Overblog
Suivre ce blog
Administration Créer mon blog
12 octobre 2015 1 12 /10 /octobre /2015 15:42
Invalidation du « safe harbor »

Par une décision du 6 octobre 2015, la CJUE a invalidé la décision par laquelle la Commission européenne avait constaté que les États-Unis assurent un niveau de protection suffisant des données à caractère personnel européennes transférées. Cet arrêt est majeur pour la protection des données.

Le transfert de données à caractère personnel vers un pays tiers à l’Union européenne est, en principe, interdit, sauf si le pays de destination assure un niveau de protection suffisant (ou « adéquat ») des données personnelles. La Commission européenne peut constater qu’un Etat n’appartenant pas à l’Union assure un tel niveau de protection. C’est ce qu’elle a fait, pour les Etats-Unis, à propos de la « sphère de sécurité » (« safe harbor ») par une décision du 26 juillet 2000.

Saisie dans le cadre d’une question préjudicielle, la Cour de Justice de l’Union européenne (CJUE) a jugé que, pour se prononcer sur le niveau de protection assuré par la « sphère de sécurité », la Commission européenne ne pouvait se limiter à la seule analyse de ce régime, mais devait apprécier si les Etats-Unis assuraient effectivement, par leur législation ou leurs engagements internationaux, « un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu de la directive lue à la lumière de la Charte ».

Sur le fond, la CJUE a relevé que les autorités publiques américaines peuvent accéder de manière massive et indifférenciée aux données ainsi transférées, sans assurer de protection juridique efficace aux personnes concernées. Au regard de la hiérarchie des normes, les entreprises américaines sont en effet tenues de se soumettre aux législations américaines d’ordre public et doivent, par suite, écarter « sans limitation » l’application des clauses du « safe harbor » qui leur seraient contraires. La CNIL avait déjà, y compris avec ses homologues du G29, attiré l’attention depuis plusieurs années sur la situation créée par la législation américaine et sur le caractère disproportionné d’une collecte massive et indifférenciée de données. Elle avait également attiré l’attention, dans ce contexte, sur les insuffisances du « safe harbor ».

Constatant que la Commission n’a pas recherché si les Etats-Unis « assurent » effectivement une protection adéquate, la Cour prononce ainsi l’invalidation de la décision d’adéquation.

En termes de procédure, la Cour a également jugé que, même en présence d’une décision de la Commission européenne reconnaissant le caractère adéquat de la protection, les autorités nationales de protection des données (telles que la CNIL) doivent pouvoir examiner en toute indépendance si le transfert des données d’une personne vers un pays tiers respecte les exigences posées par la directive. Elle en a déduit qu’une autorité nationale devait pouvoir, en cas de doute sur la validité d’une décision d’adéquation de la Commission, saisir les juridictions nationales pour que celles-ci puissent, le cas échéant, renvoyer l’affaire devant la Cour de justice. A cet égard, la décision de la Commission européenne invalidée ne pouvait priver les autorités de contrôle d’une telle possibilité.

Concrètement, l’invalidation de la décision de la Commission européenne qui reconnaissait l’adéquation du « safe harbor » pose donc la question du niveau de protection des données personnelles transférées aux Etats-Unis. Les autorités de protection des données devront examiner la validité des transferts qui leur sont soumis, en tenant compte du fait que la situation américaine n’est pas « adéquate ».

La CNIL va prochainement rencontrer ses homologues au sein du G29 afin de déterminer précisément les conséquences juridiques et opérationnelles de cet arrêt sur l’ensemble des transferts intervenus dans le cadre du « safe harbor ».

Source : CNIL

Published by cnl - dans Actualités
commenter cet article
26 mai 2015 2 26 /05 /mai /2015 12:23
R intégré  au sein de SQL Server 2016

Le langage de programmation R sera présent au cœur de SQL Server 2016. De quoi attirer les data scientists vers cette plate-forme.

Alors que, fin janvier, Microsoft annonçait l’acquisition de Revolution Analytics (spécialiste du langage de programmation R), les annonces autour de cette technologie ne se seront pas fait attendre. « SQL Server 2016 (qui sera accessible en version publique de test cet été) comprendra de nouvelles fonctions d’analyse en temps réel, le chiffrement automatique des données et la possibilité d’exécuter R au sein de la base de données elle-même », explique ainsi David Smith sur le blog de Revolution Analytics.

« Les data scientists n’auront plus besoin d’extraire les données d’un serveur SQL via ODBC pour les analyser avec R. Au lieu de cela, Ils seront en mesure d’amener le code R au cœur des données, où il sera exécuté dans un processus de SQL Server lui-même. Ceci élimine le temps et le stockage nécessaire pour déplacer les données, et offre toute la puissance de R et des packages CRAN dans la base de données. »

R, la nouvelle star des data scientists

R est un outil Open Source de traitement des données, spécialisé dans les analyses statistiques. Des caractéristiques qui lui valent une popularité croissante au sein de la communauté des data scientists. L’acquisition de Revolution Analytics et l’inclusion de R au sein de SQL Server 2016 sont donc des avancées clés pour Microsoft sur le terrain du Big Data analytique. La firme n’est toutefois pas seule dans ce secteur. Elle a en effet été précédée par Oracle, qui a déployé très tôt R dans ses offres.

Source Silicon

Published by cnl
commenter cet article
2 septembre 2014 2 02 /09 /septembre /2014 15:47
Pilotage des SI de l’État : La DISIC prend la main

À la faveur de l’été, un décret retire aux ministères leur autorité sur les infrastructures IT, pour la confier au Premier ministre, sous l’autorité duquel est placée la DISIC. Objectif : accélérer sur la mise en œuvre du plan d’économies.

Jacques Marzin, le DSI de l’État (son titre officiel est directeur de la DISIC, la Direction Interministérielle des Systèmes d’Information et de Communication) a vu ses prérogatives étendues dans le courant de l’été. Rappelons que la DISIC pilote les chantiers de mutualisation de l’informatique de l’État, des chantiers qui doivent permettre d’économiser entre 25 et 40 % sur les coûts en prestations, matériels, logiciels, réseaux et télécoms. Soit un total de 2 milliards d’euros par an de dépenses aujourd’hui.

Pour mener à bien ce chantier, un décret paru au Journal Officiel du 6 août (2014-879) place sous l’autorité directe du Premier ministre – dont dépend la DISIC – les infrastructures informatiques, les réseaux de communication ainsi que les applications partagées (« services numériques d’usage partagés » et « systèmes d’informations relatifs à des fonctions transversales des administrations de l’État » en jargon administratif). Autrement dit, et même si un arrêté atténue la portée du décret, la DISIC va récupérer le pilotage de la production informatique et des systèmes de communication. Une responsabilité directe dont la DISIC disait avoir besoin pour parvenir rapidement à des résultats sur les chantiers de mutualisation (déploiement du réseau interministériel de l’État, mutualisation des datacenters…).

Un conseil pour discuter des grandes orientations

Le directeur de la DISIC gagne également un droit de regard sur les plans d’investissement des différents ministères et, même, la capacité à émettre un avis sur les projets ministériels dépassant un certain budget. Ce seuil doit être fixé par arrêté du Premier ministre et du ministre du Budget.

En contrepartie, les ministères obtiennent la création d’un nouvel organe de consultation, le conseil du système d’information et de communication de l’État, qui réunira les secrétaires généraux des ministères, le DSI de la Défense, le directeur de l’Anssi, le directeur du budget et le directeur des achats de l’État notamment. Présidé par Jacques Marzin, ce conseil discutera des grandes orientations en matière d’évolution des SI, notamment sur les chantiers de mutualisation.

Ce pilotage réunifié peut être interprété tant comme la volonté de l’État d’accélérer la mise en place d’infrastructures mutualisées entre les différents ministères (hors des systèmes utilisés pour des besoins spécifiques comme ceux renfermant des informations classifiées) que comme une conséquence des errements constatés sur les projets Chorus (progiciel comptable de l’État, aujourd’hui en production auprès de 53 000 utilisateurs) et surtout ONP (Opérateur National de Paie, projet de mutualisation des RH arrêté en mars dernier suite à un rapport de Jacques Marzin). Des projets qui ont montré la difficulté de coordonner une organisation interministérielle (l’AIFE pour Chorus et l’ONP pour le projet éponyme) avec les différents ministères.

Source : Silicon

Published by cnl
commenter cet article
4 juillet 2014 5 04 /07 /juillet /2014 09:09
Le RGS version 2.0

Référentiel destiné à sécuriser les échanges électroniques de la sphère publique, le RGS vise à élever le niveau de sécurité des systèmes d’information et à protéger le patrimoine informationnel des autorités administratives, en particulier les données confiées par les citoyens.
Quatre ans après la publication initiale du RGS, cette nouvelle version vise à actualiser le référentiel tout en le rendant plus facile d’accès. Elle prend en compte l’évolution rapide de la menace cyber ainsi que les nouvelles normes européennes et internationales tout en intégrant les retours d’expérience des utilisateurs et en proposant de nouveaux services labellisés.
L’ANSSI invite les autorités administratives, les opérateurs d’importance vitale et d’une manière générale l’ensemble des acteurs économiques à utiliser des produits de sécurité et des prestataires de service de confiance qualifiés, c’est-à-dire qui offrent un niveau de confiance vérifié par l’administration.

Voir : http://www.ssi.gouv.fr/fr/reglementation-ssi/referentiel-general-de-securite/

Source : OZSSI-ZDN

Published by cnl
commenter cet article
28 avril 2014 1 28 /04 /avril /2014 07:40
Blanc-seing européen pour le Cloud de Microsoft

C’est une première. Un grand fournisseur de Cloud américain, Microsoft, obtient l’approbation des CNIL d’Europe. Un passeport qui permettra aux entreprises de déplacer leurs données librement au sein du Cloud du premier éditeur mondial.

Les services Cloud de Microsoft, à savoir Azure, Office 365, Dynamics CRM et Intune, sont conformes aux exigences européennes en matière de respect de la vie privée, selon le groupement des autorités européennes de protection des données. « Microsoft est la première – et pour l’instant la seule – entreprise à avoir reçu cette approbation », se réjouit Brad Smith, le directeur juridique de Microsoft. Dans une lettre signée d’Isabelle Falque-Pierrotin – la présidente de la CNIL française -, l’Europe explique à Microsoft que la nouvelle version de ses conditions générales – ce qui laisse supposer que Redmond a dû y apporter des aménagements – est en ligne avec ses attentes.

Pour une entreprise, ce blanc-seing accordé par les CNIL européennes se traduit par la possibilité de déplacer librement les données hors d’Europe au sein du Cloud de Microsoft. « Cette approbation est particulièrement significative étant donné le haut niveau de protection de la vie privée qu’instaure la directive européenne sur les données personnelles », écrit Brad Smith.

Valable pour tous les datacenters de Microsoft

Et le directeur juridique du premier éditeur mondial d’énumérer les 3 bénéfices clefs pour les entreprises clientes d’Azure ou de Office 365. Primo, elles n’ont pas à redouter une suspension de l’accord Safe Harbor, qui autorise les transferts de données depuis l’Europe vers les Etats-Unis après certification des entreprises concernées. Rappelons que, suite aux révélations d’Edward Snowden sur les programmes d’espionnage de la NSA, le Parlement européen a menacé de suspendre cet accord. Secundo, Brad Smith explique que l’approbation que vient d’obtenir Microsoft ne se limite pas aux transferts depuis l’Europe vers les Etats-Unis, mais s’étend à tous les datacenters de la firme (par exemple en Asie). Tertio, Microsoft va aussi devoir conserver cet agrément, donc maintenir les mesures déployées « afin d’assurer que nous sommes en conformité tant techniquement que sur le plan opérationnel avec les obligations très strictes de nos engagements contractuels ».

Microsoft explique que les entreprises devront signer un addendum à leur contrat afin de bénéficier de la couverture juridique provenant de l’approbation des CNIL européennes. Un processus qui démarrera le 1er juillet et qui restera « simple », promet Redmond.

Pour Microsoft, cette bonne note obtenue à Bruxelles apparaît comme une bonne nouvelle à l’heure où les fournisseurs américains de services Cloud font face à la suspicion des DSI en raison de leur implication supposée dans les écoutes de la NSA. Par ailleurs, le grand rival de Redmond, Google, affronte lui le courroux des CNIL européennes (le G29, qui fédère les autorités de protection de la vie privée des pays membres de l’UE).

Source : Silicon

Published by cnl - dans Actualités
commenter cet article
11 mars 2014 2 11 /03 /mars /2014 07:56

L'Opérateur National de Paye devait gérer la paye de 2,5 millions d'agents de l'État dès 2017. Mais le gouvernement a confirmé lundi l'abandon du projet, plombé par des retards et une facture incontrôlable. 

Le couperet est tombé. Après avoir investi des centaines de millions d'euros depuis 2007, l'État a décidé d'arrêter purement et simplement le projet Opérateur national de paye (ONP). Le cabinet du ministère du Budget l'a annoncé mardi 4 février aux 500 personnes mobilisées à temps plein sur le dossier et l'information a été confirmée lundi 10 février par le gouvernement.

L'ONP devait gérer les fiches de paye de 2,5 millions d'agents de l'État à partir de 2017. L'essentiel de ses objectifs va être abandonné: il n'y aura pas d'"Opérateur national de paye" commun à tous les ministères. Chacun conservera son propre système informatique de gestion des ressources humaines et seuls quelques travaux de "modernisation" de la chaîne de paye seront poursuivis.

Un héritage difficile

La création du "super calculateur" ONP a été décidée en mai 2007. Objectif: réaliser 190 millions d'euros d'économies par an une fois le chantier bouclé, notamment en supprimant 3800 postes affectés à la gestion de la paye dans les différents ministères. Sauf qu'il s'est heurté à la dure réalité: retards, explosion des coûts au fil des ans... Mettre en œuvre les opérations s'est avéré beaucoup plus difficile que prévu. 

Le gouvernement actuel a donc décidé de se débarrasser purement et simplement de cet héritage embarrassant, renonçant en même temps aux économies espérées. "L'ambiance à l'ONP est forcément morose, mais la décision n'a pas été une surprise", commente un fonctionnaire impliqué dans le projet sous couvert d'anonymat.

Les raisons de l'abandon du projet

Le gouvernement base sa décision sur un rapport sur l'ONP remis par le directeur de la DISIC (Direction interministérielle des systèmes d'information et de communication) en janvier dernier. Contacté par L'Express ce lundi, le ministère du Budget précise que ce rapport ne devrait pas être rendu public. Il affirme tout de même que ses conclusions étaient "nettes" et cite trois principales raisons à l'arrêt de l'ONP:

  1. Le coût du projet atteignait déjà 235 millions d'euros (290 en comptant les frais de personnel). Et "on estimait qu'il aurait fallu encore 60 millions d'euros par an sur 10 années pour arriver au bout du projet", explique-t-on à Bercy, qui préfère donc économiser 600 millions d'euros en se passant de cette dépense.
  2. L'approche globale des opérations initiées en 2007 "manquait de finesse, de précision et de réalisme". Le gouvernement dit vouloir aujourd'hui réfléchir à des chantiers "moins pharaoniques" mais plus efficaces.
  3. La paye des agents de l'État ne doit faire l'objet d'aucune prise de risque.

N'aurait-il pas été possible de sauver le projet en réduisant le nombre de régimes indemnitaires au sein de la fonction publique (1850 actuellement)? "Un logiciel doit s'adapter à la loi, pas la faire évoluer. Ça s'appelle l'intérêt général", rétorque-t-on au ministère du Budget.

Le précédent Louvois

L'exemple de Louvois, un autre logiciel de paye cette fois destiné aux seuls militaires et abandonné à l'automne 2013, a probablement pesé à l'heure du choix. Le ministre de la Défense avait été contraint d'enterrer ce système face à un "désastre" (salaires non versés, trop-perçus, retards...).

L'échec de ces deux superlogiciels souligne l'ampleur de la tâche quand il s'agit de moderniser l'action publique. Une ambition chère à Nicolas Sarkozy comme à François Hollande à l'heure de tailler dans les dépenses, mais qui tient souvent du casse-tête chinois au moment de passer aux actes.

Source : L’Express

ONP

ONP

Published by cnl - dans Actualités
commenter cet article
6 mars 2014 4 06 /03 /mars /2014 08:26

Marzin.jpgEntretien d’un journaliste de CIO avec Jacques Marzin, directeur de la DISIC (Direction interministérielle des systèmes d'information et de communication), sur la publication de la dernière version du SILL émettant des recommandations sur l'usage des logiciels libres au sein des ministères.


La DISIC (Direction interministérielle des systèmes d'information et de communication) a publié la nouvelle version du SILL la dernière semaine de février 2014. De quoi s'agit-il exactement ?

Le SILL est le Socle Interministériel de Logiciels Libres. Il est issu des travaux d'un réseau d'experts interministériel animé par Jean-Séverin Lair, le DSI du Ministère de la Culture, pour le compte de la DISIC. Une première version du SILL a été présentée en juin 2013. Elle était issue du groupe de travail MIMO (Mutualisation interministérielle pour une bureautique ouverte). Elle ne concernait que la bureautique et présentait plusieurs produits recommandés par fonction.

La deuxième version qui vient de sortir, disponible sur notre site, met à jour cette première publication en ajoutant les domaines de la gestion de parc, des bases de données et du développement en favorisant la logique d'urbanisation voulue par la DISIC.

En quelle mesure le SILL est-il impératif pour les ministères et les administrations ?

Nous parlons bien de recommandations. Chaque DSI de ministère est libre d'utiliser les outils qu'il sélectionne. Chaque ministre est responsable du système d'information de son ministère. Avec cette version, nous passons d'un catalogue étendu à un catalogue resserré d’un produit en une version pour une fonction.

Ceci dit, l'idée est bien de recommander de manière de plus en plus forte. Par exemple, chaque préfet a reçu des instructions concernant la généralisation de l'usage de Libre Office dans les directions départementales interministérielles. Au-delà de cet exemple, nous ne pouvons pas imposer ces choix notamment parce que cela nous obligerait alors à suivre et accompagner chaque administration, ce dont nous n'avons pas les moyens aujourd'hui.

Cependant, nous mettons en place des indicateurs sur l'usage réel des logiciels libres dans les administrations. Certains d'entre eux causent autant de débats que les indicateurs de coût complet.

Avez-vous constaté des avantages dans le choix des logiciels libres ?

La DISIC est agnostique en la matière. Nous incitons les ministères à étudier l'option du libre au cas par cas, dans l'esprit de la circulaire du Premier Ministre. Celle-ci indique bien que les logiciels libres doivent être pris en compte à égalité avec les autres solutions. Toutes doivent être examinées. Ni plus, ni moins.

Je n'ai pas de difficulté à justifier le recours à des outils comme la base de données PostgreSQL ou l'atelier Eclipse. C'est plus compliqué pour la bureautique.

En fait, le vrai problème réside dans la gestion du changement. Migrer du logiciel propriétaire au logiciel libre, tout comme l'inverse d'ailleurs, est compliqué. Pour l'utilisateur, le pire produit reste celui qu'il ne connaît pas.

En quelle mesure de telles recommandations sont-elles compatibles avec le Code des Marchés Publics qui oblige à ouvrir les appels d'offres ?

Autant il est impossible d'imposer un logiciel propriétaire dans un appel d'offres, autant cela ne pose pas de problèmes pour un logiciel libre qui peut être intégré par qui le souhaite. Le Conseil d'Etat a donné raison à une structure publique qui avait fait le choix explicite a priori d'un logiciel libre.

Par contre, il fallait adapter le Code des Marchés Publics aux particularités du Libre : obligation de reversement du code, concession de droits non exclusifs à l'administration, contributions aux Communautés... Une première version de ces modifications est faite. Il reste à l'intégrer au Code, ce qui devrait être fait dans le courant de l'année.
Source : Le Monde Informatique

Published by cnl - dans Actualités
commenter cet article
14 janvier 2014 2 14 /01 /janvier /2014 09:32

Oracle-Java-faille.jpgJava met parfois ses utilisateurs en danger. Mais c’est la plate-forme elle-même qui paraît aujourd’hui en danger. Histoire d’une technologie dont l’heure de gloire semble aujourd’hui révolue… malgré tous les efforts d’Oracle.

Java, aujourd’hui passé dans le giron d’Oracle, est une plate-forme de programmation qui demeure très populaire dans le secteur des applications professionnelles. Toutefois, elle devient chaque jour un peu plus dangereuse pour ses utilisateurs, comme ses promoteurs. Petite histoire en trois points d’une technologie qui s’est perdue en chemin.

1 - Un danger pour les utilisateurs

Le greffon qui permet de faire fonctionner les applications Java depuis un navigateur web est devenu une plaie pour les utilisateurs desktop. De fait, c’est à travers lui que la plupart des malwares s’infiltrent sur les PC.

Le phénomène a atteint une telle ampleur que plusieurs navigateurs web bloquent dorénavant par défaut le greffon Java (du moins quand ce dernier n’est pas installé dans sa dernière mouture). Le problème est par ailleurs insoluble pour Oracle. En effet, Java a longtemps souffert d’un souci dans son module de mise à jour, empêchant l’installation d’updates. Souvent, la firme ne peut donc tout simplement pas forcer la mise à niveau des versions les plus anciennes de Java.

2 - Un danger pour Android

Le langage de programmation Java est au cœur du système d’exploitation Android et de ses applications. C’est lui – et la machine virtuelle Dalvik – qui permet d’assurer la portabilité des logiciels entre les puces supportées par Android : ARM, MIPS et x86.

L’utilisation de Java dans Android est toutefois mal vue par Oracle. La société reproche à Google d’avoir créé un dérivé de la plate-forme Java qui utilise sans autorisation ses API.

Mais le mal est plus profond : avec Android, c’est toute la plate-forme Java qui vacille. Et c’est bien ce qui ennuie Oracle. En effet, il y a encore quelques années, tous les téléphones mobiles étaient équipés de Java. Aujourd’hui, c’est Android qui a pris la suite, avec une offre qui n’est pas 100% compatible avec une JVM, loin de là.

3 - Un danger pour Oracle

L’apparition d’Android et les difficultés à retirer du marché les versions trop anciennes et peu sécurisées de Java ont énormément impacté le marché potentiel de cette offre. Et cela commence à se ressentir en entreprise.

Oracle a pourtant redoublé d’efforts en 2013, avec la sortie de Java EE 7 et des avancées enfin positives en matière de sécurité. La firme tente même d’aborder un nouveau marché, celui de l’Internet des objets, et multiplie les efforts afin de se rapprocher de la communauté.

Seulement voilà, l’enthousiasme des premiers jours semble avoir disparu. De plus, le développement de Java semble aujourd’hui trop lent et trop peu novateur. L’obsolescence, c’est peut-être là le plus grand danger qui pèse sur cette technologie…

Source : Silicon

Published by cnl - dans Sécurité
commenter cet article
22 novembre 2013 5 22 /11 /novembre /2013 09:07

Virus-informatique.jpgNous sommes le 10 novembre 1983. Fred Cohen est un étudiant en informatique de la School of Engineering de l’Université de Californie du Sud. Il vient d’écrire un court programme qu’il a glissé dans une commande Unix et qui va en 5 minutes prendre le contrôle d’un mainframe.

Certes ce n’est pas la première fois qu’un programme de ce type est écrit. C’est en effet un peu plus tôt, en 1982, qu’un gamin de 15 ans, Rich Skrenta, un lycéen de Pennsylvanie, a écrit un programme pour Apple II qui prend le nom de Elk Cloner. Celui-ci se réplique automatiquement lors du boot (démarrage) de la machine sur une disquette afin, tous les 50 boots, d’afficher un message :

It will get on all your disks
It will infiltrate your chips
Yes, it’s Cloner!

It will stick to you like glue
It will modify RAM too
Send in the Cloner!

Alors pourquoi fêter aujourd’hui les 30 ans du ‘virus’ ? Parce qu’à l’époque, cela s’appelait un programme. Ce n’est en effet qu’un an plus tard, le 10 novembre 1983, que Fred Cohen a employé pour la première fois l’expression ‘virus’. Une expression qui va rester et faire le tour du monde. Même si les menaces ont évolué. L’expression sera reprise et vulgarisée par un certain Len Adleman. Ce nom ne vous dit rien ? Il est le ‘A’ de RSA Security.

Rich Skrenta avait écrit un vrai virus informatique, destiné à perturber le fonctionnement de la machine. Fred Cohen a quant à lui écrit un proof of concept (PoC), un programme informatique destiné à être testé, ou à démontrer une théorie, ici la capacité à prendre le contrôle d’un mainframe. Le PoC, volontaire, est d’ailleurs la seconde source des virus, la première, involontaire, étant tout simplement les développements de lignes de code dont l’exécution entraine des réactions inattendues de l’ordinateur, à la surprise de leur auteur. La plupart d’entre eux ne quitteront pas l’ordinateur qui a servi à les programmer, et ne représentent donc pas de menace.

Le virus, intimement lié à l’histoire de l’informatique

Depuis l’adoption de son expression, l’histoire de l’informatique est riche en virus. Nous avons relevé quelques dates concernant les phénomènes viraux :

  • 1986, le premier virus Brain fait son apparition. Il cible précisément l’IBM PC. En plus de se glisser dans un programme médical, sa particularité provient de l’égo de ses auteurs, deux frères Pakistanais, qui ont glissé leur nom et numéro de téléphone dans le code ! Pour se faire ‘vacciner’, ils invitent leurs victimes à prendre contact avec eux. Une première. Le virus se fait mafieux, la prochaine fois il faudra payer pour se délivrer de la menace affichée…
  • Le 2 novembre 1988, Robert Morris, encore un étudiant de Cornell, a lâché le premier ‘worm‘ (ver), un virus qui avance caché à l’intérieur du code d’une application. Ce programme de 99 lignes sous Unix, encore un PoC, a infecté les environnements Sun Microsystems et Digital Equipment VAX.
  • 1999, Melissa est le premier virus worm diffusé en masse via des e-mails. 250 000 PC sont infectés. Il sera suivi en 2000 par Love Bug, repris et modifié par un étudiant philippin sous le nom de I Love You, le virus qui aura probablement fait le plus de dégâts connus. Hébergé contre leur volonté par 55 millions d’ordinateurs, il fera 2,5 à 3 millions (impossible de connaitre les chiffres exacts) de victimes en effaçant des fichiers de leurs PC. Tous deux sont des macro-virus. Ils exploitent des scripts du langage Visual Basic de Microsoft. Ils auront au moins eu le ‘mérite’ de sensibiliser l’éditeur, qui va entièrement restructurer sa démarche de sécurité de ses développements et de ses produits.
  • 2001, Code Red, premier virus dédié aux serveurs Microsoft, cible Microsoft IIS (Internet Information Server) pour attaquer les sites web par DoS (Denial-of Service). Il affiche sur les serveurs vérolés le message « Hacked by Chinese ». 300 000 serveurs seront infectés au cours du premier mois.
  • Suivront Nimba, Slammer, Blaster, MyDoom… Il s’attaquent en priorité aux environnements Microsoft, Windows 95, MS SQL, etc. les plus répandus. Il faudra attendre 2004 et le SP2 de Windows XP pour que l’éditeur place enfin et, pour la première fois, un pare-feu dans son OS.
  • En 2008 apparait Conflicker, l’un des botnets les plus virulents. En avril 2009, il aura infecté 300 000 domaines.
  • Quant au malware Stuxnet, qui ciblait le programme nucléaire iranien, il nous apprend (ou confirme) que tous les virus ne sont pas mafieux, et que même de très sérieuses agences de renseignement jouent au jeu des menaces virales. Stuxnet a été programmé par des développeurs israéliens et par la célèbre NSA (National Security Agency), l’agence de renseignement américaine au centre du scandale des écoutes massives sur la Toile.

La prochaine grande vague de virus est déjà attendue, elle devrait cibler… les smartphones et tablettes.

Source : Silicon

Published by cnl - dans Sécurité
commenter cet article
8 novembre 2013 5 08 /11 /novembre /2013 08:57

URCA-Romeo.jpgUn petit coup de projecteur sur l’Université de Reims, qui, avec Romeo, devrait entrer le 18 novembre dans le Top 500 mondial des supercalculateurs.

L’Université de Reims Champagne-Ardenne (URCA) est rapidement devenue une référence dans le monde du calcul à base de GPU. Ses équipes HPC finalisent actuellement la mise au point du supercalculateur hybride, installé au sein du centre de calcul ROMEO.

Découverte du nouveau fleuron de l’URCA avec Michaël Krajecki, professeur en informatique à l’Université de Reims, et Arnaud Renard, ingénieur de recherche en informatique et chef de projet Centre de Calcul de Champagne-Ardenne ROMEO.

« La machine est en cours d’installation et ouverte partiellement aux chercheurs de la région, précise d’emblée Michaël Krajecki. Une solution fournie par Bull et accélérée par Nvidia. »

Elle se compose de serveurs Bull, dont la puissance est boostée par des cartes Nvidia Tesla K20X. Voici le détail de la configuration de Romeo : 130 nœuds bullx R421 comprenant chacun deux processeurs Intel Xeon Ivy Bridge à 8 cœurs cadencés à 2,6 GHz, 32 Go de RAM et deux Tesla K20X. Soit un total de 2080 cœurs de CPU et de 260 GPU, le tout connecté en Infiniband QDR (avec support de la technologie GPUDirect, qui permet aux GPU de travailler ensemble sans devoir passer par le CPU). « C’est la deuxième plus grosse configuration en K20 d’Europe », note notre interlocuteur.

Coût total du projet : 2,4 millions d’euros. « Un montant très exceptionnel pour nous. »

Plus de 230 téraflops

Avec un tel équipement, le cap des 230 téraflops devrait être dépassé, ce qui permettra à cette machine d’entrer en novembre au top500 des ordinateurs les plus rapides de la planète. « Notre cluster devrait aussi être très bien classé sur la liste Green 500 », ajoute Michaël Krajecki.

« Cette puissance sera ouverte à l’ensemble de la communauté en mode challenge : les candidats décrivent leurs besoins et, s’ils sont sélectionnés, accèdent à la machine dans des conditions parfois exceptionnelles ». Comprenez par là qu’ils pourront sous certaines conditions disposer de l’ensemble des 130 nœuds de calcul. Voire même plus, les 6 téraflops et 500 cœurs Xeon Westmere de Clovis (le précédent supercalculateur de l’URCA) étant intégrés à ce nouvel ensemble.

Cette solution a une vocation académique (avec une grosse implication des chercheurs, car il s’agit d’un centre universitaire), mais aussi pédagogique « en montrant que l’on peut apporter du HPC à moindre coût avec du matériel grand public ». Il est à noter que l’URCA tend de plus en plus la main aux industriels. La plate-forme de calcul de Reims devient ainsi une véritable plate-forme de démonstration, laquelle intéresse d’autres universités, en France, en Europe, voire au-delà.

De nouveaux usages

À signaler également, l’intégration de nouvelles technologies, qui permettent d’aborder de nouveaux usages. Une configuration Nvidia Grid K2 est ainsi en cours de déploiement. Une quasi première, car ce genre de solution de visualisation déportée en mode Cloud est encore peu présent dans les clusters. Les utilisateurs de Romeo pourront exploiter cette technologie pour des tâches de visualisation, sans devoir rapatrier au préalable les données en local.

Autre avancée, l’intégration d’une solution de stockage distribué qui s’appuie sur le système de fichiers Lustre. Cette offre permettra de répondre au défi de l’explosion des volumes de données et d’aborder de nouveaux secteurs, comme de l’analytique lourde. « Les données, c’est le gros sujet en ce moment. La communauté HPC est bien outillée pour répondre à ce défi, » conclut Michaël Krajecki.

Prochaines étapes pour ce nouveau cluster, son apparition probable dans le top500 le 18 novembre et son inauguration officielle le 17 décembre.

Source : Silicon.

Published by cnl - dans Actualités
commenter cet article