Accueil Le blog Page 3

Ai.Type : importante fuite de données pour le clavier alternatif, 31 millions de clients concernés

Hits: 46

 Encore une fuite d’informations personnelles, de nouveau via une base de données MongoDB mal sécurisée. 31 millions d’utilisateurs du clavier alternatif Ai.Type sont ainsi impactés : de nombreux détails étaient librement accessibles sur Internet.

Les bases de données MongoDB sont régulièrement la cible des pirates, qui n’ont parfois qu’à se servir à cause d’une mauvaise configuration. Le clavier alternatif Ai.Type vient d’en faire les frais : une BDD de 577 Go était librement accessible (sans mot de passe) en lecture et en écriture, comme le rapportent nos confrères de MacKeeper.

Le serveur appartient au co-fondateur de l’application, Eitan Fitus, ajoute ZDNet, qui a également pu accéder à une partie de la base de données. Après plusieurs tentatives pour le contacter, Fitus reconnait finalement le manque de sécurité à nos confrères et sécurise la base, sans davantage d’explications. Seuls les utilisateurs Android seraient concernés, mais cela reste à confirmer.

31 millions de clients touchés, 373 millions de données accessibles

Plus de 31 millions de clients sont impactés par cette fuite, contenant de très nombreuses informations personnelles : numéro de téléphone, nom du propriétaire, marque et modèle du smartphone, information sur le réseau mobile, définition de l’écran, langues, version d’Android, numéros IMSI et IMEI, emails associés au téléphone, pays de résidence, informations et liens des réseaux sociaux (Google+, Facebook, etc.) adresse IP et enfin la localisation (longitude et latitude)… excusez du peu.

Pire encore, plus de 6 millions d’entrées contiennent des numéros de téléphone et noms récupérés dans les contacts du smartphone. Plusieurs tables de la base de données contenaient également la liste des applications installées note ZDNet.com. Au total, pas moins de 373 millions de données étaient ainsi librement accessibles selon MacKeeper.

Pas de chiffrement, du texte saisi par les utilisateurs se trouverait dans la base de données

Vous en voulez encore ? Nos confrères ajoutent que l’ensemble des informations n’était pas chiffré… et ce n’est pas fini : « nous avons vu une table contenant plus de 8,6 millions d’entrées de texte saisies en utilisant le clavier ». Dans le lot, il serait question de « numéros de téléphone, de mots clés pour des recherches sur le Web et, dans certains cas, des adresses email concaténées et des mots de passe correspondants ».

« En théorie, il est logique que toute personne ayant téléchargé et installé le clavier virtuel Ai.Type sur son téléphone ait toutes les données de son téléphone en ligne » indique MacKeeper. De son côté, Ai.Type affirme sur la page de présentation de son clavier que « votre vie privée est notre principale préoccupation ». Effectivement, la société s’y intéresse de très près, beaucoup trop même…

Comme toujours, cette affaire soulève la question des droits accordés aux applications, souvent bien trop larges pour le service proposé. Mais les éditeurs en profitent parfois pour récupérer plus d’informations que nécessaire afin de les monétiser par la suite. « Si c’est gratuit, c’est que c’est vous le produit » comme le précise l’adage.

Comme le rappelle ZDNet, Ai.Type propose deux versions de son application : une gratuite avec publicité et une payante. Les deux collectent des informations personnelles des utilisateurs, mais le rayon d’action de la première est bien plus large

En attendant d’avoir plus de précision de la part d’Ai.Type – qui reste pour le moment muette – il est conseillé de changer vos mots de passe si vous utilisez cette application.

nextinpact

Windows 10, quel est le meilleure antivirus ? AV-Test tranche

Hits: 26

AV-Test publie son dernier rapport sur plusieurs suites de sécurité (antivirus) dédiées à Windows 10. Les tests menés entre septembre et octobre 2017 mettent en avant deux solutions. Elles ont décroché le maximum de points pour chaque critère d’étude, un sans-faute en quelque sorte.

Les deux suites gagnantes de cette nouvelle étude sont signées Kaspersky lab et Ahnlab. Dans les deux cas la note finale est maximale avec 18/18 en décrochant 6/6 en protection, 6/6 en performance et 6/6 en exploitation (facilité d’usage…).

D’autre solutions signent également de très bons scores. Par exemple une note de 17,5 / 18 est accordée à Symantec, McAfee, Bitdefender et Avira. Les deux premières suites ainsi qu’Avira perdent 0,5 point sur la thématique « Performance ». Bitdfender est en recul de 0,5 point en « Utilisation ».

AV-Test , best of antivirus pour WIndows 10, octobre 2017

Antivirus Windows Defender, une solution aux performances moyennes

La solution native de Microsoft est en bas du classement juste devant Comodo. Elle décroche une note finale de 14/18. Windows Defender a été noté 5/6 en matière de protection et performance et 4/6 en facilité d’utilisation.

AV-Test , best of antivirus pour WIndows 10, octobre 2017

Enfin Qihoo 360 Total Security a été testé dans deux configurations disponibles, l’une avec les paramètres par défaut puis avec l’activation des moteurs Avira et Bitdefender. Le bilan dans les deux cas positionne la solution en dernière place. A noter que sur le critère de la protection 360 TS par défaut est a oublié avec une note de 1/6.

ginjfo

macOS High Sierra : Apple corrige l’énorme faille du compte root

Hits: 27

image dediée

Mise à jour : L’attente n’aura pas duré longtemps : la mise à jour pour High Sierra est disponible dans le Mac App Store. Au vu de la dangerosité de la brèche, il est chaudement recommandé de l’appliquer aussi rapidement que possible. Attention, le correctif ne peut s’installer que si la mouture 10.13.1 du système est installée.Apple accompagne cette publication d’un mot d’excuse, un évènement rare : « Nous regrettons profondément cette erreur et présentons nos excuses aux utilisateurs de Mac, pour la sortie d’une version boguée et pour les soucis causés. Nos clients méritent mieux. Nous procédons à un audit de nos processus de développement pour empêcher une telle erreur de se reproduire ». Nul doute que des doigts seront tapés après une telle bévue.

Une très importante faille de sécurité existe actuellement dans macOS High Sierra. En passant par le panneau des réglages, il est possible d’obtenir les droits administrateurs sans avoir à entrer le moindre mot de passe. En attendant le correctif promis par Apple, on peut s’en protéger.

Pour une société évoquant régulièrement la sécurité de ses produits et en vantant les mérites sur son site officiel, on peut dire que la découverte fait tache. C’est Lemi Orhan Ergin, développeur chez Iyzico, qui a mis le doigt dessus : en passant par la section « Utilisateurs et groupes » du panneau des Préférences système, on peut court-circuiter la demande de mot de passe et obtenir les droits administrateurs.

Une manipulation très simple, y compris depuis l’écran d’accueil

La faille peut être exploitée de plusieurs manières. La plus simple – et on pourrait dire la plus dangereuse – passe par l’écran de connexion. Si un compte « Autre » est disponible, il suffira alors d’entrer « root » dans la case d’identifiant et de laisser le mot de passe vide. On valide puis on arrive sur un bureau : une session aux droits administrateurs permettant d’accéder aux auters comptes présents sur la machine.

Si « Autres » n’apparaît pas mais que vous arrivez sur une machine où une session est déjà ouvertre, vous pourrez également acquérir ces droits. La démarche est on ne peut plus simple :

  • Ouvrir les Préférences puis Utilisateurs et groupes
  • Cliquer sur l’icône de cadenas en bas à gauche de la fenêtre
  • Dans la fenêtre qui surgit, remplacer l’identifiant par root
  • Répéter l’opération dans la nouvelle fenêtre apparue

Emballez, c’est pesé : High Sierra ne bronche pas devant une manipulation aussi grossière. On entend le son caractéristique du cadenas déverrouillé, le système vous faisant signe que les droits administrateur sont activés.

macos high sierra rootmacos high sierra root

La technique permet donc de contourner complètement une demande ordinaire de mot de passe. macOS le réclame normalement pour toute opération un peu « sérieuse », comme la gestion des comptes, l’installation de certains logiciels, etc.

La situation est donc préoccupante, car n’importe quelle personne ayant accès au Mac peut obtenir ces droits et faire ce que bon lui semblera : accéder à des données masquées, installer un malware et ainsi de suite. La faille peut en outre être exploitée à distance via l’écran partagé.

Notez que des utilisateurs évoquaient déjà ces manipulations il y a plusieurs semaines dans les forums officiels d’Apple.

Une seule parade : imposer un mot de passe au compte root

Pour se protéger, il n’existe actuellement qu’une seule solution efficace. Retournez dans Utilisateurs et groupes, puis dans Options. Pour dégriser le panneau, il faudra cliquer sur le cadenas et saisir votre mot de passe (ou passer par l’astuce du root). Cliquez ensuite sur Rejoindre puis sur « Ouvrir Utilitaire d’annuaire ».

Dans ce dernier, il faudra à nouveau déverrouiller le cadenas. Ensuite, il suffira de se rendre dans le menu Edition et de cliquer sur « Modifier le mot de passe root ». Si le compte n’existe pas, il faudra le créer. Suite à quoi toute tentative d’utilisation de root réclamera le mot de passe que vous aurez choisi. Notez que désactiver le compte root ne supprime pas le problème.

macos high sierra rootmacos high sierra root

Apple, de son côté, a pris connaissance du problème. La firme l’a donc reconnu et a indiqué qu’une solution était en préparation. Au vu de la dangerosité du problème et surtout son extrême facilité d’utilisation, on espère que le correctif sera déployé très rapidement. Sur notre machine, la manipulation a en effet fonctionné du premier coup avec trois comptes utilisateur différents. Le problème semble toutefois cantonné à High Sierra, soit la dernière révision de macOS.

On pourra regretter également que Lemi Orhan Ergin ait fait directement part de sa découverte sur Twitter sans en informer Apple discrètement dans un premier temps. La technique s’est de fait répandue comme une trainée de poudre, même si la parade l’a suivie très peu de temps après.

Un incroyable système d’espionnage des internautes mis au jour

Hits: 29

Les sites web de Microsoft, Adobe, WordPress, Spotify, Skype, Samsung ou encore Pornhub contiennent un logiciel enregistrant tout ce que fait l’internaute: ses mouvements de souris, les touches frappées, les liens cliqués… Des chercheurs de Princeton ont mis au jour ces pratiques sulfureuses

Ce ne sont sans doute ni la NSA ni des pirates informatiques russes ou nord-coréens qui sont les plus curieux de la vie privée des internautes. Il s’agit plutôt de multinationales bien établies telles Microsoft, Samsung ou encore Spotify. Il y a quelques jours, des chercheurs de l’Université de Princeton (New Jersey) ont publié une étude montrant comment ces entreprises espionnaient en détail le comportement des internautes qui visitent leurs pages web – certaines ont abandonné cette pratique ces derniers jours. Via des systèmes perfectionnés, elles parviennent à enregistrer intégralement les mouvements de souris, les frappes sur le clavier et la navigation entre les pages.

Steven Englehardt, l’un des chercheurs du projet «Freedom to Tinker» de Princeton, résume ce système d’espionnage en une phrase: «Ces scripts informatiques sont conçus pour enregistrer et rejouer en play-back des sessions individuelles de navigation, comme si quelqu’un regardait par-dessus votre épaule.» Les chercheurs ont constaté que 482 des 500 000 sites les plus consultés sur la planète – selon le classement de la société Alexa – intègrent de tels scripts. Il s’agit par exemple de Microsoft, Adobe, WordPress, Spotify, Skype, Samsung ou encore du site pornographique Pornhub.

Même du contenu effacé

Les chercheurs ont même créé une base de données permettant de trouver les sites impliqués. Cette base de données concerne les 10’000 sites les plus consultés. Et dans le fichier CSV à télécharger, qui contient la liste entière, l’on trouve des sites suisses, comme l’a trouvé un confrère de la RTS. Y figurent ainsi watson.ch, moneyhouse.ch, upc.ch, unil.ch, jobup.ch ou encore lematin.ch.

Ces scripts, soit des morceaux de codes informatiques, sont appelés «session replay». Il s’agit en effet de rejouer en différé le comportement complet d’un internaute pour l’analyser. Cela permet par exemple de voir s’il se perd entre deux pages ou s’il se perd au milieu d’un formulaire. Ces systèmes ne sont pas nouveaux. C’est la découverte de leur utilisation massive qui l’est, de même que leur puissance. Car ces scripts sont par exemple capables d’enregistrer ce qu’un internaute écrit dans un formulaire, même s’il efface en partie son contenu pour le récrire ensuite. Comme le rappelle le site spécialisé Motherboard, Facebook avait fait scandale en 2013 lorsqu’il avait été découvert que le réseau social enregistrait les statuts de ses membres, même s’ils étaient juste tapés, et pas enregistrés…

Pas d’anonymisation des données

Les 482 sites incriminés utilisent des scripts de plusieurs sociétés: FullStory, SessionCam, Clicktale, Smartlook, UserReplay, Hotjar et Yandex – il s’agit, dans ce dernier cas, du moteur de recherche le plus populaire en Russie. Ces scripts posent plusieurs problèmes. D’abord, les internautes ne sont souvent, voire jamais au courant du fait que leurs actions sont enregistrées. Ensuite se pose la question de la confidentialité: les informations récoltées sont envoyées sur les serveurs des éditeurs de ces scripts sans être anonymisées, et sans doute avec un degré de protection très faible.

Les chercheurs donnent l’exemple du site web de la chaîne américaine de pharmacie Walgreens. Les auteurs de l’étude notent que des informations aussi sensibles que des ordonnances, des informations sur la santé du patient mais aussi son nom sont envoyées sur les serveurs de FullStory. Certains mots de passe, lorsqu’ils sont inscrits sur des sites web consultés sur smartphone, sont aussi enregistrés, tout comme quelques chiffres provenant de numéros de cartes de crédit.

Pratiques «dangereuses»

Que penser de ces pratiques? «Elles sont très dangereuses, car le stockage de données aussi personnelles et sensibles sur des serveurs de sociétés de conseil risque de donner des idées à des pirates informatiques, estime Sylvain Pasini, spécialiste en cybersécurité à la Haute Ecole d’ingénierie et de gestion du canton de Vaud. Il faut préciser en parallèle que d’après ce qu’ont trouvé les chercheurs de Princeton, les entreprises enregistrent tout ce qui se passe sur leur site web, mais pas sur l’ensemble de l’ordinateur. Le système d’espionnage est installé sur le serveur de l’entreprise, pas sur l’ordinateur de l’internaute.»

Pour les internautes, il existe des parades pour éviter d’être pisté. Ainsi, Adblock Plus serait efficace contre ces systèmes espion.

letemps

Wiko laissait fuiter des données vers la Chine

Hits: 23

Wiko Harry

Une marque qui jouit de l’étiquette « Made in France » qui envoie une partie des données de ses utilisateurs en Chine. La situation fait tâche et l’entreprise a promis d’y remédier.

Numéro de téléphone, géolocalisation, numéro IMEI, numéro de série et version du système d’exploitation installée. Si vous utilisez un smartphone Wiko, alors il existe une probabilité que ces informations soient envoyées chaque mois depuis votre smartphone, jusqu’à des serveurs chinois.

Les données sensibles des smartphones dérivées vers des serveurs chinois

L’information révélée par Elliot Alderson sur Twitter et confirmée par Wiko, choque un peu. Surtout parce que l’entreprise s’est longtemps présentée comme fleuron français. Pourtant, depuis 2012, la compagnie d’origine marseillaise est passée sous pavillon chinois suite à son rachat par l’entreprise Tinno Mobile. Ce n’est d’ailleurs pas la première fois que l’entreprise chinoise est pointée du doigt sur cette question.

Dans le cas des smartphones Wiko,  on trouve deux applications tierces préinstallée un peu trop curieuse,, à savoir: ApeSaleTracker et ApeStsMonths. Chaque mois, elles collectent les informations et les envoient en http en Chine sans informer l’utilisateur. Seule bonne nouvelle pour les utilisateurs, ces données sont chiffrées.

Un correctif prévu pour la fin d’année

« Wiko est une entreprise responsable qui a toujours placé ses clients au centre de ses préoccupations. Les smartphones Wiko sont équipés de l’application STS (Sales Tracking System) dont la finalité est d’établir des statistiques de ventes et de durée de vie des produits. Les données collectées par le système STS sont des données d’ordre technique » a ainsi expliqué l’entreprise dans un premier communiqué.

Si Wiko a dans un premier temps reconnu les faits, tout en essayant de les dédramatiser, rapidement, elle a décidé de prendre des mesures proactives. Selon le site 01net, elle a même reconnu avoir un peu dépassé les bornes. D’ici la fin d’année, le système de collecte de données devrait être complètement revu. Les informations ne seraient alors plus transmises qu’une seule fois, lors de la mise en service. Surtout, elle serait réalisé wikokoà destination de serveurs français. Pas sûr que cela suffise à rassurer les clients qui ont été nombreux à réagir sur les réseaux sociaux.

presse-citron

Le SD-WAN pour les nuls

Hits: 18

Beaucoup me demandent de définir ce qu’est le SD-WAN. Le sujet est vaste aussi je vous propose de lire l’article suivant que j’ai rédigé pour la conférence JRES 2017 et que j’ai présenté ce matin à Nantes. Il n’y est pas question de produits ou de solutions particulières mais plutôt de rappeler les grands principes du SD-WAN et de la virtualisation des fonctions réseau sur les sites distants.

Lisez l’article – Le SD-WAN pour les nuls

Vous trouverez prochainement l’enregistrement de ma présentation sur le site des JRES. N’hésitez pas à me faire des retours!

@JeromeDurand

gblogs.cisco.com

Firefox 57 Quantum disponible : performances, fonctionnalités et ambitions

Hits: 32

Firefox 57, alias Quantum, est désormais disponible au téléchargement. Une diffusion qui fait suite à une longue attente, tant les ambitions de Mozilla pour son navigateur sont grandes. Au programme, nouveau moteur de rendu, performances en hausse et fonctionnalités.

La mission de Quantum est multiple. Complètement distancé par Chrome sur les parts de marché, Firefox veut faire son grand retour. La pièce principale de cette version 57 est un nouveau moteur de rendu, beaucoup plus adapté selon Mozilla à ce qu’est le web aujourd’hui. Pourtant, cette nouvelle mouture n’est que le début d’une succession d’apports majeurs. De quoi inverser la tendance ? Pas si sûr.

Nouveau moteur et meilleures performances

Quantum est en fait le nom d’un effort global de modernisation de Firefox, le navigateur récupérant l’appellation pour marquer la différence. Ce nom est donc un parapluie, car il recouvre plusieurs composants, par exemple Stylo pour les CSS, Quantum DOM et Compositor, chargé – en toute logique – de composer la page une fois que les différents éléments ont été calculés.

Firefox 57 fournit une évidente sensation de vitesse. Quantum généralise le multiprocessus et divise les traitements sur plusieurs threads. La réactivité est donc clairement en hausse, particulièrement lors des chargements des pages web. Le défilement par exemple est beaucoup plus fluide car les calculs JavaScript sont exécutés séparément.

Firefox 57 est décrit par Mozilla comme deux fois plus rapide que la version 52. Il serait 30 % plus performant que Chrome 61, en consommant 30 % de mémoire vive en moins.

Interface : Photon vise la sobriété

La nouvelle interface de Firefox Quantum se nomme Photon. 2017 oblige, on revient à davantage de sobriété : les onglets redeviennent rectangulaires, les icônes sont d’un style épuré et minimaliste, mais sont soutenues par tout un ensemble de petites animations qui rendent l’ensemble plus vivant. Les différences sont plus fines, mais on peut personnaliser l’interface pour leur rendre un peu plus d’épaisseur.

Dans l’ensemble, Firefox 57 ne bouleversera pas les habitudes de navigation, car les éléments en place restent globalement les mêmes. On note tout de même l’apparition d’un nouveau bouton Bibliothèque, donnant accès aux données de l’utilisateur : historique, marque-pages, téléchargements, onglets ouverts et captures d’écran.

Pour ceux qui préfèrent les interfaces sombres, un thème adapté est disponible.

firefox 57 quantumfirefox 57 quantum

C’est le grand jour pour les WebExtensions

Changer l’interface et toute la mécanique interne (ou peu s’en faut) est déjà plus que suffisant pour une version majeure. Mozilla ajoute cependant quelques nouveautés, dont certaines très attendues.

La première est sans doute le passage aux WebExtensions, un format unifié d’extensions qui permet de simplifier la vie des développeurs, mais qui implique de grands changements dans le cas de Firefox. Ainsi, un travail a été mené depuis des mois afin de favoriser la migration.

Des alternatives sont proposées à l’utilisateur lorsqu’une extension n’a pas été mise à jour dans les temps, mais ces dernières semaines, la plupart des développeurs ont mis en ligne une nouvelle version lorsque cela était possible. En effet, en raison du manque de certaines API ou du changement structurel du fonctionnement des nouvelles extensions, des fonctionnalités ne peuvent parfois pas être implémentées.

On note au passage que le site qui permet de trouver et d’installer ces extensions a été mis à jour pour l’occasion. Celui-ci continue de mettre en avant les plus populaires ou des « modules vedettes ». Les habitués devront donc parfois revoir leurs habitudes et leurs outils, mais il s’agit là d’un mal nécessaire, tant pour des questions de performances que de standardisation des pratiques.

Fonctionnalités : captures d’écran, compatibilité U2F, vie privée et outils développeurs

L’outil Captures d’écran a déjà été évoqué et fonctionne comme on peut s’y attendre : on peut capturer tout ou partie d’une page web, puis sauvegarder le résultat localement ou dans le service en ligne mis à disposition par Mozilla.

Côté sécurité, on note la compatibilité des clés U2F, ce qui devrait ravir ceux qui possèdent de telles clés USB. Elles permettent pour rappel d’ajouter une couche de sécurité en requérant un composant matériel sans lequel on ne peut pas s’authentifier sur les services compatibles. Une prise en charge d’ailleurs encore trop rare.

On note aussi la possibilité de bloquer les trackers de manière permanente, comme nous l’avons souligné récemment. Une nouvelle option permet également de bloquer l’utilisation des options d’accessibilité afin d’en éviter le détournement à des fins de surveillance de l’utilisateur.

Les développeurs auront eux aussi de quoi se mettre sous la dent puisque l’édition qui leur est dédiée voit ses outils entièrement réécrits. Parmi les autres nouveautés, on note une meilleure prise en charge de certains frameworks comme React, ou encore d’éléments tels que CSS Grid.

Mozilla espère un rebond

Comme indiqué plus haut, les ambitions de Mozilla sont immenses pour Firefox 57. La hausse nette des performances est un argument de poids, car dans cette course des acteurs comme Google et Microsoft ont fait de grands bonds sur les dernières années.

Tous ces travaux seront-ils suffisants ? Difficile à dire, car les performances sont loin d’être le seul critère à prendre en compte. Les extensions vont par exemple jouer un grand rôle : Firefox 57 passe aux WebExtensions, un standard du W3C. Moins permissif et plus sécurisé que l’ancienne infrastructure, elle provoquera encore quelques soucis de compatibilité.

Aussi, si Firefox 57 dispose d’un beau potentiel, il devra faire face au plus grand ennemi d’un éditeur : l’inertie. Les navigateur web n’ont plus depuis longtemps l’attrait de la nouveauté. Même si Quantum va provoquer une vague de curiosité, il faudra accomplir le plus dur : garder les utilisateurs, ce qui ne pourra se faire que s’ils ne rencontrent pas de frictions, ou qu’elles sont négligeables.

Il faut se rappeler également que Quantum est le début d’une vague chez Mozilla. Les versions suivantes amèneront d’autres apports importants. Par exemple, Firefox 59 introduira WebRender, dont la mission sera d’utiliser au maximum le GPU pour les opérations graphiques. De quoi en théorie assurer une nouvelle hausse de performances.

Enfin, Firefox 57 sera une bonne occasion de (re)tester un navigateur qui se veut plus respectueux de la vie privée. L’attitude de Mozilla reste pourtant ambivalente sur la question, puisque Google Analytics est présent dans pratiquement tous ses services.

nextinpact

Derrière les plantages d’OVH, la question de la transparence dans la communication

Hits: 23

Que faire lorsque vous êtes un hébergeur français d’importance, et que des milliers de sites ne sont plus accessibles en raison d’une série de pannes ? OVH a décidé de répondre par le détail et la technique, quand d’autres sociétés sont plus opaques en cas de souci.

Panique sur le web francophone jeudi dernier : OVH est tombé. Et il ne s’agissait pas d’une simple panne sur quelques serveurs, mais bien d’une série de soucis qui allaient mettre plusieurs jours à se résorber. C’est en effet seulement vers 9h ce matin qu’Octave Klaba, PDG et fondateur de l’hébergeur, a déclaré l’incident comme entièrement clos.

Nous ne reviendrons pas ici sur les raisons techniques de cette indisponibilité, ou même sur le fait que ce n’est pas le premier problème d’ampleur pour le français, qui est déjà tombé sur un os au début de l’été. Attardons-nous plutôt sur notre manière de réagir face à un tel évènement et à la communication d’OVH qui se veut toujours aussi « directe ».

OVH, un acteur d’importance dans le monde francophone

On peut déjà constater qu’il serait difficile pour OVH de se cacher lorsqu’il subit une panne d’ampleur. La société héberge des millions de sites en France et ailleurs, en direct ou via des intermédiaires, que ce soit pour des particuliers, des associations, des mairies ou même de grandes sociétés.

C’est d’ailleurs lorsque l’on a vu des sites comme celui de BFM / 01Net ou encore des services tels que Cozy Cloud ne plus répondre que l’on a commencé à comprendre l’ampleur des dégâts. Mais d’autres témoignages montrent à quel point OVH peut constituer un SPOF (Single Point Of Failure) francophone : des solutions domotiques aux outils de skippers.

De quoi relancer le débat sur la centralisation de l’internet français, mais aussi le manque de diversité, les entreprises étant une nouvelle fois invitées à ne pas mettre tous les œufs dans le même panier. On regarde alors avec malice celui qui vend cher des prestations derrière lesquelles se cachent une simple offre mutualisée d’OVH.

Tant de sujets qui, comme à chaque problème massif sur la question de la sécurité, des sauvegardes ou de la dépendance à des tiers… seront oubliées la semaine suivante. Sacrifiés sur l’autel de la simplicité et du moindre coût. Au mieux, certains iront chercher à négocier de meilleures indemnisations en cas de panne.

Une solution qui sera sans doute plus simple que de suivre les recommandations coûteuses de ces fous de la technique qui parlent sans cesse de PRA (Plan de Reprise d’Activité). D’ailleurs, cela ne protège pas de tout. La preuve, chez OVH c’est en partie la redondance qui a été défaillante ce jeudi.

En cas de problème, la question de la transparence

Dès l’apparition des premiers messages d’erreur, les messages se sont multipliés sur les forums, les réseaux sociaux et nous avons comme toujours rapidement reçu de premiers témoignages de lecteurs. Bref, « tout le monde en parle ».

Dès lors, il y a deux solutions pour une société touchée par une telle panne : s’abriter derrière le service client et le support technique, en attendant d’avoir de bonnes nouvelles à donner et de comprendre ce qu’il se passe… ou y aller de manière plus directe.

En tant que journalistes, nous voyons assez bien les différentes approches selon les cas. Lorsque les comptes Twitter se mettent à répéter en boucle les mêmes informations floues, c’est mauvais signe. Car cela nous annonce en général que lorsque nous allons tenter d’en savoir plus, on nous promettra de se renseigner pour nous en dire plus, « plus tard ».

Cela signifie, en général, que l’on aura dans le meilleur des cas droit à une réponse en une ligne. Nous avons récemment eu le cas avec la panne de SFR ou celle d’OCS. Ce second cas est d’autant plus intéressant que nous avions demandé à OCS un post-mortem lors de ses pannes à répétition cet été, sans succès.

En bout de course, nous avons par contre eu droit au fameux « Notre service a été victime de son succès »… comme si mal dimensionner son infrastructure était une bonne chose, à la manière d’un lancement avec une pénurie organisée. En réalité, ce sont surtout de clients pénalisés dont il est question, qui paient pour un service qui ne fonctionne pas. Ce, sans proposition d’indemnisation… à moins d’aller faire chauffer les oreilles de pauvres téléconseillers qui n’y sont pour rien.

Et si on se mettait la tête dans le sable ?

Ce mal est d’ailleurs courant et passe parfois inaperçu malgré son ampleur. Prenez par exemple myCanal qui souffre de déconnexions lors de périodes d’affluences comme pendant de gros matchs. Les forums évoquent ce problème de manière récurrente mais le groupe ne communique pas sur le sujet et répond assez peu à ses clients qui s’en plaignent publiquement. Il devient ainsi invisible, ou presque.

Que dire de Bouygues Télécom et son offre 4G Box. Lancée en grandes pompes au début de l’année, elle fait l’objet de larges campagnes promotionnelles. Pourtant, sur Twitter, on ne cesse de voir des clients se plaindre de la limitation de leur ligne de manière croissante depuis avril / mai, une pratique qui nous avait été annoncée comme exceptionnelle lorsque nous avions révélé ce point peu après le lancement.

Interrogé plusieurs fois sur le sujet, l’opérateur n’a jamais donné suite à nos questions espérant sans doute que le problème reste sous les radars. Ce ne sera pas le cas, c’est promis.

Suivi de l’incident et post-mortem : de bonnes pratiques

OVH a de son côté opté pour une autre solution : celle du contact direct et franc. Cela comporte parfois quelques erreurs, les réactions des clients et des internautes se font « à chaud »… mais celui qui cherche des informations peut les trouver, et avoir des détails en complément d’une réponse plus précise le concernant à travers les canaux classiques.

Comme souvent dans ce genre de cas, c’est Octave Klaba qui est allé en première ligne sur Twitter (en complément du compte officiel). Le service permettant de suivre les travaux d’OVH étant en panne, et sans doute d’autres outils de communication avec les clients, il a détaillé le problème dès les premières heures jeudi, jusqu’à sa résolution ce matin.

On peut parfois trouver cette expression publique problématique chez OVH. Elle l’était surtout lorsqu’elle était l’occasion d’effectuer des annonces qui ne correspondaient pas toujours à quelque chose de concret quelques mois plus tard. Mais en cas de panne importante, elle est un atout.

Notamment parce qu’elle permet de rendre visible le fait que les équipes sont sur le pont, de mieux se rendre compte de l’ampleur de la mobilisation qui se cache parfois derrière l’impression qu’il suffit de redémarrer quelques serveurs et une alimentation électrique pour régler un problème de cette ampleur. Tant sur le plan matériel que logiciel.

Surtout qu’elle s’est accompagnée dans le même temps de publications détaillées permettant d’obtenir un post-mortem assez complet. Un élément d’importance pour qui travaille dans le secteur, tant il peut permettre d’échanger sur les pratiques en cas de problème et de se poser la question : et si cela venait à m’arriver, quelles sont mes procédures ?

Vient ensuite le temps d’une communication plus institutionnelle, à froid, avec un niveau de détail moindre. C’est d’ailleurs ce qui a été fait aujourd’hui par la société à travers la publication d’un communiqué de presse ce matin.

It’s communication, stupid

Bien entendu, il peut être facile de se dire que cette communication à chaud n’était qu’une manière de rester « dans son jargon en se protégeant derrière comme une carapace » et de penser que le patron « est payé pour que la technique fonctionne de façon optimale, de manière discontinue » et rien d’autre.

D’ailleurs « les patrons de PME, ou indépendants (commerçants, artisans, professions libérales,…) qui composent la majorité de ses clients, n’y connaissent rien à la technique [et] se moquent de connaître les conditions du downtime de Rbx. Ils souhaitent simplement qu’on leur dise à quelle heure ils vont pouvoir revoir leurs salariés travailler dans de bonnes conditions ou encore pouvoir recevoir leurs commandes normalement ».

Après tout, on pourrait penser que le rôle d’Octave Klaba aurait avant tout dû être de s’excuser avant de donner une heure de retour à la normale qu’il ne pouvait pas connaître, à des milliers de clients qui sont dans des situations très diverses en fonction du ou des produits qu’ils utilisent.

Une manière de « remettre les préoccupations des clients au cœur du business ». Car après tout, les informer dans le détail sans les prendre pour des demeurés de la technique, ce n’est clairement pas la bonne chose à faire.

La transparence ou les GIF

Certes, la communication d’OVH est parfois imparfaite. Nous avons déjà eu l’occasion de le constater et de le relater par le passé. Peut-être la société devrait-elle embaucher des cadors de Twitter et de Snapchat pour diffuser des GIF de licornes pour mieux expliquer ce qu’elle est en train de faire au quidam qui se moque de la technique. C’est une idée.

Mais elle ne devrait pas être attaquée sur sa transparence technique, plutôt exemplaire dans le cadre de cette panne, et utile à tous ceux qui travaillent dans le secteur et/ou pour les clients d’OVH. Ces deux approches, qui visent des besoins différents, sont ainsi plutôt complémentaires et ne doivent pas être opposées.

Et s’il s’agit de demander des comptes et de donner des leçons… c’est plutôt à ceux qui se contentent d’esquiver les questions, qui cherchent à noyer les problèmes et qui se félicitent de leur succès lorsque leurs clients font face à un message d’erreur qu’il faut s’adresser.

Ceux-là sont plus nombreux, ont plutôt tendance à se cacher. Pour autant, il ne faut pas cesser de les débusquer, de les interroger et de les pousser dans leurs retranchements jusqu’à ce qu’ils adoptent une meilleure attitude. Un rôle qui est aussi celui de la presse spécialisée, que nous comptons bien continuer de jouer.

nextinpact

Stratégie cloud : Cisco mise tout sur l’hybride

Hits: 16


En 20 mois, l’équipementier a procédé à pas moins de huit acquisitions dans le domaine de la sécurité, de la performance applicative ou de l’orchestration cloud. Quelle stratégie s’en dégage ? Le point.

Ça y est, il quitte définitivement Cisco. Après avoir cédé son fauteuil de PDG il y a deux ans, John Chambers a abandonné, en cette rentrée, la présidence du conseil d’administration. En vingt ans, cette grande figure de la tech a transformé en profondeur l’équipementier. Au prix, il le faut le dire, de nombreux plans sociaux. Si le groupe américain tire encore une bonne part de ses revenus des routeurs et autres commutateurs réseau qui ont fait son succès, il a su progresser dans la chaîne de valeur du numérique.

Confronté au ralentissement des investissements dans les technologies réseaux et à la concurrence montante des équipementiers chinois Huawei ou ZTE, Cisco est passé de vendeur de “boîtiers réseau” à vendeur de solutions. Il a investi les marchés des communications unifiées et de la collaboration (via les rachats de Webex et Jabber, ou encore la commercialisation de l’application Spark), de la virtualisation, de la cybersécurité et de l’internet des objets (IoT). Il a surtout pris le virage du cloud à grand renfort d’acquisitions.

7 milliards de dollars d’acquisitions en 20 mois

Depuis décembre 2015, Cisco a procédé à huit acquisitions pour un montant cumulé de 7 milliards de dollars. Des emplettes qui ont toutes un lien avec le cloud qu’il s’agisse de répondre à des questions de sécurité dans le nuage (via les rachats de Lancope, CloudLock, Observable Networks), de performance applicative (AppDynamics,), de gestion des objets connectés (Jasper) ou encore d’hyper convergence (Springpath), d’orchestration cloud (CliQr) et de software defined (Viptela).

La ligne directrice de cette stratégie de croissance externe se résume en un mot clé : hybride. La firme de San Jose entend en effet prendre en compte cette nouvelle donne. Une même entreprise peut avoir à gérer une multitude d’applications on-premise ou hébergées en mode cloud dans des environnements disparates (Amazon Web Services, Dropbox, Microsoft Azure, Salesforce…).

“Nous souhaitons offrir à nos clients la possibilité de tirer le meilleur parti du cloud hybride”, résume Bruno Dutriaux, responsable cloud business development du groupe. “Cisco fournit le framework sur lequel l’entreprise va déposer ses applications, mesurer leurs performances et, ce, indépendamment de l’infrastructure sous-jacente. Il ne s’agit plus de gérer un réseau mais les applications dans un réseau.”

De l’APM à l’IoT

La première brique venant concrétiser cette stratégie, c’est CliQr. Rebaptisée CloudCenter, elle permet de déployer et gérer des applications dans des environnements de cloud privé et public. Deuxième étage de la fusée, AppDynamics doit se charger de remonter les métriques sur les performances, la disponibilité de ces applications. Cette offre historique de l’Application performance management (APM) a été rachetée en janvier dernier par Cisco pour 3,7 milliards de dollars.

Cisco fait le pari de l’association de l’internet des objets et du cloud

La solution AppDynamics ne se contente pas d’analyser le comportement d’une application, elle mesure les impacts d’éventuels dysfonctionnements sur le business. “Une transaction qui n’a pas pu aboutir, c’est un virement, un achat en moins”, pointe Bruno Dutriaux. “AppDynamics va remonter un ticket au centre d’appels pour entrer en contact avec le client lésé”. A noter qu’avec Tetration Analytics, Cisco disposait déjà d’un autre outil de supervision des réseaux et des applications qu’ils s’exécutent depuis un data center ou le cloud public.

Il s’agit ensuite de protéger ces applications et leurs données. Les récents rachats ont complété la panoplie de Cisco dans le domaine. OpenDNS, devenu Umbrella, sécurise les accès web et cloud. Lancope, rebaptisé Stealthwatch, identifie les menaces en analysant les flux de données. Quant à CloudLock, il s’agit d’une solution de Cloud access security broker (CASB) qui va appliquer aux services cloud les politiques de sécurité de l’entreprise (authentification, droits d’accès, chiffrement…).

Cisco fait, par ailleurs, le pari de l’association de l’internet des objets et du cloud. Racheté 1,4 milliard de dollars, la plateforme Jasper permet aux industriels de gérer une flotte d’objets connectés. ” Avec plus de 8 000 clients, elle connaît un très fort développement commercial notamment dans l’automobile “, note Bruno Dutriaux. General Motors l’utilise notamment pour administrer les services de sa flotte de véhicules connectés. Avec Kinetic, Cisco dispose aussi d’un atelier de développement d’applications dédiés à l’IoT agnostique de l’environnement d’exécution. Ce qui autorise un déploiement en fog computing, dans un data center ou auprès d’un provider de cloud public.

Une politique de Software-Defined Anything

Côté réseau, le groupe californien s’est engagé dans la voie du Software-Defined Anything (SD-X) qui se traduit par un pilotage de l’infrastructure IT par le logiciel. Pour 610 millions de dollars, Cisco s’est offert, en mai dernier, Viptela, une technologie de pilotage automatisé du réseau ou SD-Wan.

En 2016, Cisco avait déjà présenté une offre Software-Defined Access (SDA), conçue pour monter une infrastructure réseau entièrement automatisée et programmable de type “fabric”. Commutateurs, routeurs, points d’accès et contrôleurs wifi… Elle gère tous les équipements composant le réseau de l’entreprise, et permet ainsi d’appliquer les mêmes règles d’administration pour le wifi et le Wan. Comme par exemple, interdire à une caméra de faire des requêtes DNS –  afin d’éviter les attaques en déni de service menées par des objets connectés zombies.

“Plutôt que de qualifier l’approche d’hybride, je la rangerait plutôt dans la catégorie multicloud

Toujours dans cette approche de Software-Defined mais au niveau applicatif cette fois, Cisco sortait, il y a un an, la version 2.0 de son Application Centric Infrastructure (ACI). Une infrastructure qui se charge de gérer de façon identique le comportement d’une application qu’elle soit hébergée en interne ou chez un fournisseur. “Une machine virtuelle dans le cloud aura, par exemple, le droit d’accéder qu’à une et une seule base de données locale”, illustre Bruno Dutriaux. En août, Cisco annonçait, dans un billet de blog, l’intégration d’ACI aux infrastructures de cloud public d’Amazon Web Services, Microsoft Azure et Google Cloud Platform.

Cisco s’est également inspiré des GAFA qui ont poussé à l’extrême l’industrialisation et la standardisation au sein de leur data center. Dévoilé en septembre, son service Intersight se propose de manager une ferme de serveurs dans le cloud avec la même approche que les géants du nuage.

Enfin, Cisco se positionne aussi sur le marché de la containerisation. Seul logiciel libre à son catalogue, Contiv automatise les fonctions d’allocation de ressources réseau, de calcul, de stockage et de sécurité au sein d’architectures à base de containers. Il travaille avec différents orchestrateurs (Docker, Kubernetes ou OpenShift de Red Hat), et s’intègre, bien entendu, à ACI.

Le coche raté du IaaS

Si Cisco est bien présent sur toutes les strates du cloud, le groupe a, en revanche, raté le coche du cloud d’infrastructure (IaaS). Fin 2016, il annonçait la fin de la commercialisation d’Intercloud Services (CIS), sa plateforme d’interconnexion des clouds privés et publics. Ce fédérateur de clouds était basé sur OpenStack tout comme Helion, l’offre de cloud public de HPE, elle aussi abandonnée.

Pour reprendre le flambeau, Cisco, fidèle à sa politique de vente indirecte, peut s’appuyer sur un réseau de plus de 180 fournisseurs de services cloud certifiés CMSP (Cloud and Managed Services Program). Parmi eux, des acteurs franco-français peuvent garantir la localisation des données dans l’Hexagone. Depuis deux ans, Outscale est le seul opérateur certifié CMSP en France et le troisième en Europe, aux côtés de BT et T-Systems.

“C’est la plus haute certification possible”, avance David Chassan, directeur marketing et stratégie d’Outscale. “Sa délivrance donne lieu tous les ans à un audit de plusieurs jours réalisé par un organisme tiers. Ce cabinet indépendant évalue toute l’organisation, du recrutement aux process de qualité de services.”

Filiale de Dassault Systèmes, Outscale dispose de onze data centers en France, aux Etats-Unis et à Hong Kong. Le spécialiste français du IaaS est à la fois partenaire et client de Cisco depuis ses débuts en 2010. Outscale a en effet construit sa plateforme sur la base des solutions Cisco UCS (Unified Computing System) – avec, en parallèle, des processeurs Intel et des volumes de stockage NetApp. Un apport que David Chassan juge décisif. “L’intégration d’UCS permet d’atteindre le même niveau de performance qu’une application soit hébergée en France, aux Etats-Unis ou à Hong Kong. Cela permet de rivaliser avec les géants du cloud comme AWS tout en s’alignant sur leurs prix.”

Que pense-t-il de la stratégie cloud de Cisco ? “Plutôt que de qualifier l’approche d’hybride, je la rangerait plutôt dans la catégorie multicloud. Une entreprise peut en effet décider de faire appel à AWS en Australie et à Oustcale en France. CloudCenter peut d’ailleurs, également, prendre en charge des clouds qui ne sont pas basés sur des solutions Cisco”, argue le directeur marketing et stratégie d’Outscale. Ce qui permet, selon lui, à Cisco de multiplier les portes d’entrée.

journaldunet

Panne géante chez l’hébergeur français OVH

Hits: 22

L’entreprise française a subi jeudi matin une panne électrique géante, pénalisant plusieurs sites Internet en France.

Dure matinée pour OVH. L’entreprise française, spécialisée dans l’hébergement de sites et de données pour les professionnels, a été victime d’une panne électrique géante depuis jeudi matin. En conséquence, de nombreux sites et services dépendant de ses activités ont été inaccessibles, ou souffert d’une navigation très lente. C’est par exemple le cas du site de BFM Business, du média spécialisé 01net ou de Cozy Cloud, start-up d’hébergement respectueux de la vie privée pour les particuliers. Octave Klaba, PDG d’OVH, a reconnu la panne et a assuré que ses équipes travaillaient actuellement au rétablissement de la situation. Vers midi, il a annoncé la fin de l’incident et la reprise progressive des activités pour ses clients.

D’après lui, son entreprise a subi un enchaînement de problèmes. L’un de ses centres de données situé à Strasbourg n’est plus alimenté en électricité depuis jeudi matin, ce qui entraîné l’arrêt automatique d’une partie de ses serveurs, où sont hébergés les sites et services de ses clients. Les groupes électrogènes, censés pallier ce genre d’ennuis, n’ont pas fonctionné. Par ailleurs, le réseau optique reliant deux autres centres, par lequel transitent un très grand nombre de données, lui a également fait défaut. Les deux évènements ne sont a priori pas liés.

OVH se spécialise dans l’hébergement de site et d’autres services de cloud. Fondé à Roubaix, il est le plus gros acteur européen sur son secteur et revendique plus d’un million de clients dans le monde. Il est rare qu’OVH souffre de problèmes d’une telle ampleur. En 2016, l’entreprise avait fait face à une attaque informatique géante impliquant des centaines de milliers d’objets connectés. Elle a également subi cet été une panne dûe à une fuite de liquide de refroidissement dans l’un de ses centres de données, provoquant la suspension d’une partie de ses services pendant toute une journée.

lefigaro