Ces moments privilégiés sont parmi les plus plaisants de notre métier. Ils sont très enrichissants d’un point de vue humain et pour notre culture générale.
Ce que nous nous proposons de faire sur cette page, c’est de vous livrer, à notre tour, nos petits bons plans en tant que professionnels avertis. En somme, vous montrer comment les cordonniers se chaussent.
Nous appliquons les règles générales suivantes que vous retrouverez en filigrane dans les témoignages :
Naturellement, cette approche, et les conseils qui en découlent, ne sont pas réutilisables par toutes les entreprises.
Vous verrez notamment plusieurs mentions de produits chinois (xiaomi, deepin, WPS). Alors oui le risque d'être espionné par ces outils n'est pas négligeable. Cependant, il est aussi haut (voir moindre) que de se faire espionner par la NSA avec un smartphone Android/iOS, un PC Dell, etc. (cf. les révélations de Snowden). Dans les deux cas, aucun n'est "vraiment" un allié de la France. Donc, au moins, quand on installe une ROM LineageOS sur du matos chinois, les backdoors logiciels ne sont pas synchronisées avec les backdoors matérielles (il faut bienrire ma bonne dame, on n'a plus que ça). Et les chinois, y a pas à dire, ce sont un peu les seuls à innover niveau design dans la tech ces dernières années.
Ceci étant dit, la parole aux ingénieurs ! (et le ton qui va avec)
Du point de vue de la sécurité, la marque qui me plait le plus dans sa démarche c’est Purism. L’air de rien on est dans une ère où l’on se soucie beaucoup d’utiliser des applications qui respectent notre vie privée, des systèmes d’exploitation parfois aussi (comme Tails). Mais on oublie souvent le hardware qui est un gros angle mort de la sécu. Or les backdoor matérielles ce n’est pas qu’une rumeur.
Du coup je soutiens complètement la démarche de Purism, j’ai le librem 13, c’est une bonne bête de course. Les kill switch hardware sur le micro/cam c’est le petit détail sympa. Après s’ils pouvaient intégrer un switch qui active/desactive un filtre de confidentialité (comme le HP sure view) et filer des sets de touches dans toutes les configurations de claviers, ce serait royal.
Le modèle qui me fait de l'oeil pour ma prochaine machine c'est le FrameWork Laptop. Entièrement modulaire et entièrement réparable, il se veut le "dernier PC que vous acheterez". Ensuite il s'agira seulement de remplacer les pièces une par une. Il y a une version moins chère où on le reçoit en kit et on doit le monter soi même (le kif). L'écran 3:4 c'est pas mal aussi pour le boulot par rapport à un 16:9. Mais ils ont un seul modèle pour l'instant, qui fait 13 pouces, et c'est un peu petit pour écrire du rapport quand on est en déplacement.
Niveau smartphone, j’ai été un heureux early adopter du OnePlus One. Puis quand ils ont définitivement renoncé à faire des tailles d'écran compatibles avec mes mains de lilipucien, j’ai du me tourner vers des marques destinées à un public aussi petit que moi.
J’ai utilisé le Mi5S de Xiaomi pendant un long moment. C'était un excellent smartphone (très probablement le meilleur rapport qualité prix de son époque) et avec une dimension vivable, des photos superbes, un beau design, etc.
J’ai opté pour l’Essential Phone, l’essai du co-créateur d’android. Belle expérience, j’aime beaucoup la connectique magnétique. Déçu par le module photo après celui du Mi5S, mais c’est le seul point noir. Je ne l’ai acheté que lorsqu’il a été bradé à la suite de son échec commmercial (donc a 400$ au lieu de 700$) et j'étais réticient car ça faisait longtemps que mon budget smartphone n’avait pas dépassé les 350€.
C’est toujours celui que j’utilise et j’essaye de me calmer sur le renouvellement des smartphones, d’autant qu’il n’y a plus d’innovation sur ce marché depuis pas mal d’années maintenant. Ce qui rend notamment des alternatives comme Fairphone de plus en plus envisageables.
S’il fallait partir vers un smartphone avec de vraies exigences de sécurité, je choisirais le PinePhone qui a des killswitch physiques et permet de faire tourner du linux.
Quand le premier soucis est la sécurité, j’utilisais OpenBSD avant, maintenant je prends Alpine.
Sa très très bonne minimisation réduit significativement sa surface d’attaque et le fait que ce soit du linux m'évite de retenir par coeur les différences Linux/BSD.
Pour le serveur Web, je suis récemment passé de Nginx à Caddy que je recommande vivement, notamment pour son acpect “keep It Simple” (le site Web que vous consultez actuellement est configuré en 3 lignes… sans figure de style).
Pour la création de site Web, je suis un fervent défenseur du tout statique lorsque c’est possible (je dors mieux la nuit). Pour ce site, nous avons utilisé le framework de création Hugo qui est assez puissant.
Quand l’objectif est la puissance brute (crackeur de mots de passe), j’utilise Gentoo qui permet de compiler les exécutables (hashcat, john-the-ripper) avec toutes les optimisations des processeurs.
Enfin, quand le but premier est d'être plug and play, j’utilise Ubuntu.
Je suis plutôt hostile aux solutions commerciales qui vendent du BSD packagés avec interface graphique pour le prix d’un rein. Surtout que tous les gros acteurs du marché ont des vulnérabilités de taré qui sortent quand quelqu'un regarde de près leurs produits (à croire qu'ils n'auditent jamais leurs produit ... pas terrible pour des boites qui prétendent vendre de la sécurité).
Quand il faut déployer un pare-feu (on parle ici de pare-feu et pas d’UTM), je prends une machine sans fioritures (Librem mini ou Librem server) et j’installe un pfsense dessus (c’est une distribution open source orientée pare-feu) que je trouve plus ergonomique que OPNsense ou OpenWRT.
Comme VPN, je suis récemment passé de openvpn à wireguard, simple et sécurisé.
Pour tout autre élément embarqué, j’opte pour OpenWRT, avec douleur, mais ça a l’avantage de s’installer partout, donc on peut facilement transformer un petit duplicateur ethernet en un implant d’attaque.
Mon OS de coeur c’est Arch Linux, c’est toujours un régal d’aller lire leur documentation. C’est là que j’ai appris par exemple que quand on choisit un screenlocker, il faut savoir que tous ne verrouillent pas les tty (ça peut avoir son importance).
Sur ma machine de pentest j’utilise finalement Kali depuis 2 ans. Essentiellement car quand je me retrouve face à une techno que je ne connais pas du tout et que je veux tester des tools qui ont l’air de faire le café, ils sont généralement tous compilés pour kali. Or quand le temps d’audit est compté, les faire tourner sur arch n’etait pas toujours une sinécure. À la fin j’utilisais tellement régulièrement un conteneur docker kali que j’ai arrété de me voiler la face.
Pour le perso, j’ai utilisé avec un grand plaisir le magnifique deepin. Ils sont forts ces chinois quand même. L’ergonomie était super, c’était un OS que vous pouviez installer à votre grand mère (c’est bien plus intuitif qu’un Windows de nos jours). Sauf que c'est devenu quelconque depuis quelques années (ils ont abandonné toutes leurs spécificités).
Je suis donc désormais sur le très versatile Zorin OS dont j'apprécie beaucoup la démarche (se rendre à la portée de tous les matériels, vieux ou récent et de tous les gens, mamie ou geek) et le design. Je suis de très près leur projet Grid qui a l'air d'être une alternative à Active Directory et ça c'est selon moi ce qui pourrait faire le plus de bien à la sécurité informatique actuelle.
C’est deepin qui m’a permis de découvrir WPS Office, qui marche sur linux et qui est, à mon sens, la meilleure alternative opérationnelle à Microsoft Office (avec OnlyOffice), hormis que ça ne gère pas les macros (moi j'appelle ça un point positif). C’est chinois aussi (qu’est-ce qu’ils sont forts décidément), et il y a quelques CVE dessus, donc au moins c’est audité.
Côté gestionnaire de fenêtre, j’utilisais pendant longtemps fvwm-crystal (... on devait être 3 dans le monde) : on peut programmer tout le comportement, ça colle parfaitement à mes habitudes, j'ai autant de raccourcis clavier que de raccourcis souris, je suis ultra productif avec.
Mais chaque fois que je changeais d'OS ou de PC c'était galère niveau compatibilité.
Finalement ces dernières années, je me suis laissé conquérir par Gnome Shell dont l'ergonomie et le minimalisme ont progressé.
Côté navigateur, je garde une affection particulière pour Mozilla en soutien à leur engagement, je l'utilise toujours pour les audits. Mais pour la navigation quotidienne j'utilise Brave qui est top au niveau contrôle des pubs et gestion de la vie privée.
C’est d’ailleurs via ce navigateur que j’ai découvert Bitwarden, le meilleur gestionnaire de mots de passe à mon sens, gratuit, déployable en home hosting, plein de fonctionnalités, multi-support. Un must have pour toute personne connectée.
Il m’arrive régulièrement de refaire un tour sur Opéra aussi.
Côté moteur de recherche, mon principal c'est celui de Brave : il est clean, ergonomique et pas intrusif. Mais pour des trucs précis j’ai du mal à me séparer de google (à force de travailler les google dorks, on prend des habitudes).
Python le plus souvent !
Rust quand il faut faire du sérieux.
Mais le plus beau est Julia : la simplicité de python et perl (tout en étant super lisible) et une vitesse proche de C. Malheureusement encore trop peu connu.
Pour le suivi de mes sujets, aussi bien perso que pro, j’utilise notion en mode kanban depuis que Trello est devenu chiant.
Première chose à dire: effacer vos emails inutiles ! Tout ce que vous archivez est stocké et rendondé sur des machines allumées jour et nuit. Un email que vous avez archivé il y a 4 ans a probablement fait plus de mal à l’environnement que si vous l’aviez imprimé 10 fois.
Pour les emails, nous appliquons globalement la règle de ne jamais envoyer de donnée sensible par ce moyen. Toutefois, ça n’empêche pas d’essayer de faire des choses bien.
Dans les solutions les plus intéressantes, il y a Protonmail. Bati sur un principe de zero knowledge, ils ne connaissent jamais le contenu de vos emails. Votre mot de passe sert de clé pour les déchiffrer dans votre navigateur. Ils ont des astuces sympa aussi pour vous permettre d’envoyer des mails au reste des profanes qui utilisent GMail et autre sans que Google n’en voit le contenu (enfin c’est pas insurmontable non plus, mais c’est pas mal).
L’outil FlowCrypt est également très intéressant. Il permet de faire du PGP en se greffant au dessus des Webmail classiques (GMail, Outlook, …).
Côté messagerie instantanée, l'éclatement de mes relations obligeant, j’ai whatsapp, telegram, signal, wire, facebook messenger, discord, hangout. Côté sécurité, nous utilisons le protocole Matrix via l’application Element, ça a l’avantage d'être aussi riche que discord et d'être multi-plateforme (donc un peu plus user friendly que signal qui est aussi très bien).
Ulysse : chercher un billet d’avion, sans pub, sans tracker, sans surprise finale sur les prix, une interface épurée, so perfect.
Okarito : pour les déplacements professionnel en mode tout-en-un
Shine : un compte pro pour les entrepreneurs, l’appli facilite considérablement la vie. Un débit sur la carte, paf une notification nous propose de prendre le reçu en photo. On fait les factures depuis l’appli, on les envoie au client depuis l’appli, ça envoie tout seul l’export des données au comptable. C’est très plaisant.
Luko : une assurance habitation qui veut renverser le paradigme dominant. Vos mensualités sont versées sur un compte dont le surplus en fin d’année est reversé à des associations et non à Luko (leur part est fixe). Ainsi, ils font disparaitre l’incentive qui pousse les assurances à essayer de vous rembourser le moins possible.
Numbr : le comptable entièrement dématérialisé (et sympa), une belle rencontre
Brief.me : tous les soirs un email résumant l’actualité importante (pas de sensationalisme), sans parti pris, sans conflit d’intérêt avec les annonceurs et seulement de l’information recoupée.
Purism : un ordinateur puissant conçu pour la confidentialité
Cryptpad : un outil très séduisant d'édition concurrente en mode zero knowledge (ou quasiment)
Avalon : les lunettes de soleil en cellulose, garanties à vie, pas chères et pour lesquelles les auteurs ramassent 1kg de plastique pour chaque achat.
Zero Waste pullover : un pull qui élimine quasiment tous les gaspillages du processus de fabrication et qui se veut durable.
Chase pants : un pantalon durable (garanti à vie), déperlant, conçu à partir de matériaux recyclés
Baubax : chaussures ultra confort (semelle en latex et laine de mérino), élégantes et déperlantes (tissu en bambou)
XSuit : le costume infroissable (en fait si), intâchable, lavable en machine et entièrement stretch (en gros ce que devrait être tous les vêtements modernes si le monde de la mode passait moins de temps à vouloir impressioner son entre-soi consanguin et plus de temps à faire des vêtements utiles aux gens)
Les Restos du Coeur : on ne les présente plus mais il se trouve que Capital avait sorti un comparatif montrant que, pour cette association, 92% des dons était consacré aux oeuvres (c’est pas Amnesty International ou Action contre la faim quoi).
Solidarités Medoc : une association de proximité qui produit des denrées de première nécessité en permaculture et qui récupère les invendus des grandes surfaces pour les redistribuer aux personnes en difficulté.