le Blog de Catageek

Tutoriel : Crypter automatiquement les emails de la boite de réception Gmail

Voici une méthode réservée aux initiés, heureux possesseurs d'une plate-forme Linux connectée à Internet, qui permet de chiffrer tous les emails reçus avant qu'ils n'arrivent sur les serveurs de Google. Un vrai pied de nez (voire un doigt...) au monstre tentaculaire Google, qui a peu de scrupule quant à la protection de la vie privée. il s'agit en fait d'un proxy POP3 chiffrant mis en coupure, que Gmail interrogera régulièrement pour récupérer les messages reçus et les placer dans la boite de réception.

J'utilise ce système depuis 1 an maintenant, sans aucun problème. Explications.

Si vous êtes arrivé sur ce tutoriel, c'est que vous êtes probablement utilisateur de Gmail. Connaissez-vous la fonctionnalité de récupération des messages sur un autre compte, via connexion POP ? C'est dans l'onglet Comptes, rubrique récupérer les messages d'autres comptes. Vous indiquez là les données de connexion du compte à consulter via un serveur POP, et Gmail récupérera les messages toutes les 15 minutes environ, et les mettra dans la boite de réception.

Imaginez maintenant que le serveur POP à consulter vous appartienne, et que vous décidiez quels messages doivent être transmis à Gmail, autrement dit vous pouvez placer vous-même les messages dans la boite de réception Gmail, en les chiffrant avant, tant que vous y êtes...

Imaginez que votre serveur POP est également un client POP qui récupère les messages sur un autre compte vous appartenant, chez un autre fournisseur X beaucoup plus respectueux de la vie privée, dans votre pays par exemple. C'est ce qu'on appelle un proxy. Le proxy envoit à Gmail les messages reçus sur le serveur POP du fournisseur X. Tous les messages transitent par lui.

Si le proxy chiffre les messages à la volée durant le transfert, vous obtenez un proxy chiffrant transparent. Vos messages arrivant sur votre compte du fournisseur X sont transférés sous forme chiffrée dans la boite de réception Gmail. Et vous, vous n'avez rien à faire.

Les fichiers produits sont compatibles avec le format S/MIME supporté par de nombreux lecteurs de courrier (Outlook, Thunderbird,...), et sont lisibles sur Gmail avec le plugin Gmail/SMIME.

Pour résumer, vous avez besoin :

d'un compte mail accessible en POP chez un fournisseur X
d'une plate-forme Linux connectée en permanence à internet, avec une IP fixe ou une adresse DNS, qui jouera le rôle de proxy transparent chiffré.

Mise en place du proxy

Le proxy est composé de deux applications. La première est un proxy POP modulaire, p3scan, que vous devez installer. La seconde est le module de chiffrement de ma composition, progammé en shell, et utilisant openssl et coreutils.

Configuration du proxy

Au début du script de chiffrement, vous devez renseigner la variable MY_PUBLIC_KEY avec le chemin du fichier contenant votre clé publique de chiffrement.
Vous devez également renseigner les paramètres de /etc/p3scan/p3scan.conf :

targetip = IP du serveur POP du fournisseur X
targetport = 110
scannertype = bash
scanner = /chemin/vers/chiffre_mail.sh

p3scan écoute sur le port 8110 par défaut, mais vous pouvez changer cette valeur dans le fichier p3scan.conf (j'ai mis 995).

Démarrer p3scan.

Création et installation des clés de chiffrement

On commence par générer la paire de clés RSA de 2048 bits. On ne protégera pas la clé privée par un mot de passe.

Nous initialisons le générateur de clé d'openssl avec une graine de 1024 caractères tirés de /dev/random.

$ mkdir -p ~/ssl
$ mkdir -p ~/ssl/private
$ chmod 700 ~/ssl/private
$ cd ~/ssl/private
$ head -c 1024 /dev/random > seed_rsa
$ openssl genrsa -rand seed_rsa -out chiffrement_priv.key -aes256 2048
1024 semi-random bytes loaded
Generating RSA private key, 2048 bit long modulus
...................+++
.....+++
e is 65537 (0x10001)
Enter pass phrase for chiffrement_priv.key:
Verifying - Enter pass phrase for chiffrement_priv.key:
$

On supprime le mot de passe

$ openssl rsa -in chiffrement_priv.key -out chiffrement_priv.key
Enter pass phrase for chiffrement_priv.key:
writing RSA key
$

On extrait la clé publique dans un fichier à part

$ openssl rsa -pubout -in chiffrement_priv.key -out ../chiffrement_pub.key
writing RSA key
$

C'est le chemin du fichier chiffrement_pub.key qu'il faut mettre dans la variable MY_PUBLIC_KEY.

Fabrication du certificat

Pour lire nos messages, nous avons besoin d'un certificat de type pkcs12 à importer dans l'application (Thunderbird, Outlook, Gmail S/MIME,...). Nous allons produire un certificat auto-signé pour simplifier au maximum l'opération.

$ openssl req -new -x509 -days 3650 -key chiffrement_priv.key -out your_email@gmail.com.pem
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-
Country Name (2 letter code) FR:
State or Province Name (full name) :
Locality Name (eg, city) :
Organization Name (eg, company) :
Organizational Unit Name (eg, section) :
Common Name (eg, YOUR name) :your_email@gmail.com
Email Address :
$

Nous obtenons un certificat au format PEM que nous transformons en certificat PKCS#12 :

$ openssl pkcs12 -export -in your_email@gmail.com.pem -inkey chiffrement_priv.key -out ../your_email@gmail.com.p12
Enter Export Password:
Verifying - Enter Export Password:
$

Le certificat your_email@gmail.com.p12 doit être importé dans votre outil de lecture de mail préféré.

Paramétrage de Gmail

Dans la gestion des paramètres de votre compte Gmail, ouvrez l'onglet Comptes puis la rubrique récupérer les messages d'autres comptes. Indiquez l'adresse IP de votre proxy, ou son adresse DNS, ainsi que le port d'écoute de votre proxy. Pour les identifiants de connexion, indiquez ceux de votre compte chez le fournisseur X (login et mot de passe).

Test

Envoyez un email à vous-même sur votre adresse chez le fournisseur X, et surveillez l'historique des connexions de récupération des messages sur votre interface Gmail. Au bout de quelques minutes, vous verrez apparaître votre message dans la boite de réception Gmail.

Mise en production

Si le test est concluant, vous pouvez maintenant chiffrer l'ensemble des messages à venir, de deux façons différentes :

Vous oubliez votre adresse Gmail et n'utilisez plus que votre adresse chez le fournisseur X pour communiquer. Vos correspondants utiliseront automatique cette adresse.
Vous établissez une règle de transfert permanent de tout vos messages de Gmail vers l'adresse du fournisseur X, avec suppression de l'original. Ceci est beaucoup moins sûr car Gmail conserve une copie de l'original non chiffré dans la corbeille pendant 30 jours.

Qu'ils mangent de la brioche !

« Ils n’ont pas de pain, qu'ils mangent de la brioche ! »

Cette phrase que l'on prête à Marie-Antoinette alors qu'on lui rapportait que les parisiens n'avaient plus de pain a une toute autre origine, et n'a assurément jamais été prononcée par Marie-Antoinette.

Nous avons entendu Marie-Antoinette qui, aux Parisiens affamés, fit répondre : « Ils n’ont pas de pain, qu’ils mangent de la brioche ! » clame le député à propos de l'oratrice précédente, tout fier de sa citation qu'il peut envoyer dans les dents de ses adversaires. Et son groupe parlementaire d'applaudir.

Le député en question est Jean-Pierre Brard, et cette phrase a été prononcée le mardi 10 juillet 2007, en pleine discussion sur le bouclier fiscal. Je suis surpris d'entendre cette contre-vérité de la bouche d'un parlementaire représentant le peuple français. Ce n'est pas la première fois que ce député nous délivre cette référence historique.

Cette phrase n'a pas été prononcée par Marie-Antoinette, mais figure dans le Livre VI des ''Confessions'' de Jean-Jacques Rousseau, ouvrage écrit en ... 1736. Elle a été extraite de cet ouvrage par la propagande révolutionnaire pour être prêtée à Marie-Antoinette afin de discréditer l'Autrichienne. Wikipedia parle également de cette plaisanterie au sujet de la brioche.

Quand Jean-Pierre Brard cessera-t-il donc cette mauvaise plaisanterie, et surtout quand osera-t-on rappeler haut et fort dans l'hémicycle ce qui est énoncé ici ?

Taxe sur le mariage mixte

A l'heure où les députés discutent d'une loi pour "l'amélioration du pouvoir d'achat", je me suis acquitté d'une taxe de 275€ en vue de la délivrance de la carte de séjour de ma femme, alors que les étrangers admis au titre du regroupement familial en sont exonérés. Une sorte de taxe sur le mariage...

La délivrance d'une carte de séjour est soumise au paiement d'une taxe pour l'ANAEM, l'Agence nationale de l'accueil des étrangers et des migrations, qui prend en charge les étrangers à leur arrivée et leur fait signer le Contrat d'Accueil et d'Intégration (CAI). Cette taxe sélève à 275 € pour le conjoint d'un Français.

Jusque là, rien de scandaleux, car l'ANAEM effectue une visite médicale "gratuite" et coordonne l'application du CAI, à savoir les 2 journées de formation ("la vie en France" et la formation civique), ainsi que les cours de français dans la limite de 400h, ce qui n'est pas rien.

Ce n'est pas la taxe en elle-même, ni son montant, qui me dérangent, je la trouve même juste. Mais pour quoi donc les étrangers admis au titre du regroupement familial, ainsi que les salariés, en sont exonérés ? Ils bénéficient pourtant des mêmes services auprès de l'ANAEM (cours de français gratuits, etc.).

Un médecin pakistanais (ou indien, guatemaltèque, sénégalais, etc.), salarié, qui fait venir sa femme, n'aura pas a payer cette taxe pour cette dernière, et ne la paie pas pour lui-même non plus, puisque salarié. Un Français qui fait venir sa femme étrangère doit s'en acquitter. Peut-on m'expliquer pourquoi ? S'agit-il de préférence étrangère ou une taxe sur le mariage mixte ? S'agissant de regroupement familial (au sens strict du terme), je ne comprends pas pourquoi il y a 2 poids, 2 mesures.

Et surtout, qui doit-on remercier ?

Windows Vista, le 1er OS jetable !

Le dernier OS de Microsoft, Windows Vista, ne pourra être installé que 2 fois, sur 2 machines différentes. Cette limite est indiquée dans la licence de l'OS et ne concerne que la version de base, les versions professionnelles n'étant pas concernées.

Concrètement, cela signifie que si vous changez de PC 2 fois, vous devrez racheter le produit. Microsoft vérifiera que cette clause est bien respectée via un mécanisme de contrôle logiciel. En cas de non-respect, Windows Vista sera restreint pendant 30 jours, le temps de passer à la caisse, puis votre PC se bloquera après ce délai.

Microsoft n'a pas indiqué si cette limite concernait également les réparations ayant entrainé un changement de carte-mère, ou d'autres pièces essentielles, mais il y a de quoi s'inquiéter.

Voilà une nouvelle qui devrait encore pousser les utilisateurs vers des OS libres, au hasard Ubuntu ou Mandriva qui sont maintenant accessibles à tous.

MAJ du 07/11/2006 : Microsoft fait machine arrière, et revient au système de licence en vigueur sous Windows XP, à savoir l'installation illimitée d'une seule copie à la fois, après avoir desinstallé la précédente. En revanche, interdiction de le faire tourner dans une machine virtuelle.

Que s'est-il réellement passé le 11 septembre ?

J'ai lu dernièrement dans le journal qu'il y avait eu lundi dernier une manifestation à Paris pour la réouverture de l'enquête sur les attents du 11 septembre. Y était indiqué un lien vers http://reopen911.online.fr/ que je suis allé visité par curiosité.

Ce site essaie d'apporter un autre regard sur les événements du 11 septembre, différent de la version officielle et obligatoire. On y trouve notamment un catalogue de vidéos anti-conformistes (au sens premier du terme) qui, sans apporter de preuves irréfutables, ont le mérite de remettre en question les conclusions de l'enquête. Elles nous montrent surtout qu'une version alternative n'est pas plus improbable que la version officielle, laquelle n'a que le mérite de justifier 2 guerres abusivement déclarées au nom de la lutte contre le terrorisme. A regarder d'urgence, de manière objective.

Je vous recommande en particulier l'excellent Who Killed John O’Neill ? qui défend la théorie du complot gouvernemental. Un bon départ pour mener sa propre enquête : en effet, en qui peut-on faire confiance ?

Moi, pour ma part, je me suis toujours demandé où étaient passés les débris de l'avion qui s'est écrasé sur le pentagone.

Je me demande aussi comment Georges W. Bush a pu voir à la télévision le 1er avion se crasher dans la 1ere tour du WTC avant de rentrer dans la salle de classe où il a appris officiellement la nouvelle (cf l'avant dernière intervention de Bush, entrevue du 4 décembre) sachant que ces images n'ont été diffusées que 11 heures après le drame. Il ne peut pas s'agir du film des frères Naudet, le seul montrant le crash du 1er avion, diffusé par Gamma en fin de journée. Alors quelles images a-t-il vu ?

Pourquoi les terroristes disposaient-ils des codes secrets et des procédures internes des organes gouvernementaux ? (NY Times du 13/09/2001 et WorldNetDaily du 20/09/2001)

Pourquoi y a-t-il eu une agitation boursière louche autour des valeurs "American Airlines" et "United Airlines" 6 jours avant le 11 septembre ? (International Policy Institute for counterterrorism, Israël, 19/09/2001)

Sachant que le conflit en Afghanistan était déjà planifié en juillet (Ministère des Affaires Etrangères, Point de Presse du 17 JUILLET 2001), les attentats tombaient à pic. "Divine surprise"

Fréquentation du site en hausse

2400 visiteurs uniques depuis le 25 septembre, soit une hausse incalculable puisque la fréquentation était quasi-nulle auparavant. La raison de cet afflux inattendu d'internautes ? Un article sur l'Appel Gagnant qui a du succès. Je sais que la plupart des visiteurs cherchent des solutions du jeu, mais aussi que d'autres s'intéressent plus aux animatrices.

Le référencement dans les moteurs de recherche s'est amélioré : beaucoup d'articles se retrouvent maintenant en première page des résultats de recherche sur certains mots-clés, alors qu'ils figuraient très loin dans les résultats de recherche. Ce qui confirme qu'un seul article bien référencé remonte le PageRank de l'ensemble du site.

Cela aura-t-il un effet durable ou s'agit-il seulement d'un effet de mode ? Le temps nous le dira...

Faire tourner les tables SQL avec mysql-rotate et Cron pour archiver les logs

mysql-rotate est un script shell qui archive les tables MySQL à la manière de logrotate. les tables archivées sont renommées, compressées et ne seront accessibles qu'en lecture (ceci étant réversible). Ainsi, vous éviterez de gonfler vos tables de logs (firewall,...) ou de forums et/ou blog. Je l'utilise pour archiver mensuellement les logs Nulog ou NuFW.

Il fonctionne de manière automatique avec Cron.

Pour utiliser ce script, vous devez être "root" et placer le script mysql-rotate sur la machine où se trouve le serveur MySQL.

Lorsqu'il sera exécuté pour la première fois, le script renommera chaque table table figurant dans la liste TABNAME en table_2, et créera une nouvelle table table. A la deuxième exécution, il renommera table_2 en table_3, et table en table_2, et ainsi de suite

Il sera conservé jusqu'à TABNUMBER tables. Au-delà, les tables seront supprimées.

Pour décompresser une table archivée et annuler la lecture seule, vous devez exécuter myisamchk --unpack /var/lib/mysql/my_db/my_table.MYI.

Voici le script mysql-rotate :

#!/bin/bash
MYSQL_HISTFILE=/dev/null
SQL_USER=""
SQL_PASS=""
SQL_DB=""
TABNAME=""

SQLCMD="mysql ${SQL_DB} --batch -u ${SQL_USER} -p${SQL_PASS}";
declare -i TABNUMBER=12;

for t in ${TABNAME}; do
	# create table 0
	echo "CREATE TABLE IF NOT EXISTS ${t}_0 LIKE ${t};" | $SQLCMD;

	# delete table 12
	echo "DROP TABLE IF EXISTS ${t}_$TABNUMBER;" | $SQLCMD;
	
	# move table from 2 to 11
	FLUSH=""
	STRING=""
	
	for TABLE in $(seq 2 $((${TABNUMBER}-1))); do 
		# teste si la table existe
		if echo "DESCRIBE ${t}_${TABLE};" | ${SQLCMD} >/dev/null 2>&1;
		then
			FLUSH="${t}_${TABLE}, ${FLUSH}"
			STRING="${t}_${TABLE} TO ${t}_$((${TABLE}+1)),\
${STRING}";
		fi
	done

	# move table from 0 and 1
	FLUSH="${FLUSH}${t}"
	STRING="${STRING}${t} TO ${t}_2, ${t}_0 TO ${t}"
	
	# atomic
	echo "FLUSH TABLES ${FLUSH}; RENAME TABLE ${STRING};" | ${SQLCMD}  >/dev/null 2>&1


	#compress 2
	cd /var/lib/mysql/${SQL_DB}/
	echo "FLUSH TABLE ${t}_2;" | $SQLCMD
	myisampack -s "${t}_2.MYI"
	myisamchk -s -rq --sort-index --analyze "${t}_2.MYI"
	echo "FLUSH TABLE ${t}_2" | $SQLCMD
done

Juppé et l'argent public : toujours en pleine confusion

Alain juppé annonce son retour en politique, et plus particulièrement à la mairie de Bordeaux, et a confond toujours bien public et convenance personnelle.

On aurait beaucoup à dire sur les ambitions électorales d'un repris de justice ayant dépensé l'argent public au bénéfice de quelques uns, mais ce qui est affligeant dans cette affaire est que la leçon donnée par la justice n'a pas porté ses fruits. Monsieur Juppé arrive et c'est tout un ensemble d'élus qui provoquent une crise pour convenance personnelle, au frais du contribuable bien sûr, puisque ce sont bien eux qui vont payer l'organisation des élections anticipées.

Monsieur Juppé arrive et n'entend pas attendre l'échéance du mandat municipal pour se présenter. "Pousse-toi de là que je m'y mette !".

Je m'étonne que personne n'a proposé de faire payer à ces élus démissionnaires le coût de ces élections.

Il y a vraiment des coups de pied au c*** qui se perdent !

SpamClear : le plugin antispam Dotclear

Peut-être avez-vous remarqué que les commentaires et trackbacks étaient de retour, après avoir étés désactivés à cause du trop grand nombre de spams reçus. La raison en est que j'ai installé le plugin antispam spamclear et que celui-ci me donne pour l'instant entière satisfaction.

En plus, il est très facile à installer, et à utiliser. Comment peut-on s'en passer ?

Dotclear à la racine et réindexation des moteurs de recherche

Mettre son blog Dotclear à la racine est un sujet récurrent, il n'y a qu'à taper "dotclear racine" dans son moteur de recherche préféré pour s'en rendre compte. Le principe est de ne plus avoir des URL du style :

http://www.catageek.info/dotclear/index.php/2006/05/16/94-dotclear-a-la-racine

mais plutôt :

http://www.catageek.info/2006/05/16/94-dotclear-a-la-racine

C'est quand même plus joli. Et pour faire plus fort, nous allons nous débrouiller pour faire prendre en compte ce référencement par les moteurs de recherche (Google par exemple).

En effet, les moteurs de recherche n'ont aucune raison de modifier une URL dans leur référencement tant qu'ils n'ont pas reçu une erreur quand ils tentent d'accéder à cette URL.

Quelques vérifications s'imposent avant de commencer. Nous allons utiliser l'URL Rewriting d'Apache, et son module mod_rewrite. Nous utiliserons aussi des fichiers .htaccess. Vérifiez donc que tout ceci est pris en charge par le serveur.

Supprimer /dotclear/

Pour que

http://monsite.tld/dotclear/index.php/2006/05/16/94-dotclear-a-la-racine

soit maintenant accessible en

http://monsite.tld/index.php/2006/05/16/94-dotclear-a-la-racine

Nous allons réécrire les URL à la volée pour insérer /dotclear/. Nous allons créer un fichier .ht_access que l'on va placer à la racine du domaine :

RewriteEngine On

# Redirige toutes les URL vers le blog en insérant /dotclear/

# Décommentez cette ligne si vous avez un sous-domaine "blog"
#RewriteCond %{HTTP_HOST} ^blog\.votre_domaine\.fr$

RewriteCond %{REQUEST_URI} !/dotclear/
RewriteRule (.*)$ /dotclear/$1

Vous pouvez tester dès maintenant !

Supprimer /index.php/

Maintenant nous voulons que les URL du type

http://www.catageek.info/index.php/2006/05/16/94-dotclear-a-la-racine

soit accessible en

http://www.catageek.info/2006/05/16/94-dotclear-a-la-racine

et, en plus, nous voulons que les moteurs de recherche mettent à jour leur index.

Nous allons faire 2 opérations :

Réécrire les URL à la volée pour insérer /index.php/
Signaler aux robots des moteurs de recherche la nouvelle URL sans /index.php/

Mais il y a un petit problème cette fois-ci. Lorsque nous avons supprimé /dotclear/, c'est toutes les URL contenant /dotclear/ qu'il fallait réécrire. Cette fois-ci, nous devons ajouter /index.php/ dans toutes les URL ne contenant pas déjà /index.php/, or les "mauvaises" URL que nous souhaitons déréférencer par les moteurs de recherche contiennent déjà /index.php/. Les "bonnes" URL et les "mauvaises" URL contenant toutes /index.php/, comment les différencier ?

La solution est toute simple : nous renommons le fichier /dotclear/index.php en /dotclear/blog.php : les "mauvaises" URL contiendront toujours /index.php/, et les "bonnes" URL contiennent maintenant /blog.php/, et le tour est joué. il ne reste qu'à faire le tri.

On crée le fichier /dotclear/.ht_access :

RewriteEngine On

# Redirige les URL commençant par /dotclear/index.php vers /
# Puis envoie une erreur 301 Moved Permanently
RewriteCond %{REQUEST_URI} /dotclear/index\.php [NC]
RewriteRule ^index.php/?(.*)$ /$1 [R=301,L]
 
# Réécriture pour insertion de /blog.php/ dans l'URL
# On exclue quelques types de requête
RewriteCond %{REQUEST_URI} !/themes
RewriteCond %{REQUEST_URI} !/ecrire
RewriteCond %{REQUEST_URI} !\.php
RewriteCond %{REQUEST_URI} !\.jpg$
RewriteCond %{REQUEST_URI} !\.png$
RewriteRule (.*)$ /blog.php/$1

L'astuce ici est de renvoyer une erreur "301 Moved permanently" qui sera prise en compte par les robots des moteurs de recherche, qui mettront à jour leur référencement. Consultez l'exemple de mise à jour de l'index Google pour avoir plus de détails, ou bien Google et Yahoo!.

N'oubliez pas de renommer le fichier /dotclear/index.php en /dotclear/blog.php

Enfin, dans /dotclear/conf/dotclear.ini, on modifie cette ligne pour déclarer le blog à la racine :

; URL vers le blog
dc_blog_url = /

Et voilà !