Traces évidentes...

Aller au contenu | Aller au menu | Aller à la recherche

Happy Bourbon's day 2k11

Par jop le lundi, février 14 2011, 19:16 - Divers

En ce jour particulier et si solennel, je me suis longtemps demandé si oui ou non il fallait bloguer. Bloguer pour dire quoi, pour le dire à qui ? Cher lecteur, fait unique et avantage rare, j'ai demandé à mon alter-égo littéraire de bien vouloir accepter un quatre mains d'exercice pour fouler au pied cette journée. Nous accueillons donc exceptionnellement lulu (ouaissss !!) pour cet essai artistique où réalité et fiction mélangent sentiments et crustacés. Nous préférons prévenir que nous espérons ce texte beaudelairien et que les mots sont susceptibles de blesser les plus jeunes d'entre nous. Le PEGI étant annoncé, nous pouvons, le rideau, laisser tomber.

Dédicace : nous dédions notre art à notre fils, Marc. Puisses-tu te marier de notre vivant et que nous jouissions de ton bonheur, pour toute l'affection que nous te portons.

Aucun(e(s)) auteur(e(s)) n'a été blessé durant la (émouvante) rédaction. Aucune substance ne fut. Nécessité fait loi.

Lire la suite...

{ 2 commentaires aucun rétrolien }

Blague technophile

Par jop le mardi, janvier 4 2011, 20:15 - Geek

Marc dit à Georges d'expliquer SSO. Et Georges Lucas.

Je dois avouer être assez fier ;)

{ 6 commentaires aucun rétrolien }

Le monde, supplément TV, dimanche 5/lundi 6 décembre 2010

Par jop le jeudi, décembre 23 2010, 00:35 - Divers

Hier soir, Miss bonbon et moi-même devions nous rendre à un spectacle, que dis-je, une pièce de théâtre, mon bon monsieur. Et pas n'importe quelle pièce. "Blogueuse", écrit par Titiou Lecoq et la non moins célèbre Julie F. Seulement, voilà, le jour n'étant jamais comme la nuit, sinon peut être aux cercles polaires, Miss bonbon a préféré sortir encapée de sa couette avec une rhino-pharyngite, plutôt qu'avec moi. Pourtant, ça aurait été notre première sortie entre fille depuis longtemps. Tant pis. Je décroche mon sms (appareil de néandertal, ayant comme fonction principale et unique l'envoi et la réception de message de 140 caractères, à ne pas confondre avec twitter) et propose à la princesses de Saba de venir découvrir une pièce de théâtre française. Deal.

Lire la suite...

{ 3 commentaires aucun rétrolien }

Loopbacked ?

Par jop le vendredi, octobre 1 2010, 18:37 - Geek

Véridique, ce jour :

Pouvez-vous me dire à quelle machine ou serveur correspond l'IP 127.0.0.1 ?

Et ouais...Il y a des lectures qui se perdent...

{ 2 commentaires aucun rétrolien }

Menus changements

Par jop le lundi, septembre 20 2010, 01:27 - Divers

L'année aura été longue, très longue. Beaucoup moins de publications sur ce blog, beaucoup moins de travail personnel. Pour autant, cela n'est pas dû à une vie personnelle particulièrement riche. Non. Mon activité professionnelle m'a amené à piloter un projet suffisamment important pour que le soir, de guerre las, je sois psychologiquement et intellectuellement fatigué, n'ayant que pour envie de légumiser. Combien il est bon d'apprécier être à pied d'égalité avec une carotte ou une pomme de terre, pouvoir se raconter des blagues à faire rougir un radis.

Pour autant, cela n'a pas bien fait avancer mon business, ni mes prétentions. Alors, que se passe-t-il ?

Cela fait plus ou moins deux années que je cherche de manière plus ou moins active un emploi qui me permettrait d'aller au-delà de ce que je fais actuellement. Finalement, mon âge aura été le facteur le plus handicapant de toutes mes recherches et s'avère en désaccord avec la bienséance française. Quelqu'un de moins de trente ans, semble-t-il, ne peut pas assurer de manière cohérente, des responsabilités à un haut niveau. Ou peut-être faut-il avoir fait X ou l'ENA. Toujours est-il, qu'en désespoir de cause et après avoir passé une année à mi-temps dans le train, j'ai élargi mon champ de recherche.

Ainsi, il me faut remercier toutes les entreprises qui m'ont permis de faire ce choix délicat : Orange, Nexans, Canon, l'Éducation Nationale, Lemahieu, Taste, le CHU de Rennes, RTL, GSanté, Glon, Abaka et Thomson.

Un grand merci, car sans vous, sans votre volonté, je n'aurai jamais franchis le pas de quitter cette belle ville de province qu'est Rennes pour aller conquérir la capitale française. Sans jambage, j'officialise donc ce gros changement qui intervient dans ma vie, je deviens parisien (tête de chien). Le pire, c'est que cela me ravit. J'avais en effet besoin d'avancer, de changer les choses, bousculer les événements, rencontrer des gens, vivre et sortir. J'étouffe dans mon habitude établie et j'aspire à du changement. C'est au moins radical.

J'ai donc accepté une mutation au sein de mon entreprise. Cela a l'avantage de me faciliter la liaison, tout en me laissant l'opportunité de nouvelles perspectives. En l'état, je suis donc le nouveau responsable du consulting sécurité de mon agence parisienne. Enfin, je le serai, dans 11 jours. Un service à monter, une offre à créer, des choses intéressantes pour une vision de la sécurité tangente. En effet, j'ai le plaisir et l'avantage de traiter la sécurité au quotidien au sein de la production, la vraie, celle qui ne souffre pas qu'un délire stalinien vienne mettre son grain de sable dans la production d'une usine, où l'arrêt d'une heure d'une machine revient à perdre quelques millions d'euros. C'est sous cet angle que j'ai déjà commencé la préparation de mon offre et c'est sous cet angle que je compte bien m'y attaquer.

De toute façon, il serait prétentieux et complétement stupide de ma part de vouloir entrer sur un marché saturé où bon nombre de sociétés ont déjà le meilleur de la production mondiale : EADS IW, ESEC, Atlab, HSC... D'ailleurs, si vous avez besoin d'un audit, je ne puis que vous conseiller leurs services, ce sont les meilleurs.

Nouvelle vie, nouvelles envies. Pour l'instant, je lorgne sur un appartement dans le carré magique de Vincennes, le temps nous dira s'il est mien ou non. Tous les whois à changer, rien que d'y penser, ça me fait rêver... Cartons en préparations, formulaires de changement d'adresse, relocalisation. Bref, que du bonheur.

En attendant ce mois d'octobre un peu chargé, mois qui verra le bilan de trente années écoulées, je me focalise sur la fin de mon projet, histoire de terminer ce que j'ai commencé et qui devrait gentiment m'amener jusqu'à mes vacances d'été... en octobre.

Des nouvelles quelque peu personnelles, soit, mais comme je n'ai pas le droit de parler de ce que je fais dans mon travail, ça limite mes interventions au droit, à l'informatique et à l'actualité. Et ces temps-ci, je n'ai pas envie d'en parler, ou du moins, d'en écrire. Sachez cependant que je garde au frais un petit billet sur tcp/ip, que j'espère avoir le courage d'écrire d'ici peu.

Pour terminer, sachez que j'ai des articles en préparation sur IPv6, pour de la publi papier et qu'une formation sur le droit et les NTIC va bientôt être disponible à la commande chez formation libre. Si vous êtes d'ores et déjà intéressé par cette formation, vous pouvez m'écrire en privé, en attendant la publication officielle sur le site (et vraisemblablement sur ce blog).

Amis du web, joyeux lundi !

{ 6 commentaires aucun rétrolien }

Amazing grace

Par jop le jeudi, septembre 2 2010, 18:12 - Divers

Old ma, comme disait Chichi : put***, 2 ans. Sans emphase, mais avec constance, tu aurais sûrement rigolé à ces quelques blagues hasardeuses qui font que ton nom restera parmis nous.

J'ai pris quelques expressions françaises et me suis permis une interprétation très personnelle.

  • Avoir la gueule de bois : du matin au soir et du soir au matin, se regarder dans la glace et se dire que jamais ça ne changera. Ton remède perpétuel restera une rasade d'eau en toute circonstance, car c'est le meilleur des breuvages et le plus beau don. Mais comme dirait Johnny, qu'est ce qu'elle a ma gueule ?
  • Être du bois dont on fait les héros : après deux guerres mondiales, deux autres moins mondiales, les guerres médiatiques, la télé couleur et Internet, tu en auras vécu des choses, toi qui cachait des munitions dans ta tête de lit pour signifier ta résistance à l'ennemi.
  • Faire feu de tout bois : pas un de tes petits n'est oublié. Tu les as tous aimé, compté, regardé grandir et surtout, tu les as porté dans la prière chaque jour afin que pas un de leur cheveux ne puisse être âbimé.
  • Faire jambe de bois : même pour tes nonantes-huit, tu continuais à utiliser ton déambulateur. Bon pied, bon oeil... Enfin presque.
  • Montrer de quel bois on se chauffe : quand on a des principes, on s'y tient. Et tu n'aurais jamais transigé au risque de faire comprendre à l'autre parti comment ton nom s'écrit.
  • Toucher du bois : la chance, tu n'y as jamais cru, mais dans ta foi tu as toujours espéré. Aujourd'hui, c'est auprès de ton Dieu que tu te retrouves.
  • Langue de bois : quand tu as eu quelque chose à dire, tu n'as jamais envoyé une carte postale, parce qu'un mot est un mot et que l'honnêteté, même si elle ne paye pas, permet de mettre les choses au clair.
  • Tête de bois : on me dit têtu, mais je sais de qui tenir.
  • Homme des bois : ce ne fut pas l'homme, mais la femme.

Salut Old ma et merci pour ces trente belles années que tu as pu m'accorder.

See you, my funny valentine. See you, Hélène Bois.

{ 3 commentaires aucun rétrolien }

Plus réaliste, tu meurs

Par jop le dimanche, août 15 2010, 23:21 - Divers

Lors de ma dernière conférence sur la formation ouverte à distance, j'ai intégré l'avatar dont je vous parlais dans un billet précédent. Ulysse trouvait dans son commentaire que c'était fort ressemblant, je vous laisse donc en juger par vous-même :

Bien sûr, je passerai sous silence, avec délicatesse, le succès de ma conférence, le contenu fort intéressant que vous pouvez écouter librement sur le site de l'école, l'intérêt de la numérisation des contenu et de la virtualisation de l'individu. Non pas que tout cela ne soient pas des sujets intéressants, d'autant plus pour ce blog un peu vide, mais parce que je suis dans un cycle étrange de sommeil et que le mois de septembre ne va certainement pas m'aider. Des news dès que je peux, mais attendez-vous à ce que ça bouge.

En attendant, si vous voulez utiliser votre DIF, faîtes tourner.

{ 8 commentaires aucun rétrolien }

Et si je piratais cette semaine ?

Par jop le mercredi, juillet 14 2010, 22:23 - Libre

Sous ce titre racoleur, ce n'est ni plus, ni moins, une fantastique initiative mise en place par le lug epplug, LUG de Picardie, qui fait suite aux RMLL d'Amiens en 2007. En effet, fort du travail réalisé et de l'impression faîte sur les politiques, ces derniers, par l'intermédiaire de la préfecture (si j'ai bien compris) subventionnent tous les six mois une semaine permettant à un projet libre d'avancer. Pour ce faire, il suffit de postuler sur le site de epplug à partir du 20 juillet de cette année, pour éventuellement pouvoir participer à la session du 21 au 27 novembre 2010.

Toujours d'après les informations que j'ai recueilli, le premier projet ayant eu la joie de bénéficier de cette semaine tous frais payés est GLPI.

Si vous pensez que vous avez un projet intéressant, que vous avez besoin d'une semaine pour voir les autres personnes de votre projet et qu'il vous reste une semaine de congés à prendre, je ne peux que vous recommander cette initiative. J'en oubliais presque le nom de l'événement qui est afférent à mon titre : H@ck weeks !

Au-delà de cela, je râle souvent sur les RMLL, considérant que le terme mondial est souvent exagéré, puisqu'elles permettent surtout à des visiteurs locaux de prendre connaissance du libre, même si de nombreux conférenciers viennent des quatre coins de la terre. C'est ici un retour très intéressant que de pouvoir constater qu'une initiative locale et politique découle directement de l'effet des RMLL.

Le libre, c'est bien.

{ aucun commentaire aucun rétrolien }

Ecco il tuo avatar

Par jop le dimanche, juillet 4 2010, 19:51 - Divers

Voilà sûrement à quoi je ressemblerai si j'étais un manga. Rien de bien folichon, on lui filerai bien dix balles pour aller s'habiller et éventuellement passer chez le coiffeur.

C'est un peu l'état d'esprit du moment. S'il n'y a plus de billet, ce n'est pas qu'il n'y a plus rien à dire. C'est surtout que l'on se lève avec un regain d'énergie qui est entièrement aspiré par ce qui me permet de payer mes impôts, sans gratification aucune. On subsiste, on survit ; on n'arrive plus à travailler, à se consacrer, à se concentrer. Tout ça, c'est pas une vie, en tous cas, ça n'y ressemble pas.

Il est temps de faire du ménage et de passer à autre chose. Il est temps de s'armer et de changer tout ça, à défaut de pouvoir l'accepter.

{ 6 commentaires aucun rétrolien }

SSTIC'10 : comptes-rendus live

Par jop le jeudi, juin 10 2010, 10:34 - Sécurité

De nombreux blogs tiennent en live le CR du SSTIC, c'est encore mieux que d'y être (en tous cas, sur la conf du moment...). Cette année, j'ai choisi de live blogguer via mon identi.ca. Peut-être que je ferai une construction finale, mais pas sûr.

Si vous voulez d'autres points de vue :

Twitter (#sstic2010, #sstic)

Les blogs :

   * par Mat chez Hurukan
   * par Erwan sur n0secure 
   * par Vanhu
   * par Sid

Crédits à Sid pour quelques adresses...

{ aucun commentaire aucun rétrolien }

Ouverture de Formation Libre au public

Par jop le jeudi, mai 20 2010, 14:34 - Divers

Pour ceux qui suivent régulièrement ce blog, vous savez que je m'investis depuis un peu plus de deux ans dans ma société, nommée Keepin. Nous commençons à avoir des retours intéressants, mais j'en dirai plus un peu plus tard. Si j'en parle aujourd'hui, c'est parce que nous venons d'ouvrir un nouveau service de formation à distance, fort de nos six ans d'expérience à l'École Ouverte Fracophone.

Je vous laisse découvrir le communiqué de presse :

La société keepin est heureuse de vous présenter sa nouvelle offre de service : Formation libre.

Formation libre est une offre de formation continue professionnelle à distance dans le domaine de l'informatique, plus spécifiquement tournée vers les logiciels libres et issue d'une expérimentation éprouvée depuis plus de six ans.

La formation à distance a désormais acquis ses lettres de noblesses. Elle entre dans la culture des salariés comme une réponse au besoin permanent de se former sans perturber le rythme de travail. Elle répond aussi particulièrement bien aux besoins de personnes expatriées et aux milieux ruraux. Nous avons eu beaucoup de remarques de ce type via l'association École Ouverte Francophone que nous animons. 

déclare A. Mascret président de l'Éof.

La formation à distance présente aussi des avantages pour les salariés :

Certes il existe un planning pour le cours, mais la liberté dont on dispose dans l'organisation devient rapidement un avantage. Ceux dans lesquels on est plus à l'aise peuvent être traités plus rapidement laissant ainsi plus de temps pour les autres… La formation à distance demande une plus grande maturité, mais elle permet d'avoir une aide plus personnalisée… 

déclarent P. Lapage et F. Tocquaine dans une interview sur la formation à distance (Linux Pratique Août 2009)

Par ailleurs, toutes les études semblent confirmer que, dans le domaine informatique, le secteur des logiciels libres représente, au niveau mondial, celui qui aura le plus fort taux de croissance dans les 4 à 5 ans qui viennent et l'enquête que nous avons mené sur le territoire Francophone en 2009 nous a confirmé cela… 

complète A. Mascret.

C'est donc tout naturellement que les créateurs de la société Keepin, également spécialistes dans le domaine de la formation à distance et dans celui les logiciels libres ont décidé de proposer une solution adaptée.

Formation libre propose d'ores et déjà six formations dans les domaines du système et des réseaux basés sur les Logiciels Libres.

Idéalement conçues pour s'intégrer au rythme de travail de l'entreprise ou du salarié, ces formations se déroulent à distance, sur trois semaines, représentant un équivalent temps plein de cinq jours.

Dans leurs conceptions, les cursus permettent l'adaptation du rythme de l'apprentissage aux contraintes du salarié et de son activité professionnelle mais peuvent être également suivies en dehors du temps de travail dans le cadre du DIF (Droit Individuel à la Formation) par exemple. La formule 'à distance' devient aussi plus économique en coûts et en fatigue. Elle évite les absences, les déplacements, les frais de restauration ou d'hébergement.

Tout au long de chaque formation, des formateurs, à la fois professionnels et spécialistes du domaine abordé, accompagnent, aident et conseillent les auditeurs sur toutes les difficultés qu'ils peuvent rencontrer.

Pour toute information : contact_AT_formation-libre.fr

Visitez le site des formations.

{ 2 commentaires aucun rétrolien }

RSS, pas court !

Par jop le mercredi, avril 14 2010, 22:34 - Divers

Je réagis à un billet de Cédric pour me joindre, s'il le permet, à sa plainte. En effet, cela fait maintenant des années que j'utilise les flux rss/atom pour suivre quotidiennement plus d'une centaine de sites. Cette petite fonctionnalité bien pratique me permet d'être au courant de la parution de nouveaux articles sur les sites.

Dans un but a priori commercial, ou alors complètement nombriliste pour que j'aille voir ton site qu'il_est_tout_beau, un certain nombre de sites tronquent les flux. Franchement, c'est lourdingue. On est obligé de cliquer, lire l'accroche et s'apercevoir que pour avoir plus que trois mots, il faut cliquer de nouveau et aller sur le pub. Franchement, jamais je n'achèterai un objet suite à une publicité sur laquelle je clique. Je filtre les pubs par dns, je bloque le flash. Alors, en guise de partage de cette lutte que je ne crois pas vaine, moi aussi, je dis stop aux flux tronqués :

Il y en a encore bien d'autres, mais l'idée, c'est de lancer le mouvement de grogne ;)

{ un commentaire aucun rétrolien }

Joyeux lapin

Par jop le vendredi, avril 2 2010, 00:16 - Geek

Ça va révolutionner le monde.

      ASCII                Mood
      =====                ====
      :)                   Happy
      :(                   Sad
      :D                   Amused
      %(                   Confused
      :o                   Bored
      :O                   Surprised
      :P                   Silly
      :@                   Frustrated
      >:@                  Angry
      :|                   Apathetic
      ;)                   Sneaky
      >:)                  Evil

{ un commentaire aucun rétrolien }

Mot du maître

Par jop le mardi, mars 9 2010, 11:00 - Geek

The problem is that coding isn’t fun if all you can do is call things out of a library, if you can’t write the library yourself. If the job of coding is just to be finding the right combination of parameters, that does fairly obvious things, then who’d want to go into that as a career?




Donald E. Knuth




Via nono

    
    
          
{ 
              2 commentaires
              aucun rétrolien               }

        

    
          

    
    
ESEC v3

    
    
Par jop    le mardi, mars  2 2010, 00:02        - Sécurité
        

    
            
    
    
          
Le 2 février, j'étais invité par nono à la troisième journée de conférences de l'ESEC, laboratoire de sécurité de Sogeti. Levée du corps à 5h30 pour prendre le train une heure plus tard. Quelques deux heures plus tard, direction l'étoile pour passer la journée dans le 16è. Je remonte l'avenue Foch et profite de la visite pour regarder les immeubles particuliers. Clairement, je n'ai pas encore les moyens...




Après avoir mappé la veille, je trouve sans difficulté les locaux. Prise de badge et direction le sous-sol où l'équipe de Fred attend que les invités remplissent la salle. Jus d'orange, thé et viennoiseries à volonté. Pas de doute, on sait recevoir. Ça a un air de SSTIC connu, étrange. Je retrouve quelques têtes connues dans l'assemblée, as usual. Un œil au programme, l'autre sur les publicités insérées dans la plaquette. Pas de doute, lorsque l'on est habitué à du LaTeX, ça choque. Deux conférences le matin, trois conférences l'après-midi. Au vue de mon billet de train, faudra que j'écourte en fin de journée pour retrouver la campagne. Les conférences, comme je l'apprendrai au cours de la journée, seront agrémentées de longues coupures qui permettent de socialiser. Un peu trop longues à mon goût, j'aurai préféré des présentations un peu plus étoffées et moins de temps pour siroter ;)




Rentrons dans le vif du sujet avec Jean-Baptiste Bédrune qui s'attaque à la protection des contenus. Il liste d'abord quelques outils qui permettent de protéger ce sacro saint contenu, comme les DRM, les solutions satellites (DAC, ECM, EMM...), les solutions pour le streaming (TPM+DADVSI+CLUF). Après cette introduction musclée, on attaque le vif du sujet, puisque la journée est placée sous le signe de l'attaque. Il montre donc que la protection avec des clés qui sont stockées sur le poste après le premier visionnage permet de les récupérer à loisir, que l'antidebugging est pour les kiddies, tout comme l'obfuscation algorithmique. Une autre solution consiste à récupérer la source par un enregistrement tiers, avec l'exemple d'un fichier AAC protégé. Il suffit de le passer en MP3 pour perdre cette protection (même si cela n'a pas été évoqué, on pensera à l'enregistrement d'un film par une caméra vidéo, ce qui casse le mécanisme anti-copie, mais pas l'empreinte). Il évoquera enfin l'asymétrie entre la protection (que l'on peut considérer comme lourde) et la déprotection (qui est un mécanisme faible). Un DRM est une protection de code, ce qu'il assimile à de la sécurité par l'obscurité. Le combat est perdu d'avance, déprotéger est beaucoup plus facile que protéger.




C'est Alexandre Gazet qui prendra la suite de Jean-Baptiste, dans la continuité de sa présentation sur les contenus numériques, il parlera du contrôle d'accès pour le contenu payant. Bien sûr, pour nous, frenchies, ça rime avec une date et une chaîne : 1984 : canal+. La suite viendra quelques douze années plus tard avec canalsat, TPS et ABSat. C'est l'emploi de la norme DVB, avec en général l'affranchissement d'une voie de retour. Alexandre présente les deux modes de piratage connus : partage des mots de contrôle (CW ou control word) et/ou le partage des cartes. De ces faits réels, il décide de nous montrer que ce business peut être lucratif en analysant le cas de deux sociétés fictives, créé pour l'occasion (le cas d'étude, pas les sociétés ;)). La première est spécialisée dans la vente de matériel, la deuxième, dans la vente de cartes. C'est une bonne conférence, sympathique. J'y découvre un business que j'ignorais totalement, n'ayant jamais eu que les chaînes nationales à la maison et aucun matériel à portée.




Le repas est présenté sous forme de lunch. On est globalement très gâté avec un niveau élevé (œufs de caille en cuisson devant vos yeux, foie gras, fromage de qualité...). Promis, je ne comparerai pas avec un certain restaurant universitaire.




L'après-midi reprend avec la présentation pour laquelle je suis venu principalement. En effet, Arnauld a commencé à travailler depuis plusieurs mois sur les réseaux sociaux et c'est un peu l'accomplissement de tout cet acharnement. On commence d'ailleurs magnifiquement par Fred qui nous fait patienter et chauffe la scène en précisant que si jamais la démo ne fonctionne pas, ce sera à cause du chat. En effet, quelques informations plus tard, on apprend qu'un des serveurs pour la démo est le PC d'un des conférenciers, hébergé chez lui et que son chat reboot de manière régulière le pc ou tout au moins, s'amuse avec le clavier. La présentation s'ouvre sur un panorama des réseaux sociaux, en rappelant que c'est un effet localisé. En effet, si Orkut est le premier réseau social au Brésil, ce n'est pas le cas ailleurs. En France, c'est Viadéo et LinkedIn qui tiennent le haut du pavé pour la partie pro et facebook pour les particuliers. Une petite statistique, ça ne fait jamais de mal : aux États-Unis, 54% des entreprises bloquent les réseaux sociaux pour des questions de productivité.




On passe sur le fond de l'étude. On s'intéresse à LinkedIn et facebook. Un premier test sur la collecte directe et indirecte est effectué. Les deux comportements des moteurs s'opposent. Facebook rend les informations privées inaccessibles (son créateur s'en repent aujourd'hui), mais laisse l'ensemble des contacts accessible. Chez linkedIn, on a accès au profil, pas forcément à ses contacts. Il faut alors passer par les groupes pour trouver des cohérences. La démonstration est effectuée sur la personne de Fred, innocente victime "Head of IT security R&D at Sogeti/CapGemini & Chief". Oui, ça pète.




On passe à facebook qui va en prendre pour son grade. On nous évoque la possibilité de traitement automatisé des données, malgré les restrictions sur le javascript, la présence des e-mails dans des images et des captchas, tout se passe très bien. On est rassuré, c'est pas demain que nos données seront à l'abri. On passe à la partie la plus inquiétante. Les applis tiers. En effet, celles-ci ne sont ni hébergées, ni vraiment validées par facebook. En effet, elles sont tiers, mais complètement. Hébergées sur des serveurs distants. Autant dire que vous pourriez mettre la nasa en orbite. La démonstration est flagrante. Un utilisateur ouvre sa page, lance l'application ("où qu'il est le mignon petit chat tout kawaï") et le puppet master prend la main sur son poste via le canal de contrôle, tout en ayant utilisé une faille du navigateur. C'est simple, c'est propre, c'est beau.




Amis utilisateurs qui lisez ce blog (là, ça fait pas très crédible, j'admets), n'utilisez aucune application tiers sur facebook.




Je termine ma journée par la conférence attendue de Damien Aumaître. Son exposé portera sur la protection physique du poste utilisateur. Pour cela, il y a plusieurs moyens : récupérer le mot de passe, installer un trojan, installer des fichiers compromettants (clears... quoi ?), utiliser une clé U3, usage d'un keylogger (jolie vidéo au passage, Jack Bauer n'a qu'à bien se tenir !), on terminera cette longue liste par le dernier jouet de sieur Aumaître : l'amélioration présentée à SSTIC'09 par monsieur Devine en attaquant le bus DMA. Plutôt que d'utiliser de longues phrases, ça se résume en quelques mots :




dévérouillage d'un pc sous windows seven 64 bits en insérant une carte PCMCIA pendant dix secondes puis en tapant n'importe quel mot de passe dans la mire de saisie. Pouf, on est system. C'est toujours aussi magique.




Voilà, c'est l'heure du train et j'ai un excellent Pratchett à finir (the fifth elephant). Ce fut plaisant, bien que les pauses soient un peu longues et qu'une ou deux conférences auraient été appréciées, je dois dire que je reconnais là la patte d'un des créateurs de SSTIC et que j'apprécie.




À l'heure où un certain labo va disparaître, il est réjouissant de voir que d'autres pètent la forme et font avancer notre matière avec des retours intéressants. À noter également que l'aspect offensif apparaît de plus en plus (le blog de la sécurité offensive, la conférence hackito ergo sum...) et qu'il se pourrait que ce changement de comportement prouve une certaine maturité parmi les acteurs en lice.




Merci à Arnauld pour l'invitation et à Fred de ne pas m'avoir envoyé les vigiles à l'entrée :p

    
    
          
{ 
              3 commentaires
              aucun rétrolien               }

        

    
          

    
    
Ce soir, je facebook

    
    
Par jop    le dimanche, février 28 2010, 23:30        - Divers
        

    
            
    
    
          
Ceux qui suivent ce blog savent tout le mal que je pense de facebook. Cependant, ce soir, j'ai ouvert un compte. Étonnant, non ? En fait, je fais suite aux propos de Stéphane Koch à la JSSI de l'année dernière qui a énoncé un argument qui m'a fait réfléchir toute l'année. En effet, il n'y a de moyen de protéger son identité qu'en créant un compte et en surveillant ce qui se dit chez vos divers proches. Les miens n'étant pas familiés d'Internet (et ce n'est pas peu dire, croyez moi...), il faut prendre les devants. C'est triste, mais on en est là.




Vous trouverez mon nom, prénom, date de naissance et sexe. Ainsi qu'une photo issue de mon profil identi.ca. En sus, vous connaîtrez maintenant les gens que je connais.




The war is now opened.

    
    
          
{ 
              3 commentaires
              aucun rétrolien               }

        

    
          

    
    
Mise à jour du mémoire sur AES

    
    
Par jop    le samedi, février 20 2010, 14:31        - Cnam
        

    
            
    
          
En attendant mon compte rendu sur le séminaire de l'ESEC, un petit billet pour vous faire patienter :




Pour ceux qui s'en souviennent, j'ai fait le Conservatoire National des Arts et Métiers. Dans ce cursus, il y avait une épreuve qui s'apparente à la rédaction d'un mémoire de maîtrise. Ça remonte déjà à 2004 tout cela. On venait de terminer Game Over (salon du jeu vidéo sur plate-forme libre, première édition) et j'ai rédigé ça en 4 semaines. Autant dire que pour moi, c'était alors un travail de titan, puisque je n'avais aucune connaissance en cryptographie, si ce n'est le fonctionnement de l'algorithme RSA, décrit quelques années plus tôt dans un cours de math... Il a fallut que je me fade toute l'histoire, puis que je découvre le NIST et les FIPS. Le tout dans un anglais moins assuré qu'aujourd'hui. J'y ai passé des jours et des nuits, le tout en travaillant, bien sûr.

      
Lire la suite...

    
    
    
          
{ 
              3 commentaires
              aucun rétrolien               }

        

    
          

    
    
spam parler français

    
    
Par jop    le dimanche, janvier 31 2010, 21:12        - Divers
        

    
            
    
    
          
Le SPAM, tout le monde connaît. C'est un business suffisamment lucratif pour que certains ne fassent rien et laissent nos boîtes pourrir. Qu'ils en portent les conséquences. Seulement, de temps à autre, il y a des choses drôles. Enfin, drôle... Moi, ça me fait rire. Si ce n'est pas votre cas, passez votre chemin !




Spam reçu de la société identifiée dans le mail tel que suit :




AZUR TOURS - "Les Alizés " 

La Rigourdière  

35510 Cesson Sévigné




Il y a d'abord quelque chose d'amusant, c'est que finalement, je reçois un spam pour une boîte mail qui est à Limoges d'une société rennaise.




Bref, je vous laisse vous amuser, tout comme moi, du fait que les mœurs se perdent ;)





    
    
          
{ 
              aucun commentaire
              aucun rétrolien               }

        

    
          

    
    
Qu'est ce qu'il dit ?

    
    
Par jop    le mercredi, janvier 27 2010, 19:37        - Sysadmin
        

    
    
    
    
          
J'administre du vserver (for real) sur différentes plate-formes. Si je trouve que c'est du bonheur, de temps à autre, cela pose quelques questions qui ne seraient même pas évoquées sur une plate-forme normale. Typiquement, lorsque vous mettez à jour votre système, entre autre la libc6, comme c'est le cas chez Debian ces jours-ci et que vous souhaitez redémarrer totalement le serveur, vous pouvez vous étonner que vos vservers ne soient pas de retour avec le système.




Une petite vérification vous dit que, effectivement, rien n'est lancé. Bon, encore un démarrage foiré. Forçons ce démarrage à la main. Oui, sauf que non, voilà ce que ça vous jette à la figure :




/proc/uptime can not be accessed. Usually, this is caused by procfs-security. Please read the FAQ for more details




WTF ?!




Bon, un petit coup de google-fu et surtout la doc de vserver plus tard, on a une piste :




Il faut passer le script vprocunhide.




Ok, allons-y. Où se cache-t-il, parce qu'il n'est pas dans le cache ?




La réponse est simple et salvatrice :
/usr/lib/util-vserver/vprocunhide




On croise les doigts, on l'exécute, on regarde la sortie, on prie. Et là... Tout va bien. On relance les vservers et ça marche !




Bouru, qu'est ce que c'est bon quand on ne comprend rien et que ça marche ;)




ps : il serait mieux, idéologiquement, de tout comprendre et que ça ne fonctionne pas, mais bon...

    
    
          
{ 
              un commentaire
              aucun rétrolien               }

        

    
          

    
    
Sécurité, quoi ?

    
    
Par jop    le mardi, décembre 22 2009, 22:03        - Sécurité
        

    
    
    
    
          
La sécurité est un échec. C'est le titre qu'avait choisi Nicolas Ruff pour son talk à SSTIC en 2009. Depuis, il a entretenu sur son blog un certain nombre de billets étayant son propos. Si je suis de l'avis de ce maître es Ruff, je vais plus loin en affirmant que la sécurité informatique n'existe pas. En effet, quid du débordement de tampon si au moment de remplir son contenu on vérifie les entrées ? Comment avoir une injection SQL lorsque la requête est correcte et contenue dans sa sémantique ? Et qu'est ce qu'une politique de sécurité sinon un ensemble d'usage intelligent, de procédure de suivi et de tableaux de bords ? C'est dans cette approche que j'ai lu "So Long, And No Thanks for the Externalities".




Ce papier sort des laboratoires de Microsoft et se propose en un peu moins de douze pages d'analyser l'impact de la sécurité et de sa non applicabilité en terme de bénéfice ou, en des mots plus simples, pourquoi les utilisateurs choisissent (consciemment ou non) de ne pas appliquer les consignes de sécurité que les RSSI et leurs services tentent désespérément de faire comprendre et suivre. Ainsi, en quelques paragraphes, Cormac s'attaque à l'intérêt de la complexité des mots de passe, la détection du phishing par les utilisateurs, les certificats SSL et le danger de l'attaque par interception. À chaque fois il nous présente le coût, les bénéfices potentiels et les bénéfices actuels. C'est ainsi que sur la problématique du phishing, il sort l'équation simple, mais criante de vérité : sur 180 000 000 américains connectés, le coût du phishing est estimé à 60 000 000 de dollars sur une année. Il en fait alors un calcul simple, le coût du phishing revient à 33 cents par utilisateur. Il ramène ensuite cela au coût à l'heure d'un salaire de base, soit 7,25 $. En résultat, on obtient que si le temps dévolu à éduquer votre interlocuteur dépasse 2 minutes et 34 secondes, l'enseignement revient plus cher que le préjudice lui-même. Je n'évoquerai pas même ici l'entretien réccurrent nécessaire à la tâche. Si je vous laisse lire le contenu de l'article pour que vous en goûtiez la substantifique moelle, je dévoile une partie de l'intérêt de la conclusion. En effet, si le bilan peut sembler à la fois pessimiste et terriblement réaliste, il ouvre tout de même vers une note d'espoir. Si l'éducation n'est pas la panacée, apprendre en s'amusant peut être la voie de l'avenir.

    
    
          
{ 
              2 commentaires
              aucun rétrolien               }

        

    
                  
 -         page 1 de 18        

              


 




Thème Time Flies par David Yim