Comprendre

L'informatique à la maison

L'informatique à la maison

Posté le mercredi 4 mai 2022 à 08:35:39

L'informatique à la maison devient désormais une composante importante de la vie quotidienne, et l'idéal est que celle-ci soit efficace et transparente. Passer des heures à configurer son réseau Wifi, la boite mail de son ordinateur est un exercice pénible, et lorsqu'il faut reprendre l'ouvrage pour le réparer ou l'améliorer, la peine peut tourner à l'exaspération. Il faut prendre conscience que l'informatique ne se résume plus à son simple PC fixe ou mobile connecté au réseau local, mais à une interconnexion plus globale entre appareils de plus en plus intelligents : télévision, téléphone portable, tablette, console de jeux, etc et cette tendance ne va pas cesser de prendre de l'ampleur. Par ailleurs, ces interconnexions doivent pouvoir avoir lieu localement mais aussi en externe, c'est-à-dire de n'importe où.

Dans ce cadre, l'organisation générale adéquate pour assurer la pérennité de la configuration ne saute pas aux yeux, loin de là ! Pourtant celle-ci existe ! Elle est même assez simple à mettre en oeuvre, et sa structure garantit une sécurité des données, même en cas de défaillance informatique ou matérielle, que cela soit un élément qui lâche, comme un disque dur, un vol, un incendie ou une inondation, ou même un piratage avec demande de rançon ! Le problème est que la plupart des informations à ce sujet sont disséminées sur le web, rendant sa compréhension difficile. On trouve tout sur internet, mais rarement expliqué de façon claire, permettant d'avoir une réelle vision stratégique de la bonne organisation et de sa mise en oeuvre.

La plupart des gens ou des familles contractent un abonnement à un fournisseur d'accès, leur permettant de mettre en place un réseau Wifi ou filaire (Ethernet, ou par courant porteur CPL) assurant les besoins de base, à savoir récupérer ses mails privés, se connecter aux réseaux sociaux et surfer sur internet. Pour de nombreuses personnes, cette configuration couvre l'essentiel des besoins. On entasse les photos, les vidéos et les messages sur le smartphone, généralement connecté à Google ou Apple pour ces services.

Tout se passe bien pendant quelques mois, voire plus parfois, jusqu'à ce qu'un message vous alerte que l'espace Google ou Apple dans lequel est stocké votre vie informatique est presque plein. Maintenant cela va très vite, car avec 15 Go gratuits sur Google, et seulement 5 Go sur Apple, la place disponible sans payer est exiguë, même si elle semble grande de prime abord. Pas grand chose notamment avec les smartphones qui se sont mués en véritables appareils photos de qualité, à 5-20 Mo l'image, sans compter les vidéos. Filmer en 4K conduit à produire des Go de données pour un seul film en quelques minutes ! Un rapide calcul montre que l'on peut stocker environ 1000 photos, ce qui semble beaucoup mais n'est rien du tout. Si à cela on ajoute la moindre vidéo qui fait quelques centaines de Mo pour une minute de souvenirs animés, l'espace gratuit est vite très exigu !

A ce moment critique, les géants d'internet vous cueille comme un fruit mur, et la solution de facilité est de passer à la caisse mensuellement. On ne change pas ses habitudes et la fuite en avant peut continuer ainsi. Une dépendance attrayante au début, mais qui va devenir de plus en plus pesante avec le temps, au fur et à mesure que la quantité de données va croître. Progressivement, vous êtes pris dans une nasse financière d'une part mais technique également, car votre masse de données auxquelles vous tenez tant (le souvenir de la grand-mère avec sa petite-fille et le chien) peut être en danger au moindre changement de politique commerciale de ces fournisseurs de services en apparence alléchants. Ainsi, pour rappel, en mode dégradé, Google offrait un stockage sans limite, et puis du jour au lendemain, la barre des 15 Go est tombée, et toutes les personnes crédules ont du passer à la caisse... ou sortir du service Google ! Mais quand il faut récupérer des centaines de Go de données stockées dans le ''cloud'', ce monde virtuel merveilleux, l'angoisse se fait vive. Que vais-je faire de toutes ces données ? Où les stocker, comment, et avec quelle sécurité ? Rien n'interdit d'imaginer que Google arrête le service photos, même si celui-ci est une source gratuite et inépuisable de données. Car sur Google (et Apple), vos photos sont à eux !! Il y a un transfert de droits qui autorisent pleins d'usages que l'utilisateur lambda méconnaît la plupart du temps.

Face à la montagne de données, il est tentant de tout stocker sur son PC portable, et de se dire : je verrai plus tard pour ranger ou trier cela. Erreur fatale, car il est très difficile voire impossible de rattraper le temps perdu. Au pire, on crée pudiquement un dossier ''à trier'' qui devient un fourre-tout qu'on ne regarde plus jamais ou presque. A quoi cela sert-il alors de prendre des photos, d'échanger des vidéos et des messages ? La situation est bien pire que celle de nos parents et grands-parents, car ils se contentaient de mettre leurs souvenirs dans une boite à chaussure rangée sous l'armoire, et elle était finalement très compacte. Avec nos ordinateurs et smartphones, stocker en réel nos données reviendrait à avoir des dizaines voir des centaines de boites à chaussures, tellement de choses que personne ne viendra les lire. Finalement, les données informatiques sont vouées à une perte certaine, à la faveur d'un crash de disque sans sauvegarde (très fréquent), ou même du décès de la personne. Mots de passe perdus, organisation obsolète, l'ère de l'informatique a démultiplié les problèmes au point de rendre éphémère ce qui devait être pérenne ! Grand paradoxe. Il est exact que rien n'est éternel, et qu'un incendie suffit à réduire la boite à chaussure en cendre. Et justement, en informatique, il est possible de s'organiser pour rendre la vie simple et se prémunir des désastres. Bref, pour bénéficier des bienfaits des nouvelles technologies, il faut penser par avance, pour ensuite ne plus penser à l'informatique.

Alors comment procéder ?

L'organisation générale de l'informatique personnelle repose sur un triptyque : 1) le fournisseur d'accès à Internet (Orange, Bouygues, Free, SFR, etc en France) qui vous connecte au réseau par fil de cuivre, par ondes 3/4G ou par fibre optique, 2) (optionnel mais recommandé) un hébergeur de domaine (OVH, Hostinger, PlanetHoster, Infomaniak, o2switch, Ex2., etc en France ou même de l'étranger) et 3) un NAS, acronyme de Network Attached Storage, en résumé un serveur de fichier élaboré, permettant de stocker des fichiers de tout type, de les manipuler et de les échanger. Pour les NAS, on trouve plusieurs marques réputées, comme Synology (celle que je préfère, par la simplicité de ses logiciels basés sur linux), mais aussi QNAP ou Asustore. Il est aussi parfaitement possible de construire son propre NAS à partir d'un ordinateur (voir TrueNas par exemple). Tout est question de goût et de disponibilité. A noter que tous les NAS sont basés sur un noyau Linux, le système informatique le plus utilisé au monde et aussi le plus robuste. C'est certainement surprenant pour nombre d'entre nous. Mis à part le fournisseur d'accès et l'hébergeur de domaine (qui est optionnel), aucun abonnement, juste un achat à faire une fois pour toute.

Un point important pour un NAS : il doit offrir une sécurité des données et des services (accès aux photos, musiques et vidéos par exemple), ce qui pousse au choix d'un système de type RAID1 à minima, c'est-à-dire deux disques en mode miroir permanent, de sorte qu'en cas de défaillance technique d'un disque, l'autre peu prendre le relais instantanément. Par ailleurs, remplacer un disque est un jeu d'enfant avec cette configuration. Pour ma part, j'ai choisi le NAS DS720+ qui est basé sur un processeur Intel X86-64 (et c'est cela qui compte) multi-coeurs tournant à plus de 2GHz, car il offre des performances de qualité et surtout, il est possible d'utiliser l'environnement Docker, permettant d'installer de multiples services dans des environnements sécurisés. Il est nécessaire de disposer d'une quantité de mémoire significative (6Go au moins, surtout pour Docker), et adjoindre un SSD pour la mémoire cache peut aussi améliorer la rapidité des échanges de données. C'est une question de confort. Ce choix de NAS est pérenne, car Docker est un standard dans l'industrie. Par ailleurs, la taille des disques doit être conséquente, pour éviter d'être confronté à une saturation trop précoce. J'ai choisi 10 To, soit 10.000 Go !! On a de quoi tenir de nombreuses années ! A noter que le stockage effectif est moindre, car une partie de l'espace est occupée par le système et aussi du fait que le 1ko commercial n'est pas 1000 octets mais 1024 octets en informatique !! Petite subtilité technique mais qui a son importance. Si l'on table sur une production familiale 1 To de données par an, on a donc 8 ans d'autonomie à plein usage, ce qui est bien, car cela correspond qualitativement à la durée de vie des objets informatiques (hardware et software). C'est une durée minimale. Fini donc les limitations à la Google ou Apple, car à capacité de stockage équivalente (10 To), le coût est de 100 euros/mois chez Google et Apple. Autant dire, hors de portée d'un budget familial traditionnel. A titre indicatif, le coût de revient sur 10 ans de la solution proposée est de 13 euros par mois, soit presque 8 fois moins cher, tout en restant libre de ses données, et en mesure de suivre les évolutions techniques facilement. Pas étonnant que les services internet de stockage à distance fleurissent de partout, car c'est une solution hyper-rentable. Question sécurité informatique, celle-ci n'est pas plus garantie en fait, et un incendie peut toujours ravager un centre de stockage, comme on l'a constaté pour OVH, où de nombreuses entreprises n'ayant pas fait de sauvegardes de leurs côtés ont tout perdu ! Sans rien dramatiser, la solution proposée reste très robuste vis-à-vis des risques de perte de données, en respectant la fameuse stratégie 3.2.1 de sauvegarde qui a fait ses preuves. On y reviendra.


Cliquer sur l'image pour l'agrandir


Le réseau informatique est divisée en deux mondes : le réseau local privé ou interne, et le réseau externe ouvert au reste du monde. La fameuse ''box'' sert de passerelle entre les deux mondes mais aussi de filtre pour se protéger des tentatives d'agression. La protection offerte est loin d'être garantie, car par divers autres moyens, les pirates peuvent entrer et utiliser des portes dérobées, la messagerie étant le lieu le plus courant de compromission.

La stratégie générale est donc de connecter sur le réseau local le fameux NAS qui va être le chef d'orchestre du stockage et de la sécurité informatique, comme tous les autres appareils : PC fixe, PC portables, smartphone, tablette et autres objets connectés, comme une télévision, un pèse-personne, un tensiomètre, des montres connectées, des consoles de jeu, etc.

Une fois cela fait, il est possible de commencer à mettre en oeuvre la configuration.

Le NAS de Synology, dispose d'un environnement facile d'usage ne nécessitant aucun apprentissage ou presque. Tout est assez intuitif et c'est un énorme atout. Les étapes sont assez simples : 1) dans le panneau de configuration, créer un QuickConnect ID chez Synology, permettant d'accéder au NAS, donc aux données de partout ! Simple et efficace. 2) Télécharger au choix les services depuis l'application dénommée Centre de Paquets (en fait la notion de paquets est propre à Linux, et pas à Synology. Ils ont juste changé l'interface pour la rendre plus facile d'usage, car l'OS de Synology est basé sur le noyau Linux). En profiter pour installer Docker, WebStation, Synology Photos, Audio Station, Video Station, File Station, Synology Drive, CloudSync, mais aussi HyperBackup pour les sauvegardes (on y reviendra). La plupart des applications sur le NAS ont une version client pour les smartphone, tandis que les services sont accessibles par internet, quel que soit l'outil d'accès. Avec l'ID de QuickConnect, il est possible de connecter ces clients sans ce soucier des adresses internet, ce qui est très pratique, et permet de mettre en place les services en quelques minutes.

Pour un usage plus élaboré, il est préférable de pouvoir accéder au NAS par un autre canal, et c'est là qu'intervient l'hébergeur de domaine. Pour ma part, j'ai choisi OVH, dont l'interface de gestion a été considérablement simplifiée et est très riche pour un prix modique de l'ordre de 25 à 30 euros par an (nom de domaine inclus), le service fourni étant largement suffisant pour un usage privé. Avec l'hébergeur de domaine, il est possible de réserver un nom de domaine privé, dans la mesure où celui-ci est libre (on peut réserver un nom de domaine par d'autres canaux, comme Gandi, pour un prix modique). Pour ce qui me concerne, j'ai pris le nom de domaine yvespeysson.fr comme vous pouvez le constater. On peut choisir d'autres extensions, telles que .org, .com ou .net, un peu plus cher, mais pas utile dans le cas présent sauf pour viser une clientèle précise.

Une fois ce nom de domaine personnalisé en main, on peut faire beaucoup de choses et garder un contrôle étroit sur son existence informatique, et cela à vie : 1) avoir ses propres boites mail (genre perso@yvespeysson.fr) et ne plus dépendre d'un service externe type ypeysson@gmail.com. L'avantage, c'est la possibilité accrue de se prémunir des spams. Et puis c'est facile à retenir. On peut aussi créer autant de boites mails que de services dont on a besoin. Plus de limitations imposées par Google ou Apple. Le nom de domaine vous appartient, et tant que vous payez le service, tout est à vous, et vous êtes libre de vous organiser à convenance. 2) Avoir un site Web personnel genre www.yvespeysson.fr ou yvespeysson.fr, ce qui est pratique pour mettre en ligne ce que l'on veut exprimer en toute liberté, 3) rediriger certaines adresses vers le NAS dont les sous-adresses correspondent à des services spécifiques, par exemple xxxx.yvespeysson.fr où xxxx est le nom du service. Avec une configuration en ''reverse proxy'' sur le NAS, on est certain que l'adresse internet xxxx.yvespeysson.fr passe par une liaison sécurisée (type https), ce qui est très important. La combinaison ''reverse proxy' + ''DNS dynamique'' permet ainsi de transformer le NAS en un système d'hébergement de services, qui vient compléter ceux fournis par défaut sur le NAS. Et c'est là que Docker intervient, mais aussi l'hébergement virtualisé de plusieurs sites sur le NAS (avec Web station). Évidemment, même avec un accès par fibre optique, il ne s'agit pas de sites pour un usage intensif, mais on peut ainsi auto-héberger ses photos sur un des meilleurs services internet, à savoir Piwigo, avoir un serveur de livres epub (avec Calibre), avoir un équivalent Dropbox gratuit et sans limite avec NextCloud, un environnement type Office collaboratif avec ONLYoffice, gérer ses mots de passe avec Bitwarden, tous ces services étant gratuits, solides, open-source, et maintenu par des communautés très actives.

Avec le service de certificats gratuits Let's Encrypt, il est également possible d'héberger des sites avec des noms de domaine achetés avec OVH ou ailleurs, et de garantir ainsi un accès sécurisé sans faille. Les possibilités sont donc quasi-infinies, et permettent de couvrir tous les besoins personnels de gestion et même de sauvegarde en quelques clics. En effet, il est par exemple possible de mettre en place Synology Drive sur chaque ordinateur de la famille, qui sauve de manière incrémentale (mémoire de plusieurs dizaines de version) sur le NAS à chaque modification des fichiers sur l'ordinateur, où qu'il soit. En cas de crash, de perte ou de vol du PC portable, on sait que tous les documents importants peuvent être ainsi récupérés. Une source de tranquillité essentielle ! A noter que le NAS peut également servir de serveur VPN, très utile depuis certains pays d'Asie qui ont tendance à bloquer les connexions aux sites occidentaux et leurs services comme Google.

Tout cela est actif, et consomme peu de ressources. La mise en place du DNS dynamique est très simple. Il suffit d'envoyer périodiquement l'adresse IP externe de la box vers le service OVH, à partir d'un script écrit en ''bash'', langage standard dans l'environnement Linux. Le NAS permet en effet de lancer des scripts périodiquement à convenance, comme les ''crontab'' sous Linux. L'interface est ici bien plus commode.

A l'inverse, le ''reverse proxy'' nécessite de créer des sous-domaines (un par service, option DynHost) chez OVH qui pointent vers l'adresse IP externe de la box. Rien de plus simple. Une fois le sous-domaine créé, xxxxx.yvespeysson.fr par exemple, en tapant https://xxxxx.yvespeysson.fr dans son navigateur, le lien va indiquer au NAS via le ''reverse proxy'' quel service doit être appelé en local. Le ''reverse proxy'' permet ainsi d'isoler les mondes, et de préserver la sécurité informatique, sans ouvrir de port spécifique associé au service depuis la box. Plus que deux ports ouverts : 80 pour http et 443 pour https. Le mapping entre le port, l'adresse dans le réseau local et le nom de sous-domaine externe est ainsi assuré par la configuration du ''reverse proxy''. On peut non seulement diriger les services du NAS lui-même, mais aussi des services sur d'autres ordinateurs, par exemple pour la domotique sur Raspberry avec Domoticz. Très pratique et très fiable.

Techniquement, tout ce qui vient du web externe doit passer le ''reverse proxy''. Pour les autres accès comme les accès techniques de terminaux par SSH, un port spécifique doit être ouvert. Par défaut celui-ci vaut 22, mais il est préférable de le changer pour limiter le risque d'attaque par force brute. A ce sujet, la meilleure des protections est un mot de passe long (12 à 20 caractères), avec des caractères de type multiples et aléatoires. On ne doit JAMAIS retenir les mots de passe qui doivent être fournis par des logiciels de gestion de mots de passe dédiés.

En procédant de la sorte, on respecte presque la règle 3.2.1 pour les PC portables, en faisant un backup miroir hebdomadaire avec un disque externe USB par exemple : disposer de 3 copies de vos données au moins (NAS + sauvegarde miroir + ordinateur); stocker ces copies sur 2 supports différents (NAS + sauvegarde miroir); conserver 1 copie de la sauvegarde hors site (NAS). C'est la sécurité optimale.

Maintenant et pour finir, le NAS lui-même contient beaucoup de données sensibles. Il est possible de crypter les disques pour qu'en cas de vol, aucune donnée ne soit accessible. Un voleur ne pourra qu'effacer le ou les disques du NAS pour l'utiliser. Mais après, il faut appliquer au NAS lui-même la règle 3.2.1 !! L'option 2 est déjà active avec la configuration RAID1, et il faut ajouter à cela l'option 1 qui permettra également d'avoir l'option 3. On ne peut faire un disque miroir parfait à distance du disque du NAS (localement c'est possible avec l'application High Availability, nécessitant des NAS avec deux ports Ethernet uniqement), mais sauvegarder toutes les données est chose possible avec le logiciel HyperBackup. Il est préférable dans ce cas de mettre en place dans un autre lieu (avec une connexion internet pas trop mauvaise) un NAS à une baie, mais pouvant contenir un disque de même capacité que celui du NAS principal. J'ai un vieux NAS DS116 qui sert à cela. Très fiable, il réceptionne le fichier produit par HyperBackup, qui est mis à jour quotidiennement, avec un archivage incrémental réglable. On peut utiliser un disque dédié sur un PC fixe ou un NUC (Intel ou GigaBytes) pour stocker ce gros fichier. Si l'on utilise un NAS comme dans le cas de ma configuration, il est utile d'installer HyperBackup Vault pour suivre l'état de l'archive et son intégrité. C'est plus fiable. En sauvegardant par ailleurs la configuration de chaque NAS, en plus de la sauvegarde d'HyperBackup, on se couvre contre une catastrophe, et la règle 3.2.1 est ainsi assurée. Il est possible de reconstituer un NAS de zéro en quelques heures (car il y a des To de données) et de repartir comme si de rien n'était.

Par sécurité, il est également possible de sauver des fichier stratégiques sur d'autres disques, à distance avec la commande RSYNC, un bijou linux basé sur SSH. RSYNC est activable sur le NAS de Synology, donc rien à faire ou presque. On choisit le dossier à archiver sur le NAS, et la cible à distance et chaque jour, une sauvegarde différentielle est effectuée, seuls les fichiers modifiés étant archivés par cette méthode. En faisant ainsi, on se prémunit contre le piratage et la demande de rançon, car les fichiers du site concerné par le piratage sont dans ce cas modifiés, avec un extension signifiant qu'ils sont cryptés. Expérience vécue et récupération en 20 minutes !!

Pour terminer, cette configuration envoie régulièrement des mails pour garantir que le fonctionnement général est correct. Au moindre problème, on est alerté pour intervenir. Voilà, c'est tout, mais c'est beaucoup pour préserver sa vie privée informatique, assurer les services, assurer la pérennité des données à un coût raisonnable. Par ailleurs, en cas de déménagement, il suffit de changer les adresses IP, et le tour est joué. Plus besoin de services payants.

Si on ne peut pas disposer d'un autre lieu que son domicile principal, il reste la solution du ''Cloud'', pour synchroniser le NAS. Le service ''BackBlaze B2'' est certainement le plus intéressant actuellement, et est intégré au NAS de Synology comme ''pCloud'' qui est une alternative intéressante également. ! Pratique, il n'y a rien à faire. Mais cela a une coût qu'il faut assumer, qui n'intervient de manière significative qu'en cas de problème et de nécessité de récupérer des données. Pas comme DropBox, Apple ou Google.

Cette configuration a également le mérite d'être indépendante du type d'OS et de la marque du matériel choisi. Tout fonctionne à l'identique avec un PC Windows, un MacBook d'Apple ou un portable Linux. Rien n'est à modifier si l'on change d'ordinateur ! Par ailleurs, au bout d'une longue période, changer de NAS pour avoir de nouvelles fonctionnalités est un jeu d'enfant, car en mode RAID1, il suffit de cloner un des deux disques identiques vers un autre de taille plus grande, et la vie continue ! Idem pour la sauvegarde du NAS avec HyperBackup.

...

Retour

[+2380]     Partager: