Si le lecteur n’est pas mappé il n’est pas visible ni utilisable.
Je sais bien, mais comme j’ai dit, je préfère prendre une approche parano pour ce qui est de la conception de système de sécurité en informatique, énormément de choses qu’on pensait inviolable ont étaient à la grande surprise générale facile d’accès…
C’est d’ailleurs ce qui a rendu le Ransomware WannaCry si impressionant.
@fred1968
Pas la peine d’être irrespectueux non plus, sache que c’est totalement possible de récupéré des informations d’une machine non branché à un réseau, c’est pas des affabulation, c’est le nom d’un programme même pas secret :
On parle ici de récolté des données depuis un réseau électrique, des frappes clavier avec des micro ou même les capteur de mouvement des smartphones à proximité, de voir le contenu d’un écran depuis n’importe quel matériau conducteur tel que les canalisations…
On sait aussi qu’il existe des virus capable de s’implanté dans le firmware d’un disque dur pour résister au formatage et de se réimplanté dans le système, le tout en étant quasiment impossible à détecté.
Les virus de nos jours étant polymorphique il ne faut plus se fier à la signature mais au comportement de tel logiciels pour les détecté, seulement ça peux fonctionné dans l’autre sens.
Le but d’un ransomware c’est justement de rendre des fichiers irrécupérable, ce qui veux dire qu’il est inutile si il y a sauvegarde, c’est pas très compliqué de faire un virus qui attend un certain temps pour voir si différent système de stockages sont connecté et à quel interval (avec une marge d’erreur) pour utilisé des bombes à retardement et les corrompre au meilleur moment.
Si je devais codé un ransomware, je ferais en sorte qu’il créer des copies prévues à la fois pour reprendre le travail si une était stoppée, mais également une par périphérique de stockage détecté sur une période d’une semaine à un mois, comme ça, lors ce que la personne pense avoir enfin viré cette saleté, boom, ses sauvegardes sont aussi crypté, et si elle veux récupérer ses données elle va devoir payer…
Car à part ceux qui s’y connaissent bien en informatique, quelqu’un qui a un disque dur de sauvegarde et une clef USB avec des données quelconque dessus, lors ce que cette personne va pensé que la menace est éliminé, elle va de façon insouciante branché ses périphérique et là c’est la catastrophe…
Et ça c’est sans parler de programme qui pourraient simplement utiliser le eventvwr de windows pour simplement mettre en relation ce qui permet de reconnecté de façon logicielle le lecteur et un périphérique de stockage et s’en servir soit de déclencheur pour sortir le ransomware de son état de veille, soit pour directement reconnecté le périphérique lors ce que l’ordinateur est en étant d’inactivité et de tout faire de lui même.
Des programme amateur font plus compliqué que ça, donc avec l’appas du gain des ransomwares, c’est plus que probablement qu’un existe déjà étant capable de faire cela…
Et j’aime bien dire : « vaux mieux être un parano en vie qu’un insouciant mort ».
1 « J'aime »
Tu me dis des choses comme ça et en suite tu me parles de paranoïa par ce que je dit que c’est préférable d’avoir une désactivation coté périphérique que du coté OS ? Really ¿
Un NAS restera toujours plus cher qu’un disque dur externe et un Raspberry Pi…
Le truc c’est que la fuite d’information atteint des niveau que personne n’imagine, juste pour exemple, la Wi-Fi alliance peux depuis la Wi-Fi 6E détecter les mouvement et la respiration :
Et bizarrement la 5G dont les ondes millimétrique ont des fréquences supérieur au 6Ghz de la Wi-Fi 6E (donc qui sont plus sensible et facilement influençable) est très poussée par le gouvernement ) être installé partout alors que ça n’as aucun sens techniquement et commercialement de le faire avant de renforcer les réseau fibre et 4G…
Je dis ça, je dis rien…
Donc au final, est-ce réellement de la paranoïa que de préférer utilisé une désactivation coté périphérique quand on sais tout ça ?
Je dirais que la vrais version parano ça serrait de mettre le système sous batterie dans une cage de faraday avec des connecteur électrique qui physiquement se retire lors de l’activation de la sauvegarde et de faire en sorte que des calculs aléatoires soient amplifier pour brouiller les émissions…
1 « J'aime »
Très agréable et respectueux, j’aime bien ça.
Et c’est vrais que ça n’intéresse absolument aucun hackers qui codent des Ransomwares et qui gagnent de l’argent avec ça d’accéder au sauvegardes pour donner encore plus de raisons au gens de payers pour récupérer leur donnés…
J’ai même pas de VPN…J’ai TOR d’installé mais je l’utilise jamais, et je parle pas d’être intraceable, je parle de ne pas laissé de porte ouvertes vers des données sauvegardé qui ont justement pour but de ne pas être endommagé, encrypté, effacé ou corrompu (virus ou non) et non de ne pas être lu, SIMPLEMENT en utilisant un Raspberry Pi (le sujet ici) pour physiquement déconnecté sa liaison USB avec l’ordinateur (transistors ou relais ou en désactivant un contrôleur USB comme tout ces « Mini USB Host Shield » trouvable sur USB en coupant son alim pour le rendre inopérant) pour le rendre hors d’atteinte.
Mais bon je te l’accorde, WannaCry c’était surement du fake hein, aucun hackers n’irais jamais sur le Deep Web pour payer très cher des outils de la NSA qui dévoile des failles qui peuvent être utilisé par un virus pour infecté d’autre machines d’un réseau, tout ça pour gagner des sous en cryptant des données et demandant de payer pour pouvoir les décrypté, voyons, c’est surement une théorie farfelue d’un « complotiste », personne ferais jamais ça et aucune chose du genre ne risque de recommencé, surtout avec des virus qui savent accédé au fonctions les plus sensibles d’un processeur (Meltdown, Spectre), CPU qui lui même gère les IO peux importe ce que Windows en pense et qui peux facilement envoyé des données vers n’importe quel périphérique…
Totalement délirant et vraiment d’un esprit fragile, franchement, quel crétin irais concevoir un virus qui s’attaque au données qu’on veux justement le plus protégé…
1 « J'aime »
L’article est intéressant, mais je trouve quand même qu’il aurait pu éviter quelques lieux communs, comme par exemple:
Comme si windows donnait des droits administrateurs à tous les utilisateurs…
Par ailleurs, je trouve étonnant pour les performances:
-de qualifier de « correctes» les performances en lecture, alors qu’elles sont proches du maximum théorique (110Mo/s = 880Mb/s, or on est en ethernet 1gb/s max théorique)
-Et surtout de ne pas comparer les performances en écriture avec un nas HDG équipé des mêmes disques durs, et de décréter que le débit faible est du fait du pi.
Un lieu commun que Linux soit plus sécurisé que Windows ? Peut-être, mais la vérité, non ? C’est vrai, ça s’est nettement arrangé côté Windows, mais il permet encore de jouer avec les fichiers systèmes et de faire de belles bêtises sans trop forcer.
Oui, « correctes » car n’importe quel NAS moderne sature le Gigabit Ethernet en lecture.
Je ne « décrète » rien 
J’ai testé des dizaines de NAS et pas mal avec les mêmes SSD utilisés sur ce test : 50 Mo/s. c’est ce que j’ai observé de plus faible et d’assez loin, en plus la régularité n’est pas de mise. Je reconnais que je ne fais pas de comparaison directe dans l’article.
J’espère avoir clarifié les choses 
Bonjour,
Sources?
Non. Pour supprimer un fichier système sous windows il faut le vouloir. Il ne suffit pas de glisser c:\windows dans la corbeille
110Mo/s au lieu de 128Mo/s en maximum théorique, ça fait une différence de 10% avec les meilleurs nas gigabit ethernet…
Ça manque clairement. Il faut faire un test standardisé pour comparer: ici on veut voir la vitesse du NAS. Il faut donc utiliser un autre NAS, avec les mêmes disques, et copier le ou les mêmes fichiers à partir du même ordinateur
Bonjour.
Pour en revenir au coeur du sujet : j’ai reçu mon kit rapidement malgré le confinement et la distance : 13/5 reçu le 2/6.
Bonne nouvelle j’ai eu l’alimentation de preorder. 2ème bonne surprise : c’est le kit 1.2 donc ce n’est plus de l’USB-C qui est livré mais une alimentation avec un connecteur rond (12v-5.0A).
J’ai monté 4 disques 2.5 classiques (5400tours des WD des modèles et capacités différentes) : 0 soucis d’alimentation.
Ne pas oublier de Reboot 1 fois après avoir activer l’afficheur sur le dessus, sinon cela ne fonctionnement pas.
Les points d’attention :
- pas de vrai isolations électriques interne et avec le boitier donc comme recommander ne pas toucher/déplacer une fois allumé (j’envisage de mettre un feuille isolante côté connecteurs USB car le risque le plus fort est là). Rassurant malgré tout car le boitier est lourd, épais et costaux donc pas de risque d’écrasement quand on prend en mains (ou alors faut s’appeler Hulk).
- la température du PI est élevée même au repos 50/53° alors qu’avec mon ancien boitier ventilé j’étais à 40°. Rien de dramatique, je vais surement changé le ventilo haut par un Noiseblocker XM2 (théoriquement meilleur rendement et moins bruyant). J’envisager aussi un petit support avec 2 ventilos (push/pull) pour le base histoire d’optimiser le transfert. La refroidissement du PI est un point qui pourrait être amélioré je pense (watercolling…)
*l’ordre de port versus ce que Raspbian détecté, là c’est mystère : port de 1 à 4 mais Raspbian détecte 1/3/2/4.
Le kit revient à plus que 99 € car il faut rajouter les frais de ports et les éventuelles frais de douanes (sur le coup c’est roulette russe).
Très intéressant Stéphane, merci pour ce retour et, oui, la 1.2 semble bien mieux pour l’alimentation.
Attention paradoxalement la partie logicielle est un peu galère dans son ensemble. OVM propose une solution qui embarque beaucoup de chose mais on ne sais pas trop quoi lors de l’installation.
1/ l’IP qui change : bah oui ne fixez pas votre IP avant l’installation de OVM : il change de gestionnaire et DHCP
2/ Effet de bord le résolution DNS est foireuse. Astuce (j’en suis arrivé à me faire un guide du début à la fin… au bout de 20 formats. Disponible à la demande presque terminé) :
cp /run/systemd/resolve/resolv.conf /etc/resolv.conf
sudo nano /etc/resolv.conf
nameserver 8.8.8.8
nameserver 1.1.1.1
ou le routeur
3/ SURTOUT ne pas jouer avec la config du HAT quand les disques sont montés sous OVM --> direction reformat de la microSD card et réinstallation complète… Testé et certifier 3 fois :s
Ma configuration au final :
Raspbian lite
IP fixe
OVM
Zabbix 5 serveur (pour surveiller temp/disques/réseau/et le reste de mon réseau…) : Mysql (à faire soit même à côté le mysql (mariadb-server)/NGINX (pour éviter apache et les conflits avec nginx de OVM)
1 serveur minecraft 20 slots sans mod
1 grafana pour le fun
Et il reste encore entre 800Mo et 1.2 Go de ram et CPU assez plate. De quoi monter 1 docker pour faire tourner des applications x86 .
Bonjour Stéphane,
Serait-il possible échanger avec toi via mail ou discord, j’aimerais mettre en place ce projet de RPI NAS, mais j’aurais quelques questions.
J’ai un HDD 2,5 pouces de 5 To, donc il me semble que la limite n’est pas de 3 mais bien de 5 To par disque.
Les SBC ont un souci lors de la réalisation d’un NAS, les I/O.
On n’a pas de solution SFP+ pour un réseau 10GB/s, si l’appareil doit durer, il faut se dire que 10GB/s sera le standard bien avant le fin de vie de l’appareil, ou marquera la fin de sa vie.
De plus, si l’on admet que 4 disques 3,5" est un minimum, alors il faut songer à leur alimentation.
Un NAS n’a pas besoin de beaucoup de CPU (quoique Plex avec encodage à la volée, faut voir), mais a besoin de solides I/O, et les SBC sont pour l’instant, de mauvais élèves dans cette classe là.
Espérons que la suite me donne tort. Raspi 5 n’en est pas loin…