Teramagazine 9 part 1

9NOVEMBRE 2014

SPÉCIAL

Make & DIYDÉCOUVREZ LA TENDANCE MONDIALE. DEVENEZ UN MAKER

GAGNEZ UN

RASPBERRY PI

B+

TERA-QUIZ

LE CLOUD COMPUTING EN 3 MOTS

MA

GA

ZINETERA

LA PREMIÈRE REVUE MAROCAINNE EN INFORMATIQUE , TÉLÉCOM & IT DEPUIS 2012

DEVENIR SYSADMINTera AtelierUn focus sur la gestion des logs avec Syslog-ng

Transformez votre téléviseur en Media Center.

EP: 6

VS

LA FAILLE QUI FAIT TREMBLER LE WEB

CrowdFunding

Votre mail piraté

AndroidCyanogenMod

CNDP

LE NOUVEAU MODE DE FINANCEMENT.

4 OUTILS POUR VÉRIFIER SI UN COMPTE MAILI EST PIRATÉ.

L'INTERNET DES OBJETS EST LA RÉVOLUTION DU 21 ÈME SCIÈCLE

LA GUERRE FROIDE ENTRE GOOGLE ET CYANOGENMOD

PROTECTION DES DONNÉES PERSONNELLES AU MAROC

IAAS, PAAS & SAAS

PAGE 113

PAGE 70

PAGE 61

PAGE 11

PAGE 116

PAGE 17

PAGE 71

PAGE 39

PAGE 91

PAGE 73

L'INTERNET DU FUTURE

DOSSIER

SPÉCIALP 99

IOT

ShellShock

TO ENRICH YOUR KNOWLEDGE

TERA

MA

GA

ZIN

E

WEARE BACK

Teramagazine 9 est prête, enfin !. Après un an d’arrêt, nous reprenons notre activité, plus moti-vés que jamais. Pour des contraintes hors du contrôle de l’équipe, nous avons mis en pause la

publication de notre revue. Nous demandons excuse auprès de vous tous.

Heureusement, Teramagazine via ses 8 numéros a pu, grâce à son contenu original

et de valeur, attirer une large masse de lecteurs et se faire une place dans le milieu informatique marocain.

Durant toute cette période d’arrêt, nombreux sont ceux qui ont inter-agit avec nous pour

caonnaître la date de la pub-lication du prochain numéro. Nous avons pu sentir via ces feedbacks L’engouement et l’intérêt qui sont portés pour notre revue. Hamdolah, on publie un travail que beau-coup d’informaticiens aiment lire :).

Grâce à l'encourage-ment accumulé, Nous avons décidé de se serrer les coudes et de

prendre de notre temps pour

relancer l’aventure.

Nous reprenons la marche avec de nouvelles visions et un nouvel enthou-siasme. L’équipe

Teramagazine a été reformée et de nouvelles compétences nous ont rejoint.

Les tendances actuelles sont multiples : objets connectés IOT, l’im-pression 3D, la robot-isation au service des

personnes, le Cloud Comput-ing personnel, l’informatique embarquée ou miniaturisée,etc. Nous essayerons dans nos prochains numéros d’accom-pagner ces tendances et de vous rapprocher plus de ce qui se prépare pour le présent et pour le futur.

Enrich your knowledge

BELLAJ BadrEditeur En Chef

L’écriture est un exercice spirituel, elle aide à devenir libre et à mieux organiser ses connais-sances. Notre porte

est grande ouverte devant vous pour nous rejoindre et participer à la rédaction de la prochaine édition. En partag-eant vos connaissances, vous aidez les autres à développer leurs compétences.

Vous l’avez donc compris via TeraMagazine, nous partageons nos expériences pour enrichir les vôtres d’où le slogan auquel nous sommes toujours fidèles «Enrich your knowledge».

9

VS

ShellShock

3 | TERA MAGAZINE TERA MAGAZINE | 4

IOT : L'INTERNET DU FUTUR

LA RÉVOLUTION SDN

SOMMAIRE

5-10 TECH NEWSL'ACTUALITÉ DU MONDE IT

11 SHELLSHOCKLE BUG QUI SÈMME LA TERREURE

17 CNDPLE PROTECTEUR DES DONNÉES PERSON-NELLES AU MAROC

21 L'E-REPUTATION APPRENEZÀGÉRERVOTREE-REPUTATION

27 GOOGLE NOWAPPRENEZ LES COMMANDES VOCALES

29 ADSL ET LIAISON LOUÉEFAITES LE MEILLEUR CHOIX

35 BLACK HAT 2014UNRÉSUMÉDEBH2014

39 DEVENIR SYSADMIN SURVEILLEZ L'ACTIVITÉ DE VOS SYSTÈMES

61 CYANOGENMODUN CONCURENT DE TAILE POUR ANDROID

71 CLOUD EN 3 MOTS PRÉSENTATION DES MODÈLES DE CLOUD

73 SPÉCIAL DIY & MAKEDÉCOUVERTE DE LA TENDANCE MAKE/DIY

73 TERA-ATELIER CRÉER UN PI MEDIA CENTER

113 CROWDFUNDINGLE PROTECTEUR DES DONNÉES PERSONNELLES AU MAROC

115 ALIBABAA GREAT CHINESE SUCCESS STORY

99

11

53

MAKE & DIY 73

9

SHELLSHOCK

QUIZ116

GAGNEZ UN RASPBERRY PI B+

TERAMAGAZINE3

TERAMAGAZINE 9

5 | TERA MAGAZINE TERA MAGAZINE | 6ANDROID 5.0LOLLIPOP

MATERIAL DESIGN

L'unedesesmodificationsles plus visibles d'Android 5 est son interface ap-pelée Material Design. Elle a subi un certain nombre de changement au niveau de son esthétique et de sa facilité d'utilisation qui ont considérablement amélioré l'utilisation de l' Android. En bref, la plate-forme est encore plus belle et plus simple à utilisé. MULTI COMPTE UTILISA-TEURS

Le propriétaire de l'appareil peut créer des comptes utili-sateurs, ou un compte invité et activer ou non les appels et les SMS. Les applications ne sont pas partagées, les paramètres non plus et même les photos sont privés.

DES NOTIFICATIONS PLUS INTELLIGENTES

Lesnotificationsonttoujoursjoué un grand rôle, arrangées dans un menu en haut de l'écran qui pourrait être glissé hors de la vue. Lollipop conserve la mêmeconfiguration,maisajouteégalementdesnotificationsàl'écran de verrouillage. Vous serez aussi en mesure d'ajuster facilement les paramètres, assur-antqueseuleslesnotificationsdeservicesspécifiquess'af-fichent.Vouspouvezégalementconfigurervotretéléphonepourdésactiverlesnotificationsen-tièrement pour une période de tempsdéfinie.Lesnotificationsauront l'allure de ce que Google appelle des cartes. Ces dernières seront interactives et pourront être rangées les unes sous les

autres et sorties de l'écran en un glissement de doigt.

PERFORMANCES DE LA BAT-TERIE SONT CONSIDÉRABLE-MENT AMÉLIORÉES

La vie de la batterie des Smart-phones est notoirement courte. Android5.0devraitaméliorerl’autonomie des terminaux.

Pas de recette magique employée, seulement du bon sens et un des techniques issues du Projet Volta. Il s'agit d'une nouvelle API qui permettra de réduire les requêtes des applica-tions et par conséquent réduire la consomation électrique. Les développeurs sont également en mesure d'invoquer cette fonction de la batterie à partir de leur code, minimisant ainsi l'impact des applications sur la vie de la batterie.

SÉCURITÉ

Un autre ajout à Lollipop comprend une nouvelle façon de déverrouiller vdotre appa-reil, appelé Smart Lock, qui utilise un appareil compatible Bluetooth - comme le Moto 360-ouuntagNFC,pourdéverrouiller automatique-ment votre téléphone. Si la fonction est activée, votre téléphone se déverrouille automatiquement quand il est proche de l'appareil Blue-tooth ou si vous appuyez sur un tag NFC. Lorsque vous êtes trop loin, votre PIN, mot de passe ou Pattern Lock s'active.

Googlemetfinauxrumeursautour du nom du nou-veau Android annoncé lors du dernier Google I/O. La nouvelle version Android

5.0nomméeAndroidLollipop(sucette)succèdera donc à Android KitKat. Il s'agit du premier lifting réel depuis Cream Sandwich4.0Ice.Android5.0Lollipopapporteun

changementsignificatifdeconceptionsans égarer trop loin de l'expérience Android familier.

TERAMAGAZINE5


5.0

Sans prévenir Inwi a lancé la course vers l’offreillimitée

en septembre dernier, lors du dévoilement de sonoffre100%illim-itée. Inwioffredonc150heuresdecommu-nications gratuites sur son réseau, évoque un accès à la 3G+ sans plus de précision. L’entre-prisedonneaccèsà31destinations étrangères, et facture ses forfaits à499dirhamspourunabonnement sans mo-bile avec engagement d’unanet649dirhamsavec le mobile et en-gagement de 2 ans.

Les deux autres

opérateurs ont répondu rapidementàl’offred’Inwi

Pour Maroc Télécom, il n’y a pas de limite poursonoffrevoixsur son réseau, un vrai illimité. Elle donne accèsà18destinationsétrangères. Comme chez Inwi, les appels et SMS demeurent facturés en roaming. Côté Internet, Maroc Télécom indique que les abonnés auront accès à un débit de 14,4Mbps,Inwisembleproposer plus en parlant de 3G+. Pour la factur-ation du forfait, il n’y a pas d’abonnement sans mobile mais celui avecmobilecoûte49

dirhams avec engage-ment de 2 ans. Maroc Télécom souligne l’absence de limite pour sonoffrevoix.

Pour méditel, le forfait 20Hquiestpasséà24H,sansmobile,avecun prix de 399 dirhams par mois, le nombre d’heures de communi-cation voix sur le réseau Méditel est demeuré à 75H,lesSMSsontaussirestés au nombre de 1000,maislesdonnéesInternet ont grimpé de 10GBà12GB.Leprixduforfait avec mobile est luiaussidemeuréà499dirhams par mois.

La marque Nokia sur les télé-phones portables fait désor-mais partie du passé. Micro-

softaconfirméquelesprochainsSmartphones Lumia seront désor-mais étiquetés « Microsoft Lumia », en lieu et place de « Nokia Lumia ». Outre l’abandon de la marque Nokia, Microsoft pourrait égalementmettrefinàl’utilisationde l’étiquette Windows Phone sur les Lumia, en faveur de l’utili-sation de la marque et du logo Windows

TECH NEWS

IAM, INWI, MÉDITEL PROPOSENT L'OFFRE 100% ILIMITÉ

MAROC TÉLÉCOM SOULIGNE L’ABSENCE DE LIMITE POUR SON OFFRE VOIX

LA COUR DE CAS-SATION et la société LexisNexisMaroc(filialefrançaise du LexisNexis france) ont signé une convention de parte-nariat, pour publier, via le portail de recher-che et d’information juridique www.lexis-

maroc.ma, les arrêts rendus par la Cour.

L’accord s’intègre dans le cadre du plan stratégique initié par la Courdecassationafinde promouvoir le droit d’accès à l’information

et de la transparence des données publiques.

La Cour de cassation avait d’ailleurs déjà annoncé, en janvier dernier, le lancement d’une chaîne youtube TV Cassation.

le site LexisMaroc est dédié aux juristes d’af-faires(avocats,notaires,

juristes d’entreprises, conseils juridiques et fiscaux)etproposeunservicepayant(àpartirde16.000DHparan)pouravoir accès aux archives duBulletinofficiel.

LES ARRÊTS DE LA COUR DE CASSATION SERONT EN LIGNE

Nokia lumia n'exi-ste plus elle de-vient "Microsoft Lumia"L'ABANDON DE LA MARQUE NOKIA EST OFFICIEL.

TERAMAGAZINE 6

www.lexismaroc.ma

www.lexismaroc.ma


la "Linux Foundation" a lancéofficiellementleprojet Dronecode pour

développer une plate-forme commune, partagée et open source pour les drones.

Ce projet constitue la pierre angulairedansleseffortsdela fondation pour accélérer

l'adoption des logiciels open source qui sont plus abor-dablesetplusfiablespourles drones. Grâce à ce projet, les travaux pourront béné-ficierd’unappuidigned’unprojet de grande envergure etd’unfinancementassezimportant. La foundation

linux est soutenu dans ce projet par des géants comme la 3D Robotics, Baidu, Box, Intel, Qualcomm, et d’autres.

Dronecode comprend le projetdePX4etlaplate-forme ArduPilot de drone APM, qui était auparavant hébergé par Robotics 3D. Ce

projetimplique1200déve-loppeurs.

Le résultat attendu est une plateforme logicielle open source destinée aux drones quideverait constituer la base pour les développeurs et aux équipes de R&D pour créer leurs projets de drone.

LA FONDATION LINUX ANNONCE LE PROJET DRONECODE

Prèsde7millions,exac-tement6.937.081nomsd'utilisateurs et mots de

passe Dropbox ont été piraté. Apparemment, par des services tiers que les pirates ont réussi à dépouiller les informations deconnexion.Cesidentifiantsont donc été récupérés depuis d’autres sources et non depuis les serveurs de Dropbox.

L’affaireaétédévoiléesurlesiteappeléPastebin(http://pastebin.com/NtgwpfVm) où les pirates présentent un échantil-londe400comptespiratés.Lespirates promettent de divulguer

plus de comptes en échange de dons Bitcoin. Les hackers prétendent avoir plus de 6,9 mil-lions d'adresses email et mots de passe appartenant à des utilisa-teurs Dropbox. Ce dernier de son côté, déclare dans un communi-qué ne pas avoir été hacké.

Reste qu'il peut être bon pour les utilisateurs de Dropbox d'activerl'authentificationpardeux facteurs. Pour ce faire, rendez-vous dans les sections paramètres puis Sécurité. Ce processus se base en plus du mot de passe sur un code envoyé à l'internaute par SMS.

DROPBOX PIRATÉ

En application des orien-tations générales pour le développement du secteur

des télécommunications et des décisions du Conseil d’admi-nistration de l’ANRT, l’appel à concurrence pour l’octroi de licences pour l’établissement et l’exploitation de réseaux de télécommunications utilisant les

technologiesmobilesde4èmegénération(4G)seralancéle17novembre2014.

Aceteffet,lesopérateursdetélécommunications et autres parties Intéressés sont invités à retirer auprès de l’ANRT le dossier de l’appel à concurrence, etce,àpartirdu17novembre2014

OCTROI DE LICENCES DE LA 4G AU MAROC

TERAMAGAZINE7

http://pastebin.com/NtgwpfVm

http://pastebin.com/NtgwpfVm


INBOX TECH NEWS

LA NOUVELLE BOÎTE DE RÉCEPTION QUI VOUS SIMPLIFIE LA VIE

Google a annoncé une nouveauté liée à Gmail, intitulée Inbox, sur laquelle il a travaillé

depuis plusieurs années. L'idée derrière ce nouveau service est simple : "proposer une toute nouvelle présentation de la boîte e-mail visant à rendre plus facile pour les gens à trouver leurs messages les plus impor-tantesenpremieretdesimplifi-er la recherche dans leurs archi-ves de courrier électronique. Les fonctionnalités proposées sont :

GROUPES : les messages similai-ressontregroupésafinquevouspuissiez les traiter ensemble, ou vous en débarrasser d'un coup.

L'ESSENTIEL : prenez connaissan-ce des informations importantes sans même avoir à ouvrir le message. Consultez directement vos billets d'avion, les informati-ons d'expédition de vos achats, ou encore les photos qu'un ami vous a envoyées.

RAPPELS : configurezdesrappelsquis'afficherontdirectementdans votre boîte de réception afindenerienoublier.

MISE EN ATTENTE : mettez les e-mails et les rappels en attente

afindelesconsulterlorsquevousenavezletemps(lasemaine suivante, de retour à la maison ou quand bon vous semble).

RECHERCHE : Inbox vous permet de retrouver exactement ce que vous cherchez, qu'il s'agisse de vos horaires de vol ou de l'adresse d'un ami, sans avoir à parcourir tous vos messages.

FONCTIONNE AVEC GMAIL : Inbox étant conçu par l'équipe Gmail, vous y retrouvez tous vos messages Gmail avec la même fiabilitéetlamêmeprotectionantispam. De plus, tous vos messages continuent et conti-nuerontdefigurerdansGmail.

L’application de Google est actuellement en phase de test bêta. Ceux qui veulent tester INBOX devront demander une invitation via un compte Gmail en Envoyant un e-mail à l'adres-se :

[email protected].

Inbox est accessible via web sur inbox.google.com et une appli-cation android est disponible sur googleplay.

TERAMAGAZINE 8


Le grand succès de l’iPhone 6 a été gâché par de nom-breux problèmes

d’utilisation apparus après son lancement. Le début de cette série de problème a commencé lorsque plusieurs pro-priétaires ont constaté que le téléphone, trop léger, se pliait dans les poches des pantalons. Cetteaffaireavaitprisde l’ampleur sur les réseaux sociaux, avec

la création du hashtag #Bendgate sur Twitter pour donner naissance au premier Gate.

La polémique se poursuit avec l’appari-tion du #Hairgate. Le téléphone d’Apple était alors accusé d’arracher les cheveux et les poils des utilisateurs lors des communications.

Après le "Bendgate et l’"Hairgate"; Le "Dyegate", un nouveau

problème est apparu. L’iPhone 6 est accusé de changer de couleur à force d’être au contact des poches des jeans des utilisateurs. Les bandes de plastique situées sur le côté du téléphone, se colorent en bleu à cause du frot-tement avec les poches de jeans qui déteignent sur le plastique.

L’IPHONE 6 PLUSREDÉMARRE EN BOUCLE

L’IPHONE 6 SOUFFRE DU "BENDGATE", "HAIRGATE" ET "DYEGATE".

LE SMARTPHONE “GRAND FORMAT” D’APPLE SOUF-FRIRAIT D’UN PROBLÈME D’INSTABILITÉ À PARTIR DU MOMENT OÙ IL CONTIENDRAIT TROP D’APPLICATIONS.

BENDGATE

DYEGATE

L’iPhone 6 Plus est eneffetdésormaispointé du doigt.

Plusieurs dizaines de plaintes sont déposées sur le forum de discus-sion d’Apple. Ces utilisa-teursaffirmentqueleurnouveau Smartphone se plante, puis redémarre en boucle, après l'instal-lation d'un grand nombre

d’applications, rendant impossible son utilisa-tion par la suite.

Le problème ne toucherait cependant pas toutes les versions de l’iPhone 6 Plus, mais uniquement les modèles équipés d’une capacité de mémoire de128Go,soitlesmodèles les plus chers de l’iPhone 6 Plus

TERAMAGAZINE9


LE JEU AGE OF AMPIRE EST DE RETOUR

INWI DAYS LES 29 & 30 NOVEMBRE

BENDGATE

Le fameux jeu de straté-gie Age of empire est relancé par Microsoft

surWindows8.1ettousles appareils compa-tibles, Windows Phone ou tablettes.

Ce jeu de guerre est basé sur la conquête desennemis.Iloffreauxjoueurs la construction desvillesfortifiéesdeschâteaux et exploiter les ressources et créer sa petite armée afindepartirà la conquête des territoires voisins.

Unseulachatsuffirad'ail-leurs à accéder au jeu quel que soit le support. Ce jeu de stratégie compatible avec les appareils tactiles en tête, le jeu proposera uneinterface"fingerfrien-dly". Côté multi-joueurs, il sera possible de créer des alliances et de lancer de véritables guerres entre joueurs humains.

En troisième édition, l'événement INWI DAYS se déroulera

29-30novembre,àCasa-blanca.

LesinwiDAYS2014sontdeux journées dédiées aux objets connectés, regroupant des experts internationaux du do-maine. Un site inwidays.

ma permet à des porteurs de projets en lien avec des objets connectés de présenter leurs idées, en vue d'obtenir des votes facebook et voir leurs projets retenus pour par-ticiper au hackathon en vue de remporter une aide financièrede100000dh.

La ville de

Marrakech accueillera, le 5 ème Sommet global de l’Entrepre-neuriat(GlobalEntrepreneur-shipSummitGES)au20et21novembresouslethème:«Exploiter la puissance de la technologie en faveur de l’innovation et l’entrepreneu-riat».

GES est le rendez-vous qui réunirade3000entrepreneurs,des chefs d’Etat, de hauts res-ponsables gouvernementaux, des entrepreneurs mondiaux, des petites et moyennes

entreprises(PME),deschefsd’entreprise et des jeunes en-trepreneurs du monde entier. On y trouvera également, un «Village de l’Innovation » où de jeunes entrepreneurs et innovateurs de l’Afrique et dans le monde pourront promouvoir leurs projets et échanger sur les innovations.

Cette 5e édition du GES a pour objectif principal de doter les entrepreneurs des compétences et des ressources nécessairespouraffronterla concurrence et prospérer durant le XXIe siècle. Pour plus d’information visitez le site officieldel’événementwww.gesmarrakech2014.org

GES 2014

TECH NEWS

TERAMAGAZINE 10

inwidays.ma

inwidays.ma

www.gesmarrakech2014.org

www.gesmarrakech2014.org


TERAMAGAZINE11

Tout le monde a toujours cru que Unix et Gnu/Linux sont des systèmes très sûrs. Cette

notoriété a été remise en cause, cette année avec l’apparition de deux problèmes de sécurité cata-strophiques ; le Heartbleed et le Shellshock.

AprèslafameuseaffaireHeart-bleed, la communauté Internet/linux a été choquée de nouveau par la révélation d’une nouvelle faille critique surnommée Bash Bug. Cette failleaffectelecomposantBashinstallé sur une grande majorité de systèmes Unix et Linux dans le monde entier.

Intitulé aussi « ShellShock » et déclaréenCVE-2014-6271etCVE-2014-7169,cettefaillepermetàunutilisateur malveillant de comprom-ettre en exécutant des commandes Shell et de prendre le contrôle des systèmes Linux, Mac OS X, utilisant Bash comme interpréteur de com-mande.

SHELLSHOCK EST-IL DANGEREUX ?

Malheureusement, il est très dangereux, le Shellshock permet théoriquement de prendre un contrôle total de la machine ciblée. Contrairement aux grosses menaces

récemmentdécouvertes(commeHearthbleed) qui se contentent de récupérer des données, Shellshock va bien plus loin. L’agencedesécuritéRapid7luia

attribuéunniveaude10/10encequi concerne sa gravité. De son coté L’organisme National Institute ofStandards(NIST),donneluiaussiunscoreparfaitde10point(http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-7169) concernant l’impact et le danger de cette faille.

Shellshocks porte atteinte à un grand nombre de distributions GnU/Linux Debian ubuntu Redha Mageia Suse Fedora ArchLin Gentoo, etc .. Ces distributions constituent la ma-jorité des serveurs Web sur internet. Sans oublier Tous les Apples Mac OS et Microsoft Windows via Cygwin.

Un problème plus grave menace les dispositifs qui utilisent un Linux embarqué tels que les routeurs, les commutateurs et les appareils. Si vous utilisez un modèle qui n’est plusprisencharge(sansmisàjour),il peut être presque impossible de le protéger et il sera probablement vulnérable aux attaques. Vous devez donc le remplacer dès que possible.

LE BUG QUI SÈME LA TERREUR

#{ShellShock}

La vulnérabilité Shellshock est un risque majeur, car elle élimine le besoin de connaissances spécialisées et fournit un moyen simple pour prendre le contrôle d’une machine

Ecrit Par : IAAZA FAHDSpécialiste en sécurité


TERAMAGAZINE 12

La vulnérabilité Shellshock est un risque majeur, car il élimine le besoin de connaissances spécialisées et fournit un moyensimple(malheureusement,trèssimple) pour prendre le contrôle d’une machine(commeunserveurweb)etd’en faire exécuter du code.

QUELQUES EXPLICA-TIONS Lemotclédanscetteaffaireest

bash, de quoi s’agit –il ?

Bash(Bourne-Againshell)estuninterpréteur en ligne de commande de type script. Il est l'interpréteur par défaut du projet GnU, c'est une amélioration du Shell Bourne, reprenant desidéesduKornShell(ksh).Ilestdéveloppédepuis1988etiln'acesséde s'améliorer. Il a été distribué comme Shell par défaut sur de nombreuses distributions Linux et Mac OS X.

Le shell ou l'interpréteur de commande n'est pas un logiciel visible : vous l'utilisez essentiellement quand vous lancez le Terminal, il prend les commandes sur le canal d'entrée les

vérifieetillesexécute,c’estl’intermédiaire entre l’utilisateur et lesystème(noyau).

Basé sur le Bourne shell, Bash lui apporte de nombreuses améliorations, provenant notamment du Korn shell et du C shell. Bash est un logiciel libre publié sous licence publique générale GNU. Il est l’Interprète (informatique) par défaut sur de nombreux Unix libres, notamment sur les systèmes GNU/Linux. C’est aussi le shell par défaut de Mac OS X et il a été porté sous Microsoft Windows par le projet Cygwin.« Bourne again » est un jeu de mots sur le Bourne shell. Littéralement, Bourne again signifie « Bourne encore », mais se prononce également presque comme born again, signifiant « né de nouveau » ou encore « réincarné »

Bash : Bourne-Again shell

Bash, acronyme de Bourne-Again shell, est un interpréteur en ligne de commande de type script crée en 1988. C’est le shell Unix du projet GNU.

Comme tous les interpréteurs en ligne de commande de type script, Bash exécute quatre opérations fondamentales :• Il fournit une liste de commandes • Il permet d’utiliser les scripts ;• Il vérifie la ligne de commande lors de son exécution.En cas de validation, chaque ligne de commande est interprétée, c'est-à-dire traduite dans un langage compréhensible par le système d'exploitation, qui l'exécute alors.

COMPRENDRE LE SHELLSHOCK

Pour comprendre le Shellshock, il faut tout d’abord comprendre la source du problème. Le Bash permet contrairement aux d’autresShelldedéfiniretdepasserdes variables d’environnement vers un processus enfant. Ci dessous un exemple simple, qui montre le principe et l’utilisation des variables via bash. Ces variables sont utiles lors de l'exécution des commandes complexes.

ALORS, OU EST LE BUG? Voici une légère variation de l'exemple précédent

La commande “env”définitunevariabled’environnement(danscecasvariable1=Teramagazine),puison exécute une commande basée sur cet environnement. Ici, c’est l’exécution d’un deuxième shell Bash, qui à son tour fait appel à la ligne de commande ‘echo $ variable1isout’ ; Ce deuxième shell s’exécute donc dans un environnementoùvariable1=Teramagazine,ilafficheparconséquent “Teramagazine is out.” Au lieu de ‘echo$variable1is out’. La même chose, pour passer une fonction au lieu d’une variable à un sous shell envTerafonction=’(){echo “Teramagazine9 is out”; }’ bash -c ‘ Terafonction;’En assimilant ce principe de passage de variables d’environnement entre un shell et un autre ou vers un programme enfant. Nous pouvons désormais s’attaquer au problème.

LE BUG QUI SÈME LA TERREURE


TERAMAGAZINE13

Lors d’un passage de variables entreshells(bash),siondéfinitlafonction à passer de la manière

suivante :envTerafonction=’(){echo“Teramagazine9 is out “; }; echo “voici shellshock”’ bash -c “ Terafonction;”L’exécution de la fonction "Terafonction" ne se limitera pas àexécuterlecodedéfinitàsonintérieur echo “ Teramagazine9 is out “, mais exécute aussi le code situé après le délimiteur}; dans ce cas il exécute echo “voici shellshock”Pire encore, il n’est même pas nécessairededéfinirlecorpsdelafonction :envTerafonction=’(){:;};echo“voici shellshock”’ bash -c “true”dans cet exemple le résultat sera l’affichagede«voicishellshock»Donc, après une simple fonction vide contenant{:;}suffitpourexécuterdes commandes supplémentaires au shell. On peut donc injecter n’importe quel code après le délimiteur et le bash de la machine cible l’exécutera. Ce principe est similaire à celui de l’injection SQL

LES SYSTÈMES D’EXPLOITATION VULNÉRABLES AU SHELLSHOCK

Important

LE PROBLEME

En théorie, Une grande majorité des machines tournant sous Unix, Linux

et Mac OS X sont vulnérables. En revanche, toutes les distributions ayant un autre shellqueBash(kshell,cshell…)ou qui ont le SELinux activé sont protégés contre des exploitations de ce type. Sans oublier de mentionner que tous les matériels embarqués et les objets connectés ne sont pas des cibles pour le sellshok car ces matériels utilisent la plupart du temps busybox qui n'est pas vulnérable. Même si Android est basé sur linux il n’est pas concerné par cette faille car il utilise Amlquist shell(ASH).la vulnérabilité

shellshock existe en réalité depuis...

26 ANS

UN SYSTÈME VULNÉRABLE AU SHELLSHOCK


TERAMAGAZINE 14

LES ATTAQUES BASÉES SUR L'EXPLOITATION DU SHELLSHOCK

EXPLOITATIONUn projet hébergé sur github

rassemble une série de POC (preuvedeconcept)àcette

adresse github.com/mubix/shellshocker-pocs.

Si Bash n'était qu'un mécanisme pour accepter les commandes des utilisateurs, ce ne serait pas un gros problème. Le problème réside dans le fait que Bash est également devenu un moyen populaire pour les programmes informatiques d'invoquer d'autres programmes, Par conséquent, ces derniersserontaffectés.

Les conditions de l'exploitation à distance de la faille sont relativement simples :1./bin/shpointesur/bin/bash;2. Avoir SELinux désactivé ou mal configuré;3. Avoir un service qui écoute le réseau et qui va exécuter bash.

RedHatrapporte(https://access.redhat.com/articles/1200223) que les vecteurs d'attaque les plus courants sont:

• dhclient ;• apache,viamod_cgi(etsansmod_

securitycorrectementconfiguré);• httpd(YourWebserver):Lesscripts

CGI [CommonGateway Interface] sont concernés par ce problème. Eneffet,quandunscriptCGIestgéré par le serveur web, il utilise les variables d'environnement

pour transmettre des données au script. Malheureusement ces variables d'environnement peuvent êtremodifiésparl'attaquant.Silescript CGI appelle le shell Bash, le script pourrait donc exécuter du code arbitraire inclus dans les variablesd'environementmodifiésauparavant. Il reste à signaler que puisque httpd user. mod_php, mod_perl, et mod_pythonmod_python n'utilisent pas les variables d'environnement, ils ne sont pas affectés.

• exim;postfix;qmail;procmail;• openvPn;ssh• stunnel ;• SIP, FTP, • probablement d'autres

VÉRIFIERPour s’assurer, vous pouvez tester

votre système. Voici deux tests rapidesvouspermettantdevérifierl’intégritédevotresystème,afindesavoir s’il est vulnérable ou non.

Le premier test consiste à excuter la ligne de commande suivanteenvx='(){:;};echovulnerable'bash-c "echo test"Silemessagevulnérables’affichealors votre système est vulnérable. Siunmessaged’erreurs’afficheilest donc sain et sauf.

Le deuxième test :cd/tmp;rm-fecho;env'x=(){(a)=>\'bash-c"echodate";catechodoitretournerquelefichier"/tmp/ echo" n'existe pas.

LES MOYENS D'EXPLOITER LE SHELLSHCOK

https://access.redhat.com/articles/1200223

https://access.redhat.com/articles/1200223


TERAMAGAZINE15

SCÉNARIO

D'ATTAQUE Le principe d’une attaque exploitant la faille Shellshock se résume dans la communication d’un code malicieux à un programme vulnérable qui invoque le shell bash en lui passant ce code en tant que variable globale.

L’un des programmes les plus intéressants est le serveur web. Nous pouvons envoyer à un serveur web une requête http contenant des variables modifiéesdesortequeleurscontenu exploite la faille Shellshock.Quand un serveur utilise Bash pour invoquer un autre programme, il utilise souvent des variables d'environnement pour passer les entrées d'utilisateur. Par exemple, lorsque vous visitez un site Web, votre navigateur

envoie au serveur une variable appelée "User agent", qui indique au serveur quel navigateur vous utilisez.J’envoie donc une requête HTTPenmodifiantlavaleurdela variable user-agent qui sera passée au bash, par une valeur contenantledélimiteur(){:;};suivi par la commande $(</etc/passwd) que je désire exécuter sur ce serveur pour connaitre les utilisateurs.Donc la nouvelle valeur de la variable USER-agent sera (){:;};echo"Tera:"$(</etc/passwd).

Pour personnaliser les requêtes http comme désiré, nous pouvons utiliser soit :• le client CURL : curl-v-a’(){:;};echo“Tera:“$(</etc/passwd)’http://shellshock.notsosecure.com/cgi-bin/status• Deux plugins Firefox combinés : Modify headers pour la modificationdesvariableHTTPenvoyées et LiveHTTPHeader pour la lecture des échanges HTTP.La réponse du serveur retourne lecontenudufichier/etc/passwd. Donc nous avons réussi à exécuter un code malicieux à distance via une simple requête http. Vous pouvez imaginer donc le danger !!

EXPLOITATION DU SHELLSHOCK VIA CURL

Modify Headers est un plugin Firefox qui permet d'envoyer des entêtes HTTP modifiés vers un serveur.

Live_HTTP_Header est un plugin Firefox pour lire

les echanges HTTP entre un client et un serveur.


TERAMAGAZINE 16

Si votre système est vulnérable au shellshock, vous devriez mettre à jour votre bash, par exemple

pour le RedHat ou CentOS Lancez la commande de mise à jour :yum update bashpour debian/ubuntu

apt-get update bash

Avantdefixerleproblèmevouspouvezvérifierlaversoindubash installé. En RedHat 5(etCentOS 5)# rpm -qa | grep bashbash-3.2-24.el5

EnRedHat6(etCentOS6)# rpm -qa | grep bashbash-4.1.2-3.el6.x86_64

Si votre version est inférieure à 4.3vouspouvezappliquerundescorrectifs(patch)disponiblessurlesiteofficieldeladistribution(https://access.redhat.com/solutions/1207723). Une des solutionsefficacesetdifficilesserait de changer votre shell.

Shellshock est un risque majeur, les tentatives de son exploitation se multiplient et plusieurs

programmes malveillant ont vu le jour. Ne croyez pas que vous êtes isolés et à l’abri. Le ballon est dans votre camp, Ne perdez pas de temps. Mettez à jour votre système.

Rappelez-vous bien, cette vulnérabilité existe depuis. 26 ans, était-elle exploitée depuis qui sait !

Mettez à jour votre

Bash le plutôt pos-

sible

PROTECTION

Les serveurs web sont la cible la plus vulnérable au ShellShock

LES MOYENS DE PROTECTION CONTRE SHELLSHOCK


ÉCRIT PAR : EL ALAOUI KARIM RÉSPONSABLE SI

LE PROTECTEUR

DES DONNÉES PERSONNELLES

AU MAROC

CNDPVOSDONNÉES

EN VENTE

L´INFORMATIQUE EST AU SERVICE DU CITOYEN… ELLE NE DOIT PAS PORTER ATTEINTE À L´IDENTITÉ, AUX DROITS ET AUX LIBERTÉS COLLECTIVES OU INDIVIDUELLES DE L´HOMME … ». CF. ARTICLE PREMIER, LOI 09-08.

LES INFORMATIONS FOURNIES AUX ENTREPRISES OU AUX ADMINISTRA-

TIONS POUR RÉPONDRE À DES EXIGENCES ADMI-NISTRATIVES, ORGANI-SATIONNELLES OU COM-MERCIALES DOIVENT ÊTRE PROTÉGÉES PARCE QU’ELLES RELÈVENT DE LA VIE PRIVÉE ET PARCE QUE LEUR DIVULGATION EST SUSCEPTIBLE DE PORTER ATTEINTE AUX DROITS ET LIBERTÉS DES CITOYENS MAROCAINS. UNE PROTEC-TION QUI CONSTITUE UN DE NOS DROITS FONDA-MENTAUX.

LA SITUATION AU MAROC ? Conformément aux principes du Maroc qui se veut un pays de droit et aux orientations de la Stratégie Nationale pour la société de l’Informa-tion et de l’Economie Numérique déclinée en2009,notrepaysaadoptélaloin°09-08(http://goo.gl/8HtbQB) relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnelen18février2009.

A l’image de la CNIL en france, cette Loi a créé une autorité adminis-trative : la Commission Nationale de contrôle de la protection des données à caractère personnel (CNDP).Cettecommissiona été officiellement ins-talléele31août2010.

CNDP: CADRE LÉGISTLATIF

Avec la nouvelle Constitution adoptée En2011,l’article24

qui proclame que toute personne a droit à la pro-tection de sa vie privée, renforce le cadre légal de la cndp.

Cette institution fait du Maroc un des Etats pionniers en matière de protection des données personnelles dans le monde arabe et africain. Sa création représente une grande avancée dans la protection de la vie pri-vée des citoyens et dans la promotion des libertés et droits fondamentaux de l’homme.

Un acquis qui se confirme avec l’adoption du Conseil du gouverne-ment marocain jeudi 6 juin2014unprojetdeloi portant approbation delaConvention108du Conseil de l’Europe sur la protection des données personnelles. le Maroc deviendra ainsi le 2ème pays non membre du Conseil de l’Europe à adhérer à la Convention (aprèsl’Uruguaycettean-née également) et portera à47lenombred’ÉtatsParties à la Convention.

Cet instrument, adopté en 1981etseultexteinter-national contraignant en matière de protection des données personnelles. La ratification par le Maroc le permettra d’être consi-déré par l’Union euro-péenne comme un état assurant un niveau de protection suffisant de la vie privée et des libertés et droits fondamentaux des personnes, ce qui ne manquera pas de dynami-ser le développement des investissements dans le secteur de l’offshoring.

En outre, Cette adhé-sion est une étape impor-tante vers la reconnais-sance de la conformité du droit national aux stan-dards internationaux de protection des données personnelles.

Un exemple des SMS SPAM. Le numéro de téléphone étant une information personelle, comment à t-il pu tomber entre les mains des spameurs?TERAMAGAZINE17

http://goo.gl/8HtbQB


M. SAID IHRAI PRÉSIDENT DE LA CNDP

la CNDP demeure consciente de l’impor-tance du rôle qui lui échoit dans la pro-tection de la vie privée, des libertés et droits des citoyens. Ses membres et ses cadresn’épargnerontaucuneffortpouren faire une institution indépendante, efficaceauplaninterneetcrédibleauplan international.

ÉCRIT PAR : EL ALAOUI KARIM RÉSPONSABLE SI

OBJECTIF DE CNDPLa CNDP a pour objectif principal de veiller au respect des libertés et droits fondamentaux des personnes phy-siques à l’égard des traitements de données à caractère personnel.

»Logo de La CNDP

MISSIONS DE LA CNDP

»Informer les personnes physiques sur les droits que leur confère le nouveau cadre juridique régle-mentant l’utilisation de leurs données per-sonnelles au Maroc.

»Sensibiliser les organismes publics et privés sur leurs obliga-tions et les meilleures pratiques en matière de traitement des données personnelles.

»Conseiller et accom-pagner les responsables de traitement dans la mise en œuvre du processus de conformité aux dispositions de la loi 09-08 et de ses textes d’application. La CNDP assure aussi une mis-sion de conseil auprès du gouvernement, du parlement et des autres administrations, sur les aspects relatifs à la protection des données personnelles

»Expliquer aux opérateurs écono-miques les règles et les mécanismes régis-sant le transfert des données personnelles à l’étranger.

»Investiguer et enquêter afin de contrôler et vérifier que les traitements des données personnelles sont effectués conformément aux dispositions de la loi 09-08. A cet effet, ses agents peuvent accéder directement à tous les éléments inter-venant dans les processus de traitement (les données, les équipements, les locaux, les supports d’information …..). Ces contrôles peuvent donner lieu à des sanctions administratives, pécuniaires ou pénales.

»surveiller, étudier et analyser les tendances et les mutations technolo-giques, économiques, juri-diques et sociétales pouvant affecter la protection des données personnelles au Maroc.

En Mai 2014, CNDP et Microsoft se sontassocieés pour la protection des données personnelles. Une ocasion pour la CNDP de profiterdusavoir-fairede lafirmeamèri-caineen lamatière.Eneffet,Microsoftestà ce jour le seul fournisseur de Cloud Com-puting dont les solutions ont été jugées conformes aux lois de confidentialité del’Union européenne qui sont considérées comme les plus strictes dans le monde

CNDP EN ACTIONÀ l’occasion de la

journée internationale de la protection des données personnelles (DataProtectionDay)en25/02/2014.LaCNDPa mené la première opération de contrôle des sites web au Maroc. Cette campagne de contrôle a porté sur cinq catégories de sites : les deals, les annonces, les offresd’emploi,laventeen ligne et la réservation des chambres d’hôtel. L’objectif était d’évaluer le degré de confor-mité des sites web aux exigences légales en matière de protection de la vie privée et des liber-tés et droits fondamen-taux des personnes.

L’analyse des résultats du contrôle a révélé plusieurs situations de non-conformité par rapport aux exigences de

laloi09-08relativeàlaprotection des données personnelles. Ainsi, la majorité des sites web n’ontpasnotifiéleurtraitement à la CNDP. Peu de sites présentent un contenu relativement satisfaisant en matière de protection des don-nées personnelles.

La CNDP a entrepris des démarches pour inviter les responsables des sites concernés à se conformer à la loi. Elle a publié à cette occasion un document informatif regroupant les recom-mandations de la Com-mission en la matière. Le non-respect par ces derniers des dispositions de la loi donnera lieu à des actions plus persua-sives de la CNDP.

TERAMAGAZINE 18

19 | TERA MAGAZINE TERA MAGAZINE | 20LE SITE O

FFICIEL D

E LA CN

DP : W

WW

.CN

DP.M

A

Selon la CNDP La personne concernée par la collecte des données nominatives dispose des droits suivants :

Droit de Consentement : Toute opération de traitement des

données personnelles ne peut avoir lieu que si la personne concernée a exprimé son consen-tement d’une façon claire, incon-testable, libre et avertie.

Droit d'être informé lors de la collecte des donnéesDroit d’accès : Toute personne a le droit d'obtenir du respon-

sable de traitement, à des inter-valles raisonnables, gratuitement et sans délais, la confirmation que les données la concernant font l'objet ou non d'un traitement. Elle peut également demander les caractéristiques du traitement effectué telles ses finalités, les catégories et l’origine des données utilisées et les destinataires aux-quels elles sont transmises.

Droit de rectification : Toute personne peut exiger du res-

ponsable du traitement l'actuali-sation, la rectification, l'effacement ou le verrouillage des données personnelles la concernant lorsque ces dernières semblent être inexactes, incomplètes, équi-voques ou périmées.

Droit d’opposition : Toute personne a la possibilité de

s'opposer à tout moment, pour des motifs légitimes et sans frais, au traitement de ses données personnelles.

LES SANCTIONSToute infraction aux dispositions de la loi 09-08 est sanctionnée conformément au chapitre 7 de ladite loi.Le Chapitre VII fixe les sanctions civiles et pénales applicables qui peuvent aller, en cas de récidive jusqu’à quatre années d’emprison-nement et 300.000DH d’amende.Lorsque l’auteur de l’une de ces infractions est une personne morale, « et sans préjudice des peines qui peuvent être appliquées à ses dirigeants, les peines d’amende sont portées au double » (article 64). La personne morale peut voir ses biens confisqués et ses établissements fermés.

Chaque citoyen a la possibilité de porter plainte auprès de la CNDP s’il constate une utilisation de ses informations par une entité tière (Entreprise, Institution, ’), sans son accord

DEPUIS 2012, LA LOI 09-08 VOUS PRTÈGE

TERAMAGAZINE19

www.cndp.ma


La culture de la protec-tion des données per-sonnelles, est nouvelle

au Maroc. La CNDP est appelée donc

à jouer un rôle crucial en matière de sensibilisation, de protection, de contrôle et de sanction. En d’autre part, les citoyens marocains doivent être sensibilisés vis-à-vis au rôle de la CNDP pour protéger leurs don-

nées personnelles. Ils sont appelés à déposer leurs plaintes auprès de la CNDP contretoutesfraudes(smsnon sollicités, SPAM, appels téléphoniquepublicitaire…)qui atteint leurs vies privées pour faire valoir leurs droits.

Les ventes des bases de données des sites internet et des entreprises contenant vos informations sont des pratiques illégales courantes

au Maroc, donc La CNDP a devant elle un grand chantier pour éradiquer ses pratiques etinstaureruneconfiancenumérique.

Certes, Les Lois régis-sant ce domaine sont bien promoteurs mais il reste à les appliquer et obliger les acteurs(locauxouétranger)à les respecter.

Le13mai2014,lacourdejusticede l’Union européenne a rendu un arrêt majeur sur le «droit à l’oubli» en rapport avec les moteurs de recherche en ligne la cour de justice del'Unioneuropéenne(CJUE)areconnu le droit pour les particu-liers de demander à faire suppri-mer des résultats de recherche Google les liens vers les pages mentionnant des données per-sonnelles les concernant.

En vue de se conformer à la décision de la Cour européenne, l'entreprise américaine a mis en place une nouvelle procédure de demande de suppression decontenule30maidernier.Depuis cette date, un particulier peut donc demander directe-ment à Google de supprimer certains résultats de recherche au titre de la législation euro-péenne sur la protection des données.

La procédure de demande se fait intégralement sur internet. Via un formulaire de demande de suppression de contenu. (http://goo.gl/HttzEu)

Google devrait par ailleurs collaborer avec les autorités de protection des données compé-

tentes dans chaque pays européen concerné - la CNIL dans le cas de la France-afindemeneràbiencenou-veaudevoir.Cetteaffairedémontreque l'arsenal juridique accompagné par une présence d'une autorité de la protection des données peut pro-téger les utilisateurs ou clients des mauvaises pratiques des entreprises quel qu'elle soit

DEPUIS 2012, LA LOI 09-08 VOUS PRTÈGE

AFFAIRE EN RELATION

LA C

ND

P ES

T

VO

TRE

PR

OTE

CTE

UR

TERAMAGAZINE 20

http://goo.gl/HttzEu

21 | TERA MAGAZINE TERA MAGAZINE | 2221 | TERA MAGAZINE

E RÉPUTATION

L'internet est devenu en l’espace d’une quinzaine d’années un média de masse qui touche près de 16millionsd'internautesmarocains.L’omnipré-

sence des médias sociaux et l’hyper-réactivité du net en général favorisent une circulation de l’information (rumeurs,avis,..)trèsrapideautourdesproduitsoudes entreprises. L’e-réputation fait désormais partie intégrantedenotre“e-quotidien”,influançantleschoix des clients.

E-réputation ou la web-réputation, est l’opinion commune des internautes envers une entitémorale(entreprise,

produit, marque) ou physique (particulier),réelleouimaginaire.Pour de nombreux secteurs d’ac-tivité, La contribution de l’e-répu-tation est très importante dans la réputation et l’image globale de l’entreprise. À ce titre, le potenti-eldenuisancesetdebénéficespour vous n’est pas toujours maîtrisable. Une mauvaise gestion provoquedeseffetsmédiatiquesnégatifsquiinfluencentnégative-mentl’activitédevotre(ventes,celienèle ..).

Votre réputationsur la toile

ÉCRIT PAR : IMAD HACHIMIEXPERT COMMUNITY MANAGER

TERAMAGAZINE21

21 | TERA MAGAZINE TERA MAGAZINE | 22TERA MAGAZINE | 22

RÉPUTATION

la gestion de la E-répu-tation requière un manage-ment anticipé et pro-actif, au regard des situations de déstabilisation aux quelles peuvent faire face les entre-prises.

Auprofitdevotreentre-prise, Vous devez être préoc-

cupé par votre image sur Internet et potentiellement l’intégrer dans votre stratégie de communication. Pour une entreprise qui travaille en E-Commerce par exemple il est très important de réussir à créer une identité numérique originale, capable d'indi-vidualiser l'entreprise et la distinguer de sa concurrence

afind'attirerlesinternautes.Il est nécessaire dans un premier temps de considérer l’e-réputation comme porteusedebénéficesetderisques pour l’entreprise.

LES BÉNÉFICES D'UNE PRÉSENCE EN LIGNE :

une bonne E-réputa-tion vous aide à gagner de nouveaux clients, dévelop-pez vos activités et étendre votre part de marché. Si l'on a une page Facebook ou un blog d'entreprise, les feed-backs qui seront faits via les commentaires permettront de savoir s'il y ‘a un danger ou un mauvais Buzz autour de votre entrepris ou votre produit. Comme il permet de connaître l’opinion de la clientèle et satisfaire leurs besoins.

un enjeu de taille pour les entreprises

11 clés pour bien gérer sa E-réputa-tion.

L'E-

REPU

TATI

ON

ÉCRIT PAR : IMAD HACHIMIEXPERT COMMUNITY MANAGER

TERAMAGAZINE 22

23 | TERA MAGAZINE TERA MAGAZINE | 2423 | TERA MAGAZINE

Si avoir une présence en ligne peut apporter de nombreux bénéficesàuneentreprise,une absence ou une mauvaise maîtrise de l'identité numérique peut avoir des répercutions très négatives.

Une mauvaise E-réputation de la marque ou de l'entreprise peut entraîner de graves préju-dices en termes d'image et donc despertesauniveauduchiffred'affaires.Ne pas avoir de présence en ligne expose l'entreprise à de nom-breux risques, en voici quelques uns :

» Retard sur la concurrence

» Dégradation d’image auprès du publique

» Fragilité face aux risques d’opinion

» Circulation d’informations pré-judiciables sans connaissances

» Usurpation d'identité et cyber-squatting(problèmedupremier

arrivé, premier servi)

» Méconnaissance du con-sommateur

» Manque de dialogue avec la communauté

» Perte du feedback fait par les consommateurs.

Face à ces risques, des éléments simples peuvent être mis en place par l’en-treprise, comme la sensibili-sation du personnel ou bien l’intégration de logiciels de veille, pour contrer le risque informationnel.

GÉRER SA EREPU-TATION ?

Les marocains sont très actifs sur internet. Le nombre d'internautes est estimé à aumoins17,5millionsdepersonnes selon des sources professionnelles opérant dans le digital. Les internautes

marocains se connectent essentiellement pour accéder auxréseauxsociaux(74%)dont la moitié les utilise de manière quotidienne et plus d’un tiers y est présent entre 1heureet2heuresparjour.

Si Facebook était un parti politique au Maroc, il serait le plus puissant dans un pays où l’on compte 5,2 millions d’inscrits, avec un taux de pénétrationde21,7%.Enrevanche on remarque bien le manque d’engouement qu’ont les marocains pour Twitteravecseulement76700inscrits.

Comme le montre les statistiques d’alexa le moteur de recherche et youtube sont en tête des sites le plus visités au Maroc. vous êtes donc amené à considérer ces outils comme moyens d'amélioration de votre répu-tationnumérique.Eneffet,comme le souligne justement les experts de la E-réputation «votre marque n’est pas ce que vous en dites, mais ce que Google dit!».

Au Maroc, Le premier contact du consommateur n’est plus la boutique de la marque, mais le moteur de recherche. Vous devez par conséquent gérer une bonne SEO.Leschosesnedifférentpas pour les réseaux sociaux, faites appel à des commu-nity manager talentueux qui créent un contenu attractif et défendent l’image de votre entreprise ou produits. Il seront à la disposition des clients avec un suivi des feed-bak de la clientèle. La règle

L'impact de l'E-rep-utation sur les avis des consommateurs.

Les intérêts et les conséquences d'une bonne et une mauvaise E-repu-tation

LES RISQUES POTENTIELS D'UNE MAUVAISE GESTION DE L'E-RÉPUTATION :

TERAMAGAZINE23

23 | TERA MAGAZINE TERA MAGAZINE | 24TERA MAGAZINE | 24

Les intérêts et les conséquences d'une bonne et une mauvaise E-reputation

d’or « ne négliger aucun client ». Si vous rendez un client

mécontent,ilenparleraà10personnes de son entourage, ce phénomène est accentué sur la toile,oùces10personnesdevi-ennent100voir1000.AuMarocun mauvais avis est contagieux.

ETUDE DE CAS E-REPUTATION SUR FACEBOOK:

A titre d’exemple, évaluons l’e-réputation de trois entrepris-es marocaines qu’est IAM,INWI et MEDITEL sur Facebook. Ces 3 entreprises sont les champions des stratégies digitales. Elles sont présentes sur toutes les plate-formesderesautagesocial(Face-book,twitter,youtube,g+…).

Sur Facebook chacune est présenteavecunepageofficiellede plus d’un million de fans . Des pages actives avec une exposition continuedeleursnouvellesoffres.En analysant la page de inwi et IAM, la mauvaise gestion est apparente. Celle de méditel est plutôt mieux gérée. On constate que pour ch-aqueoffreprésentéelescommuni-

ty manager ne se soucient pas des feedbacks ni des demandes des utilisateurs.

Les commentaires et avis négatif sont omniprésent partout, ces deux entreprises ne répondent pas aux attaques pour donner des éclaircissements, rétablir des vérités, montrer leurs engage-ments, augmenter leurs capitals desympathie,…

Un client potentiel qui cherche de l’information concernant ces offres,auraunemauvaiseimageet partira voir du coté des concur-rents. Quant à méditel elle s’en sort mieux sur facebook, sans arriver au niveau satisfaisant. Elle offreunserviced’assistancein-clus à la page. Elle active l’option d’évaluation contrairement à inwi etiamquil’ontdésactivé(ont-ilspeur?)…

Nombre d'utilisateurs en afrique et au Maroc en 2013

Les tranches d'age des utilisateurs facebook au Maroc

En 2014 groupe Maroc Telecom vient d’être désigné parmi le Top 5 des entre-prises africaines les plus performantes sur Internet par l’agence Hopscoth Sy-stème Africa. L’information est relayée par l’agence de communication Hopscotch Système Africa qui a publié son baromètre digital des 50 entreprises d’Afrique francophone les plus perfor-mantes sur Internet.

PERF

ORM

AN

CE

Si Facebook était un parti politique au Maroc, il serait le plus puissant dans un pays où l’on compte 5,2 millions d’inscrits, avec un taux de pénétration de 21,7%

TERAMAGAZINE 24


Ces commentaires issus de la page Facebook de IAM et inwi représentent un bon exemple de la façon dont un événement mal géré peut prendre une ampleur impor-tante sur les réseaux sociaux.

Pour tester la réactivité des pages ciblées. J’ai fait le test d’envoyer un message sur facebook demandant de l’assis-tance, le résultat était comme suivant :• Maroc télécom ne répond

pas • Méditel répond dans un

bref délai• Inwi ont désactivé quasi-

mentl’option de reception des messages

Une entreprise qui se respecte doit exploiter tous les moyens pour satisfaire les clients, sur-tout les réseaux sociaux. Avec le manque de communication remarqué, ces trois entreprises doiventinvestirplusd’effortsurFacebookpourfidéliserclientèles et être à leur écoute.

TWITTER Sur TWITTER les trois opéra-teurs sont existants, on note le bon travail de Maroc Tele-com qui a élargi son service après-vente à Twitter. Son compte est actif et réagit aux

demandes des wtitteurs maro-cains.

VEILLER SUR LA RÉPUTATION EN LIGNE : Avoir une identité numérique valorisante est une bonne base pour éviter de porter préjudice à l'e-réputation de l'entreprise à la suite d'une crise. Cependant, le seul moyen de contrôler l'e-réputation est de réaliser une veille con-stante. Il prône ainsi, la mise en place d’ une surveillance continue et des rapports d’ analyse qui relèvent les com-mentaires négatifs sur le web.

Ci-coté une liste d’outils conçusàceteffet.

3 Exem-ples de la mauvaise géstion d'incidents touchant la E-repu-tation. Les exemples sont issues des pages officielles de IAM, INWI et méditel

L'impact d'un client mécontent sur les client potentielsTERAMAGAZINE25


67 Reputationvip.com permet de diagnostiquer, gérer et surveiller son e-réputation dans l es moteurs de recherche

54Hoot suite gère les

divers comptes sur les réseaux sociaux ,

32

1Vos outilsde veille

Reputationvip Mention.net

Topsy Google alerte

Le système « Google Alerts » et Google Suggest et google trends pour suivre ce que google dit de

vous.Foupas.com repère les posts sur Facebook,

mention.net permet de suivre toutes les pages web/ signaux sociaux où l 'on est mentionné.

Topsy.com traque toutes les conversations sur Twitter,

SM2, l’ outil développé par Social Eyez, pour faire du tracking conversationnel sur Internet .

L’e-réputation est une donnée particulièrementdifficileàmesurer et analyser. Cette

mesuredoiteneffetprendreen compte la nature des propos tenus(analysesémantique),mais également de la popular-ité des pages ou des contenus sur lesquels ces opinions sont présentes.

La gestion de l'e-réputation passe par la protection de celle-ci via l'anticipation des

mauvais buzz et par l'établisse-ment d'une solide stratégie de communication en ligne qui doitpermettrededéfinirclaire-ment les objectifs de l'entre-prise en matière d'e-réputation.

Malgré, toutes les précautions prises, les entreprises doivent être conscientes qu'il est impossible de contrôler entièrement une e-réputation. Les internautes créent eux-mêmes la multitude de contenu qui contribue à la

fabrication de l'e-réputation.Il est déconseillé aux entre-

prises de se lancer sur Internet en général et les réseaux sociaux en particulier, sans avoir préparé une stratégie et sans disposer d’outils pour la gestion de l’ image numérique.

Àlafinsachezquesilesparoless’envolent, les écrits, les vidéos et les images restent, se dupliquent et se répandent mondialement en quelques instants.

TERAMAGAZINE 26

Reputationvip.com

Foupas.com

mention.net


Google Now est un assistant personnel intelligent qui prend la forme d'une appli-

cation Android et iOS basée sur la reconnaissance vocale pour apporter des réponses aux requêtes des uti-lisateurs. Google Now est un service inclus par défaut en Android depuis laversion4.1(«JellyBean»)etilafonctionné pour la première fois sur le Galaxy Nexus.

Pour exploiter Google Now à fond, il suffitdeconnaître toutesles commandes vocales françaises. Évidemment il est impossible de les mémoriser, mais une fois que vous aurez compris le fonctionnement (verbe à l’infinitif + objet de lademande) et avec un peu de pratique parler à Google now devient facile. Depuis la mise à jour 2.4.10,

GoogleSearchpermetd’effectuerdesrecherches et d’avoir des réponses vocales en français.

Voici une liste des commandes importantes de Google Now exis-tantes pour les francophones dans l’ordre d’importance :

TOUTES LES COMMANDES VOCALES GOOGLE NOW EN FRANÇAIS

Avant de lancer une commande vous devez dire "OK Google" ou appuyez sur l'icône représentant un micro

Commandez le petit genie de votre appareil android

ÉCRIT PAR :ILHAME BENJELADÉVELOPPEUR JAVA

TERAMAGAZINE27


Ainsi, vous avez appris toutes les commandes vocales Google Now en français. Profitez-en !

1 Commandes Générales• Obtenirunedéfinition:Définir

[mot]• chercher une information : Qui est le

roiduMaroc,Quelleestlasuperficiedu Maroc, Quelle est la capitale de la france ...

• Faire une recherche d’images : « Montre-moidesimagesde(sujet)»

2 Contact et communication• Lancerunappel:«Appeler(nom

complet de la personne) ».• Envoyer un SMS : « Envoyer un

SMSà(nomcompletdeper-sonne) »

• Envoyer un email : « Envoyer unemailà(nomcompletdelapersonne)»,puis«Objet:…»etenfin«Message:…»

• Appelez votre messagerie vocale pour écouter vos messages : "Écoute ma messagerie vocale"

• 3 Carte et Navigation• Afficherunplan:«Cartede(lieu)»• trouver le chemin : "Comment aller

à .."• Calculer un itinéraire : « Com-

mentserendreà(lieu)»ou«Trajetvers(lieu)»

• Trouver un restaurant : « Restau-rantàproximité»,ou«(nomdurestaurant) à proximité »

• Situer sur une carte : « Où se trouve (lieu)à(ville)»

• Évaluer une distance entre deux villes : « Quelle est la distance entre (lieu)et(lieu)»

4 Heur et météo• Connaitre l'heure : Heure à [vile]• Horloge internationale : « Quelle

heureest-ilà(ville)»• Connaître la météo d’une ville

:«Queltempsfait-ilà(lieu)»ou«Météoà(lieu)»

• Connaître le lever et le coucher du soleil : « Lever du soleil »

ou « Coucher du soleil »

5 Calcul et conversion• Calculatrice : « Combien

font(chiffre+chiffre)»,ou«(Chiffre)plus(chiffre)»,ou«Racinede(nombre)»,etc

• Conversion:Convertir[valeur1]

en [valeur 2]

6 Applications• Ouvrir une application : Ouvrir

(nomdel’app)• Aller sur un site internet: « Aller à

(nomdusite)»ououvrir[nomdusite]

• 7 Divertissement• Écouter de la musique : « Ecou-

ter(nomdelamusiqueouduchanteur) »

• Connaître le résultat d’un match : « Quel est le résultat du matchde(équipe,ville,pays…)»ou«Est-ceque(équipe)agagné? »

8 Rappel, Agenda,Note et alarme• Ajouter Rendez-vous dans

l’agenda:«Rendez-vous(nomdurdv)le(date)à(heure)»

• Réveil : « Réveille-moi demain à (heure)dumatin/soir»

• Alarme:«Alarmedans(xx)minutes/heures »

• Créer un rappel : « Ajouter un rappel(objet)»ou«Rappelle-moide(objet)»

• Ajout de note : Nouvelle Note [contenu]

TERAMAGAZINE 28


L'ADSLLA LIAISON LOUÉE

Pour un grand nombre d’en-treprises la c o n n e c t i v i t é internet est une

nécessité pour se relieraux ressources et aux mar-chés voulus. Les besoins de l’entreprise en bande passante et en services associés sont définis par l'activité interne et par les services offerts à leurs clients en externe. Par conséquent, L’entreprise cherche une solution de connectivité adaptée à ses besoins et à son budget. A travers cet article nous découvrons deux types d’offres qui sont les plus répandus au milieu des petites et moyennes entre-prises, à savoir l’ADSL et la liaison louée internet.

Au Maroc, l'opérateur Maroc télécom(IAM)estleseulquioffreunforfait ADSL. il propose des for-mules d’abonnement spécialement adaptées aux besoins PME-PMI avec desdébitsADSL2+, allantde4à20Mbps. En plus du accès Internet Haut

Débit illimité, Iam affirme qu'elle propose des fonctions de bases et des options supplémentaires qui s’adaptent aux besoins de leurs clients professionnels. Il s'agit d'un compteWebSilver(60Mod'espacedisque,1nomdedomaine.ma,10emailsavec2God’espace/Email,10alias, 8 Go de Trafic, Statistiques de fréquentation, Interface de gestion de compte).

L'ADSL 2+ offre un meilleur débit avec de faibles degrés d'atténuation.

INTERNET À L’ENTREPRISE

OU

SAID HAMDIINGÉNIEUR TÉLÉCOM CHEZ INOTEL.

L’ADSL PRO

TERAMAGAZINE29


SAID HAMDIINGÉNIEUR TÉLÉCOM CHEZ INOTEL.

ADSLL'ADSL(AsymmetricalDigitalSubscriber Line) est une technologie permettant la transmission de données numériques à très grande vitesse en utilisant les bandes de haute fréquence de votre ligne téléphonique classique.. La traduction officielle de l'ADSL donne en réalité "raccordement numérique asymétrique" ou "liaison numérique à débit asymétrique". Un filtre est utilisé pour séparer les fré-quencesvocales(bassesfré-quences) des fréquences uti-lisées par les signaux ADSL (hautesfréquences).

Vous accédez donc à Internet à haut débit à travers votre ligne téléphonique grâce à un Modem ou un Routeur avec des choix de débits de 4Mà20M

Au Maroc, l'opérateur Maroctélécoms(IAM)estle seul qui offre un forfait ADSL

LES PRIX DE L'ADSLMaroc télécom propose des forfait ADSL à partir de 99DH par mois.• 4Moà99DHTTC• 8Moà149DHTTC• 12Moà199DHTTC• 20Moà499DHTTC

AVANTAGESDans le cas idéal, cette offre permet

une connexion à internet haut débit baséesurl'ADSLpouvantatteindre20Mégas, sans se soucier de la facture téléphonique, ni de la limitation du

temps.

①Sur le plan tarifaire cette offre est présentée à des prix adapté aux PMI/

PME.

② Avec l'ADSL WiFi, vous pouvez vous connecter à Internet de votre bureau ou même depuis une pièce voi-sine et ce avec une seule connexion

Haut Débit.

③Paramétrage du modem ADSL est facile à manipuler via une interface web

④Pour chaque nouveau client que vous parrainez, vous bénéficiez d'une réduction équivalente à un mois d'abon-nement de votre filleul.L'offre ADSL pro est une solution inté-

ressantesurleplanthéorique(unprixmoindre pour un haut débit), sauf que techniquement cette offre présente des limitations.

INCONVÉNIENTS:Les inconvénients de l'adsl sont mul-tiples et risquent de perturber l'activité de l'entreprise. Nous pouvons dénom-brer les problèmes suivants :

①La qualité de service n'est pas garantie(SLA)

②Risque de déconnexion conti-nu.Enmoyennetoutesles10minutes,(Dansmoncas).

③le débit n'est pas garanti, j'étais souscrisàuneoffrede20Mo,jenerecevaisque11MoMaximum.

④la ligne n'est pas symétrique. La vitessemontante(upload)resteparticu-lièrement faible par rapport à la mon-tée en puissance de certains usages tels que l'envoi de vidéos ou de photos enligne(utilisationduCloud,envoiedefichier..).

⑤Vous êtes à la merci de votre ligne. l'affaiblissement de votre ligne téléphonique(Leslimitessontde60dBpourlesoffres512Ket50dBpourlesoffres1024K).Enfonctiondu trajet emprunté par votre ligne entre le domicile et l'autocommutateur public, vous pouvez avoir des pertur-bations ponctuelles ou permanentes affectent les signaux ADSL.

⑥L’installation et la configuration du routeur ADSL est à la charge du client(Unkitdeconnexionest offert avec un guide pour installer votre maté-riel.)

Les débits des offres sont exprimésendébit ATM, ce qui correspond à un débit réel maximum en IP. A titre d’exemple l’offre20Mbits/scorrespondàpresque 16 Mbit/s enréceptionet 800 Kbit/s enémission.Deplus,ce n'est qu'un débit maximal, qui n'est que peu souvent atteint en pratique. Cela s'explique essentiellement par la distance relative du foyer connecté par rapportau DSLAM :pluscelle-ciest grande, plus le débit s'affai-blitetletempsderéponse(ping) devient important. D'autant plus que le ping doit poursuivre jusqu'à destination finale à tra-vers les routeurs Internet. Cette dégradation variable des perfor-mances n'est pas proportionnelle à la distance, elle dépend éga-lement de la qualité de la paire de cuivre utilisée et des bruits électromagnétiques parasites (EMI)présentsdansl’environne-ment. L’internaute ne profite pas réellement des meilleurs débits que si sa ligne n'excède pas une longueurde2500mètres.Au-delà, les débits entre l'ADSL et l'ADSL2+ sont quasi identiques.

Les Débits et les atténutations d'ADSL selon la longueur de la ligne.

DÉBIT D'ADSLRÉEL

TERAMAGAZINE 30

http://fr.wikipedia.org/wiki/Asynchronous_Transfer_Mode

http://fr.wikipedia.org/wiki/Digital_subscriber_line_access_multiplexer


AVANTAGESla liaison louée connecte le réseau

de l’entreprise directement au Backbone Internet de l’opérateur sans passer par des répartiteurs. Elle assure les profits suivants :

» Débit symétrique, garanti de matière permanente entre l'opérateur et le client . » Possibilité d’Hébergement d’appli-cations en interne grâce à plusieurs adresses IP Fixes » Bande passante symétrique. » Grand nombre d’utilisateurs selon le débit. » Sécurité optimisée. »Unegrandedisponibilitédevotreliaison et supervision automatique de la liaison et des équipements clients avec relève de dérangement.» Qualité de transmission de bout en bout garantie. En effet, cette offre bénéficie d'un SLA de l'opérateur.

Contrairement, à l'ADSL la liaison

Actuellement IAM est le monopole sur le marché de l’ADSL, il faut attendre quelques mois pour avoir des offres concurrentes de inwi et méditel. Une décision de permettre le dégroupage de la boucle locale ( la partie finale de la ligne téléphonique arrivant à l'abonné) a été prise par l’ANRT en 17 juin 2014. Une décision qui ouvre la porte devant les opérateurs d’utiliser la boucle locale de l’opérateur historique et proposer donc leurs propres offres.

En général, les entreprises optent pour la Liaison spécialisée pour les garantiesqu'ilyaderrière(tempsde disponibilité, support, ip fixes inclus....). La liaison louée est une solution plus performante que l'ADSL.

Basée sur une technologie géné-

ralementen fibreoptique,cettesolu-tion globale s’adapte parfaitement aux grandes structures et permet d’offrir un accès Internet très haut débit permanent(àpartirde1Mojusqu’à 155Mbps, chezIAM).

L'A

DS

L

Les avantages de la liaison louée

Certes l'offre ADSL-Pro vous permet de faire des écono-mies sur votre budget, mais au déprimant de la qualité de service. Si l'activité de votre entreprise peut tolérer les coupures d'internet et le basculement de débit cette offre est adaptée à votre entreprise.

ATTENDRE LA CONCURRENCE !

LA LIAISON LOUÉE

TERAMAGAZINE31


louée Internet est offerte par les trois opérateurs marocains. Votre entre-prise peut donc profiter des avantages concurrentiels présentés et choisir l'offre qui convient vos besoins en qualité de service et en débit en res-pectant votre budget .

Le service-level agreement (SLA)

est un docu-ment qui définit

la qualité de service requise

entre un presta-taire et un client

SLA

TARIFICATION Le tarif est forfaitaire et se

décompose ainsi :»Fraisd’installation :

variententre4900DHHTpourune64Kb/set250000DHHTpourundébitde155Mb/s

» Abonnement mensuel :Variententre3700DHHTpourune64Kb/set

220000DHHTpourune155Mb/spouruneLLLocale(unedistance<35km ).

Maroc Télécom offre des remisesallantà30%del’abonnement mensuel selon la durée du contrat souscrit.

CPE Cisco 7301 (STM1) pour un débit de 155 Mb/s

CPE Cisco 1941 en G.703 pour un débit inférieur à 2M

MAROC TÉLÉCOM GARANTIE UN TAUXDEDISPONIBILITÉ99.9%

3 700 DH HT/mois pour 64 Kb/s

L'OFFRE IAMMaroc télécom offre un flux de donnée continu, symétrique et garanti avec les Largechoixdedébits,allantde64kbpsà155Mbps» Possibilité de desservir le client via la fibreoptique(suiteétudedefaisabilité)» Supervision automatique par Maroc Telecom de la liaison et des équipements clients24h/24» Le client est équipé par des routeurs Cisco»Garantiedutauxdedisponibilité99.9%»Délaidemiseenservice21joursouvrables

SERVICES INCLUS • Routeur disposant d’un port WAN, BRI

etEthernet(équipementCisco)• 4adressesIPfixes• 10adressesemails• Un DNS national

• Un espace d’hébergement Web Silver

SERVICES OPTION�NELS

• Secours Marnis : Pour garantir une haute disponibilité de vos sites

• AdresseIPfixe(blocde16)• Adressesemails(uneou10adresses)• DNS National et International

TERAMAGAZINE 32


L'OFFRE DUAL PLAY :

spécialement conçue pour une PMEdemoinsde50employés.Uneoffreuniquementdis-ponible en technologie Radio (WiMAX). • Débit garanti symétrique de

1Mbpsou256Kbps• Débit allant jusqu'à 6 Mbps• 4adressesIPfixespubliques• 1nomdedomaine• 20adressesemail• 10Godecapacitépar

adresse email• Agenda• Carnet d’adresses• Transfert de fichiers lourds• Application smartphone• • Equipements et installation

inclus dans l’offre.• Installationen10j• Rétablissementen4h• Supervision24/7/365• Support technique : heures • ouvrés• • Prèsde90%deréduction

de prix sur la concurrence Cette offre flexible permet de choisir entre deux débits internet au choix.

Prix de l'abonnement de l'offre Dual Play

L'OFFRE MÉDITEL

L'OFFRE INWI

L'offre chez Méditel se présente en deux catégories

Le Service Internet Haut Débit chez inwi se com-pose :

• de services de plateforme• d’une connectivité Internet• de services en option

L'OFFRE HAUT DÉBIT SYMÉ�TRIQUE:

Adaptée aux gros consommateurs d'Internet, méditel propose un débit allantde1Mbpsàplusde1Gbps(lecasaujourd'huipourlaconnexionInternet du réseau MARWAN).

L'offre dual play offre près de 90 % de réduction de prix par rapport à la concurrence

FAS étant les frais d'accès aux services. Générale-ment, les prix sont de 30 à 40% moins chers (tout dépends si c'est sur un technologie Radio ou sur fibre optique, les zone d'activités....).

TERAMAGAZINE33


Les engagements de INWI

L'OFFRE HAUT DÉBIT:Les services suivants sont inclus dans cette offre. • Enregistrement des noms de

domaine• Le Fournisseur met à la disposition

du client un espace d’héberge-ment de boîtes aux lettres électro-niques dont la capacité maximale figure au Bon de Commande. Le nombre de boîtes aux lettres électroniques n’est pas limité. Les boîtes aux lettres sont à usage professionnel

• Espace de Stockage FTP• Espace d’hébergement statique

permet au Client de mettre en œuvre un site Internet

• IP public fixe• Garantie de temps de rétablisse-

ment :4H24hr/247j/7àcasaetrabat8H24hr/247j/7ailleursgarantiedutauxdedisponibilité :99.85%

• Délaimiseenservice :4semaines10semainepouraccèsenfibreoptique.

• Optionspayants :SecoursRNISouADSL

• Espace supplémentaires d’héber-gement de Boites aux Lettes élec-troniques

• Le Fournisseur fournira au Client un accès son Extranet pour suivre le débit, le Temps de Transit moyen et le taux de perte de paquet de son Lien d’Accès

Un Lien d’accès se carac-térise par la technologie d’accès souhaitée, un débit garanti montant, un débit garanti descendant, un débit crête montant et un débit crête descendant. La techno-logie d’accès, proposée par le fournisseur, n’est pas contractuelle, il détermine selon le besoin le tracé et les moyens techniques néces-saires à la fourniture du ser-vice commandé. Le Service

est essentiellement dispo-nible pour les clients dont les sites à relier sont situés dans les villes couvertes en BLR, faisceaux hertziens ou autres. En fonction du débit deman-dé, de la technologie d’accès utilisée, et des interfaces demandées par le client, des Équipements sont installés sur les Sites du Client

TARIFICATION La structure tarifaire du service

Internet Haut Débit comprend un abonnement mensuel au Service et les autres frais prévus ci-des-sous: • L'abonnement mensuel couvre la location, l’entretien du CPE, le service d’exploitation/mainte-nance ainsi que le raccordement via le Lien d’Accès et connecti-vité Internet.

IL est clair que la ligne spécialisée est un très bon choix pour l'entreprise. Elle vous permet d'offrir des services en ligne dans

des meilleures conditions. Chaque opérateur à ses avantages concurrentiels sur le plan du prix et du service, de ce fait, votre choix ne doit pas être arbitraire. Il est préférable de profiter des

expériences des autres clients. Par exemple un constat que je fais c'est que si vous êtes situés à casablanca, il vaut mieux se diriger vers une offre inwi/méditel mais si vous êtes ailleurs surtout dans les villes du sud IAM est votre bon choix.

• Les frais mensuels sont forfaitaires et varient suivant la technologie du lien d’accès, du débit de la connectivité Internet, de la nature du CPE et de la durée d’engagement, des frais éventuels d’abonne-ment aux services option-nels

TERAMAGAZINE 34

SOFTWARE

DEFINED

NETWORKING

“FOR A NETWORK ENGINEER, IT IS THE NEXT COOL TECHNOLOGY WHICH YOU WILL NEED TO KEEP A CLOSE WATCH ON. IF THIS TECHNOLOGY MEETS OR EX-CEEDS THE EXPECTATIONS, THEN THIS IS THE NEXT BIG EVOLUTION OF NET-WORKING AND YOU WILL NEED TO BE PREPARED TO RIDE THE WAVE.”

Vivek Tiwari : Network Architect

SDN

36

L es architectures réseaux traditionnelles sont mal adaptées pour répondre aux exigences des entreprises, des Service-Providers et des

clientsfinaux.LeSDN(SoftwareDifnedNetworking) vient pour donner une autre dimension aux architectures réseaux pourlesrendreplusflexiblesetplusévolutives.

SDN(SoftwareDefinedNetworking) est une architecture réseau émergente où le plan contrôle et le plan data sont séparés. L’intelligence réseau est logique-ment centralisée, et les infrastructures réseaux deviennent plus abstraites par rapport aux applications. Le SDN apporte autres aspects aux réseaux traditionnels comme la virtualisation, l'automatisation et le Provisionnig. En conséquence, cette nouvelle architecture représente un gain pour les entreprises et les fournisseurs de Service permettant ainsi de construire desréseauxflexiblesethautementévo-lutifs qui s'adaptent facilement à l'évolu-tion des besoins de l'entreprise.

Dans un monde SDN en pleine ébulli-tion,l'ONF(OpenNetworkFoundation)s'est autoproclamée organisme de normalisation

L’ONF(OpenNetworkingFoundation) est une fondation industrielle à but non lucratif qui mène l'avancement de la SDN et la standardisation des élé-ments essentiels de l'architecture SDN comme le protocole OpenFlow, qui permet la communication entre le plan de control et le plan Data des équi-pements qui supportent ce protocole. OpenFlow est le premier standard conçu

spécifiquementpourlesSDN,offredehauteperformanceetpermetlecontrôledutraficsur les périphériques réseaux de plusieurs fournisseurs.

Le SDN basé sur OpenFlow qui est en cours de déploiement dans une variété d'équipementsréseauxetlogiciels,offrantdes avantages substantiels pour les entre-prises et les transporteurs, y compris:

• La gestion centralisée et le contrôle des équipements provenant de plusieurs constructeur

• L’amélioration de l’automatisation et de gestion à l'aide des API communes en abstrayant les infrastructures réseaux par rapport aux applications et aux sys-tèmes de Provisionnig.

• Programmabilité par les opérateurs, les entreprises, les fournisseurs de log-icielslesutilisateurs(passeulementles fabricants d'équipement) à l'aide des environnements de programma-tion commune, qui de nouvelles possi-bilités de générer des revenus et de la différenciation;

• augmentation de la fiabilitéduréseauet de la sécurité grâce à une gestion centralisée et automatisée des périphériques réseau, et l'application de la politique uniforme, et moins d'erreurs deconfiguration.

Le SDN est conçu pour faire entrer les réseaux dans l'ère du cloud. Cette toute dernière évolution du réseau moderne apourambitiondelerendreplusflexi-ble,agile et dynamique, afinderépondreaux besoins professionnels en constante évolution

Il est temps de réviser les architectures WAN, grâce au SDN

SDN

ÉCRIT PAR : FARAJ ABDERAHIM. INGÉNIEUR RÉSEAU SPÉCIALISÉ EN DC.


Répondre aux exi-gences actuelles du marché est pratiquement impossible avec les

architectures traditionnelles du réseau. Face à des budgets réduits, les départements informatiques des entreprises tentent de tirer le maximum de leurs réseaux en utilisant des outils de management niveau-matériel(device-level management Tools) et de processus manuels. Les Services Providers font faceauxmêmesdéfisquelademande de mobilité et de bandepassante,lesbénéficessont érodés par la hausse des coûts des biens d'équipement et des revenus stables ou en baisse.

Les architectures des ré-seaux existants n'ont pas été conçues pour répondre aux exigences des utilisateurs, des entreprises et des Ser-vice-Provider d'aujourd'hui. Les concepteurs de réseaux

sont contraints par les limites des réseaux actuels, qui comprennent :

❶LA NATURE STATIQUE DES RÉSEAUX

Les technologies réseaux à ce jour sont basées sur des séries dis-crètes de protocoles conçus pour connecter les hosts d’une manière fiablesurdesdistancesarbitraires,des débits, des liaisons et des topologies. Pour satisfaire aux exigences opérationnelles et les besoins techniques, au cours des dernières décennies, l'industrie a évolué les protocoles réseau pour offrirdesperformancesetunemeilleurefiabilité,uneconnecti-vité plus large et une sécurité plus strictes.

Les protocoles ont tendance àêtredéfinidansl'isolement,cependant, avec la résolution de chaqueproblèmespécifiqueetsanslebénéficedesabstractionsfondamentales. Il en a résulté l'une des principales limites des

réseaux d'aujourd'hui: la complexité. Par exemple, pour ajouter ou dépla-cer un équipement, on doit toucher plusieurs Switchs, routeurs, Firewall, et Web authentication portals , etc. faire la mise à jour des ACL, VLAN, la qualitédesservices(QoS)etactiverd'autres mécanismes fondés sur des protocoles en utilisant des outils de management niveau-équipement. En outre, la topologie du réseau, le modèle Switch de constructeur et la version du Firmware doivent tous être pris en compte. En raison de cette complexité, les réseaux d'aujourd'hui sont relativement statiques.

❷L'INCOHÉRENCE DES POLITIQUES:

Pour l’implémentation d’une poli-tique à l’échelle d’un large réseau. Les responsables IT peuvent devoir configurerdesmilliersd'équipementset des mécanismes. Par exemple à chaque fois une machine virtuelle est ajoutée, le responsable IT peut prendre des heures et parfois des jourspourre-configurerlesACL.Lesarchitectures des réseaux actuelles ne permettent pas aux responsables IT d’implémenter une politique de sécu-rité et QoS cohérente, ce qui laisse les entreprises vulnérables aux failles de sécurité et livrées au non-respect delaréglementationetaffrontéesàd'autres conséquences négatives.

L'IMÉRGENCE DU SDNLA VIRTUALISATION DES RÉSEAUX

TERAMAGAZINE37


❸DÉPENDANCE DU CONSTRUCTEUR

Les opérateurs et les entreprises cherchent à déployer de nouvelles fonctionnalités et de services en réponse rapide à l'évolution des besoinsd'affairesoulesdemandesdes utilisateurs. Cependant, leur capa-cité à réagir est entravée par les cycles de production des équipements de fournisseurs, qui peuvent aller jusqu'à trois ans ou plus. Le manque de standards, des protocoles non propriétaires aux constructeurs limite la capacité des opérateurs d'adapter les réseaux à leurs environnements respectifs.

LE SDN LeSoftware-DefinedNetworking

(SDN)c'est,littéralement,lamiseenréseau basée sur logiciel. Le SDN permet aux administrateurs de réseau de gérer aisément des services en ligne par la virtualisation des fonction-nalités du niveau inférieur. Cela évite d'avoiràconfigurermanuellementlehardware.

Comme pour toute nouvelle technologie, il n'existe pas encore de définitionuniversellementacceptéede ce que l'on entend par réseau définiparlogiciel(SDN,SoftwareDefi-ned Networks). Au cours de ces deux

dernièresannées,laplupartdesdéfi-nitions ont mis l'accent sur le décou-plage entre le contrôle du réseau et le transport dans le réseau.

Le SDN est une nouvelle architec-ture de réseau, dans laquelle le plan de contrôle est totalement découplé du plan de données. Il permet de virtualiser le réseau de bout en bout et de déployer le plan de contrôle sur des plateformes aux capacités accrues, comparativement à celles des commutateurs réseau classiques. Couplé à une interface de programma-tion,lesoftware-definednetworkingpermet de développer des services réseau à forte valeur ajoutée. Le dé-couplage entre le contrôle du réseau etlatransmissioneffectiven'estpasun concept nouveau. C'est un élément clé de la technologie MPLS et c'est aussi une caractéristique de nombreux réseaux WiFi actuels. Toutefois, si on regarde SDN strictement de ce point de vue, sa valeur est limitée à des caractéristiques telles que la réduc-tion de la latence du réseau.

UneautredéfinitionduSDNquiémerge actuellement se concentre un peu moins sur le découplage et plus sur la capacité à fournir des inter-faces de programmation au sein des équipements de réseau, qu'il y ait ou pas une séparation entre le contrôle et la transmission. Une raison pour ce changement de cap provient du fait que Cisco a récemment annoncé que

danslecadredesesoffresSDN,ilfournira des API dans les multiples plates-formes qu'il fournit.

Le SDN selon Nicira

LA NORMALISATION DU SDN

SDN n’est pas un concept nouveau en normalisation. L’ Internet Engineer-ingTaskForce(IETF)travailledepuis2004surunconceptsimilaireauseindu groupe de travail ‘Forwarding and ControlElementSeparation’(ForC-es) mais les produits tardent à sortir. Récemment l’IETF a lancé un nouveau groupe de travail ‘Interface to the RoutingSystem’(I2RS)visantànor-maliser une interface permettant une meilleure interaction avec le routeur. En2011unnouveauforumdénom-mé ‘Open Networking Foundation’ (ONF)aétéétabliavecpourobjectiflaspécificationd’unesolutionSDNreposant sur l’utilisation du protocole OpenFlow(OF)développéaudépartpar l’Université de Stanford. L’ONF a livré 3 versions de ce protocole en plusduprotocoleOF-Configdédiéàlaconfiguration.Ducôtédel’UIT-T(secteurdelanormalisationdestélécommunications de l’UIT) un pro-jet de Recommandation est en cours definalisationconcernantladéfinitiondecasd’usageetlaspécificationdesexigences relatives à l’architecture SDN pour les opérateurs de réseau.

TERAMAGAZINE 38


Une architecture SDN repose sur un hyperviseur centralspécifique,lecon-

trôleur SDN, qui fait la jonction entre les applications en haut et les équipements réseau en bas.

L’implémentation repose sur 3niveauxbiendistincts(Lacouche Applicative, La couche de contrôle et une La couche d’infrastructure) Ce triple niveau, adossé à une API standard résout ce qu’un orchestrateur de Cloudpourraitdifficilementfaireseul dans un environnement réseau hétérogène.

1. LA COUCHE APPLI-CATIVE

Elle exprime des besoins aux couches inférieures : des appli-cations SDN et/ou des orches-trateurs de cloud interagissent avec le contrôleur SDN via API ouvertes, comme par exemple des API OpenStack.

2. LA COUCHE DE CONTRÔLE

Il s’agit du contrôleur SDN, qui fait la jonction entre les applications au haut et les

équipements réseau en bas. Il traduit les requêtes faites par les applications en langage compréhensible par les composants d’infrastructure réseau

3. LA COUCHE D’IN-FRASTRUCTURE

Elle contient les nœuds réseau, qui échangent des instructions et informations avec la couche de contrôle au travers d’un protocole dédié, classiquement.

PROTOCOLEL'intelligenceduréseauest(logique-

ment) centralisée au niveau des contrôleurs SDN, qui maintiennent une vision globale du réseau. En conséquence, le réseau apparaît aux applications et aux policy Engine com-me une unique entité logique. Avec le SDN, les entreprises et les fournisseurs des services peuvent prendre le con-trôle indépendant du constructeur sur l'ensembleduréseau,cequisimplifiegrandement la conception et l'ex-ploitation du réseau. SDN aussi sim-plifiegrandementlespériphériquesréseau eux-mêmes, car ils n'ont plus besoin de comprendre et de traiter des milliers de normes de protocole mais simplement accepter d'instructions des contrôleurs SDN.

OPENFLOWOpenFlow est le premier protocole de communicationstandarddéfinientrele contrôleur SDN et l’infrastructure réseau. OpenFlow permet un accès direct à la manipulation et du plan d'acheminement des périphériques réseau tels que les Switchs et les routeurs, à la fois physiques et virtuels.

Dans un routeur ou un switch classique, la transmission rapide de paquets et les décisions de routage de hautniveau(chemindecontrôle)seproduisent sur le même équipement.

Le Schéma d'une vue logique de l'archi-tecture SDN.

Les "Control Plane" sont regroupés en central.

L'ARCHITECTURESDN

TERAMAGAZINE39


L'evolution des architectures réseaux

L'ÉVOLUTION VERS LE SDN

Un Switch OpenFlow sépare ces deux fonctions. L'acheminement des données réside toujours sur le com-mutateur, alors que les décisions de routage de haut niveau sont déplacées vers le contrôleur SDN. Le Switch OpenFlow et le contrôleur communi-quent via le protocole OpenFlow, qui définitdesmessages,telsquepaquetsreçus et envoyés des paquets-out et lestableauxdeflux.

OpenFlow nous permet de contrôler lesflux-enchoisissantlesitinérairesde leurs paquets suivants. De cette façon, OpenFlow permet d'essayer de nouveaux protocoles tels que de nouveaux protocoles de routage, les modèles de sécurité et des systèmes d'adressage.

Un commutateur compatible Open-Flow(surnomméuncommutateurOpenFlow-hybrideenv1.1)prendenchargeàlafoisletransfertdefluxselon OpenFlow et le pontage et le routage Ethernet traditionnels. Des commutateurs hybrides permettent l'OpenFlow et au traditionnel pontage/routage de partager la même infra-structure Ethernet

L'objectif ici n'est pas de décrire le protocoleendétail.Eneffet,laspécifi-cation est le document le plus à même d'indiquer le fonctionnement détaillé duprotocole.Ladernièrespécificationde l'OpenFlow est accessible sur le site www.openflowswitch.org

LES IMPLÉMENTATIONS D'OPENFLOWOPENFLOW MPLS

Le centre de recherche d'Ericsson travaille actuellement pour supporter MPLS avec le protocole OpenFlow. L'objectif étant de transformer un switch ayant la fonctionnalité Open-flowactivé,enswitchMPLS.

OPENFLOW UNIFIED AR-CHITECTURE

OpenFlow préconise une sépara-tion claire entre le plan de données etleplandecontrôle(onretrouveunprincipe de fonctionnement identique sur le protocole ATM et la couche AAL) pour les réseaux à commutation paquets et le réseaux à commutation de circuits et traite les paquets en tant queflux,présentantainsiunearchitec-tureunifiéepourlesdeuxtechnolo-gies de commutation.

Lesspécificationsd’OpenFlowsontpilotéesparl’ONF(OpenNetworkingFoundation),la1èreversionestparueenfévrier2011.Ellescontinuentd’évoluer, mais déjà de nombreux équipementiers commercialisent des produits intégrant ce protocole : Juniper, Cisco, Arista, Brocade, Extreme Networks, IBM,NEC,…

Les SDN promettent de parachever la révolution Cloud et de libérer des quan-

tités considérables de nouvelles applications concrètes.L'approcheSDNoffreunepropo-

sition technique concrète. Prenons une infrastructure informatique quelconque. Quel que soit son rôle, elle est constituée des trois piliers suivants : processeur, stockage et réseau.

La première révolution Cloud a permis de découpler les unités de calculphysiques(processeurs)decelles - virtuelles et sans limites -

Plusieurs commutateurs ayant des fonctionnalités évoluées sur les couches 2 et 3 peuvent être convertis en commutateurs hybrides OpenFlow par l'ajout relativement simpled'unagentOpenFlowdanslefirmwareprisenchargepar le système d'exploitation natif du commutateur réseau (NOSpourNetworkOperatingSystem).

offertesauxdéveloppeurs:c'estla virtualisation des serveurs. La seconde révolution Cloud a sup-primé les contraintes de stock-age et a augmenté de manière vertigineuse les performances : c'est l'émergence du Big Data. Le réseau, dernier pilier, demeurait un élément rigide et complexe à faire évoluer. Les technologies SDN viennent bousculer cet état defaitetoffrentauréseaucequi lui manquait pour achever la révolution Cloud : l'élasticité et la commande centralisée.

La Pile SDN Open-Flow.

TERAMAGAZINE 40

www.openflowswitch.org


l'intérêt et décuplant l'inventivité des opérateurs de service cloud autant que des grandes entreprises.

LES TYPES D'OFFRES SDN DU MARCHÉ

Le marché est émergent, les classificationsd'offresnesontpasencoresuffisammentprécises ; nous sommes dans

une situation similaire à celle des débutsduCloud.Lesdifférentsacteurs se battent pour imposer leur vision aux clients. Cependant, nouspouvonsidentifierdeuxtypesd'offres:lesoffressurmesure,portées par les équipementiers et lesoffrespackagées,portéesparles startups.

Les premières, qu'elles soient d'Alcatel-Lucent, Cisco, ou Juniper, offrentuneréellepriseencomptede l'infrastructure existante : matérielle et logicielle. À l'instar de la solution Nuage d'Alcatel-Lucent,cesoffresimplémententles protocoles les plus répandus et sont compatibles avec les matériels des concurrents. Elles s'adaptent à un parc d'équipements hétérogène, et des développements d'optimisation sont possibles pour une intégration sur mesure de toutes les capacités de votre datacenter.

Les secondes, avec un positionnement « over the top », font le pari de la disruption. Contrairement aux précédentes,

Idéalement, il y a deux possibilités offertesparunSDNcoupléàuneIaaS:la virtualisation des ressources réseau et l'automatisation de la connectivité du réseau. Par exemple, l'administrateur réseau de l'entreprise cliente d'un opérateur de service cloud peut gérer

les sous-ensembles réseau et définirlesautorisationsdechacundes groupes d'utilisateurs de son entreprise. Chaque groupe peutdéfinirdynamiquementlesressources et les permissions allouées à ses utilisateurs et à leurs applications.

Les administrateurs réseau peuvent aussi mobiliser des ressources réseau grâce à une terminologie assez naturelle (conteneursd'applications,domaines et zones) et sans entrer dans des détails d'implémentation (adressesIP,paramètresVLAN,paramètres de Qualité de Service ou des listes de contrôle d'accès), terminologie qui sera comprise et interprétée de façon correcte.

En retour, une fois que les "règles du jeu" ont été établies par l'entreprise, les requêtes ultérieures sont gérées automa-tiquement par un mécanisme de gestion d'événements à mesure que les applications sont mises en oeuvre. De cette façon, le réseau devient automatisé et immédiatement réactif, au service des applications, sans générer d'attente ou de complexité. En comparaison des réalités actuelles, de telles possibilités ont un temps d'avance, suscitant

Les technologies du cloud computing peuvent tirer de grands avantages du SDN, qui permet d'automatiser les réseaux et de les rendre réactifs aux besoins des applications

AVANTAGES DE L'SDN

LesréseauxSDN(SoftwareDefinedNetworks)nesontpas encore prêts pour être en première ligne,

pas encore. Mais les responsables informatiques doivent savoir quels sont les avantages de ce changement radical dans la technologie des réseaux

SDN optimise l'adéquation entre d'un côtélesressources(réseauxetIT)etde l'autre les besoins business. Le SDN permet :

• La suppression des délais de provisioning réseau

•Lamodificationdesbandespassantes à la volée

• L'adaptation du paramétrage réseau aux besoins des applications•L'élasticitédesressources(réseauxet IT)

• La réduction drastique de la complexité de gestion des réseauxCesbénéficesnesontpasassuréspleinement.

SDN, c’est certainement une révolution dont on ne mesure pas encore tous les avantages, cette technologie ouvre la porte dès maintenant à des « applications réseau»nouvellestellesqueleTrafficEngineering centralisé et avancé, comme l’a déjà implémenté Google

SDN ET IAAS ?

Les modèles de programmabilité SDN

TERAMAGAZINE41


elles considèrent le matériel comme une commodité. Plus proches des besoins métiers, elles se focalisent sur le pilotage des couches applicatives (OSI4à7).EllessontparfoisappeléesADN,pourApplicationDefinedNetworking.Le résultat peut être saisissant, comme avec la solution CloudWeaver de la startup franco-américaine Lyatiss. La solution découvre par elle-même l'architecture et les fluxapplicatifs,puislaprésenteàl'utilisateur sous forme d'une carte réseau interactive et actionnable. Ce type de solution permet de détecterimmédiatementunfluxsous-dimensionné ou cassé, de le réparer et d'optimiser le réseau directement depuis une simple interface Web. Il faut l'avouer, les solutions SDN ont un côté vraiment magique !

MISE EN OUEVRE Pour une mise en œuvre de SDN,

la première étape consiste à caractériser les besoins réseau

des serveurs virtuels, ou mieux des applications : quelle bande passante, quel débit pic, quel SLA, quel niveau de priorité, etc. Décrire ces besoins auniveauapplicatifsignifiequevouspouvezparexemplespécifierdifférentsniveauxdeQoSpourlaVoIP et pour la messagerie, s’ils résident sur des machines virtuelles différentes.Ensuite,leSDNsechargede fournir au mieux ces contrats techniques de façon automatisée, en déployantlesconfigurationsréseauadéquates aux endroits adéquats. Cela est valable au moment du déploiement initial, mais aussi de façon dynamique et automatique dans la vie de l’application. Par exemple, quand un administrateur migre des machines virtuelles vers un nouvel emplacement, le logiciel demanagementSDNreconfigurespontanément l’ensemble des équipements réseau en conséquence pour maintenir le contrat de service initial. En cas d’évolution du contrat de service, le déploiement réseau est un « simple réglage » en central, repercuté automatiquement dans les infrastructures techniques

Uneseulechoseseconfirme,leSDNal’avenirdevantluietaveccestechnologieslavirtualisationenfincomplètede l’ensemble de la stack matérielle d’infrastructure du

datacenter et du cloud. Il ne fait aucun doute que les technologies SDN vont pénétrer d'une manière ou d'une autre toutes les salles machines. La virtualisation et la maîtrise applicative des infrastructures informatique sont une lame de fond.

Il faut l'avouer, les solutions SDN ont un côté vraiment magique

TERAMAGAZINE 42


TERAMAGAZINE43

“Sysadmin = Linux+ NetAdmin + python/java + Windows server” Histoire

du Syslog-ng

Dans votre mission de sysadmin, Vous avez besoin d'un large éventail de compétences pour s'occuper d'un ré-seau Linux ou même d'administrer une seule machine. Sécurité, Scripting, la gestion des utilisateurs, détection des problèmes, configuration des services,la résolution des incidents etc.

Dans cette épisode, je choisi de vous parler d'un outil important de votre ar-senal de sysadmin qui vous aide à gar-der l'oeil sur l'activité de votre système.

SYSLOG-NG


TERAMAGAZINE 44

sur votre système GNU/Linux, il existe un dos-sier que vous n’avez

probablement jamais visité. Son contenu est vitale et extrêmement utile quand les choses ne tournent pas rond. Il s’agit du /var/log, la boite à secret de votre système, il contient les logs de tout ce qui se passe sur votre système.

Les systèmes Linux effectuent une journa-lisation des événements très souples et puissante. Ces journaux sont stockés localement et basés sur le protocole Syslog. Ils aident un administrateur à garder

une trace des événements importants (erreursdusys-tème, le démarrage et arrêt du système,..). Un sysadmin peut donc en cas de pro-blème détecter la cause.

Certes, La journalisation est assurée par plusieurs systèmes de log, mais je me concentre dans cette article sur syslog-ng (sys-log-ng, un remplaçant de syslog), un des choix les plus populaires.

Devenir un SysAdmin

Episode 5

Syslog-ng (ng pour ‘new generation’) est une implémenta-tion du protocole syslog pour les architectures de type UNIX. Développé par Balázs Scheidler en 1998. Quant à Syslog , il a été développé dans les années 1980 par Eric Allman dans le cadre du projet Sendmail. Syslog est depuis devenu la solution de journalisation standard sur les systèmes Unix et Linux.

une de mes tâches quotidiennes en tant que sysadmin est la lecture du journal, avec un bon café. Un journal spécial que vous ne trouverez pas au kiosque mais dans votre système.

Apprendre

• Lire les logs du Syslog-ng

• créer des filtres

• Controller les logs

• Simplifier la lecture

• Astuces

• Outils et arsenal du sysadmin


TERAMAGAZINE45

Syslog-ng est un système de journalisation flexible

etsimpleàconfigurer.Ilpropose des fonctionnalités puissantesdefiltragedecontenu permettant de répar-tirleslogsdansdesfichiersetrépertoires propres à chaque système. Il permet notam-ment de dissocier les logs entrants sur d'autres critères que le 'facility' comme par exemple : le nom ou l'adresse IP de la machine qui émet le log. Comme il vous permet de transférer vos logs à un autre système de log existant sur unemachinedifférenteouvers une base de données.

Lefichierdelogoujournald'événements contient les messages de logs collectés par le système de journalisa-tion(Syslog,sylog-ng,rsyslog..). Ces messages sous forme de ligne de texte fournissent les informations suivantes :

• La date à laquelle

l'événement a été déclenché

• Le processus déclen-cheur de l'événement

• Le processus ayant demandé l'ajout du message correspon-dant au log

• Le message• Le niveau de gravité du

message(priority)Certaines de ces informa-tions sont optionnelles.

SYSLOG-NG

bas du fichier. Par défaut, elle affiche les10dernièreslignesd’unfichier.Enutilisant tail vous aurez une lecture en temps réels de vos logs

PREMIÈRE LECTURE DE LOG :Le fichier standard des log est /var/log/messages. Pour suivre en temps réel les messages

de log enregistré j'utilise la commande

#tail -f /var/log/messages N'oubliez pas que les fichiers de log sont souvent protégés par les droits d’accès pensez à utiliser sudo pour tout voir.TAIL

La commande «tail» est utilisée pour afficher la dernière partie ou partie du

COMPRENDRE LES LOGS

EXEMPLE :

Sep 2 10:11:20 localhost sshd[5768]: Accepted keyboard-interac-tive/pam for tera from 192.168.1.31 port 62197 ssh2

TEST :Pour générer un message de log brancher une USB, vous aurez un message qui vous indiquesonidentificationet la lecture de sa table de partition. Dans ce cas le nom du processus est Kernel, car la reconnaissance d’une USB est gérée directement par lenoyau.Aveclegrandfluxd’écriture de log vous aurez

La journalisation centralisée est assurée par deux démons syslogd et klogd (responsable des messages émis par le noyau Linux.).

besoin de trouver la ligne d’informa-tion désiré, pour le faire nous ferons appel à grep :

Cat /var/log/messages | grep « ce que vous cherchez »

Log du branchement d'une clé USB


TERAMAGAZINE 46

CONFIGURATION DE BASE :Laconfigurationdufiltrage

syslog-ng utilise la notion des objets pour designer la source, ladestinationetlefiltre.Une source par défaut est Source src{Unix-stream(« /dev/log » max-connections(256)) ;Internal();File(“/proc/kmsg”);};

Cet objet appelé src de type source permet d'attraper les logsdukernel.Ondéfinitaussi deux objets de type destination :

destination messages {file(« /dev/log/messages ») ;} ;destination console_all {file(« /dev/tty12») ;} ;

lapremièredestinationdéfinitlefichierdelogpardéfautetla deuxième est une console accessibleviaCTRL+Alt+F12,ou par se rendre à console standard(CTRL+alt+F1)etutiliserALT+flèchegauche.

Pour consulter les logs nous aurons besoin de lier les sources et les destinations. Par default, les logs issus de la source seront dirigés vers les destinationsdéfinies:

Log{source(src) ; destination(messages) ;} ;Log{source(src) ; destination(consol_all) ;} ;

Vouspouvezmodifierlecontenudufichierenajoutantde nouvelles sources, destina-tionsoufiltrespourcontrôlerlefluxdelog.

LA CRÉATION DES FILTRES DE LOG

Centraliser tous les messages delogdansunseulfichiern’estpas la bonne solution, car il existedesprogrammes(DNS,DHCP….)quigénèrentungrandvolume d’informations de log, ils peuvent vous faire rater un message important. Syslog-ng vous permet de mettre en place vospropresrèglesdefiltragevialefichierdeconfiguration/etc/syslog-ng/syslog-ng.conf.

Lefichierdeconfigurationsyslogest construit sur le mode ligne. Il se base sur cinq blocs principaux :

❶ lesoptionsdéfinissantl’en-semble des options de l’applica-tion,

❷lessourcesdedonnées(tousce qui assure les remontées de logs),

❸Lesdestinations(oùdoiventêtrerangéslesdifférentesinfor-mations),❹lesfiltres(sousquellescondi-tions une donnée est dirigée vers une destination plutôt qu’une autre),❺leslogs(associationd’unesource à une destination en tenant éventuellement compte des condi-tions).

EXEMPLE :

Prenons L’exemple de gestion du log d’un serveur mail. Pour placerleslogsdansunfichierséparé ‘mail. Log’,jedéfinislesobjets suivants :

destination d_mail {file(« /dev/log/mail.log ») ;} ;

Pourappliquerdesfiltresj’ajoutelesfiltressuivants

filter f_mail {facility(mail) ;} ;filter f_notmail {not facility(mail) ;} ; Danscetexempledeconfigura-tion,jenedéfinispaslasourcecar j’utilise la source standard. Enrevanche,j’aidéfinilades-tinationdulogverslefichier/dev/log/mail.log. J’ai ajouté les deux lignes filter qui utilisent le critère facility(vouspouvezutiliser la priorité ou encore unmotclé…)afindefiltrerpartype.Lesprocessusspécifientdes«facility » lors d’envoi de de mes-

sage de log. Grace à elle vous n’aurez pas besoin de connaître le nom du processus car tout programme qui envoie un mail aurasonmessagefiltré.Ledeuxièmefiltreestpourfiltrertouslesautresmessages.Pourappliquerlesdeuxfiltresdéfiniesentrelasourceetladestinationnousspécifionslesrègles de sorties suivantes :

Log{source(src) ;filter(f_notmail) ; destination(messages) ;} ;Log{source(src) ;filter(f_mail) ; destination(d_mail) ;} ;

Cesrèglespermettentdefiltrerlefluxdelogselonsa‘facility’, ilseradirigé(écrit)verslades-tinationmailquiestlefichier/dev/log/mail. log. Le reste du log(logmailexclus)esttraitéparlefiltref_notmailpourlediriger vers la sortie par défaut (/dev/log/messages).Aprèslamodificationdufichierdeconfigurationvousdevezlerecharger en envoyant un signal SIGHUP au syslog-ng

Sudo killall –HUP syslog-ng

CONSEIL :Le nom d’un objet comporte

communémentunpréfixpourvous aider à distinguer son type :s_poursource,f_pourfiltreet

d_ pour destination.


Testdufichierdeconfigurationdelogrotate

TERAMAGAZINE47

Un problème qui se pose avec les logs c’est leurs

conservations. Si votre espace vide se réduit sans cause apparente penser à suspecter le contenu du dossier /var. un proces-sus actif peut en cas de problème écrire un grand volume de messages danssonfichierdelogetconsommer de l’espace disque. Pour éviter d’avoir votre partition racine "/" pleine il est préférable de dédier une partition pour le dossier /var.

Si vous tenez à vos fichierdelog(j’ytiensaussi), Le contenu de /var/log continuera d’agrandir et occupera plus d’espace. Afindelimitercetteévolution j’ai recours à

Gardez l'histori-que de vos logs

logrotate.

Logrotate est installé par défaut sur l’ensemble des

LOGROTATE

1 La rotation Logrotate archive lefichierjournalsous un autre nom et supprime la plus ancienne archive

2 La compression Logrotate compresse éventuellementlefichierjournal avant de l'archi-ver.La compression diminue l'espace disque utilisé mais augmente la quan-tité de données lues et écrites sur le disque et la consommation d'éner-gie

Logrotatepermetdelimiterlatailledesfichiersjournaux présents dans /var/log.Pourchaquefichierjournal,logrotateréalisedeux opérations simultanées :

GARDER VOS LOGS SOUS CONTRÔLE :

distributionsLinux(Enfinje le crois). Pour s’exécuter, il est lancé tous les jours par le cron. Il archive les fichiersdelogselonlesrèglesdéfiniesen/etc/logrotate.conf et /etc/logrotate.d. Le premier contientlaconfigurationglobale tandis que le deuxième est un dossier quicontientlesfichiersdeconfigurationsinclus.

Voicilecontenudemonfichierdeconfiguration/etc/logrotate.conf: weeklyrotate 4 create compress include /etc/logrotate.d /var/log/wtmp {monthlyminsize 5Mcreate 0664 root utmprotate 1}

Unpetitexplicatifdufichierdeconfi-guration par défaut:

weekly: la rotation des logs se fait toute les semaines, il est possible de changer en "daily"rotate 4: est le nombre d’archives delog,ici4.Vousaurezdonc4semaines de logs archivés.create: permet de créer l’archive du log avec la rotation.compress : permet la compression de l’archive du log, par défaut gunzip.include /etc/logrotate.d: est le chemin de l'emplacement des fichiersdeconfigurationsdesdiffé-rents services qui seront traités par logrotate. Ce qui suit sont les rotations de log par défaut du système.

Pourtestervosfichiersdeconfi-gurationlogrotate.conf(etdoncdelogrotate.d/*) taper : /usr/sbin/logrotate -dv /etc/logrotate.conf.


"System monitor est un excellent outil graphique pour supérviser les processus du système

Webmin est un ex-cellent outil web de supervision du système.

TERAMAGAZINE 48

Pour surcharger les valeurs prédéfiniesdanslefichierlorotate.confoupourdéfinirde nouvelles options vous pouvezmodifierlecontenudufichierspécifiquesyslog-ng à /etc/logrotate.d ressem-blera à :/var/log/messages{postrotate/etc/init.d/syslog-ng reload>/dev/null 2>&1 || trueendscript}Danscecaslarèglespécifiéeest la commande postrotate qui est lancée après l’opé-ration de rotation des logs pour indiquer au syslog-ng de rechargersaconfiguration.Lesoptions globales de logrotate peuvent être répétées pour remplacerlesvaleursdéfiniesauparavant(danslogrotate.conf)vouspouvezredéfinirlenombre de rotation à garderRotate 8.

ASTUCE Si vous êtes inquiets à propos de la taille maximale des fichiersdelogsvouspouvezforcer la limite de taille du fichierdelogenutilisantl’option MaxsizeMaxsize 10MAinsilatailledufichierdelogissu de la rotation sera limitée à10MBmêmesiladuréederotationn’aspasprisfin.

OUTILS DE MONI-TORING DES LOGS

La lecture des logs n’est pas toujours une opération facile, heureusement, il existe plu-sieurs outils qui permettent de vous générer des rapports plussignificatifs.Despro-grammes comme logwatch ou logcheck , en analysant vos logs,ilsvousfournissent(viamail) un résumé des alertes et des anomalies recensés. Il existe aussi d’autres outils qui

génèrent des graphes depuis certains types particuliers de logs, par exemple un graphe de trafiqued'apache.

ASTUCELesfichiersdelogssontenlec-ture seul, si vous voulez y écrire un message utilisez la com-mande logger dans vos scripts ou depuis votre shellLogger –i –t monscript "message"L’option–tspécifieletagueetle–i ajoute le ID du processus, le reste est le message de log.

La performance de syslog-ng peutêtreamélioréedediffé-rentes façons:

ÉVITEZ LA REDON-DANDANCE

Un message de journal unique peutêtreenvoyéàdifférentsfi-chiers de log à plusieurs reprises. Parexemple,danslefichierdeconfigurationinitiale,nousavonslesdéfinitionssuivantes:

destination cron { file("/var/log/cron.log"); };destination messages { file("/var/log/messages"); };filter f_cron { facility(cron); };filter f_messages { level(info..warn) and not facility(auth, authpriv,

mail, news); };log { source(src); filter(f_cron); destination(cron); };log { source(src); filter(f_mes-sages); destination(messages); };

Le même message de log envoyéparcron(facility(cron))finiradanslesdeuxfichierscron.log et messages. Pour éviter cette redondance, nous pouvonsutiliserletaguefinal,stoppant un traitement ultérieur avec le message. log { source(src); filter(f_cron); destination(cron); flags(final); };

une autre méthode est d'exclure les messages de log issudecronendéfinissantunfiltref_messages:: filter f_messages { level(info..warn) and not facility(cron, auth, authpriv, mail, news); };

AMÉLIORER VOS PERFORMANCES


TERAMAGAZINE49

4

3

2

1

SIMPLIFIERLA LECTURE DES LOGS

❼Outils pour vous aider à mieux lire vos fichiers de log

❸MULTITAIL : www.vanheusden.com/multitail

❹ARCSIGHT LOGGER : www.arcsight.com

❺SAWMILL LOG ANALYZER : www.sawmill.net

❻SUMO LOGIC : sumologic.com

❼LOGLY : www.loggly.com

❶ PHP-SYSLOG-NG : code.google.com/p/php-syslog-ng

❷SPLUNK BASE: http://docs.splunk.com/

www.vanheusden.com/multitail

www.arcsight.com

www.sawmill.net

sumologic.com

www.loggly.com

http://docs.splunk.com


TERAMAGAZINE 50

5

6 7

Pour des raisons de sécurité les fichiers btmp et wtmp sont protégés et ne sont accessible que via la commande last

❸MULTITAIL : www.vanheusden.com/multitail

❹ARCSIGHT LOGGER : www.arcsight.com

❺SAWMILL LOG ANALYZER : www.sawmill.net

❻SUMO LOGIC : sumologic.com

❼LOGLY : www.loggly.com

❶ PHP-SYSLOG-NG : code.google.com/p/php-syslog-ng

❷SPLUNK BASE: http://docs.splunk.com/

Chers lecteurs, j’ai rédigé cet ar-ticle pour vous donner quelques idées sur l’importance de la journalisation(logs)etpourvousprésenter le syslog-ng. Cet article est une initiation en syslog-ng pour vous inciter à explorer ce domaine. Vous pouvez essayer d'autres systèmes de log tel que le rsyslog, le Nsyslog ou journal. Vous pouvez aussi tester d'archi-

ver vos logs dans des bases de donnéesaulieudefichierslog.Je suis convaincu que parmi vous il existe des sysadmins qui ont leurs propres techniques, j’aime-rais bien les partager avec vous.

Si vous avez des questions, voici mon mail : [email protected]

QUEL LOG ?Tous les systèmes *nix utilisent plu-sieursfichiersdelogs:»/var/log/kern.log par défaut ne capture que les mes-sages du noyau de tous les niveaux de journalisation.» /var/log/ messages vise à stocker les messages pré-cieuxetnoncritiques(info,noticeetwarn). Ce journal doit être considéré comme le log de l'activité générale du système » /var/log/auth.log estlejournaldesauthentifications.» /var/log/syslog enregistre tous les messages, à l’exception de ceux de la catégorie auth. »/var/log/boot.msg rapporte la totalité de ce qui s'est passé au démarrage. /var/log/boot.omsg rapporte ce qui se passe lors l’arrêt.»/var/log/mail enregistre tous les messages du serveur mail.»/var/log/dmesg Cefichierjournalestécritaudémar-rage du système. Il contient des

messages du noyau qui apparaît pendant le processus de démarrage. Vouspouvezégalementlesafficheràl'aide de la commande:# dmesgIl est facile de voir les messages de journal liés au récent démarrage du système. Si votre système se com-porte anormalement, utilisez dmesg pour voir rapidement si quelque chose n'allait pas au cours de la séquence de démarrage du système. Cefichierjournalpeutêtreconsultépar tous les utilisateurs.»/var/log/Xorg.0.log lefichierdelogpourleserveurX,il rapporte les problèmes de votre configurationduX,ilesttrèsutileen cas du problème de l''écran bleu parlantde"Xorg.0.log".

» /var/log/wtmpUnfichierbinairequigardeunetracede toutes les connexions et décon-nexions au système. Le contenu de wtmp peut être visualisé grâce à la commande : last -f /var/log/wtmp

» /var/log/btmpCefichiercontientdesmauvaisestentativesdeconnexion.Cefichierest utilisé par la commande 'lastb'.

» /var/log/daemon.logCefichiercontientdesinforma-tions sur l'exécution du système et des d'applications démons comme le Gnome Display Manager démon gdm,...Cefichierpeutvousaideràidentifierdesproblèmesenrelationavec un démon particulier.» DNSSi vous voulez tracer les requêtes reçu par votre serveur DNS, activer la journalisation des requêtes DNS, en exécutant la commande suivante:~]# rndc querylogLes logs seront enregistrés dans le fichier/var/log/messages.

www.vanheusden.com/multitail

www.arcsight.com

www.sawmill.net

sumologic.com

www.loggly.com

http://docs.splunk.com


SURVEILLER L'ACTIVITE D’UN SYSTEME LINUX

L'ARSENAL SYSADMN

Les distributions linux sont équipées avec plusieurs outils de

surveillance des activités du système. Vous pouvez utiliser les informations fournies pour avoir une idée de ce qui se passe sur votre système. Les outils pré-sentés ci-dessous sont des commandes élémentaires qu’un administrateur sys-tème doit utiliser en continu pour garder l'oeil ouverte afind'éviterlesmauvaisessurprises.

La surveillance de l’état de santé des machines est une tâche récurrente pour un admin système. Vous devez être capable de fournir rapidement toutes les informations sur votre système(caused’unralen-tissement, dysfonctionne-ment etc.). Rappelez vous bien l'adage sysadmin dit que pour bien administrer il faux bien surveillez.

BY A FANBOY OF OPENSUSE

TERAMAGAZINE51


ps vous permet d'obtenir la listestatique(Cettelisten'estpas actualisée en temps réel) des processus en cours d’exécution au moment où vous lancez la com-mande.Essayons d'utiliser ps sans para-mètre :LePIDestl'identificateurd'unpro-cessus, c'est un nombre. Chaque processusestidentifiédanslesystème par un nombre unique. Le "TTY" indique à quel port de termi-nal est associé le processus. "STAT" indiquel'état(status)danslequelse trouve le processus.

Pour tirer plus d'information sur les processus en exécution nous utilisons les paramètres dispo-nibles:

• ps -ejH:afficherlespro-cessus en arbre. Cette option intéressante vous permet de regrouper les processus sous forme d'arborescence, cela vous permet de savoir qui est à l'origine de quel processus.• ps -u UTILISATEUR : lister les processus lancés par un utilisateur• PS -axuPouraffichertousles processus

PS

sont trois valeurs déci-males:

loadaverage:0,08,0,34,0,31.la documentation nous dit qu'il s'agit du nombre moyen de pro-cessus(programmes)en train de tourner et qui réclament l'utilisa-tion du processeur.Cela veut dire que, depuis une minute, il yaenmoyenne0,33processus qui récla-ment le processeur. Votre processeur est doncactif33%dutemps.

Au commencement, je veux vous faire découvrir est concise et facile à retenir. Il s’agit de w, c'est la première commande que j’utilise en général quand je me connecte à un serveur linux pour comprendre ce qui se passe. Il m’aide à connaître en premier lieu la charge du sys-tème. Elleaffichedes

informations sur les utilisateurs connectés et de leurs processus. L'en-tête indique, dans cet ordre, l'heure actuelle, combien de temps le système fonc-tionne(uptimeaussiaccessible via uptime et tload), La liste des connectés(aussiacces-sible via who), et les moyennes de charge du système pour les 1,5,et15dernièresminutes.

En haut à droite de notre exemple, nous avons la charge. Ce

W

l’on peut passer à top, tels que les délais, les pid à surveiller ou autre, référencez-vous aux manpages : man top .

Astuce : Vous pourrez utiliser l'option -d pour spécifierdesdélaisderafraîchissement(ensecondes).

Pour quitter top, appuyer simplement sur la touche "q".

La commande top afficheencontinu(tempsréel)desinformations décrivant l'activité du système. Elle permet surtout de suivre les ressources que les processus utilisent(quantitédemémoire, pourcentage de CPU...) et la charge de votre système en fournissant les infor-

mations suivantes :

• Première partie : up-time et load average

• Seconde partie : Tâches

• Troisième partie : Pro-cesseurs

• Quatrième partie : mémoire physique et virtuelle

Pour les paramètres que

TOP

TERAMAGAZINE 52


La commande vmstat fourni des informations sur les pro-cessus, la mémoire, la pagina-tion, bloc IO, et l'activité CPU. Pour monitorer la mémoire vmstat-n130free,buffetcache:le

nombre de mémoire en KiB qui est idle

si et so : correspondent à l'utilsation de la swap

swpd : la taille en KiB de swap utilisé

VMSTAT

La commande sar est uti-lisée pour collecter, décla-rer et sauvegarder l'activité du système. Sar permet d’avoir l’historique concer-nant l’activité de votre système contrairement aux autres outils qui vous four-nissent uniquement des in-formations en temps réels. Cette commande nécessite uneconfiguration.

• Pour monitorer tous les IO : sar -B 1 30• Pour analyser le CPU : sar -u 1 3• Pour analyser la swap : sar -W 1 3• Pour une analyse réseaux : sar -n DEV 1 2

En cas de son absence vous aurez besoin d'installer le package sysstat

SARPMAP permet de tracer la carte de l'utilisation de la mémoire par un processus ou plusieurs processus en exécution. Pmap fournit des informations sur l'utilisation de l’espace d'adressage sur la mémoire, elle est très utile pour trouver l'espace d'adressage d'un processus complet. PMAP est en fait une commande Sun OS et Linux ne supporte qu'un nombre très limité de fonc-tionnalités. pourafficherlesinforma-

tion des adresses mémoire duprocessuspid24587.pmap-d24587La dernière ligne est très importante:• mapped:933712K

total de la mémoire mappéeauxfichiers

• writeable/private: 4304Ktotaldel’espaced’adresses privées

• shared:768000Kla quantité d'espace d'adressage de ce pro-cessus partage avec les autres.

PMAP

Lacommandeiostatoffredes statistiques du CPU et des statistiques d'entrée/sortie pour les périphériques, les partitions et les systèmes defichiersréseau(NFS).Cette outils n'existe pas par défaut sur les systèmes linux, vous aurez besoin d’installer le package sysstat.

IOSTAT

Lacommandefreeaffichelaquantité totale de mémoire physique et de swap, ainsi que les tampons utilisés par le noyau.

FREE

TERAMAGAZINE53


VMSTAT

IOSTAT

Netstat, pour « network statistics », est une ligne decommandeaffichantdes informations sur les connexions réseau, les tables de routage et un certain nombre de sta-tistiques dont ceux des interfaces, sans oublier les connexions masquées, les membres multicast,

etenfin,lesmessagesnetlink. ss est similaire à netstat.ElleAffichedesinformation en sur les protocoles TCP / UDP . Afficherdesstatistiques

du réseau• Netstat -s

Afficherdesstatistiquesdu réseau par ss

• Ss -s

NETSTAT/SS

Lacommandempstataffichelesactivitésde chaque processeur disponible, le proces-seur0étantlapremière.

• mpstat -P ALLsertàafficherl'utili-sation en moyenne par processeur.

MPSTAT

IPtraf est un outil de monitoring réseau. Il permet, par exemple de surveiller l'activité sur une interface. Voici une liste non-exhaus-tive des informations offertesparcepro-gramme :

Statistiques de tra-

ficréseauparconnexionTCP StatistiquesdetraficIPpar interface réseau Statistiquesdetraficde réseau par protocole Statistiquesdetraficréseau en TCP / UDP et selon la taille de paquet Statistiquesdetraficréseau par adresse de couche 2

IPTRAF

TERAMAGAZINE 54


filtresafindesélec-tionner les paquets à capturer/analyser. Pour la capture et l’analyse des paquets de DNS:

tcpdump -i eth1 'udp port 53'

TCPDUMP est un outil de capture et d'ana-lyse réseau. Il permet d'avoir une analyse en direct du réseau ou d'enregistrer la capture dans un fichierafindel'ana-lyser pour plus tard. Il permet d'écrire des

STRACE(systemcalltracer) est un outil de débogage pour les experts. strace sert à surveiller les appels du système utilisés par un pro-gramme et tous les signaux qu'il reçoit, similaire à l'outil "truss" sur les autres systèmes Unix. Il a été rendu possible grâce à une fonction-

STRACE

TCPDUMP

# cat /proc/zoneinfo# cat /proc/mounts

/proc est un pseudo-systèmedefichiers(pseudocardynami-quement généré au démarrage) utilisé pour accéder aux informa-tions du noyau sur les processus. Puisque /proc n'est pas une arborescence réelle, il ne consomme aucun espace disque mais seulement une

quantité limitée de mémoire vive./proc fournitviasesfichiersdes informations détailléessurlesdiffé-rents périphériques et d'autres informations sur le noyau Linux. # cat /proc/meminfo

/PROC

nalité du noyau Linux appelée ptrace.L'utilisation la plus courante est de lan-cer un programme en utilisant strace, qui afficheunelistedesappels système faits par le programme. C'est utile lorsque le

programme plante continuellement. Par exemple, utiliser strace peut révéler que le programme tente d'accéder à un fichierquin'existepas ou qui ne peut pas être lu.

TERAMAGAZINE55


J'ai présenté une liste non exhaustive des outils auxquels je fais appel dans

mon job de sysadmin. Si vous n'aimez pas trop ces com-mandes ou si vous craignez de les oublier, installez des outils graphiques comme KDE System Guard, Gnome System Monitor. Vous pouvez aussi vous s'armer de Webmin: un outil d'adminis-tration très puissant, il fait mon bonheur. Ainsi, Les outils pour surveiller sont très nombreux, reste à utiliser un ensemble completquioffreunevisionglo-bale sur l'état de santé de votre système pour éviter les risques, comme on dit mieux vaut préve-nir que guérir.

TOUT L'ARSENALD'UN SYSADMIN

1 Linux Performance Benchmark Tools

3 Linux Performance Tuning Tools

4 Linux Performance Observability

2 Linux Performance Observability : Sar

TERAMAGAZINE 56


TERAMAGAZINE57

#Bad USBLa faille de sécurité qui menace les périphériques USB a suscité beaucoup d'intérêts dans le monde des hackers. Une cible jusqu'à lors considérée comme inoffensif.

Conférence BH Résumé

# BadUsb

Un tour d'horizon

des meilleurs sujets

abordés lors de la

conférence blackhat

USA 2014..

“Votre Voiture, votre peripherique USB et votre appareil An-droid sont en danger ”

BLACK HATUSA 2014

Le résumé des présentations qui ont marqué l'évé-nement black Hat USA 2014

À LAS VEGAS, chaque année au début du mois d’Août, les experts en sécurité et des hackers en prove-nance des quatre coins du monde

entreprennent un pèlerinage en direc-tion de Las Vegas, Nevada. Ils s’y retrouvent pour un camp de vacances sur la sécurité informatique qui re-

groupe des habitués à Black Hat ainsi que d’autres conférences telles que DEF CON et B-Sides.


TERAMAGAZINE 58

Bien que les périphériques USB pourrait paraitre inof-fensifs, ces supports sont désormais l'une des sourc-

es de menaces les plus dangereuses pour l'entreprise.

Karsten Nohl et Jakob Lell, deux chercheurs allemands en sécurité informatique pour SR Labs ont présenté une vulnérabilité qui afaitleBuzzaublackhat2014.Nommée BadUSB, cette faille tou-che la totalité des périphériques USB(claviers,dongleusb,smart-phones…).

Cette faille consiste à reprogram-mer le firmware d’un périphérique USB, comme une clé USB, pour permettre l’injection d’un malware (logicielmalveillant)quipeutchang-er notre DNS, remplacer le BIOS de la machine infectée, intércepter les données, etc.

Pour démontrer cela, les deux chercheurs ont réussi à modifier le firmware d’une clé USB et d’y inclure un malware capable de se faire reconnaître comme un clavier USB. Ce malware peut ensuite lanc-er une infection en boucle à tous les périphériques usb connectés à un PC.

Une autre démonstration plus dangereuse aura été mise en œuvre du BadUsb à l'aide d'un smartphone sous Android. Connecté à un PC via le port USB avec un firmware modifié(Commelepermetlafailledécouverte), le smartphone s'est fait passer pour une interface Ethernet et a détourné l'ensemble du trafic internet. Les chercheurs ont ainsi démontré qu'il était possible de récupérer des mots de passe et d'autres informations confidenti-

BADUSBOn Accessories that Turn Evil

#1

Informations supplémentaires

»VIDEOsurYoutube:bit.ly/1vv87pD»Document:bit.ly/1tigwfd» Auteur : Karsten Nohl et Jakob Lell

Cette faille est très puissante et son décou-verte permettra de pousser les constructeurs à s'intéresser davantage à la protection des firmwiresaulieudeseconcentrersurlescouches logicielles. On se rappelle tous de l'attaque stuxnet mené par L'USA, il était basé sur un USB malicieux.

Notre Avis

elles. On notera également que cette

faille, qui profite de l’absence de sécurisation du firmware d’un périphérique USB, permet d’infecter un ordinateur même s’il est éteint.

Pour l’instant, il n’existe aucun remède contre cette attaque et aucun logiciel antimalware n’est capable de détecter l’utilisation de cette faille. Même dans le cas d'une clé USB, le formatage n'est d'aucune utilité. La partie atteinte par le badusb est inaccessible aux systèmes. Il faut donc que les fabri-cants protègent mieux les firmware de leurs appareils dès l'assemblage


TERAMAGAZINE59

Pendant de nombreuses années, Yahoo n’a pas appliqué le chiffrement

par défaut pour l’ensemble des nombreux services Internet qu’il propose. Etant plutôt en retard sur ses concurrents en matière de sécurité et de protection de la vie privée,

Yahoo a annoncé lors d'une présentation tenue à la confé-rence Black Hat que les utilisa-teurs de ses servies vont voir le chiffrement de bout-en-bout de son service de messagerie en 2015.Ainsi,lecontenudesmailsde tous ses utilisateurs sera chif-fré à partir de l’ordinateur source et à travers les serveurs de Yahoo et ce jusqu’à ce qu’il arrive à destination.

Alex Stamos, responsable de la sécurité chez Yahoo, a affirmé que son entreprise passerait à un chiffrement des courriels. Suivant les pas de Google, l’entreprise ferait appel à la technologie OpenPGP. Yahoo utilisera la mêmeextensionPGP(Endto

End) utilisé par Google pour chifferer le contenu des mails. Les métadonnées de chaque mail restent affichées en clair. Ses applications mobiles natives tireraient parti d’un module de chiffrement issu des travaux de Google sur le sujet, grâce à un forkdesestravaux(repriseducode libre fourni par Google

et adapté). Pour les applica-tions web, le même principe d’extension serait sérieusement à l’étude.

Google et yahoo collabore étroitement pour permettre un chiffrement de bout en bout de la chaîne pour les courriels envoyés de GMail à Y !Mail et inversement assurant ainsi une grande compatibilité entre les deux services.

« Après l’affaire Snowden, on a assisté à l’apparition d’une vague nihiliste qui nous empêche de nous concentrer sur ce qui est essentiel. Nous avons échoué en tant qu’industrie. Nous n’avons pas réussi à protéger nos usa-gers. » affirme Stamos.

Chiffrement Yahoole chiffrement de bout-en-bout de son service de messagerie en 2015

La très attendue des prèsen-tations celle portant sur les moyensd’identifierlesutilisa-

teurs du réseau d’anonymisation Tor a été supprimée du programme de la conférence Black Hat USA.

L’exposé des chercheurs Alexander Volynkin et Michael McCord intitulé « Vous n’avez pas besoin d’être la NSA pour briser Tor : désanonymiser les utilisateurssansseruiner»(enan-

glais, « You don’t have to be the NSA to break Tor: De-anonymizing users on a budget ») a été annulé suite à la demande d’avocats du Software EngineeringInstitute(SEI)del’univer-sitéCarnegieMellon(Pittsburgh),etceaumotifqueladiffusionpubliquedes travaux d’Alexander Volynkin sur le sujet n’a pas été approuvée par l’établissement.

#2

#3Projet TorYou don’t have to be the NSA to break Tor: De-anonymizing users on a budget


Une décision tardive prise en réponse aux critiqueslancésàyahoosuiteàl'affairePrisme.Cependant,unchiffrementdebouten bout est un moyen sûr pour protéger ses E-mails de la source à la destination

Notre avis

» Auteur : Alex Stamos


Tor est l'un des réseaux de proxys le plus uti-lisé dans le monde, constitué d'un grand nom-bre de noeud éparpillé partout dans le monde. Iloffreuneanonymatàsesutilisateurspouréchapper à la censure. Cependant le projet PRISM de la NSA a montré que cette dernière pouvaitremonteràlasourcedetouttrafiquesur TOR et démarquer l'utilisateur. Une telle présentation aurait pu nous aider à corriger les faillesetmieuxfortifierleréseauTOR.

Notre Avis


TERAMAGAZINE 60

Alex Stamos,

JeffForristal,deBlueboxSecu-rity,unchercheurconfirméensécurité a présenté une vulnéra-

bilité critique qui touche les appareils Androidde2,1à4,4.SurnomméFakeid(fauxidentitfiant),cettevulné-rabilité pourrait permettre à une application malveillante de tromper le modèle de sécurité Android en lui faisant croire qu'elle est une appli-cationfiable.Enutilisantlasignatureélectronique d'une autre application fiableellepeutexploiterleniveaudeprivilège qui lui est accordée sur le système.

Les signatures d'applications jouent un rôle important dans le modèle de sécuritéd'Android.Eneffet,Lasigna-ture d'une application détermine qui peut la mettre à jour, quelles applica-tions peuvent partager ses données, etc

Plus intéressant, les signatures très spécifiquesontdanscertainscasdesprivilèges spéciaux. Par exemple, une demande portant la signature d’Adobe est autorisée à agir comme un plugin webview de toutes les autres applica-

tions, sans doute pour soutenir le plugin Adobe Flash, condui-sant ainsi à une fuite au niveau de la sandbox et l’insertion d’un code malveillant, sous la forme d'un plug-in de webview, dans ces applications.

Dans un autre exemple, l'applica-tionaveclasignaturespécifiéeparlefichierdenfc_access.xmldel'appareil(généralementlasignaturedel'appli-cation Google Wallet) est autorisée à accéder au matériel NFC SE et donc l’application malveillante auras accès à toute les des données de paiement passées via NFC.

Pire encore, les applications avec la signature du fabricant de l'appareil (Samsung,HTC…),sontautoriséesàaccéder à l'administration du dispo-sitifspécifiqueaufournisseur(MDM)et des extensions qui permettent la gestionsilencieuse,laconfigurationetle contrôle de l'appareil.

visiblement jamais exploitée, Cette failleexistedepuis2010,ellemenacedes millions d'utilisateurs d’Android.

Les deux chercheurs ont annoncé la mise en place d’un ‘Bluebox Security Scanner’pourvousvérifiersivotreandroid est vulnérable. la réaction de Google n’as pas tardé, il a scanné l’ensemble des applications plays-tore sans trouver une application qui exploite cette vulnérabilité. Google a fourni un correctif aux fabricants de téléphones pour l’inclure aux mises à jourdeleursfirmwire.Commeilssonttoujours lents à fournir des mises à jour pensez à passer au Custom ROM.

Fake IDUne faille qui menace la sécurité de tous les appareil android

Une faille pour ouvrir la porte d'une voiture sans clé

#4

#5Un chercheur australien

du nom de Silvio Cesare, delafirmeQualys,apu

déjouer la sécurité du système sans clé de sa propre voiture vieille de dix ans. Il a pu monter une attaque informatique, qui lui a permis de verrouiller et de déver-rouiller les portières ainsi que le coffreactionnéespartélécom-mande radio.Avecunéquipement(USRP

Universal Software Radio Periphe-ral)d’unpeuplusde1000$,ilestpossible de contourner pratique-ment n’importe quel système de verrouillage sans clé et ce en quelques minutes seulement, sans laisser de traces.

Son piratage passe par un émet-teurradioréaliséparlogiciel(ou

radio logicielle) qui peut émettre ou recevoir dans une très large gamme de fréquences, allant du FM au Bluetooth ou Wi-Fi. Cette radio connectée à un ordinateur portatif ainsi qu’une antenne basdegammeetunamplifica-teur lui permet de transmettre sur les mêmes fréquences que les systèmes sans clé. Ensuite, il utilise cette même fréquence pour procéder à une «attaque brutale» de plusieurs milliers de codes sur deux à trois secondes jusqu’à ce qu’il trouve le bon code pour déverrouiller la voiture. Dans la vidéo, cela ne lui a pris que quelques minutes.

Cesare souligne qu’en raison de la généralisation des mêmes composantes par les construc-

teurs, les mêmes systèmes sans clé se retrouvent installés dans des millions de véhicules. Ce qui peut potentiellement pousser certainsvoleurs/piratesàraffinersa technique pour s’attaquer à des proies plus «rentables» que sa vieille voiture que l’on peut voir dans la vidéo.

PIRATAGE des SYSTÈMES de vérouillage sans clé



La vulnérabilité FakeId est une grande décou-verte. Son exploitation permettra aux pirates de prendre le contrôle de tout appareil android. Grace à la correction de cette vulnérabilité, Google améliore davantage son processus de sécurisation des applications android.

Notre Avis

»VIDEOsurYoutube:bit.ly/1nKlp9C» Document : ubm.io/Z0ZQw6» Auteur JeffForristal»Outildescan:bit.ly/1ote0Lv

un travail hors du commun qui s'attaque à la sécurité des systèmes à vérouillage sansfils.

Notre Avis

» VIDEOsurYoutube:bit.ly/1tL9AG9» Slides de la présentationhttp://goo.gl/JVNaHI

» Auteur : Silvio Cesare



tera.revue

TERAMAGAZINE 4

REJOIGNEZ-NOUS

SI VOUS AVEZ LA PASSION

D'ÉCRIRE ET VOUS

AIMEZ PARTAGER VOS

CONNAISSANCES, NOUS

SERONS HEUREUX DE RECEVOIR

VOS PARTICIPATIONS PAR MAIL

OU SUR NOTRE PAGE

FACEBOOK

Facebook.com/tera.maga

[email protected]

Facebook.com/tera.maga

Documents

Teramagazine 9 part 1