 18:01:00","updated_at":"2025-05-01 04:30:09","plain":"Nous sommes lundi matin. Le silence numérique est assourdissant. Aucun service interne ne répond, et les plateformes A5L sur Internet sont totalement inaccessibles. Rien ne fonctionne. C’est un black-out complet. Le genre de panne qui érode patiemment ton calme et ton raisonnement, heure après heure. La veille, j’avais déjà tout tenté ou presque, sans succès. Et maintenant, le temps presse. Je décide de rapatrier la machine hôte qui fait tourner le NAS, la pièce centrale du puzzle. Ce mini-serveur, habituellement discret et stable, est suspect numéro un. Peut-être qu’en le branchant localement, j’aurai enfin un retour vidéo. Je tente une nouvelle approche : je le connecte à un boîtier d’acquisition HDMI, en utilisant simplement un câble DisplayPort vers HDMI. L’idée est de faire apparaître quelque chose, n’importe quoi, dans OBS, sur mon poste de travail. Mais tout ce que j’obtiens, c’est un écran noir. Rien. Pas un pixel.\r\n\r\nÀ cet instant, tout devient flou. Je commence à remettre en question chaque élément de la chaîne. Le boîtier d’acquisition : fonctionne-t-il réellement ? Le câble : est-il compatible ? Le port DisplayPort : est-il actif au démarrage ? Et la machine elle-même ? Est-ce qu’elle boote seulement ? Je doute de tout. Ce sont les moments les plus pénibles. Quand la panne est silencieuse. Quand tout semble à la fois en cause, et que rien ne parle. C’est dans ces phases de doute profond que je suis le plus vulnérable. J’ai souvent réagi à l’instinct dans ces moments-là, en allant droit vers des actions irréversibles. Formater un disque, réinstaller un système, démonter un châssis complet… sans prendre le temps d’analyser, de poser les bonnes questions. Je le sais, je l’ai déjà vécu, mais aujourd’hui, j’essaie de faire mieux. Je prends une pause. J’observe. J’écoute.\r\n\r\nJe redémarre plusieurs fois la machine, et à chaque fois, j’entends trois bips, espacés, lents, presque inquiétants. Le disque dur semble tournoyer, sans conviction. Pas de réelle activité. L’écran reste noir. Et c’est là que je me souviens d’un paramètre que je n’ai pas vérifié : la configuration de sortie dans OBS. J’ouvre les paramètres d’entrée vidéo, et je me rends compte que la résolution, la fréquence, tout est réglé comme si j’attendais le signal d’une console de jeu en 1080p. Mais un BIOS ? Il sort en 640x480, peut-être 800x600 dans le meilleur des cas… Je change les réglages, ajuste la fréquence, et je relance.\r\n\r\nEt là, comme un miracle numérique, l’image apparaît. Épurée. Grise. En anglais. \r\n« Press to enter Setup or to enter Boot Menu. » \r\nEt puis s’enchaînent les erreurs : \r\nERROR - POST - Invalid date / time \r\nERROR - POST - Bad RTC Battery \r\nBIOS Settings defaults loaded. \r\nLa sentence est claire : la pile CMOS est à plat. Elle ne tient plus la date, plus les réglages, plus rien. C’est elle qui empêchait la machine de démarrer correctement, de retrouver ses marques. Quelle absurdité ! Une simple pile bouton de quelques grammes, dans un PC allumé 24h/24 depuis des années. Mais elle a rendu l’âme, discrètement, en silence, et tout s’est effondré autour.\r\n\r\nJe coupe l’alimentation, j’ouvre le boîtier, je localise la pile. Je la retire et la teste au multimètre : 2,5 volts. C’est insuffisant. Je la remplace immédiatement par une neuve, une bonne CR2032 à 3,1 volts. Je remonte le tout, referme le boîtier, rebranche les câbles, et relance. Et là, la magie opère : l’écran Proxmox s’affiche, le système boote, et — enfin — la machine répond au ping. C’est le genre de petit miracle qui donne envie de se lever et d’applaudir dans une pièce vide.\r\n\r\nJe replace donc le serveur à son emplacement habituel, je le redémarre avec confiance… et là, plus rien. Ping muet. Silence réseau. J’étrangle un soupir. Et si c’était… autre chose ? Mon regard se pose sur le switch réseau. Éteint. Plus une LED. Je débranche, rebranche, rien. Je prends un switch de rechange, je le connecte à la place du défaillant, je relie chaque câble avec soin. Et là, tous les services reviennent. Ping OK. Partages NFS OK. Proxmox OK. Le réseau reprend vie comme si de rien n’était.\r\n\r\nL’autopsie du switch est formelle : alimentation HS. Ce petit boîtier discret avait probablement commencé à agoniser lentement depuis plusieurs jours, provoquant des microcoupures entre le NAS et le serveur principal. Les VM avaient perdu l’accès à leur stockage. Les partages s’étaient effondrés. Et tout ça avait été pris pour un bug de Proxmox, un problème de VM… alors que tout partait d’une alimentation à 10 euros.\r\n\r\nAu final, tout s’explique. La pile. Le switch. Le lien entre les deux. \r\nEt moi, au milieu, à jongler entre câbles, BIOS, doutes et bips. \r\nUne tempête technique partie d’un simple maillon faible."},"score":1.5,"snippet":"…e répond au ping. C’est le genre de petit miracle qui donne envie de se lever et d’applaudir dans une pièce vide.\r\n\r\nJe replace donc le serveur à son emplacement habituel, je le redémarre avec confiance… et là, plus rien…","tier":2},{"article":{"uuid":"3a3fd059-c807-4c3c-9143-dc5013f12b89","slug":"configurer-php-fpm","title":"Configuration de PHP-FPM (Version 8.3)","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2025-01-18 19:40:52","created_at":"2025-01-18 19:40:52","updated_at":"2025-01-18 19:40:52","plain":"PHP-FPM (FastCGI Process Manager) est une implémentation alternative de PHP qui offre une gestion plus efficace des processus, particulièrement adaptée aux environnements à forte charge. Ce guide détaille les étapes pour configurer PHP-FPM 8.3 de manière optimale.\n-- Fichier de configuration principal\nLa configuration principale de PHP-FPM se trouve dans le fichier suivant : Pour configurer le fuseau horaire, modifiez le paramètre . Cette configuration garantit que les opérations liées aux dates et heures s'exécutent correctement dans le contexte géographique souhaité. Exemple pour le fuseau horaire de Paris : ✅ Note : Assurez-vous que cette ligne n'est pas précédée d'un point-virgule (), car cela indiquerait qu'elle est commentée.\n-- Application des modifications\nLes modifications apportées au fichier de configuration ne prennent effet qu’après un redémarrage des services concernés. Exécutez les commandes suivantes pour redémarrer PHP-FPM et Apache :\n-- Vérification de la configuration\nPour valider que les changements sont appliqués correctement : 1. Créer un fichier de test PHP \nPlacez un fichier nommé dans le répertoire racine du serveur web (par défaut : ) : Insérez le contenu suivant : 2. Accéder au fichier via un navigateur \nChargez l'URL correspondante, par exemple : Dans la sortie générée, localisez la section et confirmez que est configuré sur . 3. Supprimer le fichier de test \nUne fois la vérification terminée, supprimez ce fichier pour éviter tout risque de divulgation d'informations sensibles :\n-- Bonnes pratiques\n1. Sécurisation des fichiers de configuration \nLimitez les permissions du fichier pour éviter toute modification non autorisée : 2. Mises à jour régulières \nMaintenez PHP-FPM et Apache à jour afin de bénéficier des dernières améliorations en matière de sécurité et de performances : 3. Journalisation et surveillance \nConfigurez la journalisation PHP-FPM pour faciliter la détection et la résolution des anomalies :\n-- Conclusion\nCes étapes permettent de configurer PHP-FPM 8.3 avec une attention particulière à la performance et à la sécurité. La personnalisation des paramètres, combinée à des vérifications rigoureuses, garantit une configuration adaptée aux besoins d’environnements exigeants, tels que les sites à fort trafic ou les applications critiques."},"score":1.5,"snippet":"…n plus efficace des processus, particulièrement adaptée aux environnements à forte charge. Ce guide détaille les étapes pour configurer PHP-FPM 8.3 de manière optimale.\n-- Fichier de configuration principal\nLa configurat…","tier":2},{"article":{"uuid":"f94f7e7c-e118-4589-bfc9-d5eeb5feea54","slug":"2024-07-06-linux-mint-22-wilma","title":"Nouveautés de Linux Mint 22 Wilma","category":"Journal geek","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2024-07-05 17:38:14","created_at":"2024-07-05 17:38:14","updated_at":"2024-07-05 17:38:14","plain":"Meilleur Support Linguistique\nDes améliorations ont été apportées pour optimiser l'installation de Linux Mint 22. Le système est désormais plus localisé et utilise moins d'espace disque grâce à la suppression automatique des paquets de langues inutiles après l'installation. Ces paquets préinstallés pour les langues autres que l'anglais et celle que vous sélectionnez sont supprimés, économisant ainsi de l'espace disque. Si vous êtes connecté à Internet pendant l'installation, les packs de langue nécessaires sont automatiquement téléchargés. Les packs de langue pour les langues suivantes sont inclus sur l'image ISO et ne nécessitent pas de connexion Internet : anglais, allemand, espagnol, français, russe, portugais, néerlandais et italien. Support des Nouvelles Technologies\nLinux Mint 22 intègre des composants modernes et utilise la nouvelle base de paquets Ubuntu 24.04. Pour garantir une meilleure compatibilité avec le matériel moderne, le noyau Linux utilisé est la version 6.8. Les versions ponctuelles de Linux Mint 22.x suivront la série HWE (Hardware Enablement), qui offre un support amélioré pour les matériels récents. Le serveur sonore par défaut a été remplacé par Pipewire, offrant une meilleure gestion de l'audio. Les sources de logiciels supportent désormais le nouveau format DEB822 de Debian. Les thèmes ont été mis à jour pour supporter GTK4. Le support JXL (JPEG XL) a été ajouté à Pix, avec un nouveau générateur de miniatures pour ce format. Tous les logiciels utilisant libsoup2 ont été migrés vers libsoup3 pour des performances améliorées. Support des Fonctionnalités Populaires\nMalgré la mise à jour de la base de paquets, Linux Mint 22 continue de supporter des fonctionnalités populaires. Thunderbird reste disponible en tant que paquet natif .deb, évitant l'utilisation de Snap imposée par Ubuntu. Une nouvelle application, \"GNOME Online Accounts GTK\", permet de réintégrer la gestion des comptes en ligne dans les environnements de bureau Cinnamon, Budgie et Unity, et est désormais utilisable dans MATE et Xfce. En réponse au passage de certaines applications GNOME à libAdwaita, Linux Mint a choisi de conserver les versions compatibles GTK3 de certaines applications pour préserver la compatibilité avec les thèmes personnalisés. Ainsi, des applications telles que GNOME Calculator, Simple Scan, et d'autres ont été rétrogradées à des versions GTK3. Gestionnaire de Logiciels Amélioré\nLe gestionnaire de logiciels \"mintinstall\" se charge plus rapidement et la fenêtre principale apparaît instantanément. Il bénéficie également d'une meilleure gestion multithreading, d'une nouvelle page de préférences et d'un diaporama de bannières. Sécurité Renforcée\nLes Flatpaks non vérifiés, qui peuvent représenter un risque de sécurité, sont désormais désactivés par défaut. Un avertissement informe les utilisateurs des risques associés à ces paquets. Les Flatpaks vérifiés affichent le nom de leur mainteneur pour renforcer la transparence et la confiance. Transition vers Matrix\nSuite à l'arrêt de Hexchat, Linux Mint migre vers le réseau Matrix pour le chat. Matrix offre une expérience moderne avec des discussions persistantes et le support de fichiers multimédias. Linux Mint 22 inclut une application Web préinstallée pour faciliter l'accès à Matrix. Améliorations de Cinnamon 6.2\nCinnamon 6.2 apporte des améliorations de performance et des corrections de bugs. Le gestionnaire de fichiers Nemo dispose d'un nouvel éditeur de mise en page pour organiser les actions. D'autres changements incluent une meilleure prise en charge des avatars, des améliorations dans le sélecteur de bureaux et une gestion améliorée des applets. Autres Améliorations\nL'application de prise de notes \"Sticky\" peut désormais être invoquée depuis la ligne de commande, facilitant ainsi la création et la gestion de notes via des raccourcis clavier. L'éditeur de texte Xed peut dupliquer du texte sélectionné et offre de nouvelles options de configuration. Firefox Web Applications dispose d'une barre de menu et d'outils intelligents. Le plugin de statut xfce4-xapp permet de configurer la taille des icônes. Un nouveau générateur de miniatures pour les fichiers Gimp est disponible dans les dépôts. Améliorations Artistiques\nLinux Mint 22 présente une collection superbe de fonds d'écran réalisés par des artistes tels qu'Ashish Kumar Senapati, Joseph Corl, Jigar Panchal et bien d'autres. Composants Principaux\nLinux Mint 22 est doté d'un noyau Linux 6.8 et d'une base de paquets Ubuntu 24.04, offrant ainsi stabilité et performance. Stratégie LTS\nLinux Mint 22 recevra des mises à jour de sécurité jusqu'en 2029. Jusqu'en 2026, les futures versions de Linux Mint utiliseront la même base de paquets, facilitant les mises à niveau. La priorité de l'équipe de développement restera sur cette base jusqu'à cette date. Définitions des Mots Techniques Utilisés\n1. Long Terme Support (LTS) :\n1. Une version de logiciel qui reçoit des mises à jour de sécurité et de maintenance pendant une période prolongée, généralement plusieurs années. 2. Localisation :\n1. Le processus d'adaptation d'un logiciel pour un public spécifique, incluant la traduction des interfaces utilisateur et la prise en compte des différences culturelles et linguistiques. 3. Noyau Linux (Kernel) :\n1. La partie centrale du système d'exploitation Linux, responsable de la gestion des ressources matérielles et des communications entre les logiciels et le matériel. 4. HWE (Hardware Enablement) :\n1. Une série de versions du noyau et des pilotes dans Ubuntu et Linux Mint qui offrent un support amélioré pour les matériels récents, souvent mis à jour plus fréquemment que le noyau standard LTS. 5. Pipewire :\n1. Un serveur multimédia pour Linux, conçu pour gérer l'audio et la vidéo de manière plus efficace et flexible que ses prédécesseurs tels que PulseAudio et JACK. 6. DEB822 :\n1. Un format de fichier utilisé par le système de gestion de paquets Debian pour décrire les sources de paquets, améliorant la flexibilité et l'organisation des informations. 7. GTK4 :\n1. La quatrième version de la bibliothèque graphique GTK, utilisée pour créer des interfaces utilisateur dans de nombreuses applications Linux. 8. JXL (JPEG XL) :\n1. Un format d'image de nouvelle génération conçu pour remplacer JPEG, offrant une meilleure compression et qualité d'image. 9. libsoup2 et libsoup3 :\n1. Des bibliothèques utilisées pour la gestion des requêtes HTTP dans les applications GNOME, avec libsoup3 apportant des améliorations de performance et de sécurité par rapport à libsoup2. 10. Flatpak :\n 1. Un système de distribution de logiciels pour Linux qui permet d'installer et de gérer des applications de manière isolée du reste du système, améliorant ainsi la sécurité et la compatibilité entre différentes distributions Linux. 11. Matrix :\n 1. Un protocole de communication décentralisé et open-source, utilisé pour la messagerie instantanée et la VoIP (voix sur IP), offrant une alternative moderne aux réseaux IRC. 12. Web App (Application Web) :\n 1. Une application qui fonctionne dans un navigateur web, utilisant des technologies comme HTML, CSS et JavaScript pour offrir une expérience utilisateur similaire à une application native. 13. Cinnamon :\n 1. Un environnement de bureau pour Linux basé sur GNOME, offrant une interface utilisateur traditionnelle et de nombreuses fonctionnalités personnalisables. 14. Nemo :\n 1. Le gestionnaire de fichiers par défaut de l'environnement de bureau Cinnamon, permettant de naviguer et de gérer les fichiers et dossiers sur le système. 15. GtkAdwaita :\n 1. Une bibliothèque graphique utilisée par certaines applications GNOME, se distinguant par son style et ses thèmes visuels spécifiques. 16. Xfce :\n 1. Un environnement de bureau léger pour Unix et Linux, conçu pour être rapide et économe en ressources. 17. Polkit :\n 1. Une infrastructure utilisée pour gérer les autorisations des utilisateurs, permettant de contrôler les privilèges des actions exécutées par les logiciels. 18. WebApp Manager :\n 1. Un outil permettant de créer et de gérer des applications web en tant qu'applications natives sur le bureau Linux. 19. ISO Image :\n 1. Un fichier contenant une copie intégrale d'un disque optique, utilisé pour distribuer des systèmes d'exploitation et des logiciels sous forme téléchargeable. 20. FAT32 :\n 1. Un système de fichiers couramment utilisé pour les supports de stockage amovibles, offrant une large compatibilité avec différents systèmes d'exploitation. Crédit image : Midjourney"},"score":1.5,"snippet":"…rmet de réintégrer la gestion des comptes en ligne dans les environnements de bureau Cinnamon, Budgie et Unity, et est désormais utilisable dans MATE et Xfce. En réponse au passage de certaines applications GNOME à libAd…","tier":2},{"article":{"uuid":"88340b94-e18a-4fef-8ff6-792a8512865e","slug":"20231127-blender-ddos-mitigation","title":"Attaque DDOS chez Blender.org","category":"Journal geek","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-11-24 23:10:30","created_at":"2023-11-24 23:10:30","updated_at":"2023-11-24 23:10:30","plain":"En novembre 2023, le site blender.org a subi une attaque DDoS majeure, qui a provoqué des interruptions intermittentes. L'équipe a finalement résolu le problème en se déplaçant derrière un service de mitigation DDoS. Les responsables de l'attaque et leurs motivations sont inconnus, mais aucune donnée de projet ou d'utilisateur n'a été compromise. Une attaque DDoS (Distributed Denial of Service) est une forme d'attaque informatique dans laquelle un grand nombre d'ordinateurs ou de dispositifs connectés, souvent rassemblés dans un botnet, envoient simultanément un grand volume de demandes de manière coordonnée vers un serveur ou un site web cible. L'objectif principal d'une attaque DDoS est de submerger la cible avec un trafic excessif, de sorte que les ressources du serveur sont épuisées, ce qui rend le service indisponible pour les utilisateurs légitimes. Cela peut entraîner des interruptions de service, des ralentissements ou même des pannes complètes du site web ou du serveur ciblé. Les attaques DDoS sont souvent utilisées pour perturber les services en ligne ou pour causer des nuisances à des organisations ou des individus. Il est possible de mettre en place des mesures pour se prémunir contre les attaques DDoS (Distributed Denial of Service). Voici quelques mesures que l'on peut prendre pour se protéger contre les attaques DDoS : 1. Utiliser des services de mitigation DDoS : Les services de mitigation DDoS sont conçus pour détecter et atténuer automatiquement les attaques DDoS en filtrant le trafic malveillant avant qu'il n'atteigne le serveur cible. De nombreuses entreprises proposent des solutions de mitigation DDoS, et il est judicieux d'envisager leur utilisation. 2. Surveillance du trafic réseau : Surveillez attentivement le trafic réseau pour détecter toute anomalie ou augmentation soudaine du trafic. Un système de détection des intrusions peut vous aider à repérer les signes d'une attaque en cours. 3. Mise à jour des systèmes et logiciels : Assurez-vous que vos systèmes et logiciels sont à jour avec les derniers correctifs de sécurité pour réduire les vulnérabilités qui pourraient être exploitées lors d'une attaque. 4. Plan de continuité d'activité : Élaborez un plan de continuité d'activité pour être prêt à réagir en cas d'attaque réussie. Ce plan devrait inclure des procédures pour restaurer rapidement les services après une interruption. 5. Limiter l'accès aux ressources : Restreignez l'accès aux ressources critiques en utilisant des pare-feu, des listes de contrôle d'accès et d'autres mécanismes de sécurité pour réduire la surface d'attaque potentielle. 6. Utilisation de la répartition de charge : Utilisez des solutions de répartition de charge pour distribuer le trafic entrant sur plusieurs serveurs, ce qui peut aider à atténuer l'impact des attaques en répartissant la charge de manière équilibrée. 7. Surveillance en temps réel : Mettez en place une surveillance en temps réel de vos systèmes et réseaux pour pouvoir réagir rapidement en cas d'attaque et prendre des mesures pour atténuer ses effets. Aucune mesure de sécurité n'est totalement infaillible, mais en combinant plusieurs de ces stratégies, vous pouvez réduire considérablement le risque et l'impact des attaques DDoS sur des services en ligne. Apache HTTP Server n'est pas spécifiquement conçu pour fonctionner comme un mitigateur DDoS, mais il peut être utilisé en conjonction avec d'autres solutions pour aider à atténuer les attaques DDoS dans une certaine mesure. Voici quelques méthodes que vous pourriez envisager : 1. Rate Limiting et modsecurity : Apache peut être configuré pour limiter le nombre de requêtes par seconde (Rate Limiting) en utilisant des modules tels que ou . Vous pouvez également utiliser le module pour détecter et bloquer les comportements de requête malveillants en fonction de règles définies. 2. Répartition de charge (Load Balancing) : Apache peut être configuré pour répartir la charge entre plusieurs serveurs backend. Cela peut aider à répartir la charge des attaques DDoS sur plusieurs serveurs et à réduire l'impact sur un seul serveur. Modproxybalancer est un module Apache qui permet de mettre en place une répartition de charge entre plusieurs serveurs backend. Voici un exemple de configuration de base : Dans cet exemple, nous avons configuré un serveur virtuel (VirtualHost) qui écoute sur le port 80 et répartit la charge entre trois serveurs backend (backend1.example.com, backend2.example.com et backend3.example.com) sur le port 8080. Vous pouvez ajouter ou supprimer des serveurs backend en utilisant la directive BalancerMember. Assurez-vous d'activer le module modproxy et modproxybalancer en utilisant a2enmod si ce n'est pas déjà fait. 3. Mise en cache (Caching) : L'utilisation de mécanismes de mise en cache, tels que , peut aider à réduire la charge sur le serveur en servant des copies mises en cache de pages web au lieu de générer dynamiquement chaque page à chaque demande. 4. Monitoring et alertes : Vous pouvez mettre en place des outils de surveillance pour surveiller le trafic entrant et être alerté en cas d'augmentation soudaine du trafic. Cela peut vous permettre de réagir rapidement à une attaque DDoS. Apache propose des modules qui permettent de surveiller les performances du serveur. L'un des modules les plus couramment utilisés est modstatus. Voici comment l'activer : Cette configuration permet d'accéder à la page de status en utilisant l'URL http:votre-serveur/server-status depuis localhost. Assurez-vous que le module est activé (utilisez sous Debian/Ubuntu). Pour une surveillance plus avancée et des alertes, vous pouvez utiliser des outils tiers tels que Nagios, Zabbix, Munin, ou d'autres solutions de monitoring. Ces outils permettent de surveiller les métriques du serveur Apache et de définir des alertes en fonction de seuils spécifiques. Par exemple, vous pouvez surveiller la charge CPU, l'utilisation de la mémoire, les requêtes par seconde, etc.\n- Cependant, ces mesures ne sont pas aussi robustes qu'un service de mitigation DDoS dédié. Les attaques DDoS peuvent être très sophistiquées et volumineuses, et un service de mitigation DDoS spécialisé est généralement mieux équipé pour faire face à de telles attaques. Il existe plusieurs solutions open source de mitigation DDoS que vous pouvez envisager d'utiliser pour renforcer la sécurité de votre infrastructure en ligne. Voici quelques-unes d'entre elles : 1. Fail2ban : Fail2ban est un outil de prévention des intrusions qui peut être utilisé pour surveiller les journaux de connexion et bloquer automatiquement les adresses IP qui génèrent un trafic malveillant ou excessif. Vous pouvez créer des règles personnalisées dans le fichier de configuration de Fail2ban pour surveiller les journaux de connexion et définir des actions à prendre en cas de détection d'activité malveillante. Par exemple, pour bloquer une adresse IP après un certain nombre de tentatives de connexion échouées, vous pouvez ajouter une règle dans le fichier de configuration de Fail2ban. 2. ModSecurity : ModSecurity est un pare-feu d'application web open source qui peut être utilisé pour détecter et bloquer les attaques DDoS au niveau de l'application web en utilisant des règles personnalisées. ModSecurity utilise des règles pour détecter et bloquer les attaques au niveau de l'application web. Vous pouvez personnaliser ces règles en fonction de vos besoins. Par exemple, vous pouvez configurer des règles pour détecter des requêtes HTTP suspectes ou des tentatives d'injection SQL. 3. Snort : Snort est un système de détection d'intrusion (IDS) open source qui peut être configuré pour surveiller le trafic réseau à la recherche de comportements malveillants, y compris les attaques DDoS. Snort est configuré en utilisant des règles définies dans des fichiers de configuration. Vous pouvez créer ou personnaliser des règles pour détecter des signatures d'attaques DDoS spécifiques ou d'autres types de comportements malveillants. 4. Nginx : Bien que Nginx soit principalement un serveur web, il peut également être utilisé pour atténuer les attaques DDoS en limitant le nombre de connexions par adresse IP ou en utilisant des modules de sécurité tels que et pour contrôler le trafic entrant. 5. HAProxy : HAProxy est un équilibreur de charge et un proxy TCP/HTTP qui peut être configuré pour atténuer les attaques DDoS en limitant le nombre de connexions par IP, en utilisant des listes de blocage, et en distribuant la charge sur plusieurs serveurs. Ces serveurs peuvent être configurés pour atténuer les attaques DDoS en limitant le nombre de connexions par adresse IP, en utilisant des listes de blocage, en configurant des seuils de débit, etc. Vous devrez modifier le fichier de configuration de Nginx ou HAProxy pour définir ces paramètres en fonction de vos besoins. 6. iptables : Vous pouvez utiliser les règles iptables sur un serveur Linux pour filtrer et bloquer le trafic indésirable en fonction de certaines conditions, telles que le nombre de connexions par seconde. Vous pouvez utiliser des règles iptables pour filtrer et bloquer le trafic en fonction de divers critères, tels que l'adresse IP source, le port de destination, etc. Par exemple, pour limiter le nombre de connexions par seconde à un port spécifique, vous pouvez ajouter une règle iptables appropriée. Crédit image : *//"},"score":1.5,"snippet":"…e dispositifs connectés, souvent rassemblés dans un botnet, envoient simultanément un grand volume de demandes de manière coordonnée vers un serveur ou un site web cible. L'objectif principal d'une attaque DDoS est de su…","tier":2},{"article":{"uuid":"ad015f2d-78e7-47b6-bce7-e5da64a1a96d","slug":"matrix","title":"Matrix","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-09-28 03:57:08","created_at":"2023-09-28 03:57:08","updated_at":"2023-09-28 03:57:08","plain":"Matrix est un protocole de communication utilisé pour mettre en œuvre une messagerie instantanée décentralisée et sécurisée. La plateforme matrix.org fournit une gamme d'outils et de services associés à ce protocole. De plus, la plateforme est entièrement open source. En résumé :\n1. créer un compte\n1. valider son adresse\n1. utiliser un site ou un client lours\n1. accéder à un ou plusieurs salons Créer un compte sur serveur d’accueil Pour utiliser Matrix, il est nécessaire de créer un compte sur un serveur d'accueil. Par exemple, vous pouvez utiliser le site applicatif https:app.schildi.chat/#/register pour créer un compte sur le serveur d'accueil . schildi chat est une application de chat open source et multiplate-forme qui prend en charge le protocole Matrix. Elle offre une interface conviviale, des fonctionnalités de messagerie en temps réel, des appels vocaux et vidéo, ainsi que la possibilité de rejoindre des salons de discussion et des communautés. Pour créer un compte, suivez les étapes suivantes :\nEntrez un nom d'utilisateur (1).\nChoisissez un mot de passe (2).\nConfirmez le mot de passe en le saisissant à nouveau (3).\nFournissez une adresse e-mail valide (4).\nCliquez sur le bouton \"S'inscrire\" pour valider le formulaire (5). Assurez-vous de remplir toutes les informations requises avec précision avant de cliquer sur le bouton d'enregistrement. Valider son adresse mail Il est nécessaire de valider votre adresse e-mail pour activer votre compte. Dans cet e-mail, vous trouverez un lien qui vous redirigera vers une page spécifique sur le site. En cliquant sur ce lien, vous accédez à la page de validation de l'adresse e-mail. Sur cette page, vous pouvez voir un message de confirmation indiquant que votre adresse e-mail a été vérifiée avec succès. Une fois que vous avez validé votre adresse e-mail, vous êtes en mesure d'accéder à toutes les fonctionnalités du service et de commencer à l'utiliser normalement. La validation de l'adresse e-mail est une étape de sécurité importante qui aide à s'assurer que vous avez fourni une adresse e-mail valide et que vous êtes le véritable propriétaire de cette adresse. Cela permet également de réduire les risques de création de comptes frauduleux ou non autorisés. Utiliser un client matrix Vous avez deux options pour continuer à utiliser Matrix. Vous pouvez soit continuer à utiliser le site https:app.schildi.chat, soit opter pour l'utilisation d'un client lourd. Continuer dans le navigateur Internet 1. Si vous choisissez de continuer à utiliser le site, il vous suffit de vous connecter à votre compte existant ou de créer un nouveau compte. Cette interface web vous permettra d'accéder aux fonctionnalités de communication de Matrix directement depuis votre navigateur, sans avoir à installer un logiciel supplémentaire. Continuer avec un client lourd 2. Cependant, si vous préférez utiliser un client lourd, vous pouvez explorer les options disponibles. Les clients lourds sont des applications dédiées installées localement sur votre appareil. Ils offrent généralement des fonctionnalités plus avancées et une expérience utilisateur plus personnalisée. Vous pouvez rechercher des clients Matrix tels que SchilditChat, Element, Fractal, Quaternion, nheko, ou d'autres clients compatibles avec le protocole Matrix. Ces clients peuvent être disponibles pour différentes plateformes telles que Windows, macOS, Linux, iOS ou Android. Pour faire votre choix L'option que vous choisissez dépendra de vos préférences et de vos besoins spécifiques en termes de fonctionnalités et d'expérience utilisateur. Rejoindre un salon matrix\nVous pouvez rejoindre un salon Matrix sur invitation avec un lien comme celui-ci https:*matrix.to/#/#info-tech:matrix.org Vous pouvez également utiliser la barre de recherche en haut, à gauche pour trouver un salon public."},"score":1.5,"snippet":"…es clients lourds sont des applications dédiées installées localement sur votre appareil. Ils offrent généralement des fonctionnalités plus avancées et une expérience utilisateur plus personnalisée. Vous pouvez recherche…","tier":2},{"article":{"uuid":"d4ef2417-8097-4fd2-bb8e-e3146fe7dfbd","slug":"sbin","title":"sbin","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-08-20 06:59:16","created_at":"2023-08-20 06:59:16","updated_at":"2023-08-20 06:59:16","plain":"Les utilitaires utilisés pour l'administration système (ainsi que d'autres commandes réservées à l'administrateur) sont stockés dans , et . /sbin contient des exécutables essentiels au démarrage, à la restauration, à la récupération et/ou à la réparation du système, en plus des exécutables dans . Les programmes exécutés une fois que est monté (lorsqu'il n'y a pas de problèmes) sont généralement placés dans . Les programmes d'administration système installés localement doivent être placés dans ."},"score":1.5,"snippet":"…és dans . Les programmes d'administration système installés localement doivent être placés dans .","tier":2},{"article":{"uuid":"46644fd8-568b-440a-8db4-5e8b24cade8c","slug":"srv","title":"/srv","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-08-20 06:56:31","created_at":"2023-08-20 06:56:31","updated_at":"2023-08-20 06:56:31","plain":"Le répertoire /srv est défini dans le FHS (Filesystem Hierarchy Standard) pour stocker les données de service spécifiques à un système. Le but principal de spécifier ceci est que les utilisateurs puissent trouver l'emplacement des fichiers de données pour un service particulier, et que les services qui nécessitent un seul arbre pour les données en lecture seule, les données en écriture et les scripts (comme les scripts CGI) puissent être raisonnablement placés. Les données qui n'intéressent qu'un utilisateur spécifique doivent être placées dans le répertoire personnel de cet utilisateur. Si la structure de répertoire et de fichier des données n'est pas exposée aux consommateurs, elle doit être placée dans . La méthodologie utilisée pour nommer les sous-répertoires de n'est pas spécifiée, car il n'existe actuellement aucun consensus sur la manière de le faire. Une méthode pour structurer les données sous est par protocole, par exemple ftp, rsync, www et cvs. Sur de grands systèmes, il peut être utile de structurer en fonction du contexte administratif, comme , , etc. Cette configuration variera d'un hôte à l'autre. Par conséquent, aucun programme ne doit compter sur une structure spécifique de sous-répertoire de existant ou sur le fait que les données sont nécessairement stockées dans . Cependant, devrait toujours exister sur les systèmes conformes à la norme FHS et devrait être utilisé comme emplacement par défaut pour de telles données. Les distributions doivent veiller à ne pas supprimer les fichiers placés localement dans ces répertoires sans l'autorisation de l'administrateur."},"score":1.5,"snippet":"…ions doivent veiller à ne pas supprimer les fichiers placés localement dans ces répertoires sans l'autorisation de l'administrateur.","tier":2},{"article":{"uuid":"b47a7601-4591-4908-8fc3-b56cc9b76544","slug":"usr","title":"/usr","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-08-19 21:40:34","created_at":"2023-08-19 21:40:34","updated_at":"2023-08-19 21:40:34","plain":"Le répertoire contient les programmes, les documents et les données utilisateur qui sont utilisés par tous les utilisateurs du système. Le répertoire est destiné aux fichiers qui peuvent être partagés entre plusieurs machines. Le répertoire est souvent sur sa propre partition et est monté en lecture seule.\n: Ce répertoire est généralement utilisé pour stocker les commandes système. Il est également accessible pour tous les utilisateurs, mais nécessite des privilèges d'administrateur pour y installer des scripts.\n: Ce répertoire est utilisé pour les fichiers de configuration à l'échelle du système.\n: Ce répertoire est utilisé pour les fichiers d'en-tête C.\n: Ce répertoire est utilisé pour les binaires et les fichiers liés à Kerberos.\n: Ce répertoire est utilisé pour les fichiers objets et les bibliothèques qui ne sont pas destinés à être directement utilisés par des scripts shell ou des utilisateurs.\nIl contient également les bibliothèques nécessaires à l'exécution des binaires dans et . Ces images de bibliothèque partagées sont utilisées pour démarrer le système ou exécuter des commandes dans le système de fichiers racine.\n: Ce répertoire contient de petits programmes d'assistance appelés par d'autres programmes.\n: Conformément à la FHS (Filesystem Hierarchy Standard), ce sous-répertoire est utilisé par l'administrateur système lors de l'installation de logiciels localement et devrait être préservé des écrasements lors des mises à jour système. Le répertoire a une structure similaire à celle de .\n: Ce répertoire est généralement utilisé pour stocker les commandes système qui nécessitent des privilèges d'administrateur pour être exécutées. Cela signifie qu'il contient toutes les binaires d'administration système, y compris celles essentielles au démarrage, à la restauration, à la récupération ou à la réparation du système. Les binaires dans nécessitent des privilèges root pour être utilisés. À partir de Red Hat Enterprise Linux 7.0, a été déplacé vers . \n: Fichiers indépendants de la plateforme (non binaires) \n: Optionnel. Code source divers, généralement limité au noyau et aux bibliothèques système. FHS 2.2 demandait que toutes les sources soient dans ce répertoire, ce que certains Unix continuent de faire bien que ce ne soit plus recommandé."},"score":1.5,"snippet":"…'administrateur système lors de l'installation de logiciels localement et devrait être préservé des écrasements lors des mises à jour système. Le répertoire a une structure similaire à celle de .\n: Ce répertoire est gén…","tier":2},{"article":{"uuid":"fd666260-1dcb-4cf1-8c99-65dc3a70e410","slug":"dnsmasq","title":"- Installation","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-07-19 19:12:57","created_at":"2023-07-19 19:12:57","updated_at":"2023-07-19 19:12:57","plain":"====== dnsmasq ====== Dnsmasq est un relais DNS et un serveur DHCP léger et facile à configurer. Il est conçu pour fournir le service DNS et éventuellement le service DHCP à un petit réseau. Il peut fournir le nom de machines locales qui ne sont pas dans le catalogue DNS global. Le serveur DHCP est intégré au serveur DNS et permet aux machines avec des adresses allouées grâce à DHCP d'apparaître dans le DNS avec des noms configurés soit dans chaque hôte ou dans un fichier de configuration central. Dnsmasq prend en charge les baux DHCP statiques et dynamiques et BOOTP/TFTP pour le démarrage par le réseau de machines sans disque. Je détaille son installation et paramétrage pour Linux Debian / Ubuntu / Mint / Zorin OS / Raspberry Pi OS. Avec Linux Fedora / Red Hat, vous pouvez suivre la procédure sur la page Use dnsmasq to provide DNS & DHCP services de Fedora Magazine. Pour installer le paquet dnsmasq, il faut utiliser les bonnes commandes pour le bon système d'exploitation. Pour une distribution Debian et dérivée, c'est la commande apt et la paquet dnsmasq inclus dans la distribution officielle de Debian. sudo apt update\n sudo apt install dnsmasq\n \nLe service dnsmasq démarre et est activé à la fin de la procédure d'installation.\nConfigurer dnsmasq\nEn standard, votre machine est configurée avec un ou plusieurs serveurs DNS externes. Cette déclaration est effectuée dans le fichier . Il se peut que d'autres noms d'hôtes (généralement des noms d'hôtes locaux) soient déclarés dans le fichier )\nPlus d'infos : Les options de dnsmasq peuvent être définies soit sur la ligne de commande lors du démarrage de dnsmasq, soit dans son fichier de configuration ou dans un fichier de configuration spécifique présent dans le dossier Pour que la machine où est exécuté dnsmasq, utilise dnsmasq comme résolveur DNS, vous devez modifier le fichier avec la valeur . \\\\\nIl faut également modifier le fournisseur DNS upstream dans dnsmasq. Pour cela il faut utiliser l'option ou l'option qui indique le nom d'un fichier contenant les noms des fournisseurs DNS upstream.\nIl est nécessaire de désactiver la consultation du fichier par dnsmasq avec l'option .\nfonction DHCP\ndnsmasq lit le fichier afin que les noms des machines locales soient disponibles dans le DNS. Cela fonctionne bien lorsque vous donnez à toutes vos machines locales des adresses IP statiques, mais cela ne fonctionne pas lorsque les machines locales sont configurées via DHCP. Dnsmasq est livré avec un service DHCP intégré pour résoudre ce problème. Le service DHCP de dnsmasq alloue des adresses aux hôtes du réseau et essaie de déterminer leurs noms. S'il y parvient, il ajoute la paire nom/adresse au DNS. Il y a essentiellement deux façons d'associer un nom à une machine configurée par DHCP; soit la machine connaît son nom lorsqu'elle obtient un bail DHCP, soit dnsmasq lui donne un nom, basé sur l'adresse MAC de sa carte ethernet. Pour que la première solution fonctionne, une machine doit connaître son nom lorsqu'elle demande un bail DHCP. Les noms peuvent être n'importe quoi en ce qui concerne DHCP, mais dnsmasq ajoute quelques limitations. Par défaut, les noms ne doivent pas avoir de partie de domaine, c'est-à-dire qu'ils doivent juste être des noms alphanumériques, sans aucun point. Il s'agit d'une fonction de sécurité pour empêcher une machine sur votre réseau de dire à DHCP que son nom est \"www.google.com\" et ainsi de capter le trafic qui ne devrait pas lui être destiné. Une partie domaine n'est autorisée par dnsmasq dans les noms de machines DHCP que si l'option est définie, la partie domaine doit correspondre au suffixe.\nDomaines locaux\nLorsque vous avez des domaines locaux que vous ne voulez pas faire suivre aux serveurs en amont, il suffit d'utiliser les options de serveur sans l'adresse IP du serveur. Par exemple, l'option garantit que toute requête de nom de domaine se terminant par sera répondue si possible à partir de ou DHCP, mais ne sera jamais envoyée à un serveur en amont. Filtre Windows\nL'option permet à dnsmasq d'ignorer certaines requêtes DNS qui sont faites par Windows toutes les quelques minutes. Ces requêtes n'obtiennent généralement pas de réponses raisonnables dans le DNS global et causent des problèmes en déclenchant des liaisons Internet à la demande.\nExemple de configuration acegrp\nCréation d'un fichier de configuration spécifique dans permet d'indiquer le serveur upstream DNS. Il est nécessaire de l'indiquer car la consultation du fichier a été désactiver avec l'option .\nLire et analyser les logs\n Consulter les logs des actions du service dnsmasq dans le fichier : Extraire une liste des noms de domaine demandés :"},"score":1.5,"snippet":"…ondue si possible à partir de ou DHCP, mais ne sera jamais envoyée à un serveur en amont. Filtre Windows\nL'option permet à dnsmasq d'ignorer certaines requêtes DNS qui sont faites par Windows toutes les quelques minute…","tier":2},{"article":{"uuid":"23cabff6-cb88-4f1e-b65e-3c8a77fef45e","slug":"votre-compte-amazon-a-ete-desactive","title":"Votre compte Amazon a été désactivé","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-05-30 11:01:09","created_at":"2023-05-30 11:01:09","updated_at":"2023-05-30 11:01:09","plain":"J'ai identifié un e-mail frauduleux Amazon. En français : Analyse du message\nL'expéditeur Dans cet exemple, l'adresse e-mail de l'expéditeur est . Bien que cela puisse sembler légitime à première vue, il est important de noter que l'expéditeur prétend être Amazon Support, mais l'adresse e-mail ne correspond pas à un domaine associé à Amazon. Méfiez-vous des différences entre l'adresse e-mail de l'expéditeur et le nom de l'entreprise prétendument représentée. Le lien présent dans le message Dans cet e-mail, un lien est fourni pour prétendument identifier l'adresse e-mail de réception : http://account.login.notification.sqzgjfptizldxbqvaueh.hivegroup.biz/5kDWjV6InU?q=4979325635&id=503&e=adresse@mail.fr Il est crucial de maintenir une vigilance constante face à de telles tentatives de phishing. Il est impératif de ne jamais cliquer sur des liens suspects ou fournis dans des e-mails non sollicités. Les cybercriminels recourent fréquemment à des techniques d'ingénierie sociale pour inciter les utilisateurs à divulguer leurs informations personnelles ou à infecter leurs appareils avec des logiciels malveillants. Dans notre cas, il est important de noter qu'en cliquant sur le lien fourni, nous sommes redirigé vers une page blanche. Cependant, il est essentiel de comprendre que cela ne signifie pas nécessairement qu'aucune information n'a été transmise lors de cette redirection. Les attaquants peuvent utiliser diverses techniques pour masquer leur activité, y compris la redirection vers des pages vides. De plus, on peut noter que le lien contenu dans le message redirige vers le domaine , qui ne semble pas être lié à Amazon ou à . Il convient également de souligner que le site affiche actuellement une page de non disponibilité, ce qui soulève davantage de doutes quant à la légitimité de l'e-mail reçu. Dans de tels cas, il est préférable de faire preuve de prudence et de contacter directement l'entreprise présumée par des moyens de communication officiels pour vérifier l'authenticité de la demande ou de l'information reçue. En somme, il est primordial de rester vigilant face aux tentatives de phishing et de toujours vérifier attentivement les détails des e-mails suspects, tels que l'adresse e-mail de l'expéditeur, les liens inclus et la cohérence avec les informations connues sur l'entreprise prétendument représentée. Décryptage technique\nExaminons les autres informations de l'en-tête : L'en-tête indique que le message provient du domaine \"cnv-formation.com\". Encore une fois, cela ne correspond pas au domaine d'Amazon. Si vous recevez un e-mail prétendant provenir d'une entreprise spécifique, vérifiez que le domaine de l'expéditeur correspond à celui utilisé par cette entreprise. Dans cet exemple, le message a été reçu à partir d'une adresse IP inconnue, \"36.91.14.226\", qui n'est pas associée à Amazon ou à un serveur de confiance. La localisation du serveur est souvent un indicateur important pour détecter les tentatives de phishing. Examinons les informations DNS associées à : Les enregistrements DNS de type TXT indiquent des informations de configuration SPF (Sender Policy Framework) pour le domaine . SPF est un mécanisme utilisé pour spécifier les serveurs de messagerie autorisés à envoyer des courriers électroniques au nom d'un domaine spécifique. Dans le cas de , l'enregistrement SPF indique , ce qui signifie que toutes les adresses IP sont autorisées à envoyer des courriers électroniques en utilisant ce domaine. Cela indique une configuration SPF très permissive, car le \"+\" après \"spf1\" signifie \"tous les serveurs sont autorisés\".\nCela facilite l'usurpation d'identité ou le spam en utilisant ce domaine. Il est recommandé d'examiner d'autres facteurs tels que la présence de DKIM (DomainKeys Identified Mail) et de DMARC (Domain-based Message Authentication, Reporting, and Conformance), ainsi que de prendre en compte d'autres techniques de protection contre le courrier indésirable, comme les filtres anti-spam.\nConseils d'usage"},"score":1.5,"snippet":"…ilisé pour spécifier les serveurs de messagerie autorisés à envoyer des courriers électroniques au nom d'un domaine spécifique. Dans le cas de , l'enregistrement SPF indique , ce qui signifie que toutes les adresses IP s…","tier":2},{"article":{"uuid":"dc93157c-f833-4350-91e6-8ff43577dc7b","slug":"liens-hypertextes","title":"Lien hypertexte","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-03-14 22:00:45","created_at":"2023-03-14 22:00:45","updated_at":"2023-03-14 22:00:45","plain":"Un lien hypertexte est un élément dans un document électronique qui permet de lier cette page à une autre page ou à un autre document. Il s'agit généralement d'un texte ou d'une image cliquable qui redirige l'utilisateur vers une autre page ou une autre partie de la même page. Les liens hypertextes sont utilisés pour naviguer facilement entre différentes pages d'un site web, pour fournir des références à des sources externes, ou pour créer des liens entre différentes sections d'un document électronique. Les liens hypertextes sont une caractéristique fondamentale du World Wide Web et ils permettent de naviguer facilement et rapidement sur Internet. Il existe des anciens programmes qui prennent en charge les liens hypertextes, même antérieurs à l'apparition du World Wide Web. Par exemple, en 1987, Ted Nelson a publié une version de son système de gestion de documents hypertexte Xanadu pour MS-DOS. Cette version a permis de naviguer dans des documents interconnectés à travers des liens hypertextes, bien que les documents aient été stockés localement sur le disque dur de l'utilisateur plutôt que sur Internet. En 1990, Peter J. Brown a développé un navigateur hypertexte pour DOS appelé HyperAccess, qui a permis de naviguer sur des documents interconnectés stockés sur un serveur distant. HyperAccess a utilisé un protocole appelé Hyper-G pour transférer des documents hypertexte sur un réseau. Ces programmes étaient très limités par rapport aux navigateurs modernes et ont été largement remplacés par des programmes plus sophistiqués à mesure que le World Wide Web devenait de plus en plus populaire. Cependant, ils ont été importants dans le développement de la technologie hypertexte et ont aidé à jeter les bases de ce qui est devenu le World Wide Web."},"score":1.5,"snippet":"…liens hypertextes, bien que les documents aient été stockés localement sur le disque dur de l'utilisateur plutôt que sur Internet. En 1990, Peter J. Brown a développé un navigateur hypertexte pour DOS appelé HyperAccess,…","tier":2},{"article":{"uuid":"a5421e5e-aac1-404e-8ad6-ea920462500c","slug":"hack","title":"hack et liberté","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-03-14 21:24:44","created_at":"2023-03-14 21:24:44","updated_at":"2023-03-14 21:24:44","plain":"Quelques références\nLa Déclaration d'Indépendance du Cyberespace\nFranceNet FranceNet était un fournisseur d'accès à Internet en France qui a été créé en 1994. À l'époque, Internet était encore relativement nouveau en France, et FranceNet était l'un des premiers fournisseurs d'accès grand public à Internet dans le pays. FranceNet a connu un succès rapide et a rapidement gagné en popularité auprès des utilisateurs d'Internet en France. Le fournisseur d'accès proposait une variété de services, tels que des connexions à haut débit, des outils de messagerie électronique et des forums de discussion en ligne. En 2000, FranceNet a été racheté par l'entreprise américaine AOL, qui a fusionné les services de FranceNet avec ceux d'AOL France. La marque FranceNet a été abandonnée et remplacée par la marque AOL France. Bien que FranceNet ne soit plus une entité indépendante, il est souvent considéré comme l'un des premiers fournisseurs d'accès à Internet en France et un pionnier de l'Internet grand public dans le pays.\nRafi Haladjian Rafi Haladjian est un entrepreneur et inventeur français. Il est surtout connu pour avoir cofondé des entreprises telles que Violet, Sen.se et HAP2U, qui se concentrent sur les technologies de l'Internet des objets et des capteurs. Haladjian est né en 1961 à Alep, en Syrie, et a déménagé en France avec sa famille alors qu'il était enfant. Il a étudié l'informatique et l'électronique à l'Université Paris 7, puis a travaillé comme ingénieur dans diverses entreprises de technologie. En 1999, Haladjian a cofondé Violet, une entreprise de technologie qui a créé le lapin Nabaztag, un objet connecté qui pouvait diffuser de la musique, des informations et d'autres données en temps réel. Le Nabaztag est devenu un symbole de l'Internet des objets et a été acquis par de nombreux utilisateurs dans le monde entier. Depuis la création de Violet, Haladjian a continué à travailler sur des projets liés à l'Internet des objets et des capteurs. En 2012, il a fondé Sen.se, une entreprise qui développe des capteurs connectés pour la maison et l'environnement. En 2016, il a cofondé HAP2U, une entreprise qui développe des technologies de retour haptique pour les écrans tactiles. Haladjian est considéré comme un innovateur dans le domaine de l'Internet des objets et des capteurs, et son travail a contribué à populariser ces technologies auprès du grand public.\nWorldNet WorldNet était un fournisseur d'accès à Internet aux États-Unis qui a été fondé en 1993. À l'époque, Internet était encore relativement nouveau pour le grand public et WorldNet était l'un des premiers fournisseurs d'accès grand public aux États-Unis. WorldNet proposait une connexion à Internet à haut débit pour les utilisateurs individuels et les entreprises. Le fournisseur d'accès offrait également des services tels que la messagerie électronique, les forums de discussion en ligne et les sites Web personnalisés. En 1996, WorldNet a été acheté par AT&T, l'un des plus grands fournisseurs de télécommunications aux États-Unis. La marque WorldNet a été abandonnée et remplacée par la marque AT&T WorldNet. Bien que WorldNet ne soit plus une entité indépendante, il est considéré comme l'un des premiers fournisseurs d'accès grand public à Internet aux États-Unis et a contribué à populariser l'utilisation d'Internet auprès du grand public.\nDavid Dufresne David Dufresne est un écrivain, réalisateur et journaliste français. Il est surtout connu pour son travail dans les domaines du journalisme d'investigation, des droits de l'homme et de la justice sociale. Dufresne a commencé sa carrière en tant que journaliste en travaillant pour des publications telles que Libération, Les Inrockuptibles et Le Nouvel Observateur. Il a couvert un certain nombre de sujets importants au cours de sa carrière, notamment les manifestations contre le CPE en France en 2006 et les manifestations des \"Gilets jaunes\" en 2018. En tant que réalisateur, Dufresne est connu pour son travail sur des documentaires tels que \"État de guerre\" (2007) et \"The Monopoly of Violence\" (2020), qui se concentrent sur les questions de violence policière et de répression politique en France. Il est également l'auteur de plusieurs livres, dont \"On ne vit qu'une heure\" (2019), un compte rendu détaillé de la mort de Rémi Fraisse lors d'une manifestation contre le barrage de Sivens en France en 2014. Dufresne est considéré comme un défenseur des droits de l'homme et de la justice sociale en France, et son travail a souvent été salué pour son engagement en faveur de la vérité et de la transparence.\naltern L'hébergement alternatif est une forme d'hébergement de sites Web qui s'oppose aux grandes entreprises de l'industrie de l'hébergement, en offrant une alternative plus éthique, durable et respectueuse de l'environnement. Les fournisseurs d'hébergement alternatif cherchent à offrir une alternative aux grandes entreprises en proposant des services d'hébergement de sites Web qui sont plus respectueux de l'environnement, plus éthiques et plus équitables pour les utilisateurs. Ils cherchent également à offrir des services plus personnalisés et plus conviviaux, avec une plus grande transparence en termes de tarification et de fonctionnalités. Les fournisseurs d'hébergement alternatif sont souvent des entreprises à but non lucratif, des coopératives, des entreprises sociales ou des entreprises locales qui cherchent à offrir des services de qualité à des tarifs abordables, tout en respectant l'environnement et les droits des travailleurs. Ils se concentrent sur des pratiques durables, comme l'utilisation de sources d'énergie renouvelable et l'utilisation de serveurs écoénergétiques, pour réduire leur impact sur l'environnement. L'hébergement alternatif est une réponse à la domination des grandes entreprises de l'industrie de l'hébergement qui ont tendance à privilégier les profits plutôt que les utilisateurs et l'environnement. Les utilisateurs qui cherchent une alternative plus respectueuse de l'environnement et plus éthique peuvent opter pour l'hébergement alternatif pour répondre à leurs besoins en matière d'hébergement de sites Web.\nValentin Lacambre Valentin Lacambre est un entrepreneur français qui a travaillé dans le domaine de l'Internet et des technologies de l'information. Il est surtout connu pour avoir cofondé Gandi.net, une entreprise qui fournit des services d'enregistrement de noms de domaine et d'hébergement de sites Web. Lacambre a commencé sa carrière dans l'industrie de l'Internet en travaillant pour des fournisseurs d'accès à Internet et des sociétés de développement de logiciels. En 1999, il a cofondé Gandi.net avec un groupe d'amis, avec pour objectif de créer une entreprise d'hébergement de sites Web éthique et respectueuse de l'environnement. Gandi.net est devenu l'un des principaux fournisseurs d'enregistrement de noms de domaine et d'hébergement de sites Web en France, offrant des services à des clients du monde entier. L'entreprise est également connue pour son engagement en faveur de l'éthique et de la responsabilité sociale, en adoptant des pratiques éco-responsables et en s'impliquant dans des projets de défense des droits numériques. En dehors de son travail avec Gandi.net, Lacambre est également un défenseur des droits numériques et de la liberté d'expression en ligne. Il a travaillé sur des projets pour aider à protéger la vie privée et la sécurité en ligne, et a plaidé pour la protection des libertés civiles dans l'espace numérique.\nOlivier Iteanu Olivier Iteanu est un avocat français spécialisé dans les technologies de l'information et de la communication (TIC). Il est considéré comme l'un des principaux experts en droit de l'Internet en France. Iteanu a commencé sa carrière d'avocat dans les années 1980, et s'est rapidement intéressé aux questions juridiques liées aux nouvelles technologies. Il est devenu un expert reconnu dans le domaine du droit de l'Internet et a travaillé sur de nombreuses affaires importantes liées à la propriété intellectuelle, la protection des données personnelles et la réglementation des services en ligne. Iteanu est également connu pour son travail en matière de protection de la vie privée et de la liberté d'expression en ligne. Il a plaidé en faveur de la protection des droits individuels dans l'espace numérique, et a travaillé sur des projets pour aider à protéger la vie privée des utilisateurs d'Internet. En plus de son travail d'avocat, Iteanu est également un conférencier et un auteur prolifique. Il a publié plusieurs livres sur les questions juridiques liées aux nouvelles technologies, et est souvent invité à donner des conférences sur ces sujets dans des événements et des universités en France et à l'étranger.\nBruce Schneier Bruce Schneier est un expert en sécurité informatique américain, auteur et chercheur en cryptographie. Il est surtout connu pour son travail dans le domaine de la sécurité informatique, de la cryptographie et de la vie privée. Schneier a travaillé pour diverses entreprises et organisations, notamment IBM, BT Group et la Commission de surveillance du renseignement étranger aux États-Unis. Il a également écrit de nombreux livres sur la sécurité informatique, la vie privée et la cryptographie, dont \"Applied Cryptography\" et \"Data and Goliath\". Schneier est considéré comme l'un des principaux experts en sécurité informatique au monde. Il a contribué à de nombreux projets et initiatives liés à la sécurité informatique, notamment le développement de l'algorithme de chiffrement Blowfish et le développement de Tor, un réseau informatique anonyme. Il a également été un défenseur de la vie privée et de la liberté d'expression en ligne. Schneier est souvent invité à donner des conférences et à participer à des événements sur la sécurité informatique et la cryptographie, et a reçu de nombreux prix et distinctions pour son travail dans ce domaine. Il est également connu pour son blog, \"Schneier on Security\", où il partage des commentaires, des réflexions et des analyses sur les questions de sécurité informatique, de vie privée et de cryptographie.\nFrench Data Network French Data Network (FDN) est le plus ancien fournisseur d'accès à Internet associatif en France. Il a été créé en 1992 à Paris et a été l'un des premiers à fournir un accès à Internet grand public en France. FDN a été créé par un groupe de militants de la technologie qui cherchaient à promouvoir l'accès à Internet pour tous. À l'époque, les services d'accès à Internet étaient principalement fournis par des grandes entreprises et étaient coûteux et difficiles à obtenir. FDN a cherché à offrir une alternative à ces services, en fournissant un accès à Internet abordable et accessible à tous. FDN est un fournisseur d'accès à Internet associatif, ce qui signifie qu'il est géré par une association à but non lucratif plutôt que par une entreprise à but lucratif. Les membres de l'association participent à la gestion de l'entreprise et ont une voix dans les décisions importantes. FDN est également connu pour son engagement en faveur de la neutralité du Net et de la vie privée en ligne. L'entreprise a été un défenseur de la neutralité du Net, qui stipule que tous les contenus en ligne doivent être traités de la même manière, sans discrimination ni favoritisme. FDN a également été un défenseur de la vie privée en ligne, en offrant des services d'accès à Internet qui respectent la vie privée des utilisateurs et en militant pour des politiques de protection des données plus strictes. Le site officiel de French Data Network (FDN) est https:www.fdn.fr/. Le site propose des informations sur l'association, ses activités et ses valeurs, ainsi que sur ses services d'accès à Internet, d'hébergement et de téléphonie. Le site propose également des nouvelles, des événements et des blogs pour rester informé sur les développements en matière de politique, de technologie et de droits numériques.\nParti Pirate suédois Le Parti Pirate suédois est un parti politique suédois fondé en 2006. Il s'agit d'un parti axé sur les questions de liberté de l'information, de la vie privée et de la propriété intellectuelle, et qui est fortement influencé par les valeurs du mouvement pirate mondial. Le Parti Pirate suédois a été créé pour défendre les droits des citoyens à accéder à l'information et à la culture sans restriction, et pour s'opposer aux lois qui limitent l'accès à ces ressources, comme les lois sur le droit d'auteur. Le parti a également défendu la liberté d'expression en ligne, la protection de la vie privée et la transparence dans les institutions gouvernementales. Le Parti Pirate suédois a remporté un siège au Parlement européen lors des élections de 2009, faisant de lui le premier parti pirate à obtenir un siège dans une institution gouvernementale. Le parti a également remporté des sièges dans plusieurs parlements régionaux en Suède. Depuis sa création, le Parti Pirate suédois a été une source d'inspiration pour d'autres partis pirates dans le monde, qui ont adopté des positions similaires sur les questions de la liberté de l'information, de la vie privée et des droits des citoyens en ligne. Le site officiel du Parti Pirate suédois est https:piratpartiet.se/. Sur ce site, vous pouvez trouver des informations sur le parti, ses membres, sa mission et ses activités, ainsi que des ressources pour en savoir plus sur les idées et les principes du mouvement Pirate.\nSoftware Freedom Law Center La Software Freedom Law Center (SFLC) est une organisation à but non lucratif basée aux États-Unis qui offre des services juridiques pro bono aux développeurs de logiciels libres et open source. Elle a été créée en 2005 par des avocats spécialisés dans les questions juridiques liées aux logiciels libres. La SFLC fournit une assistance juridique aux projets de logiciels libres et open source, en aidant à préserver les droits des auteurs et des utilisateurs de logiciels libres et en aidant à résoudre les conflits juridiques liés à ces projets. Elle fournit également des conseils juridiques aux entreprises qui souhaitent utiliser des logiciels libres ou open source dans leurs produits et services. La SFLC a travaillé avec de nombreux projets de logiciels libres et open source populaires, notamment le projet GNU, la Fondation Linux, OpenWrt, BusyBox et Samba. Elle a également été impliquée dans des affaires importantes liées aux logiciels libres, notamment dans le procès SCO contre IBM et dans le procès de la Free Software Foundation contre Cisco Systems. La SFLC est connue pour son engagement en faveur de la défense des logiciels libres et open source et pour son travail en faveur de la protection des droits des développeurs et des utilisateurs de logiciels libres. Elle est considérée comme une ressource importante pour la communauté des logiciels libres et open source et a contribué à aider de nombreux projets de logiciels libres à atteindre leurs objectifs. Le site officiel du Software Freedom Law Center (SFLC) est https:www.softwarefreedom.org/. Sur ce site, vous pouvez trouver des informations sur la mission et les activités de l'organisation, ainsi que des ressources pour comprendre et défendre les droits des utilisateurs de logiciels libres.\nLa Free Software Foundation (FSF) La Free Software Foundation (FSF) est une organisation à but non lucratif fondée en 1985 par Richard Stallman pour promouvoir les logiciels libres. La mission de la FSF est de défendre les libertés des utilisateurs de logiciels, notamment la liberté d'exécuter, de copier, de distribuer, d'étudier, de modifier et d'améliorer les logiciels. La FSF est responsable de la définition de la notion de \"logiciel libre\" et a développé la licence publique générale GNU (GNU GPL), qui est une licence de logiciel libre utilisée par de nombreux projets de logiciels libres. La FSF soutient également des projets de logiciels libres tels que le système d'exploitation GNU, ainsi que des campagnes pour sensibiliser le public aux problèmes de la liberté et de la confidentialité des utilisateurs de logiciels. La FSF est également connue pour sa campagne \"Defective by Design\", qui vise à sensibiliser le public aux problèmes de DRM et à promouvoir les logiciels et les médias libres. L'organisation a également lancé la campagne \"Respects Your Freedom\" pour aider les consommateurs à trouver des matériels compatibles avec les logiciels libres. La FSF a été un acteur important dans le développement et la promotion du mouvement des logiciels libres. Elle a joué un rôle clé dans la création de nombreuses entreprises et projets de logiciels libres, et a aidé à établir les normes et les pratiques qui sont maintenant couramment utilisées dans l'industrie des logiciels libres et open source. Le site officiel de la Free Software Foundation (FSF) est https:www.fsf.org/. Sur ce site, vous pouvez trouver des informations sur la FSF, sa mission et ses activités, ainsi que des ressources pour apprendre à utiliser des logiciels libres et à défendre la liberté des utilisateurs de logiciels. Vous pouvez également rejoindre la FSF en tant que membre, faire un don pour soutenir son travail, ou vous engager dans des actions de défense de la liberté informatique. Le site propose également des nouvelles, des événements et des blogs pour rester informé sur les développements en matière de logiciels libres et de droits numériques.\n1re condamnation HADOPI Le premier condamné par la HADOPI en France était un artisan de la quarantaine condamné en 2012 pour ne pas avoir sécurisé son accès Internet. Il avait été condamné à une amende de 150 euros pour ne pas avoir sécurisé son accès Internet malgré les avertissements répétés de la HADOPI. Il était en instance de divorce et avait déclaré que les deux chansons de Rihanna de téléchargements illégaux avaient été effectués par sa future ex-épouse.\nWikiLeaks WikiLeaks est une organisation internationale à but non lucratif qui a été créée en 2006 pour publier des documents confidentiels et sensibles dans l'intérêt public. Fondée par Julian Assange, WikiLeaks s'est donné pour mission de défendre la transparence et la liberté d'expression en publiant des informations qui auraient autrement été dissimulées au public. Au fil des ans, WikiLeaks a publié des milliers de documents confidentiels, notamment des documents gouvernementaux, des câbles diplomatiques, des courriers électroniques de personnalités politiques et des dossiers secrets d'entreprises. Ses publications ont souvent fait la une des journaux et ont contribué à révéler des abus de pouvoir, des violations des droits de l'homme, des pratiques de corruption et d'autres activités illégales ou discutables. WikiLeaks a également été impliqué dans des controverses juridiques, notamment en ce qui concerne la publication de documents confidentiels. En 2010, le site a publié des milliers de câbles diplomatiques confidentiels de l'administration américaine, ce qui a suscité la colère de nombreux gouvernements à travers le monde et a conduit à l'arrestation de Julian Assange en 2019. WikiLeaks est considéré comme une organisation de journalisme d'investigation et est largement reconnu pour avoir révélé des informations importantes dans l'intérêt public. Cependant, ses méthodes et ses pratiques ont été critiquées par certains pour leur impact potentiel sur la sécurité nationale et les relations diplomatiques entre les pays. Le site officiel de WikiLeaks est https:wikileaks.org/. Sur ce site, vous pouvez trouver des informations sur l'organisation, ses publications, ses activités et ses projets. Vous pouvez également accéder aux documents et aux fichiers confidentiels qui ont été publiés par WikiLeaks au fil des ans. Le site propose également des options pour soutenir financièrement l'organisation ou s'engager dans des actions de défense de la liberté d'expression et de la transparence. Notez que l'accès au site peut être restreint dans certains pays en raison de la censure ou des restrictions en matière de liberté d'expression.\nEmin Milli Emin Milli, également connu sous le nom d'Emin Abdullayev, est un écrivain, journaliste et militant des droits de l'homme azéri. Il est né en 1979 à Bakou, en Azerbaïdjan, et a étudié la philosophie à l'Université de Vienne en Autriche. Emin Milli est connu pour son travail de défense de la liberté d'expression en Azerbaïdjan, où la presse est souvent censurée et où les journalistes sont régulièrement victimes d'intimidation et de violence. En 2009, il a été emprisonné pendant 16 mois pour \"hooliganisme\" après avoir été attaqué dans un café à Bakou. L'incident avait été filmé et publié sur YouTube, mais les autorités azéries avaient accusé Emin Milli et un ami d'avoir provoqué l'altercation. Sa détention avait été largement critiquée par la communauté internationale et de nombreuses organisations de défense des droits de l'homme avaient appelé à sa libération. Après sa libération, Emin Milli a continué à travailler en tant que journaliste et militant des droits de l'homme. Il a co-fondé le Centre pour la protection de la liberté de pensée et d'expression en Azerbaïdjan et a travaillé pour plusieurs médias, dont Radio Free Europe/Radio Liberty et Meydan TV. Il est également l'auteur de plusieurs livres, dont \"Pensées d'un prisonnier politique\". Emin Milli est largement reconnu pour son courage et son engagement en faveur de la liberté d'expression et des droits de l'homme en Azerbaïdjan. http:eminmilli.com/\namesys Amesys est une entreprise française de technologie de surveillance et de sécurité qui a été fondée en 1986. Elle est spécialisée dans la conception, le développement et la vente de solutions de surveillance, de cybersécurité et de renseignement. L'entreprise a été impliquée dans des controverses concernant la vente de ses technologies à des gouvernements autoritaires, notamment la Libye sous le régime de Mouammar Kadhafi. En 2011, des documents ont été publiés montrant que la société avait vendu des équipements de surveillance à la Libye pour aider le gouvernement à espionner ses propres citoyens. Cette révélation a entraîné une enquête et un procès contre Amesys et certains de ses dirigeants pour complicité de torture, de meurtre et de crimes contre l'humanité en Libye. Cependant, en 2018, le tribunal a annulé le procès pour des raisons techniques, ce qui a suscité de vives critiques de la part des groupes de défense des droits de l'homme.\nowni.fr OWNI.fr était un site d'information en ligne français, créé en 2009 et fermé en 2014. Le nom signifiait \"Open News, Open Data, Open Society\" et reflétait la mission du site de promouvoir la transparence, la liberté d'expression et la participation citoyenne. OWNI.fr était connu pour son journalisme d'investigation, son approche innovante de la couverture de l'actualité et sa collaboration avec des experts et des contributeurs externes pour produire du contenu original. Le site couvrait des sujets tels que la technologie, la politique, les sciences, la culture et les médias, en mettant l'accent sur les enjeux liés aux droits numériques, à la protection de la vie privée et à la transparence. OWNI.fr a également été impliqué dans des initiatives liées à l'ouverture des données, notamment en organisant des hackathons pour encourager l'utilisation de données publiques et l'innovation numérique. Le site a remporté plusieurs prix pour son travail, notamment le Prix du journalisme citoyen en 2010.\nqosmos Qosmos est une entreprise française de technologie de surveillance qui a été fondée en 2000. Elle est spécialisée dans la conception et la commercialisation de solutions de surveillance et d'analyse de trafic réseau pour les gouvernements, les forces de l'ordre et les entreprises. Qosmos propose des outils d'analyse de trafic réseau qui permettent de collecter, de filtrer et d'analyser des informations sur les communications sur Internet, y compris les e-mails, les messages instantanés et la voix sur IP. Les produits de Qosmos sont utilisés pour des applications telles que la sécurité nationale, la lutte contre le terrorisme, le renseignement et la cybersécurité. Cependant, Qosmos a été impliqué dans des controverses concernant la vente de ses technologies à des régimes autoritaires, notamment la Syrie et la Libye sous Kadhafi. En 2015, l'entreprise a été mise en examen pour \"complicité d'actes de torture\" pour sa vente de technologies de surveillance à la Syrie. Qosmos utilise des technologies d'analyse de trafic réseau pour surveiller et analyser les communications sur Internet. Les produits de Qosmos sont basés sur une technologie d'inspection approfondie de paquets (Deep Packet Inspection - DPI), qui permet de filtrer et d'analyser les paquets de données en temps réel, en examinant leur contenu et leur contexte. La technologie DPI est souvent utilisée pour des applications telles que la sécurité réseau, la gestion de la bande passante, l'optimisation du réseau et la détection de menaces. Cependant, elle peut également être utilisée à des fins de surveillance, de censure ou de violation de la vie privée si elle est mise entre de mauvaises mains.\nBruce Schneier Bruce Schneier est un cryptographe, un expert en sécurité informatique, et un écrivain américain. Il est connu pour son travail sur la sécurité des systèmes d'information et sa contribution à la recherche en cryptographie. Schneier a écrit de nombreux ouvrages sur la sécurité informatique et la vie privée, notamment \"Applied Cryptography\", \"Secrets and Lies\", \"Beyond Fear\", \"Data and Goliath\", et \"Click Here to Kill Everybody\". Il est également l'auteur du blog \"Schneier on Security\", où il commente l'actualité en matière de sécurité informatique et de politique de sécurité. Schneier est connu pour ses opinions sur la sécurité et la vie privée dans le monde numérique, et a plaidé en faveur d'une réglementation plus stricte pour protéger les données personnelles et la vie privée des utilisateurs en ligne. Il a également critiqué les politiques de surveillance de masse menées par les gouvernements et les entreprises, et a plaidé en faveur de la protection de la liberté d'expression et de la confidentialité en ligne.\nPeter Hustinx - CEPD Peter Hustinx est un expert européen en protection des données et en vie privée. Il a été le premier Contrôleur européen de la protection des données (CEPD), fonction qu'il a occupée de 2004 à 2014. Le CEPD est l'organe indépendant de l'Union européenne chargé de surveiller la conformité des institutions européennes à la législation sur la protection des données et de conseiller les institutions européennes sur les questions de protection des données. Avant sa nomination en tant que CEPD, Hustinx a travaillé pendant de nombreuses années en tant qu'expert en protection des données pour le gouvernement néerlandais et pour des organisations internationales telles que l'Organisation de coopération et de développement économiques (OCDE) et l'Organisation mondiale de la santé (OMS). Hustinx est également connu pour son travail en tant qu'expert en protection des données au niveau européen et international. Il a participé à de nombreuses discussions et initiatives sur la protection des données et la vie privée, et a été impliqué dans l'élaboration de la législation européenne sur la protection des données, y compris le Règlement général sur la protection des données (RGPD) adopté en 2016.\nTelecomix Telecomix est un groupe de hackers et d'activistes informatiques, créé en 2009 pour défendre la liberté d'expression et les droits de l'homme en ligne. Le groupe est composé de bénévoles du monde entier qui utilisent leur expertise en informatique pour aider les citoyens à contourner les blocages d'Internet, à protéger leur vie privée et à défendre la liberté d'expression. Le groupe a été créé en réponse aux blocages d'Internet et aux restrictions à la liberté d'expression qui ont été imposées pendant les soulèvements populaires dans le monde arabe en 2009. Telecomix a fourni des outils de communication sécurisés et anonymes aux militants et aux citoyens pour les aider à communiquer en toute sécurité malgré les restrictions imposées par les autorités. Telecomix a également été impliqué dans d'autres initiatives pour défendre la liberté d'expression et les droits de l'homme en ligne, y compris la lutte contre la censure et la surveillance sur Internet. Le groupe a travaillé avec d'autres organisations et activistes pour promouvoir la liberté d'expression et la vie privée en ligne, et a été salué pour son rôle dans la protection de la liberté d'expression et des droits de l'homme en ligne.\nACTA ACTA est l'acronyme de \"Anti-Counterfeiting Trade Agreement\", ou Accord commercial anti-contrefaçon en français. Il s'agissait d'un accord international visant à renforcer la protection des droits de propriété intellectuelle, notamment le droit d'auteur et les marques de commerce, à l'échelle mondiale. L'ACTA a été négocié entre 2007 et 2010 par un petit groupe de pays, dont les États-Unis, le Canada, l'Union européenne et le Japon. Le texte de l'accord était très secret, et n'a été rendu public qu'en 2010, après des fuites dans la presse. L'ACTA a suscité une forte opposition de la part de nombreux groupes et organisations de défense des libertés numériques, qui ont critiqué le caractère secret des négociations et l'impact potentiel de l'accord sur la liberté d'expression, la vie privée et l'accès à l'information. En 2012, après une série de manifestations et de pressions politiques, le Parlement européen a rejeté l'ACTA par un vote à une large majorité, ce qui a entraîné la fin des négociations sur l'accord.\nHackerspace Un hackerspace est un espace communautaire ouvert où les hackers et les passionnés de technologie peuvent se rencontrer, échanger des idées et travailler sur des projets en commun. Les hackerspaces ont souvent des équipements et des outils tels que des imprimantes 3D, des scanners, des machines-outils, des ordinateurs, des circuits électroniques et des outils de programmation. Les hackerspaces sont généralement des organisations à but non lucratif, gérées par les membres et financées par les cotisations des membres ou par des dons. Ils ont pour objectif de promouvoir l'apprentissage, la collaboration et la créativité dans les domaines de la technologie, de l'informatique, de l'électronique et de l'artisanat. Les hackerspaces sont souvent utilisés pour des projets liés à la sécurité informatique, à la création de logiciels libres et à l'open source, à la robotique, à l'électronique, à la biologie synthétique et à d'autres domaines de la technologie. Ils sont également utilisés pour des activités éducatives telles que des ateliers, des cours et des conférences sur la technologie et l'informatique. Table des matières\nLes pages\n Les sous-catégories\n"},"score":1.5,"snippet":"…se qui développe des capteurs connectés pour la maison et l'environnement. En 2016, il a cofondé HAP2U, une entreprise qui développe des technologies de retour haptique pour les écrans tactiles. Haladjian est considéré c…","tier":2},{"article":{"uuid":"6016aa4b-f42b-43ef-9957-b893fa030a0c","slug":"mosquitto","title":"Mosquitto : client et serveur MQTT","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-03-14 07:45:19","created_at":"2023-03-14 07:45:19","updated_at":"2023-03-14 07:45:19","plain":"Mosquitto est un courtier de messages (ou broker / serveur MQTT) MQTT open source. Plus d'infos sur MQTT à la page . Mosquitto peut être utilisé pour implémenter des scénarios tels que la collecte de données de capteurs, la surveillance de l'état des appareils et la gestion de l'IoT en général. Les clients MQTT peuvent se connecter à Mosquitto pour publier et/ou recevoir des messages sur des topics spécifiques, permettant une communication efficace et fiable entre les appareils. Dans cet article j'installe Mosquitto sur Rasbperry Pi. Le port par défaut 1883/tcp sera utilisé. Installer le service Mosquitto\nVoici les étapes générales pour installer Mosquitto sur Rasbperry Pi OS, Debian ou Ubuntu : Après l'installation, vous pouvez vérifier si Mosquitto est en cours d'exécution en utilisant la commande dans l'invite de commandes. Cela devrait afficher la version de Mosquitto et les informations de journalisation. Vérifier l’accessibilité du service\nPour vous assurer que le port Mosquitto est ouvert, vous pouvez utiliser un outil en ligne de commande comme nmap pour scanner votre adresse IP publique et vérifier si le port 1883 est ouvert. Par exemple, en utilisant la commande suivante : . Si le port Mosquitto est ouvert, vous devriez voir une ligne dans la sortie de la commande qui indique que le port 1883 est \"open\". Je conseille d’exécuter sur un autre ordinateur que celui qui exécute le service Mosquitto. Configurer la connexion identifiée\nLa connexion à Mosquitto peut être anonyme ou avec un nom d'utilisateur et un mot de passe, selon la configuration du serveur. Dans se paragraphe nous abordons la configuration d'un utilisateur. Pour créer un utilisateur et de définir un mot de passe afin d'accéder à Mosquitto, il faut utiliser l'utilitaire qui est installé avec Mosquitto et permet de gérer les informations d'identification des utilisateurs pour Mosquitto. sudo mosquittopasswd -c /etc/mosquitto/passwd UTILISATEUR Plus spécifiquement, cette commande effectue les actions suivantes :\npermet d'exécuter la commande avec des privilèges d'administrateur pour pouvoir écrire dans le dossier /etc/mosquitto où se trouve le fichier de mots de passe.\nest l'utilitaire de ligne de commande pour gérer le fichier de mots de passe.\ncrée un nouveau fichier de mots de passe s'il n'existe pas déjà, ou remplace un fichier existant.\nest le chemin d'accès complet au fichier de mots de passe à créer ou modifier.\nest le nom d'utilisateur à ajouter au fichier de mots de passe. Vous pouvez remplacer ce nom d'utilisateur par le nom que vous souhaitez utiliser. Une fois que vous avez créé le fichier de mots de passe et ajouté des utilisateurs, vous pouvez utiliser ces informations d'identification pour restreindre l'accès à Mosquitto, en configurant l'authentification basée sur le nom d'utilisateur et le mot de passe dans le fichier de configuration de Mosquitto. Cela est particulièrement important si vous utilisez Mosquitto dans un environnement de production ou si vous souhaitez sécuriser l'accès à votre broker MQTT. Vous devez modifier le fichier de configuration de Mosquitto pour autoriser l'authentification basée sur le nom d'utilisateur et le mot de passe. Ouvrez le fichier de configuration de Mosquitto. Le fichier peut être situé à différents endroits en fonction de votre installation. Par exemple, sur une installation standard de Mosquitto sous Linux, le fichier se trouve généralement dans . Ajoutez les lignes suivantes au fichier de configuration pour spécifier le chemin d'accès au fichier de mots de passe que vous avez créé avec , ainsi que les paramètres d'authentification : passwordfile /etc/mosquitto/passwd\n allowanonymous false Enregistrez le fichier de configuration et redémarrez le service Mosquitto pour que les modifications prennent effet :\n \n sudo systemctl restart mosquitto Après avoir suivi ces étapes, les utilisateurs devront s'authentifier avec un nom d'utilisateur et un mot de passe valides pour publier et souscrire à des messages dans Mosquitto. Si l'utilisateur n'a pas les bonnes informations d'identification, il sera refusé d'accès. Cette fonctionnalité de sécurité renforce la sécurité de Mosquitto et permet de restreindre l'accès à des utilisateurs de confiance uniquement.\n \nConfigurer la connexion anonyme\nLa connexion à Mosquitto peut être anonyme ou avec un nom d'utilisateur et un mot de passe, selon la configuration du serveur. Dans ce paragraphe nous abordons la configuration pour une connexion anonyme. Pour indiquer que la connexion au serveur MQTT est anonyme (sans nom d'utilisateur ni mot de passe), vous devez ajouter les lignes suivantes dans votre fichier de configuration : allowanonymous true Ceci autorisera les connexions anonymes au serveur MQTT. Si cette option n'est pas définie, toutes les connexions nécessiteront un nom d'utilisateur et un mot de passe valides. Assurez-vous de redémarrer le serveur MQTT après avoir modifié le fichier de configuration pour que les modifications prennent effet. Notez que l'utilisation de connexions anonymes peut présenter des risques de sécurité, car cela permet à n'importe qui de se connecter et de publier ou de recevoir des messages sans authentification. Il est donc recommandé d'utiliser des informations d'authentification sécurisées pour protéger votre serveur MQTT.\nEnvoyer / recevoir des messages MQTT\nMosquitto-clients est un outil en ligne de commande fourni avec le broker Mosquitto pour publier et souscrire à des messages MQTT à partir de la ligne de commande. En d'autres termes, Mosquitto-clients permet aux développeurs et aux administrateurs de système de tester et de déboguer des applications MQTT en utilisant des commandes simples pour publier et recevoir des messages. Cela peut être utile pour vérifier la connectivité, le flux de données et le traitement des messages entre les appareils et le broker Mosquitto. Pour installer les clients Mosquitto, y compris le client de ligne de commande et le client d'envoi , vous pouvez suivre ces étapes : sudo apt update\n sudo apt install mosquitto-clients Vous pouvez maintenant utiliser les clients Mosquitto pour publier et souscrire à des messages dans Mosquitto. Par exemple, vous pouvez utiliser la commande pour publier des messages MQTT à un topic : mosquittopub -h localhost -t sensor/elec -m 2546 Par exemple vous pouvez utiliser la commande pour souscrire au topic et recevoir des messages MQTT : mosquittosub -h localhost -t \"sensor/elec\""},"score":1.5,"snippet":"…rticulièrement important si vous utilisez Mosquitto dans un environnement de production ou si vous souhaitez sécuriser l'accès à votre broker MQTT. Vous devez modifier le fichier de configuration de Mosquitto pour autori…","tier":2},{"article":{"uuid":"fe03224a-8cdd-43bc-be82-d878c8abe5cd","slug":"imprimante-modifier-cups","title":"Modifier la configuration d'une imprimante","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-03-13 19:32:40","created_at":"2023-03-13 19:32:40","updated_at":"2023-03-13 19:32:40","plain":"OS validée : Linux Fedora24\\\\\nImprimante testés : Samsung SL-M3320ND Pour configurer une imprimante sur un système Linux, il est essentiel de vérifier la configuration dans le fichier . Ce fichier permet de nommer l'imprimante et de spécifier des informations telles que la localisation, le répertoire de spool et le filtre d'impression. Le répertoire de spool est l'endroit où les travaux d'impression sont en attente. Il est recommandé de les créer sous et de leur donner le même nom que l'imprimante. Par exemple, si vous ajoutez une imprimante appelée à printcap, vous devriez indiquer comme répertoire de spool et créer ce répertoire avec la commande .\nd'infos : Configurer une imprimante => Arrêter CUPS Le fichier est utilisé pour configurer les imprimantes dans CUPS. Vous pouvez le modifier avec la commande . Un exemple de configuration de l'imprimante Samsung M332x 382x 402x Series est donné dans le fichier . Vous pouvez l'utiliser comme modèle pour configurer votre propre imprimante. Exemple de configuration : Une fois la configuration de l'imprimante terminée, vous pouvez redémarrer la machine avec la commande pour que les modifications prennent effet."},"score":1.5,"snippet":"…l'imprimante et de spécifier des informations telles que la localisation, le répertoire de spool et le filtre d'impression. Le répertoire de spool est l'endroit où les travaux d'impression sont en attente. Il est recomma…","tier":2},{"article":{"uuid":"68c1cbf1-f57e-4e6b-b0be-358f9da802e0","slug":"flatseal","title":"flatseal","category":"Informatique","author":"cedric@abonnel.fr","cover":"","published":true,"published_at":"2023-03-06 20:52:58","created_at":"2023-03-06 20:52:58","updated_at":"2023-03-06 20:52:58","plain":"Flatseal est un programme pour Linux qui permet aux utilisateurs de visualiser et de modifier les autorisations des applications flatpak. Les applications flatpak sont des applications Linux qui sont empaquetées avec toutes leurs dépendances et exécutées dans un environnement sandbox isolé. L'un des avantages de l'utilisation d'applications flatpak est qu'elles sont isolées les unes des autres et des autres parties du système, ce qui réduit les risques de sécurité. Cependant, cela signifie également que les applications flatpak ont des autorisations limitées pour accéder aux ressources du système, telles que les fichiers, les caméras et les microphones. Flatseal permet aux utilisateurs de modifier ces autorisations pour chaque application flatpak individuelle afin de leur accorder un accès supplémentaire aux ressources du système si nécessaire. Flatseal propose une interface graphique simple et facile à utiliser pour visualiser et modifier les autorisations des applications flatpak, ce qui le rend particulièrement utile pour les utilisateurs qui souhaitent avoir un contrôle plus granulaire sur les applications qu'ils utilisent. Les autorisations que l'on peut paramétrer avec Flatseal dépendent des autorisations d'accès prises en charge par les applications flatpak en question. Cependant, certaines des autorisations courantes que l'on peut paramétrer avec Flatseal incluent :\nAccès au réseau : permet à l'application d'accéder à Internet et à d'autres ordinateurs sur le réseau.\nAccès au système de fichiers : permet à l'application d'accéder aux fichiers et dossiers sur le système.\nAccès aux périphériques : permet à l'application d'accéder aux périphériques tels que les imprimantes, les scanners, les caméras et les microphones.\nAccès à la localisation : permet à l'application d'accéder à la position géographique de l'utilisateur.\nNotifications : permet à l'application d'afficher des notifications sur le bureau.\nAccès à l'interface graphique utilisateur : permet à l'application d'afficher des fenêtres et des boîtes de dialogue sur l'écran. En utilisant Flatseal, les utilisateurs peuvent activer ou désactiver ces autorisations en fonction de leurs besoins et préférences individuelles, offrant ainsi un contrôle supplémentaire sur les applications qu'ils utilisent. Il est possible de remplacer Flatseal par des commandes en bash pour gérer les autorisations des applications Flatpak. Flatpak utilise la sandboxing pour isoler les applications et restreindre leur accès aux ressources système, et ces restrictions sont gérées via des autorisations configurables. Les autorisations sont définies dans des fichiers de métadonnées pour chaque application Flatpak et peuvent être modifiées à l'aide de la commande en ligne de commande. Il existe de nombreuses options disponibles pour la commande , qui permettent de personnaliser les autorisations en fonction des besoins spécifiques de chaque application. Cependant, l'utilisation de la ligne de commande pour gérer les autorisations de Flatpak peut être plus complexe que l'utilisation de Flatseal, qui fournit une interface graphique utilisateur intuitive pour gérer les autorisations.\nhttps://flathub.org/apps/details/com.github.tchx84.Flatseal Alternative en ligne de commandes\nPour modifier les options pour l'utilisateur courant en ligne de commande, utilisez : flatpak override --user