Cette technique appelée Clickjacking, lorsqu’elle est exploitée sur Adobe Flash Player, activerait la webcam et le micro à votre insu. Elle permettrait donc au pirate de vous voir et de vous entendre, sans que vous vous en rendez compte. En d’autres termes : Big brother is watching you ! Il pourrait par exemple écouter vos conversations au bureau, vous voir entrain de somnoler devant l’écran…et la liste est longue !

A l’heure actuelle, toutes les versions de Adobe Flash Player sont affectées. Et en attendant une prochaine mise à jour, Adobe tente de diminuer le risque couru et a posté quelques instructions de prévention :

1. Accédez au gestionnaire des paramètres Adobe Flash Player (Global Privacy Settings) à l’adresse suivante : http://www.adobe.com/support/documentation/en/flashplayer/help/settings_manager02.html
2. Cliquez sur le bouton “Toujours Refuser“
3. Cliquez ensuite sur “Confirmer“
4. Notez que toutes les requêtes d’utilisation de la caméra/mircophone seront automatiquement refusés. Si vous souhaitez “Autoriser” ou “Refuser” l’accès à certains sites, vous pouvez toujours changer les paramètres de contrôle de l’accès des sites sur cette page : http://www.adobe.com/support/documentation/en/flashplayer/help/settings_manager06.html

Et sinon, pour la route, voici une vidéo d’une démonstration de clickjacking réalisée par Jeremiah Grossman :

Click here to view the embedded video.

Je l’avais annoncé dans le billet précédent : j’ai été contacté par le comité d’organisation pour présenter une conférence autour des enjeux et opportunités qu’offrent les logiciels libres pour nos entreprises.

Au début je ne faisais pas partie du programme. Normalement, c’était Sophie Gautier, membre du projet OpenOffice.org et leader du projet francophone, qui devait donner la première conférence sous le thème “Migration OpenOffice.org“. Mais vu qu’elle n’a pas pu faire le déplacement, j’ai du faire le remplaçant ^^

“Logiciels libres, quelles opportunités pour nos entreprises ?” par Ahmed Chergaoui

[slideshare id=403323&doc=logicielslibres-1210713244094462-9&w=425]

J’ai repris sur cette conférence, le même thème présenté quelques mois auparavant dans notre établissement. Seule différence : j’ai intégré quelques sujets d’actualités (rachat de MySQL, ouverture du format Flash, intégration de Ubuntu dans les prochains terminaux Nokia …) et je présentais devant un public plus grand !

Au début de la présentation, j’ai essayé de m’attarder un peu sur l’origine du concept du logiciel libre, et de la différence avec le terme “open source“. Pour ceux qui ne le savent pas et pour faire (très) court, “logiciel libre” fait référence au côté philosophique de la chose et à tout un ensemble de libertés fondamentales (il y en a quatre précisément), alors que “open source” attire plus l’attention sur la disponibilité du code source, et sur les aspects économiques du libre.

Ensuite, et tout logiquement, j’ai étalé quelques avantages du libre comme le gain en terme de coûts (la plupart des logiciels libres sont gratuits ou vendus à faible coût), la réactivité hors norme de la communauté ou encore la qualité. Les business models derrière le libre étaient eux aussi de la partie; j’ai survolé un peu comment les gens peuvent gagner de l’argent en investissant dans le libre.

J’ai profité de l’occasion pour attirer l’attention également sur les problèmes rencontrés par le mouvement du libre au Maroc. Chez nous, il existe pas mal de barrières imposées soit par la culture (gratuit ou pas cher rime souvent avec mauvaise qualité), soit par le manque d’implication étatique (pas mal d’associations abandonnés, adoption de système de brevets…).

J’ai fini quand même sur une note positive : le futur du libre est lié aux universités et académies. Il n’y a qu’à voir le nombre d’évènements comme ces journées qui commencent à fleurir un peu partout dans le royaume.

“Simulations et applications réparties sous Linux” par Ahmed Toumanari

Conférence qui s’est déroulée l’après midi, animée par Ahmed Toumanari notre professeur de systèmes GNU/Linux à l’ENSA. Je n’ai malheureusement pas pu y assister pour cause de travail.

Les slides seront publiés une fois disponibles

“Plateformes de développement collaboratif” par Olivier Berger

[slideshare id=403247&doc=plateformepourledveloppementcollaboratifdeslogicielslibres-1210711014859366-8&w=425]

Tôt dans la matinée du deuxième jour, une conférence a eu lieu autour des plateformes de développement collaboratif, appelées aussi forges. Une présentation donné par le très sympathique Olivier Berger, ingénieur de recherche et ex-vice président de l’APRIL, qui a essayé de mettre l’accent sur le côté que pas mal de gens oublient : comment est développé un logiciel libre ?

L’idée principale que j’ai pu dégagée de la conférence est que, sans l’implication et le soutien des utilisateurs dans le développement et l’amélioration d’un logiciel libre, il sera voué à l’échec !

Conclusion : il faut contribuer, que ce soit au niveau du code (si vous êtes forts en développement), au niveau de la détection et la signalisation de bugs ou encore avec des dons (dans le cas d’un logiciel entretenu uniquement par une communauté).

Autre chose à signaler, totalement (ou pas) hors-sujet : j’ai décidé de revenir à l’utilisation de Debian au lieu de Ubuntu. A ce moment où j’écris l’article, le téléchargement de Debian Etch 4.0 en est à 25% ^^

“FreeNX” par Jalal Zahid

Juste après la conférence sur les forges, une autre conférence (rajoutée à la dernière minute et présentée par un autre monsieur sympathique) s’est tenue au sujet de FreeNX, une solution qui permet d’accéder à un bureau distant.

Si l’on croit Jalal Zahid, gérant d’Aurium Technlogies, cette solution est bien moins couteuse en bande passante que celles basées sur VNC, vu qu’elle utilise un ensemble de techniques très astucieuses qui réduisent la consommation de ressources réseaux.

Par exemple, FreeNX utilise un mécanisme de cache, qui diminue le nombre de requêtes que le client envoie au serveur.

Résultat : FreeNX peut être utilisé parfaitement avec des connexions à bas débit. Intéressant et à tester !

“Sécuriser votre système GNU/Linux” par Achraf Cherti

[slideshare id=403193&doc=20080509securiservotresystemegnulinuxparachrafcherti-1210709052960372-9&w=425]

L’après midi du deuxième jour, c’est Achraf Cherti (plus connu sous le pseudo Asher256) qui a présenté autour de la sécurisation de stations de travail (bureau et serveur).

Conférence très intéressantes d’ailleurs, pendant laquelle notre cher ami a mis l’accent sur quelques astuces de base pour repousser les script kiddies et autres crackers débutants. Des points (vraiment) très évidents, mais qui ne traversent jamais nos esprits : protéger l’accès au BIOS par mot de passe, protéger les mots de passes stockés sur Firefox, installer un parefeu, chiffrer les partitions ou dossiers confidentiels …

Après la conférence, je me suis aperçu que mon pc est loin d’être fortifié et que j’ai du boulot à faire. Mais bon, il n’ai jamais trop tard pour commencer quoi que ce soit .. hein ?

“L’Open Source pour l’Entreprise 2.0″ par Younes Qassimi

[slideshare id=403163&doc=lentreprise-20-1210707963220785-9&w=425]

Un sujet clair et complexe à la fois, que seul Younes Qassimi, manager et collègue à Synergie Media, pouvait aborder d’une façon simple et compréhensible face à un public nombreux et très curieux.

La complexité résidait dans le fait que le concept du 2.0 n’est pas encore assimilé à 100% au Maroc, et par nos entreprises locales. Il fallait donc faire une comparaison entre ce qu’on appelle une entreprise 1.0 et une entreprise 2.0, afin de montrer les différences existantes.

L’une des différences réside dans la méthode de travail. Dans une entreprise libellée 1.0 (d’ancienne génération), le flux de travail suit une organisation verticale et hiérarchique (le boss lance un ordre, l’employé exécute). Alors que dans une entreprise de nouvelle génération, l’employé est souvent encouragé à participer dans l’évolution de l’entreprise. Il peut dès lors proposer des projets, et devenir peut être, chef du dit projet et garant de sa réussite.

Autre différence est dans les outils de travail. Aujourd’hui les solutions et logiciels utilisés dans une entreprise dite 2.0 sont beaucoup plus tournés vers le partage, la collaboration et la centralisation. On est ainsi plus productif et on évite les risques de redondances de données.

“Les ERP Open Source en entreprise: TINYERP” par Abderahman Elkafil

Dommage que je n’ai pas pu me libérer le samedi dernier pour assister à la conférence donnée par Abderahman Elkafil, fondateur de la société Nextma, à propos des ERP libres et plus particulièrement TinyERP.

Juste à titre d’information, il semblerait que TinyERP a changé de nom pour devenir OpenERP.

“Asterisk, ou gestion efficace de la téléphonie de l’entreprise” par Tarik Fdil

[slideshare id=403180&doc=asteriskgestionefficacetelephonieentr-1210708643061794-9&w=425]

Autre conférence que j’ai ratée le Samedi, est celle animée par Tarik Fdil membre de l’OSIM et un des gourous du libre au Maroc. Le thème abordé était celui de la téléphonie de l’entreprise. Un sujet d’actualités vu le succès de certains produits de très bonne qualité comme Asterisk.

Conclusion :

Cette quatrième édition a été très riche sur plusieurs plans (apprentissage, rencontres, networking …) et laisse penser que le libre a de grands jours devant lui au Maroc, et dans notre région.

Les gens s’y intéressent de plus en plus, et pas mal d’universités et écoles commencent à intégrer et à utiliser des solutions libres dans leur gestion quotidienne et leur cursus scolaire. Et c’est tant mieux !

Pour conclure, je suis dores et déjà impatient de retrouver la cinquième édition l’année prochaine Inchallah. Mais en attendant, soyons libre !

Si cette version a été pour moi, et pour la plupart des utilisateurs, un vent de fraicheur et d’amélioration, il y avait un point qui me dérangeait lié à la sécurité de cette nouvelle mouture: le numéro de version.

En effet, sur les versions précédentes, le numéro de version est affiché via une balise meta “generator” sur les fichiers templates. Les utilisateurs avaient ainsi le choix de l’intégrer ou non sur leur thème. Pour éliminer le numéro de version, il suffisait (comme mentionné sur l’article “Sécuriser son blog WordPress“) de virer l’instruction bloginfo(‘version’) de votre fichier header.php.

Cependant sur WordPress 2.5, le numéro de version est intégré via l’appel à la fonction wp_head. Cela veut dire que même si vous enlever l’instruction bloginfo(‘version’), le numéro de version sera toujours affiché !

Une solution à ce “problème” (si on peut appeler ça comme ça ) est de supprimer wp_head. Chose que je conseille d’éviter, puisque cette fonction est utilisée par de nombreux plugins (All in One SEO Pack entre autre) pour ajouter le code nécessaire à leur fonctionnement dans le header de votre thème.

Donc, à moins que vous ayez le cran nécessaire de bousiller modifier quelque chose dans les fichiers propres à WordPress, la solution la plus adéquate et facile à mettre en place est d’avoir un plugin qui masque le numéro de version. Et c’est justement ce que permet de faire Replace WP-Version.

Le principe de ce plugin est simple : si vous avez une des versions antérieures à WordPress 2.5, il remplace le numéro de version par une chaîne de caractères aléatoire, et si vous avez WordPress 2.5 ou plus, il supprime le numéro de version.
Pour télécharger Replace WP-Version, c’est par ici : Replace WP-Version.

Eviter d’effectuer des recherches sur tout le serveur

Au lieu d’utiliser ce code pour votre formulaire de recherche :

<?php echo $_SERVER [‘PHP_SELF’]; ?>

Mettez à la place :

<?php bloginfo (‘home’); ?>

Protéger le répertoire wp-admin

Il est possible que des personnes malveillantes utilisent des attaques par force brute, afin de découvrir le mot de passe pour accèder à l’administration de votre blog. Pour diminuer les risques, il existe quelques solutions :

• Limiter l’accès au dossier wp-admin par adresse IP via le fichier .htaccess. Cette méthode a ses défauts, surtout si vous avez une adresse dynamique. En effet, à chaque changement d’IP, il faut ré-éditer votre fichier .htaccess et changer les paramètres. Plus de détails sur : Protecting the WordPress wp-admin folder.
• Utiliser le plugin AskApache Password Protect. Ce plugin ajoute une deuxième couche de protection à votre blog, en demandant un mot de passe pour accèder à n’importe quelle ressource de votre répertoire wp-admin. Il génère pour cela un fichier .htaccess et un autre .htpasswd (pour les mots de passes). Pour télécharger ce plugin :
  WordPress Plugin – htaccess password protection for wp-admin.
• Utiliser le plugin Login Lockdown. Ce plugin enregistre l’adresse IP et l’heure de chaque tentative d’accès incorrecte à votre interface d’administration. Si le nombre de tentatives est supérieur à une certaine valeur pour la même adresse IP et pendant une courte période, ce dernier bloque l’accès à la page de connexion. Un bon moyen pour éviter les attaques par force brute. Pour télécharger ce plugin : Login Lockdown plugin.

Utiliser SSH au lieu de FTP

Si votre hébergeur autorise l’accès à votre site via SSH, et que vous vous souciez de la sécurité, pourquoi se priver d’un tel service ! Surtout que c’est beaucoup plus sécurisé que le protocole FTP, en raison du chiffrement des données.

Protéger le fichier de configuration de WordPress

Ce fichier stocke en clair les informations de connexion à votre base de données, et pour en limiter l’accès il suffit d’ajouter la ligne suivante à votre fichier .htaccess :

<FilesMatch ^wp-config.php$>deny from all</FilesMatch>

N’oubliez pas que la prévention reste le meilleur moyen de sécurité. Mettez donc à jour les versions de WordPress et les plugins que vous utilisez, effectuez des backups réguliers de votre base de données et n’hésitez pas à changer vos mots de passe de temps à autre !

Bien sûr, une protection à 100% et sans failles n’existe pas, et personne n’est à l’abri contre des attaques de sécurité bien menées ! Cependant, il est possible par le biais de quelques techniques et de règles d’utilisation, d’en contourner un bon nombre ou d’en minimiser les dégâts.

Dans ce qui suit, j’essaie de dresser quelques astuces et conseils (trouvés sur Bloganything), pour assurer une sécurité minimale pour les gens qui ont un blog tournant sous WordPress.

1- Mettre à jour sa version de WordPress

Surtout quand il s’agit de la sortie d’une nouvelle version qui corrige un ensemble de bugs et de failles. La mise à jour d’un blog sous WordPress est simple, et il suffit généralement de suivre les instructions fournies dans la documentation de leur site officiel.

2- Ne pas renseigner sur la version WordPress du blog

La plupart des thèmes sur le Net, contiennent une instruction qui renseigne sur la version de WordPress que vous utilisez. Pour la supprimer rien de plus simple :

• Dans l’interface d’administration de votre blog, allez dans “Presentation“, puis “Editeur de thèmes“.
• Choisissez le fichier “header.php” pour pouvoir l’éditer.
• Cherchez l’instruction bloginfo(‘version’) et supprimez la. Sauvegardez le fichier.

Cacher la version de la plateforme que l’on utilise, va rendre la tâche des pirates un peu plus difficile.

Avancé : Pour un résultat plus poussé, vous pouvez aussi enlever le numéro de version de vos flux RSS ou Atom. Pour cela, il va falloir supprimer toute information de version contenue dans les fichiers qui s’occupent de la génération de vos flux (feed-rss2.php, feed-atom.php …) et qui sont placés dans le répertoire “wp-includes”.

3- Mettre un fichier “index.html” vide dans le répertoire des plugins

Cela a pour effet de masquer la liste des plugins que vous utilisez.

• Ouvrez votre éditeur de texte favori, et créez un nouveau fichier vide.
• Enregistrez-le sous le nom “index.html”.
• Chargez-le dans le dossier plugins de votre installation WordPress.

N’oubliez pas également de mettre à jour un plugin quand une nouvelle version de celui-ci est disponible.

4- Placer une copie du fichier “.htaccess” dans le dossier “wp-admin”

On peut limiter l’accès au dossier “wp-admin” par adresse IP, pour éviter qu’une personne malintentionnée y accède.

• Ouvrez votre client FTP , et placez vous dans la racine de votre installation WordPress.
• Téléchargez le fichier “.htaccess” sur votre bureau.
• Entrez dans le répertoire “wp-admin”.
• Chargez-y le fichier “.htaccess” que vos venez de télécharger.

5- Bloquer les robots d’accèder aux répertoires “wp-admin” et “wp-includes”

Il est possible de spécifier aux moteurs de recherche, de ne pas indexer les répertoires internes de votre blog. Pour cela, il faut éditer votre fichier “robots.txt” ou d’en créer un si vous ne l’avez pas encore fait.

• Ouvrez le fichier “robots.txt”, et ajoute-y les lignes de codes suivantes :

# On spécifie que la règle est à appliquer à tous les moteurs de recherche
User-agent: *

# On bloque l’accès aux répertoires et les fichiers qui y sont inclus
Disallow: /wp-admin/
Disallow: /wp-includes/

• Enregistrez et placez-le (toujours via votre client FTP) dans la racine de votre blog WordPress.

6- Faire des backups périodiquement

Comme il n’existe pas de sécurité parfaite, la meilleure façon de se protéger reste le backup périodique de votre base de données, et des fichiers de votre blog. Si vous ne souhaitez pas effectuer une sauvegarde manuelle de vos données, sachez qu’il existe pas mal de plugins sous WordPress pour automatiser cette tâche; le plus connu étant WordPress Database Backup.

Il existe un document complet sur la sécurisation d’un blog, que je n’ai pas eu le temps de finir, et que vous pouvez télécharger sur cette adresse : WordPress Security Whitepaper

Voilà, cet article touche à sa fin. La liste d’astuces présentées n’est surement pas exhaustive donc, si vous en avez d’autres n’hésitez surtout pas à partager