Gazouillis du 2010-07-29
- 100 millions de profils Facebook à télécharger, ça vous dit ? http://ow.ly/2i5mM #
- Google prépare son arme anti-Facebook. http://ow.ly/2hOY6 #
- Google propose un DRM pour les développeurs d'applications sur Androïd. La liberté est en marche. http://ow.ly/2hOwV #
- Intruder Detection System : Suricata, un fork de Snort extrêmement prometteur ! http://ow.ly/2hOsi #
- Gazouillis du 2010-07-28: FreeBSD 8.1 est dans les bacs. http://www.freebsd.org/where.html # Un forum de la gendar… http://bit.ly/9R9LHB #
Powered by Twitter Tools
Articles relatifs
Gazouillis du 2010-07-28
- FreeBSD 8.1 est dans les bacs. http://www.freebsd.org/where.html #
- Un forum de la gendarmerie hackée : http://www.gav.fr.nf/ #
- Les faiblesses de Microsoft ? Une analyse totalement contestable compte tenu de la domination sur les staions de travail http://ow.ly/2hm62 #
- Twitter envisage de diffuser des images et des vidéos. http://ow.ly/2hlpM #
- Yahoo! Japon devrait utiliser Google. http://ow.ly/2hloL #
- Un choix de thèmes WordPress que propose la société Winuxware pour vos sites Web http://www.winuxware.com/web/themes-wordpress/ #
- Intel met en service 2 centrales solaires. 6 devront suivre. http://ow.ly/2hkaV #
- Selon Dell, Ubuntu peine à séduire le grand public. Bye bye Linux. http://ow.ly/2hjrc #
- WPA cassé ? Rien de moins sûr. http://ow.ly/2hj85 #
Powered by Twitter Tools
Articles relatifs
10 conseils pour se faire hacker un blog WordPress
Après trois attaques en un peu plus de 6 mois sur l’un des blogs que j’édite et que j’administre, je tenais à vous prodiguer 10 conseils pour vous faire hacker votre blog WordPress. Retour sur expérience.
- Laissez les informations relatives à la version de WordPress et au thème utilisé. Mieux… tâchez de le crier à tue-tête.
- Dites publiquement les extensions que vous utilisez pour votre blog WordPress. Plus subtil, faites un billet sur les extensions que Vous recommendez.
- Utilisez le plugin Exec-Php là où la raison vous conseillerait d’utiliser les templates ou modèles de page !
- En laissant actif le compte admin, vous vous rendrez compte de l’efficacité des techniques d’attaque en force brute.
- Considérez que le plugin User Locker, c’est pour les autres.
- Parce que vous êtes généreux, donnez à tout le monde le droit à s’enregistrer en contributeur, auteur ou éditeur afin qu’il puisse télécharger des scripts pour les exécuter.
- Autorisez l’exécution de scripts PHP dans le répertoire des uploads.
- Dites sur votre blog que vous partez en vacances et que vous interrompez l’édition de votre blog.
- Ayez de solides ennemis mécontents du référencement que vous leur infligez.
- Choisissez enfin OVH comme hébergeur de vos blogs WordPress dont les techniciens ne savent pas faire la distinction entre des attaques de type déni de service et un script Php long à s’exécuter !
Je voudrais remercier tout particulièrement ces gens qui contribuent par leur bêtise la plus crasse, chaque jour, à nous rendre pugnace et encore meilleur. A la fois, de tels abrutis (commanditaires et commandités), on s’en passerait bien volontiers.
Articles relatifs
Gazouillis du 21-07-2010
- Pékin a renouvelé la licence d’exploitation de Google et indique que l’éditeur se serait plié à la censure chinoise. http://ow.ly/2enyI #
- Bénéfices en hausse de 51% au 2e trimestre 2010 pour Yahoo! http://ow.ly/2enpL #
- Retournement : Apple dépasse Microsoft en terme de capitalisation boursière ! http://ow.ly/2enmO #
- Faille de sécurité pour les services pack Windows http://ow.ly/2emQw #
- L’Etat russe prépare un moteur de recherche sans « extrémisme, drogue, ou pornographie ». http://ow.ly/2emF6 #
- Prise en charge des applications 64 bits dans Wine http://ow.ly/2emcw #
- Des icônes Open Source pour vos sites, vos blogs, vos forums, vos wikis http://www.greepit.com/open-source-icons-gcons/ #
- La Commission Européenne va investir 1,2 milliard dans les technologies de l’information et de la communication. http://ow.ly/2ekHB #
- Un dossier complet sur les outils collaboratifs. Seul regret : peu d’outils Open Source présentés ! http://ow.ly/2ekE3 #
Articles relatifs
Tuto : utilisation d’Adblock Plus sous Firefox
AdBlock Plus est une extension remarquable qui vous permet de masquer de vos pages tout script, lien ou toute zone html en rapport avec la publicité ou les technologies de profiling. Ces éléments présentent l’inconvénient de ralentir l’affichage des pages.
L’intérêt de ce plugin qui fera sensation sur Firefox est de vous permettre d’établir des règles personnalisées. Pour déterminer les zones de publicités dans vos pages Html, vous pouvez utiliser l’extension Firebug ou bien Web Developer qui s’exécute sous Firefox.
Faites disparaître la publicité des résultats des moteurs
Il faut ajouter aux filtres AdBlock Plus les éléments suivants :
Pour Google
- ##div#rhs pour <div id= »rhs »> au niveau html
Pour Yahoo
- ##div#east pour <div id= »east »> au niveau html
- ##div[class="ads horiz bot"] pour <div class= »ads horiz bot »> au niveau html
- ##div[class="ads horiz "] pour <div class= »ads horiz « > au niveau html
Les deux derniers filtres peuvent être remplacés par ##div[class^="ads"].
Pour Bing
- ##li.sb_ans pour <li> au niveau Html
- ##div.sb_adsN pour <div class= »sb_adsN »> au niveau Html
- ##div.sb_adsW pour <div class= »sb_adsW »> au niveau Html
Les deux derniers filtres peuvent être remplacés par ##div[class^="sb_ads"].
Pour Ask
- ##div.spl_shd_plus pour <div class= »spl_shd_plus »> au niveau html
Ces codes utilisés peuvent évoluer dans le temps. Même si la probabilité est faible, le problème est aussi que ces codes peuvent être utilisés dans d’autres sites.
La page d’accueil du site du journal Le Monde
Comme la plupart des sites Internet, celui du journal Le Monde construit son équilibre économique sur la publicité. La page d’accueil inclut d’autres éléments dont l’objet est de « profiler » l’internaute afin d’en étudier le comportement. Elle comporte enfin des scripts afin de disposer des statistiques d’audience et de fréquentation. Tous ces éléments peuvent être retirés des pages que vous affichez dans votre navigateur :
- ##div#zoneService
- ##div[class^="serviceBlock"]
- *.cedexis.*
- */OasDefault/*
- */ad/*
- */parship/*
- *partenaire*
- |http://pubs.*
- xiti
| Le Monde sans pub |
Le Monde avec pub |
 |
 |
Articles relatifs
Les nouveaux métiers de l’Internet
Le secrétariat d’état chargé de la prospective et du développement de l’économie numérique rattaché au 1er ministre a mis en place en juillet 2009 un site consacré aux métiers de l’Internet.
En dehors des métiers traditionnels de l’informatique (gestion de projet, développement, ergonomie des Interfaces Homme-Machine), la présence des entreprises sur Internet requiert des compétences dans différents domaines :
- la production de contenus
- la veille
- l’animation des blogs et des réseaux sociaux
- le référencement ou Search Engine Optimization
La production de contenus
L’indexation par les moteurs de recherche se fait avant tout par les mots. La présence d’une entreprise requiert tout d’abord de fortes capacités dans le domaine rédactionnel, une parfaite maîtrise d’une ou plusieurs langues tant sur la plan de l’orthographe que de la grammaire ou encore de l’expression. Les textes doivent être concis, fluides et clairs permettant de dégager rapidement l’axe fort du message véhiculé.
La production de contenus, c’est aussi la mise en ligne d’animations, de vidéos et de documents qui répondent à des logiques de présentation très différentes. Là où l’animation fait appel à de fortes compétences en matière de web-design, la présentation relève davantage des métiers de la PAO et du pré-presse. Quant aux vidéos, elle exige des savoir-faire en matière de scénario, de cadrage, d’éclairage et de montage. Les moyens numériques ne nous affranchissent pas encore des contraintes liées au traitement de l’image.
La veille
Les métiers de la veille s’appuient tout d’abord sur des compétences fortes en matière d’utilisation des moteurs de recherche, d’outils d’agrégation et de gestion documentaire. Mais pas seulement ! Dans les hôpitaux, par exemple, les veilleurs sont aussi des personnels médicaux ! Le veilleur doit posséder une double compétence technique et professionnelle.
L’animation de sites, blogs et réseaux sociaux
Ils sont désignés par le terme anglo-saxon de « community managers ». Leur rôle ? Pousser du contenu, veiller, commenter et, à l’occasion, produire du contenu. Ils doivent disposer de compétences solides en matière de production de contenus et de veille. Une bonne connaissance de l’organisation dans laquelle il travaille est également nécessaire.
Le référencement
La multiplication de contenus dans les index des moteurs amène les entreprises à investir de plus en plus lourdement dans ces compétences. Aujourd’hui, cette activité est encore très largement externalisée. L’objectif est d’assurer le plus de visibilité à une entreprise sur son cœur de métier au niveau des moteurs. Elle se construit sur deux types d’action. En premier lieu, il y a le référencement naturel qui s’appuie sur l’indexation, l’affiliation et l’inscription des sites dans des annuaires et des moteurs. Comme le primo-référencement d’un contenu marque de son empreinte l’entreprise dans les index des moteurs, le référenceur devrait pouvoir le contrôler avant qu’il soit publié. C’est très rarement le cas ! En second lieu, il y a les campagnes de buzz ou de marketing viral qui relèvent du référencement événementiel. Il s’appuie sur des contenus multimédias à pousser dans les réseaux sociaux, dans les blogs, dans les forums notamment. L’impact de ce type de référencement est extrêmement court et influence peu le référencement naturel qui s’inscrit quant à lui dans une logique de long terme.
Par une présence solide dans les index des moteurs et, au besoin, en saturant les index d’informations relatives à l’entreprise, vous pourrez, en vous appuyant sur les techniques de SEO faire face aux problèmes de e-réputation !
Articles relatifs
Green IT : un secteur porteur !
En terme d’impact environnemental, l’informatique génère deux problématiques distinctes : celle des DEEE (Déchets d’Équipements Électriques et Électroniques) et celle de la consommation d’électricité. Effet de la crise ou réelle envie de changer les choses ? Toujours est-il que la problématique environnementale occupe désormais les esprits des responsables informatiques au point où ceux-ci attendraient même la mise en place de la taxe carbone afin de procéder à de sérieuses économies !
Consommation électrique
L’informatique consommerait 2% de l’électricité mondiale. Au niveau de l’entreprise, selon Adrien Porcheron de la société DotGreen, la consommation électrique de l’informatique représenterait entre 20 et 30% de la dépense énergétique. Afin d’économiser sur ce poste, les entreprises déploient plusieurs solutions :
- la virtualisation
- le client léger
- la réduction des volumes d’impression
- le saut de génération de logiciels et de matériels
- la mise en place des dispositifs d’extinction automatique
L’émergence du Cloud Computing et l’augmentation de la consommation énergétique liée à la multiplication des datacenters amènent différents pays du monde à se pencher sur la question. En 2009, l’État fédéral allemand a ainsi mobilisé 25 millions d’euros dans le programme « Green IT ». Les centres de calcul allemands consomment l’équivalent de 4 centrales électriques de taille moyenne.
L’informatique des objets
Lors de la première édition de Lift with Fing, l’écrivain de science fiction, Bruce Sterling rappelait que notre civilisation fondée sur les objets, au rythme effréné auxquels nous les consommons comprenait un risque majeur d’effondrement. La Chine, en 2009, a décidé de limiter les exportations de « terres rares » très utilisées dans l’industrie de l’informatique et des télécommunications.
Malgré une volonté politique réelle qui s’est exprimée au terme du Grenelle de l’Environnement, nous en ferions toujours insuffisamment en terme de collecte de déchets électroniques. Le tri de nos déchets n’est toutefois pas une garantie de leur réutilisation. GreenPeace a montré en 2009 que les déchets triés finissaient dans les décharges sauvages du Nigeria.
La gestion de nos déchets se fait en 5 étapes:
- prévention
- réemploi
- recyclage
- valorisation
- élimination
A notre niveau, dans nos entreprises, nous pouvons agir au niveau du choix de matériels moins énergivores et de leur réemploi. Mais la volonté d’une informatique « propre » est-elle toujours compatible avec celle d’utilisateurs voulant disposer de matériels high-tech de plus en plus « performants » ou vendus comme tels ? Dans un monde où la gadgetisation s’est substituée à l’innovation, il semble difficile d’imposer une vision soucieuse de l’environnement. Pour autant, avons-nous encore le choix ?
Crédit photos : Atos Origin
Articles relatifs
Chrome vs Firefox : quand l’élève dépasse le maître ?
Chromium est la version communautaire du navigateur Chrome proposé par Google. L’annonce du choix de Chromium au détriment de Firefox comme navigateur par les éditeurs du projet Flock semble s’inscrire dans un mouvement de migration des utilisateurs de Firefox au profit de Chrome et de Chromium.
Selon les dernières statistiques, la part de marché de Google Chrome s’établirait entre 5 et 7% en mai 2010. La navigateur fêtera ses deux ans le 8 septembre 2010. Quant à Firefox, selon les mesures, sa part de marché serait entre 25% et 40%.
Sur des critères purement techniques, Chromium a de quoi séduire ! La version 6.0.444.0 obtient la note de 97/100 au test Acid3 alors que Firefox 3.6.3 n’obtient que 94/100. D’autres points forts font pencher la balance des internautes en faveur de Chromium. Google a annoncé une amélioration des performances du moteur Javascript de 30 à 35% selon les propres tests de l’éditeur. Toutefois, le gain ne semble pas extrêmement flagrant vis à vis de Firefox.
Autre point positif : le nombre d’extensions ou modules complémentaires proposés par Google ne cesse de progresser même s’il y aurait beaucoup à dire sur l’intégration de ces extensions à l’interface du navigateur ! De ce point de vue, l’avantage reste très nettement en faveur de Firefox. A noter toutefois que l’installation ou la mise à jour d’une extension ne nécessitent pas le redémarrage de Chrome/Chromium contrairement à Firefox.
Autres atouts de Chrome vis à vis de son concurrent Open Source : il intègre d’ores et déjà un lecteur Flash depuis la version 5 et devrait comprendre un lecteur Pdf intégré dans les prochaines versions. Google semble vouloir aller vite et marquer des points vis à vis d’un concurrent dont il fut jadis le premier partenaire et le premier contributeur financier. Le prochain Google Os annoncé pour le mois de septembre 2010 s’appuiera sur un noyau Linux et sur le navigateur… Google Chrome. Mozilla, pris en tenaille entre Microsoft et Google, se doit d’apporter de sérieuses améliorations à Firefox dans les jours et les mois qui viennent pour pouvoir continuer sa progression !
Annexes
- Accéder à la liste des extensions Chrome : chrome://extensions
- Accéder à la liste des plugins Chrome : chrome://plugins
Articles relatifs
Spam : utilisez des adresses jetables !
Selon le MessageLabs Intelligence de Symantec, le niveau de spam reste inchangé et représenterait près de 90% des messages ! Le plus intéressant dans ce rapport est que l’origine des spams proviendrait, pour une très grande partie des « botnets » installés à l’insu des utilisateurs sur leur station de travail.
Au sein d’un système informatique sécurisé comme peuvent l’être la plupart des entreprises, l’origine du spam tient souvent aux informations fournies à la lecture des messages par les différents clients de messagerie. Sans pare-feu logiciel installé sur la station de travail capable de bloquer la sortie du port 80 et 443 pour le client de messagerie, le spammeur reçoit, au travers d’un lien sous forme d’une image ou d’un pixel transparent, la « preuve » de l’existence de l’adresse des destinataires que le spammeur pourra céder ! Quant aux mails d’absence automatiques, tâchez de les limiter à liste des membres de vos carnets d’adresses.
Il y a une 3e composante dans l’origine du spam : ce sont les sites sur lesquels vous devez vous enregistrer et laisser vos coordonnées. Elles sont ensuite cédées à des tiers. Le mieux est alors d’utiliser un service d’adresse mail jetable et/ou temporaire.
Avec redirection
Vous disposez de services en ligne gratuits qui vous proposent de rediriger vos mails temporairement vers une boîte existante à partir d’une adresse générée à la volée. Citons par exemple :
- Jetable.org, de 1 heure à 1 mois
- Mail-Temporaire, de 15 minutes à 2 semaines
- Trashmail, à partir de 1 jour (propose l’illimité)
- Tempomail, de 4 heures à 1 mois
- Link2Mail, de 1 heure à 1 mois
Sans redirection
L’inconvénient de ces services est que vous leur fournissez une adresse mail réelle. Les exploitants de ces services « gratuits » peuvent donc la céder à leur tour et générer du spam. D’autres services pallient cet inconvénient :
- 10 Minute Mail, à partir d’une adresse générée aléatoirement, limité à 10 minutes
- BrefMail, sans limitation de durée et avec possibilité d’effacement
- Yopmail, sans limitation de durée et avec possibilité d’effacement
Évitez alors d’utiliser des identifiants trop génériques ! D’autres internautes pourraient alors être amenés à consulter le contenu de vos mails. Une fois lus, pensez aussitôt à les effacer.
Articles relatifs
Questions autour des failles de sécurité
A la suite de l’attaque dont a été victime Google en janvier 2010, le CERTA, autorité de sécurité en France rattaché au 1er ministre, a émis le 15 janvier 2010 un avis préconisant l’utilisation d’un navigateur alternatif à Internet Explorer. Le 21 janvier, l’éditeur se fendait d’une mise à jour. Il y avait le feu au lac. Mais toutes les failles découvertes font-elles l’objet d’un correctif ? Peut-on communiquer sur une faille de sécurité ? Comment détecter les vulnérabilités attachées aux logiciels utilisées ?
Les failles non corrigées à ce jour
Sur le site Internet du CERTA, vous pourrez accéder à la liste des failles qui n’ont toujours pas fait l’objet de correctifs à ce jour. Elles sont, pour l’essentiel, liées à l’utilisation de logiciels commerciaux. Sur 9 failles recensées, 3 sont liées à l’emploi de logiciels Microsoft. Curieusement, 1 seule vulnérabilité concerne le logiciel libre.
Données à jour du 22 mai 2010
| CERTA-2005-ALE-013 |  |
Vulnérabilité dans Citrix Metaframe Presentation (07 octobre 2005) |
| CERTA-2005-ALE-016 | |
Vulnérabilité de Microsoft Windows RPC (18 novembre 2005) |
| CERTA-2006-ALE-008 | |
Vulnérabilité d’ExtCalendar (11 juillet 2006) |
| CERTA-2007-ALE-016 | |
Vulnérabilité d’Oracle 10g (16 novembre 2007) |
| CERTA-2007-ALE-011 | |
Vulnérabilité du composant d’indexation des serveurs Microsoft IIS (10 octobre 2008) |
| CERTA-2008-ALE-006 | |
Vulnérabilités dans HP OpenView NNM (18 avril 2008) |
| CERTA-2008-ALE-013 | |
Vulnérabilité du service sadmind de Sun Solaris (17 octobre 2008) |
| CERTA-2009-ALE-017 | |
Vulnérabilités dans l’implémentation TCP/IP de divers produits (11 septembre 2009) |
| CERTA-2009-ALE-014 | |
Multiples vulnérabilités du client de messagerie Mozilla Thunderbird (25 août 2009) |
| CERTA-2009-ALE-019 | |
Vulnérabilité dans Windows 7 et Windows Server 2008 R2 (16 novembre 2009) |
| CERTA-2009-ALE-022 | |
Vulnérabilité dans TANDBERG MXP (11 décembre 2009) |
Publier une faille de sécurité est un délit pénal !
Le 9 septembre 2009, la Cour d’appel de Paris, statuant en référé, a confirmé l’ordonnance de référé du 26 janvier 2009. Dans sa décision, elle a condamné Damien Bancal, qui avait exploité et révélé une faille de sécurité du serveur de la société FLP. Suite à une affaire datant de mars 2006, la Cour de Cassation a rappelé le 27 octobre 2009 la loi qui s’exprime au travers de l’article 323-3-1 du code pénal introduit par la Loi sur l’Economie Numérique du 21 juin 2004 :
« Le fait, sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée. »
Et pourtant !
Mike Reavey, directeur du Microsoft Security Response Center (MSRC), a admis que Microsoft ne communiquait pas systématiquement les failles de sécurité corrigées à l’occasion de mises à jour. Comme le révèle LMI dans son article en date du vendredi 28 mai, Brad Arkin, responsable de la sécurité et de la confidentialité des produits chez Adobe, avouait que les vulnérabilités découvertes en interne étaient qualifiées de simples améliorations de code.
Alors que faire ?
Il existe de nombreux scanners de vulnérabilités sur le marché. Mais, en la matière, c’est, une fois de plus, du côté de l’Open Source que vous trouverez votre bonheur avec Nessus. Simple de mise en place, il s’exécute indifféremment sous Linux et sous Windows. Il comprend une très large liste de plugins qui vous permettront d’analyser la majeure partie des vulnérabilités publiées par les éditeurs ! Restent toutes autres…
