Misc 84

DISASTER RECOVERY :

outils & organisation

1 - Quels protocoles réseaux pour construire une infrastructure sur plusieurs datacenters ?
2 - Stockage distribué : améliorer la résilience sans sacrifier les performances
3 - Bases de données multi-sites avec Cassandra
4 - Concevoir et organiser un plan de continuité d'activité

 

Plus de détails

8,90 € TTC

 

SOMMAIRE :

Exploit Corner
p. 04 CVE-2015-6409 : Downgrade STARTTLS appliqué au client Cisco Jabber

Pentest Corner
p. 12 Les pentests matériels dans les environnements IoT

Forensic Corner
p. 20 Attaque ciblée contre SIEM : du fantasme aux règles de bon usage

Dossier
p. 30 Préambule
p. 31 Extension de LAN
p. 40 Stockage et PCA/PRA
p. 48 Retour d'expérience sur Cassandra
p. 56 Les Plans de Continuité : les difficultés organisationnelles et méthodologiques à surmonter

Socitété
p. 66 Quelles implications juridiques pour IPv6 ?

Réseau
p. 70 Fiabiliser son infrastructure web avec HAProxy

Cryptographie
p. 76 Surveillance généralisée : Dual_EC_DRBG, 10 ans après

 

EDITO :

Vous reprendrez bien un peu de souveraineté ?

Après un début d’année 2016 anxiogène en matière de privation de nos vies privées, les députés ont choisi de détendre l’atmosphère en nous inventant un (nouveau) grand projet numérique souverain. Cette habitude française est née avec le plan-calcul de 1966, et depuis, nos élus et hauts fonctionnaires ont des tonnes d’idées de projets grandioses pour le rayonnement numérique du pays et son indépendance vis-à-vis du reste du monde. Je ne vais pas les citer tous, mais le dernier en date, le Cloud souverain, pourrait faire sourire si l’État n’avait pas investi, à fond perdu, 150 millions d’euros.

Pourtant l’appétence technique de nos élus et leurs fausses bonnes idées en matière d’innovation technologique devraient nous avoir échaudés depuis un moment. De Christine Albanel et son désormais célèbre pare-feu dans OpenOffice [1] en passant par la longue agonie de la HADOPI et à qui l’on essaie de refiler toute sorte de missions pour continuer de justifier son existence, la liste est longue. À quelques exceptions près, force est de constater que la plupart de nos représentants ont bien du mal à saisir les enjeux du numérique. Et l’on peut légitimement se demander si les personnes leur soufflant à l’oreille quelle doit être la stratégie de l’État n’ont pas quelques intérêts dans le domaine et n’espèrent pas, par leurs conseils « éclairés », rafler quelques juteux appels d’offres.

Ainsi, dans leur omniscience, les parlementaires ont adopté le 20 janvier un amendement [2] demandant la création d’un « Commissariat à la souveraineté numérique chargé de la création d’un système d’exploitation souverain ». Pour qui connaît les ressorts de l’administration, cela signifie que sous l’égide d’un parlementaire, une brochette d’énarques va charger une poignée de polytechniciens de rédiger un appel d’offres d’« assistance à maîtrise d’ouvrage » (AMOA pour les intimes) dans le but de recruter une armée de consultants facturés à plus de 1500 € HT par jour. Ces derniers seront chargés de conduire une étude de faisabilité (premier livrable) puis de rédiger un appel d’offres pour la réalisation de l’OS souverain (second livrable). L’étude va grosso modo expliquer en des termes choisis pour ne pas vexer les parlementaires qui, dans leur grande sagesse, ont initié ce projet, que même Google ne s’est pas risqué à créer un OS en partant de zéro, mais que le logiciel libre c’est compatible avec la « souveraineté ». En scénario 1, les consultants vont proposer de prendre des briques open source et rajouter quelques couches nationales pour obtenir un OS souverain à moindre coût (comme celui de la Corée du Nord). En scénario 2, il sera envisagé de tout réécrire (kernel, bibliothèques, logiciels), mais le budget risque de dépasser celui d’un porte-avion (ce qui serait tout de même dommage pour quelque chose que personne n’utilisera). Le scénario 2 vous parait déraisonnable? Il l’est. Mais cela donnera l’illusion aux décideurs du Commissariat de décider quelque chose. Tout consultant facturé à plus de 1.000€ par jour sait quand il doit faire preuve d‘humilité devant les puissants afin qu’ils aient l’impression qu’il n’est là que pour les assister dans leurs réflexions et non faire les choix à leur place.

Après avoir rendu un arbitrage très sage et très éclairé en comité de direction en faveur du scénario 1, le Commissariat décidera de passer à la phase deux de l’AMOA qui est la rédaction des documents constitutifs de l’appel d’offres pour la livraison dudit « système d’exploitation souverain ». Si les consultants sont aguerris, ils sauront convaincre le commissariat qu’un dialogue compétitif [3] est la forme de marché la plus adaptée, ce qui leur permettra de justifier une bonne année de prestation de conseil supplémentaire. Un an plus tard, connaissant par cœur les noms des enfants, petits-enfants et arrières-petits-enfants de tous les membres du Commissariat, les consultants n’auront même pas besoin d’argumenter pour les convaincre qu’ils seraient les plus à même de piloter le titulaire du marché de réalisation en charge de concevoir le « système d’exploitation souverain ». La signature d’un avenant à l’AMOA pour le transformer en AMOE (assistance à maîtrise d’œuvre) ne sera plus qu’une formalité signée sur un coin de table à la fin d’un déjeuner offert par les consultants. Les membres du Commissariat étant très pris, ils ne sont en effet disponibles pour les réunions d’étape avec le chef de projet qu’entre midi et deux. Un an ou deux plus tard, dans une indifférence quasi générale, le titulaire du marché de réalisation livrera, un peu piteusement, une Debian avec quelques logos français ainsi que Firefox, Thunderbird et GnuPG préinstallés. Fin de l’histoire. Et voilà comment deux sociétés engloutissent en un temps record des dizaines de millions d’euros pour les lubies de parlementaires trop attentifs aux lobbys qui leur font profiter de leur « vision stratégique ».

Cedric Foll / @follc / cedric@miscmag.com

[1] Ce qui ne l’a pas discrédité dans le monde de l’IT puisque qu’elle est maintenant directrice exécutive chargée de la communication chez Orange…
[2] http://www.assemblee-nationale.fr/14/amendements/3318/CION_LOIS/CL129.asp
[3] http://blogueexpertise.com/2014/10/27/regard-sur-dix-annees-dexistence-du-dialogue-competitif-en-france/

 

A propos du magazine
Logo

LE MAGAZINE POUR LES EXPERTS DE LA SéCURITé informatique multiplateformes

Face à la transformation digitale de notre société et l’augmentation des menaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 15 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.

Déjà vus

Nouveaux produits