News

Voici quelques jours apparaissait SkySQL dont le but de s'engager dans l'Open Source. Par ailleurs, SkySQL dévoile une alternative de logiciels, services et assistance pour la base de données MySQL.

Un communiqué de presse est disponible permettant de connaître en détails l'ensemble de ces points et de ces activités.

Enfin, Kaj Arnö, co-fondateur de SkySQL Ab et Monty Widenius, créateur de MySQL et fondateur de Monty Program Ab, seront présents en exclusivité mondiale au Forum PHP à Paris le 10 novembre prochain. Ils viendront expliquer leur choix de proposer une alternative à Oracle et présenteront le futur de MySQL.

- Communiqué SkySQL Ab, l alternative MySQL à Oracle
le 17/10/2010 à 11:36
PHP Power Button : VMware vCloud SDK
VMware est un logiciel de virtualisation comme beaucoup d'autres de la même famille. Vmware permet d'ajouter des extensions supplémentaires pour communiquer avec d'autres langages.

Le site ReadWriteHack montre à travers d'un exemple qu'il existe PHPLease une extension (en béta actuellement) pour vous permettre d'alimenter une machine virtuelle en quelques lignes de code PHP.

Par ailleurs, un SDK est disponible, intitulé PHP vCloud, destiné aux développeurs, disponible sur le site Vmware pour vous aider à exploiter au maximum la communication entre ce langage et une machine virtuelle.

- PHP Power Button: VMware vCloud SDK
- Guide PHP vCloud
le 17/10/2010 à 11:36
30 questions sur MySQL Partie 1
Le site dbnewz publie un article en 2 parties autour d'un petit Quiz pour évaluer vos connaissances en MySQL.

La totalité des questions va se porter sur la réplication, la sauvegarde, les performances, l'installation, le moteur de stockage, les outils...

La première partie contient les 15 premières questions de ce quiz et donc vous pouvez dès maintenant tester vos connaissances.

- 30 questions sur MySQL – Partie 1
Le site « Avanced PHP Tutorial » a listé 7 fonctions utiles pour renforcer la sécurité de vos projets webs PHP.

Ces fonctions sont utiles et souvent oubliées ou mal utilisées. Les fonctions retenues sont :

mysql_real_escape_string() 
addslashes() 
htmlentities() 
strip_tags() 
md5() 
sha1() 
intval() 

L'article illustre certaines fonctionnalités avec quelques exemples pour vous montrer leur importance. Bien sûr, elles sont complémentaires de l'ensemble des tests de sécurité classiques à effectuer.

- 7 Useful functions to tighten the security in PHP
SQLite est un moteur de base de données SQL, intégré depuis PHP 5. Vous pouvez lire et écrire des données dans un fichier stocké sur le serveur.

Le blog de Jay Salvat montre qu'il est possible d'utiliser les fonctions « memory » pour manipuler la base de données en mémoire vive, sans être obligé de générer des fichiers supplémentaires.

Cette technique vous sera utile pour réaliser différents tests comme des tests unitaires. Par ailleurs, l'article montre qu'il est possible de l'associer avec PDO pour utiliser cette technique avec d'autres bases de données comme MySQL.

- Bases de données virtuelles en mémoire avec SQLite
Les barres wysiwyg sont très utiles pour la réalisation de projets webs. Ces barres sont très présentes dans les CMS. Bien sur, vous pouvez toujours insérer ces librairies dans vos projets PHP personnels.

Le site creativeFan propose 10 éditeurs de texte gratuits, qui se nomment :
- TinyMCE
- BlueShoes WYSIWYG Editor
- WYM Editor
- jHTML Area – jQuery WYSIWYG Editorjwysiwyg WYSIWYG jQuery PluginCKEditor
- Xinha
- NicEditWMD – What You See is What You Get Markdown EditorAmaya

Bien sur, il en existe d'autres qui ne sont pas cités car ces barres ont fusionnées avec des barres ci-dessus.

- 10 Easy To Use Free Online WYSIWYG Editors
Ces dernières semaines, un ver appelé Stuxnet se serait attaqué à des réseaux de type SCADA. Ces infrastructures appelés Supervisory Control And Data Acquisition (télésurveillance et acquisition de données) seraient ainsi la cible d'une classe particulière de malwares. Une position qui n'est pas partagée par l'ensemble du monde de la sécurité.

Afin de mieux connaître l'origine, les spécifications, la portée et la dangerosité du ver Stuxnet. La rédaction de Clubic a décidé d'interroger plusieurs hauts responsables-experts en sécurité. Ils nous livrent leurs points de vue au sujet du malware. Interviews croisées.A propos d'une quelconque originalité du malware, Eugène Kaspersky, p-dg de l'éditeur d'antivirus du même nom explique : « Stuxnet n'a vraiment rien de nouveau. C'est seulement la première fois que ce type d'attaque est public ». En effet, dans la même veine que Stuxnet, on peut évoquer les attaques perpétrées par le ver Nachi en 2003 qui s'attaquait aux réseaux de distributeurs de billets ou encore le ver Zotob en 2005.

Par contre Eugène Kaspersky poursuit sa pensée : « D'un autre côté, je ne connais pas beaucoup de pays qui peuvent avoir les ressources en matière d'ingénieurs capables de développer ce type d'attaques. Ce n'est pas du ressort de tous même si je ne suis pas capable à l'heure actuelle d'identifier la source du malware ». Une position opposée de celle de Peter Tippett, vice président du département Technologies et Innovation de Verizon.Le responsable estime que le but du malware n'était pas forcément des installations critiques : « Il n'y a pas réellement eu d'attaques visant un pays en particulier. Il faut savoir que les Etats qui ont expliqué avoir été touchés par le virus comme l'Inde, l'Iran ou la Chine sont des endroits où les logiciels sont souvent piratés et où il y a de gros manques en matière de sécurité ».

Sur ce point, la communauté reste partagée. Stuxnet utiliserait, selon certains, 4 voire 5 failles 0-Day pour se propager. Il s'introduirait ensuite sur des postes insuffisamment sécurisés ou mis à jour. Question a donc été posée à Microsoft afin de savoir si ces défauts étaient des vecteurs critiques de propagation.Vinny Gullotto, directeur général du Microsoft Malware Protection Center confirme : « Que l'Inde soit le pays le plus touché par Stuxnet ne nous surprend pas. Ce type d'Etat est connu pour son manque de mises à jour de sécurité ». Sur le malware, il précise : « je pense que Stuxnet a pu être écrit par un script kiddy mais le plus important est de connaître quel travail collaboratif a été organisé en aval. Il faut des ressources nécessaires pour le faire se propager ».

La question de la nature et de la portée de Stuxnet n'est donc pas encore réglée. Une chose est pourtant certaine, elle a réveillé chez certains la peur de voir certaines infrastructures critiques (eau, électricité) tomber très rapidement. Un scénario qui montrerait combien les sociétés y sont dépendantes et à quel point, les réseaux y sont préparés… ou pas.
Afin de faire un point sur l'adoption des Correspondants informatique et libertés (CIL) par les professionnels, le Clusif (Club de la sécurité de l'Information français) a tenu à faire un point d'étape. Les évolutions vont globalement dans le sens de l'adoption des bonnes pratiques par les entreprises.Les correspondants Informatique et libertés existent depuis 2004. Ils ont été créés afin de simplifier les formalités des entreprises par rapport à la Cnil et ainsi réduire leur risque juridique et financier en cas de mauvais usage des données personnelles. Une aide à la conformité qui permet donc d'adopter plus rapidement les bonnes règles de conduite.

Mathias Moulin, chef du service CIL au sein de la Cnil fait un point de la situation : « Le CIL n'est pas l'oeil de Moscou dans une société. Il est rattaché à la direction et communique régulièrement avec elle. Par contre, il n'est pas responsable d'une éventuelle mauvaise attitude du professionnel. En général il cumule les postes avec celui du DSI, du RSSI ou d'un juriste spécialisé ».

Afin d'évoquer l'essor de ces correspondants, le responsable explique également que la sphère politique s'est saisie de la question de la protection des données personnelles en entreprise. En effet, la proposition de loi Détraigne-Escoffier (actuellement sur le bureau de l'Assemblée nationale) vise notamment à rendre obligatoire un CIL si plus de 100 personnes ont accès à un fichier comportant des données informatiques personnelles.

Signe d'une adoption en progression, l'année 2008 a vu le nombre de CIL augmenter en particulier grâce aux cabinets d'huissiers et de notaires. Pour autant, si la France semble faire partie des bons élèves, d'autres pays européens n'adoptent pas encore la même posture. L'Allemagne a rendu obligatoire son utilisation, tout comme les Pays-bas ou Malte. Malgré cela, d'autres hésitent encore à multiplier ce type d'initiative rendant la coopération entre Etats européens parfois difficile.
Lors de sa mise à jour de sécurité, Microsoft a notamment émis un patch « anti-Stuxnet » afin de combler les vulnérabilités de l'environnement Windows. Le bulletin MS10-073 serait effectivement dédié à cet objectif.Rencontrés par la rédaction, les experts sécurité de Microsoft nous ont confirmé cette information. Vinny Gullotto, directeur général du Microsoft Malware Protection Center et son équipe ont expliqué qu'il devenait « important de corriger la faille utilisée par Stuxnet ». L'ancien responsable de Symantec précise que cette mise à jour devrait servir à « éviter la diffusion du malware sur l'ensemble des postes concernés ».

Pour rappel, ce patch MS10-073, contenu dans la fournée traditionnelle de Microsoft vient corriger plusieurs vulnérabilités dans les pilotes en mode noyau de Windows. Une de ces vulnérabilités pourrait même permettre une élévation de privilèges si un attaquant se connecte à un système infecté.

Microsoft rappelle donc l'importance d'appliquer les mises à jour de sécurité. Histoire d'éviter une infection généralisée.
La semaine dernière, Alex Türk nous expliquait que la Cnil allait enquêter sur l'existence d'un fichier baptisé MENS. Une information initialement signalée par LeMonde.fr expliquait alors que la gendarmerie française aurait constitué un fichier informatique sur les Roms.Le président de la Cnil et sénateur du Nord nous avait alors affirmé « mener une enquête dans les prochains jours pour savoir s'il a bien été déclaré ». Le lendemain, la commission se rendait dans le centre de gendarmerie concerné.

Dès lors, la Cnil livre ses conclusions sur son site (.pdf). Elle précise qu'il « n'existe pas un fichier MENS spécifiquement identifié. En revanche, plusieurs traitements utilisent la mention MENS, soit dans leur dénomination, soit dans la collecte des données, leur transmission ou leur stockage ».

Par contre, la Cnil révèle qu'une base de données contenant 52 769 fiches de personnes (constituant ainsi un fichier contenant des données à caractère personnel) existe bien sans aucune déclaration. Elle explique : « aucune formalité n'a été effectuée auprès de notre commission. Dans ces conditions, cette base de données n'est pas conforme à la loi ».

Pire, le logiciel d'analyse sérielle utilisé par la gendarmerie appelé ANACRIM n'a pas non plus été autorisé. Enfin, la Cnil remarque également que la pratique de « transmission massive d'informations d'unités territoriale à destination des services centraux de la gendarmerie n'a pas été autorisé ».

Toutes ces dispositions relevées s'avèrent donc être en totale contradiction avec la loi Informatique et libertés de 1978. S'il ne nous appartient pas de juger de la légalité de l'existence de ce type de fichiers, le manque de transparence de la gendarmerie est un signe patent de l'absence de prise en compte des règles les plus strictes en matière de sécurisation des données. Sans réel contrôle, ni bénédiction de la Cnil, les abus de fichiers peuvent être plus récurrents… et plus discrets également.
LoadingChargement en cours