juillet 2010

10 conseils pour se faire hacker un blog WordPress

Par       27 juillet 2010  - Catégorie(s): Sécurité  Sécurité

Après trois attaques en un peu plus de 6 mois sur l'un des blogs que j'édite et que j'administre, je tenais à vous prodiguer 10 conseils pour vous faire hacker votre blog WordPress. Retour sur expérience.

  1. Laissez les informations relatives à la version de WordPress et au thème utilisé. Mieux... tâchez de le crier à tue-tête.
  2. Dites publiquement les extensions que vous utilisez pour votre blog WordPress. Plus subtil, faites un billet sur les extensions que Vous recommendez.
  3. Utilisez le plugin Exec-Php là où la raison vous conseillerait d'utiliser les templates ou modèles de page !
  4. En laissant actif le compte admin, vous vous rendrez compte de l'efficacité des techniques d'attaque en force brute.
  5. Considérez que le plugin User Locker, c'est pour les autres.
  6. Parce que vous êtes généreux, donnez à tout le monde le droit à s'enregistrer en contributeur, auteur ou éditeur afin qu'il puisse télécharger des scripts pour les exécuter.
  7. Autorisez l'exécution de scripts PHP dans le répertoire des uploads.
  8. Dites sur votre blog que vous partez en vacances et que vous interrompez l'édition de votre blog.
  9. Ayez de solides ennemis mécontents du référencement que vous leur infligez.
  10. Choisissez enfin OVH comme hébergeur de vos blogs WordPress dont les techniciens ne savent pas faire la distinction entre des attaques de type déni de service et un script Php long à s'exécuter !
Je voudrais remercier tout particulièrement ces gens qui contribuent par leur bêtise la plus crasse, chaque jour, à nous rendre pugnace et encore meilleur. A la fois, de tels abrutis (commanditaires et commandités), on s'en passerait bien volontiers.

Ajout au 3/9/2010

Je reprends à mon compte les conseils publiés par David sur son blog. David travaille sur SPIP.

 Dsfc


Tags: , , , ,

Tuto : utilisation d’Adblock Plus sous Firefox

Par       16 juillet 2010  - Catégorie(s): Navigateurs  Navigateurs

AdBlock Plus est une extension remarquable qui vous permet de masquer de vos pages tout script, lien ou toute zone html en rapport avec la publicité ou les technologies de profiling. Ces éléments présentent l'inconvénient de ralentir l'affichage des pages. L'intérêt de ce plugin qui fera sensation sur Firefox est de vous permettre d'établir des règles personnalisées. Pour déterminer les zones de publicités dans vos pages Html, vous pouvez utiliser l'extension Firebug ou bien Web Developer qui s'exécute sous Firefox.

Faites disparaître la publicité des résultats des moteurs

Il faut ajouter aux filtres AdBlock Plus les éléments suivants :

Pour Google

Pour Gmail

Pour Google Plus

Pour Yahoo

Les deux derniers filtres peuvent être remplacés par ##div[class^="ads"].

Pour Bing

Les deux derniers filtres peuvent être remplacés par ##div[class^="sb_ads"].

Pour Ask

Ces codes utilisés peuvent évoluer dans le temps. Même si la probabilité est faible, le problème est aussi que ces codes peuvent être utilisés dans d'autres sites.

La page d'accueil du site du journal Le Monde

Comme la plupart des sites Internet, celui du journal Le Monde construit son équilibre économique sur la publicité. La page d'accueil inclut d'autres éléments dont l'objet est de "profiler" l'internaute afin d'en étudier le comportement. Elle comporte enfin des scripts afin de disposer des statistiques d'audience et de fréquentation. Tous ces éléments peuvent être retirés des pages que vous affichez dans votre navigateur :

 Dsfc


Tags: , , , , , , , , , ,

Les nouveaux métiers de l’Internet

Par       16 juillet 2010  - Catégorie(s): Internet  Internet

Le secrétariat d'état chargé de la prospective et du développement de l'économie numérique rattaché au 1er ministre a mis en place en juillet 2009 un site consacré aux métiers de l'Internet. En dehors des métiers traditionnels de l'informatique (gestion de projet, développement, ergonomie des Interfaces Homme-Machine), la présence des entreprises sur Internet requiert des compétences dans différents domaines :

La production de contenus

L'indexation par les moteurs de recherche se fait avant tout par les mots. La présence d'une entreprise requiert tout d'abord de fortes capacités dans le domaine rédactionnel, une parfaite maîtrise d'une ou plusieurs langues tant sur la plan de l'orthographe que de la grammaire ou encore de l'expression. Les textes doivent être concis, fluides et clairs permettant de dégager rapidement l'axe fort du message véhiculé. La production de contenus, c'est aussi la mise en ligne d'animations, de vidéos et de documents qui répondent à des logiques de présentation très différentes. Là où l'animation fait appel à de fortes compétences en matière de web-design, la présentation relève davantage des métiers de la PAO et du pré-presse. Quant aux vidéos, elle exige des savoir-faire en matière de scénario, de cadrage, d'éclairage et de montage. Les moyens numériques ne nous affranchissent pas encore des contraintes liées au traitement de l'image.

La veille

Les métiers de la veille s'appuient tout d'abord sur des compétences fortes en matière d'utilisation des moteurs de recherche, d'outils d'agrégation et de gestion documentaire. Mais pas seulement ! Dans les hôpitaux, par exemple, les veilleurs sont aussi des personnels médicaux ! Le veilleur doit posséder une double compétence technique et professionnelle.

L'animation de sites, blogs et réseaux sociaux

Ils sont désignés par le terme anglo-saxon de "community managers". Leur rôle ? Pousser du contenu, veiller, commenter et, à l'occasion, produire du contenu. Ils doivent disposer de compétences solides en matière de production de contenus et de veille. Une bonne connaissance de l'organisation dans laquelle il travaille est également nécessaire.

Le référencement

La multiplication de contenus dans les index des moteurs amène les entreprises à investir de plus en plus lourdement dans ces compétences. Aujourd'hui, cette activité est encore très largement externalisée. L'objectif est d'assurer le plus de visibilité à une entreprise sur son cœur de métier au niveau des moteurs. Elle se construit sur deux types d'action. En premier lieu, il y a le référencement naturel qui s'appuie sur l'indexation, l'affiliation et l'inscription des sites dans des annuaires et des moteurs. Comme le primo-référencement d'un contenu marque de son empreinte l'entreprise dans les index des moteurs, le référenceur devrait pouvoir le contrôler avant qu'il soit publié. C'est très rarement le cas ! En second lieu, il y a les campagnes de buzz ou de marketing viral qui relèvent du référencement événementiel. Il s'appuie sur des contenus multimédias à pousser dans les réseaux sociaux, dans les blogs, dans les forums notamment. L'impact de ce type de référencement est extrêmement court et influence peu le référencement naturel qui s'inscrit quant à lui dans une logique de long terme. Par une présence solide dans les index des moteurs et, au besoin, en saturant les index d'informations relatives à l'entreprise, vous pourrez, en vous appuyant sur les techniques de SEO faire face aux problèmes de e-réputation !

 Dsfc


Tags: , , , , , , , , , , , ,

Green IT : un secteur porteur !

Par       16 juillet 2010  - Catégorie(s): Perspective  Perspective

L'informatique verte : mythe ou réalité ? En terme d'impact environnemental, l'informatique génère deux problématiques distinctes : celle des DEEE (Déchets d'Équipements Électriques et Électroniques) et celle de la consommation d'électricité. Effet de la crise ou réelle envie de changer les choses ? Toujours est-il que la problématique environnementale occupe désormais les esprits des responsables informatiques au point où ceux-ci attendraient même la mise en place de la taxe carbone afin de procéder à de sérieuses économies !

Consommation électrique

L'informatique consommerait 2% de l'électricité mondiale. Au niveau de l'entreprise, selon Adrien Porcheron de la société DotGreen, la consommation électrique de l'informatique représenterait entre 20 et 30% de la dépense énergétique. Afin d'économiser sur ce poste, les entreprises déploient plusieurs solutions : L'émergence du Cloud Computing et l'augmentation de la consommation énergétique liée à la multiplication des datacenters amènent différents pays du monde à se pencher sur la question. En 2009, l'État fédéral allemand a ainsi mobilisé 25 millions d'euros dans le programme "Green IT". Les centres de calcul allemands consomment l'équivalent de 4 centrales électriques de taille moyenne.

L'informatique des objets

Lors de la première édition de Lift with Fing, l'écrivain de science fiction, Bruce Sterling rappelait que notre civilisation fondée sur les objets, au rythme effréné auxquels nous les consommons comprenait un risque majeur d'effondrement. La Chine, en 2009, a décidé de limiter les exportations de "terres rares" très utilisées dans l'industrie de l'informatique et des télécommunications. Malgré une volonté politique réelle qui s'est exprimée au terme du Grenelle de l'Environnement, nous en ferions toujours insuffisamment en terme de collecte de déchets électroniques. Le tri de nos déchets n'est toutefois pas une garantie de leur réutilisation. GreenPeace a montré en 2009 que les déchets triés finissaient dans les décharges sauvages du Nigeria. La gestion de nos déchets se fait en 5 étapes: A notre niveau, dans nos entreprises, nous pouvons agir au niveau du choix de matériels moins énergivores et de leur réemploi. Mais la volonté d'une informatique "propre" est-elle toujours compatible avec celle d'utilisateurs voulant disposer de matériels high-tech de plus en plus "performants" ou vendus comme tels ? Dans un monde où la gadgetisation s'est substituée à l'innovation, il semble difficile d'imposer une vision soucieuse de l'environnement. Pour autant, avons-nous encore le choix ? Crédit photos : Atos Origin

 Dsfc


Tags: , , , , , , , , , , , , , ,

Chrome vs Firefox : quand l’élève dépasse le maître ?

Par       16 juillet 2010  - Catégorie(s): Navigateurs  Navigateurs

Chromium est la version communautaire du navigateur Chrome proposé par Google. L'annonce du choix de Chromium au détriment de Firefox comme navigateur par les éditeurs du projet Flock semble s'inscrire dans un mouvement de migration des utilisateurs de Firefox au profit de Chrome et de Chromium. Selon les dernières statistiques, la part de marché de Google Chrome s'établirait entre 5 et 7% en mai 2010. La navigateur fêtera ses deux ans le 8 septembre 2010. Quant à Firefox, selon les mesures, sa part de marché serait entre 25% et 40%. Sur des critères purement techniques, Chromium a de quoi séduire ! La version 6.0.444.0 obtient la note de 97/100 au test Acid3 alors que Firefox 3.6.3 n'obtient que 94/100. D'autres points forts font pencher la balance des internautes en faveur de Chromium. Google a annoncé une amélioration des performances du moteur Javascript de 30 à 35% selon les propres tests de l'éditeur. Toutefois, le gain ne semble pas extrêmement flagrant vis à vis de Firefox. Autre point positif : le nombre d'extensions ou modules complémentaires proposés par Google ne cesse de progresser même s'il y aurait beaucoup à dire sur l'intégration de ces extensions à l'interface du navigateur ! De ce point de vue, l'avantage reste très nettement en faveur de Firefox. A noter toutefois que l'installation ou la mise à jour d'une extension ne nécessitent pas le redémarrage de Chrome/Chromium contrairement à Firefox. Autres atouts de Chrome vis à vis de son concurrent Open Source : il intègre d'ores et déjà un lecteur Flash depuis la version 5 et devrait comprendre un lecteur Pdf intégré dans les prochaines versions. Google semble vouloir aller vite et marquer des points vis à vis d'un concurrent dont il fut jadis le premier partenaire et le premier contributeur financier. Le prochain Google Os annoncé pour le mois de septembre 2010 s'appuiera sur un noyau Linux et sur le navigateur... Google Chrome. Mozilla, pris en tenaille entre Microsoft et Google, se doit d'apporter de sérieuses améliorations à Firefox dans les jours et les mois qui viennent pour pouvoir continuer sa progression !

Annexes

 Dsfc


Tags: , , , , , , , , , , ,

Questions autour des failles de sécurité

Par       16 juillet 2010  - Catégorie(s): Sécurité  Sécurité

A la suite de l'attaque dont a été victime Google en janvier 2010, le CERTA, autorité de sécurité en France rattaché au 1er ministre, a émis le 15 janvier 2010 un avis préconisant l'utilisation d'un navigateur alternatif à Internet Explorer. Le 21 janvier, l'éditeur se fendait d'une mise à jour. Il y avait le feu au lac. Mais toutes les failles découvertes font-elles l'objet d'un correctif ? Peut-on communiquer sur une faille de sécurité ? Comment détecter les vulnérabilités attachées aux logiciels utilisées ?

Les failles non corrigées à ce jour

Sur le site Internet du CERTA, vous pourrez accéder à la liste des failles qui n'ont toujours pas fait l'objet de correctifs à ce jour. Elles sont, pour l'essentiel, liées à l'utilisation de logiciels commerciaux. Sur 9 failles recensées, 3 sont liées à l'emploi de logiciels Microsoft. Curieusement, 1 seule vulnérabilité concerne le logiciel libre.

Données à jour du 22 mai 2010

CERTA-2005-ALE-013 Version  PDF Vulnérabilité dans Citrix Metaframe Presentation (07 octobre 2005)
CERTA-2005-ALE-016 Version  PDF Vulnérabilité de Microsoft Windows RPC (18 novembre 2005)
CERTA-2006-ALE-008 Version  PDF Vulnérabilité d'ExtCalendar (11 juillet 2006)
CERTA-2007-ALE-016 Version  PDF Vulnérabilité d'Oracle 10g (16 novembre 2007)
CERTA-2007-ALE-011 Version  PDF Vulnérabilité du composant d'indexation des serveurs Microsoft IIS (10 octobre 2008)
CERTA-2008-ALE-006 Version  PDF Vulnérabilités dans HP OpenView NNM (18 avril 2008)
CERTA-2008-ALE-013 Version  PDF Vulnérabilité du service sadmind de Sun Solaris (17 octobre 2008)
CERTA-2009-ALE-017 Version  PDF Vulnérabilités dans l'implémentation TCP/IP de divers produits (11 septembre 2009)
CERTA-2009-ALE-014 Version  PDF Multiples vulnérabilités du client de messagerie Mozilla Thunderbird (25 août 2009)
CERTA-2009-ALE-019 Version  PDF Vulnérabilité dans Windows 7 et Windows Server 2008 R2 (16 novembre 2009)
CERTA-2009-ALE-022 Version  PDF Vulnérabilité dans TANDBERG MXP (11 décembre 2009)

Publier une faille de sécurité est un délit pénal !

Le 9 septembre 2009, la Cour d'appel de Paris, statuant en référé, a confirmé l'ordonnance de référé du 26 janvier 2009. Dans sa décision, elle a condamné Damien Bancal, qui avait exploité et révélé une faille de sécurité du serveur de la société FLP. Suite à une affaire datant de mars 2006, la Cour de Cassation a rappelé le 27 octobre 2009 la loi qui s'exprime au travers de l'article 323-3-1 du code pénal introduit par la Loi sur l'Economie Numérique du 21 juin 2004 : "Le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l'infraction elle-même ou pour l'infraction la plus sévèrement réprimée."

Et pourtant !

Mike Reavey, directeur du Microsoft Security Response Center (MSRC), a admis que Microsoft ne communiquait pas systématiquement les failles de sécurité corrigées à l'occasion de mises à jour. Comme le révèle LMI dans son article en date du vendredi 28 mai, Brad Arkin, responsable de la sécurité et de la confidentialité des produits chez Adobe, avouait que les vulnérabilités découvertes en interne étaient qualifiées de simples améliorations de code.

Alors que faire ?

Nessus, scanner de vulnérabilitésIl existe de nombreux scanners de vulnérabilités sur le marché. Mais, en la matière, c'est, une fois de plus, du côté de l'Open Source que vous trouverez votre bonheur avec Nessus. Simple de mise en place, il s'exécute indifféremment sous Linux et sous Windows. Il comprend une très large liste de plugins qui vous permettront d'analyser la majeure partie des vulnérabilités publiées par les éditeurs ! Restent toutes autres...

 Dsfc


Tags: , , ,

Le site Dsfc passe en v2 !

Par       16 juillet 2010  - Catégorie(s): Cms  Cms

Je m'y suis mis hier matin vers 3 h 15. J'ai travaillé sans relâche. J'ai, ce matin, le sentiment du devoir accompli même s'il me reste quelques "broutilles"  à régler. J'espère que la nouvelle mouture de ce site saura vous satisfaire ! WordPress est un outil merveilleux.  A peine sortie, la version 3.0 dispose des mises à jour des principaux plugins. Ce site en utilise 12 ! J'ai ajouté à ce site la possibilité de vous y abonner. J'utilise à cet effet le plugin Susbcribe2. Grâce à Tweetmeme, vous pourrez désormais retweeter les nouveaux articles. Enfin, vous pourrez partager, dans vos réseaux sociaux, les articles du fait de la présence de l'extension AddThis. Mon thème précédent s'était quelque peu désuni. Il ne passait plus le contrôle de validation du W3C. C'est désormais  chose corrigée.

Valid XHTML 1.0 Transitional

J'ai mis à votre disposition une liste de fils Rss thématiques afin que vous alliez directement, par votre agrégateur, aux contenus qui vous intéressent. La consultation des blogs peut s'avérer une sérieuse perte de temps ! ;+) Seule inconnue : le système d'onglets qui apparaît correctement en haut à droite sous Firefox, Safari et Midori (WebKit), Opera, IE6 a disparu sous ma version d'Internet Explorer 8 pour une raison que la raison ignore. Je tâcherai de réinjecter très prochainement les données de mon ancien blog édité sous DotClear. Je crains que ce ne soit pas chose aisée !

 Dsfc


Tags: ,

Réaliser son site Internet avec WordPress

Par       8 juillet 2010  - Catégorie(s): Formation  Formation

Après avoir utilisé de très nombreux CMS (Content Management System) ou gestionnaires de contenus, à l’instar de nombreux professionnels, j’ai décidé de construire les sites de mes clients à L’aide de WordPress.


Tags: , , , , , , , , , , , , , , , ,

Pépites (3)

Par       7 juillet 2010  - Catégorie(s): News  News

Comme j’en avais marre de la confusion entre libre et gratuit, je suis revenu aux pépites du logiciel libre. Genre « roots » ! Du coup, la rubrique Windows a d’un seul coup disparue. Gloups. Bonne lecture.


Tags: , , , , , ,

Construire votre visibilité Internet

Par       5 juillet 2010  - Catégorie(s): Formation  Formation

Et si la communication sur Internet était une affaire trop sérieuse pour être confiée à des spécialistes de la communication ?


Tags: , , , , ,