Bluetouff’s blog

Ça devient assez courant de voir Google là où on ne l’attend pas du tout, cette fois c’est au tour du monde très touchy de la crypto. Google entend offrir les moyens au développeurs d’utiliser plus aisément des algorythmes des cryptage afin de mieux sécuriser leurs applications. SI keycsar, n’a pas, de l’avoeu même de Google, vocation à remplacer les OpenSSL, Pycrypto et JavaJCE sur lesquels il repose. Les plus de Keycsar sont :

• une API simple ;
• un système de rotation de clés ;
• des algorithmes sécurisés ;
• des modes et longueurs de clés sécurisés ;
  

Voir le GoogleCode du projet

Google AppEngine est un nouveau webservice Google à destination des développeurs souhaitant créer leurs application en ligne en se basant sur un framework web. sous le capot c’est carrément allèchant puisque Google AppEngine utilise sur Django un framework en python que nous sommes de plus en plus nombreux à affectionner.

C’est très discrètement et sans faire de pub que Google a lancé 100 000 comptes Google AppEngine pour les plus impatients d’entre vous !

Attention, 100 000 comptes c’est pas beaucoup à l’échelle de Google, alors si vous avez envie de tester ce nouveau service : ruez vous dessus !

C’est PAR ICI

Goolag, c’est le dernier coup de communication du cDc le Cult of the Dead Cows, prestigieuse team de hackers à qui l’on doit entre autres le légendaire cheval de troie, Back Orifice. Avec une bonne dose d’humour, le cDc a lancé son moteur de recherche hacktiviste engagé contre la censure opérée par le gouvernement chinois sur Internet (en fait on peut mettre la France dans le même panier, c’est ce vers quoi nous nous orientons : le filtrage du Net). C’est drôle, pas dénué de sens, et ça trouve la même chose que Google vu que .. c’est du Google. La blague pourrait s’arrêter là, mais non, Goolag scanner est en fait une application qui tire le meilleur parti de Google pour aller chercher des choses sur le net … beaucoup de choses, des choses qu’un certain Johnny nous avait appris à trouver.

Pour l’instant l’outil Goolag Scanner n’est disponible que sur Windows et peut être downlodé ici.

Pour l’instant, la promesse de Goolag, c’est d’offrir du p0rn aux chinois, le cDc devrait être déclaré d’intérêt public.

Découvrir Goolag Scanner

Apple, qui a récemment retardé la sortie de son Software Developpement Kit qui devrait permettre aux développeurs de proposer de nouvelles applications tierces “officielles”, entendrait selon certaines choses vues sur des blogs “répondre” au projet Google Android.

A en lire certains, comme celui-ci, j’ai cru déceler une énorme incompréhension, des terribles imprécisions ainsi qu’une méconnaissance des problématiques et de la tendance forte du marché de la téléphonie mobile.

Pré-requis

• Apple = monde propriétaire ;
• Android = open source.

Pour faire simple, on va commencer par le SDK de Apple : ce bundle d’outils de développements va se limiter à un seul appareil, l’iPhone. Pour Apple, c’est un avantage, ça permet d’avoir les spécifications précises de tous les composants utilisés. Pour les développeurs et les utilisateurs finaux, en fait on a pas le choix, il faut posséder un iPhone et rien d’autre. Note importante : le core de l’OS reste lui fermé, Apple n’ouvre pas ses repository pour qu’un développeur puisse soumettre une modification sur le core de l’OS, d’ailleurs, modifier le code source du core est même illégal, vous devenez un vilain pirate.

Première conclusion : si je veux installer un firmware d’iPhone pour profiter de toutes les supers applications tiercesdans un autre terminal … je ne peux pas. En revanche si je veux installer un Linux sur mon iPhone … ça je peux ! Niveau universalité, Android prend une longueur d’avance.

Passons maintenant au projet Google Android : on nous avait longtemps annoncé la venue prochaine sur le marché d’un gPhone … on en aura pas un mais mais des centaines, de plusieurs marques différentes, le boulot de Goolgle n’étant pas de fabriquer des téléphones, la compagnie américain a opté pour une stratégie à la Microsoft : “on va faire le bidule qui fait tourner ton machin, là…”, et comme contrairement à Microsoft notre modèle est plutôt gratuit, on va utiliser du Linux déjà très présent dans la téléphonie (Sony Erickson, Motorolla … même Nokia s’y met …), tout mettre en open source. Le business modèle de Android est juste de founir une interface logicielle qui permet aux utilisateur d’accéder dans les meilleures conditions possibles à des services Google, gratuits ou payant. Ici le software n’est là que pour vendre du service.

Non content de fournir un système d’exploitation pour téléphones, Google a évidemment pensé aux développeurs : accès au code source et grands concours de développement d’applications pour Android, en mettant sur la table 10 millions de dollars de récompenses aux développeurs qui auront réalisés les meilleurs projets.

Oui, Apple pourrait très bien mettre la même somme sur la table, mais ce n’est pas trop la mentalité de la maison.

Les objectifs et les approches de Google et Apple sont donc très différentes, bien évidemment, Apple vend aussi de la musique en ligne et aimerait à faire payer certains services … iLife ? Mais iLife et les services .mac, face à Google aujourd’hui, c’est peanuts.

Pour ce qui est de la sympathie des développeurs pour l’iPhone, oui il y en a, mais seul Google est capable de fournir à des constructeurs de téléphones mobiles un système interopérable, et surtout, avec ses sources…

Là où je ne peux pas être d’accord, c’est quand je lis ce genre de phrase :

“Google Android est aujourd’hui au mobile ce que Linux est à l’ordinateur … un outil fabuleux mais réservé à une niche”

Google Android attaque la téléphonie : aujourd’hui quand vous décrochez un téléphone mobile ou GSM, vous avez 95% de chances de tomber sur du Linux à la première tonalité sans le savoir; C’est une monumentale erreur de considérer Linux comme un p’tit nouveau,un outsider, sur un marché où il règne déjà en maître incontestable et incontesté.

“Le kit de développement pour l’iPhone viendra, dans moins de 10 jours, sérieusement affecter le potentiel de croissance d’Android” …

Même si tous les développeurs Linux se mettaient à coder pour l’iPhone à la sortie d’un SDK tout pas libre pour faire des softs qui ne fonctionnent que sur un téléphone à 600 euros, il leur faudrait 2 ans minimum avant d’arriver à la profusion d’applications déjà disponibles sous Linux. Erreur numéro 2 donc, Android ne part pas de rien, il part d’un truc qui fonctionne bien avec déjà énormément d’applications portées ou portables. En clair vous avez plus de chance de voir l’année prochaine un téléphone mobile capable de faire tourner OpenOffice qu’un iPhone avec MsOffice.

Pour le potentiel de croissance d’Android, il sera, par nature au minimum 5 fois plus soutenu que celui de l’iPhone à horizon 1 an, c’est mathématique.

Le Barcelone Mobile Expo (3GSM 2008) aura été pour Android, le système d’exploitation open source de Google, l’occasion de se présenter à la pesse, pas mal d’images de gPhone ou tout simplement de l’OS lui même qui rappelons le n’est pas encore terminé (d’ailleurs, l’affreuse interface graphique que vous pouvez voir sur ces images ne sera surement pas ce à quoi Android va ressembler à son lancement grand public. Rappelons que pour contrer l’iPhone, nous avons longtemps entendus parler d’un gPhone. Prenant tout le monde à revers, Google a décidé de s’allier a de nombreux constructeurs de téléphones pour leur proposer un OS open source commun sur une base Linux : Android. Cette architecture ouverte alliée à la motivation de développeurs qui bénéficient d’un kit de développement, d’un émulateur et de tout ce qu’il faut pour s’amuser, a déjà tout pour séduire. On attend compiz sur iPhone dans pas longtemps
Google devrait facilement arriver au second semestre 2008 à proposer une première version utilisable d’Android.

Voir le Google Code du projet Android

Wikia est l’initiative de l’un des co-fondateurs de Wikipedia, Jimmy Wales. Le concept de Wikia est parait il innovant, il s’agirait d’un “moteur de recherche” d’une nouvelle génération qui se baserait sur des tris d’origine “humaine” … c’est à dire pas des bots… Oui enfin jusque là on appelait ça un annuaire en fait !

Mais non là il paraît que SAYNOUVO, on va donc attendre patiemment jusqu’à lundi prochain, le 7 janvier 2008 pour tester la version béta que l’on nous annonce, en attendant, ça buzz.

On nous l’a dit et répété, n’importe quel DSI le sait : la sécurité ce n’est pas un produit, c’est un process. Les récentes mésaventures de sites gouvernementaux français qui “auraient” été la cible de cyber attaques venues de Chine (enfin on présume) … et qui “auraient” été le fait d’un trojan dans des documents MsWord (ahahahah! Get a wiki!) m’ont rappelé les heures qui ont fait la gloire de Kitetoa et d’autres curieux …

C’est donc avec un outil de hacker Chinois, Google, qui tourne sur un cluster de machines Linux, qui comme chacun le sait est l’oeuvre de hackers chinois lui aussi, que je me suis amusé à taper quelques recherches qui laissent un peu rêveur. En fouinant un peu, vous y trouverez de nombreuses perles, que ce soit au Ministère de la Défense, encore au Ministère de la Défense, au Ministère de l’aménagement du Territoire qui nous offre une belle application cartographiant l’éligibilité des entreprises à l’ADSL, le CTSI qui nous offre quelques informations sympas dans des logs FTP générées par un immonde outil Windows (ben oui Isabelle ça laisse des traces ton truc!), . .. j’en passe et des meilleures, sachez simplement que cette même recherche présente des résultats que nous n’avons pas souhaité directement linker ici.

En creusant un peu, avec notre outil de hacker chinois, on se rend compte que de nombreux sites gouvernementaux tournent sous le serveur d’application Zope (c’est un secret de polichinel) et le système de Gestion de contenu CPS (Collaborative Portal Serveur) qui dans sa version Zope / Python n’est plus maintenu puisque Nuxeo a décidé de switcher de Python à Java… on imagine bien le casse tête que ça doit représenter pour certains de ces sites . Zope présente de nombreux atouts en terme de sécurité et l’application CPS est l’oeuvre de gens qui savent coder, cependant, n’étant plus maintenue, elle n’est pas sans poser quelques problèmes. Zope, de son côté pourra sans soucis tourner avec un CMS maintenu par une vaste communauté de particuliers comme d’entreprises … Mais qu’attendez vous pour migrer que diantre !

Nos recherches font état d’une disparité hallucinante en termes de technologies, de choix d’architectures et de sécurité : du site en php avec le passwd.txt indexé dans Google au site html laissant des “path disclosure” dans les logs situés dans les répertoires non indéxés…L’utilisation de serveur applicatif n’est pas une solution à elle seule. Zope lui même n’est pas exempt de courants d’air mais à chaque fois, comme chez nous, ils sont l’oeuvre d’admins qui ne font clairement pas leur boulot… voici d’ailleurs le genre d’horreurs que l’on peut trouver, ici à l’université de Washington(g) comme le soulignait un grand hackers chinois du 3e siècle avant l’informatique quantique, ou sur le site du sénat brésilien, ou encore sur ce site militaro-machin américain où on offre carrément en téléchargement public un Data.fs qui contient par exemple tous les mots de passes et les identifiants de l’application stockés en CLAIR . Ne riez pas de nos camarades syndiqués américains car quand une de nos préfectures a des travaux à faire sur son site et qu’elle passe par un prestataire externe, elle ne lui ouvre pas un accès ssh pour “d’évidentes raison de sécurité” … elle envoie une image DVD du système de fichier du serveur avec notre beau data.fs et tous les mots de passe de tout le monde, c’est bien plus secure après tout hein ?…

Messieurs de grâce, nos systèmes, s’ils ne sont pas encore la risée des hackers chinois, présentent des faiblesses toutes dues aux mêmes problèmes : l’ignorance et le je m’en foutisme … et ne venez pas nous dire que c’est un manque de moyens. Nos process sont bancals, on laisse faire à n’importe qui n’importe quoi, et un jour, des hackers chinois …