Les nouvelles des nuages - Décembre 2021

Enfin une newsletter !

Bonjour à tous, plusieurs mois après l’avoir annoncé, voici ma première newsletter !

Tous les mois, je sélectionnerais 5 actualités liées au cloud, la sécurité ou l’open source que je commenterais et partagerais avec vous.

Sans plus attendre, voici la sélection du mois !

La sélection du mois

Log4j — Quand l’open source porte le web mondial

Mi-décembre, une faille majeure a été décelée dans la librairie Java très populaire log4j. Cette faille permettant l’exécution de code arbitraire via de simples requêtes sur un site web.

Malheureusement, malgré un premier correctif livré très rapidement, deux autres failles majeures ont été trouvées.

Cette faille a eu un impact énorme dans beaucoup d’entreprises, mais cela a aussi permis de mettre en exergue le fait que beaucoup d’outils open source sont maintenus par quelques bénévoles, et sont exploités par beaucoup d’entreprises.

En soi, ce n’est pas un mal, c’est l’un des buts de l’open source d’être disponible pour tous, néanmoins, on peut se demander si c’est un comportement viable pour nombres de big Tech de consommer sans jamais donner en retour alors qu’elles ont la force de frappe nécessaire.

Ce que j’espère, pour ma part, c’est que cet événement va permettre d’ouvrir les yeux sur l’importance de ces produits open source et va permettre d’avoir plus de contributeurs.

Log4Shell : Soutenez les dév dont vous utilisez le travail ! -

Log4Shell est une nouvelle de ces failles informatique qui touchent des milliards d’appareils, et qui permettent potentiellement à n’importe qui d’en prendre le contrôle. Elle est décrite comme « la plus grosse et la plus critique des failles uniq…

Le Hollandais VolantTimo van Neerden

Peertube passe en version 4

Peertube est un projet open source vous permettant d’héberger vos contenus vidéos de manière décentralisée.

N’importe qui peut héberger une instance et avoir son propre serveur de vidéo qu’il est possible de fédérer avec d’autres. C’est d’ailleurs la solution que j’utilise sur video.tferdinand.net. L’intérêt premier est surtout de lutter contre le monopole de Google avec YouTube, et montrer qu’un web en dehors des GAFAM existe !

Qu’apporte cette nouvelle version ?

• Une interface améliorée pour faire du traitement en lot
• Une meilleure gestion des abonnements
• Une amélioration notable pour le low-Tech avec la prise en charge du 144 p
• Le support du protocole RTPMS

et bien plus encore, pour en savoir plus, rendez-vous sur le blog de Framasoft ou consultez le changelog !

PeerTube v4, prenez le pouvoir pour présenter vos vidéos

Personnalisation, mise en avant des contenus, plus de pouvoir et de maîtrise... Tour d’horizon de la nouvelle version de notre solution logicielle pour créer des plateformes alternatives à YouTube et les fédérer ensemble. « Frama, c’est pas que... » Pour l’automne 2021, chaque semaine, nous voulons…

FramablogFramasoft

PeerTube/CHANGELOG.md at develop · Chocobozzz/PeerTube

ActivityPub-federated video streaming platform using P2P directly in your web browser - PeerTube/CHANGELOG.md at develop · Chocobozzz/PeerTube

GitHubChocobozzz

Le cyberscore : faisons un nutriscore de la sécurité !

La sécurité est l’affaire de tous, et l’Assemblée nationale semble avoir assimilé ce sujet.

Sur le modèle (critiqué) du nutriscore alimentaire, nos députés veulent mettre en place un "cyberscore", permettant d’évaluer le niveau de sécurité d’un site Internet.

Ce score serait évalué en fonction de la sécurité des données ainsi que leur localisation et validé par l’ANSSI (ou en tout cas par des prestataires validés par l’ANSSI).

Pour ma part, je suis partagé sur le sujet. Je pense que cela peut contribuer à améliorer la maturité en termes de sécurisation des données utilisateurs, mais j’ai aussi peur que cela soit contre-productif en mettant de la poudre aux yeux pour valider un score.

C’est le détournement qui a été fait sur le nutriscore, qui valorise des aliments qui ne sont pas forcément sains pour la santé, mais valide les points nécessaires pour le faire croire.

Attendons les critères finaux retenons pour nous faire une idée de son bien-fondé.

Le cyberscore passe l’étape de l’Assemblée nationale

Les députés ont approuvé la proposition de loi visant à mettre en place un cyberscore. La nouvelle version du texte introduit un contrôle mené par des prestataires d’audits approuvés par l’Anssi, contre une autoévaluation envisagée lors du vote du texte au Sénat. Les deux chambres doivent maintenant…

ZDNET FranceHansi

AWS tombe, Internet le suit dans sa chute

Le 7 décembre dernier, de nombreux sites ont rencontré des soucis. Le point commun en tout ces sites : ils sont (au moins en partie) hébergés par AWS.

Chose rare sur cet incident, même le champion de la résilience sur AWS, Netflix, a rencontré des instabilités.

De manière assez habituelle, chaque cloud provider a pointer du doigt AWS en rappelant qu’eux au moins n’ont pas de soucis.

Qu’on se le dise, AWS gère des centaines de milliers de serveurs partout dans le monde et est loin de débuter dans le métier. On oublie toujours le plus important : toute infrastructure tombera à un moment ou à un autre, qu’on le veuille ou non, c’est ainsi. Je n’ai jamais connu une infrastructure qui ne tombe jamais.

Pour le coup, c’est la première chose qu’on nous apprend en formation AWS : l’important n’est pas de faire une infrastructure qui ne tombe jamais, mais de faire une infrastructure capable de gérer le fait qu’elle va tomber.

Comme d’habitude sur les incidents de cette ampleur, AWS a fourni un post mortem très complet.

Summary of the AWS Service Event in the Northern Virginia (US-EAST-1) Region

Amazon Web Services, Inc.

Netflix gère les méchants à sa manière

Justement, en parlant de Netflix, leur blog technique (cette mine d’or) a vu un nouveau billet pour expliquer le fonctionnement d’un projet : Snare.

Ce projet a pour but de redéfinir l’approche de la gestion des détections d’incident de sécurité.

Au travers de cet article, l’équipe technique de Netflix redéfinit la sécurité sur AWS, en rappelant une chose primordiale : le savoir, c’est le pouvoir.

Bien exploiter les détections automatisées permet d’augmenter drastiquement le niveau de sécurité de vos comptes.

Snaring the Bad Folks

Project by Netflix’s Cloud Infrastructure Security team (Alex Bainbridge, Mike Grima, Nick Siow)

Netflix TechBlogNetflix Technology Blog

Sur mon blog

J’ai repris les publications ce mois-ci sur mon blog, après quelques semaines d’absences. J’avais besoin de m’éloigner temporairement du blog, sur lequel je ne parvenais plus à écrire.

Deux billets ont été publiés :

• Le jour où j’ai compris que je n’étais pas un (bon) développeur : Je vous parle de mon expérience et du changement dans ma manière de travailler suite à l’arrivée d’un des mes collègues qui a chamboulé mon cadre de travail
• Log4j depuis l’œil de la tempête : Log4j est une faille couverte par des centaines d’articles, donc j’ai choisi de ne pas vous en parler, mais plutôt de vous parler de mon ressenti humain sur cette crise.

L’année 2021 se termine

Cette année se termine donc dans quelques jours. Je vous souhaite bien entendu de passer un excellent réveillon de la saint Sylvestre, et je vous donne rendez-vous en 2022.

Merci encore pour votre soutien, vos remarques, vos échanges, vos commentaires qui m’ont permis d’avancer en 2021 et me permettront d’aller toujours plus loin en 2022.

Comme d’habitude, vous pouvez me retrouver :

• Sur Twitter, où je suis très actif
• Sur LinkedIn
• Sur mon blog
• Sur le blog de mon entreprise, WeScale

Et si vous n’êtes pas encore inscrit à ma newsletter, n’hésitez pas à le faire pour les prochaines : zéro spam, que du contenu de qualité (ou presque) !

Si cette newsletter vous a plu, n'hésitez pas à la partager sur vos réseaux sociaux préférés!

Merci pour votre lecture, et à bientôt !