Traces évidentes...

Voilà sûrement à quoi je ressemblerai si j'étais un manga. Rien de bien folichon, on lui filerai bien dix balles pour aller s'habiller et éventuellement passer chez le coiffeur.

C'est un peu l'état d'esprit du moment. S'il n'y a plus de billet, ce n'est pas qu'il n'y a plus rien à dire. C'est surtout que l'on se lève avec un regain d'énergie qui est entièrement aspiré par ce qui me permet de payer mes impôts, sans gratification aucune. On subsiste, on survit ; on n'arrive plus à travailler, à se consacrer, à se concentrer. Tout ça, c'est pas une vie, en tous cas, ça n'y ressemble pas.

Il est temps de faire du ménage et de passer à autre chose. Il est temps de s'armer et de changer tout ça, à défaut de pouvoir l'accepter.

Pour ceux qui suivent régulièrement ce blog, vous savez que je m'investis depuis un peu plus de deux ans dans ma société, nommée Keepin. Nous commençons à avoir des retours intéressants, mais j'en dirai plus un peu plus tard. Si j'en parle aujourd'hui, c'est parce que nous venons d'ouvrir un nouveau service de formation à distance, fort de nos six ans d'expérience à l'École Ouverte Fracophone.

Je vous laisse découvrir le communiqué de presse :

La société keepin est heureuse de vous présenter sa nouvelle offre de service : Formation libre.

Formation libre est une offre de formation continue professionnelle à distance dans le domaine de l'informatique, plus spécifiquement tournée vers les logiciels libres et issue d'une expérimentation éprouvée depuis plus de six ans.

La formation à distance a désormais acquis ses lettres de noblesses. Elle entre dans la culture des salariés comme une réponse au besoin permanent de se former sans perturber le rythme de travail. Elle répond aussi particulièrement bien aux besoins de personnes expatriées et aux milieux ruraux. Nous avons eu beaucoup de remarques de ce type via l'association École Ouverte Francophone que nous animons. 

déclare A. Mascret président de l'Éof.

La formation à distance présente aussi des avantages pour les salariés :

Certes il existe un planning pour le cours, mais la liberté dont on dispose dans l'organisation devient rapidement un avantage. Ceux dans lesquels on est plus à l'aise peuvent être traités plus rapidement laissant ainsi plus de temps pour les autres… La formation à distance demande une plus grande maturité, mais elle permet d'avoir une aide plus personnalisée… 

déclarent P. Lapage et F. Tocquaine dans une interview sur la formation à distance (Linux Pratique Août 2009)

Par ailleurs, toutes les études semblent confirmer que, dans le domaine informatique, le secteur des logiciels libres représente, au niveau mondial, celui qui aura le plus fort taux de croissance dans les 4 à 5 ans qui viennent et l'enquête que nous avons mené sur le territoire Francophone en 2009 nous a confirmé cela… 

complète A. Mascret.

C'est donc tout naturellement que les créateurs de la société Keepin, également spécialistes dans le domaine de la formation à distance et dans celui les logiciels libres ont décidé de proposer une solution adaptée.

Formation libre propose d'ores et déjà six formations dans les domaines du système et des réseaux basés sur les Logiciels Libres.

Idéalement conçues pour s'intégrer au rythme de travail de l'entreprise ou du salarié, ces formations se déroulent à distance, sur trois semaines, représentant un équivalent temps plein de cinq jours.

Dans leurs conceptions, les cursus permettent l'adaptation du rythme de l'apprentissage aux contraintes du salarié et de son activité professionnelle mais peuvent être également suivies en dehors du temps de travail dans le cadre du DIF (Droit Individuel à la Formation) par exemple. La formule 'à distance' devient aussi plus économique en coûts et en fatigue. Elle évite les absences, les déplacements, les frais de restauration ou d'hébergement.

Tout au long de chaque formation, des formateurs, à la fois professionnels et spécialistes du domaine abordé, accompagnent, aident et conseillent les auditeurs sur toutes les difficultés qu'ils peuvent rencontrer.

Pour toute information : contact_AT_formation-libre.fr

Visitez le site des formations.

Ça va révolutionner le monde.

      ASCII                Mood
      =====                ====
      :)                   Happy
      :(                   Sad
      :D                   Amused
      %(                   Confused
      :o                   Bored
      :O                   Surprised
      :P                   Silly
      :@                   Frustrated
      >:@                  Angry
      :|                   Apathetic
      ;)                   Sneaky
      >:)                  Evil

Le 2 février, j'étais invité par nono à la troisième journée de conférences de l'ESEC, laboratoire de sécurité de Sogeti. Levée du corps à 5h30 pour prendre le train une heure plus tard. Quelques deux heures plus tard, direction l'étoile pour passer la journée dans le 16è. Je remonte l'avenue Foch et profite de la visite pour regarder les immeubles particuliers. Clairement, je n'ai pas encore les moyens...

Après avoir mappé la veille, je trouve sans difficulté les locaux. Prise de badge et direction le sous-sol où l'équipe de Fred attend que les invités remplissent la salle. Jus d'orange, thé et viennoiseries à volonté. Pas de doute, on sait recevoir. Ça a un air de SSTIC connu, étrange. Je retrouve quelques têtes connues dans l'assemblée, as usual. Un œil au programme, l'autre sur les publicités insérées dans la plaquette. Pas de doute, lorsque l'on est habitué à du LaTeX, ça choque. Deux conférences le matin, trois conférences l'après-midi. Au vue de mon billet de train, faudra que j'écourte en fin de journée pour retrouver la campagne. Les conférences, comme je l'apprendrai au cours de la journée, seront agrémentées de longues coupures qui permettent de socialiser. Un peu trop longues à mon goût, j'aurai préféré des présentations un peu plus étoffées et moins de temps pour siroter ;)

Rentrons dans le vif du sujet avec Jean-Baptiste Bédrune qui s'attaque à la protection des contenus. Il liste d'abord quelques outils qui permettent de protéger ce sacro saint contenu, comme les DRM, les solutions satellites (DAC, ECM, EMM...), les solutions pour le streaming (TPM+DADVSI+CLUF). Après cette introduction musclée, on attaque le vif du sujet, puisque la journée est placée sous le signe de l'attaque. Il montre donc que la protection avec des clés qui sont stockées sur le poste après le premier visionnage permet de les récupérer à loisir, que l'antidebugging est pour les kiddies, tout comme l'obfuscation algorithmique. Une autre solution consiste à récupérer la source par un enregistrement tiers, avec l'exemple d'un fichier AAC protégé. Il suffit de le passer en MP3 pour perdre cette protection (même si cela n'a pas été évoqué, on pensera à l'enregistrement d'un film par une caméra vidéo, ce qui casse le mécanisme anti-copie, mais pas l'empreinte). Il évoquera enfin l'asymétrie entre la protection (que l'on peut considérer comme lourde) et la déprotection (qui est un mécanisme faible). Un DRM est une protection de code, ce qu'il assimile à de la sécurité par l'obscurité. Le combat est perdu d'avance, déprotéger est beaucoup plus facile que protéger.

C'est Alexandre Gazet qui prendra la suite de Jean-Baptiste, dans la continuité de sa présentation sur les contenus numériques, il parlera du contrôle d'accès pour le contenu payant. Bien sûr, pour nous, frenchies, ça rime avec une date et une chaîne : 1984 : canal+. La suite viendra quelques douze années plus tard avec canalsat, TPS et ABSat. C'est l'emploi de la norme DVB, avec en général l'affranchissement d'une voie de retour. Alexandre présente les deux modes de piratage connus : partage des mots de contrôle (CW ou control word) et/ou le partage des cartes. De ces faits réels, il décide de nous montrer que ce business peut être lucratif en analysant le cas de deux sociétés fictives, créé pour l'occasion (le cas d'étude, pas les sociétés ;)). La première est spécialisée dans la vente de matériel, la deuxième, dans la vente de cartes. C'est une bonne conférence, sympathique. J'y découvre un business que j'ignorais totalement, n'ayant jamais eu que les chaînes nationales à la maison et aucun matériel à portée.

Le repas est présenté sous forme de lunch. On est globalement très gâté avec un niveau élevé (œufs de caille en cuisson devant vos yeux, foie gras, fromage de qualité...). Promis, je ne comparerai pas avec un certain restaurant universitaire.

L'après-midi reprend avec la présentation pour laquelle je suis venu principalement. En effet, Arnauld a commencé à travailler depuis plusieurs mois sur les réseaux sociaux et c'est un peu l'accomplissement de tout cet acharnement. On commence d'ailleurs magnifiquement par Fred qui nous fait patienter et chauffe la scène en précisant que si jamais la démo ne fonctionne pas, ce sera à cause du chat. En effet, quelques informations plus tard, on apprend qu'un des serveurs pour la démo est le PC d'un des conférenciers, hébergé chez lui et que son chat reboot de manière régulière le pc ou tout au moins, s'amuse avec le clavier. La présentation s'ouvre sur un panorama des réseaux sociaux, en rappelant que c'est un effet localisé. En effet, si Orkut est le premier réseau social au Brésil, ce n'est pas le cas ailleurs. En France, c'est Viadéo et LinkedIn qui tiennent le haut du pavé pour la partie pro et facebook pour les particuliers. Une petite statistique, ça ne fait jamais de mal : aux États-Unis, 54% des entreprises bloquent les réseaux sociaux pour des questions de productivité.

On passe sur le fond de l'étude. On s'intéresse à LinkedIn et facebook. Un premier test sur la collecte directe et indirecte est effectué. Les deux comportements des moteurs s'opposent. Facebook rend les informations privées inaccessibles (son créateur s'en repent aujourd'hui), mais laisse l'ensemble des contacts accessible. Chez linkedIn, on a accès au profil, pas forcément à ses contacts. Il faut alors passer par les groupes pour trouver des cohérences. La démonstration est effectuée sur la personne de Fred, innocente victime "Head of IT security R&D at Sogeti/CapGemini & Chief". Oui, ça pète.

On passe à facebook qui va en prendre pour son grade. On nous évoque la possibilité de traitement automatisé des données, malgré les restrictions sur le javascript, la présence des e-mails dans des images et des captchas, tout se passe très bien. On est rassuré, c'est pas demain que nos données seront à l'abri. On passe à la partie la plus inquiétante. Les applis tiers. En effet, celles-ci ne sont ni hébergées, ni vraiment validées par facebook. En effet, elles sont tiers, mais complètement. Hébergées sur des serveurs distants. Autant dire que vous pourriez mettre la nasa en orbite. La démonstration est flagrante. Un utilisateur ouvre sa page, lance l'application ("où qu'il est le mignon petit chat tout kawaï") et le puppet master prend la main sur son poste via le canal de contrôle, tout en ayant utilisé une faille du navigateur. C'est simple, c'est propre, c'est beau.

Amis utilisateurs qui lisez ce blog (là, ça fait pas très crédible, j'admets), n'utilisez aucune application tiers sur facebook.

Je termine ma journée par la conférence attendue de Damien Aumaître. Son exposé portera sur la protection physique du poste utilisateur. Pour cela, il y a plusieurs moyens : récupérer le mot de passe, installer un trojan, installer des fichiers compromettants (clears... quoi ?), utiliser une clé U3, usage d'un keylogger (jolie vidéo au passage, Jack Bauer n'a qu'à bien se tenir !), on terminera cette longue liste par le dernier jouet de sieur Aumaître : l'amélioration présentée à SSTIC'09 par monsieur Devine en attaquant le bus DMA. Plutôt que d'utiliser de longues phrases, ça se résume en quelques mots :

dévérouillage d'un pc sous windows seven 64 bits en insérant une carte PCMCIA pendant dix secondes puis en tapant n'importe quel mot de passe dans la mire de saisie. Pouf, on est system. C'est toujours aussi magique.

Voilà, c'est l'heure du train et j'ai un excellent Pratchett à finir (the fifth elephant). Ce fut plaisant, bien que les pauses soient un peu longues et qu'une ou deux conférences auraient été appréciées, je dois dire que je reconnais là la patte d'un des créateurs de SSTIC et que j'apprécie.

À l'heure où un certain labo va disparaître, il est réjouissant de voir que d'autres pètent la forme et font avancer notre matière avec des retours intéressants. À noter également que l'aspect offensif apparaît de plus en plus (le blog de la sécurité offensive, la conférence hackito ergo sum...) et qu'il se pourrait que ce changement de comportement prouve une certaine maturité parmi les acteurs en lice.

Merci à Arnauld pour l'invitation et à Fred de ne pas m'avoir envoyé les vigiles à l'entrée :p

En attendant mon compte rendu sur le séminaire de l'ESEC, un petit billet pour vous faire patienter :

Pour ceux qui s'en souviennent, j'ai fait le Conservatoire National des Arts et Métiers. Dans ce cursus, il y avait une épreuve qui s'apparente à la rédaction d'un mémoire de maîtrise. Ça remonte déjà à 2004 tout cela. On venait de terminer Game Over (salon du jeu vidéo sur plate-forme libre, première édition) et j'ai rédigé ça en 4 semaines. Autant dire que pour moi, c'était alors un travail de titan, puisque je n'avais aucune connaissance en cryptographie, si ce n'est le fonctionnement de l'algorithme RSA, décrit quelques années plus tôt dans un cours de math... Il a fallut que je me fade toute l'histoire, puis que je découvre le NIST et les FIPS. Le tout dans un anglais moins assuré qu'aujourd'hui. J'y ai passé des jours et des nuits, le tout en travaillant, bien sûr.

J'administre du vserver (for real) sur différentes plate-formes. Si je trouve que c'est du bonheur, de temps à autre, cela pose quelques questions qui ne seraient même pas évoquées sur une plate-forme normale. Typiquement, lorsque vous mettez à jour votre système, entre autre la libc6, comme c'est le cas chez Debian ces jours-ci et que vous souhaitez redémarrer totalement le serveur, vous pouvez vous étonner que vos vservers ne soient pas de retour avec le système.

Une petite vérification vous dit que, effectivement, rien n'est lancé. Bon, encore un démarrage foiré. Forçons ce démarrage à la main. Oui, sauf que non, voilà ce que ça vous jette à la figure :

/proc/uptime can not be accessed. Usually, this is caused by procfs-security. Please read the FAQ for more details

WTF ?!

Bon, un petit coup de google-fu et surtout la doc de vserver plus tard, on a une piste :

Il faut passer le script vprocunhide.

Ok, allons-y. Où se cache-t-il, parce qu'il n'est pas dans le cache ?

La réponse est simple et salvatrice : /usr/lib/util-vserver/vprocunhide

On croise les doigts, on l'exécute, on regarde la sortie, on prie. Et là... Tout va bien. On relance les vservers et ça marche !

Bouru, qu'est ce que c'est bon quand on ne comprend rien et que ça marche ;)

ps : il serait mieux, idéologiquement, de tout comprendre et que ça ne fonctionne pas, mais bon...

Ca fait un moment qu'il n'y a pas de billet ici. C'est normal. Je n'ai pas de temps. J'ai beaucoup de travail et de déplacements et pas mal de nouveautés en cours, mais je vous en reparlerai dans quelques semaines/mois.

En attendant, je suis tombé sur une interview sur le geek et je voulais partager quelques commentaires...

Qu'est ce qu'un geek ?

J'ai lu cette il y a quelque semaines un article qui comprenait une interview sur le phénomène "geek". J'ai pointé cet article sur mon identi.ca, issus de numerama.

Essayons premièrement de voir ce que dit wiktionaty :

Déformation de l’argot anglais geck signifiant « imbécile » ; à comparer aux mots néerlandais gek signifiant « fou » et gekkie signifiant « personne folle ».

J'ai donc fait un extract de ce que disent un certain nombre des interviewés :

A movie, a show ? Qui passe son temps devant son ordi et qui dort avec son sac de couchage dans le bureau. Like a nerd, guys on computer, big square glasses. Accroc à l'informatique, un malade. Pareil qu'un freak. Très intelligent qui fait un peu neuneu de par son apparance. Mec accroc à tout ce qui est dernièrement sorti, c'est pas mes valeurs. Il fait des jeux en réseau, la nuit, tard. Il bouffe de la merde, il sort pas trop. Il a que des amis garçon qui font comme lui. Quelqu'un qui est sur son pc et qui n'a pas de vie sociale. Qui n'est obsédé que par l'informatique, qui ne vit qu'à travers cela qui n'a pas de vie extérieure. Un informaticien, un intellectuel quoi. Un mec qui n'a pas de vie et qui passe un peu sa vie sur l'ordinateur sur les jeux vidéo ou sur facebook.

Alors, c'est à cela que nous en sommes réduit ? Une image d'Épinal ? On m'affuble souvent de ces quatre lettres que j'ai souvent trouvées ridicules et longtemps combattues. Force est de constatée que je ne puis échapper à deux points

• je passe mon temps sur un ordinateur
• j'aime mon métier, je suis informaticien

Et par récurrence, je passe donc mon temps sur un ordinateur. J'ai également quelques copains qui reçoivent ce titre. Faisons donc un petit point, en énumérant ce que font/qui sont ces gens :

• ils ont une culture scientifique importante (mathématique, physique et informatique)
• ils sont amoureux de l'Histoire
• ils parlent au moins une langue étrangère, sinon deux et regardent les films en VO (pas forcément avec les sous titres), ainsi que des livres et articles
• ils lisent beaucoup
• ils aiment la bande dessinée (inclus comics et manga)
• ils aiment le cinéma
• ils s'intéressent à la politique
• ils sont actifs au sein de diverses associations
• ils sont fous

En effet, c'est le genre de personnes qui vous surprennent. En général, la première apparence n'est pas celle qui fait que vous vous y intéressiez, mais passé le premier pas, on ne peut plus s'en passer. Et dire qu'un geek n'a pas de vie sociale est faux. Il a simplement une vie sociale différente des autres. Il sort, mais pas forcément dans le but de rentrer en rampant sur tous les trottoirs de la ville.

Autrefois, on les aurait appelé savant ou scientifique. Là, sous prétexte de la pratique avancée d'un outil, on les définit par cet outil. C'est réducteur. Stupide et réducteur.

Voilà. Billet en date du 25 octobre, j'ai donc officiellement 29 ans.

Il faut six secondes à la fontaine pour remplir mon verre. Il est interdit de marcher sur les verrières du toit. Le troisième étage nécessite une authentification, alors que je peux me balader librement dans d'autres étages. Je travaille dans un endroit étonnant, je vis des choses passionnantes.

Actuellement, je travaille en pointillé sur deux sujets de recherche (pointillés élastiques, dois-je préciser) car je ne prends pas suffisamment de temps pour mener à bien mes expérimentations et en tirer les conclusions qui sont dues. Le travail s'accumulant, à travers mes différentes activités, étant une autre charge morale dont je me passerai volontiers. Je suis actuellement dans l'état d'un légume qui ne sait faire que lire. Bref. Je disais donc que j'ai deux sujets de recherche, spécifiquement en sécurité informatique. Celui qui nous intéresse présentement concerne les réseaux sociaux. J'étudie l'impact de ces derniers sur notre vie quotidienne, sur la gestion de l'anonymat, sur l'intrusion dans la vie privée et ce que l'on peut en faire. Cela pourrait paraître plus sociologique qu'informatique, mais après tout, notre science est grande.

J'ai pris contact avec un inconnu anonyme que nous appellerons xxx, sous un compte anonyme et proposé une connexion amicale. Ce qui a gentiment été accepté. Ce test m'amène à d'autres tests pour l'étude dont je reparlerai ultérieurement, si j'aboutis. Après avoir tenté quelques échanges par l'intermédiaire du moteur interne, sans réponse, j'ai enfin reçu un message ce matin :

Vous ne respectez pas le principe de ce réseau social auquel je me soumets volontiers moi-même : assumer son identité réelle. Vous n'avez qu'un faux profil, sans photos, sous pseudo dont l'unique but apparemment était de me compter parmi vos connaissances (puisque vous n'en avez pas d'autres). Je préfère donc mettre fin à cette imposture, cher yyy.

Bien qu'ayant uniquement contacté xxx sur son compte anonymisé, mes investigations m'ont permis de retrouver son identité réelle, identité à qui j'ai demandé d'être en relation, sans plus d'incursion dans sa vie privée. Connexion acceptée. Ce compte de recherche n'avait que deux connexions, reliées apparemment à la même personne.

Ce que nous pouvons retirer de cette première expérience, malgré la rudesse des propos de l'interlocuteur, est plutôt satisfaisant. En effet, on en considère les faits suivants :

• - l'usager partage facilement ses données
• - l'usager s'attend à un mimétisme (je partage mes photos, tu dois donc partager tes photos)
• - l'usager souhaite voir un profil, même s'il est bidon (nom, prénom, âge, activité sexuelle)
• - l'usager ne souhaite pas être une cible directe (création d'un réseau bidon avec émulation simulée pour travail sur cible)

Si l'on dérive sur notre cible (le mot n'est pas ici péjoratif), il est surprenant de constater qu'on me reproche d'être anonyme, alors que je parle à un autre anonyme.

Il est tout aussi surprenant que de nouveaux arrivants sur le réseaux pensent devoir définir des règles de fonctionnement, alors que, disons le bien, ils ne savent pas épeler RFC. C'est d'un sarcasme à toute épreuve :)

En tous cas, merci à cette cible anonyme, si un jour elle se reconnaît, pour cette étude. J'aurai préféré, de loin, biaiser le résultat. (Spéciale dédicace à pp.)

L'été se fait sentir (enfin, pas vraiment en Bretagne ces derniers jours) et avec lui les publications estivales. Cela faisait longtemps que je n'avais rien publié, mais c'est à présent réparé. Avec mon complice Alix, nous avons publié deux articles. Le premier se trouve dans linux+dvd paru le 15 juillet. Un article assez dense sur la formation à distance de manière générale. Un autre dans Linux Pratique Essentiel du mois d'août qui s'attache au déroulement d'une session au sein de l'École Ouverte Francophone. Vous retrouverez dans ce deuxième article des élèves de l'école que j'ai maltraité accompagné pendant près de huit mois !

Cela faisait un moment que je lorgnais twitter du coin de l'oeil. Aujourd'hui m'est donné la possibilité de faire la même chose mais avec une plate-forme libre. Une tribune rien que pour moi. Voici mon nouveau profil : http://identi.ca/jpgaulier.

Pas encore réussi à faire fonctionner mon client twidge pour poster depuis la ligne de commande, mais ça devrait se faire sous peu...