e-Construction : Mon cyber-journal perso

"L'intelligence c'est d'apprendre de ses erreurs, la sagesse c'est d'apprendre de celles des autres..."


Pour ceux qui me suivent sur ce blog (le compteur me dit 60 !!!! je suis flatté), je m'en excuse pour cette pseudo-absence.
Je suis vraiment submergé d'activités personnelles et professionnelles ... vous savez, en Algérie (les autres pays aussi peut-être ?), les administrations et les entreprises lancent généralement leurs projets en début d'année sociale (septembre / octobre), et ça fait travailler les SSII pour un bout de temps :) .... puis c'est le marasme jusqu'à la prochaine rentrée.

Je me manifeste depuis un certain temps sur facebook et surtout twitter ... ça me va comme rythme :) ... mais ceci n'empêchera pas de tenir mes engagements pour les billets que j'ai annoncé, notamment la série "Vache Laitière Corporation" :)

Merci pour ceux qui ont demandé de mes nouvelles par mail ... et à ceux qui se demandent sans le dire :)

.



.

الكلمات المعسولة، الأماني الكاذبة و لغة الخشب كلها تسقط أمام حقائق النهار و تتهاوى على أرض الواقع

رجال، أطفال و ... نساء ينهضون في الصباح الباكر، لا ليصلوا الصبح ، إنما لأمر أشد أهمية بالنسبة لهم هذه الأيام ... إنه الاصطفاف أمام بائع حليب الأكياس والانتظار، لعل السيد سائق الشاحنة الأكثر أهمية حاليا يظهر بطلعته البهية عليهم ... أتساءل لما لا يعد موكب خاص مع الشرطة و الحماية الخاصة ؟

بالمناسبة، أين المغفلين أو المستغفلون الذين كانوا يهتفون "معاك يا الخضرة
" ؟؟؟


.

لا يمر علي يوم إلا و ارتكبت فيه حماقات و اقترفت خطايا و سيئات ... و أظن أنه حال الجميع

لكن، مع المحاسبة و التوبة، يجب التعلم من الأخطاء و تجنب التكرار
من المهم أن يجلس المرء مع نفسه كل ليلة يراجع ما مر به، ليفرح بإنجازاته و يتعلم من إخفاقاته ... و هنا قد يكون تدوين
ذلك وسيلة حسنة لتثبيت هذه العادة
بدل التدوين على كراسة أو سجل ... سأدون بطريقة 2.0 ، على twitter و facebook :) بـ ToTD
و مرة في الأسبوع، التوسع في إحدى الخواطرعلى هذه المدونة ...ToTW


.

Pour ce mois d'octobre 2010, j'ai apprécié et appris de ces liens ... peut-être que ça vous servira aussi :

1-Quand un compte twitter se fait passer pour une gorge profonde du Parti Socialiste

La manipulation et la désinformation 2.0 .... gare au retardataires ... les vieux :)

2-D'autres s'intéressent à des choses plus fun ... Analyzing CAPTCHAs


3- Si ceci n'est pas assez fun pour vous, alors peut-être que vous trouverez le "GPS Routing" plus drôle :) ... et il y en a qui y croient .... et cette RFC c'est le même truc ?
En tout cas, CISCO croit au concept aussi ... alors c'est sérieux ?

4- Loin de ces technologies et concepts de demain, la lutte contre la "cybercriminalité" devient du sérieux .... du moins en GB : ne pas divulguer un mot de passe d'encryptage d'un fichier, quand on est soupçonné de pédophilie, vous assure 4 mois en prison.

5- Mais ceci n'est rien à côté de ce que certains (ex) responsables US pensent : se préparer ou engager la "cyber guerre froide"

6- Mais avant ça, ils devraient règler leurs petits problèmes : un système de monitoring des méchants prévenus qui craque et une place bien méritée de premier pays infecté :)


7- Et ceci arrange un nouveau / ancien business de sécurité offensive qui fait son show au Qatar ... certains n'ont pas vraiment froid aux yeux !


.

J'entends beaucoup de personnes "matures" parler avec nostalgie de leurs parcours, leurs expériences et même leurs contributions dans tel ou tel domaine ... et juste après, ils passent directement à la critique des générations actuelles : leurs manques de maturité et de compétence ... et quelques fois même osent les taxer de "manque de nationalisme" !!!

C'est une réaction naturelle et compréhensible. On a tendance à rester dans sa coquille, figé dans son époque, la considérant comme le monde idéal et parfait ... qui est entrain de disparaitre.

Mais le fond du problème, à mon avis, est l'incapacité de comprendre et d'apprécier les changements et les mutations ... pas ceux qui vont arriver, mais ceux qui ont déjà survenus et qui font l'actualité de notre quotidien !
C'est vrai, l'homme est l'ennemi de ce qu'il ignore " الإنسان عدو لما يجهل". C'est une forme de résistance au changement et en même temps une tentative désespérée de défendre son mode de vie.

Alors, les vieux ... comme moi ou presque :) .... laissez passer , vous êtes cuits de toute manière !

Ceci est un petit message dédié à certains amis du monde réel :)


.

Suite aux billets donnant plus de détails sur cette initiative, un accueil relativement encourageant lui a été réservé. Je crois qu'on est maintenant assez nombreux pour envisager la continuité de ce projet.

Il y a eu création d'un groupe facebook par ubu .. merci :) et des discussion entre quelques membres ont déjà eu par mail. Dans le dernier échange entre nous, ubu a présenté des détails de la démarche qu'il propose de suivre. En me basant sur ses idées excellentes, je vous livre ici une proposition pour avoir les avis et remarques de tout le monde.

Pour ce projet, je conçois qu' il y a 3 phases : préparation, lancement et suivi.

A- La phase Préparation a deux volets : promotion du projet et mise en place de l'infrastructure de support.

1- Promotion du projet : c'est de toucher le maximum de participants possibles

On est en plein dedans, mais il faudra peut-être accentuer nos actions encore plus.
Chacun par exemple dans les blogs qu'il suit régulièrement et surtout ceux qui fréquentent les blogs ou écrivent en arabe. Une autre piste serait les forums importants, peut-être qu'il y aura des blogueurs ... ou même ça donnera l'idée de créer un blog pour certains.

Mais en fin de compte, c'est les débuts et le succès de ce projet qui seront les meilleurs moyens de promotion.

Une petite note pour cette phase, on a besoin d'un logo ... on attend vos propositions.

2- infrastructure de support : c'est pour faire fonctionner le projet

Il y a aura un processus répétitif :
- Comment les participants vont proposer des sujets ?
- Comment vont-ils voter ?
- Comment seront-ils notifiés des résultats : date et sujet ?
- Comment regrouper les billets de tout le monde ?
- Comment peut-on échanger des idées et discuter sur le projet lui-même ?

Je propose pour les échanges d'utiliser un groupe de discussion. Je viens de créer un chez google : http://groups.google.fr/group/dz-blog-day
Si vous êtes d'accord, on va l'utiliser pour la notification de la date et du sujet choisis, en plus des échanges d'idées et avis.
Maintenant pour les votes et l'agrégation des billets, soit on utilise un site déjà existant ou on crée un nouveau site. Moi, j'ai pensé à Bloginy et d'autres ont proposé d'ouvrir un blog dédié au projet. On doit faire un choix, déjà pour offrir les sondages que ubu a créé sur le groupe facebook.
Ces moyens seront complémentaires avec les autres canaux, le groupe facebook justement et nos blogs personnels.

B- La phase Lancement est une étape cruciale dans ce projet.

Il faudra bien choisir le 1er sujet à traiter et la date du 1er DZ Blog Day.
Là aussi, on utilisera les moyens arrêtés dans la phase précédente pour communiquer et coordonner tous ça.

C- la phase Suivi est une action permanente et continue.

Cela concerne la préparation d'une liste préliminaire des sujets candidats (cette liste sera enrichie par les participants), la mise à jour de l'application de vote, la notification des résultats et le suivi des avis et remarques.

C'est clair qu'il faudra des personnes qui donnent de leurs temps pour prendre en charge tout ça ... je sais, ce n'est pas vraiment lourd comme travail, mais il faut le faire.
Je propose l'organisation suivante (courante dans les communauté Open Source) :
- un staff de 07 personnes,
- choisis par un système de proposition / vote ,
- renouvellement du staff chaque année par le même système.

Avant de terminer, je voudrais donner mon avis concernant la périodicité ou la fréquence de publication. Je préconise de le faire chaque trimestre pour les raisons suivantes :
- Dans un projet, il vaut mieux commencer doucement pour ne pas s'essouffler en cours de route,
- 3 mois permet d'avoir le recul nécessaire pour choisir un sujet de cette envergure, moins que ça (1 mois par exemple) va nous obliger à mettre n'importe quoi pour suivre le rythme,
- un évènement chaque 3 mois aura plus d'impact que celui chaque mois ... ce dernier deviendra avec le temps banal.

A vous :)

.

Dans le sillage du buzz autour de la prétendue "cyber-arme" stuxnet, l'inde compte développer son propre système d'exploitation pour se protéger contre les "cyber-menaces"
(je cède à la tentation de coller "cyber" à toutes les sauces :-) )

Les raisons, d'après la presse, est qu'un OS propriétaire dont le code source et l'architecture sont gardés secrets est invulnérable aux attaques ... il est sécurisé !!

Çà me rappel le concept de "security through obscurity" .... ça marche si combiné à d'autres éléments ... ça foire si toute la sécurité est basée dessus.

Je me demande alors pourquoi Windows, qui est à peu près ça, n'est pas le bon choix ?! Parce que les US l'utilisent pour trouer les autres, Hindous inclus ?!

En plus, un système quel qu'il soit, dans ce monde globalisé, doit communiqué d'une manière ou d'une autre avec d'autres systèmes, ce qui obligera ses concepteurs à prévoir l'aspect interopérabilité ... et ceci impliquera forcement qu'il y aura des parties connues de ce système ou du moins prévisibles, d'ailleurs ils disent que ça va faire marcher les applications Windows !

Les administrations et entreprises indiennes qui vont utiliser ce système arrêterons tout contact avec le monde ? ... ça m'étonne, on ne peu plus vivre ainsi.

D'autres informations sur ce système vont nous éclairer plus et répondre à ces questions, mais tel que c'est présenté, ça sera annulé ... soit avant finalisation, soit après avoir été troué !

.

الماء ... نعمة لا يجادل فيها أحد. نقبل الحرمان من أشياء كثيرة ... لكن إلا الماء

في الصيف الماضي، بعد عطل في قنوات توصيل المياه دام أياما عديدة، أصبحنا نعيش في وضعية لم نتعود عليها ... لا داعي ل
ذكر التفاصيل

ه
ذه النعمة محروم منها ملايين من فقراء العالم ... وأشنع أنواع الحرمان تلك التي سببها الاحتلال ... احتلال يفسد الحرث و النسل

أخ
ذت بالبحث عن وضعية الماء في قطاع غزة ... فاستحييت من نفسي ... ماء قليل و الباقي كثير منه ملوث. لن أسرد هنا الأرقام، فالدراسات كثيرة و الوثائق منشورة منذ مدة... كل ما أردت هو ربط هذا الموضوع بحال أهلنا في غزة.

أختم بفقرة من مقال يهودي أمريكي منصف :


Noam Chomsky (Avant le retrait israélien de GAZA) :

"Dans la bande de Gaza, quelques milliers de colons vivent dans le luxe, avec piscines et mares à poissons, se livrant à des activités agricoles florissantes après s'être approprié une bonne part des maigres ressources en eau de la région. Un million de Palestiniens survivent péniblement dans la misère, emprisonnés derrière des murs et se voyant refuser tout accès à la mer ou à l'Égypte ..."

.

كنت قد اقترحت منذ أيام على المدونين الجزائريين فكرة تخصيص يوم للتكلم جميعا حول موضوع واحد

أظن أن الفكرة تحتاج إلى مزيد من الشرح ... لذا هاكم التفاصيل

ماذا ؟

التكلم و الخوض في الموضوع نفسه، يعني كل الجزائريين، كل حسب قيمه و تصوراته

من ؟

كل مدون (أو فايس-بوكر ) جزائري يريد المشاركة

متى ؟

بصفة دورية، قد تكون كل شهر، 2، 3 ، 6 أشهر أو كل سنة. يجب الاتفاق على ذلك
شخصيا أقترح كل 3 أشهر كبداية، مع الوقت نقلص أو نزيد المدة

كيف ؟

ستكون هناك قائمة للموضوعات، مقترحة من كل من يود المشاركة
عن طريق التصويت يتم اختيار الموضوع الحائز على أكبر عدد من الأصوات

لماذا ؟

هذا هو السؤال الأكثر أهمية ... ألا يقال ختامها مسك :) ؟
تخيلوا عشرات، و ربما مئات، المقالات تناقش و تتتناول الموضوع نفسه ... في اليوم نفسه ... كل الساحة التدوينية الجزائرية بصوت واحد
قد لا نتفق على كيفية معالجة الموضوع المختار، على الأسباب و الحلول، لكن ذلك لن يمنع من ايصال الصدى إلى كل وسائل الإعلام، ستكون كل الأضواء مسلطة عليه و لا أحد يستطيع تجاهله ذلك اليوم

أمثلة ؟

ليس لدي في الحقيقة مواضيع معينة، لكن يمكن أن تكون

حال التكنولوجيات الجديدة و استراتيجية الدولة في هذا المجال
"الوطنية الكروية"
الصحافة الجزائرية
وضعية المرأة
التربية و التعليم

(:و حتى سعر الطماطم

أنتظر آراءكم و ملاحظاتكم في التعليقات أو على البريد، و إن كان هناك من يجد هذه الفكرة سفيهة، فليقل ذلك ... بعد أن يتأكد
(:Tor أنه يستعمل

.

J'avais lancé il y a quelques jours l'idée au blogueurs algériens d'une journée durant laquelle on traitera du même sujet.


J'estime que l'idée mérite d'être développé un peu plus, alors voila de quoi il s'agit :

Quoi ?

Parler du même sujet, concernant l'actualité et les questions touchant les algériens, chacun de son point de vue et suivant ses propres valeurs et perceptions.

Qui ?

Tout blogueur (ou facebookeur :) ) algérien souhaitant le faire

Quand ?

C'est une périodicité à définir. Çà peut être chaque 1, 2, 3 ou 6 mois, ou chaque année. Il faudra se mettre d'accord dessus.

Personnellement je propose chaque 3 mois pour un début. Après on ajustera en moins ou en plus de temps.

Comment ?

Il y aura une liste de sujets à traiter, proposée par chaque personne voulant participer. Un système de vote permettra de choisir le sujet final, celui qui recueillera le plus de voix.

Pourquoi ?

C'est la question la plus importante .... le meilleur est toujours pour la fin :)

Imaginez des dizaines, voire des centaines de billets et articles parlant du même sujet en même temps ... toute la blogosphère algérienne parlant d'une même voix.
On pourra ne pas être d'accord sur la manière de traiter le sujet, sur les causes et les solutions, mais ceci n’empêchera pas de porter aux médias (presse et Internet) le sujet ... tous les projecteurs seront dessus et personne ne pourra ignorer le sujet ce jour là.

Exemple ?

Je n'ai pas vraiment de sujets précis, mais bon ... ça pourrait être :

- l'état de NTIC et la stratégie de l'état concernant ça
- le "nationalisme footballistique"
- la presse algérienne
- les conditions de la femme
- l'éducation

et même le prix de la tomate :)

J'attend vos réactions sur les commentaires ou par mail .... et si vous trouvez que c'est con, dites-le ! .... mais dans ce cas faites en sorte d'utiliser Tor :)


.

قد تكون راضيا عن نفسك و وضعك بعض الشيء ... أو قد لا تكون
قد تود و ربما تحلم أنك تتصرف بتلك الطريقة و بذاك الأسلوب في حالات و أوضاع معينة
قد تنظر بإعجاب، ترافقه ربما حسرة، و أنت ترى تعامل قدواتك مع الأوضاع و الأحوال المختلفة بطريقة مغايرة تماما لما تقوم به أنت
قد تستهجن و تحتقر حتى ردود أفعال من حولك تجاه الواقع ... ثم تتذكر أنك تفعل الشيء نفسه

مع ذلك أنت مصمم على التغير و التحسن ... مصمم على أن تكون شخصا آخر ... الشخص الذي تريد أن تكون

من أنجع و أحسن الطرق لإعلاء الهمة و شحن الإرادة أن تجلس و ترى نفسك ذلك الشخص ... كيف يفكر و كيف يتعامل

ماذا يفعل مع صراخ الأولاد و مزاج الزوجة
ماذا يرد على ممارسات السائقين و الراجلين
ماذا يقوم به في ذلك الحال أو تلك الوضعية
كيف يعامل الأهل و الأصحاب
كيف ينظم وقته و ينمي مهاراته
كيف يعبد ربه و يؤدي لكل حق حقه

أنظر إلى ذلك الشخص بإعجاب و تقدير ... ثم أنظر مليا إلى محياه ... إنه أنت ... أنظر إلى قوامه ... إنه أنت ... أنظر إلى ابتسامته ... إنه أنت ... أنظر إلى افتخار أهله به ... إنه أنت ... أنظر إلى انبهار الناس به ... إنه أنت.

إنه أنت ... إن أردت

.

Les anciens billets perdent avec le temps de visibilité au profit des nouveaux ... même moi j'ai tendance à découvrir tes trucs en les lisant :)

Alors, en Octobre 2009 je vous racontais ....

Je vous racontais tout simplement que j'allais arrêter le blog :)

Cette décision n'a tenu que presque 10 mois ... et j'ai repris après pour diverses raisons expliquées dans le billet ... de reprise :)


.

C'est une action annuelle qui est lancée chaque 15 octobre pour que le maximum de blogs traitent d'un sujet choisi après un sondage préalable.
En 2007 c'était l'environnement, en 2008 la pauvreté, à laquelle j'ai participé et en 2009 c'était les changements climatiques.

Pour cette année 2010, le sujet choisi est l'eau. Si vous voulez participer, inscrivez vous sur le site et préparez votre billet pour le 15 octobre ... parlez de l'eau du côté qui vous importe le plus.

C'est une action louable et efficace. Quand on concentre un grand nombre d'efforts sur un seul point c'est nettement plus efficace que quelques touches.

Et justement, il y a plus d'une année que j'ai pensé a proposer aux blogueurs Algériens, toutes tendances et langues confondues, de mettre en place une telle initiative :

Périodiquement (mois, trimestre, semestre ou année, c'est à discuter), on choisi un jour où tous les blogueurs Algériens parlent du même sujet (choisi suite à un sondage par exemple), chacun à sa manière et selon ses idées et conceptions .... l'essentiel est d'attirer l'attention de l'opinion publique et des médias sur ce sujet.

Alors, je le propose et j'espère qu'il y aura accueil favorable de la blogosphère DZ.

.

Pour ce mois de septembre 2010, j'ai apprécié et appris de ces liens ... peut-être que ça vous servira aussi :


1- Ce mois est certainement celui des grandes manœuvres pour le contrôle des communications et des flux. Çà commence avec les Emirates et l'Arabie Saoudite pour le BlackBerry auxquelles l'Inde emboite le pas ... en avançant d'un cran, en plus du RIM (constructeur du BlackBerry), c'est Google (Gmail) et Skype qui sont visés.
Tous ce beau monde veut avoir la possibilité de déchiffrer les flux chiffrés !

Pour ceux qui se sont déjà (ou même bien avant) levés pour dénoncer ce totalitarisme tiers-mondiste odieux en lisant ça ... je dis calmez vous ... c'est justement là qu'apparait l'hypocrisie occidentale (de certaines sphères au moins). Après avoir dénoncé fortement cette volonté de surveillance malsaine, voila qu'un texte US est en préparation pour être proposé au Congrès pour ... non seulement obliger les opérateurs téléphoniques et les ISP à avoir des "moyens" permettant aux Agences US de voir tout ... mais même les éditeurs logiciels (y compris étrangers) devront prévoir des backdoors pour les beaux yeux de la NSA et du FBI !!!

2- Mais bon, il faut rester réaliste et sortir des idéaux creux ... c'est la guerre et tous les moyens sont bons ... et actuellement on commence à voir de cyber-armes !!!
A moins de vivre dans une grotte, j'en suis sûr que tout le monde a déjà lu ou entendu quelque chose sur stuxnet.

Çà ne vous dis rien ?!!!! Allez un peu de lecture et je vous suggère de n'avoir aucune idée arrêtée pour le moment .... les théories et les analyses fusent chaque jour ... la plus en vogue actuellement est que c'est une attaque Israélienne sur les installations nucléaires Iraniennes !

- Le programme nucléaire iranien, cible de Stuxnet ?
- Stuxnet worm can control industrial systems
-
‘Stuxnet’ Worm Far More Sophisticated Than Previously Thought
-
Stuxnet Target Theory
- Langner Analysis
-
Was Stuxnet Built to Attack Iran's Nuclear Program?
- How to plan an industrial cyber-sabotage operation: A look at Stuxnet
-
Stuxnet malware is 'weapon' out to destroy ... Iran's Bushehr nuclear plant?
-
Blockbuster Worm Aimed for Infrastructure, But No Proof Iran Nukes Were Target
- The Stuxnet Worm
-
How to p0wn a Control System with Stuxnet
-
Stuxnet Infects 30,000 Industrial Computers In Iran
-McAfee Stuxnet Update
-Myrtus and Guava: the epidemic, the trends, the numbers (Kaspersky)

3-
Ce ver-cyber-arme a exploité apparemment un mot de passe par défaut des systèmes Siemens .... alors j'ai trouvé intéressant ces stats sur les user et password SSH les plus utilisés ... sous forme de tag

4- Quand on voit tout ça, on se demande si on a appris quelque chose durant la dernière décennie ... mais beaucoup de trucs se sont passés

5- Et on est (l'Afrique du Nord) présent sur la scène et de plus en plus actifs :)

6- Mais je ne crois pas que c'est des gens de la région qui ont fait le coup au Boss d'Interpol :)

7- Je ne sais pas ce qu'il a fait lui ... mais d'autres prennent mal qu'on les prend pour des cons et ne lâchent rien !


.

Les anciens billets perdent avec le temps de visibilité au profit des nouveaux ... même moi j'ai tendance à découvrir tes trucs en les lisant :)

Alors, en Septembre 2009 je vous racontais ....

C'était un et un seul billet pour le mois de septembre ... je vous disais que la reprise est dure :)

Ce billet traitait du projet de l'ARPT de lancer la certification électronique au niveau national et je disais dans le tire que "ça va coincer" !!! En fait ce qui est arrivé est pire : ça était complètement annulé tout simplement !


.

L'activité du blog a pris un coup après la fête de l'aid .... et je suis étonné de voir que presque tout les blogs DZ que je suit sont dans le même état .... les gâteaux ont laissé des séquelles apparemment :)

En fait, c'est la rentrée sociale et scolaire qui sont à l'origine de ce chamboulement de nos emplois de temps.... en plus les embouteillages pointent déjà leur nez !

D'un autre côté, sur le plan professionnel, septembre et le mois de la reprise des anciens projets et la relance des nouveaux .... et il ne faut rater les clients intéressants durant cette période :)

C'était juste pour dire coucou, je suis en vie et je vais reprendre l'activité du blog dès maintenant ... et la série Vache Laitière Corporation :)


.


تقبل الله منا و منكم و غفر الله لنا و لكم
كل عام و أنتم بألف خير

.....

لكن الفرحة الحقيقية لا تزال تنتظر الرجال





.

Alors, une fois qu'on s'est mis d'accord sur les questions de fond à se poser avant de lancer un programme de sécurisation de son système d'information (voir partie 1) et afin d'avancer dans ce petit voyage , il faudra choisir un cas de figure qui nous servira pour parler plus concrètement quand on abordera certains détails.

J'ai dit que cette série traitera de la démarche de sécurisation élémentaire d'une entreprise ou administration de petite ou moyenne taille ... aux normes DZ :) ... comprendre quelques centaines de PC et quelques réseaux interconnectés au max.

Imaginons une entreprise étatique, ayant une autonomie de gestion mais rattaché à une entité étatique (du genre Holding, SGP ... etc.) ... qu'on appellera "VacheLaitière Corporation"
Son métier est la fabrication et la vente de .... cannes à pêche :)

- Son siège principal (social) ou administration centrale est à ... Alger bien sûr !
Elle a 3 sièges régionaux : Ouest à Oran, Est à Annaba et Sud à Ouargla.

- Les sièges régionaux sont connectés chacun au siège principal à travers des liaisons spécialisées 2 Mb/s louées chez .... Algérie Télécom bien sûr !

- Tout les sièges ont des réseaux locaux filaires, avec des extensions Wifi ... pour suivre la mode :)

- L'accès à Internet de tout les sièges se fait à travers le siège principal ... et c'est à travers un abonnement FAWRI ... en remplacement forcé de l'abonnement EEPAD :)

- Les réseaux locaux des sièges servent à connecter des stations de travail (sous Windows XP), des imprimantes de diverese marques et des serveurs (sous Windows 2000 et 2003).

- VacheLaitière Corporation utilise 3 applications "réseaux", une de gestion de stock ... achetée chez un petit jeune "freelance" cousin du beau frère de la secrétaire du directeur du siège d'Oran :) , et s'est sous Windev !
La 2ème application est pour la gestion de la paye et des ressources humaines ... achetée chèrement chez une boite connue sur la place d'Alger, et c'est sous Oracle.
La 3ème est une application fait maison qui sert à gérer et suivre les demandes de la clientèle ... je sais qu'il y a un terme plus "sérieux" pour dire ça, mais lequel ? CRM ? ... ça sera trop dire !

- Là on arrive aux développeurs et aux administrateurs systèmes et réseaux ... Hein ? ... désolé, j'ai oublié, en fait c'est UN informaticien qui est LE développeur et L'administrateur de tout ... il gère même les téléphones. Mais bon, le boss est quelqu'un de compréhensible ... il lui a mis un adjoint ... en fait "une" ... vous vous souvenez du jeune freelance ? et bien c'est sa sœur :)

- Enfin, la VacheLaitiaire Corporation a son site Web tout neuf ... developpé en FrontPage par l'adjointe ... vous savez, la soeur du freelance !

Le décor est planté maintenant ... il y a d'autres détails qui viendront lors du petit voyage.
Si vous avez des objections sur le décor ... et bein gardez les pour vous ... c'est MON film :)

Avant de terminer, une question me taraude : mais pourquoi cet informaticien ne se casse pas de cette boite ? .... ça restera un mystère pour moi ! ... Si quelqu'un a une réponse !

.

Pour ce mois d'août 2010, j'ai apprécié et appris de ces liens ... peut-être que ça vous servira aussi :



Des attaquants peuvent exploiter des vulnérabilités de soft nécessaires pour jouer, QuickTime Player dans le cas de Second Life par exemple ... mais bon c'est mérité, vous savez ce que je pense de jouer :)

2- Si certains chercheurs en sécurité s'intéressent aux mondes virtuels, d'autres ont des passes temps plus exotiques ... relever les statistiques d'utilisation des favicons sur le Web ... en utilisant nmap :) ... t'as raté ça tix ? :)

3- Si ce qui précède est un peu anecdotique (il n y a pas de vrai dégâts), les dernières news liant un crash d'un avion de Spanish Air à un malware (en 2008) sont à prendre vraiment au sérieux ... si cette histoire se confirme bien sûr ... mais en ce moment ça fait la une des cercle sérieux de la sécurité ... c'est quand même 154 morts. Bien d'invraisemblable pour beaucoup, elle servira sûrement pour alimenter le FUD.

4- En admettant que la supposition précédente n'est que de la fantaisie, l'infiltration du réseau classifié (comprendre non relié à Internet) du Pentagone suivant un scénario digne des Polars d'espionnage est apparemment quelque chose de confirmé ... la victime a même avoué !
Mais bon, dans ce domaine, tout est à prendre avec des pincettes !


5- Certes il y a des attaquants /hackers / espions brillants ... mais il y a aussi certains peu ingénieux. Quand on test son code (comprendre malware) et quand ça crache on envoi le rapport de bug à ... Microsoft, c'est un peu bizarre non ?!! ... à moins qu'ils sont joueurs ces codeurs :)

6- Dans un autre registre ... plus stratégique ... on apprend que l'Iran met à disposition et encourage officiellement l'utilisation de versions piratées de tout genre de logiciel
Ça ne m'étonne pas ... ils savent ce qu'ils veulent et le font point barre, après bien ou pas bien, je ne crois pas que c'est quelque chose qui les préoccupe !

7- Terminons par notre beau pays. Le Temps d'Algérie nous fait un panorama, peu reluisant pour lui, de l'état de "la communication institutionnelle via la toile" ... ça vaut ce que ça vaut ( KT Algérie n'aime pas), mais j'ai pas vu beaucoup d'articles qui relèvent ça.


.

Je reçerais hier dans mon lecteur RSS le coup de gueule de ButterflyOfFire contre un article de N'TIC Magazine qui traite de l'utilisation des navigateurs Web par les Algériens. Après, c'est au tour de Nassim d'enfoncer le clou en montrant leurs "hérésies techniques" : citer dans la même ligne les mots sécurité et WEP :)

Maintenant c'est à mon tour à faire de la pub pour eux gratuitement ... mais je vais jouer le gars gentil ... du moins j'essayerais :)

L'audience de ce magazine "spécialisé" dans les NTIC pourrait être des cadres de tout genre et peut-être même des responsables informatiques dans des administrations publiques, des entreprises ou même des institutions ... c'est bien pour ce magazine (et pour ses sponsors), mais audelà de ça, moi je vois dans cette situation une responsabilité importante envers les citoyens et le pays ... j'exégère ? pas du tout, est-il encore nécessaire de parler de l'importance des médias dans le façonnement des idées et des opinions et par conséquent des choix et décisions ?

Alors, j'espère que les responsables de ce magazine prennent ce que je vais dire comme une critique constructive et non comme un acharnement typique d'un blogueur en manque de billets à publier.

En parcourant le magazine, la première impression est la qualité du design ... ok, je ne suis pas très connaisseur mais moi ça me plait.

Maintenant pour les articles, on trouve des études et enquêtes avec des chiffres et des conclusions ... et c'est justement là que je voudrais relever une petite remarque.
Quand on fait une étude, un sondage ou une enquête on doit étayer nos dires et analyses par des chiffres et surtout par la présentation de la méthodologie de conduite de ces tests. Il ne suffit pas d'affirmer que les réseaux sociaux ont un franc succès en Algérie et qu'un tel navigateur est en perte de vitesse en Algérie ... vous les sortez d'où ces conclusions ?
Après, si on veut donner de la crédibilité à nos dires, il est d'usage d'inclure les avis d'experts ou de spécialistes reconnus ou du moins représentatifs du domaine traité.

Une deuxième et dernière remarques (j'ai dit que je serais gentil :) ) est quelques "imprécisions" techniques (pour ne pas dire autre chose) surtout quand ils abordent la sécurisation WIFI ou les Antivirus.
Là, je leur suggère de penser à associer des spécialistes pour la revue et la correction des articles avant publication ... ça leur évitera des dires des conneries et de perdre de la crédibilité ... et ça nous empêchera nous de gueuler pour rien :)

Allez, bon courage N'TIC et soyez ntic :)
.

Une étude (encore une) nous apprend que la moitié des employés (au US et UK) admettent qu'ils pourraient prendre des données de la boite où ils bossent ... quand ils quitteront le navire. C'est osé. Il y a encore plus de détail, allez voir ... mais bon ça reste des intentions, non ?

A y réfléchir, je crois que non seulement c'est vrai, surtout chez nous, mais encore le pourcentage serait plus grand ! Allez, admettez ... personne ne le saura ... après un petit stage, un boulot saisonnier, une invitation un peu longue chez une boite, on prend de la doc, c'est pour apprendre ... des fichiers word et excel, ça servira comme modèle ... des logiciels, qu'on ne peut s'offrir !!

Maintenant si on est de l'autre côté de la barrière ... comprenez c'est à nous la responsabilité de la protection des données de la boite, et ben, chaque fois qu'on a écho que tel personne va quitter on va surveiller de très près ce qu'il fait : ses transferts vers le Net, ses copies CD/DVD/USB, ses impressions ... ça peut paraitre intrusif et même une atteinte à la vie privée ... mais si j'étais à votre place, je prendrais mes précautions pour ne pas basculer dans l'illégal sans pour autant laisser ce gars me faire perdre mon boulot ... au mieux me faire passer pour un incompétent !

Et si on ajoute à cela le vol d'informations délibéré, le débauchage prémédité et l'espionnage industriel ou commercial, si cher à Karim :) , là on ne se pose plus de questions : tout ce qui bouge doit apparaitre dans notre beau écran :) .... facile à dire, mais l'implémenter est une autre histoire ... peut-être qu'on la traitera (en partie) dans la série "petit voyage dans le royaume de la sécurité élémentaire".

Allez ... surveillons nous les uns les autres :)

.

عندما استأنفت الكتابة في المدونة، قمت بتغيير عنوانها لأعلن أني أعتبرها كمفكرة خواطر شخصية ... و سيكون هذا أول مقال من هذا الطراز... و لا أجد أحسن من العربية للقيام بذلك ... سأكتب من جديد بهذه اللغة بعد ما يقارب الخمسة عشرة سنة من هجرانها.

عادة ما أقوم بمراجعة سير حياتي مرة كل سنة على الأقل ... عند ذلك أرى بعض النجاحات كما أرى كثيرا من الإخفاقات، لكن هناك شيء يؤلمني كلما تذكرته و فكرت فيه : إنه كل الأشياء أو بالأحرى كل النجاحات التي كان بالإمكان أن أحققها و أحصد نتائجها الآن ... ليس لو قمت بمجهودات خارقة أو تكبدت مشاق عظيمة ... إنما و بكل بساطة لو كنت بدأت فقط.

إن النجاحات و الإنجازات الكبيرة لا تأتي هكذا فجأة، بعد سهر ليلة أو أسبوع، إنما هي نتاج خطوات صغيرة لكن ثابتة، أعمال يسيرة لكن دائمة. أظن أن عدو النجاح الأول و الأخطر هو التسويف و الانقطاع ... نبدأ بالشىء ثم ننقطع عنه، نعلم أنه يجب علينا القيام بشيء ما لكن نؤجل و نؤجل و في النهاية لا نقوم به أبدا... للأسفأعلم كل هذا ... لكن ما بين العلم و العمل حواجز من ضعف الإرادة و قلة الهمة

قد لا يفهمني الكثير ... لكن تذكروا ... إنها خواطر شخصية ... رغم ذلك، لمن يهمه الأمر أو يعاني المعاناة نفسها، هاكم
بعض الأمثلة

لو أكمات تدريبي الرياضي الذي بدأته منذ 25 سنة و انقطعت عنه بعد أقل من سنة، رغم النتائج الكبيرة
التي رافقت البداية ... لكنت ربما بطلا وطنيا أو مشاركا في تضاهرات عالمية

لو أكمات بعض مشاريعي الخاصة و نفذت خططي لكنت في وضع مادي لا يقارن بالوضع الحالي ... على يسره

لو التزمت ببرنامج القراءة الذي وضعته منذ سنوات لكنت قرأت آلاف الكتب الآن

.... و هلم جرا

أعلم أن كلمة لو تفتح عمل الشيطان ... لكن ما أرمي إليه ليست الحسرة المميتة أو الندم المثبط ... إنما هي محاولة لاستنهاض الهمة ... لعلي أصنع الذي غير الذي صنعت من قبل ... و أستغفر الله العظيم من كل ذنب عظيم


.

Les anciens billets perdent avec le temps de visibilité au profit des nouveaux ... même moi j'ai tendance à découvrir tes trucs en les lisant :)

Alors, en Août 2009 je vous racontais ....

1- J'entamais justement ce genre de billets pour la 1ère fois .. pour couvrir les billets d'août 2008 :)

2- J'ai traité un thème cher à moi ... celui de la nécessite de spécialisation et de ne pas rester un simple "généraliste" en sécurité, et ceci mérite un Vouloir et un Pouvoir ... en passant j'ai fait une bourde en parlant de prix Nobel de Maths, heureusement que zendyani veille, en plus ce billet a généré pas mal de commentaires avec une dose de physique quantique de chez ubu :)

3- Ensuite une réflexion sur ce que représente le Ramadhan pour moi ... avec un programme / Objectif que j'essaye d'appliquer chaque année ... et encore une fois un échange de commentaires un peu chaud sur la religion :)

4- Encore un billet traitant de la spécialisation sous l'ongle de quoi lire ... pour moi c'est un des meilleurs billets que j'ai écrit ... parce que j'aime les schémas :)

5- Enfin un billet où j'entame (oui encore une entame) une série d'articles sur les liens que j'ai apprécié durant un mois ... je viens de relire, c'est intéressant :)


.

Il y a pleines de choses dans la vie qu'on fait depuis longtemps, sans se poser la question du POURQUOI !! Et quand on se la pose, on se rend compte souvent, que soit on pouvait ne pas perdre aussi de temps dans ça, soit on aurait dû les faire autrement depuis le début

En sécurité, c'est la même chose.
En entend souvent des conseils du genre : mettez un Firewall et un IDS, achetez ce type d'antivirus et pas l'autre, utilisez Linux et pas Windows ... du technique pur et dur !!

Or, tout ça n'est qu'un détail et n'est nullement la finalité ... ça doit être juste la conséquence des questions fondamentales de sécurité que tout le monde devra se poser ... avec un crayon et un bout de papier.

Pour moi, il y a 3 questions fondamentales auxquelles on devra répondre avant toute chose :

Question 1 : Je veux protéger quoi ?

Et ben c'est facile me diriez-vous : Je veux sécuriser mon réseau, mes systèmes, mes applications, mes données ... je veux sécuriser tout !!!

Avec cette réponse, vous n'irez pas loin, pire, vous allez vous faire trouer en moins d'une journée.
Pensez-y pour quelques heures et trouvez une réponse plus précise.

Dans votre réflexion, prenez le temps de revoir des choses que vous considérez comme évidentes :
- Quel est mon business ou celui de ma boite ?
- Quelles sont les choses importantes qui font marcher ce business (biens ou actifs) ?
- Est-ce que je peux donner des priorité ou une classification de l'importance de ces choses là ?
- Que ce que je vais perdre "réellement" si j'ai un problème avec une de ces choses ?

Et en fonction de votre business, posez vous la question s'il y a des lois qui vous obligent à assurer ou prendre certaines mesures, concernant un ou plusieurs des actifs trouvés avant.

Je sais, c'est chiant, mais croyez-moi, c'est la phase la plus importante dans une démarche de sécurisation d'un système d'information, même un petit cybercafé... ça vous évitera de perdre des journées dans l'installation d'une solution de sécurité complexe ... mais dont vous n'aurez jamais besoin ... et oublier en passant de mettre des trucs plus élémentaires, mais indispensable pour votre cas.

En ayant les réponses à ces questions, vous aurez le "contrôle" de vos futurs actions et choix techniques ... ce n'est plus le fournisseur ou la mode HighTech qui décidera ... mais vous ... après bien sûr le boss, le financier et leurs secrétaires :)

Question 2 : Je veux les protéger contre qui ?

C'est bien beau de mettre des protections sur toutes les choses importantes qu'on a, mais imaginez que vous vivez dans un désert ... vous le ferez toujours de la même manière ?

On doit connaître nos adversaires et ennemis ... ces méchants enfoirés débiles malsains assoiffés prétentieux malades qui veulent du mal à un gentil garçon comme nous :)

Et là aussi, prenez le temps nécessaire pour y réfléchir sérieusement.
- Sont-ils les script kiddies qui pullulent sur le Net ?
- Sont-ils des curieux qui veulent tester des trucs mais qui ne vous ciblent pas spécialement ?
- Sont-ils des geeks qui viennent de se rendre compte que la terre est ronde et veulent utiliser votre cas pour le prouver sur les forums et autres canaux IRC ?
- Sont-ils des journalistes ou investigateurs obscures ?
- Sont-ils des concurrents ?
- Sont-ils des collègues en interne, voulant se venger du Boss .. de vous l'abominable personne qui les prive de chater de 08h à 16h ?
- Si vous avez un business illégal, sont-ils les policiers et gendarmes ? ... ben quoi, même un criminel à le droit de se protéger ... et c'est au forces de l'ordre de faire leur boulot :)
- Sont-ils des organisations criminelles, des agences de renseignement étrangères ou la NSA ? si vous êtes dans ce cas de figure ... retournez vous coucher et laisser les choses se faire toutes seules :)

Vous voyez, on n'a pas le même genre de menaces ... et par conséquent, il n y aura pas les mêmes types de protections.

Globalement, vous pouvez les classer en 3 catégories : Débutants - Connaisseurs - Experts.

Ici, ça vous servira pour contrer les débutants et rendre la vie difficile à une grande partie des connaisseurs. Pour le reste ... il faut débourser un petit peu pour s'offrir les services des professionnels ... mais vous n'aurais pas à commencer de zéro.

Question 3 : A quel prix ?

Maintenant, vous devez savoir quel est votre budget, financier et en temps à consacrer.
En fait, ceci sera le résultat de votre performance en expliquant au Boss et autres managers les détails des réponses des premières questions : quoi et contre qui.


Dans le prochain billet on mettra un petit scénario pour voir concrètement ce que donne tout ce discours.
Vous pouvez laisser des commentaires ou m'envoyer directement un mail à "salahnadir" sur gmail pour proposer un cas de figure comme scénario pour la suite des billets.


.

.

En faisant une recherche sur Internet concernant des domaines DZ, je tombe sur un lien de la revue du Cerist : CERISTNEWS, un « Bulletin d'information trimestriel interne» et c'est le 1er numéro (Mars 2010).

C'est joli et bien fait … mais il faudra pensé déjà à donner un nom plus significatif au pdf :)

Mais ce qui attire vraiment mon attention c'est le dossier « DZ-CERT Sécurité des systèmes d'information ».

Pour ceux non familiers avec le concept de CERT, vous trouverez sur ce lien ou celui là des explications claires ... à l'opposé de ce que nous raconte cette publication du Cerist.

J'ai toujours dis que le Cerist, tel qu'il est actuellement n'est pas vraiment bien placé pour parler de sécurité ou donner de l'aide pour traiter des incidents de ce genre … sinon comment expliquer l'état de sécurité médiocre (pour être poli) de toute leur infrastructure (réseaux, systèmes, services) ?!

Alors, sur la page 18, on a une définition de la « Mission du CERT Algérien » :

« La mission du DZ-CERT est d'assister la communauté Algérienne dans l'amélioration de la sécurité des communications et des systèmes en vue de réduire les risques d'incidents de sécurité »

Je ne sais pas pour vous, mais moi je trouve que c'est trop vague et à la limite de l'incorrect.

- La cible de leur service ou clientèle est « la communauté Algérienne » … ça me rappel Ould Abbas :)

- Leur service est « l'amélioration de la sécurité …. » … ça dépasse de loin les missions d'un CERT ça !

- « sécurité des communications et des systèmes » … ils ne sont pas beaucoup à utiliser cette expression !! ... mais bon.

Et ils continuent avec le paragraphe suivant, toujours sous le thème de la mission de ce CERT:

«DZ-CERT peut être vu comme un regroupement logique de compétences et de ressources régi par ses propres lois et politiques et soumis à la réglementation en vigueur. Il doit respecter sa vocation intrinsèque qui est la contribution à l'évolution de la sécurité informatique en Algérie et la minimisation du risque sans oublier le besoin de coordonner avec les CERTs internationaux»

Pendre un paragraphe pareil … il faut le faire : ils ont des lois et politiques propres ?! Vocation «intrinsèque » ?! … j'espère qu'ils utiliseront une autre terminologie pour communiquer avec leur clients … je me demande d'ailleurs s'ils en ont vraiment !!

Après, ils nous présentent les «Objectifs du DZ-CERT» … des termes creux du même genre, mais là on apprend que leur service est apparemment destiné aux « institutions algériennes » et après « à toute la communauté Internet en Algérie ... ils veulent dire nous tous ?: Non merci.

Enfin, leur première création, et unique apparemment, est le site Wikayanet, «premier portail de la sécurité en Algérie»... no comment !

Tout ce que je peux leur dire, c'est nettoyer devant votre porte avant d'ouvrir votre gueule !

PS : Je n'ai aucun problème personnel avec le Cerist ou ses employés ... encore moins avec les ingénieurs qui bossent dans ce centre. Mais l'incompétence flagrante de certains responsables dans ce centre a décrédibilisé le tout ... et dans ce domaine, la crédibilité, associée à la compétence, sont le vrai capital.

.

Commençons par une petite FAQ :)
Q : De quoi s'agit-il ?


R : C'est une suite de billets consacrés à la mise en place d'une politique de sécurité de base ou élémentaire.

Q : Qui est invité ?

R : Tout administrateur ou responsable informatique (ou simple passionné) d'une moyenne entreprise, administration ou équivalent (association, réseau personnel, Cyber ...) voulant éviter d'être ridiculisé ou viré parce que personne ne peut accéder à la super application toute en couleurs que le Boss aime tant.

Q : Tu te prends pour qui ?

R : Comme je l'ai annoncé dans le billet de réouverture du blog, je voudrais transmettre ma petite expérience à ceux qui ne peuvent s'offrir les services chers payés des SSII ... même pour un petit conseil.

Maintenant, je ne dis pas que je sais tout ... je dirais sûrement des conneries, et j'espère qu'il y aura quelques uns qui interviendront pour rectifier le tir.

Q : Tu gagnes quoi toi ?

R : J'espère quelques daawi elkhir :)


.

En lisant un billet sur l'ISC SANS, concernant les sites compromis et utilisés à leur insu pour servir comme boutique spéciale Viagra et autres trucs du genre, j'ai eu le réflexe algérien de voir du côté national.

Alors je prend la même requête pour le domaine DZ, une main sur mon coeur et l'autre sur le visage, pour ne pas voir etebehdila qui m'attend, j'appui sur enter :"buy viagra site:dz filetype:html"

Et là Ô surprise ... un seul résultat : la Radio Régionale de Constantine Cirta FM ... Hchouma aalikoum ya ness Ksentina .... c'est pas sérieux tixx :)

Voyons de plus près ce que vend vraiment Cirta FM : hxxp://www.radio-constantine.dz

Déjà Google nous sorts les drapeaux rouges, pour lui, ce site contient 17 trojans, 6 exploits et 4scripting exploits ... rien que ça !!

On récupère la page d'accueil avec wget (pour éviter d'exécuter le script par le navigateur), et là on peut voir les codes malicieux (je l'ai mis en image parce que le code peut faire crier certains Antivirus) :


Pour ceux intéressés par le décodage de ces script obfusqués, essayez ce que propose les pages du SANS ISC. D'après ce que j'ai vu, les sites d'exploits en question n'existent plus mais soyez prudents quand même....j'ai pas vraiment beaucoup creusé l'analyse.

.

Inscription à : Articles (Atom)