• SHA-1 :13:5C:EC:36:F4:9C:B8:E9:3B:1A:B2:70:CD:80:88:46:76:CE:8F:33
• MD5 : A6:1B:37:5E:39:0D:9C:36:54:EE:BD:20:31:46:1F:6B

Posted on février 8th, 2009 by admin
Filed under: Ressources | No Comments »

Notre clé publique est là : docs.a4nancy.net.eu.org/herbesfolles.org-0xCC98A740-pub.asc

Posted on octobre 5th, 2008 by admin
Filed under: Ressources | No Comments »

Tu veux être sûr-e que ton mot de passe, tu le donnes bien à herbesfolles.org, et pas à des méchants tentant de se déguiser ? Alors, étudie bien cette page.

Introduction

Tu dois parfois t’authentifier par mot de passe sur herbesfolles.org, que ce soit pour lire tes mails, administrer ton site, etc. Un bout non négligeable de la sécurité des services que propose herbesfolles.org repose sur le fait que l’on favorise, voire qu’on oblige les communications cryptées (https, etc.) entre :

• le serveur (c’est à dire la machine qui héberge les mails, les sites, les wikis…)
• les utilisateurices (c’est à dire les ordinateurs d’où illes se connectent).

Mi-2008, cette sécurité a connu une fâcheuse faille qui permettait, pour faire vite, de lire les communications soit-disant cryptées. Juste pour dire que cette sécurité qui repose sur une technologie qui n’est pas infaillible. Néanmoins, on t’encourage vivement à suivre certaines procédures, pour t’assurer que les communications soient aussi dures que possible à déchiffrer.

Une des attaques classiques contre les communications cryptées est le Man In The Middle. Elle consiste à se mettre entre le serveur et l’utilisateur, et de se faire passer pour le serveur aux yeux de l’utilisateur, et réciproquement. Elle permet à l’attaquant de lire tout ce que tu échanges avec le serveur.

Une des manière de se protéger contre cette attaque (en priant pour que la technologie elle-même ne soit pas bugguée…), pour accéder aux services d’herbesfolles.org, est d’installer de bon certificats.

Qu’est-ce qu’un certificat ?

Un certificat permet de vérifier l’identité d’un ordinateur sur Internet, de façon à permettre des échanges « sécurisés ». C’est comme qui dirait une carte d’identité infalsifiable. Sans certificat, tu ne peux jamais être sûr-e que l’ordinateur avec lequel tu dialogues est bien celui d’herbesfolles.org, et tu cours le risque d’offrir, sans le savoir, ton mot de passe sur un plateau aux méchants. Tes échanges numériques peuvent ainsi être interceptés, et leurs contenus espionnés.

Qu’est-ce qu’une autorité de certification ?

Un certificat est l’équivalent d’une carte d’identité. Contrairement à cette dernière, un certificat est normalement délivré par une entreprise privée, qu’on appelle autorité de certification (CA, pour Certification Authority). Herbesfolles n’aime pas trop ce principe, et est sa propre autorité de certification.

Chaque autorité de certification dispose d’un certificat racine (root certificate), sur lequel les logiciels se basent pour faire confiance aux certificats qu’elle a délivrés. Les certificats racine des autorités de certification commerciales sont intégré dans la plupart des logiciels… mais ce n’est bien sûr pas le cas du notre.

Il te donc installer ce certificat toi-même, sur chaque nouvel ordinateur (dans un cybercafé, chez des ami-e-s, etc.). que tu utilises pour te connecter sur herbesfolles.org, dans le logiciel utilisé (navigateur internet, client mail, etc.).

Il n’y a pas de méthode universelle pour installer un root certificate. Cependant, pour la plupart des navigateurs, il suffit de cliquer sur le lien suivant: docs.a4nancy.net.eu.org/a4n-cacert.crt

Pour ce qui est des logiciels de messagerie, et pour certains navigateurs, tu devras télécharger le fichier contenant le certificat sur ton ordinateur, puis l’importer dans ton logiciel.

Les choses se compliquent avec les logiciels Microsoft (Internet Explorer, Outlook…). De toute façon, les services d’herbesfolles.org n’étant pas testés sous ces logiciels, c’est pas gagné qu’ils fonctionnent, tout simplement. Alors laisse tomber, et utilise plutôt ces logiciels « libres » et gratuits, qui fonctionnent sous GNU/Linux, sous Windows et sous MacOS :

• le navigateur web Firefox ;
• le logiciel de mail Thunderbird.

Comment vérifier les certificats ?

Après, la question, c’est d’être sûr-e que l’on installe bien le bon certificat, et pas un certificat refilé par des méchants, placés entre l’ordinateur que l’on utilise et le serveur (soit près du serveur, soir près de l’utilisateur). Pour ça, il faut vérifier son empreinte. Et là, c’est pas gagné, le mieux c’est que tu trouves quelqu’un⋅e qui l’a déjà…

Sinon, tu peux toujours vérifier l’empreinte celle qui est présente sur ce site, depuis plusieurs endroits différents, en notant la fingerprint, c’est-à-dire le code qui représente le certificat, sur un bout de papier ou un ordinateur portable. Comme ça il faudrait faire un Man in the middle sur tout ces endroits pour t’arnaquer.

Empreinte SHA1 du certificat racine d’herbesfolles.org (si tu as confiance en cette connexion) :

A0 4F 31 69  3F D4 8F 78  C3 1E 00 E0  9B F4 00 E9  89 72 5F C2

Après, c’est possible d’avoir avec soi un petit papier avec la fingerprint du certificat, et ainsi de la regarder quand on utilise un nouvel ordinateur.

Généalogie de cette documentation

Au commencement, cette page fût grandement inspirée de celle de boum.org, qui vient de celle de poivron.org, qui fût elle-même largement pompée sur celle de riseup.net…

Posted on novembre 25th, 2007 by admin
Filed under: Ressources | Commentaires fermés

(Cette doc est provisoire depuis longtemps, (juste) le temps d’installer un vrai système de doc commun à tou-te-s les utilisateurices du serveur)

Mail

• Serveur POP3(S), IMAP(S) et SMTP(S) : mail.herbesfolles.org
• Login : ton adresse entière, genre truc@herbesfolles.org (requis pour utiliser le SMTP aussi)
• On vous conseille vivement d’utiliser les versions sécurisées de ces protocoles, d’ailleurs peut-être que les autres vont sauter un jour.

DNS

Nos DNS :
• primaire : a4nancy.globenet.org (80.67.172.114)
• secondaire : karl.globenet.org (80.248.214.36)

Gestion de sites

Pour utiliser le ftp :

• serveur : herbesfolles.org
• login / mot de passe : il vous faut créer un compte FTP sur votre interface d’administration (admin.herbesfolles.org)

L’utilisation du FTPs est fortement conseillée (sinon ton mot de passe est transmis en clair), il est probable qu’on interdise le FTP non sécurisé d’ici quelques temps. Nous supportons TLSv1. Les clients FTP suivants sont compatibles avec FTPs :

• fileZilla
• kftpgrabber
• kasablanca

Pour utiliser mysql :

• conserver l’adresse 127.0.0.1 (ou localhost) lorsque vous créez votre base. Il suffit de choisir un mot de passe (voir doc.alternc.org/user/ch09.html)

Aller plus loin

Par ailleurs, il existe ailleurs de la documentation (qui ne correspond pas toujours exactement à la version d’AlternC que nous utilisons pour herbesfolles) :
• Alternc – documentation utilisateurice : doc.alternc.org/user/
• Et l’association Farafina a créé un document d’aide bien fait là : farafina.org/alternc/aideAlternC.pdf

Posted on novembre 1st, 2007 by admin
Filed under: Ressources | No Comments »