C.R. de la réunion de CA du 30 Octobre

mercredi 7 novembre 2018, par manu

Présents : Manu, Patrick, Hélène, Gérald
Excusés : Jean-Paul, Jean-Louis, Momo, Manue

Nouveaux adhérents

Association Les 4 Vents (habitants du quartier de la Cartoucherie à Toulouse) : OK, ils vont utiliser yesWiki et sont prêts à partager leurs connaissances.

Association Talk Insa : OK, mais mise en garde à faire car le serveur n’étant pas redondé nous ne pouvons pas nous engager à ce que le serveur soit opérationnel au moment des événements (cet avertissement concerne surtout l’application de gestion de tickets d’entrée qu’ils souhaitent installer).

Association Boutique Paysanne : OK pour l’adhésion, mais pas possible que le PIC certifie Dolibarr. Cela nous semble trop risqué (sur le plan juridique) à assumer, compte tenu des frêles épaules du PIC. Nous nous appuyons sur cet extrait de l’url https://wiki.dolibarr.org/index.php/Loi_article_88_finances_2016_France_et_NF525:

Je suis intégrateur ou développeur informatique, je sais que Dolibarr v7 répond aux exigences de conformité, puis-je délivrer l’attestation de conformité, à mon client qui est en v7, moi même ?

Oui. A vous de fournir/indiquer à votre client la version/paramétrage que vous attestez. Vous pouvez générez la signature de la version et paramétrage que vous attestez avec l’outil generate_filelist_xml.php fourni avec les sources de l’application. Cette signature vous permettra de vérifier que votre client n’a pas fait de modification de code ou paramétrage sur les parties qui concernent l’encaissement. Auquel cas, il devient éditeur, et votre attestation n’est plus valide, vous n’êtes alors plus responsable d’une apparition d’une fonctionnalité non conforme dans le logiciel.

Atelier Sympa du 6 Octobre

Atelier très... sympathique, mais une seule personne présente (une deuxième était inscrite mais désistement de dernière minute). Les ateliers ont peu de succès en ce moment : Pourquoi ? Explication possible : nous ne savons pas faire la comm. On peut faire venir des gens sur "n’importe quoi" avec une bonne comm, a fortiori sur les ateliers du PIC qui ne sont pas n’importe quoi. A suivre...

Attaque force brute

Nous avons été prévenus par un mail de Gandi le 10 Octobre que l’IP du serveur était à l’origine d’une attaque force brute sur un autre serveur (essais de connexion ssh répétées jusqu’à ce qu’on trouve le bon serveur). Gandi nous enjoignait d’interrompre l’attaque le plus vite possible. Un site d’adhérent compromis était à l’origine de l’attaque.

Comment faire pour éviter ce genre d’attaques à l’avenir ?

Bien sûr renforcer la sécurité des sites web, s’assurer que les CMS sont à jour (en particulier Wordpress qui est le plus exposé) et ne pas envoyer de mots de passe par mail (préférer le sms).

La sécurité est d’ailleurs une des raisons qui poussent le PIC à inciter obliger les sites à utiliser systématiquement le https. Dans cet objectif, un certificat *.le-pic.org a été obtenu de letsencrypt, et le proxy nginx sera très prochainement remplacé par le proxy traefik, qui s’occupe tout seul et de manière automatique des certificats letsencrypt [1]. EC se charge de la manœuvre, il contactera ensuite tous les sites afin de s’assurer que tout fonctionne (rien n’est moins sûr en effet).

Comment les détecter et les éradiquer rapidement ?

D’une part regarder les statistiques (stat.le-pic.org) au moins une fois par jour : chaque admin essaie d’y penser et envoie un mail en cas de trucs louches. Tout changement brusque dans les graphiques d’utilisation (augmentation du trafic réseau, ou de l’espace disque occupé) constitue un truc louche.

EC a par ailleurs démarré l’outil sysdig en mode collecte d’informations. Il tourne en permanence, on n’a pas constaté de dégradation des performances du serveur. Mais les fichiers générés sont très gros, (1-2 Go/24h) on ne peut donc revenir en arrière sur une longue période (les fichiers sont recyclés au bout de 6 heures), et le disque se remplit rapidement. EC propose de mettre en place un nouveau volume disque chez Gandi, l’idée est de dissocier complètement cette utilisation de l’espace disque réservé aux services. Coût estimé = 10€ / an. Accord du C.A.

RGPD

Jean-Louis propose de faire signer aux associations le texte qui a été envoyé récemment (à ce jour zéro réponse ou commentaire reçus). La question est :

  • Que risquons-nous ? (dans quelle mesure la responsabilité du PIC est-elle engagée si un adhérent ne respecte pas le RGPD ?)
  • Est-ce que faire signer ce texte diminuera les risques pour le PIC ?

Nous proposons de remettre cette question à plus tard, en attendant d’y réfléchir et essayer d’en parler avec les autres chatons lorsque nous les rencontrerons ici ou là (au Capitole du Libre notamment).

Capitole du Libre

Le PIC intervient le 17 Novembre au Capitole du Libre, avec les autres chatons qui seront éventuellement présents (conférence "Qui sont les chatons"). Nous ne savons pas quel sera le temps de parole. EC prépare une intervention à géométrie variable : historique et présentation du PIC, Jean-Paul et Manue s’occupent du reste de la conférence.

Recouvrement des cotisations

Il ne reste qu’une seule association en retard des cotisations, il ne faut pas désespérer....EC se charge de la relance.

Application "vélo" en tests

L’association 2p2r voudrait mettre en place une application de cartographie, en prévision de la mise en place du Schéma Directeur Cyclable pour Toulouse Métropole et les environs (Murétain, Sicoval, etc.). Le projet est chapeauté par Tisséo, il fait partie des recommandations de la Commission Consultative sur la ligne 3 du métro.
L’application devra permettre aux correspondants de 2p2r d’exprimer les besoins en termes d’amélioration des infrastructures cyclables.

L’application mapbender a été testée, mais 2p2r s’oriente plutôt vers l’application lizmap/qgis-server. Gérald est présent ce soir et le CA est prolongé par une session "admin" pour finaliser l’installation de lizmap.

Avec succès.

[1Merci au groupe technique Oxyta.net qui a bien débroussaillé la chose