Atelier sécurité CHATONS à 42

Bonjour !

En tant que nouveaux membres du collectif, nous aimerions vous proposer un atelier sur lequel nous avons discuté avec Picasoft lors d’un Chapéro en mars.

Nous discutions d’un problème qui semblerait récurrent chez les petits hébergeurs qui devrait être au coeur de nos préoccupations, mais que nous n’avons pas toujours les moyens d’aborder comme il le faudrait.
Il s’agit de la sécurité de notre infrastructure et des services que l’on met en place.

• Nous avons beau installer des services libres dont le code a déjà été consulté par un certain nombre d’acteurs, mais est-ce qu’on les installe correctement ?
• Les codes source de chacun·e de nos services ont beau être publics, mais qui nous dit que ces services ne tourne pas en tant que root chez le CHATONS ?
• Pouvons-nous publier nos scripts de déploiement, nos Dockerfiles (ou autre) sans risquer d’exposer des informations sensibles pouvant mener à un piratage ?

Pour le moment, chez nous (42l) nous ne pouvons pas nous permettre d’être si confiants. Ainsi, même si nous faisons tourner des logiciels libres, nos Dockerfiles sont internes à l’heure actuelle, parce que nous ne sommes pas sûrs d’avoir appliqué les bonnes pratiques, la bonne configuration ; nous ne sommes pas assez qualifiés pour nous permettre de mettre en péril la sécurité des données de nos utilisateurs.

Nous nous reposons donc sur le principe de la sécurité par l’obscurité, ce qui est totalement en opposition avec nos valeurs et évidemment, la Charte CHATONS.

Mais nous savons que nous ne sommes pas les seuls dans ce cas-là, parce qu’aucun CHATONS n’a les moyens nécessaires (ou parfois, les connaissances nécessaires) pour effectuer un audit de sécurité régulier de leurs plateformes.

Cela dit, ça ne tombe pas si mal : nous avons tous des connaissances différentes sur des tas de sujets techniques différents, nous avons chacun·e tout un tas de bonnes pratiques à enseigner aux autres et par dessus tout, nous faisons partie d’un collectif qui se veut solidaire entre ses membres.

Et si nous mettions en commun ces connaissances ?

Le principe est simple : on se réunit physiquement, chaque membre présente ses fichiers, son infrastructure, ses contraintes, et présente spécifiquement les composants estimées comme sensibles ou obscurs puis on audite le code des autres.

Pour l’occasion, nous pourrions inviter quelques passionné·e·s de sécurité informatique qui ne font pas partie du collectif pour nous aider à pointer du doigt les faiblesses classiques ou, au contraire, de donner leur avis sur des terrains plus poussés et délicats.

Cela permettrait à tous les CHATONS participants d’être un peu plus confiants en leur travail et de réhausser le niveau de sécurité des membres du collectif.

Localisation, dates, informations complémentaires

Si cela vous intéresse, nous vous proposons d’organiser cette activité à l’école 42 (96, boulevard Bessières, 75017 Paris), dont les locaux nous sont à disposition gratuitement ; cela permettrait non seulement de donner de la visibilité au collectif auprès des étudiant·e·s de l’école, mais aussi d’inciter les passionné·e·s de sécurité de l’école à venir assister à l’atelieret éventuellement d’y apporter leurs connaissances.

• L’atelier durerait de 14h à 19h. Nous pourrions manger tous ensemble (avec celles et ceux qui restent, du moins) à la fin ;
• Merci d’être présent·e·s à 14 heures pour des raisons d’organisation. Si vous êtes en retard ou que vous ne pouvez pas venir avant une certaine heure, prévenez ici.
• Il y a des machines à café et des distributeurs de nourriture sur place (mais ne vous attendez pas à de la grande qualité).
• Il vous suffit de venir avec les moyens techniques nécessaires pour présenter votre infrastructure (votre ordinateur avec vos identifiants / clés, éventuellement des supports type diaporamas, etc.)

Voilà un framadate à votre attention :
https://framadate.org/vq1OvPcFRvkRJGvK

Le sondage sera clôturé le 15 septembre.
Notez que rien ne vous empêche de venir une fois le jour décidé : le sondage est là pour décider d’une date.

Veuillez savoir que même si une date fait l’unanimité sur le sondage, il n’est pas impossible que nous soyons obligés de changer de date avant que nous ayons officiellement annoncé la date finale (l’école est aussi réservée pour tout un tas d’évènements d’autres organisations et peut être réservée entre temps).

Si vous avez des suggesions / idées / remarques à proposer, n’hésitez pas

Merci de votre lecture,

~ N&B

C’est pour cela que je vous avez dit que docker et autres joyeuseries … cool, facile, rapide !
Mais niveau sécurité : ben … vous constatez vous-meme .

Perso , je suis quasi au meme stade que vous, meme plus bas car je ne suis pas webmaster, encore moins postmaster, ni dev web.
Par contre niveau architecture je sais ou il faut placer les éléments et comment les placer … Ensuite placer ses briques chez un hébergeur (amusant quand on se dit « hébergeur » …) … ben vous contrôlez : juste rien.(c’est une remarque pas une critique)

Par contre niveau simplicité , vous êtes gagnant …

Oui il faut mutualiser nos connaissances, mais comme les chatons mélanges des hébergeurs pro et d’autre à but non lucratif … les infos , à mon, avis, ne sont pas données.
Alors mutualiser du code, des fichiers … rêve ? … mais houai ce serai juste génial !

Salut,

@neil je ne peut qu’aller dans le sens de @ledufakademy…

Docker : pour tester son appli, pour empaqueter, mettre à jour, faire des release, ok pourquoi pas

Mais pour de la prod ? Pas question !

Même dans mon entreprise, beaucoup se font du bien en mettant ce buzz word dans toutes leur présentations…
Du coup c’est devenu « le standard du marché »… Le standard ? un truc dans lequel on ne peut pas « entrer » et « voir » ce qu’il se passe pendant que ça fonctionne ?

Je sais qu’ils sont très nombreux les promoteurs de Docker, mais honnêtement je n’y ferais jamais confiance…

p.s. : on me souffle dans l’oreillette que si on veut le mettre en prod de toute façon, il faut toute une infrastructure autour pour « sécuriser » la webfactory : donc au final c’est kif kif, l’administration demande du temps c’est un fait.

Bonjour,

Les problématiques de sécurité que nous souhaitons aborder n’ont rien à voir avec le fait que nous utilisions Docker ou non.

Qu’il s’agisse de Docker ou toute autre solution de conteneurisation / déploiement, c’est partout pareil : si le sysadmin n’est pas assez compétent pour comprendre les enjeux de sécurité liés à son travail, il y aura des failles de sécurité.

Sans utiliser Docker, rien ne vous empêche :

• De faire tourner un service en root ;
• De vous planter dans les règles iptables (ou autre pare-feu) ;
• De faire un usage maladroit de la cryptographie ;
• De mal configurer les paramètres de sécurité d’un service ;
• D’utiliser des versions désuètes et vulnérables de certaines applications ;
• De ne pas appliquer la meilleure configuration de sécurité possible…

Et il n’y a pas de mal à ça, on ne peut pas être experts en tout, on est justement là pour s’entraider.

Merci de vous retenir de lancer les chamailleries autour de Docker, comprenez qu’elles ne mèneront à rien et qu’elles ne sont pas pertinentes dans le cadre de cette activité.

Pardon, j’ai pas pu m’empêcher

Les ateliers à « Paris »… Ben voilà quoi non, je vais pas venir à la capitale pour présenter mon infra… C’est trop loin.

l’idée d’un « wiki » partagé est dans toutes les têtes… Mais bon : vu d’ici ça va ressembler à un empilement de howto… Et puis les cas sont souvent particuliers, et les pratiques sont rarement standards…

Éventuellement un « wiki » des bonnes pratiques avec une classification stricte… Mais bon qui pour s’en occuper…

Plutôt qu’une « présentation des infra », peut être qu’une session MooC sur un sujet bien délimité… idem qui va tirer la queue du Mickey ?

L’idée de mettre en commun nos savoirs faire ne date pas d’hier au sein des CHATONS mais je ne vois pas de solution évidente, mais c’est bien d’essayer.

On parle sécurité ou pas.
Docker est une des briques qui va venir s’insérer dans la problématique, dès la conception ou l’initialisation d’un projet : donc il faut en parler !
Tout comme le fait d’utiliser l’isolation par LXC (CT : container), les failles de sécu. des hyperviseurs AUSSI sont bien réelles ! (il y a des CVE pour esxi, qemu , kvm … donc pour Docker aussi , kubernetes etc etc)
Personnellement j’ai une approche oldSchoold de la sécu, esprit KISS.
Plus tu vas empiler, encapsuler (etc) : donc complexifier , plus tu prends le risque d’ajouter une faille humaine ou logiciel.

Moi je joue plutôt avec le périmétrique … mais suis parfaitement conscient que si je prends une cartouche sur le reverse proxy ou pire l’appli. en backend … dommage pour moi !
Et la encore le périmétrique, les archi. simple vont me permettre d’isoler au mieux les briques : donc de ne pas faire couler le navire.
Chaque brique fait son job … et le fait bien, tout en étant humainement compréhensible.
J’ai mis en prod. Ceph (système de fichier en mode block sitribué … façon google etc ) … je dois avouer que le coté magique du truc me gonfle au plus haut point : car si il y a un bug je vais manger cher !

Mais c’est vrai : c’est terriblement efficace , fiable , extensible et scalable(!) … fait pour la montée en charge.

J’ai tenté Docker avec l’installation de Collabora Online … quand j’ai vu le côté iptables dans le container , j’ai dit stop de suite ! (et en plus le truc ne marchait pas !)

1 - un service en mode root ? … ah bon … www-data est la norme non ?
2 - … donc tu prends opnsense, pfsense , ipcop etc … : comme les grands. J’ai monter un firewall multi-zone avec du scriptin et iptables : c’est juste imboufable.
3 - là : je ne peux que t suivre … et pour quel resultat ? … la sécurité , c’est comme les assurances : la poltique de la peur, personnellement je met « une capote » et le reste … ben tant pis , c’est juste la vie. Le sinistre fait partie de la vie d’un système. il faut avoir un PRA, rien d’autre.
4 - facile à dire … mais qui maitrise parfaitement chaque brique de ce qu’il monte ? pas moi en tout cas.
5 - la course à la dernière update ? façon Microsoft ? … sans moi ! je suis sous Stretch et compte y rester quelque temps. Certains parlent d’obsolescence programmé … tu es pile dedans.
6 - Ah si on savait tout dès le départ … ce serait idlyque, n’est ce pas !

Oui il faudrait faire des « réunions » Chatons pour parler de tout ca, mais pas forcément à Paris … ci c’est le puy-de-dome …centre france !
Je peux inviter du monde !

Sur les aspects techniques, sécurité, etc… je suis pas le mieux placé pour répondre donc je ne dirais rien.
Par contre sur l’agressivité et le dédain de certaines réponses…
@neil propose de venir à Paris pour ceux qui le souhaitent, parce qu’eux sont à Paris. Si vous pouvez tant mieux, si vous ne pouvez pas tant pis, pas besoin de répondre de façon condéscendante sur le fait que vous habitiez loin. @anon6747921 si tu veux organiser des aterliers dans le Puy-de-Dôme, n’hésite pas. @djayroma tu parlais de session MooC, ça peut être super intéressant aussi, mais c’est pas le sujet proposé par @neil ici . C’est parce qu’on a des chatons de partout qu’il ne faut rien faire nul part, il suffit juste de se motiver et c’est ce qu’ils font à leur échelle sur des sujets qui les intéressent.

Quant aux chamailleries et guerres de chapelle sur Docker, ça peut justement être intéressant de se rencontrer et d’échanger sur les pratiques de chacun, de voir à quel moment Docker peut vraiment devenir problématique, comment d’autres solutions sont plus adaptées ou non, etc… Alors que juste s’engueuler sur un forum n’a aucun intérêt.
D’autant plus que ce que @neil propose n’a rien à voir avec Docker directement. Ils proposent de faire des audits de sécurité entre nous. Que ce soit Docker ou non, que ce soit du code perso ou une mise en place d’une solution largement utilisée, etc…

Donc je propose que ce fil de discussion serve à parler de l’organisation de cet atelier de sécurité organisé par @neil, et pas pour se foutre sur la gueule sur des questions qui n’ont rien à voir. Si vous voulez, on peut ouvrir un autre fil de discussion pour s’engueuler.

S’engueuler ? Ben on fait juste de discuter …
… sécurité : justement !

En donnant des conseils gratos au passage mais bon … si c’est etre agressif.

Ces guerres de chapelles font malheureusement partie intégrantes du milieu du libre :

• initd ou systemd ?
• PHP
• Docker
• emacs ou vi ?
• nodejs
• postgres ou mariadb ?
• etc.

Perso, j’ai appris à dissocier de ce qui relève du « moi j’aime pas » du conseil.
Par exemple quand @djayroma résume bien la situation :

Docker : pour tester son appli, pour empaqueter, mettre à jour, faire des release, ok pourquoi pas
Mais pour de la prod ? Pas question !

Ca ne veut pas dire qu’il est impossible de mettre docker en prod, juste que c’est hautement recommandé de ne pas le faire. Et que des adminsys chevronnés le décommande doit nous mettre la puce à l’oreille.

Une fois ceci dit, chacun fait ce qu’il veut/peut.

@neil : votre démarche est plus que louable, et permet de faire avancer le schmilblick en posant des questions intelligentes.
Si elle interesse des gens, tant mieux !
Si personne ne répond à votre sondage, surtout n’en prenez pas ombrage ! Ca n’est sûrement pas l’idée qui est mauvaise, mais le fait qu’il faut composer ici avec une espèce un peu particulière d’être humains : les adminsys.

Ca fait 20 ans que j’en fréquente, et j’identifie quelques généralités (donc pas des vérités absolues, juste des tendances majoritaires)
L’admin sys (souvent un homme blanc cis) est … rugueux. Il a son franc parler parce qu’il n’a pas de temps à perdre. Il est organisé (parfois maniaque). Il peut avoir des troubles de la sociabilisation. Il a un profil « ingénieur » (pas au sens académique, plutot dans le sens « aime mettre en place des solutions ingénieuses à des problèmes souvent considérés comme des challenges »). Il a des avis tranchés, voir tranchants, sur les questions d’infra (matos et logiciels). Il adoooore partager ces avis, parfois de façon appuyée (voir de mauvaise foi). Il aime l’automatisation (« si la tâche revient plus de 3 fois, je la scripte »). Il aime « son » environnement de travail (où tout est configuré/installé pour être « productif », puisqu’il n’aime pas perdre son temps). De cela, tu peux tirer une tendance générale : il aime peu se déplacer.
A côté de ça, ce sont souvent des gens charmants, cultivés, avec qui on se marre bien. Mais 20 ans + tard, je me sens toujours un peu « décalé » si je passe une soirée entre admin sys (même celui de Framasoft, que j’adore et que je considère plus comme un ami que comme un collègue).

Partant de là (ça vaut ce que ça vaut, c’est juste mon vécu), je ne serai pas surpris que vous n’ayez que très peu (voir pas) de réponses à votre proposition pourtant chouette. Beaucoup se diront que le processus est à affiner (par exemple pour pouvoir faire un mix en ligne + présentiel lors d’un « chatonscamp » par exemple).

Bref, moi vraiment, je trouve ça très très chouette que vous identifiez ce problème (réel) et que vous proposiez spontanément une « solution ». C’est la preuve d’une belle énergie, d’autonomie, et d’intelligence.

Les réponses de @djayroma et @anon6747921 peuvent vous paraître agressives, mais je ne les perçoit pas comme tel. Il y a clairement une forme de paternalisme, mais j’y vois surtout une façon d’exprimer des avis perso sur des sujets qu’ils connaissent bien de façon… sans filtre, quoi ! (Un peu comme un pote à qui on dirait : « T’as acheté une Toyota ? Mais c’est de la merde voyons ! »)

Mes propositions :

• vous gardez votre proposition en l’état (je le répète, l’idée de se rassembler pour parler sécu entre chatons est une bonne idée. C’est juste qu’à mon avis vous avez mal identifié votre cible, pour qui la forme proposée ne convient pas).
• vous l’adaptez. Par exemple en faisant une « simple » réunions CHATONS récurrente, avec une thématique sécurité de temps à autre, pour attirer des membres de CHATONS qui ne soient pas que des adminsys. (si je prends mon cas, je ne vais pas faire 6h de trajet, dépenser 120€, et prendre une grosse journée de retard sur mon taf habituel pour un après midi de réunion technique sur un sujet auquel je ne pane quasi rien. Si par contre, il y a une thématique « gouvernance » à l’occasion, je peux éventuellement envisager le déplacement). Bon cette proposition est peut être à côté de la plaque aussi, mais c’est pour donner un exemple

Conclusion : ne prenez les réponses de @djayroma ou @anon6747921 comme agression. Vous avez mis un « trigger word » qui a fait qu’ils sont partis tout seuls (vous auriez mis « Rédigeons une présentation commune avec LibreOffice Impress », vous auriez eu les mêmes réactions sur la supériorité de LaTeX ou Beamer ou autre). Je trouve la proposition belle, mais du coup pas adapté au public visé.

Keep up the good work!

Toujours un plaisir de lire du @pyg

il arrive , il gueule , siffle la fin de la récré : tout le monde se barre ! (humour bien sure)
Oui votre initiative elle est bien , sérieusement …
Oui ca fait ch… d’etre à 400 bornes pour venir papoter avec vous !

Malheureusement j’ai pas trop le temps non plus de faire un A/R sur Paris pour 4h. Sachant que je viens de faire un Brique Camp suivi d’un DevCamp FFDN, là j’ai plein de trucs prévu pour les mois à venir…

Par contre peut être que des étudiants de chez Picasoft (assez proche Compiègne) souhaiteraient participer, n’hésitez pas à les mailler directement.

Précisions: comme ça a été proposé, si il y a un CHATONS CAMP sur un temps légèrement plus long, je serais potentiellement de la partie. (enfin pas en septembre clairement).

Bonjour,

La deadline pour le framadate ayant été atteinte et personne n’ayant positivement répondu au sondage, nous clôturons cette proposition d’activité.

Comme le disait @pyg, nous nous sommes peut-être effectivement trompés de public. Dommage, les étudiant·e·s de 42 auraient certainement aimé découvrir les membres du collectif à travers une activité pratique et concrète. (Ça les auraient changés des « workshops » de Thalès, BPCE, SoGe ou des GAFAM.)

Cela aurait aussi été une bonne occasion de nous rencontrer, parce qu’il y a un S dans CHATONS et parce qu’on en aurait tou·te·s tiré quelque chose.

Pour la localisation, l’IDF est la région qui concentre le plus de CHATONS en France (un peu plus que dans le Puy-de-Dôme !), on avait donc pensé que c’était plutôt approprié. En plus ça nous arrangeait vu qu’on avait déjà les locaux.

Nous veillerons cela dit, lors de toute future proposition, de ne pas mentionner les mots « docker », « postgresql », « nodejs », « systemd » ou « vim » pour ne pas lancer des chamailleries futiles, bien qu’il soit triste d’en arriver là.

Merci à tout·e·s de vos commentaires.

@neil c’était pas du tout une mauvaise idée et j’espère que vous n’allez pas vous décourager de continuer à faire ce genre de proposition. Pour la majorité des chatons, notre activité est loin d’être dédiée, ce qui ne nous donne que relativement peu de temps à la fois pour gérer l’infra / le support et (tenter de) suivre les activités / débats au sein du collectif.
Voilà c’est un peu mon mea culpa sur mon manque d’interaction sur cet atelier consacré à un sujet clé qui j’espère pourra voir le jour quand même dans un futur pas trop éloigné sous une forme ou une autre.