TERA
9
E ZIN GA MA
NOVEMBRE 2014
LA PREMIÈRE REVUE MAROCAINNE EN INFORMATIQUE , TÉLÉCOM & IT DEPUIS 2012
PAGE 70
Votre mail piraté 4 OUTILS POUR VÉRIFIER SI UN COMPTE MAILI EST PIRATÉ. PAGE 113
Crowd Funding
IOT L'INTERNET
DU FUTURE
L'INTERNET DES OBJETS EST LA RÉVOLUTION DU 21 ÈME SCIÈCLE
DOSSIER SPÉCIA9L9 P
LE NOUVEAU MODE DE FINANCEMENT.
PAGE 17
CNDP
PROTECTION DES DONNÉES PERSONNELLES AU MAROC
PAG E6
VS 1
Android CyanogenMod LA GUERRE FROIDE ENTRE GOOGLE ET CYANOGENMOD
PAGE 11
Shell Shock LA FAILLE QUI FAIT TREMBLER LE WEB
PAGE 71
LE CLOUD COMPUTING EN 3 MOTS
UIZ Q A R E T UN
IAAS, PAAS & SAAS
EZ GAGN Y PI BERR 16 RASP GE 1
SPÉCIAL
Make & DIY DÉCOUVREZ LA TENDANCE MONDIALE. DEVENEZ UN MAKER PAGE 73
Tera Atelier
Transformez votre téléviseur en Media Center.
PAGE 91
PA
B+
DEVENIR SYSADMIN
PAGE 39
Un focus sur la gestion des logs avec Syslog-ng EP: 6
WE ARE BACK
TO ENR
R KNO ICH YOU
WLEDG
T
eramagazine 9 est prête, enfin !. Après un an d’arrêt, nous reprenons notre activité, plus motivés que jamais. Pour des contraintes hors du contrôle de l’équipe, nous avons mis en pause la publication de notre revue. Nous demandons excuse auprès de vous tous.
N L
G
E
urant toute cette période d’arrêt, nombreux sont ceux qui ont interagit avec nous pour caonnaître la date de la publication du prochain numéro. Nous avons pu sentir via ces feedbacks L’engouement et l’intérêt qui sont portés pour notre revue. Hamdolah, on publie un travail que beaucoup d’informaticiens aiment lire :).
râce à l'encouragement accumulé, Nous avons décidé de se serrer les coudes et de prendre de notre temps pour
relancer l’aventure. ous reprenons la marche avec de nouvelles visions et un nouvel enthousiasme. L’équipe Teramagazine a été reformée et de nouvelles compétences nous ont rejoint. es tendances actuelles sont multiples : objets connectés IOT, l’impression 3D, la robotisation au service des personnes, le Cloud Computing personnel, l’informatique embarquée ou miniaturisée,etc. Nous essayerons dans nos prochains numéros d’accompagner ces tendances et de vous rapprocher plus de ce qui se prépare pour le présent et pour le futur.
nrich your knowledge
L
’écriture est un exercice spirituel, elle aide à devenir libre et à mieux organiser ses connaissances. Notre porte est grande ouverte devant vous pour nous rejoindre et participer à la rédaction de la prochaine édition. En partageant vos connaissances, vous aidez les autres à développer leurs compétences. Vous l’avez donc compris via TeraMagazine, nous partageons nos expériences pour enrichir les vôtres d’où le slogan auquel nous sommes toujours fidèles «Enrich your knowledge».
BELLAJ Badr
Editeur En Chef
9
TERAMAGAZINE
H l k D
eureusement, Teramagazine via ses 8 numéros a pu, grâce à son contenu original et de valeur, attirer une large masse de lecteurs et se faire une place dans le milieu informatique marocain.
E
9
3 | TERA MAGAZINE
SOMMAIRE TERAMAGAZINE 9
5-10 TECH NEWS L'ACTUALITÉ DU MONDE IT
11 SHELLSHOCK LE BUG QUI SÈMME LA TERREURE
17 CNDP LE PROTECTEUR DES DONNÉES PERSONNELLES AU MAROC
99 IOT : L'INTERNET DU FUTUR
21 L'E-REPUTATION APPRENEZ À GÉRER VOTRE E-REPUTATION
27 GOOGLE NOW APPRENEZ LES COMMANDES VOCALES
29 ADSL ET LIAISON LOUÉE FAITES LE MEILLEUR CHOIX
35 BLACK HAT 2014 UN RÉSUMÉ DE BH 2014
39 DEVENIR SYSADMIN SURVEILLEZ L'ACTIVITÉ DE VOS SYSTÈMES
11
SHELLSHOCK
61 CYANOGENMOD UN CONCURENT DE TAILE POUR ANDROID
71 CLOUD EN 3 MOTS
PRÉSENTATION DES MODÈLES DE CLOUD
73 SPÉCIAL DIY & MAKE DÉCOUVERTE DE LA TENDANCE MAKE/DIY
73 TERA-ATELIER
CRÉER UN PI MEDIA CENTER
113 CROWDFUNDING LE PROTECTEUR DES DONNÉES PERSONNELLES AU MAROC
53 LA RÉVOLUTION SDN
115 ALIBABA A GREAT CHINESE SUCCESS STORY
116
QUIZ
GAGNEZ UN RASPBERRY PI B+
73 MAKE & DIY 3
TERAMAGAZINE
ANDROID 5.0 5 | TERA MAGAZINE
LOLLIPOP G oogle met fin aux rumeurs autour du nom du nouveau Android annoncé lors du dernier Google I/O. La nouvelle version Android 5.0 nommée Android Lollipop (sucette) succèdera donc à Android KitKat. Il s'agit du premier lifting réel depuis Cream Sandwich 4.0 Ice. Android 5.0 Lollipop apporte un changement significatif de conception sans égarer trop loin de l'expérience Android familier.
MATERIAL DESIGN
SÉCURITÉ
L'une de ses modifications les plus visibles d'Android 5 est son interface appelée Material Design. Elle a subi un certain nombre de changement au niveau de son esthétique et de sa facilité d'utilisation qui ont considérablement amélioré l'utilisation de l' Android. En bref, la plate-forme est encore plus belle et plus simple à utilisé.
Un autre ajout à Lollipop comprend une nouvelle façon de déverrouiller vdotre appareil, appelé Smart Lock, qui utilise un appareil compatible Bluetooth - comme le Moto 360 - ou un tag NFC, pour déverrouiller automatiquement votre téléphone. Si la fonction est activée, votre téléphone se déverrouille automatiquement quand il est proche de l'appareil Bluetooth ou si vous appuyez sur un tag NFC. Lorsque vous êtes trop loin, votre PIN, mot de passe ou Pattern Lock s'active.
MULTI COMPTE UTILISATEURS
Le propriétaire de l'appareil peut créer des comptes utilisateurs, ou un compte invité et activer ou non les appels et les SMS. Les applications ne sont pas partagées, les paramètres non plus et même les photos sont privés.
5
TERAMAGAZINE
PERFORMANCES DE LA BATTERIE SONT CONSIDÉRABLEMENT AMÉLIORÉES La vie de la batterie des Smartphones est notoirement courte. Android 5.0 devrait améliorer l’autonomie des terminaux. Pas de recette magique employée, seulement du bon sens et un des techniques issues du Projet Volta. Il s'agit d'une nouvelle API qui permettra de réduire les requêtes des applications et par conséquent réduire la consomation électrique. Les développeurs sont également en mesure d'invoquer cette fonction de la batterie à partir de leur code, minimisant ainsi l'impact des applications sur la vie de la batterie.
DES NOTIFICATIONS PLUS INTELLIGENTES Les notifications ont toujours joué un grand rôle, arrangées dans un menu en haut de l'écran qui pourrait être glissé hors de la vue. Lollipop conserve la même configuration, mais ajoute également des notifications à l'écran de verrouillage. Vous serez aussi en mesure d'ajuster facilement les paramètres, assurant que seules les notifications de services spécifiques s'affichent. Vous pouvez également configurer votre téléphone pour désactiver les notifications entièrement pour une période de temps définie. Les notifications auront l'allure de ce que Google appelle des cartes. Ces dernières seront interactives et pourront être rangées les unes sous les autres et sorties de l'écran en un glissement de doigt.
TECH NEWS
TERA MAGAZINE | 6
LES ARRÊTS DE LA COUR DE CASSATION SERONT EN LIGNE IAM, INWI, MÉDITEL PROPOSENT L'OFFRE 100% ILIMITÉ MAROC TÉLÉCOM SOULIGNE L’ABSENCE DE LIMITE POUR SON OFFRE VOIX
S
ans prévenir Inwi a lancé la course vers l’offre illimitée en septembre dernier, lors du dévoilement de son offre 100 %illimitée. Inwi offre donc 150 heures de communications gratuites sur son réseau, évoque un accès à la 3G+ sans plus de précision. L’entreprise donne accès à 31 destinations étrangères, et facture ses forfaits à 499 dirhams pour un abonnement sans mobile avec engagement d’un an et 649 dirhams avec le mobile et engagement de 2 ans. Les deux autres
opérateurs ont répondu rapidement à l’offre d’ Inwi Pour Maroc Télécom, il n’y a pas de limite pour son offre voix sur son réseau, un vrai illimité. Elle donne accès à 18 destinations étrangères. Comme chez Inwi, les appels et SMS demeurent facturés en roaming. Côté Internet, Maroc Télécom indique que les abonnés auront accès à un débit de 14,4 Mbps, Inwi semble proposer plus en parlant de 3G+. Pour la facturation du forfait, il n’y a pas d’abonnement sans mobile mais celui avec mobile coûte 49
Nokia lumia n'existe plus elle devient "Microsoft Lumia" L'ABANDON DE LA MARQUE NOKIA EST OFFICIEL.
dirhams avec engagement de 2 ans. Maroc Télécom souligne l’absence de limite pour son offre voix. Pour méditel, le forfait 20H qui est passé à 24H, sans mobile, avec un prix de 399 dirhams par mois, le nombre d’heures de communication voix sur le réseau Méditel est demeuré à 75H, les SMS sont aussi restés au nombre de 1000, mais les données Internet ont grimpé de 10GB à 12GB. Le prix du forfait avec mobile est lui aussi demeuré à 499 dirhams par mois.
LA COUR DE CASSATION et la société LexisNexis Maroc(filiale française du LexisNexis france) ont signé une convention de partenariat, pour publier, via le portail de recherche et d’information juridique www.lexis-
et de la transparence des données publiques. La Cour de cassation avait d’ailleurs déjà annoncé, en janvier dernier, le lancement d’une chaîne youtube TV Cassation. le site LexisMaroc est dédié aux juristes d’affaires (avocats, notaires,
maroc.ma, les arrêts rendus par la Cour. L’accord s’intègre dans le cadre du plan stratégique initié par la Cour de cassation afin de promouvoir le droit d’accès à l’information
juristes d’entreprises, conseils juridiques et fiscaux) et propose un service payant (à partir de 16.000 DH par an) pour avoir accès aux archives du Bulletin officiel.
L
a marque Nokia sur les téléphones portables fait désormais partie du passé. Microsoft a confirmé que les prochains Smartphones Lumia seront désormais étiquetés « Microsoft Lumia », en lieu et place de « Nokia Lumia ». Outre l’abandon de la marque Nokia, Microsoft pourrait également mettre fin à l’utilisation de l’étiquette Windows Phone sur les Lumia, en faveur de l’utilisation de la marque et du logo Windows
TERAMAGAZINE
6
7 | TERA MAGAZINE
LA FONDATION LINUX ANNONCE LE PROJET DRONECODE
l
a "Linux Foundation" a lancé officiellement le projet Dronecode pour développer une plate-forme commune, partagée et open source pour les drones. Ce projet constitue la pierre angulaire dans les efforts de la fondation pour accélérer
linux est soutenu dans ce projet par des géants comme la 3D Robotics, Baidu, Box, Intel, Qualcomm, et d’autres.
l'adoption des logiciels open source qui sont plus abordables et plus fiables pour les drones. Grâce à ce projet, les travaux pourront bénéficier d’un appui digne d’un projet de grande envergure et d’un financement assez important. La foundation
Dronecode comprend le projet de PX4 et la plateforme ArduPilot de drone APM, qui était auparavant hébergé par Robotics 3D. Ce
DROPBOX P PIRATÉ
rès de 7 millions, exactement 6.937.081 noms d'utilisateurs et mots de passe Dropbox ont été piraté. Apparemment, par des services tiers que les pirates ont réussi à dépouiller les informations de connexion. Ces identifiants ont donc été récupérés depuis d’autres sources et non depuis les serveurs de Dropbox. L’affaire a été dévoilée sur le site appelé Pastebin (http:// pastebin.com/NtgwpfVm) où les pirates présentent un échantillon de 400 comptes piratés. Les pirates promettent de divulguer
OCTROI DE LICENCES DE LA 4G AU MAROC
E
n application des orientations générales pour le développement du secteur des télécommunications et des décisions du Conseil d’administration de l’ANRT, l’appel à concurrence pour l’octroi de licences pour l’établissement et l’exploitation de réseaux de télécommunications utilisant les
7
TERAMAGAZINE
technologies mobiles de 4ème génération (4G) sera lancé le 17 novembre 2014. A cet effet, les opérateurs de télécommunications et autres parties Intéressés sont invités à retirer auprès de l’ANRT le dossier de l’appel à concurrence, et ce, à partir du 17 novembre 2014
projet implique 1200 développeurs. Le résultat attendu est une plateforme logicielle open source destinée aux drones quideverait constituer la base pour les développeurs et aux équipes de R&D pour créer leurs projets de drone.
plus de comptes en échange de dons Bitcoin. Les hackers prétendent avoir plus de 6,9 millions d'adresses email et mots de passe appartenant à des utilisateurs Dropbox. Ce dernier de son côté, déclare dans un communiqué ne pas avoir été hacké. Reste qu'il peut être bon pour les utilisateurs de Dropbox d'activer l'authentification par deux facteurs. Pour ce faire, rendez-vous dans les sections paramètres puis Sécurité. Ce processus se base en plus du mot de passe sur un code envoyé à l'internaute par SMS.
TECH NEWS
TERA MAGAZINE | 8
INBOX LA NOUVELLE BOÎTE DE RÉCEPTION QUI VOUS SIMPLIFIE LA VIE
G
oogle a annoncé une nouveauté liée à Gmail, intitulée Inbox, sur laquelle il a travaillé depuis plusieurs années. L'idée derrière ce nouveau service est simple : "proposer une toute nouvelle présentation de la boîte e-mail visant à rendre plus facile pour les gens à trouver leurs messages les plus importantes en premier et de simplifier la recherche dans leurs archives de courrier électronique. Les fonctionnalités proposées sont :
GROUPES : les messages similaires sont regroupés afin que vous puissiez les traiter ensemble, ou vous en débarrasser d'un coup. L'ESSENTIEL : prenez connaissance des informations importantes sans même avoir à ouvrir le message. Consultez directement vos billets d'avion, les informations d'expédition de vos achats, ou encore les photos qu'un ami vous a envoyées. RAPPELS : configurez des rappels qui s'afficheront directement dans votre boîte de réception afin de ne rien oublier.
MISE EN ATTENTE : mettez les
afin de les consulter lorsque vous en avez le temps (la semaine suivante, de retour à la maison ou quand bon vous semble).
RECHERCHE : Inbox vous permet de retrouver exactement ce que vous cherchez, qu'il s'agisse de vos horaires de vol ou de l'adresse d'un ami, sans avoir à parcourir tous vos messages. FONCTIONNE AVEC GMAIL : Inbox étant conçu par l'équipe Gmail, vous y retrouvez tous vos messages Gmail avec la même fiabilité et la même protection antispam. De plus, tous vos messages continuent et continueront de figurer dans Gmail. L’application de Google est actuellement en phase de test bêta. Ceux qui veulent tester INBOX devront demander une invitation via un compte Gmail en Envoyant un e-mail à l'adresse : inbox@google.com. Inbox est accessible via web sur inbox.google.com et une application android est disponible sur googleplay.
e-mails et les rappels en attente
TERAMAGAZINE
8
9 | TERA MAGAZINE
L’IPHONE 6 SOUFFRE DU "BENDGATE", "HAIRGATE" ET "DYEGATE".
L
e grand succès de l’iPhone 6 a été gâché par de nombreux problèmes d’utilisation apparus après son lancement. Le début de cette série de problème a commencé lorsque plusieurs propriétaires ont constaté que le téléphone, trop léger, se pliait dans les poches des pantalons. Cette affaire avait pris de l’ampleur sur les réseaux sociaux, avec
la création du hashtag #Bendgate sur Twitter pour donner naissance au premier Gate. La polémique se poursuit avec l’apparition du #Hairgate. Le téléphone d’Apple était alors accusé d’arracher les cheveux et les poils des utilisateurs lors des communications. Après le "Bendgate et l’"Hairgate"; Le "Dyegate", un nouveau
problème est apparu. L’iPhone 6 est accusé de changer de couleur à force d’être au contact des poches des jeans des utilisateurs. Les bandes de plastique situées sur le côté du téléphone, se colorent en bleu à cause du frottement avec les poches de jeans qui déteignent sur le plastique.
DYEGATE
BENDGATE
L’IPHONE 6 PLUS REDÉMARRE EN BOUCLE LE SMARTPHONE “GRAND FORMAT” D’APPLE SOUFFRIRAIT D’UN PROBLÈME D’INSTABILITÉ À PARTIR DU MOMENT OÙ IL CONTIENDRAIT TROP D’APPLICATIONS.
L
’iPhone 6 Plus est en effet désormais pointé du doigt. Plusieurs dizaines de plaintes sont déposées sur le forum de discussion d’Apple. Ces utilisateurs affirment que leur nouveau Smartphone se plante, puis redémarre en boucle, après l'installation d'un grand nombre
9
TERAMAGAZINE
d’applications, rendant impossible son utilisation par la suite. Le problème ne toucherait cependant pas toutes les versions de l’iPhone 6 Plus, mais uniquement les modèles équipés d’une capacité de mémoire de 128 Go, soit les modèles les plus chers de l’iPhone 6 Plus
TECH NEWS
TERA MAGAZINE | 10
LE JEU AGE OF AMPIRE EST DE RETOUR
L
e fameux jeu de stratégie Age of empire est relancé par Microsoft sur Windows 8.1 et tous les appareils compatibles, Windows Phone ou tablettes. Ce jeu de guerre est basé sur la conquête des ennemis. Il offre aux joueurs la construction des villes fortifiées des châteaux et exploiter les ressources et créer sa petite armée afin de partir à la conquête des territoires voisins.
Un seul achat suffira d'ailleurs à accéder au jeu quel que soit le support. Ce jeu de stratégie compatible avec les appareils tactiles en tête, le jeu proposera une interface "finger friendly". Côté multi-joueurs, il sera possible de créer des alliances et de lancer de véritables guerres entre joueurs humains.
GES 2014
La ville de Marrakech accueillera, le 5 ème Sommet global de l’Entrepreneuriat (Global Entrepreneurship Summit GES) au 20 et 21 novembre sous le thème: «Exploiter la puissance de la technologie en faveur de l’innovation et l’entrepreneuriat».
GES est le rendez-vous qui réunira de 3000 entrepreneurs, des chefs d’Etat, de hauts responsables gouvernementaux, des entrepreneurs mondiaux, des petites et moyennes
entreprises (PME), des chefs d’entreprise et des jeunes entrepreneurs du monde entier. On y trouvera également, un «Village de l’Innovation » où de jeunes entrepreneurs et innovateurs de l’Afrique et dans le monde pourront promouvoir leurs projets et échanger sur les innovations. Cette 5e édition du GES a pour objectif principal de doter les entrepreneurs des compétences et des ressources nécessaires pour affronter la concurrence et prospérer durant le XXIe siècle. Pour plus d’information visitez le site officiel de l’événement www. gesmarrakech2014.org
INWI DAYS LES 29 & 30 NOVEMBRE
E
n troisième édition, l'événement INWI DAYS se déroulera 29-30 novembre, à Casablanca. Les inwi DAYS 2014 sont deux journées dédiées aux objets connectés, regroupant des experts internationaux du domaine. Un site inwidays.
ma permet à des porteurs de projets en lien avec des objets connectés de présenter leurs idées, en vue d'obtenir des votes facebook et voir leurs projets retenus pour participer au hackathon en vue de remporter une aide financière de 100 000 dh.
TERAMAGAZINE
10
11 | TERA MAGAZINE
LE BUG QUI SÈME LA TERREUR
#{ShellShock} Ecrit Par : IAAZA FAHD Spécialiste en sécurité
La vulnérabilité Shellshock est un risque majeur, car elle élimine le besoin de connaissances spécialisées et fournit un moyen simple pour prendre le contrôle d’une machine
T
out le monde a toujours cru que Unix et Gnu/Linux sont des systèmes très sûrs. Cette notoriété a été remise en cause, cette année avec l’apparition de deux problèmes de sécurité catastrophiques ; le Heartbleed et le Shellshock.
Après la fameuse affaire Heartbleed, la communauté Internet/ linux a été choquée de nouveau par la révélation d’une nouvelle faille critique surnommée Bash Bug. Cette faille affecte le composant Bash installé sur une grande majorité de systèmes Unix et Linux dans le monde entier. Intitulé aussi « ShellShock » et déclaré en CVE-2014-6271 et CVE2014-7169, cette faille permet à un utilisateur malveillant de compromettre en exécutant des commandes Shell et de prendre le contrôle des systèmes Linux, Mac OS X, utilisant Bash comme interpréteur de commande.
SHELLSHOCK EST-IL DANGEREUX ? Malheureusement, il est très dangereux, le Shellshock permet théoriquement de prendre un contrôle total de la machine ciblée. Contrairement aux grosses menaces
11
TERAMAGAZINE
récemment découvertes (comme Hearthbleed) qui se contentent de récupérer des données, Shellshock va bien plus loin. L’agence de sécurité Rapid7 lui a attribué un niveau de 10/10 en ce qui concerne sa gravité. De son coté L’organisme National Institute of Standards (NIST), donne lui aussi un score parfait de 10 point (http:// web.nvd.nist.gov/view/vuln/ detail?vulnId=CVE-2014-7169) concernant l’impact et le danger de cette faille. Shellshocks porte atteinte à un grand nombre de distributions GnU/ Linux Debian ubuntu Redha Mageia Suse Fedora ArchLin Gentoo, etc .. Ces distributions constituent la majorité des serveurs Web sur internet. Sans oublier Tous les Apples Mac OS et Microsoft Windows via Cygwin. Un problème plus grave menace les dispositifs qui utilisent un Linux embarqué tels que les routeurs, les commutateurs et les appareils. Si vous utilisez un modèle qui n’est plus pris en charge (sans mis à jour), il peut être presque impossible de le protéger et il sera probablement vulnérable aux attaques. Vous devez donc le remplacer dès que possible.
TERA MAGAZINE | 12 La vulnérabilité Shellshock est un risque majeur, car il élimine le besoin de connaissances spécialisées et fournit un moyen simple (malheureusement, très simple) pour prendre le contrôle d’une machine (comme un serveur web) et d’en faire exécuter du code.
QUELQUES EXPLICATIONS Le mot clé dans cette affaire est bash, de quoi s’agit –il ? Bash (Bourne-Again shell) est un interpréteur en ligne de commande de type script. Il est l'interpréteur par défaut du projet GnU, c'est une amélioration du Shell Bourne, reprenant des idées du Korn Shell (ksh). Il est développé depuis 1988 et il n'a cessé de s'améliorer. Il a été distribué comme Shell par défaut sur de nombreuses distributions Linux et Mac OS X. Le shell ou l'interpréteur de commande n'est pas un logiciel visible : vous l'utilisez essentiellement quand vous lancez le Terminal, il prend les commandes sur le canal d'entrée les
vérifie et il les exécute, c’est l’intermédiaire entre l’utilisateur et le système (noyau).
COMPRENDRE LE SHELLSHOCK Pour comprendre le Shellshock, il faut tout d’abord comprendre la source du problème. Le Bash permet contrairement aux d’autres Shell de définir et de passer des variables d’environnement vers un processus enfant. Ci dessous un exemple simple, qui montre le principe et l’utilisation des variables via bash. Ces variables sont utiles lors de l'exécution des commandes complexes.
ALORS, OU EST LE BUG? Voici une légère variation de l'exemple précédent
La commande “env” définit une variable d’environnement (dans ce cas variable1 = Teramagazine), puis on exécute une commande basée sur cet environnement. Ici, c’est l’exécution d’un deuxième shell Bash, qui à son tour fait appel à la ligne de commande ‘echo $ variable1 is out’ ; Ce deuxième shell s’exécute donc dans un environnement où variable1 = Teramagazine, il affiche par conséquent “Teramagazine is out.” Au lieu de ‘echo $ variable1 is out’. La même chose, pour passer une fonction au lieu d’une variable à un sous shell env Terafonction=’() { echo “Teramagazine9 is out”; }’ bash -c ‘ Terafonction;’ En assimilant ce principe de passage de variables d’environnement entre un shell et un autre ou vers un programme enfant. Nous pouvons désormais s’attaquer au problème.
Bash : Bourne-Again shell Bash, acronyme de Bourne-Again shell, est un interpréteur en ligne de commande de type script crée en 1988. C’est le shell Unix du projet GNU. Basé sur le Bourne shell, Bash lui apporte de nombreuses améliorations, provenant notamment du Korn shell et du C shell. Bash est un logiciel libre publié sous licence publique générale GNU. Il est l’Interprète (informatique) par défaut sur de nombreux Unix libres, notamment sur les systèmes GNU/Linux. C’est aussi le shell par défaut de Mac OS X et il a été porté sous Microsoft Windows par le projet Cygwin. « Bourne again » est un jeu de mots sur le Bourne shell. Littéralement, Bourne again signifie « Bourne encore », mais se prononce également presque comme born again, signifiant « né de nouveau » ou encore « réincarné »
Comme tous les interpréteurs en ligne de commande de type script, Bash exécute quatre opérations fondamentales : • Il fournit une liste de commandes • Il permet d’utiliser les scripts ; • Il vérifie la ligne de commande lors de son exécution. En cas de validation, chaque ligne de commande est interprétée, c'est-à-dire traduite dans un langage compréhensible par le système d'exploitation, qui l'exécute alors.
TERAMAGAZINE
12
13 | TERA MAGAZINE
LE PROBLEME LES SYSTÈMES D’EXPLOITATION VULNÉRABLES AU SHELLSHOCK
L
ors d’un passage de variables entre shells (bash), si on définit la fonction à passer de la manière suivante :
env Terafonction =’() { echo “ Teramagazine9 is out “; }; echo “voici shellshock”’ bash -c “ Terafonction;”
Important
L’exécution de la fonction "Terafonction" ne se limitera pas à exécuter le code définit à son intérieur echo “ Teramagazine9 is out “, mais exécute aussi le code situé après le délimiteur}; dans ce cas il exécute echo “voici shellshock” Pire encore, il n’est même pas nécessaire de définir le corps de la fonction :
env Terafonction=’() { :; }; echo “voici shellshock”’ bash -c “true”
la vulnérabilité shellshock existe en réalité depuis...
dans cet exemple le résultat sera l’affichage de « voici shellshock » Donc, après une simple fonction vide contenant { :;} suffit pour exécuter des commandes supplémentaires au shell. On peut donc injecter n’importe quel code après le délimiteur et le bash de la machine cible l’exécutera. Ce principe est similaire à celui de l’injection SQL
E
n théorie, Une grande majorité des machines tournant sous Unix, Linux et Mac OS X sont vulnérables. En revanche, toutes les distributions ayant un autre shell que Bash (kshell,cshell…) ou qui ont le SELinux activé sont protégés contre des exploitations de ce type. Sans oublier de mentionner que tous les matériels embarqués et les objets connectés ne sont pas des cibles pour le sellshok car ces matériels utilisent la plupart du temps busybox qui n'est pas vulnérable. Même si Android est basé sur linux il n’est pas concerné par cette faille car il utilise Amlquist shell(ASH).
26 ANS UN SYSTÈME VULNÉRABLE AU SHELLSHOCK 13
TERAMAGAZINE
TERA MAGAZINE | 14
LES ATTAQUES BASÉES SUR L'EXPLOITATION DU SHELLSHOCK
EXPLOITATION U
n projet hébergé sur github rassemble une série de POC (preuve de concept) à cette adresse github.com/mubix/shellshockerpocs. Si Bash n'était qu'un mécanisme pour accepter les commandes des utilisateurs, ce ne serait pas un gros problème. Le problème réside dans le fait que Bash est également devenu un moyen populaire pour les programmes informatiques d'invoquer d'autres programmes, Par conséquent, ces derniers seront affectés.
Les conditions de l'exploitation à distance de la faille sont relativement simples : 1. /bin/sh pointe sur /bin/bash ; 2. Avoir SELinux désactivé ou mal configuré ; 3. Avoir un service qui écoute le réseau et qui va exécuter bash.
• • • • •
pour transmettre des données au script. Malheureusement ces variables d'environnement peuvent être modifiés par l'attaquant. Si le script CGI appelle le shell Bash, le script pourrait donc exécuter du code arbitraire inclus dans les variables d'environement modifiés auparavant. Il reste à signaler que puisque httpd user. mod_php, mod_perl, et mod_pythonmod_ python n'utilisent pas les variables d'environnement, ils ne sont pas affectés. exim ; postfix ; qmail ; procmail ; openvPn;ssh stunnel ; SIP, FTP, probablement d'autres
VÉRIFIER
Pour s’assurer, vous pouvez tester votre système. Voici deux tests rapides vous permettant de vérifier l’intégrité de votre système, afin de savoir s’il est vulnérable ou non. Le premier test consiste à excuter la ligne de commande suivante env x='() { :;}; echo vulnerable' bash -c "echo test" Si le message vulnérable s’affiche alors votre système est vulnérable. Si un message d’erreur s’affiche il est donc sain et sauf. Le deuxième test : cd /tmp; rm -f echo; env 'x=() { (a)=>\' bash -c "echo date"; cat echo doit retourner que le fichier "/ tmp/ echo" n'existe pas.
Red Hat rapporte (https://access.redhat. com/articles/1200223) que les vecteurs d'attaque les plus courants sont: • • •
dhclient ; apache, via mod_cgi (et sans mod_ security correctement configuré) ; httpd (Your Web server): Les scripts CGI [CommonGateway Interface] sont concernés par ce problème. En effet, quand un script CGI est géré par le serveur web, il utilise les variables d'environnement
LES MOYENS D'EXPLOITER LE SHELLSHCOK TERAMAGAZINE
14
15 | TERA MAGAZINE
SCÉNARIO D'ATTAQUE Le principe d’une attaque exploitant la faille Shellshock se résume dans la communication d’un code malicieux à un programme vulnérable qui invoque le shell bash en lui passant ce code en tant que variable globale.
L’un des programmes les plus intéressants est le serveur web. Nous pouvons envoyer à un serveur web une requête http contenant des variables modifiées de sorte que leurs contenu exploite la faille Shellshock. Quand un serveur utilise Bash pour invoquer un autre programme, il utilise souvent des variables d'environnement pour passer les entrées d'utilisateur. Par exemple, lorsque vous visitez un site Web, votre navigateur
EXPLOITATION DU SHELLSHOCK VIA CURL
envoie au serveur une variable appelée "User agent", qui indique au serveur quel navigateur vous utilisez. J’envoie donc une requête HTTP en modifiant la valeur de la variable user-agent qui sera passée au bash, par une valeur contenant le délimiteur () { :; }; suivi par la commande $(</etc/ passwd) que je désire exécuter sur ce serveur pour connaitre les utilisateurs. Donc la nouvelle valeur de la variable USER-agent sera () { :;}; echo "Tera:" $(</etc/passwd). Pour personnaliser les requêtes http comme désiré, nous pouvons utiliser soit : • le client CURL : curl -v -a’() { :;}; echo “Tera: “ $(</etc/passwd)’ http://shellshock.notsosecure. com/cgi-bin/status • Deux plugins Firefox combinés : Modify headers pour la modification des variable HTTP envoyées et LiveHTTPHeader pour la lecture des échanges HTTP. La réponse du serveur retourne le contenu du fichier /etc/ passwd. Donc nous avons réussi à exécuter un code malicieux à distance via une simple requête http. Vous pouvez imaginer donc le danger !!
Modify Headers est un plugin Firefox qui permet d'envoyer des entêtes HTTP modifiés vers un serveur.
Live_HTTP_Header est un plugin Firefox pour lire les echanges HTTP entre un client et un serveur.
15
TERAMAGAZINE
TERA MAGAZINE | 16
PROTECTION
LES MOYENS DE PROTECTION CONTRE SHELLSHOCK
S
i votre système est vulnérable au shellshock, vous devriez mettre à jour votre bash, par exemple pour le RedHat ou CentOS Lancez la commande de mise à jour :
yum update bash pour debian/ubuntu
apt-get update bash Avant de fixer le problème vous pouvez vérifier la versoin du bash installé. En RedHat 5 (et CentOS 5)
S
hellshock est un risque majeur, les tentatives de son exploitation se multiplient et plusieurs programmes malveillant ont vu le jour. Ne croyez pas que vous êtes isolés et à l’abri. Le ballon est dans votre camp, Ne perdez pas de temps. Mettez à jour votre système. Rappelez-vous bien, cette vulnérabilité existe depuis. 26 ans, était-elle exploitée depuis qui sait !
# rpm -qa | grep bash bash-3.2-24.el5
En RedHat 6 (et CentOS 6)
# rpm -qa | grep bash bash-4.1.2-3.el6.x86_64 Si votre version est inférieure à 4.3 vous pouvez appliquer un des correctifs (patch) disponibles sur le site officiel de la distribution (https://access.redhat.com/ solutions/1207723). Une des solutions efficaces et difficiles serait de changer votre shell.
Les serveurs web sont la cible la plus vulnérable au ShellShock
Mettez à jour votre Bash le plutôt possible
TERAMAGAZINE
16
17 | TERA MAGAZINE
VONNSÉES
CNDP
DO
EN VENTE
LE PROTECTEUR
DES DONNÉES PERSONNELLES
AU MAROC L´INFORMATIQUE EST AU SERVICE DU CITOYEN… ELLE NE DOIT PAS PORTER ATTEINTE À L´IDENTITÉ, AUX DROITS ET AUX LIBERTÉS COLLECTIVES OU INDIVIDUELLES DE L´HOMME … ». CF. ARTICLE PREMIER, LOI 09-08.
L
ES INFORMATIONS FOURNIES AUX ENTREPRISES OU AUX ADMINISTRATIONS POUR RÉPONDRE À DES EXIGENCES ADMINISTRATIVES, ORGANISATIONNELLES OU COMMERCIALES DOIVENT ÊTRE PROTÉGÉES PARCE QU’ELLES RELÈVENT DE LA VIE PRIVÉE ET PARCE QUE LEUR DIVULGATION EST SUSCEPTIBLE DE PORTER ATTEINTE AUX DROITS ET LIBERTÉS DES CITOYENS MAROCAINS. UNE PROTECTION QUI CONSTITUE UN DE NOS DROITS FONDAMENTAUX.
LA SITUATION AU MAROC ? Conformément aux principes du Maroc qui se veut un pays de droit et aux orientations de la Stratégie Nationale pour la société de l’Information et de l’Economie Numérique déclinée en 2009, notre pays a adopté la loi n° 09-08 (http://goo.gl/8HtbQB) relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel en 18 février 2009. A l’image de la CNIL en france, cette Loi a créé une autorité administrative : la Commission Nationale de contrôle de la protection des données à caractère personnel (CNDP). Cette commission a été officiellement installée le 31 août 2010.
CNDP: CADRE LÉGISTLATIF Avec la nouvelle Constitution adoptée En 2011, l’article 24
17
TERAMAGAZINE
qui proclame que toute personne a droit à la protection de sa vie privée, renforce le cadre légal de la cndp. Cette institution fait du Maroc un des Etats pionniers en matière de protection des données personnelles dans le monde arabe et africain. Sa création représente une grande avancée dans la protection de la vie privée des citoyens et dans la promotion des libertés et droits fondamentaux de l’homme. Un acquis qui se confirme avec l’adoption du Conseil du gouvernement marocain jeudi 6 juin 2014 un projet de loi portant approbation de la Convention 108 du Conseil de l’Europe sur la protection des données personnelles. le Maroc deviendra ainsi le 2ème pays non membre du Conseil de l’Europe à adhérer à la Convention (après l’Uruguay cette année également) et portera à 47 le nombre d’États Parties à la Convention.
Un exemple des SMS SPAM. Le numéro de téléphone étant une information personelle, comment à t-il pu tomber entre les mains des spameurs?
ÉCRIT PAR : EL ALAOUI KARIM RÉSPONSABLE SI
Cet instrument, adopté en 1981 et seul texte international contraignant en matière de protection des données personnelles. La ratification par le Maroc le permettra d’être considéré par l’Union européenne comme un état assurant un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes, ce qui ne manquera pas de dynamiser le développement des investissements dans le secteur de l’offshoring. En outre, Cette adhésion est une étape importante vers la reconnaissance de la conformité du droit national aux standards internationaux de protection des données personnelles.
TERA MAGAZINE | 18 OBJECTIF DE CNDP La CNDP a pour objectif principal de veiller au respect des libertés et droits fondamentaux des personnes physiques à l’égard des traitements de données à caractère personnel.
CNDP EN ACTION
»Logo de La CNDP
»Sensibiliser les organismes publics et privés sur leurs obligations et les meilleures pratiques en matière de traitement des données personnelles.
»surveiller, étudier et analyser les tendances et les mutations technologiques, économiques, juridiques et sociétales pouvant affecter la protection des données personnelles au Maroc.
»Informer les personnes physiques sur les droits que leur confère le nouveau cadre juridique réglementant l’utilisation de leurs données personnelles au Maroc.
MISSIONS DE LA CNDP »Conseiller et accompagner les responsables de traitement dans la mise en œuvre du processus de conformité aux dispositions de la loi 09-08 et de ses textes d’application. La CNDP assure aussi une mission de conseil auprès du gouvernement, du parlement et des autres administrations, sur les aspects relatifs à la protection des données personnelles
»Expliquer aux opérateurs économiques les règles et les mécanismes régissant le transfert des données personnelles à l’étranger.
»Investiguer et enquêter afin de contrôler et vérifier que les traitements des données personnelles sont effectués conformément aux dispositions de la loi 09-08. A cet effet, ses agents peuvent accéder directement à tous les éléments intervenant dans les processus de traitement (les données, les équipements, les locaux, les supports d’information …..). Ces contrôles peuvent donner lieu à des sanctions administratives, pécuniaires ou pénales.
À l’occasion de la journée internationale de la protection des données personnelles (Data Protection Day) en 25/02/2014. La CNDP a mené la première opération de contrôle des sites web au Maroc. Cette campagne de contrôle a porté sur cinq catégories de sites : les deals, les annonces, les offres d’emploi, la vente en ligne et la réservation des chambres d’hôtel. L’objectif était d’évaluer le degré de conformité des sites web aux exigences légales en matière de protection de la vie privée et des libertés et droits fondamentaux des personnes. L’analyse des résultats du contrôle a révélé plusieurs situations de non-conformité par rapport aux exigences de
En Mai 2014, CNDP et Microsoft se sont associeés pour la protection des données personnelles. Une ocasion pour la CNDP de profiter du savoir-faire de la firme amèricaine en la matière. En effet, Microsoft est à ce jour le seul fournisseur de Cloud Computing dont les solutions ont été jugées conformes aux lois de confidentialité de l’Union européenne qui sont considérées comme les plus strictes dans le monde
la loi 09-08 relative à la protection des données personnelles. Ainsi, la majorité des sites web n’ont pas notifié leur traitement à la CNDP. Peu de sites présentent un contenu relativement satisfaisant en matière de protection des données personnelles. La CNDP a entrepris des démarches pour inviter les responsables des sites concernés à se conformer à la loi. Elle a publié à cette occasion un document informatif regroupant les recommandations de la Commission en la matière. Le non-respect par ces derniers des dispositions de la loi donnera lieu à des actions plus persuasives de la CNDP.
la CNDP demeure consciente de l’importance du rôle qui lui échoit dans la protection de la vie privée, des libertés et droits des citoyens. Ses membres et ses cadres n’épargneront aucun effort pour en faire une institution indépendante, efficace au plan interne et crédible au plan international. M. SAID IHRAI PRÉSIDENT DE LA CNDP
TERAMAGAZINE
18
19 | TERA MAGAZINE
19
TERAMAGAZINE
Chaque citoyen a la possibilité de porter plainte auprès de la CNDP s’il constate une utilisation de ses informations par une entité tière (Entreprise, Institution, …), sans son accord
LE SITE OFFICIEL DE LA CNDP : WWW.CNDP.MA
Selon la CNDP La personne concernée par la collecte des données nominatives dispose des droits suivants : Droit de Consentement : Toute opération de traitement des données personnelles ne peut avoir lieu que si la personne concernée a exprimé son consentement d’une façon claire, incontestable, libre et avertie. Droit d'être informé lors de la collecte des données Droit d’accès : Toute personne a le droit d'obtenir du responsable de traitement, à des intervalles raisonnables, gratuitement et sans délais, la confirmation que les données la concernant font l'objet ou non d'un traitement. Elle peut également demander les caractéristiques du traitement effectué telles ses finalités, les catégories et l’origine des données utilisées et les destinataires auxquels elles sont transmises. Droit de rectification : Toute personne peut exiger du responsable du traitement l'actualisation, la rectification, l'effacement ou le verrouillage des données personnelles la concernant lorsque ces dernières semblent être inexactes, incomplètes, équivoques ou périmées. Droit d’opposition : Toute personne a la possibilité de s'opposer à tout moment, pour des motifs légitimes et sans frais, au traitement de ses données personnelles.
DEPUIS 2012, LA LOI 0
LES SANCTIONS Toute infraction aux dispositions de la loi 09-08 est sanctionnée conformément au chapitre 7 de ladite loi. Le Chapitre VII fixe les sanctions civiles et pénales applicables qui peuvent aller, en cas de récidive jusqu’à quatre années d’emprisonnement et 300.000DH d’amende. Lorsque l’auteur de l’une de ces infractions est une personne morale, « et sans préjudice des peines qui peuvent être appliquées à ses dirigeants, les peines d’amende sont portées au double » (article 64). La personne morale peut voir ses biens confisqués et ses établissements fermés.
09-08 VOUS PRTÈGE AFFAIRE EN RELATION
LA CNDP EST VOTRE PROTECTEUR
Le 13 mai 2014, la cour de justice de l’Union européenne a rendu un arrêt majeur sur le «droit à l’oubli» en rapport avec les moteurs de recherche en ligne la cour de justice de l'Union européenne (CJUE) a reconnu le droit pour les particuliers de demander à faire supprimer des résultats de recherche Google les liens vers les pages mentionnant des données personnelles les concernant. En vue de se conformer à la décision de la Cour européenne, l'entreprise américaine a mis en place une nouvelle procédure de demande de suppression de contenu le 30 mai dernier. Depuis cette date, un particulier peut donc demander directement à Google de supprimer certains résultats de recherche au titre de la législation européenne sur la protection des données. La procédure de demande se fait intégralement sur internet. Via un formulaire de demande de suppression de contenu. (http://goo.gl/HttzEu) Google devrait par ailleurs collaborer avec les autorités de protection des données compé-
L
TERA MAGAZINE | 20
tentes dans chaque pays européen concerné - la CNIL dans le cas de la France - afin de mener à bien ce nouveau devoir. Cette affaire démontre que l'arsenal juridique accompagné par une présence d'une autorité de la protection des données peut protéger les utilisateurs ou clients des mauvaises pratiques des entreprises quel qu'elle soit
a culture de la protection des données personnelles, est nouvelle au Maroc. La CNDP est appelée donc à jouer un rôle crucial en matière de sensibilisation, de protection, de contrôle et de sanction. En d’autre part, les citoyens marocains doivent être sensibilisés vis-à-vis au rôle de la CNDP pour protéger leurs don-
nées personnelles. Ils sont appelés à déposer leurs plaintes auprès de la CNDP contre toutes fraudes (sms non sollicités, SPAM, appels téléphonique publicitaire …) qui atteint leurs vies privées pour faire valoir leurs droits. Les ventes des bases de données des sites internet et des entreprises contenant vos informations sont des pratiques illégales courantes
au Maroc, donc La CNDP a devant elle un grand chantier pour éradiquer ses pratiques et instaurer une confiance numérique. Certes, Les Lois régissant ce domaine sont bien promoteurs mais il reste à les appliquer et obliger les acteurs (locaux ou étranger) à les respecter.
TERAMAGAZINE
20
21 | TERA MAGAZINE
E
RÉPUTATION
Votre réputation sur la toile ÉCRIT PAR : IMAD HACHIMI EXPERT COMMUNITY MANAGER
L
'internet est devenu en l’espace d’une quinzaine d’années un média de masse qui touche près de 16 millions d'internautes marocains. L’omniprésence des médias sociaux et l’hyper-réactivité du net en général favorisent une circulation de l’information (rumeurs, avis , ..) très rapide autour des produits ou des entreprises. L’e-réputation fait désormais partie intégrante de notre “e-quotidien”, influançant les choix des clients.
21
TERAMAGAZINE
E
-réputation ou la web-réputation, est l’opinion commune des internautes envers une entité morale (entreprise, produit, marque) ou physique (particulier), réelle ou imaginaire. Pour de nombreux secteurs d’activité, La contribution de l’e-réputation est très importante dans la réputation et l’image globale de l’entreprise. À ce titre, le potentiel de nuisances et de bénéfices pour vous n’est pas toujours maîtrisable. Une mauvaise gestion provoque des effets médiatiques négatifs qui influencent négativement l’activité de votre (ventes, celienèle ..).
L'E-R EPUT ATIO N
N
TERA MAGAZINE | 22
la gestion de la E-réputation requière un management anticipé et pro-actif, au regard des situations de déstabilisation aux quelles peuvent faire face les entreprises. Au profit de votre entreprise, Vous devez être préoc-
11 clés pour bien gérer sa E-réputation.
un enjeu de taille pour les entreprises
cupé par votre image sur Internet et potentiellement l’intégrer dans votre stratégie de communication. Pour une entreprise qui travaille en E-Commerce par exemple il est très important de réussir à créer une identité numérique originale, capable d'individualiser l'entreprise et la distinguer de sa concurrence
afin d'attirer les internautes. Il est nécessaire dans un premier temps de considérer l’e-réputation comme porteuse de bénéfices et de risques pour l’entreprise.
LES BÉNÉFICES D'UNE PRÉSENCE EN LIGNE : une bonne E-réputation vous aide à gagner de nouveaux clients, développez vos activités et étendre votre part de marché. Si l'on a une page Facebook ou un blog d'entreprise, les feedbacks qui seront faits via les commentaires permettront de savoir s'il y ‘a un danger ou un mauvais Buzz autour de votre entrepris ou votre produit. Comme il permet de connaître l’opinion de la clientèle et satisfaire leurs besoins. TERAMAGAZINE
22
23 | TERA MAGAZINE
LES RISQUES POTENTIELS D'UNE MAUVAISE GESTION DE L'E-RÉPUTATION : Si avoir une présence en ligne peut apporter de nombreux bénéfices à une entreprise, une absence ou une mauvaise maîtrise de l'identité numérique peut avoir des répercutions très négatives. Une mauvaise E-réputation de la marque ou de l'entreprise peut entraîner de graves préjudices en termes d'image et donc des pertes au niveau du chiffre d'affaires . Ne pas avoir de présence en ligne expose l'entreprise à de nombreux risques, en voici quelques uns :
arrivé, premier servi)
L'impact de l'E-rep» Méconnaissance du conutation sur les avis des consommateurs. sommateur
» Manque de dialogue avec la communauté » Perte du feedback fait par les consommateurs. Face à ces risques, des éléments simples peuvent être mis en place par l’entreprise, comme la sensibilisation du personnel ou bien l’intégration de logiciels de veille, pour contrer le risque informationnel.
GÉRER SA EREPUTATION ?
» Retard sur la concurrence » Dégradation d’image auprès du
publique
»
Fragilité face aux risques d’opinion
» Circulation d’informations préjudiciables sans connaissances » Usurpation d'identité et cybersquatting (problème du premier
23
TERAMAGAZINE
Les intérêts et les conséquences d'une bonne et une mauvaise E-reputation
Les marocains sont très actifs sur internet. Le nombre d'internautes est estimé à au moins 17,5 millions de personnes selon des sources professionnelles opérant dans le digital. Les internautes
marocains se connectent essentiellement pour accéder aux réseaux sociaux (74%) dont la moitié les utilise de manière quotidienne et plus d’un tiers y est présent entre 1heure et 2 heures par jour. Si Facebook était un parti politique au Maroc, il serait le plus puissant dans un pays où l’on compte 5,2 millions d’inscrits, avec un taux de pénétration de 21,7%. En revanche on remarque bien le manque d’engouement qu’ont les marocains pour Twitter avec seulement 76 700 inscrits. Comme le montre les statistiques d’alexa le moteur de recherche et youtube sont en tête des sites le plus visités au Maroc. vous êtes donc amené à considérer ces outils comme moyens d'amélioration de votre réputation numérique. En effet, comme le souligne justement les experts de la E-réputation «votre marque n’est pas ce que vous en dites, mais ce que Google dit!». Au Maroc, Le premier contact du consommateur n’est plus la boutique de la marque, mais le moteur de recherche. Vous devez par conséquent gérer une bonne SEO. Les choses ne différent pas pour les réseaux sociaux, faites appel à des community manager talentueux qui créent un contenu attractif et défendent l’image de votre entreprise ou produits. Il seront à la disposition des clients avec un suivi des feedbak de la clientèle. La règle
TERA MAGAZINE | 24
PERFORMANCE
Nombre d'utilisateurs en afrique et au Maroc en 2013
d’or « ne négliger aucun client ». Si vous rendez un client mécontent, il en parlera à 10 personnes de son entourage, ce phénomène est accentué sur la toile, où ces 10 personnes deviennent 100 voir 1000. Au Maroc un mauvais avis est contagieux.
Si Facebook était un parti politique au Maroc, il serait le plus puissant dans un pays où l’on compte 5,2 millions d’inscrits, avec un taux de pénétration de 21,7% Les intérêts et les conséquences d'une bonne et une mauvaise E-reputation
ETUDE DE CAS E-REPUTATION SUR FACEBOOK: A titre d’exemple, évaluons l’e-réputation de trois entreprises marocaines qu’est IAM,INWI et MEDITEL sur Facebook. Ces 3 entreprises sont les champions des stratégies digitales. Elles sont présentes sur toutes les plateformes de resautage social (Facebook, twitter,youtube, g+…). Sur Facebook chacune est présente avec une page officielle de plus d’un million de fans . Des pages actives avec une exposition continue de leurs nouvelles offres. En analysant la page de inwi et IAM, la mauvaise gestion est apparente. Celle de méditel est plutôt mieux gérée. On constate que pour chaque offre présentée les communi-
En 2014 groupe Maroc Telecom vient d’être désigné parmi le Top 5 des entreprises africaines les plus performantes sur Internet par l’agence Hopscoth Système Africa. L’information est relayée par l’agence de communication Hopscotch Système Africa qui a publié son baromètre digital des 50 entreprises d’Afrique francophone les plus performantes sur Internet.
ty manager ne se soucient pas des feedbacks ni des demandes des utilisateurs. Les commentaires et avis négatif sont omniprésent partout, ces deux entreprises ne répondent pas aux attaques pour donner des éclaircissements, rétablir des vérités, montrer leurs engagements, augmenter leurs capitals de sympathie,… Un client potentiel qui cherche de l’information concernant ces offres, aura une mauvaise image et partira voir du coté des concurrents. Quant à méditel elle s’en sort mieux sur facebook, sans arriver au niveau satisfaisant. Elle offre un service d’assistance inclus à la page. Elle active l’option d’évaluation contrairement à inwi et iam qui l’ont désactivé (ont- ils peur ?) … Les tranches d'age des utilisateurs facebook au Maroc
TERAMAGAZINE
24
25 | TERA MAGAZINE
3 Exemples de la mauvaise géstion d'incidents touchant la E-reputation. Les exemples sont issues des pages officielles de IAM, INWI et méditel
Ces commentaires issus de la page Facebook de IAM et inwi représentent un bon exemple de la façon dont un événement mal géré peut prendre une ampleur importante sur les réseaux sociaux. Pour tester la réactivité des pages ciblées. J’ai fait le test d’envoyer un message sur facebook demandant de l’assistance, le résultat était comme suivant : • Maroc télécom ne répond pas • Méditel répond dans un bref délai • Inwi ont désactivé quasimentl’option de reception des messages Une entreprise qui se respecte doit exploiter tous les moyens pour satisfaire les clients, surtout les réseaux sociaux. Avec le manque de communication remarqué, ces trois entreprises doivent investir plus d’effort sur Facebook pour fidéliser clientèles et être à leur écoute.
TWITTER Sur TWITTER les trois opérateurs sont existants, on note le bon travail de Maroc Telecom qui a élargi son service après-vente à Twitter. Son compte est actif et réagit aux
demandes des wtitteurs marocains.
VEILLER SUR LA RÉPUTATION EN LIGNE : Avoir une identité numérique valorisante est une bonne base pour éviter de porter préjudice à l'e-réputation de l'entreprise à la suite d'une crise. Cependant, le seul moyen de contrôler l'e-réputation est de réaliser une veille constante. Il prône ainsi, la mise en place d’ une surveillance continue et des rapports d’ analyse qui relèvent les commentaires négatifs sur le web. Ci-coté une liste d’outils conçus à cet effet . L'impact d'un client mécontent sur les client potentiels
25
TERAMAGAZINE
Vos 1L outils de veille 2
TERA MAGAZINE | 26
e système « Google Alerts » et Google Suggest et google trends pour suivre ce que google dit de vous.
4
Hoot suite
gère les divers comptes sur les réseaux sociaux ,
Facebook,
Topsy.com traque toutes les conversations sur Twitter,
7
Reputationvip.com permet de diagnostiquer, gérer et surveiller son e-réputation dans l es moteurs de recherche
Reputationvip
Topsy
L
3 5 6
Foupas.com
’e-réputation est une donnée particulièrement difficile à mesurer et analyser. Cette mesure doit en effet prendre en compte la nature des propos tenus (analyse sémantique), mais également de la popularité des pages ou des contenus sur lesquels ces opinions sont présentes. La gestion de l'e-réputation passe par la protection de celle-ci via l'anticipation des
repère les posts sur
mention.net permet de suivre toutes les pages web/ signaux sociaux où l 'on est mentionné.
SM2, l’ outil
développé par Social Eyez, pour faire du tracking conversationnel sur Internet .
Mention.net
Google alerte mauvais buzz et par l'établissement d'une solide stratégie de communication en ligne qui doit permettre de définir clairement les objectifs de l'entreprise en matière d'e-réputation. Malgré, toutes les précautions prises, les entreprises doivent être conscientes qu'il est impossible de contrôler entièrement une e-réputation. Les internautes créent eux-mêmes la multitude de contenu qui contribue à la
fabrication de l'e-réputation. Il est déconseillé aux entreprises de se lancer sur Internet en général et les réseaux sociaux en particulier, sans avoir préparé une stratégie et sans disposer d’outils pour la gestion de l’ image numérique. À la fin sachez que si les paroles s’envolent, les écrits, les vidéos et les images restent, se dupliquent et se répandent mondialement en quelques instants.
TERAMAGAZINE
26
27 | TERA MAGAZINE
TOUTES LES COMMANDES VOCALES GOOGLE NOW EN FRANÇAIS
Commandez le petit genie de votre appareil android
ÉCRIT PAR : ILHAME BENJELA DÉVELOPPEUR JAVA
G
oogle Now est un assistant personnel intelligent qui prend la forme d'une application Android et iOS basée sur la reconnaissance vocale pour apporter des réponses aux requêtes des utilisateurs. Google Now est un service inclus par défaut en Android depuis la version 4.1 (« Jelly Bean ») et il a fonctionné pour la première fois sur le Galaxy Nexus. Pour exploiter Google Now à fond, il suffit de connaître toutes les commandes vocales françaises. Évidemment il est impossible de les mémoriser, mais une fois que vous aurez compris le fonctionnement (verbe à l’infinitif + objet de la demande) et avec un peu de pratique parler à Google now devient facile. Depuis la mise à jour 2.4.10, Google Search permet d’effectuer des recherches et d’avoir des réponses vocales en français. Avant de lancer une commande vous Voici une liste des commandes devez dire "OK Google" ou appuyez sur importantes de Google Now exis- l'icône représentant un micro tantes pour les francophones dans l’ordre d’importance :
27
TERAMAGAZINE
TERA MAGAZINE | 28
1 Commandes Générales
• •
•
•
•
•
Obtenir une définition : Définir [mot] chercher une information : Qui est le roi du Maroc, Quelle est la superficie du Maroc, Quelle est la capitale de la france ... Faire une recherche d’images : « Montre-moi des images de (sujet) »
2 Contact et communication • • •
•
•
Lancer un appel : « Appeler (nom complet de la personne) ». Envoyer un SMS : « Envoyer un SMS à (nom complet de personne) » Envoyer un email : « Envoyer un email à (nom complet de la personne) », puis « Objet : … » et enfin « Message : … » Appelez votre messagerie vocale pour écouter vos messages : "Écoute ma messagerie vocale"
3 Carte et Navigation • • • • • •
Afficher un plan : « Carte de (lieu) » trouver le chemin : "Comment aller à .." Calculer un itinéraire : « Comment se rendre à (lieu) » ou « Trajet vers (lieu) » Trouver un restaurant : « Restaurant à proximité », ou « (nom du restaurant) à proximité » Situer sur une carte : « Où se trouve (lieu) à (ville) » Évaluer une distance entre deux villes : « Quelle est la distance entre (lieu) et (lieu) »
6 Applications
4 Heur et météo
•
Connaitre l'heure : Heure à [vile] Horloge internationale : « Quelle heure est-il à (ville) » Connaître la météo d’une ville : « Quel temps fait-il à (lieu) » ou « Météo à (lieu) » Connaître le lever et le coucher du soleil : « Lever du soleil » ou « Coucher du soleil »
5 Calcul et conversion •
•
Calculatrice : « Combien font (chiffre + chiffre) », ou « (Chiffre) plus (chiffre) », ou « Racine de (nombre) », etc Conversion : Convertir [valeur 1] en [valeur 2]
• •
• • •
Ouvrir une application : Ouvrir (nom de l’app) Aller sur un site internet: « Aller à (nom du site) » ou ouvrir [nom du site]
7 Divertissement Écouter de la musique : « Ecouter (nom de la musique ou du chanteur) » Connaître le résultat d’un match : « Quel est le résultat du match de (équipe, ville, pays…) » ou « Est-ce que (équipe) a gagné ?»
8 Rappel, Agenda,Note et alarme • • • • •
Ajouter Rendez-vous dans l’agenda : « Rendez-vous (nom du rdv) le (date) à (heure) » Réveil : « Réveille-moi demain à (heure) du matin/soir » Alarme : « Alarme dans (xx) minutes/heures » Créer un rappel : « Ajouter un rappel (objet) » ou « Rappellemoi de (objet) » Ajout de note : Nouvelle Note [contenu]
Ainsi, vous avez appris toutes les commandes vocales Google Now en français. Profitez-en !
TERAMAGAZINE
28
29 | TERA MAGAZINE
INTERNET À L’ENTREPRISE
L'ADSLOU
LA LIAISON LOUÉE SAID HAMDI
INGÉNIEUR TÉLÉCOM CHEZ INOTEL.
P
our un grand nombre d’entreprises la connectivité internet est une nécessité pour se relier aux ressources et aux marchés voulus. Les besoins de l’entreprise en bande passante et en services associés sont définis par l'activité interne et par les services offerts à leurs clients en externe. Par conséquent, L’entreprise cherche une solution de connectivité adaptée à ses besoins et à son budget. A travers cet article nous découvrons deux types d’offres qui sont les plus répandus au milieu des petites et moyennes entreprises, à savoir l’ADSL et la liaison louée internet.
L'ADSL 2+ offre un meilleur débit avec de faibles degrés d'atténuation.
29
TERAMAGAZINE
L’ADSL PRO Au Maroc, l'opérateur Maroc télécom (IAM) est le seul qui offre un forfait ADSL. il propose des formules d’abonnement spécialement adaptées aux besoins PME-PMI avec des débits ADSL 2+, allant de 4 à 20 Mbps. En plus du accès Internet Haut
Débit illimité, Iam affirme qu'elle propose des fonctions de bases et des options supplémentaires qui s’adaptent aux besoins de leurs clients professionnels. Il s'agit d'un compte WebSilver (60 Mo d'espace disque, 1 nom de domaine .ma, 10 emails avec 2 Go d’espace / Email, 10 alias, 8 Go de Trafic, Statistiques de fréquentation, Interface de gestion de compte).
TERA MAGAZINE | 30
ADSL L'ADSL (Asymmetrical Digital Subscriber Line) est une technologie permettant la transmission de données numériques à très grande vitesse en utilisant les bandes de haute fréquence de votre ligne téléphonique classique.. La traduction officielle de l'ADSL donne en réalité "raccordement numérique asymétrique" ou "liaison numérique à débit asymétrique". Un filtre est utilisé pour séparer les fréquences vocales (basses fréquences) des fréquences utilisées par les signaux ADSL (hautes fréquences).
Au Maroc, l'opérateur Maroc télécoms (IAM) est le seul qui offre un forfait ADSL ressante sur le plan théorique (un prix moindre pour un haut débit), sauf que techniquement cette offre présente des limitations.
INCONVÉNIENTS: Les inconvénients de l'adsl sont multiples et risquent de perturber l'activité de l'entreprise. Nous pouvons dénombrer les problèmes suivants :
①
La qualité de service n'est pas garantie (SLA)
Vous accédez donc à Internet à haut débit à travers votre ligne téléphonique grâce à un Modem ou un Routeur avec des choix de débits de 4M à 20M
②
Risque de déconnexion continu. En moyenne toutes les 10 minutes, (Dans mon cas).
③
le débit n'est pas garanti, j'étais souscris à une offre de 20 Mo, je ne recevais que 11 Mo Maximum.
AVANTAGES
④
la ligne n'est pas symétrique. La vitesse montante (upload) reste particulièrement faible par rapport à la montée en puissance de certains usages tels que l'envoi de vidéos ou de photos en ligne (utilisation du Cloud, envoie de fichier..).
Dans le cas idéal, cette offre permet une connexion à internet haut débit basée sur l'ADSL pouvant atteindre 20 Mégas, sans se soucier de la facture téléphonique, ni de la limitation du temps.
①Sur le plan tarifaire cette offre est présentée à des prix adapté aux PMI/ PME.
② Avec l'ADSL WiFi, vous pouvez
vous connecter à Internet de votre bureau ou même depuis une pièce voisine et ce avec une seule connexion Haut Débit.
③Paramétrage du modem ADSL est
facile à manipuler via une interface web
④Pour chaque nouveau client que
vous parrainez, vous bénéficiez d'une réduction équivalente à un mois d'abonnement de votre filleul. L'offre ADSL pro est une solution inté-
⑤
Vous êtes à la merci de votre ligne. l'affaiblissement de votre ligne téléphonique (Les limites sont de 60dB pour les offres 512K et 50dB pour les offres 1024K). En fonction du trajet emprunté par votre ligne entre le domicile et l'autocommutateur public, vous pouvez avoir des perturbations ponctuelles ou permanentes affectent les signaux ADSL.
LES PRIX DE L'ADSL Maroc télécom propose des forfait ADSL à partir de 99DH par mois. • 4 Mo à 99 DHTTC • 8 Mo à 149 DHTTC • 12 Mo à 199 DHTTC • 20 Mo à 499 DHTTC
DÉBIT D'ADSL RÉEL Les débits des offres sont exprimés en débit ATM, ce qui correspond à un débit réel maximum en IP. A titre d’exemple l’offre 20 Mbits/s correspond à presque 16 Mbit/s en réception et 800 Kbit/s en émission. De plus, ce n'est qu'un débit maximal, qui n'est que peu souvent atteint en pratique. Cela s'explique essentiellement par la distance relative du foyer connecté par rapport au DSLAM : plus celle-ci est grande, plus le débit s'affaiblit et le temps de réponse (ping) devient important. D'autant plus que le ping doit poursuivre jusqu'à destination finale à travers les routeurs Internet. Cette dégradation variable des performances n'est pas proportionnelle à la distance, elle dépend également de la qualité de la paire de cuivre utilisée et des bruits électromagnétiques parasites (EMI) présents dans l’environnement. L’internaute ne profite pas réellement des meilleurs débits que si sa ligne n'excède pas une longueur de 2500 mètres. Audelà, les débits entre l'ADSL et l'ADSL2+ sont quasi identiques.
⑥
L’installation et la configuration du routeur ADSL est à la charge du client (Un kit de connexion est offert avec un guide pour installer votre matériel.)
Les Débits et les atténutations d'ADSL selon la longueur de la ligne.
TERAMAGAZINE
30
31 | TERA MAGAZINE
ATTENDRE LA CONCURRENCE !
L'ADSL
Actuellement IAM est le monopole sur le marché de l’ADSL, il faut attendre quelques mois pour avoir des offres concurrentes de inwi et méditel. Une décision de permettre le dégroupage de la boucle locale ( la partie finale de la ligne téléphonique arrivant à l'abonné) a été prise par l’ANRT en 17 juin 2014. Une décision qui ouvre la porte devant les opérateurs d’utiliser la boucle locale de l’opérateur historique et proposer donc leurs propres offres.
Certes l'offre ADSL-Pro vous permet de faire des économies sur votre budget, mais au déprimant de la qualité de service. Si l'activité de votre entreprise peut tolérer les coupures d'internet et le basculement de débit cette offre est adaptée à votre entreprise.
Les avantages de la liaison louée
31
TERAMAGAZINE
LA LIAISON LOUÉE En général, les entreprises optent pour la Liaison spécialisée pour les garanties qu'il y a derrière (temps de disponibilité, support, ip fixes inclus....). La liaison louée est une solution plus performante que l'ADSL. Basée sur une technologie géné-
ralement en fibre optique, cette solution globale s’adapte parfaitement aux grandes structures et permet d’offrir un accès Internet très haut débit permanent ( à partir de 1Mo jusqu’à 155 Mbps, chez IAM ) .
AVANTAGES la liaison louée connecte le réseau de l’entreprise directement au Backbone Internet de l’opérateur sans passer par des répartiteurs. Elle assure les profits suivants : » Débit symétrique, garanti de matière permanente entre l'opérateur et le client . » Possibilité d’Hébergement d’applications en interne grâce à plusieurs adresses IP Fixes » Bande passante symétrique. » Grand nombre d’utilisateurs selon le débit. » Sécurité optimisée. » Une grande disponibilité de votre liaison et supervision automatique de la liaison et des équipements clients avec relève de dérangement. » Qualité de transmission de bout en bout garantie. En effet, cette offre bénéficie d'un SLA de l'opérateur. Contrairement, à l'ADSL la liaison
TERA MAGAZINE | 32
SLA Le service-level agreement (SLA) est un document qui définit la qualité de service requise entre un prestataire et un client
louée Internet est offerte par les trois opérateurs marocains. Votre entreprise peut donc profiter des avantages concurrentiels présentés et choisir l'offre qui convient vos besoins en qualité de service et en débit en respectant votre budget .
L'OFFRE IAM Maroc télécom offre un flux de donnée continu, symétrique et garanti avec les Large choix de débits, allant de 64 kbps à 155 Mbps » Possibilité de desservir le client via la fibre optique (suite étude de faisabilité) » Supervision automatique par Maroc Telecom de la liaison et des équipements clients 24h/24 » Le client est équipé par des routeurs Cisco » Garantie du taux de disponibilité 99.9% » Délai de mise en service 21 jours ouvrables
SERVICES INCLUS • • • •
Routeur disposant d’un port WAN, BRI et Ethernet (équipement Cisco) 4 adresses IP fixes 10 adresses emails Un DNS national
•
Un espace d’hébergement Web Silver
SERVICES OPTION� NELS • • • •
Secours Marnis : Pour garantir une haute disponibilité de vos sites Adresse IP fixe (bloc de 16) Adresses emails (une ou 10 adresses) DNS National et International
CPE Cisco 7301 (STM1) pour un débit de 155 Mb/s
CPE Cisco 1941 en G.703 pour un débit inférieur à 2M
MAROC TÉLÉCOM GARANTIE UN TAUX DE DISPONIBILITÉ 99.9% TARIFICATION Le tarif est forfaitaire et se décompose ainsi : » Frais d’installation : varient entre 4 900 DH HT pour une 64Kb/s et 250 000 DH HT pour un débit de 155Mb/s » Abonnement mensuel : Varient entre 3 700 DH HT pour une 64 Kb/s et
220 000 DH HT pour une 155Mb/s pour une LL Locale(une distance < 35 km ). Maroc Télécom offre des remises allant à 30% de l’abonnement mensuel selon la durée du contrat souscrit.
3 700 DH HT/mois pour 64 Kb/s TERAMAGAZINE
32
33 | TERA MAGAZINE
L'OFFRE MÉDITEL L'offre chez Méditel se présente en deux catégories
L'OFFRE DUAL PLAY :
L'OFFRE HAUT DÉBIT SYMÉ� TRIQUE:
L'offre dual play offre près de
Adaptée aux gros consommateurs d'Internet, méditel propose un débit allant de 1 Mbps à plus de 1 Gbps (le cas aujourd'hui pour la connexion Internet du réseau MARWAN).
90 % de réduction de prix par rapport à la concurrence
spécialement conçue pour une PME de moins de 50 employés. Une offre uniquement disponible en technologie Radio (WiMAX). • • • • • • • • • • • • • • • • • • •
Débit garanti symétrique de 1 Mbps ou 256 Kbps Débit allant jusqu'à 6 Mbps 4 adresses IP fixes publiques 1 nom de domaine 20 adresses email 10 Go de capacité par adresse email Agenda Carnet d’adresses Transfert de fichiers lourds Application smartphone Equipements et installation inclus dans l’offre. Installation en 10j Rétablissement en 4h Supervision 24/7/365 Support technique : heures ouvrés Près de 90 % de réduction de prix sur la concurrence
Cette offre flexible permet de choisir entre deux débits internet au choix.
FAS étant les frais d'accès aux services. Généralement, les prix sont de 30 à 40% moins chers (tout dépends si c'est sur un technologie Radio ou sur fibre optique, les zone d'activités....).
L'OFFRE INWI Le Service Internet Haut Débit chez inwi se compose : • • •
de services de plateforme d’une connectivité Internet de services en option
Prix de l'abonnement de l'offre Dual Play
33
TERAMAGAZINE
TERA MAGAZINE | 34
L'OFFRE HAUT DÉBIT: Les services suivants sont inclus dans cette offre. • Enregistrement des noms de domaine • Le Fournisseur met à la disposition du client un espace d’hébergement de boîtes aux lettres électroniques dont la capacité maximale figure au Bon de Commande. Le nombre de boîtes aux lettres électroniques n’est pas limité. Les boîtes aux lettres sont à usage professionnel • Espace de Stockage FTP • Espace d’hébergement statique permet au Client de mettre en œuvre un site Internet • IP public fixe • Garantie de temps de rétablissement : 4 H 24hr/24 7j/7 à casa et rabat 8 H 24hr/24 7j/7 ailleurs garantie du taux de disponibilité : 99.85% • Délai mise en service : 4 semaines 10 semaine pour accès en fibre optique. • Options payants : Secours RNIS ou ADSL • Espace supplémentaires d’hébergement de Boites aux Lettes électroniques • Le Fournisseur fournira au Client un accès son Extranet pour suivre le débit, le Temps de Transit moyen et le taux de perte de paquet de son Lien d’Accès
Un Lien d’accès se caractérise par la technologie d’accès souhaitée, un débit garanti montant, un débit garanti descendant, un débit crête montant et un débit crête descendant. La technologie d’accès, proposée par le fournisseur, n’est pas contractuelle, il détermine selon le besoin le tracé et les moyens techniques nécessaires à la fourniture du service commandé. Le Service
est essentiellement disponible pour les clients dont les sites à relier sont situés dans les villes couvertes en BLR, faisceaux hertziens ou autres. En fonction du débit demandé, de la technologie d’accès utilisée, et des interfaces demandées par le client, des Équipements sont installés sur les Sites du Client
TARIFICATION
Les engagements de INWI
La structure tarifaire du service Internet Haut Débit comprend un abonnement mensuel au Service et les autres frais prévus ci-dessous: • L'abonnement mensuel couvre la location, l’entretien du CPE, le service d’exploitation/maintenance ainsi que le raccordement via le Lien d’Accès et connectivité Internet.
IL
est clair que la ligne spécialisée est un très bon choix pour l'entreprise. Elle vous permet d'offrir des services en ligne dans des meilleures conditions. Chaque opérateur à ses avantages concurrentiels sur le plan du prix et du service, de ce fait, votre choix ne doit pas être arbitraire. Il est préférable de profiter des
• Les frais mensuels sont forfaitaires et varient suivant la technologie du lien d’accès, du débit de la connectivité Internet, de la nature du CPE et de la durée d’engagement, des frais éventuels d’abonnement aux services optionnels
expériences des autres clients. Par exemple un constat que je fais c'est que si vous êtes situés à casablanca, il vaut mieux se diriger vers une offre inwi/méditel mais si vous êtes ailleurs surtout dans les villes du sud IAM est votre bon choix.
TERAMAGAZINE
34
SDN
SOFTWARE DEFINED NETWORKING
“FOR A NETWORK ENGINEER, IT IS THE NEXT COOL TECHNOLOGY WHICH YOU WILL NEED TO KEEP A CLOSE WATCH ON. IF THIS TECHNOLOGY MEETS OR EXCEEDS THE EXPECTATIONS, THEN THIS IS THE NEXT BIG EVOLUTION OF NETWORKING AND YOU WILL NEED TO BE PREPARED TO RIDE THE WAVE.”
Vivek Tiwari : Network Architect
L
es architectures réseaux traditionnelles sont mal adaptées pour répondre aux exigences des entreprises, des Service-Providers et des clients finaux. Le SDN (Software Difned Networking) vient pour donner une autre dimension aux architectures réseaux pour les rendre plus flexibles et plus évolutives.
spécifiquement pour les SDN, offre de haute performance et permet le contrôle du trafic sur les périphériques réseaux de plusieurs fournisseurs.
SDN (Software Defined Networking) est une architecture réseau émergente où le plan contrôle et le plan data sont séparés. L’intelligence réseau est logiquement centralisée, et les infrastructures réseaux deviennent plus abstraites par rapport aux applications. Le SDN apporte autres aspects aux réseaux traditionnels comme la virtualisation, l'automatisation et le Provisionnig. En conséquence, cette nouvelle architecture représente un gain pour les entreprises et les fournisseurs de Service permettant ainsi de construire des réseaux flexibles et hautement évolutifs qui s'adaptent facilement à l'évolution des besoins de l'entreprise.
•
La gestion centralisée et le contrôle des équipements provenant de plusieurs constructeur
•
L’amélioration de l’automatisation et de gestion à l'aide des API communes en abstrayant les infrastructures réseaux par rapport aux applications et aux systèmes de Provisionnig.
•
Programmabilité par les opérateurs, les entreprises, les fournisseurs de logiciels les utilisateurs (pas seulement les fabricants d'équipement) à l'aide des environnements de programmation commune, qui de nouvelles possibilités de générer des revenus et de la différenciation;
•
augmentation de la fiabilité du réseau et de la sécurité grâce à une gestion centralisée et automatisée des périphériques réseau, et l'application de la politique uniforme, et moins d'erreurs de configuration.
Dans un monde SDN en pleine ébullition, l'ONF (Open Network Foundation) s'est autoproclamée organisme de normalisation L’ONF (Open Networking Foundation) est une fondation industrielle à but non lucratif qui mène l'avancement de la SDN et la standardisation des éléments essentiels de l'architecture SDN comme le protocole OpenFlow, qui permet la communication entre le plan de control et le plan Data des équipements qui supportent ce protocole. OpenFlow est le premier standard conçu
Le SDN basé sur OpenFlow qui est en cours de déploiement dans une variété d'équipements réseaux et logiciels, offrant des avantages substantiels pour les entreprises et les transporteurs, y compris:
Le SDN est conçu pour faire entrer les réseaux dans l'ère du cloud. Cette toute dernière évolution du réseau moderne a pour ambition de le rendre plus flexible,agile et dynamique, afin de répondre aux besoins professionnels en constante évolution
Il est temps de réviser les architectures WAN, grâce au SDN ÉCRIT PAR : FARAJ ABDERAHIM. INGÉNIEUR RÉSEAU SPÉCIALISÉ EN DC. 36
37 | TERA MAGAZINE
L'IMÉRGENCE DU SDN LA VIRTUALISATION DES RÉSEAUX
R
épondre aux exigences actuelles du marché est pratiquement impossible avec les architectures traditionnelles du réseau. Face à des budgets réduits, les départements informatiques des entreprises tentent de tirer le maximum de leurs réseaux en utilisant des outils de management niveau-matériel (devicelevel management Tools) et de processus manuels. Les Services Providers font face aux mêmes défis que la demande de mobilité et de bande passante, les bénéfices sont érodés par la hausse des coûts des biens d'équipement et des revenus stables ou en baisse. Les architectures des réseaux existants n'ont pas été conçues pour répondre aux exigences des utilisateurs, des entreprises et des Service-Provider d'aujourd'hui. Les concepteurs de réseaux
37
TERAMAGAZINE
sont contraints par les limites des réseaux actuels, qui comprennent :
❶LA NATURE STATIQUE DES RÉSEAUX Les technologies réseaux à ce jour sont basées sur des séries discrètes de protocoles conçus pour connecter les hosts d’une manière fiable sur des distances arbitraires, des débits, des liaisons et des topologies. Pour satisfaire aux exigences opérationnelles et les besoins techniques, au cours des dernières décennies, l'industrie a évolué les protocoles réseau pour offrir des performances et une meilleure fiabilité, une connectivité plus large et une sécurité plus strictes. Les protocoles ont tendance à être défini dans l'isolement, cependant, avec la résolution de chaque problème spécifique et sans le bénéfice des abstractions fondamentales. Il en a résulté l'une des principales limites des
réseaux d'aujourd'hui: la complexité. Par exemple, pour ajouter ou déplacer un équipement, on doit toucher plusieurs Switchs, routeurs, Firewall, et Web authentication portals , etc. faire la mise à jour des ACL, VLAN, la qualité des services (QoS) et activer d'autres mécanismes fondés sur des protocoles en utilisant des outils de management niveau-équipement. En outre, la topologie du réseau, le modèle Switch de constructeur et la version du Firmware doivent tous être pris en compte. En raison de cette complexité, les réseaux d'aujourd'hui sont relativement statiques.
❷L'INCOHÉRENCE DES POLITIQUES: Pour l’implémentation d’une politique à l’échelle d’un large réseau. Les responsables IT peuvent devoir configurer des milliers d'équipements et des mécanismes. Par exemple à chaque fois une machine virtuelle est ajoutée, le responsable IT peut prendre des heures et parfois des jours pour re-configurer les ACL. Les architectures des réseaux actuelles ne permettent pas aux responsables IT d’implémenter une politique de sécurité et QoS cohérente, ce qui laisse les entreprises vulnérables aux failles de sécurité et livrées au non-respect de la réglementation et affrontées à d'autres conséquences négatives.
TERA MAGAZINE | 38
Le SDN selon Nicira
❸DÉPENDANCE DU CONSTRUCTEUR Les opérateurs et les entreprises cherchent à déployer de nouvelles fonctionnalités et de services en réponse rapide à l'évolution des besoins d'affaires ou les demandes des utilisateurs. Cependant, leur capacité à réagir est entravée par les cycles de production des équipements de fournisseurs, qui peuvent aller jusqu'à trois ans ou plus. Le manque de standards, des protocoles non propriétaires aux constructeurs limite la capacité des opérateurs d'adapter les réseaux à leurs environnements respectifs.
LE SDN Le Software-Defined Networking (SDN) c'est, littéralement, la mise en réseau basée sur logiciel. Le SDN permet aux administrateurs de réseau de gérer aisément des services en ligne par la virtualisation des fonctionnalités du niveau inférieur. Cela évite d'avoir à configurer manuellement le hardware. Comme pour toute nouvelle technologie, il n'existe pas encore de définition universellement acceptée de ce que l'on entend par réseau défini par logiciel (SDN, Software Defined Networks). Au cours de ces deux
dernières années, la plupart des définitions ont mis l'accent sur le découplage entre le contrôle du réseau et le transport dans le réseau. Le SDN est une nouvelle architecture de réseau, dans laquelle le plan de contrôle est totalement découplé du plan de données. Il permet de virtualiser le réseau de bout en bout et de déployer le plan de contrôle sur des plateformes aux capacités accrues, comparativement à celles des commutateurs réseau classiques. Couplé à une interface de programmation, le software-defined networking permet de développer des services réseau à forte valeur ajoutée. Le découplage entre le contrôle du réseau et la transmission effective n'est pas un concept nouveau. C'est un élément clé de la technologie MPLS et c'est aussi une caractéristique de nombreux réseaux WiFi actuels. Toutefois, si on regarde SDN strictement de ce point de vue, sa valeur est limitée à des caractéristiques telles que la réduction de la latence du réseau. Une autre définition du SDN qui émerge actuellement se concentre un peu moins sur le découplage et plus sur la capacité à fournir des interfaces de programmation au sein des équipements de réseau, qu'il y ait ou pas une séparation entre le contrôle et la transmission. Une raison pour ce changement de cap provient du fait que Cisco a récemment annoncé que
dans le cadre de ses offres SDN, il fournira des API dans les multiples plates-formes qu'il fournit.
LA NORMALISATION DU SDN SDN n’est pas un concept nouveau en normalisation. L’ Internet Engineering Task Force (IETF) travaille depuis 2004 sur un concept similaire au sein du groupe de travail ‘Forwarding and Control Element Separation’ (ForCes) mais les produits tardent à sortir. Récemment l’IETF a lancé un nouveau groupe de travail ‘Interface to the Routing System’ (I2RS) visant à normaliser une interface permettant une meilleure interaction avec le routeur. En 2011 un nouveau forum dénommé ‘Open Networking Foundation’ (ONF) a été établi avec pour objectif la spécification d’une solution SDN reposant sur l’utilisation du protocole OpenFlow (OF) développé au départ par l’Université de Stanford. L’ONF a livré 3 versions de ce protocole en plus du protocole OF-Config dédié à la configuration. Du côté de l’UIT-T (secteur de la normalisation des télécommunications de l’UIT) un projet de Recommandation est en cours de finalisation concernant la définition de cas d’usage et la spécification des exigences relatives à l’architecture SDN pour les opérateurs de réseau.
TERAMAGAZINE
38
39 | TERA MAGAZINE
L'ARCHITECTURE SDN U
ne architecture SDN repose sur un hyperviseur central spécifique, le contrôleur SDN, qui fait la jonction entre les applications en haut et les équipements réseau en bas. L’implémentation repose sur 3 niveaux bien distincts (La couche Applicative, La couche de contrôle et une La couche d’infrastructure) Ce triple niveau, adossé à une API standard résout ce qu’un orchestrateur de Cloud pourrait difficilement faire seul dans un environnement réseau hétérogène.
1. LA COUCHE APPLICATIVE
Elle exprime des besoins aux couches inférieures : des applications SDN et/ou des orchestrateurs de cloud interagissent avec le contrôleur SDN via API ouvertes, comme par exemple des API OpenStack.
2. LA COUCHE DE CONTRÔLE
Il s’agit du contrôleur SDN, qui fait la jonction entre les applications au haut et les
Le Schéma d'une vue logique de l'architecture SDN.
équipements réseau en bas. Il traduit les requêtes faites par les applications en langage compréhensible par les composants d’infrastructure réseau
3. LA COUCHE D’INFRASTRUCTURE
Elle contient les nœuds réseau, qui échangent des instructions et informations avec la couche de contrôle au travers d’un protocole dédié, classiquement.
Les "Control Plane" sont regroupés en central.
PROTOCOLE
L'intelligence du réseau est (logiquement) centralisée au niveau des contrôleurs SDN, qui maintiennent une vision globale du réseau. En conséquence, le réseau apparaît aux applications et aux policy Engine comme une unique entité logique. Avec le SDN, les entreprises et les fournisseurs des services peuvent prendre le contrôle indépendant du constructeur sur l'ensemble du réseau, ce qui simplifie grandement la conception et l'exploitation du réseau. SDN aussi simplifie grandement les périphériques réseau eux-mêmes, car ils n'ont plus besoin de comprendre et de traiter des milliers de normes de protocole mais simplement accepter d'instructions des contrôleurs SDN.
OPENFLOW OpenFlow est le premier protocole de communication standard défini entre le contrôleur SDN et l’infrastructure réseau. OpenFlow permet un accès direct à la manipulation et du plan d'acheminement des périphériques réseau tels que les Switchs et les routeurs, à la fois physiques et virtuels. Dans un routeur ou un switch classique, la transmission rapide de paquets et les décisions de routage de haut niveau (chemin de contrôle) se produisent sur le même équipement.
39
TERAMAGAZINE
TERA MAGAZINE | 40 Un Switch OpenFlow sépare ces deux fonctions. L'acheminement des données réside toujours sur le commutateur, alors que les décisions de routage de haut niveau sont déplacées vers le contrôleur SDN. Le Switch OpenFlow et le contrôleur communiquent via le protocole OpenFlow, qui définit des messages, tels que paquets reçus et envoyés des paquets-out et les tableaux de flux. OpenFlow nous permet de contrôler les flux - en choisissant les itinéraires de leurs paquets suivants. De cette façon, OpenFlow permet d'essayer de nouveaux protocoles tels que de nouveaux protocoles de routage, les modèles de sécurité et des systèmes d'adressage. Un commutateur compatible OpenFlow (surnommé un commutateur OpenFlow-hybride en v1.1) prend en charge à la fois le transfert de flux selon OpenFlow et le pontage et le routage Ethernet traditionnels. Des commutateurs hybrides permettent l'OpenFlow et au traditionnel pontage/ routage de partager la même infrastructure Ethernet L'objectif ici n'est pas de décrire le protocole en détail. En effet, la spécification est le document le plus à même d'indiquer le fonctionnement détaillé du protocole. La dernière spécification de l'OpenFlow est accessible sur le site www.openflowswitch.org
LES IMPLÉMENTATIONS D'OPENFLOW OPENFLOW MPLS
Le centre de recherche d'Ericsson travaille actuellement pour supporter MPLS avec le protocole OpenFlow. L'objectif étant de transformer un switch ayant la fonctionnalité Openflow activé, en switch MPLS.
La Pile SDN OpenFlow.
Plusieurs commutateurs ayant des fonctionnalités évoluées sur les couches 2 et 3 peuvent être convertis en commutateurs hybrides OpenFlow par l'ajout relativement simple d'un agent OpenFlow dans le firmware pris en charge par le système d'exploitation natif du commutateur réseau (NOS pour Network Operating System).
L'ÉVOLUTION VERS LE SDN L
es SDN promettent de parachever la révolution Cloud et de libérer des quantités considérables de nouvelles applications concrètes. L'approche SDN offre une proposition technique concrète. Prenons une infrastructure informatique quelconque. Quel que soit son rôle, elle est constituée des trois piliers suivants : processeur, stockage et réseau. La première révolution Cloud a permis de découpler les unités de calcul physiques (processeurs) de celles - virtuelles et sans limites -
offertes aux développeurs : c'est la virtualisation des serveurs. La seconde révolution Cloud a supprimé les contraintes de stockage et a augmenté de manière vertigineuse les performances : c'est l'émergence du Big Data. Le réseau, dernier pilier, demeurait un élément rigide et complexe à faire évoluer. Les technologies SDN viennent bousculer cet état de fait et offrent au réseau ce qui lui manquait pour achever la révolution Cloud : l'élasticité et la commande centralisée.
OPENFLOW UNIFIED ARCHITECTURE
OpenFlow préconise une séparation claire entre le plan de données et le plan de contrôle (on retrouve un principe de fonctionnement identique sur le protocole ATM et la couche AAL) pour les réseaux à commutation paquets et le réseaux à commutation de circuits et traite les paquets en tant que flux, présentant ainsi une architecture unifiée pour les deux technologies de commutation. Les spécifications d’OpenFlow sont pilotées par l’ONF (Open Networking Foundation), la 1ère version est parue en février 2011. Elles continuent d’évoluer, mais déjà de nombreux équipementiers commercialisent des produits intégrant ce protocole : Juniper, Cisco, Arista, Brocade, Extreme Networks, IBM, NEC, …
L'evolution des architectures réseaux
TERAMAGAZINE
40
41 | TERA MAGAZINE
AVANTAGES DE L'SDN
L
es réseaux SDN (Software Defined Networks) ne sont pas encore prêts pour être en première ligne, pas encore. Mais les responsables informatiques doivent savoir quels sont les avantages de ce changement radical dans la technologie des réseaux SDN optimise l'adéquation entre d'un côté les ressources (réseaux et IT) et de l'autre les besoins business. Le SDN permet : • La suppression des délais de provisioning réseau • La modification des bandes passantes à la volée • L'adaptation du paramétrage réseau aux besoins des applications • L'élasticité des ressources (réseaux et IT) • La réduction drastique de la complexité de gestion des réseaux Ces bénéfices ne sont pas assurés pleinement. SDN, c’est certainement une révolution dont on ne mesure pas encore tous les avantages, cette technologie ouvre la porte dès maintenant à des « applications réseau » nouvelles telles que le Traffic Engineering centralisé et avancé, comme l’a déjà implémenté Google
SDN ET IAAS ? Idéalement, il y a deux possibilités offertes par un SDN couplé à une IaaS : la virtualisation des ressources réseau et l'automatisation de la connectivité du réseau. Par exemple, l'administrateur réseau de l'entreprise cliente d'un opérateur de service cloud peut gérer
Les modèles de programmabilité SDN
les sous-ensembles réseau et définir les autorisations de chacun des groupes d'utilisateurs de son entreprise. Chaque groupe peut définir dynamiquement les ressources et les permissions allouées à ses utilisateurs et à leurs applications. Les administrateurs réseau peuvent aussi mobiliser des ressources réseau grâce à une terminologie assez naturelle (conteneurs d'applications, domaines et zones) et sans entrer dans des détails d'implémentation (adresses IP, paramètres VLAN, paramètres de Qualité de Service ou des listes de contrôle d'accès), terminologie qui sera comprise et interprétée de façon correcte. En retour, une fois que les "règles du jeu" ont été établies par l'entreprise, les requêtes ultérieures sont gérées automatiquement par un mécanisme de gestion d'événements à mesure que les applications sont mises en oeuvre. De cette façon, le réseau devient automatisé et immédiatement réactif, au service des applications, sans générer d'attente ou de complexité. En comparaison des réalités actuelles, de telles possibilités ont un temps d'avance, suscitant
Les technologies du cloud computing peuvent tirer de grands avantages du SDN, qui permet d'automatiser les réseaux et de les rendre réactifs aux besoins des applications 41
TERAMAGAZINE
l'intérêt et décuplant l'inventivité des opérateurs de service cloud autant que des grandes entreprises.
LES TYPES D'OFFRES SDN DU MARCHÉ
L
e marché est émergent, les classifications d'offres ne sont pas encore suffisamment précises ; nous sommes dans une situation similaire à celle des débuts du Cloud. Les différents acteurs se battent pour imposer leur vision aux clients. Cependant, nous pouvons identifier deux types d'offres : les offres sur mesure, portées par les équipementiers et les offres packagées, portées par les startups. Les premières, qu'elles soient d'Alcatel-Lucent, Cisco, ou Juniper, offrent une réelle prise en compte de l'infrastructure existante : matérielle et logicielle. À l'instar de la solution Nuage d'AlcatelLucent, ces offres implémentent les protocoles les plus répandus et sont compatibles avec les matériels des concurrents. Elles s'adaptent à un parc d'équipements hétérogène, et des développements d'optimisation sont possibles pour une intégration sur mesure de toutes les capacités de votre datacenter. Les secondes, avec un positionnement « over the top », font le pari de la disruption. Contrairement aux précédentes,
TERA MAGAZINE | 42 elles considèrent le matériel comme une commodité. Plus proches des besoins métiers, elles se focalisent sur le pilotage des couches applicatives (OSI 4 à 7). Elles sont parfois appelées ADN, pour Application Defined Networking. Le résultat peut être saisissant, comme avec la solution CloudWeaver de la startup franco-américaine Lyatiss. La solution découvre par elle-même l'architecture et les flux applicatifs, puis la présente à l'utilisateur sous forme d'une carte réseau interactive et actionnable. Ce type de solution permet de détecter immédiatement un flux sousdimensionné ou cassé, de le réparer et d'optimiser le réseau directement depuis une simple interface Web. Il faut l'avouer, les solutions SDN ont un côté vraiment magique !
MISE EN OUEVRE
P
our une mise en œuvre de SDN, la première étape consiste à caractériser les besoins réseau des serveurs virtuels, ou mieux des applications : quelle bande passante, quel débit pic, quel SLA, quel niveau de priorité, etc. Décrire ces besoins au niveau applicatif signifie que vous pouvez par exemple spécifier différents niveaux de QoS pour la VoIP et pour la messagerie, s’ils résident sur des machines virtuelles différentes. Ensuite, le SDN se charge de fournir au mieux ces contrats techniques de façon automatisée, en déployant les configurations réseau adéquates aux endroits adéquats. Cela est valable au moment du déploiement initial, mais aussi de façon dynamique et automatique dans la vie de l’application. Par exemple, quand un administrateur migre des machines virtuelles vers un nouvel emplacement, le logiciel de management SDN reconfigure spontanément l’ensemble des équipements réseau en conséquence pour maintenir le contrat de service initial. En cas d’évolution du contrat de service, le déploiement réseau est un « simple réglage » en central, repercuté automatiquement dans les infrastructures techniques
Il faut l'avouer, les solutions SDN ont un côté vraiment magique
U
ne seule chose se confirme, le SDN a l’avenir devant lui et avec ces technologies la virtualisation enfin complète de l’ensemble de la stack matérielle d’infrastructure du datacenter et du cloud. Il ne fait aucun doute que les technologies SDN vont pénétrer d'une manière ou d'une autre toutes les salles machines. La virtualisation et la maîtrise applicative des infrastructures informatique sont une lame de fond.
TERAMAGAZINE
42
43 | TERA MAGAZINE Dans votre mission de sysadmin, Vous avez besoin d'un large éventail de compétences pour s'occuper d'un réseau Linux ou même d'administrer une seule machine. Sécurité, Scripting, la gestion des utilisateurs, détection des problèmes, configuration des services, la résolution des incidents etc. Dans cette épisode, je choisi de vous parler d'un outil important de votre arsenal de sysadmin qui vous aide à garder l'oeil sur l'activité de votre système.
SYSLOG-NG
“Sysadmin = Linux+ NetAdmin + python/ java + Windows server”
43
TERAMAGAZINE
Histoire du Syslog-ng
TERA MAGAZINE | 44 Episode 5
Devenir un SysAdmin une de mes tâches quotidiennes en tant que sysadmin est la lecture du journal, avec un bon café. Un journal spécial que vous ne trouverez pas au kiosque mais dans votre système.
s
Syslog-ng (ng pour ‘new generation’) est une implémentation du protocole syslog pour les architectures de type UNIX. Développé par Balázs Scheidler en 1998. Quant à Syslog , il a été développé dans les années 1980 par Eric Allman dans le cadre du projet Sendmail. Syslog est depuis devenu la solution de journalisation standard sur les systèmes Unix et Linux.
ur votre système GNU/ Linux, il existe un dossier que vous n’avez probablement jamais visité. Son contenu est vitale et extrêmement utile quand les choses ne tournent pas rond. Il s’agit du /var/log, la boite à secret de votre système, il contient les logs de tout ce qui se passe sur votre système. Les systèmes Linux effectuent une journalisation des événements très souples et puissante. Ces journaux sont stockés localement et basés sur le protocole Syslog. Ils aident un administrateur à garder
une trace des événements importants (erreurs du système, le démarrage et arrêt du système,..). Un sysadmin peut donc en cas de problème détecter la cause. Certes, La journalisation est assurée par plusieurs systèmes de log, mais je me concentre dans cette article sur syslog-ng (syslog-ng, un remplaçant de syslog), un des choix les plus populaires.
Apprendre • Lire les logs du Syslog-ng • créer des filtres • Controller les logs • Simplifier la lecture • Astuces • Outils et arsenal du sysadmin
TERAMAGAZINE
44
45 | TERA MAGAZINE
SYSLOG-NG S
yslog-ng est un système de journalisation flexible et simple à configurer. Il propose des fonctionnalités puissantes de filtrage de contenu permettant de répartir les logs dans des fichiers et répertoires propres à chaque système. Il permet notamment de dissocier les logs entrants sur d'autres critères que le 'facility' comme par exemple : le nom ou l'adresse IP de la machine qui émet le log. Comme il vous permet de transférer vos logs à un autre système de log existant sur une machine différente ou vers une base de données.
PREMIÈRE LECTURE DE LOG : Le fichier standard des log est /var/log/messages. Pour suivre en temps réel les messages de log enregistré j'utilise la commande
#tail -f /var/log/messages
N'oubliez pas que les fichiers de log sont souvent protégés par les droits d’accès pensez à utiliser sudo pour tout voir.
TAIL
La commande «tail» est utilisée pour afficher la dernière partie ou partie du bas du fichier. Par défaut, elle affiche les 10 dernières lignes d’un fichier. En utilisant tail vous aurez une lecture en temps réels de vos logs
La journalisation centralisée est assurée par deux démons syslogd et klogd (responsable des messages émis par le noyau Linux.).
COMPRENDRE LES LOGS Le fichier de log ou journal d'événements contient les messages de logs collectés par le système de journalisation (Syslog, sylog-ng, rsyslog ..). Ces messages sous forme de ligne de texte fournissent les informations suivantes : La date à laquelle l'événement a été déclenché • Le processus déclencheur de l'événement • Le processus ayant demandé l'ajout du message correspondant au log • Le message • Le niveau de gravité du message (priority) Certaines de ces informations sont optionnelles.
EXEMPLE :
Sep 2 10:11:20 localhost sshd[5768]: Accepted keyboard-interactive/pam for tera from 192.168.1.31 port 62197 ssh2
•
TEST : Pour générer un message de log brancher une USB, vous aurez un message qui vous indique son identification et la lecture de sa table de partition. Dans ce cas le nom du processus est Kernel, car la reconnaissance d’une USB est gérée directement par le noyau. Avec le grand flux d’écriture de log vous aurez
besoin de trouver la ligne d’information désiré, pour le faire nous ferons appel à grep : Cat /var/log/messages | grep « ce que vous cherchez »
Log du branchement d'une clé USB 45
TERAMAGAZINE
TERA MAGAZINE | 46
LA CRÉATION DES FILTRES DE LOG
CONFIGURATION DE BASE :
Centraliser tous les messages de log dans un seul fichier n’est pas la bonne solution, car il existe des programmes (DNS, DHCP ….) qui génèrent un grand volume d’informations de log, ils peuvent vous faire rater un message important. Syslog-ng vous permet de mettre en place vos propres règles de filtrage via le fichier de configuration /etc/ syslog-ng/syslog-ng.conf.
La configuration du filtrage syslog-ng utilise la notion des objets pour designer la source, la destination et le filtre. Une source par défaut est Source src{ Unix-stream(« /dev/log » maxconnections(256)) ; Internal(); File(“/proc/kmsg”); };
Le fichier de configuration syslog est construit sur le mode ligne. Il se base sur cinq blocs principaux :
Cet objet appelé src de type source permet d'attraper les logs du kernel. On définit aussi deux objets de type destination :
❶ les options définissant l’en-
semble des options de l’application,
❷les sources de données (tous ce qui assure les remontées de logs), ❸Les destinations (où doivent être rangés les différentes informations), ❹les filtres (sous quelles conditions une donnée est dirigée vers une destination plutôt qu’une autre), ❺les logs (association d’une source à une destination en tenant éventuellement compte des conditions).
destination messages {file(« / dev/log/messages ») ;} ; destination console_all {file(« / dev/tty12») ;} ; EXEMPLE : Prenons L’exemple de gestion du log d’un serveur mail. Pour placer les logs dans un fichier séparé ‘mail. Log’, je définis les objets suivants : destination d_mail {file(« /dev/ log/mail.log ») ;} ; Pour appliquer des filtres j’ajoute les filtres suivants filter f_mail {facility(mail) ;} ; filter f_notmail {not facility(mail) ;} ;
CONSEIL : Le nom d’un objet comporte communément un préfix pour vous aider à distinguer son type : s_ pour source, f_ pour filtre et d_ pour destination.
Dans cet exemple de configuration, je ne définis pas la source car j’utilise la source standard. En revanche, j’ai défini la destination du log vers le fichier / dev/log/mail.log. J’ai ajouté les deux lignes filter qui utilisent le critère facility (vous pouvez utiliser la priorité ou encore un mot clé …) afin de filtrer par type. Les processus spécifient des « facility » lors d’envoi de de mes-
la première destination définit le fichier de log par défaut et la deuxième est une console accessible via CTRL+Alt+F12, ou par se rendre à console standard (CTRL+alt+F1) et utiliser ALT+ flèche gauche. Pour consulter les logs nous aurons besoin de lier les sources et les destinations. Par default, les logs issus de la source seront dirigés vers les destinations définies : Log{source(src) ; destination(messages) ;} ; Log{source(src) ; destination(consol_all) ;} ; Vous pouvez modifier le contenu du fichier en ajoutant de nouvelles sources, destinations ou filtres pour contrôler le flux de log.
sage de log. Grace à elle vous n’aurez pas besoin de connaître le nom du processus car tout programme qui envoie un mail aura son message filtré. Le deuxième filtre est pour filtrer tous les autres messages. Pour appliquer les deux filtres définies entre la source et la destination nous spécifions les règles de sorties suivantes : Log{source(src) ;filter(f_notmail) ; destination(messages) ;} ; Log{source(src) ;filter(f_mail) ; destination(d_mail) ;} ; Ces règles permettent de filtrer le flux de log selon sa ‘facility’, il sera dirigé (écrit) vers la destination mail qui est le fichier / dev/log/mail. log. Le reste du log (log mail exclus) est traité par le filtre f_notmail pour le diriger vers la sortie par défaut (/dev/log/messages). Après la modification du fichier de configuration vous devez le recharger en envoyant un signal SIGHUP au syslog-ng Sudo killall –HUP syslog-ng
TERAMAGAZINE
46
47 | TERA MAGAZINE
GARDER VOS LOGS SOUS CONTRÔLE :
U
n problème qui se pose avec les logs c’est leurs conservations. Si votre espace vide se réduit sans cause apparente penser à suspecter le contenu du dossier /var. un processus actif peut en cas de problème écrire un grand volume de messages dans son fichier de log et consommer de l’espace disque. Pour éviter d’avoir votre partition racine "/" pleine il est préférable de dédier une partition pour le dossier /var. Si vous tenez à vos fichier de log (j’y tiens aussi), Le contenu de /var/ log continuera d’agrandir et occupera plus d’espace. Afin de limiter cette évolution j’ai recours à logrotate. Logrotate est installé par défaut sur l’ensemble des
Gardez l'historique de vos logs distributions Linux (Enfin je le crois). Pour s’exécuter, il est lancé tous les jours par le cron. Il archive les fichiers de log selon les règles définies en /etc/ logrotate.conf et /etc/ logrotate.d. Le premier contient la configuration globale tandis que le deuxième est un dossier qui contient les fichiers de configurations inclus.
LOGROTATE Logrotate permet de limiter la taille des fichiers journaux présents dans /var/log. Pour chaque fichier journal, logrotate réalise deux opérations simultanées :
1
La rotation
Logrotate archive le fichier journal sous un autre nom et supprime la plus ancienne archive
Pour tester vos fichiers de configuration logrotate.conf (et donc de logrotate.d/*) taper : /usr/sbin/ logrotate -dv /etc/logrotate.conf.
2 La compression
Logrotate compresse éventuellement le fichier journal avant de l'archiver. La compression diminue l'espace disque utilisé mais augmente la quantité de données lues et écrites sur le disque et la consommation d'énergie
Voici le contenu de mon fichier de configuration /etc/logrotate.conf : weekly rotate 4 create compress include /etc/logrotate.d /var/log/wtmp { monthly minsize 5M create 0664 root utmp rotate 1 } Un petit explicatif du fichier de configuration par défaut:
weekly: la rotation des logs se fait
Test du fichier de configuration de logrotate
47
TERAMAGAZINE
toute les semaines, il est possible de changer en "daily" rotate 4: est le nombre d’archives de log, ici 4. Vous aurez donc 4 semaines de logs archivés. create: permet de créer l’archive du log avec la rotation. compress : permet la compression de l’archive du log, par défaut gunzip. include /etc/logrotate.d: est le chemin de l'emplacement des fichiers de configurations des différents services qui seront traités par logrotate. Ce qui suit sont les rotations de log par défaut du système.
TERA MAGAZINE | 48
Pour surcharger les valeurs prédéfinies dans le fichier lorotate.conf ou pour définir de nouvelles options vous pouvez modifier le contenu du fichier spécifique syslogng à /etc/logrotate.d ressemblera à : /var/log/messages{ postrotate /etc/init.d/syslog-ng reload>/ dev/null 2>&1 || true endscript } Dans ce cas la règle spécifiée est la commande postrotate qui est lancée après l’opération de rotation des logs pour indiquer au syslog-ng de recharger sa configuration. Les options globales de logrotate peuvent être répétées pour remplacer les valeurs définies auparavant (dans logrotate. conf) vous pouvez redéfinir le nombre de rotation à garder Rotate 8.
ASTUCE Si vous êtes inquiets à propos de la taille maximale des fichiers de logs vous pouvez forcer la limite de taille du fichier de log en utilisant l’option Maxsize Maxsize 10M Ainsi la taille du fichier de log issu de la rotation sera limitée à 10MB même si la durée de rotation n’as pas pris fin.
OUTILS DE MONITORING DES LOGS La lecture des logs n’est pas toujours une opération facile, heureusement, il existe plusieurs outils qui permettent de vous générer des rapports plus significatifs. Des programmes comme logwatch ou logcheck , en analysant vos logs, ils vous fournissent (via mail) un résumé des alertes et des anomalies recensés. Il existe aussi d’autres outils qui
"System monitor est un excellent outil graphique pour supérviser les processus du système
génèrent des graphes depuis certains types particuliers de logs, par exemple un graphe de trafique d'apache.
ASTUCE Les fichiers de logs sont en lecture seul, si vous voulez y écrire un message utilisez la commande logger dans vos scripts ou depuis votre shell Logger –i –t monscript "message" L’option –t spécifie le tague et le –i ajoute le ID du processus, le reste est le message de log.
AMÉLIORER VOS PERFORMANCES La performance de syslog-ng peut être améliorée de différentes façons:
ÉVITEZ LA REDONDANDANCE Un message de journal unique peut être envoyé à différents fichiers de log à plusieurs reprises. Par exemple, dans le fichier de configuration initiale, nous avons les définitions suivantes: destination cron { file("/var/log/ cron.log"); }; destination messages { file("/var/ log/messages"); }; filter f_cron { facility(cron); }; filter f_messages { level(info.. warn) and not facility(auth, authpriv,
Webmin est un excellent outil web de supervision du système.
mail, news); }; log { source(src); filter(f_cron); destination(cron); }; log { source(src); filter(f_messages); destination(messages); }; Le même message de log envoyé par cron (facility(cron)) finira dans les deux fichiers cron.log et messages. Pour éviter cette redondance, nous pouvons utiliser le tague final, stoppant un traitement ultérieur avec le message. log { source(src); filter(f_cron); destination(cron); flags(final); }; une autre méthode est d'exclure les messages de log issu de cron en définissant un filtre f_messages:: filter f_messages { level(info.. warn) and not facility(cron, auth, authpriv, mail, news); };
TERAMAGAZINE
48
49 | TERA MAGAZINE
SIMPLIFIER LA LECTURE DES LOGS
❼
Outils pour vous aider à mieux lire vos fichiers de log
1
3
2 49
4 TERAMAGAZINE
❶ PHP-SYSLOG-NG : code.google.com/p/php-syslog-ng ❷SPLUNK BASE: http://docs.splunk.com/ ❸MULTITAIL : www.vanheusden.com/multitail ❹ARCSIGHT LOGGER : www.arcsight.com ❺SAWMILL LOG ANALYZER : www.sawmill.net ❻SUMO LOGIC : sumologic.com ❼LOGLY : www.loggly.com
TERA MAGAZINE | 50
QUEL LOG ? Tous les systèmes *nix utilisent plusieurs fichiers de logs :
»/var/log/kern.log
par défaut ne capture que les messages du noyau de tous les niveaux de journalisation.
» /var/log/ messages
vise à stocker les messages précieux et non critiques (info , notice et warn). Ce journal doit être considéré comme le log de l'activité générale du système » /var/log/auth.log est le journal des authentifications. » /var/log/syslog enregistre tous les messages, à l’exception de ceux de la catégorie auth.
»/var/log/boot.msg
rapporte la totalité de ce qui s'est passé au démarrage. /var/log/boot. omsg rapporte ce qui se passe lors l’arrêt.
»/var/log/mail
enregistre tous les messages du serveur mail.
»/var/log/dmesg
Ce fichier journal est écrit au démarrage du système. Il contient des
6
5
messages du noyau qui apparaît pendant le processus de démarrage. Vous pouvez également les afficher à l'aide de la commande: # dmesg Il est facile de voir les messages de journal liés au récent démarrage du système. Si votre système se comporte anormalement, utilisez dmesg pour voir rapidement si quelque chose n'allait pas au cours de la séquence de démarrage du système. Ce fichier journal peut être consulté par tous les utilisateurs.
»/var/log/Xorg.0.log
le fichier de log pour le serveur X, il rapporte les problèmes de votre configuration du X, il est très utile en cas du problème de l''écran bleu parlant de "Xorg.0.log".
» /var/log/daemon.log
Ce fichier contient des informations sur l'exécution du système et des d'applications démons comme le Gnome Display Manager démon gdm,... Ce fichier peut vous aider à identifier des problèmes en relation avec un démon particulier.
» DNS
Si vous voulez tracer les requêtes reçu par votre serveur DNS, activer la journalisation des requêtes DNS, en exécutant la commande suivante: ~]# rndc querylog Les logs seront enregistrés dans le fichier /var/log/messages.
» /var/log/wtmp
Un fichier binaire qui garde une trace de toutes les connexions et déconnexions au système. Le contenu de wtmp peut être visualisé grâce à la commande : last -f /var/log/wtmp
» /var/log/btmp
Pour des raisons de sécurité les fichiers btmp et wtmp sont protégés et ne sont accessible que via la commande last
Ce fichier contient des mauvaises tentatives de connexion. Ce fichier est utilisé par la commande 'lastb'.
7 Chers lecteurs, j’ai rédigé cet article pour vous donner quelques idées sur l’importance de la journalisation (logs) et pour vous présenter le syslog-ng. Cet article est une initiation en syslog-ng pour vous inciter à explorer ce domaine. Vous pouvez essayer d'autres systèmes de log tel que le rsyslog, le Nsyslog ou journal. Vous pouvez aussi tester d'archi-
ver vos logs dans des bases de données au lieu de fichiers log. Je suis convaincu que parmi vous il existe des sysadmins qui ont leurs propres techniques, j’aimerais bien les partager avec vous. Si vous avez des questions, voici mon mail : sysadmin+tera. revue@gmail.com
TERAMAGAZINE
50
51 | TERA MAGAZINE
L'ARSENAL SYSADMN L SURVEILLER L'ACTIVITE D’UN SYSTEME LINUX BY A FANBOY OF OPENSUSE 51
TERAMAGAZINE
es distributions linux sont équipées avec plusieurs outils de surveillance des activités du système. Vous pouvez utiliser les informations fournies pour avoir une idée de ce qui se passe sur votre système. Les outils présentés ci-dessous sont des commandes élémentaires qu’un administrateur système doit utiliser en continu pour garder l'oeil ouverte afin d'éviter les mauvaises surprises.
La surveillance de l’état de santé des machines est une tâche récurrente pour un admin système. Vous devez être capable de fournir rapidement toutes les informations sur votre système (cause d’un ralentissement, dysfonctionnement etc.). Rappelez vous bien l'adage sysadmin dit que pour bien administrer il faux bien surveillez.
TERA MAGAZINE | 52
W
informations sur les utilisateurs connectés et de leurs processus. L'en-tête indique, Au commencement, dans cet ordre, l'heure je veux vous faire actuelle, combien de découvrir est concise temps le système foncet facile à retenir. Il tionne (uptime aussi s’agit de w, c'est la accessible via uptime première commande et tload), La liste des que j’utilise en général connectés (aussi accesquand je me connecte sible via who), et les à un serveur linux pour moyennes de charge comprendre ce qui du système pour les se passe. Il m’aide à 1, 5, et 15 dernières connaître en premier minutes. lieu la charge du sysEn haut à droite de tème. notre exemple, nous Elle affiche des avons la charge. Ce
TOP
sont trois valeurs décimales: load average: 0,08, 0,34, 0,31. la documentation nous dit qu'il s'agit du nombre moyen de processus (programmes) en train de tourner et qui réclament l'utilisation du processeur. Cela veut dire que, depuis une minute, il y a en moyenne 0,33 processus qui réclament le processeur. Votre processeur est donc actif 33 % du temps.
l’on peut passer à top, tels que les délais, les pid à surveiller ou mations suivantes : La commande top autre, référencez-vous affiche en continu aux manpages : • Première partie : up(temps réel) des man top . time et load average informations décrivant Astuce : Vous pourrez l'activité du système. • Seconde partie : utiliser l'option -d pour Tâches Elle permet surtout de spécifier des délais de suivre les ressources • Troisième partie : Prorafraîchissement (en cesseurs que les processus secondes). utilisent (quantité de • Quatrième partie : Pour quitter top, mémoire physique et mémoire, pourcentage appuyer simplement virtuelle de CPU...) et la charge sur la touche "q". de votre système en Pour les paramètres que fournissant les infor-
PS
ps vous permet d'obtenir la liste statique (Cette liste n'est pas actualisée en temps réel) des processus en cours d’exécution au moment où vous lancez la commande. Essayons d'utiliser ps sans paramètre : Le PID est l'identificateur d'un processus, c'est un nombre. Chaque processus est identifié dans le système par un nombre unique. Le "TTY" indique à quel port de terminal est associé le processus. "STAT" indique l'état (status) dans lequel se trouve le processus. Pour tirer plus d'information sur les processus en exécution nous utilisons les paramètres disponibles: • ps -ejH : afficher les processus en arbre. Cette option intéressante vous permet de regrouper les processus sous forme d'arborescence, cela vous permet de savoir qui est à l'origine de quel processus. • ps -u UTILISATEUR : lister les processus lancés par un utilisateur • PS -axu Pour afficher tous les processus
TERAMAGAZINE
52
53 | TERA MAGAZINE
PMAP PMAP permet de tracer la carte de l'utilisation de la mémoire par un processus ou plusieurs processus en exécution. Pmap fournit des informations sur l'utilisation de l’espace d'adressage sur la mémoire, elle est très utile pour trouver l'espace d'adressage d'un processus complet. PMAP est en fait une commande Sun OS et Linux ne supporte qu'un nombre très limité de fonctionnalités. pour afficher les informa-
SAR tion des adresses mémoire du processus pid 24587. pmap -d 24587 La dernière ligne est très importante: • mapped: 933712K total de la mémoire mappée aux fichiers • writeable/private: 4304Ktotal de l’espace d’adresses privées • shared: 768000K la quantité d'espace d'adressage de ce processus partage avec les autres.
FREE La commande free affiche la quantité totale de mémoire physique et de swap, ainsi que les tampons utilisés par le noyau.
La commande sar est utilisée pour collecter, déclarer et sauvegarder l'activité du système. Sar permet d’avoir l’historique concernant l’activité de votre système contrairement aux autres outils qui vous fournissent uniquement des informations en temps réels. Cette commande nécessite une configuration.
• Pour monitorer tous les IO : sar -B 1 30 • Pour analyser le CPU : sar -u 1 3 • Pour analyser la swap : sar -W 1 3 • Pour une analyse réseaux : sar -n DEV 1 2 En cas de son absence vous aurez besoin d'installer le package sysstat
VMSTAT La commande vmstat fourni des informations sur les processus, la mémoire, la pagination, bloc IO, et l'activité CPU. Pour monitorer la mémoire vmstat -n 1 30 free, buff et cache : le nombre de mémoire en KiB qui est idle si et so : correspondent à l'utilsation de la swap swpd : la taille en KiB de swap utilisé
IOSTAT La commande iostat offre des statistiques du CPU et des statistiques d'entrée/ sortie pour les périphériques, les partitions et les systèmes de fichiers réseau (NFS). Cette outils n'existe pas par défaut sur les systèmes linux, vous aurez besoin d’installer le package sysstat.
53
TERAMAGAZINE
T
TERA MAGAZINE | 54
MPSTAT La commande mpstat affiche les activités de chaque processeur disponible, le processeur 0 étant la première. • mpstat -P ALL sert à afficher l'utilisation en moyenne par processeur.
NETSTAT/SS Netstat, pour « network statistics », est une ligne de commande affichant des informations sur les connexions réseau, les tables de routage et un certain nombre de statistiques dont ceux des interfaces, sans oublier les connexions masquées, les membres multicast,
et enfin, les messages netlink. ss est similaire à netstat. Elle Affiche des information en sur les protocoles TCP / UDP . Afficher des statistiques du réseau • Netstat -s Afficher des statistiques du réseau par ss • Ss -s
IPTRAF IPtraf est un outil de monitoring réseau. Il permet, par exemple de surveiller l'activité sur une interface. Voici une liste non-exhaustive des informations offertes par ce programme : Statistiques de tra-
fic réseau par connexion TCP Statistiques de trafic IP par interface réseau Statistiques de trafic de réseau par protocole Statistiques de trafic réseau en TCP / UDP et selon la taille de paquet Statistiques de trafic réseau par adresse de couche 2
TERAMAGAZINE
54
55 | TERA MAGAZINE
TCPDUMP TCPDUMP est un outil de capture et d'analyse réseau. Il permet d'avoir une analyse en direct du réseau ou d'enregistrer la capture dans un fichier afin de l'analyser pour plus tard. Il permet d'écrire des
filtres afin de sélectionner les paquets à capturer/analyser. Pour la capture et l’analyse des paquets de DNS: tcpdump -i eth1 'udp port 53' STRACE (system call tracer) est un outil de débogage pour les experts. strace sert à surveiller les appels du système utilisés par un programme et tous les signaux qu'il reçoit, similaire à l'outil "truss" sur les autres systèmes Unix. Il a été rendu possible grâce à une fonction-
/PROC /proc est un pseudosystème de fichiers (pseudo car dynamiquement généré au démarrage) utilisé pour accéder aux informations du noyau sur les processus. Puisque /proc n'est pas une arborescence réelle, il ne consomme aucun espace disque mais seulement une
55
TERAMAGAZINE
quantité limitée de # cat /proc/zoneinfo mémoire vive./proc fournit via ses fichiers # cat /proc/mounts des informations détaillées sur les différents périphériques et d'autres informations sur le noyau Linux. # cat /proc/meminfo
STRACE nalité du noyau Linux appelée ptrace. L'utilisation la plus courante est de lancer un programme en utilisant strace, qui affiche une liste des appels système faits par le programme. C'est utile lorsque le
programme plante continuellement. Par exemple, utiliser strace peut révéler que le programme tente d'accéder à un fichier qui n'existe pas ou qui ne peut pas être lu.
TERA MAGAZINE | 56
TOUT L'ARSENAL D'UN SYSADMIN 1 Linux Performance Benchmark Tools
2 Linux Performance Observability : Sar
3 Linux Performance Tuning Tools
4
Linux Performance Observability
J
'ai présenté une liste non exhaustive des outils auxquels je fais appel dans mon job de sysadmin. Si vous n'aimez pas trop ces commandes ou si vous craignez de les oublier, installez des outils graphiques comme KDE System Guard, Gnome System Monitor. Vous pouvez aussi vous s'armer de Webmin: un outil d'administration très puissant, il fait mon bonheur. Ainsi, Les outils pour surveiller sont très nombreux, reste à utiliser un ensemble complet qui offre une vision globale sur l'état de santé de votre système pour éviter les risques, comme on dit mieux vaut prévenir que guérir.
TERAMAGAZINE
56
57 | TERA MAGAZINE
Conférence BH
Résumé
BLACK HAT USA 2014
Le résumé des présentations qui ont marqué l'événement black Hat USA 2014
Un tour d'horizon des meilleurs sujets abordés lors de la conférence blackhat USA 2014..
# BadUsb
#Bad USB La faille de sécurité qui menace les périphériques USB a suscité beaucoup d'intérêts dans le monde des hackers. Une cible jusqu'à lors considérée comme inoffensif.
57
TERAMAGAZINE
À LAS VEGAS, chaque année au début du mois d’Août, les experts en sécurité et des hackers en provenance des quatre coins du monde
entreprennent un pèlerinage en direction de Las Vegas, Nevada. Ils s’y retrouvent pour un camp de vacances sur la sécurité informatique qui re-
“Votre Voiture, votre peripherique USB et votre appareil Android sont en danger ”
groupe des habitués à Black Hat ainsi que d’autres conférences telles que DEF CON et B-Sides.
TERA MAGAZINE | 58
BADUSB
#1
On Accessories that Turn Evil
B
ien que les périphériques USB pourrait paraitre inoffensifs, ces supports sont désormais l'une des sources de menaces les plus dangereuses pour l'entreprise. Karsten Nohl et Jakob Lell, deux chercheurs allemands en sécurité informatique pour SR Labs ont présenté une vulnérabilité qui a fait le Buzz au blackhat 2014. Nommée BadUSB, cette faille touche la totalité des périphériques USB(claviers, dongle usb, smartphones …) . Cette faille consiste à reprogrammer le firmware d’un périphérique USB, comme une clé USB, pour permettre l’injection d’un malware (logiciel malveillant) qui peut changer notre DNS, remplacer le BIOS de la machine infectée, intércepter les données, etc. Pour démontrer cela, les deux chercheurs ont réussi à modifier le firmware d’une clé USB et d’y inclure un malware capable de se faire reconnaître comme un clavier USB. Ce malware peut ensuite lancer une infection en boucle à tous les périphériques usb connectés à un PC. Une autre démonstration plus dangereuse aura été mise en œuvre du BadUsb à l'aide d'un smartphone sous Android. Connecté à un PC via le port USB avec un firmware modifié (Comme le permet la faille découverte), le smartphone s'est fait passer pour une interface Ethernet et a détourné l'ensemble du trafic internet. Les chercheurs ont ainsi démontré qu'il était possible de récupérer des mots de passe et d'autres informations confidenti-
elles. On notera également que cette faille, qui profite de l’absence de sécurisation du firmware d’un périphérique USB, permet d’infecter un ordinateur même s’il est éteint. Pour l’instant, il n’existe aucun remède contre cette attaque et aucun logiciel antimalware n’est capable de détecter l’utilisation de cette faille. Même dans le cas d'une clé USB, le formatage n'est d'aucune utilité. La partie atteinte par le badusb est inaccessible aux systèmes. Il faut donc que les fabricants protègent mieux les firmware de leurs appareils dès l'assemblage
Informations supplémentaires
» VIDEO sur Youtube : bit.ly/1vv87pD » Document : bit.ly/1tigwfd » Auteur : Karsten Nohl et Jakob Lell Notre Avis
Cette faille est très puissante et son découverte permettra de pousser les constructeurs à s'intéresser davantage à la protection des firmwires au lieu de se concentrer sur les couches logicielles. On se rappelle tous de l'attaque stuxnet mené par L'USA, il était basé sur un USB malicieux.
TERAMAGAZINE
58
#2
59 | TERA MAGAZINE
Chiffrement Yahoo le chiffrement de bout-en-bout de son service de messagerie en 2015
P
endant de nombreuses années, Yahoo n’a pas appliqué le chiffrement par défaut pour l’ensemble des nombreux services Internet qu’il propose. Etant plutôt en retard sur ses concurrents en matière de sécurité et de protection de la vie privée, Yahoo a annoncé lors d'une présentation tenue à la conférence Black Hat que les utilisateurs de ses servies vont voir le chiffrement de bout-en-bout de son service de messagerie en 2015. Ainsi, le contenu des mails de tous ses utilisateurs sera chiffré à partir de l’ordinateur source et à travers les serveurs de Yahoo et ce jusqu’à ce qu’il arrive à destination.
Alex Stamos, responsable de la sécurité chez Yahoo, a affirmé que son entreprise passerait à un chiffrement des courriels. Suivant les pas de Google, l’entreprise ferait appel à la technologie OpenPGP. Yahoo utilisera la même extension PGP (End to
End) utilisé par Google pour chifferer le contenu des mails. Les métadonnées de chaque mail restent affichées en clair. Ses applications mobiles natives tireraient parti d’un module de chiffrement issu des travaux de Google sur le sujet, grâce à un fork de ses travaux (reprise du code libre fourni par Google
et adapté). Pour les applications web, le même principe d’extension serait sérieusement à l’étude. Google et yahoo collabore étroitement pour permettre un chiffrement de bout en bout de la chaîne pour les courriels envoyés de GMail à Y !Mail et inversement assurant ainsi une grande compatibilité entre les deux services. « Après l’affaire Snowden, on a assisté à l’apparition d’une vague nihiliste qui nous empêche de nous concentrer sur ce qui est essentiel. Nous avons échoué en tant qu’industrie. Nous n’avons pas réussi à protéger nos usagers. » affirme Stamos.
Informations supplémentaires
» Auteur : Alex Stamos Notre avis
Une décision tardive prise en réponse aux critiques lancés à yahoo suite à l'affaire Prisme. Cependant, un chiffrement de bout en bout est un moyen sûr pour protéger ses E-mails de la source à la destination
#3
Projet Tor You don’t have to be the NSA to break Tor: De-anonymizing users on a budget
L
a très attendue des prèsentations celle portant sur les moyens d’identifier les utilisateurs du réseau d’anonymisation Tor a été supprimée du programme de la conférence Black Hat USA. L’exposé des chercheurs Alexander Volynkin et Michael McCord intitulé « Vous n’avez pas besoin d’être la NSA pour briser Tor : désanonymiser les utilisateurs sans se ruiner » (en an59
TERAMAGAZINE
glais, « You don’t have to be the NSA to break Tor: De-anonymizing users on a budget ») a été annulé suite à la demande d’avocats du Software Engineering Institute (SEI) de l’université Carnegie Mellon (Pittsburgh), et ce au motif que la diffusion publique des travaux d’Alexander Volynkin sur le sujet n’a pas été approuvée par l’établissement.
Informations supplémentaires Notre Avis
Tor est l'un des réseaux de proxys le plus utilisé dans le monde, constitué d'un grand nombre de noeud éparpillé partout dans le monde. Il offre une anonymat à ses utilisateurs pour échapper à la censure. Cependant le projet PRISM de la NSA a montré que cette dernière pouvait remonter à la source de tout trafique sur TOR et démarquer l'utilisateur. Une telle présentation aurait pu nous aider à corriger les failles et mieux fortifier le réseau TOR.
#4
TERA MAGAZINE | 60
Fake ID
Une faille qui menace la sécurité de tous les appareil android
J
eff Forristal, de Bluebox Security, un chercheur confirmé en sécurité a présenté une vulnérabilité critique qui touche les appareils Android de 2,1 à 4,4. Surnommé Fake id (faux identitfiant), cette vulnérabilité pourrait permettre à une application malveillante de tromper Alex Stamos, le modèle de sécurité Android en lui faisant croire qu'elle est une application fiable. En utilisant la signature électronique d'une autre application fiable elle peut exploiter le niveau de privilège qui lui est accordée sur le système. Les signatures d'applications jouent un rôle important dans le modèle de sécurité d'Android. En effet, La signature d'une application détermine qui peut la mettre à jour, quelles applications peuvent partager ses données, etc Plus intéressant, les signatures très spécifiques ont dans certains cas des privilèges spéciaux. Par exemple, une demande portant la signature d’Adobe est autorisée à agir comme un plugin webview de toutes les autres applica-
tions, sans doute pour soutenir le plugin Adobe Flash, conduisant ainsi à une fuite au niveau de la sandbox et l’insertion d’un code malveillant, sous la forme d'un plug-in de webview, dans ces applications. Dans un autre exemple, l'application avec la signature spécifiée par le fichier de nfc_access.xml de l'appareil (généralement la signature de l'application Google Wallet) est autorisée à accéder au matériel NFC SE et donc l’application malveillante auras accès à toute les des données de paiement passées via NFC. Pire encore, les applications avec la signature du fabricant de l'appareil (Samsung, HTC…), sont autorisées à accéder à l'administration du dispositif spécifique au fournisseur (MDM) et des extensions qui permettent la gestion silencieuse, la configuration et le contrôle de l'appareil. visiblement jamais exploitée, Cette faille existe depuis 2010, elle menace des millions d'utilisateurs d’Android.
PIRATAGE des SYSTÈMES de vérouillage sans clé
Les deux chercheurs ont annoncé la mise en place d’un ‘Bluebox Security Scanner’ pour vous vérifier si votre android est vulnérable. la réaction de Google n’as pas tardé, il a scanné l’ensemble des applications playstore sans trouver une application qui exploite cette vulnérabilité. Google a fourni un correctif aux fabricants de téléphones pour l’inclure aux mises à jour de leurs firmwire. Comme ils sont toujours lents à fournir des mises à jour pensez à passer au Custom ROM. Informations supplémentaires
» VIDEO sur Youtube : bit.ly/1nKlp9C » Document : ubm.io/Z0ZQw6 » Auteur Jeff Forristal » Outil de scan : bit.ly/1ote0Lv Notre Avis
La vulnérabilité FakeId est une grande découverte. Son exploitation permettra aux pirates de prendre le contrôle de tout appareil android. Grace à la correction de cette vulnérabilité, Google améliore davantage son processus de sécurisation des applications android. Informations supplémentaires
#5
Une faille pour ouvrir la porte d'une voiture sans clé
U
n chercheur australien du nom de Silvio Cesare, de la firme Qualys, a pu déjouer la sécurité du système sans clé de sa propre voiture vieille de dix ans. Il a pu monter une attaque informatique, qui lui a permis de verrouiller et de déverrouiller les portières ainsi que le coffre actionnées par télécommande radio. Avec un équipement (USRP Universal Software Radio Peripheral) d’un peu plus de 1000 $, il est possible de contourner pratiquement n’importe quel système de verrouillage sans clé et ce en quelques minutes seulement, sans laisser de traces. Son piratage passe par un émetteur radio réalisé par logiciel (ou
radio logicielle) qui peut émettre ou recevoir dans une très large gamme de fréquences, allant du FM au Bluetooth ou Wi-Fi. Cette radio connectée à un ordinateur portatif ainsi qu’une antenne bas de gamme et un amplificateur lui permet de transmettre sur les mêmes fréquences que les systèmes sans clé. Ensuite, il utilise cette même fréquence pour procéder à une «attaque brutale» de plusieurs milliers de codes sur deux à trois secondes jusqu’à ce qu’il trouve le bon code pour déverrouiller la voiture. Dans la vidéo, cela ne lui a pris que quelques minutes. Cesare souligne qu’en raison de la généralisation des mêmes composantes par les construc-
teurs, les mêmes systèmes sans clé se retrouvent installés dans des millions de véhicules. Ce qui peut potentiellement pousser certains voleurs/pirates à raffiner sa technique pour s’attaquer à des proies plus «rentables» que sa vieille voiture que l’on peut voir dans la vidéo.
Informations supplémentaires
» VIDEO sur Youtube : bit.ly/1tL9AG9 » Slides de la présentation http://goo.gl/JVNaHI » Auteur : Silvio Cesare Notre Avis
un travail hors du commun qui s'attaque à la sécurité des systèmes à vérouillage sans fils.
TERAMAGAZINE
60
TERA MAGAZINE | 4
S U O N Z E N G I O J E R
a g a
.m a r
e
t / m
o c . k
o o b
e c a
S
il a m
g @ e
F
ON I S S PA A L EZ OUS OS V S A ET V ER V OUS R U I E N G O I V CRIR ARTA CES, EVO C D'É EZ P SSAN E RE MAIL AIM NNAI UX D PAR E S CO EUR TION PAGE S H CIPA TRE N O O K TI SER S PAR SUR N EBOO VO OU FAC
m o .c
u v e
.r a r
te
e u v
e r . a
r e t
TERAMAGAZINE
4