J’adore les petits sites marchands codés par les propriétaires du site ou par un « copain informaticien » en bidouillant un PrestaShop. On y trouve des petits bijoux de sécurité avec le fameux mail de bienvenue où on vous rappelle votre mot de passe en clair pour que vous ne l’oubliiez surtout pas ! Mais là, dernièrement, j’ai vraiment ri en recevant mon message de bienvenue que je partage avec vous :

Bonjour Tristan Colombo, merci d’avoir créé votre compte sur BiduleShop

Vos codes d’accès sur BiduleShop:

Identifiant: tristan.colombo

Mot de passe : M0tDeP4ssEenCLAIR!

Jusque-là, rien de neuf, je sais que mon mot de passe se balade en clair dans une base de données ouverte sur le Web : tout va bien, j’y étais préparé et j’avais créé un mot de passe en conséquence. C’est la suite qui est la plus croustillante :

Conseils de sécurité importants :

Vos informations de compte doivent rester confidentielles

Ne les communiquez jamais à qui que ce soit

Changez votre mot de passe régulièrement

Si vous pensez que quelqu’un utilise votre compte illégalement, veuillez nous prévenir immédiatement.

Hallucinant ! Je viens de recevoir mon mot de passe en clair et les mêmes personnes qui m’ont envoyé mon mot de passe me donnent des conseils de sécurité ? Nous sommes bien d’accord que le fait de m’envoyer mon mot de passe en clair viole les conseils 1 et 2 ?

Du coup, j’ai étudié le site de BiduleShop plus en détail : les mentions légales sont bien présentes… cachées sur la page des conditions générales de vente et il n’y est nulle part fait mention des informations obligatoires (forme juridique de la société, capital social, etc.). Un paragraphe « Informatique et Liberté » est bien présent, mais maladroitement écrit et on peut y lire que BiduleShop s’engage à protéger la confidentialité des informations personnelles qui lui sont fournies : on a vu ça avec les mots de passe…

Avec l’essor de la vente par Internet de très nombreux marchands présentent un site de vente en ligne. Qu’ils réalisent eux-mêmes leur site à l’aide d’outils libres est compréhensible (ils n’ont pas nécessairement les moyens de payer un professionnel) et encourageant (ils utilisent des outils libres et ils obtiennent un résultat fonctionnel). Mais il faudrait que l’information sur les exigences juridiques et sur la sécurité circule mieux et que les logiciels de création de sites marchands proposent des modèles validés par des avocats, valables pour les cas les plus courants et à adapter. Les personnes qui vont créer ces sites marchands ne sont pas des informaticiens et les entreprises qui promeuvent ces logiciels de création de sites marchands (solutions libres et propriétaires) mettent en avant le fait qu’il est possible de monter un tel site rapidement et sans code. Il faudrait alors qu’elles aillent au bout du concept pour que des non-informaticiens puissent vraiment obtenir un site fonctionnel, réglementaire et sécurisé. Sinon elles peuvent fermer boutique, elles ne servent à rien !

Sur ce, je vous souhaite une bonne lecture sans M0tDeP4ssEenCLAIR!!

Tristan Colombo

Retrouvez GNU/Linux Magazine Hors-série n°108 :

• sur notre boutique en version papier et flipbook (pour vous abonner : https://boutique.ed-diamond.com/abonnements/3-gnu-linux-magazine)
• sur notre plateforme de lecture en ligne Connect 

Mais où s’arrêteront les spammeurs ? Certains d’entre vous ont peut-être vu apparaître comme par enchantement des pubs dans leur agenda Google. Le premier réflexe est de se dire qu’il n’y a rien d’anormal, après tout c’est Google et la pub vient nécessairement de chez eux après analyse de nos mails. Mais lorsque l’on s’intéresse au libellé de l’événement, « You Have Won IPhone X Max From AppleStore »,  suivi d’un lien, là on se dit que ça ressemble quand même bigrement à du phishing. On découvre donc là une nouvelle technique de spam utilisant une fonctionnalité légitime de Google permettant d’ajouter une invitation à un événement et à l’intégrer dans un agenda en y ajoutant un rappel.

Première chose à faire : désactiver cette fonctionnalité au plus vite ! Les agendas sont configurés par défaut pour accepter ces invitations. Pour « annihiler » ce mécanisme, il faut aller dans Paramètres > Paramètres des événements > Événements ajoutés à partir de Gmail et décocher Ajouter automatiquement dans mon agenda les événements issus de Gmail ou alors il faut abandonner Google Agenda pour passer à Framagenda ou autres, à vous d’établir la balance du pour et du contre.

Avant de changer de service d’agenda, sachez tout de même que d’autres solutions sont également ciblées puisque j’ai pu observer le même comportement sur un calendrier d’iPhone. Il semble donc que ce phénomène tend à se généraliser sur de multiples plateformes. En termes de logiciel je n’ai pu tester réellement que le cas de Google Agenda, mais Google Drive, Google Analytics, Google Photos et Google Forms seraient également la cible de tels spams. Comme toujours, j’ai beaucoup de mal à comprendre comment de telles campagnes peuvent engendrer des gains pour leurs auteurs et comment des gens qui emploient les outils numériques arrivent à se laisser piéger aussi bêtement, après des années d’expérience de spams et de tentatives de phishing. Il faut reconnaître qu’une fois que l’on a été ciblé, l’agenda n’est plus guère utilisable donc soit l’utilisateur parvient à supprimer les messages frauduleux, soit il n’utilise plus son agenda et dans les deux cas l’objectif du spammeur (vol d’informations personnelles ou d’argent) ne sera pas atteint.

Du coup, des fonctionnalités que l’on pensait réservées aux mails apparaissent dans de nombreux services et il est par exemple possible de déclarer un événement comme étant du spam. J’en reviens alors à ma question de départ : mais où s’arrêteront les spammeurs ? Les services proposant de la diffusion de musique comme Deezer, Amazon Music ou autres vont-ils bientôt être eux aussi la cible de spammeurs et diffuser des messages frauduleux ? Ou verrons-nous dans le futur du spam intégré dans les flux vidéos de nos séries préférées ? Tant que la tentative de phishing n’est pas réalisée de manière intelligente en ciblant les personnes visées, quel que soit le média il sera facile de ne pas tomber dans le panneau. Par contre, si vous n’avez jamais été victime d’une « attaque » sur votre agenda et que le premier événement ajouté à votre agenda est forgé intelligemment, vous risquez fort de vous laisser prendre… Pensez donc à toujours désactiver les fonctionnalités qui ne requièrent pas votre approbation, quel que soit le service utilisé.

Pour lire votre GNU/Linux Magazine, pas besoin d’autorisations spécifiques à valider ou à désactiver… alors bonne lecture !

Tristan Colombo

Retrouvez GNU/Linux Magazine n°238 :

• sur notre boutique (pour vous abonner : https://boutique.ed-diamond.com/abonnements/3-gnu-linux-magazine)
• sur notre plateforme de documentation numérique Connect

Codez une fois, déployez partout avec ce numéro spécial dédié au développement multiplateforme ! Son dossier spécial vous embarquera à la découverte du langage de programmation multiplateforme Dart, vous guidera dans la création d’un calendrier multi-utilisateur partagé, mais aussi dans l’implémentation d’un serveur REST et enfin dans l’utilisation de Flutter pour créer une application cliente multiplateforme.

La situation actuelle de la distribution de la presse nous amène à notre grand regret à ne pas faire paraître ce magazine chez votre marchand de journaux, mais vous pourrez vous le procurer sur notre site soit au format flipbook, soit en papier. Ce numéro vous attend également sur notre plateforme de documentation numérique Connect. Pensez à vous abonner pour ne manquer aucun numéro

Au sommaire

Actus

p.06 Côté livres…
p.08 Des challenges informatiques pour progresser

Développement

p.10 Surveillez vos applications Django avec Prometheus

Repère

p.18 Sequel : un ORM SQL pour Ruby

Dossier : Codez une fois, déployez partout !

p.26 Introduction au langage Dart

p.54 Présentation de l’application « fil rouge » : un calendrier partagé

p.62 Partie serveur du calendrier

p.80 Introduction au framework Flutter

p.100 Partie cliente multiplateforme du Calendrier

Web

p.112 Petite introduction à Vue.js

Oubliez Autotools et Make, GNU/Linux Magazine vous montre comment tirer parti du duo gagnant CMake et Ninja pour compiler vos projets. Ce numéro vous offrira également un récapitulatif des nouveautés des 15 dernières années de PHP, vous apprendra à évaluer et renforcer le niveau de sécurité de votre serveur Nginx, à comprendre le mécanisme de cache LRU, à ajouter un environnement graphique à votre Linux sur smartphone…

La situation actuelle de la distribution de la presse nous amène à notre grand regret à ne pas faire paraître ce magazine chez votre marchand de journaux, mais vous pourrez vous le procurer sur notre site soit au format flipbook, soit en papier. Ce numéro vous attend également sur notre base documentaire technique Connect. Enfin, si vous êtes abonné, sachez que vous recevrez ce numéro chez vous comme d’habitude. Bonne lecture & prenez bien soin de vous !

Au sommaire

Actus & Humeur

p. 06 Évolutions récentes de PHP : les nouveautés des 15 dernières années

Outils & Système

p. 18 Y a une panne de secteurs !

Kernel & Bas niveau

p. 28 Compilez efficacement vos énormes projets avec CMake et Ninja

IoT & Embarqué

p. 36 Reprenez le contrôle ! Ajoutez un environnement graphique à votre GNU/Linux sur smartphone

Libs & Modules

p. 48 Automatiser les tâches de conception de circuits imprimés : greffons pour KiCAD et FreeCAD

p. 60 Memoization : quel est l’intérêt de la mise en cache ?

Sécurité & Vulnérabilité

p. 70 Sécurisation d’un serveur NGINX

Le Ministère de l’Économie et des Finances a récemment lancé le site TerMef sur https://terminologies.finance.gouv.fr. TerMef est présenté comme le gestionnaire des référentiels terminologiques… en clair un gros dictionnaire des termes associés à des domaines « pointus ». On aurait pu s’attendre à ce que ce type d’informations soit plutôt rattaché au Ministère de la Culture ou au Ministère de la Recherche… quoi qu’il en soit, en étudiant de plus près le contenu du site, on se demande quel est le public visé. Les domaines (appelés référentiels) présentés sur le site allant de l’Agriculture et la Pêche jusqu’à l’Énergie Nucléaire, nous allons nous attarder, et cela ne vous surprendra pas, à l’Informatique. Ce référentiel est sous-divisé en Automatique, Bioinformatique, Informatique (encore), etc. qui sont eux-mêmes encore sous-divisés. Pour nous plonger dans le monde merveilleux des référentiels terminologiques, je vous propose un scénario survenant dans le domaine Informatique > Informatique > Internet.

Imaginons donc un client qui serait au fait de ce référentiel et qui s’adresserait au développeur en charge de son projet :

« L’arrière-guichet fonctionne très bien, mais pour le guichet nous souhaiterions ajouter plus de vignettes actives et la possibilité d’ouvrir une fenêtre de causette. Pour une meilleure expérience utilisateur, nous avions également pensé à l’intégration d’une diffusion systématique sur la toile. »

Je vous laisse imaginer la tête de n’importe quel développeur à l’écoute de ce charabia… et vous, avez-vous compris quelque chose ? Il faut savoir que l’arrière-guichet est le back-end, le guichet fatalement est le front-end, et que les vignettes actives sont des widgets. Pour la fenêtre de causette, je l’avoue, j’ai été joueur : il s’agit d’une forme désuète, remplacée par « fenêtre de dialogue en ligne » depuis 2006 (le sens est alors assez simple à inférer, il s’agit d’une fenêtre de chat). Enfin, la diffusion systématique sur la toile peut être abrégée en diffusion réticulaire, ce qui est tout de suite beaucoup plus parlant, non ? À moins que vous ne préfériez le terme de webcasting ?

Tous ces termes ne sont pas nouveaux. Ils sont issus de réflexions de la Commission d’enrichissement de la langue française, et ont été publiés au Journal Officiel pour la plupart depuis 1999. Sachez que cette commission, relevant cette fois de manière plus logique du Ministère de la Culture, dispose d’un site, FranceTerme, équipé d’une boîte à idées (http://www.culture.fr/franceterme/boiteidees) dans laquelle vous pourrez faire des propositions pour les termes qui n’auraient malheureusement pas encore d’équivalent en français (et avouez que c’est dommage !). Le quantum computing n’a ainsi pas encore officiellement d’équivalent ! Précipitez-vous pour proposer quelque chose d’original !

Limiter l’emploi d’anglicismes peut évidemment être une priorité… tant que cela ne tourne pas au ridicule. Quitte à employer ce référentiel, nous pourrions aussi imaginer traduire nos codes en français (certains s’y sont déjà essayés – voir le Wlangage). Mais à ce moment-là, quid de l’universalité du code ? Seuls les développeurs parlant la même langue pourraient collaborer ?

Dans GNU/Linux Magazine, nous pensons que le contenu de nos articles est déjà suffisamment dense et pointu pour ne pas l’alourdir inutilement avec un langage qui pour nous serait peu courant. Je vous souhaite une bonne lecture !

Tristan Colombo

Retrouvez GNU/Linux Magazine n°237 :

• sur notre boutique (pour vous abonner : https://boutique.ed-diamond.com/abonnements/3-gnu-linux-magazine)
• sur notre plateforme de documentation numérique Connect