NUMÉRO : 18 AOÛT 2015
TERA
BIT FAISONS
MAGAZINE ENRICH YOUR KNOWLEDGE
DEV OPS LA TRÊVE ENTRE LES DÉVE-
FRANCE : 6.99Μ€, MAROC : 69,00 MAD.
QUESTIONS FRÉ+ LESQUENTES AUTOUR LA
4G
Un tour de Windows 10 LOPPEURS ET LES SYSADMINS
DOCKER Le nouveau Joker
L’attaque Cold Boot Récupérer les informations de
+ Sécuriser
Android Un guide pour protéger
la RAM
Let’s Encrypt HTTPS pour tous Ransomware Vos données kidnappées ZEnoss Le Monitoring du réseau Atelier DIY Créer un TAG RFID. Les boutons connectés
F: 6,99€ . MAR : 69,00 MAD
vos données personnelles
uTM ou NGFW Que choisir pour défendre un réseau? EXCLUSIVE
VeracryptQ. Le successeur de Truecrypt
INTERVIEW EXCLUSIVE AVEC:
Mounir IDRASSI.
UIZ
PAGE
:91
»RÉPO GAGNE NDEZ ET R UNE BERRY RASPPI 2
K 0 3 s . o n s Ă r te
b ce a F
a ag m a.
/ om c . k
oo
r u e t e c g e L wled
i c r Me
r u o y h c ri n E
o n K
TERA BIT 10 MAGAZINE Depuis 2012
T
eramagazine 10 est un numéro spécial avec un focus sur la sécurité informatique et la tendance de la conteneurisation. La couverture de ce numéro présente la machine Enigma qui est une machine électromécanique portable servante au chiffrement et au déchiffrement de l’information. Ceci dans le but d’attirer l’attention des lecteurs et de les encourager à adopter la pratique du chiffrement de leurs données et leurs communications et les inciter à s’intéresser plus au sujet de la sécurité informatique. Vous avez peut être aussi remarqué, l’intégration du terme ‘bit’ au nom communément connu : ‘Ter Magazine’ pour obtenir Tera-bit Magazine. Donc TeraMagazine c’est bien Tera-bit Magazine.
U
n numéro spécial avec au sommaire des articles en sécurité informatique et les nouvelles tendances en IT. Nous avons opté pour des articles qui introduisent nos lecteurs au domaine de la sécurité informatique et à la protection de la vie privée. Aussi nous avons fait le tour des tendances émergeant principalement la virtualisation par conteneurs à l’occurrence Docker. ’équipe TeraMagazine a deux nouvelles à vous annoncer, la première étant d’utiliser le nom Tera-bit Magazine à côté de l’ancien nom TeraMagazine. Plusieurs lecteurs nous ont fait
L
part de leurs premières impressions vis à vis le nom de notre revue, une grande majorité croient qu’il s’agit du terme ‘terra’ (mother earth). En réalité notre choix du terme faisait référence plutôt à la quantité d’information Tera (Terabit, tera-octet...). Afin de lever cette nuance nous avons ajouté à la couverture de ce numéro le mot Bit pour donner une première impression correcte indiquant qu’il s’agit d’une revue spécialisée en informatique. TeraMagazine sera aussi TeraBit Magazine, rien ne change on a acquis un deuxième nom plus détaillé. a deuxième nouvelle est la publication du prochain numéro sur papier. TeraMagazine 11 sera sur papier et disponible en kiosque. Vous pouvez nous contacter pour en savoir plus.
L
L
e dernier numéro a suscité beaucoup d’intérêt dans le milieu IT marocain, il a atteint un niveau record de téléchargements. Cette prouesse nous pousse en avant pour continuer la passion d’écrire surtout que ce travail ne nous généré aucun centime.
N
otre revue depuis sa naissance est un projet ouvert, tout le monde est invité à nous rejoindre, pour rédiger des articles et pour nous faire part de nouvelles idées, remarques ou propositions. Nous remercions tous ceux qui ont contribué à ce numéro et aux lecteurs qui attendent avec ferveur la publication de ce numéro.
TeraMagazine 11 sera sur papier et disponible en kiosques. Vous pouvez nous contacter pour en savoir plus.
BELLAJ Badr Editeur En Chef bellaj.badr@gmail.com
TERAMAGAZINE
H
eureux encore une fois de vous introduire le nouveau numéro de TeraMagazine. J’ai la certitude que cette joie est partagée tant par les lecteurs que par le staff et les contributeurs qui sont derrières cette réalisation.
Tera Magazine
TERAMAGAZINE 10
SOMMAIRE WWW.TERAMAGAZINE.NET
EXCLUSIVE : Audit de sécurité
Zenoss Découvrez l’outil de monitoring Réseau Zenoss.
un audit de sécurité d’un ensemble de sites web marocains.
.NET GADGETEER
87
78
13
DEVENIR Sysadmin • • •
Fin du support de windows server 2003 Sécurisation de windows server Présentation de Windows server 2016
DEV OPS
06 08 10 14 4
DOSSIER : 62 Conteneur Docker
Découvrez la tendance de la conteneurisation qui fait le buzz dans le monde du Cloud et de la Virtualisation
64
HIGH-TECH NEWS
4G : FOIRE AUX QUESTIONS ANRT : ENQUETE NATIONALE SUR LES TIC.
AUDIT DE SÉCURITÉ
www.teramagazine.net
14 16 19 22
PRÉSENTATIO DE WINDOWS 10
LE MOUVEMENT LET’S ENCRYPT LOIS MAROCAINNES CONTRE LA CYBERCRIMINALITÉ CHIFFREMENT DES DONÉS
25 29 34 43
68 LA LOI DE KRYDER
L’OPEN DATA AU MAROC RANSOMWARE
BYOD : BRING YOUR OWN DEVICE
QUIZ
Répondez au Quiz et Gagner une Raspberry pi 2
91
Security Challenges & CTF
L’UTM
36
CMRPI
Interview avec Mr. Bentaleb Youssef
32 51 INTERVIEW : 56 Veracrypt
WAF et FWNG
Cold Boot
Tera Magazine
52
Interview spéciale avec Mr. Mounir Idrassi
26
PROTECTION D’ANDROID
Memory Hammering
38
Une attaque pour changer les valeurs sauvegardées en la RAM
44 46 61 82
24
15 LIVRES EN SÉCURITÉ INFORMATIQUE
HONEYPOT
MCS CHALLENGE
IDOT : IDENTITÉ DES OBJETS
83 84 88 90
LITTLE BITS
CRÉER VOTRE SYSTÈME RFID LA TENDANCE BOUTONS CONNECTÉS
LA COMMUNAUTÉ RASPBERRY PI MAROC
Gagner Une Raspberry pi 2
91
Keep in touch . www.twitter.com/ facebook.com/ terarevue teramaga
pinterest.com/ teramagazine
www.teramagazine.net
5
Tera Magazine
NEWS
LE MAROC ACCUEILLERA EN 2016 LA 38ÈME CONFÉRENCE INTERNATIONALE DES CPDVP
L
this is
High-Tech NEWS
e Maroc organisera en 18-22 octobre la 38ème Conférence Internationale (http://icdppc. org/news-events/events-calendar) des Commissaires à la Protection des Données et à la Vie Privée (CICPDVP). Dans un communiqué de presse la CNDP considère que Cette décision consolide le modèle marocain en matière de protection des données personnelles au sein de son aire géographique et culturelle. Le choix du Maroc a été décidé à la suite de la recommandation du Comité exécutif de la Conférence, qui a examiné les dossiers de candidature de quatre Autorités qui étaient en lice pour accueillir cette
6
www.teramagazine.net
importante manifestation internationale. Il est à rappeler que la CICPDVP est la principale organisation internationale dans le domaine de la protection des données personnelles et de la vie privée. Elle compte 101 membres et 17 observateurs, représentants les instances spécialisées dans ce domaine. La CICPDVP tient, depuis 1978, une conférence annuelle à laquelle assistent des représentants des gouvernements, des organisations internationales, des entreprises privées, des organismes de la société civile et du monde universitaire. Ce rendez-vous annuel permet
aux différents spécialistes et experts de partager leur expertise et leur expérience et de s’informer sur les sujets d’actualité affectant la protection de la vie privée et des données personnelles. Il contribue aussi au renforcement de la coopération au sein de la communauté internationale de la protection de la vie privée.
STAGEFRIGHT, LA FAILLE QUI TOUCHE 90 % DES TÉLÉPHONES ANDROID Récemment une vulnérabilité a fait trembler le monde d’android. Découverte par l’un des experts de ziperium, Stagefright est considéré comme la pire des failles jamais découvertes dans Android. Comme expliqué sur le blog de ziperium http://goo.gl/LukzM4. La faille affecte le composant stagefright d’Android, d’où le nom de la faille. Il permet aux téléphones et tablettes d’afficher les photos et les vidéos. Il est inclus, par défaut, dans tous les os Android et il est utilisé automatiquement en background, par de nombreuses applications. Pour l’exploitation il suffirait à un attaquant d’envoyer à sa victime une image ou une vidéo infectée pour créer un backdoor dans le té-
léphone, et ce sans même que l’utilisateur n’ouvre l’image ou la vidéo. De là, et même sans intervention de l’utilisateur, le pirate pourrait prendre le contrôle de votre smartphone. Stagefright est un défi pour l’écosystème Android en matière de sécurité. Car malgré que Google a rapidement corrigé la faille sur son android, le problème persistera pour les android modifiés par les constructeurs ou par les ROMs non officielles. D’autres chercheurs ont montré qu’un assaillant n’as pas besoin d’envoyer un MMS pour lancer l’attaque mais d’une simple page HTML.
AMD, ANNONCE EXASCALE : LE SUPER CPU 32 COEURS AVEC HBM AMD a dévoile le processeur “Exascale Heteregeous Processor, ”(EHP) avec 32 cores x86 Zen (peut traiter 32 threads en parallèle) avec un GPU greenland HBM2 Zen est le nom de la nouvelle architecture de processeurs chez AMD qui combine le CPU et le GPU (dans une seule puce) pour garantir une puissance de calcul de haute qualité à un coût relativement faible et faible consommation d’énergie Le « EHP » est le futur processeur HPC, pour High Performance Computing, des processeurs pour calculateurs. On y trouve pas moins de 32 Cœurs d’architecture Zen de vrais cœurs comme
les processeurs Intel. Chacun de ces coeurs seront accompagnés de 512 Ko de cache L2, et chaque bloc de 4 coeurs aura 8 Mo de cache L3. Cela fait 16 Mo de cache L2 et 64 Mo de cache L3, un montant énorme. Chaque Coeur CPU aura un équivalent d’hyperthreading, ce qui donne un total de 64 coeurs virtuels. Pour créer ce monstre, AMD passera du 28 nm au 14 nm, ce qui rend en gros les transistor 4 fois plus petits. L’intérêt est de proposer des vitesses mémoire phénoménales au processeur, chose très important pour les gros calculs. De plus le GPU pourra accompagner le
processeur dans les calculs compatibles HSA, ce qui peut virtuellement donner une puissance de calcul démentielle. AMD annonce dans sa la feuille de route de l’HPC, que Ce processeur est prévu pour 2017
Tera Magazine
IBM SE POSITIONNE SUR LE MARCHÉ IOT AVEC REMIX Pour aider à développer de nouvelles applications à base d’IOT, IBM a lancé une platforme web baptisée Remix. L’Internet des objets est à la mode et la plupart des acteurs IT se mobilisent pour être présents sur ce secteur. Après sa solution cloud Bluemix (https://console.ng.bluemix.net/solutions/iot), IBM consolide sa position et lance Remix, , un site web à destination des développeurs pour créer une communauté en charge des applications
pour l’Internet des objets. Au menu des tutoriels, des guides, etc. Sur Remix vous pouvez partager vos connaissances et expériences sur le développement d’applications pour l’Internet des objets. En outre, tous les participants de Remix bénéficierons de Bluemix. Bluemix est un développement dans le Cloud IBM où vous pouvez développer, déployer et gérer vos applications. Plusieurs tutoriels, des
exemples de code, des trucs et conseils sont disponibles sur Remix. Il vous permet de réaliser toutes sortes d’applications de l’IdO. «Remix est conçu pour démocratiser et rendre accessible le monde IdO pour les développeurs expérimentés et les nouveaux arrivants», explique le directeur général du département IBM IdO. Une approche agréable, même s’il est bien sûr aussi un moyen pour IBM pour promouvoir leur propre technologie IdO.
IBM ANNONCE DES PROCESSEURS À 7 NANO ‘IBM Research’ a annoncé une percée dans le monde des puces semi-conducteurs, introduisant une première puce 7 nanomètres du monde, qui permettra une augmentation de 50% de la vitesse de traitement. Pour avoir une idée de grandeur La puce de 7 nanomètre est juste un peu plus grand que l’ADN humain qui est de 2,5 nanomètres de diamètre. Cette puce de test de 7 nanomètres est réalisé en collaboration avec GlobalFoundries,
Samsung et SUNY Polytechnic Institute. La puce été faite avec l’aide de transistors à canal silicium-germanium et l’extrême ultraviolet (EUV). On espère que ça sera le début des petits semi-conducteurs qui prolongeront la loi de Moore quelques années de plus. IBM met actuellement ses efforts dans le département de la recherche, La société prévoit d’investir 3 milliards de dollars dans les cinq prochaines années pour la recherche et le développement puce. Ceci est
le premier résultat coulait une puce de seulement 7 nanomètres. Actuellement les processeurs d’exploitation, par conséquent, varient actuellement de 10 nanomètres à 22 nanomètres. La technologie 10 nm devrait être exploitable à partir de 2016. L’IBM puce 7-nano n’est pas susceptible d’être disponibles pour un usage commercial pendant au moins quelques années.
High-Tech NEWS LE MAROC ORGANISE LA CONFÉRENCE DEVOXX EN NOVEMBER 2015
La conférence JMaghreb rejoint la famille Devoxx: l’une des plus grandes conférences IT indépendantes au monde. Les Devoxx sont des rendez-vous annuels autour des nouvelles technologies. En effet, A partir de cette année, Casablanca abritera la seule conférence Devoxx en Afrique et dans la région MENA du 16 au 18 Novembre au Studio Des Arts Vivants. La conférence permettra ainsi de consolider le positionnement du Maroc comme un hub africain incontournable en matière d’expertise et d’innovation dans le domaine de nouvelles technologies de l’in-
formation et de la communication (NTIC). l’objectif est de démontrer que le Maroc a toute la légitimité pour construire une industrie NTIC performantes. Avec des conférenciers de plus de 40 pays dans le monde -dont 15 de la région MEA- ont soumis leurs propositions Devoxx Maroc vise la participation de plus de 1500 personnes venant de différents pays et qui assisteront à près de 200 sessions animées par plus de 150 conférenciers de renommée internationale et provenant directement des plus grandes firmes qui sont les
acteurs mondiaux des NTIC, notamment Oracle, IBM, Google, RedHat, VMWare, et beaucoup d’autres … après la grande réussite de la première édition en 2014, Cette année le Devoxx hebergera la deuxième édition «Devoxx4kids Maroc» offre aux enfants entre 8 et 15 ans toute une journée d’apprentissage, d’échanges , d’expérience , tout en s’amusant! Découvrez plus sur le site officiel de l’événement : devoxx.ma
www.teramagazine.net
7
Tera Magazine
en 4G 13QUESTIONS
Foire aux q
TELECOMS
La
L
uestions autour
a plupart des clients de la téléphone mobile savent probablement que la 4G est plus rapide que la 3G, mais qu’ils connaissent les autres détails techniques (les vitesses, les types de la 4G, etc..) est une autre histoire. Ayant cela à l’esprit, je vous propose un article sous forme d’un guide pratique avec des réponses simples aux questions les plus fréquemment posées à propos de la nouvelle génération 4G. Par : REDOUAN TAZI EXPERT 4G HUAWEI
1
La 4G, c'est quoi ?
La 4G est un sigle pour désigner la quatrième génération de la technologie de téléphonie mobile qui découle des technologies mobile 3G et 2G existantes. La technologie 2G lancée dans les années 1990 était capable de faire des appels téléphoniques et l’envoi des SMS. Puis la 3G est apparue en 2003, elle a permis de naviguer sur le Web, faire des appels vidéo et de télécharger des fichiers multimédias. L’évolution technique a donné naissance à La technologie 4G qui se fonde sur les services offerts par la 3G à un « très haut débit mobile », c’est-à-dire des transmissions de données à des débits théoriques supérieurs à 100 Mb/s.
2
Quels sont les avantages de la 4G? Les avantages de la 4G peuvent être résumés en 3 point : • Les vitesses de Download/upload améliorées • La latence réduite • Le support de l'IPv6
5
Quelle est la vitesse de chargement ‘Upload’ 4G? 4G offre des vitesses d'upload autour de 8Mbps avec un maximum théorique de l'ordre de 50 Mbps. En comparaison, la 3G offre un débit de 0.4Mbps et une vitesse maximale de 2 Mbps. Quant à la 4G+, elle peut atteindre des vitesses de téléchargement de 30Mbps, avec une limite de l'ordre de 150Mbps.
8
www.teramagazine.net
3
Quelle est la différence entre la 4G et la 4G+??
A priori on peut dire que la 4G et la LTE sont la même chose. LTE est l’abréviation du nom ’Long Term Evolution’ qui représente un nouveau standard pour les communications sans fil. Les opérateurs parlent plutôt de 4G ‘ quatrième génération’, un label de marketing qui coupent avec les offres connues auparavant, mais derrière il y’a un ensemble de spécifications techniques imposées par l’UIT. La LTE avancée ou LTE-A ou la 4G+ ou même la 4.5G sont des noms pour la même norme, parfois nommée la « vraie » 4G, qu’est une norme qui offre un débit théorique qui peut atteindre en théorie plus de 300Mbps, la 4G+ ou la 4G LTE A est disponible au Maroc chez l’opérateur historique IAM. En octobre 2010, l’UIT a reconnu la technologie LTE-Advanced comme une technologie 4G à part entière
Le cahier de charge de l’ANRT exige aux opérateurs un débit descendant moyen minimal fixé à 2Mb/s requis pour 90% de la population couverte
4
Quelle est la vitesse de ‘téléchargement’ ‘Downlink’ de la 4G?
La 4G offre des vitesses de téléchargement typiques de 14Mbps, théoriquement (dans des conditions de mesure idéales) cette vitesse peut atteindre 150Mbps. De telles vitesses sont cinq fois plus rapides que la 3G. Avec LTE-A, vous pouvez obtenir des vitesses typiques de 42Mbps et en théorie de l'ordre de 300 Mbps. Le cahier de charge de l'ANRT exige aux opérateurs un débit descendant moyen minimal fixé à 2Mb/s requis pour 90% de la population couverte.
TEST DE LA 4G À RABAT
LA LATENCE DU RÉSEAU Un point important que les utilisateurs ordinaires ne le prennent pas au sérieux est la latence du réseau. Les vitesses de Téléchargement et du chargement ne sont pas les seules aspects améliorés. La 4G dispose également d'un meilleur temps de réponse que la 3G - en raison de la baisse "latence". Cela signifie que d'un appareil connecté à un réseau mobile 4G, obtiendra une réponse rapide à une demande que s'il est connecté à un réseau mobile 3G. Les temps de latence sont améliorés, par une réduction de 120 millisecondes en 3G à mois que 60 millisecondes en 4G.
6
Quelle est la répartition des fréquences par opérateur?
Comme j’ai expliqué avant, Les technologies 4G ont été déployées dans le monde, essentiellement dans trois bandes de fréquences différentes : • Bande 800 MHz ; • Bande 1800 MHz ; • Bande 2,6 GHz Au Maroc, le régulateur ANRT a attribué 3 licences 4G. Dans le cadre de chaque licence (désignée par «Licence A», «Licence B», «Licence C»), le Titulaire aura droit, à la fois, aux capacités en fréquences suivantes : • 10 MHz duplexe dans la bande de fréquences 800 MHz ; • 10 MHz duplexe dans la bande de fréquences 1800 MHz ; • 20 MHz duplexe dans la bande de fréquences 2,6 GHz. La licence A, a été attribuée à Méditel, la licence B à IAM et la licence C à INWI
1800 MHz : le meilleur des deux ? Cette fréquence utilisée a deux avantages. Elle est familière pour les opérateurs puisqu'elle a été utilisée en 2G, ce qui permet à l’opérateur d’accélérer significativement le déploiement de son réseau 4G en profitant du déploiement de son réseau 2G. Techniquement la bande de 1,8 GHz, se situe quelque part au milieu entre les bandes précédentes. Permettent donc des débits plus importants comparée à la bande de fréquence des 800 MHz et pénètre mieux que le 2600 MHz mais elle porte moins loin que du 800 MHz.
8
10
800 MHz La fréquence des 800 MHz présente l’avantage de porter plus loin, limitant en théorie le nombre de relais pour le déploiement, ce qui en fait un bon choix pour les zones rurales. Elle peut également pénétrer à travers les murs plus facilement que les autres fréquences, de sorte qu'elle peut être utilisée dans les zones urbaines. Cependant dans de telles zones, elle peut s'embrouiller avec les signaux TNT, ce qui engendre de nombreuses interventions (un cout supplémentaire). Son principal inconvénient est la capacité faible de transmission des données. Elle ne peut pas traiter de grandes quantités de trafic. 2600 MHz : idéal pour les villes et les zones urbaines . Contrairement à la bande 800 MHz La bande de 2,6 GHz est utilisée à courte portée (couvre une surface réduite), et traverse moins facilement les murs. Mais elle offre une capacité de transmission de données plus élevée. Elle est plus adaptée pour une utilisation en ville. Cette bande a une capacité de données supérieure aux deux autres afin qu'il puisse faire face à des charges de connexions simultanées des clients.
Deux raisons expliquent pourquoi Maroc Télécom a choisi de payer 500 millions de dirhams de plus qu’INWI et Méditel pour avoir la licence B et non pas la A ou la C.
La licence B permet à Maroc Télécom de faire une économie qui dépasse probablement les 500 millions de dirhams payés en plus. Car la licence B, contrairement à la C et la A, permet d’avoir des fréquences sur la bande 1 800 Mhz, voisines aux fréquences dont dispose déjà Maroc Télécom pour son réseau 3G existant. Avantage : au lieu d’avoir besoin d’installer deux équipements sur chacune des plus de ce milliers d'antennes (BTS) de son réseau, Maroc Télécom, avec cette licence, n’aura besoin que d’un seul équipement, dont le spectre aura été élargi.
11
Ce qui vient après 4G?
L’évolution continuera dans le futur, Après 4G viendra la 5G, la cinquième génération. Les technologies spécifiques n'ont pas encore été finalisées, mais tous les grands acteurs du domaine travaillent dessus. Actuellement, il est prévu que 5G sera disponible à partir de 2020 et il est susceptible d'être ultra rapide, avec des vitesses théorique allant jusqu'à des gigabits/s.
Pourquoi IAM a payé une licence chère?
C’est d’abord pour obtenir une meilleure qualité de signal. En effet, la licence B permet à Maroc Télécom de bénéficier de la bande de 800 MHz.
Quelles sont les différences entre les fréquences 4G?
7
Tera Magazine
Comment migrer vers la 4G?
Si vous avez un téléphone récent alors les chances sont grandes qu’il soutient 4G, sinon vous pouvez consulter des forums spécialisés comme le “XDA developer” ou vérifier les spécifications des fabricants. Si l’appareil supporte la 4G, pour l’activer il faut acquérir une puce SIM 4G pour les clients INIW et Méditel et pour les abonnées IAM ils gardent leurs cartes SIM 3G avec une activation du service. La migration se fait gratuitement.
TEST DE LA 4G À MARRAKECH
12
La 4G est-elle sécurisée ?
Non, Des recherches ont dévoilé que n’importe quelle fréquence radio peut être bloquée ou brouillée si quelqu’un envoie un signal sur la même fréquence avec suffisamment de puissance (http:// goo.gl/1iqDFL). Le groupe de recherche relève 7 autres vulnérabilités. « Le signal LTE est très complexe, composé de nombreux sous-systèmes, et dans chaque cas, si vous prenez le contrôle de l’un de ces sous-systèmes, vous prenez le contrôle de la totalité de la station de base », précise l’étude. Tout ce qui est nécessaire pour réaliser cette opération est un ordinateur portable et un composant SDR (Software-defined Radio) qui coûte environ 650 dollars. Pour réaliser ce brouillage, il convient d’avoir la connaissance technique du standard LTE dont les documents sont publics. N’importe quel ingénieur en télécommunications devrait être capable de cela. Je résume donc que les problèmes de sécurité sont là mais ils demandent un certain niveau de savoir-faire pour les exploiter.
13
Pourquoi chez IAM on ne change pas de SIM?
Contrairement aux autres opérateurs Maroc Télécom a équipé ses clients de carte USIM pour profiter de la 3G, ce type de carte est aussi adapté à la 4G. Une migration ne demandera pas donc un changement de puce.
www.teramagazine.net
9
TIC TELECOMS
Tera Magazine
L’ANRT
L’ENQUETE NATIONALE SUR LES TIC
L’AGENCE NATIONALE DE RÉGLEMENTATION DES TÉLÉCOMMUNICATIONS A PUBLIÉ EN JUIN 2015 LA 11ÈME ÉDITION DE L’ENQUÊTE NATIONALE ANNUELLE SUR LES TECHNOLOGIES DE L’INFORMATION ET DE LA COMMUNICATION (TIC) MENÉE AUPRÈS DES MÉNAGES ET DES INDIVIDUS AU TITRE DE L’ANNÉE 2014. LES ÉQUIPEMENT DES INDIVIDUS ET DES MÉNAGES
R
LES INTENTIONs D’ÉQUIPEMENT PAR TYPE EN TÉLÉPHONIE MOBILE
éalisée au cours du premier trimestre de 2015, l’enquête 2014 permet de dresser le paysage des évolutions du marché des télécommunications et certaines tendances en cours au sein de la population marocaine dont les usages se transforment, au fur et à mesure de la démocratisation de l’Internet. L’objectif de cette enquête est la collecte d’informations sur les principaux indicateurs d’équipement, d’accès et d’utilisation des TIC par les ménages et les individus au Maroc. En outre, l’étude permet de faire ressortir d’autres résultats comme les tendances et les intentions d’équipement des individus, ou l’utilisation des réseaux sociaux. Cet article constitue une synthèse et un tour des résultats les plus importants de cette enquête.
EQUIPEMENT TIC
RÉPARTITION DES MÉNAGES SELON LEUR ÉQUIPEMENT EN ORDINATEUR
TYPES D’ORDINATEURS (% des ordinateurs dans les ménages)
10
www.teramagazine.net
Le taux d’équipement des individus en téléphonie mobile est de 94,1%, alors que le taux d’équipement des ménages en téléphonie fixe recule encore une fois cette année pour atteindre 24,1% des ménages.
La population marocaine connait des taux de disposition en équipements de télécommunication assez hauts. Le taux d’équipement des individus en téléphonie mobile est de 94,1%, alors que le taux d’équipement des ménages en téléphonie fixe recule encore une fois cette année pour atteindre 24,1% des ménages. En revanche, les taux d’équipement en ordinateur (52,5%) et de l’Internet (50,4%) ont réalisé des évolutions remarquables (près de 5 points de plus par rapport à 2013). Parmi les individus équipés en téléphone mobile, 38,2% possèdent un smartphone en 2014. Le parc estimé de smartphones est de 9,4 millions, en hausse de 15,7%comparé à 2013. Près de 41% des individus non équipés en téléphone mobile ont l’intention d’en acquérir au cours des 12 prochains mois. Parmi ceux-ci, 43% souhaitent
Tera Magazine
Le Maroc compte en 2014, 17,3 millions d’internautes soit 1 million de plus qu’en 2013, ce qui représente 56,8% de la population marocaine
INDIVIDUS ÉQUIPÉS EN SMARTPHONE (% des individus de 12 à 65 ans en z.e équipés en téléphone mobile)
DURÉE JOURNALIÈRE D’UTILISATION DES RÉSEAUX SOCIAUX (% des utilisateurs des réseaux sociaux 5-75 ans en z. e. 2014)
acquérir un smartphone. D’autres chiffres significatifs, 41,1% des ménages équipés en ordinateur sont désormais multi-équipés avec 27,1% qui déclarent posséder deux appareils et 14% qui ont au minimum 3 ordinateurs dans leurs foyers. Les tablettes représentent désormais 15% du parc d’ordinateurs, contre 51,7% d’ordinateurs portables. Les ménages non-équipés en ordinateur ont exprimé L’intention d’acheter un ordinateur portable est plus forte, avec 16,6% des ménages marocains décla-
rant avoir l’intention d’acheter un appareil de ce type dans les 12 prochains mois.
EQUIPEMENT ET TAUX DE PÉNÉTRATION D’INTERNET Le taux de pénétration d’Internet dans les ménages a atteint 50,4% en 2014 soit une hausse de 5 points par rapport à 2013. Le mode d’accès privilégié à l’Internet est la connexion mobile utilisée par près de 36% des ménages. Seulement 4.9% des ménages accèdent à Inter-
ÉQUIPEMENT EN ACCÈS INTERNET (% des ménages en z.e.)
LA LANGUE DU CONTENU VISITÉ PAR LES INTERNAUTES SUR LE WEB MAROCAIN
net via une connexion fixe et 9,6% via ces deux technologies. Ces habitudes ne vont pas changer dans un futur proche vue que l’enquête relève que 9% des ménages non équipés en accès Internet ont l’intention de le faire durant les 12 prochains mois, en choisissant majoritairement une connexion mobile (63,4% d’entre eux). Les ménages n’ayant pas d’accès à Internet en 2014, évoquent comme principales raisons, le coût élevé
de l’équipement (47,2%) et l’absence d’utilité (46,7%). Le coût du service Internet relaté par les ménages vient en 3ème position, mais il est en recul par rapport à 2013.
www.teramagazine.net
11
Tera Magazine
SÉCURITÉ TELECOMS
Le rapport de l’enquête a été publié en en 22 pages, disponible à : http://goo.gl/K26RB1
EQUIPEMENT ET TAUX DE PÉNÉTRATION D’INTERNET Cette enquête met à jour le nombre d’internaute marocain et confirme la progression enregistré pendant les dernières années Le Maroc compte en 2014, près de 17,3 millions d’internautes soit 1 million de plus qu’en 2013, ce qui représente 56,8% de la population marocaine. Une grande majorité des internautes (84%) est constituée par les jeunes situés dans la tranche d’âge de 15-19 ans. Parmi les utilisateurs de l’Internet, 56,7% se connectent quotidiennement et près des trois quarts le font depuis leur domicile. 59% des
internautes accèdent à Internet via leur téléphone mobile peu importe le lieu où ils se trouvent. La participation à des réseaux sociaux, l’accès à la messagerie instantanée, le visionnement et le téléchargement de contenus multimédias ainsi que la téléphonie sur Internet arrivent toujours en tête des activités des internautes marocains. L’enquête soulève aussi un grand intérêt pour la langue arabe, qui arrive en tête des langues du contenu web visité.
INTERNAUTES AU COURS DES 3 DERNIERS MOIS EN 2014 PAR TRANCHE D’ÂGE
Facebook avec 92,8% et WhatsApp avec 56,7% restent les réseaux les plus utilisés par les internautes marocains. UTILISATION DE FACEBOOK AU MAROC Les réseaux sociaux ont pris une importante part de l’étude, pour aboutir au résultat que La majorité des internautes utilise les réseaux sociaux moins de deux heures par jour en moyenne, tout type d’équipement confondu. Le chat, la recherche d’information et le partage des photos ou des vidéos constituent les principaux usages des réseaux sociaux. Facebook avec 92,8% et WhatsApp avec 56,7% restent les réseaux les plus utilisés par les internautes marocains. La gratuité est le principal critère de choix des réseaux sociaux, suivie par la facilité d’utilisation. Toutefois, la perte de temps demeure le frein le plus important à l’utilisation des réseaux sociaux.
12
www.teramagazine.net
Une hausse enregistrée d’un million d’internautes entre 2013 et 2014
INTERNAUTES AU COURS DES 3 DERNIERS MOIS EN 2014
Tera Magazine
AUDIT DE SÉCURITÉ DES SITES WEB MAROCAINS
U
ne équipe de deux chercheurs en sécurité informatique, a réalisé un audit de sécurité d’un ensemble de site web marocain de différentes vocations (sites étatiques, site d’infos, sites universitaires,...). Le but de ce travail est d’alerter les intervenants du domaine à faire attention à ce sujet et à lancer le débat autour la sécurité Web au Maroc. Les résultats sont résumés dans le graphe publié en exclusivité sur TeraMagazine. Pour toute information sur les détails de l’audit vous pouvez contacter l’équipe de rédaction.
VULNÉRABILITÉS SECONDAIRES
VULNÉRABILITÉS CRITIQUES (TOP 10 OWASP,..)
93% PASSEPORT.MA 80% MEDI1TV.MA 80% MEDITEL.MA 75% IAM.ma 60% ENSIAS.AC.MA 60% MAROC.MA 60% INWI.MA 55% TGR.GOV.MA 50% HESPRESS.COM 50% 2M.MA 40% AUI.MA 40% EMI.AC.MA 40% ONCF.MA 30% EGOV.MA 30% CLIENT.LYDEC.MA 25% DOUANE.GOV.MA 10% SNRT.MA 10% ALAOULA.MA
Ne touches pas à mon site Nous sommes tous concernés par le niveau de la sécurité des sites web marocains, car il se peut que ces sites de confiance deviennent des vecteurs d’infections. Un hacker peut compromettre leurs sécurités pour infecter les visiteurs.
L
e taux élevé des vulnérabilités découvertes est expliqué, en premier lieu, par l’utilisation d’anciennes versions de CMS (majoritairement en Wordpress, Joomla, Drupal). Malgré la publication des patches de correction des failles critiques, les sites audités ne sont pas en majorité mis à jour. L’équipe relève aussi des failles qui touchent les serveurs d’exploitation et les solutions de défenses utilisés (WAF, par-feu, cloudflare,etc.). L’équipe s’abstient de fournir plus de détails, en
crainte d’avoir des soucis juridiques avec les entités concernées par cet audit. La correction de ces vulnérabilités est possible et demande une intervention des responsables techniques. Finalement, un bon score ne veut pas dire que la cible est très bien protégée, mais elle a pu résister aux tests (limités en nombre) entretenu lors de l’audit. Un deuxième audit sera lancé après consentement avec les organismes choisis. Si vous êtes intéressés vous pouvez nous aider à réussir notre mission. www.teramagazine.net
13
Tera Magazine
E ateur e NC lis un ER RIE e uti ec on 10 , US PE rienc av ovati ows aysés ssi EX xpé -vu ’inn ind dép au roit, s à j e e d é ce d t W a s p a s c e u r s Un n an p t le ill se s e a de d tilis nt ’e n me e qu s n n e o d le s te n u e s ’il qu’ les ls E s qu t es te et ne s on ien ren nd issu s rer der ne », b ffé re u r a r o i co s e di rep hes sse ém m elle uile fair u t à ea n v i l u c ce d s to rédé enu tion nou des u ouv tio c p m c a r s « t e n n i t a ve a le pli leu s a le plo a l ni à fi ap c ée ft ’ex e l - it a e av pe oso qu d uer ’OS on ’ag n n s io g d ap icr r n s n i M vo me sti e u il ver so S i ’ r sa stè d atu o qu O e n s l ’ ra n e sy èr a e v s se ne and ant rni s d t qu rece de fs u m qu de w e cti t n e d e x p l i l a n d o n n u a sS S nt o r r e m e à i o e t c l c d e e W at ’ u n e m e et u e l i s e f u rs d r m d e l l rs nt m e u i fo ne u ou ve re omm s jo qu n n j é g di nti à i è c u e e nt e m u q co s e re re el m ie i m e c p a j e u q u n ce i r l a v e m e l a vo u n u r n cé o n e a jo o s é . n s an rès cen out ap A t es lein p
WINDOWS Par : MEHDI KARIM Technology Entrepreneur
10
QUE DES NUMÉROS 10 DANS L’ÉQUIPE MICROSOFT :
N
ous l’avons tous attendu depuis son annonce 1 an déjà. Windows 10 est sorti officiellement le 29 Juillet 2015 dans sa version PC/Tablette dans 190 pays avec la disponibilité de 111 langues. 48h après, plus de 20 millions de machines dont autre fois était sous des systèmes d’exploitations antérieurs tel que Windows 8, Windows 7, Windows Vista et bien sûr celui qu’on pensait être la meilleure réalisation en matière d’OS, le fameux Windows XP, fument mise à jour gratuitement vers Windows 10 impliquant un nouveau record estimé en terme de saturation du trafic d’internet avec pic avoisinant les 40Tb/s brisant ainsi celui atteint par la mise à jour de Mac OS X l’année d’avant. Toutefois les 20 millions de machines, sont sur la bonne voix mais restent loin de l’objectif fixé annoncé lors de la conférence annuelle de Microsoft le Build 2015 qui s’élève à 1 Milliard de machines sous Windows 10 dans 2 à 3 ans. Pour ce faire tous les moyens sont bons. Le nouvel OS vivra dans des machines de différentes natures : Xbox, Hololens, Raspberry Pi, Tablette, Grand écran, Mobile voire machine Hybride. Intel, l’un des partenaires clé pour Microsoft, s’est prononcé par le biais de son président Renee James suscitant son enthousiasme pour le nouveau venu que près de 600 Millions de machines sont en attente de leurs tours pour sortir sur le marché.
14
www.teramagazine.net
WINDOWS HELLO Déclarer comme la manière la plus personnel pour s’identifier sur Windows, Windows Hello permets d’utiliser le regard et le toucher offrant ainsi un niveau de sécurité élevé sans avoir à taper de mot de passe. Toutefois cette fonctionnalité requière du matériel spécifique tel que le scanner de l’iris ou encore le scanner d’empreinte digitale. Une avalanche de machines avec les prérequis verront le jour dans les nouveaux modèles de machines qui sortiront sur le marché très bientôt.
EDGE Microsoft revient dans la course des navigateurs web grâce à Edge Plus connu avec son nom de code Project Spartan, le nouveau navigateur de Microsoft n’a pas fini de faire parler de lui. Marqueter comme étant un navigateur qui apporte une nouvelle eXperience de navigation avec le « web note », « Reading View » et l’intégration de l’assistant personnel « Cortana », il fait déjà parler de lui en matière de performance.
Tera Magazine
LA CROSS-PLATEFORME
CORTANA Vous l’avez reconnu, Cortana, le nouvel assistant personnel intelligent débarque sur Windows après avoir fait son apparition sur Windows Phone bien avant. Cortana vous aidera à trouver des choses sur votre PC, de gérer votre calendrier, suivre les colis, trouver des fichiers, discuter avec vous s’il le faut, et raconter des blagues. Cortana est base sur des algorithmes avancés et continue d’apprendre de jour en jour et plus vous utilisez Cortana, plus personnalisé votre expérience sera.
WINDOWS INSIDER PROGRAM Windows 10 a été réalisé en prenant considération les feedbacks de plus 5 Millions d’insiders qui sont en quelque sorte des bêta-testeurs qui ont pris le temps de tester chaque composant en reportant les problèmes et les suggestions pour donner le résultat servis publiquement depuis le 29 Juillet 2015.
La Cross-Plateforme prône l’innovation avec le Universal App Avec la nouvelle plateforme universelle de Windows, les développeurs peuvent désormais créer une application unique pour toute la gamme des appareils supportant Windows 10. Les contrôles ont été développés pour s’adapter automatiquement à différentes machines avec différentes tailles d’écran en prenant en considération les capacités uniques de chaque appareil. La plateforme permet aussi aux développeurs d’intégrer des services tels que Cortana et Xbox Live dans leurs applications et offrir une panoplie de fonctionnalités intéressantes sans oublier les hologrammes. Plus loin encore, en plus de la transition du Shell Windows de façon transparente entre les modes pc et tablette, dans sa version mobile, Windows permettra de connecter son smartphone a un écran et de l’utiliser comme un PC traditionnel avec un clavier et une souris. www.teramagazine.net
15
Tera Magazine
SÉCURITÉ TELECOMS
Le PROJET
Let’s Encrypt PASSEZ EN HTTPS, GRATUITEMENT
Par : HIND MAKHLOUF
INGÉNIEUR EN CRYPTOGRAPHIE
L
e web a été conçu dans ses débuts comme étant un espace de partage et de communication supposé fiable. Or, avec l’évolution des services proposés sur le Web, ce dernier est devenu une source indéniable des informations sensibles et de valeurs, par conséquent il attirait les pirates qui veulent s’en emparer. Le paysage est devenu plus obscure avec les scandales d’espionnage et la divulgation des opérations d’espionnage massif menées par des organismes spécialisés comme le cas de NSA. Dans un tel espace indispensable qui est devenu non sécurisé, chiffrer tout le web est devenu une nécessité. Pour réaliser ce but l’initiative let’s encrypte a vu le jour.
Avant L’s Encrypt Plusieurs tentatives pour promouvoir le passage vers https ont précédé le projet let’s encrypt visant à favoriser le chiffrement du trafic Web, je cite l’annonce faite par Google qu’il favorisera les sites proposant une connexion sécurisée, lancement par EFF (For the Electronic Frontier Foundation) des outils tel que HTTPS Everywhere, qui est une extension pour les navigateurs aidant les utilisateurs à surfer sur les versions sécurisées des sites web sans oublier l’adoption de https par les géants du web en tant que protocole de communication par défaut.
L’AUTHORITÉ LET’S ENCRYPT
16
www.teramagazine.net
Dans la quête d’amélioration de la sécurité de l’utilisateur sur Internet, le cryptage est un premier pas et un outil essentiel, même si il n’a pas toujours été facile à utiliser et à déployer. Pour changer ce constat FEP a annoncé en 2014 l’initiative Let’s Encrypt, une nouvelle autorité de certification (CA) mis en place en collaboration avec Mozilla, Cisco, Akamai, IdenTrust, et des chercheurs de l’Université du Michigan. let’s Encrypt vise à supprimer les barrières restants pour faire passer le Web à de l’utilisation du HTTP vers l’adoption totale du HTTPS.
Let Encrypt est une autorité de certification qui sera lancé l’été 2015 qui fournira des certificats SSL/ TLS gratuites
LET’S ENCRYPT Let Encrypt est une autorité de certification qui sera lancé l’ été 2015 qui fournira des certificats SSL / TLS(Secure Sockets Layer/Transport Layer Security) gratuites via un processus automatisé conçu pour éliminer le processus actuel complexe de la création et l’installation de certificats pour les sites Web sécurisés manuel. Ce projet vise à déployer une autorité de certification gratuitement sur letsencrypt.org qui fournira les certificats et qui sera une source qui vérifie l’intégrité et l’authenticité du certificat. Le protocole utilisé pour implémenter cette nouvelle autorité de certification est appelé Automated Certificate Management Environment (ACME). Les spé-
Tera Magazine
cifications sont disponibles sur GitHub. Let Encrypt CA sera piloté par une nouvelle organisation à but non lucratif appelé le Groupe de recherche de sécurité Internet (ISRG).
HTTP ET HTTPS Bien que le protocole HTTP a été un énorme succès, il reste un protocole non sécurisé. Chaque fois que vous utilisez un site HTTP, vous êtes toujours vulnérables aux dangers, y compris le vol d’identité, le détournement de compte; la surveillance et le suivi par les gouvernements, les entreprises, injection de scripts malveillants dans les pages, la censure,etc. Le protocole HTTPS (“HTTP over SSL” ou “HTTP Secure”) qui est une combinaison du HTTP avec une couche de chiffrement comme SSL/ TLS. Sans qu’il soit actuellement encore une solution parfaite, il représente une grande amélioration sur tous les fronts sur lesquels http échoue. HTTPS permet au visiteur de vérifier l’identité du site web auquel il accède, grâce à un certificat d’authentification émis par une autorité tierce, réputée fiable (et faisant généralement partie de la liste blanche des navigateurs internet). Avec le lancement prévu pour l’été 2015, Let Encrypt CA délivrera gratuitement et automatiquement des certificats pour tous les sites web qui veulent passer au chiffrement des communications de leurs sites. La Commutation de HTTP vers HTTPS sur un serveur web avec ce CA sera aussi facile que l’émission d’une commande, ou en cliquant sur un bouton.
ADOPTION HTTPS Le plus grand obstacle au déploiement HTTPS a été la complexité, la bureaucratie, et le coût des certificats qu’exige l’HTTPS( allant de centaines de dollars à des milliers). Nous sommes tous familiers avec les avertissements et les messages d’erreur produites par des certificats SSL, Ces alertes sont dues à une bureaucratie horriblement complexe et à des processus de l’authentification et l’identification.
QU’EST CE QU’UN CERTIFICAT ? Un certificat (SSL) est un fichier qui lie une clé cryptographique aux informations d’une organisation ou d’un individu pour permet d’assurer un échange sécurisé. Installé sur un serveur, le certificat active le cadenas et le protocole « https » (via le port 443) dans les navigateurs, afin d’assurer une connexion sécurisée entre le serveur web et le navigateur. Généralement, le SSL est utilisé pour sécuriser les transactions bancaires, le transfert de données et les informations de connexions, telles que les noms d’utilisateur et les mots de passe. Un certificat électronique est un ensemble de données contenant : Au moins une clé publique ; Des informations d’identification, par exemple : noms, localisation, E-mails ; Au moins une signature, de fait quand il n’y en a qu’une, l’entité signataire est la seule autorité permettant de prêter confiance (ou non) à l’exactitude des informations du certificat. Les deux formats les plus utilisés aujourd’hui pour la création des certificats numériques est le X.509 et OpenPGP. Il existe plusieurs types de certificats SSL / TLS que les autorités de certification émettent généralement. Il existe trois niveaux de certificats SSL de domaine validées (DV), Organisation validées (OV) et Extended Validation (EV). Let’s Encrypt ne fournira que des certifications DV.
Let’s Encrypt quand à lui automatise et simplifie la tâche d’activation de la connexion HTTPS avec des commandes simples. En effet un outil (sous linux) facile à utiliser a été mis en place pour gérer les opérations liées aux certificats, en une seule commande (client à récupérer depuis https://github.com/ letsencrypt/letsencrypt) : $ sudo apt-get install lets-encrypt $ letsencrypt run Vous configurerez automatiquement les serveurs Apache et Nginx avec votre nouveau certificat. Vous pouvez consulter le site officiel pour plus de détails https://letsencrypt.org/howitworks
AUTHORITÉ DE CERTIFICATION: En cryptographie, l’autorité de certification (CA) est une entité qui émet des certificats numériques. Le CA est un tiers de confiance pour le propriétaire du certificat et la partie qui invoque le certificat. Les Certificats comprennent une clé publique et une signature d’une autorité de certification (CA). Sur le web, généralement des sites Web ont un serveur qui est délivré (signé) par Verisign ou une autre autorité de certification bien connu. Les Navigateurs Web sont dotés d’une liste pré-installée de près de 100 différents CAs, les plus utilisés sur le web. Par exemple, Verisign est l’un des CA en liste de chaque navigateur.
COMMENT UTILISER LET’S ENCRYPT: Toute personne qui a pris la peine de mettre en place un site Web sécurisé, connait la difficulté du processus pour obtenir et installer un certificat.
SCÉNARIOS D’ACQUISITION DU HTTPS Normalement, lorsque vous configurez un serveur pour utiliser TLS ou SSL, vous avez deux choix: soit vous payez quelqu’un comme Verisign ou Thawte pour vous signer un certificat ou vous générez un certificat auto-signé. Cependant, il y a une alternative, qui est de générer votre propre autorité de certification ou CA. Le choix dépend de vos circonstances et pourquoi vous avez besoin d’un certificat. Pour un service public comme un site e-commerce, vous aurez besoin
LE NAVIGATEUR AFFICHE UN MESSAGE D’ERREUR QUAND LE CA N’EST PAS RECONNU
www.teramagazine.net
17
Tera Magazine
d’un certificat signé par un ‘CA root’ de confiance, comme Verisign, qui ont leur clés pré-fournis avec les navigateurs Web et les systèmes d’exploitation. Cela permet à quiconque de faire confiance à votre serveur. L’inconvénient de ce choix est le coût d’obtention d’un certificat. En effet, Verisign vous facturera 2,480USD pour un certificat de 128 bits de 3 ans. D’autres entreprises peuvent vous fournir des certificats pour environ 100USD pour une année. Si d’autre part vous avez un site personnel ou une application auquel les utilisateurs font confiance et vous voudrez utiliser https pour empêcher l’espionnage sur le réseau. Dans ce cas, il n’est pas la peine de payer pour un certificat de confiance. Vous pourrez générer un certificat auto-signé qui vous permet d’utiliser le protocole HTTPS pour le chiffrement, mais votre navigateur ne peut pas faire confiance au serveur comme il n’y a pas la chaîne à partir d’une racine de confiance pour le certificat de serveur. Les utilisateurs seront bloqués et ils auront plusieurs avertissements que le site visité n’est pas de confiance. L’avantage des certificats auto-signés est qu’ils sont libres, mais l’inconvénient est que vous ne pouvez pas les utiliser pour la confiance et les navigateurs vous embêteront chaque fois que vous vous connectez et vous devez l’ajouter à la liste de confiance sur chaque navigateur. Ce scénario est plus approprié dans le cas d’une utilisation en interne, Si vous avez une petite (ou grand) organisation. Vous aurez d’activer le chiffrement en interne du trafic pour vos services web, intranet, wiki, messagerie, etc. Vu le nombre limité d’utilisateurs, il devient possible de générer votre propre autorité de certification ‘root’ et de distribuer la clé publique à vos utilisateurs.
Il existe trois niveaux de certificats SSL de domaine validées (DV), Organisation validées (OV) et Extended Validation (EV). Let le Encrypt ne fournira que des certifications DV
18
www.teramagazine.net
SSL&TLS
LE NAVIGATEUR AFFICHE DES INFORMATIONS DE LA CERTIFICAT
DU SSL GRATUITEMENT Pour faire des certificats gratuits vous pouvez aussi faire appel à http://www. startcom.org, à startssl.com, ou à CAcert.org. StartCom est l’éditeur d’une distribution linux (StartCom Linux, basé sur RedHat) souhaitant rendre plus accessible les certificats SSL, tandis que CAcert est une autorité de certification axée sur la communauté qui délivre des certificats au grand public gratuitement.
LES ATOÛTS DU PROJET LET’S ENCRYPT Le projet let’s encrypt présente plusieurs avantages et atouts suivants qui favorisent son évolution :
LIBRE ET OUVERT
vous pouvez contribuer à ce projet et Vous pouvez aider à tester et modifier la version développeur du logiciel agent LetsEncrypt
Le SSL (Secure Socket Layer) / TLS (Transport Layer Security) est le protocole de sécurité le plus répandu qui créé un canal sécurisé entre deux machines communiquant sur Internet ou un réseau interne. Le SSL est généralement utilisé lorsqu’un navigateur doit se connecter de manière sécurisée à un serveur web. La clé du succès du SSL son incroyable simplicité pour l’utilisateur final. SSL est un synonyme de TLS. (Techniquement, SSL est le nom qui a été utilisé pour les anciennes versions de la norme, tandis que TLS est le nouveau nom pour les versions les plus récentes de la norme. Cependant beaucoup de gens utilisent indifféremment les deux termes.)
L’AUTOMATISATION ET LA SÉCURITÉ: Let’s Encrypt adopte un certain nombre de nouvelles technologies pour gérer la vérification automatisée et sécurisée des domaines et pour la délivrance des certificats. elle utilise un protocole appelé ACME (https://github.com/letsencrypt/ acme-spec) entre les serveurs Web et le CA, qui comprend un support pour de nouveaux et plus solides formes de validation des domaines. elle appel au Decentralized SSL Observatory de l’EFF, la scans.io de l’Université de Michigan, et les logs de la Certificate Transparency de Google, pour prendre des décisions à propos de quand un certificat peut être émise en toute sécurité.
FACILE À UTILISER ET RAPIDE:
généralement un développeur web a besoin de 1-3 heures pour activer le chiffrement pour la première fois. Le projet let’s Encrypt vise à résoudre ce problème en réduisant le temps de configuration à 20-30 secondes.
DatesImportantes Les premiers certificats Let’s Encrypt seront disponibles fin de juillet et le lancement public sera en Septembre de cette année. Ceci est une étape très importante pour la sécurité et la vie privée de web.
SÉCURITÉ TELECOMS
lois
Tera Magazine
Les
MAROCAINES
DE LA LUTTE CONTRE CYBERCRIMINALITÉ Par : ILHAME SEDAHI
AUDITEUR SÉCURITÉ INFORMATIQU
A
l’instar des autres pays émergents, le Maroc considère le développement du secteur des technologies de l’information comme un levier pour l’économie locale en vertu de sa contribution potentielle en termes de la production des richesses et de progrès de la société. Cette politique impose différents enjeux dont la plus importante est la problématique de la sécurité. Pour réussir sa mission le Maroc doit prendre en considération l’impact de la cybercriminalité sous toutes ces formes sur la productivité et la compétitivité internationale de l’économie nationale. Conscient de ces dangers, notre pays s’est doté de structures de défense et d’investigation dans le domaine de la sécurité informatique. Le Maroc s’est engagé depuis 2011 en faveur d’un renforcement de ses capacités nationales de sécurité des systèmes d’information. En 2012, une stratégie nationale de cyber-sécurité a été approuvée visant à accélérer la montée en puissance du dispositif marocain de sécurité des systèmes d’information. En 2014, une Directive Nationale de la Sécurité des Systèmes d’Information a été adoptée. Elle inclut plusieurs mesures permettant d’élever et d’homogénéiser les niveaux de protection et de maturité de la sécurité de l’ensemble des systèmes d’information des administrations et organismes publics ainsi que des opérateurs gérant des infrastructures d’importance vitale.
& INSTAURATION DE LA CYBER-CONFIANCE Une partie intégrante de la stratégie nationale et une des premières mesures pour lutter contre la cyber-confiance est le renforcement de cadre juridique et législatif en cette matière. Cette Volonté s’est concrétisée par les autorités marocaines à travers l’adoption en 2009 du Programme Maroc numérique 2013 a mis deux principales mesures d’accompagnement à savoir le capital humain et l’instauration de la confiance numérique. Cette démarche a abouti à l’adoption d’un certain nombre de textes législatifs et réglementaires, notamment : La loi n°07-03 complétant le code pénal en ce qui concerne les infractions relatives aux systèmes de traitement automatisé des données; La loi n°53-05 relative à l’échange électronique de données juridiques; La loi n°09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. Dans ce sens s’inscrivent les efforts menés par le législateur marocain par la mise en place d’un cadre juridique et institutionnel permettant de lutter efficacement contre la cybercriminalité et instaurer la confiance et la cyber-sécurité. Dans cet article nous ferons le tour de lois majeures qui ont vu le jour pour arriver à ces fins. Je pense que tout marocain doit prendre conscience de ses lois pour se protéger et pour éviter de commettre de fraudes, qui peuvent lui coûter cher.
En 2014, une directive Nationale de la sécurité des systèmes d’information à été adoptée
Cybercriminalité La définition de la cybercriminalité proposée par des experts de l’Organisation pour la Coopération et le Développement Economique (OCDE), à savoir « tout comportement illégal ou contraire à l’éthique ou non autorisé, qui concerne un traitement automatique de données et ou de transmissions de données ». Selon l’O.N.U., La « cybercriminalité » doit recouvrir « tout comportement illégal faisant intervenir des opérations électroniques qui visent la sécurité des systèmes informatiques et des données qu’ils traitent », et dans une acception plus large « tout fait illégal commis au moyen d’un système ou d’un réseau informatique ou en relation avec un système informatique »
www.teramagazine.net
19
Tera Magazine
SÉCURITÉ TELECOMS
LoiN°07-03 Reproduite à partir de la loi française du 5 janvier 1988 dite loi Godfrain, la loi n°0703 constitue un texte fondateur pour la mise à niveau de l’arsenal juridique marocain afin de tenir compte des infractions imputables à la criminalité informatique Promulguée par le Dahir N° 1-03-197 du 16 Ramadan 1424/11 Novembre 2003 est le premier texte en droit marocain à s’intéresser aux infractions informatiques, complétant le code pénal en ce qui concerne les infractions relatives aux systèmes de traitement automatisé des données. Cette loi permet de sanctionner toutes les intrusions non autorisées dans un système de traitement automatisé de données. DOCUMENT DE LA LOI N07-03: http://goo.gl/19PKoo
Ladite loi traite les types d’atteintes en matière informatique, Les atteintes consistant en suppressions ou modification frauduleuses de données:
L’A CC È S F R A U D U L E U X DA N S U N S TA D Parmi les actes réprimés dans la loi n°07-03, on trouve en premier lieu l’accès frauduleux à un STAD. Cette infraction résulte de l’article 607-3 du code pénal : « le fait d’accéder, frauduleusement, dans tout ou partie d’un système de traitement automatisé des données est puni d’un mois à trois mois d’emprisonnement et de 2.000 à 10.000 dirhams ou de l’une de ces deux peines seulement ». Dès lors que le maintien ou l’accès frauduleux entraîne une altération du système, la loi marocaine prévoit un doublement de la peine. L’accès au STAD peut se faire : Depuis l’extérieur du système, et Depuis l’intérieur du système : un salarié qui, depuis son poste, pénètre dans une zone du réseau de l’entreprise à laquelle il n’a pas le droit d’accéder pourra être poursuivi.
L E S AT T E I N T E S A U FONCTIONNEMENT D’UN S TA D L’article 607-5 du Code pénal, inséré en vertu de la loi n°07-03, dispose que « Le fait d’entraver ou de fausser intentionnellement le fonctionnement d’un système de traitement automatisé des données est puni d’un an à trois ans d’emprisonnement et de 10.000 à 200.000 dirhams d’amende ou de l’une de ces deux peines seulement ». A la lecture de l’article 607-5, il ressort que l’élément matériel d’une atteinte portée à un STAD lui-même et non pas à ses données peut provenir de l’entrave ou du faussement de ce dernier. L’exemple le plus connu de ce délit est l’attaque par « déni de service »
RELATIVE À L’ÉCHANGE ÉLECTRONIQUE DES DONNÉES JURIDIQUES
Cette loi fixe le régime applicable aux données juridiques échangées par voie électronique (cryptographie) et à la signature électronique. Elle détermine également le cadre juridique applicable aux opérations effectuées par les prestataires de service de certification électronique, ainsi que les règles à respecter par ces derniers et les titulaires des certificats électroniques délivrés. En outre, la loi institue une autorité nationale d’agrément et de surveillance de la certification électronique. L’utilisation de plus en plus croissante des nouvelles technologies d’information et de communication ainsi que l’obsolescence du droit marocain de la preuve – puisqu’avant le 30 novembre 2007, le seul support ayant la force probante était le papier – ont justifié la réforme du cadre juridique de la preuve. DOCUMENT DE LA LOI N53-05: http://goo.gl/GBRj1d
www.teramagazine.net
L’article 607-6 du code pénal dispose que « Le fait d’introduire frauduleusement des données dans un système de traitement automatisé ou de détériorer ou de supprimer ou de modifier frauduleusement les données qu’il contient est puni d’un an à trois ans d’emprisonnement et de 10.000 à 200.000 dirhams d’amende ou de l’une de ces deux peines seulement ».
Le fait d’accéder, frauduleusement, dans tout ou partie d’un système de traitement automatisé des données est puni d’un mois à trois mois d’emprisonnement et de 2.000 à 10.000 dirhams ou de l’une de ces deux peines seulement L’ARTICLE 607-3 DU CODE PÉNAL
LoiN°53-05
20
L E S AT T E I N T E S A U X DONNÉES
Tera Magazine
L A CO N S É C R AT I O N D E L A F O R C E P R O B A N T E D E L’ É C R I T É L E C T R O N I Q U E L’article 417-1 spécifie que l’écrit sur le support électronique a la même force probante que l’écrit sur support papier. « l’écrit sous forme électronique est admis en preuve au même titre que l’écrit sur support papier, sous réserve que puisse dûment être identifiée à la personne dont il émane et qu’il soit établi et conservé dans des conditions de nature à en garantir l’intégrité » Dans le but de faciliter l’utilisation des signatures électroniques, de contribuer à leur reconnaissance juridique et d’instituer un cadre juridique pour les services de certification, la loi n°53-05 reconnaît la validité juridique de la signature électronique dès lors qu’elle remplira certaines conditions. En effet, l’article 417-2, dispose que lorsque la signature est électronique, « il convient
L’ I N S TA U R AT I O N D E L A CO N F I A N C E N U M É A R I Q U E
d’utiliser un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache ». L’article 417-3 dispose que « la fiabilité d’un procédé de signature électronique est présumée, jusqu’à preuve de contraire, lorsque ce procédé met en œuvre une signature électronique sécurisée ». Pour qu’elle puisse être qualifiée de « sécurisée », la signature électronique doit remplir les conditions prévues par l’article 6 de la loi n°53-05
:
Cette loi prévoit Les articles 30 à 40 pour instaurer la confiance numérique en définissent les sanctions contre toutes fraudes de cette loi : L’article 33 : lorsqu’un moyen de cryptographie au sens de l’article 14 a été utilisé pour préparer ou commettre un délit ou pour en faciliter la préparation, le maximum de la peine privative de liberté peut varier entre 3ans et la perpétuité selon l’infraction commise. L’article 35 prévoit une punition de 10.00 à 100.00DH et 3 à 6 mois de prison pour l’usurpation de signature d’autrui. L’article 37 prévoit une prévoit une punition de 10.00 à 100.00DH et 3 à 2 ans, pour l’utilisation d’un certificat arrivé à échéance ou révoqué.
LoiN°31-08 Cette loi est entrée en vigueur le7 avril 2011, la loi 31-08 édicte des mesures pour assurer l’information appropriée et claire du consommateur sur les produits, bien et services proposés, garantir la protection du consommateur contre les clauses abusives dans les contrats de consommation et certaines pratiques commerciales en prévoyant des dispositions complémentaires relatives à la garantie conventionnelle, au service après-vente et au surendettement. DOCUMENT DE LA LOI N31-08 : http://goo.gl/AfCBt0
La lutte continue
L
a lutte contre la cybercriminalité exige la mise en place d’autres mesures et réformes outre celles contenues dans la stratégie nationale, notamment la mise en place d’une loi cadre qui pénalise la cybercriminalité et les décrets d’application au lieu de ces articles distribués dans différents textes juridiques. La stratégie nationale prévoit la formation Des magistrats comme outil pour assurer la bonne application de la législation sur les TIC, pourtant, il est aussi impératif de prévoir la formation de tous ceux et celles qui interviennent de près ou de loin dans l’application de cette législation, notamment, les avocats et les journalistes sachant pertinemment que ces derniers peuvent jouer un rôle très important dans la sensibilisation et l’ins-
tauration de la confiance numérique. Dans ce cadre, il est impératif de noter que la cybercriminalité évolue par le même rythme de L’évolution des TIC, par contre le cadre juridique marocain prend beaucoup de temps, tout d’abord pour la discussion et le vote de lois, en suite pour son application. En conséquence, on constat un décalage à deux niveaux. En premier lieu entre l’évolution rapide des TIC et de la cybercriminalité et l’évolution ou la mise en œuvre du cadre juridique qui vise la lutte contre la cybercriminalité. En second lieu, au niveau du cadre juridique à savoir le décalage entre la promulgation d’une loi et sa mise en application voir même la bonne application de cette loi tout en considérant « la
culture technologique » des juges. Ainsi si en prend par exemple le droit pénal, le problème qui s’impose et limite son rôle dans la lutte contre la cybercriminalité est la difficulté de justifier certaines crimes, de justifier l’intention criminelle, d’identifier les auteurs et de poursuivre les infractions commises par Internet. Ainsi en note l’absence d’une loi cadre pour la cybercriminalité qui prend en considération la spécificité de ces crimes et des outils techniques permettant de prouver l’existence ou non du délit. L’État doit créer plus de passerelles entre l’univers informatique et celui des juristes comprenant aussi bien des avocats, des magistrats que des policiers et des gendarmes.
www.teramagazine.net
21
Tera Magazine
SÉCURITÉ TELECOMS
Crypter les données d’un disque dur.
PROTECTION DES DONNÉES PERSONNELLES: CHIFFREMENT PAR VERACRYPT
Par : SABER HANOR DÉVELOPPEUR C++
Le chiffrement des données n’est pas une pratique dédiée aux experts ou aux services secrets. Loin de cela, il représente une pratique préventive pour protéger les données sensibles pour tout le monde. N’ayez pas peur une telle opération ne demande pas des connaissances techniques pointues, osez et franchissez le pas.
L
e mois dernier j’ai vécu de gros problèmes suite à la perte de ma clé USB contenant 60Go de données personnelles et de travail. J’ai mes backups, mais une grande majorité des données perdues est confidentielle et privée. Elles étaient stockées sans aucune protection, ils peuvent nuire s’ils tombent entre de mauvaises mains. Après l’incident je ne cesse de penser que j’ai dû chiffrer ma clé USB comme je le fais pour mes disques durs, mais c’est bien trop tard.
22
www.teramagazine.net
Un système d’exploitation sécurisé par un mot de passe avec et une gestion des droits n’empêchera pas que vos données ne soient lues à travers d’un autre système d’exploitation. En plus toutes les mesures fournies par les Os peuvent être dépassés facilement, c’est très facile de craquer un mot de passe de session. Si votre ordinateur portable disparaît pendant un voyage ou qu’il est volé dans votre bureau lors d’un cambriolage, vos données personnelles et privées ( des documents importants de travail, des photos ou voire des mots de passe et données de services bancaires.. ) seront bien accessibles. Il serait quand même
possible que des criminels qui arrivent à avoir vos données personnelles et privées les utilisent un jour contre vous. Dans un contexte professionnel, le chiffrement des données sur les supports de stockage avec des mesures de protection et de disponibilité n’est pas un choix mais une nécessité. Des entreprises qui ont opté pour des pratiques de CYOP ou COPPE, offrant des ordinateurs contenant des informations très sensibles confronteront un réel danger en cas de vol ou de perte pour leurs activités professionnelles. Imaginer que sur un ordinateur on
Tera Magazine
perd par exemple des bases de données de milliers d’utilisateurs, ou des schémas de réseau etc… C’est la catastrophe ! Pour éviter de mauvaises situations ou risques, La technologie dont vous avez besoin est le cryptage des disques dur et des supports amovibles. Certains quand ils entendent le mot ‘chiffrer’, croient que c’est une opération fastidieuse qui consomme du temps et de l’effort. Nous allons voir que c’est le contraire chiffrer ses données c’est assez facile à faire. Cela ne vous coûte même pas de l’argent, mais seulement un peu de votre temps et de votre attention pour trouver la bonne configuration. Le chiffrement des données peut être partiel ou total. Vous avez pleinement le choix. Vous pouvez crypter séparément des fichiers sur votre disque dur. Si vous avez beaucoup de fichiers à protéger, la création d’une partition sécurisée est une bonne solution. En cas de vol de votre disque dur, vous êtes
ainsi certains que vos fichiers ne pourront pas être vus, ouverts et récupérés. Vos fichiers ne sont accessibles que depuis votre session et par votre mot de passe. En se connectant dans un autre compte, ou en bootant depuis un autre OS, les fichiers sont illisibles. Le logiciel de cryptage de disque créé un nombre illimité de disques cryptés sur votre disque dure apparaissant en tant qu’unités réelles dans Windows. Un dossier chiffré est assez suffisant pour la plupart des gens, mais un disque complètement chiffré fournit la protection la plus forte. Sauf que ce niveau de sécurité a un coût. Chiffrer l’ensemble du disque peut faire tomber en panne votre PC (rarement) Il faut donc un pensez à faire des backups (image de sauvegarde).
EN RÉSUMÉ VOUS AVEZ LE CHOIX ENTRE: » Créer un disque dur virtuel crypté et être en mesure de le voir comme un disque dur supplémentaire sur votre poste de travail. » Crypter une partition entière ou un support externe USB (Parfait pour le travailleur itinérant). » Crypter une partition ou un disque entier où se retrouve votre système d’exploitation (Solution idéale). » Vous avez le choix d’utiliser Bitlocker ou un logiciel de confiance comme Veracrypt.
LE SUCCESSEUR DE TRUECRYPT
veracrypt Veracrypt est un logiciel de chiffrement Fork du fameux logiciel truecrypt. Le fondateur du projet a revu le code de TrueCrypt pour renforcer sa sécurité et proposer un produit capable de mieux résister au déchiffrement brut. Il permet de créer un volume ou disque virtuel et de le monter comme un disque physique réel. Il permet également de chiffrer un disque complet ou un péri-
COMMENT CHIFFRER UN DISQUE DUR ? CHOIX D’OUTIL DU CHIFFREMENT : La première étape est de choisir un bon outil de chiffrement. Depuis l’introduction de Windows Vista, il y a eu la mise en service de Bitlocker, qui s’est intégré par défaut aux versions Enterprise Edition ou Ultimate Edition. Par ailleurs, Il y a des logiciels plus crédibles tels que Truecrypt et Veracrypt qui vous permettent de chiffrer votre disque dur avec de nombreuses fonctionnalités. Cependant, BitLocker n’offre que peu d’options supplémentaires et il est connu pour fournir des backdoors aux services de renseignement. Avant 2014 l’outil incontesté pour chiffrer les disques et les supports amovibles était truecrypt. Or, il n’est plus maintenu par ses auteurs originaux depuis le 28 mai 2014, pour des raisons inconnues (failles, pression de la NSA, équipe piégée ou infiltrée.....). Je vais donc vous présenter un de ses successeurs qui est très prometteur, VeraCrypte. Comme truecrypt, VeraCrypt est un outil de chiffrement à la volée, les données sont automatiquement cryptées juste avant qu’ils soient enregistrés et décryptées. Juste après, ils sont chargés, sans aucune intervention de l’utilisateur
CONTRIBUER AU DÉVELOPPEMENT DU PROJET VERACRYPT PAR DES DONATIONS
phérique externe (clé USB ou autre). Le chiffrement est automatique et transparent. Il permet même de créer un second un volume caché à l'intérieur d'un volume VeraCrypt (encore plus efficace au niveau de la sécurité car il est impossible de déceler que ce volume caché existe). Comme expliqué sur le site de Veracrypte, si vous êtes obligé pour diverses raisons de révéler le mot de passe
d'un volume chiffré, seul le volume non caché deviendra accessible. La seule contrainte est de créer un mot de passe (qui vous sera demandé au démarrage de votre ordinateur) suffisamment complexe pour qu'il ne puisse pas être deviné et trouvé par les éventuels voleurs. L'outil est également en constant développement, avec des mises à jour de sécurité régulières. www.teramagazine.net
23
Tera Magazine
CRYPTONS NOS DONNÉES EN UTILISANT VERACRYPT
#VERACRYPT un logiciel de chiffrement ‘à la volée’ OTFE gratuit, basé sur le fameux TrueCrypte. le Veracrypt est développée par une société française Idrix avec une sécurité renforcée. www.veracrypt.codeplex.com
ETAPES DE CRÉATION D’UN VOLUME CHIFFRÉ
# ETAPE 1
# ETAPE 2
# ETAPE 3
# ETAPE 4
Vous avez le choix entre la création d’un volume normal ou un volume caché qui offre une protection avancée (vous pouvez visiter la documentation officielle :https://goo.gl/BMb460 pour plus de détails).
Choisissez l’emplacement du volume crée. Il sera contenu au sein d’un seul fichier (similaire au cas des machines virtuelles).
Lancez Veracrypt et créez un nouveau volume que nous allons chiffrer (via le bouton ‘créer volume’, situé en interface principale de Veracrypt).
Veracrypt nous propose de créer un simple conteneur chiffré, de chiffrer une partition qui ne contient pas d’OS (genre clé USB ou un second disque dur) ou une partition système. Dans cet exemple j’opte pour le premier choix.
# ETAPE 5
# ETAPE 6
# ETAPE 7
# ETAPE 8
Définissez un mot de passe assez fort et complexe avec des majuscules, des symboles et des chiffres. La longueur minimale recommandée est de 8 caractères. Vous pouvez utiliser un fichier comme clé de chiffrement au lieu du mot de passe.
A cette étape commence alors le processus de sélection des clés de chiffrement... En bougeant votre souris d’une manière aléatoire, vous générez les données qui serviront à chiffrer votre disque dur.
Une fois le volume est crée, choisissez le via le bouton ‘choisir fichier’. Sélectionner un nom de partition dans le menu en dessus. Après, procédez à son montage via le bouton ‘Monter’( Veracrypt vous demandera le mot de passe du volume).À l’issue de cette opération vous aurez une partition vierge, que vous pouvez utiliser pour sauvegarder vos fichiers.
Choisissez l’algorithme de chiffrement et l’algorithme de hashage. Si vous n’avez pas de connaissances dans le domaine, laisser les valeurs comme elles sont proposées par Veracrypt
Compiler le code source
24
Pour une meilleure protection de vos données chiffrées vous pouvez utiliser en plus d’un mot de passe une clé numérique spéciale qui est créé lorsque vous cryptez le lecteur.
www.teramagazine.net
https://goo.gl/OLiLcX
Cette clé doit être stockée ailleurs et protégée. Comme vous avez pu le remarquer cette manipulation n’as pris qu’un courte durée. Vous pouvez découvrir plus de manipulation sur la
documentation officielle sur le site de veracrypt. Si vous êtes un développeur attiré par la cryptographie vous pouvez rejoindre le projet Veracrypt pour améliorer ses fonctionnalités.
Loi de Kryder
Tera Magazine
L
a Loi de Kryder, il ne s’agit pas d’une loi en physique ou en mécanique, mais plutôt en IT. Vous avez dû entendre parler de loi de moore qui stipule que les puces de nos ordinateurs doublent de puissance tous les 24 mois. La loi de Kryder indique Une formule analogue, le coût de l’espace des disques durs diminue de moitié dans le même temps. La loi de Kryder est l’hypothèse que la densité de disque, aussi connu comme la densité de surface, va doubler tous les treize mois. L’implication de la loi de Kryder est que la densité de surface améliore, de stockage deviendra moins
GRAPHE D’ÉVOLUTION DES CAPACITÉ DE STOCKAGE CONFIRMANT LE LOI DE KRYDER
Le maximum de stockage actuel pour les disques dur est de 10 Terabits chez seagate cher. Le terme provient d’un article de 2005 publié dans ‘Scientific American’ (http://goo.gl/Ld1Biy ) intitulé «Loi de Kryder», qui présentait une entrevue avec Mark Kryder, ancien vice-président senior de la recherche et directeur de la technologie du grand constructeur des disques durs ‘Seagate Corporation’. La loi de Kryder est souvent comparée à la loi de Moore et elle est parfois appelée la “loi de Moore de stockage.” Beaucoup d’analystes affirment que même si la tendance générale de la densité du disque est d’augmenter de façon exponentielle, la loi de Kryder est une généralisation abusive qui ne peut pas être appliquée à tous les segments du marché du stockage et ne tiendront pas que la technologie de stockage évolue. Au lieu de cela, la loi de Kryder - comme la loi de Moore - doit être considéré comme un instantané de l’évolution d’une technologie à un point de temps spécifique. Une troisième loi à retenir à côté de celle de moore et de kryder, est la loi de Wirth, affirme que les logiciels deviennent plus lents de manière plus rapide alors que le matériel devient plus réactif dans le même temps.
DERNIÈRE MISE À JOUR 9 MARS, 2014 - CE GRAPHIQUE DU COÛT DU DISQUE DUR PAR GIGABITE, EST TRACÉE SUR UNE ÉCHELLE LOGARITHMIQUE, MONTRE LA CHUTE VERTIGINEUSE DES PRIX QUI AU COURS DE 35 ANS D’INNOVATION ET DE LA DEMANDE CROISSANTE. HTTP://GOO.GL/TLYVZ1
EVOLUTION DU STOCKAGE • • • • •
En 1997 le standard est de 2 Gio pour les disques dur de 3,5 pouces. Vers 2002 le standard les disques durs 3.5 est de 40 Gio En 2009 le standard pour les PC de bureau est de 1 Tio. En 2010, 1,5 Tio à 2 Tio sont devenus courants. En 215, on parle de 10Terabit pour des disques dur en helium chez seagate www.teramagazine.net
25
Tera Magazine
SÉCURITÉ TELECOMS
INTERVIEW Avec Mr Mounir IDRASSI
MONSIEUR IDRASSI, POURRIEZ-VOUS VOUS PRÉSENTEZ À NOS LECTEURS? Je suis un ingénieur de l’École Polytechnique. j’ai travaillé plusieurs années en tant qu’ingénieur en cryptographie chez un fabriquant de cartes à puce français, avant de créer ma société IDRIX spécialisée dans la fourniture des logiciels de sécurité informatique.
Vous êtes l’initiateur du projet VeraCrypt, en bref c’est quoi VeraCrypt ? VeraCrypt est un “fork” de TrueCrypt qui a pour objectif d’augmenter la sécurité et d’introduire de nouvelles fonctionnalités. VeraCrypt est le fruit d’un travail qui a commencé dès 2012 et qui a abouti à une première version publiée en Juin 2013, un an avant que le projet TrueCrypt ne s’arrête. Comme je l’explique dans la page d’accueil de VeraCrypt, ce dernier augmente considérablement la sécurité des algorithmes de chiffrement utilisés et il corrige plusieurs failles et faiblesses découvertes dans le code original de TrueCrypt.
LE SUCCESSEUR DE TRUECRYPT
Veracrypt Timeline
TERAMAGAZINE A RÉALISÉ UNE INTERVIEW SPÉCIALE AVEC MR. MOUNIR IDRASSI LE CRÉATEUR DU LOGICIEL VERACRYPT LE SUCCESSEUR DU TRUECRYPT.
Le cryptage des données personnelles est dans ce contexte une démarche tout à fait naturel comme le serait l’utilisation d’un cadenas pour fermer un coffre ou d’une serrure pour verrouiller une porte.
Comment expliquez-vous la fin mystérieuse de Truecrypt ? Veracrypt ne peut-il pas avoir le même sort ? Il y a eu beaucoup de choses écrites sur la fin de TrueCrypt et chacun avance sa propre théorie sans que personne ne sache réellement ce qui s’est passé. Personnellement, je pense que la fin de TrueCrypt est beaucoup moins mystérieuse que ce que l’on pense. En effet, depuis Février 2012, il n’y a eu aucune modification sur le code et en début 2014 le projet était devenu inactif. Ceci me pousse à penser que les développeurs ne voulaient plus ou ne pouvaient plus continuer à maintenir le projet et ils ont décidé de l’arrêter. Leur choix de publier un message disant que TrueCrypt n’est plus sécurisé et proposant Microsoft Bitlocker comme alternative est pour moi une sorte de théâtralisation de la mort de TrueCrypt afin d’attirer l’attention de la communauté et pousser à la création d’alternatives.
FÉVRIER 2004 Publication de la première édition de TrueCrypt
JUIN 2013 Edward Snowden révèle des détails des programmes de surveillance du gouvernement des États-Unis des petites
28 MAI 2014
Fin du projet TrueCrypt, une dérnierre version est publiée avec seulement la possiblité de décrypter les volumes truecrypt.
22 JUIN 2013
Début du projet Veracrypt
même s’il subsiste des incompatibilités entre la licence TrueCrypt et la licence GPL. Ces incompatibilités ne remettent pas en cause la nature open source du projet. VeraCrypt permet de faire des “forks” et il n’y a aucun soucis avec cela. Personnellement, je crois en l’importance de la diversité dans monde open source et je pense qu’au contraire les “forks” sont une force et non pas un risque car ils permettent une abondance des idées qui sera bénéfiques à tous.
Contrairement à truecrypt, VeraCrypt utilise la fonction SHA256 au lieu de la SHA512 , à côté d’un nombre d’itérations supérieur, le support du NTFS, le À votre avis, pourquoi doit-on support amélioré de WxWidgit, crypter ses données? Veracrypt est-il open source, le changement de format des voNous vivons dans un monde qui est de plus en plus tourné vers le numérique. Il est-il compatible GPL ? Vous ne lumes et l’inclusion des PKCS11 se fait q’une grande partie de notre vie risquez pas d’avoir des forks? de RSA. Y-a-t-il d’autres difféet de nos biens se trouvent dématéria- VeraCrypt hérite de la même licence rences entre les deux? lisés. Il est donc logique d’adopter de nouvelles mesures pour protéger nos biens numériques comme on le ferait pour protéger nos biens physiques.
26
www.teramagazine.net
que TrueCrypt. Cette licence garanti l’accès aux sources et elle permet de faire des “forks”. Techniquement, VeraCrypt comme TrueCrypt est open source,
Juste une petite correction: VeraCrypt n’a pas remplacé SHA512 par SHA256 mais il a rajouté SHA256 en plus. En fait,
VERACRYPT je pense que la fin de TrueCrypt est beaucoup moins mystérieuse que ce que l’on pense. En effet, depuis Février 2012, il n’y a eu aucune modification sur le code et début 2014 le projet était devenu inactif. MOUNIR IDRASSI
Tera Magazine
grande différence avec TrueCrypt. Sur le long terme, ils veulent réécrire tout le code afin d’être compatible avec GPL. TrueCrypt.ch est juste un repository contenant le code original ainsi que les derniers binaires de TrueCrypt. A ma connaissance, ils ne font aucun développement et ils ne prévoient pas d’en faire.
Vous mentionnez sur le site du projet que vous avez corrigé des failles de sécurité de truecrypt, avez-vous pu trouvez des backdoors ou des faiblesses qui peuvent mener à des backdoors éventuels ? Je n’ai pas trouvé de backdoor ou de failles critiques pouvant compromettre la sécurité de TrueCrypt. En revanche, le faible nombre d’itération de TrueCrypt le rend vulnérable à des attaques par force brute. De plus, plusieurs bugs ont été découverts et qui peuvent donner lieu à des attaques sur le logiciel en soi: buffer overrun, utilisation vulnérable de string C, XML parsing...ce sont des bugs de codage classique présents dans tous les logiciels.
VeraCrypt a introduit SHA256 pour le chiffrement du système Windows afin de remplacer RIPEMD160 alors que TrueCrypt ne supportait que RIPEMD160 qui est un vieux algorithme qui n’a plus sa place aujourd’hui. En plus de ce que vous avez énoncé, VeraCrypt a corrigé plusieurs failles et faiblesses découvertes dans le code de TrueCrypt soit en interne soit au travers des deux audits externes (Open Crypt Audit Project). Par ailleurs, VeraCrypt implémente sous Linux et MacOSX le support des disques durs 4K (ayant une taille secteur de 4096 au lieu du classique 512): TrueCrypt ne pouvait pas utiliser ces disques. Aussi, VeraCrypt a introduit la possibilité de déchiffrer une partition non système (ceci n’existait pas dans la dernière version 7.1a de TrueCrypt et la version 7.2 ne permet de chiffrer de toute façon). Une autre grande différence est l’introduction de ce qu’on appelle le “dynamic mode” pour le chiffrement des volumes. C’est une nouvelle feature qui ajoute un second paramètre appelé “PIM” pour “Personal Iterations Multiplier”. Le PIM permet de contrôler le nombre d’itéra-
tions de la dérivation de clef (https:// sourceforge.net/p/veracrypt/discussion/general/thread/e51e51fe/#663e) Cette feature est présente dans la version 1.12-BETA et elle sera incluse dans la version finale prévue en Juillet. Il y a d’autres différences mais il serait long de tout énuméré.
Que pensez-vous de Bitlocker de Microsoft et des projets Ciphersed.org et TrueCrypt.ch ? Bitlocker est un logiciel dont on n’a pas les sources donc il faut faire confiance à Microsoft quand à la sécurité qu’il offre. J’aurai tendance à dire qu’il est suffisant pour la protection des données normales mais pour hautes confidentialités, il vaut mieux se tourner vers des alternatives surtout que Microsoft a récément décidé de réduire la sécurité de Bitlocker en optant pour un chiffrement CBC de base, ce qui est choquant pour un logiciel de chiffrement de disque. CipherShed est un fork de TrueCrypt qui a commencé il y a presque un an mais qui n’a pas encore publié de version totalement fonctionnelle. De plus, pour le moment, c’est juste un “rebranding” sans
La protection du volume crypté se fait par mot de passe ou par clé (key) mais si on vous force à les fournir peut-on toujours protéger les données chiffrées ? est ce qu’il y a une solution pour se protéger contre ce cas ? VeraCrypt comme TrueCrypt permet d’avoir ce qu’on appelle un volume caché. Ce dernier peut être créée au sein d’un volume crypté normal et il aura son propre mot de passe ou clé, différent de celui du volume normal. Ce Volume caché va contenir les vrais données sensibles alors le volume normal contiendra des données qui auront l’air d’être sensibles sans en être vraiment. L’idée est que si on est forcé de donner le mot de passe du volume crypté, alors on peut donner celui du volume normal et l’attaquant n’a aucun moyen pour prouver l’existence ou non du volume caché.
Si le ficher qui représente le conteneur crypté est corrompu, peut-on restituer les données ? Non, le chiffrement ne protège pas www.teramagazine.net
27
Tera Magazine
SÉCURITÉ TELECOMS
contre la corruption des données. Donc, si le conteneur ou le disque est corrompu, alors les données vont l’être aussi.
Est-ce que VeraCrypt est compatible avec les formats truecrypt ? Oui, VeraCrypt est compatible avec les conteneurs et les disques TrueCrypt. Il suffit de cocher la case “TrueCrypt Mode” dans la fenêtre de demande de mot de passe.
Veracrypt supportera-t-il le chiffrement des volumes sous Windows, linux ou OSX dans un environnement UEFI / gpt. VeraCrypt supporte le chiffrement des disques GPT non système sous Linux, MacOSX et Windows.
Pour le chiffrement système, VeraCrypt supporte seulement le mode BIOS et non pas UEFI. Ceci est une grande limitation et actuellement il n’y a pas de projet open source qui permet cela. L’implémentation de l’UEFI nécessite beaucoup de travail et il n’y a pas de visibilité quant à sa disponibilité.
Les mots de passe et les clés utilisés par VeraCrypt sont stockées en mémoire et les données sensibles en cas d’utilisation par un logiciel tiers sont déchiffrées et aussi placées en mémoire. Cela ne pose-t-il pas le problème d’une attaque cold boot ou d’autres attaques sur la mémoire ? Oui, les attaques ciblant la mémoire vive sont un danger pour les logiciels comme VeraCrypt. En fait, tout les logiels de chiffrement de disques sont vulnérables à ce genre d’attaque sauf si on utilise un composant matériel pour le chiffrement (ce qui est très rare). C’est à l’utilisateur de prendre les précautions nécessaires pour se protéger contre ce genre d’attaque. Par exemple, toujours éteindre complètement son PC et attendre plusieurs minutes avant de le laisser sans surveillance. Aussi, il faut se protéger contre d’éventuel malware ou rootkit qui peuvent compromettre la sécurité de la machine.
Comment expliquez-vous le nombre élevé d’itération utilisé ? Vous ne risquez pas de porter atteinte à la performance et le temps d’exécution de certaines 28
www.teramagazine.net
opérations ? La sécurité de la dérivation de clef est liée à deux paramètres: le mot de passe et le nombre d’itérations. Avec les avancés récentes sur les attaques par force brute grâce au Cloud et aux ASICs, et vu que les êtres humains ont du mal à mémoriser de vrais mot de passe aléatoire, il est devenu important d’utiliser un nombre élevé d’itération afin d’assurer une sécurité minimale. Au niveau performance, l’utilisation d’un nombre élevé d’itération n’a pas d’impact sauf lors de l’ouverture du volume ou du démarrage du système. Une fois que c’est fait, les opérations de lecture et d’écriture sont aussi rapides que si les itérations étaient faibles. Ceci étant dit, la version 1.12-BETA de VeraCrypt introduit une nouvelle feature appelé “dynamic mode” qui permet de choisir un nombre d’itération faible si le mot de passe dépasse 20 caractères et cela à travers d’un nouveau champ appelé PIM.
aider à communiquer la-dessus.
De quoi vous avez besoin pour booster le projet VeraCrypte?
Aujourd’hui, il y a un besoin de contribution sur la partie graphique de VeraCrypt (icones, bitmap) ainsi que la traduction de la documentation en plusieurs langues car aujourd’hui elle est seulement en Anglais. Ce dernier point est important afin de faciliter l’utilisation de VeraCrypt chez les non-anglophones. La même chose s’applique pour le site web et toute contribution pour permettre d’avoir un site dédié multi-langue serait apprécié.
Avez-vous d’autres propos à partage? VeraCrypt est un projet open source ouvert sur la communauté des utilisateurs mais aussi celle des développeurs. Ces derniers sont encouragés à étudier le code source et y contribuer. Pour le moment, il y a eu très peu de contributions externes au code source, mais je suis sûr qu’avec le temps, de plus en plus de développeurs vont s’intéresser au projet car VeraCrypt est avant tout un outil qui a pour vocation de servir à tous.
Récemment un deuxième audit autour la sécurité de truecrypt a eu lieu. Les rapports publiés ne relèvent pas de graves soucis de Un dernier mot pour les lecsécurité. Veracrypt a-t-il était teurs de TeraMagazine soumis à un audit similaire ? Je pousse les lecteurs à réfléchir de Pour le moment, il n’y a pas eu d’audits externes de VeraCrypt. Comme vous le savez, ce genre d’audit nécessite un financement conséquent. VeraCrypt est ouvert à toute contribution financière qui pourrait aider à faire ce genre d’audit externe.
Comment faites-vous pour soutenir ce projet gratuit? Ne pensez pas de faire du Crowdfunding ? Pour le moment, il n’y a pas de soutien financier à VeraCrypt à part quelques dons reçu au travers de PayPal qui ne couvrent pas les frais de développement. VeraCrypt est avant tout une démarche personnelle pour fournir à la communauté un logiciel de qualité professionnelle mais il est clair que pour pouvoir continuer, un financement est nécessaire. C’est pour cela que l’idée du crowdfunding s’est imposé et j’ai eu quelques contacts avec des personnes qui peuvent aider à faire une tel démarche. Néanmoins, vu la nature trop technique du projet, il est difficile de juger du succès d’une telle démarche. C’est pour cela qu’il est nécessaire de trouver les bonnes personnes de la communauté open source qui pourront
l’importance du chiffrement des données comme étant un droit universel au même titre que le droit de propriété. Depuis des décennies et surtout après la création de PGP, il y a une forte pression de la part des politiques afin d’interdire ou limiter l’utilisation du chiffrement, et cette pression s’est accentuée ces dernières années. Mais l’actualité nous montre que nos vies numériques deviennent de plus en plus fragiles face aux attaques multiples et seul un chiffrement personnel peut en garantir la sécurité. Bien sûr, il y aura aussi des abus de la part de personnes malveillantes mais les lois n’ont jamais arrêté les criminels déterminés et affaiblir la sécurité collective ne va pas protéger nos vies individuelles.
VeraCrypt a corrigé plusieurs failles et faiblesses découvertes dans le code de TrueCrypt soit en interne soit au travers des deux audits externes (Open Crypt Audit Project) MOUNIR IDRASSI
Tera Magazine
UN NOUVEL ASPECT DU DROIT D’ACCÈS À L’INFORMATION PUBLIQUE
L’OPEN DATA AU MAROC L
E DROIT D’ACCÈS À L’INFORMATION EST UN DROIT FONDAMENTAL DANS LES DÉMOCRATIES DEPUIS PLUSIEURS DÉCENNIES, CE DROIT A DONNÉ NAISSANCE À L’OPEN DATA. CE MOUVEMENT FAIT ACTUELLEMENT L’OBJET D’UNE GRANDE ATTENTION À L’ÉCHELLE INTERNATIONALE. L’open data (en français : L'ouverture des données) représente à la fois un mouvement, une philosophie d'accès à l'information et une pratique de rendre les données publiques accessibles et exploitables aux citoyens. Cette philosophie s'inscrit dans une tendance qui considère l'information publique comme un bien commun dont la diffusion est d'intérêt public et général. Les anciennes démocraties (USA,UK,..) ont mis depuis 2009-2010 des outils permettant ouvrir l’accès à leurs données publiques. Au Maroc, Le droit d’accès à l’information publique est garanti par la Constitution de 2011 qui confirme dans l’article 27 le droit d’accès à l’information publique dans les termes suivants : « Les
citoyennes et les citoyens ont le droit d’accéder à l’information détenue par l’administration publique, les institutions élues et les organismes investis d’une mission de service public. Le droit à l’information ne peut être limité que par la loi, dans le but d’assurer la protection de tout ce qui concerne la défense nationale, la sûreté intérieure et extérieure de l'état, ainsi que la vie privée des personnes, de prévenir l’atteinte aux droits et libertés énoncés dans la présente Constitution et de protéger des sources et des domaines expressément déterminés
par la loi. ». Ce droit constitue un pas
en avant en matière de la consolidation démocratique et d’ancrage de l'état de droit. Le Maroc ne s’est pas tardé à rejoindre la tendance de l’open Data. En effet, le ministère de l’Industrie, Commerce et des nouvelles technologies, a lancé dans le cadre du plan Maroc Numeric en avril 2011, une platforme web pour L'open data Marocain http://www.data.gov.ma. ce qui faisait du Maroc, un des premiers pays qui s’est doté d’une plate-forme Open Data au niveau arabe et africain. Le site data.gov avait pour objet de fournir un annuaire de données publiques disponibles sur plusieurs sites, dans un format directement exploitable. Les données collectées émanent de 8 secteurs : santé, Emploi, Éducation, R&D,cartographie,Tourisme, Finance, société. A l’heure actuelle, le site data.gov.ma (Les données publiques de l’administration marocaine) présente un certain nombre de données en nombre limité (110 au total), datant de la période de 2010 ou 2015, sous format Excel. Parallèlement, quelques sites de ministères ou d’établissements publics fournissent des données brutes, de manière régulière : Le site de l’Office des changes(www. oc.gov.ma/portal/) fournit des données relatives aux échanges commerciaux du Royaume. Le site du Haut-commissariat (www. hcp.ma/ ) au Plan fournit des données relatives à la population, avec différentes thématiques, recueillies lors du recensement de la population. Le site du ministère de l’Economie et des Finances (http://www.finances.gov. ma) fournit notamment des données relatives aux opérations de financement du trésor.
Par : MOHAMMED DAOUDI PROFESSEUR ASSISTANT. MI
Le portail marocain de l’open data : data.gov.ma
Classement mondial du maroc en OpenData. src: index.okfn.org
Certaines organisations internationales s’engagent également sur la voie de l’Open Data. La Banque Mondiale a inauguré son portail Open Data (data. worldbank.org) en avril 2011. La Banque Africaine de Développement lance sa plateforme Open Data (dataportal.afdb. org) pour vingt pays africains, dont le Maroc, en mars 2013. L’open data ouvre un nouvel horizon d’exploitation des données qui ont été historiquement détenues par les organismes publics. un fait qui peut constituer un accélérateur économique et renforce le renouvellement et la modernisation des établissements publiques.
www.teramagazine.net
29
Tera Magazine
SÉCURITÉ TELECOMS
QUAND VOTRE MÉMOIRE VOUS TRAHIT
COLD BOOT L
es DRAM utilisées dans la plupart des ordinateurs modernes conservent leurs contenus pour des durées entre quelques secondes à quelques minutes après la mise hors tension même si elles sont retirées de la carte mère. Ceci est dû à l’architecture électronique des DRAMs, qui est basée sur des condensateurs qui ont besoin d’un certain temps pour se décharger. Les DRAMs sont moins fiables quand ils ne sont pas rafraîchis, leurs contenu n’est pas immédiatement effacées, il persiste suffisamment, permettant l’acquisition malveillants (ou légale) d’une image complète de la mémoire à un instant donné. La récupération des informations de la sorte est appelé « cold boot attack ». L’attaque cold boot limite la capacité d’un système d’exploitation pour protéger des données sensibles stockées en mémoire telle que la clé cryptographique, devant un attaquant ayant un accès physique (en cas de vol ou d’acquisition,..). Le Cold boot peut agir sur les systèmes de chiffrement des disque populaires - BitLocker , FileVault, veracrypt, et TrueCrypt - sans utiliser des dispositifs ou des matériaux spéciaux ou complexes. L’ensemble de l’opération de lecture de la clé ne dure que quelques minutes
RAPPEL:
Chaque bit mémoire est composé d’un transistor et d’un condensateur. Le rôle du condensateur est de maintenir l’état du bit (chargé = 1, déchargé = 0). Le transistor sert à changer l’état du condensateur ou à connaitre l’état de celui-ci (pour la lecture). Dans un chip mémoire, ces bits se présentent sous la forme d’une matrice constituée de ligne et de colonnes. A noter que pour maintenir l’état du condensateur, il est nécessaire de l’alimenter périodiquement, c’est ce qu’on appelle le refresh. une applete Java disponible à https://goo.gl/AwijoA vous permettra de visualiser ces changements électroniques en temps réel.
30
www.teramagazine.net
Par : BOZIDI HICHAM
COMPUTER FORENSICS INVESTIGATOR(BT)
Pourquoi la RAM ?
Nous savons tous, que La RAM a pour fonction de sauvegarder temporairement des informations volatiles. Dans cette RAM peuvent être stockés des programmes en cours d’exécution ou des informations partagées. Entre autre au niveau de la sécurité, la RAM peut contenir des informations mises en clair tel que les clés de chiffrements primordiaux pour mener l’opération de chiffrement et de déchiffrement. Les logiciels et les protocoles de chiffrement stockent en RAM ces clés pour permettre un chiffrement/déchiffrement à la volée dès que l’information est demandée, donc si La clé est récupérée, elle permettra à d’autres personnes de déchiffrer les informations présentes dans le disque dur. Si vous n’êtes pas un des fans du chiffrement, la RAM peut aussi stocker d’autres informations telles quel les fichiers utilisés par un programme, un E-mail, une image, … Quel que soit le contenu, Le principe est de récupérer les informations qu’un ordinateur a stocké dans la RAM en utilisant un autre ordinateur ou un autre périphérique (USB,disque dur externe).
l’attaque cold boot limite la capacité d’un système d’exploitation pour protéger des données sensibles sotckées en mémoire telle que la clé cryptographique
Tester Coldboot
Tera Magazine
Sous linux, créer le programme Python suivant: #!/usr/bin/env python a = “” while 1: a += “Tera”
Le chargement d’une image bitmap depuis la mémoire après une coupure de courant pour des durées variables. Après 5 secondes (à gauche), l’image récupérée est identique à l’original. Elle devient peu à peu plus dégradée, comme indiqué dans la figure respectivement après 30 secondes, 60 secondes, et à 5 minutes.
Cold boot contre Android Deux chercheurs allemands ont publié un article(https://goo.gl/X5LQdL) dans lequel ils montrent comment peut-on utiliser l’attaque ColdBoot pour contourner le chiffrement des téléphones Android. Ils ont fait refroidir un téléphone chiffré à -10°C, ils l’ont mis hors tension et ils ont ensuite booté (via fastboot) le téléphone sur une ROM de récupération baptisée FROST (Forensic Recovery of Scrambled Telephones). FROST permet de lire les données de la RAM. Ils ont réussi à récupérer depuis la RAM des photos, des SMS, des historiques web, des emails, des contacts, des identifiants WiFi...Etc.
Outils utilisés en ColdBoot Les outils suivants (disponibles sur : https:// citp.princeton.edu/research/memory/ code/) permettent de récupérer et de manipuler vos copies de mémoire. • bios_memimage sert à démarrer une machine via le réseau (PXE) pour copier la mémoire vive. • Efi_memimage utilise l'interface EFI et apporte la couche TCP/IP de BSD pour permettre une copie de la mémoire via TCP. • Aeskeyfind récupère les clés AES 128 ou 256 bits à partir de ces copies et rsakeyfind pour les clés RSA.
Il existe également la possibilité de positionner la clé de chiffrement des données en disque dur directement dans le CPU plutôt que dans la RAM
Ce programme va remplir la mémoire des copies du mot Tera. Ensuite, exécutez la commande de synchronisation sync pour vider les données mises en cache sur le disque dur. lancer le programme Python pour plusieurs minutes. Il n’ affichera rien sur l’écran, mais après un certain temps, vous devriez voir l’activité du disque dur et de la mémoire se remplit et les données sont mises en swape. Mettez le hors tension en débranchant l’limentation ou la batterie. Après le redémarrage du système, recherchez le motif “Tera” en mémoire. Vous pouvez utiliser la commande suivante pour imprimer des chaînes de texte contenues dans la RAM: sudo strings /dev/mem | grep “Tera”
Si vous retrouvez le mot “tera” affiché, votre mémoire est vulnérable et une partie du contenu de la mémoire a survécu après le redémarrage.
Afin d’allonger la durée on peut procéder au refroidissement de la DRAM aux alentours de -50°C en utilisant un spray. Cette opération fait persister les données pendant plusieurs minutes après l'extinction de l’ordinateur, avec un minimum d'erreur. Après 10 minutes, on obtient une dégradation très faible.
PROTECTION
Pour déjouer cette pratique de cold boot, nous pouvons avoir recoure à plusieurs mesures: Une configuration du BIOS appelé « Quick Boot » permet de forcer la machine à faire un test et un écrasement de la mémoire. Si le pirate n’a pas la possibilité d’enlever la RAM de la machine, il sera forcé de la redémarrer pour avoir le contenu de la RAM et le Quick Boot effacera la RAM à son redémarrage. Il existe également la possibilité de positionner la clé de chiffrement des données en disque dur directement dans le CPU plutôt que dans la RAM. C’est
ce que proposent les patchs kernel TRESOR et Loop-Amnesia sous Linux, ceux-ci proposent en effet d’utiliser le registre CPU pour stocker la clé de chiffrement plutôt que d’utiliser la RAM pour cela. Une autre mesure, consiste à remplir la RAM de données aléatoire autres que celles utilisées lors de l’extinction de la machine, ainsi les données contenues en RAM si elles sont récupérées ne seront pas exploitables, c’est par exemple ce que fait la distribution Tails, basée sur Debian et utilisée par Edward Snowden lors de sa fuite. www.teramagazine.net
31
DISCUSSION
Tera Magazine
SÉCURITÉ TELECOMS
CENTRE MAROCAIN DE RECHERCHES POLYTECHNIQUES ET D’INNOVATION
CMRPI Par: Anass Filali
C’est moi qui vous remercie pour votre invitation, et c’est un plaisir pour moi de partager avec vous et également avec vos lecteurs les grandes préoccupations du Centre Marocain de Recherches Polytechniques et d’Innovation (CMRPI), que j’ai l’honneur, entant qu’enseignant chercheur, d’être son président et fondateur.
En quelques mot c’est quoi le CMRPI, dont vous êtes le président? Le Centre Marocain de Recherches Polytechniques et d’Innovation (CMRPI), fondé en 2012 par des enseignants chercheurs et universitaires marocains de l’intérieur et de l’extérieur du Maroc, est une association savante a but non lucratif positionnée dans l’optique recherche scientifique appliquée, développement et Innovation (R&D). Le CMRPI vient pour donner une autre dimension à la recherche scientifique dont l’impact est direct sur la société.
Quels sont les missions de votre centre? Quel est son plan d'activités? Le CMRPI a pour vocation de promouvoir les efforts du Maroc dans la valorisation des résultats des recherches scientifique afin de servir les domaine prioritaires à l’échelle nationale, ainsi inviter les compétences marocaines exerçant dans les universités marocaines et également les chercheurs marocains dans des universités étrangères pour orienter leur recherches vers des recherches appliquées dont le Maroc a besoin pour son développement économique et sociale. Afin de répondre à ses objectifs, depuis sa création, le CMRPI a dressé un plan d’action focalisé sur trois axes principaux : • Promouvoir l’ouverture de l’université sur le monde socio-économique marocain, par l’assurance d’un transfert du savoir vers les domaines prioritaires du Maroc à savoir : les énergies renouvelables, la gouvernance des www.teramagazine.net
BENTALEB
Site Web: www.cmrpi.ma
Mr Bentaleb, merci d’avoir acceptez notre invitation pour discuter autour du CMRPI. Au début pourriez-vous, vous présenter à nos lecteurs?
32
Avec Mr Youssef
systèmes d’information et la sécurité et également l’enseignement et la pédagogie. • Encourager et encadrer les jeunes chercheurs • L’exploitation des coopérations internationales dans le domaine de la recherche scientifique, le transfert du savoir, et inviter les chercheurs marocains de l'étranger pour contribuer et orienter leurs recherches pour servir notre pays.
Cette année vous avez organisé la deuxième édition de la Campagne Nationale de Lutte Contre la Cybercriminalité. Pourriez-vous nous expliquer le principe et les raisons qui ont donné naissance à cette compagne? L’organisation de la deuxième édition de la campagne nationale de lutte contre la cybercriminalité, constitue un des aspects de l’ouverture du centre marocain de recherches Polytechniques et d’Innovation sur les composantes de la société à savoir les établissements publics, semi publics, privés et même les citoyens, puisque la lutte contre la cybercriminalité, constitue un grand défi qui nécessite une stratégie efficace basée sur des recherches scientifique, des formation avancées et des compétences. Le CMRPI, à travers cette campagne de quatre années (2014-2017), organisée sous l’égide du Ministère de l’Industrie, du Commerce, de l’Investissement et de l’Economie Numériques, en partenariat avec plusieurs établissements publics et associations, vise à sensibiliser toutes les couches de la société sur un phénomène qui concerne tout le monde et menace la sécurité de pays et bien notamment les données personnelles des citoyens et des organismes. Donc c’est un engagement du CMRPI d’avoir lancé cette initiative et qui est devenu aujourd’hui une initiative nationale impliquant toutes les parties prenantes dans le domaine de la sécurité des nouvelles technologies de l’information et de la communication à l’échelle nationale.
D'après vous quels sont les
grands défis auxquels le Maroc est confronté en matière de la Cybercriminalité? Le Maroc, comme le cas de tous les pays, est confronté aux grands défis de la cybercriminalité, qui peuvent être exprimés par la nécessité de la mise en place sur place des instances compétentes, d’un arsenal juridique à jour, des ressources humaines qualifiées, et également d’une stratégie nationale de sensibilisation de établissements publics et privés et de tous les citoyens aux dangers et aux bonnes pratiques pour faire face à un phénomène transfrontière en évolution exponentielle
Quelle est la stratégie de la campagne? À qui s’adresse cette deuxième édition? Cette deuxième édition de la campagne, est une continuité de la campagne 2014, elle a pour objectif à continuer à impliquer les directions des systèmes d’informations des établissement publics, semi-publics, bancaires et financiers, en terme de formation des responsables SI, mais également de sensibiliser les jeunes internautes marocains, à travers une stratégie basée sur l’implication du tissu associatif et l’exploitation des réseaux sociaux pour sensibiliser le maximum possible de citoyens, sans oublier l’implication des experts, professionnel et universitaire par l’organisation de la deuxième conférence internationale du cyber-sécurité et cybercriminalité.
Est ce que cette compagne couvre tout le Maroc? La campagne est a dimension nationale, nous avons uns stratégie d’implication régionale, jusqu'à ce jour nous avons travaillé sur les région de Rabat - Salé - Zemmour – Zaër,Gharb - Chrarda - Béni Hssen ; Grand Casablanca ; Marrakech - Tensift - Al Haouz ; Souss - Massa – Drâa ; Tanger – Tétouan et la région Orientale, alors que l’ensemble des régions non couverte seront l’objet des éditons prochaines.
Quels sont les entités engagées au côté du CMRPI dans cette compagne? La campagne 2015, est organisée avec le par-
Tera Magazine
rainage du Ministère de l’Industrie, du Commerce, de l’Investissement et de l’Économie Numériques, en partenariat et en collaboration avec le Ministère de l’Enseignement Supérieur, de la Recherche Scientifique et de la formation des cadres, le Ministère de l’Éducation nationale et de la formation professionnelle, ), la Direction Générale de la Sûreté Nationale (DGSN), la Commission Nationale de Contrôle de la Protection des données à caractère Personnel (CNDP ), Bank Al Maghrib, des universités et des associations
D'autres acteurs, publics ou privés, doivent-ils rejoindre l'initiative ?
La campagne est ouverte pour l’ensemble des établissements publics, semi-publics, bancaires et financiers, mais encore le secteur privé qui sera l’objet principal de l’édition 2016, dans ce sens la campagne compte sur l’implication des établissements privés en particulier la CGEM.
Pourriez-vous nous dressez un bilan de la première et la deuxième Campagne ? Le bilan de la première édition 2014 est déjà communiqué et publié, on peut le consulter sur le site officiel du Centre Marocain de Recherches Polytechniques et d’Innovation (www.cmrpi.ma), le bilan est très positif vue l’implication d’un grand nombre d’établissements, or le bilan de la campagne 2015, il est en cours de finalisation par le comité de rédaction du rapport final et recommandations et sera publié très prochainement, et nous aurons le plaisir de le publier sur votre Magazine.
Comment évaluer vous la mise en place d'une stratégie nationale de sécurité des systèmes d'information et de communication ? Il faut être sincère que le Maroc est considéré parmi les pays les plus avancé à l’échelle africaine et dans le monde arabe, au niveau de la mise en place d’une stratégie nationale de sécurité des systèmes d’Information et de Communication, une telle stratégie repose sur la mise en place de structures organisationnelles dédiées à la lutte contre la cybercriminalité à savoir d’une direction générale de la sécurité des systèmes d’information relevant de l’administration de la défense Nationale, la création d’une cellule de lutte contre la cybercriminalité relavant de la direction générale de la sûreté Nationale, de la création de la CNDP. L’adoption de plusieurs textes de loi et convention internationales, par exemple la convention de Budapest de lutte contre la cybercriminalité et son protocole additif, la loi 08-09 et d’autres textes. Or il est à signaler qu’il reste beaucoup du travail à faire pour assurer la cohérence et la coordination entre les instances et également l’application des textes de loi adopté, sa mise à jour et l’accompagnement pour la confor-
mité aux exigences de sécurité.
Comment voyez-vous la politique nationale de sensibilisation des citoyens face à la cyber-criminalité? A ce moment, autre cette première campagne nationale de lutte contre la cybercriminalité (2014-2017), il faut dire qu’il n’y pas à ma connaissance une stratégie officielle de sensibilisation des citoyens marocains aux dangers de la cybercriminalité basée sur l’information et également la formation, puisque le phénomène est compliqué et présente un défi envers le simple citoyen usager des nouvelles technologies de l’information et de la communication.
À votre avis les efforts déployés en vue de renforcer l'arsenal juridique marocain en matière de cybercriminalité sont ils suffisant pour protéger les citoyens et les entreprises? Sur le plan théorique, je pense que, l’arsenal juridique dont dispose le Maroc peut être considéré comme une solide base, à améliorer, pour protéger les citoyens et les entreprises, mais le vrai problème se pose au niveau de l’application des textes de loi qui nécessite la disposition des ressources humaines et matérielles nécessaires, bien notamment la formation des magistrats, des avocats et des experts sur un domaine à caractère technique complexe.
D'après vous est ce que la législation Marocaine définit bien l'acte de Cyber criminalité?
Le Maroc, comme je l’ai déjà rappelé a ratifié en 2013 la convention du Budapest relative à la cybercriminalité et également son protocole additif, cette convention défini l’acte cybercriminel, un effort doit être fait pour adapter les textes de loi internes, en particulier le code pénal, pour tenir en compte de la dimension internationale du terme et son évolution.
Le Maroc sera est t-il doté d’entités de protection et de défense contre les cyber-attaques, que ça soit de l'intérieur ou de l'extérieur? Sur le plan de la défense contre les attaques extérieurs ou intérieurs cybercriminelles, surtout celles qui présente une menace aux infrastructures critiques ou d’importance vitale, c’est la direction générale des systèmes d’information (maCert) qui assure la veille à la sécurité des systèmes d’information étatiques, et c’est encore les service compétents de la direction générale de la sûreté nationale (cellules de lutte contre la cybercriminalité) parfois en collaboration avec l’interpole qui est chargé des attaques internes.
Quels sont les plans futurs du CMRPI ? Le CMRPI, au niveau de la campagne nationale de lutte contre la cybercriminalité, s’engage en collaboration avec ses partenaires, et dans les éditions 2016 et 2017 d’impliquer le secteur privé, de passer à la sensibilisation grand public afin d’instaurer au sein de la société d’une culture d’usage sécurisé des nouvelles technologies de l’information et de la communication. Sur d’autres plans de recherches et d’innovation, le CMRPI va continuer ses efforts pour assurer le secteur socio-économique de l’intérêt d’exploiter la richesse du Maroc en ses ressources humaines, bien notamment les chercheurs.
Un dernier mot aux lecteurs de TeraMagazine A l’occasion de la campagne nationale de lutte contre la cybercriminalité, j’aimerai adresser un mot aux chers lecteurs de TeraMagazine, sur le vrai danger que présente les nouvelles technologies de l’information et de la communication, et également de la cybercriminalité, et qui réside particulièrement, dans le fait que bien que la technologie à révolution notre monde, nos habitudes, et notre quotidien, de telle façon qu’aujourd’hui nous sommes étroitement dépendants, mais il faut savoir que le prix est souvent notre vie privé qui est menacée ou dévoilée devant tout le monde, il est temps de se méfier, et il est indispensable aujourd’hui de s’informer sur les moyens technologiques dont nous disposons, avant de commencer a exploiter leur confort.
le Maroc est considéré parmi les
pays les plus avancé à l’échelle africain et dans le monde arabe au niveau de la mise en place d’une stratégie nationale de sécurité des systèmes d’informations DR. YOUSSEF BENTALEB
www.teramagazine.net
33
Tera Magazine
SÉCURITÉ TELECOMS
RANSOMWARE PAYER POUR REVOIR VOS FICHIERS
Par : RIWI HOUSSAM SECURITY RESEARCHER
L
Ransomware
ES MENACES INFORMATIQUES ÉVOLUENT EN TEMPS, EN DANGER ET EN FORME. AVEZ-VOUS DÉJÀ ENTENDU DIRE QU’ON PEUT KIDNAPPER ET PRENDRE EN OTAGE VOTRE DISQUE DUR ? DE VOUS DEMANDER EN ÉCHANGE UNE RANÇON ? IL NE S’AGIT PAS D’UN HOLD-UP ORDINAIRE, MAIS SOUS UNE NOUVELLE FORME NUMÉRIQUE. LES HACKERS EN CHERCHANT DU PROFIT ILS ONT RECOURS À TELLES PRATIQUES POUR VOUS CHANTER. L’IDÉE EST DE CRYPTER À VOTRE INSU VOTRE DISQUE DUR OU VOTRE SMARTPHONE, VOS DONNÉES SERONT ALORS INACCESSIBLES ET PERSONNE, À PART CELUI QUI L’A CRYPTÉ, NE PEUT VOUS RENDRE VOS DONNÉES. VOUS DEVEZ NÉGOCIER ET RÉPONDRE AUX DEMANDES DES KIDNAPPEURS POUR LES REVOIR À NOUVEAU. LE MAROC N’EST PAS À L’ÉCART DE CETTE MODE, UNE TELLE PRATIQUE Y COMMENCE À APPARAÎTRE, ON A RECENSÉ UN CERTAIN NOMBRE DE CAS D’INFECTION, CERTES C’EST ENCORE LIMITÉ, MAIS CE N’EST QUE LE DÉBUT.
34
www.teramagazine.net
L
e Ransomware est un type de malware qui empêche ou limite les utilisateurs d’accéder à leur données. Ce type de malware oblige ses victimes à payer la rançon par certaines méthodes de paiement en ligne afin de donner accès à leurs systèmes, ou pour obtenir leurs données. Les prix de rançon varient, entre 24 euros à 600 euros, ou même son équivalent en bitcoin. Il est important de noter, cependant, que le paiement de la rançon ne garantit pas que les utilisateurs puissent éventuellement accéder au système. Certains ransomware crypte les fichiers (appelé Cryptolocker). Autres ransomwares utilisent Tor pour cacher leurs C & C (appelé CTB Locker). Un autre exemple qui a touché le Maroc, il y a deux ans, est le Ransomware de la Sûreté Nationale. Une variante du Trojan Reveton appartenant à la famille Police Ransomware apparue en 2013 bloquant l’accès à l’ordinateur en se faisant passé par les autorités de Sûreté Nationale. Dans mon article je m’intéresse plus aux ransomwares qui cryptent vos données.
LE RANSOMWARE DE LA SÛRETÉ NATIONALE AFFICHE UN MESSAGE D’INTERDICTION D’ACCES AUX DONNÉES ET DEMANDE UNE SOMME DE 3000 DH SOUS PRETEXTE D’ENFREINTE AUX TEXTES DE LA PROTECTION DE LA PROPRIETE INTELECTUELLE.
CryptoLocker
L
es premiers ransomwares primitifs datent des années 90, il s’agissait de quelque cas rares et à diffusion limitée. Ces malwares ont repris l’activité depuis mai 2004 sous des formes modernes, complexes et indétectables. Ils sont apparus en premier temps en Russie et ils se sont propagés partout dans le monde. Depuis, le nombre des ranswomares n’a cessé d’augmenter. En 2012 Mcafee a enregistré 120 000 nouveaux échantillons. À la fin de 2013, un nouveau type de ransomware émerge qui chiffrent les fichiers, mis à part le système de verrouillage. Ce nouveau type de ransomware a été surnommé “CryptoLocker” en raison de son nouveau comportement. La complexité se manifeste par le fait de l’augmentation les tailles de clefs de chiffrement pour rendre le décryptage une mission très difficile. En effet, en En 2014 cryptowall utilise une clef d’une longueur de 2048 bits rendant impossible le déchiffrement de données sans avoir la clé privée et donc sans payer la rançon. Les CryptoLockers ne ciblent pas que les ordinateurs personnels, mais ils touchent aussi les entreprises. Je cite à titre d’exemple « OMG ! ransomware » ou « coinvault ». Le premier effectue des attaques de bruteforces RDP(Remote Desktop Protoco). Une fois l’accès TSE acquis le ransomware est installé et propage via le réseau. Les documents seront cryptés en des fichiers .OMG.
Tera Magazine
Android
Android n’est pas à l’abri des ransomwares. La première apparition a été enregistrée par Symantec en 2014. Il s’agissait d’une fausse application de protection Android, Fakedefender qui en exploitant les vulnérabilités connues dans les documents PDF et MS Office, chiffre toutes vos données et demande une rançon.
LE CHIFFREMENT DES DOCUMENTS PERSONNELLES EXISTANT SUR UN ENDROID, SUITE À UNE INFECTION PAR RANSOMWARE
LA NOTE DE RANÇON DE CRYPTOLOCKER SPÉCIFIE L’USAGE DE “RSA-2048” POUR LE CHIFFREMENT DES DONNÉES.
Infection I
l faut néanmoins ne pas tomber dans la paranoïa; une infection par un code malicieux ne tombe pas du ciel. L’infection émane de votre responsabilité. Elle est en général véhiculée par les vecteurs d’infection classique. Vous pouvez être victime d’une pièce jointe à un mail ou lorsque vous cliquez sur un lien malveillant ou si vous visitez un site suspect profitant d’une vulnérabilité applicative ou réseau afin d’infecter automatiquement votre ordinateur. Par exemple le Virlock se propage via des spams et l’installation de faux programmes et drivers sous Windows. Vous devez prendre les mesures standards de sécurité au sérieux et mettre à jour les logiciels utilisés et se protéger. Si par malheur vous êtes victime d’un ransomware et vous voulez récupérer vos documents vous pouvez utiliser des outils offerts par Kaspersky,TrendMicro, Dr.Web ou Symantec. Ces outils peuvent vous aider à déchiffrer
LE PROCESSUS D’INFECTION PAR LES RANSOMWARE, LE PLUS UTILISÉ PAR LES HACKERS.
vos documents en exploitant des erreurs commises (par les développeurs des ransomwares) lors de l’utilisation des algorithmes de chiffrement ou des clés qui peuvent être stockés sur vos machines. Les ransomwares sont très dangereux et embêtant, Penser à des solutions de backups ou Cloud pour faire des copies de sauvegarde des documents importants et ne jamais baisser la garde, faites la chasse aux malwares.
LA NOTE DE RANÇON DE CRYPTOLOCKER : VOS FICHIERS SONT CRYPTÉS www.teramagazine.net
35
Tera Magazine
SÉCURITÉ TELECOMS
VULNÉRABILITÉ
MEMORY HAMMERING RowHammer est due à une défaillance qui se trouve uniquement dans les dernières générations de puces DRAM. Seulement en lisant de la même adresse plus 100K fois, il est possible de corrompre les données dans une adresse à proximité. PAR : KERROUMI KAMAL
PHD M.ELECTRONICS OTA UNIVERSITY
R
écemment, l’équipe du projet Zéro de Google a publié un article de recherche démontrant l’application de l’attaque Rowhammer pour prendre le contrôle et acquérir des privilèges d’administrateur sur un grand nombre de machine linux. Le danger consiste non pas à profiter d’une faille logicielle, mais à exploiter un bug physique, un problème électromagnétique qui a été découvert sur certaines barrettes de Ram. Un exploit qui a fait bouger les milieux de la sécurité informatique. Un véritable défi de sécurité informatique, car les DRAM sont une base l’architecture des ordinateurs des serveurs et des ‘data-center’. Or, la faille qu’ils exploitent, baptisée Rowhammer, est difficile à corriger: étant donné qu’elle est matérielle, non logicielle, un « patch » ne suffit pas pour s’en protéger. Pour cela, il faut repenser la façon dont les barrettes mémoire sont conçues, c’est une tâche bien fastidieuse. RowHammer est due à une défaillance qui se trouve uniquement dans les dernières générations de puces DRAM. Juste en lisant de la même adresse plus 100K fois, il est possible de corrompre les données dans une adresse à proximité. En exploitant ce défaut on peut permettre à un programme malveillant à détourner les techniques de protection de la mémoire. Rowhammer est une vulnérabilité dans les dispositifs DRAM qui permet les attaques telles que l’escalade de privilèges et de « Sandbox evasion ».
36
www.teramagazine.net
LA MÉMOIRE DYNAMIQUE DDRAM La DRAM (dynamic random-access memory) est logiquement une matrice de données binaires 1 et 0. D’un côté matériel, la DRAM est une grille constituée des millions de condensateurs. Chacun a une « adresse » localisée par l’intersection d’une ligne et d’une colonne de la matrice. La DRAM sauvegarde les informations ou les données sous un format électrique, Lorsque les condensateurs sont chargés, ils représentent un 1. Lorsqu’ils sont déchargés, ils représentent un 0. Pour éviter la décharge de ces
condensateurs, ils doivent être rafraîchis toutes les 64 millisecondes ou ils seront corrompus. Votre ordinateur lit ou modifie en permanence le statut de ces condensateurs en y accédant par le biais de leur adresse. Ces condensateurs sont packagés dans des circuits intégrés et ils sont tellement proches les uns des autres qu’ils peuvent avoir des fuites électromagnétiques et transmettre leurs charges à des condensateurs voisins, soit faire passer la valeur sauvegardée d’un 0 à un 1 et inversement.
Tera Magazine
HAMMERING L’histoire a commencé, En 1994, l'unité à virgule flottante Intel P5 Pentium avait un bug qui pouvait retourner des résultats incorrects lorsque vous faites des calculs complexes. En 2003, un chercheur Govindavajhala (https://goo.gl/ Izz32O), A montré que les erreurs de mémoire peuvent conduire à des failles de sécurité graves dans des machines virtuelles Java et .NET, ou dans tout système qui repose sur la vérification du type du programme non approuvés comme un mécanisme de protection. L’attaque fonctionne en envoyant à la JVM un programme Java qui est conçu de sorte toute mémoire erreur dans son espace d'adressage lui permettra de prendre le contrôle de la JVM, Certaines fonctions JavaScript, comme des tableaux typés (efficacement des tableaux d'octets contigus), semblent également susceptibles d'être exploitables. En 2014, Un article intitulé “Flipping Bits in Memory Without Accessing Them: An Experimental Study of DRAM Disturbance Errors http://goo. gl/j2q5eA” a montré qu’il était possible de modifier la valeur d’un bit (bit-flip) en forçant l’accès de façon répétée et rapide à des condensateurs adjacents. L’équipe derrière cette recherche démontre qu’en accédant à plusieurs reprises à deux emplacements de mémoire dans l'espace d'adresse virtuelle du processus, ils peuvent causer un bit-flip dans un troisième
emplacement. L'emplacement mémoire ciblé est potentiellement en dehors de l'espace d'adressage virtuel du processus attaquant, il est donc sur une ligne DRAM différente. L’accès répété –nommé martèlement ou hammering - à une ligne dans les DRAMs, peut causer des bits-flips (changement de valeur) dans des rangées adjacentes. L’équipe Google Project Zero a utilisé ce comportement pour gagner les privilèges du noyau sur des machines Linux x86-64 et pour dépasser le sandboxing du native client (NaCl https://goo.gl/5845W6) de chrome en utilisant l’instruction machine CLFLUSH(cache flush). Le bit flips peut être généré par ce simple bout de code en assembleur: code1a: mov (X), %eax mov (Y), %ebx clflush (X) clflush (Y) mfence jmp code1a Ils sont également parvenus dans certains cas à s’attaquer à des zones de mémoire protégées, en modifiant par martèlement des entrées de pages de table, une sorte d’annuaire des adresses mémoire, ce qui leur a permis de gagner par la suite accès à l’ensemble de la mémoire physique de l’ordinateur et d’en prendre le contrôle.
LES MESURES D'ATTÉNUATION En raison de ce manque de fiabilité dans les condensateurs, les serveurs utilisent ECC ou la mémoire de correction d’erreur. Une mémoire ECC (Error Correction Coding ou Error Checking and Correcting) est potentiellement moins vulnérable à cette attaque. Ce type de mémoire se base sur des puces de mémoire supplémentaires de protection pour corriger les bits changés. La mémoire ECC sera potentiellement en mesure de détecter et de corriger le rowhammer bit-flips. L’inconvénient est que la mémoire ECC est plus cher, environ 30% plus cher (même si elle ne contient que 12% plus de protection). Un DIMM de 8 Go non-ECC coûte 500DH en ce moment, alors que l’équivalent ECC coûte 700DH Les CPU et les cartes mères qui utilisent la mémoire ECC sont également légèrement plus chers. Notez que le hacker n’a pas un contrôle complet sur les bits qui seront modifiés. Il est très susceptible de changer des bits erronés et crasher le système. Cependant, les pirates peuvent développer des techniques pour changer des bits de valeur sur la mémoire. L’équipe de Google a émis l’hypothèse que cette vulnérabilité peut être exploitable dans les environnements virtualisés et au niveau de l’application du code virtualisé. En outre, l’équipe de Google a constaté que les efforts de corrections peuvent être mises en place sur les LPDDR4 pour atténuer la vulnérabilité. Malheureusement, Un seul fournisseur de DRAM a déjà intégré la technologie pour se protéger contre Rowhammer dans leurs dispositifs.
FAITES LE TEST Les utilisateurs pourraient tester leurs propres machines en utilisant l’outil de google rowhammer-test disponible sur ghithub (https://github.com/google/rowhammer-test) ou l’outil de Yoongu Kim créé à base de Memtest86 (https://github.com/CMU-SAFARI/ rowhammer) Les deux outils font du martèlement de mémoire à des adresses aléatoires, puis ils vérifient le bloc pour une modification de bits. S’ils détectent une inversion de bits, l’opération prend fin, sinon il continuera le test. La non détection du changement de bits au cours des essaies sur une machine donnée ne signifie pas automatiquement que la machine n’est pas vulnérable.
www.teramagazine.net
37
Tera Magazine
+
SÉCURITÉ TELECOMS
UN GUIDE POUR PROTÉGER VOS
DONNÉES PERSONNELLES FIGURANT SUR VOTRE SMARTPHONE
S
écuriser Android
PAR : HAMID SABRI
DEVELOPPEUR ANDROID & CHERCHEUR EN SÉCURITÉ
S
i quelqu’un est vraiment intéressé, il peut localiser votre position exacte. Il peut même vous prendre en photo, enregistrer le souffle que vous venez de laisser sortir, vous mettre sous écoute, lire tous vos messages, vos contacts et voler toutes vos données sensibles. Bref, tout est possible via votre smartphone. Ce n’est pas de la fiction. Vous avez dans vos poches un ami espion que vous prenez partout: à votre bureau à votre chambre à coucher, la salle à manger. Il enregistre presque tout ce que vous faites et peut être utilisé contre vous en une minute. Croyez-le ou non le smartphone est le pire cauchemar de la vie privée. Pensez à ce que vous avez là-dedans: des adresses électroniques, des numéros de téléphone de vos contacts, Calendrier des rendez-vous, photos, et d’autres données personnelles. S’ajoute à cela le fait que votre smartphone puisse être utilisé pour suivre votre emplacement et pour construire un profil détaillé de
38
www.teramagazine.net
vos allées et venues. Via plusieurs moyens, ces dispositifs peuvent envoyer des données et des informations à propos de leurs utilisateurs à des partis tièrs, ce qui les rend particulièrement gênant non seulement pour ceux qui veulent rester anonymes et protéger leurs vies privées. Même, si vous n’utilisez pas le smartphone pour effectuer un appel réel, vous diffusez un ensemble d’informations (localisation, Id,..) par le simple fait d’utiliser l’appareil. Dans une étude récente menée par HP (http://goo. gl/nqu5xL), 97% des applications testées ont un accès inapproprié aux sources d’informations privées au sein d’un appareil et un 86% n’a pas les moyens de se protéger contre les exploits communs. Conscients de ce problème, nous allons découvrir, des outils qui vous permettent de vous aider à protéger votre vie privée et vous aider à communiquer sans compromettre l’échange effectif de renseignements.
VOUS ÊTES SOUS SURVEILLANCE De nombreuses tâches (lecteurs multimédia, enregistreurs, jeux, GPS et plus) qui étaient autrefois effectuées exclusivement sur PC ont été déplacées vers les téléphones. Pour profiter de toutes ces commodités vous avez besoin d’applications. Malheureusement, celles-ci constituent le maillon le plus faible entre vos données privées et le monde extérieur. Les constructeurs des applications mobiles accèdent à vos données personnelles sous le prétexte d’améliorer le fonctionnement de leurs produits. Les services gratuits du Web comme Google, Twitter, Facebook et d’autres vous offrent un service gratuit en échange de vos informations. Ces informations sont ensuite utilisées pour cibler les annonces. Certains considèrent ce commerce
équitable, mais les militants de la vie privée sont de plus en plus préoccupés par le fait que ces données seront-ils utilisées d’une façon souhaitable. Malheureusement, les applications installées n’indiquent pas clairement comment ils utiliseront vos données et vous n’avez aucun moyen de savoir s’ils sont en sécurité, vous n’avez aucun contrôle dessus. Une composante essentielle de votre smartphone Android est le système d’autorisations. Lorsque vous installez une application. Il vous avertit à ce qu’elle aimerait avoir accès. Vous pouvez ensuite choisir d’installer l’application ou non. Malheureusement, ce système met beaucoup de responsabilité sur les utilisateurs de savoir si ces demandes d’accès sont appropriées.
97% DES APPLICATIONS TESTÉES PAR HP ONT UN ACCÈS INAPPROPRIÉ AUX INFORMATIONS PRIVÉES
Tera Magazine
CONTROLE DES APPLICATIONS GESTION DE LA VIE PRIVÉE COMMENCE PAR CONTRÔLER SES APPLICATION IL Y’A DE MULTIPLES FAÇONS DE VISUALISER LES AUTORISATIONS D’APPLICATIONS. CI-DESSOUS DES APPLICATIONS MOBILES QUI VOUS AIDENT À GÉRER CETTE TÂCHE. SI L’ON VEUT POUVOIR UTILISER UNE APPLICATION EN LIMITANT SES DROITS D’ACCÈS, IL FAUT AVOIR DE PRÉFÉRENCE UN APPAREIL ROOTÉ.
CLUEFUL PRIVACY ADVISOR L’application gratuite de BitDefender, clueful vous aide à découvrir les fonctionnalités auxquelles les applications installées peuvent accéder. Il attribut à chaque application un score de risque. Vous devez désinstaller toutes les applications à haut risque. L’APPLICATION EST DISPONIBLE SUR : HTTPS://GOO.GL/HY0VCA
LEO PRIVACY GUARD
CONTROL DES PERMISSIONS PAR CLUEFUL
MÉFIEZ-VOUS DES APPLICATIONS QUI COMBINENT LES AUTORISATIONS POUR AUCUNE RAISON MALWAREBYTES En plus de son rôle de protection anti-malwate, cette application comprend un gestionnaire de confidentialité. Il scanne les applications et les divise en catégories basées sur les ressources auxquelles ils ont accès (Accès Calendrier, d’accès au stockage, SMS..). L’application vous sera utile lorsque, par exemple, vous souhaitez afficher toutes les applications qui peuvent lire des informations personnelles telles que votre liste de contacts et votre historique Web. L’APPLICATION EST DISPONIBLE SUR : HTTPS://GOO.GL/ZQRKP8
APS OPS LAUNCHER
C’est l’un des plus connus du milieu de la protection de la vie privée. Il est gratuit, simple, convivial et vous permettra de contrôler facilement et en temps réel les autorisations de vos applications. Pour une meilleure performance rootez votre appareil. L’APPLICATION EST DISPONIBLE SUR : HTTPS://GOO.GL/SQL5DQ
FRAMEWORK XPOSED
Google depuis Android 4.3 a introduit la fonctionnalité Aps Ops accessible via l’outil Aps Ops Launcher. Avec cette fonctionnalité, vous pouvez désactiver sélectivement les autorisations liées à la confidentialité. Par exemple, vous pouvez installer l’application facebook et désactiver sa capacité à suivre votre position et lire votre liste de contact.
Si vous utilisiez une ROM personnalisée ou tout simplement un appareil rooté, le frameword XPosed vous permet d’exploiter et personnaliser votre Android au maximum. vous pouvez utiliser la fonctionnalité de contrôle des applications comme un module pour le framework Xposed. Pour les utilisateurs d’Android 5 ce framework est intégré par défaut au système.
L’APPLICATION EST DISPONIBLE SUR : HTTPS://GOO.GL/C3GDYT
L’APPLICATION EST DISPONIBLE SUR : HTTP://GOO.GL/O9OTZS
XPRIVACY Les utilisateurs d’appareils rootés peuvent utiliser XPrivacy. Le gestionnaire facile à utiliser pour Android afin de contrôler les autorisations spécifiques pour toutes les applications installées. Une fois que vous désactivez une caractéristique particulière, disons l’accès à vos contacts, XPrivacy protégera les données réelles et à leurs places il présentera de fausse données, par exemple il passe une fausse liste de contacts à toute application qui en fait la demande. Vous trouverez sur google play l’application X Privacy Installer qui vous aidera à installer XPosed et Xprivacy. L’APPLICATION EST DISPONIBLE SUR : HTTPS://GOO.GL/IFYZOL
CONTROL DES PERMISSION PAR XPRIVAY
NIVEAU DE PROTECTION : LEO PRIVACY
CONTROL DES PERMISSION PAR APP OPS
www.teramagazine.net
39
Tera Magazine
SÉCURITÉ TELECOMS
Sécuriser la communication
SÉCURISER VOS PHOTOS Sécuriser la NavigaLe partage d’images, prises à partir de tion web votre smartphone peut révéler beaucoup d’informations sur vous grâce aux données EXIF(Exchangeable image file format), donc si vous prenez une image avec un appareil photo compatible GPS ou un smartphone, il peut révéler votre emplacement, la date de la prise ainsi que l’identifiant unique du dispositif. A titre d’exemple John McAfee, qui tentait de fuir les autorités, a été localisé au Guatemala grâce à une photo.
EXIF REMOVER Pour enlever les informations EXIF des photos avant de les partager, vous pouvez utiliser l’application immédiate EXIF Remover. L’application n’a pas d’interface. Une fois installée, elle sera disponible en option ‘Partager’. L’application interceptera les images que vous souhaitez partager et supprime toutes les données EXIF, avant de les transmettre au client de courrier électronique ou de tout autre type de partage. Aussi, avant de les téléchargez des fichiers à un service cloud, comme Dropbox ou Google Drive, ayez la bonne idée de crypter vos données. L’APPLICATION EST DISPONIBLE SUR : HTTPS://GOO.GL/UANJRU
KEEP SAFE KeepSafe est un casier privée qui maintient l’ensemble de vos photos et vidéos cachées et protégées derrière plusieurs couches de sécurité. A travers votre galerie de photos vous pouvez choisir les photos et les vidéos que vous voulez protéger. Une fois que vous les passer sur le casier KeepSafe, vous pouvez les supprimer de votre galerie de photo régulière et les afficher que dans KeepSafe. KeepSafe vous donne le plein contrôle des photos et vidéos que les autres peuvent voir si jamais ils obtiennent l’accès à votre téléphone. L’APPLICATION EST DISPONIBLE SUR : HTTPS://GOO.GL/5XA796
Vous pouvez cacher votre activité sur le web. Tout comme n’importe quel navigateur Web de bureau, vous pouvez installer une variété des add-ons pour votre navigateur Android. Vous pouvez utiliser plugin de confidentialité populaire Phony de Firefox, qui vous permet de personnaliser l’useragent du navigateur et de cacher le fait que vous êtes sur un appareil mobile. Pour un contrôle plus complèt, vous pouvez utiliser le plugin CleanQuit qui supprime toutes les informations sur la session précédente, y compris les préférences de navigation et historique de téléchargement et des sites.
ORWEB Si vous cherchez l’anonymat, vous devriez opter pour l’utilisation du navigateur Orweb qui est pré-configuré pour vous aider à naviguer sur le Web de façon anonyme. Il est également chargé avec des plugins pour masquer votre appareil. Il vous permet de contrôler les cookies, empêche le chargement du contenu Flash et il ne conserve pas l’historique de navigation. Il requiert le plugin Orbot, et Tor de Orbot \ pour Android au lancement initial. Si vous avez un téléphone rooté, vous pouvez activer le proxy transparent, qui permet à toutes les applications de réseau de communiquer via le réseau Tor. L’APPLICATION EST DISPONIBLE SUR : HTTPS://GOO.GL/RMCITQ
TEXTSECURE Vous pouvez crypter des SMS avec l’application open source TextSecure. Elle peut crypter les SMS stockés localement sur le téléphone. Toutefois, pour lire les messages cryptés, les destinataires doivent avoir TextSecure ou ils vont recevoir des messages non cryptés. Cette application, vous donne la possibilité de créer des versions cryptées de tous vos messages. Bien qu’elle garde les SMS non chiffrés, il est conseillé de les supprimer après la création des versions cryptées. Avant que vous envoyiez des messages, vous pouvez créer une connexion sécurisée avec l’appareil du destinataire en échangeant les clés de chiffrement. L’APPLICATION EST DISPONIBLE SUR : HTTPS://GOO.GL/L13D4G
40
www.teramagazine.net
Messagerie PRIVACY GUARD ANDROID (APG) OpenPGP pour Android. APG est une application Android libre et open source. Elle vous permet d’utiliser un chiffrement au format OpenPGP sur les appareils Android. Vous pouvez chiffrer et déchiffrer vos fichiers et les courriels échangés. Pour le chiffrement des mails, utiliser Le client mail K-9, qui s’intègre parfaitement à Android Privacy Guard L’APPLICATION EST DISPONIBLE SUR : HTTPS://GOO.GL/R1KBTZ
K-9 MAIL K-9 Mail est un client open-source de messagerie e-mail offrant les services de : recherche, IMAP Push, multi-dossier de synchronisation, signaleur, dépôt, signatures, bcc-auto, PGP, courrier sur SD et plus encore. Le programme est une bonne alternative des applications de messagerie inclues par défaut sur la plupart des téléphones. K-9 prend en charge IMAP, POP3 et Exchange 2003/2007 (avec WebDAV). L’APPLICATION EST DISPONIBLE SUR : HTTPS://GOO.GL/QCFHXF
CHATSECURE APP L’application utilise le protocole OTR pour permettre à des sessions sécurisées sur des comptes XMPP. En utilisant cette application, vous pouvez avoir des conversations sécurisées avec vos amis sur les réseaux populaires, y compris Google Talk et Facebook sur un client compatible OTR y compris Pidgin. Adium. et Jitsi. L’APPLICATION EST DISPONIBLE SUR : HTTPS://GOO.GL/9B93K0
KEEPER Avec des millions d’utilisateurs à l’échelle mondiale, Keeper est le gestionnaire de mot de passe, le plus populaire sur Android, iOS, Mac et PC. Keeper utilise les plus hauts niveaux de confidentialité et de sécurité (AES 256 bits, PBKDF2). L’APPLICATION EST DISPONIBLE SUR : HTTPS://GOO.GL/9B93K0
Tera Magazine
Appel Téléphonique Pour se jouir d’une communication privée et sécurisée, Vous pouvez utiliser l’application opensource et gratuite RedPhone ou SilentPhone.
REDPHONE ET SILENPHONE Deux applications open source et gratuites pour sécuriser vos appels. SilentPhone a été développée par Phil Zimmerman qui a conçu l’open PGP pour sécuriser la messagerie et le protocole de ZRTP pour sécuriser les appels VoIP. Ces deux solutions créent des appels cryptés. Cependant, leur principale limitation est qu’elles nécessitent que la personne à l’autre bout de la ligne doit utiliser la même application. L’APPLICATION EST DISPONIBLE SUR : REDPHONE : HTTPS://GOO.GL/Z7OPVZ SILENTPHONE: HTTPS://GOO.GL/PBFBWO
Pour dépasser la dépendance en android et des applications émetrices de l’appel, Le projet Ostel (ostel. co) travaille sur la résolution de ce problème. Il vise à créer une norme connue sous le nom Open Source Telephony Network (ostN) qui utilise des protocoles libres et open source pour créer les chaînes cryptées de communication vocale de bouten-bout. Vous pouvez donc vous connecter avec un utilisateur qui à l’aide d’une application qui prend en charge la norme OSTN comme CSipSimplespp pour Android, Acrobitsfor pour les utilisateurs iPhone, PrivateGSM pour les utilisateurs de BlackBerry et l’application de Jitisdesktop multi-plateforme pour Linux, Windows et Mac.
Sécuriser votre appareil En plus du fait de crypter toutes les formes de communication, vous aurez également besoin de protéger votre appareil contre la compromission physique en cas de vol et l’accès non autorisé. Les utilisateurs soucieux de la confidentialité devraient activer et utiliser l’une des plusieurs options disponibles pour verrouiller le téléphone. Vous pouvez restreindre l’accès par l’intermédiaire d’un modèle ou un code numérique, un mot de passe alphanumérique, ou une commande vocale. Malheureusement
SÉCURISATION DES APPELS PAR SILENT PHONE
CHIFFREMENT PAR APG APP
le verrouillage du téléphone ne serait pas d’une grande aide lorsque vous remettez un téléphone débloqué à quelqu’un, il pourra accéder à vos comptes mail, twitter, facebook.etc. Dans ce cas, Vous pouvez utiliser Screen Locker ou Applock pour verrouiller votre écran avant de remettre le téléphone à quelqu’un d’autre.
PRIVACY MASTER FREE Vous pouvez Privacy Master Free pour verrouiller l’accès à une application par un mot de passe. il peut simuler un accident pour empêcher une application de lancement, et empêcher l’accès à des domaines clés tels que le Google Play Store. Vous pouvez également bloquer le gestionnaire de tâches ainsi que les connexions USB. L’APPLICATION EST DISPONIBLE SUR : HTTPS://GOO.GL/GGKMYT
APPLOCK AppLock offre la possibilité de bloquer l’accès à des applications, dispose également de deux coffres distincts où vous pouvez cacher des photos et des vidéos. Une des meilleures caractéristiques est sa capacité à créer des profils de verrouillage. Ainsi, vous pouvez créer une liste des applications que vous voulez verrouiller. Vous pouvez déclencher les verrous en fonction du temps ou de lieu (travail, espace publique,…). L’application peut réorganiser aléatoirement son clavier numérique pour empêcher d’autres de déterminer votre mot de passe en suivant vos doigts. Il vous permet également de masquer l’application pour cacher son existence sur votre appareil. L’APPLICATION EST DISPONIBLE SUR : HTTPS://GOO.GL/9JWLUX
VERROUILLAGE D’APPLICATION PAR APPLOCK
Crypter votre appareil Si un jour vous voulez vendre votre appareil, prenez le temps de supprimer toutes vos traces (photos, contacts,...), une simple suppression ou une réinitialisation du téléphone ne suffit pas. Tout peut être récupéré, des applications android comme ‘Image Recovery’ peut retrouver toutes les photos supprimées par l’utilisateur. la solution est simple chiffrer vos données. En plus des solutions présentées, le chiffrement est La meilleure protection de la vie privée. Pour de meilleurs résultats, le chiffrement des données doit passer par une fonction intégrée à l’OS. Cependant, il y’a quelques mises en garde à connaitre, le chiffrement est un processus à sens unique, ce qui veut dire que, une fois activé, il n’y a pas de mécanisme pour désactiver le cryptage, à part le fait de réinitialiser le smartphone (factory reset). Assurez-vous donc de sauvegarder vos données avant de lancer le processus de cryptage sans l’interrompre. Avant de commencer, il est nécessaire, que vous mettez en place un code PIN ou un mot de passe pour l’écran de verrouillage. Android les utilisera comme votre clé de déchiffrement. Rechargez complètement votre appareil. La tâche de chiffrement ne se lancera pas si la pile est faible. Dans le menu de sécurité sous « Paramètres du système », choisissez l’option «Crypter le téléphone». Par la suite, vous devrez entrer le code PIN ou mot de passe chaque fois que vous démarrez votre téléphone.
CHIFFREMENT DE L’APPAREIL SOUS ANDROID
www.teramagazine.net
41
Tera Magazine
SÉCURITÉ TELECOMS
Au lieu de chiffrer l’ensemble du dispositif, vous pouvez également choisir de crypter les fichiers sélectionnés. Une des meilleures applications pour cette fin est ‘SSE Universal Encryption’.
SSE UNIVERSAL ENCRYPTION L’application offre tous les algorithmes de chiffrement populaires, y compris AES-256. Serpent-256 et Blowfish-256. IL dispose de trois modules: le module des mots de passe qui vous permet de stocker en toute sécurité les mots de passe et de les organiser dans des dossiers. Le module de chiffrement des messages qui chiffre les messages. Mais l’option la plus intéressante est le module de chiffrement fichier/ dossier. Il vous permet de choisir un fichier en utilisant le navigateur de fichiers intégré et le chiffrer.
2 GHZ QUAD-CORE SOC 4.7" HD IPS SCREEN LTE/HSPA+/GSM 1GB DDR3 RAM 16GB DE STOCKAGE CAMERA 8MP BLUETOOTH 4.0 802.11N WIFI GPS
L’APPLICATION EST DISPONIBLE SUR : HTTPS://GOO.GL/BEB8RX
Vous pouvez aussi migrer vers une ROM autre que l’android officiel comme la CyanogenMod. Pour Les amateurs des logiciels libres vous pouvez découvrir la distribution Replicant basée sur CyanogenMod. Elle remplace tous les composants propriétaires d’Android avec des alternatives libres.
BLACKphone 2 : UN SMARTPHONE SÉCURISÉ.
L
e Blackphone est un smartphone développé par SGP Technologies, qui fournit le cryptage ainsi que d’autres caractéristiques de la vie pri-
vée de sécurité pour tous les activités usuelles. Doté de PrivatOS qui est un système d’exploitation basé sur Android et destiné aux utilisateurs qui cherche à protéger leur vie privée et améliorer leur sécurité. Il fournit un cryptage pour les appels téléphoniques, les mails, sms et la navigation sur Internet. PrivatOS est une version modifiée d’Android, il offre un ensemble d’outils de sécurité. Cependant, contrairement à Android, PrivatOS n’est pas open source. La société qui est derrière PrivatOS, SGP Technologies est une joint-venture entre de GeeksPhone et Silent Circle. Plusieurs constructeurs, tels que Turing ou encore Bull ou Boeing, proposent également leurs déclinaisons. Le Turing Phone uti-
lise un système de chiffrement pour l’authentification via une « clé Turing » virtuellement incassable.
ANDROID LOLLIPOP EN VERSION 5.1 PROCESSEUR QUAD CORE CADENCÉ À 2,5 GHZ 3GO DE MÉMOIRE RAM DDR3 18, 64 OU 128 GO DE STOCKAGE SELON LA VERSION CHOISIE. UN ÉCRAN 5,5 POUCES DEUX CAMERAS 13MP ET 8MP. www.turingphone.com
42
www.teramagazine.net
BYODBRING your
own device
Tera Magazine
AU JOB VOUS EMMENEZ VOS APPAREILS ? N’UTILISEZ VOUS QUE L’INFRASTRUCTURE OFFERTE PAR L’ENTREPRISE ? AVEZ-VOUS UNE STRATÉGIE DE SÉCURITÉ POUR TRAITER LE BYOD? PAR : MERIEM MAHIR IT MANAGER
B+Y+O+D Le BYOD, le bring your own technology (BYOT), bring your own phone (BYOP), ou bring your own PC (BYOPC) « Apportez vos appareils personnels » est une pratique qui consiste à utiliser ses terminaux personnels (téléphone, ordinateur portable, tablette électronique) dans un contexte professionnel pour travailler et ainsi se connecter au réseau et accéder aux applications de l’entreprise. Cette pratique pose des questions relatives à la sécurité de l’information et à la protection des données, ainsi que sociales et juridiques. Comment l’adopter sans nuire à la sécurité des données de l’entreprise? Le terme BYOD a été utilise pour la première fois en 2005 dans un document rédigé par Ballagas à UBICOMP 2005. Ce phénomène a la tendance de se répandre au sein des entreprises. En effet, environ 95% des employés déclarant qu’ils utilisent au moins un dispositif personnel pour le travail. Le BYOD est une réalité que les gestionnaires de sécurité des sociétés ne peuvent pas ignorer.
INTÉRÊT DU BYOD: Le BYOD comporte principalement deux intérêts. Le premier est tout d’abord pour le salarié, qui va pouvoir utiliser son propre matériel, ce qui lui présente plusieurs avantages. Ainsi, il sera mieux adapté à son propre matériel qu’il connaît et maîtrise mieux, donc il sera plus efficace. Le deuxième intérêt est pour l’entreprise qui l’emploie. En effet, ce phénomène permet à celleci d’une part de diminuer ses coûts de structure en informatique et même en locaux. Malgré ces avantages le BYOD présente une charge supplémentaire sur le service IT, pour la configuration et la maintenance et un investissement en infrastructure (WIFI, Clés SSL,...)
LES IMPLICATIONS DU BYOD POUR LA SÉCURITÉ Il est dangereux de présumer qu'il suffit d'interdire les périphériques personnels pour résoudre les problèmes de sécurité. Les employés finissent quoi qu'il en soit par les utiliser, et qui plus est, d'une manière que vous ne pouvez pas contrôler. Des appareils en majorité des cas non sécurisé pouvant provoquer une Perte de données, Problèmes liés au réseau, Les employés doivent absolument être sensibilisés aux enjeux de BYOD (la négligence des salariés étant la principale crainte des employeurs utilisant BYOD). Par ailleurs, en raison de l’ampleur qu’a pu prendre BYOD, de nombreuses entreprises (Microsoft, Samsung, Good technology…), se sont intéressées à la partie liée à la sécurité qui soulève beaucoup de questions et ont décidé de lancer des logiciels (Good work, My Knox…) pour tenter de régler ces problèmes. Une bonne stratégie de sécurité pour le BYOD commence par déterminer
votre tolérance au risque BYOD et comprendre la tolérance de votre entreprise pour le risque. L’activité de votre entreprise peut être un indicateur primaire de tolérance au risque. Par exemple, les organisations de soins de santé, les services financiers, les services gouvernementaux ou de sécurité adopteront probablement une position plus défensive à l'égard BYOD que les sociétés de technologie basés sur Internet.
STATISTIQUES SUR L’ADOPTION DU BYOD DANS LE MILIEU PROFESSIONNEL
AVENIR ET ALTERNATIVES DE BYOD En raison de l’absence du contrôle, l’approche BYOD est généralement considérée comme risquée par les entreprises, qui lui préfèrent l’approche COPE (abréviation de l’anglais Corporate Owned, Personally Enabled) ou « Propriété de l’entreprise avec accès privé ». il s’agit du matériel acheté par l’entreprise est donnée aux employés pour une utilisation personnelle ou pro-
fessionnelle. Permettant de contrôler et d’administrer les terminaux au sein de la politique informatique de l’entreprise. Le COPE prend le contre-pied du BYOD et garde le principe du matériel professionnel acheté par l’entreprise. CYOD (CHOOSE YOUR OWN DEVICE) : Cette optique propose aux salariés de choisir leurs propres appareils parmi un catalogue de terminaux approuvés par l’entreprise. Le matériel choisi reste par contre uniquement professionnel et propriété de l’entreprise VIRTUALISATION : Le principe est qu’on désoli-
darise l’environnement de travail du poste de travail. Les données ne sont plus stockées au sein de l’entreprise mais sur un serveur accessible de partout aux salariés et de n’importe quelle sorte de terminal, le cloud. Le défi ultime de tout programme BYOD est non seulement gèrer la sécurité des données ou d’optimiser la productivité de l’utilisateur final, mais maintenir un équilibre constant entre la sécurité, la responsabilité juridique, les questions de coûts et d’une expérience utilisateur positive.
www.teramagazine.net
43
Tera Magazine
15 LIVRES INDISPENSABLES EN SÉCURITÉ TELECOMS SÉCURITÉ
PAR : KHALID MIRO
WHITE HACKER
myMagazine EN VERSION PDF
DEVENIR UN CHERCHEUR EN SÉCURITÉ
HACKING: THE ART OF EXPLOITATION, 2ND EDITION LIEN : HTTPS://GOO.GL/NGKXIO
Au lieu de montrer comment exécuter des exploits existants, l’auteur Jon Erickson explique comment les techniques de piratage fonctionnent réellement. Cette 2eme édition présente d’une manière qui est accessible à tous, les bases de la programmation C du point de vue d’un pirate.
44
THE WEB APPLICATION HACKER’S HANDBOOK
METASPLOIT: THE PENE-
LIEN : HTTPS://GOO.GL/PQ1L3L
LIEN : HTTP://GOO.GL/FSXFLQ
Ce livre est l’un des guides les plus pratiques à trouver les vulnérabilités des applications web et un ‘must have’ pour les analystes de sécurité des applications Web.
Comme son titre l’indique, ce livre est Le meilleur guide pour apprendre à utiliser le Framwork Metasploit. Vous allez apprendre à faire des tests de pénétration à l’aide de ce Framework, y compris la reconnaissance du réseau, l’énumération, les attaques côté client, les attaques sans fil, les attaques d’ingénierie sociale ciblées, etc.
www.teramagazine.net
TRATION TESTER’S GUIDE
E
n tant que passionné par la lecture et par le domaine de la sécurité informatique, je préconise toujours à ceux qui me demandent par où commencer pour devenir des hackers ‘white ou black’ de lire des livres traitant ce sujet. Les livres sont d’excellentes ressources pour développer de nouvelles compétences et de gagner une connaissance approfondie dans le domaine de la sécurité de l’information. Si vous êtes dans la sécurité du réseau, des tests de pénétration, la recherche de la sécurité, le développement d’exploits ou l’enseignement, alors vous devriez vous mettre à jour avec de bons livres qui répondent à votre soif de connaissances. Gardez à l’esprit qu’il n’y a pas un livre qui couvre toutes les compétences et les connaissances dont vous avez besoin pour être un bon hacker ou chercheur en sécurité informatique. Chaque livre a son propre objectif et sujet, vous devez lire le maximum possible sans se limiter à un ou deux livres. Je vous présente dans cet article une liste non-exhaustive de livres couvrant de différents sujets qui pourrait aider les débutants et les experts à faire du progrès et avoir du plaisir.
WIRELESS RECONNAISSANCE IN PENTEST LIEN : HTTPS://GOO.GL/PAKPYL
Un livre destiné aux analystes intéressés par l’audit et la sécurité des réseaux sans fil. Les outils utilisés dans le livre sont open source et peuvent être facilement téléchargés. Ce livre décrit de nombreuses façons dont un testeur de pénétration peut recueillir et manipuler les informations disponibles à partir d’un trafic radio.
THE TANGLED WEB LIEN : HTTP://GOO.GL/SGJZNS
Ce livre est écrit par Michał Zalewski un ingénieur de Google en sécurité, qui est l’une des 15 personnes les plus influentes en matière de sécurité et parmi les 100 personnes les plus connus dans l’informatique. Ce livre est incontournable pour les développeurs Web et les amateurs de sécurité
Tera Magazine
THE BROWSER HACKER’S A BUG HUNTER’S DIARY HANDBOOK LIEN : HTTP://GOO.GL/E5CXT6
Ce livre très pratique a été entièrement mis à jour dans sa deuxième version pour discuter des dernières techniques, étape par étape, pour attaquer et défendre les applications Web. Vous pourrez explorer les différentes nouvelles technologies employées dans les applications Web qui sont apparues depuis la première édition et d’examiner les nouvelles techniques d’attaque qui ont été développés, du côté client.
VIOLENT PYTHON LIEN : HTTPS://GOO.GL/VY520F
Ce livre ne vous enseigne pas comment coder et quelles sont les meilleures pratiques en Python. Il vous aide à créer vos propres scripts d’automatisation en Python pour les tests de pénétration.
LIEN : HTTPS://GOO.GL/OP0POA
Ce livre vous montre comment traquer et exploiter des bugs dans certains logiciels populaires comme iOS, le lecteur VLC, les navigateurs web, et même le noyau de Mac OS X. Vous lisez aussi comment ces failles sont corrigés. Vous gagnerez des connaissances techniques approfondies pour comprendre comment les pirates abordent la chasse aux bugs.
MALWARE, ROOTKITS & BOTNETS LIEN : HTTPS://GOO.GL/OXLDLN
Un guide pour débutant, à la découverte des Malwares, rootkits et les Botnets. Il explique comment ces choses fonctionnent, avec un aperçu de l’histoire des logiciels malveillants, la compréhension du contenu ne demande pas des connaissances pointues
BLACK HAT PYTHON
NMAP NETWORK SCANNING LIEN : HTTP://GOO.GL/K37RHL
Ce livre est écrit par Gordon Fyodor Lyon, qui est derrière la SecLists.Org, Insecure.Org, SecTools.Org, SecWiki.Org et Nmap. Org. Ce livre explique comment utiliser et comment Nmap fonctionne. Il présente les systèmes de détection d’intrusion, l’optimisation de la performance Nmap, et l’automatisation des tâches du réseau avec le Nmap Scripting Engine (NSE).
CRYPTOGRAPHY ENGINEERING
THE ANDROID HACKER’S HANDBOOK LIEN : HTTP://GOO.GL/IIAWB1
Un livre qui présente la découverte, l’analyse et les outils d’exploitation des vulnérabilités sous Android. Après une explication détaillée de l’architecture de sécurité globale, l’auteur examine comment les vulnérabilités peuvent être découverts et comment développer les exploits pour différents composants du système. L’auteur présente aussi comment se défendre sur Android.
PRACTICAL MALWARE ANALYSIS
LIEN : HTTPS://GOO.GL/VBCACA
LIEN : HTTPS://GOO.GL/OCPHK1
Après un aperçu de base autour de la cryptographie, cette ressource indispensable couvre des sujets tels que le chiffrement par blocs, les fonctions de hachage, les modes de chiffrement, etc. Des exemples et des exercices pratiques utiles sont inclus pour d’améliorer votre compréhension de la cryptographie.
Ce livre vous apprendre les outils et les techniques utilisées par les analystes professionnels. Vous serez en mesure d’analyser en toute sécurité, déboguer et démonter tous les logiciels malveillants qui croisent vos chemins.
RTFM: RED TEAM FIELD MANUA
LIEN : HTTPS://GOO.GL/1BYOPP
LIEN : HTTPS://GOO.GL/APUHZ3
Ce livre vous permet d’explorer le côté sombre du Python. Il vous apprend à créer en utilisant Python vos sniffers, la manipulation des paquets, infection les machines virtuelles, créer des chevaux de Troie, etc….
Un guide de référence complet qui contient la syntaxe de base pour les outils de ligne de commande couramment utilisés sous Linux et Windows. Il résume aussi les cas d’utilisations uniques pour des outils puissants tels que Python et PowerShell. www.teramagazine.net
45
Tera Magazine
SÉCURITÉ TELECOMS
SÉCURISEZ VOTRE RÉSEAU PAR UN
HONEYPOT
Le Honeypot KIPPO PAR : ANNAS BELMKI RSSI CHEZ 2GS
AVEC DES POT DE MIEL
PIÉGER VOS ENNEMIS
H
oneypot (pots de miel) est un outil de sécurité assez efficace que vous pouvez prendre pour renforcer L’arsenal sécuritaire. Un outil qui fait sa place dans la boîte à outils en sécurité informatique depuis plus de deux décennies. Ils peuvent être considérés comme un choix stratégique dans une politique de sécurité et ils peuvent fournir aux entreprises des avantages uniques que nous allons découvrir. La notion de Honeypot date depuis les années 90 et peut être attribuée à Bill Cheswick (un programmeur système spécialisé dans la sécurité et travaillant chez AT&T Bell). L’idée a eu lieu après un fameux incident chez AT&T. En effet, En Janvier 1991, un hacker néerlandais a tenté de pénétrer dans un système de Bell Labs, BILL après avoir pu le détecter il a commencé à jouer avec un pirate en répondant manuellement à leurs requêtes qui tentaient d’exploiter une faille dans le processus sendmail. Bill a alors réussi à lui faire croire qu’il avait obtenu une copie du fichier passwd contenant que des comptes falsifiés et contrôlés. Il a alors laissé le pirate s’amuser sur la machine et a étudié son comportement pendant plusieurs mois. Il a ensuite publié un papier sur ses découvertes.
46
www.teramagazine.net
Ce terme a été par la suite donné au mécanisme aussi bien qu’à l’outil matériel ou logiciel utilisé comme leurre. Ce n’est seulement qu’en 2000 que le terme honeypot a vraiment été intégré dans le monde des entreprises. En effet, c’est à cette époque que l’on a vu le déploiement des premiers honeynets. Après 8 ans, au début de l’an 2000, Lance Spitzner un consultant et analyste expert en sécurité, a construit un réseau de six ordinateurs dans sa maison. Il a désigné ce réseau pour étudier le comportement et la façon d’agir des attaquants. Il est un des premiers investigateurs à adopter l’idée et aujourd’hui il est des meilleurs experts en pots de miel. Cette expérience a donnée naissance au projet honeynet (www.honeynet.org) et il a réalisé un livre «Honeypots: Tracking Hackers» une référence dans le domaine. Son système a été à l’essai pendant presqu’un an, depuis avril de 2000 jusque février de 2001, sauvegardant toute l’information générée. Dès lors, on a créé une communauté de développeurs regroupés au tour de honeypot.org qui offrent toute l’aide nécessaire pour utiliser ces outils.
HONEYPOT ? Un honeypot est une ressource volontairement vulnérable destinée à attirer et piéger les pirates. En pratique c’est généralement une machine, virtuelle ou non, faisant tourner ou émulant un ou plusieurs services, qui n’attendent que d’être compromis par un pirate. Il est utilisé informatique pour attirer et analyser le comportement des attaquants sur l’Internet. Il parait être une contradiction parce que la fonction habituelle des outils de sécurité est exactement le contraire: maintenir éloignés les attaquants ou empêcher leurs attaques. Néanmoins, depuis quelques ans, on utilise les pots de miel pour attirer les attaquants à un environnement contrôlé et essayer de connaitre plus détails sur comment ils réalisent leurs attaques, y inclus découvrir les nouvelles vulnérabilités.
CARACTÉRISTIQUES DE HONEYPOT : un honeypot est un système qui n’a aucune valeur métier et il n’as aucun impact sur la production interne ; l’ensemble des communications depuis le honeypot ainsi que les activités internes peuvent être considérées comme étant malveillantes : un honeypot qui cherche à se communiquer avec à une autre ressource est probablement compromis. un honeypot est un piège pour entraver et retarder les attaquants. un honeypot est un outil de détection et non pas de prévention, comme le pourrait un IPS ou un firewall. Cependant, ce type d’outil permet de la détecter, ainsi que de détecter ses principales caractéristiques : cible, origine, technique d’exploitation utilisées.
Tera Magazine
L’INTERET DU HONEY POT Tout l’intérêt réside dans l’analyse comportementale des attaquants, de leur programmes, de leur manipulations et des outils utilisés. Il permettra au RSSI de se prémunir contre de nouvelles attaques et avoir du temps pour réagir et corriger les failles que les attaquants cherchent à exploiter. Le HoneyPot permet de nous aider à assurer : La surveillance . La collecte d’information . L’analyse d’information. Tout le trafic qui part du honeypot ou, a contrario, qui lui est destiné est suspect par défaut.
TYPES DE HONEYPOT : Un pot de miel peut être simple comme un ordinateur qui exécute un programme ou peut être complexe comme un réseau complet d’ordinateurs, quand un système inclut dans le réseau est attaqué, l’administrateur est averti. Autre option très utilisée est de créer des pots de miel complètement virtuels. Les pots de miel sont classifiés selon les catégories suivantes:
POTS DE MIEL D’HAUTE INTERACTION
Repose sur le principe de l’accès à de véritables services sur une machine du réseau plus ou moins sécurisée. Les avantages offerts par les pots de miel d’haute interaction est qu’ils peuvent prévenir attaques de n’importe quel type. Les connus et inconnus. Comme il s’agit d’un système réel, il contient tous les failles de software connues et inconnues que peut avoir n’importe quel autre système. Si un attaquant essaie de profiter d’une faille inconnue jusqu’à le moment (appelés en argot 0 day), sera la propre interac-
DÉPLOIEMENT DU HONEYPOT SU LE RÉSEAU
tion avec la machine, pour essayer d’exploiter la faille, ce qui alerte le problème et aide à découvrir cette faille nouvelle. Les risques sont beaucoup plus importants que pour les pots de miel à faible interaction. Il apparaît donc nécessaire de sécuriser au maximum l’architecture du réseau pour que l’attaquant ne puisse pas rebondir et s’en prendre à d’autres machines.
POTS DE MIEL DE BASSE INTERACTION Un honeypot à faible interaction émule des faux services réseaux qui sont vulnérables à divers vulnérabili-
tés. Il ne reproduit pas parfaitement le comportement du système ou la machine. Cela limite la capacité du pirate à exploiter les failles et limite la capacité d’un analyste à étudier le comportement de l’attaquant. Avec ce type d’honeypot, le pirate n’interagit jamais avec le système d’exploitation même s’il en a l’impression. La sécurité est donc ainsi conservée, si les faux services ne contiennent bien évidement pas de véritable trou de sécurité. Ils sont normalement créés et gérés par les organisations destinées à la recherche de la fraude sur l’Internet
COMPARAISON DE CARACTÉRISTIQUES PRINCIPALES ENTE LES POTS DE MIEL
COMPARATIF DES SOLUTIONS HONEYPOT (HTTP://GOO.GL/6SJAUM)
www.teramagazine.net
47
Tera Magazine
Apprenez à utiliser les Honeypots avec L’ENISA.
DÉPLOIEMENT D’UN HONEYPOT
ENISA: EUROPEAN NETWORK AND INFORMATION SECURITY AGENCY
ENISA avait publié à la fin de l’année 2012 un guide détaillé (http://goo. gl/6sjauM) présentant un grand nombre de logiciels disponibles pour mettre en place un honeypot. Afin d’apprendre à manipuler un honeypot, l’ENISA propose un document regroupant un ensemble d’exercices à dérouler pour commencer à prendre en main ce type d’outil. Ce TP permet entre autres de manipuler Thug, un logiciel permettant de simuler le comportement d’un navigateur sur un site. Ce type d’outil permet d’identifier les actions réalisées par un site suspect sur un ordinateur, en fonction de sa configuration. En effet, le comportement des outils malveillants mis en place par un pirate diffère en fonction du navigateur ciblé.
UN TACHE FACILE À RÉALISER
identifier une tentative d’attaque, il Il est important d’évoquer la problésera au contraire préférable de le placer matique du placement du pot de au sein de la DMZ, depuis laquelle un miel au sein du réseau de l’entreprise. potentiel attaquant pourrait provenir. Afin d’être en mesure de valoriser Aussi on peut utiliser une DMZ contre les remontées, il est les pirates externes préférable de le placer C’est grâce à l’analyse des qu’on va chercher à dans un environneinformations recueillies que récupérer des informent correspondant à mations. Dans le sel’on va pouvoir découvrir l’objectif recherché. cond, ce sera contre les défaillances du réseau à des pirates internes Par exemple, si l’on veut identifier les protéger et les motivations (des employés malpostes de travail comhonnêtes). promis sur lesquels les des attaquants. Nous pourrons jouer pirates ont installé des sur l’adressage IP bots malveillants s’atet la translation taquant aux autres postes du SI, il est d’adresses pour faire croire au hacker préférable de placer le pot de miel au que le serveur attaqué se trouve sur le milieu même du LAN, et non pas dans LAN de l’entreprise. la DMZ ou en frontal sur Internet. Pour
KIPPO UN HONEYPOT GRATUIT Kippo
Dans cette partie nous allons essayer d’installer et de manipuler un HoneyPot. Il existe de multiples manières de créer son pot de miel, mais le plus important est la configuration et la politique derrière le HP. Ils sont soient à base de produits commerciaux, à l’instar de ManTrap, soient à base d’un Unix libre ou d’un Linux configuré de façon personnalisée. Dans cet article nous aurons recours à un HP très connus et facile à utiliser, il s’agit de KIPPO (Kippo project). Ce HoneyPot qui s’installe sous Linux spécial est capable de reproduire le comportement d’un serveur SSHKippo se substitue à un véritable service SSH et va être configuré de façon vulnérable pour que les pirates puissent y accéder sans trop de difficulté. Par devinettes ou brute force de mot de passe, l’attaquant gagne l’accès à un faux système (ressemblant à Debian 5.0) où toutes les activités sont surveillées et enregistrés. Le système permet l’utilisation de wget et d’autres commandes couramment utilisées pour chercher et télécharger
48
www.teramagazine.net
des fichiers, ainsi qu’un ensemble d’utilitaires de base. Nous allons faire tourner notre service SSH légitime sur un port non standard (autre que le port 22 qui est son port par défaut) puis envoyer les requêtes SSH arrivant sur le port 22 de la machine protégée et venant des pirates potentiels essayant de se connecter vers Kippo qui
RÉCUPERATION DE KIPPO DEPUIS GUITHUB
LANCEMENT DE KIPPO
va “piéger” les attaquants. Pour faire des économies vous pouvez utiliser des raspberry pi comme des serveurs SSH Honeypot.
Tera Magazine
INSTALLATION Kippo est un outil écrit en Python, on va commencer par installer ses dépendances apt-get install python-twisted Il nous faudra ensuite mettre notre service SSH légitime sur un autre port que le port utilisé par défaut vim /etc/ssh/sshd_config On modifiera donc la valeur “Port” qui est par défaut paramétrée à “22”. Pour valider notre configuration, nous allons redémarrer le service SSH service ssh restart adduser kippo_tera (on ajout un utilisateur normal pour lancer kippo) On va ensuite passer au téléchargement de Kippo que l’on récupérera directement sur son dépôt Github Cd /opt wget https://github.com/desaster/kippo/ archive/master.zip
EXPLOITATION Dans l’arborescence du dossier Kippo on trouve :
unzip master.zip chown -R kippo_tera:kippo_tera kippo-master Par défaut, Kippo écoute sur le port 2222. Nous allons donc configurer une règle iptables qui va rediriger les flux arrivants sur le port 22 vers le port 2222 : iptables -t nat -A PREROUTING -p tcp --dport 22 -j REDIRECT --to-port 2222
Kippo présentes plusieurs fonctionnalités intéressantes telles que:
Faux système de fichiers avec la possibilité d'ajouter / supprimer des fichiers. Un faux système de fichiers complet ressemblant à une installation de Debian 5.0 est inclus. Possibilité d'ajouter un faux conte(en cas de test vous pouvez ignorer cette nu aux fichiers de sorte que si l’atétape et continuer à utiliser le port 2222 taquant affiche le contenu du /etc/ qu’il faut indiquer lors de la connexion passwd par exemple seul les contenus ssh) de fichiers minimales seront dévoilés. pour eviter l‘erreur kippo.cfg “is missing” Les logs de sessions sont sauvecopier le dans le même dossier que ‘kip- gardés en un format compatible UML po.cfg.dist’ pour la relecture facile . stocke tous les fichiers qui ont été par cp kippo.cfg.dist kippo.cfg téléchargés au cours de la session SSH On se connect en tant que kippo_tea car (simulant wget et curl) pour l'inspeckippo ne se lancera pas si on est en mode tion. root Sauvegarde des informations sur le Login kippo_tera comportement de l'attaquant dans le on lance kippo par ./start.sh système d'exploitation (commandes qui ont été invoquées) dans un format permettant de les rejouer par la suite. Simule la fin de la session SSH. Il n’arrête pas réellement la connexion après un exit. Il génère peu de faux positifs et un taux de réussite élevé
log/kippo.log : Contient les logs d’activité du processus et du pirate sur le Honey Pot. log/tty/ : Contient les logs de connexion et de déconnexion, nous y retournerons un peu plus bas dans l’article. utils/playlog.py : Utilitaire permettant de rejouer une session de log capturée. utils/createfs.py : Utilisé pour créer le fichier fr.pickle. fs.pickle : Il s’agit d’un faux système de fichier dans lequel le pirate piégé va naviguer. honeyfs/ : Contenu des fichiers pour le faux système de fichier, on peut y copier un vrai système entier. Pour savoir plus sur les commandes utilisables, il est possible de s’intéresser au contenu du dossier « txtcmds » (qui contient les fichiers correspondants aux commandes inutilisables qui ne font rien d’autre que d’afficher un « texte » au pirate), ainsi qu’au dossier « kippo/ commands/ » (dans lequel on retrouve l’ensemble des commandes pre-définies en python). Pour le reste du système de fichiers, il faut regarder le contenu du dossier « honeyfs », dans lequel on peut retrouver les classiques « group », «hosts », « issue », « passwd », et enfin « shadow ».
L’ARBORESCENCE DU DOSSIER KIPPO
POURQUOI KIPPO?
CONNEXION PAR LE COMPTE KIPPO_TERA
TEST DU PORT D’ÉCOUTE DE KIPPO
COMMANDES EXCUTÉES SUR LE HONEYPOT PAR L’ATTAQUANT
Après avoir quitté la session, on pourra retourner du dans le dossier de l’outil Kippo pour voir ce que l’outil a détecté. Dans le dossier “log”, on pourra voir le fichier “kippo.log” qui contient les informations d’ouverture de sessions et les activités de l’utilisateur ayant ouvert la session. Le honeypot Kippo est aussi évolutif. C’est-à-dire qu’il est en mesure « d’apprendre » en fonction des actions réalisées par les pirates. Ainsi, un pirate est
en mesure de modifier le mot de passe associé au compte root à l’aide de la commande « passwd ». Kippo mémorise le changement effectué par le pirate, et le serveur SSH devient donc accessible avec le nouveau mot de passe défini. Avec les temps, le serveur devient donc accessible avec un nombre toujours plus important de mots de passe. Ceux-ci peuvent être trouvés dans le fichier « data/ userdb.txt ». www.teramagazine.net
49
Tera Magazine
TEST ET VISUALISATION DES LOGS Pour tester notre Honey Pot, rien de plus simple. Il suffit de se connecter tout simplement en SSH sur le port standard avec un outil comme Putty ou une console Linux ssh root@192.168.59.132 Le mot de passe du root est par défaut “123456”, il sera forcément trouvé par un pirate utilisant une attaque de type brute force par dictionnaire. Nous pouvons toutefois ajouter d’autres mots de passe pour piéger plus facilement le pirate. Cependant, une fois connecté en SSH, le pirate se retrouve dans un environnement cloisonné, particulièrement restreint (une sorte de « chroot ») dans lequel l’ensemble des outils disponibles est, ou bien redéveloppé en python (par exemple la commande wget), ou alors correspond à de simples fichiers texte présentant aux pirates un message prédéterminé
VISUALISATION DES LOGS DE KIPPO
INTERFACE WEB POUR LA VISUALISATION DES LOGS
VERS LES HONEYPOTS « NEXT-GEN »
N
ous nous attendons à voir des développements significatifs dans le domaine de pots de miel de clients cette année, Nous pouvons voir aussi l’évolution des Honeypot destinés à la VoIP et SCADA. Certains éditeurs tentent d’aborder le sujet sous un nouvel angle. L’objectif de ces honeypot « Next-Gen » faciliter le travail de l’attaquant pour pouvoir l’identifier plus facilement et remonter son identité au RSSI. ils s’orientent principalement dans un sens web en se basant sur le protocole http. Une fois un hacker repéré, son adresse IP peut directement être remontée aux équipements de sécurité de type pare-feu, relai de messagerie ou encore proxy web. Nous pourrons intégrer la solution de la même manière qu’un firewall applicatif, devant un serveur web, ces honeypots vont pouvoir donc analyser tant les requêtes que les réponses http. En outre, dans une période où les solutions SaaS deviennent des éléments incontournables, même en ce qui concerne la sécurité, on peut imaginer que ces honeypots passent au cloud
50
www.teramagazine.net
ou ils l’utiliseront pour partager leurs retrouvailles. Ce mode de fonctionnement des Honeypots beaucoup plus actif que les précédentes solutions permettent une exploitation plus accessible et surtout apporte un réel intérêt pour les entreprises. Avec l’émergence de la conteneurisation, vous pouvez utiliser des honeypots à base de docker. Un exemple facile à déployer et à utiliser est disponible à https://goo.gl/FdkCJn
AVEC L’EMERGENCE DE LA CONTEUNERISATION, VOUS POUVEZ UTILISER DES HONEYPOTS À BASE DE CONTENEURS DOCKER.
DÉTECTION DU HONEYPOT “Kippo” est un excellent HONEYPOT. Mais il est facile pour un attaquant expérimenté de comprendre qu’il est connecté à un pot de miel Kippo. Le truc est d’obtenir des erreurs en exécutant des commandes qui ne sont pas implantées dans Kippo. Par exemple:
Pour éviter ce genre de problème il ne faut pas se limiter à des réponses statiques aux commandes données, on pourra utiliser la réponse du système réel sur lequel tourne Kippo.
Tera Magazine
L
es challenges CTF (Capture The Flag) sont généralement très formateurs dans le domaine de la sécurité informatique et de l’intrusion. Pour rappel un Challenge CTF consiste généralement en une VM, contenant des vulnérabilités, mise en place dans une infrastructure virtuelle à des fins de tests. Cela permet de s’attaquer à une cible à des fins d’entrainements. La résolution de ces challenges consiste tout simplement à s’introduire à l’intérieur pour arriver à y lire un fichier (appelé flag) placé dans le dossier home/root.
WWW.ROOT-ME.ORG
Root-me est un outil communautaire d’information et de pratique dans la sécurité informatique et le hacking. il constitue un système d’apprentissage basé sur l’entraide, à chaque niveau de compétences nous pouvons apprendre ou enseigner. vous pouvez entre autre proposer des articles, des news, soumettre des outils et des challenges, préparer et mettre en place des machines virtuelles pour le CTF all the day. On pourra trouver sur root-me: plus de 170 challenge et23 machines virtuelles .
WWW. EXPLOIT-EXERCISES.COM
WWW.HACKTHIS.CO.UK HackThis!, est un fameux site web de challenges. Il offre des articles instructifs et un ensemble de Challenges organisés en 10 Levels. Il s’agit d’exercices de sécurité dont le but consiste à contourner une mesure de sécurité mise en place. En progressant le niveau de difficulté monte progressivement. Pour échanger avec les autres utilisateurs, un forum est établi pour vous aider à partager vos connaissances.
WWW.DVWA.CO.UK Damn Vulnerable Web App (DVWA) est une application web PHP / MySQL qui est sacrément vulnérables. Ses principaux objectifs sont d’être une aide pour les professionnels de la sécurité de tester leurs compétences
LAMP SECURITY 4 : HTTP://GOO.GL/T42XD7 LAMPSecurity est conçu d’une série d'images de machines virtuelles vulnérables ainsi qu’une documentation complémentaire conçu pour enseigner linux, apache, php, mysql sécurité.
HTTP://RINGZER0TEAM.COM www.teramagazine.net
51
Tera Magazine
SÉCURITÉ D’ENTREPRISE TELECOMS
PAR : MZIOUED YAHYA
EXPERT RÉSEAU
FNG et WAF DEUX PARFEUX POUR PROTÉGER VOTRE ENTREPRISE. UN ARTICLE POUR RÉPONDRE À DES QUESTIONS IMPORTANTES: QU’EST CE QU’UN WAF,NGF, UTM? QUELLE DIFFÉRENCE ENTRE EUX? QUAND LES ADOPTER? QUEL BÉNÉFICE?
E
n tant que consultant en sécurité informatique pour les entreprises, je suis toujours amené à aider mes clients à choisir les solutions adéquates pour mieux protéger et gérer leurs réseaux et leurs applications. Pour ce faire on n’en manque pas de solutions, les éditeurs n’épargnent pas d’efforts pour améliorer leurs produits et donner naissance à de nouveaux. Parmi ces solutions on entend souvent parler de Firewall NG et du WAF. Souvent, les utilisateurs ont tendance à confondre leurs utilités et leurs rôles. A travers, Cet article, j’essaierais de lever cette nuance existante entre ces deux solutions de Firewalling.
52
www.teramagazine.net
WAF : PROTÉGER VOS
APPLICATIONS POUR MIEUX PROTÉGER VOTRE ENTREPRISE.
L
es applications web sont les cibles préférées des pirates en raison de la valeur des informations qu’elles gèrent. Ces applications peuvent constituer un point d’infiltration en réseau internet ou une base d’infection des utilisateurs. La simplicité et l’efficacité des attaques web tel que l’injection SQL ou XSS fait d’elles des menaces permanentes. En effet, l’institut SANS (http://www.sans.org) affirme que les attaques contre les applications web constituent plus de 60% du total des attaques enregistrées via Internet. Vue le danger de ces attaques le WAF peut aider à la détection et à la prévention contre ces dangers. Les pare-feu applicatifs (web application firewalls – WAF) analysent le trafic web, en se basant sur des moteurs de détection évoluée (faisant appel à des techniques de regex,
Tera Magazine
blacklisting, whitelisting, signatures, etc…), ces firewalls sont capables de distinguer le trafic dangereux d’un trafic légitime et ainsi de bloquer les attaques contre les applications web. Ce type de protection ne doit pas être confondu avec les pare-feux “classiques”, dans le sens où un WAF analyse le trafic web et ne se limitera pas à filtrer le trafic en fonction de règles liées aux ports, adresses IP ou protocoles. En se référant au modèle OSI, les firewalls traditionnels vont agir sur les trois premières couches (de la couche physique à la couche réseau), et les web application firewalls agissent sur la septième et plus élevée des couches (la couche applicative). Sans oublier que les WAF sont aussi utilisés pour prévenir contre le déni de service en limitant le nombre de sessions applicatives et empêcher les attaques de brute force. Ils permettent aussi d’offrir une QOS par améliorer le rendu des utilisateurs via l’utilisation du cache de la compression à la volée et l’optimisation des connexions TCP.
DÉPLOIEMENT Le déploiement du WAF peut être en mode transparent Ou en mode reverse-proxy dans une DMZ dédiée. Le mode reverse-proxy est le mode le plus utilisé. Il consiste à installer le WAF en série, en amont du serveur et le faire montrer à l’utilisateur, comme étant le serveur web. Par conséquent, il reçoit en premier le trafic entrant, il l’analyse et il le transmet ensuite au serveur réel dans le cas d’absence de menace. La réponse est retournée à l’utilisateur par le serveur web via le WAF. Dans ce mode le WAF joue le rôle d’un proxy.
Les pare-feux de nouvelle génération (NGFW) sont au fond, une forme de la solution de gestion unifiée des menaces (UTM). Cependant, les produits UTM offrent des fonctionnalités supplémentaires
Solutions WAF
U
n WAF peut avoir plusieurs formes, il peut être une Appliance (Hardware), un plugin (software)v implémenter sur votre serveur d’application ou un service sur le Cloud (Service).
Linux
FONCTIONNALITÉS PRÉVENTION :
PROTECTION :
•
•
• •
•
Cartographie des applications et identification des ressources Evaluation des risques potentiels Assurer un haut niveau de protection pour toutes les applications du Système d’information (Blocage des attaques OWASP TOP 10) Respecter les exigences du standard PCI DSS préconisant l’installation d’un pare-feu applicatif (Conditions et procédures d’évaluation de sécurité, Chapitre “Développer et Gérer des systèmes et des applications sécurisés”, condition PCI DSS 6.6)
Interception et filtrage du trafic applicatif Identification des menaces et détection des comportements anormaux Génération automatisée de politiques de sécurité granulaire Garantir la disponibilité et la continuité des services
• • •
INVESTIGATION : • •
Compréhension de l’historique des attaques Possibilité de rejeux du trafic
•DataSunrise •AppArmor •ModSecurity •Systrace •Zorp •NAXIS
Windows
• WebKnight • WinGate • Navilin
» APPLIANCES RÉSEAU :
Ces dispositifs sont vendus en tant qu’appliances réseau et dans certains cas, en tant qu’images virtuelles.
• Barracuda • A10 Networks WAF • Citrix Netscaler • F5 ASM • Fortinet FortiWeb • Imperva • KEMP Technologies • Cloudbric • PIOLINK • Qualys WAF (Recemment offert) Le FortiWeb reste l’un des WAF les plus utilisés chez les entreprises au Maroc.
www.teramagazine.net
53
Tera Magazine
PARFEU NEXT GENERATION (NGFW) Les par-feux NG sont performants pour Contrôler des applications à un niveau granulaire. De tels par-feux peuvent facilement vous aider à interdire les applications du torrents ou de chat sans se soucier de ports ou de protocoles utilisés. Les parfeux « next generation » sont des Firewalls qui offrent en plus des fonctions typiques des parfeux traditionnels (le filtrage de paquets, du réseau et de traduction port-adresse (NAT), le support du VPN, l’inspection) Une protection de haute performance intégrée contre une vaste gamme de menaces avancées ciblant vos applications, les données et les utilisateurs. Afin de défendre les réseaux contre les menaces les plus récentes, NGFW inclut un système de prévention d’intrusion intégré (IPS) avec une inspection en
Succ e des p sseur ar-fe tradi u tionn x els
profondeur des paquets, la capacité d’identifier et contrôler les applications en cours d’exécution sur un réseau, ainsi que la possibilité de vérifier l’identité d’un utilisateur et d’appliquer en fonction des politiques d’accès spécifiés. En outre, les FGW peuvent offrire une protection contre les APT « Advanced persistent threat» et l’inspection du flux crypté. Les Next Generation Firewalls peuvent ainsi constituer des outils de sécurité renforcée pour combattre et atténuer les vecteurs multiples des attaques persistantes.
L’idée derrière les NGF est d’inclure le traitement de plusieurs couches supérieures du modèle OSI pour améliorer le filtrage du trafic réseau en fonction du contenu des paquets et promouvoir l’intelligence du parfeu. A l’occurrence, le Next Generation offre la fonctionnalité qualité de service (QoS) (applications prioritaires reçoivent une bande passante de priorité) afin de fournir une inspection plus intelligente et plus profonde.
CARACTÉRISTIQUES DES NGFWs L’identification et filtrage d’Application la caractéristique principale de NGFWs. Ils peuvent identifier et filtrer le trafic sur la base des applications spécifiques, plutôt que se baser sur l’ouverture des ports. Cela empêche les applications malveillantes d’utiliser des ports non standards pour échapper au pare-feu. Comme ils permettent de limiter la bande passante allouée à une application.
Filtrage URL les NGFWs offrent un filtrage d’url au dépriment du port utilisé, l’adoption du SSL, des proxies, le réseau TOR ou autre technique de détournement.
54
www.teramagazine.net
Identification des utilisateurs La plupart des NGFWs offrent le support d’Active Directory ou de solutions similaires. Cette option permet de gérer les applications et les connexions autorisées par des politiques appliquées par utilisateurs ou par groupe d’utilisateurs.
Filtrage des Malware NGFWs peut également fournir le filtrage à base de réputation pour bloquer des applications qui ont une mauvaise réputation. Cela peut éventuellement vous protéger contre les attaques de phishing et des applications malveillantes qui propagent les malwares.
Prévention des intrusions ils peuvent aussi être en mesure d’effectuer la détection et d’assurer la prévention contre les intrusions.
Inspection SSL et SSH NGFWs peuvent inspecter le trafic crypté par SSL ou qui passe en SSH. Ils peuvent décrypter le trafic, ce qui fournit une protection supplémentaire contre les applications malveillantes qui tentent de se cacher en utilisant le cryptage pour tromper le pare-feu traditionel.
Marché des Parfeux On trouve sur ce marché de purs acteurs des pare-feu comme Cisco Systems (et son acquisition de Sourcefire), Check Point, Fortinet, JuniperNetworks, Barracuda ou Palo Alto Networks. On y trouve aussi d’autres acteurs venus du marché des solutions de sécurité en appliance et de l’anti-malware tels que WatchGuard, Blue Coatsystems, FireEye, Sophos, McAfee (Stonesoft), Dell (SonicWall), ou Huawei Technologies.
Tera Magazine
WAF VS Firewall NG un point commun entre le WAF et le NGF est l’action au niveau 7 du modèle OSI et la possibilité d’un déploiement en mode transparent. Le NGF étend et améliore la protection et ajoute des fonctionnalités supplémentaires inexistants sur les parfeux traditionnels en se concentrant sur la ‘sécurisation/restriction’ du trafic sortant des clients internes lors de l’accès à Internet, sans offrir une protection des applications internes contre les menaces Web externes. Les WAF sont différentes, ils protègent les applications web contre les attaques au niveau de la couche d’application. Ils fournissent à la fois un modèle de sécurité positive et négative et protègent contre l’Injection SQL, Cross Site Scripting, URL d’accès, CSRF, et plus (OWASP Top 10). On peut résumer que : un NGF est orientée pour protéger l’utilisateur et le ré-
CARACTERISTIQUES WAF NGFW
seau, tandis qu’un WAF est un équipement de sécurité orienté vers la protection des serveurs HTTP / HTTPs.
UTM VS NGFW Un pare-feu de nouvelle génération (NGFW) est au fond, une forme de la solution de gestion unifiée des menaces (UTM). Cependant, les produits UTM offrent des fonctionnalités supplémentaires, comme par exemple l’antivirus, l’anti-spam,
Déployer une NGF lorsque vous voulez protéger votre réseau soit contre la mauvaise utilisation de la bande passante ou contre l'utilisation des applications non sécurisées qui pourraient apporter les logiciels malveillants à l'intérieur de l'organisation. Déployer un WAF (en conjonction avec le pare-feu traditionnel, IPS ou UTM) lorsque vous devez protéger vos applications web (et partiellement aussi les bases de données back-end). Donc, à la fin, si vous avez besoin d’améliorer votre niveau de sécurité, vous ne devrez pas choisir entre un WAF et NGF, mais simplement de décider qui est le meilleur appareil en fonction de vos besoins. La qualité d’un NGFW est évalué aussi par ses performances. La performance d’un pare-feu se mesure par sa bande passante, autrement dit la quantité de données qu’il peut analyser et transférer par seconde. Celle-ci influence di-
WAF VS NGFW
Une liste non exhaustive des différences entre un WAF et une solution de FNG.
L’IPS, etc. l’entreprise en vertu des problèmes de performance que représente l’UTM peut s’investir en un FNG sur mesure (en puissance, en volume de flux, en latence..) au lieu de se procurer un UTM et désactiver ses services.
rectement le nombre d’utilisateurs simultanément supportés et devrait - dans tous les cas de figure - être supérieure à la bande passante Internet de votre entreprise. Comme pour l’UTM les performances d’un NGFW, sont directement influencées par les options de contrôle et de sécurité que l’on active. Les débits (ou la bande-passante) généralement indiqués par les constructeurs n’ont pas une grande valeur car ils sont mesurés dans des conditions idéales avec un minimum de règles et de protections activées. Choisir un UTM/NGFW n’est pas une mince affaire. Il faut s’intéresser aux fonctionnalités défensives, à l’interface d’utilisateur, aux performances et aux fonctionnalités de gestion du réseau.
DÉPLOYER UN NGFW OU UN WAF?
www.teramagazine.net
55
Tera Magazine
QOS
SÉCURITÉ D’ENTREPRISE TELECOMS
UTM IPS
SSL FW
VPN AV
ED
DLP
I FI UN
WAF
T A E
R H T
MANAGEMENT
PAR : KARAM SMA
INGÉNIEUR AVANT VENTE
UNE SOLUTION UNIFIÉE, PROACTIVE ET COMPLÈTE DE LA SÉCURITÉ DU RÉSEAU
P
lus que jamais, dans les PMEs, Les administrateurs des réseaux sont confrontés à des challenges sans précédents, tandis qu'ils essaient de trouver un compromis entre la sécurité et la productivité. En effet, Les tendances commerciales en constante évolution les obligent à fournir un accès Internet étendu et sécurisé. Pour compliquer encore plus la situation, les employés sont de plus en plus mobiles et les utilisateurs requièrent à tout moment et depuis n’importe où d'avoir accès au réseau à partir de divers appareils mobiles professionnels et personnels. C'est pourquoi les entreprises ont dû s'adapter au phénomène BYOD (« bring your own device », pour permettre un accès sécurisé pour les utilisateurs sur leurs appareils, améliorer la productivité et la satisfaction des employés. C’est un combat difficile.
BESOIN EN UTM 56
www.teramagazine.net
UTM Unified threat management, ou UTM (en français : gestion unifiée des menaces) est un terme inventé par Charles Kolodgy du cabinet de conseil IDC (International Data Corporation) en 2004 et utilisé pour décrire des parefeu réseau qui possèdent de nombreuses fonctionnalités supplémentaires qui ne sont pas disponibles dans les pare-feu traditionnels.
P
lusieurs entreprises ont adopté, pour améliorer la visibilité et le contrôle du niveau de sécurité de leurs réseaux, L’utilisation des systèmes de gestion unifiée des menaces (UTM ou Unified Threat Management) qui sont actuellement les outils les plus couramment utilisés de l’arsenal de sécurité de l’information. Le concept de gestion unifiée des menaces (UTM) est à la mode depuis des années. Il propose de nombreuses technologies
de sécurité critiques intégrées sur une seule plateforme (appliance) fournie par un seul éditeur. Cette approche de gestion de la sécurité permet à un administrateur de contrôler et de gérer une grande variété d’applications liées à la sécurité par le biais d’une console de gestion unique. L’UTM remplace donc la solution de défense traditionnelle basée sur une passerelle de réseau primaire épaulée par des solutions de détection et de filtrage. En théorie, UTM est l’évo-
lution du pare-feu traditionnel en un produit ou platform de sécurité tout-inclus ( all-in-one network security platform) en mesure d’effectuer de multiples fonctions de sécurité au sein d’un système/appareil unique: pare-feu de réseau, la prévention des intrusions sur le réseau et la passerelle antivirus (AV), passerelle anti-spam, VPN, filtrage de contenu, équilibrage de charge, de prévention des fuites de données et de rapports sur l’appareil.
SERVICES UTM
Tera Magazine
La solution UTM est typiquement vendue comme une Appliance réseau ou comme un service via Cloud. Les solutions UTM comprennent les fonctions de sécurité de base suivantes : Pare-feu réseau. IPS Le contrôle des applications VPN Le filtrage de contenu Support IPv6 dans toutes les fonctions de sécurité réseau Support pour les environnements virtualisés
la prévention contre les pertes de données Solution Anti-virus/protection anti-spam contrôle Endpoint qui applique des politiques de sécurité de l'entreprise. Contrôleur intégré (WLAN). L’UTM peut inclure aussi des services avancés comme control d’accès, load balancing, qualité de service (QoS), prévention contre les intrusions, inspection SSL et SSH etc. Les Produits UTM ne cesse d’évoluer. les constructeurs peuvent continuellement ajouter de nouvelles fonctionnalités et donc englober l'ensemble des fonctionnalités des autres solutions de sécurité réseau, y compris les pare-feux de nouvelles générations, passerelle Web sécurisée et passerelle de messagerie sécurisée.
POURQUOI L’UTM? INCONVÉNIENTS L’UTM est Un point unique de défaillance pour le trafic réseau, à moins que la haute disponibilité est adoptée L’UTM constitue un point unique de compromission s’il est vulnérable. L’impact potentiel sur la latence et la bande passante lorsque l’UTM ne peut pas gérer tout le trafic.
L’approche traditionnelle des mesures de sécurité réseau individuelles est de plus en plus insuffisante pour protéger les infrastructures des récentes menaces telles que les botnets et les APT. Les efforts de défense doivent être unifiés pour fournir une protection complète contre l’évolution des menaces. Vu que l’in-
frastructure de sécurité du réseau dépend de la taille et des exigences en sécurité client, les plates-formes UTM doivent être évolutive. Par exemple, les exigences de sécurité du réseau pour les petites et les moyennes entreprises (PME) sont très différents de ceux des grandes entreprises.
AVANTAGES Réduction de la complexité: solution unique,un seul fournisseur, simple AMC. Simplicité: se débarrasser de l’installation de plusieurs logiciels et de la maintenance. Gestion facile: une architecture Plug & Play, Facile à installer et à utiliser, interface graphique Web pour une gestion facile . Réduction des exigences en formation techniques, un seul produit à ‘apprendre’. Conformité réglementaire. Administration centralisée. Rapports intégrés sur tous les modèles.
UTM & NGFW :
Le principal avantage d’un produit UTM réside en sa capacité à réduire la complexité. Le QUELLE DIFFÉRENCE ? Permettez-moi de préci- venant de l’extérieur. Les principal inconvénient ser qu’aujourd'hui, Vous analystes définissent les est qu’une appliance ne trouverez pas un pare- next-generation firewalls feu traditionnel à vendre (NGFW) comme des UTM peut devenir un sur le marché, sauf sur un firewalls améliorés avec modem ou un routeur. Le la prévention d’intrusion point de défaillance pare-feu traditionnel ne et le contrôle des appli(SPOF) unique. propose pas de protection cations tandis que les contre les menaces pro-
fonctionnalités et d’autres technologies (IPS,AV,..). Sur cette image, le NGFW est un composant de l’UTM. Toutefois, beaucoup utilisent indifféremment les deux termes.
UTM comme incluant ces www.teramagazine.net
57
Tera Magazine
COMPARAISON UTM CONTRE LES SOLUTIONS GRANULAIRES Alors que de nombreuses entreprises de tailles moyennes ont de multiples produits séparés ‘ponctual ‘ pour assurer la protection du réseau, elles ne peuvent souvent ne pas réussir à mettre en œuvre et maintenir ce qui devient, une stratégie de sécurité complexe. Malheureusement, cette approche fragmentée, laisse souvent des failles de sécurité. En contrepartie, Unified Threat Management
(UTM) offre une grande valeur par la consolidation de la sécurité des réseaux multiples technologies dans un seul appareil « appliance ». Mais pour déverrouiller la pleine valeur de l'UTM, l'appareil doit être architecturé pour une évolutivité et conçue pour répondre à la nature en constante évolution des cybermenaces et des réseaux et doit fonctionner sans dégrader les performances du réseau. L’UTM DE FORTINET (FORTIGATE)
LES ENTRAVES À L’ADOTION DE L’UTM? Les inspections de sécurité introduisent une couche supplémentaire de traitement pour les dispositifs UTM. Un pare-feu stateful inspecte seulement les données en-tête des paquets, avec un impact assez faible sur les performances du réseau avec une protection minimale. Les Fonctions UTM les plus robustes tels que les IPS et la passerelle AV, offrent la protection la plus demandée en inspectant le contenu du paquet des programmes malveillants et les exploits, les comparer aux signatures et aux attaques connues, et en effectuant une analyse comportementale.
L’ Inspection SSL est nécessaire à la défense De nombreuses menaces sont aujourd’hui propagées par le biais des canaux sécurisés en utilisant le chiffrement SSL. En effet, actuellement les menaces en ligne sont connus pour utiliser le trafic Web crypté comme un vecteur d'attaque dépassant les mécanismes traditionnels de contrôle et d’inspection. L’Inspection du trafic crypté SSL est une fonction intensive de décryptage du trafic, d'inspection des paquets, et de re-chiffrement. Une Appliance UTM est un emplacement logique pour effectuer cette inspection, les paquets décryptés peuvent être inspectés par les systèmes de sécurité multiples tels que les IPS, la passerelle AV et DLP, plutôt que d'effectuer le processus de décryptage SSL plusieurs fois à chaque niveau, chose qui est nécessaire par une stratégie de produits séparés.
Les Demandes du réseau sont en évolution La prolifération des applications à haut débit pose un obstacle devant l’UTM. En effet, Les Solutions UTM sont encore contestées pour inspecter un plus grand nombre de canaux, que des applications
58
www.teramagazine.net
telles que la VoIP. En plus ce type d’application ouvre dynamiquement un grand nombre de ports, dans ce cas l’UTM peut menacer la stabilité et la qualité de ces communications. un usage massif peut mener à un étranglement ou saturation du réseau. Ce problème est amplifié quand le trafic réseau est volumineux, car en l’UTM doit traiter le trafic passant pour détecter les programmes malveillants, effectuer du filtrage d’URL, faire du sandboxing, etc.
Les performances du réseau limitent la valeur de l’UTM Sur le papier, le choix de l’UTM pour les moyennes entreprises est convaincant. En pratique, cependant, la dégradation des performances avec l’adoption d’une protection UTM complète a poussé de nombreuses organisations de taille moyenne à désactiver un grand nombre de fonctions de sécurité essentielles afin de maintenir de bon niveaux de performance réseau. Elles sont habituées à désactiver les protections les plus essentielles telles que l’IPS ou l’IDS des outils de sécurité importants pour toutes les organisations.
LE CHOIX D’UTM Dans cette partie on discutera de ce qu’un client doit inspecter lors du choix d’une solution UTM.
1.Concentrez-vous sur la Performance de l'UTM au lieu de la Performance du Firewall : Les vendeurs font souvent la promotion de la performance de leurs produits UTM lorsqu’ils sont utilisés en tant qu’un pare-feu, mais cette inspection est insuffisante. Il faut considérer les spécifications suivantes: Au minimum, inspecter la performance (les spécifications) du réseau pour un produit UTM, en trois mode : lorsqu’il est déployé en tant qu’un firewall ‘stateful’, en tant que pare-feu avec IPS activé et quand tous les services sont activés. L’analyse la plus complète comprend des paramètres supplémentaires tels que la performance réseau en VPN ou en activant une passerelle AntiVirus.
2.Analysez soigneusement les tests assurés par les tiers ‘gartner, …) Les Tests menés par des entités tiers comparent souvent les capacités de L’UTM en le déployant en tant qu’un IPS ou en jouant uniquement sur un de ses rôles de sécurité, il est rare-
Tera Magazine
ment testé en tant qu’un UTM activé à 100%. Ne laissez pas les vendeurs vous convaincre en se basant sur de tels tests, mais plutôt poser leurs les questions suivantes : les produits qui offrent des fonctionnalités supplémentaires (tels que la détection avancée des malwares) présentent-ils une détérioration de performance par rapport à un produit UTM normal? Est-ce que la solutionUTM a une marge ou une flexibilité pour aborder les besoins imprévus en sécurité avec de nouveaux services à l’avenir, à la fois matériels et architecturales? Quel est Le volume de flux qui peut être traité? quel est le maximum de latence causé par un UTM activé en totalité? Mettez le point sur la puissance Matérielle. Demander des benchmarks comparant les caractéristiques matérielles de chaque solution.
3.Considérez les Caractéristiques de l'UTM pour une évolutivité maximale les solutions UTM devraient être flexibles afin que de nouvelles fonctions de sécurité peuvent être ajoutées avec un impact minimal sur les performances du réseau. opter pour une console de gestion qui offre une visibilité sur l’ensemble et les emplacements des outils de sécurité intégrés. Renseignez-vous sur la capacité de clustering qui répartit la charge du réseau à travers de multiples appareils pour l’équilibrage de charge, l’évolutivité et la redondance. Même pour les entre-
Conseil d’achat Assurez-vous que votre fournisseur UTM inclut des solutions partenaires reconnus pour offrir la meilleure protection possible (AV, Parfeu ...) et inspecter la performance( les spécifications) du réseau pour les produits UTM, lorsqu’ils sont déployés en tant qu’un firewall ‘stateful’,
prises de taille moyenne qui ne veulent pas investir dans plusieurs appareils, cette fonctionnalité peut les aider au futur avec l’évolution de leur architecture. Déterminez aussi si vous pouvez acquérir les technologies de sécurité qui sont nécessaires, et la possibilité de déployer facilement de nouvelles fonctionnalités de sécurité avancées
L’UTM offre une alternative puissante aux organisations de taille moyenne qui sont contestées à se défendre contre les cyber-menaces avec des budgets limités et des produits séparés.
Malgré que les entreprises sont préocupées par la sécurité du réseau, la réalité est que n’importe quel outil de sécurité qui affecte la performance du réseau sera tout simplement éteint ou désactivé. www.teramagazine.net
59
Tera Magazine
Cabinet Miercom a constaté que l'activation de l’IPS diminue les performances de débit par autant que 45% et complète UTM de 90%.
UTM: PRÊT POUR LE FUTUR L QUESTIONS
L’inspection UTM peut prendre du temps et diminuer les performances du réseau
’UTM offre une solution flexible, prête pour le futur afin de répondre aux défis sécuritaires et les exigences des réseaux qui changent au fil du temps. Un constat que je fais personnellement ; Toutes les technologies incluses dans un dispositif UTM, ne sont toujours pas déployées par les entreprises; en fait, la plupart ne le font pas. Un UTM donne à une organisation la possibilité de déployer autant ou aussi peu de technologies dont elle a besoin, quand et où elle en a besoin. Les meilleures solutions UTM emploient un modèle de licence simple qui inclut toutes les technologies, éliminant le besoin d'acheter des modules supplémentaires ou de compter les utlisateurs.
Les dispositifs UTM plus avancées peuvent être décrits comme possédant les caractéristiques suivantes : FLEXIBLES: les dispositifs UTM sont en mesure de déployer de multiples technologies pour répondre aux besoins uniques et changeants des organisations modernes et un paysage des menaces en constante évolution. Les mises à jour en temps réel assurent que la technologie, des politiques et d'autres mesures de sécurité sont toujours en cours et à jour. FUTURE-READY. (Prêt pour le futur): Les Dispositifs UTM sont conçus autour des technologies polyvalentes qui existeront dans le futur. Ces dispositifs sont prêts à embrasser les changements en fonctionnalités et en environnement réseau tout en maintenant leur niveau de performance. PUISSANTS: Les dispositifs UTM doivent suivre le rythme des exigences en performance du réseau, pour éviter qu'ils ne deviennent pas des goulets d'étranglement du réseau.
60
www.teramagazine.net
À POSER À VOTRE VENDEUR
Les fournisseurs des solutions UTM feront de leurs mieux pour vous convaincre que leurs offres sont les plus adaptés à vos besoins, ne basez pas votre choix sur ce qu’ils avancent, mais plutôt sur vos besoins. Voici un certain nombre de questions à poser pour faire un bon choix. Comment fonctionne la solution UTM? Quelles technologies de sécurité sont inclus (constructeurs, modèles ,..)? Caractéristiques réseau qui sont pris en charge? L’UTM supporte-il le IPv6? les performances de fonctionnement avec les environnements virtuels? Est-ce la solution UTM est évolutive? Propose-t-elle la haute disponibilité? Quel type de gestion et de rapports offre-telle? Comment la solution UTM est Mise à jour vis-à-vis les nouvelles menaces? Combien Ça Coûte? Le type de Licence? Que sont les témoignages des clients actuels ? Quelles sont les options de support et d’après-vente disponibles? Quel est le temps de latence? Quel est le volume maximal traité? le choix ne doit en aucun cas se baser uniquement sur la notoriété du constructeur ou sur les tests comparatifs, mais plutôt sur votre besoin et votre budget.
PRVISIONS DE GARTNER En 2016, 15% des PME utiliseront les capacités de gestion de la mobilité de leurs platesformes UTM contre moins de 5% aujourd’hui. Avec la large adoption des solutions cloud par les entreprises, le Remplacement des UTM par des options de cloud restera à moins de 5% d’ici 2016. Toutefois, d’ici là, la plupart des dispositifs UTM miseront plutôt sur une assistance de gestion de l’UTM via le cloud.
Tera Magazine
MCSC
MOROCCAN CYBER SECURITY CHALLENGE
PAGE FACEBOOK : /INSECLUB.MCSC SITE WEB : HTTP://MOROCCANCYBERSECURITYCHALLENGE.COM
L
’école nationale supérieure d’informatique et d’analyse des systèmes (ENSIAS) abrite depuis les quatre dernières années la compétition MCSC : Moroccan Cyber Security Challenge. Étant une grande école d’ingénieurs et valorisant les activités parascolaires qui renforcent le savoir et le savoir faire de ses élèves, elle héberge plusieurs clubs et associations qui contribuent au développement aussi personnel que professionnel des futures ingénieurs. L’INSEC : Information Security Club est un club regroupant ceux et celles qui partagent la passion de la sécurité d’information, une passion qui se manifeste en un dévouement envers la réussite de la compétition. Les principaux partenaires du club varient entre l’OWASP, IEEE Moroccan Section, IT6 et l’UM5S. Ces partenariats épaulent l’évènement pour maintenir sa position de force dans un domaine où il reste le premier et le seul de son genre depuis son inauguration. La compétition est d’aspect amical dans la mesure où les participants, formés principalement de groupes de trois personnes et représentant les différentes écoles d’ingénieurs et universités du Maroc, opéreront sur des épreuves de différents niveaux et catégories et auront pour mission la découverte des vulnérabilités au sein d’un système informatique développé pour l’occasion, pour les ex-
PAR : RACHID OUBAOUG
PRÉSIDENT DU CLUB ORGANISATEUR
ploiter ensuite lors de l’élaboration du code qui corrigera les failles de sécurité du système. Parallèlement, des conférences ainsi que des ateliers, destinés au grand public, seront tenus par des professionnels du domaine de la sécurité des systèmes d’information ou d’autres domaines sans pour autant s’éloigner de la culture d’informatique. Pour la remise des prix, on désigne les gagnants en fonction des épreuves dont les codes ont été validés et qui seront comptées par un système intelligent. Le Maroc manque d’initiatives concernant la sécurisation des informations sur le web, dans cette perspective, MCSC vise à créer de réelles opportunités afin de promouvoir l’importance de la sécurité des données, et aussi à montrer que le Hacking, loin de sa réputation, peut agir pour les bonnes causes.
www.teramagazine.net
61
Tera Magazine
SYSADMIN TELECOMS
Episode
6
À l’exception de mes articles précédents de la série « devenir sysadmin » et suite aux demandes reçus des lecteurs, je mets à côté ma casquette linux et je prends celle de Windows. Dans cet article je vais discuter deux points qui sont importants qui préoccupent les administrateurs de Système Windows. Le premier est la fin de support de la Windows server 2003 et la sécurisation d’un Windows server avant la mise en exploitation.
DEVENIR
SYSADMIN PAR : UN SYSADMIN
FIN DE SUPPORT DE WINDOWS SERVER 2003!!
C
omme pour Windows XP en 2014, Microsoft a mis fin en juillet 2015 au support de la version serveur Windows server 2003 qui est largement utilisée au Maroc. Une décision qui rend furieux beaucoup de responsables DSI que je connais. La mort subite de ce système engendrera des changements et des investissements supplémentaires pour s’adapter à cette nouvelle donne. Pour vous mettre dans la scène, la fin du support d’un OS veut dire que les failles de sécurité ne sont plus corrigées, il n’y aura plus de patches de sécurité à installer. Vos machines seront davantage exposées à des risques évidents. Alors la solution ? Les administrateurs Windows n’ont pas l’embarra du choix : Soit ils gardent w2003 et prendre le risque de sécurité, La même scénario que pour la Windows XP. Une option d’autant plus attirante si leur système n’est pas relié à Internet. Isoler complètement le Windows Server, dans le cadre d’une vraie défense fortifiée, avec une protection pare-feu et anti-malwar-
62
www.teramagazine.net
es. Ce cas peut être obligatoire en cas d’applications qui sont dépendantes de ce système et par conséquent une migration peut engendrer des coûts immenses pour la porter ou la re-développer, on préfère donc rester en Windows server 2003. Soit Migrer vers une autre solution Microsoft, plus récente. Vers une version antérieure (2008,2012,2016) ou moins vers les offres Cloud de Microsoft s’avère un choix plus sure. Une chose importante à savoir ; Les versions 2008 et 2012 partagent le même noyau donc une migration vers les deux versions engendrera presque les mêmes nécessités: du côté matériel les deux versions demandent des serveurs ayant une architecture 64 bits. Ceci ouvre la porte devant vous pour exploiter des mémoires de plus de 4 Go, mais ceci peut engendrer des dépenses supplémentaires inutiles, si jamais vous avez que des serveurs 32 bits. Les licences Windows 2012 sont plus chères que celle de Windows 2008. Si vous optez pour une migration vous bénéficierez des nouvelles fonctionnalités. Réfléchissez
avant de faire le choix, car le support de la Windows 2008 finira à son tour en janvier 2020. La dernière option, que je conseille vivement toujours à mes amis et d’opter pour des solutions open-sources. Migrer vers des systèmes stables et robustes comme Redhat ou Opensuse. Ce choix pourrait vous éviter plusieurs problèmes financiers, accouplé à cette décision vous pouvez vous investir en des solutions de virtualisation pour garder votre patrimoine de Windows server 2003. Malheureusement ce choix est entravé par la culture de l’entreprise et du staff technique. Doit-on tourner la page Windows server 2003 à vous de le juger.
Microsoft a mis fin en juillet 2015 au support de la version serveur Windows server 2003 qui est largement utilisée au Maroc.
Tera Magazine
SÉCURISER WINDOWS SERVER Windows server a été toujours critiquée pour son niveau médiocre de sécurité. Certes le système par ses différentes versions est le plus utilisé dans le monde et donc le plus ciblé. Je vous présente ci-suivant quelques conseils très généraux de sécurité à retenir lorsque vous configurez un serveur Microsoft Windows qui sera en interaction avec l'extérieur (Internet).
CHIFFREMENT DES DONNÉES.
L’utilisation du système BitLocker pour crypter vos disques assure que vos fichiers restent sécurisés et inaccessibles même si votre disque dur est volé ou perdu. le chiffrement des données peut être renforcé par l’adoption d’un Trusted Platform Module (TPM) assure que l’utilisation de BitLocker est transparente pour les administrateurs et les utilisateurs.
MISE À JOUR :
Assurez-vous que le serveur est entièrement patché et à jour. Assurez que le service de mise à jour est activé.
CONFIGURATION DU PARFEU
Utilisez de bonnes règles de parfeu, Je vous recommande de verrouiller les ports (338921-990-5000/5050-1433 et 53) via un filtrage d’adresses IP par liste blanche sur l'interface publique pour limiter les attaques de brute-force. N’activez pas le partage des fichiers, opter plutôt pour un serveur SAN, car les ports qui sont ouverts sur le pare-feu exposent le serveur à des tentatives de connections malicieuses au serveur sur les ports 445 et 139.
En cas de déploiement des instances SQL Server, il est important de verrouiller le port de SQL 1433 pour écouter uniquement sur l'interface interne, de préférence de définir une liste blanche des clients qui sont autorisés d'accéder à SQL Server sur le serveur.
POLITIQUE DES MOTS DE PASSE :
la définition d’une telle mesure est toujours prise à la légère, j’ai vu des mots de passe de type ‘123456’ ou ‘aaaaa’ pour des serveurs critiques. Changez vos habitudes et utilisez des mots de passe forts d'au moins 8 à 10 caractères qui comprennent des lettres majuscules et minuscules, des chiffres et des caractères spéciaux (tels que!, #, $ et%). Pour éviter toute tentative de brute force sur vos serveurs.
ACTIVE DIRECTORY RMS
AD RMS (Active Directory Rights Management Services) est une composante supplémentaire pour sécuriser efficacement les fichiers dans Windows Server. Services AD RMS et le client AD RMS permettent de renforcer la stratégie de sécurité d’une organisation en protégeant les informations en appliquant en permanence des stratégies d’utilisation aux informations. Vous pouvez utiliser AD RMS pour renforcer la protection des informations sensibles. Notez que l’outil AD RMS a été introduit depuis Windows Server 2008.
SCW MÉCANISMES DE SÉCURITÉ 2003 :
Faites appel à l’Assistant Configuration de la sécurité (SCW, Security Configuration Wizard ) et la stratégie de groupe Active Directory pour diminution de la surface d’attaque
en modifiant les paramètres de la sécurité pour les rôles, les services de rôle et les fonctionnalités. Il vous guide à travers les étapes de création, de modification, d’application et d’annulation d’une stratégie de sécurité.
APPLOCKER& MMC :
AppLocker est une nouvelle fonctionnalité de Windows Server 2008 R2 qui fournit le contrôle d’accès pour les applications. Le Gestionnaire Microsoft Management Console (MMC) vous aide à assurer via ses composants le contrôle efficace de l’accès aux ressources.
AUTENTIFICATION :
Windows prend en charge plusieurs types d’authentification : Negotiate, Kerberos, NTLM, TTLS/SSL ou Digest. Je préconise d’activer la prise en charge de l’authentification Kerberos pour les services AD RMS.
LES ACCÈS ANONYMES :
lorsque l’on utilise Windows Server dans un environnement Active Directory,il faut se protéger contre les accès anonymes via une politique locale ou une GPO. Cela évitera qu’un utilisateur anonyme puisse faire la découverte de votre infrastructure (énumérer les comptes utilisateurs d’une base SAM ou encore les partages situés sur un système).
AUDITER VOTRE SYSTÈME : L’audit de sécurité est l’un des outils les plus puissants de gestion de la sécurité de votre système. L’audit doit identifier l’historique des attaques, réussies ou non, qui exposent votre réseau à une menace, ou les attaques contre les ressources qui ont été identifiées comme utiles lors de votre évaluation des risques.
WINDOWS SERVER 2016 : NANO SERVER Fonctionnalités
Présentation Lors de ses grandes conférences Microsoft Ignite et Build, Microsoft a présenté La Technical Preview de Windows Server 10, le successeur de Windows Server 2012 R2, Windows Server 2016, aussi appelé “Windows Server Next”, qui sera “orienté vers le cloud”. A cette occasion une Technical Preview 2 a été mise à disposition. Cette Technical Preview permet déjà de découvrir certaines des nouvelles fonctionnalités importantes du futur système d’exploitation serveur de Microsoft. Certaines de ces modifications sont notamment apparentes pour ce qui concerne la virtualisation lorsque l’on déplace
des VM d’Hyper-V 2012 R2 vers un hôte faisant tourner Hyper-V sur la version Preview de Windows Server 10. Windows Server 2016 constitue à la fois une évolution de l’actuel Windows Server 2012 R2 Exclusivement disponible en version 64-bit, Windows Server 2016 Technical Preview (https:// goo.gl/x2jQrB) demande la même configuration minimale que Windows Server 2012 R2 pour fonctionner(un processeur 64 de 1,4 GHz, 512 Mo de RAM ). La sortie de la version définitive de Windows Server 2016 (qui devait avoir lieu en 2015) a été reportée à l’année prochaine.
Windows Server 2016 est disponible actuellement en Technical Preview. Cette version n’intègre pas les fonctionnalités de conteneur annoncées lors de la présentation du nouveau système. Une Technical Preview 3 arrivera cet été avec un socle de fonctionnalités proche de la version finale. Parmi les nouveautés, on retrouve : En Virtualisation on note le nouveau format (.VMCX) de configuration des machines virtuelles, Nano Server pour les microservices et Les conteneurs Hyper-V. En sécurité, elle propose une protection contre les menaces avec une approche “Zero-trust “, et le lancement d’un nouveau service Host Guardian. S’ajoute à ces fonctionnalités de nouvelles y compris des fonctionnalités pour IIS, RDS, et AD. www.teramagazine.net
63
Tera Magazine
WORKFLOW TELECOMS
PAR : HAMID MAKHLOUF
DEVOPS I
l y’ a 3 ans, j’occupais le poste d’un Ingénieur de production informatique. Dans mon quotidien, j’avais des soucis avec les développeurs des applications. Lors de la mise en production on avait toujours à se chamailler. Les développeurs aiment vous faire entendre en cas de problème leurs phrases magiques toutes faites “mais c’est étrange, ça marchait chez moi en local mais faites des check c’est ton système qui est défaillant”, “Je suis sûr, ça doit marcher chez toi” ils nous jettent toujours la balle. Sans parler bien sur du fait que certains peuvent utiliser des logiciels non adoptés au sein de notre SI. “Ça marche avec H2 in-memory et Tomcat, ça doit l’être avec WebSphere et Oracle, NN”. Bref, c’était une vraie galère. Malheureusement, une majorité des développeurs ont la fâcheuse tendance à penser que la mise en production est la tâche la plus simple du tout le
64
www.teramagazine.net
INGÉNIEUR EXPLOITATION
DEV & OPS : MAIN DANS LA MAIN POUR NOTRE BIEN
processus. L’important c’est de se dire “j’ai construit mon projet Maven et j’ai fini le packaging avec succès, ‘mission complete’ ”. Il me reste à envoyer le pain au four, à la marocaine. Une fois une application à mettre en exploitation est arrivée, les ingénieurs d’exploitation passons leurs temps à installer, configurer, patcher, arrêter et relancer des services pour assurer le bon fonctionnement, mais si un problème arrive on est les premiers à être pointés du doigt. Touché par ce vécu infernal, je me suis investi en une quête pour recherche une solution qui rend ma vie meilleure. Par coïncidence, j’ai fait connaissance du Devops qui semblait adapté à mes problèmes et à notre structure. Depuis son adoption les choses ont bien changé vers le meilleur. Si vous l’entendez pour la première fois sachez, que Depuis 2008 ce mot est devenu un “buzzword’, caractérisant
une nouvelle vision de déploiement informatique, inspirée des acteurs majeurs du web (Google, Facebook, Amazon). ce mouvement attire les DSI soucieuses par l’amélioration de la qualité et la rapidité de la livraison des nouveaux produits (applications) sur le marché. Découvrons ensemble cette nouvelle culture de développement informatique pour fondre la glace entre les développeurs d’un côté et les responsables d’exploitation (sysadmins/Netadmins/..)
En temps normal, que ça soit pour une grande ou une petite structure on constate que les développeurs prennent de la distance des administrateurs des systèmes.
Tera Magazine
QU’EST-CE QUE DEVOPS
Le nom « DevOps » est le résultat de la contraction des deux mots Anglais « development » et (exploitation). C’est quoi le rapport? Alors, DevOps, c’est une culture, un modèle de développement et aussi une stratégie qui vise à améliorer la collaboration entre
les développeurs et les responsables d’exploitation afin de réduire le temps de mise sur le marché d’un produit « Time to market » et d’améliorer sa qualité. Il permet d’adopter une approche Agile des relations développeurs/assurance qualité/production.
01 L’intégration continue
DevOps en tant que méthodologie, unit les fonctions souvent séparées de développement logiciel (Dev) et de la production et des opérations (Ops). Ils doivent agir et se sentir comme une seule et même équipe pour éviter les problèmes.
02 La livraison continue
DEV
OPS 04 L’amélioration continue
03 Le déploiement continu
POURQUOI DEVOPS? En temps normal, que ça soit pour une grande ou une petite structure on constate que les développeurs prennent de la distance des administrateurs des systèmes. Ces deux équipes ont tendance à s’isoler, chacune travaille pour soit, chose que je justifie par la culture et la mentalité et les buts qui diffèrent entre les deux camps. En effet, si l’équipe d’exploitation n’a pour but que la stabilité et le bon fonctionnement du système d’information, l’autre équipe (celle chargée par le développement) ne se soucie que de répondre à un besoin métier sans avoir une idée de l’impact que peut avoir ses codes lors de la phase d’exploitation qui, généralement, exécute l’application sur un environnement différent. Il est malheureusement très fréquent que chaque équipe n’est pas consciente de comment l’autre équipe gère sa tâche (c’est-à-dire comment les développeurs codent et comment est configuré l’environnement d’exploitation), rendant
difficile l’optimisation des deux côtés. Cette différence d’horizons fait que ces deux équipes sont en conflit continu. S’ajoute à cela le fait que Les développeurs travaillent en Agile et les exploitants travaillent en ITIL, deux méthodologies qui divergent aux niveaux des pratiques qui ont besoin de cohabiter. L’impact de ce système défaillant peut se percuter sur le business de l’entreprise on peut avoir : Des applications qui buguent en production malgré les tests. Une durée de déploiement importante. Un temps de mise en marché « Time to market » trop important. Des retards de livraisons. L’incapacité de livrer rapidement des correctifs de bug. Des problèmes de performance des applications. Des difficultés à augmenter rapidement la capacité d’une application. Vous pouvez imaginer l’impact négatif de ces incidents vis à vis l’image de
l’entreprise, la qualité des services proposés à ses clients. Elle risque de perdre ses clients et sa part de marché. Pour vous éviter ces risques, le DevOps se charge en quelque sorte de faire le pont entre les différentes équipes afin de faciliter la communication et de propager l’information utile, de s’attaquer aux gaspillages que génèrent les délais de mise à disposition des infrastructures et booster l’activité interne de l’entreprise.
DEVOPS Fait évoluer les esprits www.teramagazine.net
65
Tera Magazine
WORKFLOW TELECOMS
COMMENT ADOPTER DEVOPS À mon avis, pour passer en Devops, il vous faut avoir un certain état d’esprit. Une attitude qui dit: je vais faire la différence, je vais coopérer et communiquer, nous sommes tous dans le même bateau. Si vous êtes un administrateur des systèmes, cela signifie passer du temps avec les développeurs. Apprenez à connaître le codebase (l’ensemble du code source utilisé pour construire le produit)et à y Contribuer. Si vous ne savez pas comment programmer, commencer à le faire. pour ces fins il y a de bons tutoriels disponibles sur internet. Commencez à penser à la gestion des systèmes comme une tâche de programmation: utiliser Puppet ou Chef pour gérer vos configurations et commencer à penser à la façon de tester votre infrastructure. Si vous êtes un développeur, nouez des liens d’amitiés avec vos administrateurs système. Ne les considérer pas comme des bons à rien. Allez les rejoindre, essayer de s’impliquer avec eux. S’ils uti-
lisent Puppet ou chef, impliquez –vous avec eux - commencez à contribuer à leur codebase. Si vous êtes un programmeur expérimenté, surtout si vous avez une bonne expérience en tests, envisagez d’aider vos administrateurs système, les encourager à commencer à prendre part de la ‘code base’. Commencer à comprendre les rôles au sein de vos silos. Essayez de comprendre ce qu’apporte les compétences de l’équipe de contrôle qualité, et comment ils travaillent - voir si il y a une possibilité pour aider. Prenez de votre temps libre ou profiter des temps ou la charge est très faible pour comprendre ce que font les autres, vous êtes tous dans une même équipe. Si vous êtes un Manager vous avez un rôle primordial à jouer, commencer par le fait de qualifier les postes ou les positions en tant qu’entités “Devop” non pas en tant que« développeur »ou« SysAdmin ». Embaucher de personnes ayant des compétences transversales, et fournissez les formations nécessaires pour aider les
équipes à acquérir de nouvelles compétences. Lancer la mise en œuvre des systèmes de gestion de configuration, impliquer l’équipe des systèmes dans des activités continues d’intégration et de déploiement. Veillez à ce que les deux équipes ont des conditions de travail similaires, tous les services doivent disposer des mêmes outils (système d’exploitation, bases de données et serveurs) et des mêmes compétences. Veillez à instaurer des méthodes d’évaluation communes pour encourager la synergie entre les équipes. Limiter les goulots d’étranglement. Faites régner une culture de collaboration où les échanges et les feedbacks sont fréquents, la communication est transparente.
Si vous êtes un Manager vous avez un rôle primordial à jouer, commencer par le fait de qualifier les postes ou les positions en tant qu’entités “Devop” .
OUTILS DEVOPS DevOps, peut être considéré comme une extension d’Agile dans le déploiement d’application.
66
www.teramagazine.net
Il y a plusieurs outils aidant à passer en Devops. En gestion de la configuration : puppet, chef, ansible, cfengine. En orchestration : zookeeper, noah, mesos. En surveillance, la virtualisation et la conteneurisation : AWS, OpenStack, vagrant, docker. En integration (continue): jenkins, travis, teamcity. comme en Agile, il est inexact de dire qu’un outil est “un outil DevOps” dans le sens où il va magiquement vous apporter le DevOps, il existe des outils bien spécifiques en cours de développement dans le but exprès de faciliter les principes, les méthodes et pratiques dont on a parlé le long de l’article. Selon mon expérience,
Les développeurs sont en général mauvais en manipulation des systèmes *nix et les sysadmins sont moins bons en développement lourd (J2EE,.NET,..). Il est préférable que ces deux mondes fassent un meeting à l’amicale périodiquement pour que chaque partie expose ses problèmes et pour faire un transfert des connaissances. Personnellement, je suis devenu à l’aide d’une telle pratique un bon développeur J2EE à coté de ma casquette de Sysadmin et désormais je me débrouille mieux qu’autrefois. Si vous voulez élargir vos connaissances en DEvOps, je vous conseille de faire un tour sur le lien ci-dessous qui offrent un ensemble de conférences et de sessions très intéressantes : https://goo.gl/7Z2FHv
Tera Magazine
QUAND ADOPTER DEVOPS? Avant de vous prescrire le DevOps, il faut avoir certains signes spécifiques permettent de démontrer qu’une rupture s’est engagée entre le Dev et l’OPS : Un manque de communication entre les équipes de développement, d’intégration, de production et de support. Une lourdeur administrative pour préparer un passage en production. Des conflits entre le développement et la production, se renvoyant mutuellement les responsabilités lorsqu’un déploiement a causé de nombreux incidents.
Le manque de réactivité dans les résolutions des incidents. Si vous soufrez de ces défauts, Mettre en place une réelle roadmap avec des objectifs devops en tête serait un bon début. Les concernés doivent apercevoir cette philosophie de travail plus comme un supplément que comme un remède miracle, peut être que l’adoption deviendra plus simple et que l’application des principes DevOps deviendra plus facile. Bref, DevOps n’est pas la panacée, mais un catalyseur.
DEVOPS ET AGILE ? Pour lever la nuance, sachez qu’Agile permet de livrer plus souvent en plus petite quantité. Ainsi, Il est courant en Agile d’obtenir un livrable à la fin des sprints d’une durée de 15 jours ou moins. Le nombre élevé de ces déploiements a pour conséquence de les encombrer sur les environnements d’exploitation. Cette cadence ne permet pas à L’exploitation, qui s’intéresse à des aspects de sécurité et du fonctionnement, de suivre au même rythme les développements en mode Agile. DevOps, peut être considéré donc comme une extension d’Agile dans le déploiement d’application. Il est particulièrement complémentaire au développement en mode Agile car il permet de déployer un livrable auto-
matiquement depuis la phase d’intégration jusqu’à la phase de la production. Un livrable est packagé pour la production dès l’étape d’intégration.
www.teramagazine.net
67
SYSADMIN TELECOMS
Tera Magazine
Il s’agit d’un système de packaging qui permet de prendre n’importe quel code source, n’importe quelle application et de l’envelopper, avec toutes ses dépendances, dans un objet unique, « self-contained », que l’on peut déplacer et faire tourner sur n’importe quel serveur, n’importe où sur la planète. SOLOMON HYKES (FONDATEUR DE DOCKER)
SOLOMON HYKES (FONDATEUR DE DOCKER)
A
u cours de cette année, les acteurs de la virtualisation, du Cloud, ou du DevOps ne cessent de parler de la technologie des conteneurs précisement de Docker. Une révolution qu’est en cours de se produire, bouleversant toutes les méthodes de gestion et de déploiement des applications en exploitant. Une approche novatrice de la virtualisation d’applications. Dans des mondes de Cloud et de virtualisation qui sont en évolution rapide, Docker a réussi à faire les manchettes en tant qu’une solution de déploiement d’applications dans des conteneurs logiciels virtuels. Il a pu en un temps record faire évoluer le marché vers l’utilisation des conteneurs qui est devenue actuellement une discipline à la mode. Les entreprises suivent la vague et adoptent actuellement Docker à un rythme remarquable. Docker a réussi à résoudre l’équation du succès. En tant qu’un projet libre et open source, Il présente plusieurs avantages (facilité d’usage, évolutivité, rapidité,..) et il résout plusieurs problèmes qui épinent la vie des développeurs d’application et les administrateurs de systèmes. Entre autre, il crée un Framework pour eux afin de travailler ensemble sur les applications distribuées. Des
68
www.teramagazine.net
WORDPRESS
LE CONTENE
DOCK Le n JOK
aspects qui font de ce projet un grand succès.
Malgré que son arrivée ait perturbé plus le marché de la virtualisation, il a favorisé par contre l’adoption du Cloud. Plusieurs poids-lourd dans le domaine du Cloud, du stockage et de la virtualisation dont VMware, Google, AWS, Cisco, ou encore Microsoft, EMC, HP, IBM, Intel, Red-Hat ont reconnu l’intérêt de la technologie de Docker et ils travaillent sur son adoption. Google est en avance, son Compute Engine propose le runtime Docker préinstallé permettant de créer des conteneurs Docker sur son espace IaaS.
Le projet est à ses débuts mais il évolue rapidement, l’entreprise Docker a procédé à des levées de fonds 135 millions de dollars entre fin 2014 et 2015 juste quelques mois après son lancement. Sans oublier de préciser que Docker a été téléchargé plus de 300 millions de fois. Ce n’est pas un hasard si Google Cloud Platform a annoncé l’arrivée des conteneurs Docker.
Longue introduction, bien méritée par docker. Je vais à travers cet article essayer de dévoiler ce qui se cache derrière ce nouvel outil et proposer une première mise en service pour une utilisation souple et efficace. Je vais essayer aussi de répondre à un certain nombre de questions qui sont très importants concernant ce sujet.
PAR : ARWA
Tera Magazine
C++
NODEJS
EUR
ORACLE
PYTHON
Cloud, virtualisation
DEVOPS
JAVA
PHP
KER nouveau KER MONGODB
MYSQL
LINUX
Build, Ship, and Run Any App, Anywhere
NGINX
A BELLAJ
PHP
UBUNTU
www.teramagazine.net
69
EMÉR GENC E
Tera Magazine
SYSADMIN TELECOMS
CONTENEURS
DOCKER
AVEC DOCKER, L’IDÉE EST DE CRÉER UN SOFTWARE ANALOGUE AUX CONT
Techniquement, Docker est un LXC (LinuX Containers) évolué. L’idée consiste à utiliser LXC comme base, puis à ajouter quelques fonctionnalités utiles en dessus, à l’occurrence Docker propose des outils de génération automatisée de build.
A
70
u cours de l’introduction, j’ai mentionné que docker est une solution de déploiement d’applications dans des conteneurs logiciels virtuels. En effet, Docker est un outil qui peut empaqueter (L’analogie des conteneurs, empilés sur la baleine du logo) une application et ses dépendances dans un conteneur virtuel portables, qui pourra être exécuté (transporté) sur n’importe quel serveur Linux (en futur sur windows) en local ou en Cloud. Ceci permet d’étendre la flexibilité et la portabilité d’exécution d’une application. Les gains sont multiples : on peut citer principalement la simplification du design et du dimensionnement des infrastructures et la facilité du déploiement des applications.
outils d’accompagnement, tels que Chef, Maven, Puppet et autres, afin d’automatiser ou de rationaliser le processus de build.
Techniquement, Docker est un LXC (LinuX Containers) évolué : L’idée consiste à utiliser LXC comme base, puis à ajouter quelques fonctionnalités utiles en dessus, à l’occurrence Docker propose des outils de génération automatisée de build. Ces outils aident les développeurs à passer plus facilement d’un code source à des applications conteneurisées, ou à utiliser des
Comme indiqué dans le FAQ de docker (docs.docker.com/ misc/faq/), il n’est pas un remplacement pour la technologie LXC. Docker est très axé sur les applications plutôt que sur les systèmes d’exploitation, permettant de combiner la virtualisation par conteneurs avec des flux de travail (Workflow), des outils pour la gestion des applications et de
www.teramagazine.net
déploiement et du versioning de conteneur (d’une manière très similaire à git) et réutilisation de composants (utiliser un conteneur comme une image de base).
LXC Le noyau de Linux 2.6.24 intègre une prise en charge fondamentale de la conteneurisation pour assurer une virtualisation au niveau du système d’exploitation et permettre à un même hôte d’exécuter plusieurs instances Linux isolées, baptisées « conteneurs Linux », ou LXC (LinuX Containers). LXC repose sur la notion de groupes de contrôle Linux, les cgroups. Ici, chaque groupe de contrôle offre aux applications une isolation totale des ressources (notamment processeur, mémoire et accès E/S), et ce sans recourir à des machines virtuelles à part entière.
Tera Magazine
QU’EST CE QU’ UN CONTENEUR ? Un conteneur virtuel peut être vu comme étant une sorte de machine virtuelle, sauf qu’il y’a
TENEURS D’EXPÉDITIONS
socié aux systèmes d’exploitation, peuvent donc être considérés comme « uniques » du point de vue de chaque conteneur. Historiquement, les conteneurs en tant que concept logiciel ont existé depuis un certain temps sur unix. Le chroot (réalisé initialement en 1979) a introduit l’idée d’exécuter un programme dans une copie virtualisée de l’os à des fins de sécurité. FreeBSD a introduit par la suite la commande ‘jail’ dans les années 2000 qui a développé cette notion et elle a isolé le système à un degré supérieur. Solaris, AIX et HPUX ont tous leurs propres variantes aussi, linux adopte un certain nombre de projets offrant des implémentations légèrement différentes de l’idée de ‘jail’. Ces projets se fondent sur une fonctionnalité du noyau connu comme «cgroups» qui permet de limiter et isoler l’utilisation des ressources de type: processeur, mémoire, disque, etc. Liés à des cgroupes. Solaris adopte un concept similaire nommé ‘zones’ , d’autres acteurs comme parallels ou Googles ont leurs technology open-source lmctfy (Let Me Contain That For You). Chaque fois que vous utilisez une fonctionnalité Google ( recherche, Gmail, Google Docs,.. ) vous utilisez un conteneur. On peut déduire que L’idée des conteneurs n’est donc pas nouvelle, or l’introduction de plateformes ouvertes, telles que Docker, a boosté la conteneurisation et son potentiel en matière d’applications distribuées évolutives
des différences majeures entre les deux que nous allons voir par la suite. Un conteneur est un élément logiciel qui offre un environnement d’exécution complet permettant à son intérieur l’exécution d’un ou plusieurs processus simples ou distribués (exp : Apache Cassandra, Riak ou d’autres..) en exploitant les ressources de son système hôte. Les conteneurs Linux proposent une isolation complète de leur espace de noms ce qui permet à des groupes de processus d’être isolés des autres sur le même système. Les fonctionnalités telles que les systèmes de fichiers, les ID réseau et les ID utilisateurs, ainsi que tout autre élément généralement as-
CONTAINERS OU MACHINE VIRTUELLE? La différence majeure entre les deux, réside dans le fait qu’un conteneur n'inclut pas de système d'exploitation, il s’appuie sur les fonctionnalités du système d’exploitation hôte. Cela signifie que, par rapport à un hyperviseur (Hyper-V,Xen,KVM..), les conteneurs sont plus rapides à créer et à démarrer et il est facile de migrer un container d'une machine physique à l'autre, du fait de son plus faible poids. "Typiquement, une machine virtuelle pourra peser plusieurs Go, alors qu'un container ne représentera que quelques Mo. Economisant un espace disque et mémoire sur la machine hôte.
Cet atout de légèreté, fait que ces containers sont portables entre les clouds ayant implémenté cette technologie (C'est le cas d'Amazon sur AWS, Microsoft sur Azure, et Google sur Google Compute, OVH et DigitalOcean…). Par conséquent un conteneur Docker, avec ses applications, peut passer aisément d'un de ses clouds à un autre. Pour Les conteneurs , ce n'est plus l'ordinateur qui est virtuel, mais uniquement l'environnement d'exécution. Un seul et même noyau est utilisé par les conteneurs, qui sont isolés les uns des autres dans le même environnement. C'est moins flexible que la virtualisation (on ne peut pas mélanger Windows et Linux), mais ça consomme moins de ressources systèmes. Techniquement ça repose sur chroot et cgroups. Exemple : OpenVZ, VServer, LXC, … et bien sur Docker.
“LE CHROOT (RÉALISÉ INITIALEMENT EN 1979) A INTRODUIT L’IDÉE D’EXÉCUTER UN PROGRAMME DANS UNE COPIE VIRTUALISÉE DE L’OS À DES FINS DE SÉCURITÉ” L’utilisation des conteneurs permet de réduire énormément le coût induit par la virtualisation notamment au niveau de l'hyperviseur et des systèmes d'exploitation virtualisés, qui requièrent chacun de la mémoire et de coûteuses licences. Le conteneur se passe du rôle du hyperviseur et fait directement appel à l'OS de la machine hôte pour réaliser ses appels systèmes économisant ainsi les ressources matériels et les coûts des licences. Un contenaire contrairement à une VM n’as pas besoin de ressources (mémoire, espace disque, ..) dédiés au préalable, ce qui limite le nombre de VM qu'un serveur peut héberger. Le système des conteneurs est ‘scalable’ (évolutive). S’il a besoin de plus de mémoire ou d’espace disque ou une autre ressource, il la demande à l’OS hôte contrairement aux machines virtuelles si on veut leurs ajouter de la mémoire on doit les éteindre. Docker permet dans le même temps de concevoir une architecture de test plus agile, chaque conteneur de test pouvant intégrer une brique de l'application (base de données, langages, composants...). "Pour tester une nouvelle version d'une brique, il suffira d'inter-changer le container correspondant", www.teramagazine.net
71
BENCHMARK
Tera Magazine
SYSADMIN TELECOMS
IBM a réalisé un comparatif de performance entre Docker et KVM. Sa conclusion est sans appel : Docker égale ou excède les performances de cette technologie de virtualisation open source et ce dans tous les cas testés dans le cadre du comparatif suivant : http:// goo.gl/ynYfOZ
CARACTERISTIQUES DOCKER Docker est léger et rapide
INTÉRÊT DOCKER Les conteneurs Docker présentent plusieurs avantages par rapport aux technologies de virtualisation largement répandues. À la différence des solutions à base d’hyperviseur comme vSphere de VMware et Hyper-V de Microsoft, Docker tire profit des conteneurs Linux pour la virtualisation. D’une part, ces conteneurs occupent beaucoup moins de place que les images des machines virtuelles traditionnelles (VM) et ils démarrent beaucoup plus vite. Par ailleurs, les développeurs peuvent plus facilement comparer les conteneurs, les déboguer, et même les déployer sur Amazon Web Services. Docker présente par ailleurs un intérêt car il permet de limiter les mises à jour à une partie du système containérisé. Grâce à son dispositif de Build associé, il fait la différence entre deux états de système de fichiers, et ne met à jour que cette différence. Docker casse la VM actuelle qui est très dépendante de l’infrastructure serveur, de l’hyperviseur, du format, etc.
DÉSAVANTAGE DE DOCKER Critique envers le modèle de sécurité proposé par Docker et constatant la complexité toujours plus grande de la plate-forme de containers. Pour l’heure, les containers Docker se créent et se manipulent en lignes de commande. Docker planche sur une interface de gestion graphique des containers Il n’en reste pas moins que les
72
www.teramagazine.net
containers créés sur Linux, ne pourront être portables sur Windows, et réciproquement. Il s’agit là de la limite majeure de Docker et sa principale différence avec la virtualisation. Un container ne pourra pas passer de Linux à Windows sans l’aide d’une machine virtuelle. COMPARAISON ENTRE VM ET CONTENEURS
DOCKER, CONTENEURS ET VIRTUALISATION : LA COHABITATION EST POSSIBLE Comme nous l’avons vu, Les conteneurs représentent plusieurs avantages. Vous démarrez un outil quelconque et il s’émule tout seul en utilisant moins de ressources. C’est clair Docker menace la virtualisation, pour se faire la publicité, il reprend ironiquement les arguments utilisés par VMware il y a 10 ans. Avec l’investissement a priori des entreprises en virtualisation, une migration complète vers les solutions de conteneurisation, ne semble pas une tâche facile. Un scénario plus flexible consiste à faire tourner Docker à côté d’un environnement VMware, ou déployer des conteneurs Docker dans une VM VMware pour conserver une certaine cohérence en matière d’administra-
tion. Les entreprises sont intéressées par l’agilité que peut proposer Docker, mais elles montrent un intérêt réel à abaisser leur licencing et les ressources dédiées à la virtualisation, par exemple Il est possible de faire tourner 10 conteneurs Linux dans une unique VM. « Là où vous aviez 10 VM, vous pouvez avoir 100 conteneurs. Ça serait une meilleure économie pour les mêmes applications déployées. Microsoft a annoncé le support des conteneurs docker sur son prochain windows server à coté de Hyper V, une décision qui aidera les entreprises à adopter une architecture hybride Virtualisation-conteneurisation
La sécurité des conteneurs est une question récurrente. Pour être clair et concis, Dcoker est basé sur des fonctionnalités linux, il hérite donc d’un grand nombre de problèmes de sécurité qui affecte le système penguin. On compte des vulnérabilités plus ou moins critiques, dont les fameuses failles qui ont fait le buzz l’année depuis 2014: • ShellShock (bash), • Heartbleed (OpenSSL), • Poodle (OpenSSL)
Plusieurs vulnérabilités critiques permettant à des images malicieuses de dépasser et compromettre la sécurité de la machine hôte ont été découvertes. Conscient de ce problème, Docker Inc. a publié un document qui introduit la sécurité des containers Docker : https:// goo.gl/H6fHD9. En parallèle, Plusieurs outils sont disponibles (Lynis, Docker-bench-security,Archis,…) pour améliorer la sécurité de vos containers en production.
SÉCURITÉ
COMMENT PEUTELLE AIDER LES ADMINISTRATEURS IT ? Docker permet aux administrateurs IT d'accélérer le déploiement des applications aussi bien pour la phase de développement que de production, et va permettre une circulation plus rapide entre serveurs sur site et machines virtuelles dans le cloud. Les experts techniques peuvent délivrer plus rapidement des applications d'entreprise sur tout type de plate-forme, à travers les serveurs sur site et les machines virtuelles dans le cloud, sans les modifier. Cela accroit leur agilité : ils peuvent mieux répondre aux besoins de l'entreprise et à l'évolution du marché.
PREMIER TEST
Tera Magazine
DOCKER
Désormais nous passons à la pratique. Dans cette partie, nous allons faire un premier essai pour créer un conteneur docker, un conteneur affichant le fameux message ‘hello world ‘. Durant ces tests, j’utilise comme système hôte le Ubuntu 14.04, mais docker est supporté par tous les autres systèmes GNU/Linux, donc vous devriez être en mesure de suivre les instructions sur la plupart des systèmes. A l’heure de l’écriture de cet article, ubuntu 14.04 dispose de la version Docker 0.91 dans ses dépôts. Pour les systèmes basés sur Debian le dépôt des packages est docker.io.
Un Hello world en conteneur Docker
DOCKER EN WINDOWS /AZURE Comme nous l’avons pu découvrir, Docker utilise des fonctions Linux et s’appuie sur son noyau système mais Windows n’est pas à l’écart. Pour utiliser docker sous Windows, il existe une VM légère pour faire tourner Docker (https://docs.docker. com/installation/windows/). Microsoft travaille sur un nouveau Windows Server : Nano Server. Il serait fortement orienté Cloud et donc conteneur. Cela confortera l’hypothèse de l’arrivée d’une technologie de conteneur Windows dans les prochains mois, sans doute que Nano Server s’inspire ou utilise le travail réalisé sur Drawbridge. Reste à savoir la souplesse qu’il aura et s’il pourra tenir la comparaison avec Docker ou une technologie comparable.
3
01
Installation de Docker Pour vous faciliter la tâche, Docker offre un script qui automatise l’installation, assure l’utilisation de https pour les sources APT et ajoute les dépôts Docker aux sources de dépôts du système. Pour commencer, lancer la commande ci-dessous, pour charger le script et l’exécuter via (figure 1) Curl –sSL https://get.docker.io/ubuntu | sudo sh Ceci n’installera pas des backdors ni des scripts pour miner des bitcoins soyez assurés. A l’issue de cette commande un ensemble de package sera installé et Docker sera lancé en tant que processus daemon. Pour s’assurer du bon déroulement de l’opération précédente nous pouvons utiliser La commande ‘ps|grep docker’ ou ‘service docker status’ (figure 2). pour créer un conteneur affichant le message «hello world» nous exécutons la commande suivante : Sudo docker run ubuntu echo ‘hello world’ (figure 3) Si l’image docker de ubuntu n’existe pas, docker la téléchargera en ligne depuis ses dépôts.
1
2 www.teramagazine.net
73
Tera Magazine
02
SYSADMIN TELECOMS
Hello World Docker
Un exemple plus élaboré serait d’utiliser un bash (shell de commande) au sein du conteneur et ceci via les options –i (input) –t(tty ou terminal) qui permettent d’utiliser le STDIN et nous ouvre un terminal de commande. Sudo docker run –i –t ubuntu /bin/ bash (figure 5) L’option -i permet la capture de la saisie et -t donne un terminal, bash lance l’interpréteur de commande Bash. Une fois le terminal bash est ouvert nous pouvons y exécuter une commande au sein du conteneur, exemple cat /etc/os-release. Vous avez sans doute remarqué la rapidité d’exécution extrême des conteneurs dockers dont on n’a parlé
03
8
Un bon exemple pour une application légère qui s’adapte aux centenaires est NGINX. C’est un serveur web très populaire et connu par sa haute performance. Nous allons donc mettre en place une instance de NGINX avec une page web et compacter le tout en un conteneur. L’opération est facile, nous allons acquérir une image NGINX depuis le Hub de docker (registry.hub.docker.com). Ce hub héberge un répertoire officiel de
DEPLOYEMENT DU CONTENEUR NGINX : Pour lancer le serveur web Nginx, on instancie un nouveau conteneur docker Sudo docker run –name teraserver –d –p 8080:80 nginx L’option --name nous permet de donner un nom au conteneur plutôt que le nom bizarroïde généré automatiquement par Docker pour faciliter sa manipulation. Pour pouvoir réutiliser le nom du conteneur, il faut le stopper et le supprimer par la commande rm. www.teramagazine.net
distribution ubtunu installée au sein du conteneur. La commande exit mettra fin au shell et au conteneur. La commande suivante permet de voir les conteneurs docker actifs. Sudo docker ps La commande ‘docker ps’ permet aussi en ajoutant l’option –a de révéler tous les conteneurs dockers y compris ceux qui sont inactifs. On peut mettre fin à un conteneur via sudo docker stop nom_docker
4
5
Exemple évolué
NGINX. Vous pouvez en terme docker « pull » c.-à-d. acquérir une image NGINX (téléchargé 3.4 millions fois) en utilisant la commande Sudo docker pull nginx (figure 6) Docker se chargera de télécharger l’image nginx depuis son hub.
74
auparavant, rien à avoir avec le chargement lourd d’une VM. Un autre point important à retenir, Vous pouvez sur un système faire cohabiter plusieurs conteneurs plus que le nombre de VM possible. Avec la commande précédente nous avons pu démarrer un conteneur hébergeant une image ubuntu 14.04. Nous avons lancé un shell à l’intérieur du conteneur et nous avons exécuté la commande ‘cat /etc/os-release’ pour afficher les informations concernant la
l’option -p indique le port du hôte 8080 sera mappé (lié) aux ports 80 du conteneur, on utilise ce mécanisme pour éviter tous conflits en cas de multiples instances nginx. L’option –d permet de faire tourner le Nginx en arrière-plan ‘deamon’.
TEST
En assumant que Nginx est actif. Nous pouvons via un browser local visiter l’url : http://127.0.0.1:8080 pour avoir la page d’accueil de NGINX qui nous souhaite la bienvenue (figure 7). Pour pouvoir changer le contenu de la page affichée, stoppons notre conteneur. Sudo docker stop teraserver. Nous pouvons stopper un conteneur en utilisant son nom ou son id. Ouvrez un éditeur de texte et créer votre nouvelle page HTML et enregistrez la sous le nom index.html, mettez dedans le code suivant <html> <h1> Je m’exécute au sein d’un conteneur. </h1> </html> Enregistrez le code HTML et lancer la commande : Sudo docker run –name teraserver –v $(pwd):/usr/share/nginx/html –p 8080 :80 –d nginx Docker inclut une fonctionnalité de Vargant qu’est la possibilité de partager
des dossiers entre l’hôte de docker et les conteneurs. En effet, L’option –v permet de monter au conteneur le dossier “/docker_tera “ indiqué par la variable $(pwd) vers le dossier /usr/share/nginx/ html, ainsi le contenu du dossier local sera disponible dans le dossier du conteneur. Pour activer les nouvelles modifications nous relançons le conteneur NGINX : docker kill -s HUP nom_conteneur docker restart nom_conteneur En cas d’échec du chargement des nouvelles modifications, vous pouvez relancer docker via la commande : service docker restart.
6
7
Tera Magazine
9
DOCKERFILE
DEVOPS
Afin d’indiquer à NGINX la page web à afficher, nous pouvons au lieu de monter le dossier local du hôte vers le conteneur via la ligne de commande précédente, faire appel à un dockerfile et faire un build pour créer une nouvelle image. Nous créons un dockerfile (le fichier doit être nommé dockerfile) qui est un fichier texte contenant un ensemble de commandes pour docker. Nous pouvons ensuite générer la commande docker build pour laisser tout le travail à Docker. On ajoute le dossier du contenu du siteWeb à l’image Nginx existante via le dockerfile suivant : FROM nginx ADD content /usr/share/nginx/html Exécutons par la suite la commande docker build Sudo docker build –t teraserver . Attention au point à la fin de la commande, ceci indique à Docker que le contexte du build
est le dossier courant (figure 10). Après sa création, exécutons notre nouveau conteneur Sudo docker run - -name tera –d –p 8080 :80 teraserver Faites le test via browser : Nous pouvons voir le fruit de notre changement via 127.0.0.1:8080/ docker-tera.html dans notre browser(figure11). Le conteneur a sa propre adresse IP interne, que vous pouvez l’avoir via la commande : sudo docker inspect nom_du_conteneur. Vous aurez des informations sur le système en format JSON (figure 12).
10
04
11 12
Docker constitue un outil qui vous aidera à créer un environnement DevOps au sein de votre organisme. Il aide les développeurs à participer au déploiement de ses application.
PAGE064
“DOCKER CASSE LA VM ACTUELLE QUI EST TRÈS DÉPENDANTE DE L’INFRASTRUCTURE SERVEUR, DE L’HYPERVISEUR, DU FORMAT, ETC. ”
PHP en Docker Au lieu de se contenter de faire tourner une page html statique, nous pouvons créer un script PHP et l’exécuter sur nginx, packager le tout au sein d’un conteneur. Pour utiliser php avec NGINX nous pouvons récupérer l’image toute prête “docker-nginx-php” depuis github avec la commande sudo git clone https://github.com/ fideloper/docker-nginx-php.git cd docker-nginx-php/ On construit notre image nommée “terapp” sudo docker build -t terapp .
cd .. Créer une page index.php contenant le code <?php phpinfo(); ?> On instancie donc un nouveau container : sudo docker run -v $(pwd):/var/ www:rw -p 8080:80 --name nginx-dev -d terapp visiter l’url localhost:8080 vous obtiendriez la configuration php de votre serveur comme indiquée dans la figure 13
13
www.teramagazine.net
75
SYSADMIN TELECOMS
05
Mysql Docker
L’exemple précèdent ne déploie qu’une page web statique, si on veut mettre en place des pages dynamiques qui utilisent une base de données ou pour mettre en place un CMS. Nous pouvons créer un conteneur NGINX et un autre pour la base de données (par exemple MYSQL) et les lier. L’installation d’une image Mysql est simple : Sudo docker pull mysql Nous lançons un conteneur tournant Mysql nommé dataM en définissant un mot de passe pour l’utilisateur root: Docker run --name dataM -e MYSQL_ ROOT_PASSWORD=mon_mot_depasse -d mysql Nous pouvons lancer ensuite le conteneur Nginx et le lier au conteneur Mysql, par la ligne de commande : Sudo docker run –d –p 8080 :80 --name nginx-test --link dataM:mysql nginx Docker utilise des tunnels sécurisés pour véhiculer le trafic entre conteneurs ce qui veut dire que la base de donnée n’as pas besoin d’exposer des ports en publique. Docker s’en charge automatiquement. Pour plus d’informations sur l’utilisation de Mysql via
MODIFICATION ET GESTION DES VERSIONS D’UN CONTENEUR Quand Docker utilise la commande build, il prend notre image de base et lui ajoute les changements indiqués dans le dockerfile, cette couche de changements est enregistrée comme un conteneur différent. Ce principe peut être exploité, nous pouvons prendre notre image ubuntu de base et installer des-
des contenaires Docker, je vous réfère au lien https://github.com/docker-library/docs/tree/master/mysql Pour des données persistantes, le conseil que je peux vous donner est de créer un conteneur dédié content le volume partagé et rendre les données disponibles aux autres conteneurs qui peuvent y accéder en utilisant l’option –v, comme nous l’avons fait. La ligne de commande suivante lance une autre instance de conteneur Mysql et lance un client connecté au conteneur MySQL original lancé auparavant vous permettant d’exécuter vos requêtes sql : docker run -it --link dataM:mysql --rm mysql sh -c ‘exec mysql -h”$MYSQL_ PORT_3306_TCP_ADDR” -P”$MYSQL_ PORT_3306_TCP_PORT” -uroot -p”$MYSQL_ENV_MYSQL_ROOT_ PASSWORD”’ dataM est le nom du conteneur du serveur MySQL. Ainsi nous avons pu créer 3 contneurs distincts opérationnels. Maintenant que les images sont installées, vous pouvez créer facilement d’autres conteneur avec une configuration différente et les partager.
sus un ensemble de programmes via plusieurs lignes apt-get install inclus dans un Dockerfile. Chaque ligne créera un conteneur intermédiaire, qui sera supprimé une fois que le changement a été commis laissant seulement la copie finale. Les modifications peuvent être faites manuellement via des lignes de commandes, après qu’on quitte le conteneur on utilise la commande docker commit (figure 14). Cette commandes qui ressemble à ceux de git, nous permet de gérer les versions du conteneur.
14
76
www.teramagazine.net
DEPOT DOCKER ASTUCE
Tera Magazine
Le projet Docker dispose d’un répertoire publique en ligne des images à utiliser. Similaire à Vargant, n’importe qui peut stocker une image docker après inscription. Cependant vous n’avez pas besoin de compte pour télécharger les images disponibles. Les grands éditeurs de logiciels comme MYSQL, Apache ont leurs dépots officiels d’images Docker.
Commandes Docker Ci-dessous un ensemble de commandes de base pour l’utilisation des conteneurs docker. •Afficher toutes les images : docker images Installer une image à partir du dépot officiel de Docker : docker pull NOM_DE_L'IMAGE Installer une image depuis un fichier Dockerfile : docker build NOM_IMAGE CHEMIN_VERS_DOCKERFILE Supprimer une image : docker rmi NOM_DE_L'IMAGE docker rmi ID_IMAGE Créer un container à partir d'une image : docker run OPTIONS NOM_DE_L'IMAGE Démarrer un container : docker start NOM_DU_CONTAINER Relancer un container : docker restart NOM_DU_CONTAINER Stopper un container : docker stop NOM_DU_CONTAINER Supprimer un container (il faut que ce dernier soit obligatoirement arrété) : docker rm NOM_DU_CONTAINER Renomer un container : docker rename NOM_DU_CONTAINER NOUVEAU_NOM_DU_CONTAINER Afficher les infos d'un container (cpu, mémoire, etc..) : docker stats NOM_DU_CONTAINER Exécuter une commande dans un container : docker exec NOM_DU_CONTAINER Lister les containers actifs : docker ps Lister tous les containers : docker ps -a
Tera Magazine
LA GUERRE DES CONTENEURS : COREOS VS DOCKER Docker a toujours eu le but de servir un format universel de conteneur pour offrir une portabilité particulièrement utile dans le Cloud: Si nous adoptions tous Docker pour construire et déployer des applications, nos applications deviennent portables. Sauf que…
docker vis à vis des activités de CoreOS. L'équipe CoreOS affirme que Docker était trop complexe et difficile à manipuler, et il est devenu trop centré sur les besoins de la société mère (également appelé Docker) et il s’est écarté de sa mission originale de portabilité. Selon CoreOS, Rocker se veut : très modulaire, sécurisé, avec une image pour la distribution, ouvert. Avec Rocket, CoreOS indique qu’elle veut faire revenir les principes de base de Docker. Cette solution trouve bien de la place dans le marché des conte-
CoreOS, qui commercialise une distribution Linux micro-entreprises visant à des déploiements cloud hyper-échelle, a annoncé en Décembre 2014 un projet open source nommé rkt (née Rocket), une solution de conteneur qui implémente un nouveau format appelé App Container (APPC). Rocket peut être considérée comme une alternative à Docker. Une décision qui peut être qualifiée de riposte aux menaces de
neures. En effet, Google, Red Hat, VMware, et Apcera ont rejoint la liste des adoptants de App Container (AppC). Depuis, Les deux solutions se sont livrées une concurrence sans merci. Pour éviter l’éclatement du marché des conteneurs, Docker et CoreOS ont fait la trêve. L’Open Container Project (www.opencontainers.org) a vu le jour par l’appui des géants du monde de cloud et virtualisation et chapeauté par la linux fondation dans le but de permettre aux utilisateurs et aux entreprises de continuer à innover et à développer des solutions à base de conteneurs, avec l’assurance que leurs efforts de développement passés seront protégés et à l’abri de la fragmentation de l’industrie
"est plusDocker selon IBM
GESTION DES CONTENEURS Pour faciliter la gestion des conteneurs dans des clusters ou dans le Cloud, il existe deux projets open source: Le projet Kubernetes, initié par Google qui permet le déploiement d’applications à grande échelle et la superviser. le projet Tectonic, présenté par CoreOS, qui offre une interface unifiée, pour gérer l’ensemble de ses conteneurs et effectuer des builts d’applications et proposer en plus des outils de déploiement. La technologie des conteneurs Docker a pris d’ampleur dans le monde du cloud et du développement d’applications. Elle a été propulsée par sa capacité à proposer un moyen simple et facile pour packager et de déployer les applications sur un grand nombre d’instances Linux avec de meilleures performances que pour la virtualisation. Si Docker est certes rapide, facile à utiliser et gratuit, il ne convient pas à tout le monde.
performant 26 fois... qu’une machine virtuelle
"
BOOT2DOCKER
L
’outil boot2docker disponible sous Windows et sous Mac (http://boot2docker.io) crée une petite machine virtuelle Linux hôte de Docker, pour utiliser les conteneurs Dockers sur ces systèmes qui ne le supportent pas jusqu’à l’heure actuelle. Ne vous inquiétez pas, cette machine virtuelle est vraiment petite, elle démarre en environ 5 secondes. www.teramagazine.net
77
Tera Magazine
RÉSEAU TELECOMS
réseau
Zabix
NAGIOS& cacti
Solution de monitoring unifié
ZENOSS (Core)
Supervision Métrique
LOG
evenements
Alerte VERSION STABLE Zenoss Core 5/25 Février 2015.
CODE SOURCE
PAR : FAYÇAL NOUSHI
Écrit en Python 90%, Java 10%
NETWORK SOLUTIONS ARCHITECT & INTEGRATOR AT MOBIQUITHINGS
Zenoss est une solution gratuite (il existe une version commerciale comportant plus d’options) et opensource sous licence GPLv2, qui offre des fonctionnalités de supervision de disponibilité ainsi que de performance, en plus d’une gestion d’inventaire.
L
e projet Zenoss est géré par la société Zenoss Inc. depuis 2005, développé à 90% en Python et le reste du code est en Java. il fait intervenir des solutions opensource matures telles que Twisted, Zope ou encore RabbitMQ. Conjugué à un outil de ticketing tel que Request Tracker, Zenoss offre de quoi se créer un NOC (Centre d’exploitation du réseau) en peu de temps. En effet, sa facilité d’utilisation possible grâce à son interface web et à des fonctionnalités telles que “l’auto-discovery” fait de sa prise en main un jeu d’enfants. Les fonctionnalités majeures fournises par l’outil de supervision réseau sont: La collecte d’événements et de performance via différents protocoles: SNMP, Syslog, WMI, SSH, HTTP... Un Tableau de bord et des rapports pour afficher les différents événements et graphiques Découverte automatique : découverte des machines
78
www.teramagazine.net
LICENCE
GNU General Public License v2
WIKI
www.wiki.zenoss.org
présentes dans le réseau et configuration automatique. Modeling des machines supervisée : Modélisation des composantes (interfaces/applications...) des machines. Génération d’événements avec alerte par émail ou SMS et prise en compte d’un planning d’équipe.
LES FONCTIONNALITÉS DE ZENOSS
Tera Magazine
Modèle architectural
Architecture distribuée
Auto-discovery
Zenoss adopte une architecture en 4 couches COUCHE USER : interface web pour la gestion des événements et reporting COUCHE DATA: Stockage des données de configuration, de performance ainsi que les événements vus par le NMS. COUCHE PROCESS : Couche permettant la communication entre la couche de données et la couche de collecte. Elle se charge aussi des taches périodiques ou initiées par l'utilisateur dans le but de modifier la configuration de Zenoss. COUCHE COLLECTION : Couche de collecte des métriques de performance, des informations de modelage ainsi que les événements externes (i.e. : Syslog). La couche utilisateur se base sur un serveur web Python nommé Zope ainsi que différentes technologies web (extJS, YUI...). La couche Data, quant à elle, se base sur différentes technologies. En effet, pour le stockage des données de performance, la solution utilisée est RRDTools (Round-Robin Database). Son fonctionnement adapté aux séries temporelles permet une gestion facile des données: la consolidation et l'écrasement des données anciennes se fait automatiquement. Les données de configuration ainsi que les événements sont stockés dans MySQL.
Chaque couche est gérée par un ensemble de daemons. Cette séparation par couche puis par daemon donne à Zenoss la capacité de faire un passage à l'échelle en adoptant une architecture distribuée. Celle-ci met en œuvre un master et un nombre de collecteurs distribués. Dans le cas d'une architecture multi-site, un collecteur peut être utilisé par site pour optimiser les flux réseau, pour sécuriser les communications inter-sites en ayant une étanchéité entre eux ainsi que pour pouvoir superviser plus de machine au total. Une amélioration de cette architecture serait d'avoir un cluster de haute disponibilité contenant un maître par site. Ce cluster serait en actif/passif.
Zenoss offre une fonctionnalité utile pour les réseaux de moyenne et large taille: la découverte automatique. Cette fonctionnalité permet de découvrir et configurer automatiquement l'ensemble des machines d'un réseau. Ainsi, pour un réseau large, un sysadmin peut déployer ses fichiers de configuration SNMP et Syslog via un orchestrateur tel que Chef ou Ansible pour ensuite laisser Zenoss retrouver les nouvelles machines et les superviser automatiquement.
Zenoss est un outil de supervision opensource gratuit (il existe une version commerciale comportant plus d’options), comme pour NAGIOS.
Modeling Le modelage permet de définir les composants d'une machine afin de pouvoir les répertorier et les superviser par la suite. Il permet une catégorisation des métriques ainsi qu'une description plus en détails des machines supervisées. La découverte des composants peut se faire de diverses méthodes telles que via SNMP pour le système de fichiers ou via SQL pour les bases de données. Les éléments permettant ce modelage se nomment des ‘modeler plugins’. Une fois cette étape est terminée, chaque composant se voit affecté un monitoring template pour superviser ses métriques. A titre d'exemple, une machine Linux typique se retrouve avec différents composants: Système de fichiers, table de routage... En activant
ARCHITECTURE DE ZENOSS
La couche Processing utilise Twisted pour avoir un moteur dit “event-driven” adapté aux communications réseau. Cette dernière suit le protocole RPC. La couche de collection adment une quantité importante de protocoles de communications dans le but de s'interfacer avec un maximum d'équipements. Parmi les protocoles admis: SSH, SNMP, Syslog, WMI, nmap, SQL... La liste est longue et dépend notamment des ZenPacks installés. Le plus intéressant dans cette couche est qu'elle permet l'exécution de code de collecte dans n'importe quel langage pour remonter les métriques désirée.
LA DÉCOUVERTE AUTOMATIQUE DE ZENOSS
le ZenPack MySQL, on retrouve les tables et les bases de données parmi ces composants. Les ZenPacks présents sur le site officiel permettent de rajouter de nouveaux modeler plugins. De même qu'ils peuvent être développés dans un ZenPack pour être installés par la suite.
www.teramagazine.net
MYSQL MONITORING PAR ZENPACK
79
Tera Magazine
RÉSEAU TELECOMS
Métriques Zenoss est une Plateforme de supervision et de métrique, Il convient de différencier les différents types de métriques qui existent: Métriques bas-niveau: CPU, RAM, espace disque... Métriques niveau moyen: Applications connues telles que les bases de données, Radius, VoIP... Ces métriques sont plus “parlantes” que celles de bas-niveau mais ne donnent pas d’informations précises vis-àvis de l’utilisation qui est faite de ces applications Métriques métier ou business: celles-ci informent directement du bien-être du réseau et du SI. Elles correspondent à des PI ou KPI. Zenoss sait par défaut remonter les métriques de bas-niveau. La découverte automatique peut répondre à ce besoin. Pour ce qui est des métriques de niveau moyen, les plugins Zenoss permettent leur supervision. Le NMS (Network Monitoring
Collecte Zenoss se base sur plusieurs daemons pour la collecte des métriques: Zenperfsnmp: Polling des métriques SNMP Zentrap: Réception de traps SNMP (Push) Zenprocess: Supervision des processus via la MIB SNMP HOST-RESOURCES. Zenstatus: Vérification de la disponibilité des services via TCP ou UDP Zencommand: Exécution de commandes/scripts de collecte en local ou à distance via SSH. D’autres daemons peuvent être présents dont notamment ceux de la charge de la supervision Windows (WMI, Samba), SQL, JMX ou autre... Zensyslog: Réception et filtrage de logs Syslog.
des capacités de calcul offertes par son langage. Notamment, on peut grapher le 90 percentile, la variance et la régression linéaire d’une ou plusieurs métriques. NB: Dans sa dernière version, Zenoss laisse tomber RRDTools pour adopter OpenTSDB qui fait partie d’une toute autre génération d’outils de gestion de séries temporelles.
Zenoss est compatible avec les plugins Nagios et de ce fait profite de tous les plugins que pourrait offrir sa communauté
Événements
GRAPHE D’ACTIVITÉ ET DE PERFORMANCE
Software) a plus de 400 modules, nommés aussi ZenPacks, qui font bien plus que de la supervision de niveau moyen. En plus de cela, Zenoss est compatible avec les plugins Nagios et de ce fait profite de tous les plugins que pourrait offrir sa communauté. Vu la spécificité des métriques de haut niveau, il est inconcevable de s’attendre qu’un outil de supervision sache remonter ces métriques sans un minimum de configuration ou de codage. Ceci dit, il se doit de donner les moyens de répondre à ce besoin. Ainsi, il y a deux façons de procéder: Écriture de scripts de monitoring dont la sortie est parsée par Zenoss. Création de module (ZenPack) adapté à cette supervision
Affichage Une fois les métriques sont collectées, elles sont stockées dans des fichiers RRD. Ces derniers sont utilisés par la suite pour grapher les données voulues (Voir graphe ci-dessous). RRDTools donne une certaine liberté pour la définition de graphe dans le sens où il a
Zenoss a principalement deux consoles d'événements. Une, pour les incidents courants et une autre pour l'archive. Zenoss a un système d’événements élaboré servant à catégoriser les événements ayant eu un impact sur le réseau à un moment ou un autre. Les événements suivent différents processus avant d'être stockés en base: dé-duplication, mapping, transformée... Leur catégorisation se base, notamment, sur les éléments suivants: Classe d'événement: Basée sur une structure hiérarchique, elle renseigne ce qu'affecte l'événement. Un exemple: /Status/IpService. Elle est
LA CONSOLE DES ALERTES ET DES INCIDENT DE ZENOSS
80
www.teramagazine.net
Tera Magazine
aussi utilisée pour les transformées. Sévérité : Criticité de l’événement. Classe de machine: Type de machine. Par exemple: Server/Windows Machine affectée: Identifiant de la machine affectée Composant affecté: Composant affecté au sein de la machine D'autres champs sont fournis telles que la description de l'événement ou encore les dates de première et dernières apparitions. La transformée est un bout de code écrit en Python exécuté automatiquement par Zenoss pour transformer l'événement auquel il est appliqué. Vu que les transformées sont dans un langage de programmation et permettent l'importation de bibliothèques Python, elles offrent beaucoup de liberté. Les plus simples peuvent modifier la description de l’événement pour qu'il soit plus visible. Quant aux plus avancées, elles permettent de faire une agrégation d’événements selon des dépendances. Les transformées sont écrites directement sur l'interface web de Zenoss et peuvent être testées via l'outil en ligne de commande de Zenoss zendmd. Ce dernier est un interpréteur Python enrichi par l'environnement Zenoss.
problème se résorbe de lui-même. C'est-à-dire, sans action directe sur l’événement de la part de l'utilisateur. Pour cela, un événement identique à l'alerte mais Les ZenPacks fournissent de sévérité nulle est créé automatiquement par une architecture de plug-in Zenoss pour le neutrali- qui permet aux membres ser. de la Communauté
Triggers et Notifications
d’étendre la fonctionnalité de Zenoss.
Les événements peuvent servir à faire un suivi en temps-réel mais aussi à déclencher des actions automatiques telles que notifier par émail (ou SMS) ou redémarrer un service. Le trigger se base sur un filtre agissant sur les différents champs d'un événement. les Liens logiques entre les conditions sont soient des et ou des ou logiques. Vient ensuite la liste d'abonnés qui seront avertis dès qu'un événement répond aux critères du filtre. La figure ci-dessous montre un exemple de Notification. On peut y voir la liste des triggers associés à la notification ainsi que certains autres paramètres. Sous l'onglet Content, on peut éditer le contenu du message à envoyer. Sous Subscribers, on retrouve la liste des utilisateurs concernés par la notification.
EXEMPLE DE TRANSFORMÉE
Une dernière notion intéressante est celle de l'auto-clear. L'idée est que les alertes peuvent être neutralisées si le
CONFIGURATION DES TRIGGERS
A
u fur du temps, Zenoss a su s’imposer comme une solution de supervision complète aux côté des grands tels que Nagios ou Zabbix. Sa facilité d’utilisation ainsi que ses degrés de liberté font de lui un atoût redoutable dans l’arsenal du sysadmin. Ceci dit, Zenoss ne répond pas aux besoins de supervision de desktops mais plutôt de serveurs. Sa configuration minimale fait aussi qu’il n’est pas adapté à la supervision d’un seul et unique serveur (ce que ferait Monit). Neanmoins, il est très puissant pour répondre à la supervision de réseaux petits ou larges.
+ CONFIGURATION DES NOTIFICATIONS www.teramagazine.net
81
Tera Magazine
IDENTITÉ DES OBJETS (IDOT) IDENTITY OF THINGS IDOT UNE NOUVELLE BR ANCHE DE GESTION DES IDENTITÉS QUI ENGLOBE LES IDENTITÉS DE TOUS LES OBJETS PAR : AAFAF OUADDAH
L
’identité des objets (IDOT) est une tendance émergente connexe à l’IOT. Elle consiste à attribuer des identifiants uniques (UID) avec des métadonnées associées aux dispositifs et aux objets, leur permettant de se connecter et de communiquer efficacement avec d’autres entités sur Internet, de gérer ces identités et de les sécuriser. Les métadonnées associées à l’UID définissent collectivement l’identité d’un objet qualifié d’« endpoint ». L’identité des objets est une composante essentielle de l’internet des objets (IOT). Elle permet à presque tous les objets de disposer d’une adresse et de se mettre en réseau pour échanger des données. Dans ce contexte, un objet peut être une entité physique ou logique, qui possède un identifiant unique et doté de la capacité d’interagir avec son environnement. Adressage permet aux objets d’être identifiable et accessible. Pour être adressable en Internet des objets, une entité doit être exclusivement identifiable, ce qui signifie qu’il doit être associé à quelque chose - généralement une chaîne alphanumérique - unique qui n’est pas associé à aucun autre objet. Pour assurer une communication efficace et sûre entre les objets. Il est crucial que chaque objet fournisse plus d’informations sur son identité aux autres. Voici quelques considérations essentielles pour les identités des objets IdO: CYCLE DE VIE: Certaines entités IOT peuvent avoir une durée de vie assez
82
www.teramagazine.net
PHD. STUDENT : IOT SECURITY
étendue. Un dossier médical électronique d’un individu (EMR), par exemple, est un objet logique qui a une identité liée à l’identité du patient et sa durée de vie dépend de la vie de la personne concernée. D’autre part, certaines autres entités ont des cycles de vie très courts.
AUTHENTIFICATION: l’authentification multifactorielle est efficace pour les humains, mais moins pour les objets de l’IOT, car de nombreuses méthodes - vérification biométrique, par exemple - ne sont pas pertinentes. Il est nécessaire de trouver d’autres moyens d’authentification sécurisés des identités.
RAPPORTS: Il est important de savoir comment une entité IOT est liée à d’autres entités, y compris non seulement d’autres objets, mais aussi des entités externes tels que les propriétaires, administrateurs et autres intervenants. Contexte conscience ou ‘Context-awareness’: la Gestion d’identité et le contrôle d’accès pour les entités IOT doit avoir la capacité d’être dépendant du contexte. Il peut être approprié, par exemple, pour une entité d’accéder à une autre entité ou système dans certaines circonstances et inapproprié - voire dangereux – en cas d’accès autrement.
De manière générale, le grand nombre d’objets interconnectés estimé à 50 Milliards dans les années à venir et les capacités techniques de ces objets posent un défi d’identité. En outre, Les objets font partie de notre identité personnelle. Ils constituent en quelque sorte une version numérique de nous-mêmes, Nous devons donc développez des solutions pour protéger l’identité et les informations personnelles qu’ils renferment et échangent.
Les métadonnées associées à l’UID définissent collectivement l’identité d’un objet qualifié d’« endpoint ».
LITTLE BITS
Tera Magazine
QUAND L'ÉLECTRONIQUE DEVIENT UN JEU
http://littlebits.cc
E
h oui voici un nouvel outil ‘amu-
sant’ pour apprendre l’électronique et faire du DIY. l'électronique a été toujours aperçu d’un mauvais oeil, comme étant obscure et complexe. pour corriger cette vision qu’Ayah Bdeir, une étudiante au MIT, a crée Little Bits.
Il s’agit d’un kit composés de petits modules colorés qui s’imbriquent les uns aux autres pour créér des circuit électroniques plus complexe. Cette idée permet de créer des prototypes pour toutes sortes d'inventions. La manipulation des littles bits ressemble à celle des célèbres Lego.
L RINGLY :
un des projets les plus réussis dont le prototype a été réalisé en utilisant littlebits est Ringly. Il s’agit d’un bijou (une bague) connectée qui pourrait faire des notifications à sa porteuse. Avec des design très chic, La bague connectée Ringly a tout simplement l’aspect d’une bague tout droit sortie de chez le bijoutier, disponible en quatre couleurs . elle peut communiquer avec votre smartphone, via une application dédiée. Ringly dispose des qualités de notification d’un bracelet connecté. lorsque vous recevez un appel, un sms ou pour vous rappeler d’un Rendez-vous. la bague vibre et une lumière s’allume sur le côté afin de vous prévenir. Ainsi plus besoin d’avoir son smartphone à longueur de temps dans les mains.
e kit des little bits offre de multiples blocks : Lumières, sons, moteurs, capteurs,etc. vous aidant à imaginer toutes sortes de prototypes. Ils sont d’une dimension réduite, open source, modulaires, et il s’unissent ensemble pour former de plus grands circuits. Ils présentent, un outil convenable pour avoir une expérience amusante en électronique . Les modules sont classés par couleur. Les bleus (power) alimentent le circuit en électricité. Les roses (input) sont des déclencheurs et des capteurs qui interprétèrent l’environnement. Les verts (output) sont les modules d’ « action » pour déplacer, illuminer, diffuser un bruit, etc. Des aimants placés aux extrémités permettent de les connecter dans le bon sens et ainsi d’éviter les courts-circuits. Le tout est placé sous licence open-source et le catalogue s’enrichit à mesure que les fans suggèrent de nouvelles idées de briques. Sur le site officiel de Little Bits, vous pouvez consulter les inventions postées par la communauté : chaussures à lacets clignotants, tourneur de page de partition, assiette mouvante. à titre d’information, littleBits a pu soulever 44,2 millions $ portant le financement total de la société. Vous pourrez découvrir plus sur les little bis via le TedX (http:// on.ted.com/Bdeir) tenu par la fondatrice du projet.
www.teramagazine.net
83
Tera Magazine
MAKE & DIY TELECOMS
ATELIER
créer votre système
TÉCHNOLOGIE RFID Une grande majorité le connaît, mais pour ceux qui entendent ce terme pour la première fois, sachez que le RFID est la technique que vous utilisez dans les badges électriques, les passeports, vos cartes bancaires dans vos tickets de Tramway, etc. RFID (radio frequency identification, radio-identification en français) est une méthode pour mémoriser et récupérer des données à distance en utilisant des marqueurs appelés RFID Tags. Ces puces électroniques contiennent un identifiant et éventuellement des données complémentaires (en mode Lecture seule). Ce Tag est utilisé pour identifier un objet comme le font les Codes-Barres. Le système RFID est composé en plus du tag, d’un lecteur qui récupére l’information. Les transmissions des données sont faites comme l’indique le nom RFID, par
DÉBUT DE L’ATELIER Pour un premier Tag RFID, J’ai utilisé le microcontrôleur ATtiny85 et une bobine. C'est tout. Vous pouvez éventuellement ajouter un couple de condensateurs pour améliorer les performances avec certains types de bobines, mais avec cette méthode, il est possible de construire un tag RFID qui fonctionne simplement en soudant une petite inductance à une puce AVR. nous pouvons utiliser une antenne en utilisant un fil de calibre 30 et enroulé 100-125 fois pour avoir de meilleurs résultats. Le prototype que nous réalisons ici émule un Tag de type EM4102 - un type très populaire en RFID qui stocke 40 bits (EM4102: 8-bit pour le fabricant ID et 32 bits pour l’ID stocké), par exemple nous pouvons mettre dans le Tag la valeur : 0x12345678AB. Cette valeur sera lue en utilisant le lecteur RFID de Parallax. • • • • •
84
Outils
• •
Un Microcontrôleur Atmel AVR ATtiny85 Un lecteur de Carte RFID EM4100 lecteur RFID parallax (http://goo.gl/OIqXpx) une capacité 10uF ou 0.1 uF (sur les bornes Power) une Capacité Ciramique de 22uF. condensateur 1 nF en parallèle avec la bobine, pour le réglage à
• •
1 bobine : 100 tours de fils à aimant. Un Arduino ou un Raspberry pi
environ 125 kHz
www.teramagazine.net
PAR : HICHAM AATA INGÉNIEUR EN ÉLÉCTRONIQUE
RFID voie des ondes Radio. Ces lecteurs permettent aussi un transfert d'énergie électromagnétique afin d’activer le Tag ‘passif’ et assurer la transmission des données. Le Tag passif n’as pas besoin d’alimentation électrique pour fonctionner, ce qui donne un avantage à cette technique vu qu’il sera toujours lisible, sans se soucier de charger les batteries. Le but est ici de créer un petit tag RFID qui contient un identifiant et de pouvoir le lire à l’aide d’un lecteur RFID. Nous aurons à réaliser un montage électronique à base des micro-contrôleurs AVR ATtiny85.
1
RFID TAG À BASE DU MICROCONTRÔLEUR ATTINY85 ET UNE BOBINE
PROGRAMMATION DU MICROCONTRÔLEUR Pour programmer notre puce en tant qu’un tag RFID EM4102 (Parallax) ou en un tag standard HID 125kHz. Nous pouvons utiliser le code disponible sur http://goo.gl/5lQGhF (un zip contenant deux fichiers un Makefile et un fichier.S) Vous y trouver un code en assembleur (.S), dans lequel on définit la valeur à sauvegarder au sein du RFID TAG. vous pouvez la changer en modifiant les valeurs des variables définies en tête du code à savoir: #define EM4102_UNIQUE_ID 0x3456789A
2
INSTALLATION D’AVR TOOLCHAIN
CHARGEMENT DU PROGRAMME SUR LE MICROCONTRÔLEUR
Nous aurons donc à compiler ce code, afin d’avoir un .hex file qui sera chargé sur notre microcontrôleur. Pour réussir la compilation nous aurons besoin d’installer L’AVR toolChain Sous linux : sudo apt-get install avr-libc avr-gcc avrdude sous Windows installer le programme WINAVR (http://sourceforge.net/projects/winavr/files/) et ajouter au path set path=set path=%path%;C:\WinAVR-0100110\ bin\
3
June / July 2015 Issue 01
D
Tera Magazine
Dans mon cas je compile le code sous linux. J’exécute la série des commandes suivantes : mkdir rfid cd /rfid wget http://svn.navi.cx/misc/trunk/ avrfid/* make Quand ces commandes seront terminées, vous aurez un fichier compilé, avec l’extension .hex, que nous allons utiliser dans la prochaine étape.
4
ARDUINO EN ISP comme le montre le schéma suivant
» ETAPE 2 : Sur votre Logiciel Arduino, télécharPour réussir cette mission nous auger et installer les rons besoin d’un programmeur AVR fichiers du Atiny sans bootloader ou un autre moyen. (Figure 7 et 8 ). Nous pouvons faire appel à des outils Connecter de nouveau votre carte dédiés comme la TinyProgrammer, ou Arduino et modifier dans l’IDE les plutôt la solution que je préfère c’est paramètres suivant, via le menu général d’utiliser Arduino en tant que AVR ISP (figure 5): (http://arduino.cc/en/Tutorial/ArduinoI) Tools –> Board –> Attiny85 @ 8Mhz comme en figure 3. Si vous n’avez pas (internal oscillator; BOD disabled) d’Arduino vous pouvez utiliser RaspTools –> Programmer –>Arduino as ISP berry PI (https://github.com/deanmao/ Tools –> Serial Port –> COMx (x est Le avrdude-rpi). numéro du port COM auquel arduino Cette manipulation par Arduino deest connecté) mande un certain nombre de prépa» ÉTAPE 3 : à la fin choisissez l’option : ratifs que je présente en succession Tools –> Burn Bootloader (figure 8). ci-dessous. Désormais vous êtes prêts à faire » ETAPE 1 : Ouvrez votre logiciel Arl’exploit. Vous ne serez pas en mesure duino et charger le Sketch ArduinoISP à de reprogrammer la puce à nouveau votre carte Arduino. après l’exécution de ces commandes, Débranchez-le de votre ordinateur et sauf si vous avez une source d’horloge brancher à ses bords le ATtiny (en externe. Assurez-vous que votre ATtiny utilisant un condensateur 10µf ou 33µf )
LE LECTEUR DE CARTE RFID : PARALLAX est encore attaché à votre Arduino et ouvrez une invite de commande, lancer la ligne de commande suivante : avrdude -c avrisp -p t85 -P comX -b 9600 –U flash:w:example_attiny85.hex:i •-p t85 : une option qui indique d’il s’agit du µcontrôleur Attiny85. •-P comX : indique à quel port le programmeur (Arduino) est attaché. (Changer le X selon votre cas.) •-b 9600, indique le ‘ baud rate’ (Utilisez ce qui est spécifié dans le Sketch chargé sur votre Arduino) . •-U flash:w:AVRFID.hex:i Ceci indique à Avrdude d’écrire (w) le firmware (AVRFID. hex) dans la mémoire flash (flash). le ‘i’ est à la fin pour dire à avrdude dans quel format il est écrit. Avrdude chargera donc le programme sur le µcontrôleur qui sera en mesure de fonctionner en tant qu’un Tag RFID avec la valeur de l’identifiant sauvegardée à l’intérieur. À Ce niveau nous disposons de notre Tag, nous allons donc passer au côté du lecteur pour pouvoir communiquer avec le Tag. www.teramagazine.net
85
Tera Magazine
5
6
LECTURE DU TAG:
7
Pour la lecture, Nous connectons notre lecteur parallax à un ordinateur et installer le logiciel fournit par le constructeur, sauf que ce dernier n’est disponible que pour Windows. Malgré cette limitation nous pouvons faire une lecture des TAG sur des machines linux via un script. Windows : Sous Windows c’est facile, il suffit d’installer le logiciel de lecture disponible à : http://goo.gl/NR3Mb8 ainsi que le driver du lecteur parallax disponible à : https://goo.gl/qTSGUO
8
9
LINUX (cas de Raspberry pi) Pour faire fonctionner le lecteur parallax (USB) avec la Raspberry pi vous aurez besoin d’Installer PySerial: 1. Installer setuptools: apt-get install python-setuptools 2. Installer PySerial: pip install pyserial Une fois que vous avez installé pyserial, Ouvrez l’ IDLE et utiliser le code suivant pour faire la lecture du Tag RFID: #! /usr/bin/python import serial import time ser = serial.Serial(‘/dev/ttyUSB0’, 2400, timeout=1) # replace ‘/dev/ttyUSB0’ with your port while True: response = ser.read(12) if response <> “”: print “raw: “ + str(response) print “hex: “ + str(response[-8:]) print “dec: “ + str(int(response[-8:], 16)) time.sleep(1) ser.close() si le script précédent ne marche pas vous pouvez utiliser le suivant : #!/bin/bash #définission des parametres de configuration pour le /dev/ttyUSB0
86
www.teramagazine.net
stty -F /dev/ttyUSB0 cs8 -ixon raw speed 2400 # lecture par od de /dev/ttyUSB0. RFID=$(od -A n -c -j 1 -N 10 /dev/ ttyUSB0 | sed ‘s/ //g’) #impression de la variable du Tag RFID echo “la valeur du Tag est $RFID” Vous pouvez aussi utiliser un programme Java disponible à http://goo.gl/ I9LaTF
11
g
TEST
Si tout est bien installé et configuré vous pouvez en rapprochant le tag du lecteur lire (sur l’écran) la valeur que nous avons pu stocker auparavant dans le avrfid.S. C’est magnifique, NON. Ce système à faible coût peut être amélioré pour une meilleure fréquence ou pour changer le type de carte RFID implémenté. À base de ce projet vous pouvez créer des mécanismes tels que l’ouverture contrôlée des portes par le biais de carte, l’identification par Tag, à vous d’innover. Si vous travaillez sur le RFID, j’aimerais partager avec vous mes autres projets, n’hésitez pas à me contacter.
Tera Magazine
MICROSOFT .NET GADGETEER :
g
Par : MEHDI KARIM
kit de PROTOTYPAGE
TECHNOLOGY ENTREPRENEUR
Une nouvelle façon pour créer des appareils sophistiqués. Grâce à des composants hardware
simples et variés, construisez et codez facilement pour créer vos propres objets connectés.
adgeteer est une plateforme de prototypage rapide Open-Source régi utilisant des cartes électroniques et des modules plug-andplay avec le Micro Framework .NET sans avoir besoin de connaissance pointus en matière d’électronique ni de programmation. La plateforme combine les avantages de la programmation orientée objet et l’assemblage sans soudure de l’électronique avec le soutien de la conception assistée sur ordinateur. Notant que .NET Gadgeteer est un excellent moyen pédagogique pour s’initier à la programmation, de l'électronique et du design. Quel que soit le niveau votre niveau d’électronique vous pourriez commencer à créer des appareils et dispositifs constitués de composants tels que des capteurs, des lumières, des commutateurs, des présentoirs, des modules de communication, les contrôleurs de moteur, et bien plus encore. Il suffit de choisir le ou les composants, de les brancher sur une carte mère et programmer la façon à ce qu’ils puissent communiquer entre eux. .NET Gadgeteer est basé le Micro Framework .NET permettant ainsi une programmation de très haut niveau grâce notamment à C# ou encore
VB.NET rendant l'écriture de code pour votre appareil aussi facile que familière que les applications de bureau que Web.
.NET GADGETEER : LE HARDWARE
Le matériel de base de .NET Gadgeteer est composé d'une carte mère contenant un processeur intégré et une série de modules qui se connectent à la carte mère par l'intermédiaire d'une interface plug-and-play simple. Il y a beaucoup de modules .NET Gadgeteer disponibles aujourd'hui, y compris : écran, caméra, réseau, stockage et une variété de capteurs et de commandes d'entrée. De nouveaux modules sont conçus tout le temps ! Les prises conçus pour Gadgeteer de la carte mère .NET Gadgeteer sont numérotées, et chacun d’eux est également marquées avec une ou plusieurs lettres qui indiquent la nature du module qui peut s’y brancher.
.NET GADGETEER SONT PROGRAMMÉS EN LANGAGES .NET À L’AIDE DU VISUAL STUDIO
.NET GADGETEER : LE SOFTWARE
L’appareil .NET Gadgeteer sont programmés en C # en utilisant le Micro Framework .NET. Vous pouvez appliquer vos connaissances de programmation .NET issue du développement d’application de bureau, le web ou par mobile pour les appareils embarqués. L’expérience habituelle Visual Studio est toujours là. Avec .NET Gadgeteer et donc vous bénéficier de l’IntelliSense et du débogueur en plein exécution du programme.
www.teramagazine.net
87
Tera Magazine
MAKE & DIY TELECOMS
LA TENDANCE DES
BOUTONS CONNECTÉS Press and Do
À
l’heure actuelle on tend vers une vie bourrée d’objets connectés. On ne cesse de voir toute sorte type de ces objets: Tv connectée, voiture connectée, porte clé connecté, valise connectée, etc. Ces derniers temps un nouveau type d’objets connectés fait surface, les boutons connectés. Depuis le début de 2015 il y a eu la mise sur le marché de ces boutons pour faciliter l’accomplissement de tâches quotidiennes. Le principe derrière est très simple, vous pressez un bouton pour faire une action. À l’aide d’un clic dessus vous pouvez passer des commandes, appeler un taxi, prendre un selfie, commander votre TV,
Les boutons connectés vous aident à automatiser les tâches quotidiennes pour vous faire gagner le temps
FLIC
Site Web officiel : https://flic.io
Flic, d'origine suédoise, est un bouton “Bluetooth low-energy” qui vous permettra d’automatiser des actions réalisées avec votre smartphone (compatible iOS et Android 4.3). Orienté grand public que professionnel, permet d'une simple pression, d’automatiser vos tâches du quotidien. Flic est, en apparence, est un simple bouton. Pas plus gros qu’une pièce de 10DH, cet interrupteur communique avec votre Smartphone pour répondre à vos commandes. L’utilisation est simple, il suffit de paramétrer l’usage que l’on veut associer à l’appui sur un bouton Flic via
88
www.teramagazine.net
l’application mobile dédiée. Pour vous faciliter davantage la tâche, L’application propose un pack de pré-réglages pour une utilisation au quotidien: faire sonner son téléphone pour le retrouver, envoyer un SMS, allumer ses ampoules connectées, ou tout simplement prendre un selfie… En plus de sa petite taille, flic peut être collé là où ont le veut, sur le mur, sur son ordinateur, sur son sac, etc. Ce gadget vous coûtera 35$, le paiement paypal est accepté, passez vos commandes.
1
Automatiser les taches quotidiennes avec un seul clic de bouton
envoyer un message de localisation, etc. Les premiers boutons connectés mis sur le marché ont connu un grand succès, inspirant d’autres entreprises, à franchir le pas pour créer les leurs et lancer la guerre des boutons. Le but étant de ne pas faire de la pub pour ces produits mais plutôt pour vous donner une source d’inspiration pour vos projets DIY, surtout que beaucoup de Makers marocains s’investissent dans des projets similaires. Je vais faire le tour de quelques solutions des boutons connectés les plus connus.
MESH
2
Tera Magazine
Site Web officiel : http://meshprj.com Sony a créer un bouton connecté: le "Mesh tag , destiné aux makers. Il s’agit d’un petit module doté de plusieurs capteurs. Il permet de créer des objets connectés basiques ou des prototypes. L’utilisation de Mesh ne demande pas des compétences spéciales en programmation ou en électronique, car il fonctionne avec une application de conception visuelle appelée Canvas en mode drag-and-drop et des modules
sans fil. Ces boutons offre à l'utilisateur la possibilité de leurs attribuer une tâche spécifique à l’aide de l’application canvas. Vous pouvez connecter les modules entre eux et créer des boutons d’alerte ou des interrupteurs de lumière. MESH est plus qu’un simple bouton mais une plate-forme DIY qui vous permet de faire vos propres "inventions" en quelques minutes.
AMAZONDASH
3
Site Web officiel : www.amazon.com/oc/dash-button
Toujours pour vous simplifier la vie, Amazone propose les boutons Amazon Dash. Il suffit d'appuyer sur un de ces boutons pour commander un produit. Il y a des boutons pour tous les types de produits. On peut acheter un bouton Gilette « lames de rasoir » à coller dans votre salle de bain... Il y a aussi des boutons « café », « canettes de soda ». Bref, il y en a des tonnes. Collez-les la où vous le voulez, sur votre cafetière, votre machine à laver ou vos WC. Quand votre stock se réduit, presser dessus. Ces boutons sont décorés par le logo d'une marque partenaire. Ils permettent à leurs utilisateurs de commander les produits par vendeur (Tide, Gilette,..). Pour éviter les fausses commandes, une notification avec demande de confirmation est envoyée sur le téléphone des propriétaires de ces "dash buttons". Au future proche ces boutons seront capables de faire des courses sur Amazon.
CUBE
Site Web officiel : www.familyofthearts.com
Cube est un bouton multi-usage pour contrôler tous ses objets connectés de la smart home : c'est la proposition du studio de design allemand "The family of the arts".
4
Comme son nom l'indique, il s'agit d'un petit objet cubique, comme un dé grand format. Il mesure environ 5 cm de côté, et 5 faces sont programmées. Il vous reste à personnaliser la sixième face selon vos besoins. Une caractéristique spéciale chez Cube, Selon l’endroit dans lequel il se trouve, il change de fonctionnalité. "CUBE" peut détecter les objets connectés situés à proximité. Puis par une combinaison de trois gestes simples, il est alors possible d'en prendre le contrôle, c’est un bouton orienté, maison intelligente ‘Smart Home’.
5
BTTN
Site Web officiel : https://bt.tn
BUttn est le bouton qui connaît le plus de succès. il vous permet de tout faire,il suffit de se connecter au site du constructeur et de choisir l’action que vous souhaitez déclencher en pressant le Bttn, la connexion Internet passe via wifi ou 3G. Avec Bttn, Les possibilités n’ont d’autres limites que celles de l’imagination de l’utilisateur. Buttn est entièrement configurable, grâce à une API : l'activation du bouton peut déclencher tout type d'interaction : envoi de tweet, de SMS, d'action
spécifique, par Wi-Fi, connexion mobile GSM et, depuis peu, via le réseau Sigfox dédié à l'internet des objets. L'enjeu a été de "cacher la complexité" pour proposer une expérience fluide, sans bugs. Ce bouton trouve son chemin dans le monde professionnel, en effet plusieurs startups offrent désormais des services basés sur des Bttn personnalisés comme c’est le cas pour Taxis blues qui offre des boutons pour commander un taxi depuis le lieu où il est posé. www.teramagazine.net
89
Tera Magazine
RASPIMA LA COMMUNAUTÉ RASPBERRY PI MAROC DEPUIS 2012
L
e Raspberry pi, il est devenu le joujou préféré des Makers. Comme partout dans le monde, au Maroc ce petit ordinateur connait un grand succès. En effet, Les makers marocains qui sont comptés en milliers réalisent différents projets à base de cette carte. Le paysage était diffèrent en 2012-2013, à l’époque rares ceux qui le connaissaient plutôt que l’avoir. Le Maroc comme en témoigne la ‘raspberry pi foundation’ était l’un des premiers pays à former une communauté autour de la raspberry pi. Baptisée La RASPIMA. Cette communauté a vu le jour comptons 3 premiers utilisateurs. Après que « Eben Upton » a dévoilé, en fin 2011, la raspberry pi. Nous étions en mesure de juger que cette carte a un grand succès devant elle, nous avions eu l’idée de créer une entité pour rassembler les utilisateurs et les fans marocains dans le but d’aider les adhérents à faire connaissance et travailler ensemble. Au début c’était rare de trouver des intéressés. Nous avons donc décidé de faire le parcours du Maroc pour faire découvrir aux makers ce nouveau produit très utile. Depuis sa création, fin 2012, la Raspima travail en collaboration avec la fondation mère, travaille sur la promotion de
90
www.teramagazine.net
PAGE FACEBOOK : /RASPBERRYMAROC EMAIL : RASPBERRYMAROC@GMAIL.COM
l’usage du raspberry pi et pour aider les nouveaux utilisateurs à débuter avec cette carte, sans oublier les vétérans. Notre but est de participer à la révolution des nano-ordinateurs enflammé avec l’arrivée du raspberry pi. Dans ce cadre la communauté a organisé en Mars 2015 l’événement phare PIDAY qui est une première au Maroc et en Afrique. Cet évènement a connu un grand succès avec une participation de partout le Maroc et une initiation des enfants à la programmation en utilisant des raspberry pi. Vous pouvez trouver les détails sur la page officielle de la communauté sur Facebook. Raspima organise aussi depuis 2013 des Jams et des ateliers pour rassembler les utilisateurs de la raspberry pi et créer un environnement de travail favorable. Nous travaillons pour créer une association marocaine qui s’intéresse à ces domaines, la porte est ouverte devant toute personne pour nous aider ou pour collaborer afin d’organiser un JAM ou pour l’organisation du prochain PIDAY.
LE PROJET VIRTUALPI La communauté Raspima travaille actuellement sur un projet baptisé VirtaulPi. Il s’agit d’une plateforme web qui offre aux utilisateurs un labo virtuel. Dans lequel, ils peuvent simuler des montages électroniques à base de raspberry pi et des composants de base : servo moteur, led, etc. Il leurs permettra aussi d’exécuter des programmes sur des raspberry pi mises en cluster. À titre d’exemple un utilisateur, via l’application web virtualpi sera en mesure de connecter une LED à une raspberry pi et exécuter son programme (en C, Java, python) pour contrôler la led. Toute l’opération se déroulera sans s’investir en une raspberry pi. Une telle application aidera les makers à développer leurs projets et de faire des tests sans se disposer d’une carte raspberry pi. Le projet actuellement est en cours de développement si jamais l’idée vous intéresse vous pouvez nous aider à le lancer, nous sommes en quête de toute aide possible.
Tera Magazine
Quiz QUEL EST LE NOM DE LA MACHINE DE CRYPTOGRAPHIE QUI FIGURE, DANS LA COUVERTURE DE CE NUMÉRO? LA MACHINE SIGMA LA MACHINE ENIGMA LA MACHINE CIPHER LA MACHINE SSL
La machine a été utilisée par les Allemands pendant la 2ème Guerre mondial, pour le chiffrement des données
PREMIR PRIX : RASPBERRY PI 2 DEUXIEME PRIX : RASPBERRY PI B+ TROISIEME PRIX: ARDUINO MEGA
ENVOYEZ VOS RÉPONSES À : TERA.REVUE@GMAIL.COM www.teramagazine.net
91
Tera Magazine
NE MANQUEZ PAS LE PROCHAIN NUMÉRO
ABONNEZ VOUS
WWW.TERAMAGAZINE.NET TERAMAGAZINE EST LA PREMIÈRE REVUE MAROCAINE SPÉCIALISÉE EN INFORMATIQUE, TÉLÉCOM ET LES NOUVELLES TECHNOLOGIES. TERAMAGAZINE EST LE FRUIT DU TRAVAIL
D'UNE ÉQUIPE D'EXPERTS QUI VEULENT PARTAGER LEURS CONNAISSANCES AVEC LES LECTEURS. NOUS OUVRONS NOS PORTES DEVANT VOUS POUR NOUS REJOINDRE ET PUBLIER VOS ARTICLES.
Keep in touch . www.twitter.com/ www.facebook. terarevue com/ teramaga
google.com/ teramaga
pinterest.com/ teramagazine www.teramagazine.net
92