1. # 2996

    Neutralité du Net : la « quasi censure » est préconisée dans le rapport du Gouvernement

     

    Le mois d’août promettait d’être riche en sucre, on a pas été déçu. La semaine dernière c’était une ordonnance de référé qui demandait poliment (sous peine d’amende de 10 000 euros par jours) aux fournisseurs d’accès Internet (pas tous, juste les 7 plus gros) de bloquer, par tous les moyens possibles (DPI, blocage DNS, IP, rafale d’AK47…) les sites de jeux en ligne qui n’ont pas de licence française. Un traitement que la LOPPSI promettait de n’appliquer qu’aux sites pédophiles. On s’est tout de suite dit que le lobby de la propriété intellectuelle (les moines copistes de DVD), allaient se ruer sur l’occasion afin de profiter (gratuitement) du zèle des fournisseurs d’accès.


    Source: Neutralité du Net : la « quasi censure » est préconisée dans le rapport du Gouvernement
  2. # 2995

    Puppet et ses conséquences

     
    Professionnellement, je suis en train de déployer Puppet histoire de gagner du temps (et de la qualité) dans la gestion du parc informatique.
    Ce qui est bien avec la gestion de configuration centralisée, c'est qu'il suffit de déclarer une fois les actions nécessaires pour pouvoir les répéter à l'envi, avec une marge d'erreur très faible, voire nulle si vous faites bien les choses. Il existent depuis une bonne dizaine d'années, mais n'étaient pas forcément super souples ou super clairs.

    J'ai l'impression que Puppet est en train de changer la donne: un langage simple (Ruby) de haut niveau et en même temps extrêmement puissant, des modules à foison, bref, la trousse à outils idéale.

    Du coup, un constat s'impose, un peu comme une évidence: le système d'exploitation devient un consommable.
    Il est maintenant si facile à installer et à configurer (cela peut même aller jusqu'au déploiement du code applicatif) qu'en cas de problème, il vaut parfois mieux tout réinstaller propre plutôt que chercher à bidouiller.

    Bon d'accord, j'exagère un peu, mais pas tant que ça. Prenez le cas Amazon par exemple: chez AWS, la machine virtuelle est consommable. Pas de migration automatique, la VM est redémarrée from scratch sur un autre node si besoin est.
    Vous allez me dire qu'il faut d'abord avoir conçu l'image de la VM et je serai d'accord avec vous. Mais à bien y penser, entre l'image de la VM chez AWS et un PXE couplé à un dépôt logiciel, il n'y a pas grande différence: ce sont 2 manières différentes (et plus ou moins efficace) d'instancier un serveur.

    Le mot est lâché: on n'installe plus, on instancie. Pour ma part, mais j'y reviendrai dans une future publication, je ne m'embête plus à chercher la petite bête dans mes kickstart et autres fichiers preseed.
    Je me "contente" d'une installation basique qui conviendra à tous mes serveurs, quelle qu'en soit l'utilisation future.
    Pour le reste, je m'en remets à Puppet.

    Les outils de déploiement et de gestion de configuration open-source sont devenus tellement puissants qu'une machine peut-être installée et configurée en moins d'une demi heure.
    Naturellement, il reste une tonne de boulot en amont pour tout préparer, mais ce travail n'est fait qu'une fois !

    Alors, consommable ou pas le système d'exploitation ?
  3. # 2994

    Pillsbury vs My Dough Girl

     
    Comment rejouer David et Goliath au 21ème siècle ?

    Simple, il suffit de prendre une multinationale bien naze (Pillsbury) et de lui faire attaquer en justice un petit commerce à Salt Lake City pour une sombre histoire de copyright.

    Les détails ici:
    Pillsbury, My Dough Girl, Facebook: nouveau cas de Streisand effect ?
  4. # 2993

    La sécurité et le cloud computing

     
    Le cloud computing, sorte de buzzword à la mode, est néanmoins devenu une réalité. Comme souvent (toujours ?), la sécurité n'a pas été considérée comme un pré-requis.
    Du coup, les "early-adopters" ont dû improviser, bien souvent en appliquant les règles de sécurité qui s'appliquaient déjà. De plus, bien des règles relevaient du bon sens, les sauvegardes par exemple. Mais le cloud les rends d'autant plus indispensables que le serveur (virtuel) est devenu "jetable".

    Fort heureusement, à l'heure où le cloud peine encore un peu à se faire une place au soleil, en France en tout cas, les initiatives ne manquent pas outre-atlantique.
    Pour preuve, l'ouverture d'un blog dédié à la sécurité et au recensement des incidents touchant les plate-forme de cloud computing: cloutage.org.
    Pour preuve également, même si ça vaut ce que ça vaut, la mise en place d'une certification liée à la sécurité du cloud.

    Signe de l'évolution des choses, cette certification fait la part belle aux problématiques légales. Autre signe d'évolution, l'ENISA (European Network and Information Security Agency), le CERTA européen, publie un document cadre pour la gestion du risque dans le cloud.

    Globalement, il semble donc que les esprits s'éveillent un peu. Reste maintenant à savoir comment tout cela sera pris en compte par les utilisateurs du cloud, mais également par les décideurs.
  5. # 2992

    Les virus sous Linux

     
    Hum… les virus sous Linux… le bon vieux Troll ;-)
    Dans ce papier, Pourquoi il n'y a pas de virus sous Linux?, Doc Tremblay nous explique que les virus sous Linux "y en a pas passe que c'est 'achement mieux foutu Linux que Windows". Soit

    Et de brandir l'héritage des Unix trentenaires... Sauf que comparer des Unix serveurs avec des Linux poste de travail, comment vous dire... c'est juste stupide et dangereux car cela entretient une illusion de sécurité.

    Mais alors, comment diable voit-on de plus en plus de virus sous MacOS alors même que le socle en est également un Unix ? Juste pour une sombre histoire de rentabilité.

    Les parts de marché de MacOS augmentent ? L'intérêt des pirates aussi.

    Forcément, on est encore peinard pour quelques temps avec Linux en tant que poste de travail :-D

    Plus sérieusement, c’est à mon avis quelque chose que l’on verra tôt ou tard apparaître; et mieux vaudra alors être préparé.

    Le risque est sans doute un peu moins important que sous Windows car, par défaut (pour tous les Windows jusqu'à XP inclus), l’utilisateur n’a pas de droit administrateur. Du coup, pas facile d’ajouter un service système au démarrage, pas facile d’écrire ailleurs que dans son répertoire personnel.

    MAIS:
    Si l’on considère que 40% des utilisateurs Linux utilisent Ubuntu, considérons les points suivants:

    - par défaut, il faut utiliser « sudo » pour obtenir les droits root avec une certaine durée de rétention du mot de passe (je n’ai pas la valeur exacte, désolé). Du coup, pendant cette durée, n’importe quel process lancé par l’utilisateur peut passer root.

    - par défaut, l’utilisateur peut activer (ou pas) différents programmes à l’ouverture de session, qu’elle soit ou non graphique, et sans authentification. Pas bien compliqué d'en ajouter à l'aide d'un script au un binaire.

    - par défaut, Ubuntu propose de tout installer à la racine. Problème: il est donc impossible de mettre le flag noexec à la partition /home (qui n’existe d’ailleurs pas en tant que partition). Dommage car du coup, n’importe quel utilisateur peut lancer n’importe quoi.

    - La première source d’infection est constituée par la masse qui clique sur tout et n’importe quoi

    - L’utilisation des mêmes logiciels sur des systèmes différents peut ouvrir des brèches communes.

    Alors:
    - OUI les distributions Linux sont mieux conçues par défaut car dérivées d’Unix (avec « juste » 30 ans d’expérience).
    - OUI il est (un peu) plus délicat de réaliser un cheval de Troie persistent
    - NON il n’est pas impossible de faire et diffuser des virus sous Linux et une démocratisation de celui-ci (que j’appelle de mes voeux) le démontrera
    - OUI, l'installation par défaut est et restera votre ennemie. Ça a été le principal vecteur de propagation des virus sous Windows (avec l'inconscience des utilisateurs)

    Et enfin, OUI le faible taux de pénétration de Linux comme poste de travail n’attire pas les développeur de vermines.

    Mais cela viendra, dès que cela rapportera assez d’argent.
  6. # 2991

    Quand TrueCrypt résiste au FBI.

     
    SID nous gratifie d'une analyse sur l'"affaire" du moment: le FBI himself s'est cassé les dents sur un disque dur chiffré à l'aide du logiciel TrueCrypt, et ce pendant près d'un an.
    C'est dommage pour la justice Brésilienne qui avait demandé l'aide du FBI, et tant mieux pour le logiciel libre.

    Source: PBKDF2 à l'épreuve du FBI
  7. # 2990

    Youtube victime d'une injection ?

     
    C'est en tout cas ce qui ressort d'un article publié par Kevin

    Il semble donc que les commentaires que les utilisateurs peuvent publier sur Youtube ne soient pas correctement filtrés. Rien de bien méchant pour l'instant, juste un commentaire qui défile à l'écran, mais ça fait quand même mauvais effet.

    À quand la première attaque massive ?
  8. # 2989

    Soirée Performances web le 21 Juillet 2010

     
    Réservez la date dès maintenant, une soirée dédiées aux performances Web aura lieu le 21 juillet 2010. Elle est organisée par Eric Daspet et Octo Technology.
    Au menu des réjouissances, on notera la venue de Stoyan Stefanov qui travaille exclusivement sur le sujet au sein de Yahoo!

    On y parlera optimisation à tout crin ! Que vous soyez curieux ou pro de la chose, venez-y !

    Ah oui, au fait, c'est par ici que ça se passe.
  9. # 2988

    NGinx et les rewrite rules

     
    J'adore NGinx ! Vraiment. Mais il y a un point dur: les règles de réécriture d'URL. Lors du déménagement du site, j'ai voulu remplacer le couple traditionnel Apache/mod_PHP par NGinx/PHP-FPM. Je me suis dis que ce serait plus adapté à une Dedibox V3 ;-)

    Tout s'est bien passé, sauf la réécriture d'URL qui s'obstinait à réécrire les URI "/" en "/index.xhtml" ou "/index.php" selon le cas.

    J'ai fini par en trouver l'origine. Par la même occasion, j'ai optimisé les règles précédemment en place.
    J'attends d'avoir un peu de recul sur l'impact en terme de perfs avant de publier.
  10. # 2987

    Slowloris, le retour

     
    Vous croyiez que seul Apache était vulnérable ?
    Vous croyiez que Nginx et Lighttpd ne l'étaient pas ?

    Il semblerait en fait que Lighttpd ne soit pas si résistant:

    I just tested it on a fresh/default install of the latest lighttpd with a simple index.html page (no fastcgi this time). Consistent results, 4-5 seconds after I fire slowloris from host A to “attack” server B, server’s B is unresponsive. I’m checking from host C btw in order to minimize the risk of any dos appliances that might be in the way blocking requests. host A, server B, host C are all in different geographical locations.

    As soon as I stop slowloris server B becomes responsive again. Interestingly enough top doesn’t show any change in cpu/mem usage during the attack.


    Source: Lighttpd and Slowloris
  11. # 2986

    Déménagement

     
    Le site jbfavre.org a changé de crémerie numérique.
    Si vous lisez ceci, c'est que la migration DNS a fait son office ;-)
  12. # 2985

    Le 0-day sera pour une autre fois

     
    L'infection massive de sites web sous IIS/ASP ne serait en fait qu'une "bête" injection de code ASP.

    C'est le très respectable et respecté SANS qui l'annonce.

    On peut même avoir le détail de l'attaque.

    N'empêche, ils ne se sont pas loupés sur ce coup: au plus fort de l'infection, plus de 1.3M de sites étaient touchés. Apparemment, 110k le sont toujours.
  13. # 2984

    SSTIC 2010, c'est parti

     
    Je ne peux malheureusement pas y assister, je me rabats donc sur diverses URL qui en font un compte-rendu plus ou moins détaillé et plus ou moins live.

    * Google Wave publique. Il faut évidemment disposer d'un compte Wave. Plutôt très très calme. Pas sûr qu'on y trouve grand'chose durant les 3 jours.
    * n0secure.org. Blog d'Erwan. Une conf = un post. Idéal pour suivre en RSS
    * sid.rstack.org. Blog de Sid, membre éminent de la rstack team. Là, c'est plutôt 1 post pour les 3 jours. Donc updates régulières (en tout cas pour aujourd'hui, parce que les nuits rennaises sont loooooongues :p )
    * Yvan VANHULLEBUS mise à jour à 18h55

    J'en rajouterai d'autres au fil de mes découvertes.
  14. # 2983

    Nuits blanches en perspective chez Microsoft

     
    Une attaque massive de sites sous IIS/ASP est en cours. En l'espace de 2 jour, pas moins de 1.3M de sites web ont été infectés.

    A priori la source de l'infection est unique puisque tous les sites analysés contiennent le même bout de code pointant sur le domaine robint.us

    Les petits gars de chez Microsoft doivent être sur les dents à l'heure qu'il est.

    Alors, 0-day ou pas ?

    (Source: Sucuri)
  15. # 2982

    Droit à l'oubli et devoir de mémoire

     
    Le dernier "buzz" à la mode en matière de vie privée, le dernier Graal qui cristalise les espérances, le dernier cheval de bataille de notre geekette préférée, c'est "le droit à l'oubli". Il s'agit de la dernière trouvaille en date pour répondre aux préoccupations légitimes d'un peuple internaute en mal d'exhibitionisme et qui, néanmoins, s'inquiète des conséquences possibles (probables ?) de l'étalage de ses frasques numériques.

    Voilà donc NKM qui retrouve du poil de la bête, après s'être abstenue de toute intervention durant les débats Hadopi, et qui vole de concertation en consultation publique sur le sujet. Fort bien.

    Mais où commence et où fini ce "droit à l'oubli" ?
    On prend systématiquement comme exemple le "jeune" qui, s'étant un peu trop épanché sur son profil Facebook, affichant innocemment les photos de ses soirées de beuveries estudiantines, se surprend quelques années plus tard à éprouver quelques difficultés pour trouver un emploi et s'étonne de la réticence des recruteurs et autres chargés des ressources humaines à embaucher un joyeux luron comme lui.
    Naturellement, les options de gestion de la vie privée... comment vous dire... pas le temps, faut qu'j'aille en boîte...
    Évidemment, présenté comme ça, les recruteurs sont vraiment des enflures de la pire espèce et notre pauvre jeune professionnel a bien raison d'exiger la mise en place d'un "droit à l'oubli" afin qu'il ai, joie suprême, la possibilité de s'acheter une Rolex avant 50 balais, juste histoire de ne pas rater totalement sa vie.

    Soit dit en passant, je trouve gerbant le fait de rechercher ce type d'informations sur le Net avant que d'embaucher quelqu'un, de la même façon que je trouve stupide d'étaler sa vie dans toute la splendeur de sa médiocrité sur la toile.
    Mais soit.

    Prenons un autre exemple, totalement au hasard bien entendu. Que dire d'un homme (ou d'une femme, ne soyons pas sectaires) politique qui, après avoir eu des démélées avec la justice ou pire, avec la presse people, se piquerait de vouloir faire disparaître toute information concernant son(ses) affaire(s) ou même (soyons fous) quelques promesses électorales non tenues, juste histoire d'être sûr que personne ne vienne les lui rappeler ?
    Vous en conviendrez, ça fait tâche dans un plan com...

    Personnellement, j'y vois un dangereux travers: celui d'être tenter de ré-écrire l'Histoire (ou les histoires qui la composent) au fil des envies ou des opportunités.
    Vous avez dis "1984" ? Nan, même pas possible, nous vivons en démocratie...

    À quel domaine s'appliquera ce "droit à l'oubli" ?
    Les personnages publics pourront-ils maîtriser encore un peu plus leur image, exercice de publicité marketing de moins en moins fidèle à la réalité car trop parfait.
    La Shoa pourrait-elle disparaitre des livres d'Histoire ? Et ce, au détriment du "devoir de mémoire" ?

    Au delà de ces exemples anecdotiques et caricaturaux, la loi peut-elle imposer aux gens d'oublier quelque chose ? En un sens oui: les amnisties judiciaires provoque l'effacement du casier judiciaire des délits amnistiés. Fort heureusement, à l'heure du tout répressif, foin d'amnistie.
    Plus question d'oublier quoique ce soit. Heureusement d'ailleurs, sans quoi le ministère de l'intérieur se verrait obligé de nettoyer tous ses fichiers clients. Vu le bordel, c'était pas gagné...
    Mais les amnisties ont été faites pour protéger les citoyens de l'État et de ses administrations, pas de leurs con-citoyens.

    Concernant le "droit à l'oubli" sur Internet, on pense immédiatement aux réseaux sociaux et/ou publicitaires sans oublier certain moteur de recherche. Il faut protéger Mme Michu !!

    D'un autre côté, Internet n'étant qu'un ramassis de nazis pédophiles (© UMP 2007-2010, vainqueur toute catégorie au point Godwin), pourquoi prendrait-on la peine de les protéger ? Bien au contraire, ne faudrait-il pas écouter et obéir au sénateur Jean Louis Masson qui veut si bien et promptement les contraindre à montrer leurs vrais visage et identité ?
    Le problème est que la limite n'est justement pas définie.

    Accessoirement, le problème est qu'il n'est pas là (le problème): plutôt que de légiférer une énième fois avec un risque absolument non négligeable que cette nouvelle règlementation ne se révèle tout à fait inapplicable, ne serait-il pas plus intéressant de sensibiliser et d'éduquer le public ?

    Ne serait-il pas plus efficace d'apprendre au gens à communiquer sur Internet, à leur faire prendre conscience que tout ce qui est dit sur internet doit être considéré "public" et que, à ce titre, toute publication devrait être mûrement réfléchie ?

    Ah, c'est vrai, j'oubliais: une loi publiée au journal officiel comporte le nom des personnalités politiques l'ayant portée sur les fonds baptismaux. C'est pas un truc à oublier ça, quand il s'agit de tirer le bilan de son action, par exemple à l'approche d'échéances électorales. D'ailleurs, il serait bon que les électeurs s'en souviennent d'eux-même.

    Vite, une loi... pour les forcer à ne pas oublier