root@knowsec:~# tail -f chronicles

08:00 - La Découverte
Tout commence par une banale inspection des logs. Une routine. La Tisane fume encore. Dans le flux incessant des requêtes, une ligne attire l'œil de l'Admin. Pas une attaque brute, pas un script russe cherchant wp-login. Non.
Une requête polie, chirurgicale, venant d'une IP californienne : 147.185.132.132.
Le User-Agent décline son identité : Palo Alto Networks / Cortex Xpanse.
La cible : GET /.well-known/security.txt.

08:05 - Le Constat
Le serveur a répondu 404 Not Found. Pour le commun des mortels, c'est une erreur banale.
Pour nous, c'est un aveu de faiblesse. C'est dire au monde de la cybersécurité : "Je ne parle pas votre langue. Je n'ai pas de procédure. Je suis un touriste."
Palo Alto ne nous attaquait pas. Ils toquaient à la porte pour vérifier si la maison était tenue par un professionnel.
Nous avons échoué au test.

# Modification du docker-compose.yml
services:
  nginx-www:
    image: nginx:alpine
    volumes:
      # On map les logs du conteneur vers l'hôte physique pour que Fail2Ban puisse les lire
      - ./logs:/var/log/nginx 
    labels:
      - "traefik.enable=true"

09:00 - La Réaction (Code Rouge)
L'Admin (Moi) décide que l'amateurisme n'a pas sa place chez NoSec.
Maispour répondre correctement à cette requête, un problème structurel émerge : L'Opacité Docker. Nos logs mentent. Nginx, caché derrière Traefik, voit tout le monde comme venant de 172.18.0.2.
Si nous mettons en place une sécurité, nous risquons de bannir notre propre proxy, coupant l'accès à tous les sites.
L'autodestruction.

10:00 - La Chirurgie (Deep Dive)
On ne se contente pas de créer un fichier texte. On refond l'architecture.

• 1. Identity Reveal : Injection d'une configuration Nginx personnalisée (real_ip_header) pour forcer le serveur à démasquer les visiteurs. Les masques tombent. Les vraies IP apparaissent dans les logs.
• 2. Cryptographie : Génération de clés PGP 4096-bits. Nous sommes prêts à recevoir des secrets.
• 3. RFC 9116 : Déploiement du standard security.txt. Mais avec notre touche : un avertissement cynique pour les curieux et un défi pour les recruteurs sur le CV.

# Security.txt - RFC 9116
Contact: mailto:oops@unsafe.fr
Encryption: https://nosec.fr/pgp-key.txt
Canonical: https://www.knowsec.fr/.well-known/security.txt

# L'élégance, c'est de savoir crocheter une serrure
# mais de choisir de sonner à la porte.

11:30 - La Contre-Attaque (Weaponization)
Maintenant que nous voyons les vraies IP, nous pouvons armer la forteresse. Fail2Ban est reconfiguré. Il ne surveille plus le vide. Il surveille désormais les logs exfiltrés des conteneurs. Nous créons une prison sur mesure : nginx-nosec.
La règle est simple : Touche à l'admin ? Touche à l'API ? Touche à .env ? -> Banni. Le test final avec un smartphone confirme l'efficacité du piège.

# /etc/fail2ban/action.d/docker-action.conf
[Definition]
# On intercepte le trafic AVANT qu'il n'atteigne le conteneur via la chaîne DOCKER-USER
actionstart = iptables -I DOCKER-USER -p tcp -m multiport --dports 80,443 -j f2b-<name>

# Le BAN : On drop le paquet sans pitié
actionban = iptables -I f2b-<name> 1 -s <ip> -j DROP

12:00 - État Final
Ce matin, nous avions un serveur qui répondait "Je ne sais pas" à un scanner de sécurité.
A midi, nous avons une forteresse monitorée, conforme aux standards internationaux, qui protège ses secrets, identifie ses assaillants et les neutralise automatiquement avant qu'ils n'atteignent la porte.
Palo Alto peut revenir. Cette fois, le café est prêt, et le panneau "Défense d'entrer" est écrit en or massif.
L'Admin (Moi), peut aller alourdir son estomac, l'esprit léger !

On est en 2026. On a des IA génératives, des conteneurs éphémères et des normes ISO qui pèsent plus lourd qu'un parpaing.
Et pourtant, il existe encore. Le "Vieux Briscard".
Celui qui ouvre PuTTY, tape root sans trembler, et navigue dans le système de fichiers comme s'il était chez lui, en slip, une bière à la main.

Le Complexe de Dieu
Pour cet admin, sudo est une insulte. Pourquoi demander la permission quand on est le Créateur ?
Le problème, c'est l'ego. Se loguer en root, c'est refuser le principe de précaution. C'est conduire sans ceinture parce qu'on "n'a jamais eu d'accident en 20 ans".
Sauf qu'en ITIL, comme sur la route, ce n'est pas votre talent qui compte, c'est la traçabilité de l'erreur.

"Si vous êtes Root, personne ne sait qui a lancé la commande.
Si vous êtes Root, l'erreur humaine devient une catastrophe nucléaire.
Vous n'êtes pas Neo dans la Matrice. Vous êtes juste un humain avec un doigt qui peut glisser sur la touche Entrée."

La Réalité du Log (Non-Répudiation)
Le vrai problème n'est pas technique, il est juridique et procédural.
Dans un audit de sécurité, un log rempli de commandes lancées par "root" ne vaut rien. Qui était derrière le clavier ? Michel ? Thomas ? Un script russe ?
L'utilisation de votre compte utilisateur couplé à sudo laisse une empreinte. C'est la boîte noire de l'avion.

# La différence entre un amateur et un pro

# Méthode Cowboy (Avis de décès du système)
root@prod:~# rm -rf / var/www/html  # Oups, un espace en trop après le slash... Adieu l'OS.

# Méthode "Best Practice" (Filet de sécurité)
thomas@prod:~$ sudo rm -rf / var/www/html
# [sudo] password for thomas: 
# Ce petit temps d'arrêt pour taper le mot de passe ? 
# C'est le moment où votre cerveau réalise que vous allez faire une connerie.
# Et si vous validez quand même ? Les logs ne mentiront pas. C'est signé.

La Sentence
Il est temps de retirer le jouet des mains des enfants, même s'ils ont 50 ans.
Sur NoSec, comme sur toute infra qui se respecte, on coupe la tête du Roi pour le forcer à devenir un citoyen.

# /etc/ssh/sshd_config
PermitRootLogin no  # "You have no power here!" - Gandalf
PasswordAuthentication no # Clé SSH obligatoire. On n'est pas au PMU.

Conclusion
Utiliser sudo, ce n'est pas être faible. C'est être responsable.
C'est accepter que l'on est faillible et qu'on préfère laisser une trace auditables de nos actions plutôt que de jouer à la roulette russe avec la production.
Rangez vos colts, les cowboys. L'ère de la civilisation a commencé.

14:00 - L'Observation
Chaque seconde, des bots parcourent le globe pour toquer à la porte 22. C’est le bruit de fond de l’Internet.
La plupart du temps, votre serveur répond poliment sa version d'OpenSSH, comme un serveur qui tend sa carte de visite à un pickpocket.
Chez NoSec, on préfère annoncer la couleur avant que la session ne s'ouvre.

14:15 - La Psychologie de la Défense
Pourquoi un Banner ? Ce n'est pas qu'une question de style.
Juridiquement, c'est le panneau "Propriété Privée, Chien Méchant". Sans lui, un avocat talentueux pourrait arguer que "l'entrée était libre".
Techniquement, c'est dire à l'attaquant : "Je sais que tu es là, et j'ai déjà loggué ton pedigree".

# /etc/ssh/banner.advert

#####################################################################################
#                                                                                   #
#                   /!\  S E C U R I T Y   W A R N I N G  /!\                       #
#                                                                                   #
#                You are attempting to penetrate NOSEC territory                    #
#                                                                                   #
#    > AUTHORIZED ACCESS ONLY                                                       #
#    > ALL ACTIVITY IS MONITORED AND RECORDED                                       #
#                                                                                   #
#    If you are not an authorized agent, disconnect immediately.                    #
#    Any attempt to breach this node will result in immediate retaliation.          #
#                                                                                   #
#####################################################################################

14:30 - Le Déploiement
On ne modifie pas `/etc/ssh/sshd_config` comme on écrit une liste de courses.
Une erreur de syntaxe, et c'est l'excommunication : vous perdez la main ...

• 1. Upload : On place notre prose dans /etc/ssh/banner.advert.
• 2. Activation : On indique au démon SSH où trouver son nouveau jouet avec la directive Banner /etc/ssh/banner.advert.
• 3. Validation : sshd -t. Si le binaire ne hurle pas, on redémarre le service.

# Vérification de la configuration avant de perdre l'accès (Loi de Murphy)
jesus@rootstock:~# sshd -t
jesus@rootstock:~# systemctl restart ssh
# Résultat : Le panneau est levé.

14:45 - État des Lieux
Désormais, quiconque tente une connexion SSH voit notre avertissement avant même de pouvoir taper un login.
C'est propre, c'est légal, et ça a un petit côté "Winston Wolf" : on règle le problème de l'ambiguïté avant qu'il n'existe.

15:00 - L'heure de la Tisane !

# Statut Initial : Besoin de quitter la routine infernale ! 
                
Localisation : Bocal de béton sous canicule (Montpellier)
                
Mode de vie : Sédentaire, en boucle fermée (Sleep-Work-Repeat)
                
État du système : Surchauffe émotionnelle imminente

L'étouffement. Ce n'était pas juste une question de mètres carrés ou de voisins trop proches.
C'était le sentiment d'être coincé dans un script qui ne nous appartenait plus.
Entre les canicules à cuire dans l'appartement de 45m² exposé sud, devenu une salle serveur sans climatisation et la perte de nos entreprises avec le Covid, une routine professionnelle qui ne faisait plus aucun sens, l'appartement était devenu une prison dorée exposée plein sud.
On ne vivait plus, on maintenait un système en fin de vie.
On étouffait, au propre comme au figuré. Le confinement a agi comme un stress-test, qui sera notre point de rupture.

La décision est tombée comme un couperet : on vend tout.
On vide l'appartement, on vide nos vies de tout ce qui nous encombre. Cette purge par le vide était brutale, mais nécessaire pour retrouver l'oxygène. On ne garde que l'essentiel, on loue un conteneur pour le reste, et on se prépare au grand saut.

Le 21 décembre 2020, premier jour de l'hiver, on lâche tout.
On commence l'aventure en BMW X5, mais l'espace disque sature vite pour nous deux et notre chienne.

C'est là qu'on trouve Léon (2,5 Tonnes de Liberté et de Rouille) : un Ford Transit MK2 de 1986.
Léon n'est pas rapide avec sa boîte 4 vitesses et son vieux diesel encrassé qui peine à atteindre les 60 km/h. (80km/h en descente avec le vent dans le dos).
Il fuit un peu l'huile, traçant littéralement notre chemin, mais il a une âme, il sent le vintage, l'authetique.
Après quelques semaines de rénovations chez un ami, tout ce qu'on possède tient désormais dans Léon. S'approprier les quelques mètres carrés, et enfin, partir. Plus rien ne nous retient, même plus le garde-meuble qu'on a fini par vider.
Léon suffisait pour nous deux, et notre chienne, enfin aux anges dès qu'on ouvrait la porte sur un nouveau coin de verdure.

# Power Management - Énergie Solaire
            - Source : 1 Panneau solaires (Le don précieux du père d'une amie)
            - Stockage : 2 Batteries (Nécessaires pour réveiller le vieux diesel au matin)
            - Système : Réseau 12V isolé. Zéro facture, zéro dépendance.
            - Consommation : Minimaliste (2 téléphones, 1 tablette, quelques lampes à recharger).
            - État : Nous avons appris qu'on peut vivre heureux avec 50W de consommation instantanée.
            
            # Verdict : On a découvert que le vrai luxe, 
            # c'est d'avoir de la lumière dans le silence absolu.

Cette installation électrique, faite de bric et de broc mais fonctionnelle, a été notre premier pas vers la vraie liberté. Apprendre qu'on peut vivre (très) heureux avec seulement un panneau solaire de 280W a été une révélation.

Printemps 2021 - Le jour où Léon a failli devenir un cabriolet
L’autoroute défile à notre vitesse de croisière habituelle quand soudain, un bruit de déchirement sourd et une secousse violente nous figent. Dans le rétro, on voit un débris s'envoler. Le lanterneau de la capucine vient de s'arracher, passant littéralement en "mode Cloud".

En une fraction de seconde, Léon n'est plus un foyer étanche, c'est un cabriolet vulnérable. C’est sans doute l'une des expériences les plus stressante du voyage : l'impression que tout s'effondre alors que le ciel gris annonce une pluie imminente et prévue pour plusieurs jours.

La Réponse à l'Incident — Le Système D comme seule option !
Pas de garage à l'horizon, pas d'assurance miracle. C’est là que le déclic se produit. On ne cède pas à la la panique qui est une perte de ressources. On analyse froidement avec ce qu'on a : un magasin de bricolage à quelques kilomètres et notre capacité à réfléchir vite.

• Chirurgie d'urgence : Sur le parking, on opère. Il faut retirer les restes du lanterneau sans aggraver les dégâts sur la structure. Chaque geste est calculé.
• Le Patch : Une plaque de fibre plastique, du mastic Sika (le Graal de l'étanchéité) et une isolation en liège pour la finition. On colmate, on presse, on prie un peu.

# La leçon a retenir : Rien n'est jamais grave tant qu'on sait réfléchir efficacement avec le strict minimum.

Quelques jours plus tard, la pluie tombe en déluge. On guette la moindre goutte, le moindre signe de faiblesse. Rien. Léon reste sec. La victoire a le goût du mastic frais et nous apporte une certitude : la débrouille et le calme face à l'imprévu sont nos meilleures armes, en voyage comme dans la vie.

L'Équilibre — La Paix face aux Galères
Vivre sur les routes, c'est dur. C'est accepter les douches à l'arrache en plein hiver, les matins où l'on gratte le givre à l'intérieur des vitres, et l'espace qui se réduit à quelques mètres carrés...
Mais paradoxalement, le stress de la ville s'est envolé.
Nous avons échangé le confort matériel — le grand lit en 160, la baignoire, le micro-ondes et la multitude de machines qui tournent en fond sonore, contre une denrée bien plus précieuse : la liberté de l'esprit.

# Note sur l'allégement de l'esprit

    En nous contentant de l'essentiel, nous avons surtout supprimé le poids de la possession.
    Moins on possède, moins on a peur de perdre, et c'est là que commence la vraie liberté.
                

On a compris que le vrai confort n'est pas dans l'accumulation, mais dans l'absence de peur.
Si on possède peu et qu'on s'en contente, on n'a plus peur de perdre quoi que ce soit.
Cette charge mentale qui nous écrasait à Montpellier s'est effacée au rythme des kilomètres.
La nature nous apaisait, et voir notre chienne courir librement sur chaque nouveau "spot" valait toutes les nuits passées entre quatre murs de béton.

Remise en question - L'appel de la Montagne
Le deuxième confinement nous a figés au bord de l'Hérault. C'est là, entre deux discussions avec les pêcheurs locaux et le clapotis de l'eau, qu'une réalité nous a rattrapés : on peut bouger sans cesse, on finit toujours par heurter les règles des autres. Nous avons compris que la liberté totale est une illusion. La vraie liberté, c'est de choisir ses propres contraintes plutôt que de subir celles imposées par les autres, la ville, la société ...

On a alors entamé une réflexion profonde sur ce qu'on voulait vraiment.
Un moment suspendu, ou une forme de routine voit le jour au fur et à mesure que les jours passent.
On a cherché un refuge, loin des villes, loin de l'accumulation.
Un appel pour un appartement au fond d'une vallé en Ariège.

Pour la visite, on a dû tricher un peu. Avec les 70 km/h de pointe de Léon, le trajet aurait été interminable pour un simple aller-retour.
On a embarqué avec une amie dans sa voiture pour filer vers les montagnes. Vingt minutes de route sinueuse après le dernier magasin, entre les pics rocheux et le silence.

On a visité, on a déambulé dans les ruelles du village pour s'imprégner de l'ambiance. Ce n'était pas un coup de foudre immédiat en franchissant la porte, mais plutôt une évidence qui infusait.
C'est sur le trajet du retour, en discutant dans la voiture alors que les sommets s'éloignaient dans le rétro, qu'on a fait notre choix.
On s'est regardés, on a pesé le peu de "contre" face à l'immense besoin d'air. On a donné notre confirmation peu après : c’était là.

On a fini par reprendre Léon pour son ultime voyage de migration. Il a gravi les cols à son rythme, vaillant malgré son âge, pour nous déposer là où nous devions être.

Octobre 2021 - Winter is coming. Nous voilà installés dans l'appartement et prêts (on l'espère) à affronter l'hiver en Ariège.

# Statut final : Système stabilisé 
                
Localisation : Fond de vallée, Ariège.
                
Mode de vie : On redevient sédentaires, oui. Mais plus jamais comme avant. 
On a conscience des enjeux, de notre consommation !
                
Léon est au repos, mais l'esprit nomade, lui, est bien réveillé.

# Note : On a choisi notre décor et nos règles.

Le Ticket — Une requête hors du cadre légal

Parfois, le support N1 ne reçoit pas une alerte, mais un cri du coeur. Un utilisateur nous informe que, malgré un "usage respectueux et dans le cadre de la loi", sa souris a rendu l'âme.
Le symptôme est pour le moins... sonore.

"Bonjour,
Malgré un usage respectueux et toujours dans le cadre de la loi de ma souris, il semblerait qu’elle a pété...
En effet, déjà depuis plusieurs mois, la molette exprimait un sonore « couic couic ».
De manière assez humoristique, le son correspondait sensiblement au gémissement d’une vraie souris à l’agonie torturée par un chat gras. Mes collègues se sont mêmes plaint plusieurs fois de la gene occasionnée par ce bruit.
Mais je pense qu’ils ne faisaient que masquer leur incompétence, mais ça n’est que mon avis.

Aujourd’hui, le clic mollette ne marche plus (alors que c’est une commande indispensable dans catia).
Par contre elle fait toujours « couic couic ».

Puis-je avoir une souris filaire de remplacement ?"

L'Audit Technique — Diagnostic de l'agonie
Le clic molette a cessé toute activité. Le "couic couic", lui, persiste, tel le fantôme de Mr. Jingles dans La Ligne Verte.
L'utilisateur réclame une procédure de remplacement pour pouvoir continuer ses opérations sur CATIA.

Résolution — Migration vers un nouveau spécimen
Une souris filaire neuve a été déployée. Aucun gémissement n'a été détecté lors des premiers tests de charge.
L'utilisateur peut reprendre sa conception 3D sans avoir l'impression de participer à une scène de crime animalière.

L'Alerte — Code Rouge au bloc
Urgence signalée à la Clinique du Parc. Un médecin m'appelle, la voix tremblante : "Je me suis fait pirater ! J'ai vu une fenêtre suspecte, j'ai tout coupé !".

Le Constat — Une intervention chirurgicale radicale
Arrivé sur place, le poste de travail est effectivement hors ligne. Mais ce n'est pas un malware qui a coupé le flux. Le médecin, dans un élan de bravoure cyber-médicale, a saisi un scalpel pour sectionner net le câble Ethernet.
Son argument ? "Une fenêtre noire et blanche est apparue une demi-seconde au démarrage. C'était l'attaque !".

La Vérité — Script vs Scalpel
Le "piratage" n'était autre que l'exécution d'un script de mise à jour que j'avais poussé via GPO la veille au soir. La "fenêtre noire" était simplement l'invite de commande (CMD) faisant son travail de maintenance.

Résultat : Un câble Ethernet au tapis, une équipe informtique en fou rire général, et un chirurgien qui a compris qu'en informatique, l'amputation n'est jamais la solution recommandée pour un diagnostic de "fenêtre noire".

L'Alerte — "Ma souris est morte."
L'appel tombe. Un médecin, voix pressante, m'annonce que son interface de pointage a cessé toute activité.
Diagnostic à distance impossible, le praticien est formel : "Ça ne marche plus".

L'Intervention — La traversée héroïque
Je traverse la Clinique du Parc, badge en main, slaloms entre les brancards.
Dans ma tête, j'anticipe déjà un conflit d'IRQ ou un driver corrompu. Je prépare mes outils mentaux pour une opération à cœur ouvert sur l'OS.

La Résolution — La loi de Newton
Arrivé au bureau, le constat est chirurgical. La souris est bien là, sur le tapis. Mais son câble, lui, a décidé de suivre la loi de la gravité. Il pendouillait tristement derrière le bureau, déconnecté de son port USB.

Action corrective : Reconnexion du câble.
Résultat : "Ah, c'était juste ça ?" - Oui, Docteur. Juste une rupture de la liaison physique.
Un grand classique de la Couche 1.

# Note pour plus tard : Toujours demander à vérifier le câble par téléphone !