Une éponge sur un ananas !

J'étais hier au salon des solutions Linux 2007 au CNIT de la Défense en tant qu'exposant pour présenter des produits commerciaux basés sur des noyaux Linux et des composants Open Source. En dehors des exposants "corporate", ce salon a la particularité d'héberger un village des associations pour les projets open source les plus en vogue du moment.

Comme les années précédentes, en général, c'est assez animé comme salon, avec une ambiance bon enfant, ou les libristes critiquent les commerçants, les commerçants criquent les libristes et tout le monde se marre bien. En revanche, cette année, j'ai été assez surpris de la qualité des intervenants sur ce village des associations et même des méthodes employées par certains intégristes du libre pour aller "emmerder" les commerçants. Autant l'année dernière, j'avais été content que Pinpin (le gros perroquet) vienne me faire des bisous sur mon stand, autant là, l'éruption des hommes cagoulés du FLNC du libre n'a pas fait rire grand monde. J'vais encore passer pour le rabat joie de service mais si les libristes veulent changer le regard des gens sur les solutions purement Open Source, je ne pense pas que ce soit la bonne méthode à employer... (Il faudrait aussi mettre une chemise plutot qu'un teeshirt troué mais ça c'est une autre discussion)

Autre chose aussi, à titre personnel, j'ai évidemment fait le tour de certaines associations, et j'ai été un peu surpris de la qualité de certains intervenants qui (pour certains) étaient quasiment incapables de répondre à certaines de mes questions (qui n'allaient pas chercher loin pourtant) ou alors me donnaient des réponses du genre "oué, c'est pas sécurisé mais les gens c'est pas tous des hackers"... Ils savent qu'on n'est pas dans le monde des bisounours ??

Une dernière chose encore, c'est le salon des solutions Linux, pas des solutions Open Source donc à tous ceux qui confondent encore ces deux notions (bien souvent liées), je voudrais rappeler que Linux est un terme technique se rapportant à une technologie alors que Open Source est un terme juridique se rapportant à un mode de licence. Il existe des solutions Linux non Open Source et des solutions Open Source non Linux donc à tous les ignorants qui sont passés devant notre stand et qui nous ont lancés des "ah oué mais ça pue ça c'est pas la version libre", sachez que les commerçants ont autant leur place sur ce salon que les libristes (et n'oubliez pas que c'est eux qui paient pour que vous soyez là...).

Bref, si ce salon reflete la tendance du marché des solutions Linux, j'ai bien peur que la percée des solutions purement Open Source dans le monde des entreprises stagne encore cette année à cause d'un manque de professionnalisme de certaines équipes qui s'occupent des projets même si la technologie présentée est bien souvent excellente.

Décidément, c'est pas ma semaine !!!

Lyon n'est plus la ville du libre... Et votez Perben aux prochaines élections !!

Nan mais j'vous jure, j'suis vraiment dépité ! Tous les efforts du gouvernement pour promouvoir les logiciels libres et voila que tous les efforts des communautés locales vont être réduits à nénant à coup de milliers de dollars et de décision politique...

Quand je vois ça, ça me fait peur... Comment Microsoft peut obtenir les autorisations nécessaires pour faire de tel coup marketing ? La mairie de Paris (et Nanterre peut être aussi) ont-elles reçu des licences gratuites de Vista pour autoriser cette débauche d'effet pyrotechnique ?

En tout cas, les sommes dépensées pour cet événement n'auront rien à voir avec ce que Mozilla a dépensé pour se payer une page de pub dans le New York Times mais je ne suis pas sur que ça fera gagner des parts de marché à Microsoft contrairement à Mozilla...

Et dire que je serais à la défense pour préparer le salon Solutions Linux ce jour là et que j'vais être forcé d'assister à ce spectacle désopilant... (D'ailleurs si vous passez au salon des pingouins le 30 janvier, vous pouvez venir me voir, envoyez moi un mail, je vous dirai sur quel stand)

Suite à la lecture de différents articles sur le sujet, j'en viens à me demander l'attitude à avoir lorsque l'on découvre (volontairement ou pas) une vulnérabilité sur une application Internet publique (site web, backoffice, webgiciel, etc.).

J'en ai découvert plusieurs récemment (involontairement) permettant entre autre d'avoir accès à toute la partie administrative d'un journal en ligne, de se connecter sur le compte perso d'un fournisseur d'accès Internet, de récupérer des informations personnelles sur un site de vente en ligne (voire même de changer les prix des produits vendus...) ou plus simplement d'avoir accès à du contenu censé être en accès restreint sans aucune authentification (moins grave évidemment). Le plus souvent, je suis tombé par hasard sur ces failles en regardant simplement l'URL ou en ayant une erreur de script sur une page web découvrant ainsi le chemin complet vers le backoffice et sa configuration.

J'ai évidemment contacté les responsables techniques et rédactionnel de ces sites là ainsi que des sites spécialisés pensant qu'ils auraient plus de contacts et surtout plus de poids pour faire réparer ces failles mais malheureusement, au bout de 4 semaines, elles ne sont toujours pas corrigées exceptée celle du journal en ligne (un nouveau système était soit disant en phase de test...).

Donc que faire ?? Je suis utilisateur de ces sites là, mes données personnelles voire même mes informations bancaires sont stockées dans leurs bases de données, si quelqu'un d'autre découvre ces vulnérabilités et les exploite, contre qui puis-je me retourner ? Contre les administrateurs qui n'ont pas pris la peine de corriger ces failles pensant surement que ça ne valait pas la peine (surtout que les sociétés mises en cause ne sont pas vraiment réputée pour leur réactivité face à leurs clients...) ? Il y aurait bien la CNIL qui pourrait aller mettre son grain de sel pour obliger les responsables des sites en questions à corriger pour protéger les données personnelles mais les pauvres, ils sont débordés...

Un autre point est important, ce que je fais en découvrant ces failles est à la limite de la légalité car évidemment, je n'ai pas l'accord des responsables et peut être même qu'en avertissant ces personnes, je m'expose à des poursuites mais alors que dois-je faire ? Laisser comme ça et oublier ce que je viens de trouver en me disant qu'à chaque fois que je me connecte sur ces sites là quelqu'un peut intercepter mon ID de session et se connecter derrière moi ou alors aller plus loin dans l'illégalité, exploiter ces failles en espérant les faire réagir ?

La sécurité des applications Web n'est pas un sujet nouveau mais j'ai l'impression que les admins et développeurs s'en moquent complètement à tel point que beaucoup d'entre eux ne testent même pas un minimum la sécurité de leurs applications avant de publier leur travail. Encore une fois, le problème pourrait être résolu en faisant un peu d'évangélisation autour de la sécurité mais quand je vois que certains développeurs d'applications n'ont aucune culture informatique et surtout aucune volonté d'aller voir autre chose que ce que leur fournisseur de logiciel préféré leur donne, ça me fait froid dans le dos...

830 millions de dollars plus tard et IronPort fait maintenant parti de Cisco...

Surement peu de lecteurs ici connaissent cet éditeur de sécurité mais les produits de la gamme sont excellents, j'espère que le résultat de l'intégration de la technologie dans les boitiers Cisco sera réussie et que ça ne sera pas fait n'importe comment comme pour beaucoup de cas.

Il est temps que ça s'arrête là, la bulle 2.0 doit éclater sinon on va encore se retrouver avec 4 géants : Microsoft, Symanthec, Cisco et Google et puis rien d'autre à coté.