Choisir une distribution Linux n’est pas forcément simple, et dire qu’une distribution est meilleure qu’une autre n’a pas vraiment de sens. Tout dépend du contexte.

Dans la commune ou je travaillais précédemment, nous avions fait le choix de migrer d’abord tous les logiciels d’infrastructure vers des solutions libres (DNS, DHCP, serveur de fichiers, contrôleur de domaine, etc.) avant d’entamer un passage à Linux des postes clients. À Échirolles, nous avons commencé dans un contexte où Microsoft était omniprésent (mais avec une volonté farouche de libérer aussi ces logiciels d’infrastructure).

Le contexte de l’époque (2021)

Nous sommes une collectivité locale. L’immense majorité des nos agents et agentes n’ont pas bénéficié de formation en informatique. Leurs compétences, parfois durement acquises, sont donc limitées. Beaucoup savent exécuter les tâches indispensables à leurs fonctions sans comprendre, et pour cause, les principes sous-jacents.

Dans le service informatique, les gens sont formés à Windows. Certains disposent de certifications et toute l’organisation est basée sur des outils que nous envisageons de remplacer.

Les postes clients tournent tous, à quelques rares exceptions près, avec un système d’exploitation de Microsoft. Au moment où nous commençons à nous interroger, on trouve du Windows 7 (sur les postes les plus anciens), du Windows 10, et quelques Windows 11.

Notre serveur de fichiers, notre DNS, notre DHCP, tournent sur des serveurs Windows. Des stratégies de groupe sont déployées sur les postes clients à partir des habituelles GPO.

L’authentification des postes est assurée par un serveur Active Directory.

Notre messagerie, en revanche, tourne déjà sur un logiciel opensource (BlueMind, à l’époque, SOGo maintenant).

Réflexion préalable

Avant de choisir une distribution, nous nous sommes posés un certain nombre de questions :

• Pourquoi certaines communes, qui avaient fait le choix d’un passage à Linux, ont connu des retours en arrière lors de changements de majorité ?
• Dans certaines communes qui évoluent dans un contexte comparables au nôtre, le service informatique affirme qu’un passage au logiciel libre n’est pas possible. Sur quels critères ? Quels sont les points bloquants selon eux ?
• Existe-t-il une méthodologie de déploiement qui permettrait d’éviter ces écueils ?
• Des collectivités ou des services publics ont, au contraire, réussi leur passage au libre. Quelles méthodes ont été utilisées ?

Vous trouverez des éléments de réponse dans deux articles sur ce blog :

• Échirolles libérée, sur la structuration et les choix organisationnels.
• Résistance au changement et logiciels libres, pour des détails sur la méthode choisie.

Choix de la distribution

L’un des enjeux de la migration est la montée en compétence d’une équipe qui n’est pas formée à Linux. C’est une difficulté, bien sûr, mais c’est aussi une opportunité : parce qu’elle connaît parfaitement l’environnement technique et les habitudes prises par les utilisateurs⋅trices, elle est à même d’identifier les obstacles qui risquent de se présenter. Il est donc indispensable de l’inclure pleinement dans le choix du futur système d’exploitation.

Pendant plusieurs mois, toute l’équipe a été encouragée à installer et tester des distributions variées sur des PC de la collectivité, en ayant à l’esprit que l’ergonomie et l’intégration dans notre système d’information étaient des critères essentiels.

Dans un deuxième temps, chacun s’est penché sur les choix des autres. De mémoire Linux Mint, Elementary OS, Pop OS, Manjaro, Debian, Ubuntu et Zorin OS ont été présentés. Et c’est Zorin OS qui a fait l’unanimité.

Les critères mis en avant par l’équipe :

• la ressemblance avec Windows, avec les mêmes raccourcis-clavier ;
• la possibilité de lui donner en un clic l’apparence d’une version de Windows ou d’une autre (Zorin Appearance) ;
• son intégration dans Active Directory dès l’installation ;
• son design soigné ;
• le fait que la distribution soit basée sur Ubuntu et Gnome et donc l’assurance qu’une documentation fournie et à jour serait disponible en ligne ;
• la distribution évoluant en même temps que les versions Ubuntu, la possibilité de bénéficier de noyaux et de pilotes récents ;
• l’existence de pilotes en français permettant de gérer l’utilisation avancée de nos copieurs et imprimantes (kyodialog, pour les machines Kyocera) ;
• le magasin d’applications, qui était le plus riche parmi les distributions proposées et qui intégrait parfaitement toutes les méthodes d’installation (Flat, Snap et Ubuntu) ;
• l’existence d’une version « lite » (basée sur XFCE, pour les PC les plus anciens) et d’une version « éducation ».

On mesure à quel point le choix s’est porté sur l’intégration dans notre environnement plutôt que sur les mérites techniques relatifs de l’une ou l’autre des distributions envisagées.

Déploiement

Avant d’initier l’installation de notre distribution dans un environnement forcément hybride, un gros travail (quasiment terminé aujourd’hui) a été nécessaire : inventaire (GLPI), prise de main à distance (MeshCentral), déploiement d’images (FOG project)… de nombreuses solutions ont dû être installées, paramétrées, testées, etc.

Pendant ce temps, un bêta-test incluant des personnels choisis (et notamment des décideurs), a permis d’identifier et de résoudre un certain nombre de problèmes et de valider concrètement le choix de notre solution.

En septembre 2024, le déploiement a commencé par un appel à volontariat. Les détails de la stratégie de migration sont disponibles à la fin de cet article.

À la date d’écriture de cet article, l’installation dans les écoles de la ville n’a pas commencé. Pour en comprendre les raisons, vous pouvez vous référer à cet article.

Image d’illustration : Zorin OS 17, de Artyom Zorin, sur Wikimedia Commons.
Licence : GPL.

[NDT] Des années. Des années que j’explique que la complexité des mots de passe n’est pas déterminante et que demander de les changer à intervalles réguliers est une mauvaise idée. Enfin, un organisme officiel qui publie des recommandations conformes aux enjeux du moment (et qui ne datent pas d’hier).

Ce contenu est une traduction d’un article de Guru Baran paru le 27 septembre 2024 sur le site cybersecuritynews.com.

***

Le National Institute of Standards and Technology (NIST) a publié des lignes directrices actualisées pour la sécurité des mots de passe, marquant un changement important par rapport aux pratiques traditionnelles en matière de mots de passe.

Ces nouvelles recommandations, décrites dans la « publication spéciale 800-63B » du NIST, visent à renforcer la cybersécurité tout en améliorant l’expérience des utilisateurs.

L’un des changements les plus notables concerne la position du NIST sur la complexité des mots de passe. Contrairement aux pratiques de longue date, le NIST ne recommande plus l’application d’exigences arbitraires en matière de complexité des mots de passe, telles que le mélange de lettres majuscules et minuscules, de chiffres et de caractères spéciaux. L’accent est désormais mis sur la longueur du mot de passe, qui constitue le principal facteur de solidité du mot de passe.

« Les mots de passe plus longs sont généralement plus sûrs et plus faciles à retenir pour les utilisateurs », a déclaré Paul Turner, expert en cybersécurité au NIST. « Nous nous éloignons des règles complexes qui conduisent souvent à des schémas prévisibles et nous encourageons l’utilisation de phrases de passe longues et uniques ».

Le NIST recommande désormais une longueur de mot de passe minimale de 8 caractères, avec une forte préférence pour les mots de passe encore plus longs. Il est conseillé aux organisations d’autoriser des mots de passe d’au moins 64 caractères pour tenir compte des phrases de passe.

Un autre changement important est l’élimination des changements périodiques obligatoires de mots de passe. Le NIST affirme que les réinitialisations fréquentes de mots de passe conduisent souvent à des mots de passe plus faibles et encouragent les utilisateurs à effectuer des changements mineurs et prévisibles. Au lieu de cela, les mots de passe ne devraient être changés que lorsqu’il y a des preuves de compromission.

« Forcer les utilisateurs à changer régulièrement de mot de passe n’améliore pas la sécurité et peut même s’avérer contre-productif », explique M. Turner. « Il est plus efficace de surveiller les informations d’identification compromises et de n’exiger des changements qu’en cas de nécessité ».

Les nouvelles lignes directrices soulignent également l’importance de vérifier les mots de passe par rapport à des listes de mots de passe couramment utilisés ou compromis. Le NIST recommande aux organisations de tenir à jour une liste de mots de passe faibles et d’empêcher les utilisateurs de choisir le moindre mot de passe figurant sur cette liste.

En outre, le NIST déconseille l’utilisation d’indices de mots de passe ou de questions d’authentification basées sur la connaissance, car ils peuvent souvent être facilement devinés ou découverts par l’ingénierie sociale.

Pour le stockage des mots de passe, le NIST recommande d’utiliser le hachage salé avec un facteur d’inviolabilité qui rend les attaques hors ligne coûteuses en termes de calcul. Cette approche permet de protéger les mots de passe stockés même si une base de données est compromise.

Autres exigences à respecter :

1. Les responsables et fournisseurs de services DOIVENT exiger que les mots de passe comportent au moins huit caractères et DEVRAIENT exiger que les mots de passe comportent au moins 15 caractères.
2. Les responsables et fournisseurs de services DEVRAIENT autoriser une longueur maximale de mot de passe d’au moins 64 caractères.
3. Les responsables et fournisseurs de services DEVRAIENT accepter tous les caractères d’imprimerie ASCII [RFC20] et le caractère espace dans les mots de passe.
4. Les responsables et fournisseurs de services DEVRAIENT accepter les caractères Unicode [ISO/ISC 10646] dans les mots de passe. Chaque point de code Unicode DOIT être considéré comme un seul caractère lors de l’évaluation de la longueur du mot de passe.
5. Les responsables et fournisseurs de services NE DOIVENT PAS imposer d’autres règles de composition (par exemple, exiger des mélanges de différents types de caractères) pour les mots de passe.
6. Les responsables et fournisseurs de services NE DOIVENT PAS exiger des utilisateurs qu’ils changent périodiquement de mot de passe. Toutefois, les vérificateurs DOIVENT imposer un changement s’il existe des preuves de la compromission du service.
7. Les responsables et fournisseurs de services NE DOIVENT PAS permettre à l’abonné de stocker un indice accessible à un demandeur non authentifié.
8. Les responsables et fournisseurs de services NE DOIVENT PAS inviter les abonnés à utiliser l’authentification basée sur les connaissances (KBA) (par exemple, « Quel était le nom de votre premier animal de compagnie ? ») ou des questions de sécurité lors du choix des mots de passe.
9. Les fournisseurs de services DOIVENT vérifier l’intégralité du mot de passe soumis (c’est-à-dire ne pas le tronquer).

Les lignes directrices soulignent également l’importance de l’authentification multifactorielle (AMF) en tant que couche de sécurité supplémentaire. Bien qu’il ne s’agisse pas d’une exigence directe en matière de mot de passe, le NIST encourage vivement l’utilisation de l’AMF dans la mesure du possible.

Ces nouvelles recommandations ont été bien accueillies par de nombreux acteurs de la communauté de la cybersécurité. « Les directives actualisées du NIST sont conformes à ce que les chercheurs en sécurité préconisent depuis des années », a déclaré Sarah Chen, directrice technique de SecurePass, une société spécialisée dans la gestion des mots de passe. « Elles établissent un bon équilibre entre la sécurité et la facilité d’utilisation.

Au fur et à mesure que les organisations mettent en œuvre ces nouvelles lignes directrices, les utilisateurs peuvent s’attendre à voir des changements dans les politiques de mots de passe sur diverses plateformes et services. Bien qu’il faille un certain temps pour que tous les systèmes s’adaptent, les experts pensent que ces changements conduiront à une sécurité des mots de passe plus efficace à long terme.

Le NIST souligne que ces lignes directrices ne s’adressent pas uniquement aux agences fédérales, mais qu’elles constituent des pratiques exemplaires pour toutes les organisations concernées par la cybersécurité.

Les cybermenaces ne cessant d’évoluer, il est essentiel de se tenir au courant des dernières recommandations en matière de sécurité pour protéger les informations et les systèmes sensibles.

Image d’illustration : Debby Hudson sur Unsplash.

Organiser un échange n’est pas toujours simple et nécessite parfois plusieurs allers-retours, chacun indiquant ses disponibilités avant de trouver un créneau commun. C’est là qu’intervient cal.com.

Cal.com est une plateforme de planification open-source qui facilite la gestion des rendez-vous et des réunions. Elle permet aux utilisateurs de synchroniser leurs calendriers existants pour éviter les conflits d’horaire et simplifier la prise de rendez-vous. Une version en ligne existe, qui permet de tester la solution. Elle se trouve ici. Elle est gratuite pour les particuliers, et certaines fonctionnalités ne sont disponibles qu’en version payante : gestion d’équipes, personnalisation au nom de la société, etc.

Pourquoi cal.com ?

Cette solution a un énorme avantage : si elle sait gérer la plupart des agendas du marché (Microsoft, Google, etc), elle supporte aussi CalDav, un protocole standard généralement intégré dans les solutions de messagerie/calendrier open source. C’est, en partie, ce qui a motivé notre choix.

La version gratuite en ligne peut vous permettre de tester le logiciel et ses nombreuses fonctionnalités, mais elle n’est pas utilisable dans un cadre professionnel. Pour des questions de licence, bien sûr, mais aussi parce que, pour vérifier vos disponibilités et prendre des rendez-vous, cal.com va devoir accéder en écriture à votre agenda professionnel. On conçoit aisément ce qu’enregistrer identifiants et mots de passe professionnels sur un site géré par on-ne-sait-qui peut avoir de problématique.

Heureusement, cal.com est open source est peut-être installé sur un serveur en local (sources ici). Il repose sur Node.js et React. Il intègre la gestion d’équipe (c’est à dire la vérification des disponibilités dans plusieurs calendriers) en mode global (tout le monde doit être disponible pour qu’un rendez-vous soit possible) ou « round robin » (si une personne de l’équipe est disponible, un rendez-vous est proposé).

Limites et points d’attention

• Pour pouvoir bénéficier, en toute confidentialité, des fonctionnalités de la solution, il convient de la déployer sur un serveur sûr. Un hébergement maîtrisé est donc nécessaire, puisque qu’elle va accéder en écriture à votre solution d’agenda interne.

• Des compétences sont nécessaires pour installer et maintenir la solution. Si celles-ci ne sont pas disponibles dans la structure, une prestation de service peut s’avérer utile (mais peut-être coûteuse).

• L’authentification sur cal.com est locale : l’intégration à l’annuaire professionnel (OpenLdap, Active Directory) n’est pas prévue.

• La personnalisation de l’outil n’est pas simple : à Échirolles, l’affichage du logo se fait par une redirection nginx.

Cas d’usages

À Échirolles, nous utilisons cal.com dans trois types de cas :

• La prise de rendez-vous individuels
  
  Définissez les périodes pendant lesquelles cal.com va pouvoir vous placer des rendez-vous (les après-midi seulement, par exemple). Le logiciel vérifie vos disponibilités dans votre agenda sur ces périodes seulement. Un formulaire en ligne permet d’organiser le rendez-vous. Configurable il peut, par exemple, intégrer un lien de visio. Une invitation par mail est envoyée à la personne qui souhaite vous rencontrer, et l’événement est ajouté à votre calendrier (moyennant, éventuellement, une confirmation de votre part)

• La réservation de salles de réunion
  
  Facilement intégrable dans un intranet, cal.com permet de réserver une des salles de réunion de la ville, chacune disposant de son propre agenda dans notre messagerie SOGo. Deux types de réservation sont possibles :
  • Une salle de réunion au hasard (en vérifiant les disponibilités de l’ensemble des salles)
  • Une salle de réunion en particulier (en accédant à ses disponibilités particulières)

• L’organisation de formations internes
  
  cal.com sait gérer un nombre de places, et permet donc de limiter le nombre de personnes qui vont pouvoir s’inscrire à un événement. En lien avec la salle dédiée à la formation, il est utilisé, via notre intranet, pour organiser nos formations en interne. Chaque personne qui s’inscrit reçoit un lien d’invitation et, sur l’agenda dédié à la formation, la liste des participants est mise à jour au fur et à mesure.

Pour plus d’informations, n’hésitez pas à me contacter sur Mastodon.

La veille technologique fait partie des missions de tout responsable informatique. Elle repose sur une bonne connaissance et une consultation régulière de de ressources disponibles en ligne, mais pas seulement. Il n’est pas rare que les usages évoluent au sein de la structure et que nous découvrions, en échangeant avec nos utilisateurs, de nouveaux outils. Problème : ils ne correspondent pas toujours aux recommandations du service informatique, sont parfois incompatibles avec le RGPD ou peuvent poser des problèmes de confidentialité (ou de sécurité).

La politique de la ville d’Échirolles privilégie l’utilisation de logiciels libres et une gestion responsable des données. Il est donc de notre devoir, quand un logiciel n’est pas compatible avec notre schéma directeur « Échirolles numérique libre »., de nous en préoccuper. Mais ces solutions naissent dans notre système d’information parce qu’elles correspondent à un besoin non couvert ou que les utilisateurs considèrent comme plus simple/plus efficace, etc. Interdire l’utilisation n’est donc pas satisfaisant du point de vue du service rendu : il convient de se mettre à la recherche d’alternatives qui sont mieux adaptées au projet de la structure.

Depuis quelques années, Canva est apparu dans nombre d’entreprises et de collectivités, son utilisation est rapidement devenue massive. Nous nous sommes donc mis à la recherche d’une solution crédible, open source, et qui permettrait d’apporter une réponse au besoin de nos employés. Il en existe de nombreuses, et le benchmarking n’a pas été simple. Mais une solution a fini par s’imposer :

Polotno

Polotno se présente comme un clone de Canva. Il permet la création de présentations, posters ou création graphiques en local. Aucun compte n’est nécessaire et les productions ne sont pas conservées sur le serveur.

Il partage avec la solution propriétaire une interface simple et intuitive, l’accès direct à d’immenses bases de données d’icônes (Iconfinder et Noun Project), de photographies (Unsplash), et de nombreux modèles graphiques ou textuels.

Une version en ligne existe à l’adresse studio.polotno.com. Les créations sont conservées localement dans le cache du navigateur, ce qui est plutôt une bonne chose du point de vue de la confidentialité mais qui ne facilite pas le travail en équipe. En revanche, la possibilité d’exporter les créations (en format JSON) avec l’ensemble des éléments (photos, polices, etc.) permet de les transmettre facilement, et de les sauvegarder.

Petit couac : cette version en ligne est mal traduite en français et l’utilisateur est encouragé à créer un compte (payant) sur un cloud en ligne pour sauvegarder son travail. Heureusement, il s’agit d’un logiciel open source. Le code est accessible sous licence MIT. Nous avons donc fait le choix de créer une instance échirolloise de Polotno, correctement traduite et expurgée de ces éléments commerciaux.

J’en ai également installé une, auto-hébergée, pour mon usage personnel. Vous pouvez la tester en cliquant ici.

Quelques éléments ne sont pas encore à la hauteur (impossibilité, dans le module texte, de créer des listes), mais le logiciel évolue rapidement et les mises à jour apportent régulièrement des améliorations.

Sur la gestion des données personnelles par Canva (en anglais) :

• Data Processing Addendum
• Canva list of sub-processors

Source image d’illustration : Roméo A. sur Unsplash (recadrée avec Polotno)