Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Découvrez la blockchain Avalanche ($AVAX)

– Article en partenariat avec LiteBit . Cet article n’est en aucun cas un conseil en investissement, mais simplement la présentation d’un projet technique autour de la blockchain –

Avalanche et son token AVAX font partie des projets cryptos incontournables depuis l’année 2021, date de son explosion aux yeux du grand public. Puis tout le marché à implosé et l’avalanche a ramené la poudreuse vers le bas de la montagne. Avalanche est une blockchain de type Layer 1 comme Ethereum, Harmony, Solana ou encore Syscoin dont j’ai parlé plus récemment. Chaussez vos skis, c’est parti.

Présentation du projet

Comme de nombreux projets, Avalanche veut être la blockchain la plus rapide et la plus complète qui soit. Celle qui réglera le fameux trilemme : rapidité, évolutivité et sécurité. La plateforme annonce être la plus rapide pour résoudre les smart contracts (rapidité), être celle qui dispose du plus grand nombre de validateurs de toutes les blockchains Proof-of-Stake (sécurité) et être adaptable à toute expansion (évolutivité).

Avalanche propose quelques innovations, dont le fait de diviser sa blockchain en 3 chaines distinctes qui vont chacune gérer une partie de l’ensemble. La X-Chain va gérer la partie transaction (rapidité), la P-Chain s’occupe des validateurs et de la création des subnets (sécurité) et la C-Chain, qui est en fait une machine virtuelle Ethereum, de la partie smart-contrats (évolutivité).

Fondée par Emin Gun Sirer en 2019, le lancement de la blockchain (mainnet) remonte à septembre 2020. Jusqu’ici (j’insiste sur le « jusqu’ici »), elle n’a rencontré aucun problème de congestion au niveau des transactions, pas d’explosion des frais, etc. Après j’ai le sentiment qu’ils n’ont pas encore subi un « boom » d’utilisation comme cela a été le cas de Solana l’an dernier par exemple. À voir comment elle va répondre s’il y a une saison « Avalanche NFT« .

Pour comprendre en peu mieux, voici leur vidéo explicative

Le token AVAX

$AVAX est le token central de l’écosystème. Il permet non seulement de payer pour les frais de transactions, de voter lors des propositions de gouvernance, mais est aussi utilisé comme moyen d’échange entre les différents subnets ou encore pour faire du staking afin de sécuriser le réseau. Pour ceux qui vont déléguer leurs tokens à des validateurs, le bénéfice sera autour des 9-10% annuel (à l’heure de ces lignes).

Au total il y aura maximum 720 millions de tokens, mais seulement 405 millions sont en circulation. Le reste sera généré au fil du temps via les récompenses de staking.

Ledger supporte le token, vous pouvez donc conserver vos AVAX sur le wallet et les déléguer depuis ce dernier. Comme ça vous restez maître de vos tokens à tout moment. Si vous ne possédez pas de Ledger, l’extension Metamask fonctionne aussi très bien.

Pourquoi Avalanche est un projet intéressant ?

De par sa flexibilité et l’interconnexion entre les projets développés sur la blockchain, il est possible de créer un tas d’applications et de protocoles ayant chacun leurs spécificités. Un protocole pourra offrir un grand respect de la vie privée alors qu’un autre aura un smart contract demandant certaines informations personnelles (pour un service gouvernemental par exemple), le tout étant connecté au réseau principal.

Les possibilités sont nombreuses et des dizaines ont déjà vu le jour : finance décentralisée (Trader Joe, Atlas DEX), projet NFT (Avaware, CryptoSeals …), jeux sur blockchain (Avaxtars, TaleCraft, Ascenders …), launchpad, DAO (Colony …), vente de tickets évènementiels, identité numérique, monnaies numériques (CBDC) et stablecoin (BiLira), etc. On parle quand même de quasi 500 projets.

De plus le logiciel open source proposé par Ava Labs permet aux développeurs de produire facilement leurs propres blockchains multifonctionnelles et/ou leurs dApps (applications décentralisées). Cela via un système plug-and-play et le langage Solidity. Un peu comme The Graph avec ses subgraphs, mais à plus grande échelle.

L’interopérabilité est aussi un de ses points intéressants. Non seulement Avalanche supporte d’autres blockchains, mais elle permet de transférer de la valeur sans besoin d’utiliser une passerelle (bridge). Toute application développée sur Ethereum peut ainsi être compatible sur Avalanche et disposera de son propre sous-réseau. Quelques exemples de projets connectés d’une manière ou d’une autre ? Aave, Chainlink, DappRadar, 1Inch, Curve, Nexo … Il n’y a pas si longtemps le jeu Defi Kingdoms, basé sur Harmony, a lancé son propre subnet sur Avax.

Quel est le cours du $AVAX ?

Où acheter des AVAX ?

Autant dire que vous avez une panoplie de choix pour vous procurer des AVAX, c’est l’avantage de trainer dans le Top 20 des plus grosses cryptos depuis des mois. Cela va des plateformes centralisées comme Binance, Kucoin, Coinbase, Bitfinex ou autres FTX, Gate.io, etc. Côté des décentralisés c’est plus compliqué par contre, je n’ai trouvé que ceux présents sur la blockchain (Atlas DEX et Pangolin), mais peut-être qu’il y en a d’autres.

Je vous recommande LiteBit et j’ai déjà expliqué mes raisons : fiabilité, expérience et sécurité. Le seul reproche que l’on pouvait leur faire était le petit nombre de cryptos différentes disponible. Ils l’ont bien compris et ont accélérés l’ajout de projets, 80 aujourd’hui avec l’arrivée récente d’Optimism (OP). Cela reste encore un peu léger par rapport à d’autres, mais ça progresse.

Acheter Avalanche sur la plateforme LiteBit !

Alors Avalanche c’est devenu un assez gros projet au fil des mois, avec beaucoup d’autres équipes qui ont proposé leurs protocoles dessus. Donc il y a vraiment de quoi faire pour vos recherches personnelles. Voici quelques liens pour bien commencer : Site webWhitepaperMedium. Je vous recommande aussi leur chaine YouTube qui publie pas mal de contenu intéressant et notamment des tutos.

Peut-être à bientôt pour la présentation d’un nouveau projet crypto !

Pour mes flux RSS, vous savez que j’utilise Feedly, mais si vous cherchez un truc un peu différent qui ne nécessite pas de service en ligne ni d’abonnement ni quoi que ce soit, voici Fraidycat.

Cette application desktop / extension Chrome et Firefox vous permet de suivre des contenus en ligne en les segmentant dans des thématiques et surtout en spécifiant leur priorité.

Et peu importe que ce soit un blog, un compte Twitter, un flux Instagram, une chaine YouTube…etc., vous pourrez suivre vos créateurs préférés sans être soumis aux notifications ou aux éléments « non lus ».

Ainsi, plutôt que de vous traîner un énorme flux de news, vous avez tout simplement une liste de contenus récents triés et classés. Et si vous êtes connecté avec votre compte de navigateur (comme Firefox Sync), vos follows seront accessibles depuis vos autres machines.

Vous l’aurez compris, Fraidycat est plus un outil qui permet de suivre des gens que de suivre des médias et d’échapper ainsi au tourbillon de l’actualité pour ne garder que l’authentique et l’essentiel.

À découvrir ici.


Si vous êtes un adepte de l’auto-observation de vos habitudes afin d’améliorer votre santé mentale ou au contraire augmenter votre productivité (les 2 facettes d’une même pièce), vous devez absolument jeter un œil à cet outil disponible sous macOS, Linux, Android et Windows.

Activity Watch est une application qui permet de tracker le temps que vous passez sur tous vos appareils. Ainsi, l’application une fois installée collecte de la donnée à partir de toutes les actions que vous effectuez sur votre ordinateur. Rassurez-vous, c’est libre et open source et ça privilégie la confidentialité. Ainsi, vos données restent votre propriété et n’iront pas sur un serveur tiers pour être revendues.

Activity Watch peut donc être utilisée pour suivre votre productivité, le temps passé sur vos différents projets, mais également surveiller vos mauvaises habitudes ou tout simplement comprendre comment vous gâchez passez votre temps.

À découvrir ici.


— Article en partenariat avec Largo —

Le problème de nos smartphones

Nous avons tous chez nous des ordinateurs portables, des smartphones, des tablettes et tout un tas d’objets électroniques dont nous oublions jusqu’à l’existence, tant ils font partie intégrante de notre quotidien.

Mais savez-vous de quoi se compose chacun de ces appareils ? Connaissez-vous les matériaux utilisés dans leur fabrication ? Avez-vous eu vent de leur processus de fabrication ? Comment ont ils été acheminés jusqu’à vous ?

Prenons un smartphone Android, tout ce qu’il y a de plus classique. Celui-ci se compose d’un écran tactile, de puces électroniques, d’une batterie, d’un micro, d’enceintes, d’un module vibrant et bien sûr d’une coque essentiellement en plastique. Pour les tablettes et les PC portables, c’est d’ailleurs exactement la même chose.

Chacun de ces éléments a été imaginé par des hordes d’ingénieurs qui pour leur donner vie, ont été puiser dans la nature les briques essentielles à leur conception. Ainsi, on y retrouve des métaux que vous connaissez comme le nickel, le cuivre, le magnésium, le cobalt ou encore le lithium. Mais également tout un tas d’autres métaux rares qu’on appelle d’ailleurs « terre rare » et dont vous ignorez probablement l’existence : tantale, indium, hafnium, cérium, néodyme, lanthane, yttrium, praséodyme, terbium et bien d’autres. La liste est longue !

Seulement, voilà, il y a un hic ! Ces terres rares ont une particularité qui échappe à beaucoup : elles sont rares. On en extrait d’ailleurs moins de 100 000 tonnes par an. Quand on sait qu’un disque dur récent peut en contenir jusqu’à 4,5 grammes, on mesure bien l’enjeu qu’on les industriels à toujours vouloir en extraire de plus en plus.

Mais elles font partie des ressources finies de notre planète et en plus d’être parfois extraites des mines dans des conditions humaines déplorables, elles ont également un poids écologique important. En effet, ces terres rares ont la particularité d’être mêlées à d’autres minéraux. Il faut donc les séparer du reste et cela nécessite beaucoup d’eau ainsi que de nombreux procédés chimiques polluants.

Et tout cela ne risque pas de s’arranger puisque la demande mondiale en appareils électroniques continue son augmentation exponentielle. Nous sommes collectivement des boulimiques d’électronique. La preuve, en 2021, les Français à eux seuls ont acheté plus de 25 millions de smartphones neufs.

Alors on fait quoi ?

Et bien on recycle !

Et pourtant, même si c’est parfois compliqué, nous savons recycler tous ces objets électroniques. Seuls 10% de nos smartphones entrent dans ce circuit du recyclage.

Vous avez tous déjà entendu parlé de ces gens en Inde ou en Chine qui reçoivent des cargaisons entières de nos déchets électroniques pour en extraire l’or ou le cuivre, une fois encore dans des conditions de travail déplorables.

Que ce soit en Inde, en Chine, aux États-Unis ou en Europe, des filières se développent pour justement extraire de nos objets tous ces métaux afin de les réutiliser.

Mais il existe également une autre voie dont on parle encore trop peu : Le reconditionnement !

Le reconditionnement

Quand vous achetez un smartphone ou un laptop sur Le Bon Coin en occasion, vous héritez des défauts de l’appareil. Un écran griffé, une enceinte grésillante, une batterie à bout de souffle…etc. Avec le reconditionnement, c’est différent puisque l’appareil est remis à neuf avant de vous être vendu.

En effet, les entreprises qui reconditionnent de l’électronique ont des processus rigoureux de réparation et de tests. Les composants défectueux sont remplacés et leurs performances évaluées avant d’être à nouveau mis sur le marché. Ce sont donc des appareils parfaitement fiables qui sont remis dans le circuit.

Hormis la qualité du produit, pour le consommateur, c’est également tout bénef, puisque les prix des appareils reconditionnés sont bien moins élevés que ceux des appareils vendus neufs. Il n’est pas rare qu’on frôle les -50% sur certains appareils remis à neufs. Sur un smartphone Android ou un iPhone reconditionné en France, c’est quand même super intéressant d’avoir des prix largement réduits. Et évidemment au niveau de l’écologie, c’est imparable.

Plutôt que de finir dans une décharge, au profit d’un appareil neuf, grâce au reconditionnement, le produit entame une seconde vie. L’empreinte écologique de fabrication, de marketing ou encore de transport se retrouve donc lissée au court du temps et cet objet reconditionné prendra la place d’un objet fraîchement fabriqué. Et ça c’est beau.

De plus, si vous aimez les modèles un peu plus anciens, c’est également le seul moyen d’en acquérir un « neuf » vu que celui-ci ne sera plus vendu par le fabricant.

Mais alors comment ça se passe ?

Reconditionner un appareil est un processus qui prend du temps. Différents techniciens se relaient sur l’objet pour l’évaluer, le démonter, remplacer les parties défectueuses, le réassembler pour finalement réaliser une batterie de tests manuels. Pour enfin, si tout est concluant, le revendre au consommateur. C’est donc un processus qui demande de la main-d’œuvre et du temps. Beaucoup de temps.

Toutefois, la société Largo, reconditionneur français, a récemment fait évoluer l’ensemble de son processus de reconditionnement en en automatisant une grande partie. C’est le premier sur le marché français à automatiser plusieurs phases clés du reconditionnement.

Hormis le gain de temps, cette automatisation renforce le niveau de qualité du reconditionnement des appareils électroniques et permet d’absorber les pics d’activité exigés par la demande des clients.

L’automatisation du reconditionnement chez Largo

La diversité des appareils reconditionnés fait que l’humain reste indispensable au remplacement des composants, mais toute la phase de « testing » a été rendue entièrement automatisée grâce à 6 robots eTASQ Motion co-développés par PONANT Technologies et Largo.

Ces robots assez singuliers et entièrement programmables peuvent ainsi travailler sur différentes phases liées aux tests des IHM (Interfaces Homme Machine) des smartphones et des tablettes reconditionnées. Comme ces tâches sont assez répétitives, cela permet aux humains présents dans les ateliers de travailler sur des tâches plus complexes et intéressantes.

Placés sous l’œil vigilant de leurs opérateurs, ces robots effectuent alors des tests très précis et parfaitement objectifs sur 37 points de contrôles : Connectivité, audio, boutons, capteurs, écran, caméras, batterie et la sécurité.

Leur « toucher », leur « vue » et leur « ouie » de robot permet d’éviter toute notion de subjectivité que pourrait avoir un technicien humain par exemple sur la qualité de l’écran ou du son.

Et surtout, ce sont de gros bosseurs. Ces 6 eTASQ Motion sont capables d’évaluer jusqu’à 20 appareils par heure.

Toutefois, rassurez-vous, après être passés par les « mains » expertes du robot, le smartphone ou la tablette sont vérifiés visuellement une dernière fois par un humain, avant d’être remis dans le circuit de distribution à destination des consommateurs.

Go Largo !

Grâce à cette démarche de reconditionnement inédite, Largo peut ainsi accélérer sa croissance et reconditionner beaucoup plus de smartphones, de tablettes et de PCs qu’avant. Et ça, c’est bon pour l’environnement.

De plus, cette automatisation renforce encore plus la qualité du reconditionnement 100% français de Largo. Ce sont leurs clients qui vont être contents.

Cliquez ici pour visiter le site de Largo.


La conservation de secrets avec Hashicorp Vault #devops

— En partenariat avec talent.io —

Allez, aujourd’hui, un petit article qui va faire plaisir aux devops et aux développeurs. De quoi apprendre pour renforcer vos connaissances et être au taquet lorsque vous commencerez à chercher votre prochain job. Car oui, changer de job, surtout dans nos métiers techniques, c’est parfois un peu stressant donc autant mettre toutes les chances de son côté en se démarquant.

Si vous souhaitez un travail qui vous correspond mieux, qui soit par exemple plus proche de chez vous, mieux payé, en télétravail ou tout simplement avec une meilleure ambiance, je vous invite à vous créer un compte sur la plateforme talent.io. Ça se fait en quelques clics et vous recevrez ensuite des offres de la part d’entreprises qui correspondent à vos critères et qui affichent le salaire d’entrée de jeu ! talent.io c’est LE moyen le plus simple et le plus rapide de trouver votre prochain job tech. Les inscrits trouvent leur emploi en 20 jours en moyenne.

En tant que codeur ou DevOps, vous connaissez probablement les principes Zerotrust concernant la sécurisation de vos applications. Cette approche offre un cadre de sécurité plutôt exigeant à l’ensemble des utilisateurs et des machines, les obligeant à être authentifiés / autorisés et validés en permanence afin d’accéder aux applications et aux données.

Ici on sort totalement du cadre de réseau traditionnel pour plonger dans un réseau aux bords flous, fait de cloud, de réseaux hybrides et traditionnels.

Pour répondre à ce besoin de gestion des secrets nécessaire au fonctionnement des procédures ZeroTrust, la société Hashicorp a développé Vault. Il s’agit d’un système de gestion des secrets chargé de protéger les informations sensibles.

Ce que j’appelle « Secret » ici, c’est un élément auquel on ne veut pas que le public ait accès, mais auquel on doit néanmoins pouvoir accéder de manière opérationnelle via le code ou l’infrastructure. Les secrets les plus courants sont des identifiants de bases de données, des clés de chiffrements, des clés d’API…etc.

Vault qui existe en version libre et open source, peut être utilisé à la fois pour stocker des informations d’identification, accorder l’accès à des données spécifiques ou encore authentifier les utilisateurs accédant à leurs secrets respectifs.

Vault se compose d’un backend utilisé pour le stockage des secrets, d’un serveur API utilisé pour traiter les demandes des clients et effectuer les différentes opérations sur les secrets et de différents « secret engines » pour chaque type de secret pris en charge.

Ainsi, plus besoin pour vos applications de stocker des secrets, il suffit d’interroger Vault ou de lui transmettre des données. Pour résumer, Vault fonctionne avec des jetons (tokens) et chaque jeton est lié à une « policy », c’est-à-dire un jeu de règles limitant les actions et les accès de chaque client. Ainsi, les secrets restent bien au chaud dans une base de données et tout ce qui est communiqué aux applications tierces, sont des autorisations sous la forme de jetons.

Concernant la sécurité, Vault chiffre toutes les données avec une clé avant de placer les secrets dans son coffre. Cette clé est chiffrée par la clé maître qui est demandée au démarrage pour déverrouiller Vault. Vault lui-même ne conserve pas cette clé maître et elle n’est pas présente sur le serveur (sauf si vous l’avez copié dessus par mégarde).

Vault est sans doute la référence en la matière et il serait dommage de s’en priver. Lorsque vous aurez trouvé l’entreprise de vos rêves grâce à talent.io, je compte sur vous pour mettre ça en place afin de renforcer la sécurité de leurs données et de leurs accès.

Je vous propose donc un petit tutoriel pour vous y mettre et le déployer rapidement sur un serveur, à l’aide de Docker et Docker-Compose que j’affectionne tout particulièrement.

Vault + Consul sur Docker

Utiliser Vault pour gérer vos secrets est évidemment une solution beaucoup plus sécurisée que de les laisser en clair dans l’ensemble de vos fichiers de config.

Je vous recommande donc fortement d’adopter cette solution, que vous soyez DevOps ou développeur.

Vous pouvez installer Vault sur ordinateur Windows ou macOS, mais pour ce tutoriel, ce sera sous Linux. Je vais partir du principe que vous utilisez une distribution Debian ou dérivée (Ubuntu…etc.) et nous allons utiliser Docker et Docker-Compose pour faire une installation propre et rapidement de Vault.

Je vais partir du principe que votre serveur est équipé de Docker-Compose, mais si ce n’est pas le cas, veuillez l’installer comme ceci.

Mettez à jour votre serveur :

sudo apt update
sudo apt upgrade

Ensuite, on va installer Docker compose comme ceci :

sudo apt-get install docker-compose

L’étape suivante consiste à créer un fichier docker-compose.yml qui va contenir votre config Vault. On peut le faire évidemment à la main, mais il existe un dépôt sur Github qui regroupe tout ce qu’il faut pour déployer Vault + Consul.

Consul est un autre outil de Hashicorp. Il s’agit d’une solution de gestion d’applications distribuées permettant de gérer leur configuration, leur disponibilité, mais également de les monitorer…etc. Mais surtout, intégré avec Vault, Consul peut également stocker vos secrets.

C’est plus souple que de stocker tout dans un répertoire sur le serveur principal et cela vous permettra de fonctionner en haute disponibilité sur un système distribué.

Pour initialiser le projet, nous allons donc faire un

git clone https://github.com/testdrivenio/vault-consul-docker

Le fichier docker-compose.yml se décompose en 3 services :

  • Vault lui-même
  • Le serveur Consul
  • Un worker Consul (un client quoi…)
version: '3.8'

services:

  vault:
    build:
      context: ./vault
      dockerfile: Dockerfile
    ports:
      - 8200:8200
    volumes:
      - ./vault/config:/vault/config
      - ./vault/policies:/vault/policies
      - ./vault/data:/vault/data
      - ./vault/logs:/vault/logs
    environment:
      - VAULT_ADDR=http://127.0.0.1:8200
      - VAULT_API_ADDR=http://127.0.0.1:8200
    command: server -config=/vault/config/vault-config.json
    cap_add:
      - IPC_LOCK
    depends_on:
      - consul

  consul:
    build:
      context: ./consul
      dockerfile: Dockerfile
    ports:
      - 8500:8500
    command: agent -server -bind 0.0.0.0 -client 0.0.0.0 -bootstrap-expect 1 -config-file=/consul/config/config.json
    volumes:
      - ./consul/config/consul-config.json:/consul/config/config.json
      - ./consul/data:/consul/data

  consul-worker:
    build:
      context: ./consul
      dockerfile: Dockerfile
    command: agent -server -join consul -config-file=/consul/config/config.json
    volumes:
      - ./consul/config/consul-config.json:/consul/config/config.json
    depends_on:
      - consul

Grâce au paramètre IPC_LOCK, le conteneur docker essayera de verrouiller la mémoire pour éviter que vos secrets ne soient swappés sur le disque dur. C’est donc important de le laisser.

Ce fichier est bien sûr accompagné des fichiers de config nécessaire à Consul et Vault, mais également de différents Dockerfile nécessaires au déploiement. Je vous invite fortement à aller regarder la structure de ces fichiers pour comprendre leur fonctionnement.

Faites ensuite un :

cd vault-consul-docker

Puis lancez le docker comme ceci :

docker-compose up -d --build

Vous pourrez ensuite accéder aux services via les URLs suivantes :

Initialiser Vault

L’initialisation de Vault peut se faire via l’interface graphique http://IP:8200 ou directement en ligne de commande. Je vais choisir l’option ligne de commande pour plus de fun.

Nous allons donc lancer une interface en ligne de commande sur la machine docker vault :

docker-compose exec vault bash

Pour le moment, Vault n’est pas initialisé. Lors de l’initialisation, toute une procédure de création de clés sécurisées sera enclenchée. Ces clés sont les clés « master » de votre Vault. Mieux vaut donc ne pas les perdre. La clé principale est découpée en plusieurs clés que vous pouvez conserver à différents endroits ou répartir entre différentes personnes. Cela permet d’éviter qu’une seule personne ne puisse accéder à l’ensemble du coffre.

Évidemment, si vous êtes seul aux commandes, vous aurez toutes les clés. Nous allons donc entrer la commande suivante :

vault operator init

5 clés seront générées. Pensez bien à les conserver. Ainsi que le Token Root qui vous sera demandé pour vous logger.

C’est une étape que vous pouvez également effectuer via l’interface graphique :

Bravo, vous avez bien avancé ! Pensez bien lorsque vous renseignerez votre profil talent.io à vous démarquer en faisant ressortir vos points forts et vos éléments différenciant pour que les entreprises qui recrutent s’arrêtent sur votre profil. Pourquoi ne pas évoquer vos compétences en matière de sécurisation de projets ?

Déverrouiller Vault

Ensuite, pour déverrouiller Vault, vous aurez besoin de 3 clés sur les 5 clés (c’est ce qu’on a décidé lors de l’initialisation).

Via l’UI ce sera facile. Via la ligne de commande, vous devrez entrer 3 fois de suite la commande suivante :

vault operator unseal

À chaque fois, Vault nous réclamera un bout de la clé. Ensuite avec la commande login, on s’identifiera à l’aide du token root :

vault login

Félicitations, votre instance de Vault est déverrouillée et vous y êtes connecté.

Activer les logs

Ensuite, nous activerons les logs :

vault audit enable file file_path=/vault/logs/audit.log

Pour visualiser si tout est OK et que le point de stockage des logs a bien été pris en compte, entrez la commande :

vault audit list

Création d’un premier coffre

Dans vault, vous pouvez créer autant de coffres (vault) que vous voulez. On va en créer un premier dont le nom très original sera « secret » à l’aide de la commande suivante :

vault secrets enable -path=secret/ kv

Dans ce coffre, vous allez pouvoir stocker au choix des secrets statiques qui n’expirent pas sauf si vous les révoquez. C’est présenté sous un format clé / valeur traditionnel. Ou grâce à Consul des secrets dynamiques qui sont générés à la demande et expirent après un certain temps.

Pour créer une première paire clé / valeur dans notre coffre secret, vous pouvez le faire via l’interface graphique ou comme ceci en ligne de commande.

C’est également faisable via l’API de Vault si vous le souhaitez, mais pensez bien à utiliser une « root policy » sur votre coffre pour fixer des droits en lecture seule ou lecture écriture aux applications qui feront appel à cette API. Je vous invite à vous référer à la documentation à ce sujet.

Ajouter un secret statique

vault kv put secret/wordpress korben=MonMotDePasse

Et pour le lire :

vault kv get secret/wordpress

Sachez que vous pouvez activer du suivi de version sur votre coffre comme ceci :

vault kv enable-versioning secret/

Vous pourrez comme ça enregistrer plusieurs valeurs :

Et récupérer la valeur qui vous intéresse à l’aide du paramètre -version :

vault kv get -version=1 secret/wordpress
vault kv get -version=2 secret/wordpress

Pour supprimer une de ces valeurs :

vault kv delete -versions=1 secret/wordpress

Et pour restaurer la valeur (pratique le versioning !) :

vault kv undelete -versions=1 secret/wordpress

Après si vous voulez vraiment le supprimer sans possibilité de restauration, il faudra utiliser le paramètre destroy :

vault kv destroy -versions=1 secret/wordpress

Ajouter un secret dynamique

Comme je vous le disais, les secrets dynamiques sont générés à la demande et peuvent être limités par un rôle, mais également par une durée de vie.

Vous pouvez au choix utiliser un prestataire comme AWS ou d’autres comme Google…etc. Ou gérez vous-même la génération de secrets dynamique en activant les ACL sur Consul, tout en suivant ce tutoriel.

Pour AWS. Vous allez devoir vous connecter à votre compte AWS chez Amazon, et vous rendre dans l’outil de gestion des accès (IAM) pour ajouter un nouvel utilisateur et ainsi obtenir une clé d’accès et une clé secrète.

Je vous invite aussi à suivre cette procédure de Hashicorp qui vous expliquera comment créer une policy pour votre utilisateur et ainsi générer à la demande des secrets dynamiques liés à cet utilisateur.

Le chiffrement avec Vault

Vault permet également de chiffrer et de déchiffrer des données à la volée sans avoir à les stocker. Pour cela, on va activer le service « transit » comme ceci :

vault secrets enable transit

Puis créer une clé de chiffrement pour chacune de vos applications

vault write -f transit/keys/mykey

On peut la voir apparaître côté interface :

Ensuite pour chiffrer un contenu vous pourrez appeler la commande suivante, même si le plus fréquent sera de passer par l’API de Vault pour faire exactement la même chose :

vault write transit/encrypt/mykey plaintext=$(base64 <<< "Ceci est un secret chuuut.")

Et pour le décoder et récupérer la donnée en base64 :

vault write transit/decrypt/mykey ciphertext=vault:v1:tN17ipGea3rv2tXzfHfNpvQbCkDSky5l/iFHN+I2/DJNSNqUh44w/1100vq4OqTXwxH3PZsltA==

Ensuite, reste plus qu’à décoder le base64 comme ceci :

base64 -d <<< "Q2VjaSBlc3QgdW4gc2VjcmV0IGNodXV1dC4K"

Conclusion

Comme je vous le disais au début, Vault est un outil qui peut s’utiliser en ligne de commande, au travers d’une interface graphique, mais surtout via son API. C’est cet élément qui est le plus utilisé pour lier les applications ayant besoin de secrets avec Vault.

J’espère qu’ainsi, le fonctionnement de Vault sera plus clair pour vous et vous aura donné envie de l’utiliser dans le cadre de vos opérations DevOps. En tout cas, la sécurité est une compétence très recherchée en ce moment, et disposer de cette compétence permettra de faire la différence lorsque vous commencerez à passer vos premiers entretiens trouvés via talent.io.

Pensez bien à vous créer un profil gratuitement sur leur plateforme, que ce soit pour trouver votre nouvel emploi ou simplement rester à l’écoute du marché. Déjà plus 6 000 développeurs, devops et autres profils tech ont été recrutés grâce à talent.io, alors pour quoi ne pas tenter ?

Il ne faut pas lésiner sur la sécurité et Vault est un bon moyen de mettre hors d’atteinte vos secrets. N’oubliez pas non plus Consul qui facilitera la mise à l’échelle et la distribution de de vos applications (et de vos secrets).

Dans cette vidéo, je vous emmène à la découverte de Vikunja, un outil libre et open source que vous pouvez mettre sur votre propre serveur et qui vous permet de gérer vos todo lists et vos projet de manière collaborative. Vikunja est vraiment très bien pensé et il y a même une vue type Kanban (Trello quoi) ainsi que la possibilité d’avoir du diagramme de Gantt et j’en passe.

Je vous présente donc cet outil dans la vidéo ci-dessous et je vous explique comment l’installer chez vous.

Encore merci aux gens qui me soutiennent sur Patreon sans qui cette vidéo n’aurait pu voir le jour.


On ne présente plus le site Virus Total qui permet de passer au scan antivirus n’importe quel fichier. La particularité de Virus Total, c’est qu’il se repose sur des dizaines de moteurs AV différents. Cela permet d’avoir une meilleure compréhension de ce qu’on a scanné, afin d’esquiver les vrais malwares un peu filou, mais également d’éviter le piège du faux positif.

Un faux positif, c’est quand il n’y a pas de malware, mais que l’antivirus clignote quand même en rouge. Je ne compte plus les fois où je me suis fait insulter à cause d’un faux positif sur un logiciel que j’ai présenté et qui pourtant était parfaitement clean.

Bref, tout ça pour dire que Virus Total propose maintenant une extension pour Chrome et Firefox qui analysera automatiquement tout ce que vous téléchargez avec votre ordinateur.

C’est une petite merveille d’extension qui vous évitera bien des ennuis si vous aimez naviguer en eaux troubles. Vous pouvez la configurer pour qu’elle n’analyse pas les documents (qui pourraient être confidentiels), et qu’elle vous propose de faire un scan ou non.

Bref, un super outil pour améliorer encore un peu plus votre sécurité en ligne.


Mes gazouillis

🙌 https://t.co/LKlE4r3zpH #kbn
⚡️ Si vous cherchez un #emploi dans la tech, il y a de nouveaux #jobs sur https://t.co/KFFgnnIajK ! Ne manquez… https://t.co/rSxSwH6Dwq