Un beau midi, dégustant des patates dans un petit restaurant Nantais (que je recommande au passage), me voilà à parler avec Keruspe de sécurité des données personnelles. On a tous un disque dur externe chez soi qui s’occupe de sauvegarder nos belles photos de vacances ou encore la bonne musique (qui a été durement et légalement acquise). Mais voilà, que faire en cas de cambriolage ?

Oui je sais, c’est un scénario catastrophe mais qui n’arrive pas qu’aux autres … La discussion nous a rapidement amené à une solution simple mais efficace : un coffre-fort en banque. Que faire d’un coffre ? Simplement déposer un disque dur.

Ainsi, voici une stratégie de sauvegarde sécurisée (parmi tant d’autres) :

Nous nous équipons d’un NAS 2 disques gérant le RAID 1 : le Netgear ReadyNAS Duo, par exemple. Puis de 3 disques identiques : Seagate Barracuda 7200.11 1.5 To, par exemple. La facture associée s’élève à 445 € TTC. Pourquoi 3 disques alors que le NAS n’en gère que 2 ? Et bien … Nous laissons 2 disques dans le NAS (ce qui permet de prévenir les défaillances matérielles des disques) puis le troisième disque sera le disque qui séjournera au coffre-fort.

Maintenant, allons voir pour un coffre. Je prends, pour exemple, la Caisse d’Epargne qui propose un coffre de 20 dm³ pour seulement 60 € / an sans frais d’accès.

Dernier point important : la rotation des disques. Et oui, il faudra penser à se rendre régulièrement en banque pour échanger les disques. L’ancien disque sera resynchronisé lorsque vous le remettrez dans le NAS.

Et voilà, vous aurez maintenant l’esprit un peu plus tranquille de toujours avoir une sauvegarde à portée de main … qu’on ne peut pas vous voler

Voilà maintenant 3 mois que je n’avais pas posté sur mon blog, je continue sur la lignée du dernier billet en vous proposant une nouvelle astuce tirée par les cheveux (mais plus simple quand même). Celle-ci permet de restaurer la zone d’amorçage (Master Boot Record) utilisée par Windows … depuis Linux.

Petit rappel du contexte : vous avez Grub et vous souhaitez le supprimer et retrouver le MBR de Windows. A l’époque de Windows XP, il suffisait de démarrer le CD d’installation en mode « Console de récupération » puis de taper fixmbr. Pour Windows Vista et Windows 7, un système de réparation système est disponible sur le CD. Mon problème ? Aucun CD fonctionnel sous la main, il ne me reste donc que mon arme ultime : Backtrack.

Je fouille un petit peu sur la toile et je tombe sur le projet MS-Sys. On télécharge l’utilitaire, on le compile puis on l’utilise … tout simplement :

ms-sys -7 /dev/sda

Cette commande permet d’installer le MBR Windows 7 sur le disque sda.

Cet utilitaire permet d’effectuer d’autres opérations ou d’installer le MBR d’une autre version Windows, n’hésitez pas à lire le manuel

Cela fait un long moment que je n’ai rien posté, je reviens donc avec une petite astuce qui, je l’espère, pourra vous être utile.

Il y a peu j’ai récupéré mon fixe qui détient une Gentoo depuis quelques années, elle n’a pas été mise à jour depuis Janvier 2009. Je m’engage donc dans la mise à jour de certains paquets sans vraiment chercher à comprendre. Quelques jours plus tard, je reboote la machine et c’est le drame : udev n’est pas supporté par mon vieux kernel (2.6.25).

Solution de secours, je sors mon arme ultime : une Backtrack 4. C’est en tentant de faire mon chroot que je remarque l’échec final : les deux systèmes n’ont pas la même architecture.

Pas de problème, je vais compiler le noyau sans chroot … Mais heu … Comment compiler un noyau x86_64 sur un environnement x86 ? La Cross-Compilation nous vient de suite à l’esprit. Cependant, devoir recompiler binutils, gcc et autres avec les toolchains amd64 ne me donne pas envie … C’est alors que je découvre le mode multilib de GCC : on peut spécifier de compiler en 32 ou 64 bits avec le flag -m (-m32 ou -m64).

A cela nous combinons l’inverse de l’astuce qui se trouve ici et on obtient ceci :

$ apt-get install gcc-multilib
$ mkdir ~/bin
$ (echo '#!/bin/sh'; echo 'exec gcc -m64 "$@"';) > ~/bin/x86_64-linux-gnu-gcc
$ chmod +x ~/bin/x86_64-linux-gnu-gcc
$ for i in ar ld nm objcopy strip; do ln -s `which $i` ~/bin/x86_64-linux-gnu-$i
$ done

Et maintenant, vous pouvez compiler tranquillement votre noyau x86_64 :
UPDATE : Pensez à ajouter ~/bin à votre variable $PATH !

usr/src/linux $ make ARCH=x86_64 CROSS_COMPILE=x86_64-linux-gnu- menuconfig
usr/src/linux $ make ARCH=x86_64 CROSS_COMPILE=x86_64-linux-gnu-

Une fois le travail effectué, vous pouvez bouger x86/boot/bzImage vers /boot. Enjoy it !

De nos jours, les pirates n’hésitent pas à usurper des noms de domaine pour envoyer du spam. Outre le fait d’embêter les filtres cela amène parfois à un blocage pur et simple du domaine incriminé, ce qui n’est pas négligeable dans un contexte professionnel : altération et blocage des communications … Une norme expérimentale existe depuis 2006 pour limiter cet impact : Sender Policy Framework (SPF), RFC 4408.

Cette norme n’est autre qu’une entrée DNS qui va permettre de dresser une liste des adresses IP autorisées ou non à envoyer du courriel pour un domaine donné.

De manière plus détaillées, du type TXT (pour la rétrocompatibilité) ou SPF, cette entrée se présente sous cette forme (exemple avec devaproxis.fr) :

devaproxis.fr.          86400   IN      TXT     "v=spf1 +a +mx ~all"

Un ensemble (exemple : +mx:192.168.23.12) comprend une action (ici, +), un sélecteur (ici, mx) et une valeur facultative (ici, 192.168.23.12).

Selon la norme, nous retrouvons 4 actions :

• + : autorisé (pass)
• ? : neutre (neutral)
• ~ : suspect (soft fail)
• - : interdit (fail)

Ces actions sont à utiliser avec une liste de sélecteurs. En voici quelques uns :

• a : se réfère aux enregistrements DNS de type A
• mx : se réfère aux enregistrements DNS de type MX
• ip4 : se réfère à une adresse IPv4
• ip6 : idem, pour une adresse IPv6
• all : désigne tout

La valeur est facultative pour les sélecteurs a et mx, auquel cas le domaine courant est sélectionné de manière implicite.

Ce n’est pas clair ? Petite traduction de l’exemple :

• +a : autorise toutes les entrées DNS de type A du domaine devaproxis.fr (utile pour les serveurs web)
• +mx : autorise toutes les entrées DNS de type MX du domaine devaproxis.fr (utile, non ? )
• ~all : n’autorise pas (soft fail) les autres adresses IP envoyant du courriel au nom de devaproxis.fr

Vous pouvez, bien entendu, mélanger les sélécteurs à votre guise. Autre exemple :

domaine1.org IN v=spf1 +a +a:domaine2.com +mx +ip4:1.1.1.1 ~ip4:8.4.4.8 -all

Dans ce cas, nous autorisons toutes les entrées DNS de type A des domaines domaine1.org et domaine2.com ainsi que les entrées DNS de type MX et l’adresse IP 1.1.1.1 à envoyer du courriel au nom de domaine1.org. Cependant, nous n’autorisons pas (soft fail) l’adresse IP 8.4.4.8 et nous rejetons toutes les autres adresses IPs.

Tout comme pour le spam, la norme SPF en action se présente sous la forme d’un marquage dans l’en-tête d’un email, calculé par le serveur à la réception. Ainsi, libre à l’administrateur d’appliquer différentes règles : tout marquer mais laisser passer, rejeter le ‘fail‘ ou encore rejeter tout ce qui ne passe pas … Pour exemple, Gmail marque les mails mais ne semble pas filtrer.

Si je n’ai pas été assez (ou pas du tout …) clair ou si vous souhaitez de plus amples informations, visitez cette page.

Vous avez des préjugés sur la plateforme d’hébergement Windows ? Vous souhaitez découvrir l’environnement Windows ou tester l’efficacité de PHP dessus sans en payer le prix ? Microsoft met à votre disposition 5 000 serveurs tout équipés gratuits jusqu’au 30 juin 2010.

Même si vous n’êtes pas sysadmin, profitez de l’offre et des différents pas-à-pas en ligne pour découvrir les solutions d’hébergement sous Windows.

Deux scénarios principaux sont disponibles :

• Apprendre à gérer son serveur Web (Windows Server 2008 R2)
• Créer son site avec un gestionnaire de contenu (Drupal, Joomla, Wordpress et DotnetNuke)

C’est par ici : Ma Plateforme Web

Au delà du 30 juin, vous pourrez migrer sur une offre commerciale ou tout simplement récupérer la machine virtuelle et la monter chez vous.

Enjoy it !

Ah Magento et ses joies … ou pas. Avouez que les URLs auto-générées du style /category.html ou /product.html c’est frustrant si on veut une boutique un tant soit peu « hiérarchisée ».

Dans mon exemple, je dois ajouter collection/ devant les noms de catégories et de produits (exemples : collection/femme, collection/femme/vestes, collection/produit/produit1 …). Première solution : modification à la main … Oubliez, les URLs sont recalculées à chaque vidage du cache. L’unique solution (à défaut d’avoir un paramètre dans le config.xml) reste un petit hack dans le core de Magento. Oui, cela fait peur à première vue mais le résultat tient sur 2 lignes.

Le fichier à modifier est app/code/core/Mage/Catalog/Model/Url.php

Remplacez, ligne 551

return $this->getUnusedPath($category->getStoreId(), $prefix . $parentPath . $urlKey . $categoryUrlSuffix,

Par

$prefix = ( $category->getParentId() == x ) ? 'votreprefixe/' : '' ;
return $this->getUnusedPath($category->getStoreId(), $prefix . $parentPath . $urlKey . $categoryUrlSuffix,

Remplacez ‘x’ par l’id de votre catégorie racine et ‘votreprefixe’ par … votre préfixe.

Cela ne gère que les URLs de catégories et produits associés [aux catégories]. Pour les produits seuls, veuillez modifier la ligne 577 par :

return $this->getUnusedPath($category->getStoreId(), 'votreprefixeproduit/' . $urlKey . $productUrlSuffix,

*** ATTENTION ***, il est très important de garder à l’esprit que ces modifications sont susceptibles d’être perdues lors d’une mise à jour de votre installation.

Il est évident que le mieux pour faire ceci serait que le Core intègre une directive de configuration permettant d’assigner des préfixes (au même titre que les suffixes et extensions) mais bon, on fait avec ce que l’on a. Enjoy it !

Cette semaine s’est placée sous le signe d’une faille de sécurité très critiquée sur Internet Explorer ce qui a valu à Microsoft de sortir un patch plus tôt que prévu. Flash, BIND, Linux et PHPMyAdmin l’accompagnent.

Système et applicatif

Applications web

Pour la quatrième année consécutive, les TechDays prendront place au Palais des Congrès de Paris pour 3 jours de folie. Microsoft France vous donne rendez-vous les 8, 9 et 10 février prochains.

Venez découvrir de nouvelles technologies ou vous perfectionner sur les produits Microsoft grâce à plus de 300 conférences : de la découverte des nouveautés de Windows 7 en passant par Office 2010 sans oublier le futur de Visual Studio ou encore les solutions de Cloud Computing de Microsoft.

Et si les conférences ne vous suffisent pas, retrouvez près de 140 exposants sur 5 000 m² d’exposition pour découvrir d’autres produits ou faire de nouvelles rencontres professionnelles. Venez également rencontrer les communautés qui partagent leurs passions pour les technologies Microsoft : Microsoft Student Partners, Most Valuable Professional, Microsoft Users Groups, …

L’accès à cet évènement est entièrement gratuit et ouvert à tous !

Plus d’informations et inscription sur http://www.techdays2010.fr/

… Et vous ?

Petit point habituel de la semaine passée en matière de sécurité, nous avons eu le droit à un Patch Day très court chez Microsoft tandis que la glibc s’invite exceptionnellement avec Windows Live Messenger aux côtés de Joomla et nginx. Ceci étant, je vous épargne le Patch day Oracle ainsi que celui de TYPO3.

Système et applicatif

Web

Voilà pour le 4ème volume du 3S … Have a nice week.

Il fallait s’y attendre, le 12 décembre dernier une équipe de chercheurs dirigée par T. Kleinjung a réussi à factoriser une clé RSA de 768 bits, le projet aura duré un an et demi.

Pour ceux qui ne connaissent pas, l’algorithme RSA (Rivest Shamir Adleman) est un algorithme de chiffrement asymétrique à clé publique. Cet algorithme a été introduit en 1977 par Ron Rivest, Adi Shamir et Len Adleman.

Je ne vais pas m’étendre sur la présentation de cet algorithme, Wikipedia le fait très bien. Si vous voulez en savoir plus sur le mechanisme de fonctionnement, vous pouvez toujours vous référer à l’article du Site du Zéro.

Partant de ce principe, nous ne pouvons pas parler de « casser » l’algorithme mais de factorisation de clé. La consommation en ressources dépend directement de la taille de clé, sachant que pour une clé 768 bits il faut approximativement 1 500 ans pour la factoriser à l’aide un Opteron 2.20 Ghz. Le résultat final occupe pas moins de 5 To et a demandé plusieurs centaines de machines. Vous trouverez le PDF du projet ici.

Jusqu’en mai 2007, les laboratoires RSA organisaient le concours de factorisation RSA avec un bon prix selon la taille de clé factorisée. Si le concours était encore d’actualité, T. Kleinjung et son équipe auraient touché 50 000 dollars.

Le NIST recommande donc de passer sur des clés d’une taille minimale de 1024 bits. Une hypothèse très controversée indique que les clés de 1024 bits pourraient être factorisées d’ici la fin de l’année étant donné que le rapport puissance de calcul / machine augmente sensiblement. La taille la plus répandue reste 2048 bits, et pour les paranos vive les clés de 4096 bits

Petite information à part pour les personnes qui se posent des questions au regard de la loi française : sachez que depuis le 21 juin 2004, la Loi pour la Confiance dans l’Economie Numérique a totalement libéralisé l’utilisation des algorithmes de chiffrement à l’intérieur du pays (l’import / export est soumis à certaines règles). Pour plus d’informations sur les règlementations en matière de sécurité des données en France, visitez le site de l’Agence Nationale de la Sécurité des Systèmes d’Information.