PROJET AUTOBLOG


☠ Bluetouff's blog

Site original : ☠ Bluetouff's blog

⇐ retour index

#Cloud #Quantique : La phrase qu’elle est con du #Trolldi

vendredi 22 novembre 2013 à 12:03

cloudASPSERVEUR quand à elle (dont je suis le CEO) propose le premier Cloud Quantique au monde, c’est-à-dire que les Machines Virtuelles sont présentes de manière parfaitement synchrone sur deux Datacenters.

Sourcehttp://www.silicon.fr/cloud-france-cloudwatt-numergy-kurt-salmon-82509.html 

N’empêche qu’avec un bon sysadmin inuit, une bonne paire de moufles, des moonboots, et en changeant de support de stockage très régulièrement… c’est pas con.

Flattr this!

Sécurité : l’après Snowden vu du smartphone d’un eurodéputé

jeudi 21 novembre 2013 à 10:34

Quand le scandale a été révélé, j’émettais déjà de sérieux doutes sur les postures indignées des politiques et sur notre capacité à réagir sérieusement. Aujourd’hui Médiapart révèle une affaire (accès payant) qui ne fait qu’apporter de l’eau à notre moulin. Des milliers de mails d’eurodéputés auraient été compromis, et Médiapart d’enfoncer le clou affirmant que bon nombre d’institutions restent des passoires.

Choix techniques ridicules (Microsoft Exchange), comportements irresponsables (on se connecte avec son smartphone au premier hospot public à la terrasse de café d’en face), manque cruel de sensibilisation la plus basique aux outils pourtant aujourd’hui indispensables (hein ? Quoi ? un VPN, c’est quoi ?)…

On peut blâmer les programmes de surveillance américains, mais qui faut-il blâmer quand on se rend compte que l’espionnage de nos institutions est à la portée de presque n’importe qui pour un budget d’une centaine d’euros ?

La démission résignée des utilisateurs

L’article de Mediapart nous apprends quelque chose que nous soupçonnions déjà : en plus d’utiliser Microsoft Exchange depuis une terrasse de café en wifi sur un smartphone, aucune authentification multi-facteurs n’est mise en place.

J’ai eu l’occasion de d’échanger avec des groupes politiques, français ou européens. Leur calcul est le suivant : comme leurs travaux étant destinés au public, ils estiment ne pas avoir à observer de mesures de sécurité particulières. Une marque de transparence ? De l’inconscience ? Je laisse à chacun se faire son opinion là dessus mais celà ne revient-il pas au fameux « je n’ai rien à cacher ».

Le mail est un outil d’importance vitale dans le quotidien d’une formation politique, c’est par exemple par là que circulent des propositions de loi à peine à l’état d’ébauche. Intercepter en amont ce qui va devenir une proposition de loi, c’est s’assurer d’un lobbying ultra efficace. Et à votre avis ? Que font les américains ?

Insecurity by Design

D’une manière générale, la confidentialité des communications, c’est l’un des grands échecs du 21e siècle. Pourquoi ? Parce que tout a été fait, à la base, pour l’annihiler : centralisation, absence de couche de chiffrement native dans l’immense majorité des protocole, contre-éducation n’ayant jamais incité à observer de bonnes pratiques… Le pire, c’est qu’on ne peut pas passer notre temps à blâmer uniquement les utilisateurs, les industriels ont une grande part de responsabilité, tout comme les responsables informatiques qui ont relégué les utilisateurs au rang de gamin qu’on ne prendra surtout pas le temps d’éduquer… un grand mal du 21e siècle.

Aujourd’hui un responsable informatique qui offre les clés d’une administration en signant des contrats à Microsoft pour plusieurs millions d’euros devrait être viré pour faute lourde… Comme ce’ scandaleux contrat de 19 millions d’euros lui aussi révélé par Médiapart à destination du ministère de la défense :

EPSON MFP image

 

Administrations, mais aussi fournisseurs d’accès Internet offrant des services « pros » aux entreprises.

Démission des politiques

La député Isabelle Attard dresse elle même un constat fort juste du rapport que peuvent avoir les dirigeants face aux problématiques liées à la confidentialité des échanges à l’ère du tout numérique :

 « il y a une totale méconnaissance de ces problématiques par les décideurs politiques »« Quand nous évoquons ces sujets, la plupart de nos collègues ne nous prennent pas au sérieux, ou n’en voient pas l’intérêt. On me dit « Isabelle, tu exagères… », voire « Tu es parano », même sur les bancs socialistes. Nous avons récemment essayé de recenser les élus qui se sentaient concernés, et nous n’avons trouvé que 10-12 députés, tous bords confondus. »

Démission des professionnels

Face aux murs, au lobbying de puissantes entreprises américaines, les professionnels de la sécurité ou du logiciels libres sont eux aussi tentés de démissionner de leur rôle pédagogique. Un premier ministre peut signer toutes les directives favorables à l’utilisation du logiciel libre dans les administrations qu’il voudra… si ces administrations continuent de signer tout et n’importe quoi avec des Microsoft, des Google, des Oracle…. il ne faut pas s’étonner de les voir mourir ou aller chercher des débouchés ailleurs.

Flattr this!

Le message hilarant de l’interface de gestion des DNS chez #SFR Business Team

mercredi 20 novembre 2013 à 15:05
SFR SQLi

… Our website may be subject to SQLi

Il y a des trucs comme ça, quand on ne s’y attend pas, ça fait vraiment du bien.

Alors que j’étais en train de m’arracher les cheveux à comprendre comment changer un enregistrement A sur l’interface de gestion des DNS de SFR Business Team pour un ami (et donc à comprendre que je ne peux pas le faire moi même et qu’il faut en faire la demande pour la modique somme de 60€ HT)…

Je suis tombé alors sur l’un des messages les plus hilarants qu’il m’ait été donné de découvrir sur une interface clients. J’en ai conservé un screenshot que je partage ici avec vous (cliquez pour agrandir).

sfrbusinessteamfail

Pour les personnes qui n’ont pas compris la subtilité de ce message, SFR avertis gentiment l’utilisateur que le champs de commentaire est probablement vulnérable à des injections SQL. Donc, pour des raisons de sécurité, (comprenez la sécurité du site SFRBusinessTeam et de ses clients)… s’il vous venait à l’esprit de leur laisser un commentaire, ça serait bien d’éviter de mettre leur base de données à poil en utilisant les caractères et chaines de caractères mentionnés… Bref le genre de message que je n’avais encore jamais croisé jusque là.

sfr lulz

Chapeau la Business Team et merci pour le fou rire 😉

Update 1 : Le gag avait déjà été reporté en janvier dernier(!) par Sebsauvage <3.

Attention ce qui suit est un scoop :)

Update 2 : Bon alors pas de panique surtout, bientôt on pourra modifier nos DNS grâce à Office365 directement depuis un doc Word ou Excel !

Capture d’écran 2013-11-20 à 15.40.15

admin cat

Flattr this!

La CADA donne son accord pour la transmission des documents relatifs au coût du site web de la Fondation #Carla Bruni #Sarkozy

jeudi 14 novembre 2013 à 15:57

Image-61-300x284C’est à la vigilance de @VincentGranier que nous devons cette information. La CADA (Commission d’Accès aux Documents Administratifs) a publié sur son site web un avis favorable à la transmission des documents de ce qui semble tout à fait être les documents relatifs à l’élaboration et la maintenance du site web de la fondation Carla Bruni Sarkozy. Si le demandeur comme le site web et la fondation ne sont pas explicitement nommés, il semble tout de même faire peu de doutes qu’il s’agisse bien du site de la fondation Carla-Bruni Sarkozy qui avait cet été défrayé la chronique et dont je vous avais largement parlé sur Rue89 comme ici ou encore .

Pour mémoire, le site web de la fondation aurait été largement financé par la Présidence de la République entre 2007 et 2012. L’examen technique du site faisait froid dans le dos et nous étions nombreux à ne pas nous expliquer un tel coût pour le contribuable correspondant à deux rubriques qui à en croire les explications de la fondation, n’existeraient même plus ! La Cour des Comptes avait confirmé ces informations.

cdc

Ce nouvel épisode devrait donc lever le voile sur les mystères qui ont conduit la Présidence de la République à financer une partie d’un des WordPress les plus chers du monde.

Je vous copie donc ici l’avis complet de la CADA :

Présidence de la République

Avis 20133473 – Séance du 10/10/2013

Monsieur X a saisi la commission d’accès aux documents administratifs, par courrier enregistré à son secrétariat le 10 septembre 2013, à la suite du refus opposé par le secrétaire général de la Présidence de la République à sa demande de communication des documents suivants, relatifs à la création, l’entretien, la sécurité et le développement du site www.X.org, pour les années 2007 à 2012 :
1) la définition des besoins par la présidence, les organismes consultés avant le choix définitif des prestataires pour ce site et les avis d’appel d’offres ;
2) les équivalents temps plein des personnels de la présidence affectés à la réalisation et la tenue de ce site ;
3) les contrats de prestations et fournitures commandés et financés par la Présidence de la République ;
4) les factures correspondant à ces prestations ;
5) les prestations produites et les actes de « service fait » ;
6) les financements extérieurs de ce site, tels ceux en provenance de la fondation X-X.

La commission estime tout d’abord que, s’ils existent, les documents produits ou reçus par la Présidence de la République qui se rapportent au financement du site internet de la fondation X-X par des fonds publics, à des prestations financées sur fonds publics ou à des contrats passés par la Présidence de la République doivent être regardés comme se rapportant aux missions dévolues à l’Etat dans l’exercice de sa mission de service public au sens de l’article 1er de la loi du 17 juillet 1978 et présentent de ce fait le caractère de documents administratifs, sujets au droit d’accès prévu par l’article 2 de cette loi (cf jugement du tribunal administratif de Paris, 17 février 2012, n° 0920763). Il en irait notamment ainsi des documents mentionnés au point 6) s’ils existent et se rapportent à des financements privés qui auraient abondé le budget de l’Etat. Les documents mentionnés au point 6 qui se rapporteraient seulement au financement privé d’un organisme de droit privé tel que la fondation en cause devraient, en revanche, être regardés comme des documents privés dépourvus de caractère administratif au sens de la loi du 17 juillet 1978.

La commission considère ensuite qu’eu égard à l’objet des documents sollicités, leur communication, s’ils existent, ne paraît pas susceptible de porter atteinte à l’un des intérêts protégés par l’article 6 de la même loi, sauf en ce qui concerne les éventuelles mentions dont la communication porterait atteinte au secret en matière commerciale et industrielle et que pourraient comporter les documents correspondant aux points 3 à 5.

La commission estime donc, sous cette réserve, que les documents sollicités, s’ils existent, sont communicables à toute personne qui en fait la demande.

La commission précise que, conformément au troisième alinéa de l’article 2 de la loi du 17 juillet 1978, le dépôt aux archives publiques des documents sollicités qui sont communicables ne fait pas obstacle au droit à communication à tout moment de ces documents. Seuls les documents qui, compte tenu des mentions relevant du secret en matière commerciale et industrielle qu’ils comporteraient, ne seraient communicables à toute personne qui le demande qu’à l’expiration du délai de vingt-cinq ans fixé au a du 1° du I de l’article L. 213-2 du code du patrimoine ne pourraient être communiqués au demandeur qu’après délivrance de l’autorisation de déroger à ce délai prévue à l’article L. 213-3 du même code, si l’intérêt qui s’attacherait à une telle consultation ne conduisait pas à porter une atteinte excessive à ce secret. S’agissant de documents d’archives publiques émanant du Président de la République et dont le versement a été assorti de la signature du protocole prévu à l’article L. 213-4, cette autorisation de déroger au délai prévu à l’article L. 213-2 nécessiterait l’accord du signataire du protocole. Aux termes mêmes du premier alinéa de l’article L. 213-4, ce protocole ne s’applique pas aux documents qui, compte tenu des délais fixés à l’article L. 213-2, sont déjà communicables à toute personne qui le demande, et l’accord du signataire du protocole n’est pas requis pour leur communication.

La commission émet donc un avis favorable à la demande, sous les réserves précisées plus haut. Elle comprend de la réponse que lui a faite la directrice du cabinet du Président de la République que les documents sollicités ne sont pas détenus par ses services mais, s’ils existent, n’ont pu qu’être inclus dans le versement aux archives des documents émanant de l’ancien Président de la République. La commission l’invite donc, conformément au quatrième alinéa de l’article 2 de la loi du 17 juillet 1978, à transmettre la demande, accompagnée du présent avis, au service d’archives susceptible de détenir ces documents. »

flattr this!

Ton Internet est plus souverain que le mien ? Mon cul !

mercredi 13 novembre 2013 à 20:20
internet

Avez-vous confiance en chacun de ces points ?

Assez régulièrement, de manière directe ou indirecte, personnelle ou impersonnelle, j’ai le droit au couplet Google vs privacy. Ce n’est d’ailleurs pas comme si je n’avais jamais abordé la question, comme si je ne m’étais pas moi même questionné sur le bien fondé d’utiliser tel ou tel service pour tel ou tel usage. Derrière Google qui motive les interrogations de certains, se cache souvent notre propre incurie en matière de nouvelles technologies. On peut retourner le problème dans tous les sens et penser qu’on détient la vérité parce qu’on utilise tel ou tel outil, mais Internet est là pour nous rappeler qu’au final, nous sommes nous même un maillon d’une chaine que l’on voudrait croire de confiance.

Si je devais définir Internet aujourd’hui (ce ne sera surement plus le cas demain), je dirais que c’est ce qui part de vos doigts et qui s’affiche sur mon écran. Ce que je lis, ce par quoi je communique, l’intelligence comme l’outil sont fournis par tout ce que je ne maitrise pas. Internet est donc par définition pour moi « ce que je ne peux pas maîtriser ». Ce qui me conforte dans cette définition que je me fais d’Internet, c’est que je croise régulièrement des gens qui m’expliquent qu’utiliser tel ou tel service, quand on s’appelle Bluetouff, ou Reflets, c’est incohérent, paradoxal, stupide, hypocrite… En général, les personnes qui m’adressent ce genre de remarques ne le font pas par le biais d’un pigeon voyageur, ni même d’un mail sur-chiffré, ils le font sur un réseau bien public, contrôlé par une entreprise américaine dont une bonne partie de l’infrastructure se trouve hébergée chez… Google.

La question du contexte, que je martèle depuis quelques années est donc largement éludée. Ce n’est pas forcément un « troll », mais le reflet brut de notre méconnaissance d’autrui. Combien sommes nous à opiner du chef avant de cliquer « j’accepte de me faire baiser la gueule en gobant toutes vos conneries sur la protection de ma vie privée tellement elles sont bien rédigées par un putain d’avocat qui déchire sa mère ? »

La question de la souveraineté d’un service que l’on utilise sur Internet est une connerie sans borne. Quand je tape le mot souverain dans Google images, voici ce que l’intelligence mondiale me répond… voyez y un signe… ou pas. Moi ce que j’y vois, c’est l’illustration de l’interdépendance la plus forte qui soit de nos jours. Il n’y a rien de plus censurable, de moins sécurisé, de moins résilient (yes comment j’ai bien réussi à le placer celui là), de moins quantique, de moins hipster… et de moins hypocrite… qu’un service souverain. Vous m’objecterez quoi ? Qu’un fournisseur d’accès souverain c’est souverainitude absolue ? … oui probablement… enfin sur son LAN.

Les tuyaux comme l’intelligence qui acheminent vos informations d’un bout à l’autre de la planète sont tout sauf souverains, c’est pour ça qu’on les voudrait neutres. Vous pourrez stocker vos données dans un cloud quantique souverain, quand ça bouchonnera entre l’AS de Free et celui de votre cloud souverain, vous passerez probablement par un routeur chinois pas souverain, par un câble anglais pas souverain, par une appliance allemande pas souveraine… le tout envoyé depuis une machine dont le seul truc souverain que vous pourrez revendiquer sera le taux de TVA applicable sur la facture papier de la FNAC. Notez que je vous épargne l’aspect business du machin souverain filiale d’un fond de pension américain.

La défense de nos droits à la vie privée ne passe pas par Internet mais par les urnes… mais que nous reste t-il quand ces urnes nous mentent ? Internet n’est que la première banderole mondiale, à nous d’y inscrire un truc intelligent, à nous de croire qu’elle pourra être lue par tous aux quatre coins de la planète, certifiée par le cachet x509 d’un tiers de confiance.

flattr this!