samedi 31 mars 2007

Pourquoi il ne faut jamais passer par UPS

Dès que je commande sur un site étranger, je me retrouve avec une livraison par UPS (ou Fedex) obligatoire ... Et là, c'est le drame.

D'abord le livreur se présente un jour J indéterminé - sauf si le vendeur a l'amabilité de communiquer le Tracking Number ... Dans ce cas il est possible de surveiller le site Web matin et soir pour y découvrir des messages absconds tels que "Original Scan" (tout est en anglais, évidemment).

Ne pas essayer le service téléphonique (0,12 €/minute) : je n'ai jamais réussi à faire comprendre au logiciel de reconnaissance vocale les 18 chiffres de mon Tracking Number.

Après un premier échec, je suis appelé le soir même par le central afin de communiquer mon digicode (aucun site de commerce en ligne ne permettant de saisir cette information). Ca n'est pas la première fois qu'ils viennent, mais visiblement leur base de données n'a pas été prévue pour inclure ce champ (contrairement à certains livreurs de pizza).

Le lendemain, le livreur se présente à nouveau. Le créneau horaire est environ 7h - 19h (d'après mon expérience). Pas de chance, il est passé à 15h45 donc il n'y avait personne à la maison. Il laisse donc un post-it sur la porte, disant "nous effectuerons une nouvelle tentative dans le même créneau horaire le lendemain".

C'est une chance, car à cette heure ci le vendredi la femme de ménage est à la maison. Mais c'eût été trop simple, car il est finalement passé à 11h45 et a trouvé porte close.

Evidemment, ils ne livrent pas le week-end. Trois possibilités se présentent donc à moi :

  • Prendre une journée de congé pour réceptionner ma livraison ;
  • Aller chercher le colis à leur entrepôt (situé à Roissy je crois) ;
  • Rediriger la livraison au bureau, en comptant sur la bienveillance de l'hôtesse d'accueil.
A titre de comparaison, lorsque je suis livré par La Poste (des voleurs et des fainéants parait-il), voici comment ça se passe :

Le facteur fait sa tournée tous les matins à 9h - je suis donc encore à la maison. Il utilise son Vigik pour rentrer dans l'immeuble. Si par hasard je ne suis pas là pour réceptionner en main propre, il utilise sa clé de facteur pour déposer le colis dans ma boite aux lettres. Si une signature est requise, il dépose le colis au bureau de poste à 200m de chez moi, où s'est ouvert depuis peu un guichet coupe-file spécial colis et recommandés.

A vous de juger ...

dimanche 25 mars 2007

Hakin9 03/2007

Ca y est, j'ai fini de le lire - et je ne peux pas m'empêcher de commenter la publicité en page 81 (en face de l'éditorial de HSC :).

Il s'agit d'une publicité en anglais pour le logiciel "Oleansoft Hidden Camera 250x1". Son principe ? "Améliorer la productivité des employés" ... en prenant des screenshots de leur PC à intervalle régulier.

Le principe est le suivant : payer $39 par poste, plus une personne à plein temps pour regarder les écrans de 250 employés (max.) et tuer à distance les logiciels "non productifs" ; les seuls exemples donnés concernant d'ailleurs le navigateur Web.

Si je peux me permettre de vous donner un conseil, c'est bien de ne pas acheter ce logiciel (même si par miracle vous arriviez à convaincre la CNIL, vos représentants du personnel et votre RSSI du bien-fondé d'une telle démarche).

Un simple proxy Web avec une liste de sites et/ou de mots clés bien choisis aura un bien meilleur ROI, tout en restant dans les limites de la loi française !

jeudi 15 mars 2007

Toujours plus loin avec WinDbg

Depuis la fin de SoftIce, les outils de déboguage Microsoft sont devenus indispensables pour toute personne qui s'intéresse sérieusement au noyau Windows. A noter que des alternatives existent, telles que RR0D ou SysEr. Si le premier est actuellement en suspens, le deuxième semble assez prometteur ... comme la plupart des logiciels de sécurité Chinois d'ailleurs ...

La vraie nouveauté de la version 6.6.7.5 sur laquelle je suis tombée par hasard en idlant sur Internet, c'est DML (Debugger Markup Language). Et oui, désormais l'affichage de WinDbg supporte un langage proche de HTML qui permet de créer des liens hypertexte dans la console du débogueur, par exemple via la commande OutputDebugString() !

Les commandes à connaitre sont les suivantes, le lecteur curieux se reportera à la doc Microsoft (fichier dml.doc).

  • .dml_start
  • !dml_proc
  • .dml_flow
Dans un autre registre, j'ai découvert également qu'un SDK permettant d'accéder au contenu des fichiers ".PDB" (fichiers de déboguage Microsoft) est fourni avec Visual Studio 2005. Vous trouverez dans le sous-répertoire "DIA SDK\Samples" le programme d'exemple DIA2DUMP, une bonne base pour commencer.

Pour finir, le blog Microsoft Debugging Toolbox répond enfin à la question essentielle entre toutes : au démineur, est-il possible de cliquer sur une mine au premier coup ? Si non, est-ce que les mines sont placées après le premier clic ?

Voici la commande qui donne la réponse (sous Windows XP SP2) :
eb poi(@$peb+0x8)+0x36fa c6 00 8a

La réponse est : les mines sont placées lors du "new game". Si le joueur clique sur une mine au premier coup, celle-ci est replacée aléatoirement sur le tableau. Ouf !

PS. Pas de compte-rendu du SSTIC sur ce blog : je n'y suis pas resté assez longtemps pour pouvoir donner un avis pertinent. Une chose est sûre : en Bretagne, il pleut !

samedi 10 mars 2007

Fini de lire (ou pourquoi les certifications ça ne sert à rien)

Ca y est, j'ai épuisé ma "to read list".

Pour finir sur Hakin9 n°21, que Nono a déjà abondamment chroniqué, j'aime bien la typo page 74, colonne 2.


Si un expert Linux a un indice sur la manipulation technique qui a pu conduire à cette typo, je suis preneur :)


J'ai également terminé MISC n°30, sur les protections logicielles. Sans rentrer dans la polémique sur l'aspect "universitaire" de ce magazine, l'article sur les normes ISO 2700x m'a beaucoup inspiré.

Malgré la beauté intellectuelle de la construction de toutes ces normes (et c'est un expert EBIOS v2 qui vous parle :), je ne peux que sourire en me rappelant la réalité du terrain.

Tout d'abord il faut bien prendre conscience qu'à part dans les entreprises du CAC 40, l'informatique est vue comme une commodité et pas du tout un coeur de métier. En conséquence, la maintenance est souvent réalisée sur un coin de table, soit par un ancien administrateur AS/400 "maison" recyclé en expert Windows, soit carrément par un prestataire extérieur (de type PC30 ou même une simple EURL) qui intervient une fois par semaine sur site.

Le niveau de compétence de l'intervenant est très variable, mais rarement foudroyant. Dans la plupart des cas, le diagnostic côté client se limite à "ça plante", et la solution à "faut réinstaller".

Quant à mettre en place de la sécurité informatique, voire carrément utiliser des méthodes formelles de modélisation des risques, on peut toujours rêver ...

Et dans les entreprises du CAC40 alors ? Beaucoup mettent en place des démarches normatives (ISO 900x, ISO 2700x, ...) pour de bonnes ou de mauvaises raisons, sur lesquelles je ne m'attarderai pas. Disons simplement que tout est politique :)

Mais sur le terrain, beaucoup d'entreprises ont suivi la mode de l'externalisation des services informatiques, c'est-à-dire que la gestion technique de leur informatique ne leur appartient plus. Même si on peut penser qu'une société spécialisée dans l'administration Windows sera meilleure qu'un petit groupe d'informaticiens "maison", dans les faits il s'agit bien souvent des mêmes personnes qui ont été "revendues" à un grand nom de l'informatique. Les compétences restent donc strictement les mêmes, la motivation en moins.

Mais surtout, un tel état de fait crée une dépendance incroyable vis-à-vis d'un sous-traitant inamovible (croire qu'on peut changer de prestataire informatique du jour au lendemain relève de l'utopie ... ou alors le nouveau rachète simplement l'ancienne équipe !). J'ai connu des cas réels où le sous-traitant fait grève en éteignant le serveur de messagerie, ou même l'ensemble des serveurs. Vous imaginez qu'il a eu gain de cause assez rapidement :)

Pour finir, aucune entreprise n'audite le fonctionnement de ses sous-traitants. Je ne parle pas de saupoudrer un audit technique de sécurité de temps à autre, dont le rapport finit sur une étagère chez le sous-traitant. Je parle d'intégrer les processus du sous-traitant (gestion du personnel, gestion des mots de passe, connexion de portables sur le réseau, etc.) dans la démarche de certification de la société.

Dans ces conditions, la certification obtenue par la maison mère n'a aucun sens. Il suffit de chercher "passwords.xls" sur les serveurs "à usage interne des administrateurs" pour s'en rendre compte ! (100% de réussite jusqu'à présent).


Sur ce, je vous laisse, Hakin9 n°22 vient d'arriver dans la boite aux lettres. Il semblerait qu'il y ait un challenge de sécurité dans ce numéro :)

jeudi 1 mars 2007

Quelques news pour le week-end

L'avantage du Web 2.0, c'est que même lorsqu'on a rien à dire, il y a suffisament d'activité pour parler des blogs des autres :)

Je surveille le Groupe Utilisateur de Windows Vista (GUWIV), qui anime un blog très actif (environ 2 posts par jour). J'y ai vu entre autres :

  • Que je n'avais pas gagné au concours TechDays 2007 :(
  • Que le premier correctif "officiel" pour Windows Vista est sorti. Il ne corrige pas un problème de sécurité, mais un bug assez ennuyeux déjà identifié par d'autres.
  • Qu'ils n'aiment pas Firefox et ils le disent.
  • Que Microsoft crée la "Gadget Academy". Depuis que les popups sont bloquées dans la plupart des navigateurs, il faut bien trouver un autre moyen d'afficher de la pub !
Quelques vidéos également :
  • La sécurité informatique vue par Microsoft Japan (repérée sur le site Gnucitizen).
  • Un remix de Mambo n°5, relativement absurde et probablement sponsorisé par Microsoft.
Voilà de quoi s'occuper intelligemment en attendant le week-end :)