Carnet de notes

Catégorie : Technique

  • Machines virtuelles

    Il y a peu j’ai demandé autour de moi ce qu’il y avait pour gérer des machines virtuelles sous Linux avec une inter­face simple.

    L’idée est de pouvoir instan­cier et confi­gu­rer des KVM aussi faci­le­ment qu’a­vec un client VMWare. De ce que j’avais lu les confi­gu­ra­tions réseau pour faire du bridge conti­nuaient à deman­der quelques dizaines de lignes de commande que j’au­rai souhaité éviter.

    On me propose donc :

    Le dernier me semble plus orienté vers la créa­tion d’un cloud person­nel, là où je cherche vrai­ment unique­ment de quoi monter quelques VM sur un poste partagé. On m’a aussi orienté un peu vers XEN, qui aurait des perfor­mances I/O plus avan­ta­geuses, alors que j’étais parti avec KVM.

    La docu­men­ta­tion en ligne d’Ubuntu Server a toute­fois été une heureuse surprise.

  • Des procès-verbaux suite à de faux avis de consom­ma­teurs émis sur Inter­net

    Ça fait long­temps qu’é­crire de faux avis est devenu un vrai busi­ness. Même si toutes s’en défendent, de nombreuses socié­tés se chargent de trou­ver un pres­ta­taire off-shore peu scru­pu­leux pour faire ces opéra­tions sous couvert de « commu­nity mana­ge­ment ». C’est parfois poser des commen­taires posi­tifs sur des produits ou à propos de services, mais aussi poser des critiques concer­nant les concur­rents.

    On trouve aussi pas mal de socié­tés pour orien­ter leur fiche wiki­pe­dia ou faire suppri­mer les avis néga­tifs faits à leur propos sur Inter­net. Les marchands en ligne ne se prive bien sûr pas pour suppri­mer à la hache tout ce qui leur est défa­vo­rable dans les commen­taires qu’ils hébergent.

    Je crois que plus personne ne croyait à la vrai­sem­blance des avis trou­vés sur le web. En fait ne pas trou­ver d’avis néga­tif est plutôt un mauvais signe. Ceci dit, quand on annonce des procès-verbaux suite à de faux avis de consom­ma­teurs émis sur Inter­net, j’ac­cueille la nouvelle avec satis­fac­tion. Sans croire que tout va deve­nir honnête, pouvoir borner un peu les choses et taper sur les déra­pages les plus gênants, ça peut déjà amélio­rer la situa­tion.

    Quitte à prendre de bonnes réso­lu­tions (les commandes au père Noël c’est un peu tard), si on pouvait aussi s’oc­cu­per du SPAM, ça serait chouette.

  • Voda­fone femto­cell hack lets intru­ders listen to calls

    Conti­nuons avec la sécu­rité des réseaux de télé­pho­nie mobile : Voda­fone femto­cell hack lets intru­ders listen to calls.

    Les femto­cell sont de véri­tables trous dans la sécu­rité des réseaux mobiles. Côté sécu­rité il y a d’un côté le réseau interne et de l’autre le réseau externe. L’in­no­va­tion de ces femto­cell c’est mettre un élément de réseau interne chez les parti­cu­liers.

    Voda­fone a four­nit des boitiers troués. D’autres l’ont fait avant. D’autres le feront encore. Il sera possible d’en­trer dans ces boitiers. Il sera possible d’en faire des systèmes d’écoute ou d’in­ter­cep­tion. Nous allons entrer dans un joyeux monde où nous ne pour­rons plus faire confiance à nos réseaux mais où aucun télé­phone ne propose de chif­frer les commu­ni­ca­tions de pair à pair.

  • Les réseaux GSM sont des passoires, affirme un cher­cheur en sécu­rité

    C’est connu depuis long­temps et même plus un secret de poli­chi­nelle. Les télé­phones portables sont un vrai problème de sécu­rité. Les réseaux GSM sont des passoires, affirme un cher­cheur en sécu­rité.

    Il faut dire qu’on parlait déjà de problèmes de sécu­rité à ce niveau il y a 10 ans. Il est simple, pour un élec­tro­ni­cien du dimanche, d’es­pion­ner ou d’in­ter­ve­nir sur le réseau. Pensez de plus que sur les mobiles certains SMS spéci­fiques permettent de recon­fi­gu­rer ou mani­pu­ler la confi­gu­ra­tion du télé­phone, et vous pouvez déjà faire pas mal de choses.

    Ajou­tez la police UK qui monte de fausses bornes GSM pendant les mani­fes­ta­tions, ou les fabri­cants de télé­phone qui deman­daient il y a quelques années dans les réunions un mini­mum stra­té­giques « télé­phones sur la table, batte­rie reti­rée » par peur d’un télé­phone qui écoute silen­cieu­se­ment à l’insu de son proprié­taire, et désor­mais vous n’avez plus aucune excuse pour croire à la sécu­rité de votre télé­phone mobile.

    Rien de neuf, malheu­reu­se­ment.

  • Censure sur inté­rêts privés, Univer­sal Music

    Quand on parle de justice privée à propos de la Hadopi ou des lois que tentent de mettre en œuvre les états contre la contre­façon, nous n’en­vi­sa­gions pas que ce soit si expli­cite que ce qu’il se passe depuis un bon mois.

    Les produc­teurs et distri­bu­teurs de conte­nus se croient libres d’agir au mieux de leurs inté­rêts. Le mois dernier c’est Warner Bross qui faisait reti­rer de Hotfile (un service d’hé­ber­ge­ment-télé­char­ge­ment de fichiers) un programme qu’il consi­dé­rait permettre le télé­char­ge­ment illé­gal mais qui n’était en lui même pas illé­gal et sur lequel Warner ne déte­nait aucun droit. Plus récem­ment c’est un site espa­gnol, qui avait passé avec succès l’épreuve des tribu­naux espa­gnols, qui a été coupé au niveau DNS par les États Unis (qui contrôlent indi­rec­te­ment le registre .com). Depuis que les États Unis ont déployé l’ar­se­nal contre wiki­leaks, les produc­teurs ne se sentent aucune limite dans leurs demandes. Régu­liè­re­ment les produc­teurs abusent de leur inter­face de modé­ra­tion de Youtube pour faire reti­rer des vidéos tout à fait légales ; certaines par erreur, mais certaines consciem­ment, parce qu’elles les gênent.

    Depuis une dizaine de jours c’est un débat entre MegaU­pload (un autre service d’hé­ber­ge­ment-télé­char­ge­ment de fichiers) et Unive­ral Music qui a lieu. Pour une fois les choses sont dites expli­ci­te­ment, à haute voix, et on peut juger de la légi­ti­mité ou de l’hon­nê­teté de chacun.

    MegaU­pload a lancé une vidéo promo­tion­nelle où plusieurs artistes connus chantent leur atta­che­ment au service. Peu de temps après, cette vidéo est supprimé des serveurs Youtube sur demande d’Uni­ver­sal Music.

    Ce seul fait est déjà fran­che­ment diffi­cile à avaler. Voir des artistes chan­ter « MegaU­pload » en vidéo, on peut diffi­ci­le­ment consi­dé­rer que c’est une contre­façon d’une œuvre Univer­sal Music. La suppres­sion ne peut être ici que de mauvaise foi.

    Mais plus sympa­thique : Une demande vient de l’avo­cat de l’ar­tiste Will.i.am, bien que ce dernier ait affirmé par la suite publique­ment n’avoir auto­risé aucune demande de ce type en son nom. Mieux : Une seconde demande, faite par Univer­sal Music, est au nom de Gin Wigmore, qui n’ap­pa­raît même pas dans la vidéo.

    Si on voit clai­re­ment la mauvaise foi et l’abus des outils de lutte contre la contre­façon, l’as­pect miri­fique n’est pas là. Dans les dernières commu­ni­ca­tions, Univer­sal Music affirme que rien ne peut lui être repro­ché vu qu’il s’agis­sait d’un échange avec Youtube et pas d’une requête légale de retrait. Bref, que quand bien même ils auraient fait volon­tai­re­ment reti­rer des conte­nus tiers qui les gênaient, personne n’a rien à y redire.

    Côté liberté d’ex­pres­sion et contrôle de l’es­pace public ça fait peur. Main­te­nant, pour Hotfile comme pour MegaU­pload, il est probable que les abus se retournent vite contre les produc­teurs de conte­nus. À force d’abus trop visibles, ils risquent de casser leurs jouets et de se retrou­ver du mauvais côté de la balance de la justice.

  • HADOPI : la gadge­to­phrase de l’Ely­sée qui fait tâche

    Des fois il y a des croi­se­ments amusants.

    Premier acte, le gouver­ne­ment tente d’agir contre la contre­façon en prenant des moyens détour­nés qui lui évitent d’avoir à prou­ver quoi que ce soit : Si votre adresse IP est repé­rée sur des serveurs de télé­char­ge­ment et liée à des conte­nus proba­ble­ment illi­cites, vous voilà aver­tis puis inter­dit de connexion Inter­net. Le prétexte offi­ciel c’est le défaut de sécu­ri­sa­tion de la connexion. L’ar­gu­ment offi­ciel c’est que votre adresse IP suffit à vous attri­buer la faute.

    Second acte, un petit malin monte un site qui tente de lister les télé­char­ge­ments P2P faits à partir de votre adresse IP. Là on peut tenter des adresses de l’Ély­sée et rire d’y trou­ver des conte­nus contre­faits. Il est diffi­cile de savoir si l’adresse IP a été injec­tée dans les serveurs P2P par un petit malin ou si réel­le­ment quelqu’un a télé­chargé des conte­nus illi­cites à partir de l’Ély­sée. Les deux hypo­thèses semblent peu crédibles et nous ne saurons jamais laquelle est la bonne.

    C’est le troi­sième acte qui est amusant avec une décla­ra­tion de l’Ély­sée. HADOPI, la gadge­to­phrase de l’Ely­sée qui fait tâche :

    « les adresses IP ne sont pas fiables car elles peuvent être pira­tées. »

    C’est le fonde­ment même de toute la poli­tique du gouver­ne­ment via la Hadopi qui est pour­tant basé sur la soli­dité des repé­rages par adresse IP. Bref, ça fonc­tionne pour les autres, mais pas pour eux.

    Bien évidem­ment, nous sommes dans la réalité et il ne faut pas cher­cher de la cohé­rence. Cela ne remet bien entendu pas du tout en cause le côté répres­sif de la Hadopi qui fonc­tionne sur ce prin­cipe, ou les millions d’eu­ros qui y sont dédiés. Faudrait pas rigo­ler trop long­temps.

  • What’s an app anyway ?

    Je sais, c’est une vidéo, et personne n’a le temps de lire une vidéo. Moi non plus.

    Toute­fois, si vous êtes sur le point de réali­ser une appli­ca­tion native Android ou iOS, vous devriez prendre un peu de temps pour écou­ter What’s an app anyway ?, la suite du texte Mobile apps must die (à lire aussi).

    C’est encore plus vrai si vous avez une nouvelle acti­vité qui se monte. Plani­fiez sur l’ave­nir : Utili­sez le web. Ça sera certes un peu plus long, mais vous allez jouer avec pour des années, vous n’au­rez pas à faire un redé­ve­lop­pe­ment sur chaque plate­forme, et vous trou­ve­rez bien plus de gens pour faire évoluer vos logi­ciels.

    Pour faire du natif, aujourd’­hui, il faut une bonne raison. Êtes-vous certains de l’avoir ?

    Boot to Gecko peut vous donner un avant gout de ce qui se prépare pour plus tard.

  • sslh : Couteau suisse contre les PALC

    Les PALC (proxy à la con) sont ces horreurs qu’on trouve parfois dans les grandes socié­tés. Ils filtrent, sans trop qu’on sache pourquoi, des pans entiers d’In­ter­net, avec des règles haute­ment scien­ti­fiques qui filtrent à peu près tout ce qui serait utile à consul­ter avec un applomb excep­tion­nel.

    PALC vrai­ment ALC

    Je vous laisse lire les quelques premiers liens sur le web, c’est édifiant. C’est d’au­tant plus crétin que plus c’est filtré, plus ça encou­rage le person­nel à trou­ver des moyens alter­na­tifs. J’ai eu une mission dans un service de l’état où tout le service infor­ma­tique avait un réseau paral­lèle avec un wifi à demi pirate et des postes portables person­nels pour complé­ter le dispo­si­tif.

    Là c’était assumé, mais chaque entre­prise a ses bidouilles, ou ses renon­ce­ments. Les PALC empêchent de travailler tout bon infor­ma­ti­cien, et soit on monte ses bidouilles soit on renonce et c’est l’en­tre­prise qui gagne des infor­ma­ti­ciens démo­ti­vés, inca­pables d’exé­cu­ter leur travail sans faire appel à des consul­tants externes, et tota­le­ment dépas­sés par les nouvelles tech­no­lo­gies.

    Les PALC sont les terreurs de ces consul­tants et autres pres­ta­taires. On arrive, on se retrouve à devoir résoudre des problèmes sans docu­men­ta­tion, sans aide, et parfois sans même pouvoir accé­der à ses propres mails ou contac­ter le réseau d’ex­pert des collègues. Plus que contre­pro­duc­tif, ça met sérieu­se­ment à risque la capa­cité à exécu­ter le contrat qui nous lie.

    La solu­tion

    La solu­tion de percer le proxy et outre­pas­ser les règles de sécu­rité de l’en­tre­prise. C’est mal, je ne vous recom­mande pas de le faire. Je vous décon­seille même de le faire. Si vous déclen­chez des problèmes, ça vous retom­bera dessus et vous l’au­rez bien cher­ché.

    Quelques règles toute­fois : 1– unique­ment quand c’est néces­saire et 2– unique­ment de l’en­tre­prise vers l’ex­té­rieur, jamais de lien qui permette d’injec­ter du trafic non demandé vers l’in­té­rieur de l’en­tre­prise (si vous faites ça, quelle qu’en soit la raison, vous méri­tez tout ce qui peut vous arri­vez ensuite).

    Main­te­nant quasi­ment tous les consul­tants d’ex­per­tise tech­nique que j’ai vu avaient leur solu­tion. La mienne c’était le tunnel SSH sur port 443. On me dit que certains proxy savent le bloquer ou le repé­rer mais en pratique ça ne m’est jamais arrivé malgré un nombre de situa­tions diffé­rentes très élevé.

    Not(l’état de l’art a peut être évolué depuis, je ne donne aucune garan­tie). Si ça ne fonc­tionne pas il y a d’autres méthodes plus complexes, moins détec­tables, mais pas aussi pratiques. Toujours est-il que ça a été indis­pen­sable plus d’une fois.

    Simple à mettre en oeuvre si vous avez un serveur qui tourne quelque part sur Inter­net, ça vous permet de faire tran­si­ter à peu près n’im­porte quoi comme trafic : web, messa­ge­rie, contrôle à distance, etc. Pour moi ça allait de consul­ter les sites tech­niques inter­dits par mauvais filtrage au chat avec mes collègues pour poser des ques­tions tech­niques en passant par l’ac­cès à mon webmail pro (et perso) ou par la protec­tion de données que je ne souhai­tais pas lisible par l’en­tre­prise d’ac­cueil.

    Le gadget supplé­men­taire

    Il y a deux défauts au tunnel SSH sur le port 443 : 1– Le dit port est utilisé avec SSH et ne peut plus renvoyer du HTTPS comme on le souhai­te­rait. 2– Si l’ad­mi­nis­tra­teur repère un gros volume vers votre serveur sur ce port il testera et verra qu’au­cun site HTTPS ne répond (ça ne m’est jamais arrivé, mais prévoyons).

    Le gadget magique c’est sslh. J’avais un mauvais code source en C qui faisait ça avant mais sslh fera ça bien mieux et plus complè­te­ment. Ce démon prend la place sur le port 443 et sait repé­rer si on tente d’uti­li­ser du HTTPS, du SSH, de l’OpenVPN, ou du XMPP. Il redi­ri­gera le trafic vers le bon service en fonc­tion des premiers octets de la connexion.

  • Orange va expé­ri­men­ter du QoS data diffé­ren­ciée pour les entre­prises

    Reflets arrive souvent à voir pas mal de choses concer­nant les réseaux mais j’ai l’im­pres­sion qu’ils ont ici manqué la portée de ce qu’ils révèlent.

    Quand Orange expé­ri­mente du QoS data diffé­ren­ciée pour les entre­prises, on parle de réser­ver une bande passante à ceux qui payent plus cher. Le concept même est mauvais, et Reflets le pointe très bien.

    Cela mène à une situa­tion magique : non seule­ment cela dégrade la situa­tion de tous les autres, mais cette dégra­da­tion est au béné­fice de l’opé­ra­teur qui renforce ainsi l’in­té­rêt de l’offre premium. Bref, l’offre n’a pas à venir avec une amélio­ra­tion de la qualité ou du réseau en géné­ral, on se contente de créer de la rareté pour faire payer des surcoûts en plus. C’est même encore plus magique puisqu’il devient de l’in­té­rêt de l’opé­ra­teur de dégra­der l’offre stan­dard, ce qui fait écono­mi­ser des sous : on gagne sur les deux tableaux.

    Bref, du connu. Mais j’ai l’im­pres­sion que Reflets se laisse avoir par l’idée que c’est pour l’ins­tant unique­ment une offre pro. Main­te­nant n’ou­blions pas. S’il y a 10 personnes à 1 Mb/s sur la borne 3G et qu’on offre un accès prio­ri­taire au pro pour sa télé­con­fé­rence à 4 Mb/s, ce sont tous les autres qui perdent un tiers de leur bande passante.

    Comme il n’y a pas des bornes 3G pro et des bornes 3G parti­cu­liers, si l’offre est pour les pro, elle dégrade la situa­tion de tous les autres, qui sont majo­ri­tai­re­ment des parti­cu­liers. Ces derniers font bel et bien partie de l’ex­pé­ri­men­ta­tion, malgré eux et malgré les annonces.

    Neutra­lité du net ? visi­ble­ment c’est déjà perdu.

  • France : Google privé du statut d’hé­ber­geur pour ses liens Adwords

    Le statut d’hé­ber­geur est un réel flou en France. Il permet norma­le­ment à un héber­geur ou inter­mé­diaire tech­nique d’être exonéré de respon­sa­bi­lité pour des conte­nus illé­gaux à certaines condi­tions, mais savoir qui peut en profi­ter semble faire conti­nuel­le­ment sujet à débat.

    Par le passé on l’a refusé à l’un parce qu’il avait de la publi­cité, à l’autre parce qu’il avait une caté­go­ri­sa­tion des actua­li­tés postées par les visi­teurs, à un troi­sième parce qu’il y avait une modé­ra­tion… Pas mal de ces déci­sions sont souvent jugées contes­tables par les gens du métier, moi le premier.

    Ici Google est privé du statut d’hé­ber­geur pour ses liens Adwords, parce qu’il prévoit que les demandes doivent être lancées plusieurs jours avant la prise d’ef­fet pour permettre à Google de faire des obser­va­tions, des modi­fi­ca­tions, ou des refus. Parti de là, c’est qu’il y a une revue de prévue à priori, et donc qu’il y a travail édito­rial et publi­ca­tion en connais­sance de cause, du moins telle semble être l’in­ter­pré­ta­tion du juge. On peut simple­ment dire comme dans l’ar­ticle que Google est pris à son propre jeu juri­dique, mais je serai tenté de dire que pour une fois l’in­ter­pré­ta­tion est intel­li­gente. On ne peut pas et récla­mer ne pas pouvoir vali­der les conte­nus, et impo­ser un délai préa­lable destiné à juste­ment les vali­der (ce qui n’im­plique pas que c’est fait, mais au moins qu’il est prévu que ce puisse être fait). C’est une histoire de cohé­rence et de réci­pro­cité.