Vaccin contre les logiciels à rançon

Pour quelle raison cette faille existe-t-elle et comment j’en suis vacciné.

Nouvelle attaque à la mode dans l’univers Internet qu’est le ransomware où on vous réclame une forte somme contre la libération de votre compte en ligne soudainement devenu la possession des pirates de l’Internet.

À l’origine, l’expatriation volontaire des ses actifs informationnels

En envoyant ses données personnelles, professionnelles et corporatives dans le sacro-saint nuage, le potentiel de vraisemblance d’une usurpation d’identité ayant pour conséquence le verrouillage du compte utilisateur (ou corporatif) – clé pour demander une rançon – s’est accru grandement.

Depuis plusieurs années, la majorité – guidée par l’apostolat infonuagique – a cru dans son intérêt d’expatrier ses ressources informationnelles (code source, documents, entreprise en entier parfois) afin de  couper sur les coûts d’exploitation lié à la gestion et à l’administration de ses services et serveurs. Délaissant ainsi l’infrastructure classique auto-gérée pour une infrastructure en nuage, plus à la mode et prometteuse de souplesse et de sécurité, force est de croire que ce comportement a sa conséquence monétaire alors que l’on sait que le seul frein au déchiffrement d’un mot de passe complexe est le temps et la stratégie de sécurité applicable aux mots de passe.

Se sentir protégé

Difficile alors de ressentir ce sentiment de protection alors que les données sont dilapidées dans une multitude de services sur une pléthore de serveurs gérés par des robots contrôlés par des humains qui ne vous sont ni familier ni proche et que vous n’avez probablement pas embauché selon quelconque critère sauf – essentiellement – pour le plus bas coût d’opération.

Qu’adviendrait-il cependant si la manifestation des attaques par rançon n’étaient que la pointe de l’Iceberg et qu’en fait, les données soient déjà accessibles par des tiers non autorisés sans pour autant que ces derniers aient verrouillé l’accessibilité aux dites données ?

Vous sentez-vous en sécurité ?

Pourquoi je n’ai rien à craindre

En choisissant délibérément de gérer et de maintenir mon infrastructure, donc mes serveurs, mes services, dans l’emplacement physique auquel j’ai accès, en ayant mes propres sauvegardes et mes moyens d’intervenir physiquement sur les serveurs, je suis protégé.

D’abord parce que je contrôle l’accès à tout. Je peux faire passer ma politique de sécurité en mode parano, ce qui bloque à peu près tout ce qui n’a pas affaire sur mes serveurs. Donc je choisis qui j’accepte. Mes services et mes serveurs sont privés et je suis rassuré que mon infrastructure ne devienne pas un bar ouvert pour toute la planète.

Ensuite, je gère ainsi mon patrimoine numérique et mes actifs informationnels. J’ai accès aux disques durs. Difficile alors de me faire avaler une rançon pour récupérer mes données.

Finalement, je gère mon propre pare-feu. Parfois quand j’ai du temps je m’assois et je regarde les journaux de blocage. En vérifiant des adresses qui ont tentées de s’introduire j’ai déjà envoyé une mise en demeure pour un expéditeur de la rive-sud de Montréal. Oui, c’est amusant, parfois !

Enfin, au fil du temps, j’ai même construit une liste d’adresses bloquées assez volumineuse et qui met en lumière certains botnets, ces réseaux d’ordinateurs corrompus qui travaillent jour et nuit à tenter de prendre possession de vos systèmes et de vos comptes en frontal sur Internet. Quand j’ai du temps, je recoupe ces informations et j’utilise le Big Data pour mettre en lumière certaines tendances.

Conclusion

Alors voilà, je me sens en sécurité car je vois ce qui se passe sur mon réseau et que je sais que j’en ai le contrôle. Pouvez-vous en dire autant de vos services ?

Pour en savoir plus sur l’établissement de votre propre infrastructure privée et connaître une façon de vous protéger contre le vecteur d’attaque du siècle, contactez-moi !

Réflexion sur la hiérarchie – en général

Je viens de découvrir – en fait d’apprendre – ce qu’on appelle le Principe de Peter. Principe qui dit, grosso-modo que, « dans une hiérarchie, tout employé a tendance à s’élever à son niveau d’incompétence » et que, « avec le temps, tout poste sera occupé par un employé incapable d’en assumer la responsabilité. ».

Le principe de Peter

Pour dire les choses autrement, tout employé dans une hiérarchie aura statistiquement tendance à se rapprocher de son incompétence. Sans viser personne je ne peux que me remémorer mon récent départ du dernier emploi occupé.

On caractérise un hiérarque de la façon suivante. Les hiérarques, quand ils sont devenus réellement incompétents, se complaisent à fréquenter des réunions, colloques, séminaires, symposiums, conférence … Le corps des hiérarques peut alors entrer en « lévitation » sous le nom de « sommet volant ».

En résumé, on ne peut déboulonner un hiérarque incompétent pour les raisons suivantes :

  • Seul un hiérarque peut le faire ;
    • s’il le fait, il se déjuge et admet son incompétence à discerner le personnel compétent ;
      • mais on peut toujours déplacer la sous hiérarchie que constitue le personnel sous ses ordres (ça devient compliqué) ;
        • le hiérarque reste ainsi seul à la tête d’une pyramide sans base, sur son « sommet volant ».

La défoliation hiérarchique – le plus intéressant à mon avis

Peter remarque que la compétence, chez les employés d’une organisation, se répartit selon une loi normale :

  • 10 % d’employés super-incompétents.
  • 20 % d’employés incompétents ;
  • 40 % d’employés modérément compétents ;
  • 20 % d’employés compétents ;
  • 10 % d’employés super-compétents ;

Peter observe que les 80 % au centre de la courbe restent au sein de la hiérarchie, mais pas les 20 % aux extrêmes, c’est la « défoliation hiérarchique ». Si le renvoi des 10 % super-incompétents semble évident, celui des 10 % super-compétents n’en est pas moins logique :

  • La super-compétence est plus redoutable que l’incompétence, en cela qu’un super-compétent outrepasse ses fonctions et bouleverse ainsi la hiérarchie. Elle déroge au premier commandement : « La hiérarchie doit se maintenir ».

Pour qu’un super-compétent soit renvoyé, deux séries d’événements doivent se produire :

  • la hiérarchie le harcèle au point de l’empêcher de produire ;
  • il n’obéit pas aux principes de « respect de la hiérarchie ».

Ma compréhension

J’ai expérimenté ce principe et j’en valide l’existence. Lors de mon dernier emploi j’ai fait preuve d’une grande compétence et j’ai livré. Cependant on a tenté de me ralentir, on m’a demandé de ralentir, on m’a collé des tâches de singe et j’ai eu l’impression qu’on me ralentissait. J’ai donc vécu La hierarchie le harcèle au point de l’empêcher de produire, je m’en suis plaint à l’époque (réunionite, encula*e de mouche sur différents sujets, remise en question de mon travail, ralentissement de ma productivité pour satisfaire le supérieur immédiat) et j’en passe (dévalorisation, baillonnage, montrer la porte … ).

Par ailleurs, je n’ai pas, non plus, obéi aux principes du respect de la hiérarchie. Comment un être que l’on étouffe pourrait-il consentir à se laisser étrangler alors qu’il ne demande que plus d’air pour respirer ? J’aimais tant rendre compte au V-P de la direction technologique et à son assistant que j’en ai oublié qu’il y avait, entre eux et moi, un intermédiaire incompétent. Dommage.

Alors voilà. J’ai pris du temps avant de faire ce retour sur l’événement. Je crois avoir été victime du Principe de Peter. Par extension, l’entreprise pour qui je me suis dédié et dévoué, aussi. Triste, parce que mon amour du travail et de l’entreprise étaient réels et que j’acceptais – tout en me sentant injustement dévalorisé – de continuer l’aventure. Il semble que ce fut un mal pour un bien.

Espérons que tous pourront apprendre de cela.

Source: [https://fr.wikipedia.org/wiki/Principe_de_Peter]

Nouvelle perspective de carrière avec les mesures d’Emploi-Québec

Hier, j’ai eu ma première séance d’information subventionnée par Emploi-Québec au Groupe Saint-Denis, un organisme d’aide à l’emploi dans Rosemont.

L’accueil est impeccable et l’approche personnalisée du Groupe Saint-Denis est tout à fait adaptée à mes démarches actuelles.

Je ne savais pas que …

Saviez-vous qu’il existe des programmes de formation pour les citoyens qui sont prestataires en assurance-emploi ?

Effectivement, le Gouvernement du Québec subventionne certains programmes de formation pour permettre aux individus sans emploi de se doter de nouvelles compétences pour augmenter leurs chances de succès d’un retour positif sur le marché de l’emploi.

Je vous annonce donc, ici là maintenant, que j’ai l’intention de m’aligner pour une de ces formation en vue de devenir programmeur de jeux vidéos ! Ô motivation !

Avec la venue de la réalité virtuelle et augmentée, la vision robotique et toutes ces choses connectés, je suis d’avis que le jeu vidéo est une discipline au cœur du développement de ces technologies. Je crois donc qu’en me formant dans ce domaine, j’aurai accès à des emploi de qualité dans ce qui m’intéresse vraiment : le développement d’applications de réalité augmenté, les mondes tridimensionnels … l’interface d’accès Internet dans Johnny Mnemonic.

Entreprendre – Du rêve à la réalité

Entreprendre nécessite de la préparation, de la vision et de l’aide. Aussi beaucoup de travail et d’efforts, ça va de soi.

C’est se dédier – soi et chaque moment de sa vie – à son entreprise, pour la faire fonctionner et pour que ça en vaille la peine.

Depuis deux semaines je m’affaire au démarrage de mon entreprise individuelle, car je crois en mon potentiel et à ce que je peux offrir aux autres (entreprises, particuliers).

Cependant, je dois m’arrêter ici dans ce processus. Mon projet n’est pas viable financièrement et je ne pourrai pas me dédier à temps complet à mon entreprise sans impacter dangereusement ma qualité de vie et celle de ma famille.

Je vous explique pourquoi.

Préparation et vision

On le sait, il faut déjà une bonne dose de créativité pour démarrer son entreprise, chercher des clients, être à jour technologiquement et se garantir des heures de travail rémunérées. C’est le nerf de la guerre !

Assurrabilité et aide

On le sait aussi, rien n’est assuré lorsqu’on démarre son entreprise et le tiers (1/3) des nouvelles entreprises survivent après un an en activité. Le chiffre n’est pas fort.

L’aide existe peu, peut-être est-ce que le contexte économique mondial défavorable n’aide pas ? J’aurais espéré pouvoir obtenir de l’aide pour démarrer mon entreprise mais je n’y suis pas admissible.

Assurance-emploi

Ma naïveté légendaire a encore reçu un revers alors qu’il me paraissait logique, d’un point de vue d’entrepreneur, que je pouvais recevoir des allocations d’assurance-emploi (l’A-E, au Canada, est prélevé sur toutes les paies de travailleurs) étant donné que je contribue à cette caisse depuis des années sans avoir pu en retirer des bénéfices. J’ai en effet perdu mon emploi le 6 avril.

Or voilà, mon plan de match n’était pas réaliste. Essentiellement, l’A-E existe pour aider un travailleur quittant un travail assuré (pour lequel de l’A-E a été payé) vers un autre travail assuré, sans quoi le particulier n’est pas admissible aux prestations.

J’ai cru qu’il existant quelque chose comme des mesures pour stimuler l’entrepreneuriat dans le programme de l’assurance-emploi, quelque chose qui me permettrait de démarrer mon entreprise en recevant des montants de l’A-E pour lesquels j’ai payé par le passé et qui pourraient m’aider à bien démarrer mon entreprise, le temps de faire assez de gains.

J’ai vraiment cru que l’aide aurait pu m’être offerte et qu’elle aurait logiquement diminuée à mesure que mes entrées d’argent d’entreprise augmenteraient. Je visais quand même une bonne rentabilité à court terme et je croyais vraiment la chose possible étant donné mes ressources.

Désillusion

Comprenez que la nouvelle a été difficile à prendre. D’abord j’ai été honnête dans mon entrevue avec l’A-E. J’ai donc dit que j’étais travailleur autonome et que je comptais faire de mon entreprise mon activité à temps plein.

Il n’est pas possible d’être actif à temps complet pour son entreprise alors que le critère #1 de l’A-E est d’être disponible pour travailler à temps plein et d’être en recherche d’emploi active. Désillusion totale sur mes plans professionnels à court terme. Trouver du travail pour son entreprise n’est pas assurable !

Désillusion car le plan tel qu’anticipé ne pourra pas se réaliser sans aide financière et pour cette aide je comptais sur ces prestations.

La suite des choses – Comment entreprendre alors ?

Je prends donc la décision de cesser le développement de mon entreprise pour le moment et je l’annonce publiquement. Les dernières semaines m’ont permis de mettre à jour mes connaissances et de mettre à niveau mon infrastructure domestique et ma vitrine publique. J’en ai aussi profité pour me remettre dans le bain de l’entrepreneuriat, ce qui m’a fait du bien.

Cependant, mon plan d’affaires partait d’une aide qui ne viendrait pas.

Lorsque je me questionne sur comment entreprendre ? j’en viens à la réflexion que le meilleur moyen est de se constituer un fond de démarrage personnel. Ça veux dire, p.ex. qu’au lieu de mettre 50 $ / 2 semaines dans un fond de retraite, le déposer dans un compte de rendement élevé pour constituer le fond de démarrage de l’entreprise. Comme ça au bout de 5 ou 10 ans il devrait être possible de démarrer et d’être financièrement capable de supporter toutes les charges financières nécessaires pour vivre et démarrer son entreprise.

Conclusion

Il serait facile pour moi de dire que là où j’ai failli est de recevoir de l’aide mais je me suis plutôt planté à la phase de préparation. J’ai cru que je pouvais recevoir de l’aide (prestations d’A-E) et j’ai pris ça comme tel pour organiser mon plan d’affaires. Erreur !

Dans les faits, j’ai remis à jour mon entreprise individuelle mais je dois me rendre compte que j’en suis encore au stade de pré-démarrage et que je ne peux pas me lancer en affaires activement pour en faire mon activité principale.

Pour se partir en affaires et qu’on part de rien (pas de $), il faut :

  • Avoir constitué un fond de démarrage permettant de se faire vivre au minimum quatre (4) mois;
  • Avoir développé la base de son entreprise lorsqu’on s’affairait à un autre travail à temps plein, soit mettre de l’énergie sur le développement du projet d’entreprise les soirs et les fins de semaine alors qu’on est employé.

Il va sans dire que, pour entreprendre il faut : Une vision, une bonne préparation, beaucoup de travail, de la persévérance et … s’aider par soi-même , bien souvent !

Tout un apprentissage. Je suis quand même content. J’ai pu, avec ma prime de départ de mon dernier emploi, passer du temps à mettre à jour les différentes composantes de mon travail autonome. J’appelle ça s’actualiser.

Je m’imagine que ces efforts vont me permettre de me trouver un bon emploi à temps complet dans les plus brefs délais, comme ça je pourrai commencer à me constituer ce fond de démarrage qui me sera nécessaire pour la suite s’il en est une.

Systèmes embarqués, Raspberry Pi 3, bidouillage et domotique

Engouement !

Récemment j’ai eu la chance de développer du logiciel embarqué pour le Raspberry Pi. Ce petit appareil prometteur unique en son genre est une petite merveille à apprivoiser !

C’est pour cette raison justement que j’ai décidé de me replonger dans l’étude de la programmation audio / vidéo sur cette plate-forme, plus spécifiquement pour tirer avantage du GPU OpenMAX. Le livre de Jan Newmarch me semble tout désigné pour la besogne !

De plus, je fais l’acquisition d’un Raspberry Pi 3 d’un fournisseur qui m’en donne plus que le module de base. Transistors et plaquette de développement électronique, je crois qu’avec ma plate-forme de développement ATMEL STK500 je pourrai me mettre au développement de périphériques prometteurs.

Le Pi peut aussi être équipé d’un écran tactile maintenant et il existe des adaptateurs muraux.

Je sens soudainement l’engouement pour le développement de solutions domotique remarquables. À suivre dans les prochaines semaines !

Let’s Encrypt / EFF

La Electronic Frontier Foundation (EFF) défend les libertés civiles dans le cyberespace. Dans mon cas, cela signifie un accès technologique protégé sans avoir à débourser des sommes imposantes. En somme, je suis libre de sécuriser mes services, moyennant une certaine expertise.

C’est l’EFF qui supporte le projet Let’s Encrypt et son outil certbot.

Cette technologie permet, sans frais, moyennant des connaissances en certification et en administration de systèmes et de réseau, de se prévaloir de certificats SSL pour les domaines utilisés.

Il y a deux choses à faire attention :

  1. Les certificats sont de courte durée et doivent être renouvelés (automatiquement ou manuellement en fonction de votre configuration);
  2. Les certificats passe-partout ne sont pas acceptés (p.ex. : *.domaine.quebec)

Certbot est nécessaire afin d’établir la chaîne de confiance (trust chain) entre le requérant (le nom de domaine pour qui le certificat est émis) et l’infrastructure de sécurité. Un coup l’identité du requérant validée certbot va remettre le certificat et la clé privée à l’utilisateur.

Les certificats seront ordonnés dans le répertoire /etc/letsencrypt/live/.

Niveau technique requis : 4/5 – Avancé

Protection des Internets !

Vuurmuur

Un pare-feu Open-Source avec interface Curses pour une belle apparence en ligne de commande. Ce logiciel vient se placer par-dessus iptables et permet l’interopérabilité avec psad, le détecteur d’attaques sur les ports d’un réseau.

J’utilise ces technologies entre mon infrastructure et le modem de mon fournisseur d’accès Internet. Je peux ainsi filtrer et observer ce qui entre et sort du réseau. Que de surprises de voir tous ces paquets bloqués !

PSAD

Ce logiciel permet d’utiliser un ensemble de règles SNORT pour bloquer des adresses IP qui tentent de s’introduire sur le réseau.

Niveau technique requis : 5/5 – Expert.

MikroTik

Solutions réseau de grande qualité à petit prix ! Attention, petit prix est relatif au marché des télécoms.

Compagnie européenne (Europe de l’est), MikroTik développe des solutions réseau depuis 1996 et ont des revendeurs partout dans le monde.

Leur système de réseautique intégré comporte aussi un système d’exploitation, RouterOS, permettant la connectivité aux équipements et la configuration centralisée.

Les périphériques disponible permettent des architectures complexes et le point de configuration central en fait une solution d’entreprise intéressante.

Le système d’exploitation est RouterOS et est disponible (licences).

Protéger ses mots de passe et ceux de ses clients dans son nuage

Ce qui me fascine dans la technologie, c’est que pour y accéder nous avons besoin de nous souvenir de un (plusieurs) couple-s utilisateur / mot de passe. Dans le temps, la quantité des mots de passe à entreposer ne peut qu’augmenter. De nombreuses solutions dans le nuage sont offertes, cependant qu’en est-il des solutions d’entreprise ?

J’ai décidé de ressortir mon SFLVault.

SFLVault*

http://sflvault.org/

 

 

 

C’est une voûte sécurisée et un gestionnaire d’authentification.

Donc, ça permet l’entreposage de mots de passe, l’ordonnancement en groupes de sécurité, la gestion d’identités et la connexion à des services clients depuis le logiciel.

C’est un outil de travail idéal pour vous rendre plus efficace lors de vos connexions en SSH. Attention, le mot de passe principal devient votre seule clé pour accéder à la voute. Ce mot de passe devrait aller dans un coffre-fort (à la banque p.ex.).

Avec cette voute sécurisée je peux maintenant entreposer mes mots de passe, ceux de mes clients et de ma famille dans une voute sécurisée sans dépendre de services tiers.

En prime, je peux me connecter plus rapidement aux serveurs avec la technologie d’authentification de SFLvault tel qu’illustré ci-dessous.

Connexion à un service avec SFLvault

Attention : Il n’est pas permis d’utiliser des caractères accentués dans la voute !

  • : Le produit n’est plus maintenu et doit être utilisé avec précautions.

FreeMind

Ordonner ses idées, quel défi de taille !

Aujourd’hui j’ai reçu des demandes particulières et pour parvenir à servir le client je me dois de faire des débours dans des logiciels spécialisés. Non seulement des programmes sont requis, mais du matériel en plus, pour être efficace.

Du coup j’ai eu l’impression de me retrouver face à un arbre de choix, un peu comme on a dans les jeux vidéos des stratégie, où il faut choisir la voie à prendre – à savoir quel investissement on choisira.

Alors pour m’aider, j’utilise un logiciel spécialisé et Open Source, FreeMind, qui me permet de dresser des cartes mentales. Ainsi, je vais pouvoir organiser mes affaires pour investir là où ça devient important, outre cela je vais aussi pouvoir cartographier les relations entre composantes, programmes et licences diverses qu’il faut obtenir pour pratiquer le métier.