Il y a quelque temps, j'avais rédigé un petit tuto pour vous expliquer comment transformer un vieux routeur WRT54-GL en passerelle VPN, histoire de faire transiter par le VPN de votre choix, tous les appareils de la maison.

Suite à ça, je me suis vite rendu compte des limitations de ce vieux routeur et, Pierre-Henry, un fidèle lecteur m'a recommandé un peu de matos sympa pour faire ça. Du coup, j'ai commandé le matos, fait table rase et installé ce nouveau matériel.

Pourquoi tout passer par un VPN ?

D'abord, avoir un VPN sous la main, que celui-ci soit en France où à l'étranger, ça permet de se sécuriser un minimum quand on est dans une situation de mobilité.Le VPN permet d'établir un tunnel chiffré d'un point A à un point B et je peux donc me connecter tranquillement à partir d'un hôtel, d'une conf ou d'un resto, sans me faire "espionner" (MITM) par les scripts kiddies alentour.

Après tout, passer en VPN quand on est chez soi, c'est une question plus idéologique que pratique quand on est en France. Si comme moi, vous êtes une tête de mule et que par principe, vous refusez la surveillance de masse, et qu'en plus vous êtes prêt à accepter une petite perte de débit, à dépenser un peu de pognon et à passer un peu de temps à configurer tout ça, c'est bon. Dans le cas contraire, tout passer par un VPN n'est pas intéressant pour vous.

Choix du VPN

Je n'ai qu'une confiance relative en tous les fournisseurs de VPN... Mis à part quelques-uns comme Freedome (recommandé par Snowden, bitches !), c'est difficile de faire un choix. Le plus sûr à mon goût est de choisir un pays qui vous convienne (Suisse, Islande ou que sais-je) et d'y louer un petit serveur pas cher (genre, un VPS). L'important c'est de choisir un pays qui a encore des lois faites pour servir les citoyens et qui respecte la vie privée. Bref, un pays qui n'aspire pas toutes vos données contrairement à la France ou les États-Unis.

Mon VPN  n'ayant pas pour but de faire des trucs illégaux (téléchargement ou pire), je suis aussi assez tranquille niveau respect des lois, donc aucun risque de me faire couper la ligne.

Le matos

Alors pour le matos, ce que m'a recommandé Pierre Henry, c'est ceci. Il s'agit d'un PC à refroidissement passif équipé d'un proc AMD, de 4 Gb de ram, de 3 ports Ethernet gigabits, de 2 ports USB externes, consommant 6 à 12 W et rentrant dans un boitier tout simple de 17 x 16 x 3 cm.

L'idée pour moi, c'est d'avoir un petit truc silencieux, qui consomme peu, ne demande aucun entretien et ne prenne pas de place. Cette carte de PC s'achète seule. Il faut donc commander le boitier en plus. Et si vous voulez du stockage, il est aussi possible de prendre un SSD mSATA à coller dedans (ou rester sur une clé USB pour l'OS) et une carte Wifi mPCI. Moi je n’ai pas de WiFi à la maison, donc pas besoin de cette dernière.

De plus, pour ne rien gâcher à l'affaire, le BIOS de cet APU est un CoreBoot open source et le schéma électronique de la carte est librement consultable ici (pdf).

Cependant, vous pouvez faire exactement la même chose avec n'importe quel PC ou mini PC équipé de 2 cartes réseau.

L'installation

Côté serveur VPN, j'ai déjà tout expliqué ici.

Côté passerelle VPN, mon APU14 ne dispose pas de connectique pour y brancher un écran. J'ai donc dû m'y connecter avec un cable série comme au bon vieux temps...

Ensuite j'ai installé TinyCore Linux sur une clé USB bootable comme expliquée ici. Puis j'ai placé une image de PfSense amd64 nanobsd sur la clé USB et j'ai copié cette image sur le SSD que j'ai installé dans l'APU avec la commande suivante :

gzip -dc pfSense-2.2.3-RELEASE-4g-amd64-nanobsd.img.gz | pv | dd of=/dev/sda bs=10M

Noté que cette image est spécifique pour le type d'hardware que j'ai chez moi, mais si vous faites la même manip sur un PC plus classique (avec au moins 2 interfaces réseau), Pfsense est aussi dispo sous la forme d'image Linux (+LiveCD) classique.

Une fois installé, PfSense démarre et il n'y a plus qu'à configurer les interfaces une par une via le port série puis à se connecter sur l'interface web avec son navigateur.

En ce qui me concerne, je me suis pas mal tiré les cheveux sur un bug, qui je pense est provoqué par ma box ADSL car j'ai eu le souci avec 3 routeurs différents sur des OS différents (PfSense, dd-wrt, openwrt). Quand je reboote mon routeur, celui-ci ne se connecte pas au net. Je suis obligé de le démarrer sans le brancher sur la box ADSL et une fois qu'il est bien démarré, je peux le connecter à la box et là ça fonctionne.

C'est un peu relou, mais je n'ai pas encore trouvé de solution.

Maintenant au niveau de PfSense, il y a des milliers d'options dedans. Je n'ai pas encore tout exploré, mais sachez que ça permet de remplir des fonctions de Firewall, de routeur, de faire du NAT, de la haute dispo, du multi-wan (pour coupler plusieurs connexions internet ensemble), du load balancing, du vpn (client et serveur en IPsec, OpenVPN, PPTP), du DNS, du portail captif, du DHCP et tout ce qui est monitoring et reporting. Bref, y'a de quoi jouer.

Une documentation en ligne est disponible ici et malheureusement, niveau bouquins en français, je n'ai rien trouvé. Il y a juste ces 2 livres en anglais.

Maintenant niveau config pour le VPN, c'est pas très compliqué. Il faut d'abord récupérer le fichier de config autologin d'OpenVPN.

Ouvrez-le avec un éditeur de texte et dans PfSense, rendez-vous dans le menu System -> Cert Manager -> Onglet CA.

Et ajoutez un nouveau certificat (importing) et copiez collez la clé qui se trouve entre les balises <ca></ca> dans le champs "Certificate data".

Sauvegardez puis rendez-vous dans l'onglet Certificates pour y ajouter la clé contenue dans les balises <cert></cert> dans le champ "Certificate data" et la clé contenue dans les balises <key></key> dans le champs "Private key data".

Sauvegardez, puis rendez-vous dans le menu le menu VPN -> OpenVPN, onglet Client. Ajoutez alors un nouveau client en suivant cette config :

Une fois que c'est fait, rendez-vous dans le menu Status -> OpenVPN et vous devriez voir que la connexion est "up".

Si ce n'est pas le cas, vérifiez la config ou les certificats. Pour debugger plus facilement, je vous invite à faire, côté serveur, un :

tail -f /var/log/openvpnas.log

Et regarder les logs de connexion pour déterminer le problème.

Maintenant que PfSense sait se connecter à votre serveur OpenVPN, il faut mettre en place quelques règles au niveau du firewall pour lui dire de bien tout rediriger vers l'interface OpenVPN. Tout d'abord au niveau du NAT, on va le passer en NAT manuel. Allez dans Firewall -> NAT -> Outbound et sélectionnez "Manual Outbound NAT rule generation".

Ensuitez, allez dans Firewall -> Rules et ajoutez une règle dans WAN comme ceci :

Allez ensuite dans l'onglet LAN et ajoutez la règle suivante en prenant bien soin de spécifier la Gateway (passerelle) qui correspond à votre OpenVPN. Celle-ci indique tout simplement qu'il faut faire passer tout le trafic IPv4 (ou IPv6) via la passerelle qui correspond à votre VPN.

Et voilà. Rebootez et logiquement, votre trafic réseau devrait maintenant transiter via votre serveur OpenVPN. Pour vérifier que c'est le cas, allez sur korben.info/ip. Vous devriez voir apparaitre votre IP de VPN.

N'oubliez pas que vos DNS peuvent aussi vous trahir Pensez donc à bien les internaliser ou mettez en place votre propre serveur DNS sur la même machine où se trouve votre serveur VPN. J'ai fait un tuto à ce sujet ici.

Bon et bien voilà... En connectant ce petit boitier au cul de votre box ADSL ou Fibre puis en connectant le reste de vos appareils sur ce boitier, vous êtes tranquille. Ils passeront tous par l'autre bout du monde, via un tunnel chiffré. Tranquille :-)

Le sticker

Bon et bien voilà ! Il ne reste plus qu'à décorer votre boite avec le sticker qui va bien. J'avais demandé dans un édito où je pourrais trouver un truc rigolo à mettre dessus et un de mes lecteurs m'a envoyé ceci.

La classe non ?

Après quelques semaines d'utilisation, je dois dire que je suis très satisfait de ce petit montage. Ça tourne sans bruit (forcement) et même si parfois, je me heurte à des limitations d'IP (genre du replay réservé à la France que je bypass en me connectant par rebond sur un second VPN localisé en France) et quelques ralentissements dus aux encombrements de tuyaux, je n'ai pas eu de souci avec PfSense en lui-même.

C'est un peu de boulot mais que voulez-vous, quand on aime ça... ;-)

Amusez-vous bien !

Cet article merveilleux et sans aucun égal intitulé : Une box à monter soi-même pour faire transiter tout son trafic réseau via un VPN ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Et voilà, ce qui devait arriver, arriva... Le dernier rempart avant la surveillance de masse vient de tomber. Telle la garde de nuit sur son mur, nous assistons impuissants à l'invasion des marcheurs blancs boites noires dans nos vies.

Les sages savants viennent tout juste de rendre leur décision lors d'un petit apéro au Conseil Constitutionnel. Chaque français, qu'il soit innocent ou coupable, qu'il ait des choses à protéger (avocat, journaliste, activiste...etc) ou non, verra donc toutes ses données aussi personnelles soit-elles, passer dans la grande moulinette du gouvernement.

SMS, emails, recherches sur les moteurs, connexions aux sites, achats en ligne...etc, Big Cazeneuve et sa descendance au crâne lustré sauront tout de vous si vous ne chiffrez pas vos communications. Ce que vous achetez, qui vous sautez, ce que vous aimez, votre état de santé, la stratégie de votre société, les gens avec qui vous tissez des contacts...bref tous vos petits secrets, y compris les plus moches seront enregistrés et catalogués, pour vous être ressorti à n'importe quel moment, y compris dans plusieurs années.

Une prison mentale pour nous rendre parano. De plus, grâce à ces boites noires, des tas d'innocents, que nous appellerons avec pudeurs des "faux positifs", subiront des tracasseries ubuesques et se verront suspectés de terrorisme ou d'autres "choses", dans les années qui viennent.

Car ne vous y trompez pas, cet espionnage de masse de notre cher gouvernement est une aubaine pour cibler le citoyen qui sortira du rang, à tord ou à raison. Et mon cerveau ne peut même pas imaginer toutes les dérives possibles que cette loi va engendrer. Car si je suis sûr d'une chose, c'est que ce délire sans garde-fou partira très vite en cacahuète.

On a vraiment touché le fond les amis et c'est un jour noir pour notre liberté de penser. Le simple fait de se savoir observer va nous changer. Nous allons devenir des êtres transparents, insipides, sans secret, sans questionnement. Nous allons devoir nous lisser pour nous fondre dans la masse. Devenir aussi neutre que possible pour ne pas devenir l'un de ces faux positifs. Pour ne pas éveiller les soupçons de Big Cazeneuve. Les terroristes savent déjà le faire et nous allons devoir adopter leurs méthodes de dissimulation si nous voulons continuer à penser librement, ce qui paradoxalement nous rendra encore plus suspects.

Cette loi renseignement est une arme de destruction massive de nos consciences et je ne suis pas sûr qu'on s'en remettra. Ces petits flics fascistes qui veulent tout contrôler pour rester sur leur trône de merde et qui ont soutenu cette loi sont pour moi, les véritables criminels, bien plus que n'importe quel terroriste.

De Urvoas, à Cazeneuve en passant par Valls ou Hollande, sans oublier ces petits députés idiots de villages, qui ont voté sans réfléchir; tous sont les complices du terrorisme, et c'est ce que l'Histoire retiendra. Ces hommes et femmes politiques avancent dans la même direction que les poseurs de bombe et les décapiteurs, main dans la main, pour nous priver de nos libertés, nous terroriser, nous dire quoi penser et comment le penser.

Et sachez le, ce 23 juillet 2015 n'est que le début du cauchemar. Le pire reste à venir.

Source

Cet article merveilleux et sans aucun égal intitulé : Big Cazeneuve est maintenant une réalité ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

La société Rook Security, spécialisée dans la sécurité informatique, s'est amusée à analyser tous les projets contenus dans les 400 GB de données dérobés à Hacking Team, et a mis au point, à partir des signatures MD5 de tous ces malwares, un outil d'analyse baptisé Milano.

Grâce à ce scan, vous saurez si vous avez été infecté par un malware développé par Hacking Team.

Les sources sont dispo ici et comme c'est du Python, ça tourne sous Windows et OSX / Linux.

Sans garantie évidemment que ça soit efficace à 100% !

À télécharger ici (2e lien)

Merci à Henri pour le partage !

Cet article merveilleux et sans aucun égal intitulé : Êtes vous la cible d’un des clients de Hacking Team ? ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Si vous êtes sous Mac et que vous aimez écouter de la musique en streaming sur différents services, je vous recommande chaudement l'application BeardedSpice. Logée dans la barre de menu d'OSX, cette application permet de contrôler avec les touches multimédias du clavier (lecture, pause, morceau suivant / précédent...etc),  la lecture audio ou vidéo de sites comme Youtube, HypeMachine, Soundcloud...etc

Ça fonctionne uniquement avec Safari et Chrome pour les (nombreux) services suivants :

• 8Tracks
• 22Tracks
• Amazon Music
• AudioMack
• BandCamp
• BeatsMusic
• Bop.fm
• Chorus
• Deezer
• focus@will
• Google Music
• GrooveShark
• HypeMachine
• Last.fm
• Mixcloud
• Music Unlimited
• NoAdRadio.com
• Overcast.fm
• Pandora
• Pocket Casts
• Rdio
• Shuffler.fm
• Slacker
• SomaFM
• Songza
• SoundCloud
• Spotify (Web)
• STITCHER
• Synology
• TIDAL
• Vimeo
• VK ("My Music" from vk.com)
• XboxMusic
• Yandex Music
• YouTube

À télécharger gratuitement ici.

Cet article merveilleux et sans aucun égal intitulé : Contrôlez les players web de vos sites préférés avec les touches multimédias de votre clavier Mac ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Si vous aimez et utilisez l'éditeur Vim, voici une alternative baptisée Kakoune qui devrait vous plaire. Les commandes sont calquées sur celles de Vim et il peut fonctionner en mode normal (lecture) ou en mode insertion (pour modifier le contenu).

D'après son développeur, Kakoune est aussi efficace voire plus, que Vim en terme de "frappes minimales pour effectuer une action".

Voici la liste de ses fonctionnalités :

Et une démo en vidéo de ses possibilités:

Pour l'installer, rien de plus simple. Sous OSX, faites un

brew install --HEAD https://raw.githubusercontent.com/mawww/kakoune/master/contrib/kakoune.rb

Et sous Linux, compilez comme ceci :

git clone http://github.com/mawww/kakoune.git
cd kakoune/src
make
./kak

Ensuite pour le lancer, entrer la commande kak. La liste des raccourcis claviers se trouve ici.

Bon dev à tous !

Cet article merveilleux et sans aucun égal intitulé : Kakoune – Peut être le soft qui remplacera Vim ? ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.