Souris Libre

Celà faisait un long moment que je n’avais pas pris le temps d’écrire sur Souris-Libre, mais comme je vous l’avais signalé, mon but n’est pas de publier un nombre incalculable d’articles pour être un maximum visible sur la toile, mais plutôt des billets selon mes envies et surtout lorsqu’il y a un intêret certain à en discuter. Aujourd’hui, c’est suite à la future formation et certification Hyper-V et Windows 2008 Server qu’il m’est venu à l’idée de vous faire partager celle-ci. Dans le cadre de mon travail, je vais donc être amené à devoir suivre une formation sur ces deux produits dont voici en détail, le programme.

L’intitulé de la formation est : Implémentation et administration de Windows Server 2008 Hyper-V et se déroulera sur 3 jours avec une quatrième journée pour passer la certification. Le pré-requis à cette formation est d’être spécialiste chargés de l’installation et de la gestion de serveurs virtualisés en environnement Microsoft ainsi qu’une bonne connaissance de Windows Server 2008. Je ne prétend pas être un spécialiste, mais j’ai déja nombreuses fois opéré à la création, maintenance et sauvegarde de machines virtuelles sous environnement Hyper-V, assez selon moi pour pouvoir suivre cette formation. L’objectif est de permettre aux participants de mettre en oeuvre une solution de virtualisation avec Hyper-V sous Windows 2008 Server.

Introduction

• Concepts de base
• Pré-requis et installation
• Les différentes configurations haute disponibilité

Configurer les paramètres de base et les réseaux virtuels

• Options globales
• Réseaux virtuels

Administrer Hyper-V à distance

• Configuration préalable
• Connexion à distance

Créer des disques et des machines virtuels

• Disques et machines virtuelles

Paramétrer les machines virtuelles

• Paramètres de machines virtuelles
• Clichés instantanés
• Haute disponibilité et performances

Migrer des machines virtuelles

• Récupération de machines virtuelles existantes
• Impact de la migration

Découvrir System Center Virtual Machine Manager (SCVMM)

• Présentation de SCVMM
• Supervision de machines virtuelles avec SCVMM

Gérer la bibliothèque de machines virtuelles et les points de reprise avec SCVMM

• Présentation de la bibliothèque de machines virtuelles
• Gestion des modèles de machines virtuelles
• Utilisation des points de reprise

Automatiser l’administration, assurer la reprise sur incident

• Scripts Powershell
• Sauvegarde et restauration des machines virtuelles

Autant vous dire qu’il y aura pas mal de choses à voir, certaines que je maitrise déja, d’autres qui me permettront de maitriser un peu mieux l’environnement Hyper-V. Rendez vous donc dans quelques mois pour un compte-rendu.

Il n’aura pas fallut longtemps au gouvernement avant de réagir sur la nouvelle parue hier concernant l’acquisition du nom de domaine idenum.fr par un particulier.Ce futur service de gestion d’identité numérique à propos duquel j’ai réalisé un article, n’a pas attendu longtemps pour faire appel à un cabinet d’avocat Lyonnais qui a envoyé le 2 Février dernier un courrier de mise en demeure  selon l’article L713-2 du code de la propriété intellectuelle pour obtenir gain de cause.Le particulier est donc soumis à céder le domaine à l’État.Affaire à suivre…

Quand on apprend que le gouvernement Français cherche à instaurer un système de gestion d’identité numérique, il y a de quoi faire rire tout internaute quelque peu au courant des tendances du web.En effet, IDéNUM est un projet d’identité numérique permettant de simplifier la gestion de mot de passe à l’utilisateur ainsi que ses différents profils sociaux.Le concept est simple, au lieu de s’authentifier sur un site avec un login et mot de passe différents selon le site en question, l’internaute doit (si il possède une politique de mot de passe superficielle au minimum) se connecter avec un mot de passe correspondant au site.Ce concept permettra donc d’utiliser son identité numérique IDéNUM pour s’authentifier sur les sites supportant cette technologie.Ce système fera appel à un support physique comme une clé USB ou téléphone portable (ce qui je dois le dire, n’est pas forcément une bonne chose).

Dans l’ensemble, ce projet est interessant.Cependant à y voir de plus près, ce n’est qu’une franche rigolade.D’une part, le système sera gérée par l’Etat, qui aura donc accès à un système contenant un nombre d’information importants.Après la mise en place de système tels que HADOPI, LOPPSI, LSQ et autres sytèmes du même accabit, on a de quoi se poser la question sur la confiance que l’on peut donner à un tel sytème.De plus, l’Etat vient proposer un système qui existe déja sur le marché.Live ID ou OpenID font déja leurs bouts de chemin à ce niveau.Pourquoi ne pas aider ces systèmes déja existants plutôt que de vouloir sortir un nouveau système ? Le pire, pourquoi vouloir proposer un système géré par l’Etat et qui plus est payant ? Car oui, IDéNUM sera un service payant alors que les autres acteurs du marché proposent eux, un service gratuit.Le pire, c’est que IDéNUM n’est même pas capable de protéger sa propre identité, les noms de domaines associés à l’identité IDéNUM ont déja été réservés en grande partie par des particuliers depuis un moment.Comment donc prendre au sérieux, ce genre de projet ?

Comment ne pas réagir à cette actualité brulante concernant la loi Hadopi et l’affaire de la typographie de France Télécom piratée ? En effet, l’entité répressive (ne nous voilons pas la face) avait présenté son logo à l’occasion de son lancement officiel, il y a quelques jours.Cependant, celle-ci avait utilisé sans autorisation une typographie nommé Bienvenue, exclusive à France Télécom depuis quelques années.La boite ayant réalisé le logo, Plan Créatif, a reconnu une erreur de manipulation et a publié une variante très rapidement.

Cependant, la marque reste tout de même déposée avec une version illicite du logo.Difficile de croire que le logo à réussit à passer les différentes phases de vérifications entre l’élaboration de celui-ci, les phases de prototype, la finalisation et sa diffusion.Si cela reflète les procédures futures de la loi Hadopi, je pense que les débordements ne seront pas des moindres.Quand on voit le nombre de cas de piratage volontaire ou involontaire (on se rappelle encore d’une histoire de musique d’un clip vidéo d’un parti politique ayant été utilisé sans autorisation), il est difficile de croire que la loi Hadopi, qui enverra 50.000 mails par jours au frais du contribuable ne fassent pas d’erreurs.Rien que pour son lancement, celle-ci accumule déjà nombreuses erreurs de parcours.

C’est un nouvel épisode que nous propose Frédéric Mitterand avec la mission Zelnik et son rapport sur le futur de la création sur Internet qui fait suite à la loi Hadopi 2.C’est pas moins de 22 propositions qui ont été apportées pour améliorer l’offre légale de la culture sur Internet et la rémunération des artistes.La première chose à développer selon eux, l’offre légale de la musique sur Internet.Bien évidemment, l’idée de la licence globale a déja été refusée nombreuse fois, malgré des points positifs indéniables mais préfère plutôt aider des services tels que Deezer, Jiwa ou Wormee en terme de négociations avec les maisons de disques.Sur ce point, l’idée n’est pas mauvaise.De plus, une carte de la musique en ligne sera proposée prochainement.D’une valeur de 50 euros, elle ne coutera que 20 à 25 euros pour l’internaute, la différence serait pris en compte par l’État et par des professionnels.De plus, les offres de VOD auront une offre à prix unique et une baisse de la TVA sur les livres numériques.

A priori, les efforts ne sont pas mauvais, mais bien evidemment, tout celà nécessite de l’argent et c’est là que le drame s’instaure.En effet, la mission Zelnik envisage de mettre en place une « taxe google ».Le but sera de prévoir une taxe sur les revenus publicitaires en ligne, en l’occurence majoritairement Google, puis Microsoft, AOL, Yahoo! voir même Facebook.Pire, les fournisseurs d’accès à Internet pourraient également être la cible d’une taxe déguisée, celle de leur supprimer le taux de TVA à 5,5%.Une belle idée après avoir aider les FAI à se developper, il y a encore peu, leur offre en terme de solutions techniques dns le but de favoriser le haut-débit en France pour rattraper notre retard.Mieux encore, cette répercution de cette TVA à 5,5% supprimée (qui passera donc à 19,6%) sera forcément la cible des consommateurs et clients.Résultat, le détenteur d’une connexion Internet verra son abonnement augmentée, même si celui-ci ne fait pas appel aux offres légales et le comble, c’est qu’il devra payer encore, si il souhaite obtenir de la musique en ligne librement ou tout autre produit culturel numérique.En dehors de celà, l’idée de la licence globale était une hérésie…La mission Zelnik à encore d’importants concepts à revoir.

De retour à la réaction de l’actualité du web, c’est suite à cette annonce de la cour de cassation qui rappel que le fait de divulguer sur un site web, l’existence d’une faille de sécurité est un délit.Cette démarche s’appelle le Full Disclosure, une opération qui consiste à rendre publique une faille de sécurité (un exploit).Résultat, consternation générale dans le monde de la sécurité informatique.

Certes, cet arrêt correspond à l’application de l’article 323-3-1 du code pénal.Mais tout de même, appliquer une loi pénale à une communauté qui offre son temps libre à la détection de failles de sécurité permettant ainsi aux éditeurs de pouvoir les combler le plus rapidement possible est tout de même une action louable.Alors, certes, j’entends déjà certains me dire que ces « chercheurs de failles » pourraient très bien envoyer directement leur découverte aux éditeurs concernés.Le soucis, c’est qu’il n’y a aucun prise de conscience de ces derniers lorsqu’on leur indique une faille de sécurité importante, y compris Microsoft qui agit généralement longtemps après la bataille.Il faut bien l’avouer, ces exploits diffusés au quotidien est un moteur important de motivation, une spirale positive sur le développement de patch de sécurité.

Au lieu de réfléchir à cet article de loi et de l’adapter aux changements qui s’opèrent sur le web, la justice préfère nous rappeler cela en appuyant bien le fait qu’il s’agit d’un délit susceptible de vous faire recevoir une peine pénale.Un comportement qui à coup sur, fera reculé la veille technologique de certains qui ne divulgueront plus les failles qu’ils découvriront.Résultat, un panel d’application seront bourrées de failles de sécurité que seuls les hackers auront connaissance et pourront exploiter à leur guise.Est-ce donc un bon choix ?

Difficile de se retenir en lisant cette nouvelle ce matin.Il est vrai que je ne souhaitai par revenir à faire des articles sur la réaction à l’information, mais finalement mes démons reviennent et je pense parfois qu’il est nécessaire de faire de l’information alternative avec conviction, plutôt qu’un simple relai d’information sans réflexion, juste pour attirer le lecteur et être le premier à le faire.

C’est en lisant l’article sur 01Net, que j’ai appris que Nadine Morano, secrétaire d’Etat à la Famille revient à la charge dans ses campagnes de protection sur les jeux-vidéos.Cheval de bataille depuis une moment, cette fois-ci, l’action porte sur la signalétique de l’âge minimum recommandé pour jouer au jeu vidéo que l’on souhaite obtenir.Cette classification, appelée Classification Pegi est une norme européenne permettant d’avertir le consommateur de l’âge minimum requis recommandé ainsi que la contenance du jeu en terme de violence, sexuelle et discriminante.Mais pour Nadine Morano, cette signalétique ne serait pas assez visible et connue.Et là, je dis non, d’une part, parce qu’il s’agit d’une norme Européenne et qu’en acceptant de former l’Europe, c’est également des règles et une harmonisation commune qu’il faut respecter et deuxièmement, ce n’est pas aux éditeurs de jeux-vidéos de faire ce changement, mais bel et bien au gouvernement de s’assurer qu’une communication sur la signification de ces sigles.C’est également au gouvernement de faire le nécessaire pour mettre en garde contre les longues périodes d’exposition à un jeu vidéo et non pas, une fois de plus aux éditeurs.Par exemple, on ne fait pas d’annonces télévisuelles indiquant que la télévision à trop forte dose peut être également dangereuse ? Rappelons-le,une campagne avait déjà été faite pour expliquer la signification de la classification télévisuelle, pourquoi ne pas faire pareil pour le jeu vidéo plutôt que de demander aux éditeurs de changer leur signalétique dépendant de choix Européens ?

Il est clair que le dossier est très mal connu de la secrétaire d’Etat à la Famille, les éditeurs ont faits de gros efforts de ce coté et ne nécessite pas selon moi de changement de ce coté.Conclusion, éduquons les parents plutôt que de martyriser ceux ayant déjà apporter leur pierre à l’édifice.

Je m’étais promis de ne pas revisiter l’actualité du web, malgré tout, je me dois tout de même de parler de cette actualité parue hier sur le web au sujet du gouvernement ayant eu la gentillesse de débourser 32.000 € pour lutter contre le spam en France.Sérieusement, en quoi cette somme aussi ridicule serait en mesure d’avoir un quelconque impact sur le trafic des emails illégitimes en France.

Certes, il s’agit d’un soutien financier pour l’association Signal-spam, qui rappelons le, représente une personne à plein temps pour lutter contre les spams.Depuis 2008, c’est 15 enquêtes qui ont été ouvertes, ce qui ne signifie pas, terminées, encore moins arrivée à terme avec amende à la clé.

Selon Nathalie Kosciusko-Morizet, secrétaire d’État chargée du Développement de l’économie numérique, cette somme devrait permettre « d’assurer la pérennité de ce dispositif exemplaire qui bénéficie à tous les internautes français ».Soyons sérieux quelques secondes, une telle somme est dérisoire pour lutter contre le spam, de plus, ce n’est pas avec une association telle que celle-ci, malgré le respectable travail effectué derrière, que l’on va endiguer ce fléau.C’est avant tout les fournisseurs d’accès qui sont les plus touchés et qui mériterait d’obtenir les fonds pour lutter contre ces spams, surtout si des personnes compétentes se trouvent derrière pour intervenir.

Parfois, il est préférable de ne pas agir, que d’agir de façon aussi improbable, simplement pour ne pas investir, là où l’impact ne sera que trop minime.A quand, de réelles politiques sur le sujet et un fond monétaire bien plus important et ambitieux pour amener de vraies solutions et non un aimable geste du gouvernement pour une association plein d’espoir mais également très limité dans ses démarches ?

Je ne sais comment prendre cette annonce de la Commission Nationale de l’informatique et des Libertés qui aujourd’hui, nous informe à l’aide de 10 conseils, l’art et la manière de protéger son système d’information.Certes, c’est une idée louable, mais pourquoi aujourd’hui et surtout, pourquoi le contenu de celui-ci est si pauvre ? Car à vrai dire, je doute de l’efficacité de leur plan d’action lorsque l’on regarde de plus pret, ces dix conseils qui font appel au bon sens ou à l’évidence selon son point de vue.Étudions donc quelque peu, ces 10 conseils de la CNIL.

Le premier conseil : Adopter une politique de mot de passe rigoureuse : mot de passe individuel, difficile à deviner et secret.Évidemment, cela parait être une des choses les plus importantes qu’il soit, mais avons nous attendu que la CNIL nous le dise pour y réfléchir ? Disons qu’il s’agit ici d’un rappel plutôt que d’un réel conseil innovant.Cependant, il ne faut en aucun cas sous-estimer une politique de mot de passe stricte, certes déplaisante pour les utilisateurs, mais tellement efficace contre les attaques de type « Brute Force ».

Le second conseil : Concevoir une procédure de création et de suppression des comptes utilisateurs.On ne pense jamais assez à cela, en effet, il se pourrait que vos anciens employés, amère de leur départ, soit susceptible de venir visiter votre système d’information et d’y récupérer des informations importantes, voir même y venir pour porter préjudice à la société.

Le troisième conseil : Sécuriser les postes de travail : les postes des agents doivent être paramétrés afin qu’ils se verrouillent automatiquement au-delà d’une période d’inactivité (10 minutes maximum).Ceci est également important, mais logiquement déja mis en place par défaut sous Windows lors d’une configuration sur une domaine Active Directory, configuration que l’on voit pratiquement partout.

Le quatrième conseil : Identifier précisément qui peut avoir accès aux fichiers.Une bien belle idée, mais comment réalise t-on cela ? Audit de sécurité ? Analyse des trames du réseau sur l’accès à certaines données critiques ? Un conseil amenant donc un coût important ou l’usage d’un technicien  à temps plein.

Le cinquième conseil : Veiller à la confidentialité des données vis-à-vis des prestataires.Il parait évident que cela doit être l’une des priorités.Mais une fois de plus, les actions à mettre en place ne sont pas donné à tous le monde.

Le sixième conseil : Sécuriser le réseau local : Un système d’information doit être sécurisé vis-à-vis des attaques extérieures.Une phrase qui en dit long, mais qui ne signifie pas grand chose.Il parait plus qu’évident qu’un système d’information se doit d’être protéger des attaques extérieurs.Mais quelles techniques peuvent être employées ? Un technicien pourrait y répondre, je peux donc y répondre, mais une fois de plus, cela demande un coût important d’audit ou la nécessité d’avoir un responsable sécurité sur place.

Le septième conseil : Sécuriser l’accès physique aux locaux.Évidemment, on pense souvent aux attaques externes, mais on oublie les attaques plus proches de nous, de la mise en place d’un accès sécurisé à une salle serveur, de la vérification des opérations faites sur le système d’information par des prestataires de services venant agir sur l’environnement de celle-ci.

Le huitième conseil : Anticiper le risque de perte ou de divulgation des données.Notamment via la mise en place d’outil de filtrage des fuites de données vers l’extérieur, encore appelé « Data Leakage », que ce soit par e-mail ou par contre des périphériques mobiles, la « End Point Security », où la sécurité des périphériques tiers, tels que les clés USB et autres stockages amovibles.

Le neuvième conseil : Anticiper et formaliser une politique de sécurité du système d’information.Malheureusement, il est parfois trop tard pour réfléchir à cela, une fois que l’entreprise est établie.Celle-ci ne s’applique généralement que dans les grosses sociétés, les SSII sont difficilement la cible de ce genre d’opération.

Le dixième conseil : Sensibiliser les utilisateurs aux « risques informatiques » et à la loi « informatique et libertés ».Une bien belle idée qui se retrouve être quasiment impossible.L’éducation des utilisateurs devraient se faire bien avant le cadre professionnel.Cette sensibilisation devrait se faire directement pendant le cursus scolaire, cependant, nombreux sont les écoles et lycées à ne posséder que très peu de moyens en terme d’infrastructure réseau et surtout de cours à ce sujet.

Au final, la CNIL nous donne des conseils déja vus, mais soulignons tout de même l’effort effectué, même si il est vrai qu’il n’est pas aisé à tous d’appliquer l’ensemble de ces conseils sans aide de la part de l’État ou d’institution spécialisée.

C’est 01Net qui commence à relayer la nouvelle, en effet, la Commission européenne souhaite tenir tête aux spammeurs estimant qu’actuellement, la lutte anti-spam n’était pas assez efficace.Amusant, lorsque l’on sait que le budget alloué à cette lutte quotidienne est quasi-nulle.En effet, malgré des dispositions européennes mises en place depuis 2002 interdisant le spam et les spywares, les vagues n’ont cessées de continuer.Comportement évident, puisque les outils permettant de lutter contre le spam ne sont que passifs et n’ont aucun impact actif ou agressif.

Ainsi, l’Europe souhaite mettre en place un nouveau cadre législatif prévoyant des sanctions civiles et pénales, une bien belle idée qui mérite qu’on s’y intéresse, cependant jusqu’à quel niveau celles-ci peuvent être appliquées ? A priori, certains pays sont déjà passés à l’action, notamment l’Espagne, la Slovaquie et la Roumanie qui ont connus la plus grande croissance en terme de lutte contre le spam.Une chose intéressante à noter, c’est que les fournisseurs d’accès vont pouvoir prochainement eux aussi poursuivre en justice les spammeurs.Car on pense souvent aux utilisateurs finaux, utilisant leur messagerie quotidiennement à faire le tri dans leur message, mais on souligne rarement les problèmes d’engorgements des serveurs de messagerie des fournisseurs d’accès qui cherchent régulièrement à mettre en place de nouvelles technologies pour lutter contre le spam sans autant pouvoir agir de manière agressive.

On peut noter qu’en France, un site existe pour signaler les spammeurs aux autorités publiques, c’est le cas de Signal-Spam.fr, cependant, une seule personne est chargé de gérer les signalements des utilisateurs, un travail titanesque difficilement réalisable.Mais le gros soucis vient en réalité de la législation française et de sa définition du terme Spam.Car si en effet, pour l’habitué de l’informatique, le spam est la plupart du temps, clairement identifié, ce n’est pas si clair du coté de la loi, surtout pour les sociétés spécialisées dans les campagnes d’emails qui risquent eux aussi de subir les frais de ces nouvelles directives.

Un problème survient amenant un second, le manque de moyen pour lutter efficacement les spams amènent à des réglementations peu-construites et encore trop flous, le mieux est encore, à l’heure actuelle, de dépenser son temps dans la recherche de bons outils anti-spam que de perdre celui-ci à dénoncer e-mail par e-mail, les spammeurs qui sont déjà en train de spammeur leur prochaine victime.