OpenStack LogoOpenStack est une solution à code source libre d’infrastructure service (Infrastructure as a Service – IaaS en anglais), sous licence Apache et gérée par une fondation, qui s’impose aujourd’hui comme une référence. Mais quand on a dit cela, à la fois on a tout dit et rien dit. je vais essayer de vous fournir des éléments de compréhension sur cette technologie.

 

Lisez la suite de ce billet dans le blogue de Direction informatique Lien.

heartbleedDepuis mardi matin, le 9 avril, de nombreux clients nous ont contacté en panique pour avoir de l’information sur la vulnérabilité poétiquement nommée Heartbleed (cœur qui saigne, en anglais). Ce bogue est effectivement sérieux et l’on ne connaît pas encore son impact réel. La bonne nouvelle, cependant, c’est qu’il a été très rapidement corrigé (comme toujours, avec l’open-source) et qu’on sait déjà comment se prémunir de ses éventuels dangers.

Heartbleed : qu’est-ce que c’est ?

Il s’agit d’une faille de sécurité découverte en début de semaine dans la librairie de chiffrement OpenSSL. Elle crée la possibilité d’une « fuite » de certaines données sensibles à la suite d’une connexion théoriquement étanche.

Plus de détails en français dans Que sait-on de « Heartbleed » ? (Le Monde)

Qui est affecté ?

C’est difficile à dire à l’heure actuelle mais, potentiellement, tout le monde. La plupart des services qui utilisent le protocole de chiffrement TLS/SSL s’appuient sur la librairie OpenSSL et ils sont nombreux : serveurs Web, serveurs de messagerie, serveurs ssh, ftp, sql, etc.

En clair, la plupart des services sécurisés que vous utilisez ont pu être affectés par ces fuites, notamment les sites Web dont les URL commencent pas https://, incluant Twitter, Facebook, Linkedin, Google Plus, les extranets et sites Web d’un nombre incalculable d’entreprises, ceux de votre banque, de votre fournisseur Internet, de nombreuses administrations publiques… et peut-être aussi vos propres serveurs!

Quelles versions d’OpenSSL sont affectées ?

  • 1.0.1 à 1.0.1f
  • 1.0.2-beta1

Quels systèmes d’exploitation sont affectés ?

Les principales distributions Linux, incluant :

  • Debian Wheezy et plus récent;
  • Ubuntu 12.04 et plus récent;
  • CentOS/Redhat 6;
  • Fedora 18 et plus récent;
  • OpenBSD 5.3 et plus récent;
  • FreeBSD 10 et plus récent;
  • NetBSD 5.0 et plus récent.

La faille est-elle vraiment critique ?

Oui. Certains outils comme CVSS permettent d’évaluer l’impact d’une vulnérabilité. En ce qui concerne Heartbleed, le score CVSS de base est de 9,4 sur 10. Ce n’est pas rien.

Comment réagir ?

En tant qu’internaute, nous vous recommandons fortement de suivre les conseils des fournisseurs et sites Web qui, comme Wikipedia, vous recommandent de changer votre mot de passe le plus rapidement possible. Il se peut en effet que vos données d’accès aient déjà été compromises.

En anglais : The Passwords You Need to Change Right Now (Mashable)

Pendant quelques jours, si vous devez vous connecter à un service sécurisé incertain, testez d’abord sa vulnérabilité à l’aide de ce test en ligne rapidement concocté et déposé sur GitHub par Filippo Valsorda, un développeur italien :

heartbeat

Si vous administrez des systèmes Linux susceptibles d’être affectés :

Enfin, tester la vulnérabilité de vos propres services à l’aide du fameux test de Filippo. Le cas échéant, mettez à jour vos serveurs et pensez à redémarrer chacun des services après la mise à jour. Si aucune mise à jour n’est disponible, il est toujours possible de compiler une version d’OpenSSL sans l’option heartbeat à l’aide de cette commande : -DOPENSSL_NO_HEARTBEATS.

Mise à jour – Jérôme Oufella, notre VP Technologies, ajoute ce commentaire : « Un point important, étant donné que la faille est dans le vent depuis pas mal de temps et que les informations privées des clefs ont été exposées, c’est qu’on ne peut plus avoir confiance dans ce matériel privé. Pour avoir la conscience tranquille, on devra donc régénérer les clefs privées, faire invalider les certificats potentiellement compromis et en obtenir de nouveaux. »

Voir aussi le site complet d’information en anglais mis en ligne par le groupe de sécurité finlandais Codenomicon qui a été à l’origine de cette troublante découverte.

La venue de « PyCon US » à Montréal, c’est une idée folle qui se concrétise cette semaine, après quatre ans de rêve éveillé, de réflexion lucide, de travail acharné et, surtout, de collaboration.

Il y a quelques semaines, j’ai voulu connaître la genèse et les principaux enjeux de cette histoire. À l’issue d’une réunion de travail chez Savoir-faire Linux, j’ai demandé à Mathieu Leduc-Hamel et Davin Baragiotta de me la raconter, ouvrant grand mes yeux et mes oreilles numériques afin de vous la partager.

Il était une fois… PyCon Montréal CC BY-SA

Pour connaître toute l’histoire, prenez 15 mn et écoutez-là en entier. Pour allez plus vite, déroulez la liste de lecture ou cliquez sur les liens qui apparaissent au début et à la fin de chaque séquence :

Si vous êtes pressé, cliquez sur le titre de la séquence qui vous intéresse :

Mathieu Leduc-Hamel, président de Montréal Python, et Davin Baragiotta (membre de l’équipe d’organisation de Montréal Python et développeur chez Savoir-faire Linux) passent en revue le programme de la conférence nord-américaine PyCon 2014 et des différentes activités qui se succèdent, du 9 au 17 avril, au Palais des Congrès de Montréal et ailleurs…

Yannick-Gingras-par-Simon-Law-cc-by-sa
Yannick Gingras
CC BY-SA: Simon Law

Davin et Mathieu ouvrent leur boîte à souvenirs et nous replongent en 2010. La paternité de l’idée revient à Yannick Gingras, qui était alors président de Montréal Python et un participant assidu de PyCon, dont il fut co-président de 2011 à 2012. Le projet évolue ensuite grâce à un premier contact institutionnel du côté de Montréal International et prend véritablement forme lorsque Tourisme Montréal embarque dedans à pieds joints.

En 2011, à Atlanta, la Free Software Foundation est impressionnée par l’implication de la communauté et l’état d’avancement du projet. C’est gagné! L’année suivante, Diana Clark et David Wolever organisent le premier PyCon Canada, ce qui renforce l’expertise canadienne quant à ce genre d’événement. C’est ainsi que Diana Clarke a accepté d’assumer la présidence de PyCon, cette année, aux côtés de Mathieu…

Cyril Robert (photo: Simon Law, CC BY-SA)Rien ne serait donc arrivé si le groupe Montréal Python n’avait pas tout d’abord incarné, dynamisé et développé le dynamisme et la créativité de la communauté montréalaise. La Python Software Foundation, qui est « une machine bien rôdée », y a eu recours en tant qu’organisme facilitateur, carnet de contacts et réserve de chargés de projets bénévoles.

À l’instar de Savoir-faire Linux, plusieurs entreprises locales, appuient Montréal Python dans ses activités régulières. Logiquement, plusieurs d’entre elles l’ont également suivi en investissant dans un partenariat de commandite avec PyCon 2014…

⇖ Cyril Robert (CC BY-SA: Simon Law)

Sur les 2 500 participants attendus à PyCon 2014, au moins 1 500 arrivent de partout aux États-Unis. Ces déplacements vont générer des retombées économiques immédiates, mais également à plus long terme : rehaussement de l’image touristique, de la renommée technologique et des liens économiques de la ville.

À PyCon, les entreprises montréalaises se positionnent aux côtés des chefs de file de l’industrie numérique nord-américaine. Elles ont l’opportunité de rencontrer un grand nombre de développeurs hautement qualifiés et d’en attirer certains vers les rives du Saint-Laurent. Au final, cette visibilité dynamisera nos entreprises et, selon Mathieu Leduc-Hamel, pourrait les amener à offrir de meilleurs salaires aux membres de la communauté. La boucle est bouclée! :-)

seminaires-bluemindBlueMind, c’est une nouvelle génération de messagerie collaborative open-source qui connaît actuellement beaucoup de succès en France, son pays d’origine. Adoptant les principes d’ergonomie et de réactivité des populaires interfaces de Google Mail, cette plate-forme libre offre l’avantage de pouvoir être hébergée sur les infrastructures internes des organisations, qui conservent ainsi le plein contrôle de leurs données.

Adieu, les clients lourds et fastidieux! Avec BlueMind, ceux-ci sont remplacés par une application web adaptative et interopérable intégrant tant les courriels et les calendriers que la messagerie instantanée, la voix sur IP (grâce au renfort d’Avencall) et même, bientôt, le partage de documents.

Cette solution riche, agréable et résolument contemporaine s’adresse aux entreprises, aux administrations publiques et aux établissements d’enseignement de toutes tailles. Son intégration simplifiée avec des systèmes et applications externes tels que portails, CRM, annuaires libres ou propriétaires, ainsi que les solides garanties offertes avec sa version Entreprise assurent par ailleurs la tranquillité d’esprit des administrateurs.

Démo complète de BlueMind à Montréal et à Québec

Savoir-faire Linux et BlueMind sont heureux de vous inviter à un séminaire d’une demi-journée, à Montréal le 22 et à Québec le 23 avril, que je co-animerais avec Pierre Baudracco, président et co-fontateur de BlueMind.  A l’issue de cette rencontre vous serez en mesure d’évaluer clairement ce que peut apporter à votre organisation ce système de messagerie collaborative open-source complet, moderne, innovant, industrialisé, porté par une communauté dynamique, assorti d’une offre professionnelle mature et d’un solide soutien local de première ligne.


Séminaire BlueMind à MontréalÀ Montréal, le 22 avril 2014 :

Institut National de l’Image et du Son (INIS)
301 de Maisonneuve Est (Métro: Berri-UQÀM)

INFORMATION + RÉSERVEZ MAINTENANT


Séminaire BlueMind à MontréalÀ Québec, le 23 avril 2014 :

Vitrine technologique du CSPQ
1500 Rue Cyrille-Duquet, Québec

INFORMATION + RÉSERVEZ MAINTENANT


À propos de Pierre Baudracco

Pierre BaudraccoPierre Baudracco est le fondateur et président de BlueMind, éditeur de la solution de messagerie collaborative nouvelle génération qui se présente comme l’alternative numéro 1 à Microsoft Exchange et Google Mail. Choisie par de nombreuses collectivités et administrations, prêt pour le Cloud, BlueMind apporte des innovations comme la mise à jour intégrée ou le mode web déconnecté permettant de se passer des clients lourds du déploiement au niveau des postes. Avec son équipe, Pierre a mené les plus gros projets français de messagerie Open Source. il est aussi président de SoLibre l’association des professionnels du Libre du Sud-Ouest, membre du CNLL.

t-shirt-pyconSavoir-faire Linux sera présent à la conférence PyCon 2014, qui a lieu cette semaine à Montréal et dont nous sommes un fier commanditaire aux côtés des Google, Facebook et RedHat de ce monde. Il s’agit d’un grand événement, très riche, diversifié, qui réunira 2500 personnes venues de tout le continent.

C’est la première fois que cette conférence se tient en dehors des États-Unis. Si Montréal a été choisie comme ville-hôte cette année et l’an prochain, c’est parce que l’audace et l’efficacité remarquable de la communauté montréalaise Montréal Python lui ont permis de gagner l’appui de Tourisme Montréal et la confiance de la Python Software Foundation (PSF).

En ce qui nous concerne, cela fait déjà plusieurs années que nous soutenons cette communauté. Mathieu Leduc-Hamel, son président actuel, est un ancien de SFL. Davin Baragiotta, qui nous a rejoint l’an dernier, est aussi l’un de ses membres organisateurs actifs. Depuis 18 mois, notre collègue Christian Aubry assure la captation vidéo des présentations mensuelles, ce qui accentue leur rayonnement hors de Montréal et même de nos frontières. À Québec, nous sommes les co-fondateurs de Québec Python, une communauté plus jeune mais qui ne demande qu’à grandir.

Notre positionnement sur Python et notre implication dans sa communauté sont essentiels et stratégiques car le langage Python est au cœur des solutions sur lesquelles nous investissons et innovons (Shinken, OpenERP, Django, OpenStack). Le cours DEV401 – Programmer en Python est d’ailleurs l’une des formation les plus populaires de notre centre de formation.

Cette prochaine fin de semaine, une dizaine de «SFLiens» participeront donc à la conférence. Ils seront facilement identifiables avec leur T-shirt bleu « collector » dont une vingtaine d’exemplaires seront mis au enchères samedi soir au profit du groupe des PyLadies! Notre équipe de communication accueillera par ailleurs les participants souhaitant partager leur expérience à notre kiosque #211 afin de recueillir leurs impressions sur la conférence et ses enjeux en mots et en images.

Le kiosque de Savoir-faire Linux à PyCon 2014

Enfin, si vous vous cherchez à travailler en Python au sein d’une équipe haut de gamme, venez nous voir à la Jobs Fair de dimanche matin. Nous y serons pour inviter les meilleurs développeurs Python à venir grandir nos équipes de choc!

Bonne conférence à tous!